Sự tuân thủ an toàn CNTT của các cơ quan của Nauy 'trên trung bình'
- Thứ năm - 07/05/2015 06:12
- In ra
- Đóng cửa sổ này
IT security compliance of Norway’s public agencies ‘above average’
Submitted by Gijs Hillenius on April 30, 2015
Bài được đưa lên Internet ngày: 30/04/2015
Sự tuân thủ của 'các cơ quan hành chính nhà nước' Nauy với các qui định và chính sách an toàn CNTT là trên trung bình, theo một nghiên cứu được tiến hành nhân danh DIFI, Cơ quan Quản lý Nhà nước và CPĐT của Nauy. Báo cáo dựa vào khảo sát tình trạng an toàn phần mềm ở 20 tổ chức. Tuy nhiên, báo cáo cảnh báo rằng ít cơ quan nhà nước có một chiến lược toàn diện về an toàn CNTT.
Direktoratet for forvaltning og IKT (DIFI) của Nauy đã xuất bản một báo cáo trên website của mình hôm 14/04. Nghiên cứu của Sintef, một hãng nghiên cứu của Nauy, sử dụng việc Xây dựng An toàn trong Mô hình Độ chín - BSIMM (Building Security in Maturity Model), một bộ sưu tập các phần mềm thực tiễn an toàn tốt nhất, để kiểm tra cách mà các cơ quan hành chính nhà nước Nauy xử trí với các mối đe dọa an toàn CNTT. Như từng được kỳ vọng, các cơ quan hành chính nhà nước là tốt trong việc tuân thủ các luật, qui định và chỉ dẫn, Sintef viết. Tuy nhiên, các nhà nghiên cứu đã phát hiện sự khác nhau rộng lớn giữa các cơ quan hành chính nhà nước, với việc đã triển khai tốt nhất 87 trong số 112 thực tiễn tốt nhất của BSIMM, và tệ nhất chỉ có 9.
Hơn nữa, về chiến lược cho an toàn CNTT, kiểm thử có hệ thống các vấn đề và khả năng dò tìm các cuộc tấn công, họ là “tệ hơn đáng kể” (so với trung bình), Sintef viết. Hãng nghiên cứu cũng đã lưu ý rằng có chỗ cho sự cải thiện trong huấn luyện. “Các cơ quan hành chính nhà nước không chuẩn bị thường xuyên các vấn đề an toàn của phần mềm, không thể đo đếm tác động mà điều này có lên các dịch vụ và không làm việc có hệ thống để nhận diện và hiểu được rủi ro”.
Khi nói về an toàn phần mềm, các cơ quan hành chính nhà nước phụ thuộc vào các lợi ích và sự tinh thông của các lập trình viên của họ, Sintef lưu ý. “Có các chỉ số mạnh rằng vẫn còn một sự phân biệt giữa 'các lập trình viên' và 'các chuyên gia an toàn CNTT'; và quá nhiều lập trình viên dường như nghĩ an toàn thông tin là một nhiệm vụ của các nhà quản trị CNTT”.
Norway’s public administrations’ compliance with IT security rules and policies is above average, according to a study conducted on behalf of DIFI, Norway’s Agency for Public Management and eGovernment. The report is based on a survey of the state of software security in 20 government organisations. However, the report warns that few public administrations have a comprehensive IT security strategy.
Norway’s Direktoratet for forvaltning og IKT (DIFI) published the report on its website on 14 April.
The study by Sintef, a Norwegian research firm, uses the Building Security in Maturity Model (BSIMM), a collection of software security best practices, to check how Norway’s public administrations handle IT security threats. As was to be expected, the public administrations are good at complying with laws, rules and guidelines, Sintef writes. However, the researchers found wide variation between public administrations, with the best having implemented 87 of BSIMM’s 112 best practices, and the worst just 9.
Furthermore, with regards to their strategy for IT security, systematic testing for problems and the ability to deflect attacks, they are “considerably worse” (than average), Sintef warned. The research firm also noted that there is room for improvement in training. “Public administrations do not routinely prepare for software security issues, cannot measure the impact this will have on their services and do not work systematically to identify and understand the risks.”
When it comes to software security, the public administrations depend on the interests and expertise of their developers, Sintef notes. “There are strong indications that there is still a distinction between ‘developers’ and ‘IT security specialists’; and too many developers seem to think IT security is a task for the IT administrators.
Dịch: Lê Trung Nghĩa