国家审计署确定关键数据库护理的弱点

新闻快讯

在其他关注点中,爱沙尼亚缺乏保证国家关键数据库的安全和保存的法律框架,在保证几个关键数据库的信息安全方面存在重大缺陷,并且需要特别的要求。根据国家审计署的新闻稿,还没有建立起关键的旋转数据。

爱沙尼亚有十个国家审计署认定的至关重要的数据库:

由司法部拥有的电子文件、土地登记册、商业登记册和Riigi Teaja A.,由登记和信息系统中心(RIK)管理;土地地籍由国土部信息技术中心管理。财政部拥有财政部信息技术中心管理的国库信息中心;爱沙尼亚税务和海关委员会(EMTA)拥有的应税人员名册;由RMIT管理;人口登记由内政部拥有并由信息技术和发展中心管理的Iister-Aype,由警察和边防委员会拥有的身份证件登记册,由内政部信息技术和管理部管理。养老保险中心;国家养老保险登记册,由社会保险委员会(SKA)拥有,由健康和健康信息系统(THEKK)管理。

然而,权威人士指出,选择关键数据库的条件尚未确定,因此不确定是否包括所有必要的数据库。

备份未被测试

根据审计,五或一半被审计的数据库的备份副本是按季度在爱沙尼亚大使馆上备份的,但还没有测试信息系统的工作能否真正从中恢复。在审计过程中,关键数据库所有者说,使这些副本功能迅速和容易更可能是不可能的,因为恢复工作和服务还需要功能性应用软件和支持服务。

在地方数据中心被破坏的情况下,在其他五个关键数据库的情况下,保存国家运行所需的数据目前还不能保证,审计指出一些当局还没有完全理解WHIC的威胁。必须保护H数据库和它们需要准备的风险场景。

爱沙尼亚在海外建立数据使馆

经济事务和通信部打算在外国国家数据库中建立数据大使馆或其服务器室,并通过数据交换渠道开始向国外电子数据备份,这也保证了CA的可能。如果爱沙尼亚的数据中心被破坏,可以操作服务。

已经采取措施来实现这一目标,卢森堡的数据使馆定于六月下旬启动。最初的数据使馆将只备份备份,但该计划是发展的能力,提供服务,从那里。

国家缺乏风险分析、行动计划

根据审计,没有制定行动计划或要求来实施爱沙尼亚关键数据库的概念,国家缺乏对未来的详细风险分析或行动计划。为保护关键数据库达成的附加措施,包括具体行动计划和截止日期,在任何文件中都没有正式确定,没有法律强制性规定,目前的活动部分基于非正式活动。

国家审计署推测,国家已经确定了与关键数据库保持联系的各方,例如中央协调员、关键数据库的所有者,以及他们的角色,包括他们的权利和义务。然而,审计结果显示,迄今为止,该过程仅在2017年3月由关键信息系统工作组起草的备忘录中描述,并指出,在任何立法行为中尚未确定或规定关键数据库的定义和维护规则。

只有一些必要的审计,进行测试

根据国家审计署的报告,对爱沙尼亚国家当局强制执行的信息安全系统ISKE的审计已经按要求在十个关键国家数据库中的两个频繁进行。

在保证几个关键数据库中的信息安全方面也存在显著缺陷,例如在分析日志、保护移动设备和加密硬盘驱动器方面。国家审计署发现,在与关键数据库连接的计算机网络中使用可移动设备应该受到限制。一些关键的数据库所有者已经进行了内部安全测试并扫描了其内部网,但也有一些关键的数据库没有进行定期渗透测试,这意味着他们没有测试是否有可能闯入当局的内部网或数据库。e从外部改变和破坏其中的数据。国家审计署强调,对重要数据库的物理保护也不应低估。

审计长:没有理由恐慌

“THE当然不是恐慌的原因,”审计长Janar Holm评论了审计结果。作为E-STATE,我们在保证数据安全方面设置了相当严格的要求,甚至这些问题并不意味着我们的关键数据库不安全。然而,当我们想成为电子国家的精英时,我们必须能够遵守我们为自己设定的严格要求。”

霍尔姆指出,在关键数据库的情况下,这一点尤其重要,尤其是爱沙尼亚的许多数据库现在已经完全数字化,国家不再有纸上的数据可以用来恢复丢失的信息。

注意到保证数据库的安全性并不是为各部门提供项目支持或吸引人的新电子服务的一个主题,审计员观察到信息安全解决方案的“不可见性”创造了一种官员响应的情况。许多政府机构的信息安全已经告诉国家审计署的审计人员,他们不能使安全相关的投资需求,甚至更简单的预防措施的必要性更容易看到政治决策者。

“经济部和通讯部已经将目前的活动定义为一个试点项目,在那里,更合适的技术和法律解决方案仍在寻求支持,”霍尔姆说。如果那些负责人更详细地确定了项目的目标和行动计划,那么朝着正确的方向前进将会更加成功。建立一个明确的法律框架和一个较长的财政计划也很好。

关键数据库所有者给出建议

国家审计署在直接向关键数据库所有者发送的清单的详细摘要中提出了改进信息安全的建议。

在其他建议中,国家审计署建议如下:

在信息安全程序中,必须确定关键数据库的弱点的频率、方式和范围。为了识别异常,定期检查事件日志并以确定的间隔准备关于它们的报告。评估AWA的信息安全级别。机关和政府部门工作人员的职责,并在此基础上编制基本信息安全培训计划和提高认识。在信息安全程序中,确定在重要进口制度中如何保证文件完整性的检查。定期进行外部和内部渗透测试,以确定关键数据库的弱点或安全弱点。

关键数据库工作组在经济事务和通信部的倡议下与网络安全理事会一起工作,并已开始在重要的数据库中规范数据的保护。

在审计过程中,国家审计署审查了国家如何选择对保证国家可持续性至关重要的数据和数据库。还检查是否以及使用哪些工具保证所述数据和数据库的安全性以及是否保证以及如何保证包含该数据的数据库的长期连续性。

来源: news | ERR
图片来源: hawn O’Neil/Creative Common

Leave a Reply