Detail kontrolnej akcie

Pravidelne aktualizovaný zoznam prebiehajúcich kontrol NKÚ SR a ich doterajšie čiastočné výsledky.

Evidenčné číslo:
KA-043/2012/1022
Názov:
Kontrola hospodárenia a ochrany aktív v oblasti informačno-komunikačných technológií
Účel kontrolnej akcie:
Preverenie hospodárenia, správy a ochrany aktív v Dátovom centre rezortu školstva. Preverenie súladu
Stav KA:
Ukončená
Správa o výsledku kontroly:
-

Subjekty

Ministerstvo školstva, vedy, výskumu a športu Slovenskej republiky

IČO
00164381
Sídlo
Stromová 1, 81330 Bratislava-Staré Mesto
Kontrolované obdobie
Rok 2011 a 2012
Termín kontroly
12.02.2012 - 29.03.2012
Stav kontroly
Ukončená

Zistenia

Kontrolou bolo zistené, že Smernica o účtovaní a odpisovaní majetku účinná v kontrolovanom období a „Používateľská príručka modulu FI – AA ekonomického informačného systému (EIS) MF SR“ nezabezpečovali dostatočne vnútroorganizačnú úpravu postupov hospodárenia a nakladania s majetkom štátu v podmienkach MŠVVaŠ SR.
Typ nedostatku: Formálna nezrovnalosť
Neuvedením porovnania skutočného stavu so stavom v účtovníctve, názvu a sídla účtovnej jednotky nebolo vyhotovenie inventarizačných zápisov v súlade s ustanovením § 30 ods. 3 zákona č. 431/2002 Z. z. o účtovníctve v znení neskorších predpisov (ďalej len „zákon o účtovníctve“), podľa ktorého sa stav majetku, záväzkov, rozdielu majetku a záväzkov v inventúrnych súpisoch porovnáva so stavom majetku, záväzkov a rozdielu majetku a záväzkov v účtovníctve a výsledky porovnania sa uvedú v inventarizačnom zápise. Inventarizačný zápis je účtovný záznam, ktorým sa preukazuje vecná správnosť účtovníctva a ktorý musí obsahovať a) obchodné meno alebo názov účtovnej jednotky, sídlo, b) výsledky vyplývajúce z porovnania skutočného stavu majetku, záväzkov a rozdielu majetku a záväzkov s účtovným stavom.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že dokladová inventarizácia k 31.12.2011 nebola prevedená v rozsahu požadovanom zákonom. MŠVVaŠ SR nepreukázalo overenie dokladov preukazujúcich zostatok pri všetkých položkách majetku, ktoré nemali hmotnú podstatu. MŠVVaŠ SR nepreukázalo inventarizáciu rozdielu majetku a záväzkov t. j. účtov vlastného imania. Inventarizáciou ku dňu zostavenia závierky účtovná jednotka neoverila, či stav rozdielu majetku a záväzkov v účtovníctve zodpovedá skutočnosti, čo nebolo v súlade s § 29 ods. 1 zákona o účtovníctve, podľa ktorého inventarizáciou overuje účtovná jednotka, či stav rozdielu majetku a záväzkov v účtovníctve zodpovedá skutočnosti.
Typ nedostatku: Odchýlka od súladu
MŠVVaŠ SR zaúčtovalo celkovú sumu faktúry na ťarchu účtu 518 – Ostatné služby. Uvedeným zaúčtovaním kontrolovaný subjekt zaťažil nákladmi len účtovné obdobie roku 2011 a nákladovo nerozčlenil fakturovanú sumu do období, s ktorými náklady časovo a vecne súviseli, čím nepostupovalo v súlade s ustanovením § 3 ods. 1 zákona o účtovníctve, podľa ktorého účtovná jednotka účtuje a vykazuje účtovné prípady v období, s ktorým časovo a vecne súvisia. Zároveň, tým že, alikvotnú časť nákladov súvisiacich s účtovným obdobím roku 2012 nerozčlenil, zaúčtovanie nebolo v súlade s ustanovením § 6 opatrenia MF/16786/2007-31, ktorým sa ustanovujú podrobnosti o postupoch účtovania a rámcovej účtovej osnove pre rozpočtové organizácie, príspevkové organizácie, štátne fondy, obce a vyššie územné celky v znení neskorších predpisov, podľa ktorého sa na účte 381 – Náklady budúcich období účtujú výdavky bežného účtovného obdobia, ktoré sa týkajú nákladov v budúcich obdobiach.
