- IČO
- 42181810
- Sídlo
- Nám. Ľ. Štúra 1, 81235 Bratislava-Staré Mesto
- Kontrolované obdobie
- Rok 2011 a 2012
- Termín kontroly
- 20.05.2012 - 28.06.2012
- Stav kontroly
- Ukončená
Zistenia
Nedodržanie ekonomickej klasifikácie rozpočtovej klasifikácie v zmysle uvedeného opatrenia.
Nezaúčtovanie uvedenej výpočtovej techniky na príslušný majetkový účet (účtovnej skupiny 02 Dlhodobý hmotný majetok odpisovaný)
Účtovná jednotka neviedla účtovníctvo správne, úplne preukázateľne, zrozumiteľne a spôsobom zaručujúcim trvalosť účtovných záznamov.
Inventúrne súpisy v niektorých prípadoch neobsahovali meno, priezvisko, prípadne podpisový vzor hmotne zodpovednej osoby za príslušný druh majetku.
Koncepcia rozvoja informačných systémov MŽP SR nebola od roku 2009 aktualizovaná, pričom prostredie IS MŽP SR a ISVS sa za uvedené obdobie zmenilo.
MŽP SR uhradilo v roku 2011 finančné prostriedky aj za služby technickej podpory za obdobie na ktoré nebola vystavená písomná objednávka a kontrole nebol predložený akceptačný protokol, ktorého predmetom by bolo prebratie poskytovaných služieb v období roku 2011
MŽP SR nemalo vypracovanú a schválenú bezpečnostnú politiku povinnej osoby.
Štandardom pre riadenie informačnej bezpečnosti bolo zabezpečenie realizácie a dodržiavania schválenej bezpečnostnej politiky povinnej osoby.
Štandardom pre riadenie informačnej bezpečnosti bolo určenie osoby alebo osôb zodpovedných za informačnú bezpečnosť povinnej osoby vrátane zodpovednosti za bezpečnosť ISVS.
Štandardom pre riadenie informačnej bezpečnosti bolo určenie jednotlivých úloh osoby alebo osôb zodpovedných za informačnú bezpečnosť v súlade s bezpečnostnou politikou povinnej osoby.
Štandardom pre riadenie informačnej bezpečnosti bolo zabezpečenie koordinácie aktivít organizačných zložiek povinnej osoby pri riešení informačnej bezpečnosti.
Štandardom pre riadenie informačnej bezpečnosti bolo určenie konkrétnej zodpovednosti za jednotlivé aktíva povinnej osoby.
Štandardom pre riadenie informačnej bezpečnosti bolo určenie bezpečnostných pozícií v ISVS, určenie bezpečnostných požiadaviek na jednotlivé pozície a určenie, ktoré pozície nemožno navzájom zlúčiť; bezpečnostnými pozíciami sú najmä správca systému, operátor, používateľ, audítor a programátor.
Štandardom pre personálnu bezpečnosť bolo zabezpečenie, aby boli všetci zamestnanci povinnej osoby a osoby, ktoré vykonávajú činnosti pre povinnú osobu vyplývajúce zo zmluvných záväzkov (ďalej len „tretia strana“) poučení o schválenej bezpečnostnej politike povinnej osoby a o povinnostiach z nej vyplývajúcich, avšak MŽP SR nemalo vypracovanú a schválenú bezpečnostnú politiku povinnej osoby,
Štandardom pre personálnu bezpečnosť bolo zabezpečenie, aby boli zamestnanci povinnej osoby a tretia strana poučení o svojich právach a povinnostiach predtým, ako získajú prístup k ISVS; v prípade rozdielnych práv a povinností týkajúcich sa rôznych ISVS sa vykoná nové poučenie s primerane upraveným obsahom súvisiace s príslušným informačným systémom. Kontrolou bolo zistené nedostatočné poučenie zamestnancov MŽP SR a tretích strán o právach a povinnostiach v súvislosti s IS MŽP SR.
Štandardom pre personálnu bezpečnosť bolo zabezpečenie, aby povinnosti vyplývajúce z bezpečnostnej politiky povinnej osoby a z pracovného zaradenia zamestnanca boli uvedené v jeho pracovnej zmluve.
