Акция

Миграция с других систем

Скидка на систему «ДЕЛО» при миграции с других решений.

Получите бесплатную демоверсию и консультацию

+7(495) 221-24-31

Вернуться к списку

Контрольно-счётная палата США сочла несостоятельной стратегию информационной безопасности Федерального управления авиации

Аудиторы контрольно-счётной палаты (Government Accountability Office, GAO - контрольный орган Конгресса США),  сочли неприемлемыми процедуры обеспечения информационной безопасности, используемые Федеральным управлением авиации (Federal Aviation Administration, FAA) в системах управления воздушным движением.

В выпущенном 26 сентября 2005 года отчете GAO утверждается, что «имеются существенные слабости в системе информационной безопасности, которые потенциально могут привести к перебоям в работе авиации». Аудиторы зафиксировали отсутствие ряда мер обеспечения безопасности, таких, как шифрование паролей; своевременная установка обновлений, исправляющих ошибки в программах; протоколирование событий, связанных с функционированием системы безопасности; и проверка службой безопасности сотрудников компаний-подрядчиков.

Конгрессмен Том Дэвис, председатель комитета по реформированию правительства Палаты представителей Конгресса США и один из тех законодателей, кто потребовал проведения этой проверки, сказал, что FAA должно как можно быстрее устранить недостатки. «FAA несёт ответственность за безопасность, упорядоченность и экономность воздушных перевозок в США, и оно опирается для выполнения этой задачи на информационные системы и сети. В свете постоянно усиливающихся компьютерных угроз, и понимая возможные последствия получения злоумышленниками доступа к ИТ-системам FAA, не может быть и речи о благодушии и самоуспокоенности.»

Со своей стороны, руководители FAA прокомментировали, что, по их мнению,  выводы, сделанные GAO, не являются точным отражением состояния всех систем FAA. «Аудиторы проверили только 3 из 80 систем Управления», - заявил представитель FAA Грег Мартин. Он добавил, что FAA не торопится устанавливать обновления программ, поскольку спешка в этом деле может привести к непредсказуемым последствиям для систем. Отчёт также не принимает во внимание резервирование, заложенное в архитектуру систем FAA. «Учитывая, что хакеры и угрозы в области компьютерной безопасности появились не вчера, исторически подтверждённая надёжность наших системам доказывает, что мы не беспечны, а наоборот, всё время начеку».

Руководитель службы информационной безопасности FAA Дэн Механ в том же отчете GAO указал, что в результате предпринятых усилий, FAA добилось 100% выполнения задач, поставленных в Президентской программе по сертификации и авторизации систем, сертифицировало более 90% своих систем уже  2004 финансовом году, и полностью закончило этот процесс к 30 июня 2005 года.

Аудиторы не согласились с подобными утверждениями. Они сочли, что, хотя FAA проводило проверки в ходе процесса сертификации, результаты некоторые из них были неполны или устарели.

Помимо проверки технических средств защиты трёх критически-важных систем, аудиторы GAO также проверили использование административных и организационных мер обеспечения безопасности в штаб-квартире и пяти других центрах FAA. Они отметили, что FAA, действительно, постаралось устранить ранее выявленные уязвимые места за счёт разработки и реализации программы обеспечения информационной безопасности в масштабе всей организации. В соответствии с этой программой, идёт деятельность по всем направлениям, определённым в Законе об управлении информационной безопасностью в федеральном правительстве США (Federal Information Security Management Act, 2002). Однако FAA не полностью реализовало свою программу в отношении систем управления воздушным движением. Так, конфигурация сетей давала возможность неавторизованным сотрудникам получать доступ к административным функциям систем.

В отчёте  говорится: «FAA не шифровало определенную информацию, проходившую по внутренней сети. Вместо этого, оно использовала протоколы, в которых передача шла «открытым текстом», что делало систему уязвимой при перехвате информации.» Далее, в отчете говорится о несерьёзном отношении к паролям. Управление не всегда обеспечивало соблюдение требуемых параметров паролей (таких, как число и тип символов, частота смены). Было обнаружено, что администраторы и пользователи использовали одни и те же пароли для доступа к ряду устройств. Некоторые пароли к базам данных были «прошиты» в программные приложения, или же появлялись в незашифрованном виде в общих папках на серверах.

В FAA отсутствует регламент, требующий регулярно проверять протоколы (лог-файлы) физического доступа на наличие подозрительной активности. Руководство FAA не проводит регулярных проверок того, не истекла ли нужда в доступе к конфиденциальной информации у ранее допущенных к ней сотрудников. «Вследствие этого, ни одна из систем, которые мы инспектировали, не обеспечивает доступа к конфиденциальной информации только тех сотрудников, у которых есть законная потребность в ней», - записали в отчете руководители GAO.

В 2000 году аудиторы GAO отметили, что FAA проверяет «на допуск» лиц, работающих по контрактам. FAA постаралось исправить ситуацию, но, с точки зрения аудиторов, оно не обеспечило проверку многочисленных сотрудников, у которых имеется возможность вмешаться или нарушить работу критически-важных систем.

Рекомендации, приведенные в несекретной версии отчёта GAO, включают завершение анализа рисков, улучшение управления обновлением программ, усиление контроля за физическим доступом и обучение персонала по вопросам информационной безопасности.

Алия Штернштейн
27 сентября 2005 года


Возврат к списку


Ольга Савко

Начальник группы телемаркетинга

Получите качественную бесплатную консультацию

Акция

Переход на отечественную АИС МФЦ

Скидка на право использования АИС МФЦ «ДЕЛО» при миграции с других решений по автоматизации МФЦ

Акция

«Амнистия» по техподдержке

Акция для клиентов, у которых есть просроченная техподдержка до 01.01.2015

Календарь мероприятий

28ноября

На конференции в Ереване ЭОС представил ECM-решение e-gorts, локализация EOS for SharePoint для Армении

Узнать больше

15ноября

ЭОС - участник форума «Искусственный интеллект, большие данные, отечественный софт: национальная стратегия»

Узнать больше

26октября

Важнейшее IT-событие октября - конференция «Осенний документооборот»

Узнать больше

Наши клиенты

7 000 компаний

Наши партнеры

250

во всех городах России
и странах СНГ