Curtea de Conturi a Republicii Moldova

Raportul auditului
Sistemului informaional automatizat
,,Cadastrul bunurilor imobile
al ntreprinderii de Stat Cadastru
Septembrie 2011
mun C!i"in#u
CUPRINS
$%R&'(&R( )
*R&+$,- .
S/M$R/0 R&1/02$2&03R 4
(5+3RM$,(& 6&5&R$0- 7&S*R& &52(2$2& 8( S(S2&M/0 (5+3RM$,(35$09
S+&R$ 7& $%3R7$R& $ $/7(2/0/(:
C35S2$2-R( 6&5&R$0& 11
*R&1&52$R&$ C352R3$0&03R 2(1;
Evaluarea controalelor generale............................................................................................................16
Controale or<anizaionale "i de mana<ement =politici "i standarde>1;
Controale operaionale =controlul operaiunilor 2(>2)
Controale fizice "i de mediu29
*lanul de Continuitate ?n $faceri, *lanul de Recuperare ?n caz de 7ezastru "i Copiile de Rezerv#)0
Controlul sc!imb#rilor)1
Evaluarea controalelor aplicaiei...........................................................................................................33
Anexa nr.1............................................................................................................................................. 35
2
ABREVIERI
Active
Directo
ry
Este o ierarhie de cteva obiecte, n care obiectele se mpart n trei
categorii: resurse (ex: imprimant), servicii (ex: pota electronic),
resurse umane (ex: utilizatori, grupe de utilizatori). Scopul
tehnologiei ,,Active Directory este de a pune la dispo!i"ie in#orma"ii
despre aceste obiecte, organi!area obiectelor, controlul accesului,
setarea securit$"ii.
BD %a!$ de date
ARFC Agen"ia &ela"ii 'uncire (i )adastru
CD/DVD
ROM
Dispo!itiv de citire*nregistrare a discurilor )D (i D+D
CoBIT
)ontrol ,b-ectives #or .n#ormation and &elated /echnology (Obiectivele
de Control n domeniul TI)
COSO )ommittee o# Sponsoring ,rgani!ations o# the /read0ay )ommission
IFAC
.nternational 'ederation o# Accountants (Federaia Internaional a
Contabililor)
IIA /he .nstitute o# .nternal Auditors (Institutul uditorilor Interni)
ISACA
.n#ormation Systems Audit and )ontrol Association (sociaia de
Control i udit a !istemelor In"ormaionale)
ISACF
/he .n#ormation Systems Audit and )ontrol 'oundation (Fundaia de
Control i udit al !istemelor In"ormaionale)
ISO
.nternational ,rgani!ation #or Standardi!ation (Organizaia
Internaional de !tandardizare)
LAN 1ocal Area 2et0or3 (reea local de calcul)
Loguri
4urnale de activitate 5 nregistr$ri automate (i tipi!ate ale unor
evenimente n cadrul unei aplica"ii sau S.
OC ,6ciu central
OCT ,6ciu )adastral /eritorial
SI Sistem .n#orma"ional
SIA CBI Sistemul in#orma"ional automati!at 7)adastrul bunurilor imobile8
SO Sistem de operare
TI /ehnologii .n#orma"ionale
VPN +irtual 9rivat 2et0or3 (reea virtual privat)
WAN
:ide Area 2et0or3 (reea de calcul extins 5 cuprinde mai multe reele
#$ a%ate n locuri geogra&ce di"erite)
WEB
:orld :ide :eb 5 un sistem de documente i in"ormaii de tip
'ipertext legate ele ntre ele care pot & accesate prin reeaua mondial
de Internet
;
PREFA
Auditul tehnologiilor informaionale este un domeniu important pentru orice
organizaie, instituie i ntreprindere, care are scopul s! a"ute managementului
acesteia s! depisteze i s! contientizeze posi#ilit!ile de optimizare i eficientizare
a investiiilor n domeniul $%, ntru atingerea scopurilor de afacere i s! prezinte
recomand!ri pentru dezvoltarea i modernizarea acestora. &estiunea $% reprezint!
o parte indispensa#il! important!, care, de rnd cu alte activit!i, influeneaz! n
mod direct calitatea serviciilor acordate, securitatea informaional! i financiar!.
%nstituiile i ntreprinderile ncearc! s! automatizeze activitatea sa pentru a
micora timpul utilizat, cheltuielile indirecte i influena factorului uman. 'n cazul
n care instituiile au responsa#ilitate s! gestioneze activit!i aferente form!rii sau
utiliz!rii mi"loacelor #ugetare, prin calitatea managementului intern pot afecta n
mod direct securitatea economic!, informaional! sau chiar politic! a statului.
<
SUMARUL RE!ULTATELOR
(urtea de (onturi a iniiat auditul $% la '.). *(adastru+ pentru evaluarea
modului de gestiune, precum i pentru identificarea aciunilor necesare
eficientiz!rii tehnologiilor informaionale. Au fost identificate mai multe domenii
ce necesit! m#un!t!ire. , sintez! a evalu!rii efectuate poate fi prezentat! astfel-
.ei '.). *(adastru+ gestioneaz! $% la un nivel nalt i conducerea de vrf
manifest! o implicare clar! n sporirea calit!ii i eficienei ramurii respective,
totui nu exist! o corelare clar! a direciei de dezvoltare a instituiei i a
tehnologiilor informaionale. /u exist! o planificare strategic! a dezvolt!rii $%
ca parte a aciunilor necesare pentru dezvoltarea instituiei i ramurii respective.
0a momentul actual, de c!tre ntreprindere snt puse sarcini complicate fa! de
gestionarea $%- a1 conformarea gestion!rii cu standardul de calitate %),
2331-4335
1
6 #1 implementarea prescripiilor 7ot!rrii &uvernului nr.1143 din
18.14.4313
4
6 c1 implementarea cerinelor standardelor informaionale %),9%E(
4:331-4335
3
i %),9%E( 1::22-4335
8
. .in cauz! lipsei unei analize complexe a
perspectivelor i posi#ilit!ilor de dezvoltare, implementarea complet! a
standardelor menionate nu poate fi realizat! pe infrastructura existent!,
impunnd necesitatea de reformare a sistemelor informaionale existente i, drept
urmare, a infrastructurii tehnologice.
;n! n prezent se depune un efort considera#il pentru descrierea #usiness<
proceselor i documentarea proceselor interne, cu toate acestea nu exist! o
politic! intern! privind formarea, gestionarea, p!strarea i actualizarea
documentaiei $%. Actualmente mai snt domenii importante ce tre#uie
documentate. =nele documente interne importante par s! nu fie cunoscute de
utilizatori, deci, aplicarea lor nu poate fi asigurat!. .ocumentarea soluiilor $%
existente urmeaz! s! ai#! un efect #enefic asupra standardiz!rii relaiilor dintre
personalul specializat i celelalte su#diviziuni, ns! n cazul trecerii la versiuni
noi de aplicaii i schim#!rii infrastructurii tehnologice >fapt ce pare inevitabil i
nu s-a luat n consideraie1 toate documentele interne vor necesita modific!ri
eseniale sau a"ust!ri.
&estionnd un spectru larg de sisteme informaionale, comunicaii, periferice i
acordnd servicii ce se #azeaz! pe tehnologii informaionale n 81 de locaii
diferite, entitatea nu are o persoan! responsa#il! de evaluarea funcion!rii
ramurii $%. .ei n a.4332 a fost contractat! o companie pentru evaluarea
sistemului de management al securit!ii informaionale, nu exist! o persoan!
=
.S, >??=:2??@ 5 Auality management systems*&eBuirements (sisteme de management al calitii(cerine).
2
Cot$rrea Duvernului nr.==2; din =<.=2.2?=? ,,9rivind aprobarea )erin"elor #a"$ de asigurarea securit$"ii datelor
cu caracter personal la prelucrarea acestora n cadrul sistemelor in#orma"ionale de date cu caracter personal8 (n
continuare 5 CD nr.==2; din =<.=2.2?=?).
;
.S,*.E) 2E??=:2??F 5 .n#ormation technology *Security techniBues*.n#ormation security management systems*
&eBuirements (te'nologii in"ormaionale(te'nici de securitate(sisteme de management al securitii
in"ormaionale(cerine).
<
.S,*.E) =EE>>:2??F 5 .n#ormation technology*Security techniBues*)ode o# practice #or in#ormation security
management (te'nologii in"ormaionale(te'nici de securitate(cod de practici pentru managementul securitii
in"ormaionale).
F
a#ilitat! s! efectueze auditul tehnologiilor informaionale, pentru a prezenta
conducerii recomand!ri, date veridice i actualizate despre domeniu.
'.). *(adastru+ utilizeaz! o structur! tehnologic! decentralizat! n care datele
din sistemele informaionale se acumuleaz! i se prelucreaz! pe servere
separate, aflate n ,($. )erverele ,($ efectueaz! continuu schim# de date cu
serverele din ,(. ;entru anumite operaiuni snt transmise pachete ce conin
integral #azele de date i aplicaiile. )chim#ul de date se efectueaz! utiliznd
canale ?;/, gestionate integru de ).A. *@oldtelecom+. 'ntreprinderea nu
controleaz! nici un segment din procesul de circulaie a datelor, astfel datele
putnd fi interceptate de furnizor f!r! impedimente i f!r! a l!sa urme.
.ei se utilizeaz! o soluie softAare universal! de monitorizare a
echipamentului, nu se efectueaz! o analiz! a performanelor echipamentului i
pentru planificarea m#un!t!irii acestora, reieind din planurile de dezvoltare.
@ai mult, logurile nu snt analizate i utilizate ca instrument de depistare i
prevenire a evenimentelor nedorite.
'n condiiile n care exist! mai multe sisteme informaionale, care funcioneaz!
pe echipamente separate i care se modific! i dezvolt! continuu,
interdependena acestora dicteaz! necesitatea gestion!rii adecvate a
modific!rilor i conformarea lor cu tendinele generale de dezvoltare,
perspectivele i planurile strategice. 'n cadrul entit!ii nu exist! documente care
ar reglementa oficial gestionarea i managementul schim#!rilor, astfel nct
acestea s! se ncadreze n planurile de dezvoltare a ntreprinderii i s! fie
asigurat! compati#ilitatea i eficiena lor la etapele ulterioare de dezvoltare.
Biind utilizat! o gam! larg! de soluii $% interdependente, procedura de
recuperare a funcionalit!ii devine o sarcin! dificil! i de durat!. (u toate
acestea, '.). *(adastru+ nu are ela#orate i implementate C(;, .D;, iar copiile
de rezerv! nu snt testate corespunz!tor.
(ontroalele aplicaiei snt #ine gndite i aplicate pe scar! larg!, ns! eficiena
utiliz!rii lor este diminuat! considera#il de modul de interaciune dintre
sistemele informaionale i ntre nivelurile de arhitectur! ale acestora.
.ei se cunoate doar un caz cnd funcionarea tuturor sistemelor informaionale
a fost stopat! accidental, reieind din evalu!rile efectuate, $% din cadrul entit!ii
snt supuse multor riscuri. (u toate acestea, nu exist! documente care ar
reglementa i impune gestionarea riscurilor.
Daportul prezentat denot! c! au fost depistate unele nea"unsuri i deficiene.
$otodat!, '.). *(adastru+ a dat dovad! de profesionalism n gestionarea $%. .espre
ma"oritatea nea"unsurilor se cunoate, iar nenl!turarea acestora poate fi explicat!
prin lipsa mi"loacelor #!neti necesare, precum i a documentelor oficiale ela#orate
la nivel naional care ar ghida i standardiza domeniul $%.
