Госконтроль: серверные государственных учреждений нуждаются в лучшей защите
Хотя в серверных и вспомогательных технических помещениях государственных учреждений, как правило, реализуются базовые меры безопасности, во многих местах следует снизить риски, связанные с неподходящим микроклиматом, пожаром, утечкой воды или недостаточной охраной, говорится в опубликованном сегодня отчете Государственного контроля.
Госконтроль, проведя проверку 11 государственных учреждений, обнаружил проблемы с обеспечением необходимых условий в серверных ряда государственных учреждений. Например, во многих случаях работа кондиционерного и вентиляционного оборудования, а также датчиков огня, дыма и утечек воды не обеспечивалась с достаточной надежностью. В некоторых наблюдаемых серверных охлаждение помещений было организовано неэффективно; обнаружились серверные, где не использовалось прецизионное оборудование для кондиционирования воздуха. В серверных и подсобном помещении серверной некоторых аудитированных учреждений также хранились легковоспламеняющиеся материалы, такие как картонные коробки.
Госконтроль сделал замечания по поводу постановки серверных и офисных помещений на сигнализацию, а также по защите их систем безопасности. В одном аудитированном учреждении серверная не ставилась на сигнализацию. Госконтроль указывает, что частичное оставление офисного здания без охраны увеличивает риск несанкционированного проникновения и, следовательно, риск кражи данных и информационно-технологического (ИТ-) оборудования или манипуляции ими.
Система видеонаблюдения другого аудитированного учреждения не была достаточно защищена, и к ее центральному оборудованию видеонаблюдения имело доступ слишком много пользователей. В случае ряда учреждений в процедурах не был указан минимальный срок хранения записей видеонаблюдения, а в одном учреждении не было установленного срока хранения журналов доступа и постановки на сигнализацию.
Госконтроль отмечает, что без журнала учета входивших лиц и постановки на сигнализацию невозможно получить представление о том, кто и когда находился в серверных и офисных помещениях и когда была включена техническая охрана. Если журналы и видеозаписи не сохраняются достаточно долго, это затрудняет расследование инцидентов с физическим доступом.
При охране внешнего периметра безопасности зданий серверных имелись проблемы с защитой сооружений, необходимых для работы серверных. Например, внешний периметр здания одного из аудитированных учреждений не был покрыт необходимыми датчиками.
Касательно организации управления доступом Госконтроль обнаружил некоторые проблемы в реализации как организационных, так и технических мер. Например, в серверную одного из аудитированных учреждений имелся доступ с помощью однофакторной аутентификации, с использованием только лишь дверной карточки-ключа. В другом учреждении имелась возможность получить доступ к центральному блоку системы доступа с правами администратора с компьютера в помещении дежурного.
В результате аудита Государственный контроль сделал более подробные замечания по безопасности каждого аудитированного учреждения и дал рекомендации, как улучшить ситуацию.
Читайте RusDelfi там, где вам удобно. Подписывайтесь на нас в Facebook, Telegram, Instagram и даже в TikTok.
