Detail kontrolnej akcie

Pravidelne aktualizovaný zoznam prebiehajúcich kontrol NKÚ SR a ich doterajšie čiastočné výsledky.

Evidenčné číslo:
KA-002/2014/1015
Názov:
Kontrola hospodárenia a ochrany aktív v oblasti informačno-komunikačných technológií vo vybraných nemocniciach SR.
Účel kontrolnej akcie:
Preveriť stav dodržiavania všeobecne záväzných právnych predpisov, hospodárnosti, správy a ochrany a
Stav KA:
Ukončená

Subjekty

Detská fakultná nemocnica s poliklinikou Banská Bystrica

IČO
37957937
Sídlo
Námestie L.Svobodu 4, 97401 Banská Bystrica
Kontrolované obdobie
roky 2012-2014, v prípade potreby aj predchádzajúce obdobie
Termín kontroly
20.11.2014 - 07.12.2014
Stav kontroly
Ukončená

Zistenia

Bezpečnostný projekt kontrolovaného subjektu neobsahoval názov IS, na ktorý sa vzťahuje.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 164/2013 Z.z.
Obsah webového sídla kontrolovaného subjektu nemal potrebné náležitosti.
Typ nedostatku: Formálna nezrovnalosť
Kontrolovaný subjekt nepoužíval e-mailové adresy používateľov bez diakritiky pred deliacim znakom @ v tvare „meno.priezvisko“
Typ nedostatku: Formálna nezrovnalosť
Kontrolovaný subjekt nemal určený rozsah a periodicitu auditu informačnej bezpečnosti.
Typ nedostatku: Formálna nezrovnalosť
Kontrolovaný subjekt nemal určenú konkrétnu zodpovednosť za jednotlivé aktíva.
Typ nedostatku: Formálna nezrovnalosť
Kontrolovaný subjekt nemal určené privilegované roly, bezpečnostné požiadavky na jednotlivé privilegované roly a určené, ktoré používateľské roly nie je možné navzájom zlúčiť (privilegovanými používateľskými rolami sú najmä správca systému, operátor, používateľ, audítor a programátor)
Typ nedostatku: Formálna nezrovnalosť
V niekoľkých vstupoch do informačného systému kontrolovaného subjektu nebola zavedená identifikácia používateľa a následná autentizácia.
Typ nedostatku: Formálna nezrovnalosť
Kontrolovaný subjekt nemal aktualizovanú koncepciu rozvoja informačných systémov s ohľadom na platné legislatívne predpisy v oblasti informačno-komunikačných technológií.
Typ nedostatku: Finančná nezrovnalosť
Kontrolovaný subjekt nemal úplne zabezpečenú bezpečnosť informácií a aktív, ktoré boli spravované tretími stranami.
Typ nedostatku: Formálna nezrovnalosť
Poučenie oprávnenej osoby neobsahovalo všetky náležitosti, konkrétne rozsah oprávnení, popis povolených činností a podmienky spracúvania osobných údajov.
Typ nedostatku: Formálna nezrovnalosť
Poučenia oprávnených osôb obsahovali namiesto pojmu oprávnená osoba pojem oboznámená osoba, ktorý platná legislatíva nepozná.
Typ nedostatku: Formálna nezrovnalosť
Kontrolovaný subjekt nemal vypracovaný evidenčný list ku každému používanému informačnému systému, v ktorom sa spracovávajú osobné údaje.
Typ nedostatku: Formálna nezrovnalosť

Fakultná nemocnica s poliklinikou Žilina

IČO
17335825
Sídlo
Vojtecha Spanyola 43, 01207 Žilina
Kontrolované obdobie
roky 2012-2014, v prípade potreby aj predchádzajúce obdobie
Termín kontroly
01.10.2014 - 27.11.2014
Stav kontroly
Ukončená