Daportul ine s! prezinte recomand!ri ce vor contri#ui la m#un!t!irea i
eficientizarea gestion!rii $% n cadrul '.). *(adastru+.
G
INFORMAIE "ENERAL DESPRE ENTITATE #I
SISTEMUL INFORMAIONAL
$<enia Relaii +unciare "i Cadastru este organul administraiei pu#lice
centrale, care realizeaz! politica statului n domeniul relaiilor funciare,
cadastrului, geodeziei, cartografiei, geoinformaticii i este su#ordonat! &uvernului.
.eoarece (adastrul servete ca #az! pentru crearea %nfrastructurii /aionale
de .ate )paiale, actualmente Agenia este preocupat! de ela#orarea )istemului
%nformaional &eografic /aional.
(adastrul este un sistem unitar si o#ligatoriu de eviden! i inventariere
sistematic! a tuturor #unurilor imo#ile de pe teritoriul !rii din punct de vedere
cantitativ, calitativ si "uridic, indiferent n posesia cui se afl! #unurile, precum i de
reprezentare a acestora pe planurile cadastrale i n documentele cadastrale.
%mportana (adastrului const! n faptul c! acesta furnizeaz! date reale privind
#unurile imo#ile >poziie, m!rime, folosin!, proprietar1, necesare n toate ramurile
economiei naionale. 'n zilele noastre, cnd #unurile imo#ile snt utilizate activ n
funcie de catalizator al relaiilor de pia! ntre diferii ageni economici,
(adastrului i revine sarcina unui instrument deose#it de important pentru
economia de pia!, pentru c! furnizeaz! documentele care dau siguran!
tranzaciilor care au loc pe piaa #unurilor imo#ile.
.e asemenea, importana lucr!rilor de (adastru este de prim<ordin pentru
ntocmirea sistemelor informaionale ale teritoriului, capa#ile s! furnizeze rapid
date reale tuturor organismelor de gestionare i planificare a #unurilor imo#ile din
diverse sectoare ale economiei naionale.
'n Depu#lica @oldova aceste sarcini i revin ntreprinderii de Stat
Cadastru, a c!rei fondator este Agenia Delaii Bunciare i (adastru, creat! prin
fuzionarea oficiilor cadastrale teritoriale la 31.38.4336, n scopul cre!rii i inerii
Cadastrului bunurilor imobile, altor sisteme informaionale i registre de
domeniu, execut!rii lucr!rilor cadastrale i celor de evaluare a #unurilor imo#ile,
precum i administr!rii #!ncii centrale de date a (adastrului #unurilor imo#ile. 'n
prezent, ntreprinderea dispune de o reea de ): de filiale, amplasate n ma"oritatea
localit!ilor ur#ane ale !rii.
;rin intermediul filialelor sale, ntreprinderea presteaz! o gam! larg! de
servicii de nregistrare a #unurilor imo#ile >terenuri, cldiri i construcii,
apartamente, alte ncperi izolate, poriuni de subsol, obiecte acvatice separate1,
drepturilor de crean!, faptelor sau rapoartelor "uridice aferente. (oncomitent cu
nregistrarea drepturilor asupra propriet!ilor imo#iliare, ntreprinderea, prin
intermediul filialelor sale, furnizeaz! din *(adastrul persoanelor fizice i "uridice+
informaie despre #unurile imo#ile i drepturile asupra lor. 'ntreprinderea presteaz!
servicii de evaluare individual! i masiv!, utiliznd metode de evaluare sta#ilite de
legislaia naional! i de standardele internaionale de evaluare. $otodat!,
ntreprinderea realizeaz! ;rogramul de stat de evaluare a tuturor tipurilor de #unuri
imo#ile n scopul impozit!rii i reevalu!rii periodice. Dezultatele evalu!rii masive
E
pot fi utilizate nu numai n scopuri fiscale, ci i drept informaie pentru ipotecare
sau alt tip de tranzacii.
'n conformitate cu prevederile 0egii cadastrului #unurilor imo#ile nr.1583<
E%%% din 45 fe#ruarie 1225 i n scopul execut!rii punctului 4 al 7ot!rrii
&uvernului nr.1425 din 45.13.4333 ,,(u privire la crearea )istemului %nformaional
&eografic /aional+, prin ,rdinul directorului ADB(
5
nr.43 din 11.34.4335, s<a
decis-
< Apro#area (oncepiei sistemului informaional automatizat ,,(adastrul
#unurilor imo#ile+.
< Asigurarea realiz!rii de c!tre '.). ,,(adastru+ a prevederilor (oncepiei
sistemului informaional automatizat ,,(adastrul #unurilor imo#ile+ >n continuare
F )%A (C%1.
(onform (oncepiei, )%A (C% tre#uie s! asigure ndeplinirea funciilor de
#az! ale unui sistem informaional tipic, aa cum aceste funcii snt definite n
(oncepia sistemului informaional unificat al autorit!ilor pu#lice, precum i
executarea funciilor specifice sta#ilite conform destinaiei sistemului.
0a momentul actual, principalele #usiness<procese snt automatizate prin
utilizarea unui set de sisteme informaionale i aplicaii. .intre acestea,
principalele snt-
=. 0e<alCad- nregistrarea o#iectelor de imo#il, drepturilor i grev!rilor.
2. 'alueCad- evaluarea o#iectelor de imo#il cu scopul impozit!rii.
;. +isCad- su#sistem informaional pentru prezentarea informaiei despre
valoarea #unurilor imo#ile c!tre %B;), cu scopul impozit!rii.
<. Cadastru 200:, destinat asigur!rii evidenei efectu!rii lucr!rilor c!tre
clieni- evaluarea o#iectelor de imo#il cu scopul impozit!rii6 automatizarea
proceselor, de la formarea solicit!rii clientului, calcularea i recalcularea
costului serviciilor, evidena i analiza gradului de realizare a comenzii, pn!
la prezentarea rezultatelor c!tre client.
F. *ortalul S Cadastru permite accesul autorizat persoanelor tere c!tre
informaia textual! i grafic! privind (adastrul #unurilor imo#ile .a.
S($ C%( =componentele acestuia> automatizeaz! i snt responsa#ile de
activit!ile de #az! ale '.). *(adastru+, gestioneaz! date de importan! statal!, care
se utilizeaz! n operaiuni financiare, stau la #aza recepion!rii de pl!i i
furnizeaz! date c!tre alte sisteme. (omponentele )%A (C% snt utilizate n 81 de
locaii diferite i pot fi utilizate i de la distan! >din teren1, astfel exist! peste 533
de utilizatori activi. Acestea sufer! modific!ri mai mult de 5 ori pe an, fiind extrem
de vulnera#ile asupra riscului unui colaps. (u toate acestea, nu exist! un plan de
continuitate n afaceri, cu un plan de recuperare n caz de dezastru.
F
,rdinul nr.2? din ==.?2.2??@ ,,Despre aprobarea )oncep"iei sistemului in#orma"ional automati!at ,,)adastrul
bunurilor imobile8)
@
SFERA DE ABORDARE A AUDITULUI
Activitatea oric!ror instituii i ntreprinderi de stat are ntr<o oarecare
m!sur! tangen! cu utilizarea $%, iar tendina de automatizare este n cretere, astfel
nct unele procese snt efectuate numai n mediul computerizat. 'n felul acesta,
crete esenial dependena entit!ilor de $% moderne, care creeaz! premise i
oportunit!i de dezvoltare continu!, dar necesit! investiii financiare i umane
gestionate n mod chi#zuit. ,rice #eneficii aparente ale utiliz!rii $% se pot
transforma n riscuri ma"ore, dac! nu snt #azate pe nite principii rigide.
Experiena statelor dezvoltate reprezint! o surs! sigur! de nelepciune i inspiraie
pentru o gestiune #un! a $%.
0a evaluarea gestion!rii $% n cadrul '.). *(adastru+ au fost consultate
standardele i #unele practici acceptate internaional, n conformitate cu care snt
naintate recomand!rile. @isiunea de audit are scopul s! prezinte o opinie
independent! asupra modului de gestiune a $% i metodelor de m#un!t!ire,
riscurilor existente i posi#ilit!ilor de prentmpinare, precum i o viziune asupra
perspectivelor de dezvoltare n conformitate cu cele mai #une practici
internaionale.
3biectivul auditului urmeaz# s# dea r#spuns la urm#toarele ?ntreb#ri@
Snt oare controalele TI din cadrul .S. Cadastru suficiente pentru a asigura
exactitatea, integritatea i acurateea datelor, precum i securitatea, veridicitatea
i disponiilitatea datelor i va putea oare face fa! ntreprinderea necesit!ilor
de de"voltare i de moderni"are n condiiile existente#
Controalele TI din cadrul '.). *(adastru+ par a fi suficiente i se dezvolt!
continuu. /ecesit!ile de dezvoltare i modernizare pun su# pericol eficiena
controalelor. )istemele informaionale existente nu fac fa! unor exigene i cerine
de securitate a#ordate sau care se vor implementa pe viitor. /u exist! o asigurare
c! sistemele informaionale existente vor face fa! necesit!ilor instituiei n
viitorul apropiat sau de perspectiv!. Aceasta se datoreaz! faptului c! sistemele
informaionale nu posed! suficient! flexi#ilitate, nu snt integrate pe deplin i
necesit! ela#or!ri suplimentare complicate pentru a fi a"ustate la numeroasele
cerine de securitate i funcionalitate i, drept urmare, nu pot asigura
implementarea oric!ror modific!ri importante.
Controalele aplicaiei, dei snt configurate i aplicate destul de eficient,
utilizarea lor necesit! eforturi i cheltuieli considera#ile, acestea, n unele cazuri,
>
nu pot fi aplicate. Baptul respectiv este cauzat de dependena sistemelor
informaionale de resurse i de date externe. 'n afar! de aceasta, nu este posi#il!
asocierea unor evenimente din cadrul sistemelor cu persoane concrete. Aceasta
duce la diminuarea eficienei controalelor i a efectului utiliz!rii lor.
.in motivul existenei unui num!r destul de impun!tor de )% >43 de sisteme1,
aplicaii i personal specializat, o a#ordare a performanei gestiunii $% este
inevita#il!. Astfel, '.). *(adastru+ este nevoit! s! ntrein! i s! dezvolte mai multe
tehnologii nvechite. @a"oritatea )% i aplicaiilor nu mai pot face fa! necesit!ilor
crescnde de modernizare, cerinelor funcionale, precum i de securitate,
fia#ilitate, flexi#ilitate, continuitate i disponi#ilitate. /ecesit!ile de modificare i
modernizare se datoreaz! att tendinelor conducerii de a m#un!t!i situaia, ct i
cerinelor crescnde din exterior >schimbul de date, cerine ale Guvernului etc.1.
Astfel, situaia creat! nu permite a#ordarea de perspectiv!, care ar schim#a
temeinic dezvoltarea pe o cale calitativ superioar!, #azat! pe o viziune strategic!
clar!.
=?
CONSTATRI "ENERALE
;rogramul de stat de creare a cadastrului #unurilor imo#ile, apro#at prin
7ot!rrea &uvernului nr.1333 din 14 octom#rie 1225 *.espre unele m!suri privind
crearea cadastrului #unurilor imo#ile+, sta#ilete c! sistemul unificat de
nregistrare a #unurilor imo#ile i a drepturilor asupra acestora se implementeaz!
n Depu#lica @oldova ncepnd cu anul 1222. Acest sistem funcioneaz! n cadrul
'.). *(adastru+.
