Detail kontrolnej akcie

Pravidelne aktualizovaný zoznam prebiehajúcich kontrol NKÚ SR a ich doterajšie čiastočné výsledky.

Evidenčné číslo:
KA-012/2012/1022
Názov:
Kontrola hospodárenia a ochrany aktív v oblasti informačno-komunikačných technológií
Účel kontrolnej akcie:
Preveriť hospodárenie a ochranu aktív organizácie v oblasti informačno-komunikačných technológií. P
Stav KA:
Ukončená
Správa o výsledku kontroly:
-

Subjekty

Ministerstvo životného prostredia Slovenskej republiky

IČO
42181810
Sídlo
Nám. Ľ. Štúra 1, 81235 Bratislava-Staré Mesto
Kontrolované obdobie
Rok 2011 a 2012
Termín kontroly
20.05.2012 - 28.06.2012
Stav kontroly
Ukončená

Zistenia

Nedodržanie ekonomickej klasifikácie rozpočtovej klasifikácie v zmysle uvedeného opatrenia.
Typ nedostatku: Finančná nezrovnalosť
Nezaúčtovanie uvedenej výpočtovej techniky na príslušný majetkový účet (účtovnej skupiny 02 Dlhodobý hmotný majetok odpisovaný)
Typ nedostatku: Finančná nezrovnalosť
Účtovná jednotka neviedla účtovníctvo správne, úplne preukázateľne, zrozumiteľne a spôsobom zaručujúcim trvalosť účtovných záznamov.
Typ nedostatku: Finančná nezrovnalosť
Inventúrne súpisy v niektorých prípadoch neobsahovali meno, priezvisko, prípadne podpisový vzor hmotne zodpovednej osoby za príslušný druh majetku.
Typ nedostatku: Finančná nezrovnalosť
Koncepcia rozvoja informačných systémov MŽP SR nebola od roku 2009 aktualizovaná, pričom prostredie IS MŽP SR a ISVS sa za uvedené obdobie zmenilo.
Typ nedostatku: Formálna nezrovnalosť
MŽP SR uhradilo v roku 2011 finančné prostriedky aj za služby technickej podpory za obdobie na ktoré nebola vystavená písomná objednávka a kontrole nebol predložený akceptačný protokol, ktorého predmetom by bolo prebratie poskytovaných služieb v období roku 2011
Typ nedostatku: Porušenie finančnej disciplíny
MŽP SR nemalo vypracovanú a schválenú bezpečnostnú politiku povinnej osoby.
Typ nedostatku: Odchýlka od súladu
Štandardom pre riadenie informačnej bezpečnosti bolo zabezpečenie realizácie a dodržiavania schválenej bezpečnostnej politiky povinnej osoby.
Typ nedostatku: Odchýlka od súladu
Štandardom pre riadenie informačnej bezpečnosti bolo určenie osoby alebo osôb zodpovedných za informačnú bezpečnosť povinnej osoby vrátane zodpovednosti za bezpečnosť ISVS.
Typ nedostatku: Odchýlka od súladu
Štandardom pre riadenie informačnej bezpečnosti bolo určenie jednotlivých úloh osoby alebo osôb zodpovedných za informačnú bezpečnosť v súlade s bezpečnostnou politikou povinnej osoby.
Typ nedostatku: Odchýlka od súladu
Štandardom pre riadenie informačnej bezpečnosti bolo zabezpečenie koordinácie aktivít organizačných zložiek povinnej osoby pri riešení informačnej bezpečnosti.
Typ nedostatku: Finančná nezrovnalosť
Štandardom pre riadenie informačnej bezpečnosti bolo určenie konkrétnej zodpovednosti za jednotlivé aktíva povinnej osoby.
Typ nedostatku: Odchýlka od súladu
Štandardom pre riadenie informačnej bezpečnosti bolo určenie bezpečnostných pozícií v ISVS, určenie bezpečnostných požiadaviek na jednotlivé pozície a určenie, ktoré pozície nemožno navzájom zlúčiť; bezpečnostnými pozíciami sú najmä správca systému, operátor, používateľ, audítor a programátor.
