Acasă / Publicaţii / Hotărîri şi Rapoarte
HOTĂRÎREA nr. 47 din 2 septembrie 2011 privind Raportul auditului Sistemului informaţional automatizat „Cadastrul bunurilor imobile” al Întreprinderii de Stat „Cadastru”

Numar din data de 2011-09-02 Nr. cerinte: 6 Nr. recomandari: 33

Curtea de Conturi, în prezenţa vicedirectorului general al Agenţiei Relaţii Funciare şi Cadastru, preşedintele Consiliului de Administrare al Î.S. "Cadastru" dl Şt.Crigan, directorului Î.S. "Cadastru" dna A.Matcov, directorului Departamentului monitorizare tehnică şi standardizare dl V.Diaur, şefului Direcţiei elaborare a sistemelor informaţionale dl A.Sîrbu, călăuzindu-se de art.2 alin.(1) şi art.4 alin.(1) lit.a) din Legea Curţii de Conturi nr.261-XVI din 05.12.2008[1], a examinat Raportul auditului Sistemului informaţional automatizat ,,Cadastrul bunurilor imobile" al Întreprinderii de Stat "Cadastru".

Misiunea de audit s-a realizat în temeiul prevederilor art.28 şi art.31 din Legea nr.261-XVI din 05.12.2008 şi în conformitate cu Programul activităţii de audit a Curţii de Conturi pe anul 2011[2], avînd ca scop obţinerea probelor de audit fiabile şi adecvate, întru susţinerea constatărilor şi concluziilor formulate în Raportul de audit.

Auditul a fost planificat şi s-a desfăşurat în conformitate cu Standardele de audit ale Curţii de Conturi[3], ca ghid servind Manualul de audit al tehnologiilor informaţionale, elaborat de Curtea de Conturi în baza Standardelor Internaţionale de Audit.

La efectuarea auditului, domeniul de aplicare a fost evaluarea controalelor generale ale tehnologiilor informaţionale (în continuare - TI) din cadrul Î.S. "Cadastru" şi celor ale aplicaţiei, pentru sistemele informaţionale componente ale Sistemului informaţional automatizat ,,Cadastrul bunurilor imobile" (în continuare - SIA CBI).

Examinînd rezultatele auditului, audiind raportul prezentat şi explicaţiile persoanelor cu funcţii de răspundere prezente în şedinţă, Curtea de Conturi,

a constatat:

Î.S. "Cadastru" gestionează date extrem de importante pentru economia ţării, informaţia utilizîndu-se de alte sisteme informaţionale, inclusiv de cel al Inspectoratului Fiscal Principal de Stat, pentru acumulări de venituri. Stoparea funcţionării sau eventualele erori din cadrul sistemelor informaţionale ale întreprinderii pot avea urmări negative considerabile.

Controalele TI din cadrul Î.S. "Cadastru" sînt suficiente şi se dezvoltă continuu. Totodată, necesităţile de dezvoltare şi modernizare pun în pericol eficienţa lor.

Sistemele informaţionale existente nu fac faţă unor exigenţe şi cerinţe de securitate abordate, sau care se vor implementa pe viitor. Nu există o asigurare că sistemele informaţionale existente vor face faţă necesităţilor instituţiei în viitorul apropiat sau de perspectivă. Aceasta se datorează faptului că sistemele informaţionale nu posedă suficientă flexibilitate, nu sînt integrate pe deplin şi necesită elaborări suplimentare complicate pentru a fi ajustate la numeroasele cerinţe de securitate şi funcţionalitate şi, drept urmare, nu pot asigura implementarea oricăror modificări importante.

Controalele aplicaţiei, deşi sînt configurate şi aplicate eficient, în unele cazuri nu pot fi aplicate sau aplicarea lor necesită eforturi şi cheltuieli considerabile, din cauza dependenţei sistemelor informaţionale de resurse şi date externe. În afară de aceasta, nu este posibilă asocierea unor evenimente din cadrul sistemelor cu persoane concrete, datorită modului de interacţiune dintre componentele sistemelor. Aceasta duce la diminuarea eficienţei controalelor şi a efectului utilizării lor.

