Trang Chủ
Bản báo cáo ghi nhận, FDIC đã thực hiện nhiều hoạt động kiểm soát bảo mật thông tin nhằm bảo vệ các yếu điểm trong hệ thống quản lý tài chính của mình. Tuy nhiên, FDIC vẫn còn nhiều hạn chế trong việc thực hiện tiếp cận, quản lý cấu hình và điều hành các chương trình bảo mật thông tin. Điều này đe dọa tính bảo mật, toàn vẹn và sẵn sàng ứng phó của cả hệ thống tài chính và thông tin.
Do vậy, FDIC cần có những hành động thiết thực hơn nữa để giải quyết những yếu kém trong khâu quản lý tiếp cận bao gồm cả giới hạn bảo vệ, các phương thức xác định và xác thực, quyền điều hành và kiểm soát quản lý cấu hình. Ví dụ, FDIC không tách biệt hệ thống quản lý tài chính với các hệ thống khác và có cơ chế phân quyền rõ ràng cho người sử dụng.
FDIC đã thiết lập một khuôn khổ toàn diện cho chương trình bảo mật thông tin của mình trên nhiều khía cạnh như: (1) xác định loại bảo mật cho các hệ thống hỗ trợ chung mà GAO đánh giá dựa vào mức độ rủi ro; (2) đánh giá nguy cơ từ sự thiếu hụt kiểm soát xác định được trong quá trình kiểm tra, kiểm soát an ninh và (3) tiến hành khắc phục thử nghiệm thảm họa hệ thống hỗ trợ chung và một số ứng dụng quan trọng khác. Trong số 21 nội dung về bảo mật thông tin GAO yêu cầu FDIC khắc phục từ lần kiểm toán trước đây, trong năm 2016, FDIC đã giải quyết được 15 vấn đề, trong khi 6 vấn đề vẫn đang trong quá trình xử lý.
Trong quá trình xem xét, GAO phát hiện có một nguyên nhân sâu xa cho tất cả những điểm yếu về bảo mật thông tin của FDIC là các chương trình không được hoàn thiện. Ví dụ, FDIC đã không: (1) tính tới những thông tin cần thiết trong thủ tục cấp quyền truy cập vào một ứng dụng tài chính quan trọng và (2) Văn phòng Tổng Thanh tra của FDIC thường xuyên không xác định cũng như báo cáo lại những sự cố bảo mật lớn một cách đầy đủ và kịp thời. Các thông tin nhạy cảm của FDIC về tài chính và các nguồn lực sẽ tiếp tục có nguy cơ vô tình hoặc cố ý bị lạm dụng, sửa đổi không đúng cách, tiết lộ trái phép hoặc bị tiêu hủy cho tới khi FDIC có bước đi cần thiết nhằm giải quyết những yếu kém còn tồn tại lâu nay.
GAO đề xuất FDIC nên có hành động cụ thể để thực hiện các chương trình bảo mật thông tin một cách toàn diện. Trong một bản báo cáo khác không được công bố rộng rãi, GAO đã đưa ra 06 kiến nghị với FDIC nhằm giải quyết các thiếu sót mới được xác định trong việc kiểm soát tiếp cận và quản lý cấu hình.
Bình luận về dự thảo báo cáo này, FDIC bày tỏ sự đồng tình với các kiến nghị của GAO và tuyên bố rằng sẽ có kế hoạch hành động hợp lý để thực hiện các kiến nghị này cho tới tháng 7.2017.
Văn phòng Thẩm định trách nhiệm Chính phủ (GAO) là cơ quan độc lập, trực thuộc Hạ Viện Mỹ. Đây là cánh tay đắc lực có nhiệm vụ kiểm toán, đánh giá và hỗ trợ Quốc hội trong việc đảm bảo việc tuân thủ Hiến pháp, giúp tăng cường hiệu quả minh bạch và trách nhiệm giải trình của Chính phủ liên bang cho người dân Mỹ. GAO tiến hành kiểm tra việc sử dụng công quỹ; đánh giá hiệu quả các chương trình và trình sách cấp liên bang; cung cấp các phân tích, kiến nghị và hỗ trợ khác để giúp Quốc hội đưa vào nghị quyết, chính sách, sửa đổi luật nếu cần thiết. GAO hành động với cam kết vì một chính phủ tốt được phản ánh trong giá trị cốt lõi của trách nhiệm giải trình, tính toàn vẹn và sự tin cậy.
Đ.T.T
Nguồn: https://www.gao.gov/products/GAO-17-436
.png)