Typ nedostatku: Odchýlka od súladu
Štandardom pre personálnu bezpečnosť bolo zabezpečenie, aby boli všetci zamestnanci povinnej osoby a osoby, ktoré vykonávajú činnosti pre povinnú osobu vyplývajúce zo zmluvných záväzkov (ďalej len „tretia strana“) poučení o schválenej bezpečnostnej politike povinnej osoby a o povinnostiach z nej vyplývajúcich, avšak MŽP SR nemalo vypracovanú a schválenú bezpečnostnú politiku povinnej osoby,
Typ nedostatku: Odchýlka od súladu
Štandardom pre personálnu bezpečnosť bolo zabezpečenie, aby boli zamestnanci povinnej osoby a tretia strana poučení o svojich právach a povinnostiach predtým, ako získajú prístup k ISVS; v prípade rozdielnych práv a povinností týkajúcich sa rôznych ISVS sa vykoná nové poučenie s primerane upraveným obsahom súvisiace s príslušným informačným systémom. Kontrolou bolo zistené nedostatočné poučenie zamestnancov MŽP SR a tretích strán o právach a povinnostiach v súvislosti s IS MŽP SR.
Typ nedostatku: Odchýlka od súladu
Štandardom pre personálnu bezpečnosť bolo zabezpečenie, aby povinnosti vyplývajúce z bezpečnostnej politiky povinnej osoby a z pracovného zaradenia zamestnanca boli uvedené v jeho pracovnej zmluve.
Typ nedostatku: Odchýlka od súladu
Štandardom pre personálnu bezpečnosť bolo vypracovanie postupu na disciplinárne konanie vo vzťahu k zamestnancovi alebo vo vzťahu k tretej strane, ktorí porušia bezpečnostnú politiku povinnej osoby alebo niektorý zo súvisiacich predpisov.
Typ nedostatku: Odchýlka od súladu
Štandardom pre personálnu bezpečnosť bolo zabezpečenie povinnosti zamestnancov oznamovať bezpečnostné incidenty v súlade s postupmi podľa § 36 štandardov pre ISVS.
Typ nedostatku: Odchýlka od súladu
Štandardom pre manažment rizík pre oblasť informačnej bezpečnosti bolo implementácia systému riadenia a monitorovania rizík v súvislosti s ISVS, a to najmä podľa relevantných technických noriem a pravidelné zbieranie relevantných údajov súvisiacich s rizikami.
Typ nedostatku: Odchýlka od súladu
Štandardom pre manažment rizík pre oblasť informačnej bezpečnosti bolo používanie systému riadenia a monitorovania rizík pri všetkých procesoch riadenia informačnej bezpečnosti.
Typ nedostatku: Odchýlka od súladu
Štandardom pre manažment rizík pre oblasť informačnej bezpečnosti bolo identifikácia, analýza a hodnotenie rizík spojených s využívaním aktív a ISVS mimo priestorov povinnej osoby a zavedenie primeraných postupov a opatrení na redukciu týchto rizík,
Typ nedostatku: Odchýlka od súladu
Štandardom pre manažment rizík pre oblasť informačnej bezpečnosti bolo analyzovanie procesov povinnej osoby, ktoré sú podstatné pre plnenie činnosti povinnej osoby z hľadiska ich závislosti od ISVS, a určenie procesov, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných ISVS tieto procesy sú kritickými procesmi,
Typ nedostatku: Odchýlka od súladu
Štandardom pre manažment rizík pre oblasť informačnej bezpečnosti bolo analyzovanie rizík vyplývajúcich z hrozieb pre ISVS, od ktorých závisia kritické procesy; tieto informačné systémy sú kritickými informačnými systémami verejnej správy.
Typ nedostatku: Odchýlka od súladu
Štandardom pre manažment rizík pre oblasť informačnej bezpečnosti bolo vypracovanie plánov na obnovu činnosti nefunkčných, poškodených alebo zničených kritických ISVS.