Î.S. "Cadastru" întreţine şi dezvoltă mai multe tehnologii învechite. Majoritatea sistemelor şi aplicaţiilor nu mai pot face faţă necesităţilor crescînde de modernizare, cerinţelor funcţionale, precum şi de securitate, fiabilitate, flexibilitate, continuitate şi disponibilitate. Necesităţile de modificare şi modernizare se datorează atît tendinţelor conducerii de a îmbunătăţi situaţia, cît şi cerinţelor crescînde din exterior (schimbul de date, cerinţe ale Guvernului etc.). Astfel, situaţia creată nu permite abordarea de perspectivă, care ar schimba temeinic dezvoltarea pe o cale calitativ superioară, bazată pe o viziune strategică clară.

Se remarcă că Guvernul, în scopul îmbunătăţirii calităţii actului de guvernare, prin aplicarea intensă a TI, a creat, la 19.05.2010, Centrul de Guvernare Electronică (E-Government), care trebuie să contribuie la crearea arhitecturii guvernării electronice; proiectarea, implementarea şi administrarea infrastructurii informaţionale şi de comunicaţii unice a guvernării electronice; elaborarea standardelor şi reglementărilor tehnice în domeniul guvernării electronice şi implementarea acestora; acordarea asistenţei autorităţilor publice centrale privind dezvoltarea proiectelor în domeniul guvernării electronice etc. Pe lîngă Centrul respectiv, la 01.04.2011, a fost creat Consiliul coordonatorilor pentru e-Transformare, care coordonează implementarea eficientă a tehnologiei informaţiei şi comunicaţiilor, pentru oferirea serviciilor publice de calitate şi creşterea performanţei sectorului public. Deşi după crearea acestor structuri, situaţia în domeniul TI urma să se îmbunătăţească la nivel de ţară, auditele efectuate la 5 entităţi importante în formarea şi gestionarea bugetului public naţional (Compania Naţională de Asigurări în Medicină, Casa Naţională de Asigurări Sociale, Ministerul Finanţelor, Serviciul Vamal, Î.S. "Cadastru") denotă că se simte lipsa unei ghidări centralizate (la nivel de stat), care ar coordona activităţile şi ar oferi recomandări fiabile, ce ar ajuta la gestionarea activelor informaţionale şi ar crea premise pentru formarea unui spaţiu unic şi integru informaţional la nivel de ţară. Deciziile manageriale deseori sînt supuse riscului de a fi ineficiente şi a permite investiţii considerabile, care nu ar garanta posibilitatea integrării sau interacţiunii cu alte infrastructuri de stat şi comerciale. În aşa mod, unul din beneficiile principale ale automatizării business-proceselor deseori nu poate fi obţinut sau necesită investiţii suplimentare şi aduce la pierderi considerabile în eficienţă, funcţionalitate şi securitate. În condiţiile respective, obiectivul de bază al utilizării TI nu poate fi atins şi acest lucru stagnează considerabil automatizarea proceselor atît la nivel intern, cît şi la nivel de stat. În condiţiile insuficienţei unor reglementări fiabile şi ghidării strategice slabe în gestionarea TI la nivel de stat, cheltuielile aferente sînt ineficiente şi nu permit utilizarea lor pentru domenii critice. Astfel, în majoritatea instituţiilor şi întreprinderilor de stat nu este asigurat nivelul minim de securitate, fiabilitate, integritate şi disponibilitate a informaţiei, lucru ce împiedică dezvoltarea TI per ansamblu. În condiţiile documentării interne slabe, acestea devin dependente de persoane-cheie, iar fluctuaţia cadrelor creează impedimente considerabile în asigurarea continuităţii în dezvoltarea domeniului.

Reieşind din cele expuse, în temeiul art.7 alin.(1) lit.a), art.15 alin.(2) şi alin.(4), art.16 lit.c), art.34 alin.(3) din Legea Curţii de Conturi nr.261-XVI din 05.12.2008, Curtea de Conturi

hotărăşte:

1. Se aprobă Raportul auditului Sistemului informaţional automatizat ,,Cadastrul bunurilor imobile" al Întreprinderii de Stat ,,Cadastru", care este parte componentă a prezentei Hotărîri, şi se remite:

1.1. Î.S. "Cadastru", pentru întreprinderea măsurilor necesare în vederea lichidării deficienţelor identificate de auditul respectiv, precum şi a implementării recomandărilor expuse în Raport şi în prezenta Hotărîre;

1.2. Agenţiei Relaţii Funciare şi Cadastru, pentru informare şi monitorizarea modului de implementare a recomandărilor înaintate, precum şi pentru întreprinderea unor acţiuni concrete întru susţinerea perspectivelor de dezvoltare.

