Auditul inițial de securitate al infrastructurii ... · Justitiei, Conducerii Consiliului Superior al Magistraturii, Conducerii instantelor judecatoresti si Coducerii Centrului de

Auditul inițial de securitate al infrastructurii Programului Integrat de Gestionare a

Dosarelor (PIGD)

Elaborat de:

CHIȘINĂU, IULIE 2013

Acest Raport a fost elaborat de către compania Omega Trust SRL și a fost posibil datorită suportului generos din partea poporului american prin intermediul Agenției Statelor Unite pentru Dezvoltare Internațională (USAID) în cadrul Programului de Consolidare a Instituțiilor Statului de Drept (ROLISP). Conținutul acestui Raport ține de responsabilitatea companiei Omega Trust SRL și nu reflectă în mod necesar viziunea ROLISP, USAID sau a Guvernului Statelor Unite.

Auditul initial de securitate al sistemului PIGD – Raport intermediar

12 iulie 2013

DOCUMENT CONFIDENTIAL Pagina 3 din 53

CUPRINS

1. INTRODUCERE ..................................................................................................................................... 5

1.1 INFORMATII GENERALE ............................................................................................................. 5

1.2 OBIECTIVUL PROIECTULUI ....................................................................................................... 5

1.3 ARIA DE APLICABILITATE .......................................................................................................... 5

1.4 ECHIPA DE AUDIT ........................................................................................................................ 6

1.5 PERSOANE INTERVIEVATE ....................................................................................................... 6

1.6 NOTE ................................................................................................................................................ 7

1.7 STRUCTURA ACESTUI RAPORT .............................................................................................. 7

2. SUMAR EXECUTIV ............................................................................................................................... 8

3. OBSERVATII ......................................................................................................................................... 10

3.1 OBSERVATII REFERITOARE LA SISTEMUL PIGD ............................................................. 11

3.1.1 Deficiente functionale ale sistemului PIGD....................................................................... 11

3.1.2 Reguli de parole .................................................................................................................... 12

3.1.3 Criptarea parolelor de acces ............................................................................................... 13

3.1.4 Log-uri de sistem .................................................................................................................. 14

3.1.5 Aprobarea profilelor de utilizator in sistem ....................................................................... 15

3.2 OBSERVATII REFERITOARE LA MEDIUL IT IN CARE SE ADMINISTREAZA

SISTEMUL PIGD ...................................................................................................................................... 16

3.2.1 Salvarea datelor aferente sistemului PIGD ...................................................................... 16

3.2.2 Protectia antivirus ................................................................................................................. 17

3.2.3 Update-ul sistemelor de operare server ............................................................................ 18

3.2.4 Proceduri de continuitate operationala si de recuperare in caz de dezastru .............. 19

3.2.5 Transferul datelor in modulul de raportare ....................................................................... 20

3.2.6 Managementul incidentelor ................................................................................................. 21

3.2.7 Salvarea datelor aferente modulului de raportare statistica din sistemul PIGD ......... 22

3.2.8 Conturi de administrare ....................................................................................................... 23

3.2.9 Drepturi de administrator ..................................................................................................... 24


12 iulie 2013


3.2.10 Managementul capacitatii .................................................................................................... 25

3.2.11 Migrarea schimbarilor pe mediul de productie ................................................................. 26

3.2.12 Revizuirea conturilor de utilizator ....................................................................................... 27

3.2.13 Diagrama de retea ................................................................................................................ 28

3.3 OBSERVATII REFERITOARE LA MEDIUL IT DIN INSTANTELE JUDECATORESTI ..... 29

3.3.1 Politica de securitate IT ....................................................................................................... 29

3.3.2 Parole de acces pe statiile locale ....................................................................................... 30

3.3.3 Linii de comunicatie .............................................................................................................. 31

3.3.4 Camerele serverelor din instantele judecatoresti ............................................................ 32


3.3.6 Administrarea conturilor de utilizator ................................................................................. 34

3.3.7 Managementul incidentelor raportate ................................................................................ 35

3.3.8 Update-ul sistemelor de operare ........................................................................................ 36

3.3.9 Conturi de utilizator in sistemul PIGD ................................................................................ 37

3.3.10 Administrarea retelelor pe baza de Domain Controller ................................................... 38

3.3.11 Conturi de utilizator in modulul de raportare statistica al sistemului PIGD .................. 39

3.4 OBSERVATII REFERITOARE LA MEDIUL IT DIN MINISTERUL JUSTITIEI .................... 40

3.4.1 Politica de securitate IT ....................................................................................................... 40

3.4.2 Reguli de parole la nivel de retea ...................................................................................... 41

3.4.3 Controlul accesul fizic .......................................................................................................... 42

3.4.4 Controalele de mediu ........................................................................................................... 43

3.4.5 Procesul de management al schimbarilor......................................................................... 44

3.4.6 Proceduri de continuitate operationala si de recuperare in caz de dezastru .............. 46


3.4.8 Administrarea conturilor de utilizator ................................................................................. 48

3.4.9 Licentierea programelor software ...................................................................................... 49

3.4.10 Accesul la codul sursa ......................................................................................................... 50

ANEXA 1 – PRIORITIZAREA OBSERVATIILOR .................................................................................... 51


12 iulie 2013


1. INTRODUCERE

1.1 INFORMATII GENERALE

Acest document prezinta rezultatele obtinute in urma auditului de securitate initial al Programului Integrat

de Gestionare a Dosarelor (denumit in continuare „PIGD”) implementat în sistemul judecătoresc din

Republica Moldova. Auditul a fost realizat in perioada 18 iunie – 5 iulie 2013 de catre S.C. OMEGA Trust

S.R.L. („Noi” sau „OMEGA Trust”).

Auditul a fost efectuat in baza contractului de prestari servicii cu nr. AID-1117-C-12-00002, comanda de

achizitionare (purchase order) #20, incheiat intre S.C. OMEGA Trust S.R.L., in calitate de prestator si

„Checchi and Company Consulting, Inc”, in calitate de beneficiar.

In cadrul acestui raport, au fost descrise deficientele identificate in urma efectuarii testelor de audit.

Aferent acestor deficiente, am detaliat recomandarile noastre privind actiunile corective si preventive, dar

si recomandari pentru implementarea/ modificarea unor politici si proceduri pentru imbunatatirea

securitatii sistemului PIGD.

Acest raport se adreseaza Conducerii Checchi and Company Consulting, Inc, Conducerii Ministerului

Justitiei, Conducerii Consiliului Superior al Magistraturii, Conducerii instantelor judecatoresti si Coducerii

Centrului de Telecomunicatii Speciale si contine informatii confidentiale.

1.2 OBIECTIVUL PROIECTULUI

Obiectivul acestui proiect este acela de a realiza o verificare a sistemului PIGD si a mediului IT in care

acestea functioneaza precum si a sistemului de controale implementat pentru securizarea acestuia, in

vederea obtinerii unei imagini de ansamblu cu privire la nivelul de securitate al sistemului si la modul in

care este asigurata securitatea si confidentialitatea informatiilor gestionate.

1.3 ARIA DE APLICABILITATE

Aria de aplicabilitate a auditului de securitate a inclus sistemul PIGD, precum si infrastructura hardware si

software care sustine acest sistem (servere, baze de date, sisteme de operare etc.).

Activitatea noastra de audit a fost desfasurata in cadrul a trei entitati implicate in operarea, respectiv

administrarea sistemului PIGD la nivelul carora au fost realizate teste specifice de audit de securitate.

Cele trei entitati sunt:

Ministerul Justitiei – in calitate de beneficiar al sistemului PIGD. In cadrul auditului efectuat la

Ministerul Justiției, am evaluat controalele tehnice si operationale implementate pentru securizarea

mediului IT in care functioneaza modulul de raportare al sistemului PIGD;

Instantele judecatoresti – in calitate de utilizatori finali ai sistemului PIGD. In cadrul auditului efectuat

la Curtea de Apel Chisinau, am evaluat controalele tehnice, operationale si functionale


12 iulie 2013


implementate la nivelul sistemului PIGD pentru securizarea accesului la informatiile gestionate si a

mediului IT in care acest sistem functioneaza;

Centrul de Telecomunicatii Speciale (denumit in continuare „CTS”) – in calitate de administrator al

sistemului PIGD. In cadrul auditului efectuat la CTS, am evaluat fluxurile de administrare si

mentenanta a sistemului PIGD si controalele tehnice si operationale implementate pentru

securizarea mediului IT in care functioneaza sistemul PIGD.

Testele de audit au fost desfasurate conform „Planului de strategie pentru derularea auditului de

securitate” pe care l-am furnizat in data de 14 iunie 2013 impreuna cu „Planul de strategie pentru

derularea testelor de securitate”.

1.4 ECHIPA DE AUDIT

Auditul de securitate a fost efectuat de catre o echipa OMEGA Trust formata din urmatorii membri:

Cosmin Macaneata, Auditor CISA, Managing Partner Omega Trust – Coordonator general al

proiectului;

Victor Gansac, Auditor CISA, CISSP – Lider al echipei tehnice;

Teodor Lupan, CEH, LPT – Expert teste de securitate;

Daniel Mihai, Tester ISTQB – Expert teste asigurare calitate software;

Dan Sora, Auditor CISA – Expert audit IT.

