Upload
alexandrubuzenco
View
603
Download
15
Embed Size (px)
Citation preview
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
1/62
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
2/62
2
Capitolul 1. Introducere
Dezvoltarea portalului e-guvernare în cadrul Sistemului Electronic National
(SEN), conceput ca unic punct de acces la serviciile i informaiile instituiiloradministraiei centrale i locale, a oferit suportul pentru lansarea i extinderealivrrii de servicii electronice ctre administraie, mediul de afaceri i ceteni. Prinacest program de anvergur, Guvernul României î i propune s promovezetransparena, s creasc eficiena în administraie prin reducerea costurilor i abirocraiei, s asigure accesibilitatea larg la informaiile i serviciile publice,indiferent de timp i de loc, s previn i s combat corupia prin mijloaceelectronice.
Prin Legea nr. 161/2003, Inspectoratul General pentru Comunica ii siTehnologia Informa iei (IGCTI) a fost stabilit ca operator la nivel naional alproiectelor de guvernare electronic, respectiv al portalurilor asociate, www.e-
guvernare.ro , www.e-licitatie.ro i www.autorizatiiauto.ro. Prin Ordonan a de urgen nr. 73/2007 , atribu iile specifice în domeniul oper riila nivel na ional a sistemelor informatice ale administra iei publice centrale,
care furnizeaz servicii publice destinate guvern rii prin mijloace electronice, sepreiau de ctre Ministerul Comunicaiilor i Tehnologiei Informaiei i se exercit prin Agen ia pentru Serviciile Societ ii Informa ionale (ASSI), care se înfiineaz ca instituie public cu personalitate juridic în subordinea Ministerului
Comunicaiilor i Tehnologiei Informaiei.
În ceea ce privete obiectul de activitate, ASSI are ca atribuii principale:
a) dezvoltarea i operarea pentru urmtoarele sisteme:
• Sistemul e-guvernare,
• Sistemul electronic de achizi ii publice, precum i• Sistemul informatic pentru atribuirea electronic a autoriza iilor de
transport interna ional rutier de marf i pentru atribuirea electronic
a traseelor na ionale din programele de transport prin serviciileregulate jude ene, interjude ene limitrofe i interjude ene.
b) reglementarea activitilor specifice furnizrii serviciilor de guvernareprin mijloace electronice, în condiiile legii;c) implementarea, coordonarea i operarea la nivel naional pentru sistemeinformatice i de comunicaii proprii, în scopul furnizarii serviciilordestinate guvernarii prin mijloace electronice;e) formularea unor propuneri de acte normative pentru îmbuntirea
cadrului legislativ în domeniul furnizarii de servicii publice prin mijloaceelectronice i al serviciilor societii informationale;
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
3/62
3
f) alte atribuii care susin asigurarea continuitii furnizrii serviciilor,implementarii i operarii sistemelor informatice ale administraiei publice,destinate guvernarii prin mijloace electronice.
Implementarea serviciului electronic e-licitatie s-a realizat în conformitate
cu Ordonan a Guvernului numrul 20/ 2002 privind achiziiile publice prinlicitaii electronice.
Incepând cu anul 2007, funcioneaz o versiune nou de sistem, impus demodificarea cadrului legislativ prin intrarea în vigoare a urmtoarelor actenormative:
Ordonan a nr. 34/2006 privind atribuirea contractelor de achiziie public, a contractelorde concesiune de lucrri publice i a contractelor de concesiune de servicii.
Legea nr. 337/2006 pentru aprobarea Ordonanei de urgen a Guvernului nr. 34/2006
privind atribuirea contractelor de achiziie public, a contractelor de concesiune de lucrripublice i a contractelor de concesiune de servicii.
Hot rârea Guvernului nr. 925/2006 privind aprobarea normelor de aplicare aprevederilor referitoare la atribuirea contractelor de achiziie public din Ordonana deurgen a Guvernului nr. 34/2006 privind atribuirea contractelor de achiziie public, acontractelor de concesiune de lucrri publice i a contractelor de concesiune de servicii
Misiunea de audit care face obiectul prezentului raport a avut în vedere oproblematic vast, generat de implementarea noilor tehnologii i de efecteleantrenate de acestea:
a) îmbuntirea calitii serviciilor publice;b) creterea eficienei serviciilor publice prin reducerea costurilor i abirocraiei;c) promovarea transparenei;d) adaptarea serviciilor publice pentru a rspunde cerinelor pieei;e) informarea prin mijloace electronice cu privire la legislaia ireglementrile aferente Sistemului e-licita ie, prin informaii propriiportalului sau prin trimiterea la alte surse electronice de informare;
f) informarea prin intermediul portalului specializat www.e-licitatie.ro iasistarea utilizatorilor cu privire la formularele online aferente Sistemului e-licita ie, precum i a modalitilor de completare a acestora;g) asigurarea accesibilitii la informaiile furnizate de Sistemul e-licita ie,indiferent de timp i de loc (sistemul permite accesarea acestor informaii i
în afara programului de lucru al personalului de specialitate);h) perfecionarea utilizrii tehnologiilor web în scopul furnizrii deinformaii de calitate, care contribuie la reducerea costurilor administrativei sociale;i) reducerea costurilor administrative i sociale în domeniul achiziiilorpublice, prin dezvoltarea unui sistem modern i eficient, disponibil pentrutoate instituiile publice i mediul de afaceri.
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
4/62
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
5/62
5
• Evaluarea securitii sistemului i a informaiilor;• Evaluarea managementului continuitii sistemului i al dezvoltrii; • Evaluarea disponibilitii i accesibilitii informaiilor;• Conformitatea cu legislaia; • Analiza riscurilor; •
Evaluare stadiului i a calitii instruirii personalului i a asistriiutilizatorilor; • Comunicarea între instituiile de profil i cu utilizatorii; • Evaluarea impactului social al utilizrii serviciului electronic e-licita ie; • Conformitatea cu cele mai bune practici în domeniu; • Efectele în planul modernizrii serviciilor din administraia public;
Necesitatea efectu rii auditului are ca motivaie determinarea gradului de utilizarea tehnologiei informaiei i comunicaiilor (TIC) în furnizarea de serviciielectronice ctre persoane fizice i juridice, în particular pentru Sistemul electronice-licita ie, având în vedere atât extinderea semnificativ a utilizrii acestui serviciu
în România, cât i participarea la schimbul european de informaii în formatelectronic, în domeniul achiziiilor publice.
Sistemul e-licita ie este utilizat în prezent pe scar larg de peste 8500 de autoriticontractante i 9000 de ofertani, numrul de produse de catalog publicate în sistemdepind 23265.
Prin utilizarea Sistemului e-licita ie, instituiile publice i companiile prívate din
România au posibilitatea procurrii de bunuri i servicii prin mijloace electronicela costuri de achiziie sczute. De asemenea, sistemul furnizeaz, în timp real, atâtinformaii calitative cât i indicatori afereni dinamicii acestei activiti, prinincluderea unor faciliti avansate de raportare.
Capitolul 3. Desf urarea auditului
3.1 Planificarea auditului
Elaborarea programului de audit a avut la baz detalierea obiectivelor abordate încadrul misiunii de audit, în funcie de poziia i rolul actorilor implicai în cadrulsistemului auditat.
Entit i auditate. Misiunea de audit având ca tem Auditul Sistemuluie-licita ie disponibil în Sistemul Electronic Na ional (SEN) s-a desf urat la
Agen ia pentru Serviciile Societ ii Informa ionale (ASSI), care are caatribuie dezvoltarea i operarea Sistemului electronic de achizi ii publice,e-licita ie.
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
6/62
6
Abordarea auditului. Abordarea general a auditului s-a bazat pe evaluarea riscurilor. Auditul s-a efectuat pentru întreg ciclul de via al sistemului.
Efectuarea auditului s-a desf urat pe baza programului de audit care a constat în detalierea subiectelor care urmau s fie tratate pe parcursul misiunii de audit is-a concretizat în urmtoarele programe de lucru:
Program de lucru privind evaluarea controalelor generale IT
Program de lucru privind evaluarea riscurilor IT
Program de lucru privind evaluarea site-ului web i testarea controalelor IT
specifice Sistemului e-licita ie, prin interviuri realizate pe baza listei de
verificare LV_Controale_IT_Web i demonstrarea i testarea aplica iei
func ionale pe portalul www.e-licitatie.ro
Program de lucru privind evaluarea riscurilor specifice sistemelor de
management al documentelor electronice, prin interviuri realizate pe baza
listei de verificare LV_Riscuri_IT_ Web Program de lucru pentru evaluarea perimetrului de securitate.
Aprobarea programului de audit. Programul de audit a fost aprobat la nivelul Diviziei I – Controlul contului general de execu ie a bugetului de stat, datoriei
publice, garan iilor guvernamentale i a crean elor statului; auditul performan ei
i al sistemelor informatice, precum i la nivelul Sec iei de Control FinanciarUlterior din cadrul Cur ii de Conturi a României.
Evaluarea riscurilor. Misiunea de audit a avut ca scop obinerea unei asigurri
rezonabile asupra implementrii i funcionrii Sistemului e-licita ie, înconformitate cu prevederile legislaiei în vigoare (referitoare la SEN i la achiziiilepublice), cu reglementrile în domeniu i cu standardele specifice de securitate,precum i evaluarea sistemului prin prisma performanei privind modernizareaserviciilor publice.
Riscurile detectate pe parcursul misiunii de audit se refer la dou categorii deprobleme:
a) Riscuri privind planificarea, dezvoltarea i introducerea serviciilor electronice
Exemple de astfel de riscuri avute în vedere: lipsa unei planificri strategice,coordonarea i managementul calitii neadecvate; insatisfacia utilizatorilor;ignorarea explorrii profilului utilizatorilor; neglijarea aspectelor legate deasigurarea calitii; lipsa unor evaluri privind eficacitatea costurilor;neîndeplinirea atribuiilor privind crearea cadrului necesar legal iorganizaional; implicarea sporadic i inconsecvent în elaborarea iimplementarea reglementrilor i standardelor IT i de securitate; furnizareaneadecvat a infrastructurii tehnice; dependena de companiile IT; lipsareglementrii drepturilor privind reeaua Internet; lipsa unor evaluri aleproiectelor raportate la evoluiile tehnologiilor informaiei i comunicaiilor.
