Информационной безопасности NASA поставили «двойку»

Информационная безопасность Национального управления по аэронавтике и исследованию космического пространства США оставляет желать лучшего. К такому выводу пришли специалисты Управления генерального инспектора NASA по результатам недавней проверки. Аудиторы раскритиковали персонал NASA за «несвоевременное проведение контрольной оценки информационной безопасности». По их словам, это может свидетельствовать о «недостатке контроля и потенциальных угрозах операциям NASA, способных подорвать возможность управления защищать конфиденциальность, целостность и доступность своих данных, систем и сетей». «Уже второй год подряд мы оцениваем программу кибербезопасности NASA в целом на Уровне 2 (Определенная), что не соответствует требуемому Административно-бюджетным управлением Уровню 4 (Управляемая и измеримая), которому должны соответствовать программы кибербезопасности, чтобы считаться эффективными», – говорится в письме помощника генерального инспектора по аудиту Джима Моррисона (Jim Morrison). Аудиторы выразили обеспокоенность по двум аспектам. Во-первых, планы NASA по обеспечению безопасности информационных систем содержат неполные и неточные данные, а во-вторых, контрольная оценка не проводится на регулярной основе. По системе оценивания программы кибербезопасности Управления генерального инспектора, Уровень 2 означает, что «политики, процедуры и стратегии формализованы и документированы, но не всегда реализуются». В свою очередь, уровень 4 означает, что правительственное учреждение имеет «количественные и качественные показатели эффективности политик, процедур и стратегий, собираемые по всей организации и используемые для оценки и внесения необходимых коррективов». Напомним, в начале нынешнего года стало известно об утечке данных сотрудников NASA, возникшей из-за ошибки в настройках системы отслеживания ошибок и управления проектами Jira.