1.5 PERSOANE INTERVIEVATE

In decursul auditului realizat au fost intervievate urmatoarele persoane:

Mihai Grosu – USAID ROLISP;

Andrian Sova – CTS;

Adrian Grigorev – CTS;

Natalia Spinu – CTS;

Denis Shapovalov – CTS;

Anton Sorocean – CTS;

Stanislav Isacov – CTS;

Vitalie Prisacari – CTS;

Andrei Sontu – Ministerul Justitiei;

Serghei Crijicicovschii – Ministerul Justitiei;

Nicolae Bujor – Ministerul Justitiei.

Andrei Ojoga – Curtea de Apel Chisinau;

Vitalie Muntean – Curtea de Apel Chișinau.


12 iulie 2013


1.6 NOTE

Acest raport este unul intermediar si trebuie considerat in consecinta. Toate testele au fost efectuate in

perioada 18 iunie – 5 iulie 2013.

Trebuie mentionat ca rezultatele reprezinta o „imagine” a nivelului de securitate al sistemului PIGD si al

mediului IT care il sustine. In cazul in care procedurile operationale, masurile tehnice sau functionale din

cadrul mediului IT al celor trei entitati verificate la momentul auditului au fost modificate ulterior, unele

rezultate pot fi invalidate.

Din cauza limitarilor inerente ale oricarui sistem de control intern, denaturarile din cauza unor erori sau

fraude pot sa fie nedetectate.

Un audit nu este proiectat pentru a detecta toate deficientele in cadrul mediului de controale, deoarece

nu se realizeaza continuu pe parcursul perioadei si testele efectuate sunt pe baza de sondaj.

1.7 STRUCTURA ACESTUI RAPORT

Prezentul raport include descrieri detaliate ale deficientelor identificate ca urmare a auditului efectuat.

Astfel, am inclus in Sectiunea 2 un sumar executiv care prezinta rezultatele analizei noastre in mod

succint.

Observatiile identificate pe parcursul auditului, precum si recomandarile sugerate de noi sunt detaliate in

Sectiunea 3 a raportului grupate in functie de aria din care fac parte.

In Anexa 1 am prezentat prioritizarea observatiilor noastre.


12 iulie 2013


2. SUMAR EXECUTIV

In urma auditului de securitate efectuat, am constatat ca, in general, sistemul PIGD nu asigura un nivel

de securitate adecvat al datelor si informatiilor gestionate prin intermediul acestuia. Printre cauze se

numara atat lipsa unor controale de securitate adecvate la nivel de aplicatie, cat si probleme de

management al mediului IT in care acest sistem functioneaza.

Ca parte a testelor de audit efectuate, am identificat deficiente importante mai ales in randul instantelor

judecatoresti si al Ministerului Justitiei, care, de altfel, reprezinta utilizatorii si beneficiarii sistemului PIGD,

deficiente care apar pe fondul unui management neformalizat al proceselor IT interne si lipsa unor

controale IT adecvate. Activitatea de administrare a sistemului PIGD desfasurata in cadrul CTS se

deruleaza intr-o maniera mai formalizata (reglementata si prin implementarea Sistemul de Management

al Securitatii Informatiilor conform standardului ISO 27001) care asigura un nivel mai ridicat de securitate,

dar care lasa, inca, loc pentru o serie de imbunatatiri.

Cu privire la modul in care sistemul PIGD functioneaza in cadrul instantelor judecatoresti, am observat ca

pe parcursul activitatilor curente, utilizatorii au identificat probleme de functionare care fac ca obiectivele

sistemului PIGD de imbunatatire si eficientizare a mediului de lucru intern sa nu fie indeplinite. Cu toate

ca sistemul a fost proiectat pentru a sustine un flux operational complex cu privire la managementul

dosarelor de judecata si a altor informatii specifice, am observat ca deseori apar erori si inconsistente ale

sistemului care intarzie a fi remediate de catre dezvoltator (Bass Systems) si care, implicit, afecteaza

mediul de lucru intern din cadrul instantelor judecatoresti.

Asadar, ca parte a auditului efectuat, am identificat un total de 39 de observatii dintre care: 37 cu

prioritate ridicata de remediere si 2 cu prioritate medie de remediere.

Descrierea detaliata a observatiilor identificate impreuna cu recomandarile noastre pentru imbunatatire

pot fi regasite in Sectiunea 3 a raportului.

Prioritate RIDICATA

Prioritate MEDIE

Prioritate SCAZUTA


12 iulie 2013


Trebuie mentionat ca rezultatele obtinute in urma auditului ce sunt prezentate in continutul acestui

document reprezinta doar o „imagine” a nivelului de securitate al sistemului PIGD si al mediului IT care il

sustine, la data emiterii acestui raport. De aceea, in contextul in care, pe parcusul ciclului de viata al unui

sistem informatic se produc numeroase schimbari atat la nivel de sistem cat si la nivel de infrastructura

care impacteaza nivelul de securitate in ansamblu al sistemului este foarte importanta refacerea

periodica a auditului de securitate pentru mentinerea unui grad de securitate ridicat.

Prin urmare, recomandam derularea cel putin o data pe an a unei verificari similare a sistemului PIGD si

a mediului IT care il sustine.


12 iulie 2013


3. OBSERVATII

Observatiile si recomandarile noastre incluse in prezentul raport sunt clasificate in functie de aria la care

fac referire dupa cum urmeaza:

Observatii referitoare la sistemul PIGD;

Observatii referitoare la mediul IT in care este administrat sistemul PIGD;

Observatii referitoare la mediul IT din instantele judecatoresti;

Observatii referitoare la mediul IT din Ministerul Justiției.

De asemenea, observatiile noastre au fost prioritizate, dupa cum urmeaza:

Observatiile cu prioritate Ridicata – reprezinta deficiente majore care trebuie sa fie rezolvate intr-un

timp cat mai scurt (aceste deficiente trebuie remediate inainte de auditul final de securitate);

Observatiile cu prioritate Medie – reprezinta deficiente importante care, insa, pot fi rezolvate ulterior

observatiilor cu prioritate ridicata (demersurile pentru rezolvarea acestor deficiente trebuie incepute

inainte de auditul final de securitate);

Observatiile cu prioritate Scazuta – reprezinta oportunitati de imbunatatire a sistemului PIGD si a

sistemului de controale IT.


12 iulie 2013


3.1 OBSERVATII REFERITOARE LA SISTEMUL PIGD

3.1.1 Deficiente functionale ale sistemului PIGD

(Prioritate: Ridicata)

Observatie

Din discutiile purtate cu personalul din cadrul Curtii de Apel Chisinau, am aflat ca aplicatia PIGD are

multe probleme de functionare (bug-uri) care ingreuneaza semnificativ folosirea acestui sistem si,

implicit, activitatile curente. Printre deficientele semnalate de catre personalul Curtii de Apel Chisinau

enumeram:

Conversia defectuoasa din format text in format PDF (in documentul PDF rezultat apar

numeroase erori);

Numeroase situatii cand sistemul genereaza erori la inregistrarea dosarelor;

Filtrele de selectie pentru anumite tipuri de dosare nu functioneaza;

Unele campuri de cautare nu sunt functionale;

Anumite informatii introduse nu sunt inregistrate;

Aplicatia nu functioneaza corect pe toate tipurile de browser web.

De asemenea, din discutiile purtate cu reprezentantii USAID ROLISP, am aflat ca cea mai mare parte

dintre aceste deficiente nu au fost inca rezolvate pe mediul de productie al sistemului PIGD, acest

proces urmand a fi realizat odata cu update-ul aplicatiei la versiunea 4 (in prezent, functioneaza

versiunea 3). Cu toate acestea, la momentul actual, aceste deficiente cauzeaza probleme majore de

functionare ale sistemului si afecteaza procesele operationale din cadrul instantelor judecatoresti.

Recomandare

Recomandam efectuarea unei testari complete din punct de vedere functional a sistemului PIGD in

care sa fie implicati utilizatorii finali pentru identificarea tuturor deficientelor functionale ale sistemului si

raportarea lor catre dezvoltator (Bass Systems).

Recomandam, de asemenea, dezvoltatorului sistemului PIGD adoptarea unui flux de lucru intern prin

care deficientele functionale majore ale sistemului semnalate de catre utilizatori sa fie remediate in cel

mai scurt timp posibil pentru a nu afecta in mod semnificativ activitatile desfasurate prin sistemul PIGD.

Raspunsul Conducerii


12 iulie 2013


3.1.2 Reguli de parole


Observatie

Am observat ca sistemul PIGD nu prevede necesitatea unor reguli pentru definirea parolelor de

autentificare a utilizatorilor. In plus, am constatat ca sistemul nu blocheaza browser-ul web sa retina in

istoric parolele de autentificare a utilizatorilor. Prin urmare, exista un risc major ca eventuale persoane

neautorizate sa dobandeasca acces la datele si informatiile gestionate prin sistemul PIGD. De

asemenea, la crearea unui cont de utilizator nou, la prima autentificare, sistemul nu solicita schimbarea

parolei.

