- IČO
- 00164381
- Sídlo
- Stromová 1, 81330 Bratislava-Staré Mesto
- Kontrolované obdobie
- Rok 2011 a 2012
- Termín kontroly
- 12.02.2012 - 29.03.2012
- Stav kontroly
- Ukončená
Zistenia
Kontrolou bolo zistené, že Smernica o účtovaní a odpisovaní majetku účinná v kontrolovanom období a „Používateľská príručka modulu FI – AA ekonomického informačného systému (EIS) MF SR“ nezabezpečovali dostatočne vnútroorganizačnú úpravu postupov hospodárenia a nakladania s majetkom štátu v podmienkach MŠVVaŠ SR.
Neuvedením porovnania skutočného stavu so stavom v účtovníctve, názvu a sídla účtovnej jednotky nebolo vyhotovenie inventarizačných zápisov v súlade s ustanovením § 30 ods. 3 zákona č. 431/2002 Z. z. o účtovníctve v znení neskorších predpisov (ďalej len „zákon o účtovníctve“), podľa ktorého sa stav majetku, záväzkov, rozdielu majetku a záväzkov v inventúrnych súpisoch porovnáva so stavom majetku, záväzkov a rozdielu majetku a záväzkov v účtovníctve a výsledky porovnania sa uvedú v inventarizačnom zápise. Inventarizačný zápis je účtovný záznam, ktorým sa preukazuje vecná správnosť účtovníctva a ktorý musí obsahovať a) obchodné meno alebo názov účtovnej jednotky, sídlo, b) výsledky vyplývajúce z porovnania skutočného stavu majetku, záväzkov a rozdielu majetku a záväzkov s účtovným stavom.
Kontrolou bolo zistené, že dokladová inventarizácia k 31.12.2011 nebola prevedená v rozsahu požadovanom zákonom. MŠVVaŠ SR nepreukázalo overenie dokladov preukazujúcich zostatok pri všetkých položkách majetku, ktoré nemali hmotnú podstatu. MŠVVaŠ SR nepreukázalo inventarizáciu rozdielu majetku a záväzkov t. j. účtov vlastného imania. Inventarizáciou ku dňu zostavenia závierky účtovná jednotka neoverila, či stav rozdielu majetku a záväzkov v účtovníctve zodpovedá skutočnosti, čo nebolo v súlade s § 29 ods. 1 zákona o účtovníctve, podľa ktorého inventarizáciou overuje účtovná jednotka, či stav rozdielu majetku a záväzkov v účtovníctve zodpovedá skutočnosti.
MŠVVaŠ SR zaúčtovalo celkovú sumu faktúry na ťarchu účtu 518 – Ostatné služby. Uvedeným zaúčtovaním kontrolovaný subjekt zaťažil nákladmi len účtovné obdobie roku 2011 a nákladovo nerozčlenil fakturovanú sumu do období, s ktorými náklady časovo a vecne súviseli, čím nepostupovalo v súlade s ustanovením § 3 ods. 1 zákona o účtovníctve, podľa ktorého účtovná jednotka účtuje a vykazuje účtovné prípady v období, s ktorým časovo a vecne súvisia. Zároveň, tým že, alikvotnú časť nákladov súvisiacich s účtovným obdobím roku 2012 nerozčlenil, zaúčtovanie nebolo v súlade s ustanovením § 6 opatrenia MF/16786/2007-31, ktorým sa ustanovujú podrobnosti o postupoch účtovania a rámcovej účtovej osnove pre rozpočtové organizácie, príspevkové organizácie, štátne fondy, obce a vyššie územné celky v znení neskorších predpisov, podľa ktorého sa na účte 381 – Náklady budúcich období účtujú výdavky bežného účtovného obdobia, ktoré sa týkajú nákladov v budúcich obdobiach.
V súvislosti s uvedeným kontrolným zistením MŠVVaŠ SR nekonal v súlade s § 8 ods. 1 zákona o účtovníctve, podľa ktorého je účtovná jednotka povinná viesť účtovníctvo správne, úplne, preukázateľne a zrozumiteľne.
Kontrola preukázala nesúlad s § 16 ods. 1 a ods. 2 zákona o ochrane OÚ nakoľko Bezpečnostný projekt nevymedzoval rozsah a spôsob technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti a nebol spracovaný v súlade so základnými pravidlami bezpečnosti informačného systému vydanými bezpečnostnými štandardmi a všeobecne záväznými právnymi predpismi.
Kontrolou bolo zistené, že bezpečnostný projekt, v časti III. Bezpečnostný zámer bod. 3 Špecifikácia bezpečnostných opatrní neobsahoval aktualizované údaje o používaných operačných systémoch, neboli špecifikované technické, organizačné a personálne opatrenia na zabezpečenie ochrany údajov v DC RŠ. V Bezpečnostnom projekte v časti IV. Popis informačných systémov neboli uvedené všetky informačné systémy a automatizované informačné systémy (ďalej len „AIS“), v ktorých kontrolovaný subjekt spracúva osobné údaje. Nebol aktualizovaný popis AIS (operačný systém, politika hesiel, antivírusová ochrana).