Štandardom pre personálnu bezpečnosť bolo vypracovanie postupu na disciplinárne konanie vo vzťahu k zamestnancovi alebo vo vzťahu k tretej strane, ktorí porušia bezpečnostnú politiku povinnej osoby alebo niektorý zo súvisiacich predpisov.
Štandardom pre personálnu bezpečnosť bolo zabezpečenie povinnosti zamestnancov oznamovať bezpečnostné incidenty v súlade s postupmi podľa § 36 štandardov pre ISVS.
Štandardom pre manažment rizík pre oblasť informačnej bezpečnosti bolo implementácia systému riadenia a monitorovania rizík v súvislosti s ISVS, a to najmä podľa relevantných technických noriem a pravidelné zbieranie relevantných údajov súvisiacich s rizikami.
Štandardom pre manažment rizík pre oblasť informačnej bezpečnosti bolo používanie systému riadenia a monitorovania rizík pri všetkých procesoch riadenia informačnej bezpečnosti.
Štandardom pre manažment rizík pre oblasť informačnej bezpečnosti bolo identifikácia, analýza a hodnotenie rizík spojených s využívaním aktív a ISVS mimo priestorov povinnej osoby a zavedenie primeraných postupov a opatrení na redukciu týchto rizík,
Štandardom pre manažment rizík pre oblasť informačnej bezpečnosti bolo analyzovanie procesov povinnej osoby, ktoré sú podstatné pre plnenie činnosti povinnej osoby z hľadiska ich závislosti od ISVS, a určenie procesov, ktoré nemôžu prebiehať v prípade výpadku alebo obmedzenia funkčnosti príslušných ISVS tieto procesy sú kritickými procesmi,
Štandardom pre manažment rizík pre oblasť informačnej bezpečnosti bolo analyzovanie rizík vyplývajúcich z hrozieb pre ISVS, od ktorých závisia kritické procesy; tieto informačné systémy sú kritickými informačnými systémami verejnej správy.
Štandardom pre manažment rizík pre oblasť informačnej bezpečnosti bolo vypracovanie plánov na obnovu činnosti nefunkčných, poškodených alebo zničených kritických ISVS.
Štandardom pre kontrolný mechanizmus riadenia informačnej bezpečnosti bolo dodržiavanie bezpečnostnej politiky povinnej osoby a zabezpečenie a vykonávanie vnútornej kontroly alebo auditu informačnej bezpečnosti, ktorého periodicita sa určuje v bezpečnostnej politike povinnej osoby.
Štandardom pre kontrolný mechanizmus riadenia informačnej bezpečnosti bolo zabezpečenie archivácie, ochrany a vyhodnocovania auditných správ.
Štandardom pre sieťovú bezpečnosť bolo zabezpečenie, aby pre každé prepojenie podľa § 33 písmena b) bol vypracovaný interný akt riadenia prístupu medzi týmito sieťami, pričom MŽP SR nemal vypracovaný interný akt pre riadenie pripojení všetkých miest prepojení sietí v správe MŽP SR vrátane prepojení s externými sieťami.
Štandardom pre fyzickú bezpečnosť a bezpečnosť prostredia bolo umiestnenie ISVS v takom priestore, aby ISVS alebo aspoň jeho najdôležitejšie komponenty boli chránené pred nepriaznivými prírodnými vplyvmi a vplyvmi prostredia, možnými dôsledkami havárií technickej infraštruktúry a fyzickým prístupom nepovolaných osôb (ďalej len „zabezpečený priestor“). Kontrolou bolo zistené nedostatočné fyzické zabezpečenie technologickej miestnosti v priestoroch MŽP SR.
Štandardom pre fyzickú bezpečnosť a bezpečnosť prostredia bolo oddelenie zabezpečeného priestoru od ostatných priestorov fyzickými prostriedkami, najmä stenami a zábranami.
Štandardom pre fyzickú bezpečnosť a bezpečnosť prostredia bolo zabezpečenie, aby sa v okolí zabezpečeného priestoru nevyskytovali zariadenia, ktorými sú najmä kanalizácia a vodovod, alebo materiály, ktorými sú najmä horľaviny, ktoré by mohli ohroziť ISVS umiestnený v tomto zabezpečenom priestore. Kontrolou technologickej miestnosti bolo zistené, že sa tam nachádzali horľavé materiály, parketová podlaha a skladové zásoby počítačových komponentov.