0a momentul actual, ca rezultat al apro#!rii unui ntreg set de acte normative
n domeniul informatiz!rii i al dezvolt!rii tehnologiilor informaionale, a fost
adus! n discuie necesitatea reproiect!rii acestui sistem, pe #aza experienei
acumulate i n conformitate cu principiile cu privire la integrarea resurselor
informaionale de stat.
?ersiunea existent! a sistemului automatizat al cadastrului are drept scop
nregistrarea primara a unor tipuri de #unuri imo#ile- parcele de teren, cl!diri si
nc!peri izolate etc. .ezvoltarea pieei imo#iliare presupune nregistrarea tuturor
categoriilor de #unuri imo#ile si nregistrarea flexi#il! i complet! a tranzaciilor
cu aceste #unuri care se realizeaz! pe piaa imo#iliar! secundar!.
,#iectul sistemului const! n realizarea unei nregistr!ri cadastrale integrate i
unificate a #unurilor imo#ile, a drepturilor de proprietate, a grev!rilor, a
tranzaciilor i a altor operaiuni imo#iliare efectuate legal. Aceast! nregistrare
este realizat! de organul mputernicit n mod legal n numele statului. ;rintre
consecinele "uridice se num!r!, n primul rnd, constituirea drepturilor la
momentul nregistr!rilor i garantarea acestora de c!tre stat.
Degistrele cu privire la su#iecii drepturilor >e!istrul de "tat al #opulaiei si
e!istrul de "tat al $nitilor %uridice1 i alte registre pe domenii tematice
>utilizate pentru formarea obiectului drepturilor1 i asigur! cadastrului #unurilor
imo#ile date<cheie cu privire la #unurile formate, inclusiv un identificator unic i
date care pot fi utilizate direct pentru nregistrare i evaluare, precum i pentru
localizarea spaial! >poziia i confi!uraia ori!inala1 pentru o#iectul drepturilor.
7e menionat c# interaciunea ?ntre sistemele informaionale ale S
Cadastru cu cel al Centrului Resurselor (nformaionale de Stat Re<istru
nu este realizat# la un nivel te!nolo<ic suficient, astfel eAist?nd impedimente ?n
identificarea complet# a persoanelor fizice, iar sc!imbul de date cu Serviciul
+iscal de Stat este realizat ineficient "i necesit# lucr#ri considerabile efectuate
repetat &stfel, pentru schimbul de date cu "erviciul 'iscal de "tat a fost realizat
i este ntreinut un sistem informaional separat. Conform afirmaiilor
responsabililor ntreprinderii, au e(istat solicitri de recepionare a unui spectru
complet de date, care ar permite identificarea deplin a persoanelor, ns acestea
nu au fost satisfcute din motive tehnolo!ice.
Evaluarea economic! a #unurilor imo#ile, inclusiv a componentelor acestora,
se realizeaz! n conformitate cu regulamentele oficiale utilizate n scopul
impozit!rii. Evaluarea cadastral! a #unurilor imo#ile n scopul impozit!rii este
prerogativa exclusiva a sistemului cadastral.
==
%mpozitarea n sine, politica fiscal!, o#ligaiile fiscale si alte aspecte se
reg!sesc su# responsa#ilitatea respectivelor autorit!i i ale sistemelor
informaionale ale acestora.
0a momentul actual, eAist# un set de sisteme informaionale "i aplicaii,
care nu corespunde ?n totalitate cerinelor Concepiei sistemului informaional
automati"at ,,Cadastrul unurilor imoile (nte<rarea p#rilor componente
este realizat# doar la nivel de sc!imb "i utilizare reciproc# de date
'n cadrul '.). *(adastru+ exist! documente ce a#ordeaz! dezvoltarea
strategic! a $% n ansam#lu i a unor sisteme informaionale n particular, ns!,
preponderent, din lipsa de finanare, acestea nu au fost apro#ate i, respectiv, nu
snt implementate, astfel existnd riscul ca dezvoltarea s! fie spontan! i
ineficient!, cu a#ateri de la o#iectivele instituiei, iar documentele ela#orate s!<i
piard! vala#ilitatea.
(onform concepiei, scopul cre!rii )%A (C% este-
11 m#un!t!irea calit!ii, accelerarea i simplificarea serviciilor de furnizare a
informaiilor de stat c!tre persoane fizice si "uridice6
41 recunoaterea de c!tre pu#lic i prote"area drepturilor reale asupra #unului
imo#il6
31 crearea resurselor informaionale de #az!6
81 asigurarea autorit!ilor pu#lice cu informaii analitice i statistice veridice
cu privire la componena cantitativ! i calitativ! a #unurilor imo#ile necesare
pentru a lua decizii manageriale.
Actualmente, arhitectura interaciunii sistemelor informaionale din cadrul '.).
*(adastru+ este urm!toarea-
Bigura nr. 1. (omponena i interaciunea sistemelor informaionale ale '.). *(adastru+
=2
'n perioada anilor 1226<122:, n Depu#lica @oldova, n cadrul
primului proiect<pilot de cadastru a fost analizat! starea lucrurilor ce in de
nregistrarea #unurilor imo#ile i a drepturilor asupra lor. 'n calitate de rezultat,
acest studiu urma s! prezinte propuneri asupra direciilor cre!rii i dezvolt!rii
acestui sistem. Birmele %0%) >,landa1 i =@A &eomatics >(anada1 au participat n
calitate de consultani.
=na dintre direciile studiului din cadrul acestui proiect const! n ela#orarea
tehnologiei de nregistrare electronic! a #unurilor imo#ile i a drepturilor asupra
lor. A fost format! o echip! de specialiti locali n domeniul tehnologiilor
informaionale. 'n cola#orare strns! cu consultanii internaionali i cu participarea
lor direct! a fost modelat! structura #azei de date, au fost selectate produsele de
program pentru- mediul de ela#orare >#o)er*uilder1, gestiunea #azei de date
>"+*ase i ,&C-.1 i prelucrarea informaiei grafice >/apInfo1. (a urmare a
cola#or!rii, a fost scris codul de program, care a primit denumirea de )%A
*0egal(ad 1.3+, destinat pentru nregistrarea electronic! a #unurilor imo#ile i a
drepturilor asupra lor.
'n anul 1225 a fost ela#orat! a doua versiune a )%A *0egal(ad+, care
funcioneaz! n sistemul de nregistrare a #unurilor imo#ile din Depu#lica @oldova
pn! n prezent..
)%A *0egal(ad+ n a doua sa versiune, fiind o aplicaie destinat! pentru
prelucrarea datelor textuale "uridice, urma s! soluioneze urm!toarele pro#leme-
< nregistrarea primar! masiv! i selectiv!6
< nregistrarea curent!6
< nregistrarea restriciilor i interdiciilor6
< eli#erarea informaiei privind #unul imo#il.
;e parcursul exploat!rii versiunii 4 a )%A *0egal(ad+, au fost perfecionate
structura C., codurile de program i interfaa, precum i au fost ad!ugate module
noi.
'n anii urm!tori au fost ela#orate i alte sisteme, integrate cu )%A *0egal(ad+,
cum ar fi- sistemul de evaluare a #unurilor imo#ile cu scopul impozit!rii
>?alue(ad1 i sistemul pentru transmiterea datelor c!tre )erviciul Biscal de )tat.
'ncepnd cu anul 4338, funcioneaz! ;ortalul cadastrului #unurilor imo#ile.
.ei o#iectivul implement!rii $% este integrarea i gestionarea unificat! a
resurselor informaionale, din cauza cre!rii i dezvolt!rii separate a acestora n
cadrul ntreprinderii, gestionarea lor presupune i o a#ordare separat! pentru
fiecare component!. Autentificarea este separat! pentru fiecare sistem
informaional sau aplicaie, iar acestea nu snt integrate n autentificarea la Active
.irectorG. 'n aa condiii, pentru asocierea unor aciuni n cadrul infrastructurii
unei persoane concrete se presupune analiza unui num!r exagerat de loguri.
%mpactul este amplificat de imposi#ilitatea p!str!rii logurilor pentru unele aplicaii,
iar pentru altele, din insuficiena spaiului de stocare, logurile se p!streaz! foarte
puin timp.
%nteraciunea sistemelor informaionale cu C. ,racle se efectueaz! la nivel
de autentificare cu conturi generice. (hiar i n cazul acces!rii directe a #azelor de
=;
date, personalul de specialitate utilizeaz! conturi generice, cum ar fi *admin+
*supervizor+ etc. 'n condiiile lipsei unei politici i a unor proceduri predefinite de
analiz! a logurilor, evenimentele nedorite de securitate nu pot fi prentmpinate sau
anumite aciuni nu pot fi asociate cu persoane concrete pentru a ntreprinde aciuni
de remediere.
$oate aplicaiile presupun o procedur! de autentificare a utilizatorilor, dar nu
exist! o politic! a parolelor i nici instrumente ncorporate, care ar solicita
modificarea regulat! a parolelor, lungimea i complexitatea acestora. =tilizatorii
nu cunosc despre necesitatea respect!rii unor m!suri de securitate n folosirea
conturilor de acces. =tilizatorii las! deseori dup! autentificare aplicaia lansat!, iar
aceasta nu efectueaz! finalizarea sesiunii de lucru n mod automat dup! o perioad!
sta#ilit! de timp.
*entru sc!imbul de date ?ntre 3C "i 3C2, S Cadastru ?nc!iriaz#
canale '*5 de la compania Moldtelecom, care prezint# un produs finit n
astfel de condiii, S Cadastru nu are parte ?n procesul de criptare,
transmitere, decriptare a datelor, deci, nu poate controla calitatea serviciilor "i
securitatea datelor 7rept urmare, persist# riscul c# persoane cointeresate din
an<aBaii furnizorului s# poat# intercepta sau c!iar modifica datele
Instrumentele de autentificare i securitate nu snt inte!rate i nu permit
asi!urarea unui nivel acceptabil de fiabilitate i si!uran.
Biecare ,($ posed! Active .irectorG separat, care nu este integrat cu cel din
,(. Acest fapt nu permite aplicarea corect! a politicilor de securitate, micoreaz!
considera#il posi#ilit!ile de monitorizare a aciunilor utilizatorilor i
evenimentelor de securitate i implic! utilizarea iraional! de resurse pentru
gestiune.
0a staiile de lucru utilizatorii au pn! n prezent drepturi depline, fapt care
nu<i poate limita pe acetia de la aciuni premeditate sau ntmpl!toare, care ar
putea pune n pericol securitatea reelelor locale i a reelei corporative. (u toate
acestea, pentru minimalizarea riscurilor asociate cu securitatea informaional!,
ma"oritatea utilizatorilor din ,($ snt restricionai n folosirea resurselor internet
i n utilizarea purt!torilor externi de informaie.
3 abordare de dezvoltare strate<ic# a instituiei ?n ansamblu, care va fi
corelat# cu posibilit#ile "i necesit#ile te!nolo<ice, ar putea aduce plusC
valoare ?n perspectiv# "i ar asi<ura o <estiune si<ur# a activelor
informaionale, datelor cu caracter personal "i a celor ce prezint# secret de
stat sau comercial &u fost depuse eforturi interne de abordare comple( a
situaiei, ns decizii n acest sens nu au fost luate.
0n condiiile n care ntreinerea infrastructurii TI necesit din ce n ce mai
multe resurse i dependen de persoane-cheie, care au tendina de mi!rare,
eficiena investiiilor scade treptat, iar atin!erea obiectivelor neputnd fi
!arantat, trebuie analizat posibilitatea trecerii la o soluie comple(, scalabil
i inte!r pentru automatizarea business-proceselor de baz.