2. Prezenta Hotărîre se remite Guvernului Republicii Moldova, pentru informare şi se recomandă să solicite:

2.1. Centrului de Guvernare Electronică:

2.1.1 întreprinderea măsurilor necesare întru urgentarea interconectării într-un spaţiu informaţional unic a sistemelor informaţionale ce automatizează procesele de formare şi gestionare a bugetului public naţional sau furnizează date către acestea.

2.1.2 prioritizarea acţiunilor necesare formării unui cadru normativ fiabil pentru gestionarea şi dezvoltarea tehnologiilor informaţionale în cadrul instituţiilor şi întreprinderilor de stat.

2.1.3 includerea prioritară în planurile de dezvoltare a TI la nivel de stat a necesităţilor de reformare a sistemelor informaţionale din cadrul Î.S. "Cadastru".

2.2. Consiliului coordonatorilor pentru e-Transformare monitorizarea modului de implementare eficientă a tehnologiei informaţiei şi comunicaţiilor în instuţiile statale, asigurarea transparenţei procesului decizional, prin informarea operativă a tuturor responsabililor de TI din cadrul acestora.

3. Prezenta Hotărîre se remite Comisiei economie, buget şi finanţe a Parlamentului Republicii Moldova, pentru informare şi o posibilă luare de atitudine.

4. Despre măsurile întreprinse pentru executarea pct. 1 din prezenta Hotărîre se va informa Curtea de Conturi în termen de 6 luni.

5. Prezenta Hotărîre se publică în Monitorul Oficial al Republicii Moldova în conformitate cu art.34 alin.(7) din Legea Curţii de Conturi nr.261-XVI din 05.12.2008.


[1] M.O., 2008, nr.237-240, art.864.

[2] Hotărîrea Curţii de Conturi nr.74 din 30.12.2010 "Privind aprobarea Programului activității de audit a Curții de Conturi pe anul 2011".

[3] Standardele de audit al tehnologiilor informaţionale, aprobate prin Hotărîrea Curţii de Conturi nr.54 din 22.12.2009.

Recomandari (33)

1. Să efectueze un studiu de fezabilitate, cu implicarea unei companii de specialitate sau prin crearea unei comisii interdepartamentale, cu participarea nemijlocită a ARFC, pentru desemnarea unei direcţii strategice de dezvoltare TI. În baza obiectivelor strategice stabilite de ARFC, Î.S. „Cadastru" să determine o soluţie tehnologică fiabilă de perspectivă, care să satisfacă toate exigenţele de securitate, productivitate şi economicitate.

2. În baza rezultatelor studiului de fezabilitate, să elaboreze şi să aprobe revizuirea direcţiilor de dezvoltare strategică instituţională, cu întocmirea unui plan detaliat de acţiuni.

3. Să efectueze o analiză economico-financiară şi tehnologică amplă asupra soluţiei selectate, a necesităţilor de reformare strategică, care să fie înaintate Consiliului de Administraţie, pentru identificarea surselor de finanţare, termenelor de realizare şi a eventualelor iniţiative legislative, cu prezentarea acestora pentru aprobare ARFC.

4. În conformitate cu realizarea Recomandărilor nr. 1-3, toate documentele aferente dezvoltării tehnologiilor informaţionale să fie conformate cu direcţia de dezvoltare selectată, investiţiile să fie efectuate reieşind din perspectivele de integrare ulterioară în eventuala infrastructură tehnologică nouă.

5. Să fie finalizate toate procesele de documentare a TI, proces urmat de analiza completitudinii acestora şi suficienţei lor pentru asigurarea cerinţelor menţionate (1-8).

6. Să fie implementată o politică de documentare şi gestiune a documentaţiei, care ar asigura o gestiune sistematizată, disponibilitatea datelor la orice nivel şi ar reglementa modul de revizuire şi actualizare a acesteia.

7. Să fie elaborată, aprobată şi implementată politica de externalizare a serviciilor TI cu procedurile de rigoare. Contractele de externalizare a serviciilor să fie conformate cerinţelor de securitate.

