Аудит обнаружил заметные пробелы в управлении носителями информации ФБР

Аудит, проведенный Управлением генерального инспектора Министерства юстиции (OIG), выявил «существенные недостатки» в управлении инвентаризацией и утилизацией электронных носителей, содержащих конфиденциальную и секретную информацию, в ФБР.

В отчете говорится о многочисленных проблемах с политикой и процедурами или средствами контроля для отслеживания носителей информации, извлеченных из устройств, а также о значительных пробелах в физической безопасности в процессе уничтожения носителей.

ФБР признало наличие этих проблем и в настоящее время осуществляет корректирующие действия в соответствии с рекомендациями OIG.

Выводы OIG

Аудит OIG выявил ряд недостатков в процедурах управления инвентаризацией и утилизации электронных носителей, содержащих секретную, но несекретную информацию (SBU), а также секретную информацию по национальной безопасности (NSI).

Ниже приведены три основных вывода:

• ФБР не обеспечивает надлежащего отслеживания и учета электронных носителей информации, таких как внутренние жесткие диски и флешки, после их извлечения из больших устройств, что повышает риск потери или кражи этих носителей.
• ФБР не всегда маркирует электронные носители с указанием соответствующих уровней секретности (например, «Секретно», «Совершенно секретно»), что может привести к неправильному обращению или несанкционированному доступу к секретной информации.
• OIG также отметила недостаточный уровень физической безопасности на объекте ФБР, где происходит уничтожение носителей. Это включает в себя неадекватный внутренний контроль доступа, незащищенное хранение носителей, ожидающих уничтожения, и неработающие камеры наблюдения, что повышает риск компрометации секретной информации.

Рекомендации и ответ ФБР

OIG вынесла ФБР три конкретные рекомендации по решению выявленных проблем.

1. Пересмотреть процедуры, обеспечивающие надлежащий учет, отслеживание, своевременную дезинфекцию и уничтожение всех электронных носителей, содержащих секретную или конфиденциальную информацию, включая жесткие диски, извлеченные из компьютеров, подлежащих уничтожению.
2. Внедрить механизмы контроля, обеспечивающие маркировку электронных носителей информации соответствующими знаками классификации NSI в соответствии с применимой политикой и руководящими принципами.
3. Усилить контроль и практику физической защиты электронных носителей информации на объекте, чтобы предотвратить их потерю или кражу.

ФБР признало выводы аудита и заявило, что в настоящее время разрабатывает новую директиву под названием «Директива о физическом контроле и уничтожении засекреченных и чувствительных электронных устройств и материалов».

Ожидается, что эта новая политика позволит решить проблемы, выявленные при отслеживании носителей информации и их классификационной маркировке.

Кроме того, ФБР сообщило, что в настоящее время устанавливает защитные «клетки» для хранения носителей информации, которые будут находиться под видеонаблюдением.

OIG ожидает, что ФБР представит ей обновленную информацию о ходе выполнения корректирующих действий в течение 90 дней.