=<
'nlocuirea soluiei tehnologice implic! investiii considera#ile, care ar tre#ui
s! se r!scumpere n perioada de exploatare prin micorarea considera#il! a
cheltuielilor de ntreinere, de comunicare i m#un!t!irea considera#il! a calit!ii
serviciilor i nivelului de integrare cu alte resurse informaionale de ramur! i de
stat. Alte #eneficii care tre#uie s! fie o#inute snt- a1 posi#ilitatea asigur!rii unui
nivel ridicat al acurateei, integrit!ii, securit!ii, veridicit!ii i disponi#ilit!ii
datelor6 #1 flexi#ilitatea sistemului, n perspectiva dezvolt!rii sau moderniz!rii6 c1
scala#ilitatea sistemului, care va permite dezvoltarea, completarea acestuia cu
funcii i module noi, care se vor integra n ansam#lul funcional existent,
motenind toate #eneficiile sistemului i f!r! a pune n pericol funcionarea celor
existente6 d1 asigurarea continuit!ii funcion!rii n condiii de accidente sau
calamit!i6 e1 simplitatea n exploatare.
'n prezent, gestiunea $% i a sistemelor informaionale specializate n cadrul
'.). *(adastru+ este efectuat! la un nivel nalt. .atorit! implic!rii conducerii i
competenei personalului specializat, ntreprinderea m#un!t!ete continuu
calitatea $% i a serviciilor acordate. (u toate acestea, o#iectivele nalte asumate au
scos n eviden! vulnera#ilitatea sistemului la eventuale schim#!ri considera#ile i
necesitatea implement!rii unor tehnologii noi pe scar! larg!.
'n contextul celor expuse i ntru lichidarea deficienelor constatate, se
recomand! conducerii '.). *(adastru+-
$ecomandarea nr.%&' " efectueze un studiu de fezabilitate, cu implicarea
unei companii de specialitate sau prin crearea unei comisii interdepartamentale,
cu participarea nemi1locit a &'C, pentru desemnarea unei direcii strate!ice de
dezvoltare TI. 0n baza obiectivelor strate!ice stabilite de &'C, 0.". 2Cadastru3
s determine o soluie tehnolo!ic fiabil de perspectiv, care s satisfac toate
e(i!enele de securitate, productivitate i economicitate.
$ecomandarea nr. (' 0n baza rezultatelor studiului de fezabilitate, s
elaboreze i s aprobe revizuirea direciilor de dezvoltare strate!ic instituional,
cu ntocmirea unui plan detaliat de aciuni.
$ecomandarea nr. )' " efectueze o analiz economico-financiar i
tehnolo!ic ampl asupra soluiei selectate, a necesitilor de reformare
strate!ic, care s fie naintate Consiliului de &dministraie, pentru identificarea
surselor de finanare, termenelor de realizare i a eventualelor iniiative
le!islative, cu prezentarea acestora pentru aprobare &'C.
/rm#toarele recomand#ri din prezentul Raport urmeaz# s# fie
implementate ?n dependen# de modul de realizare a Recomand#rilor nr 1C)
=F
PRE!ENTAREA CONTROALELOR TI
;entru evaluarea sistemelor informaionale exist! o varietate de ghiduri,
instruciuni, standarde i #une practici >&ne(a nr.41. Ele nu poart! un caracter
o#ligatoriu, ns! au principii similare i n caz c! la nivel naional nu snt apro#ate
unele din ele, acestea pot fi utilizate conform corespunderii lor necesit!ilor. Astfel,
exist! instruciuni, standarde i alte pu#licaii ale %/$,)A% >n particular ale
Comitetului #ermanent pentru &uditul TI1 i ale grupurilor de lucru regionale.
)tandardele de audit %/$,)A% nu au o form! o#ligatorie, ele reflect! o selecie de
#une practici.
Evaluarea controalelor generale
Co$tro%&e org%$i'%(io$%&e )i *e +%$%ge+e$t ,-o&itici )i
.t%$*%r*e/
&iscurile asociate cu controale inadecvate
9oliticile, procedurile, standardele (i structurile
organi!a"ionale snt menite s$ ne pre!inte siguran"$ c$
obiectivele (i sarcinile businessHproceselor vor 6 atinse (i,
totodat$, c$ oricare evenimente nedorite vor 6 prevenite,
corectate sau nl$turate. &evederea controalelor generale
pre!int$ un interes deosebit, deoarece eIisten"a (i calitatea lor
a#ectea!$ n mod direct toate activele aJate n gestiune.
)%A (C% are un nivel ridicat al criticismului, vulnera#ilit!ii i sensi#ilit!ii
datelor, impactul la care poate duce stoparea funcion!rii, accentund importana
gestion!rii lui conforme
6
. .in aceste motive, este strict necesar de a asigura
continuitatea funcion!rii, securitatea, integritatea, disponi#ilitatea i corectitudinea
datelor. , gestionare coerent! a unui )% de o aa importan! implic! n mod
o#ligatoriu existena i utilizarea adecvat! a unui set complex de politici, standarde
i documente de reglementare.
Strategia /. (i implicarea conducerii de vr#
Strategia /. este, de #apt, punctul de plecare pentru orice
investi"ii n /., deoarece aici se identi6c$ schimb$rile ulterioare
care trebuie s$ 6e 6nan"ate.
'n cadrul '.). *(adastru+ snt ela#orate cteva documente cu caracter strategic,
ns! acestea nu snt corelate cu o viziune strategic! de dezvoltare a instituiei n
ansam#lu, precum i ntre ele. 'n anul 4332 a fost ela#orat un document care
descrie #usiness<procesele interne, interdependena lor, etapele i paii acestora.
.ocumentul respectiv ar putea slu"i drept punct de pornire pentru nelegerea
analitic! a proceselor tehnologice i construirea unui eventual nou schelet
tehnologic.
G
)hestionarul nr.= din ?@.?<.2?==: Evaluarea gradului de risc al S. 7)adastrul bunurilor imobile8.
=G
;rin ,rdinul directorului '.). *(adastru+ nr.418 din 4:.13.4313
:
, a fost iniiat!
procedura de implementare a )istemului de @anagement al (alit!ii, prin care s<au
sta#ilit- a1 responsa#ilii de executarea proceselor de management al calit!ii6 #1
planul de instruire, implementare i audit privind implementarea standardului
respectiv6 c1 planul de ela#orare i documentare a proceselor operaionale i
procedurilor<standard de operare pentru prestarea serviciilor6 d1 responsa#ilii de
monitorizare, control i comunicare. 'n acest an, '.). *(adastru+ a o#inut aviz
pozitiv la o#iectul corespunderii cerinelor standardului %), 2331-4331, fapt
confirmat prin conferirea certificatului respectiv.
5up cum s-a menionat, nu e(ist o direcie strate!ic de dezvoltare a
instituiei, care ar include drept parte component direciile, obiectivele, resursele,
termenele de realizare i cheltuielile necesare aspectelor ce in de TI. 0n acest
scop, nu au fost efectuate un studiu de fezabilitate sau o analiz ampl a
oportunitilor, nivelului optimal al investiiilor, o ar!umentare tehnico-financiar
i stabilirea domeniilor de risc. 5ocumentele e(istente nu snt parte a unui proces
inte!ru de dezvoltare aprobat, cu un plan detaliat de aciuni. 5ei unele aciuni se
ntreprind, acestea nu corespund aspiraiilor iniiale, iar documentele nu se revd
i nu se actualizeaz. &ceasta poate duce la eforturi sau investiii ineficiente, n
direcii care la un moment nu se vor ncadra cu necesitile reale sau cu direciile
strate!ice selectate. eieind din criticismul sistemului i din faptul c tehnolo!iile
informaionale snt parte indispensabil a activitii entitii, orice abordare sau
aciune de dezvoltare trebuie s fie corelat i s corespund direciei i
perspectivelor de dezvoltare a instituiei n ansamblu.
$ecomandarea nr.%*' 0n conformitate cu realizarea ecomandrilor nr. 4-6,
toate documentele aferente dezvoltrii tehnolo!iilor informaionale s fie
conformate cu direcia de dezvoltare selectat, investiiile s fie efectuate reieind
din perspectivele de inte!rare ulterioar n eventuala infrastructur tehnolo!ic
nou.
9oliticile pentru personal (i instruire
Biecare persoan! activeaz! n #aza fiei postului. 0ucrul su#diviziunilor '.).
*(adastru+ este organizat n conformitate cu regulamentele acestora.
;rincipalele direcii de gestiune a $% snt reprezentate prin su#diviziuni
structurale separate. 0a momentul actual, su#diviziunile implicate n gestionarea i
dezvoltarea $% se afl! n proces de reorganizare.
.ei personalul disponi#il pare a fi competent, anga"aii atest! necesitatea
unor instruiri suplementare n domeniile<cheie.
9oliticile de documentare (i de p$strare a documentelor
9olitica privind documentarea ar trebui s$ stabileasc$ c$ toat$
documenta"ia cu privire la sistem trebuie actuali!at$ la !i (i c$
doar cele mai recente versiuni ar trebui s$ 6e utili!ate. Kn
E
,rdinul K.S. 7)adastru8 nr.2=< din 2E.=?.2?=? ,, )u privire la implementarea Sistemului de Lanagement al )alit$"ii
.S, >??=:2??@8.
=E
con#ormitate cu standardele interna"ionale, ar trebui s$ eIiste
politici privind producerea, aprobarea (i emiterea documentelor,
precum (i privind controlul modi6c$rilor la documentele eIistente.
Kn ca!ul sistemelor elaborate (i n ca!ul cnd entitatea are acces (i
necesitate de a modi6ca oper$ri n codul programelor, este
obligatorie descrierea #unc"ional$ detaliat$ a modulelor,
procedurilor, bibliotecilor (i #unc"iilor utili!ate, a modului de
prelucrare (i cerin"elor #a"$ de date, iar deseori este necesar$
implementarea unui standard de alc$tuire a codului.
)etul minim de documente ar tre#ui s! includ!- ghidurile administratorului6
ghidurile utilizatorului6 documentaia tehnic! a aplicaiilor6 documentaia tehnic! a
infrastructurii6 cerinele tehnice6 documentarea posi#ilit!ilor i compati#ilit!ii cu
alte produse sau echipament6 documentarea modific!rilor operate6 documentaia
soluiei integre, documentarea componentelor #azelor de date, codului<surs! i a
rezultatelor testelor de funcionalitate.
.in motivul ela#or!rii independente a tuturor aplicaiilor, dezvolt!rii i
a"ust!rii permanente a acestora, documentarea complet! i adecvat! este unica
soluie pentru asigurarea-
1. continuit!ii funcion!rii6
4. unui nivel accepta#il de compati#ilitate cu alte componente6
3. unui nivel accepta#il de securitate a mediului de producie6
8. excluderii dependenei de unii programatori la a"ust!ri sau modific!ri ale
aplicaiilor6
5. minimiz!rii dependenei de persoane<cheie6
6. minimiz!rii cheltuielilor de ntreinere i dezvoltare6
:. posi#ilit!ii de investigare i depistare operativ! a erorilor i cazurilor de
accident6
5. corel!rii proceselor tehnologice cu #usiness<procesele instituiei.
#rocesul de documentare este parte indispensabil a activitii
subdiviziunilor TI. 0n cadrul 0.". 2Cadastru3 importana re!lementrii stricte i
documentrii coerente a proceselor tehnolo!ice este contientizat pe deplin, pn
n prezent se lucreaz la optimizarea procesului n cauz. .tapa urmtoare este
aprobarea unei politici de documentare i introducerea unui re!istru electronic
7sau bazei de date8 a documentaiei tehnice i altor documente aferente TI.