Typ nedostatku: Odchýlka od súladu
V súvislosti s uvedeným kontrolným zistením MŠVVaŠ SR nekonal v súlade s § 8 ods. 1 zákona o účtovníctve, podľa ktorého je účtovná jednotka povinná viesť účtovníctvo správne, úplne, preukázateľne a zrozumiteľne.
Typ nedostatku: Odchýlka od súladu
Kontrola preukázala nesúlad s § 16 ods. 1 a ods. 2 zákona o ochrane OÚ nakoľko Bezpečnostný projekt nevymedzoval rozsah a spôsob technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti a nebol spracovaný v súlade so základnými pravidlami bezpečnosti informačného systému vydanými bezpečnostnými štandardmi a všeobecne záväznými právnymi predpismi.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že bezpečnostný projekt, v časti III. Bezpečnostný zámer bod. 3 Špecifikácia bezpečnostných opatrní neobsahoval aktualizované údaje o používaných operačných systémoch, neboli špecifikované technické, organizačné a personálne opatrenia na zabezpečenie ochrany údajov v DC RŠ. V Bezpečnostnom projekte v časti IV. Popis informačných systémov neboli uvedené všetky informačné systémy a automatizované informačné systémy (ďalej len „AIS“), v ktorých kontrolovaný subjekt spracúva osobné údaje. Nebol aktualizovaný popis AIS (operačný systém, politika hesiel, antivírusová ochrana).
Typ nedostatku: Odchýlka od súladu
Kontrolu bolo zistené, že Bezpečnostný projekt v časti III. Bezpečnostný zámer bod. 4 Vymedzenie okolia informačného systému neobsahoval vymedzenie okolia a jeho vzťah k možnému narušeniu bezpečnosti DC RŠ.
Typ nedostatku: Odchýlka od súladu
Taktiež bolo zistené, že Bezpečnostný projekt v časti V. Analýza rizík nebol aktualizovaný v častiach 2. Programované vybavenie, 3. Technické vybavenie, 7. Antivírusová ochrana. Ďalej nebol dostatočne detailne popísaný spôsob zálohovania a správy AIS. Pre DC RŠ nebola vypracovaná analýza rizík.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že Bezpečnostný projekt nebol vypracovaný v súlade s platnými bezpečnostnými štandardami pre ISVS.
Typ nedostatku: Odchýlka od súladu
Kontrolnou skupinou bolo zistený nesúlad s § 3 ods. 4 písm. i) zákona o ISVS, nakoľko ISVS nevyhovoval štandardom uvedených vo výnose o štandardoch pre ISVS v nasledujúcich ustanovenia.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že kontrolovaný subjekt nemal v bezpečnostnej politike zhodnotený súlad tejto politiky s platnými všeobecne záväznými právnymi predpismi, prijatými vnútornými predpismi a jej zmluvnými záväzkami. V bezpečnostnej politike nebol určený spôsob vedenia a aktualizácie dokumentácie o informačných systémoch verejnej správy.
Typ nedostatku: Odchýlka od súladu
Kontrola preukázala, že kontrolovaný subjekt nemal formalizovaný rozsah a úroveň ochrany všetkých používaných informačných systémov kontrolovaného subjektu a DC RŠ vrátane hodnotenia slabých miest a ohrození.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že kontrolovaný subjekt nemal formalizovaný rámec pre manažment rizík pre DC RŠ.
Typ nedostatku: Odchýlka od súladu
Ďalej bolo zistené, že kontrolovaný subjekt nemal určený rozsah auditu informačnej bezpečnosti a určenie udalosti v ISVS, o ktorých sa vytvára záznam auditu.
Typ nedostatku: Odchýlka od súladu