Recomandare

Recomandam implementarea in sistemul PIGD a unor reguli de parole, tinand cont de urmatoarele

aspecte:

Lungimea minima: 8 caractere;

Perioada maxima de valabilitate: 30 zile;

Perioada minima de valabilitate: 1 zi;

Numarul de parole memorate de sistem: ultimele 12 parole folosite;

Parola ar trebui sa indeplineasca cerinte de complexitate;

Maximul de incercari esuate de autentificare admise: 3;

Numai un administrator sa poata debloca un cont blocat;

Dezactivarea contului de utilizator dupa o perioada inactiva de 2 luni.

In plus, recomandam implementarea in sistemul PIGD a unui mecanism care sa preintampine

posibilitatea ca browser-ele web sa memoreze parola de autentificare aferenta unui cont de utilizator.

De asemenea, recomandam modificarea sistemului PIGD astfel incat, la prima autentificare, sistemul

sa solicite schimbarea parolei de acces.



12 iulie 2013


3.1.3 Criptarea parolelor de acces


Observatie

In urma verificarilor efectuate, am observat ca parolele de acces ale utilizatorilor in sistemul PIGD sunt

vizibile in clar la nivelul bazei date. Prin urmare, exista un risc major ca persoane neautorizate (precum

administratorii de baze de date din cadrul CTS) sa acceseze informatii confidentiale ale utilizatorilor

PIGD. De asemenea, in cazul unor atacuri asupra sistemului, in lipsa unei criptari adecvate a

informatiilor confidentiale, eventualii atacatori pot obtine usor accesul la aceste informatii.

Recomandare

Recomandam implementarea unui algoritm puternic de criptare a parolelor de autentificare in sistemul

PIGD la nivelul bazelor de date SQL Server.



12 iulie 2013


3.1.4 Log-uri de sistem


Observatie

In urma revizuirilor efectuate la nivelul sistemului PIGD, am observat ca sistemul inregistreaza in log-uri

doar activitatile aferente administrarii dosarelor de judecata, in timp ce activitatile referitoare la

administrarea utilizatorilor in sistem (de exemplu, crearea, modificare sau stergerea conturilor de

utilizator) nu sunt inregistrate. Prin urmare, in lipsa acestor log-uri, nu pot fi identificate actiunile

neautorizate la nivel de sistem (de exemplu, crearea in mod neautorizat a unor conturi de utilizator,

alocarea nejustificata a unor drepturi in sistem etc.).

Recomandare

Recomandam modificarea sistemului PIGD, astfel incat sa permita inregistrarea in log-uri a

operatiunilor privind administrarea utilizatorilor in sistem. Ca parte a acestor inregistrari, sistemul

trebuie sa retina informatii precum: ora si data operatiunii, numele utilizatorului care a initiat

operatiunea, IP, hostname, descrierea operatiunii etc.

In plus, recomandam implementarea unui flux de revizuire periodica a acestor log-uri in vederea

identificarii unor operatiuni neautorizate la nivel de sistem, dupa cum a fost descris anterior.

Recomandam, de asemenea, alinierea acestor masuri cu prevederile Hotararii Guvernului Republicii

Moldova nr. 1123 din 14.12.2010, privind aprobarea Cerintelor fata de asigurarea securitatii datelor cu

caracter personal la prelucrarea acestora in cadrul sistemelor informationale de date cu caracter

personal.



12 iulie 2013


3.1.5 Aprobarea profilelor de utilizator in sistem

(Prioritate: Medie)

Observatie

La momentul implementarii sistemului PIGD, a fost realizata o analiza formalizata a responsabilitatilor

fiecarui utilizator pentru definirea profilelor de utilizator in sistem si a drepturilor de acces asociate.

Totusi, pe baza discutiilor purtate cu reprezentantii USAID ROLISP, am aflat ca, de la momentul

implementarii sistemului PIGD si al analizei initiale, au mai fost create si alte profile de utilizator care

insa nu au fost aprobate in mod oficial.

Prin urmare, in lipsa unor profile de utilizatori analizate si aprobate in mod formalizat exista riscul ca

anumiti utilizatori sa aiba alocate profile de drepturi neadecvate si, implicit, sa detina in mod nejustificat

acces la anumite tipuri de informatii sau sa desfasoare operatiuni neautorizate in sistem.

Recomandare

Recomandam revizuirea cu regularitate a profilelor de utilizator din sistemul PIGD si a drepturilor de

acces ale utilizatorilor (o data la 6 luni si dupa oricare schimbare de statut al utilizatorului), in mod

formalizat, pentru asigurarea faptului ca nu au fost acordate drepturi de acces neautorizate.

Ulterior acestor revizuiri, recomandam aprobarea in mod oficial de catre personalul de management a

acestor profile, astfel incat, la crearea unui cont de utilizator sa nu poata fi alocat un alt profil in afara de

cele care au fost aprobate.



12 iulie 2013


3.2 OBSERVATII REFERITOARE LA MEDIUL IT IN CARE SE ADMINISTREAZA SISTEMUL PIGD

3.2.1 Salvarea datelor aferente sistemului PIGD


Observatie

In prezent, nu exista un proces activ de salvare a datelor aferente celor aprox. 50 de baze de date ale

sistemului PIGD corespunzatoare instantelor judecatoresti. Conform reprezentantilor CTS, acest

proces nu a fost definit intrucat, la momentul de fata, are loc migrarea bazelor de date din locatiile din

teritoriu in locatia CTS. Cu toate acestea, in lipsa unor salvari periodice a datelor aferente sistemului

PIGD exista riscul pierderii acestor date in cazul producerii unui dezastru.

De asemenea, CTS nu face referiri in procedura de back-up interna la procesul de salvare si restaurare

a datelor aferente sistemului PIGD.

Recomandare

Recomandam implementarea unui proces recurent de salvare a datelor aferente sistemului PIGD atat

prin definirea unui mecanism de replicare in timp real a datelor intr-o locatie la distanta (de exemplu, in

locatia de recuperare in caz de dezastru), cat si printr-un back-up complet local (en: „database dump”).

De asemenea, pentru sporirea nivelului de siguranta, recomandam pastrarea salvarilor efectuate si pe

un mediu extern (caseta, DVD etc.) care sa fie pastrat intr-o alta locatie decat cea in care se afla

mediul de productie. Ulterior implementarii procesului de salvare a datelor, recomandam efectuarea

periodica a unor teste de restaurare pe baza carora sa se obtina asigurarea ca, in caz de necesitate,

datele pot fi restaurate corespunzator.

Recomandam, de asemenea, actualizarea procedurii interne de back-up prin descrierea mecanismelor

prin care se asigura salvarea si restaurarea, in caz de necesitate, a datelor si informatiilor gestionate

prin sistemul PIGD.



12 iulie 2013


3.2.2 Protectia antivirus


Observatie

In urma discutiilor purtate cu reprezentati ai CTS din cadrul Sectiei Suport Clienti, am constatat ca nu

au fost instalate sisteme antivirus pe cele patru servere virtualizate care sustin cele aprox. 50 de baze

de date si de instante ale aplicatiei PIGD. De asemenea, nici serverul care sustine baza de date de

raportare si instanta aplicatie nu este protejat printr-un sistem antivirus.

Prin urmare, exista riscul infectarii cu virusi, ceea ce ar putea duce la pierderi de date si ar afecta

continuitatea activitatii. De asemenea, prezenta unui program de tip „troian” ar putea facilita un atac

asupra sistemelor informatice.

Recomandare

Recomandam instalarea unui sistem antivirus pe toate serverele mentionate mai sus.



12 iulie 2013


3.2.3 Update-ul sistemelor de operare server


Observatie

In urma discutiilor purtate cu personalul de administrare a serverelor care sustin instantele de aplicatie

si baze de date din cadrul CTS, am aflat ca sistemele de operare aferente acestor servere nu sunt

actualizate cu update-urile furnizate de producator (atat in cazul celor patru servere virtualizate cat si in

cazul serverului pentru modulul de raportare). In consecinta, exista riscul ca CTS sa nu poata preveni

in timp util posibile vulnerabilitati de securitate care ar putea favoriza in anumite circumstante accesul

neautorizat la date si informatii interne si care, de altfel, ar putea fi remediate prin instalarea patch-urilor

de securitate furnizate de producator.

Recomandare

Recomandam CTS implementarea unei proceduri interne care sa adreseze unitar procesul de

actualizare a sistemelor de operare, si, in general, a echipamentelor IT. Prin aceasta procedura

recomandam definirea unui flux de lucru care sa descrie cum sunt identificate update-urile critice, cum

sunt testate, cum sunt migrate pe sistemele de productie s.a.m.d.



12 iulie 2013


3.2.4 Proceduri de continuitate operationala si de recuperare in caz de dezastru


Observatie

CTS nu a elaborat si implementat proceduri de continuitate operationala si de recuperare in caz de

dezastru care sa reglementeze planurile si masurile care trebuie adoptate pentru restaurarea rapida a

resurselor IT critice necesare desfasurarii activitatilor si pentru a minimiza intreruperile operationale in

cazul procedurii unui eveniment major (de exemplu, incendiu, cutremur etc.).

De asemenea, CTS nu detine o locatie alternativa din care sa-si poata continua activitatea si in care sa

poata restaura resursele IT in cazul in care locatia primara devine indisponibila.