Zistenia

nemocnica nemala vypracovanú koncepciu rozvoja informačných systémov
Typ nedostatku: Odchýlka od súladu Porušený predpis: 275/2006 Z.z.
nemocnica nevypracovala interné smernice pre zálohovanie údajov
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
nemocnica neurčila osobu zodpovednú za informačnú bezpečnosť (bezpečnostného správcu)
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
FNsP Žilina nemala určené konkrétne zodpovednosti za jednotlivé aktíva nemocnice
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
dodávatelia, ktorí vykonávali pre nemocnicu činnosti vyplývajúce zo zmluvných vzťahov, neboli o schválenej bezpečnostnej politike poučení
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
povinnosti vyplývajúce z bezpečnostnej politiky nemocnice neboli uvedené v pracovných zmluvách zamestnancov
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
nemocnica nemala vypracovanú internú smernicu upravujúcu postup pre disciplinárne konanie vo vzťahu k zamestnancovi alebo vo vzťahu k tretej strane, ktorí porušili bezpečnostnú politiku
Typ nedostatku: Finančná nezrovnalosť Porušený predpis: 55/2014 Z.z.
nemocnica nevykonávala kontrolu bezpečnosti
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
nemocnica pri osobných e-mailových adresách zamestnancoch pred deliacim znakom @ používala len priezvisko používateľa
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
nemocnica nevypracovaním interného predpisu pre poučenie oprávnených osôb nekonala v súlade s bezpečnostnou smernicou, ktorou boli okrem iného upravené povinnosti pri ochrane osobných údajov, čím nezabezpečila dodržiavanie schválenej bezpečnostnej politiky
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
v Supervíznej zmluve, ktorou bola zabezpečená podpora prevádzky nemocničného informačného systému treťou stranou, nebola zo strany dodávateľa určená osoba zodpovedná za informačnú bezpečnosť
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
nemocnica v zmluvách, na základe ktorých bol realizovaný prístup tretích strán do nemocničného informačného systému, neuviedla bezpečnostné požiadavky pre poskytovanie služieb vyplývajúcich z uvedených zmlúv
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
serverovňa nemocnice sa nachádzala na prízemí, pričom na oknách serverovne neboli namontované zábrany
Typ nedostatku: Odchýlka od súladu Porušený predpis: 55/2014 Z.z.
nedodržaním štandardov pre informačné systémy verejnej správy
Typ nedostatku: Odchýlka od súladu Porušený predpis: 275/2006 Z.z.
nemocnica neevidovala 15 informačných systémov, v ktorých spracúvala osobné údaje
Typ nedostatku: Odchýlka od súladu Porušený predpis: 122/2013 Z.z.
nemocnica neoznámila úradu na ochranu osobných údajov prevádzkovanie informačných systémev, v ktorých spracúvala osobné údaje počas obdobia, kedy nemocnica nemala zodpovednú osobu
Typ nedostatku: Odchýlka od súladu Porušený predpis: 122/2013 Z.z.

Univerzitná nemocnica L. Pasteura Košice

IČO
00606707
Sídlo
Rastislavova 43, 04190 Košice-Juh
Kontrolované obdobie
roky 2012-2014, v prípade potreby aj predchádzajúce obdobie
Termín kontroly
06.10.2014 - 10.12.2014
Stav kontroly
Ukončená

Zistenia

Kontrolovaný subjekt nemal dostupnú e-mailovú adresu info@unlp.sk na poskytovanie informácií podľa zákona č.211/2000 Z.z. o slobodnom prístupe k informáciám
Typ nedostatku: Finančná nezrovnalosť Porušený predpis: 275/2006 Z.z.
Kontrolovaný subjekt pri ocenení PACS pracovných staníc nezohľadnil rôznu konfiguráciu staníc, ani ďalšie možné náklady súvisiace s ich obstaraním porušil § 25 ods. 1 písm. a) zákona č.431/2002 Z.z. o účtovníctve.
Typ nedostatku: Formálna nezrovnalosť Porušený predpis: 431/2002 Z.z.
Kontrolovaný subjekt nevypracoval Koncepciu rozvoja informačných systémov verejnej správy v súlade so štandardmi postupoval v rozpore s § 3a zákona č. 275/2006 Z.z. o informačných systémoch verejnej správy
Typ nedostatku: Odchýlka od súladu Porušený predpis: 275/2006 Z.z.
Nemocnica nemala určenú osobu zodpovednú za informačnú bezpečnosť - bezpečnostného správcu, postupovala v rozpore s § 29 písm. c) výnosu o ISVS.
Typ nedostatku: Odchýlka od súladu
Späť