Typ nedostatku: Odchýlka od súladu
Štandardom pre kontrolný mechanizmus riadenia informačnej bezpečnosti bolo dodržiavanie bezpečnostnej politiky povinnej osoby a zabezpečenie a vykonávanie vnútornej kontroly alebo auditu informačnej bezpečnosti, ktorého periodicita sa určuje v bezpečnostnej politike povinnej osoby.
Typ nedostatku: Odchýlka od súladu
Štandardom pre kontrolný mechanizmus riadenia informačnej bezpečnosti bolo zabezpečenie archivácie, ochrany a vyhodnocovania auditných správ.
Typ nedostatku: Odchýlka od súladu
Štandardom pre sieťovú bezpečnosť bolo zabezpečenie, aby pre každé prepojenie podľa § 33 písmena b) bol vypracovaný interný akt riadenia prístupu medzi týmito sieťami, pričom MŽP SR nemal vypracovaný interný akt pre riadenie pripojení všetkých miest prepojení sietí v správe MŽP SR vrátane prepojení s externými sieťami.
Typ nedostatku: Odchýlka od súladu
Štandardom pre fyzickú bezpečnosť a bezpečnosť prostredia bolo umiestnenie ISVS v takom priestore, aby ISVS alebo aspoň jeho najdôležitejšie komponenty boli chránené pred nepriaznivými prírodnými vplyvmi a vplyvmi prostredia, možnými dôsledkami havárií technickej infraštruktúry a fyzickým prístupom nepovolaných osôb (ďalej len „zabezpečený priestor“). Kontrolou bolo zistené nedostatočné fyzické zabezpečenie technologickej miestnosti v priestoroch MŽP SR.
Typ nedostatku: Odchýlka od súladu
Štandardom pre fyzickú bezpečnosť a bezpečnosť prostredia bolo oddelenie zabezpečeného priestoru od ostatných priestorov fyzickými prostriedkami, najmä stenami a zábranami.
Typ nedostatku: Odchýlka od súladu
Štandardom pre fyzickú bezpečnosť a bezpečnosť prostredia bolo zabezpečenie, aby sa v okolí zabezpečeného priestoru nevyskytovali zariadenia, ktorými sú najmä kanalizácia a vodovod, alebo materiály, ktorými sú najmä horľaviny, ktoré by mohli ohroziť ISVS umiestnený v tomto zabezpečenom priestore. Kontrolou technologickej miestnosti bolo zistené, že sa tam nachádzali horľavé materiály, parketová podlaha a skladové zásoby počítačových komponentov.
Typ nedostatku: Odchýlka od súladu
Štandardom pre fyzickú bezpečnosť a bezpečnosť prostredia bolo vypracovanie a implementácia pravidiel na prácu v zabezpečenom priestore. MŽP SR nemalo prijaté žiadne zásady pre prácu v technologickej miestnosti.
Typ nedostatku: Odchýlka od súladu
Štandardom pre fyzickú bezpečnosť a bezpečnosť prostredia bolo zabezpečenie, aby boli existujúce záložné kapacity ISVS, zabezpečujúce funkčnosť alebo náhradu ISVS, umiestnené v sekundárnom zabezpečenom priestore, dostatočne vzdialenom od zabezpečeného priestoru.
Typ nedostatku: Odchýlka od súladu
Štandardom pre fyzickú bezpečnosť a bezpečnosť prostredia bolo zabezpečenie, aby bola prevádzka, používanie a manažment ISVS v súlade s osobitnými predpismi, vnútornými predpismi povinnej osoby a jej zmluvnými záväzkami.
Typ nedostatku: Finančná nezrovnalosť
Štandardom pre fyzickú bezpečnosť a bezpečnosť prostredia bolo vypracovanie, zavedenie a kontrola dodržiavania.
Typ nedostatku: Odchýlka od súladu
stanovenie parametrov pre ISVS, ktoré definujú maximálnu prípustnú dobu výpadku ISVS a vytvorenie a zavedenie opatrení, ktoré sú zamerané na riešenie obnovy prevádzky v prípade výpadku ISVS.