Cu toate acestea, dezvoltarea prilor componente ale sistemelor
informaionale i ale infrastructurii, de obicei, nu se reflect n documentaia
tehnic e(istent, n !hiduri i instruciuni. Chiar dac, aparent, acest fapt nu
influeneaz direct procesele tehnolo!ice, e(ist o interdependen si!ur, care
trebuie luat n consideraie.
$tilizatorii sistemului, de obicei, nu cunosc despre e(istena unor !hiduri sau
instruciuni de utilizare, iar cei ce cunosc acest lucru, nu au acces la ele.
=@
$ecomandarea nr.%+' " fie finalizate toate procesele de documentare a TI,
proces urmat de analiza completitudinii acestora i suficienei lor pentru
asi!urarea cerinelor menionate 74-98.
$ecomandarea nr.%,' " fie implementat o politic de documentare i
!estiune a documentaiei, care ar asi!ura o !estiune sistematizat, disponibilitatea
datelor la orice nivel i ar re!lementa modul de revizuire i actualizare a acesteia.
9olitica de eIternali!are a serviciilor
9olitica de eIternali!are reglementea!$ principiile generale de
construire a rela"iilor contractualH6nanciare cu #urni!orii de bunuri
sau servicii, ast#el nct s$ 6e asigurat$:
=. respectarea tuturor reglement$rilor interne ce au tangen"$
cu activit$"ile vi!ateM
2. s$ 6e prev$!ute instrumente de monitori!are, documentare
(i prentmpinare a situa"iilor critice sau accidentaleM
;. respectarea con6den"ialit$"ii (i securit$"ii datelor (politica
de securitate, politica de parole etc))M
<. compatibilitatea (i continuitatea de!volt$rii.
@a"oritatea proceselor aferente $%, cu excepia telecomunicaiilor i deservirii
unor echipamente, snt asigurate de specialitii '.). *(adastru+. (u toate acestea, n
dependen! de modul n care se vor dezvolta sistemele informaionale, necesitatea
existenei unei politici de externalizare va fi amplificat!.
&ctualmente comunicaiile cu subdiviziunile teritoriale snt or!anizate prin
contractarea serviciilor de la Compania 2/oldtelecom3, care ofer canale :#;
pentru or!anizarea schimbului de date. $tilizarea e(clusiv a serviciilor acestei
companii a fost posibil din cauza c ntreprinderea nu a evaluat riscurile
asociate cu abordarea respectiv i fiindc nu e(ist o politic de e(ternalizare a
serviciilor. 5ependena direct de unii furnizori sporete considerabil necesitatea
elaborrii acesteia. 0n plus, ntreprinderea nu controleaz procesul de transmitere
i securizare a datelor. #entru depirea situaiei e(istente, 0.". 2Cadastru3 ar
trebui s implementeze chei 7instrumente8 proprii de criptare, nainte ca masivele
de date s nimereasc n circuitul de date or!anizat de furnizor.
$ecomandarea nr.%-' " fie elaborat, aprobat i implementat politica de
e(ternalizare a serviciilor TI cu procedurile de ri!oare. Contractele de
e(ternalizare a serviciilor s fie conformate cerinelor de securitate.
$ecomandarea nr.%.' " fie revzute serviciile incluse n contractele de
e(ternalizare a serviciilor, astfel nct acestea s corespund cerinelor de
securitate informaional i s e(clud orice posibilitate de interceptare
nesancionat a datelor. "erviciile i activitile e(ternalizate s fie divizate n aa
mod, nct s fie e(clus accesul la date ctre persoane neautorizate.
.mplicarea auditului intern
Lanagementul are responsabilitatea 6nal$ pentru asigurarea
implement$rii
=>
unui sistem adecvat de controale interne, implementea!$ politici
(i proceduri (i prime(te asigurarea c$ controalele snt #unc"ionale
(i n mod corespun!$tor reduc riscurile identi6cate, ba!nduHse pe
activitatea de eIaminare e#ectuat$ de c$tre auditorii interni.
'n cadrul '.). *(adastru+ exist! o secie de audit intern, dar aceasta nu are
atri#uii aferente audit!rii tehnologiilor informaionale i activit!ilor asociate.
;entru o#inerea unei analize complexe i fia#ile despre corespunderea securit!ii
informaionale din cadrul ntreprinderii cu standardele internaionale i pentru
luarea deciziilor de ameliorare, au fost contractate servicii din exterior. Astfel, la
18.32.4332, cu o companie de consulting local! a fost semnat un contract de
prestare a serviciilor de audit
5
privind- a> evaluarea sistemului de management al
securit!ii informaionale, cu ela#orarea recomand!rilor privind administrarea
riscurilor identificate6 b> ela#orarea politicii de securitate a informaiei6 c>
ela#orarea normelor de securitate a informaiei n cadrul '.). *(adastru+6 d>
suportul consultativ la ela#orarea ;lanului de aciuni tehnico<organizatorice ntru
ridicarea eficienei sistemului de management al securit!ii )istemelor
informaionale automatizate ale '.). *(adastru+. )erviciile prestate au avut la #az!
standardele internaionale %),9%E( 4:331-4335 i %),9%E( 1::22-4335. @isiunea
de audit a fot finalizat! n circa 4 luni, cu prezentarea documentelor prev!zute de
contract.
5rept urmare a rezultatelor obinute, de ctre 0.". 2Cadastru3 a fost aprobat
un plan de aciuni privind implementarea recomandrilor de audit, care, conform
afirmaiilor reprezentanilor instituiei, din motivul termenelor prea restrnse
adoptate, nu a fost realizat inte!ral. 0n prezent, se lucreaz la realizarea
obiectivelor acestuia, la care s-au adu!at prevederile <otrrea Guvernului
nr.44=6 din 4>.4=.=?4? privind protecia datelor cu caracter personal. #eriodic se
efectueaz analiza nivelului de implementare a recomandrilor.
ealizarea tuturor recomandrilor, potrivit evalurii sistemului de
mana!ement al securitii sistemelor informaionale ale 0.". 2Cadastru3 n
conformitate cu standardele internaionale, ar fi un pas enorm spre atingerea
unor oiective nalte n managementul TI per ansamblu, ns, n condiiile
e(istente 7infrastructura tehnolo!ic i sistemele informaionale curente8, acest
lucru pare a fi irealizabil. "ituaia curent a TI per ansamblu este depit n
multe privine din punct de vedere tehnolo!ic i structural pentru a corespunde
unor e(i!ene moderne, iar implementarea unor cerine aparent simple necesit
mult mai mult efort i cheltuieli, fr a !aranta calitatea i rezultatul final.
$ecomandarea nr.%/' " fie revizuite termenele de realizare pentru fiecare
recomandare conform evalurii sistemului de mana!ement al securitii "I& ale
0.". 2Cadastru3.
$ecomandarea nr.%&0' " fie efectuat o analiz a oportunitii selectrii
altor soluii tehnolo!ice dect cele e(istente, inclusiv a posibilitii trecerii la o
soluie inte!ral nou, pentru realizarea sarcinilor principale reieind i din
principiile de economicitate, eficacitate i eficien.
@
)ontractul de prestare a serviciilor de audit nr. =<;HAA*9S din =<.?>.2??> cu )ompania 7)redin#o8 S.&.1.
2?
$ecomandarea nr.%&&' " e(amineze oportunitatea instituirii funciei de
auditor al tehnolo!iilor informaionale n scopul prezentrii ctre conducere a
metodelor de mbuntire a !estionrii TI la ntreprindere.
9olitica de securitate /.
Este important ca institu"ia s$ stabileasc$ o politic$ de
securitate /., care prevede n mod clar po!i"ia organi!a"iei.
)ontroalele detaliate la un nivel mai in#erior ar trebui s$ se
ba!e!e pe politica de securitate /.. De eIemplu, controalele
detaliate asupra parolelor ar trebui s$ se ba!e!e pe sec"iunea
privind accesul logic din cadrul politicii de securitate /..
Bigura nr. 4. @odelul interaciunii ;oliticii de )ecuritate $% i managementului $% n cadrul instituiei
0n cadrul 0.". 2Cadastru3 activeaz o comisie responsabil de asi!urarea
securitii informaiei, alctuit din reprezentani ai diferitor subdiviziuni
structurale. -a =@.?=.=?4?, conform ,rdinului directorului 0.". 2Cadastru3 nr.6=
A
,
a fost aprobat #olitica de "ecuritate a Informaiei i ;ormele de "ecuritate a
Informaiei ale 0.". 2Cadastru3. -a baza acestora au stat documentele livrate de
compania de consultin! menionat. 5ei #olitica de "ecuritate i ;ormele de
"ecuritate snt bine structurate i definesc clar domeniile de aplicare, acestea nu
snt corelate cu infrastructura tehnolo!ic e(istent, personalul e(istent i
le!islaia n vi!oare. Totodat, nu este efectuat trimiterea la alte documente
interne care re!lementeaz domeniul, inclusiv din motivul ine(istenei setului
complet de documente aferente mana!ementului TI 7e(B politica i procedura de
>
,rdinul nr. ;2 din 2F.?2.2?=? ,, )u privire la aprobarea 9oliticii de Securitate a .n#orma"iei (i 2ormelor de
Securitate a .n#orma"iei ale K.S. 7)adastru8.
2=
efectuare a copiilor de rezerv, politica parolelor, *C#, 5# etc.8. 0n aa mod este
imposibil de a asi!ura realizarea prevederilor acesteia. /a1oritatea utilizatorilor
nu cunosc despre e(istena documentelor care ar re!lementa domeniul securitii
informaionale sau nu pot indica despre care document este vorba.
$ecomandarea nr.%&(' " fie revizuit #olitica de "ecuritate i #rocedurile
de "ecuritate TI, astfel nct acestea s fie corelate cu infrastructura i cu
personalul e(istent. " fie elaborate toate procedurile aferente asi!urrii
securitii informaionale, reieind din situaia real a TI n cadrul ntreprinderii.
Toi utilizatorii instituiei s fie instruii ntru aplicarea prevederilor #oliticii
respective i s posede acces la aceasta.
Segregarea sarcinilor
Segregarea (separarea) sarcinilor este o modalitate dovedit$
de a asigura c$ tran!ac"iile snt autori!ate, nregistrate n mod
corespun!$tor (i c$ activele snt prote-ate. Separarea sarcinilor se
produce atunci cnd o persoan$ e#ectuea!$ un control asupra
activit$"ilor altei persoane. De asemenea, aceasta este utili!at$
pentru a mpiedica o persoan s des"oare o activitate de la
nceput pn la s"rit, "r implicarea unei alte persoane.
Segregarea sarcinilor reduce riscul de #raud$, deoarece pentru a
ocoli controlul ar 6 necesare n"elegeri secrete.
'n cadrul '.). *(adastru+ segregarea adecvat! sarcinilor este favorizat! de
divizarea procesului de gestiune a $% pe etape tehnologice i documentarea lor. 0a
momentul actual snt ela#orate proceduri operaionale pentru ma"oritatea #usiness<
proceselor, unele urmeaz! s! mai fie ela#orate sau apro#ate.
.laborarea procedurilor operaionale este un proces de durat, care necesit
implicarea principalilor specialiti i sustra!erea acestora de la activitatea de
baz. #rocedurile operaionale snt alctuite n conformitate cu TI e(istente i au
nevoie de un ciclu complet de utilizare pentru a fi testate i a1ustate 7la necesitate8.
0n condiiile dezvoltriiCmodificrii continue a sistemelor informaionale i
infrastructurii tehnolo!ice, este necesar revizuirea i a1ustarea periodic a
procedurilor operaionale.