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
7/62
7
b) Riscuri în func ionarea serviciilor electronice
Exemple de astfel de riscuri avute în vedere: politici de securitate IT tehnic i organizaional neadecvate care afecteaz integritatea, autenticitatea,confidenialitatea i disponibilitatea informaiilor, securizarea transferului de
date, capabilitatea informaiilor de a fi auditate, securitatea tranzaciilor;redundan, discontinuiti media i interoperabilitate neadecvat.
Evaluarea riscurilor a avut în vedere verificarea urmtoarele categorii de controale generale:
a) utilizarea sistemului IT se realizeaz în cadrul unei structuri clar definite,conducerea la cel mai înalt nivel este informat despre activitatea IT i estereceptiv la schimbare, gestionarea resurselor umane se face eficient,monitorizarea cadrului legislativ i a contractelor cu principalii furnizori se
desf oar corespunztor, are loc revizuirea funcionalitii, operrii idezvoltrilor de componente, astfel încât acestea s fie în concordan cunecesitile activitii entitii i s nu expun entitatea la riscuri nejustificate;
b) accesul neautorizat la datele sau programele critice este prevenit i controlat,mediul în care opereaz sistemele este sigur din punct de vedere alconfidenialitii, integritii i credibilitii;
c) aplicaiile sunt disponibile atunci când este nevoie, funcioneaz conformcerinelor, sunt fiabile i au implementate controale sigure asupra integritiidatelor;
d) sunt luate msurile necesare pentru diminuarea riscului deteriorrii (accidentalesau deliberate) sau a furtului echipamentelor IT, se acioneaz corespunztorpentru reducerea probabilitii apariiei unor defeciuni majore i sunt stabilitemsurile necesare pentru ca, în cazul indisponibilizrii facilitilor de procesare,entitatea s î i reia în mod eficient activitatea, într-o perioad de timprezonabil;
e) sistemul este conform cu reglementrile legale în vigoare.
Documente de lucru. Au fost utilizate chestionare i liste de verificare elaborate lanivelul Diviziei I – Direc ia 3 Auditul performan ei i al sistemelor informatice.
Tehnici de audit. Tehnicile de audit utilizate în cadrul misiunii au inclus:
Realizarea de interviuri cu persoane cheie implicate în proiect; Utilizarea chestionarelor / machetelor; Examinarea unor documentaii tehnice, economice de monitorizare i de
raportare: grafice de implementare, coresponden, rapoarte interne, situaiide raportare, rapoarte de stadiu al proiectului, registre de eviden /monitorizare a utilizrii serviciului electronic e-licita ie, contracte, sinteze
statistice, metodologii, standarde; Inspecie în spaiile din sediul ASSI în care funcioneaz Sistemul e-licita ie;
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
8/62
8
Participarea la demonstraii i simularea în mediu de test i în condiii reale aprocedurilor aferente utilizrii Sistemului e-liciatie funcional pe portalul www.e-licitatie.ro;
Consultarea unor documentaii tehnice; Examinarea site-ului web al instituiei.
3.2 Efectuarea auditului
Divizia I, Direc ia 3 Auditul performan ei i al sistemelor informatice a efectuatauditul la nivelul ASSI. Auditul a avut în vedere evaluarea sistemului din punctulde vedere al gestionrii resurselor informatice disponibile (date, aplicaii,tehnologii, faciliti, resurse umane, etc.), în scopul atingerii obiectivelor, prinasigurarea eficienei, confidenialitii, integritii, disponibilitii, siguranei înfuncionare i conformitii cu un cadru comun de referin (standarde, bune
practici, cadru legislativ, etc.).
Au fost desf urate interviuri cu urmtoarele persoane implicate în proiect:
Gruia Daniel – Preedinte ASSIMarcu Ion – ef departament Servicii e-guvernareDumitru Pompilic – ef departament Achizi ii Publice ElectroniceLovin Eduard Lucian – Director Direc ia e-guvernare Simion Silviana – ef serviciu Suport Autorit i ContractanteFodor Oana – ef serviciu Suport Companii
Dnescu Petru - ef serviciu Autoritate de Certificare Calot tefan – Administrator baz de date
Au fost efectuate teste de control i teste de detaliu, prin examinarea site-urilorweb, a documentaiilor tehnice i prin evaluarea mediului IT.S-a efectuat o evaluare a riscurilor IT în ceea ce privete: dependena de IT,resursele i cunotinele IT, încrederea în IT, schimbrile în IT, externalizareaserviciilor IT, focalizarea pe activitate, securitatea informaiei.De asemenea, s-au verificat controalele IT referitoare la: managementul IT,securitatea fizic i controalele de mediu, securitatea informaiei i a sistemelor,continuitatea sistemelor, managementul schimbrii i dezvoltarea de sistem,auditul intern.
Probele de audit au fost obinute utilizând tehnicile de audit menionate înSeciunea 3.1 Planificarea auditului.
Analiza i interpretarea rezultatelor
In cadrul misiunii de audit s-a f cut o evaluare general, din perspectiv
multidimensional a cadrului de funcionare a Sistemului e-licita ie din cadrulSEN, care s-a fundamentat în special pe evaluarea Sistemului e-licita ie, i pe
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
9/62
9
analiza, interpretarea i sinteza informa iilor ob inute în cadrul interviurilor sau
colectate prin intermediul chestionarelor i listelor de verificare.
Elaborarea Raportului de audit
Raportul de audit elaborat de Curtea de Conturi a României include cele maisemnificative aspecte care au rezultat în cadrul misiunii de audit cu privire lastadiul i evoluia implementrii i utilizrii sistemului electronic de achiziiipublice (SEAP), funcional pe portalul www.e-licitatie.ro, i conine constatri,concluzii i recomandri referitoare la abordarea problematicii acestui domeniu lanivelul ASSI , prin prisma obiectivelor specifice expuse în Capitolul 2.
Capitolul 4. Sistemului e-licita ie. Cadru de implementare i
funcionare
Potrivit definiiei formulate în Ordonan a de urgen nr. 34/2006 privindatribuirea contractelor de achizi ie public , a contractelor de concesiune de
lucr ri publice i a contractelor de concesiune de servicii, Sistemul electronic de achizi ii publice – SEAP desemneaz sistemul informatic de utilitate public,accesibil prin Internet la o adres dedicat, utilizat în scopul aplicrii, prin mijloaceelectronice, a procedurilor de atribuire.
Operatorul SEAP (al sistemului electronic de achiziii publice) este Agen ia pentruServiciile Societ ii Informa ionale (ASSI). In conformitate cu prevederileOrdonan ei de urgen nr. 34/2006, aceast instituie asigur autoritilorcontractante suportul tehnic destinat aplicrii, prin mijloace electronice, aprocedurilor de atribuire. Prin aceeai hotrâre, Guvernul poate stabili o proceduraspecific de acordare a dreptului de a deveni operator al unui astfel de sistem ialtor persoane juridice.Operatorul SEAP are obligaia de a pune la dispoziia Autoritii Naionale pentruReglementarea i Monitorizarea Achiziiilor Publice (ANRMAP), rapoartele în
format electronic, elaborate pe baza datelor disponibile în SEAP, în scopulasigurrii informaiilor necesare crerii de baze de date statistice.
Sistemul e-licita ie lansat în luna martie 2002 a avut ca suport proiectul pilot iniiatde Ministerul Comunicaiilor i Tehnologiei Informaiei în anul 2001.
Arhitectura Sistemului Electronic de Achiziii Publice (SEAP), conceput de ctreInspectoratul General pentru Comunicaii i Tehnologia Informaiei (IGCTI), a fostdezvoltat de un consoriu format din companii româneti:
• UTI – securitate, certificat digital, layer de securitate, securitatea
comunicaiei• TotalSoft - dezvoltarea aplicaiilor
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
10/62
10
• Microsoft – software de baz • HP - echipamente.
Luând în considerare modificrile implicate la nivelul sectorului public i al celuiprivat, determinate de factori cum ar fi schimbrile la nivelul strategiei
guvernamentale/administraiei publice, al resurselor umane, financiare itehnologice, Sistemul e-licita ie a cunoscut o dezvoltare gradual.
La sfâritul anului 2002, sistemul cuprindea un numr de 159 autoriticontractante, 95 de companii private i 7 categorii de produse. Tipul i numrulautoritilor contractante i al produselor tranzacionate prin intermediul sistemuluie-licita ie au crescut progresiv i a oferit utilizatorilor posibilitatea învriifuncionalitii sistemului, a testrii soluiilor tehnice alese i adaptrii acestorareglementrilor legale i cerinelor utilizatorilor.
In cadrul Conferinei eGovernment "Transforming Public Services" care a avut locla Manchester în luna noiembrie 2005, a fost aprobat o declaraie ministerial care, fixeaz repere i obiective, inclusiv pentru serviciile de achiziii electronice.
In perioada 2006-2010 Statele Membre î i vor concentra eforturile pe crearea
condi iilor optime privind livrarea serviciilor electronice cu un impact mare
asupra utilizatorilor, astfel încât, în anul 2010, cel pu in 50% dintre serviciile
care privesc achizi iile publice s se desf oare prin procedur electronic.
Menionm c, la sfâritul anului 2005, în România ponderea în total a achiziiilorpublice derulate prin procedur electronic a fost estimat la 5-7 %.
Constatare: In prezent, totalul achizi iilor publice nu poate fi calculat în timp real, cu exactitate, din cauza coexistenei celor dou tipuri de proceduri pentruachiziii publice: procedura elecronic i procedura manual. Lipsa unei intrriunice a informaiilor provenind din cele dou surse, privind achiziiile publice,induce erori de sincronizare i corelare a informaiilor respective. Din acest motiv,pe site-ul www.anrmap.ro sunt afiate numai rapoarte privind volumul estimat alachiziiilor publice.
Recomandare: Dezvoltarea unui mecanism de preluare continu a unor informaii
sintetice din sistemul manual i corelarea acestora cu informaiile din SEAP, înscopul elaborrii unor situaii de raportare operative coerente, complete i corecte.
În anul 2006, Inspectoratul General pentru Comunicaii i Tehnologia Informaiei aimplementat o nou versiune a Sistemului e-licita ie, care respect prevederilelegale naionale în domeniul achiziiilor publice, armonizate cu reglementrilelegale ale UE ( Directivele 2004/17/EC i 2004/18/EC ).