De aceea, in lipsa unor astfel de proceduri, si a unei locatii alternative, exista riscul ca in urma unui

eveniment nefavorabil, infrastructura sistemului PIGD si activitatile de administrare a acestui sistem sa

nu poata fi restaurate.

Recomandare

Recomandam dezvoltarea unor proceduri de continuitate operationala si recuperare in caz de dezastru

care sa prevada actiunile care trebuie intreprinse in cazul unui eveniment major. Aceste proceduri vor

trebui testate pentru a se verifica eficacitatea planurilor elaborate si actualizate, in consecinta.

Recomandam, de asemenea, stabilirea unei locatii alternative (locatie de recuperare in caz de

dezastru) care sa permita desfasurarea activitatilor critice si restaurarea resurselor IT (inclusiv cele

referitoare la sistemul PIGD).



12 iulie 2013


3.2.5 Transferul datelor in modulul de raportare


Observatie

Zilnic, pe parcursul noptii, informatiile de raportare din fiecare baza de date aferenta unei instante

judecatoresti sunt importate in baza de date centrala pentru raportare. Totusi, in urma discutiilor purtate

cu reprezentanti ai Ministerului Justiției si ai CTS, am aflat ca acest proces de importare a informatiilor

in baza de date centrala se desfasoara defectuos intrucat serverul care sustine aceasta baza de date

nu are performanta necesara. Astfel, din cele aprox. 50 de baze de date, pe parcursul unei nopti se

reuseste importul de date doar din aprox. 30 de baze. Desi nu este finalizat, transferul de date este

intrerupt la inceputul zilei pentru a face disponibil accesul utilizatorilor pe modulul de raportare al

sistemului PIGD. Potrivit reprezentantilor CTS, transferul complet de date se realizeaza doar la sfarsit

de saptamana cand utilizatorii nu acceseaza modulul de raportare si, implicit, nu este necesara

intreruperea procesului.

Prin urmare, in lipsa unui transfer complet de date intre cele aprox. 50 de baze de date si baza de date

centrala, informatiile prezentate prin modulul de raportare al sistemului PIGD nu pot fi complete si

reprezentative, si practic, acest modul de raportare al sistemului nu isi poate atinge complet scopul

pentru care a fost implementat.

Recomandare

Recomandam imbunatatirea sau inlocuirea serverului care sustine baza de date pentru raportare astfel

incat, sa asigure performanta culegerii in timp util a datelor din cele aprox. 50 de instante. Alternativ,

daca este posibil, recomandam reanalizarea arhitecturii si fluxului de import al datelor pentru

optimizarea si adaptarea acestui proces la echipamentele hardware existente.



12 iulie 2013


3.2.6 Managementul incidentelor


Observatie

CTS este responsabil cu administrarea si mentenanta sistemului PIGD (servere de aplicatie, baze de

date, linii de comunicatie etc.), dar si a infrastructurii IT de la nivelul instantelor judecatoresti. Astfel,

pentru a putea trata in mod adecvat incidentele IT, CTS detine un departament de call center care

preia incidentele semnalate de catre personalul din instante, le inregistreaza intr-un sistem de tip

servicedesk, „eticket system” si in functie de instanta care a raportat, incidentele sunt alocate spre

rezolvare catre patru responsabili din Sectia Suport Clienti.

In urma revizuirii aplicatiei servicedesk, am observat ca in lista de incidente in curs de solutionare unele

dintre ele au fost rezolvate, dar, totusi, nu au fost inchise.

Pe de alta parte, in urma discutiilor purtate cu personalul din cadrul Curtii de Apel Chisinau, am aflat ca

rezolvarea incidentelor care sunt raportate catre CTS, uneori, intarzie foarte mult, fapt care creeaza

probleme in activitatile curente ale Curtii de Apel, si ale instantelor judecatoresti, in general.

Prin urmare, constatam ca fluxul de management al incidentelor in cadrul CTS este deficitar si nu

indeplineste intotdeauna, in mod eficient, necesitatile instantelor judecatoresti.

Recomandare

Recomandam CTS imbunatatirea procesului de management al incidentelor raportate de catre instante

printr-o gestiune mai clara a incidentelor (primite, in curs de rezolvare sau rezolvate) si o reorganizare

interna a fluxului de prioritizare, alocare si solutionare a incidentelor astfel incat incidentele care

afecteaza in mod semnificativ activitatea la nivelul instatelor judecatoresti sa fie remediate intr-un timp

cat mai scurt.

De asemenea, recomandam CTS efectuarea periodica a unor analize formalizate a incidentelor

ramase nerezolvate si a celor repetitive in vederea identificarii si implementarii unor controale adecvate

pentru a preveni aparitia incidentelor repetitive.



12 iulie 2013


3.2.7 Salvarea datelor aferente modulului de raportare statistica din sistemul PIGD


Observatie

In prezent, nu exista un proces automat de salvare a datelor aferente modulului de raportare statistica

din sistemul PIGD. Conform discutiilor purtate cu reprezentatii CTS, aceste salvari se realizeaza

manual de catre personalul CTS. Prin urmare, exista riscul ca, la un moment dat, dintr-o eroare umana,

salvarea datelor sa nu se realizeze adecvat.

De asemenea, salvarile de date efectuate sunt pastrate doar pe serverul care sustine modulul de

raportare statistica si pe niciun alt mediu extern. Astfel, in cazul in care serverul ce sustine mediul de

productie este compromis (de exemplu, incendiu, inundatie etc.) datele salvate nu mai pot fi restaurate.

Recomandare

Recomandam CTS definirea unui proces automatizat recurent de salvare a datelor aferente modulului

de raportare din sistemul PIGD si pastrarea acestor salvari si pe un mediu extern (caseta, DVD etc.)

care sa fie pastrat intr-o alta locatie decat cea in care se afla mediul de productie.



12 iulie 2013


3.2.8 Conturi de administrare


Observatie

Conturile de administrator pe serverele care sustin bazele de date si instantele de aplicatie ale

sistemului PIGD sunt generice. In plus, am observat ca exista anumite conturi (de exemplu, conturile

“Admin” si “fabric” pe serverul „MinJust IIS 1”) care nu sunt folosite, dar sunt active si nu se stie cu

exactitate care este rolul acestora. De asemenea, pentru contul “Administrator” care este folosit pentru

administrarea acestor servere nu a fost aprobata in mod oficial o lista cu persoanele care au acces la

acest cont. Prin urmare, exista riscul ca anumite persoane sa detina acces neautorizat, iar in cazul in

care unul dintre aceste conturi generice este utilizat pentru initierea unor operatiuni neautorizate,

persoana responsabila sa nu poata fi identificata.

Recomandare

Recomandam CTS efectuarea unei revizuiri complete a conturilor de administrare a serverelor ce

sustin sistemul PIGD la nivel de aplicatie si baze de date (inclusiv pentru modulul de raportare) si

dezactivarea conturilor active nefolosite.

Recomandam, de asemenea, definirea unor conturi de administrare nominale (care sa identifice in mod

unic numele angajatului) sau daca acest lucru nu este posibil, aprobarea in mod formalizat a unei liste

cu persoanele care au acces la un cont generic (de exemplu, lista cu persoanele care au acces la

contul „Administrator” pe serverul „MinJust IIS 1”).



12 iulie 2013


3.2.9 Drepturi de administrator


Observatie

In urma revizuirii unui esantion de statii de lucru din cadrul CTS, am observat ca anumiti utilizatori au

drepturi de administrator pe statiile locale, desi, in mod normal, nu ar avea nevoie de aceste drepturi.

Prin urmare, exista riscul ca acesti utilizatori sa desfasoare actiuni neautorizate in sistem cu efecte

nefavorabile asupra securitatii si integritatii mediului IT din cadrul CTS.

Recomandare

Recomandam CTS efectuarea unei analize complete asupra statiilor de lucru interne in vederea

identificarii utilizatorilor care au drepturi nejustificate de administrare asupra statiilor de lucru locale, iar

ulterior, blocarea accestor drepturi.



12 iulie 2013


3.2.10 Managementul capacitatii


Observatie

Din discutiile purtate cu personalul de administrare a sistemelor, am aflat ca CTS nu desfasoara

deocamdata un proces de monitorizare a capacitatii echipamentelor IT care sustin sistemul PIGD.

Astfel, in lipsa unui astfel de proces, exista riscul ca CTS sa nu poata preintampina blocaje ale

sistemului cauzate, spre exemplu, de suprasolicitarea echipamentelor de calcul, de functionarea

defectuoasa a unor componente sau din lipsa spatiului de stocare.

Recomandare

Recomandam CTS sa defineasca un flux formalizat de monitorizare recurenta a capacitatii

echipamentelor IT care sustin sistemul PIGD. Ca parte a acestui flux, CTS trebuie sa identifice

echipamentele critice, indicatorii cheie de performanta si frecventele monitorizarii.



12 iulie 2013


3.2.11 Migrarea schimbarilor pe mediul de productie


Observatie

In urma discutiilor purtate cu administratorii de sistem din cadrul CTS, am constatat ca migrarea

schimbarilor pe mediul de productie al PIGD se realizeaza direct de catre dezvoltatorii acestei aplicatii.

