[Информационная безопасность, Администрирование доменных имен, Законодательство в IT] 96% госсайтов не соответствуют требованиям НПА по информационной безопасности
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
ОД «Информация для всех» опубликовало результаты очередного исследования уровня информационной безопасности сайтов государственных органов Российской Федерации, проведенного в рамках проекта «Монитор госсайтов». Исследование охватило 83 сайта всех федеральных органов законодательной, исполнительной и судебной власти, а также государственных органов Российской Федерации.
Согласно выпущенному по результатам исследования докладу «Информационная безопасность сайтов государственных органов Российской Федерации: ненормативные результаты», 96% исследованных сайтов не соответствуют тем или иным требованиям нормативно-правовых актов (НПА).
Сайты 3 госорганов не соответствуют требованиям, установленным законом к официальным сайтам государственных органов. 15% федеральных органов исполнительной власти (ФОИВ) игнорируют нормативное требование, предписывающее обеспечивать защищенное соединение своих сайтов с их посетителями. 75% сайтов ФОИВ загружают не контролируемый ими сторонний код, а на 64% размещен код счетчиков посещений, не зарегистрированных в едином реестре российских программ для ЭВМ.
Большинство сайтов госорганов продолжают оставаться «проходным двором», не обеспечивая своим посетителям приемлемый уровень защищенности соединения и не контролируя загрузку на свои страницы кода третьих лиц, большинство из которых являются иностранными компаниями, – отметил координатор проекта «Монитор госсайтов» Евгений Альтовский, – Одним из результатов такой безалаберности стала серия кибератак на ФОИВ, выявленная в прошлом году Национальным координационным центром по компьютерным инцидентам.
В ходе исследования выяснилось, что МВД и Управделами Президента так и не удосужились выполнить требования закона к официальным сайтам государственных органов, оставив право администрирования соответствующих доменных имен за подведомственными госпредприятиями. Администратором доменного имени сайта Минобороны числится некий «Центр (финансирования специальных программ)», ликвидированный ФНС еще в 2018 году по основаниям, с которыми обычно ликвидируют «налоговые ямы» – в связи с отсутствием признаков хозяйственной деятельности и непредставлением налоговой отчетности. Таким образом, регистрация доменного имени mil.ru должна быть вовсе аннулирована согласно «Правилам регистрации доменных имен в доменах .RU и.РФ».
Среди Требований к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти – обеспечение этими сайтами шифрования и защиты передаваемой информации, однако 15% сайтов ФОИВ игнорируют его, это сайты Правительства, Главного управления специальных программ Президента, СВР, ФСБ, ФСО, ФСВТС, Рособрнадзора, Росжелдора, Рослесхоза, Росморречфлота, ФАДН и Росрыболовства.
Защищенное соединение не поддерживается также на сайтах Президента, Совфеда, Госдумы, Конституционного суда, ФОМС и ЦИК, а если говорить не о формальной поддержке протокола HTTPS, а реальной защите соединения, то ее обеспечивают лишь 9% исследованных госсайтов.
Лишь 8% госсайтов не загружают ресурсы со сторонних хостов, при этом 58% госсайтов загружают ресурсы с хостов, контролируемых иностранными организациями, что противоречит законодательной норме о размещении технических средств информационных систем, используемых госорганами, на территории России.
Любовь к «бесплатному» постороннему коду и «аналитике» доходит порой до курьезов. Так на сайте Главного управления специальных программ Президента установлен счетчик OpenStat, который уже три года не подает признаков жизни, а на сайте Пенсионного фонда – счетчик SpyLog, не существующий уже более 10 лет. Однако в лидеры по количеству загружаемых счетчиков в этом году вышла Росаккредитация, на чьем сайте их оказалось сразу 7, причем 3 их них загружаются без ведома администратора сайта.
Согласно Требованиям к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти, на этих сайтах допускается применение программного кода «счетчика посещений», сведения о котором включены в единый реестр российских программ для ЭВМ и баз данных. Как показали результаты исследования, большинство ФОИВ данное требование игнорируют и пользуются «неуставными» счетчиками.
Несмотря на масштаб выявленных проблем и их количество, проблема несоответствия подавляющего большинства госсайтов требованиям НПА не была даже обозначена Минэкономразвития в прошлогоднем отчете «О результатах мониторинга официальных государственных сайтов».
Полученные нами результаты могут успокоить алармистов, видящих в стремлении государства взять под контроль национальный сегмент сети Интернет лишь намерение построить «суверенный Чебурнет», – отметил Альтовский, – даже сами государственные органы в большинстве случаев игнорируют требования соответствующих нормативно-правовых актов. Поэтому наш новый доклад и получил подзаголовок «ненормативные результаты».