Versiunea extins a Sistemului e-licita ie lansat în luna octombrie 2006 ofer noifaciliti tehnice:
• publicarea anunurilor de intenie, de participare i de atribuire, a invitaiilorde participare, precum i a documentaiilor de atribuire;
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
11/62
11
• publicarea celorlalte tipuri de anunuri: anunuri de intenie utiliti, anun departicipare utiliti, anunuri de atribuire utiliti, anun de participare pentruconcursul de soluii, rezultatul concursului de soluii, anunuri deconcesionare;
• aplicarea integral prin mijloace electronice a procedurii de cerere de ofert
utilizând criteriul de atribuire " pre ul cel mai sc zut" i "oferta cea maiavantajoas din punct de vedere economic" ;
• posibilitatea utilizrii licitaiei electronice ca faz final a unei proceduri deatribuire desf urate offline sau a unei proceduri de cerere de ofert onlineavând criteriul de atribuire " pre ul cel mai sc zut" ;
• posibilitatea de a achiziiona direct, prin intermediul unui catalog electronic,produse sau servicii.
Ordonan a de urgen nr. 34/2006 privind atribuirea contractelor de achizi ie
public , a contractelor de concesiune de lucr ri publice i a contractelor deconcesiune de servicii, prevede obligaia operatorului SEAP de a asigura pentruAutoritatea Naional pentru Reglementarea i Monitorizarea Achiziiilor Publice(ANRMAP) accesul nerestricionat la anunurile transmise de ctre autoritilecontractante, înainte de publicarea acestora.
Autoritatea Naional pentru Reglementarea i Monitorizarea Achiziiilor Publiceverific fiecare anun transmis de ctre autoritile contractante pentru publicare înSEAP, în msura în care anunul respectiv este în legatur cu aplicarea proceduriide atribuire a unui contract cu o valoare estimat mai mare decât pragurile valorice
prevazute de lege. În termen de 2 zile lucrtoare de la data primirii anunului înSEAP, Autoritatea Naional pentru Reglementarea i Monitorizarea AchiziiilorPublice are obligaia:
a) fie, s emit ctre operatorul SEAP acceptul de publicare pentru anunulrespectiv, în cazul în care în urma verificrii nu se constat erori/omisiuni decompletare;
b) fie, s resping publicarea anunului, în cazul în care se constat erori/omisiuni de completare, informand totodat autoritatea contractant asupraacestei decizii precum i asupra modului în care erorile/omisiunile pot fi remediate.
Dup publicarea anunului în SEAP, autoritatea contractant are obligaia de atransmite anunul i ctre Regia Autonom Monitorul Oficial al României, sprepublicare în Partea a VI-a, Achiziii publice.
La aceste faciliti se adaug transmiterea în format electronic a anunurilorautoritilor contractante ctre Oficiul pentru Publicaiile Oficiale aleComunitilor Europene, în vederea publicrii acestora în Jurnalul Oficial alUniunii Europene (JOUE). Dobândirea calitii de OJS eSender a permisoperatorului SEAP s faciliteze autoritilor contractante publicarea anunurilor în
JOUE exclusiv prin mijloace electronice.
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
12/62
12
Operatorul SEAP nu are dreptul de a publica anunul transmis de autoritateacontractant sau de a-l transmite spre publicare în Jurnalul Oficial al UniuniiEuropene, f r obinerea acceptului de publicare emis de ctre AutoritateaNaional pentru Reglementarea i Monitorizarea Achiziiilor Publice.În cazul în care, din motive de natur tehnic independente de operatorul SEAP, nu
este posibil transmiterea anunurilor, în format electronic, spre publicare înJurnalul Oficial al Uniunii Europene, obligaia de transmitere a acestora revineAutoritii Naionale pentru Reglementarea i Monitorizarea Achiziiilor Publice.
În perioada urmtoare este prevzut implementarea de faciliti tehnice ce vorpermite aplicarea, integral prin mijloace electronice, a procedurilor de licitaiedeschis i licitaie restrâns, concesiuni i sistemul de achiziie dinamic.
Portalul www.e-licitate.ro pune la dispoziia cetenilor informaii cu privire lalegislaia i reglementrile aferente interaciunii dintre acetia i administraia
public, asigur un punct unic de acces la informaiile privind achiziiile publice,furnizeaz instruciuni de completare a documentelor online i ofer suportulelectronic pentru completarea asistat a acestora.
Documentele completate online privind achiziiile publice pot fi semnate electronicconform legislaiei în vigoare i trimise prin mijloace electronice.
Portalul www.e-licitate.ro permite utilizare bi-direc ional (servicii online), respectiv permite completarea online a formularelor i asigurarea întregului circuital documentului f r a mai fi nevoie de deplasare sau de utilizarea mijloacelor
clasice de transmitere a documentelor.In cadrul portalului www.e-licitatie.ro care constituie punctul unic de acces laserviciul electronic de achiziii publice este asigurat siguran a informa iilor i a
tranzac iilor.
Garantarea identitii utilizatorului i protejarea informaiilor confidenialetransmise pe Internet se realizeaz prin utilizarea certificatelor digitale.Certificatul digital autentific identitatea celui care îl folosete, coninândinformaii despre proprietar (de exemplu, numele, adresa de e-mail), data la care
certificatul a fost emis, numele autoritii de certificare i cheia public (PublicKey Infrastructure - PKI) pentru criptarea i decriptarea informaiei.Prin semnarea documentelor se realizeaz criptarea informaiei cu cheia privat acelui care semneaz. Semnarea electronic a documentelor are suport legal.
Certificatele digitale sunt eliberate de ctre Agen ia pentru Serviciile Societ ii Informa ionale, (fost Inspectoratul General pentru Comunica ii i Tehnologia Informa iei (IGCTI).
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
13/62
13
Capitolul 5. Evaluarea serviciului electronic e-licita ie în contextulevoluiei ctre e-guvernare
Auditarea Sistemului e-licita ie a fost desf urat din perspectiva progreselor ctree-guvernare în România, marcate de o serie de aciuni absolut necesare într-unastfel de proces.
5.1 Cadru institu ional i legislativ
La nivel guvernamental au fost întreprinse o serie de aciuni cu caracter strategic,susinute de legislaie:
înfiinarea grupului de lucru Grupul de Promovare a Tehnologiei Informa iei în România ( HG nr. 271/2001), care are ca obiectiv principalcrearea de premise durabile pentru implementarea societii informaionale înRomânia;
elaborarea i aprobarea Strategiei Guvernului privind informatizarea administra iei publice ( HG nr. 1.007/2001);
aprobarea Strategiei na ionale pentru promovarea noii economii iimplementarea societ ii informa ionale ( HG nr. 1440/2002) în care sesubliniaz faptul c "trecerea la Societatea Informa ional este unul dinobiectivele strategice ale Guvernului României pentru perioada 2001 – 2004
i una dintre condi iile de preaderare la Uniunea European" . înfiin area Sistemului Electronic Na ional (SEN), ca sistem informatic de
utilitate public, în scopul asigurrii accesului la informaii publice ifurnizrii de servicii publice ctre persoane fizice i juridice (Titlul II din
Legea 161/2003, privind transparen a în administrarea informa iilor i
serviciilor publice prin mijloace electronice). In aceeai lege, a fost stabilitoperatorul pentru e-guvernare (Inspectoratul General pentru Comunicaii iTehnologia Informaiei – IGCTI – aflat în momentul apariiei legii însubordinea Ministerului Comunicaiilor i Tehnologiei Informaiei, i în
prezent în subordinea Primului Ministru)
În perioada 2001-2005, Ministerul Comunicaiilor i Tehnologiei Informaiei,organ de specialitate al administraiei publice centrale în domeniul comunicaiilori tehnologiei informaiei, avînd scopul de a realiza politica Guvernului României
în acest domeniu, a elaborat o serie de strategii i programe, precum:
Strategia Guvernului României de stimulare i sus inere a dezvolt rii
sectorului de comunica ii în perioada 2002-2012; Economia bazat pe cunoa tere; Strategia Guvernului României pentru dezvoltarea sectorului tehnologiei
informa iei;
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
14/62
14
Strategia de Dezvoltare Durabil a României ORIZONT – 2025; Strategia Na ional de Export .
De asemenea, cadrul legislativ a fost extins cu o serie de acte normative privind: semntura electronic , achizi iile publice prin licita ii electronice, încasarea prin
mijloace electronice a impozitelor i taxelor locale, comer ul electronic,
atribuirea electronic i distribuirea autoriza iilor de transport rutierinterna ional de marf , procedura de avizare a instrumentelor de plat cu acces la
distan (de tipul aplica iilor Internet-banking, home-banking sau mobile-
banking), msurile pentru realizarea schimbului de informa ii în domeniul
standardelor i reglement rilor tehnice între România i statele membre UE i
Comisia European , protec ia persoanelor cu privire la prelucrarea datelor cu
caracter personal.
Ministerul Comunica iilor i Tehnologiei Informa iei, ca organ de specialitate al
administraiei publice centrale exercit rolul de a realiza politica Guvernului îndomeniul comunicaiilor electronice, serviciilor potale, tehnologiei informaiei ial serviciilor societii informaionale, principala funcie a acestuia fiind aceea dedefini obiectivele strategice i tactice în domeniile menionate, asigurândplanificarea, elaborarea i implementarea politicilor, precum i monitorizarea,evaluarea i controlul realizrii acestor politici.
Cadrul instituional de aplicare a Strategiei Guvernului privind Sistemul ElectronicNaional include toate instituiile administraiei publice. Toate administraiile careactiveaz în spatele ghieului (back-office), i care dein arhive cu informaii
necesare atât serviciilor proprii cât i altor uniti ale administraiei publice, vorpermite accesul gratuit i permanent la propriile servicii, al tuturor unitiloradministrative care activeaz ca interfa ( front-office).