In acest scop, administratorii de sistem din cadrul CTS (Sectia Suport Clienti), creeaza conturi

temporare de acces pe serverele de aplicatie si baze de date. Prin urmare, exista riscul ca pe parcursul

acestor operatiuni, dezvoltatorii sa desfasoare operatiuni neautorizate la nivelul serverelor de aplicatii si

baze de date cu efecte nefavorabile asupra securitatii si integritatii acestora.

Recomandare

Recomandam CTS restrictionarea accesului dezvoltatorilor in mediul de productie al PIGD pentru a

minimiza riscurile mai sus mentionate. Schimbarile de aplicatie trebuie migrate in mediul de productie

de catre angajati anume desemnati, diferiti de dezvoltatori.



12 iulie 2013


3.2.12 Revizuirea conturilor de utilizator


Observatie

Conform procedurii pentru administrarea conturilor de utilizator dezvoltata si implementata in

conformitate cu standardul ISO 27001, CTS desfasoara regulat activitati de revizuire a conturilor de

utilizator in sistemele IT interne ale institutiei. Cu toate acestea, in urma interviurilor derulate cu

personalul IT am aflat ca de la implementarea acestei proceduri nu a fost efectuata inca o astfel de

revizuire. In lipsa unei astfel de activitati, exista riscul ca anumite conturi de utilizator care nu mai sunt

folosite, sa ramana active si sa poata fi folosite pentru a initia operatiuni neautorizate.

Recomandare

Recomandam CTS sa efectueze periodic, conform procedurii de administrare a conturilor de utilizator,

o revizuire formala a tuturor conturilor definite in sistemele informatice, prin compararea listei de conturi

existente in sisteme cu lista angajatilor Companiei, furnizata de Departamentul de Resurse Umane, in

scopul identificarii conturilor lasate active in sisteme si dezactivarii acestora.



12 iulie 2013


3.2.13 Diagrama de retea

(Prioritate: Medie)

Observatie

Departamentul IT din cadrul CTS nu a elaborat o diagrama de retea detaliata aferenta sistemului PIGD,

respectiv, a arhitecturii hardware si software care il alcatuiesc. Prin urmare, exista riscul ca activitatile

de administrare a acestui sistem sa nu fie eficient desfasurate de catre unii dintre angajati intrucat nu

au o imagine privind dispunerea fizica si logica a componentelor in retea.

Recomandare

Recomandam CTS definirea unei diagrame de retea detaliate pentru sistemul PIGD care sa ilustreze

dispunerea fizica si logica a componentelor hardware si software care alcatuiesc acest sistem.



12 iulie 2013


3.3 OBSERVATII REFERITOARE LA MEDIUL IT DIN INSTANTELE JUDECATORESTI

3.3.1 Politica de securitate IT


Observatie

In urma discutiilor cu personalul din cadrul Curtii de Apel Chisinau, am aflat ca nu exista o politica de

securitate IT interna care sa precizeze cerintele de baza pentru protectia informatiilor si a sistemelor

din cadrul acestei institutii si a celorlalte instante judecatoresti. Asadar, fara o astfel de politica,

instantele judecatoresti nu se pot asigura ca au fost implementate si puse in aplicare reguli de

securitate IT consistente, fapt care sporeste riscul de acces neautorizat la sistemele si informatiile

interne. De asemenea, utilizatorii sistemelor IT nu vor fi constienti de importanta securitatii sistemelor

informatice.

Recomandare

Recomandam, la nivelul tuturor instantelor judecatoresti, dezvoltarea si implementarea unei politici de

securitate IT, care ar trebui sa acopere protectia tuturor activelor informatice. Aceasta politica trebuie

sa detalieze toate nivelurile de securitate a datelor si sa furnizeze recomandari pentru ca utilizatorii sa

stie cum sa asigure protectia datelor. Politica trebuie sa fie cunoscuta de toti utilizatorii, iar acestia

trebuie sa semneze un formular prin care sa dovedeasca intelegerea si acceptarea continutului

acesteia.

Recomandam, de asemenea, alinierea acestui document cu prevederile Hotararii Guvernului Republicii

Moldova nr. 1123 din 14.12.2010, privind aprobarea Cerintelor fata de asigurarea securitătii datelor cu


personal.



12 iulie 2013


3.3.2 Parole de acces pe statiile locale


Observatie

In urma revizuirii unui esantion de statii de lucru din cadrul Curtii de Apel Chisinau, am observat ca

anumite statii nu au fost configurate sa solicite utilizatorilor autentificarea in sistemul de operare pe

baza de parola. Prin urmare, exista riscul ca o persoana neautorizata care obtine acces la o astfel de

statie sa poata folosi in mod abuziv statia respectiva si sa acceseze informatii despre reteaua interna

sau alte informatii confidentiale interne.

Recomandare

Recomandam efectuarea unei analize complete asupra statiilor de lucru interne la nivelul fiecarei

instante judecatoresti in vederea identificarii statiilor care nu solicita utilizatorilor autentificarea in

sistemul de operare pe baza de parola, iar ulterior, reconfigurarea mecanismul de autentificare. In plus,

recomandam folosirea unor reguli complexe pentru definirea parolelor de autentificare dupa cum am

specificat in observatia 3.4.1.

De asemenea, pentru un management eficient al parolelor, al conturilor de utilzator si, in general, al

retelei interne, recomandam implementarea unui sistem de tip Domain Controller conform observatiei

3.3.10.



12 iulie 2013


3.3.3 Linii de comunicatie


Observatie

In prezent, instantele judecatoresti au o singura linie de comunicatii cu CTS si, implicit, cu sistemul

PIGD. Prin urmare, in cazul indisponibilitatii acestei linii, accesul la sistemul PIGD este intrerupt, iar

activitatile operationale interne sunt afectate.

Recomandare

Recomandam configurarea unei linii de comunicatii alternative la nivelul fiecarei instante judecatoresti

care sa asigure functionarea sistemului PIGD si legatura cu CTS atunci cand linia primara este

indisponibila.



12 iulie 2013


3.3.4 Camerele serverelor din instantele judecatoresti


Observatie

In urma discutiilor purtate cu personalul din cadrul Curtii de Apel Chisinau, am aflat ca serverul pe care

se stocheaza inregistrarile audio ale sedintelor de judecata si alte informatii interne este plasat in

camera de deliberare a judecatorilor. Cu toate ca accesul in aceasta camera este permis doar

judecatorilor, exista totusi riscul ca, prin lipsa unor controale de securitate fizica adecvate, persoane

neautorizate sa obtina acces la server si la datele interne, sau, prin lipsa unor controale de mediu

adecvate, integritatea serverului sa fie afectata (risc de incendiu, inundatii etc.).

Recomandare

Recomandam amenajarea atat in sediul Curtii de Apel Chisinau cat si in celelalte instante judecatoresti,

a unei locatii speciale in care sa fie plasat severul intern si toate echipamentele IT de comunicatie. In

vederea prevenirii accesului fizic neautorizat, la nivelul acestei locatii, trebuie implementate controale

de acces fizic precum: acces pe baza de cheie/card (accesul trebuie sa fie permis unui numar restrans

de angajati cu competente IT), sistem de alarma antiefractie, pozitionare intr-o zona retrasa, fara

geamuri la exterior, daca este la parter, registru in care se pastreaza evidenta persoanele care intra in

locatie etc.

De asemenea, pentru asigurarea integritatii echipamentelor, la nivelul acestei locatii trebuie

implementate controale de mediu precum: sistem de climatizare, sistem de detectie a incendiilor,

sistem de stingere a incendiilor (de ex. extinctor) etc. In plus, acest spatiu nu trebuie sa fie prevazut cu

tevi prin care circula apa sau alte sisteme de utilitati care, in cazul unor defectiuni, pot afecta

echipamentele IT.



12 iulie 2013




Observatie

In urma revizuirii unui esantion de statii de lucru din cadrul Curtii de Apel Chisinau, am observat ca

anumiti utilizatori au drepturi de administrator pe statiile locale, desi, in mod normal, nu ar avea nevoie

de aceste drepturi. Prin urmare, exista riscul ca acesti utilizatori sa desfasoare actiuni neautorizate in

sistem cu efecte nefavorabile asupra securitatii si integritatii mediului IT din cadrul acestei institutii si

asupra securitatii si integritatii datelor gestionate prin sistemul PIGD, in general.

Recomandare

Recomandam efectuarea unei analize complete asupra statiilor de lucru interne la nivelul fiecarei

instante judecatoresti in vederea identificarii utilizatorilor care au drepturi nejustificate de administrare

asupra statiilor de lucru locale, iar ulterior, blocarea accestor drepturi. De asemenea, conform

observatiei 3.3.10, recomandam implementarea a cate unui sistem de tip Domain Controller pentru

administrarea retelei interne si a conturilor de utilizator la nivelul fiecarei instante judecatoresti.



12 iulie 2013


3.3.6 Administrarea conturilor de utilizator


Observatie

In urma discutiilor cu personalul din cadrul Curtii de Apel Chisinau, am aflat ca la nivelul instantelor

judecatoresti nu exista o procedura formalizata pentru administrarea conturilor de utilizator in sistemele

IT (inclusiv in sistemul PIGD) care sa reglementeze fluxul de creare, modificare sau dezactivare a unui

cont de utilizator. Asadar, exista riscul ca nu intotdeauna aceste activitati sa se desfasoare in

conformitate cu necesitatile reale si, prin urmare, persoane neautorizate sa obtina acces la date si

informatii confidentiale.