Totui, exist! domenii1c2eie care snt dependente n mod considerail de
persoanele1c2eie i nu exist! o politic! privind segregarea sarcinilor, astfel
ntreprinderea fiind supus! riscului de a nu putea asigura continuitatea
gestion!rii TI.
$ecomandarea nr.%&)' #entru atenuarea efectului dependenei de anumite
persoane, s fie elaborat politica de se!re!are a sarcinilor i elaborateCaprobate
toate procedurile operaionale aferente !estionrii TI. #rocedurile operaionale s
fie revizuite periodic, pentru adaptarea la schimbrile n sistemele informaionale
sau infrastructura tehnolo!ic.
22
Co$tro%&e o-er%(io$%&e ,co$tro&u& o-er%(iu$i&or TI/
)ontroalele opera"ionale trebuie s$ o#ere asigurare c$ rolurile
(i sarcinile opera"iunilor /. snt eIecutate calitativ (i la timp (i c$
acestea corespund a(tept$rilor managementului.
Lonitori!area inadecvat$ a per#orman"elor (i lipsa unei
anali!e a capacit$"ilor necesare pentru implementarea unor solu"ii
noi, ad$ugarea de componente, operarea de modi6c$ri duc la
situa"ii de suprasolicitare a sistemului (so#t0are si hard0are).
9lani6carea capacit$"ilor (i monitori!area per#orman"elor
9lani6carea repre!int$ asigurarea #aptului c$ sistemele
computeri!ate vor continua s$ o#ere un nivel satis#$c$tor de
per#orman"$ pe termen mai lung. Acest lucru va implica
personalul operativ /. s$ #ac$ estim$ri ale cerin"elor viitoare de
resurse, capacit$"i, parametri, comunica"ii etc.
)e efectueaz! analize asupra dep!irii plafonului admisi#il de solicitare a
resurselor, necesit!ii m!ririi capacit!ilor echipamentului sau necesit!ilor de
achiziionare de echipament nou. @onitorizarea capacit!ilor serverelor se
efectueaz! numai pentru componentele importante, iar ale echipamentului F la
nivel de stare funcional!. ;entru monitorizare se utilizeaz! o soluie gratuit!,
recunoscut! prin flexi#ilitatea i scala#ilitatea sa. Aceast! soluie permite
monitorizarea n regim real a principalilor indicatori de performan! a
componentelor sistemului, cu excepia aplicaiilor i #azelor de date. ;entru #azele
de date ,racle se utilizeaz! instrumente separate de monitorizare a performanelor.
Cu toate acestea, monitori"area are un caracter de depistare a prolemelor, dar
nu i de anali"! complex!.
Toate analizele capacitilor i nivelului de solicitare se efectueaz la
necesitate i nu au o abordare strate!ic sau a cost-eficienei i perspectivelor de
dezvoltare. /a1oritatea situaiilor critice parvenite s-au datorat lipsei unei
planificri a capacitilor i corelrii cu necesitile de modificare. &numite
proceduri operaionale snt limitate din cauza capacitilor i performanelor
echipamentului. &ceast situaie este i o consecin a lipsei unei monitorizri
strate!ice a performanelor, urmat de analiza soluiilor i planificarea
capacitilor.
;u e(ist instrumente i proceduri bine definite i acceptate de monitorizare
a performanelor, ale cror rezultate s fie analizate periodic i utilizate pentru
luare de decizii privind !estionarea i dezvoltarea sistemului.
"chimbrile operate n infrastructura tehnolo!ic nu snt analizate sub
aspectul necesitilor de cretere a performanelor, precum i nu snt utilizate
pentru a ar!umenta ma1orareaCplanificarea capacitilor.
$ecomandarea nr.%&*' " fie efectuat o planificareCprioritizare strate!ic a
capacitilor, n conformitate cu "trate!ia de dezvoltare TI i n corelare cu
analiza cost-eficienei. -a planificarea capacitilor s fie luate n consideraie
2;
scalabilitatea sistemului, compatibilitatea cu alte componente, precum i
problemele de ntreinere.
$ecomandarea nr.%&+' " fie elaborate, aprobate i implementate proceduri
de monitorizare i analiz a performanelor. ezultatele analizelor s fie raportate
n mod re!ulat mana!ementului i utilizate pentru determinarea i planificarea
necesitilor i modului de dezvoltare a componentelor "I& C*I.
9lani6carea reali!$rii sarcinilor
;lanificarea realiz!rii sarcinilor este #ine pus! la punct. @a"oritatea
operaiunilor de ntreinere a sistemelor informaionale i echipamentului se
efectueaz! n afara orelor de lucru. Astfel, conform unui grafic sta#ilit, se
efectueaz! actualizarea clasificatoarelor, versiunilor aplicaiilor, a sistemelor de
operare, precum i copierea de rezerv!.
5in motivul structurii decentralizate a "I& C*I i lipsei unei inte!rri a
instrumentelor de !estiune n acest sens, procesul de efectuare a lucrrilor de
mentenan este anevoios i cere multe resurse. 0n aa condiii, este dificil
monitorizarea proceselor respective, asi!urarea calitii acestora i intervenirea
prompt, n caz de necesitate. eieind din volumul mare de operaiuni necesare,
este implicat un numr sporit de persoane, fapt ce amplific considerabil riscurile
asociate.
.ste cunoscut doar un caz de indisponibilitate ndelun!at a sistemelor
informaionale, datorat rspndirii unui virus, care a afectat funcionarea tuturor
sistemelor informaionale i a echipamentului.
$ecomandarea nr.%&,' " fie prevzut posibilitatea centralizrii definitive a
!estiunii sarcinilor critice de mentenan, pentru e(cluderea factorilor de risc i
eficientizarea utilizrii resurselor.
)entrul de asisten"$ ( 'elp des* ) (i managementul problemelor
'n cadrul '.). *(adastru+ este organizat! i funcioneaz! o su#diviziune
structural! responsa#il! de managementul pro#lemelor i incidentelor. =tilizatorii
i specialitii n domeniu pot adresa ntre#!rile privind impedimentele i
incidentele n utilizarea sistemelor informaionale. Adres!rile pot fi efectuate att la
telefon, ct i n regim on<line prin interfa! HEC. (onform documentaiei
existente, serviciul *)ervice.esI+ se integreaz! organizatoric n sistemul de
management al incidentelor.
$tilizatorii de obicei nu cunosc despre e(istena serviciului 2"ervice5esD3.
#roblemele i ntrebrile snt adresate specialitilor responsabili de !estionarea TI
n sectorul respectiv sau persoanelor din ,C. &cest lucru mpiedic !estionarea
problemelor i incidentelor, din motiv c ele nu a1un! la serviciul respectiv sau
dac a1un! nu se cunosc toate detaliile necesare.
$ecomandarea nr.%&-' " fie revizuit modul de activitate a serviciului
2"ervice5esD3, astfel nct toate problemele i incidentele s treac iniial prin
2<
acesta. " fie informai toi utilizatorii despre e(istena serviciului, modul de
contactare i importana utilizrii serviciilor acestuia. Toate adresrile ctre
serviciul 2"ervice5esD3 s fie analizate n vederea determinrii necesitilor de
modificare i a1ustare a sistemelor informaionale sau pentru depistarea
nea1unsurilor i vulnerabilitilor acestora. " fie determinate metode predefinite
de raportare ctre serviciu i de la serviciu ctre conducere i alte subdiviziuni TI.
Kntre"inerea (hard0are (i so#t0are)
'ntreinerea echipamentului se efectueaz! n mare m!sur! cu fore proprii, snt
externalizare doar cazurile de reparaii mai complicate. ;entru ma"oritatea
echipamentului este expirat! perioada de garanie.
5in cauza c ma1oritatea echipamentului este nvechit, acesta are nevoie de
mentenan i reparaii frecvente. &stfel, o mare parte a specialitilor din "ecia
2&dministrare a "istemelor Informaionale3 este antrenat practic n permanen
n deservirea tehnicii. #rocurarea unor piese de schimb de obicei dureaz mult
timp, din cauza or!anizrii procedurilor de procurare repetate, astfel tr!nndu-
se ntoarcerea n utilizare a echipamentului. $nul din motivele acestei situaii este
varietatea mare de tehnic de calcul aflat n !estiune.
$ecomandarea nr. &.' Contractele de deservire a echipamentului s fie
ntocmite reieind din criticismul componentelor. -a planificarea achiziiilor
prioritatea s o constituie procurarea strate!ic de echipament nou, astfel nct
componentele critice s fie la !aranie pe toat perioada de e(ploatare. -a
achiziionare s fie luat n consideraie posibilitatea intern de deservire,
costurile de ntreinere i cele post!aranie.
$ecomandarea nr.%&/' " fie efectuat o analiz complet a componentelor
"I& C*I 7hard)are, soft)are i comunicaii8, cu identificarea celora care vor fi
necesare de modificat sau nlocuit n cel mai apropiat timp.
Lonitori!area (i administrarea re"elei
$opologia reelei este destul de complicat! i include cteva niveluri de
delimitare. Deeaua local! a oficiului teritorial este divizat! n cteva su#reele
delimitate la nivel logic, astfel echipamentul responsa#il de comunic!rile externe
este plasat ntr<o zon! .@J
13
. (omunicarea cu ,($ se efectueaz! prin intermediul
canalelor ?;/ oferite de (ompania ,,@oldtelecom+. Biecare ,($ are reeaua
local! proprie i servere proprii. 'n prezent se efectueaz! lucr!ri de divizare a
resurselor n zone funcionale, pentru asigurarea unui nivel ridicat de securitate.
3u exist! o descriere detaliat! a reelelor din cadrul 4CT. 5a momentul
actual este n fa"a de reali"are un proiect de moderni"are a reelelor 563 n
4CT.
=?
DeLilitari!ed None 5 /ehnologie de asigurarea a securit$"ii unui perimetru de re"ea, n care serverele (i
echipamentul activ responsabil de comunicarea cu re"ele eIterne snt plasate ntrHun segment separat (numit +,-)
(i snt limitate n accesul la segmentele de ba!$ ale re"elei prin intermediul unui paravan de protec"ie, cu scopul
minimi!$rii daunelor n ca!ul atacurilor asupra componentelor aJate n interiorul DLN.
2F
0n ma1oritatea cazurilor tehnolo!iile utilizate n ,CT nu permit pstrarea
re!istrelor de activitate 7lo!urilor8 n reea i asocierea acestora cu evenimente
concrete. e!istrele 1urnalelor de activitate n reea nu snt utilizate pentru o
analiz a activitii, depistare a problemelor i pericolelor i monitorizare a
performanelor.
$ecomandarea nr.%(0' " fie elaborate, aprobate i implementate proceduri
de analiz a lo!urilor de reea, pentru depistarea i nlturarea problemelor i
erorilor, asi!urarea securitii, monitorizarea performanelor i prevenirea
accidentelor.
Knc$rcarea (instalarea) ini"ial$ a programelor
.nclude instalarea sistemelor de operare la sta"iile de lucru (i
a setului de programeHstandard, necesare eIercit$rii atribu"iilor
de serviciu.
'n cadrul ntreprinderii este reglementat pentru fiecare tip de utilizator setul<
standard de aplicaii care tre#uie instalat. .repturile utilizatorilor n cadrul Active
.irectorG i, respectiv, n cadrul reelei au fost delimitate corespunz!tor.
-a nivel de sistem de operare utilizatorii au drepturi privile!iate. Cu toate c
nu au fost desemnate cazuri de utilizare abuziv a acestora, faptul respectiv
reprezint o vulnerabilitate considerabil n securitate.
$ecomandarea nr.%(&' " fie limitate drepturile privile!iate ale utilizatorilor
la nivel de sistem de operare, pentru e(cluderea riscurilor de securitate.