In ceea ce privete contextul instituional în care se plaseaz Sistemul e-licita ie, înultimii trei ani se constat o dinamic ridicat a modificrilor legislative, care auimplicat reorganizri ale IGCTI, prin schimbarea subordonrii acestei instituii sauprin reorganizarea de fond care are loc în prezent, ca urmare a înfiinrii Agen iei
pentru Serviciile Societ ii Informa ionale, instituie care a preluat componenta e-guvernare din SEN. Prezentm în continuare aceste acte normative intrate învigoare în perioada noiembrie 2004 – noiembrie 2007:
1. Legea nr. 510 din 17 noiembrie 2004 privind reorganizarea Inspectoratului General pentruComunicaii i Tehnologia Informaiei
2. Hotararea de Guvern nr. 348/2005 privind organizarea i funcionarea InspectoratuluiGeneral pentru Comunica ii i Tehnologia Informa iei (IGCTI)
3. Ordonan a de Urgen a Guvernului nr. 134/2006 privind înfiinarea Autorit ii Na ionale pentru Reglementare în Comunica ii i Tehnologia Informa iei (ANRCTI)
4. Hot rârea Guvernului nr. 415/2007 privind aprobarea Regulamentului de organizare i
funcionare a Autorit ii Na ionale pentru Reglementare în Comunica ii i Tehnologia Informa iei(ANRCTI)
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
15/62
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
16/62
16
Anumite categorii de informaii furnizate de Sistemul Electronic pentru AchiziiiPublice (SEAP) sunt prelucrate, în vederea avizrii, publicrii i monitorizrii, dectre Autoritatea Na ional pentru Reglementarea i Monitorizarea Achizi iilor
Publice (ANRMAP), înfiinat în anul 2005. Activitatea acestei autoriti naionaleeste reglementat în urmtoarele acte normative:
1. Ordonan a de Urgen nr. 74 din 29 iunie 2005 privind înfiinarea Autoritii Naionalepentru Reglementarea i Monitorizarea Achiziiilor Publice.
2. Hot rârea Guvernului nr. 895 din 4 august 2005 privind organizarea i funcionareaAutoritii Naionale pentru Reglementarea i Monitorizarea Achiziiilor Publice.
3. Hot rârea Guvernului nr. 525/30.05.2007 privind organizarea si functionarea ANRMAP
5.2 Direc ii de evaluare
Sistemul e-licita ie reprezint o component important a modernizrii extensive aadministraiei, prin care se lanseaz re-ingineria proceselor de afaceri aferente
achizi iilor publice, în scopul simplificrii structurilor i proceduriloradministrative, prin trecerea de la sistemele bazate pe hârtie la sisteme de lucru
f r hârtie. Absena documentaiei pe hârtie accentueaz necesitatea implementriiunor controale IT mai puternice (controale generale i controale programate însistemele utilizatorului) precum i a unor controale manuale stricte în mediul încare funcioneaz sistemul utilizatorului.
Serviciile electronice au asociate elemente de risc deoarece informaia înscris pedocumentul de hârtie tradiional este înlocuit cu informaie digital, care poate fiuor copiat, modificat, tears, etc., f r s lase urme trasabile. De aceea, pentruacest tip de sisteme, se acord o importan deosebit securitii mediului în carefuncioneaz sistemul i cunotinelor personalului care administreaz sauutilizeaz sistemul.
O atenie deosebit trebuie acordat evalurii controalelor care asigur conformitatea tranzaciilor electronice cu cerinele asupra informaiei(autenticitate, integritate, confidenialitate, non-repudiere) i sigurana în ceea ce
privete: completitudinea, acurateea, validarea/aprobarea, furnizarea la timp.
Direciile de evaluare avute în vedere în cadrul misiunii de audit au fost:
1. Conducere i organizare
2. Finan are
3. Personal
4. Pregtirea clientului i accesibilitate
5. Protec ia informa iilor i confiden ialitatea6. Securitatea sistemului
7.
Managementul tehnologiei i al informa iei8. Audit intern
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
17/62
17
Constatrile i concluziile privind aceste direcii de evaluare sunt expuse înseciunile urmtoare.
5.2.1 Conducere i organizare
Prin Ordonan a de Urgen a Guvernului nr. 73/2007 , Agen ia pentru ServiciileSociet ii Informationale se organizeaz i funcioneaz ca instituie public cupersonalitate juridic în subordinea Ministerului Comunicaiilor i TehnologieiInformaiei, în scopul implementrii i operrii la nivel naional a sistemelorinformatice ale administraiei publice centrale care furnizeaz servicii publicedestinate guvernrii prin mijloace electronice.
In data de 25 octombrie 2007, a fost încheiat Protocolul de predare – preluare întreAutoritatea Naional pentru Reglementare în Comunicaii i TehnologiaInformaiei (care avea în subordine Inspectoratul General pentru Comunicaii i
Tehnologia Informaiei), i Agenia pentru Serviciile Societii Informaionale.In cadrul discuiilor desf urate în perioada misiunii de audit, conducerea actual,reprezentat de domnul Daniel Gruia, preedintele ASSI, a prezentat viziunea noiiinstituii i a asigurat condiiile pentru buna desf urare a auditului. PreedinteleASSI i-a manifestat disponibilitatea de a continua, de a perfeciona i de a extindeserviciile electronice de tip e-guvernare în scopul creterii performanei înadministraia public i al creterii confortului cetenilor, precum i de aimplementa un cadru de interoperabilitate eficient în administraia public.In ceea ce privete Sistemul e-licita ie, acesta trebuie s se susin din punct de
vedere financiar i s fie capabil s-i recupereze costurile (de dezvoltare, dementenan, indirecte). Sunt necesare aciuni de promovare continu a serviciilorelectronice e-licita ie, prin seminarii, anunuri pe portal, campanie de marketing ide instruire a utilizatorilor.Extinderea serviciilor electronice astfel încât în anul 2010, cel puin 50% dintreserviciile care privesc achizi iile publice s se desf oare prin procedur
electronic (anun uri i tranzac ii propriu-zise), reper stabilit printr-o declaraieministerial, în cadrul Conferin ei eGovernment "Transforming Public Services"care a avut loc la Manchester în luna noiembrie 2005, constituie un obiectiv
important urmrit de conducerea ASSI.In acest sens, o aciune absolut necesar care s susin acest obiectiv este asumarea de c tre Guvernul României, printr-un act normativ, a Declara iei dela Manchester. Având în vedere particularitile sistemelor de tip e-guvernare, riscurile la caresunt expuse, precum i deficienele constatate în cadrul misiunii de audit în ceea ceprivete cadrul procedural, conducerea ASSI i-a manifestat intenia de a seimplica în dezvoltarea i asigurarea unui sistem eficient de controale interne IT(politici, strategii, linii directoare, proceduri) care va fi implementat în perioada
urmtoare.
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
18/62
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
19/62
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
20/62
20
aici i acum. Costul dezvoltrii serviciilor on line este modest în comparaie cu alaltor canale de distribuie.
Ratele de eroare pentru procesarea electronic a formularelor sunt semnificativsczute fa de procesrile bazate de hârtie. Calculatorul poate verifica modul decompletare al unui formular i poate da îndrumri, rspunde la întrebri, i chiaravertiza utilizatorul s completeze toate câmpurile obligatorii din formular.
Constatare: Gradul de utilizare a serviciilor electronice este determinat depregtirea beneficiarilor Sistemului e-licita ie, de dotarea tehnic i de abilitileutilizatorilor, de nivelul de instruire al acestora, precum i de încrederea acestora însistemele IT. De aceea, o latur important în crearea cadrului de implementare anoilor tehnologii o constituie preg tirea utilizatorilor pentru un astfel de demers.Un factor care influeneaz negativ receptivitate fa de noile tehnologii îlconstituie preg tirea neuniform a utilizatorilor pentru a utiliza tehnologia
informaiei i faptul c acetia nu con tientizeaz beneficiile pe care aceasta leaduce.Utilizatorii nu au înc suficient încredere în securitatea pe care o ofer sistemele de comunicaii i soluiile informatice, în general.
In vederea lansrii noii versiuni a Sistemului e-licita ie, în perioada11-21decembrie 2006 au fost organizate instruiri pentru aproximativ 900 deutilizatori i pentru ANRMAP. In anul 2007, au mai fost instruii, la cerere,aproximativ 300 de utilizatori. Participanii au fost autoriti contractante saucompanii ofertante. Instruirile s-au desf urat atât la sediul IGCTI cât i la sediul
beneficiarilor.Procedura de înscriere a fost de tip online: anun pe site, utilizarea unui cont pentru
înscrieri, obinerea listei de participani (separat pentru autoriti contractante decea pentru companii ofertante), programare instruire.
Recomandare: Este necesar desf urarea continu a unor aciuni pentruinformarea, contientizarea i instruirea utilizatorilor pentru ca acetia s devin utilizatori competeni ai Sistemului e-licita ie.
Constatare: In etapa de proiectare a funciilor aferente Sistemului e-licita ie au fostanalizate i evaluate pregtirea clienilor, cerinele acestora pentru serviciielectronice, i modul cum vor beneficia acetia de ele. Serviciile electronice suntdisponibile tuturor utilizatorilor care se ateapt s le utilizeze. Sistemul este uorde utilizat, este asigurat asisten tehnic online pentru utilizatori i acetia sunt
încurajai s utilizeze Internetul i tehnologiile asociate.
Cu toate c numrul clienilor care cunosc serviciul electronic e-licita ie disponibileste semnificativ, exist un numr mare de instituii publice care utilizeaz procedura manual. Având în vedere c ASSI nu cunoate numrul exact alinstituiilor publice din România, cu toate c s-au f cut demersuri în acest sens, nu
se poate preciza numrul beneficiarilor poteniali care în prezent nu utilizeaz SEAP.
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
21/62
21
Recomandare: Sunt necesare aciuni concertate i consecvente pentru dezvoltareaculturii informatice, pentru instruirea beneficiarilor actuali i poteniali pentru a leasigura accesul la noua tehnologie, precum i pentru dezvoltarea încrederii înSistemul e-licita ie, în asigurarea securitii tranzaciilor i în protecia datelor.
5.2.5 Protecia informaiilor i confidenialitatea
Constatare: A fost creat cadrul legislativ în ceea ce privete protecia datelor cucaracter personal, asigurarea accesibilitii, diseminrii i a modului de conservarea informaiilor publice în scopul creterii încrederii în SEN. Asigurarea protecieiinformaiilor i confidenialitatea presupun, de asemenea, existena unui cadru demonitorizare a modului în care informaia este gestionat pentru a fi conform culegislaia i cu standardele implementate.
Informaiile gestionate în cadrul Sistemului e-licita ie, cu excepia informaiilorprivind preurile, sunt în cea mai mare parte informaii publice i sunt publicate pesite-ul web. Având în vedere specificul i extinderea sistemului, precum i
încrederea pe care utilizatorii trebuie s o aib în Sistemul e-licita ie, în caz defraud, reputaia entitii ar fi puternic afectat, iar sistemul ar fi compromis.Motivaia pentru fraud este indus de însui obiectivul principal al sistemului,efectuarea achiziiilor publice, fa de care se pot manifesta interese (uneori foartemari) din partea competitorilor.
