Post on 10-Sep-2019
transcript
Auditul inițial de securitate al infrastructurii Programului Integrat de Gestionare a
Dosarelor (PIGD)
Elaborat de:
CHIȘINĂU, IULIE 2013
Acest Raport a fost elaborat de către compania Omega Trust SRL și a fost posibil datorită suportului generos din partea poporului american prin intermediul Agenției Statelor Unite pentru Dezvoltare Internațională (USAID) în cadrul Programului de Consolidare a Instituțiilor Statului de Drept (ROLISP). Conținutul acestui Raport ține de responsabilitatea companiei Omega Trust SRL și nu reflectă în mod necesar viziunea ROLISP, USAID sau a Guvernului Statelor Unite.
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 3 din 53
CUPRINS
1. INTRODUCERE ..................................................................................................................................... 5
1.1 INFORMATII GENERALE ............................................................................................................. 5
1.2 OBIECTIVUL PROIECTULUI ....................................................................................................... 5
1.3 ARIA DE APLICABILITATE .......................................................................................................... 5
1.4 ECHIPA DE AUDIT ........................................................................................................................ 6
1.5 PERSOANE INTERVIEVATE ....................................................................................................... 6
1.6 NOTE ................................................................................................................................................ 7
1.7 STRUCTURA ACESTUI RAPORT .............................................................................................. 7
2. SUMAR EXECUTIV ............................................................................................................................... 8
3. OBSERVATII ......................................................................................................................................... 10
3.1 OBSERVATII REFERITOARE LA SISTEMUL PIGD ............................................................. 11
3.1.1 Deficiente functionale ale sistemului PIGD....................................................................... 11
3.1.2 Reguli de parole .................................................................................................................... 12
3.1.3 Criptarea parolelor de acces ............................................................................................... 13
3.1.4 Log-uri de sistem .................................................................................................................. 14
3.1.5 Aprobarea profilelor de utilizator in sistem ....................................................................... 15
3.2 OBSERVATII REFERITOARE LA MEDIUL IT IN CARE SE ADMINISTREAZA
SISTEMUL PIGD ...................................................................................................................................... 16
3.2.1 Salvarea datelor aferente sistemului PIGD ...................................................................... 16
3.2.2 Protectia antivirus ................................................................................................................. 17
3.2.3 Update-ul sistemelor de operare server ............................................................................ 18
3.2.4 Proceduri de continuitate operationala si de recuperare in caz de dezastru .............. 19
3.2.5 Transferul datelor in modulul de raportare ....................................................................... 20
3.2.6 Managementul incidentelor ................................................................................................. 21
3.2.7 Salvarea datelor aferente modulului de raportare statistica din sistemul PIGD ......... 22
3.2.8 Conturi de administrare ....................................................................................................... 23
3.2.9 Drepturi de administrator ..................................................................................................... 24
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 4 din 53
3.2.10 Managementul capacitatii .................................................................................................... 25
3.2.11 Migrarea schimbarilor pe mediul de productie ................................................................. 26
3.2.12 Revizuirea conturilor de utilizator ....................................................................................... 27
3.2.13 Diagrama de retea ................................................................................................................ 28
3.3 OBSERVATII REFERITOARE LA MEDIUL IT DIN INSTANTELE JUDECATORESTI ..... 29
3.3.1 Politica de securitate IT ....................................................................................................... 29
3.3.2 Parole de acces pe statiile locale ....................................................................................... 30
3.3.3 Linii de comunicatie .............................................................................................................. 31
3.3.4 Camerele serverelor din instantele judecatoresti ............................................................ 32
3.3.5 Drepturi de administrator ..................................................................................................... 33
3.3.6 Administrarea conturilor de utilizator ................................................................................. 34
3.3.7 Managementul incidentelor raportate ................................................................................ 35
3.3.8 Update-ul sistemelor de operare ........................................................................................ 36
3.3.9 Conturi de utilizator in sistemul PIGD ................................................................................ 37
3.3.10 Administrarea retelelor pe baza de Domain Controller ................................................... 38
3.3.11 Conturi de utilizator in modulul de raportare statistica al sistemului PIGD .................. 39
3.4 OBSERVATII REFERITOARE LA MEDIUL IT DIN MINISTERUL JUSTITIEI .................... 40
3.4.1 Politica de securitate IT ....................................................................................................... 40
3.4.2 Reguli de parole la nivel de retea ...................................................................................... 41
3.4.3 Controlul accesul fizic .......................................................................................................... 42
3.4.4 Controalele de mediu ........................................................................................................... 43
3.4.5 Procesul de management al schimbarilor......................................................................... 44
3.4.6 Proceduri de continuitate operationala si de recuperare in caz de dezastru .............. 46
3.4.7 Drepturi de administrator ..................................................................................................... 47
3.4.8 Administrarea conturilor de utilizator ................................................................................. 48
3.4.9 Licentierea programelor software ...................................................................................... 49
3.4.10 Accesul la codul sursa ......................................................................................................... 50
ANEXA 1 – PRIORITIZAREA OBSERVATIILOR .................................................................................... 51
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 5 din 53
1. INTRODUCERE
1.1 INFORMATII GENERALE
Acest document prezinta rezultatele obtinute in urma auditului de securitate initial al Programului Integrat
de Gestionare a Dosarelor (denumit in continuare „PIGD”) implementat în sistemul judecătoresc din
Republica Moldova. Auditul a fost realizat in perioada 18 iunie – 5 iulie 2013 de catre S.C. OMEGA Trust
S.R.L. („Noi” sau „OMEGA Trust”).
Auditul a fost efectuat in baza contractului de prestari servicii cu nr. AID-1117-C-12-00002, comanda de
achizitionare (purchase order) #20, incheiat intre S.C. OMEGA Trust S.R.L., in calitate de prestator si
„Checchi and Company Consulting, Inc”, in calitate de beneficiar.
In cadrul acestui raport, au fost descrise deficientele identificate in urma efectuarii testelor de audit.
Aferent acestor deficiente, am detaliat recomandarile noastre privind actiunile corective si preventive, dar
si recomandari pentru implementarea/ modificarea unor politici si proceduri pentru imbunatatirea
securitatii sistemului PIGD.
Acest raport se adreseaza Conducerii Checchi and Company Consulting, Inc, Conducerii Ministerului
Justitiei, Conducerii Consiliului Superior al Magistraturii, Conducerii instantelor judecatoresti si Coducerii
Centrului de Telecomunicatii Speciale si contine informatii confidentiale.
1.2 OBIECTIVUL PROIECTULUI
Obiectivul acestui proiect este acela de a realiza o verificare a sistemului PIGD si a mediului IT in care
acestea functioneaza precum si a sistemului de controale implementat pentru securizarea acestuia, in
vederea obtinerii unei imagini de ansamblu cu privire la nivelul de securitate al sistemului si la modul in
care este asigurata securitatea si confidentialitatea informatiilor gestionate.
1.3 ARIA DE APLICABILITATE
Aria de aplicabilitate a auditului de securitate a inclus sistemul PIGD, precum si infrastructura hardware si
software care sustine acest sistem (servere, baze de date, sisteme de operare etc.).
Activitatea noastra de audit a fost desfasurata in cadrul a trei entitati implicate in operarea, respectiv
administrarea sistemului PIGD la nivelul carora au fost realizate teste specifice de audit de securitate.
Cele trei entitati sunt:
Ministerul Justitiei – in calitate de beneficiar al sistemului PIGD. In cadrul auditului efectuat la
Ministerul Justiției, am evaluat controalele tehnice si operationale implementate pentru securizarea
mediului IT in care functioneaza modulul de raportare al sistemului PIGD;
Instantele judecatoresti – in calitate de utilizatori finali ai sistemului PIGD. In cadrul auditului efectuat
la Curtea de Apel Chisinau, am evaluat controalele tehnice, operationale si functionale
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 6 din 53
implementate la nivelul sistemului PIGD pentru securizarea accesului la informatiile gestionate si a
mediului IT in care acest sistem functioneaza;
Centrul de Telecomunicatii Speciale (denumit in continuare „CTS”) – in calitate de administrator al
sistemului PIGD. In cadrul auditului efectuat la CTS, am evaluat fluxurile de administrare si
mentenanta a sistemului PIGD si controalele tehnice si operationale implementate pentru
securizarea mediului IT in care functioneaza sistemul PIGD.
Testele de audit au fost desfasurate conform „Planului de strategie pentru derularea auditului de
securitate” pe care l-am furnizat in data de 14 iunie 2013 impreuna cu „Planul de strategie pentru
derularea testelor de securitate”.
