Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

Ilmārs Poikāns, Juris Pūce, Māris Andžāns par valsts IS drošību

Kategorija: cert.lv + Datu drošība + Juridiskie aspekti + Kritiskā Infrastruktūra + SM

Tagad darbu sākusi jauna iestāde, kam būs jārūpējas par notiekošo IT telpā. Tāpat ir arī beidzot pieņemts likums par informācijas tehnoloģiju drošību, kas liek pamatu sistēmas veidošanai valstī. Arī pēc jaunā likuma atbildīgais par informācijas sargāšanu ir attiecīgās iestādes vadītājs, kuras rīcībā ir šie dati. Informācijas drošības speciālisti gan atzīst, ka pašlaik daudz uzmanības velta tam, kā datus aizsargāt no ārējiem draudiem. Tomēr ne mazāk bīstami ir arī paši valsts iestāžu darbinieki, kuri nezināšanas vai ļaunprātības dēļ šos datus izmanto nelikumīgi.

Ilmārs Poikāns: “Valsts iztērēja diezgan daudz naudas papildus drošības auditiem, tad mēs arī redzēsim vai tas ir devis kādu pozitīvu rezultātu vai nav. Konkrēti es neesmu pārbaudījis neko, nevienu citu IT sistēmu vai tur ir caurumi vai nav.

Rodas maldīgs priekšstats, ka Ilmārs Poikāns būtu ielaušanās testēšanas speciālists.

Juris Pūce: “Problēma ir tā, ka liela daļa organizāciju vispār pat nedomā par šiem riskiem. Tas veids kā viņi šos riskus pārvalda ir vienkārši šos riskus ignorē.”

Te nu gan ir taisnība.

Māris Andžāns: “Lai definētu kritisko infrastruktūru, lai valsts pasaka, kas ir tie IT resursi resursi, kas ir jāizsargā. (Un tie ir?). Tā gan nebūs publiska informācija, bet ir svarīgi, ka ir šī sistēma izveidota ar jauno likumu. Ir jaunā institūcija, kas ir šis te palīgs un uzraugs vienlaikus, ir visām valsts un pašvaldību iestādēm minimālās drošības prasības noteiktas, kas nebija līdz tam. Tas attiecās tikai uz ierobežotu skaitu sistēmu un arī uzraudzība nebija pilnīga, ko šis te gadījums ar Neo arī pierādīja”.

Dažas lietas. Minimālās drošības prasības par “IT auditu vismaz reizi gadā”  un “reizi gadā apmeklēt izglītojošu semināru”  nav nopietnas. Labs minimālo prasību piemērs ir MK noteikumiem par drošības prasībām kritiskajām VIS un savietotājiem, kur, piemēram, nepārprotami atrunāts rezerves kopiju veikšanas biežums un uzglabāšanas ilgums. Kas attiecas uz uzraudzību, tad uzraudzību veiks CERT.LV. Ir diezgan grūti iedomāties, kā 5 tehniskie cilvēki no 10 cilvēku komandas spēs tikt galā ar visiem pienākumiem, ko uzliek IT drošības likums.

Avoti:
Latvijas Radio: http://www.latvijasradio.lv/zinas/35446.htm

Tagged: » »

2011-02-14  »  edgars

Re: Ilmārs Poikāns, Juris Pūce, Māris Andžāns par valsts IS drošību







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>