Štandardom pre fyzickú bezpečnosť a bezpečnosť prostredia bolo vypracovanie a implementácia pravidiel na prácu v zabezpečenom priestore. MŽP SR nemalo prijaté žiadne zásady pre prácu v technologickej miestnosti.
Štandardom pre fyzickú bezpečnosť a bezpečnosť prostredia bolo zabezpečenie, aby boli existujúce záložné kapacity ISVS, zabezpečujúce funkčnosť alebo náhradu ISVS, umiestnené v sekundárnom zabezpečenom priestore, dostatočne vzdialenom od zabezpečeného priestoru.
Štandardom pre fyzickú bezpečnosť a bezpečnosť prostredia bolo zabezpečenie, aby bola prevádzka, používanie a manažment ISVS v súlade s osobitnými predpismi, vnútornými predpismi povinnej osoby a jej zmluvnými záväzkami.
Štandardom pre fyzickú bezpečnosť a bezpečnosť prostredia bolo vypracovanie, zavedenie a kontrola dodržiavania.
stanovenie parametrov pre ISVS, ktoré definujú maximálnu prípustnú dobu výpadku ISVS a vytvorenie a zavedenie opatrení, ktoré sú zamerané na riešenie obnovy prevádzky v prípade výpadku ISVS.
Štandardom pre monitorovanie a manažment bezpečnostných incidentov bolo ypracovanie interného aktu obsahujúceho postup pri ohlasovaní bezpečnostných incidentov a odhalených slabých miest ISVS, najmä na účel včasného prijatia preventívnych a nápravných opatrení, postup pri riešení jednotlivých typov bezpečnostných incidentov a spôsob ich vyhodnocovania, spôsob evidencie bezpečnostných incidentov a použitých riešení.
Štandardom pre monitorovanie a manažment bezpečnostných incidentov bolo zabezpečenie, aby o postupoch podľa písmena a) boli primeraným spôsobom informovaní všetci používatelia ISVS a aby sa tieto postupy dodržiavali.
Štandardom pre monitorovanie a manažment bezpečnostných incidentov bolo zavedenie evidencie každého výpadku ISVS a spôsobu jeho riešenia.
Štandardom pre monitorovanie a manažment bezpečnostných incidentov bolo pre povinné osoby podľa § 3 ods. 1 písm. a) zákona o ISVS používanie systému na detekciu prienikov, ktorý monitoruje bezpečnosť najmenej v rozsahu Intrusion Detection System (IDS).
Štandardom pre monitorovanie a manažment bezpečnostných incidentov bolo vytvorenie a prevádzka kontaktného miesta povinnej osoby na ohlasovanie bezpečnostných incidentov a odhalených slabých miest ISVS v správe povinnej osoby.
Štandardom pre periodické hodnotenie zraniteľnosti bolo pravidelné hodnotenie slabých miest a ohrození ISVS identifikovaných podľa bezpečnostnej politiky povinnej osoby s periodicitou najmenej raz ročne, pričom MŽP SR takéto hodnotenie slabých miest a ohrození ISVS nevykonávalo.
Štandardom pre zálohovanie bolo zabezpečenie vykonania testu obnovy informačného systému verejnej správy a údajov z prevádzkovej zálohy najmenej raz za jeden rok.
Štandardom pre fyzické ukladanie záloh bolo fyzické ukladanie prevádzkových záloh, jednej kópie archivačnej zálohy a dátových nosičov s licencovaným softvérom do uzamykateľného priestoru.
Štandardom pre fyzické ukladanie záloh bolo fyzické ukladanie druhej kópie archivačnej zálohy v inom objekte ako sa nachádzajú technické prostriedky ISVS, ktorého údaje boli archivované tak, aby bolo minimalizované riziko poškodenia alebo zničenia dátových nosičov archivačnej zálohy v dôsledku požiaru, záplavy alebo inej živelnej pohromy.
Štandardom pre riadenie prístupu bolo zavedenie identifikácie používateľa a následnej autentizácie pri vstupe do ISVS.