1.4 ECHIPA DE AUDIT
Auditul de securitate a fost efectuat de catre o echipa OMEGA Trust formata din urmatorii membri:
Cosmin Macaneata, Auditor CISA, Managing Partner Omega Trust – Coordonator general al
proiectului;
Victor Gansac, Auditor CISA, CISSP – Lider al echipei tehnice;
Teodor Lupan, CEH, LPT – Expert teste de securitate;
Daniel Mihai, Tester ISTQB – Expert teste asigurare calitate software;
Dan Sora, Auditor CISA – Expert audit IT.
1.5 PERSOANE INTERVIEVATE
In decursul auditului realizat au fost intervievate urmatoarele persoane:
Mihai Grosu – USAID ROLISP;
Andrian Sova – CTS;
Adrian Grigorev – CTS;
Natalia Spinu – CTS;
Denis Shapovalov – CTS;
Anton Sorocean – CTS;
Stanislav Isacov – CTS;
Vitalie Prisacari – CTS;
Andrei Sontu – Ministerul Justitiei;
Serghei Crijicicovschii – Ministerul Justitiei;
Nicolae Bujor – Ministerul Justitiei.
Andrei Ojoga – Curtea de Apel Chisinau;
Vitalie Muntean – Curtea de Apel Chișinau.
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 7 din 53
1.6 NOTE
Acest raport este unul intermediar si trebuie considerat in consecinta. Toate testele au fost efectuate in
perioada 18 iunie – 5 iulie 2013.
Trebuie mentionat ca rezultatele reprezinta o „imagine” a nivelului de securitate al sistemului PIGD si al
mediului IT care il sustine. In cazul in care procedurile operationale, masurile tehnice sau functionale din
cadrul mediului IT al celor trei entitati verificate la momentul auditului au fost modificate ulterior, unele
rezultate pot fi invalidate.
Din cauza limitarilor inerente ale oricarui sistem de control intern, denaturarile din cauza unor erori sau
fraude pot sa fie nedetectate.
Un audit nu este proiectat pentru a detecta toate deficientele in cadrul mediului de controale, deoarece
nu se realizeaza continuu pe parcursul perioadei si testele efectuate sunt pe baza de sondaj.
1.7 STRUCTURA ACESTUI RAPORT
Prezentul raport include descrieri detaliate ale deficientelor identificate ca urmare a auditului efectuat.
Astfel, am inclus in Sectiunea 2 un sumar executiv care prezinta rezultatele analizei noastre in mod
succint.
Observatiile identificate pe parcursul auditului, precum si recomandarile sugerate de noi sunt detaliate in
Sectiunea 3 a raportului grupate in functie de aria din care fac parte.
In Anexa 1 am prezentat prioritizarea observatiilor noastre.
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 8 din 53
2. SUMAR EXECUTIV
In urma auditului de securitate efectuat, am constatat ca, in general, sistemul PIGD nu asigura un nivel
de securitate adecvat al datelor si informatiilor gestionate prin intermediul acestuia. Printre cauze se
numara atat lipsa unor controale de securitate adecvate la nivel de aplicatie, cat si probleme de
management al mediului IT in care acest sistem functioneaza.
Ca parte a testelor de audit efectuate, am identificat deficiente importante mai ales in randul instantelor
judecatoresti si al Ministerului Justitiei, care, de altfel, reprezinta utilizatorii si beneficiarii sistemului PIGD,
deficiente care apar pe fondul unui management neformalizat al proceselor IT interne si lipsa unor
controale IT adecvate. Activitatea de administrare a sistemului PIGD desfasurata in cadrul CTS se
deruleaza intr-o maniera mai formalizata (reglementata si prin implementarea Sistemul de Management
al Securitatii Informatiilor conform standardului ISO 27001) care asigura un nivel mai ridicat de securitate,
dar care lasa, inca, loc pentru o serie de imbunatatiri.
Cu privire la modul in care sistemul PIGD functioneaza in cadrul instantelor judecatoresti, am observat ca
pe parcursul activitatilor curente, utilizatorii au identificat probleme de functionare care fac ca obiectivele
sistemului PIGD de imbunatatire si eficientizare a mediului de lucru intern sa nu fie indeplinite. Cu toate
ca sistemul a fost proiectat pentru a sustine un flux operational complex cu privire la managementul
dosarelor de judecata si a altor informatii specifice, am observat ca deseori apar erori si inconsistente ale
sistemului care intarzie a fi remediate de catre dezvoltator (Bass Systems) si care, implicit, afecteaza
mediul de lucru intern din cadrul instantelor judecatoresti.
Asadar, ca parte a auditului efectuat, am identificat un total de 39 de observatii dintre care: 37 cu
prioritate ridicata de remediere si 2 cu prioritate medie de remediere.
Descrierea detaliata a observatiilor identificate impreuna cu recomandarile noastre pentru imbunatatire
pot fi regasite in Sectiunea 3 a raportului.
Prioritate RIDICATA
Prioritate MEDIE
Prioritate SCAZUTA
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 9 din 53
Trebuie mentionat ca rezultatele obtinute in urma auditului ce sunt prezentate in continutul acestui
document reprezinta doar o „imagine” a nivelului de securitate al sistemului PIGD si al mediului IT care il
sustine, la data emiterii acestui raport. De aceea, in contextul in care, pe parcusul ciclului de viata al unui
sistem informatic se produc numeroase schimbari atat la nivel de sistem cat si la nivel de infrastructura
care impacteaza nivelul de securitate in ansamblu al sistemului este foarte importanta refacerea
periodica a auditului de securitate pentru mentinerea unui grad de securitate ridicat.
Prin urmare, recomandam derularea cel putin o data pe an a unei verificari similare a sistemului PIGD si
a mediului IT care il sustine.
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 10 din 53
3. OBSERVATII
Observatiile si recomandarile noastre incluse in prezentul raport sunt clasificate in functie de aria la care
fac referire dupa cum urmeaza:
Observatii referitoare la sistemul PIGD;
Observatii referitoare la mediul IT in care este administrat sistemul PIGD;
Observatii referitoare la mediul IT din instantele judecatoresti;
Observatii referitoare la mediul IT din Ministerul Justiției.
De asemenea, observatiile noastre au fost prioritizate, dupa cum urmeaza:
Observatiile cu prioritate Ridicata – reprezinta deficiente majore care trebuie sa fie rezolvate intr-un
timp cat mai scurt (aceste deficiente trebuie remediate inainte de auditul final de securitate);
Observatiile cu prioritate Medie – reprezinta deficiente importante care, insa, pot fi rezolvate ulterior
observatiilor cu prioritate ridicata (demersurile pentru rezolvarea acestor deficiente trebuie incepute
inainte de auditul final de securitate);
Observatiile cu prioritate Scazuta – reprezinta oportunitati de imbunatatire a sistemului PIGD si a
sistemului de controale IT.
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 11 din 53
3.1 OBSERVATII REFERITOARE LA SISTEMUL PIGD
3.1.1 Deficiente functionale ale sistemului PIGD
(Prioritate: Ridicata)
Observatie
Din discutiile purtate cu personalul din cadrul Curtii de Apel Chisinau, am aflat ca aplicatia PIGD are
multe probleme de functionare (bug-uri) care ingreuneaza semnificativ folosirea acestui sistem si,
implicit, activitatile curente. Printre deficientele semnalate de catre personalul Curtii de Apel Chisinau
enumeram:
Conversia defectuoasa din format text in format PDF (in documentul PDF rezultat apar
numeroase erori);
Numeroase situatii cand sistemul genereaza erori la inregistrarea dosarelor;
Filtrele de selectie pentru anumite tipuri de dosare nu functioneaza;
Unele campuri de cautare nu sunt functionale;
Anumite informatii introduse nu sunt inregistrate;
Aplicatia nu functioneaza corect pe toate tipurile de browser web.
De asemenea, din discutiile purtate cu reprezentantii USAID ROLISP, am aflat ca cea mai mare parte
dintre aceste deficiente nu au fost inca rezolvate pe mediul de productie al sistemului PIGD, acest
proces urmand a fi realizat odata cu update-ul aplicatiei la versiunea 4 (in prezent, functioneaza
versiunea 3). Cu toate acestea, la momentul actual, aceste deficiente cauzeaza probleme majore de
functionare ale sistemului si afecteaza procesele operationale din cadrul instantelor judecatoresti.
Recomandare
Recomandam efectuarea unei testari complete din punct de vedere functional a sistemului PIGD in
care sa fie implicati utilizatorii finali pentru identificarea tuturor deficientelor functionale ale sistemului si
raportarea lor catre dezvoltator (Bass Systems).