8. Să fie revăzute serviciile incluse în contractele de externalizare a serviciilor, astfel încît acestea să corespundă cerinţelor de securitate informaţională şi să excludă orice posibilitate de interceptare nesancţionată a datelor. Serviciile şi activităţile externalizate să fie divizate în aşa mod, încît să fie exclus accesul la date către persoane neautorizate.

9. Să fie revizuite termenele de realizare pentru fiecare recomandare conform evaluării sistemului de management al securităţii SIA ale Î.S. „Cadastru".

10. Să fie efectuată o analiză a oportunităţii selectării altor soluţii tehnologice decît cele existente, inclusiv a posibilităţii trecerii la o soluţie integrală nouă, pentru realizarea sarcinilor principale reieşind şi din principiile de economicitate, eficacitate şi eficienţă.

11. Să examineze oportunitatea instituirii funcţiei de auditor al tehnologiilor informaţionale în scopul prezentării către conducere a metodelor de îmbunătăţire a gestionării TI la întreprindere.

12. Să fie revizuită Politica de Securitate şi Procedurile de Securitate TI, astfel încît acestea să fie corelate cu infrastructura şi cu personalul existent. Să fie elaborate toate procedurile aferente asigurării securităţii informaţionale, reieşind din situaţia reală a TI în cadrul întreprinderii. Toţi utilizatorii instituţiei să fie instruiţi întru aplicarea prevederilor Politicii respective şi să posede acces la aceasta.

13. Pentru atenuarea efectului dependenţei de anumite persoane, să fie elaborată politica de segregare a sarcinilor şi elaborate/aprobate toate procedurile operaţionale aferente gestionării TI. Procedurile operaţionale să fie revizuite periodic, pentru adaptarea la schimbările în sistemele informaţionale sau infrastructura tehnologică.

14. Să fie efectuată o planificare/prioritizare strategică a capacităţilor, în conformitate cu Strategia de dezvoltare TI şi în corelare cu analiza cost-eficienţei. La planificarea capacităţilor să fie luate în consideraţie scalabilitatea sistemului, compatibilitatea cu alte componente, precum şi problemele de întreţinere.

15. Să fie elaborate, aprobate şi implementate proceduri de monitorizare şi analiză a performanţelor. Rezultatele analizelor să fie raportate în mod regulat managementului şi utilizate pentru determinarea şi planificarea necesităţilor şi modului de dezvoltare a componentelor SIA CBI.

16. Să fie prevăzută posibilitatea centralizării definitive a gestiunii sarcinilor critice de mentenanţă, pentru excluderea factorilor de risc şi eficientizarea utilizării resurselor.

17. Să fie revizuit modul de activitate a serviciului „ServiceDesk", astfel încît toate problemele şi incidentele să treacă iniţial prin acesta. Să fie informaţi toţi utilizatorii despre existenţa serviciului, modul de contactare şi importanţa utilizării serviciilor acestuia. Toate adresările către serviciul „ServiceDesk" să fie analizate în vederea determinării necesităţilor de modificare şi ajustare a sistemelor informaţionale sau pentru depistarea neajunsurilor şi vulnerabilităţilor acestora. Să fie determinate metode predefinite de raportare către serviciu şi de la serviciu către conducere şi alte subdiviziuni TI.

18. Contractele de deservire a echipamentului să fie întocmite reieşind din criticismul componentelor. La planificarea achiziţiilor prioritatea să o constituie procurarea strategică de echipament nou, astfel încît componentele critice să fie la garanţie pe toată perioada de exploatare. La achiziţionare să fie luată în consideraţie posibilitatea internă de deservire, costurile de întreţinere şi cele postgaranţie.

19. Să fie efectuată o analiză completă a componentelor SIA CBI (hardware, software şi comunicaţii), cu identificarea celora care vor fi necesare de modificat sau înlocuit în cel mai apropiat timp.

20. Să fie elaborate, aprobate şi implementate proceduri de analiză a logurilor de reţea, pentru depistarea şi înlăturarea problemelor şi erorilor, asigurarea securităţii, monitorizarea performanţelor şi prevenirea accidentelor.

21. Să fie limitate drepturile privilegiate ale utilizatorilor la nivel de sistem de operare, pentru excluderea riscurilor de securitate.

22. Să fie implementată procedura de verificare obligatorie la viruşi a purtătorilor de informaţie prin configurarea corespunzătoare a programului de protecţie contra viruşilor sau prin obligarea utilizatorilor să efectueze acest lucru.