Taktiež bolo zistené, že kontrolovaný subjekt nemal prijaté operačné smernice na zálohovanie a určené, ktoré skupiny údajov, a v akom rozsahu, akým spôsobom a s akou periodicitou sa zálohujú v prevádzkovej zálohe a archivačnej zálohe. Ďalej kontrolou bolo zistené, že kontrolovaný subjekt nemal určenú periodicitu monitorovania bezpečnosti a aktualizácie softvéru.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že kontrolovaný subjekt nerevidoval bezpečnostnú politiku pravidelne raz ročne v zmysle prijatej bezpečnostnej politiky.
Typ nedostatku: Odchýlka od súladu
Kontrola preukázala, že kontrolovaný subjekt nemal určené bezpečnostné požiadavky a maticu nezlučiteľnosti pre správu systému, operátora, používateľa, audítora a programátora.
Typ nedostatku: Odchýlka od súladu
Kontrola preukázala, že kontrolovaný subjekt nemal vypracovaný postup pre disciplinárne konanie vo vzťahu k zamestnancovi alebo vo vzťahu k tretej strane, ktorí porušia bezpečnostnú politiku alebo niektorý zo súvisiacich predpisov.
Typ nedostatku: Odchýlka od súladu
Kontrola preukázala, že kontrolovaný subjekt nemal identifikované, analyzované a hodnotené riziká spojených s využívaním aktív a ISVS mimo priestorov povinnej osoby a stanovené postupy a opatrenia na redukciu týchto rizík.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že kontrolovaný subjekt neprijal vnútroorganizačný predpis, ktorý by upravoval systém riadenia a monitorovania rizík v súvislosti s ISVS.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že pre DC RŠ neboli analyzované riziká vyplávajúcich z hrozieb pre ISVS, od ktorých závisia kritické procesy. Pre DC RŠ neboli vypracované plány na obnovu činnosti nefunkčných, poškodených alebo zničených kritických ISVS.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že kontrolovaný subjekt nevykonával audit informačnej bezpečnosti a nemal stanovený postup archivácie, ochrany a vyhodnocovania auditných správ (Príloha č. 2).
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že kontrolovaný subjekt neviedol evidenciu o všetkých miestach prepojenia sietí v jeho správe vrátane prepojení s externými sieťami.
Typ nedostatku: Odchýlka od súladu
Kontrolou fyzickej bezpečnosti bol zistený nevhodný stav priestorov s kritickými aktívami kontrolovaného subjektu, neboli vypracované pravidlá pre prácu v zabezpečenom priestore. Zároveň kontrolou bolo zistené, že záložné kapacity ISVS nie sú umiestnené v sekundárnom zabezpečenom priestore, dostatočne vzdialenom od zabezpečeného priestoru.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že archivačné zálohy neboli vyhotovované v dvoch kópiách.
Typ nedostatku: Odchýlka od súladu
Kontrola preukázala, že nebolo realizované fyzické ukladanie druhej kópie archivačnej zálohy v inom objekte, ako sa nachádzali technické prostriedky ISVS, ktorého údaje boli archivované.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že kontrolovaný subjekt automaticky nezaznamenával zmeny v pridelenom prístupe a ich archiváciu počas celej doby činnosti ISVS.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že kontrolovaný subjekt neprijal vnútroorganizačný predpis, ktorý by upravoval zmenu konfigurácie, zavádzanie nových alebo aktualizáciu a rozširovanie funkcionalít existujúceho ISVS, zavádzanie nových ISVS a o spôsobe testovania.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že nebola vykonávaná kontrola plnenia bezpečnostných požiadaviek pre prístup tretej strany na služby súvisiace s ISVS.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že centrálne nastavená autentifikačná politika AIS nebola nakonfigurovaná v súlade s jednotlivými ustanoveniami smernice č. 72/2011.