Recomandam, de asemenea, dezvoltatorului sistemului PIGD adoptarea unui flux de lucru intern prin
care deficientele functionale majore ale sistemului semnalate de catre utilizatori sa fie remediate in cel
mai scurt timp posibil pentru a nu afecta in mod semnificativ activitatile desfasurate prin sistemul PIGD.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 12 din 53
3.1.2 Reguli de parole
(Prioritate: Ridicata)
Observatie
Am observat ca sistemul PIGD nu prevede necesitatea unor reguli pentru definirea parolelor de
autentificare a utilizatorilor. In plus, am constatat ca sistemul nu blocheaza browser-ul web sa retina in
istoric parolele de autentificare a utilizatorilor. Prin urmare, exista un risc major ca eventuale persoane
neautorizate sa dobandeasca acces la datele si informatiile gestionate prin sistemul PIGD. De
asemenea, la crearea unui cont de utilizator nou, la prima autentificare, sistemul nu solicita schimbarea
parolei.
Recomandare
Recomandam implementarea in sistemul PIGD a unor reguli de parole, tinand cont de urmatoarele
aspecte:
Lungimea minima: 8 caractere;
Perioada maxima de valabilitate: 30 zile;
Perioada minima de valabilitate: 1 zi;
Numarul de parole memorate de sistem: ultimele 12 parole folosite;
Parola ar trebui sa indeplineasca cerinte de complexitate;
Maximul de incercari esuate de autentificare admise: 3;
Numai un administrator sa poata debloca un cont blocat;
Dezactivarea contului de utilizator dupa o perioada inactiva de 2 luni.
In plus, recomandam implementarea in sistemul PIGD a unui mecanism care sa preintampine
posibilitatea ca browser-ele web sa memoreze parola de autentificare aferenta unui cont de utilizator.
De asemenea, recomandam modificarea sistemului PIGD astfel incat, la prima autentificare, sistemul
sa solicite schimbarea parolei de acces.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 13 din 53
3.1.3 Criptarea parolelor de acces
(Prioritate: Ridicata)
Observatie
In urma verificarilor efectuate, am observat ca parolele de acces ale utilizatorilor in sistemul PIGD sunt
vizibile in clar la nivelul bazei date. Prin urmare, exista un risc major ca persoane neautorizate (precum
administratorii de baze de date din cadrul CTS) sa acceseze informatii confidentiale ale utilizatorilor
PIGD. De asemenea, in cazul unor atacuri asupra sistemului, in lipsa unei criptari adecvate a
informatiilor confidentiale, eventualii atacatori pot obtine usor accesul la aceste informatii.
Recomandare
Recomandam implementarea unui algoritm puternic de criptare a parolelor de autentificare in sistemul
PIGD la nivelul bazelor de date SQL Server.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 14 din 53
3.1.4 Log-uri de sistem
(Prioritate: Ridicata)
Observatie
In urma revizuirilor efectuate la nivelul sistemului PIGD, am observat ca sistemul inregistreaza in log-uri
doar activitatile aferente administrarii dosarelor de judecata, in timp ce activitatile referitoare la
administrarea utilizatorilor in sistem (de exemplu, crearea, modificare sau stergerea conturilor de
utilizator) nu sunt inregistrate. Prin urmare, in lipsa acestor log-uri, nu pot fi identificate actiunile
neautorizate la nivel de sistem (de exemplu, crearea in mod neautorizat a unor conturi de utilizator,
alocarea nejustificata a unor drepturi in sistem etc.).
Recomandare
Recomandam modificarea sistemului PIGD, astfel incat sa permita inregistrarea in log-uri a
operatiunilor privind administrarea utilizatorilor in sistem. Ca parte a acestor inregistrari, sistemul
trebuie sa retina informatii precum: ora si data operatiunii, numele utilizatorului care a initiat
operatiunea, IP, hostname, descrierea operatiunii etc.
In plus, recomandam implementarea unui flux de revizuire periodica a acestor log-uri in vederea
identificarii unor operatiuni neautorizate la nivel de sistem, dupa cum a fost descris anterior.
Recomandam, de asemenea, alinierea acestor masuri cu prevederile Hotararii Guvernului Republicii
Moldova nr. 1123 din 14.12.2010, privind aprobarea Cerintelor fata de asigurarea securitatii datelor cu
caracter personal la prelucrarea acestora in cadrul sistemelor informationale de date cu caracter
personal.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 15 din 53
3.1.5 Aprobarea profilelor de utilizator in sistem
(Prioritate: Medie)
Observatie
La momentul implementarii sistemului PIGD, a fost realizata o analiza formalizata a responsabilitatilor
fiecarui utilizator pentru definirea profilelor de utilizator in sistem si a drepturilor de acces asociate.
Totusi, pe baza discutiilor purtate cu reprezentantii USAID ROLISP, am aflat ca, de la momentul
implementarii sistemului PIGD si al analizei initiale, au mai fost create si alte profile de utilizator care
insa nu au fost aprobate in mod oficial.
Prin urmare, in lipsa unor profile de utilizatori analizate si aprobate in mod formalizat exista riscul ca
anumiti utilizatori sa aiba alocate profile de drepturi neadecvate si, implicit, sa detina in mod nejustificat
acces la anumite tipuri de informatii sau sa desfasoare operatiuni neautorizate in sistem.
Recomandare
Recomandam revizuirea cu regularitate a profilelor de utilizator din sistemul PIGD si a drepturilor de
acces ale utilizatorilor (o data la 6 luni si dupa oricare schimbare de statut al utilizatorului), in mod
formalizat, pentru asigurarea faptului ca nu au fost acordate drepturi de acces neautorizate.
Ulterior acestor revizuiri, recomandam aprobarea in mod oficial de catre personalul de management a
acestor profile, astfel incat, la crearea unui cont de utilizator sa nu poata fi alocat un alt profil in afara de
cele care au fost aprobate.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 16 din 53
3.2 OBSERVATII REFERITOARE LA MEDIUL IT IN CARE SE ADMINISTREAZA SISTEMUL PIGD
3.2.1 Salvarea datelor aferente sistemului PIGD
(Prioritate: Ridicata)
Observatie
In prezent, nu exista un proces activ de salvare a datelor aferente celor aprox. 50 de baze de date ale
sistemului PIGD corespunzatoare instantelor judecatoresti. Conform reprezentantilor CTS, acest
proces nu a fost definit intrucat, la momentul de fata, are loc migrarea bazelor de date din locatiile din
teritoriu in locatia CTS. Cu toate acestea, in lipsa unor salvari periodice a datelor aferente sistemului
PIGD exista riscul pierderii acestor date in cazul producerii unui dezastru.
De asemenea, CTS nu face referiri in procedura de back-up interna la procesul de salvare si restaurare
a datelor aferente sistemului PIGD.
Recomandare
Recomandam implementarea unui proces recurent de salvare a datelor aferente sistemului PIGD atat
prin definirea unui mecanism de replicare in timp real a datelor intr-o locatie la distanta (de exemplu, in
locatia de recuperare in caz de dezastru), cat si printr-un back-up complet local (en: „database dump”).
De asemenea, pentru sporirea nivelului de siguranta, recomandam pastrarea salvarilor efectuate si pe
un mediu extern (caseta, DVD etc.) care sa fie pastrat intr-o alta locatie decat cea in care se afla
mediul de productie. Ulterior implementarii procesului de salvare a datelor, recomandam efectuarea
periodica a unor teste de restaurare pe baza carora sa se obtina asigurarea ca, in caz de necesitate,
datele pot fi restaurate corespunzator.
Recomandam, de asemenea, actualizarea procedurii interne de back-up prin descrierea mecanismelor
prin care se asigura salvarea si restaurarea, in caz de necesitate, a datelor si informatiilor gestionate
prin sistemul PIGD.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 17 din 53
3.2.2 Protectia antivirus
(Prioritate: Ridicata)
Observatie
In urma discutiilor purtate cu reprezentati ai CTS din cadrul Sectiei Suport Clienti, am constatat ca nu
au fost instalate sisteme antivirus pe cele patru servere virtualizate care sustin cele aprox. 50 de baze
de date si de instante ale aplicatiei PIGD. De asemenea, nici serverul care sustine baza de date de
raportare si instanta aplicatie nu este protejat printr-un sistem antivirus.
Prin urmare, exista riscul infectarii cu virusi, ceea ce ar putea duce la pierderi de date si ar afecta
continuitatea activitatii. De asemenea, prezenta unui program de tip „troian” ar putea facilita un atac
asupra sistemelor informatice.