23. Să fie desemnate persoane responsabile de evaluarea şi gestionarea riscurilor, care să identifice toate riscurile asociate gestionării TI şi să le revizuiască periodic. În baza acestor riscuri, să fie efectuate analize periodice, prezentate conducerii împreună cu recomandări oportune. Să fie determinate şi revizuite periodic metodele de prevenire, înlăturare a riscurilor şi de acţiune în cazurile cu risc sporit.

24. Să fie înlăturate neajunsurile protecţiei fizice şi de mediu a echipamentelor. Să fie implementată o soluţie complexă şi independentă de monitorizare şi înştiinţare pentru protecţia de mediu.

25. Să fie elaborată, aprobată şi implementată o politică fiabilă de parole, care ar corespunde practicilor internaţionale şi cerinţelor de securitate.

26. Să fie implementată identificarea şi autentificarea repetată în cazul inactivităţii pe o perioadă predefinită pentru toate aplicaţiile şi sistemele de operare.

27. Să fie elaborate şi implementate proceduri de analiză regulată a jurnalelor de reţea, a sistemelor de operare, precum şi pentru toate componentele SIA CBI, care să fie utilizate pentru identificarea riscurilor, erorilor, neajunsurilor, incidentelor de securitate. Să fie aplicate metode de asociere a evenimentelor cu responsabili concreţi.

28. Să fie informaţi toţi utilizatorii despre necesitatea respectării metodelor de protecţie contra viruşilor şi altor programe dăunătoare.

29. Să fie elaborate, aprobate şi implementate BCP şi DRP cu procedurile şi documentaţia aferente. Să se efectueze simularea periodică a situaţiilor de calamităţi şi testarea documentelor respective.

30. Să fie identificate resursele informaţionale critice, în baza acestei analize, în termene optime, să fie identificată posibilitatea formării unui Data Centru separat, menit pentru preluarea activităţilor afectate de oricare incidente sau de dezastru în termene optime.

31. Să fie efectuată testarea periodică a copiilor de rezervă, a metodelor de recuperare a datelor şi funcţionalităţii sistemelor. Fiecare copie să fie însoţită de o descriere complexă a întregului proces. Să se asigure păstrarea lor, împreună cu documentaţia şi procedurile de recuperare, într-un loc separat şi sigur.

32. Să fie elaborate, aprobate şi implementate procedurile de management al schimbărilor. Să fie implementată şi testată procedura de trecere la versiunea precedentă.

33. Reieşind din modul de realizare a Recomandărilor nr. 1-3, să fie luată decizia privind modul de asigurare a eficienţei controalelor aplicaţiei. În baza acestei decizii, să fie testate, evaluate şi revizuite controalele aplicaţiei de intrare, procesare şi ieşire, astfel încît să fie asigurată atingerea obiectivelor acestora.

Cerinte (6)

1.1. Î.S. „Cadastru", pentru întreprinderea măsurilor necesare în vederea lichidării deficienţelor identificate de auditul respectiv, precum şi a implementării recomandărilor expuse în Raport şi în prezenta Hotărîre.

1.2. Agenţiei Relaţii Funciare şi Cadastru, pentru informare şi monitorizarea modului de implementare a recomandărilor înaintate, precum şi pentru întreprinderea unor acţiuni concrete întru susţinerea perspectivelor de dezvoltare.

2.1.1 întreprinderea măsurilor necesare întru urgentarea interconectării într-un spaţiu informaţional unic a sistemelor informaţionale ce automatizează procesele de formare şi gestionare a bugetului public naţional sau furnizează date către acestea.

2.1.2 prioritizarea acţiunilor necesare formării unui cadru normativ fiabil pentru gestionarea şi dezvoltarea tehnologiilor informaţionale în cadrul instituţiilor şi întreprinderilor de stat.

2.1.3 includerea prioritară în planurile de dezvoltare a TI la nivel de stat a necesităţilor de reformare a sistemelor informaţionale din cadrul Î.S. „Cadastru".

2.2. Consiliului coordonatorilor pentru e-Transformare monitorizarea modului de implementare eficientă a tehnologiei informaţiei şi comunicaţiilor în instuţiile statale, asigurarea transparenţei procesului decizional, prin informarea operativă a tuturor responsabililor de TI din cadrul acestora.