Lanagementul media
.nclude controlul discurilor (i dischetelor, )D*D+D &,LHurilor,
stic3Hurilor de memorie, dispo!itivelor eIterne de transportare a
in#orma"iei (purt$tori de in#orma"ie).
Destricionarea utiliz!rii purt!torilor externi de date este efectuat! la nivelul
corespunz!tor. @a"oritatea utilizatorilor nu au posi#ilitatea s! utilizeze la staiile de
lucru dispozitive externe de transport a informaiei.
&stfel, n fiecare birou, doar o persoan are posibilitate s conecteze la staia
de lucru purttori de informaie. Cu toate acestea, nu este impus procedura de
verificare a acestor purttori la virui, ceea ce poate duce la ptrunderea viruilor
pe staia de lucru i n reeaua local.
$ecomandarea nr.%((' " fie implementat procedura de verificare
obli!atorie la virui a purttorilor de informaie prin confi!urarea
corespunztoare a pro!ramului de protecie contra viruilor sau prin obli!area
utilizatorilor s efectueze acest lucru.
Anali!a (i gestionarea riscurilor
Lanagementul riscului este responsabilitatea conducerii de
vr#. Acesta presupune procesul de identi6care a riscului,
evaluarea riscului (i ntreprinderea unor m$suri pentru reducerea
2G
riscului la un nivel acceptabil, anali!nd att probabilitatea, ct (i
impactul producerii riscului. Deci!iile manageriale trebuie s$ ia n
considera"ie anali!a riscurilor asociate nainte de luarea deci!iilor.
De alt#el, anali!a riscurilor permite determinarea corect$ a
direc"iilor strategice de de!voltare.
-a momentul actual nu e(ist proceduri aprobate i metode de evaluare a
riscurilor asociate TI. &stfel nu este posibil determinarea criticismului
evenimentelor, importanei, termenelor i metodelor de soluionare ale acestora.
.valuarea inadecvat a riscurilor nu numai c mpiedic prentmpinarea
apariiei acestora i nlturarea incidentelor produse, dar i mpiedic
determinarea direciilor adecvate de dezvoltare. 0n condiiile e(istenei unui
spectru att de lar! de TI, este binevenit desemnarea unei persoane separate
pentru !estionarea riscurilor, analiza periodic a impactului acestora i pentru
determinarea metodelor de prevenire sau nlturare.
$ecomandarea nr.%()' " fie desemnate persoane responsabile de evaluarea
i !estionarea riscurilor, care s identifice toate riscurile asociate !estionrii TI i
s le revizuiasc periodic. 0n baza acestor riscuri, s fie efectuate analize
periodice, prezentate conducerii mpreun cu recomandri oportune. " fie
determinate i revizuite periodic metodele de prevenire, nlturare a riscurilor i
de aciune n cazurile cu risc sporit.
Co$tro%&e 0'ice )i *e +e*iu
)on#orm datelor Asocia"iei de )ontrol (i Audit al Sistemelor
.n#ormatice (.SA)A), a doua cau!$ generatoare de erori o
repre!int$ de!astrele naturale (prima 6ind eroarea de utili!ator, a
treia 6ind #rauda, iar a patra 5 de#ec"iunea hard0are).
)ediul i camera de servere ale ,( posed! un nivel suficient de protecie
fizic!. (u toate acestea, exist! deficiene importante care urmeaz! a fi nl!turate-
- asi!urarea securitii fizice i delimitarea accesului la serverele ,CTE
- e(cluderea comunicaiilor cu ap din perimetrul camerei de servere a ,C
i asi!urarea proteciei echipamentului n caz de inundaieE
- asi!urarea unei linii suplimentare i separate de alimentare cu ener!ie
electric sau instalarea unui !enerator de ener!ie electric care va deservi
tot echipamentul critic.
/onitorizarea senzorilor i detectorilor e(isteni se efectueaz doar periodic
i nu e(ist un sistem unic de monitorizare i ntiinare. &stfel, nu e(ist detectori
de umiditate, substane chimice, cutremur i inundaie. Camera de servere nu este
dotat cu podea fals.
$ecomandarea nr.%(*' " fie nlturate nea1unsurile proteciei fizice i de
mediu a echipamentelor. " fie implementat o soluie comple( i independent
de monitorizare i ntiinare pentru protecia de mediu.
2E
spectele ce in de asigurarea securitii TI n cadrul .)!)
/Cadastru0 au "ost evaluate n cadrul misiunii de audit al
sistemului de management al securitii in"ormaionale)
1ecomandrile snt n curs de realizare i o re"erire retrospectiv
asupra lucrrilor ndeplinite sau ce se plani&c a & e"ectuate nu
este rezonabil) .n continuare vor & accentuate aspectele mai
importante, realizarea crora poate in%uena direcia de
dezvoltare ulterioar)
)ontroale de acces logic
)ontroalele de acces logic pot 6 de6nite ca un sistem de
m$suri (i proceduri, att n cadrul unei organi!a"ii, ct (i n
programele in#ormatice, care vi!ea!$ prote-area resurselor
in#ormatice (date, programe (i terminale) mpotriva tentativelor
de acces neautori!at.
EIist$ trei elemente de ba!$ pentru securitatea accesului
logic:
.denti6carea utili!atorului
Autenti6carea utili!atorului (politica de parole)
9rotec"ia resurselor.
.nsu6cien"a controalelor de acces logic sau aplicarea lor
neadecvat$ #ac sistemele in#orma"ionale vulnerabile la atacurile
de hac3eri sau la posibilele ac"iuni #rauduloase din partea
persoanelor din eIterior sau a #o(tilor anga-a"i.
Identificarea i autentificarea utilizatorilor se efectueaz separat, n
dependen de resursele informaionale accesate. Instrumentele de autentificare
nu snt interconectate i nu snt inte!rate n instrumentele de identificare ale &ctive
5irector+. &stfel, !estiunea conturilor, modificarea drepturilor i restriciilor se
efectueaz, de asemenea, separat i necesit eforturi suplimentare. /ai mult,
sistemele informaionale de profil 7vezi descrierea din Capitolul #rezentarea
controalelor TI8 nu posed instrumente care ar impune modificarea parolelor,
lun!imea acestora sau coninutul alfanumeric. &ccesul la aplicaie nu este
suspendat sau blocat dup un numr de ncercri !reite. "esiunea nceput n
aplicaie nu este finalizat automat dup un timp predefinit de inactivitate.
"istemele de operare, de asemenea, nu solicit autentificarea dup o perioad de
inactivitate, lucru care poate duce la utilizarea ntmpltoare sau premeditat a
sistemelor informaionale de1a lansate de ctre alte persoane dect cele
identificate.
$ecomandarea nr.%(+' " fie elaborat, aprobat i implementat o politic
fiabil de parole, care ar corespunde practicilor internaionale i cerinelor de
securitate.
2@
$ecomandarea nr.%(,' " fie implementat identificarea i autentificarea
repetat n cazul inactivitii pe o perioad predefinit pentru toate aplicaiile i
sistemele de operare.
Alte controale de acces logic
5atorit modului de interaciune a aplicaiilor cu 5*/"
44
la nivel de conturi
!enerice, este imposibil atribuirea la unele evenimente concrete a unor
identificri e(acte ale sursei acestora. Identificarea utili"atorilor se efectuea"! la
nivel de aplicaie, iar aplicaia comunic! cu 789S cu un nume de utili"ator
generic, altul dect cel al utili"atorului. &stfel, cnd utilizatorul face modificri n
baza de date, aciunile sale nu pot fi contrapuse unui nume de identificare, deci,
nici unei persoane. &ccesul la *5 ,racle de ctre persoanele specializate tot nu
utilizeaz metode care ar asi!ura identificarea evenimentelor.
Totodat, nu e(ist instrumente aprobate, puse n aplicare pentru analiza
re!ulat a 1urnalelor de activitate i a evenimentelor n cadrul infrastructurii
tehnolo!ice. &stfel, nu poate fi asi!urat prevenirea i identificarea motivelor
incidentelor, problemelor sau erorilor.
$ecomandarea nr. (-' " fie elaborate i implementate proceduri de analiz
re!ulat a 1urnalelor de reea, a sistemelor de operare, precum i pentru toate
componentele "I& C*I, care s fie utilizate pentru identificarea riscurilor, erorilor,
nea1unsurilor, incidentelor de securitate. " fie aplicate metode de asociere a
evenimentelor cu responsabili concrei.
9rotec"ia de viru(i la posturile de lucru
;entru protecia de virui la staiile de lucru, precum i la servere se utilizeaz!
o soluie corporativ! a (ompaniei KaspersIG 0a#. )chim#area parametrilor
aplicaiei i stoparea activit!ii acesteia este restricionat! prin parol!. )uplimentar
este efectuat! actualizarea regulat! a sistemelor de operare.
$nii utilizatori nu cunosc despre soluia antivirus instalat, despre modul i
necesitatea de utilizare i despre necesitatea raportrii incidentelor asociate. 5ei
e(ist instruciune scris prin care se solicit respectarea re!ulilor necesare la
instalarea actualizrilor pe staiile de lucru, nu toi utilizatorii le cunosc. &cest
lucru are loc din cauza informrii i colarizrii insuficiente a utilizatorilor n
domeniul metodelor de precauie, pentru prevenirea infectrii i rspndirii
viruilor, ceea ce poate duce la ptrunderea de virui n calculatorul utilizatorului
i apoi n ntrea!a reea.
$ecomandarea nr.%(.' " fie informai toi utilizatorii despre necesitatea
respectrii metodelor de protecie contra viruilor i altor pro!rame duntoare.
==
Data%ase Lanagement System 5 sistem de management al ba!elor de date.
2>
P&%$u& *e Co$ti$uit%te 1$ A2%ceri3 P&%$u& *e Recu-er%re
1$ c%' *e De'%.tru )i Co-ii&e *e Re'erv4
Scopul elabor$rii (i implement$rii 9lanului de )ontinuitate n
A#aceri (2usiness Continuit3 4lan 5 2C4) (i 9lanului de &ecuperare
n ca! de De!astru (+isaster 1ecover3 4lan 5 +14) (i controalelor
a#erente este de a asigura c$ organi!a"ia (i va putea reali!a
misiunile (i nuH(i va pierde capacit$"ile de procesare, recep"ionare
(i protec"ie a datelor chiar (i n ca!ul de stopare brusc$ sau
provocat$ de un de!astru (calamitate, "actor necontrolat) care va
aduce la pierderea temporar$ sau total$ a #unc"ionalit$"ii
in#rastructurii /..
Absen"a unui %)9 (i a unui D&9 bine de6nite (i testate ar
putea repre!enta urm$toarele amenin"$ri ma-ore la adresa
eIisten"ei nse(i a organi!a"iei, eIprimate prin capacitatea
acesteia:
O de a ndeplini misiunea dup$ reluarea (repornirea)
#unc"ionalit$"iiM
O de a prelua (i prote-a in#orma"ia de"inut$M
O de a men"ine intacte toate activele organi!a"iei dup$
de!astruM
O de a ncepe opera"iunile n propor"ii depline ct mai curnd
posibil, de a minimali!a pierderile de resurse 6nanciare,
umane (i active.
%)9 (i D&9 trebuie s$ 6e documentate adecvat, testate
periodic (i actuali!ate n mod regulat. 9entru a determina dac$
planurile vor #unc"iona a(a cum este prev$!ut, ele ar trebui s$ 6e
testate periodic prin eIerci"ii de simulare a ca!urilor de de!astru.
.mportan"a unei documenta"ii corespun!$toare este ma-or$ n
ca! de dependen"$ semni6cativ$ de unele persoaneHcheie.