Informa ia privind pre
urile, care este cea mai sensibil
, are asignat un nivel de
protec ie ridicat, în concordan cu restric iile de divulgare sau de senzitivitate a acestora. Aceast informa ie este încriptat i nu este accesibil sub nici o form utilizatorilor neautoriza i.
Nu este definit custodia datelor pentru orice informaie care ar putea fi divulgat,transmis sau primit de la o ter parte. Restriciile asupra divulgrii informaiilorsunt agreate formal de ctre personal i de terii care au acces la informaiiconfideniale.
Nu exist date cu caracter personal gestionate de sistemul e-licita ie.
Recomand ri: (a)- Evaluarea sistemului de securitate a informaiilor, de protecie a datelor, deasigurare a accesibilitii, diseminrii i a modului de conservare a informaiilorpublice i impunerea de msuri pentru perfecionarea acestuia.(b)- Elaborarea unor linii directoare pentru asistarea instituiilor publice , pentru apermite partajarea informaiilor în scopul livrrii unor servicii de calitate.(c)- Contientizarea beneficiarilor serviciilor electronice în legtur cu politicaprivind protecia informaiilor/ confidenialitatea, i cu faptul c aceasta este
consistent cu cerinele legislative i asigur utilizarea informaiilor personale într-un mod transparent.
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
22/62
22
(d)- Stabilirea unei metodologii de clasificare a informaiilor i de protejare ainformaiilor senzitive pentru a preveni divulgarea sau accesul neautorizat laacestea. Evaluarea politicilor de meninere a înregistrrilor i de utilizare a acestorai a conformitii cu cerinele legislaiei în vigoare.(e)- Monitorizarea regulat a utilizrii informaiei pentru a asigura conformitatea
cu politicile i cerinele legislative.(f)- Stabilirea sanciunilor adecvate pentru violarea confidenialitii, în vedereacreterii interesului public în ceea ce privete adecvarea proteciei proprietii /confidenialitii la cerinele beneficiarilor serviciilor electronice, pentru a
îmbunti percepia public asupra eecului datorat nerespectrii sarcinilor legatede protecia informaiilor / confidenialitate.(g)- Publicarea pe web a politicii privind protecia informaiilor / confidenialitatea
într-o manier accesibil, uor de gsit, i a mecanismelor de utilizare ainformaiei.
5.2.6 Securitate
In reeaua global Internet care constituie suportul pentru componenta e-licitatie, asigurarea securitii reelelor informaionale devine o cerin fundamental pentrucreterea încrederii utilizatorilor în mijloacele electronice utilizate. Atât cauzeleatacurilor în reea cât i evoluiile tehnice cunosc schimbri rapide, dinamicaacestora necesitând implementarea i evaluarea periodic a sistemului desecuritate.
Având în vedere riscurile care decurg din dependena organizaiilor de reelele decomunicaii electronice i de sistemele i serviciile informatice, precum i dinvulnerabilitatea acestora în ceea ce privete securitatea informaiilor, MCTI ainiiat Strategia Guvernamental în domeniul securit ii informa iei, care este încurs de avizare i aprobare. Acest proiect are în vedere patru concepte de baz dindomeniul securtitii: preven ie, protec ie, reac ie i perfec ionare.
Preocuprile MCTI pentru standardizare în domeniul tehnologiei informaiei i alsecuritii informaiei i sistemelor s-a materializat în adoptarea i aprobareavariantelor româneti pentru un numr semnificativ de standarde internaionaleprivind securitatea informaiei, dintre care exemplificm pe cele care se refer lafurnizarea serviciilor electronice:
o SR ISO/CEI 17799:2000 – Tehnologia informa iei. Cod de practic pentru
managementul securit ii informa ieio SR ISO/CEI 15408-1: 2004 - Tehnologia informa iei. Tehnici de securitate
– Criterii de evaluare pentru securitatea tehnologiei informa iei (Partea 1: Introducere i model general)
o SR ISO/CEI 15408-2:2002 - Tehnologia informa iei. Tehnici de securitate –
Criterii de evaluare pentru securitatea tehnologiei informa iei (Partea 2:Cerin ele func iilor de securitate)
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
23/62
23
o SR ETSI TS 102023 V1.2.1:2003 – Semnturi electronice i infrastructuri
(ESI). Cerin e privind politica pentru autorit ile de marcare temporal
Recomand ri:
(a)- Elaborarea politicii de securitate IT a ASSI în concordan cu politicile
guvernamentale i cu evolu iile în domeniu.
(b)- Crearea cadrului procedural pentru implementarea i utilizarea standardelor i procedurilor de securitate în cadrul ASSI, care s asigure un gradridicat de fiabilitate i siguran al operaiunilor desf urate în cadrul Sistemuluie-licita ie, în acord cu practicile internaionale în domeniu.
Evaluarea stadiului de implementare la nivelul ASSI a politicilor, al adoptrii unorstandarde i recomandri în domeniul tehnologiei informaiei privind eficiena isecuritatea sistemelor IT.
(c)- Adoptarea unei abord ri de management al riscurilor pentru a determina nivelele de securitate. Elaborarea i meninerea unui set de norme privindresponsabilizarea întregului personal în asigurarea securitii sistemului.
Este necesar evaluarea i gestionarea riscurilor specifice care decurg din: lipsapoliticii de securitate; lipsa capabilitilor pentru a adresa subiectele privindsecuritatea; virui i atacuri ale hacker-ilor, atacuri care genereaz cderi alesistemului sau/ i perturb activitatea; inabilitatea de a opera în eventualitate uneicderi majore de sistem; motive de securitate care nu permit realizarea departeneriate cu alte organizaii.
(d)- Impunerea unor standarde de competen pentru speciali tii implica i în managementul securit ii. Elaborarea unor linii directoare pentru implementareamsurilor de securitate.
(e)- Pentru dezvoltarea încrederii în sistemele informatice, asigurarea securitiiacestora i protecia datelor, o msur eficient este promovarea pe scara larga a
auditului intern în domeniul securit ii sistemelor informatice i re elelor de comunica ii. Auditul trebuie s furnizeze informaii detaliate despre elementeleimplicate în securitatea informaiilor, s evalueze vulnerabilitatea i ameninrile
existente în cadrul ASSI cu privire la problemele de securitate, s evalueze i s implementeze infrastructura de securitate optim.(f)- Se va nominaliza persoana care va îndeplini func ia de manager de
securitate.
5.2.7 Managementul tehnologiei i al informaiei
Constatare: In cadrul instituiei s-a pus accent pe livrarea serviciilor electronice,care a constituit obiectivul principal în dezvoltarea componentei e-licita ie i s-a
acordat o atenie deosebit schimbrii (re-ingineriei) proceselor afacerii.Schimbrile în modul în care opereaz instituiile publice, prin utilizarea
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
24/62
24
tehnologiei informaiei care au impus reproiectarea proceselor afacerii, suntsemnificative. S-au operat perfecionri ale fluxurilor de informaii i ale metodelorde lucru, acestea impunând modificri ale sisteme IT la nivelul utilizrii, în primulrând la nivelul interfeei utilizator.
Recomandare: Este necesar monitorizarea continu a riscurilor specifice care decurg din func ionarea Sistemului e-licita ie: existena unor tehnologii proiectatesau implementate incorect; utilizarea unor tehnologii nevalidate care genereaz cderi ale sistemului; utilizarea unor tehnologii neadecvate la cerinele curente,care au ca efecte performan, disponibilitate i siguran sczute; interaciuneineficient a sistemelor care genereaz procese ineficiente; coninut informaionalinaccesibil sau greu accesibil, imposibilitatea utilizrii unor oportuniti pentrucreterea gradului de partajare a informaiilor i a tehnologiilor între instituii.
5.2.8 Audit intern
Constatare: In cadrul misiunii de audit extern desf urate de Curtea de Conturi aRomâniei, referitoare la componenta e-licita ie din cadrul portalului e-guvernare,au fost constatate deficiene semnificative, în special privind cadrul formal deimplementare a managementului securit ii sistemului, o mare parte a acestordeficiene decurgând din lipsa sau inconsistena unor controale adecvate (politici,proceduri, norme, reglementri), fapt care genereaz riscuri majore la acest nivel,
în ceea ce privete funcionarea acestui serviciu electronic. De asemenea, s-aconstatat faptul c pân în prezent, în cadrul instituiei, nu s-au desf urat aciuni
de audit intern referitoare la acest domeniu. Recomandare: Crearea unei structuri dedicate auditului IT i auditului securit ii, includerea unei teme de audit în planul de audit intern al ASSI, pe anul2008, având ca obiect evaluarea stadiului implementrii i utilizrii Sistemuluie-licitatie i perspectivele care decurg din evoluiile în domeniu.
Capitolul 6. Evaluarea controalelor generale IT pentru Sistemul
e-licitaie
I. Organizarea i managementul sistemului IT
Implicarea conducerii la cel mai înalt nivel în coordonarea activit ilor legate de
Sistemul e-licita ie opera ional în Sistemul Electronic Na ional
Viziunea noii instituii, asumat de conducerea ASSI, privind continuarea,
perfecionarea i extinderea serviciilor electronice de tip e-guvernare în scopulcreterii performanei administraiei publice i al creterii confortului cetenilor
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
25/62
25
precum i intenia implementrii unui cadru de interoperabilitate eficient înadministraia public, confer încredere în ceea ce privete asigurarea unui cadruadecvat extinderii Sistemului e-licita ie.Conducerea ASSI i-a manifestat intenia de a se implica în dezvoltarea iasigurarea unui sistem eficient de controale interne IT (politici, strategii, linii
directoare, proceduri) care va fi implementat în perioada urmtoare.
In ceea ce privete implicarea conducerii IGCTI în coordonarea activitilor, nu neputem exprima o opinie, întrucât nu au fost disponibile documente referitoare lamanagementul IT pentru perioada anterioar înfiinrii ASSI. Din interviuriledesf urate cu personalul de conducere de la nivelul departamentelor, direciilor iserviciilor rezult c nu au fost elaborate strategii i politici IT formale, bazate pe
o evaluare a riscurilor (riscuri în etapa de implementare, riscuri în etapa de livrarea serviciilor electronice, etc.), nu au fost stabilite linii directoare pentru atingerea
obiectivelor, nu au fost prezentate ini iative strategice în domeniul IT determinate de tranziia ctre procedurile electronice. Riscurile nu au fostidentificate, planificate i gestionate în mod formal i nu s-a efectuat o analiz a
beneficiilor poten iale ale utiliz rii Sistemului e-licita ie..