Recomandare

Recomandam elaborarea si implementarea unei proceduri de administrare a conturilor de utilizator la

nivelul tuturor instantelor judecatoresti in vederea stabilirii unor fluxuri formalizate pentru procesul de

creare, modificare sau dezactivare a conturilor de utilizator in sistemele IT folosite. Aceste activitati

trebuie sa se realizeze in mod formalizat prin completarea de catre solicitanti a unor formulare care,

inainte de a fi procesate, sa fie aprobate de personal superior, din punct de vedere ierarhic.



12 iulie 2013


3.3.7 Managementul incidentelor raportate


Observatie

In urma auditului efectuat, am constatat faptul ca, la nivelul instantelor judecatoresti, nu exista o

procedura formala de management al incidentelor IT. Astfel, in unele dintre instantele judecatoresti,

incidentele legate de functionarea echipamentelor IT (hardware si software) sunt raportate informal

(prin telefon, e-mail etc.) de utilizatori catre CTS si nu se pastreaza o evidenta cu incidentele raportate.

In lipsa unei astfel de evidente, nu se poate realiza o analiza asupra incidentelor care au fost raportate,

a celor care sunt in curs de remediere sau a celor care au ramas neremediate.

Recomandare

Recomandam dezvoltarea si implementarea la nivelul tuturor instantelor judecatoresti a unei proceduri

uniforme pentru managementul incidentelor care sa prevada obligativitatea ca fiecare incident

identificat de utilizatori sa fie raportat, inregistrat si investigat in mod formal.

De asemenea, recomandam implementarea la nivelul instantelor judecatoresti a unei solutii de tip

servicedesk pentru raportarea si inregistrarea incidentelor IT catre CTS care sa permita vizualizarea

stadiului in care se afla un anumit incident (de exemplu, initiat, in curs de remediere, remediat).



12 iulie 2013


3.3.8 Update-ul sistemelor de operare


Observatie

In urma discutiilor purtate cu personalul din cadrul Curtii de Apel Chisinau, am aflat ca sistemele de

operare aferente statiilor de lucru din institutie nu sunt actualizate cu update-urile furnizate de

producator. In consecinta, exista riscul de a nu putea preveni in timp util posibile vulnerabilitati de

securitate care ar putea favoriza in anumite circumstante accesul neautorizat la date si informatii

interne si care, de altfel, ar putea fi remediate prin instalarea patch-urilor de securitate furnizate de

producator.

Recomandare

Recomandam implementarea la nivelul instantelor judecatoresti a unei proceduri interne care sa

adreseze unitar procesul de actualizare a sistemelor de operare, si, in general, a echipamentelor IT. De

asemenea, recomandam reconfigurarea sistemelor de operare instalate pe statiile de lucru interne

astfel incat sa permita descarcarea si instalare update-urilor furnizate de producator.



12 iulie 2013


3.3.9 Conturi de utilizator in sistemul PIGD


Observatie

Ca parte a testelor efectuate in cadrul Curtii de Apel Chisinau, am observat ca anumite conturi de

utilizator in sistemul ICSM sunt generice (de exemplu, contul manager-ului) fara a exista aprobare in

mod oficial privind persoana/persoanele care au acces la acest cont. Prin urmare, exista riscul ca

anumite persoane sa detina acces neautorizat, iar in cazul in care unul dintre aceste conturi generice

este utilizat pentru initierea unor operatiuni neautorizate, persoana responsabila sa nu poata fi

identificata.

Recomandare

Recomandam modificarea conturilor generice de acces in sistemul PIGD in conturi nominale (care sa

identifice in mod unic numele angajatului) sau daca acest lucru nu este posibil, aprobarea in mod

formalizat a unei liste cu persoanele care au acces la un cont generic (de exemplu, lista cu persoanele

care au acces la contul „Manager”).



12 iulie 2013


3.3.10 Administrarea retelelor pe baza de Domain Controller


Observatie

In urma auditului efectuat, am constatat faptul ca instantele judecatoresti in care a fost implementat

sistemul PIGD nu au o retea interna bazata pe un Domain Controller. Prin urmare, administrarea

statiilor de lucru nu poate fi realizata centralizat, existand astfel riscul ca setarile de securitate si

configuratie sa nu fie corect implementate la nivelul tuturor statiilor de lucru si, implicit, sa favorizeze

accesul neautorizat la sistemul PIGD.

Recomandare

Recomandam administrarea centralizata a retelelor interne aferente instantelor judecatoresti prin

folosirea a cate unui sistem de tip Domain Controller care sa includa toate statiile de lucru dintr-o retea.

Printr-o astfel de abordare, setarile de securitate (de exemplu, reguli de parole) si configuratie definite

la nivel de Domain Controller sunt aplicate fiecarei statii de lucru care este inclusa in domeniu. De

asemenea, administrarea incidentelor si a evenimentelor specifice statiilor de lucru se poate realiza

centralizat prin Domain Controller.



12 iulie 2013


3.3.11 Conturi de utilizator in modulul de raportare statistica al sistemului PIGD


Observatie

In urma discutiilor purtate cu personalul din cadrul Curtii de Apel Chisinau si cu reprezentantii USAID

ROLISP, am aflat ca, la nivelul fiecarei instante judecatoresti, accesul pe modulul de raportare al

sistemului PIGD se realizeaza printr-un cont generic care este partajat de mai multe persoane (angajati

din instante) fara a exista aprobare in mod oficial privind persoana/persoanele care au acces la acest

cont. Prin urmare, exista riscul ca anumite persoane sa detina acces neautorizat la informatiile din

modulul de raportare statistica.

Recomandare

Recomandam modificarea la nivelul fiecarei instante judecatoresti a conturilor generice de acces in

modulul de raportare al sistemul PIGD in conturi nominale (care sa identifice in mod unic numele

angajatului). Astfel, pentru fiecare persoana care necesita acces pe modulul de raportare trebuie sa se

defineasca cate un cont nominal.



12 iulie 2013


3.4 OBSERVATII REFERITOARE LA MEDIUL IT DIN MINISTERUL JUSTITIEI

3.4.1 Politica de securitate IT


Observatie

In urma discutiilor purtate cu personalul IT din cadrul Ministerului Justitiei, am aflat ca nu exista o

politica de securitate IT interna care sa precizeze cerintele de baza pentru protectia informatiilor si a

sistemelor din cadrul acestei institutii. Asadar, fara o astfel de politica, Ministerul Justiției nu se poate

asigura ca au fost implementate si puse in aplicare reguli de securitate IT consistente, fapt care

sporeste riscul de acces neautorizat la sistemele si informatiile interne. De asemenea, utilizatorii

sistemelor IT nu vor fi constienti de importanta securitatii sistemelor informatice.

Recomandare

Recomandam Ministerului Justiției sa dezvolte si sa implementeze o politica de securitate IT, care ar

trebui sa acopere protectia tuturor activelor informatice. Aceasta politica trebuie sa detalieze toate

nivelurile de securitate a datelor si sa furnizeze recomandari pentru ca utilizatorii sa stie cum sa asigure

protectia datelor. Politica trebuie sa fie cunoscuta de toti utilizatorii, iar acestia trebuie sa semneze un

formular prin care sa dovedeasca intelegerea si acceptarea continutului acesteia.

Recomandam, de asemenea, alinierea acestui document cu prevederile Hotararii Guvernului Republicii

Moldova nr. 1123 din 14.12.2010, privind aprobarea Cerintelor fata de asigurarea securitătii datelor cu


personal.



12 iulie 2013


3.4.2 Reguli de parole la nivel de retea


Observatie

In urma revizuirii unui esantion de statii de lucru din cadrul Ministerului Justiției, am observat ca

anumite statii nu au fost configurate sa solicite utilizatorilor autentificarea in sistemul de operare pe

baza de parola. Prin urmare, exista riscul ca o persoana neautorizata care obtine acces la o astfel de

statie sa poata folosi in mod abuziv statia respectiva si sa acceseze informatii despre reteaua interna

sau alte informatii confidentiale interne.

In plus, desi a fost implementat un sistem Domain Controller, nu toate statiile de lucru sunt incluse si

administrate prin domeniu intrucat, serverul de domeniu nu poate asigura cerintele de performanta

necesare. Prin urmare, administrarea acestor statii de lucru nu poate fi realizata centralizat, existand

astfel riscul ca setarile de securitate si configuratie sa nu fie corect implementate si, implicit, sa

favorizeze accesul neautorizat la sistemul PIGD.

De asemenea, la nivel de domeniu nu au fost implementate reguli pentru definirea parolelor de

autentificare a utilizatorilor in retea. Astfel, exista riscul ca eventuale persoane neautorizate sa

dobandeasca acces in reteaua Ministerului Justiției si, implicit, la datele si informatiile interne.

