DRI: Centralni registar obaveznog socijalnog osiguranja bez sistema informacione bezbednosti

Centralni registar obaveznog socijalnog osiguranja (CROSO) nije organizaciono ni kadrovski uspostavio upravljanje informacionom bezbednošću, objavila je danas Državna revizorska institucija (DRI).

U Izveštaju DRI o reviziji svrsishodnosti poslovanja „Informacioni sistemi u Centralnom registru obaveznog socijalnog osiguranja“ navedeno je da je ta državna služba nadležna za vođenje dva značajna registra – Registra osiguranih lica, osiguranika i evidenciju obveznika doprinosa (IS CRIS – Jedinstvena baza podataka) i Registra zaposlenih, izabranih, imenovanih, postavljenih i angažovanih lica kod korisnika javnih sredstava (IS RegZap).

Revizijom, koju je sprovela DRI, utvrđeno je da u CROSO ne postoje pravila i procedure praćenja i kontrole zapisa o događajima, niti je uređena saradnja sa pružaocem usluge održavanja informacionog sistema.

CROSO ne postupa u skladu sa Aktom o bezbednosti informaciono-komunikacionih sistema od posebnog značaja, s obzirom na to da generički administrativni nalog koristi dvoje zaposlenih iz CROSO i troje zaposlenih kod pružaoca usluge održavanja informacionog sistema, kao i da zahtevi za otvaranje/izmenu/ukidanje korisničkih uloga ne sadrže naziv korisničke uloge, već njeno objašnjenje, istakla je DRI.

CROSO nije u potpunosti uspostavio efikasno IT upravljanje u slučaju vanrednih okolnosti i/ili prekida saradnje sa pružaocem usluge održavanja IS, testiranja rezervnih kopija baza podataka i usaglašenosti sa promenama u okruženju i IКT sistemu.

Implementirana aplikativna kontrola prijave na obavezno socijalno osiguranje u okviru IS CRIS nije dovoljno efektivna, dok IS RegZap sadrži nepotpune kadrovske i finansijske podatke o zaposlenima, izabranim, imenovanim, postavljenim i angažovanim licima i njihovim primanjima.

U toku planiranja revizije svrsishodnosti, uočeni su rizici problemi u funkcionisanju informacionih sistema – da pružalac usluge održavanja informacionih sistema ima pristup produkcionom okruženju (bazama podataka osiguranika, osiguranih lica i obveznika doprinosa), zavisnost od pružaoca usluge u upravljanju, razvoju i održavanju informacionih sistema, mogućnosti naknadne (retroaktivne) registracije osiguranika, osiguranih lica u Jedinstvenu bazu podataka i nepotpunost evidencija o zaposlenima u javnom sektoru.

DRI je dala devet preporuka i očekuje da će sprovedena revizija doprineti unapređenju informacionih tehnologija Centralnog registra obaveznog socijalnog osiguranja.