9ierderea persoanelorHcheie poate a#ecta capacitatea unei
organi!a"ii de a relua opera"iunile ntrHun interval de timp
re!onabil.
)opiile de re!erv$ (2ac*6up) ale S., ale aplica"iilor (i ale
tuturor datelor importante trebuie e#ectuate n mod regulat.
Acestea trebuie s$ aib$ un caracter ciclic bine determinat,
utili!nd o combina"ie a periodicit$"ii de e#ectuare. )opiile %ac3Hup
trebuie p$strate mpreun$ cu D&9 (i cu documenta"ia de sistem
ntrHun loc bine prote-at n a#ara sediului.
'n condiiile existenei unui num!r mare de sisteme informaionale i
efectu!rii frecvente de modific!ri n acestea, asigurarea unui nivel accepta#il de
risc n vederea stop!rilor accidentale ale funcion!rii componentelor sistemelor
informaionale sau n caz de calamit!i este o sarcin! dificil! de realizat.
;?
0n cadrul 0.". 2Cadastru3 snt aprobate cteva proceduri operaionale ce
vizeaz !estiunea situaiilor critice sau de dezastru, ns! nu exist! un :lan de
Continuitate n 6faceri i un :lan de $ecuperare n ca" de 7e"astru. Copiile de
rezerv snt efectuate cu re!ularitate, ns nu snt testate adecvat i nu e(ist
documente aprobate care ar re!lementa efectuarea acestora, precum i nu e(ist
instruciuni tehnice n acest sens.
$ecomandarea nr.%(/' " fie elaborate, aprobate i implementate *C# i
5# cu procedurile i documentaia aferente. " se efectueze simularea periodic
a situaiilor de calamiti i testarea documentelor respective.
$ecomandarea nr.%)0' " fie identificate resursele informaionale critice, n
baza acestei analize, n termene optime, s fie identificat posibilitatea formrii
unui 5ata Centru separat, menit pentru preluarea activitilor afectate de oricare
incidente sau de dezastru n termene optime.

$ecomandarea nr.%)&' " fie efectuat testarea periodic a copiilor de
rezerv, a metodelor de recuperare a datelor i funcionalitii sistemelor. 'iecare
copie s fie nsoit de o descriere comple( a ntre!ului proces. " se asi!ure
pstrarea lor, mpreun cu documentaia i procedurile de recuperare, ntr-un loc
separat i si!ur.
Co$tro&u& .c5i+64ri&or
)ontrolul schimb$rilor este necesar pentru a ob"ine o
asigurare c$ sistemele continu$ s$ #ac$ ceea ce ar trebui s$ #ac$
(i controalele continu$ s$ #unc"ione!e a(a cum au #ost prev$!ute,
indi#erent de schimb$rile sau a-ust$rile e#ectuate, pe parcursul
ntregului ciclu de via"$. Se anali!ea!$ schimb$ri re#eritoare att la
hard0are, ct (i la so#t0are.
)ontrolul schimb$rilor este conceput pentru a asigura c$
toate modi6c$rile operate asupra sistemelor snt autorizate,
testate, documentate, diri7ate (i c$ sistemele #unc"ionea!$ a(a
cum a #ost preconi!at, precum (i c$ e7i.t4 o -i.t4 *e %u*it
%*ecv%t4 % +o*i0c4ri&or.
(omponentele )%A (C% se modific! continuu. Brecvent se integreaz! module
i funcii noi. .e cteva ori aplicaiile au trecut la platform! de versiune mai nou!.
;eriodic se modific! i infrastructura tehnologic!. Deieind din acestea, este foarte
important! exercitarea unui control i meninerea unei evidene adecvate a
schim#!rilor, asigurnd o a#ordare strategic! a efectu!rii lor. Analiza schim#!rilor
permite, de altfel, o planificare mai eficient! a resurselor financiare i umane i
tre#uie s! rezulte n indicaii sau recomand!ri pentru determinarea direciilor
strategice de dezvoltare.
0ipsa procedurilor organizaiei privind controlul schim#!rii i a unui
document strategic de management i planificare a schim#!rilor >conformat cu
;=
strate!ia de dezvoltare TI1 poate duce la- schim#!ri neautorizate, pro#leme de
implementare, procesare sau raportare eronat!, nemulumirea utilizatorilor,
dificult!i n ntreinere, utilizarea de hardAare i softAare neautorizat, precum i la
pro#leme cu modific!rile de urgen!.
5up cum s-a menionat, TI n cadrul 0.". 2Cadastru3 snt supuse unui
proces continuu de schimbare. "nt prevzute proceduri-standard de documentare
a schimbrilor i acestea se opereaz n conformitate cu re!ulamentele interne.
/odificrile snt testate adecvat. .(ist trei medii de operareB de elaborare, de
testare i de producie.
Cu toate acestea, nu putem afirma c modificrile operate au o abordare
strate!ic, c ele nu vor afecta funcionalitatea altor componente i c ele vor
putea fi adaptate sau inte!rate n versiuni noi ale componentelor. 5e altfel,
metodele corective n acest sens snt foarte anevoioase i puin eficiente. &stfel,
este necesar e(istena unui document care ar re!lementa modul de !estiune a
schimbrilor, principiile efecturii acestora i cerinele de compatibilitate i
documentare.
5ei tehnolo!ic pare a fi uor de realizat, trecerea la versiunea precedent nu
a fost testat i nu poate fi asi!urat posibilitatea prelurii unei versiuni 2stabile3
n orice moment.
/odificrile nu snt operate cu o abordare strate!ic i e(ist riscul c n
orice moment schimbrile necesare de efectuat nu vor fi compatibile cu cele
operate anterior sau vor necesita investiii neplanificate. 0n astfel de condiii
persist riscul c la o anumit etap va aprea necesitatea de nlocuire a ntre!ii
infrastructuri sau a unei pri considerabile, pentru a putea face fa necesitilor
de schimbare.
$ecomandarea nr.%)(' " fie elaborate, aprobate i implementate
procedurile de mana!ement al schimbrilor. " fie implementat i testat
procedura de trecere la versiunea precedent.
;2
Evaluarea controalelor aplicaiei
,biectivele principale ale controalelor aplica"iei se consider$
reali!ate dac$ eIist$ proceduri de e#ectuare a controlului
plenitudinii (i acurate"ei, (i anume:
Oi$tr%re% *%te&or 1$ .i.te+, ce presupune eIaminarea
procedurilor (i controalelor care asigur$ autori!area, plenitudinea,
nedublarea, acurate"ea (i oportunitatea (timpul util) intr$rii
datelorM
O-roce.%re% *%te&or i$tro*u.e3 ce nseamn$ controalele
care asigur$ utili!area aplica"iei (i 6(ierelor de date corecte,
procesarea tuturor datelor, con#ormitatea nregistr$rilor cu
codurile conturilor contabile corecte (i actuali!area 6(ierelor
adecvateM (i
Oie)ire% *i$ .i.te+: controalele care asigur$ producerea
corespun!$toare a tuturor ie(irilor, plenitudinea (i eIpedierea
acestora la destina"ia corect$, n timp util.
.ei componentele )%A (C% funcioneaz! pe principiul oper!rii n timp real
>on-line data processin!1, nu toate datele nimeresc imediat ntr<un mediu de
operare unic. .atele procesate pe serverele ,($ nimeresc n #aza central! de date
o dat! pe zi.
.in motivul neintegr!rii componentelor )%A (C% >0egal(ad, ?alue(ad,
(adastru1, fiecare din acestea are instrumente proprii de autentificare, meniuri,
forme de intrare<ieire separate i metode de procesare separate. 'n aa condiii ar
tre#ui s! fie evaluate controalele aplicaiei pentru fiecare component! n mod
distinct. Astfel, efectul pozitiv al controalelor este diminuat de sumarea
nea"unsurilor controalelor fiec!rei componente.
5up cum e relevat n capitolul Constatri Generale i ilustrat n 'i!ura
nr.4, componentele "I& C*I utilizeazCofer resurse ctre alte sisteme i folosete
servicii e(terne. 5rept urmare, snt dependente de elementele din e(terior cu care
interacioneaz, astfel controalele aplicaiei, chiar fiind confi!urate i aplicate
corect, nu pot fi considerate suficiente pentru asi!urarea obiectivelor sale. &stfel,
cnd controlul asupra datelor nu este limitat doar la o aplicaie, aceasta nu poate
asi!ura c tranzaciile n sistem snt iniiate, autorizate, procesate i nre!istrate
corespunztor.
Conform afirmaiilor utilizatorilor, au e(istat cazuri cnd n urma operrii de
modificri n una din componente, apreau dificulti n utilizarea datelor 7unele
cmpuri nu erau completate8. &u fost semnalate cazuri cnd pentru procesarea
datelor, !enerarea raportului i imprimarea acestuia snt necesare circa 6? de
minute pentru fiecare etap. 0n acest timp aplicaia nu poate fi utilizat n alte
scopuri. &stfel, la apariia unor erori la una din etape, procesul trebuie reluat de
;;
la nceput. &ceasta duce la utilizarea ineficient a timpului de ctre utilizatori i la
eventuale ntrzieri n acordarea serviciilor.
-a momentul actual, meninerea unui !rad nalt de credibilitate a
controalelor aplicaiilor poate fi asi!urat doar prin utilizarea n re!im monopol
al datelor de ctre fiecare aplicaie sau prin inte!rarea tuturor componentelor i
datelor ntr-un sistem unic de intrare, !estiune, prelucrare i raportare a datelor.
$ecomandarea nr.%))' eieind din modul de realizare a ecomandrilor nr.
4-6, s fie luat decizia privind modul de asi!urare a eficienei controalelor
aplicaiei. 0n baza acestei decizii, s fie testate, evaluate i revizuite controalele
aplicaiei de intrare, procesare i ieire, astfel nct s fie asi!urat atin!erea
obiectivelor acestora.
Controlor superior de stat, auditor public 6 $ntoci
;<
Anexa nr.1
7ocumente relevante utilizate la efectuarea auditului@
7ot!rrea &uvernului nr.1143 din 18.14.4313 ,,;rivind apro#area (erinelor
fa! de asigurarea securit!ii datelor cu caracter personal la prelucrarea
acestora n cadrul sistemelor informaionale de date cu caracter personal+
)tandardele de audit $% i (adrul (oC%$ %)A(A
Dapoartele %%A
)tandardele ela#orate de organizaii de specialitate, cum ar fi %)A(B sau
%BA(, (,),
)tandarde internaionale %), F pentru ramuri separate ale $%
,rdinul nr.28 din 1:.32.4332 al @inisterului $ehnologiilor %nformaionale i
(omunicaiilor
14
)tandardele de audit al tehnologiilor informaionale, apro#ate prin 7ot!rrea
(urii de (onturi nr.58 din 44.14.4332
%),9%E( 4:331-4335 F %nformation technologG 9)ecuritG
techniLues9%nformation securitG management sGstems9 DeLuirements
>tehnolo!ii informaionaleCtehnici de securitateCsisteme de mana!ement al
securitii informaionaleCcerine1
%),9%E( 1::22-4335 F %nformation technologG9)ecuritG techniLues9(ode of
practice for information securitG management >tehnolo!ii
informaionaleCtehnici de securitateCcod de practici pentru mana!ementul
securitii informaionale1
@anualul de audit al tehnologiilor informaionale al (urii de (onturi
=2
,rdinul nr.>< din =E.?>.2??> al Linisterul /ehnologiei .n#orma"iei (i )omunica"iilor ,,)u privire la aprobarea unor
reglement$ri tehnice8.
;F