- IČO
- 00151866
- Sídlo
- Pribinova 2, 81272 Bratislava-Staré Mesto
- Kontrolované obdobie
- roky 2014 - 2015
- Termín kontroly
- 15.06.2015 - 14.08.2016
- Stav kontroly
- Ukončená
Zistenia
Správa o stave bezpečnosti informačného systému IZS nebola vypracovaná bezpečnostným manažérom.
Ministerstvo vnútra SR (ako prevádzkovateľ informačného systému, v ktorom spracúva osobné údaje) nedalo v zmysle § 76 ods. 1 zákona č. 122/2013 Z. z. o ochrane osobných údajov do šiestich mesiacov odo dňa účinnosti uvedeného zákona do súladu evidenciu informačného systému IZS s týmto zákonom, nakoľko prevádzkovateľ mal uviesť do súladu so zákonom č. 122/2013 Z. z. o ochrane osobných údajov do šiestich mesiacov odo dňa jeho účinnosti všetky informačné systémy, v ktorých spracúva osobné údaje.
Neboli predložené poučenia oprávnených osôb, ktoré bolo potrebné vykonať v zmysle § 76 ods. 3 do šiestich mesiacov odo dňa účinnosti zákona č. 122/2013 Z. z. o ochrane osobných údajov.
V predložených poučeniach oprávnených osôb boli identifikované formálne nedostatky ako je napr. chýbajúci dátum poučenia, čím nebolo možné určiť od kedy sa fyzická osoba stáva oprávnenou osobou.
Závery vyplývajúce z bezpečnostného zámeru a analýzy bezpečnosti informačného systému IZS formou bezpečnostných smerníc obsiahnutých v predloženom bezpečnostnom projekte neboli dostupné pre oprávnené osoby, ktoré prichádzajú do styku s osobnými údajmi v súlade s poučením v zmysle § 21 zákona č. 122/2013 Z. z. ochrane osobných údajov
MV SR nemal poverenú zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov v informačnom systéme IZS.
Ministerstvo vnútra SR (ako prevádzkovateľ informačného systému, v ktorom spracúva osobné údaje) nesplnilo povinnosť v súlade s § 33 zákona č. 122/2013 Z. z. o ochrane osobných údajov, kde je ustanovená povinnosť oznámiť Úradu na ochranu osobných údajov SR informačné systémy, požiadať Úradu na ochranu osobných údajov SR o osobitnú registráciu informačných systémov alebo viesť o informačných systémoch evidenciu v rozsahu a za podmienok ustanovených zákonom č. 122/2013 Z. z. o ochrane osobných údajov.
Neboli dostatočne prijaté bezpečnostné opatrenia v zmysle § 19 zákona č. 122/2013 Z. z. o ochrane osobných údajov a vyhlášky Úradu na ochranu osobných údajov SR č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení v znení vyhlášky č. 117/2014 Z. z. nakoľko neboli uplatňované bezpečnostné smernice obsiahnuté v bezpečnostnom projekte.
V súlade so schváleným NMV SR o IS IZS nebol vykonaný prvotný audit informačnej bezpečnosti IS IZS a nebola zabezpečená periodicitu vykonávania následných auditov informačnej bezpečnosti IS IZS v súlade s bezpečnostnou politikou Ministerstva vnútra SR na úseku informačných systémov.
Na základe výsledkov auditu informačnej bezpečnosti IS IZS:
- neboli definované podmienky udelenia privilegovaných prístupových oprávnení a následne deaktivovať neoprávnené privilegovane prístupové oprávnenia osôb, ktoré sú nad rámec Servisnej zmluvy k IS Systému podpory,
- neboli vykonané organizačné a technické opatrenia na zamedzenie prístupu tretích strán ku všetkým údajom v IS IZS.
Zmluva o poskytovaní servisných služieb číslo zmluvy: SE-OVO1-2015/0000491 neobsahovala bezpečnostné požiadavky na poskytované servisné služby.
V čase od 01.07.2015 do 10.09.2015 nebola zabezpečená plynulá, bezpečná a spoľahlivá prevádzka Systému podpory, ktorý je v správe Ministerstva vnútra SR, vrátane jeho organizačného, odborného a technického zabezpečenia.