Typ nedostatku: Odchýlka od súladu
Štandardom pre monitorovanie a manažment bezpečnostných incidentov bolo ypracovanie interného aktu obsahujúceho postup pri ohlasovaní bezpečnostných incidentov a odhalených slabých miest ISVS, najmä na účel včasného prijatia preventívnych a nápravných opatrení, postup pri riešení jednotlivých typov bezpečnostných incidentov a spôsob ich vyhodnocovania, spôsob evidencie bezpečnostných incidentov a použitých riešení.
Typ nedostatku: Odchýlka od súladu
Štandardom pre monitorovanie a manažment bezpečnostných incidentov bolo zabezpečenie, aby o postupoch podľa písmena a) boli primeraným spôsobom informovaní všetci používatelia ISVS a aby sa tieto postupy dodržiavali.
Typ nedostatku: Odchýlka od súladu
Štandardom pre monitorovanie a manažment bezpečnostných incidentov bolo zavedenie evidencie každého výpadku ISVS a spôsobu jeho riešenia.
Typ nedostatku: Odchýlka od súladu
Štandardom pre monitorovanie a manažment bezpečnostných incidentov bolo pre povinné osoby podľa § 3 ods. 1 písm. a) zákona o ISVS používanie systému na detekciu prienikov, ktorý monitoruje bezpečnosť najmenej v rozsahu Intrusion Detection System (IDS).
Typ nedostatku: Odchýlka od súladu
Štandardom pre monitorovanie a manažment bezpečnostných incidentov bolo vytvorenie a prevádzka kontaktného miesta povinnej osoby na ohlasovanie bezpečnostných incidentov a odhalených slabých miest ISVS v správe povinnej osoby.
Typ nedostatku: Odchýlka od súladu
Štandardom pre periodické hodnotenie zraniteľnosti bolo pravidelné hodnotenie slabých miest a ohrození ISVS identifikovaných podľa bezpečnostnej politiky povinnej osoby s periodicitou najmenej raz ročne, pričom MŽP SR takéto hodnotenie slabých miest a ohrození ISVS nevykonávalo.
Typ nedostatku: Odchýlka od súladu
Štandardom pre zálohovanie bolo zabezpečenie vykonania testu obnovy informačného systému verejnej správy a údajov z prevádzkovej zálohy najmenej raz za jeden rok.
Typ nedostatku: Odchýlka od súladu
Štandardom pre fyzické ukladanie záloh bolo fyzické ukladanie prevádzkových záloh, jednej kópie archivačnej zálohy a dátových nosičov s licencovaným softvérom do uzamykateľného priestoru.
Typ nedostatku: Odchýlka od súladu
Štandardom pre fyzické ukladanie záloh bolo fyzické ukladanie druhej kópie archivačnej zálohy v inom objekte ako sa nachádzajú technické prostriedky ISVS, ktorého údaje boli archivované tak, aby bolo minimalizované riziko poškodenia alebo zničenia dátových nosičov archivačnej zálohy v dôsledku požiaru, záplavy alebo inej živelnej pohromy.
Typ nedostatku: Odchýlka od súladu
Štandardom pre riadenie prístupu bolo zavedenie identifikácie používateľa a následnej autentizácie pri vstupe do ISVS.
Typ nedostatku: Odchýlka od súladu
Štandardom pre riadenie prístupu bolo vypracovanie interného aktu riadenia prístupu k údajom a ISVS založeného na zásade, že používateľ má prístup iba k tým údajom a funkciám, ktoré sú potrebné na vykonávanie jeho úloh.
Typ nedostatku: Odchýlka od súladu
Štandardom pre riadenie prístupu bolo určenie postupu a zodpovednosti v súvislosti s prideľovaním prístupových práv používateľom.
Typ nedostatku: Odchýlka od súladu
Štandardom pre riadenie prístupu bolo určenie požiadaviek, ktoré majú používatelia v súlade s bezpečnostnou politikou povinnej osoby dodržiavať pri používaní ISVS.
Typ nedostatku: Odchýlka od súladu
Štandardom pre riadenie prístupu bolo automatické zaznamenávanie zmien v pridelenom prístupe a ich archivácia počas celej doby činnosti ISVS.
