Госконтроль провел аудит таких банков данных, как информационная система социального защиты (SKAIS), регистр социальных услуг и пособий (STAR), регистр наказаний (KARR), интерфейс производства по делам о проступке (VMP) системы e-toimik («э-дело“) и система автоматической биометрической идентификации личности (ABIS), находящаяся на стадии разработки.

„Пользователь конфиденциальных данных должен иметь доступ к тем данным, которые непосредственно касаются его работы и которые ему необходимо знать, но не более того», – сказал государственный контролер Янар Хольм. „ По мнению Госконтроля, доступ пользователей к информации банков данных SKAIS1 и STAR Департамента социального страхования слишком обширен, и это создает определенный риск неправомерного использования данных“.

В регистре социальных услуг и пособий STAR должностное лицо местного самоуправления может получить доступ к делопроизводствам, касающимся жителей других муниципалитетов, и содержащимся в них данным. Госконтроль указывает, что в регистре STAR не было принято необходимых мер для анализа журналов регистрации и для проверки обоснованности запросов. Количество делопроизводств, к которым имеют доступ пользователи, относительно велико, так как регистр социальных услуг и пособий STAR используется с апреля 2010 года и с тех пор данные не выводились из банка данных (например, не архивировались). Это придает еще больший вес необходимости защиты большого количества персональных данных.

По мнению Госконтроля, пользователи банков данных регистра STAR в местных самоуправлениях должны иметь доступ к данным жителей своего муниципалитета. Если же необходим доступ к делопроизводствам, относящимся к жителям муниципалитетов, то следует определить дополнительную процедуру контроля валидации доступа.

Госконтроль считает, что аудит прав доступа в будущем должен стать обязательным в случае конфиденциальных данных, поскольку это поможет минимизировать риски, связанные с безопасностью данных. Аудит принятия мер информационной безопасности, обязательный для государственных банков данных, был проведен в четырех из пяти аудитированных банков данных. В ходе этих аудитов не проверялись меры безопасности модуля управления доступом, поскольку инструкция по проведению аудита ISKE для трехуровневой стандартной системы безопасности не обязывала аудиторов делать это.

Госконтроль отмечает, что необходимо постоянно анализировать данные журналов регистрации банков данных, чтобы как можно раньше выявлять неправомерное использование данных. В ходе аудита Госконтроль установил, что, хотя данные журнала регистрации – информация о событиях, произошедших в банке данных, – собирались и хранились, их систематический и постоянный анализ не проводился. В документах, регламентирующих деятельность учреждений или банков данных, также отсутствовала обязанность анализировать и контролировать данные журналов регистрации.

Кроме того, в аудитированных банках данных не проводился регулярный или систематический мониторинг или контроль обоснованности запросов данных. Проведение таких проверок подробно не регламентировалось в документах, регулирующих деятельность учреждений или банков данных. Проверки проводились скорее нерегулярно и только после обнаруженных инцидентов, запросов/жалоб от субъектов данных или из-за других внешних событий.

Инциденты безопасности могут быть обнаружены на ранней стадии и без допущения серьезного ущерба только в том случае, если использование банков данных постоянно контролируется и журналы регистрации анализируются. Без этого возникает риск утечки конфиденциальных персональных данных. Следует также оценивать риски, связанные с несанкционированным изменением журналов регистрации, и применять временные метки и/или решения для создания криптографической цепочки с целью обеспечения целостности журналов.

Общая информация

Цель аудита – оценить, организовано ли управление доступом в соответствии с установленными требованиями и передовой практикой, приняты ли в аудитируемых банках данных меры, обеспечивающие доступ к банку данных уполномоченных лиц и предотвращающие доступ посторонних лиц, а также работают ли принятые меры. В результате экспертного отбора был проведен аудит следующих банков данных: информационная система социального защиты (SKAIS), регистр социальных услуг и пособий (STAR), регистр наказаний (KARR), интерфейс производства по делам о проступке (VMP) системы e-toimik («э-дело“) и система автоматической биометрической идентификации личности (ABIS) (это банк данных еще находится на стадии разработки).

Основным критерием, на основании которого эти банки данных были отобраны для аудита, служила конфиденциальность этих данных – в случае пяти банков данных был установлен класс безопасности в отношении конфиденциальности S2 или S3 по системе ISKE. Класс безопасности S2 означает секретную информацию: использование информации разрешено только для конкретных, определенных групп пользователей, и доступ к такой информации может быть разрешен, если лицо, ходатайствующее о доступе, имеет к ней оправданный интерес. S3 означает сверхсекретную информацию: использование информации разрешено только для конкретных, определенных пользователей, и доступ к такой информации может быть разрешен, если лицо, ходатайствующее о доступе, имеет к ней оправданный интерес.

Управление доступом должно гарантировать, что пользователи имеют доступ только к тем данным и информационно-техническим ресурсам, которые им необходимы для выполнения их служебных обязанностей, и только в той мере, в какой они уполномочены на это.

Читайте RusDelfi там, где вам удобно. Подписывайтесь на нас в Facebook, Telegram или Instagram.

Какое впечатление оставил у вас этот материал?

Позитивно
Удивительно
Информативно
Безразлично
Печально
Возмутительно
Поделиться
Комментарии