Recomandare

Recomandam Ministerului Justiției urmatoarele:

Efectuarea unei analize complete asupra statiilor de lucru interne in vederea identificarii statiilor

care nu solicita utilizatorilor autentificarea in sistemul de operare pe baza de parola, iar ulterior,

reconfigurarea mecanismul de autentificare.

Imbunatatirea sau inlocuirea serverului de Domain Controller astfel incat sa poate fi incluse in

domeniu toate statiile de lucru din reteaua interna.

Implementarea la nivel de domeniu a unor reguli de parole, tinand cont de urmatoarele aspecte:

o Lungimea minima: 8 caractere;

o Perioada maxima de valabilitate: 30 zile;

o Perioada minima de valabilitate: 1 zi;

o Numarul de parole memorate de sistem: ultimele 12 parole folosite;

o Parola ar trebui sa indeplineasca cerinte de complexitate;

o Maximul de incercari esuate de autentificare admise: 3;

o Numai un administrator sa poata debloca un cont blocat;

o Dezactivarea contului de utilizator dupa o perioada inactiva de 2 luni.



12 iulie 2013


3.4.3 Controlul accesul fizic


Observatie

Am observat urmatoarele deficiente cu privire la controlul accesului fizic in camera in care sunt stocate

echipamentele IT critice din cadrul Ministerului Justiției:

Camera este plasata la demisolul cladirii Ministerului Justiției si este prevazuta cu geamuri la

exterior care favorizeaza cu usurinta accesul neautorizat din exterior in incinta;

Accesul in locatie este protejat printr-o usa de lemn care, insa, nu prezinta o siguranta ridicata;

In interiorul locatiei, exista o usa care, in trecut, a comunicat cu un birou alaturat. La momentul

actual, aceasta usa a fost dezafectata prin montarea unei placi de gips carton ce nu prezinta un

nivel inalt de siguranta;

Nu exista un sistem de monitorizare video pentru persoanele care intra in aceasta camera;

Sistemul de alarma se activeaza doar pe timpul noptii. Prin urmare, in cazul unei efractii in timpul

zilei, sistemul de alarma nu este functional;

Nu exista o lista formalizata cu persoanele care au drept de acces in locatie;

Nu exista jurnale de inregistrare a vizitatorilor in locatie;

In cadrul institutiei, nu exista o procedura care sa reglementeze accesul fizic in camera serverelor

precum si in celelalte spatii de desfasurare a activitatii.

Recomandare

Recomandam Ministerului Justiției reamenajarea camerei serverelor astfel incat sa fie remediate

deficientele semnalate sau, alternativ, externaliarea serviciilor de gazduire a echipamentelor IT critice

la un furnizor specializat (de exemplu, la un centru de date) care asigura conditii adecvate de securitate

fizica.



12 iulie 2013


3.4.4 Controalele de mediu


Observatie

Am observat urmatoarele deficiente cu privire la controalele pentru protectia mediului in camera in care

sunt stocate echipamentele IT critice din cadrul Ministerului Justiției:

Locatia este strabatuta de tevi de termoficare ce ar putea provoca inundatii si, implicit, distrugerea

echipamentelor in cazul unor defectiuni;

Potrivit personalului IT din cadrul Ministerului Justiției, senzorul de detectie a incendiilor montat in

locatie nu este functional;

Extinctorul din locatie este vechi si, posibil, nefunctional;

In locatie sunt stocate materiale inflamabile (dosare, hartii etc.) care pot favoriza extinderea rapida

a incendiilor;

In locatie exista un nivel ridicat de praf ce poate afecta buna functionare a echipamentelor IT;

Potrivit personalului IT din cadrul Ministerului Justiției, personalul care asigura mentenanta si

lucrarile de reparatie a sistemului de climatizare intarzie foarte mult de la momentul solicitarii

(chiar si doua luni), timp in care acesta nu functioneaza corespunzator sau nu functioneaza deloc.

Cu toate aceastea, la momentul auditului, sistemul functiona corespunzator, asigurand o

temperatura adecvata in locatie;

Nu exista linii redundante de alimentare cu energie electrica;

Nu exista generatoare electrice;

Potrivit personalului IT din cadrul Ministerului Justiției, acumulatorii echipamentelor UPS sunt uzati

si nu pot asigura o autonomie adecvata in cazul unor avarii ale sistemului de alimentare cu

energie electrica.

Recomandare

Recomandam Ministerului Justiției reamenajarea camerei serverelor astfel incat sa fie remediate

deficientele semnalate sau, alternativ, externaliarea serviciilor de gazduire a echipamentelor IT critice

la un furnizor specializat (de exemplu, la un centru de date) care asigura conditii adecvate de protectie

a mediului.



12 iulie 2013


3.4.5 Procesul de management al schimbarilor


Observatie

In urma discutiilor purtate cu reprezentantii Curtii de Apel Chisinau si ai Ministerului Justiției, in calitate

de beneficiari ai sistemului PIGD am identificat urmatoarele deficiente cu privire la procesul de

management al schimbarilor in sistemul PIGD:

Nu exista o procedura formalizata pentru managementul schimbarilor in sistemul PIGD la nivelul

instantelor judecatoresti si al Ministerului Justiției care sa reglementeze fluxul prin care se initiaza

cererile de schimbare in sistemul PIGD, fluxurile de aprobare, dezvoltare, testare si migrare a

schimbarilor pe mediul de productie.

Cu toate ca Ministerul Justitiei a creat un grup de lucru care sa analizeze solicitarile de schimbare,

respectiv sa realizeze receptia finala a schimbarilor si a noilor versiuni ale sistemului PIGD, la

momentul de fata, am observat ca nu exista o persoana (en: „system owner”) care sa asigure in

mod adecvat legatura dintre dezvoltator si beneficiari, care sa coordoneze managementul

schimbarilor in sistem, care sa cunoasca stadiul modificarilor solicitate si care, in general, sa se

asigure de buna functionare a sistemului. Desi, in mod normal, aceasta persoana ar trebui sa faca

parte din randul beneficiarilor (Ministerul Justiției si instantele judecatoresti), in prezent, cel mai

mult se apropie de acest rol reprezentantii programului USAID ROLISP;

Testarea schimbarilor efectuate se realizeaza de catre personalul BASS Systems (dezvoltator al

sistemului PIGD), de personalul programului USAID ROLISP, de catre anumite instante

judecatoresti pilot, dar nu si de catre utilizatorii care au solicitat propriu-zis acele schimbari;

Intrucat nu a fost implementat un mediu de test, toate schimbarile sistemelor informatice sunt

efectuate si testate direct in mediul de productie;

Testele nu se efectueaza pe baza unor scenarii de testare;

Migrarea schimbarilor pe mediul de productie se face direct de catre dezvoltatori. Pentru acest

lucru, CTS creeaza conturi de acces temporare pe mediul de productie.

Prin urmare, in lipsa unei proceduri corect implementate pentru managementul schimbarilor in sistemul

PIGD nu exista nicio siguranta ca modificarile sau sistemele introduse in mediul de productie sunt in

concordanta cu cerintele utilizatorilor si nu contin functionalitati neautorizate. De asemenea, fara un

proces de testare riguroasa a modificarilor efectuate in sistem exista riscul ca schimbarile implementate

sa nu functioneze corect sau chiar sa afecteze semnificativ sistemul in ansamblu.

Recomandare

Recomandam dezvoltarea si implementarea la nivelul Ministerului Justiției si al instantelor judecatoresti

a unei proceduri formalizate de management al schimbarilor in sistemul PIGD pentru a minimiza

riscurile mai sus mentionate. Aceasta procedura trebuie sa includa cel putin urmatoarele:

Implementarea unui flux de initiere a schimbarilor in sistem bazat pe o cerere formala analizata si

aprobata de catre personalul de management;

Desemnarea unui responsabil cu managementul schimbarilor in sistemul PIGD care sa interfateze

si sa monitorizeze legatura dintre dezvoltator si beneficiari si care sa se asigure in permanenta de


12 iulie 2013


buna functionare a sistemului. Rolul acestei persoane este de a se asigura ca dezvoltatorul

(compania BASS Systems) implementeaza modificarile in aplicatie in conformitate cu cerintele

utilizatorilor respectand termenele si cerintele de calitate solicitate. Aceasta persoana ar trebui

desemnata din randul beneficiarilor (Ministerul Justiției si instantele judecatoresti);

Definirea unui proces formalizat de testare a schimbarilor in care sa fie implicati, pe langa

instantele pilot, si utilizatorii sistemului PIGD care au solicitat respectivele schimbari;

Desfasurarea testelor pe baza unor planuri de testare detaliate care sa acopere toate ariile din

sistem impactate de o schimbare;

Datele de test ar trebui sa fie similare cu cele din mediul de productie, dar sa nu contina si

informatiile confidentiale;

Utilizatorii trebuie sa semneze pentru a atesta efectuarea testelor;

Migrarea unei schimbari in mediul de productie numai dupa ce, in prealabil, a fost emisa, in acest

sens, o acceptanta formala din partea beneficiarului (Ministerul Justiției/ instante judecatoresti);

Stabilirea unui responsabil pentru migrarea schimbarilor pe mediul de productie si care sa nu fie

din echipa de dezvoltare (ar putea fi alocata, spre exemplu, o persoana din cadrul CTS).