Štandardom pre riadenie prístupu bolo vypracovanie interného aktu riadenia prístupu k údajom a ISVS založeného na zásade, že používateľ má prístup iba k tým údajom a funkciám, ktoré sú potrebné na vykonávanie jeho úloh.
Štandardom pre riadenie prístupu bolo určenie postupu a zodpovednosti v súvislosti s prideľovaním prístupových práv používateľom.
Štandardom pre riadenie prístupu bolo určenie požiadaviek, ktoré majú používatelia v súlade s bezpečnostnou politikou povinnej osoby dodržiavať pri používaní ISVS.
Štandardom pre riadenie prístupu bolo automatické zaznamenávanie zmien v pridelenom prístupe a ich archivácia počas celej doby činnosti ISVS.
Štandardom pre riadenie prístupu bolo utomatické zaznamenávanie každého prístupu každého používateľa vrátane administrátora do ISVS, zamedzenie možnosti zmeny týchto záznamov a zamedzenie možnosti vymazania týchto záznamov bez schválenia zodpovednou osobou určenou podľa § 28 písm. c).
Štandardom pre riadenie prístupu bolo vedenie formalizovanej dokumentácie prístupových práv všetkých používateľov ISVS.
Štandardom pre aktualizáciu IKT bolo zavedenie postupov s počiatočným stanovením a zahrnutím bezpečnostných požiadaviek a schvaľovacieho procesu na zmenu konfigurácie, zavádzanie nových alebo aktualizáciu a rozširovanie funkcionality existujúcich ISVS alebo ich častí; v prípade automatizovanej on-line aktualizácie sa schvaľovanie zavádza, iba ak si vyžaduje finančné zdroje, alebo je aktualizácia príliš rozsiahla, zavádzanie nových IKT u povinnej osoby najmä s ohľadom na zabezpečenie kompatibility a zachovanie potrebnej úrovne bezpečnosti.
Štandardom pre aktualizáciu IKT bolo vymenovanie zástupcu správcu alebo prevádzkovateľa ISVS zodpovedného za informačnú bezpečnosť a činnosti podľa písmena a).
Štandardom pre aktualizáciu IKT bolo vymenovanie zástupcu dodávateľa, ak je dodávateľom činnosti podľa písmena a) tretia strana, zodpovedného za informačnú bezpečnosť.
Štandardom pre aktualizáciu IKT bolo uchovávanie a aktualizácia dokumentácie o ISVS alebo ich častiach.
Štandardom pre účasť tretej strany bolo analýza rizík v súvislosti s ISVS podľa § 30, vyplývajúcich z činnosti tretích strán v týchto IS, najmä dodávateľov, externých spolupracovníkov, orgánov verejnej správy, fyzických osôb, a zabezpečenie takých technických, organizačných a právnych podmienok na činnosť tretích strán v ISVS, aby nebola narušená bezpečnosť ISVS a bezpečnostná politika povinnej osoby.
Štandardom pre účasť tretej strany bolo zabezpečenie, aby boli v zmluvách s treťou stranou o poskytovaní služieb súvisiacich s ISVS uvedené bezpečnostné požiadavky na tieto služby.
Štandardom pre účasť tretej strany bolo zmedzenie prístupu tretích strán ku všetkým údajom v ISVS, ktoré sa považujú za aktíva, alebo umožnenie prístupu tretích strán k takým údajom na základe zmluvy tak, aby nebola narušená bezpečnosť ISVS a bezpečnostná politika povinnej osoby.
Štandardom pre účasť tretej strany bolo zabezpečenie kontroly plnenia bezpečnostných požiadaviek podľa písmena b).
Štandardom pre účasť tretej strany bolo zabezpečenie, aby nesplnenie bezpečnostných požiadaviek podľa písmen b) a c) alebo podľa § 41 písm. a), c) a d) bolo dôvodom na ukončenie príslušnej etapy projektu alebo neschválenie prevzatia vykonávanej činnosti.
Kontrolou bolo zistené, že MŽP SR nevykonávalo analýzu rizík vyplývajúcich z činnosti tretích strán a taktiež oblasť bezpečnostných požiadaviek pre tretie strany nebola dostatočne zmluvne upravená, čoho následkom bolo nedodržanie písm. e). Ďalej bolo zistené nedostatočné zamedzenie prístupu tretích strán ku všetkým údajom v IS MŽP SR.