Planificarea activit ilor IT
Constatare: Nu exist un plan corespunztor i documentat pentru coordonareaactivitilor legate de funcionarea Sistemului e-licita ie. Rezultatele scontate,
precum i intele i etapele în dezvoltarea i implementarea proiectelor e-licita ie nu sunt documentate (în planificarea entitii).
Managementul programelor i al proiectelor. Raportarea c tre conducerea IGCTI
Managementul proiectelor e-licita ie este cuprinztor i sistematic dar nu serealizeaz pe baza unui cadru formal adecvat. Activitile i progresul proiectelore-licita ie nu sunt monitorizate în raport cu planurile elaborate în acest domeniu.
Supervizarea, dezvoltarea i întreinerea Sistemului e-licita ie se desf oar încadrul Departamentului Achizi ii Publice prin Mijloace Electronice. Persoaneleresponsabile cu monitorizarea rezultatelor au suficient autoritate pentru aidentifica subiectele i pentru a iniia aciuni corective. Nu exist o raportareregulat ctre conducerea de vârf a activitilor legate de implementarea Sistemuluie-licita ie. Nu funcioneaz un sistem unitar de raportare privind utilizareaserviciilor electronice de tip e-licita ie (cu stabilirea termenelor de raportare,activiti urmrite, cauze i msuri luate în cazul apariiei problemelor, etc.). Nusunt stabilii indicatori de performan IT care trebuie s fie adui la cunotina
conducerii instituiei, în mod oficial.
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
26/62
26
Respectarea reglement rilor în domeniu i a cerin elor proiectului
Este stabilit responsabilitatea asigurrii c Sistemul e-licita ie implementat esteactualizat în conformitate cu ultima versiune furnizat (versiunea programelor,coninutul digital, etc.). Configuraiile hardware / software au fost livrate i
instalate conform clauzelor contractuale, pe etape i la termenele stabilite.Pachetele software au fost furnizate conform clauzelor contractuale. Documentaiaa fost furnizat conform contractului.
Organizarea sistemului de monitorizare a activit ilor i serviciilor IT
Monitorizarea activitilor legate de Sistemul e-licita ie s-a realizat la nivelul Departamentului Achizi ii Publice prin Mijloace Electronice i la nivelul celor trei
servicii din cadrul departamentului: Serviciul Autoritate de Certificare, Serviciul Autorit i Contractante, Serviciul Suport Companii. Nu exist atribuii privindmonitorizarea consecvent, pe baz formal, a stadiului proiectelor e-licita ie. Nuexist o metodologie de evaluare a implementrii i utilizrii proiectelor e-licita ie.Se efectueaz în mod periodic evaluri ale performanei utilizatorilor sistemuluie-licita ie. Personalul implicat în proiectele e-licita ie este instruit profesional înmod periodic.
Monitorizarea la nivelul utiliz riiNu exist o procedur formal privind planificarea i monitorizarea utilizrii
sistemului la nivelul beneficiarilor sistemului (instituii i autoriti publice,ceteni, mediul de afaceri). Serviciile electronice e-licita ie au fost furnizatecontinuu. Utilizatorii sunt interesai i se implic continuu în perfecionarea idiversificarea serviciilor electronice e-licita ie. Nu este documentat o politic deprotecie a utilizatorului privind calitatea serviciilor electronice.
Concluzii
Implementarea noii versiuni, în ianuarie 2007, a sistemului e-licitatie s-a realizat ca
urmare a schimbrilor legislative care au impus-o. Conducerea instituiei sprijin iimpulsioneaz implementarea Sistemului e-licita ie.Nu a fost stabilit o politic oficial, consistent privind implementareacomponentei e-licita ie în cadrul instituiei. Implementarea a fost efectuat f r aexista o strategie sau politic scris bazat pe evaluarea riscurilor.Nu au fost elaborate în mod formal proceduri specifice de monitorizare, analiz ievaluare a beneficiilor poteniale, acestea fiind identificate la nivel general.
Obiectivele IT din cadrul entitii sunt coroborate cu obiectivele proiectelor pentrue-licita ie.
Conducerea ASSI este contient atât de importana introducerii i extinderiisistemului e-licita ie, cât i de riscurile ce pot s apar în cadrul sistemului e-
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
27/62
27
licita ie ca urmare a utilizrii acestuia. De asemenea, este preocupat de gsireaunor soluii pentru recuperarea investiiei f cute în proiect, prin cretereanumrului de utilizatori i finanarea dezvoltrilor din cadrul proiectului.Conducerea ASSI consider necesar aprobarea unor politici privind achiziiilepublice, în consens cu Declara ia ministerial de la Manchester , precum i crearea
unui cadru legal care s prevad obligativitatea pentru instituiile publice de autiliza SEAP.
In cadru auditului a rezultat c, pe parcursul implementrii sistemului, au avut loc întâlniri periodice între conducerea instituiei i personalul implicat în funcionareaSEAP, care au avut ca obiect discuii legate de necesitatea implementriiSistemului e-licitatie i de msurile care se impun. Nu au fost prezentatedocumente care s consemneze astfel de activiti.
Recomandare: Elaborarea unei strategii formale i a unui plan corespunz tor i
documentat pentru coordonarea activitilor legate de furnizarea serviciilorelectronice, care s defineasc i s impun principiile i metodele deimplementare, utilizare, întreinere i dezvoltare a sistemelor informatice, precumi atribuiile factorilor implicai în gestionarea proceselor IT.Conducerea trebuie s fie informat cu regularitate despre activitatea IT, princontacte cu factorii implicai în operarea sistemului pentru evitareadiscontinuitilor i a perturbaiilor legate în special de asigurarea continu aserviciilor.
Recomandare: Se impune crearea i consolidarea unui cadru eficient care s
asigure coordonarea i monitorizarea activit ilor legate de sistemul IT (planificare, raportare, asigurarea calitii serviciilor, respectarea reglementrilor îndomeniu i a cerinelor proiectelor IT, securitatea informaiei i a sistemului,continuitatea sistemului, managementul schimbrii i dezvoltarea de sistem,auditul intern IT). Trebuie s se asigure adecvarea la noul context organizatoric,
având la baz criterii func ionale, compatibile cu ierarhizarea administrativ:asigurarea unui cadru metodologic i procedural adecvat acestui nivel, informarearegulat a conducerii în ceea ce privete funcionarea sistemului informatic,asigurarea respectrii procedurilor interne IT, asigurarea i utilizarea tehnologiilor
informaiei într-o manier eficient, în concordan cu cerinele specifice. Nivel de risc: Având în vedere importan a, complexitatea i specificul
problematicii asociate atribu iilor stabilite prin lege pentru ASSI, precum i lipsa
unui sistem de controale interne IT (politici, strategii, proceduri, linii directoare,
etc.), adecvat la cerin ele i amploarea activit ii, consider m nivelul de risc ca
fiind major.
Gradul de automatizare
Constatare: Infrastructura hardware/software aferent Sistemului de achizi ii publice SEAP este de ultim generaie. Prin utilizarea acestui sistem, instituiilepublice din România i mediul de afaceri au posibilitatea procurrii de bunuri i
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
28/62
28
servicii prin mijloace electronice. Sunt evideniate efecte pozitive caracterizate prinscderea costurilor de achiziie, creterea numrului de utilizatori, cretereanumrului de produse achiziionate online.In ceea ce privete atribuirea prin licita ie electronic a contractelor, au fostraportate economii reale prin utilizarea serviciului e-licitatie disponibil.
Aplicaiile sunt integrate în sistem. Acesta este bazat pe o arhitectur deschis ipermite extinderea prin includerea de noi aplicaii. In dezvoltarea i perfecionareasistemului, au fost luate în considerare i cerinele ANRMAP.La data efecturii auditului, aplicaiile back-office sunt integrate cu aplicaiile
front-office i se asigur comunicarea i schimbul de informaii dintre acestea într-o modalitate efectiv i compatibil.
Nivel de risc: Având în vedere existen a unor configura ii hardware/ software i a
arhitecturilor i tehnologiilor informatice aferente de ultim genera ie, adecvate
cu cerin ele sistemului SEAP, riscul asociat livr rii unor servicii electronice decalitate în acest context este apreciat ca fiind minor.
Dependen a de sistemul informatic
Constatare: Având în vedere c în cadrul sistemului SEAP volumul tranzaciiloreste semnificativ, apreciem dependena de sistemul informatic ca fiind critic,aplicaiile fiind indispensabile atât pentru nivelul operaional, cât i pentruasigurarea fondului de date la nivel central. De asemenea, sunt critice: asigurareaserviciilor de comunicaie i operativitatea interveniilor în cazuri de incidente.
Datorit faptului c o parte a serviciilor IT este externalizat, existând un riscmajor în cazul în care furnizorul ar întrerupe livrarea serviciilor (chiar din motivede for major), recomand m o evaluare a riscurilor aferente externaliz rii
serviciilor IT i stabilirea m surilor privind asigurarea continuit ii sistemului.
Nivel de risc: Având în vedere efectele indisponibilit ii sistemului peste un anumit
prag de timp, riscul estimat, generat de dependen a de sistemul informatic este
major.
Resurse i cuno tin e IT
Funcionarea Sistemului e-licita ie se desf oar în cadrul a trei servicii din Departamentul Achizi ii Publice prin MijloaceElectronice: Serviciul Autoritate deCertificare, Serviciul Autoriti Contractante, Serviciul Suport Companii.Competenele în cadrul sistemului e-licita ie sunt determinateConstatare: Personalul aflat în componena structurilor IT care gestioneaz procesele aferente componentei e-licita ie este instruit atât în ceea ce priveteutilizarea tehnologiilor informaiei i respectarea procedurilor de operare a
sistemului cât i în aplicarea politicilor privind securitatea sistemului, asigurareacorectitudinii i proteciei informaiilor.