Recomandare
Recomandam instalarea unui sistem antivirus pe toate serverele mentionate mai sus.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 18 din 53
3.2.3 Update-ul sistemelor de operare server
(Prioritate: Ridicata)
Observatie
In urma discutiilor purtate cu personalul de administrare a serverelor care sustin instantele de aplicatie
si baze de date din cadrul CTS, am aflat ca sistemele de operare aferente acestor servere nu sunt
actualizate cu update-urile furnizate de producator (atat in cazul celor patru servere virtualizate cat si in
cazul serverului pentru modulul de raportare). In consecinta, exista riscul ca CTS sa nu poata preveni
in timp util posibile vulnerabilitati de securitate care ar putea favoriza in anumite circumstante accesul
neautorizat la date si informatii interne si care, de altfel, ar putea fi remediate prin instalarea patch-urilor
de securitate furnizate de producator.
Recomandare
Recomandam CTS implementarea unei proceduri interne care sa adreseze unitar procesul de
actualizare a sistemelor de operare, si, in general, a echipamentelor IT. Prin aceasta procedura
recomandam definirea unui flux de lucru care sa descrie cum sunt identificate update-urile critice, cum
sunt testate, cum sunt migrate pe sistemele de productie s.a.m.d.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 19 din 53
3.2.4 Proceduri de continuitate operationala si de recuperare in caz de dezastru
(Prioritate: Ridicata)
Observatie
CTS nu a elaborat si implementat proceduri de continuitate operationala si de recuperare in caz de
dezastru care sa reglementeze planurile si masurile care trebuie adoptate pentru restaurarea rapida a
resurselor IT critice necesare desfasurarii activitatilor si pentru a minimiza intreruperile operationale in
cazul procedurii unui eveniment major (de exemplu, incendiu, cutremur etc.).
De asemenea, CTS nu detine o locatie alternativa din care sa-si poata continua activitatea si in care sa
poata restaura resursele IT in cazul in care locatia primara devine indisponibila.
De aceea, in lipsa unor astfel de proceduri, si a unei locatii alternative, exista riscul ca in urma unui
eveniment nefavorabil, infrastructura sistemului PIGD si activitatile de administrare a acestui sistem sa
nu poata fi restaurate.
Recomandare
Recomandam dezvoltarea unor proceduri de continuitate operationala si recuperare in caz de dezastru
care sa prevada actiunile care trebuie intreprinse in cazul unui eveniment major. Aceste proceduri vor
trebui testate pentru a se verifica eficacitatea planurilor elaborate si actualizate, in consecinta.
Recomandam, de asemenea, stabilirea unei locatii alternative (locatie de recuperare in caz de
dezastru) care sa permita desfasurarea activitatilor critice si restaurarea resurselor IT (inclusiv cele
referitoare la sistemul PIGD).
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 20 din 53
3.2.5 Transferul datelor in modulul de raportare
(Prioritate: Ridicata)
Observatie
Zilnic, pe parcursul noptii, informatiile de raportare din fiecare baza de date aferenta unei instante
judecatoresti sunt importate in baza de date centrala pentru raportare. Totusi, in urma discutiilor purtate
cu reprezentanti ai Ministerului Justiției si ai CTS, am aflat ca acest proces de importare a informatiilor
in baza de date centrala se desfasoara defectuos intrucat serverul care sustine aceasta baza de date
nu are performanta necesara. Astfel, din cele aprox. 50 de baze de date, pe parcursul unei nopti se
reuseste importul de date doar din aprox. 30 de baze. Desi nu este finalizat, transferul de date este
intrerupt la inceputul zilei pentru a face disponibil accesul utilizatorilor pe modulul de raportare al
sistemului PIGD. Potrivit reprezentantilor CTS, transferul complet de date se realizeaza doar la sfarsit
de saptamana cand utilizatorii nu acceseaza modulul de raportare si, implicit, nu este necesara
intreruperea procesului.
Prin urmare, in lipsa unui transfer complet de date intre cele aprox. 50 de baze de date si baza de date
centrala, informatiile prezentate prin modulul de raportare al sistemului PIGD nu pot fi complete si
reprezentative, si practic, acest modul de raportare al sistemului nu isi poate atinge complet scopul
pentru care a fost implementat.
Recomandare
Recomandam imbunatatirea sau inlocuirea serverului care sustine baza de date pentru raportare astfel
incat, sa asigure performanta culegerii in timp util a datelor din cele aprox. 50 de instante. Alternativ,
daca este posibil, recomandam reanalizarea arhitecturii si fluxului de import al datelor pentru
optimizarea si adaptarea acestui proces la echipamentele hardware existente.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 21 din 53
3.2.6 Managementul incidentelor
(Prioritate: Ridicata)
Observatie
CTS este responsabil cu administrarea si mentenanta sistemului PIGD (servere de aplicatie, baze de
date, linii de comunicatie etc.), dar si a infrastructurii IT de la nivelul instantelor judecatoresti. Astfel,
pentru a putea trata in mod adecvat incidentele IT, CTS detine un departament de call center care
preia incidentele semnalate de catre personalul din instante, le inregistreaza intr-un sistem de tip
servicedesk, „eticket system” si in functie de instanta care a raportat, incidentele sunt alocate spre
rezolvare catre patru responsabili din Sectia Suport Clienti.
In urma revizuirii aplicatiei servicedesk, am observat ca in lista de incidente in curs de solutionare unele
dintre ele au fost rezolvate, dar, totusi, nu au fost inchise.
Pe de alta parte, in urma discutiilor purtate cu personalul din cadrul Curtii de Apel Chisinau, am aflat ca
rezolvarea incidentelor care sunt raportate catre CTS, uneori, intarzie foarte mult, fapt care creeaza
probleme in activitatile curente ale Curtii de Apel, si ale instantelor judecatoresti, in general.
Prin urmare, constatam ca fluxul de management al incidentelor in cadrul CTS este deficitar si nu
indeplineste intotdeauna, in mod eficient, necesitatile instantelor judecatoresti.
Recomandare
Recomandam CTS imbunatatirea procesului de management al incidentelor raportate de catre instante
printr-o gestiune mai clara a incidentelor (primite, in curs de rezolvare sau rezolvate) si o reorganizare
interna a fluxului de prioritizare, alocare si solutionare a incidentelor astfel incat incidentele care
afecteaza in mod semnificativ activitatea la nivelul instatelor judecatoresti sa fie remediate intr-un timp
cat mai scurt.
De asemenea, recomandam CTS efectuarea periodica a unor analize formalizate a incidentelor
ramase nerezolvate si a celor repetitive in vederea identificarii si implementarii unor controale adecvate
pentru a preveni aparitia incidentelor repetitive.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 22 din 53
3.2.7 Salvarea datelor aferente modulului de raportare statistica din sistemul PIGD
(Prioritate: Ridicata)
Observatie
In prezent, nu exista un proces automat de salvare a datelor aferente modulului de raportare statistica
din sistemul PIGD. Conform discutiilor purtate cu reprezentatii CTS, aceste salvari se realizeaza
manual de catre personalul CTS. Prin urmare, exista riscul ca, la un moment dat, dintr-o eroare umana,
salvarea datelor sa nu se realizeze adecvat.
De asemenea, salvarile de date efectuate sunt pastrate doar pe serverul care sustine modulul de
raportare statistica si pe niciun alt mediu extern. Astfel, in cazul in care serverul ce sustine mediul de
productie este compromis (de exemplu, incendiu, inundatie etc.) datele salvate nu mai pot fi restaurate.
Recomandare
Recomandam CTS definirea unui proces automatizat recurent de salvare a datelor aferente modulului
de raportare din sistemul PIGD si pastrarea acestor salvari si pe un mediu extern (caseta, DVD etc.)
care sa fie pastrat intr-o alta locatie decat cea in care se afla mediul de productie.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 23 din 53
3.2.8 Conturi de administrare
(Prioritate: Ridicata)
Observatie
Conturile de administrator pe serverele care sustin bazele de date si instantele de aplicatie ale
sistemului PIGD sunt generice. In plus, am observat ca exista anumite conturi (de exemplu, conturile
“Admin” si “fabric” pe serverul „MinJust IIS 1”) care nu sunt folosite, dar sunt active si nu se stie cu
exactitate care este rolul acestora. De asemenea, pentru contul “Administrator” care este folosit pentru
administrarea acestor servere nu a fost aprobata in mod oficial o lista cu persoanele care au acces la
acest cont. Prin urmare, exista riscul ca anumite persoane sa detina acces neautorizat, iar in cazul in
care unul dintre aceste conturi generice este utilizat pentru initierea unor operatiuni neautorizate,
persoana responsabila sa nu poata fi identificata.
