Сайты госорганов субъектов РФ проверили на соответствие требованиям ИБ

02.12.2024 |

Владимир Кораблёв.

Сайты госорганов субъектов РФ проверили на соответствие требованиям ИБ

Эксперты общественного движения «Информация для всех» в рамках проекта «Монитор госсайтов – 2024» проанализировали 175 официальных сайтов высших коллегиальных органов исполнительной (правительство, администрации) и законодательной (думы, советы депутатов) власти всех субъектов Российской Федерации, включая регионы, недавно вошедшие в состав страны.

По результатам этого исследования аналитики представили доклад «Информационная безопасность сайтов государственных органов субъектов федерации», посвященный анализу уровня информационной безопасности сайтов госорганов.

Оценка сайтов происходит на основе трех ключевых принципов: достоверности (соответствия сайтов нормативным требованиям, подтверждающим их статус официальных ресурсов государственных органов), конфиденциальности (защиты соединений между сайтом и его посетителями от перехвата данных) и целостности (возможностям предотвращения несанкционированного изменения или утечки размещенной информации).

В рамках проекта были разработаны две специализированные методики для оценки соответствия сайтов требованиям информационной безопасности.

Индекс надежности HTTPS (IFA GM HRI) – показатель уровня поддержки расширения протокола HTTPS, который обеспечивает шифрование соединения с пользовательскими агентами, минимизируя риск перехвата данных.

Индекс защищенности от XSS (IFA GM XSSRI) – методика, предназначенная для оценки мер, предотвращающих внедрение стороннего контента или кода на сайт, что критично для защиты пользователей и их данных.

Достоверность под вопросом: официальные сайты вне зоны gov.ru

Согласно нормативным требованиям, сайты госорганов должны обеспечивать достоверность (точность и соответствие действительности), актуальность (своевременное обновление данных) и доступность (возможность получения всеми категориями пользователей) распространяемой информации.

Исследование выявило, что 89% сайтов госорганов размещены вне доменной зоны gov.ru, что делает их уязвимыми для фишинговых атак. Так, в 2024 году была зафиксирована кампания по распространению вредоносного ПО через сайт-двойник, имитирующий официальный ресурс правительства. Кроме того, не все регионы соответствуют требованиям: в новых субъектах официальные сайты отсутствуют в половине случаев.

Конфиденциальность: защита соединения улучшилась

Шифрованное соединение (HTTPS) играет ключевую роль в защите данных пользователей. По результатам исследования, число защищенных сайтов выросло. Для оценки защищенности соединения рассчитывался индекс надежности HTTPS.

Эксперты отметили, что в 2024 году наблюдается существенное улучшение уровня конфиденциальности на региональных госсайтах. Тем не менее, лишь треть исследованных региональных сайтов внедрили меры защиты, полностью соответствующие требованиям к конфиденциальности.

Семь ресурсов вошли в группу А (максимальное соответствие базовым, рекомендуемым и дополнительным критериям) по индексу надежности HTTPS: это сайты правительств и/или парламентов Липецкой, Челябинской и Волгоградской областей, Северной Осетии и Чувашии.

Сайты региональных органов власти – лидеры 2024 года по уровню защищенности HTTPS

Сайты региональных органов власти – лидеры 2024 года по уровню защищенности HTTPS
Источник: доклад «Информационная безопасность сайтов государственных органов субъектов федерации» общества «Информация для всех»

Целостность: защита данных и снижение использования сторонних хостов

Целостность сайтов государственных органов включает защиту от несанкционированного внедрения стороннего контента и кода, который может исказить информацию, опубликованную на сайте, или переданную посетителям, а также от утечки данных о посетителях к третьим сторонам, таким, как рекламные и аналитические системы.

Целостность данных на сайтах обеспечивается защитой от внедрения стороннего кода и утечек информации. Оценка защищенности основывалась на расчете индекса защищенности от XSS.

За год число обращений государственных сайтов к сторонним хостам сократилось на 34%, а среднее количество сторонних ресурсов на сайт уменьшилось с 5,6 до 3,7. Однако 45% сайтов продолжают использовать хосты из недружественных стран, что остается серьезной угрозой. Технические меры, такие, как заголовки X-Content-Type-Options и X-XSS-Protection, применяются лишь на части ресурсов.

Общие выводы и рекомендации

Сайты региональных госорганов за последний год показали значительный прогресс в области информационной безопасности, опередив федеральные ресурсы. Средний рейтинг региональных сайтов превысил минимально допустимый уровень, но 59% ресурсов всё еще только формально соблюдают требования. Продолжается использование иностранных технических средств, что ставит под угрозу целостность размещенных на этих ресурсах данных. Необходимы дополнительные меры для устранения этих проблем.

По результатам исследования были сформулированы соответствующие рекомендации, которые помогут руководителям и специалистам, ответственным за поддержание сайтов госорганов субъектов федерации, повысить уровень их информационной безопасности.

Подробно с докладом «Информационная безопасность сайтов государственных органов субъектов федерации», методиками исследования и выводами аналитиков можно ознакомиться по ссылке.