Kontrolu bolo zistené, že Bezpečnostný projekt v časti III. Bezpečnostný zámer bod. 4 Vymedzenie okolia informačného systému neobsahoval vymedzenie okolia a jeho vzťah k možnému narušeniu bezpečnosti DC RŠ.
Taktiež bolo zistené, že Bezpečnostný projekt v časti V. Analýza rizík nebol aktualizovaný v častiach 2. Programované vybavenie, 3. Technické vybavenie, 7. Antivírusová ochrana. Ďalej nebol dostatočne detailne popísaný spôsob zálohovania a správy AIS. Pre DC RŠ nebola vypracovaná analýza rizík.
Kontrolou bolo zistené, že Bezpečnostný projekt nebol vypracovaný v súlade s platnými bezpečnostnými štandardami pre ISVS.
Kontrolnou skupinou bolo zistený nesúlad s § 3 ods. 4 písm. i) zákona o ISVS, nakoľko ISVS nevyhovoval štandardom uvedených vo výnose o štandardoch pre ISVS v nasledujúcich ustanovenia.
Kontrolou bolo zistené, že kontrolovaný subjekt nemal v bezpečnostnej politike zhodnotený súlad tejto politiky s platnými všeobecne záväznými právnymi predpismi, prijatými vnútornými predpismi a jej zmluvnými záväzkami. V bezpečnostnej politike nebol určený spôsob vedenia a aktualizácie dokumentácie o informačných systémoch verejnej správy.
Kontrola preukázala, že kontrolovaný subjekt nemal formalizovaný rozsah a úroveň ochrany všetkých používaných informačných systémov kontrolovaného subjektu a DC RŠ vrátane hodnotenia slabých miest a ohrození.
Kontrolou bolo zistené, že kontrolovaný subjekt nemal formalizovaný rámec pre manažment rizík pre DC RŠ.
Ďalej bolo zistené, že kontrolovaný subjekt nemal určený rozsah auditu informačnej bezpečnosti a určenie udalosti v ISVS, o ktorých sa vytvára záznam auditu.
Taktiež bolo zistené, že kontrolovaný subjekt nemal prijaté operačné smernice na zálohovanie a určené, ktoré skupiny údajov, a v akom rozsahu, akým spôsobom a s akou periodicitou sa zálohujú v prevádzkovej zálohe a archivačnej zálohe. Ďalej kontrolou bolo zistené, že kontrolovaný subjekt nemal určenú periodicitu monitorovania bezpečnosti a aktualizácie softvéru.
Kontrolou bolo zistené, že kontrolovaný subjekt nerevidoval bezpečnostnú politiku pravidelne raz ročne v zmysle prijatej bezpečnostnej politiky.
Kontrola preukázala, že kontrolovaný subjekt nemal určené bezpečnostné požiadavky a maticu nezlučiteľnosti pre správu systému, operátora, používateľa, audítora a programátora.
Kontrola preukázala, že kontrolovaný subjekt nemal vypracovaný postup pre disciplinárne konanie vo vzťahu k zamestnancovi alebo vo vzťahu k tretej strane, ktorí porušia bezpečnostnú politiku alebo niektorý zo súvisiacich predpisov.
Kontrola preukázala, že kontrolovaný subjekt nemal identifikované, analyzované a hodnotené riziká spojených s využívaním aktív a ISVS mimo priestorov povinnej osoby a stanovené postupy a opatrenia na redukciu týchto rizík.
Kontrolou bolo zistené, že kontrolovaný subjekt neprijal vnútroorganizačný predpis, ktorý by upravoval systém riadenia a monitorovania rizík v súvislosti s ISVS.
Kontrolou bolo zistené, že pre DC RŠ neboli analyzované riziká vyplávajúcich z hrozieb pre ISVS, od ktorých závisia kritické procesy. Pre DC RŠ neboli vypracované plány na obnovu činnosti nefunkčných, poškodených alebo zničených kritických ISVS.
Kontrolou bolo zistené, že kontrolovaný subjekt nevykonával audit informačnej bezpečnosti a nemal stanovený postup archivácie, ochrany a vyhodnocovania auditných správ (Príloha č. 2).
Kontrolou bolo zistené, že kontrolovaný subjekt neviedol evidenciu o všetkých miestach prepojenia sietí v jeho správe vrátane prepojení s externými sieťami.
Kontrolou fyzickej bezpečnosti bol zistený nevhodný stav priestorov s kritickými aktívami kontrolovaného subjektu, neboli vypracované pravidlá pre prácu v zabezpečenom priestore. Zároveň kontrolou bolo zistené, že záložné kapacity ISVS nie sú umiestnené v sekundárnom zabezpečenom priestore, dostatočne vzdialenom od zabezpečeného priestoru.
Kontrolou bolo zistené, že archivačné zálohy neboli vyhotovované v dvoch kópiách.