Recomandare
Recomandam CTS efectuarea unei revizuiri complete a conturilor de administrare a serverelor ce
sustin sistemul PIGD la nivel de aplicatie si baze de date (inclusiv pentru modulul de raportare) si
dezactivarea conturilor active nefolosite.
Recomandam, de asemenea, definirea unor conturi de administrare nominale (care sa identifice in mod
unic numele angajatului) sau daca acest lucru nu este posibil, aprobarea in mod formalizat a unei liste
cu persoanele care au acces la un cont generic (de exemplu, lista cu persoanele care au acces la
contul „Administrator” pe serverul „MinJust IIS 1”).
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 24 din 53
3.2.9 Drepturi de administrator
(Prioritate: Ridicata)
Observatie
In urma revizuirii unui esantion de statii de lucru din cadrul CTS, am observat ca anumiti utilizatori au
drepturi de administrator pe statiile locale, desi, in mod normal, nu ar avea nevoie de aceste drepturi.
Prin urmare, exista riscul ca acesti utilizatori sa desfasoare actiuni neautorizate in sistem cu efecte
nefavorabile asupra securitatii si integritatii mediului IT din cadrul CTS.
Recomandare
Recomandam CTS efectuarea unei analize complete asupra statiilor de lucru interne in vederea
identificarii utilizatorilor care au drepturi nejustificate de administrare asupra statiilor de lucru locale, iar
ulterior, blocarea accestor drepturi.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 25 din 53
3.2.10 Managementul capacitatii
(Prioritate: Ridicata)
Observatie
Din discutiile purtate cu personalul de administrare a sistemelor, am aflat ca CTS nu desfasoara
deocamdata un proces de monitorizare a capacitatii echipamentelor IT care sustin sistemul PIGD.
Astfel, in lipsa unui astfel de proces, exista riscul ca CTS sa nu poata preintampina blocaje ale
sistemului cauzate, spre exemplu, de suprasolicitarea echipamentelor de calcul, de functionarea
defectuoasa a unor componente sau din lipsa spatiului de stocare.
Recomandare
Recomandam CTS sa defineasca un flux formalizat de monitorizare recurenta a capacitatii
echipamentelor IT care sustin sistemul PIGD. Ca parte a acestui flux, CTS trebuie sa identifice
echipamentele critice, indicatorii cheie de performanta si frecventele monitorizarii.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 26 din 53
3.2.11 Migrarea schimbarilor pe mediul de productie
(Prioritate: Ridicata)
Observatie
In urma discutiilor purtate cu administratorii de sistem din cadrul CTS, am constatat ca migrarea
schimbarilor pe mediul de productie al PIGD se realizeaza direct de catre dezvoltatorii acestei aplicatii.
In acest scop, administratorii de sistem din cadrul CTS (Sectia Suport Clienti), creeaza conturi
temporare de acces pe serverele de aplicatie si baze de date. Prin urmare, exista riscul ca pe parcursul
acestor operatiuni, dezvoltatorii sa desfasoare operatiuni neautorizate la nivelul serverelor de aplicatii si
baze de date cu efecte nefavorabile asupra securitatii si integritatii acestora.
Recomandare
Recomandam CTS restrictionarea accesului dezvoltatorilor in mediul de productie al PIGD pentru a
minimiza riscurile mai sus mentionate. Schimbarile de aplicatie trebuie migrate in mediul de productie
de catre angajati anume desemnati, diferiti de dezvoltatori.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 27 din 53
3.2.12 Revizuirea conturilor de utilizator
(Prioritate: Ridicata)
Observatie
Conform procedurii pentru administrarea conturilor de utilizator dezvoltata si implementata in
conformitate cu standardul ISO 27001, CTS desfasoara regulat activitati de revizuire a conturilor de
utilizator in sistemele IT interne ale institutiei. Cu toate acestea, in urma interviurilor derulate cu
personalul IT am aflat ca de la implementarea acestei proceduri nu a fost efectuata inca o astfel de
revizuire. In lipsa unei astfel de activitati, exista riscul ca anumite conturi de utilizator care nu mai sunt
folosite, sa ramana active si sa poata fi folosite pentru a initia operatiuni neautorizate.
Recomandare
Recomandam CTS sa efectueze periodic, conform procedurii de administrare a conturilor de utilizator,
o revizuire formala a tuturor conturilor definite in sistemele informatice, prin compararea listei de conturi
existente in sisteme cu lista angajatilor Companiei, furnizata de Departamentul de Resurse Umane, in
scopul identificarii conturilor lasate active in sisteme si dezactivarii acestora.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 28 din 53
3.2.13 Diagrama de retea
(Prioritate: Medie)
Observatie
Departamentul IT din cadrul CTS nu a elaborat o diagrama de retea detaliata aferenta sistemului PIGD,
respectiv, a arhitecturii hardware si software care il alcatuiesc. Prin urmare, exista riscul ca activitatile
de administrare a acestui sistem sa nu fie eficient desfasurate de catre unii dintre angajati intrucat nu
au o imagine privind dispunerea fizica si logica a componentelor in retea.
Recomandare
Recomandam CTS definirea unei diagrame de retea detaliate pentru sistemul PIGD care sa ilustreze
dispunerea fizica si logica a componentelor hardware si software care alcatuiesc acest sistem.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 29 din 53
3.3 OBSERVATII REFERITOARE LA MEDIUL IT DIN INSTANTELE JUDECATORESTI
3.3.1 Politica de securitate IT
(Prioritate: Ridicata)
Observatie
In urma discutiilor cu personalul din cadrul Curtii de Apel Chisinau, am aflat ca nu exista o politica de
securitate IT interna care sa precizeze cerintele de baza pentru protectia informatiilor si a sistemelor
din cadrul acestei institutii si a celorlalte instante judecatoresti. Asadar, fara o astfel de politica,
instantele judecatoresti nu se pot asigura ca au fost implementate si puse in aplicare reguli de
securitate IT consistente, fapt care sporeste riscul de acces neautorizat la sistemele si informatiile
interne. De asemenea, utilizatorii sistemelor IT nu vor fi constienti de importanta securitatii sistemelor
informatice.
Recomandare
Recomandam, la nivelul tuturor instantelor judecatoresti, dezvoltarea si implementarea unei politici de
securitate IT, care ar trebui sa acopere protectia tuturor activelor informatice. Aceasta politica trebuie
sa detalieze toate nivelurile de securitate a datelor si sa furnizeze recomandari pentru ca utilizatorii sa
stie cum sa asigure protectia datelor. Politica trebuie sa fie cunoscuta de toti utilizatorii, iar acestia
trebuie sa semneze un formular prin care sa dovedeasca intelegerea si acceptarea continutului
acesteia.
Recomandam, de asemenea, alinierea acestui document cu prevederile Hotararii Guvernului Republicii
Moldova nr. 1123 din 14.12.2010, privind aprobarea Cerintelor fata de asigurarea securitătii datelor cu
caracter personal la prelucrarea acestora in cadrul sistemelor informationale de date cu caracter
personal.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 30 din 53
3.3.2 Parole de acces pe statiile locale
(Prioritate: Ridicata)
Observatie
In urma revizuirii unui esantion de statii de lucru din cadrul Curtii de Apel Chisinau, am observat ca
anumite statii nu au fost configurate sa solicite utilizatorilor autentificarea in sistemul de operare pe
baza de parola. Prin urmare, exista riscul ca o persoana neautorizata care obtine acces la o astfel de
statie sa poata folosi in mod abuziv statia respectiva si sa acceseze informatii despre reteaua interna
sau alte informatii confidentiale interne.
Recomandare
Recomandam efectuarea unei analize complete asupra statiilor de lucru interne la nivelul fiecarei
instante judecatoresti in vederea identificarii statiilor care nu solicita utilizatorilor autentificarea in
sistemul de operare pe baza de parola, iar ulterior, reconfigurarea mecanismul de autentificare. In plus,
recomandam folosirea unor reguli complexe pentru definirea parolelor de autentificare dupa cum am
specificat in observatia 3.4.1.