===========
Источник:
habr.com
===========
Похожие новости:
- [Разработка веб-сайтов, TypeScript] Карманная книга по TypeScript. Часть 8. Модули (перевод)
- [Разработка веб-сайтов, JavaScript] Идеальный инструмент для создания прогрессивных веб-приложений или Все, что вы хотели знать о Workbox. Часть 1
- [Высокая производительность, Разработка веб-сайтов, MySQL, Go, Big Data] Как мы весь интернет сканировали
- [Законодательство в IT, Облачные сервисы, Финансы в IT, Звук] Стимул для изменений: как борьба с «яблочниками» отразилась на крупнейшей стриминговой платформе
- [Информационная безопасность, Читальный зал, История IT] Имя им — легион. Самые громкие акции Anonymous
- [Законодательство в IT, Софт, IT-компании] Microsoft подтвердила достоверность утекшего образа Windows 11 и выдала запрос на удаление по DMCA
- [Информационная безопасность] Дешифрация протокола Орион Bolid
- [Хостинг, Информационная безопасность, Хранение данных, Сотовая связь] Операторы связи получили отсрочку для выполнения требования по хранению трафика
- [Разработка веб-сайтов, Программирование, Haskell, Функциональное программирование] Создаем веб-приложение на Haskell с использованием Reflex. Часть 4
- [Законодательство в IT, Гаджеты, Мультикоптеры] В Европу со своим дроном
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_administrirovanie_domennyh_imen (Администрирование доменных имен), #_zakonodatelstvo_v_it (Законодательство в IT), #_sajt (сайт), #_xss, #_utechka_dannyh (утечка данных), #_gosudarstvennye_sajty (государственные сайты), #_bezopasnost_sajtov (безопасность сайтов), #_dostup_k_informatsii (доступ к информации), #_gosudarstvennye_organy (государственные органы), #_domennye_imena (доменные имена), #_zakonodatelstvo (законодательство), #_https, #_ssl_sertifikaty (ssl сертификаты), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_administrirovanie_domennyh_imen (
Администрирование доменных имен
), #_zakonodatelstvo_v_it (
Законодательство в IT
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Май 17:03
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
 ОД «Информация для всех» опубликовало результаты очередного исследования уровня информационной безопасности сайтов государственных органов Российской Федерации, проведенного в рамках проекта «Монитор госсайтов». Исследование охватило 83 сайта всех федеральных органов законодательной, исполнительной и судебной власти, а также государственных органов Российской Федерации. Согласно выпущенному по результатам исследования докладу «Информационная безопасность сайтов государственных органов Российской Федерации: ненормативные результаты», 96% исследованных сайтов не соответствуют тем или иным требованиям нормативно-правовых актов (НПА). Сайты 3 госорганов не соответствуют требованиям, установленным законом к официальным сайтам государственных органов. 15% федеральных органов исполнительной власти (ФОИВ) игнорируют нормативное требование, предписывающее обеспечивать защищенное соединение своих сайтов с их посетителями. 75% сайтов ФОИВ загружают не контролируемый ими сторонний код, а на 64% размещен код счетчиков посещений, не зарегистрированных в едином реестре российских программ для ЭВМ. Большинство сайтов госорганов продолжают оставаться «проходным двором», не обеспечивая своим посетителям приемлемый уровень защищенности соединения и не контролируя загрузку на свои страницы кода третьих лиц, большинство из которых являются иностранными компаниями, – отметил координатор проекта «Монитор госсайтов» Евгений Альтовский, – Одним из результатов такой безалаберности стала серия кибератак на ФОИВ, выявленная в прошлом году Национальным координационным центром по компьютерным инцидентам. В ходе исследования выяснилось, что МВД и Управделами Президента так и не удосужились выполнить требования закона к официальным сайтам государственных органов, оставив право администрирования соответствующих доменных имен за подведомственными госпредприятиями. Администратором доменного имени сайта Минобороны числится некий «Центр (финансирования специальных программ)», ликвидированный ФНС еще в 2018 году по основаниям, с которыми обычно ликвидируют «налоговые ямы» – в связи с отсутствием признаков хозяйственной деятельности и непредставлением налоговой отчетности. Таким образом, регистрация доменного имени mil.ru должна быть вовсе аннулирована согласно «Правилам регистрации доменных имен в доменах .RU и.РФ». Среди Требований к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти – обеспечение этими сайтами шифрования и защиты передаваемой информации, однако 15% сайтов ФОИВ игнорируют его, это сайты Правительства, Главного управления специальных программ Президента, СВР, ФСБ, ФСО, ФСВТС, Рособрнадзора, Росжелдора, Рослесхоза, Росморречфлота, ФАДН и Росрыболовства. Защищенное соединение не поддерживается также на сайтах Президента, Совфеда, Госдумы, Конституционного суда, ФОМС и ЦИК, а если говорить не о формальной поддержке протокола HTTPS, а реальной защите соединения, то ее обеспечивают лишь 9% исследованных госсайтов. Лишь 8% госсайтов не загружают ресурсы со сторонних хостов, при этом 58% госсайтов загружают ресурсы с хостов, контролируемых иностранными организациями, что противоречит законодательной норме о размещении технических средств информационных систем, используемых госорганами, на территории России. Любовь к «бесплатному» постороннему коду и «аналитике» доходит порой до курьезов. Так на сайте Главного управления специальных программ Президента установлен счетчик OpenStat, который уже три года не подает признаков жизни, а на сайте Пенсионного фонда – счетчик SpyLog, не существующий уже более 10 лет. Однако в лидеры по количеству загружаемых счетчиков в этом году вышла Росаккредитация, на чьем сайте их оказалось сразу 7, причем 3 их них загружаются без ведома администратора сайта. Согласно Требованиям к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти, на этих сайтах допускается применение программного кода «счетчика посещений», сведения о котором включены в единый реестр российских программ для ЭВМ и баз данных. Как показали результаты исследования, большинство ФОИВ данное требование игнорируют и пользуются «неуставными» счетчиками. Несмотря на масштаб выявленных проблем и их количество, проблема несоответствия подавляющего большинства госсайтов требованиям НПА не была даже обозначена Минэкономразвития в прошлогоднем отчете «О результатах мониторинга официальных государственных сайтов». Полученные нами результаты могут успокоить алармистов, видящих в стремлении государства взять под контроль национальный сегмент сети Интернет лишь намерение построить «суверенный Чебурнет», – отметил Альтовский, – даже сами государственные органы в большинстве случаев игнорируют требования соответствующих нормативно-правовых актов. Поэтому наш новый доклад и получил подзаголовок «ненормативные результаты». =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_administrirovanie_domennyh_imen ( Администрирование доменных имен ), #_zakonodatelstvo_v_it ( Законодательство в IT ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Май 17:03
Часовой пояс: UTC + 5