Typ nedostatku: Odchýlka od súladu
Štandardom pre riadenie prístupu bolo utomatické zaznamenávanie každého prístupu každého používateľa vrátane administrátora do ISVS, zamedzenie možnosti zmeny týchto záznamov a zamedzenie možnosti vymazania týchto záznamov bez schválenia zodpovednou osobou určenou podľa § 28 písm. c).
Typ nedostatku: Odchýlka od súladu
Štandardom pre riadenie prístupu bolo vedenie formalizovanej dokumentácie prístupových práv všetkých používateľov ISVS.
Typ nedostatku: Odchýlka od súladu
Štandardom pre aktualizáciu IKT bolo zavedenie postupov s počiatočným stanovením a zahrnutím bezpečnostných požiadaviek a schvaľovacieho procesu na zmenu konfigurácie, zavádzanie nových alebo aktualizáciu a rozširovanie funkcionality existujúcich ISVS alebo ich častí; v prípade automatizovanej on-line aktualizácie sa schvaľovanie zavádza, iba ak si vyžaduje finančné zdroje, alebo je aktualizácia príliš rozsiahla, zavádzanie nových IKT u povinnej osoby najmä s ohľadom na zabezpečenie kompatibility a zachovanie potrebnej úrovne bezpečnosti.
Typ nedostatku: Odchýlka od súladu
Štandardom pre aktualizáciu IKT bolo vymenovanie zástupcu správcu alebo prevádzkovateľa ISVS zodpovedného za informačnú bezpečnosť a činnosti podľa písmena a).
Typ nedostatku: Odchýlka od súladu
Štandardom pre aktualizáciu IKT bolo vymenovanie zástupcu dodávateľa, ak je dodávateľom činnosti podľa písmena a) tretia strana, zodpovedného za informačnú bezpečnosť.
Typ nedostatku: Odchýlka od súladu
Štandardom pre aktualizáciu IKT bolo uchovávanie a aktualizácia dokumentácie o ISVS alebo ich častiach.
Typ nedostatku: Odchýlka od súladu
Štandardom pre účasť tretej strany bolo analýza rizík v súvislosti s ISVS podľa § 30, vyplývajúcich z činnosti tretích strán v týchto IS, najmä dodávateľov, externých spolupracovníkov, orgánov verejnej správy, fyzických osôb, a zabezpečenie takých technických, organizačných a právnych podmienok na činnosť tretích strán v ISVS, aby nebola narušená bezpečnosť ISVS a bezpečnostná politika povinnej osoby.
Typ nedostatku: Odchýlka od súladu
Štandardom pre účasť tretej strany bolo zabezpečenie, aby boli v zmluvách s treťou stranou o poskytovaní služieb súvisiacich s ISVS uvedené bezpečnostné požiadavky na tieto služby.
Typ nedostatku: Odchýlka od súladu
Štandardom pre účasť tretej strany bolo zmedzenie prístupu tretích strán ku všetkým údajom v ISVS, ktoré sa považujú za aktíva, alebo umožnenie prístupu tretích strán k takým údajom na základe zmluvy tak, aby nebola narušená bezpečnosť ISVS a bezpečnostná politika povinnej osoby.
Typ nedostatku: Odchýlka od súladu
Štandardom pre účasť tretej strany bolo zabezpečenie kontroly plnenia bezpečnostných požiadaviek podľa písmena b).
Typ nedostatku: Odchýlka od súladu
Štandardom pre účasť tretej strany bolo zabezpečenie, aby nesplnenie bezpečnostných požiadaviek podľa písmen b) a c) alebo podľa § 41 písm. a), c) a d) bolo dôvodom na ukončenie príslušnej etapy projektu alebo neschválenie prevzatia vykonávanej činnosti. Kontrolou bolo zistené, že MŽP SR nevykonávalo analýzu rizík vyplývajúcich z činnosti tretích strán a taktiež oblasť bezpečnostných požiadaviek pre tretie strany nebola dostatočne zmluvne upravená, čoho následkom bolo nedodržanie písm. e). Ďalej bolo zistené nedostatočné zamedzenie prístupu tretích strán ku všetkým údajom v IS MŽP SR.
Typ nedostatku: Odchýlka od súladu
Späť