De asemenea, pentru un management eficient al parolelor, al conturilor de utilzator si, in general, al
retelei interne, recomandam implementarea unui sistem de tip Domain Controller conform observatiei
3.3.10.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 31 din 53
3.3.3 Linii de comunicatie
(Prioritate: Ridicata)
Observatie
In prezent, instantele judecatoresti au o singura linie de comunicatii cu CTS si, implicit, cu sistemul
PIGD. Prin urmare, in cazul indisponibilitatii acestei linii, accesul la sistemul PIGD este intrerupt, iar
activitatile operationale interne sunt afectate.
Recomandare
Recomandam configurarea unei linii de comunicatii alternative la nivelul fiecarei instante judecatoresti
care sa asigure functionarea sistemului PIGD si legatura cu CTS atunci cand linia primara este
indisponibila.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 32 din 53
3.3.4 Camerele serverelor din instantele judecatoresti
(Prioritate: Ridicata)
Observatie
In urma discutiilor purtate cu personalul din cadrul Curtii de Apel Chisinau, am aflat ca serverul pe care
se stocheaza inregistrarile audio ale sedintelor de judecata si alte informatii interne este plasat in
camera de deliberare a judecatorilor. Cu toate ca accesul in aceasta camera este permis doar
judecatorilor, exista totusi riscul ca, prin lipsa unor controale de securitate fizica adecvate, persoane
neautorizate sa obtina acces la server si la datele interne, sau, prin lipsa unor controale de mediu
adecvate, integritatea serverului sa fie afectata (risc de incendiu, inundatii etc.).
Recomandare
Recomandam amenajarea atat in sediul Curtii de Apel Chisinau cat si in celelalte instante judecatoresti,
a unei locatii speciale in care sa fie plasat severul intern si toate echipamentele IT de comunicatie. In
vederea prevenirii accesului fizic neautorizat, la nivelul acestei locatii, trebuie implementate controale
de acces fizic precum: acces pe baza de cheie/card (accesul trebuie sa fie permis unui numar restrans
de angajati cu competente IT), sistem de alarma antiefractie, pozitionare intr-o zona retrasa, fara
geamuri la exterior, daca este la parter, registru in care se pastreaza evidenta persoanele care intra in
locatie etc.
De asemenea, pentru asigurarea integritatii echipamentelor, la nivelul acestei locatii trebuie
implementate controale de mediu precum: sistem de climatizare, sistem de detectie a incendiilor,
sistem de stingere a incendiilor (de ex. extinctor) etc. In plus, acest spatiu nu trebuie sa fie prevazut cu
tevi prin care circula apa sau alte sisteme de utilitati care, in cazul unor defectiuni, pot afecta
echipamentele IT.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 33 din 53
3.3.5 Drepturi de administrator
(Prioritate: Ridicata)
Observatie
In urma revizuirii unui esantion de statii de lucru din cadrul Curtii de Apel Chisinau, am observat ca
anumiti utilizatori au drepturi de administrator pe statiile locale, desi, in mod normal, nu ar avea nevoie
de aceste drepturi. Prin urmare, exista riscul ca acesti utilizatori sa desfasoare actiuni neautorizate in
sistem cu efecte nefavorabile asupra securitatii si integritatii mediului IT din cadrul acestei institutii si
asupra securitatii si integritatii datelor gestionate prin sistemul PIGD, in general.
Recomandare
Recomandam efectuarea unei analize complete asupra statiilor de lucru interne la nivelul fiecarei
instante judecatoresti in vederea identificarii utilizatorilor care au drepturi nejustificate de administrare
asupra statiilor de lucru locale, iar ulterior, blocarea accestor drepturi. De asemenea, conform
observatiei 3.3.10, recomandam implementarea a cate unui sistem de tip Domain Controller pentru
administrarea retelei interne si a conturilor de utilizator la nivelul fiecarei instante judecatoresti.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 34 din 53
3.3.6 Administrarea conturilor de utilizator
(Prioritate: Ridicata)
Observatie
In urma discutiilor cu personalul din cadrul Curtii de Apel Chisinau, am aflat ca la nivelul instantelor
judecatoresti nu exista o procedura formalizata pentru administrarea conturilor de utilizator in sistemele
IT (inclusiv in sistemul PIGD) care sa reglementeze fluxul de creare, modificare sau dezactivare a unui
cont de utilizator. Asadar, exista riscul ca nu intotdeauna aceste activitati sa se desfasoare in
conformitate cu necesitatile reale si, prin urmare, persoane neautorizate sa obtina acces la date si
informatii confidentiale.
Recomandare
Recomandam elaborarea si implementarea unei proceduri de administrare a conturilor de utilizator la
nivelul tuturor instantelor judecatoresti in vederea stabilirii unor fluxuri formalizate pentru procesul de
creare, modificare sau dezactivare a conturilor de utilizator in sistemele IT folosite. Aceste activitati
trebuie sa se realizeze in mod formalizat prin completarea de catre solicitanti a unor formulare care,
inainte de a fi procesate, sa fie aprobate de personal superior, din punct de vedere ierarhic.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 35 din 53
3.3.7 Managementul incidentelor raportate
(Prioritate: Ridicata)
Observatie
In urma auditului efectuat, am constatat faptul ca, la nivelul instantelor judecatoresti, nu exista o
procedura formala de management al incidentelor IT. Astfel, in unele dintre instantele judecatoresti,
incidentele legate de functionarea echipamentelor IT (hardware si software) sunt raportate informal
(prin telefon, e-mail etc.) de utilizatori catre CTS si nu se pastreaza o evidenta cu incidentele raportate.
In lipsa unei astfel de evidente, nu se poate realiza o analiza asupra incidentelor care au fost raportate,
a celor care sunt in curs de remediere sau a celor care au ramas neremediate.
Recomandare
Recomandam dezvoltarea si implementarea la nivelul tuturor instantelor judecatoresti a unei proceduri
uniforme pentru managementul incidentelor care sa prevada obligativitatea ca fiecare incident
identificat de utilizatori sa fie raportat, inregistrat si investigat in mod formal.
De asemenea, recomandam implementarea la nivelul instantelor judecatoresti a unei solutii de tip
servicedesk pentru raportarea si inregistrarea incidentelor IT catre CTS care sa permita vizualizarea
stadiului in care se afla un anumit incident (de exemplu, initiat, in curs de remediere, remediat).
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 36 din 53
3.3.8 Update-ul sistemelor de operare
(Prioritate: Ridicata)
Observatie
In urma discutiilor purtate cu personalul din cadrul Curtii de Apel Chisinau, am aflat ca sistemele de
operare aferente statiilor de lucru din institutie nu sunt actualizate cu update-urile furnizate de
producator. In consecinta, exista riscul de a nu putea preveni in timp util posibile vulnerabilitati de
securitate care ar putea favoriza in anumite circumstante accesul neautorizat la date si informatii
interne si care, de altfel, ar putea fi remediate prin instalarea patch-urilor de securitate furnizate de
producator.
Recomandare
Recomandam implementarea la nivelul instantelor judecatoresti a unei proceduri interne care sa
adreseze unitar procesul de actualizare a sistemelor de operare, si, in general, a echipamentelor IT. De
asemenea, recomandam reconfigurarea sistemelor de operare instalate pe statiile de lucru interne
astfel incat sa permita descarcarea si instalare update-urilor furnizate de producator.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 37 din 53
3.3.9 Conturi de utilizator in sistemul PIGD
(Prioritate: Ridicata)
Observatie
Ca parte a testelor efectuate in cadrul Curtii de Apel Chisinau, am observat ca anumite conturi de
utilizator in sistemul ICSM sunt generice (de exemplu, contul manager-ului) fara a exista aprobare in
mod oficial privind persoana/persoanele care au acces la acest cont. Prin urmare, exista riscul ca
anumite persoane sa detina acces neautorizat, iar in cazul in care unul dintre aceste conturi generice
este utilizat pentru initierea unor operatiuni neautorizate, persoana responsabila sa nu poata fi
identificata.
Recomandare
Recomandam modificarea conturilor generice de acces in sistemul PIGD in conturi nominale (care sa
identifice in mod unic numele angajatului) sau daca acest lucru nu este posibil, aprobarea in mod
formalizat a unei liste cu persoanele care au acces la un cont generic (de exemplu, lista cu persoanele
care au acces la contul „Manager”).
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 38 din 53
3.3.10 Administrarea retelelor pe baza de Domain Controller
(Prioritate: Ridicata)
Observatie
In urma auditului efectuat, am constatat faptul ca instantele judecatoresti in care a fost implementat
sistemul PIGD nu au o retea interna bazata pe un Domain Controller. Prin urmare, administrarea
statiilor de lucru nu poate fi realizata centralizat, existand astfel riscul ca setarile de securitate si
configuratie sa nu fie corect implementate la nivelul tuturor statiilor de lucru si, implicit, sa favorizeze
accesul neautorizat la sistemul PIGD.
