- IČO
- 00305936
- Sídlo
- Mierové námestie 940/1, 92418 Galanta
- Kontrolované obdobie
- 2015-2016
- Termín kontroly
- 10.10.2016 - 07.02.2017
- Stav kontroly
- Ukončená
Zistenia
Na základe písomného vyjadrenia z 12.10.2016 kontrolovaný subjekt Mesto Galanta v čase výkonu kontroly nemal vypracovaný a schválený štatút Mesta Galanta.
Predložený Organizačný poriadok Mesta Galanta v čase výkonu kontroly nebol v súlade s definovanými pracovnými pozíciami v organizačnej štruktúre Mesta Galanta platnej k 01.08.2016.
Kontrolou IKT majetku Mesta Galanta bolo zistené, že kontrolovaný majetok nemal uvedených zodpovedných zamestnancov na inventúrnych súpisoch.
Kontrolnou skupinou bolo zistené, že privilegované účty „Administrátorov“ boli vytvorené ako „ivan“ a „roman“. Prihlasovanie do systému na bežnú prácu ako používateľ bol využívaný rovnaký používateľský účet „roman“, ktorý bol zadefinovaný ako privilegovaný účet.
Bolo zistené, že v systéme Windows SBS Console sa vyskytovali vytvorené používateľské účty menom osoby ale prihlásenie do systému bolo pod inou osobou.
Bolo zistené, že v systéme sa nachádzali aj používateľské účty, ktoré nezodpovedajú mennému zoznamu zamestnancov a nachádzali sa v systéme účty už aj nepracujúcich (bývalých) zamestnancov.
V systéme skupiny privilegovaných účtov „Domain Admins“ sa nachádzal aj používateľský účet osoby, ktorá nepracuje na pozícii správcu systému.
Kontrolná skupina ďalej zistila, že nebolo zabezpečené vykonávanie formalizovaného postupu realizácie pri zriaďovaní, zmene a zrušení používateľského účtu písomnou požiadavkou.
Kontrolnou skupinou bolo zistené, že zmluva o poskytovaní služieb č. 2013_06_07_JF_006 neobsahovala bezpečnostné požiadavky na tieto služby.
Kontrolná skupina vykonala kontrolu v privilegovaných skupinách účtov v Domain Admins, kde boli okrem iného zaradené aj aktívne kontá „geoinfos“ a „cron“. Kontrolnej skupine nebola predložená zmluva o poskytovaní služieb pre prístup do IS Mesta Galanta pre predmetné kontá v privilegovanej skupine.
Okná v serverovni boli plastové a boli dostupné z ulice za pomoci rebríka. V priestore serverovne sa nachádzal radiátor a trubky vedenia radiátorov. Serverovňa nebola vybavená zátopovým ani pohybovým senzorom.
V priestore serverovne sa nachádzali horľavé materiály v podobe papierových kartónových krabíc, ktoré by mohli ohroziť bezpečnosť informačného systému Mesta Galanta.
Kontrolovaný subjekt Mesto Galanta nemal na základe písomného vyjadrenia zo dňa 30.11.2016 vypracované a implementované pravidlá pre prácu v zabezpečenom priestore.
Preverením prostredníctvom Centrálneho metainformačného systému verejnej správy SR (MetaIS) bolo zistené, že v MetaIS sa nenachádzajú žiadne elektronické služby Mesta Galanta alebo informácie o elektronických službách, ktoré plánuje poskytovať, ako ani informácie o IS prevádzkovaných Mestom Galanta.
Predložené evidenčné listy neboli vypracované v zmysle vzoru evidencie zverejneného Úradom na ochranu osobných údajov SR, v evidenčných listoch v právnom základe spracúvania osobných údajov bol okrem iného uvádzaný zákon č. 428/2002 Z. z. o ochrane osobných údajov, ktorý bol zrušený zákonom č. 122/2013 Z. z. o ochrane osobných údajov a v jednom prípade bol zistený nesúlad medzi názvom IS v evidenčnom liste a názvom uvedeným v Bezpečnostnom projekte.
V dvoch prípadoch na vybranej vzorke poučení oprávnených osôb nebolo zadefinované, v ktorých informačných systémoch Mesta Galanta spracúvajú osobné údaje, ale iba všeobecná časť ďalšie oprávnenia prístupu k osobným údajom a povolené činnosti s nimi.
Kontrolovaný subjekt Mesto Galanta mal formálne upravený proces prideľovania a zrušenia prístupových práv do IS v Prílohe č. 9 Bezpečnostnej smernice Mesta Galanta, avšak kontrolnou skupinou bolo na vybranej vzorke troch tlačív (Mgr. LG, Ing. BK a Ing. RM) zistené, že ani na jednom tlačive nebolo uvedené a podpísané v bode E. Stanovisko vedúceho oddelenia/nadriadeného a v bode F. Stanovisko prednostu MsÚ.
Počas výkonu kontroly na kontrolovanom subjekte Mesto Galanta, bolo zistené, že oprávnenie na prístup a disponovanie s elektronickou schránkou orgánu verejnej moci za Mesto Galanta má primátor Mesta Galanta.
Kontrolnej skupine bolo predložené Vyhlásenie primátora mesta Galanta zo dňa 12.10.2016, že Mesto Galanta nemá ku dňu 13.10.2016 na MsÚ v Galante osobu zodpovednú za ochranu osobných údajov v zmysle zákona č. 122/2013 Z. z. o ochrane osobných údajov. Kontrolovaný subjekt Mesto Galanta predložil Oznámenie prevádzkovateľa o odvolaní/zániku poverenia zodpovednej osoby v zmysle § 26 zákona č. 122/2013 Z. z. o ochrane osobných údajov, ktoré bolo zo dňa 30.06.2014.