Share This
Связаться со мной
Крути в низ
Categories
//96% госсайтов не соответствуют требованиям НПА по информационной безопасности

96% госсайтов не соответствуют требованиям НПА по информационной безопасности

21.06.2021Category : My Habr

96 gossajtov ne sootvetstvujut trebovanijam npa po informacionnoj bezopasnosti bd420cf - 96% госсайтов не соответствуют требованиям НПА по информационной безопасности

ОД «Информация для всех» опубликовало результаты очередного исследования уровня информационной безопасности сайтов государственных органов Российской Федерации, проведенного в рамках проекта «Монитор госсайтов». Исследование охватило 83 сайта всех федеральных органов законодательной, исполнительной и судебной власти, а также государственных органов Российской Федерации.

Согласно выпущенному по результатам исследования докладу «Информационная безопасность сайтов государственных органов Российской Федерации: ненормативные результаты», 96% исследованных сайтов не соответствуют тем или иным требованиям нормативно-правовых актов (НПА).

Сайты 3 госорганов не соответствуют требованиям, установленным законом к официальным сайтам государственных органов. 15% федеральных органов исполнительной власти (ФОИВ) игнорируют нормативное требование, предписывающее обеспечивать защищенное соединение своих сайтов с их посетителями. 75% сайтов ФОИВ загружают не контролируемый ими сторонний код, а на 64% размещен код счетчиков посещений, не зарегистрированных в едином реестре российских программ для ЭВМ.

Большинство сайтов госорганов продолжают оставаться «проходным двором», не обеспечивая своим посетителям приемлемый уровень защищенности соединения и не контролируя загрузку на свои страницы кода третьих лиц, большинство из которых являются иностранными компаниями, – отметил координатор проекта «Монитор госсайтов» Евгений Альтовский, – Одним из результатов такой безалаберности стала серия кибератак на ФОИВ, выявленная в прошлом году Национальным координационным центром по компьютерным инцидентам.

В ходе исследования выяснилось, что МВД и Управделами Президента так и не удосужились выполнить требования закона к официальным сайтам государственных органов, оставив право администрирования соответствующих доменных имен за подведомственными госпредприятиями. Администратором доменного имени сайта Минобороны числится некий «Центр (финансирования специальных программ)», ликвидированный ФНС еще в 2018 году по основаниям, с которыми обычно ликвидируют «налоговые ямы» – в связи с отсутствием признаков хозяйственной деятельности и непредставлением налоговой отчетности. Таким образом, регистрация доменного имени mil.ru должна быть вовсе аннулирована согласно «Правилам регистрации доменных имен в доменах .RU и.РФ».

Среди Требований к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти – обеспечение этими сайтами шифрования и защиты передаваемой информации, однако 15% сайтов ФОИВ игнорируют его, это сайты Правительства, Главного управления специальных программ Президента, СВР, ФСБ, ФСО, ФСВТС, Рособрнадзора, Росжелдора, Рослесхоза, Росморречфлота, ФАДН и Росрыболовства.

Защищенное соединение не поддерживается также на сайтах Президента, Совфеда, Госдумы, Конституционного суда, ФОМС и ЦИК, а если говорить не о формальной поддержке протокола HTTPS, а реальной защите соединения, то ее обеспечивают лишь 9% исследованных госсайтов.

Лишь 8% госсайтов не загружают ресурсы со сторонних хостов, при этом 58% госсайтов загружают ресурсы с хостов, контролируемых иностранными организациями, что противоречит законодательной норме о размещении технических средств информационных систем, используемых госорганами, на территории России.

Любовь к «бесплатному» постороннему коду и «аналитике» доходит порой до курьезов. Так на сайте Главного управления специальных программ Президента установлен счетчик OpenStat, который уже три года не подает признаков жизни, а на сайте Пенсионного фонда – счетчик SpyLog, не существующий уже более 10 лет. Однако в лидеры по количеству загружаемых счетчиков в этом году вышла Росаккредитация, на чьем сайте их оказалось сразу 7, причем 3 их них загружаются без ведома администратора сайта.

Согласно Требованиям к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти, на этих сайтах допускается применение программного кода «счетчика посещений», сведения о котором включены в единый реестр российских программ для ЭВМ и баз данных. Как показали результаты исследования, большинство ФОИВ данное требование игнорируют и пользуются «неуставными» счетчиками.

Несмотря на масштаб выявленных проблем и их количество, проблема несоответствия подавляющего большинства госсайтов требованиям НПА не была даже обозначена Минэкономразвития в прошлогоднем отчете «О результатах мониторинга официальных государственных сайтов».

Полученные нами результаты могут успокоить алармистов, видящих в стремлении государства взять под контроль национальный сегмент сети Интернет лишь намерение построить «суверенный Чебурнет», – отметил Альтовский, – даже сами государственные органы в большинстве случаев игнорируют требования соответствующих нормативно-правовых актов. Поэтому наш новый доклад и получил подзаголовок «ненормативные результаты».

  • 3 views
  • 0 Comment

Leave a Reply

Ваш адрес email не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Свежие комментарии

    Рубрики

    About Author 01.

    blank
    Roman Spiridonov

    Моя специальность - Back-end Developer, Software Engineer Python. Мне 39 лет, я работаю в области информационных технологий более 5 лет. Опыт программирования на Python более 3 лет. На Django более 2 лет.

    Categories 05.

    © Speccy 2022 / All rights reserved

    Связаться со мной
    Close