Recomandare
Recomandam administrarea centralizata a retelelor interne aferente instantelor judecatoresti prin
folosirea a cate unui sistem de tip Domain Controller care sa includa toate statiile de lucru dintr-o retea.
Printr-o astfel de abordare, setarile de securitate (de exemplu, reguli de parole) si configuratie definite
la nivel de Domain Controller sunt aplicate fiecarei statii de lucru care este inclusa in domeniu. De
asemenea, administrarea incidentelor si a evenimentelor specifice statiilor de lucru se poate realiza
centralizat prin Domain Controller.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 39 din 53
3.3.11 Conturi de utilizator in modulul de raportare statistica al sistemului PIGD
(Prioritate: Ridicata)
Observatie
In urma discutiilor purtate cu personalul din cadrul Curtii de Apel Chisinau si cu reprezentantii USAID
ROLISP, am aflat ca, la nivelul fiecarei instante judecatoresti, accesul pe modulul de raportare al
sistemului PIGD se realizeaza printr-un cont generic care este partajat de mai multe persoane (angajati
din instante) fara a exista aprobare in mod oficial privind persoana/persoanele care au acces la acest
cont. Prin urmare, exista riscul ca anumite persoane sa detina acces neautorizat la informatiile din
modulul de raportare statistica.
Recomandare
Recomandam modificarea la nivelul fiecarei instante judecatoresti a conturilor generice de acces in
modulul de raportare al sistemul PIGD in conturi nominale (care sa identifice in mod unic numele
angajatului). Astfel, pentru fiecare persoana care necesita acces pe modulul de raportare trebuie sa se
defineasca cate un cont nominal.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 40 din 53
3.4 OBSERVATII REFERITOARE LA MEDIUL IT DIN MINISTERUL JUSTITIEI
3.4.1 Politica de securitate IT
(Prioritate: Ridicata)
Observatie
In urma discutiilor purtate cu personalul IT din cadrul Ministerului Justitiei, am aflat ca nu exista o
politica de securitate IT interna care sa precizeze cerintele de baza pentru protectia informatiilor si a
sistemelor din cadrul acestei institutii. Asadar, fara o astfel de politica, Ministerul Justiției nu se poate
asigura ca au fost implementate si puse in aplicare reguli de securitate IT consistente, fapt care
sporeste riscul de acces neautorizat la sistemele si informatiile interne. De asemenea, utilizatorii
sistemelor IT nu vor fi constienti de importanta securitatii sistemelor informatice.
Recomandare
Recomandam Ministerului Justiției sa dezvolte si sa implementeze o politica de securitate IT, care ar
trebui sa acopere protectia tuturor activelor informatice. Aceasta politica trebuie sa detalieze toate
nivelurile de securitate a datelor si sa furnizeze recomandari pentru ca utilizatorii sa stie cum sa asigure
protectia datelor. Politica trebuie sa fie cunoscuta de toti utilizatorii, iar acestia trebuie sa semneze un
formular prin care sa dovedeasca intelegerea si acceptarea continutului acesteia.
Recomandam, de asemenea, alinierea acestui document cu prevederile Hotararii Guvernului Republicii
Moldova nr. 1123 din 14.12.2010, privind aprobarea Cerintelor fata de asigurarea securitătii datelor cu
caracter personal la prelucrarea acestora in cadrul sistemelor informationale de date cu caracter
personal.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 41 din 53
3.4.2 Reguli de parole la nivel de retea
(Prioritate: Ridicata)
Observatie
In urma revizuirii unui esantion de statii de lucru din cadrul Ministerului Justiției, am observat ca
anumite statii nu au fost configurate sa solicite utilizatorilor autentificarea in sistemul de operare pe
baza de parola. Prin urmare, exista riscul ca o persoana neautorizata care obtine acces la o astfel de
statie sa poata folosi in mod abuziv statia respectiva si sa acceseze informatii despre reteaua interna
sau alte informatii confidentiale interne.
In plus, desi a fost implementat un sistem Domain Controller, nu toate statiile de lucru sunt incluse si
administrate prin domeniu intrucat, serverul de domeniu nu poate asigura cerintele de performanta
necesare. Prin urmare, administrarea acestor statii de lucru nu poate fi realizata centralizat, existand
astfel riscul ca setarile de securitate si configuratie sa nu fie corect implementate si, implicit, sa
favorizeze accesul neautorizat la sistemul PIGD.
De asemenea, la nivel de domeniu nu au fost implementate reguli pentru definirea parolelor de
autentificare a utilizatorilor in retea. Astfel, exista riscul ca eventuale persoane neautorizate sa
dobandeasca acces in reteaua Ministerului Justiției si, implicit, la datele si informatiile interne.
Recomandare
Recomandam Ministerului Justiției urmatoarele:
Efectuarea unei analize complete asupra statiilor de lucru interne in vederea identificarii statiilor
care nu solicita utilizatorilor autentificarea in sistemul de operare pe baza de parola, iar ulterior,
reconfigurarea mecanismul de autentificare.
Imbunatatirea sau inlocuirea serverului de Domain Controller astfel incat sa poate fi incluse in
domeniu toate statiile de lucru din reteaua interna.
Implementarea la nivel de domeniu a unor reguli de parole, tinand cont de urmatoarele aspecte:
o Lungimea minima: 8 caractere;
o Perioada maxima de valabilitate: 30 zile;
o Perioada minima de valabilitate: 1 zi;
o Numarul de parole memorate de sistem: ultimele 12 parole folosite;
o Parola ar trebui sa indeplineasca cerinte de complexitate;
o Maximul de incercari esuate de autentificare admise: 3;
o Numai un administrator sa poata debloca un cont blocat;
o Dezactivarea contului de utilizator dupa o perioada inactiva de 2 luni.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 42 din 53
3.4.3 Controlul accesul fizic
(Prioritate: Ridicata)
Observatie
Am observat urmatoarele deficiente cu privire la controlul accesului fizic in camera in care sunt stocate
echipamentele IT critice din cadrul Ministerului Justiției:
Camera este plasata la demisolul cladirii Ministerului Justiției si este prevazuta cu geamuri la
exterior care favorizeaza cu usurinta accesul neautorizat din exterior in incinta;
Accesul in locatie este protejat printr-o usa de lemn care, insa, nu prezinta o siguranta ridicata;
In interiorul locatiei, exista o usa care, in trecut, a comunicat cu un birou alaturat. La momentul
actual, aceasta usa a fost dezafectata prin montarea unei placi de gips carton ce nu prezinta un
nivel inalt de siguranta;
Nu exista un sistem de monitorizare video pentru persoanele care intra in aceasta camera;
Sistemul de alarma se activeaza doar pe timpul noptii. Prin urmare, in cazul unei efractii in timpul
zilei, sistemul de alarma nu este functional;
Nu exista o lista formalizata cu persoanele care au drept de acces in locatie;
Nu exista jurnale de inregistrare a vizitatorilor in locatie;
In cadrul institutiei, nu exista o procedura care sa reglementeze accesul fizic in camera serverelor
precum si in celelalte spatii de desfasurare a activitatii.
Recomandare
Recomandam Ministerului Justiției reamenajarea camerei serverelor astfel incat sa fie remediate
deficientele semnalate sau, alternativ, externaliarea serviciilor de gazduire a echipamentelor IT critice
la un furnizor specializat (de exemplu, la un centru de date) care asigura conditii adecvate de securitate
fizica.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 43 din 53
3.4.4 Controalele de mediu
(Prioritate: Ridicata)
Observatie
Am observat urmatoarele deficiente cu privire la controalele pentru protectia mediului in camera in care
sunt stocate echipamentele IT critice din cadrul Ministerului Justiției:
Locatia este strabatuta de tevi de termoficare ce ar putea provoca inundatii si, implicit, distrugerea
echipamentelor in cazul unor defectiuni;
Potrivit personalului IT din cadrul Ministerului Justiției, senzorul de detectie a incendiilor montat in
locatie nu este functional;
Extinctorul din locatie este vechi si, posibil, nefunctional;
In locatie sunt stocate materiale inflamabile (dosare, hartii etc.) care pot favoriza extinderea rapida
a incendiilor;
In locatie exista un nivel ridicat de praf ce poate afecta buna functionare a echipamentelor IT;
Potrivit personalului IT din cadrul Ministerului Justiției, personalul care asigura mentenanta si
lucrarile de reparatie a sistemului de climatizare intarzie foarte mult de la momentul solicitarii
(chiar si doua luni), timp in care acesta nu functioneaza corespunzator sau nu functioneaza deloc.