Recomandam, de asemenea, restrictionarea accesului dezvoltatorilor externi la aplicatii sau la

bazele de date ale acestora;

Documentarea schimbarilor si informarea utilizatorilor cu privire la modificarile efectuate.



12 iulie 2013


3.4.6 Proceduri de continuitate operationala si de recuperare in caz de dezastru


Observatie

In urma auditului efectuat, am constatat ca la nivelul Ministerului Justiției si al instantelor judecatoresti

nu exista proceduri de continuitate operationala si de recuperare in caz de dezastru aferente sistemului

PIGD care sa reglementeze planurile si masurile care trebuie adoptate pentru restaurarea rapida a

resurselor IT critice necesare functionarii sistemului si pentru a minimiza intreruperile operationale in

cazul procedurii unui eveniment major (de exemplu, incendiu). De aceea, in lipsa unor astfel de

proceduri, exista riscul ca in urma unui eveniment nefavorabil activitatile ce implica folosirea sistemului

PIGD sa nu poata fi reluate in mod optim.

Recomandare

Recomandam dezvoltarea unor proceduri de continuitate operationala si recuperare in caz de dezastru

care sa prevada actiunile care trebuie intreprinse in cazul unui eveniment major. Aceste proceduri vor

trebui testate pentru a se verifica eficacitatea planurilor elaborate si actualizate, in consecinta.



12 iulie 2013




Observatie

In urma revizuirii unui esantion de statii de lucru din cadrul Ministerului Justiției, am observat ca anumiti

utilizatori au drepturi de administrator pe statiile locale, desi, in mod normal, nu ar avea nevoie de

aceste drepturi. Prin urmare, exista riscul ca acesti utilizatori sa desfasoare actiuni neautorizate in

sistem cu efecte nefavorabile asupra securitatii si integritatii mediului IT din cadrul Ministerului Justiției.

Recomandare

Recomandam Ministerului Justiției efectuarea unei analize complete asupra statiilor de lucru interne in

vederea identificarii utilizatorilor care au drepturi nejustificate de administrare asupra statiilor de lucru

locale, iar ulterior, blocarea accestor drepturi. De asemenea, conform observatiei 3.4.2 recomandam

includerea in sistemul Domain Controller a tuturor statiilor de lucru interne in vederea eficientizarii

managementului conturilor de utilizator, a drepturilor alocate utilizatorilor, si a managementului retelei,

in general.



12 iulie 2013


3.4.8 Administrarea conturilor de utilizator


Observatie

In urma discutiilor cu personalul IT din cadrul Ministerului Justiției, am aflat ca nu exista o procedura

formalizata pentru administrarea conturilor de utilizator in sistemele IT interne care sa reglementeze

fluxul de creare, modificare sau dezactivare a unui cont de utilizator. Asadar, exista riscul ca nu

intotdeauna aceste activitati sa se desfasoare in conformitate cu necesitatile reale si, prin urmare,

persoane neautorizate sa obtina acces la date si informatii confidentiale.

Recomandare

Recomandam elaborarea si implementarea unei proceduri de administrare a conturilor de utilizator la

nivelul sistemelor IT din cadrul Ministerului Justiției in vederea stabilirii unor fluxuri formalizate pentru

procesul de creare, modificare sau dezactivare a acestor conturi. Aceste activitati trebuie sa se

realizeze in mod formalizat prin completarea de catre solicitanti a unor formulare care, inainte de a fi

procesate, sa fie aprobate de personal superior, din punct de vedere ierarhic.



12 iulie 2013


3.4.9 Licentierea programelor software


Observatie

In urma discutiilor purtate cu personalul de administrare a infrastructurii IT din cadrul Ministerului

Justiției, am aflat ca cea mai mare parte dintre programele software folosite pe statiile de lucru interne

(sisteme de operare, sistem antivirus etc.) nu sunt licentiate. Prin urmare, exista riscul ca astfel de

programe sa ascunda posibile vulnerabilitati de securitate, care odata exploatate de un atacator, pot

favoriza accesul neautorizat la date si informatii interne. De asemenea, procesul de actualizare a

acestor programe poate sa functioneze defectuos, sau sa nu functioneze deloc, situatii care

favorizeaza grave probleme de securitate (de exemplu, lipsa actualizarii cu semnaturi de virusi a

sistemelor antivirus). In plus, prin folosirea unor programe software fara licenta, in cazul unor controale

ale organelor abilitate exista riscul primirii unor sanctiuni.

De asemenea, am observat ca nu exista o lista formalizata cu configuratia necesara fiecarei statii de

lucru si a aplicatiilor software care sunt aprobate a fi folosite. Prin urmare, exista riscul ca utilizatorii sa

foloseasca alte programe decat cele permise si sa deschida brese de securitate in sisteme.

Recomandare

Recomandam Ministerului Justiției folosirea la nivel de componente software esentiale (sistem de

operare, antivirus etc.) a unor programe software licentiate sau, alternativ, a unor solutii software open-

source (gratis) care beneficiaza de suport din partea producatorului si care sa fie actualizate in

conformite cu recomandarile producatorului.

Recomandam, de asemenea, formalizarea configuratiei necesare fiecarei statii de lucru prin aprobarea

aplicatiilor software care pot fi folosite de catre utilizatori.



12 iulie 2013


3.4.10 Accesul la codul sursa


Observatie

Ministerul Justiției, in calitate de beneficiar, nu a definit o procedura pentru mentinerea codului sursa al

aplicatiei PIGD, acesta existand, la momentul actual, doar la entitatea responsabila cu dezvoltarea

aplicatiei (compania BASS Systems). De aceea, in contextul in care s-ar intrerupe colaborarea cu

compania BASS Systems, exista riscul ca Ministerul Justiției sa nu poata intra in posesia codului sursa

al aplicatiei.

Recomandare

Recomandam Ministerului Justiției agrearea unor conditii cu compania dezvoltatoare a aplicatiei, prin

care aceasta sa furnizeze Ministerului codul sursa al aplicatiei PIGD si toate modificarile efectuate pe

parcurs.



12 iulie 2013


ANEXA 1 – PRIORITIZAREA OBSERVATIILOR

In tabelul de mai jos, detaliem prioritatea observatiilor care ar trebui rezolvate pentru imbunatatirea

nivelului de securitate al sistemului PIGD si al mediului IT in care acesta functioneaza:

Ref. Observatie

(Prioritate ridicata)

Necesar a fi

rezolvat inainte de

auditul final de

securitate

(Prioritate medie)

Necesar a fi

inceput inainte de

auditul final de

securitate

(Prioritate scazuta)

A fi rezolvat

dupa auditul final de

securitate

OBSERVATII REFERITOARE LA SISTEMUL PIGD

3.1.1 Deficiente functionale ale sistemului PIGD √

3.1.2 Reguli de parole √

3.1.3 Criptarea parolelor de acces √

3.1.4 Log-uri de sistem √

3.1.5 Aprobarea profilelor de utilizator in sistem √

OBSERVATII REFERITOARE LA MEDIUL IT IN CARE SE ADMINISTREAZA SISTEMUL PIGD

3.2.1 Salvarea datelor aferente sistemului PIGD √

3.2.2 Protectia antivirus √

3.2.3 Update-ul sistemelor de operare server √

3.2.4 Proceduri de continuitate operationala si de recuperare in caz de dezastru √


12 iulie 2013


3.2.5 Transferul datelor in modulul de raportare √

3.2.6 Managementul incidentelor √

3.2.7 Salvarea datelor aferente modulului de raportare din sistemul PIGD √

3.2.8 Conturi de administrare √

3.2.9 Drepturi de administrator √

3.2.10 Managementul capacitatii √

3.2.11 Migrarea schimbarilor pe mediul de productie √

3.2.12 Revizuirea conturilor de utilizator √

3.2.13 Diagrama de retea √

OBSERVATII REFERITOARE LA MEDIUL IT DIN INSTANTELE JUDECATORESTI

3.3.1 Politica de securitate IT √

3.3.2 Parole de acces pe statiile locale √

3.3.3 Linii de comunicatie √

3.3.4 Camerele serverelor din instantele judecatoresti √


3.3.6 Administrarea conturilor de utilizator √

3.3.7 Managementul incidentelor raportate √

3.3.8 Update-ul sistemelor de operare √


12 iulie 2013


3.3.9 Conturi de utilizator in sistemul PIGD √

3.3.10 Administrarea retelelor pe baza de Domain Controller √

3.3.11 Conturi de utilizator in modulul de raportare al sistemului PIGD √

OBSERVATII REFERITOARE LA MEDIUL IT DIN MINISTERUL JUSTIȚIEI

3.4.1 Politica de securitate IT √

3.4.2 Reguli de parole la nivel de retea √

3.4.3 Controlul accesul fizic √

3.4.4 Controalele de mediu √

3.4.5 Procesul de management al schimbarilor √

3.4.6 Proceduri de continuitate operationala si de recuperare in caz de dezastru √


3.4.8 Administrarea conturilor de utilizator √

3.4.9 Licentierea programelor software √

3.4.10 Accesul la codul sursa √

Documents

Auditul inițial de securitate al infrastructurii ... · Justitiei, Conducerii Consiliului Superior al Magistraturii, Conducerii instantelor judecatoresti si Coducerii Centrului de