Kontrola preukázala, že nebolo realizované fyzické ukladanie druhej kópie archivačnej zálohy v inom objekte, ako sa nachádzali technické prostriedky ISVS, ktorého údaje boli archivované.
Kontrolou bolo zistené, že kontrolovaný subjekt automaticky nezaznamenával zmeny v pridelenom prístupe a ich archiváciu počas celej doby činnosti ISVS.
Kontrolou bolo zistené, že kontrolovaný subjekt neprijal vnútroorganizačný predpis, ktorý by upravoval zmenu konfigurácie, zavádzanie nových alebo aktualizáciu a rozširovanie funkcionalít existujúceho ISVS, zavádzanie nových ISVS a o spôsobe testovania.
Kontrolou bolo zistené, že nebola vykonávaná kontrola plnenia bezpečnostných požiadaviek pre prístup tretej strany na služby súvisiace s ISVS.
Kontrolou bolo zistené, že centrálne nastavená autentifikačná politika AIS nebola nakonfigurovaná v súlade s jednotlivými ustanoveniami smernice č. 72/2011.
Kontrolou bolo zistené, že vnútro – organizačné predpisy neupravujú centrálne nastavenie bezpečnostnej politiky v dostatočnom rozsahu. Niektoré doménové účty boli nastavené v rozpore s platnou smernicou č. 72/2011 resp. nastavenia uvedené v smernici neboli automaticky vynucované systémom. Administrátorské účty mali nevhodné individuálne nastavenia hesla, nakoľko nemali vynútenú zmenu hesla po stanovenej dobe (Príloha č. 4) a taktiež pracovná náplň niektorých zamestnancov nezodpovedá prideleným prístupovým právam (Príloha č. 5). Všetky uvedené skutočnosti mohli negatívne vplývať na bezpečnosť AIS, resp. existovalo riziko možného narušenia bezpečnosti AIS MŠVVaŠ SR.
Kontrolou bolo zistené, že vnútro – organizačné predpisy nedostatočne upravovali politiku prístupu tretích strán z pohľadu vytvárania, zrušenia prístupových práv, uzamknutia a odomknutia používateľských účtov tretích strán.
Kontrolou administrátorských oprávnení v centrálnej databáze používateľských účtov (Active Directory, ďalen len „AD“) bolo zistené, že v počítačovej doméne rezortu školstva „MINEDU“ existovali používateľské účty externého poskytovateľa služieb, ktoré sa nachádzali v doménovej skupine „DOMAIN ADMINS“ (Príloha č. 6). Členovia skupiny „DOMAIN ADMINS“ mali plné práva v celej doméne MŠVVaŠ SR vrátane doménových radičov, pracovných staníc, doménových serverov a zároveň táto skupina bola členom skupiny „ADMINISTRATORS“. Tieto používateľské účty boli vytvorené na základe Súhlasu so zriadením a využívaním vzdialeného prístupu (Príloha č. 7) avšak predložené súhlasy neobsahovali signatúru odberateľa, t.j. MŠVVaŠ SR (obsahovali iba signatúru dodávateľa). Rozsah činností externého poskytovateľa služieb na základe súhlasu so zriadením a využívaním vzdialeného prístupu taktiež nezodpovedal prideleným oprávneniam, ktorými disponovali, nakoľko dodávateľ podľa zmluvného vzťahu s MŠVVaŠ SR mal vykonávať činnosti iba v určitej časti AIS MŠVVaŠ SR.
Na základe fyzickej kontroly technologickej miestnosti v priestoroch Úradu MŠVVaŠ SR, bolo zistené, že táto miestnosť nebola dostatočne vybavená mechanickými zábranami proti neoprávnenému vstupu do tejto miestnosti (vstup nebol vybavený bezpečnostnými dverami s požitím bezpečnostných zámkov, na oknách neboli namontované mreže, resp. neboli aplikované iné prostriedky zabraňujúce neoprávnenému vstupu do miestnosti). Taktiež tento vstup nebol monitorovaný kamerovým systémom ako i nebola vedená formalizovaná evidencia osôb vstupujúcich do tohto priestoru.
Ďalej bolo zistené, že v tejto miestnosti nebol nainštalovaný automatický hasiaci systém, nachádzali sa tam iba ručné hasiace, pričom na chodbe vedúcej do tejto technologickej miestnosti sa nachádzal vodný hasiaci prístroj.
Vykonanou kontrolou bolo taktiež zistené, že v tejto miestnosti sa vo veľkej miere nachádzal horľavý materiál a taktiež rôzne komponenty a počítačové príslušenstvo, ktoré však bezprostredne nesúviselo s účelom danej miestnosti.
Na základe fyzickej kontroly dátového centra rezortu školstva bol zistený nevhodný stav v zabezpečení oblasti okien, nakoľko tieto boli plne otvárateľné bez inštalácie elektronického systému ich otvorenia, resp. iného zabezpečenia ich nežiaduceho otvorenia.