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že vnútro – organizačné predpisy neupravujú centrálne nastavenie bezpečnostnej politiky v dostatočnom rozsahu. Niektoré doménové účty boli nastavené v rozpore s platnou smernicou č. 72/2011 resp. nastavenia uvedené v smernici neboli automaticky vynucované systémom. Administrátorské účty mali nevhodné individuálne nastavenia hesla, nakoľko nemali vynútenú zmenu hesla po stanovenej dobe (Príloha č. 4) a taktiež pracovná náplň niektorých zamestnancov nezodpovedá prideleným prístupovým právam (Príloha č. 5). Všetky uvedené skutočnosti mohli negatívne vplývať na bezpečnosť AIS, resp. existovalo riziko možného narušenia bezpečnosti AIS MŠVVaŠ SR.
Typ nedostatku: Odchýlka od súladu
Kontrolou bolo zistené, že vnútro – organizačné predpisy nedostatočne upravovali politiku prístupu tretích strán z pohľadu vytvárania, zrušenia prístupových práv, uzamknutia a odomknutia používateľských účtov tretích strán. Kontrolou administrátorských oprávnení v centrálnej databáze používateľských účtov (Active Directory, ďalen len „AD“) bolo zistené, že v počítačovej doméne rezortu školstva „MINEDU“ existovali používateľské účty externého poskytovateľa služieb, ktoré sa nachádzali v doménovej skupine „DOMAIN ADMINS“ (Príloha č. 6). Členovia skupiny „DOMAIN ADMINS“ mali plné práva v celej doméne MŠVVaŠ SR vrátane doménových radičov, pracovných staníc, doménových serverov a zároveň táto skupina bola členom skupiny „ADMINISTRATORS“. Tieto používateľské účty boli vytvorené na základe Súhlasu so zriadením a využívaním vzdialeného prístupu (Príloha č. 7) avšak predložené súhlasy neobsahovali signatúru odberateľa, t.j. MŠVVaŠ SR (obsahovali iba signatúru dodávateľa). Rozsah činností externého poskytovateľa služieb na základe súhlasu so zriadením a využívaním vzdialeného prístupu taktiež nezodpovedal prideleným oprávneniam, ktorými disponovali, nakoľko dodávateľ podľa zmluvného vzťahu s MŠVVaŠ SR mal vykonávať činnosti iba v určitej časti AIS MŠVVaŠ SR.
Typ nedostatku: Finančná nezrovnalosť
Na základe fyzickej kontroly technologickej miestnosti v priestoroch Úradu MŠVVaŠ SR, bolo zistené, že táto miestnosť nebola dostatočne vybavená mechanickými zábranami proti neoprávnenému vstupu do tejto miestnosti (vstup nebol vybavený bezpečnostnými dverami s požitím bezpečnostných zámkov, na oknách neboli namontované mreže, resp. neboli aplikované iné prostriedky zabraňujúce neoprávnenému vstupu do miestnosti). Taktiež tento vstup nebol monitorovaný kamerovým systémom ako i nebola vedená formalizovaná evidencia osôb vstupujúcich do tohto priestoru.
Typ nedostatku: Finančná nezrovnalosť
Ďalej bolo zistené, že v tejto miestnosti nebol nainštalovaný automatický hasiaci systém, nachádzali sa tam iba ručné hasiace, pričom na chodbe vedúcej do tejto technologickej miestnosti sa nachádzal vodný hasiaci prístroj.
Typ nedostatku: Finančná nezrovnalosť
Vykonanou kontrolou bolo taktiež zistené, že v tejto miestnosti sa vo veľkej miere nachádzal horľavý materiál a taktiež rôzne komponenty a počítačové príslušenstvo, ktoré však bezprostredne nesúviselo s účelom danej miestnosti.
Typ nedostatku: Odchýlka od súladu
Na základe fyzickej kontroly dátového centra rezortu školstva bol zistený nevhodný stav v zabezpečení oblasti okien, nakoľko tieto boli plne otvárateľné bez inštalácie elektronického systému ich otvorenia, resp. iného zabezpečenia ich nežiaduceho otvorenia.
Typ nedostatku: Odchýlka od súladu
Späť