Agencje federalne nie przeprowadzaj膮 w艂a艣ciwie test贸w bezpiecze艅stwa
W sumie GAO zbada艂 polityki testowania bezpiecze艅stwa w 24 g艂贸wnych agencjach federalnych. Sze艣膰 z nich zosta艂o poddanych szczeg贸艂owemu badaniu - na potrzeby raportu dok艂adnie zanalizowano 30 system贸w IT. Procedury stosowane przez te sze艣膰 agencji por贸wnano ze standardami opublikowanymi przez Office of Management and Budget oraz National Institute of Standards and Technology. Badanie przeprowadzono w okresie od listopada 2005 r. do lipca 2006 r. zgodnie z ustanowionymi standardami przeprowadzania audytu.
Nowa technologia komunikacji, szczeg贸lnie Internet, zwi臋kszy艂a zapotrzebowanie na niezawodno艣膰 sieci, nie rozwi膮za艂o to jednak problem贸w - wynika z raportu. Og贸lnie, badane agencje osi膮gn臋艂y bardzo s艂abe wyniki: wi臋kszo艣膰 z nich nie posiada艂a wymaganej dokumentacji lub nie ustanowi艂a niezb臋dnych praktyk. Zaniedbywano istotne elementy bezpiecze艅stwa i nie przeprowadzano test贸w dotycz膮cych ryzyka. W sze艣ciu szczeg贸艂owo zbadanych agencjach, 偶aden z 30 system贸w IT nie zosta艂 poddany w艂a艣ciwym testom okresowym, a stosowane metody i praktyki zosta艂y ocenione jako nieadekwatne. Powsta艂y w膮tpliwo艣ci co do ich og贸lnego bezpiecze艅stwa. Z 30 system贸w poddanych audytowi 28 posiada艂o niewystarczaj膮c膮 dokumentacj臋 dotycz膮c膮 testowania, a w przypadku 24 system贸w kontrole bezpiecze艅stwa nie zosta艂y w艂a艣ciwie przetestowane.
To oznacza, 偶e mimo nag艂o艣nienia kwestii bezpiecze艅stwa IT, szczeg贸lnie w agencjach federalnych, w przysz艂o艣ci nale偶y liczy膰 si臋 z wyst臋powaniem incydent贸w naruszenia bezpiecze艅stwa sieci, utraty danych czy kradzie偶y to偶samo艣ci. W celu zwi臋kszenia bezpiecze艅stwa GOA zaleci艂 wprowadzenie i realizacj臋 program贸w dotycz膮cych testowania, kt贸re podlega艂yby zwi臋kszonemu nadzorowi rz膮dowemu. Office of Management and Budget, kt贸ry wed艂ug autor贸w raportu powinien zaj膮膰 si臋 przygotowaniem nowych wytycznych, zgodzi艂 si臋 rozwa偶y膰 te nowe propozycje.
殴r贸d艂o: GAO ReportGCN |