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
29/62
29
In Sistemul e-licita ie sunt antrenate aproximativ 25 de persoane. Poziiile cheie aufost identificate, definite i completate.Aptitudinile personalului sunt evaluate continuu i comparate cu necesitilesistemului. Instruirea i suportul menin abilitile personalului la curent cudezvoltrile Sistemului e-licita ie. Exist mecanisme pentru a transfera cunotinele
dobândite din exterior ctre entitate.Nivelul de instruire al personalului este ridicat. Se desf oar instruirea continu,pe categorii de probleme specifice acestui sistem. Astfel, au fost organizate cursuriinterne pe probleme de securitatea sistemelor ( Riscuri de securitate la comunica ia
prin e-mail i Riscuri de securitate privind navigarea pe Internet) la care auparticipat aproximativ 50 de persoane. Pentru departamentele de achizi ii publice specializate din teritoriu aparinând
Direc iei economice a IGCTI, au fost instruite aproximativ 30 de persoane careutilizeaz sistemul e-licita ie (pentru achiziiile proprii).
Sunt realizate testri periodice (de 3 ori pe an), atât pentru a evalua nivelulprofesional al personalului cât i pentru depistarea problemelor pentru care estenecesar aprofundarea instruirilor. Este necesar extinderea instruirii, având învedere, de asemenea, complexitatea problematicii configuraiilor sau extindereasistemului.Au mai fost semnalate necesiti de instruire pe subiecte legate de managementulproiectelor i de managementul schimbrii i dezvoltrii sistemului.
Recomandare: Elaborarea unei politici formale în ceea ce privete instruireapersonalului i a unui plan documentat, în care s fie incluse teme de interes major,legate de activitatea ASSI (securitatea sistemelor, managementul proiectelormanagementul schimbrii i dezvoltrii sistemului, standarde i bune practici,administrare sistem, utilizare aplicaii, etc.).
In general, personalul instruit este suficient in raport cu necesitile actuale deutilizare a sistemului e-licita ie i cu capacitatea configuraiilor de calcul. Exist ianumite categorii de personal, în special personalul tehnic IT, pentru care seconstat o supraîncrcare a acestuia.
In cazul indisponibilitii, sarcinile aferente funciei de administrare de sistem sunt
preluate de persoane cu cunotine în acest domeniu. Nu exist o procedur formal privind modul în care trebuie s se desf oare acest proces, ceea ceimplic riscuri majore în ceea ce privete sigurana i securitatea sistemului.
Constatare: Exist anumite cunotine care sunt concentrate la nivelul unui numrrestrâns de personal, în special pentru administratorul de sistem, ceea ce genereaz un risc major, în cazul indisponibilitii acestuia.
Recomandare: Evaluarea posturilor considerate ca fiind critice i pregtirea unorpersoane pentru dublarea acestor posturi.
Fluctuaia personalului propriu implicat în coordonarea i funcionarea sistemuluie-licita ie, inclusiv în utilizarea sistemului, pe perioada derulrii proiectului este
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
30/62
30
redus. Aceasta se datoreaz politicii de motivare i stimulare a personalului, careare un moral bun.
Politica de motivare i stimulare ofer flexibilitate în implementarea imanagementul sistemului e-licita ie:
•
promoveaz acceptarea dezvoltrilor tehnologice i a schimbrilor înactivitate,• încurajeaz re-orientarea aptitudinilor pentru noile activiti,• atrage i reine personal calificat, cu perfecionare înalt,• încurajeaz performana.
Recomandare: Având în vedere specificul domeniului i evoluiile rapide îndomeniul furnizrii serviciilor electronice, este necesar meninerea politicii demotivare a personalului cu experien în operarea administrarea i întreinereasistemului, atragerea unor resurse umane competente i responsabile, actualizareacunotinelor din acest domeniu prin includerea în planul de instruire a unor cursuridedicate profilului special al sistemului e-licitatie, politici care vor avea ca efectecreterea satisfaciei personalului care se va reflecta în nivelul de performan.
Nivel de risc: Având în vedere nivelul de instruire adecvat cu cerin ele de operare
ale sistemului SEAP, precum i utilizarea unor proceduri performante de protec ie
a informa iilor, riscul unor interven ii eronate din partea personalului este
minor.
Increderea în IT
Personalul ASSI este informat despre necesitatea i beneficiile Sistemuluie-licita ie, înelege perspectivele i evoluia sistemului e-licita ie, rolurile pe care leva juca i ateptrile de la acesta.Conducerea de vârf i personalul implicat în proiecte demonstreaz încredere înimplementarea programelor i proiectelor aferente Sistemului e-licita ie. Sistemule-licita ie acoper necesitile curente ale activitii, este flexibil i adaptabil.
In ceea ce privete coordonarea, administrarea, întreinerea i utilizarea, pesonalulimplicat apreciaz sistemul ca fiind complex, dar f r s implice dificulti tehnicedeosebite.Erorile semnalate în perioada imediat urmtoare lansrii sistemului (testarea cuutilizatorii) au fost corectate. In prezent, cele mai frecvente solicitri pentru suportse refer la înelegerea procedurii de autentificare. Semnalarea anomaliilor, erorilorsau incidentelor se face online sau prin intermediul helpdesk, suportul tehnic esteacordat permanent, prin expunerea modalitilor de corectare/ rezolvare aproblemelor aprute.
Sistemul poate suporta extinderea serviciilor electronice e-licitatie, prin includereade noi aplicaii fiind bazat pe o arhitectur deschis.
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
31/62
31
Atât documentaia tehnic furnizat de ctre dezvoltatorii software cât i suportulmetodologic oferit în cadrul sistemului sunt apreciate de utilizatorii interni ca fiindadecvate.Utilizatorii interni nu consider dificil utilizarea sistemului i apreciaz ca fiindutil implementarea i extinderea acestuia.
Nivel de risc: Increderea în sistem a utilizatorilor i suportul oferit implic , în
ceea ce prive te perspectiva utilizrii sistemului SEAP, un nivel de risc minor.
Externalizarea activit ilor i serviciilor IT
Externalizarea activitilor i serviciilor IT include: service echipamente,dezvoltare software de aplicaie, dezvoltare software de securitate, servicii Internet.
Furnizorii IT sunt companii mari, cunoscute pe piaa IT&C i au reputaie solid:
1. TotalSoft – Dezvoltare i întreinere sistem software e-licitatie – aplicaia deachiziii publice
2. UTI SYSTEM S.A. Dezvoltare Sistem electronic de Achizitii Publice –modulul de securitate
3. RCS & RDS S.A. Furnizare de servicii dedicate Internet
4. NET VISION TELECOM Furnizare de servicii dedicate Internet
5. HP România – furnizare de echipamente hardwareNu sunt semnalate probleme în legtur cu dependena fa de furnizori. Pentruversiunea curent, entitatea dispune de codul surs al componentelor software.
Nivel de risc: Având în vedere mrimea i reputa ia furnizorilor, precum i
clauzele contractuale, riscul decurgând din contractele cu ace tia, în ceea ce
prive te calitatea serviciilor, respectarea termenelor, confiden ialitatea este minor.
Calitatea serviciilor
Entitatea auditat este certificat ISO 9001/2000. Manualul calitii conine, înharta proceselor, procesele aferente Sistemului e-licita ie. De asemenea, conineprocedurile operaionale aferente urmtoarelor structuri organizaionale: ServiciulPortal eGuvernare, Serviciul Autoritate de Certificare, Serviciul Suport Autorit i
Contractante, Serviciul Suport Companii.
Recomandare: Extinderea certificrii pentru conformitatea cu un standard dereferin de securitate a sistemelor (de exemplu ISO 17799).
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
32/62
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
33/62
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
34/62
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
35/62
35
Au fost implementate o serie de proceduri importante privind optimizarea re eleii reducerea riscurilor de intruziune. Acestea nu sunt formalizate într-undocument însuit i aprobat de conducerea entitii.Au fost identificate i clasificate potrivit nivelului lor de încredere toateconexiunile reelei organizaiei i au fost separate, în DMZ ( Zona Demilitarizat ),
serviciile i conexiunile, în funcie de categoriile de încredere definite.Au fost terse din sistemul de operare server, toate serviciile care nu sunt necesarei au fost instalate toate patches-urile curente în sistemul de operare i în aplicaii.A fost minimizat utilizarea protocoalelor neîncriptate. Se efectueaz scanareaviruilor pe servere externe, înainte de a admite fiierele în reeaua organizaiei.Au fost redenumite conturile de administrator (fa de default ) pentru a facedificil identificarea lor. Au fost schimbate toate parolele default, au fostdezactivate toate conturile guest i au fost terse sau dezactivate toate serviciileFTP anonime. A fost restricionat puternic accesul de la distan la log-urile
sistemului. Au fost revizuite atent i ajustate în concordan cu caracterul critic alinformaiei permisiile legate de fiiere, directoare, etc.. Sunt afiate mesaje deavertizare atunci când sunt accesate resursele sistemului. Sunt separate adecvatconturile de administrare a sistemului.
Constatare: Nu este nominalizat un ofi er de securitate IT.
Nivel de risc: Nu exist o politic de securitate formal care s acopere toate
activit ile IT într-un mod consistent , ceea ce implic un risc major.
Zone de încredere
Punctele de acces fizic la resursele informatice prezente în schema arhitecturii dereea au fost identificate iar personalul are cunotin despre acest fapt. ArhitecturaDMZ implementat este potrivit cu clasificarea privind încrederea i protocoaleleasociate cu conexiunile la serviciile de reea. Nici unei persoane nu-i este permisaccesul la toate componentele structurii securitii reelei organizaiei.
Conexiuni externe
Conexiunile externe sunt protejate împotriva atacurilor informatice (virui, accesneautorizat) prin utilizarea urmtoarelor componente i tehnologii specificereelelor:
- Sistem de detectate a intruziunilor (IDS)
- Routere, firewall,
- Layer transparent de securitate,
- Criptarea traficului
- Sistem antivirus centralizat
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
36/62
36
Au existat numeroase atacuri informatice asupra reelei, dar acestea au fostneutralizate.
Echipamentele de tip Router - au ca prim responsabilitate rutarea traficului i nuaccentuarea filtrrii datelor i sunt instalate între segmente din reea cu diferitenivele de încredere pentru a asigura conectivitatea. Toate serviciile i protocoalele
care nu sunt necesare au fost terse din toate router –ele externe.Toate punctele deacces la router -e care nu sunt necesare au fost terse pentru a reduce accesul laserviciile prin care un router poate fi gestionat. Router -ele externe nu sunt utilizateca filtre granulare i filtrarea static sau dinamic este implementat prin firewall
în concordan cu politica pentru firewall.
Echipamentele de tip Switches utilizate au capacitatea de a fi gestionate i/saumonitorizate de la distan, au fost fixate limite de la care acestea pot fi accesate înreea, au fost terse serviciile care nu sunt necesare.
Firewalls - Nu exist documentaie care s precizeze ceea ce este permis îninteriorul i în exteriorul reelei pentru toate serviciile i aplicaiile. Nu estedocumentat formal arhitectura gateway. Setul de reguli firewall interzice tottraficul, cu excepia cazurilor când acesta este cerut explicit.
Detectarea intruziunilor A fost implementat un sistem de detectare a intruziunilor ( IDS – Intrusion
Detection System), pentru identificarea i izolarea acestora.Regulile pentru IDS nu sunt documentate astfel încât s se specifice la ce
evenimente se va activa o alert i ce rspuns se va da pentru acea alert. Evaluarea securit ii re eleiTestarea penetrrii este considerat ca o funcie integral de baz a securitiiinformaiei. Organizaia efectueaz lunar teste de penetrare. Au fost documentate iaprobate scopurile i obiectivele pentru testele de penetrare.
Au fost elaborate i implementate proceduri privind securitatea reelei, specializate în funcie de tipurile de componente hardware i de rolul pe care le au acestea încadrul reelei: procedura operaional privind securitatea sistemelor de guvernare
electronic i procedura operaional privind mentenana subsistemului gateSAFE. Acestea nu sunt elaborate i documentate în întregime în concordan cu cerineleunor standarde internaionale de securitate.
Constatare: Nu este nominalizat un manager pentru securitatea sistemului.
Instituia a iniiat demersurile pentru certificarea sistemului în ceea ce privetemanagementul securitii i în acest context sunt în curs de elaborare: politica desecuritate, planuri i proceduri privind securitatea.
Recomandare: Revizuirea i completarea procedurilor existente cu controale
adecvate acestui tip de sistem care este expus într-un grad înalt atacurilor dinexterior, cât i elaborarea unor noi proceduri, în conformitate cu standardele
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
37/62
37
internaionale de securitate (ex. ISO 17799). De asemenea, recomand m nominalizarea unui manager pentru securitatea sistemului.
Pentru a crete contientizarea cu privire la securitate în cadrul sistemului, au fostorganizate cursuri interne, testarea personalului, instruiri tematice. Se desf oar instruirea continu privind securitatea pentru tot personalul relevant. Partenerii
sunt certificai pentru standarde de securitate. Pentru a rspunde schimbrilor de sistem sau ale mediului de operare, nu s-arealizat în mod formal o evaluare a riscurilor, documentat, i o urmrire regulat avulnerabilitilor ce pot s apar.
Sunt implementate mecanisme eficace pentru: asigurarea proteciei împotrivaatacurilor, inclusiv virui, hackeri, etc.; identificarea unic a participanilor la otranzacie electronic; asigurarea c participarea la o tranzacie nu poate firecuzat.
Sistemul e-licita ie este testat extensiv i regulat i revizuit dar nu suntimplementate politici i proceduri formale aferente acestor operaiuni. Testelecontinue i revizuirile includ: test de penetrare (test real life de securitate pentruconexiuni Internet sau prin acces la distan din exterior); revizie diagnostic (orevizie intern detaliat a acelor pri ale sistemului relevante pentru securitate).
Nu este implementat un sistem automat care recunoate hibele în sistemul desecuritate.
Au fost raportate activiti neautorizate i vulnerabiliti ale sistemului de ctre
administratorii de reea ctre conducerea instituiei.Accesul individual la sistem i informaii este strict controlat, dar nu pe o baz formal.
Protec ia informa iilor i confiden ialitatea
Nu este dezvoltat un plan de management al confidenialitii. Exist angajamentede confidenialitate semnate de fiecare angajat din cadrul Departamentului e-Guvernare implicat în Sistemul e-licita ie i de angajaii Departamentului deachizi ii publice prin mijloace electronice.
Nu este documentat o politic de protecie a informaiilor i de confidenialitate înconcordan cu cerine specificate care s promoveze o partajare a informaiilorcorect i rezonabil cu beneficii reflectate în eficien i eficacitate.
In condiiile în care se solicit informaii identificabile i individuale, nu exist posibilitatea divulgrii privind: informaia colectat i modul în care a fostcolectat, utilizarea intenionat a informaiei colectate i a modului în care va fifurnizat, partajarea informaiei cu o ter parte, modul în care entitatea menineacurateea i securitatea informaiilor individuale identificabile pe care le primete
i le memoreaz, modul în care persoanele pot s-i revizuiasc informaiile propriii s solicite corecii.
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
38/62
38
Nu se realizeaz o monitorizare a practicilor, pentru a pregti aderarea la politicade management al proteciei informaiilor i a inregistrrilor a instituiei.
Administrarea securit ii
Nu este nominalizat un responsabilul pentru securitatea Sistemului e-licita ie, altuldecât administratorul de reea. O parte dintre atribu iile responsabilului pentru
securitatea sistemului sunt alocate administratorilor de re ea. Cele dou func ii trebuie s aib atribu ii distincte.
Controlul accesului logic
Revizuirea jurnalelor de opera ii în cadrul Sistemului e-licita ie
Nu exist proceduri privind monitorizarea i analiza periodic a jurnalelor deoperaii ale sistemului IT e-licita ie. Nu exist proceduri privind administrarea
utilizatorilor. In prezent, este în curs de elaborare un plan de securitate în care seintenioneaz includerea unor astfel de proceduri.
In ceea ce privete administrarea drepturilor utilizatorilor, exist manuale deutilizare pentru utilizatorii externi. Pentru utilizatorii interni exist drepturi iroluri asignate de ctre administratorul bazei de date. Acestea sunt menionate înmanualul de utilizare pentru actorul – Operator SEAP.
Nu exist o procedur formal care s menioneze msurile ce trebuie luate încazul în care administratorul de sistem pleac din instituie.
Exist un formular electronic pentru crearea i tergerea conturilor deutilizator, i pentru acordarea, modificarea i revocarea drepturilor de acces.Drepturile de acces se acord în baza acestui formular. Formularul fiind electronicnu conine semnturi, identificarea autorului i a utilizatorului realizându-seautomat.
Reguli pentru parole
Pentru accesul în sistem sunt definite urmtoarele reguli pentru parole:
- Lungimea parolei – minim 6 caractere;
- Nu sunt specificate reguli referitoare la coninutul parolei;
- Nu este menionat o perioad de valabilitate a parolei;
- Nu este specificat un numr de încercri pân la blocarea contului, dac parola nu este valid;
- In cazul blocrii contului, numai administratorul contului îl poate debloca;
- Nu este precizat un numr de parole precedente reinute de catre sistem;
- Utilizatorii nu sunt forati s schimbe parola la prima accesare.
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
39/62
39
In Sistemul e-licitatie, accesul din exterior se face pe baza unui certificat digital.La fiecare autentificare utilizatorul trebuie s se conecteze cu cont utilizator iparol de acces, dup ce în prealabil a obinut certificatul digital. Aceste metode deautentificare sunt complementare, nefiind posibil accesarea sistemului din exteriorf r aceste elemente. Toate cererile f cute ctre Sistemul e-licita ie sunt tratate, în
mod transparent, de catre un layer de securitate.Au fost elaborate i documentate proceduri operaionale privind revocareacertificatelor digitale, privind emiterea i reînnoirea certificatelor digitale pentruServiciul portal e-guvernare.
Proceduri de control asupra conturilor cu drepturi depline
Drept de administrare pentru sistemul e-licita ie îl deine administratorul de bazede date, care aloc i autorizeaz conturile cu drepturi depline i monitorizeaz
activitile utilizatorilor cu drepturi depline.
IV. Managementul continuit ii sistemului
Constatare: In scopul eliminrii riscului unor defeciuni majore generate desistemul IT sunt implementate proceduri pentru meninerea integritii datelorentitii prin intermediul unor servicii operaionale i faciliti de prelucrare i,
dac este necesar, prin furnizarea unor servicii temporare pân la reluareaserviciilor întrerupte. Nu este documentat un plan de recuperare în caz de dezastru.
Copii de siguran (back-up) ale datelor si sistemului
Exist o procedur formal de salvare a fondului de date. Sunt efectuate copii atâtautomat, cât i manual, cu frecven zilnic, pe servere oglind i pe benzimagnetice. Coninutul copiei este de tip sistem, fond de date, complet iincremental. Locul de stocare a copiei este în cldirea în care este instalat sistemul
care opereaz în modul de producie.Nu exist o locaie de back-up diferit de sediul ASSI, ceea ce implic un riscmajor în ceea ce privete recuperarea datelor i a sistemului, pentru cazul în care s-ar produce o avarie cu distrugeri fizice Exist un proiect de creare i implementarea unui data center , ca locaie de back-up, respectând standardele internaionale dindomeniu.
Copiile de rezerv ale sistemului sunt testate automat cu frecven sptmânal. Nuexist o procedur formal de testare. Exist o procedur de recuperare/restaurare.
8/16/2019 Raport de Audit Audit de Sistem Informatic RO
40/62
40
Managementul capacit ii
A fost efectuat analiza capacitii configuraiei disponibile de a face fa cerinelor sistemelor sau aplicaiilor prin prisma unor criterii de performan stabilite. Concluziile formulate au generat msuri referitoare la eliminarea
îngustrilor de trafic, optimizarea configurrii reelelor i/sau sistemelor,reproiectri ale fluxurilor, extinderea configuraiilor sau înlocuirea acestora. Înprezent, nu exist probleme legate de necesitatea extinderii configuraieihardware/software. Sistemul actual a fost proiectat pentru a admite 100000 deutilizatori.
Managementul problemelor
Constatare: Managementul problemelor nu este realizat pe baza unei proceduriformale, problemele fiind raportate ierarhic. Nu exist o eviden a problemelor
(registrul problemelor) i nici proceduri pentru analiza problemelor, pentruurmrirea problemelor rmase deschise sau nerezolvate.Utilizatorii semnaleaz problemele prin e-mail, telefon sau pe forum-ul de discuii.Din punctul de vedere al aplicaiei, pentru probleme software, se ine o eviden electronic, pe calculatorul administratorului, printr-o aplicaie cu interfa web deraportare a bug-urilor, direct dezvoltatorilor. Acetia, trateaz anomaliile semnalatei transmit actualizrile necesare.Problemele aprute, sunt analizate de conducerea Departamentului e-Guvernare ide c