Cu toate aceastea, la momentul auditului, sistemul functiona corespunzator, asigurand o
temperatura adecvata in locatie;
Nu exista linii redundante de alimentare cu energie electrica;
Nu exista generatoare electrice;
Potrivit personalului IT din cadrul Ministerului Justiției, acumulatorii echipamentelor UPS sunt uzati
si nu pot asigura o autonomie adecvata in cazul unor avarii ale sistemului de alimentare cu
energie electrica.
Recomandare
Recomandam Ministerului Justiției reamenajarea camerei serverelor astfel incat sa fie remediate
deficientele semnalate sau, alternativ, externaliarea serviciilor de gazduire a echipamentelor IT critice
la un furnizor specializat (de exemplu, la un centru de date) care asigura conditii adecvate de protectie
a mediului.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 44 din 53
3.4.5 Procesul de management al schimbarilor
(Prioritate: Ridicata)
Observatie
In urma discutiilor purtate cu reprezentantii Curtii de Apel Chisinau si ai Ministerului Justiției, in calitate
de beneficiari ai sistemului PIGD am identificat urmatoarele deficiente cu privire la procesul de
management al schimbarilor in sistemul PIGD:
Nu exista o procedura formalizata pentru managementul schimbarilor in sistemul PIGD la nivelul
instantelor judecatoresti si al Ministerului Justiției care sa reglementeze fluxul prin care se initiaza
cererile de schimbare in sistemul PIGD, fluxurile de aprobare, dezvoltare, testare si migrare a
schimbarilor pe mediul de productie.
Cu toate ca Ministerul Justitiei a creat un grup de lucru care sa analizeze solicitarile de schimbare,
respectiv sa realizeze receptia finala a schimbarilor si a noilor versiuni ale sistemului PIGD, la
momentul de fata, am observat ca nu exista o persoana (en: „system owner”) care sa asigure in
mod adecvat legatura dintre dezvoltator si beneficiari, care sa coordoneze managementul
schimbarilor in sistem, care sa cunoasca stadiul modificarilor solicitate si care, in general, sa se
asigure de buna functionare a sistemului. Desi, in mod normal, aceasta persoana ar trebui sa faca
parte din randul beneficiarilor (Ministerul Justiției si instantele judecatoresti), in prezent, cel mai
mult se apropie de acest rol reprezentantii programului USAID ROLISP;
Testarea schimbarilor efectuate se realizeaza de catre personalul BASS Systems (dezvoltator al
sistemului PIGD), de personalul programului USAID ROLISP, de catre anumite instante
judecatoresti pilot, dar nu si de catre utilizatorii care au solicitat propriu-zis acele schimbari;
Intrucat nu a fost implementat un mediu de test, toate schimbarile sistemelor informatice sunt
efectuate si testate direct in mediul de productie;
Testele nu se efectueaza pe baza unor scenarii de testare;
Migrarea schimbarilor pe mediul de productie se face direct de catre dezvoltatori. Pentru acest
lucru, CTS creeaza conturi de acces temporare pe mediul de productie.
Prin urmare, in lipsa unei proceduri corect implementate pentru managementul schimbarilor in sistemul
PIGD nu exista nicio siguranta ca modificarile sau sistemele introduse in mediul de productie sunt in
concordanta cu cerintele utilizatorilor si nu contin functionalitati neautorizate. De asemenea, fara un
proces de testare riguroasa a modificarilor efectuate in sistem exista riscul ca schimbarile implementate
sa nu functioneze corect sau chiar sa afecteze semnificativ sistemul in ansamblu.
Recomandare
Recomandam dezvoltarea si implementarea la nivelul Ministerului Justiției si al instantelor judecatoresti
a unei proceduri formalizate de management al schimbarilor in sistemul PIGD pentru a minimiza
riscurile mai sus mentionate. Aceasta procedura trebuie sa includa cel putin urmatoarele:
Implementarea unui flux de initiere a schimbarilor in sistem bazat pe o cerere formala analizata si
aprobata de catre personalul de management;
Desemnarea unui responsabil cu managementul schimbarilor in sistemul PIGD care sa interfateze
si sa monitorizeze legatura dintre dezvoltator si beneficiari si care sa se asigure in permanenta de
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 45 din 53
buna functionare a sistemului. Rolul acestei persoane este de a se asigura ca dezvoltatorul
(compania BASS Systems) implementeaza modificarile in aplicatie in conformitate cu cerintele
utilizatorilor respectand termenele si cerintele de calitate solicitate. Aceasta persoana ar trebui
desemnata din randul beneficiarilor (Ministerul Justiției si instantele judecatoresti);
Definirea unui proces formalizat de testare a schimbarilor in care sa fie implicati, pe langa
instantele pilot, si utilizatorii sistemului PIGD care au solicitat respectivele schimbari;
Desfasurarea testelor pe baza unor planuri de testare detaliate care sa acopere toate ariile din
sistem impactate de o schimbare;
Datele de test ar trebui sa fie similare cu cele din mediul de productie, dar sa nu contina si
informatiile confidentiale;
Utilizatorii trebuie sa semneze pentru a atesta efectuarea testelor;
Migrarea unei schimbari in mediul de productie numai dupa ce, in prealabil, a fost emisa, in acest
sens, o acceptanta formala din partea beneficiarului (Ministerul Justiției/ instante judecatoresti);
Stabilirea unui responsabil pentru migrarea schimbarilor pe mediul de productie si care sa nu fie
din echipa de dezvoltare (ar putea fi alocata, spre exemplu, o persoana din cadrul CTS).
Recomandam, de asemenea, restrictionarea accesului dezvoltatorilor externi la aplicatii sau la
bazele de date ale acestora;
Documentarea schimbarilor si informarea utilizatorilor cu privire la modificarile efectuate.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 46 din 53
3.4.6 Proceduri de continuitate operationala si de recuperare in caz de dezastru
(Prioritate: Ridicata)
Observatie
In urma auditului efectuat, am constatat ca la nivelul Ministerului Justiției si al instantelor judecatoresti
nu exista proceduri de continuitate operationala si de recuperare in caz de dezastru aferente sistemului
PIGD care sa reglementeze planurile si masurile care trebuie adoptate pentru restaurarea rapida a
resurselor IT critice necesare functionarii sistemului si pentru a minimiza intreruperile operationale in
cazul procedurii unui eveniment major (de exemplu, incendiu). De aceea, in lipsa unor astfel de
proceduri, exista riscul ca in urma unui eveniment nefavorabil activitatile ce implica folosirea sistemului
PIGD sa nu poata fi reluate in mod optim.
Recomandare
Recomandam dezvoltarea unor proceduri de continuitate operationala si recuperare in caz de dezastru
care sa prevada actiunile care trebuie intreprinse in cazul unui eveniment major. Aceste proceduri vor
trebui testate pentru a se verifica eficacitatea planurilor elaborate si actualizate, in consecinta.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 47 din 53
3.4.7 Drepturi de administrator
(Prioritate: Ridicata)
Observatie
In urma revizuirii unui esantion de statii de lucru din cadrul Ministerului Justiției, am observat ca anumiti
utilizatori au drepturi de administrator pe statiile locale, desi, in mod normal, nu ar avea nevoie de
aceste drepturi. Prin urmare, exista riscul ca acesti utilizatori sa desfasoare actiuni neautorizate in
sistem cu efecte nefavorabile asupra securitatii si integritatii mediului IT din cadrul Ministerului Justiției.
Recomandare
Recomandam Ministerului Justiției efectuarea unei analize complete asupra statiilor de lucru interne in
vederea identificarii utilizatorilor care au drepturi nejustificate de administrare asupra statiilor de lucru
locale, iar ulterior, blocarea accestor drepturi. De asemenea, conform observatiei 3.4.2 recomandam
includerea in sistemul Domain Controller a tuturor statiilor de lucru interne in vederea eficientizarii
managementului conturilor de utilizator, a drepturilor alocate utilizatorilor, si a managementului retelei,
in general.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 48 din 53
3.4.8 Administrarea conturilor de utilizator
(Prioritate: Ridicata)
Observatie
In urma discutiilor cu personalul IT din cadrul Ministerului Justiției, am aflat ca nu exista o procedura
formalizata pentru administrarea conturilor de utilizator in sistemele IT interne care sa reglementeze
fluxul de creare, modificare sau dezactivare a unui cont de utilizator. Asadar, exista riscul ca nu
intotdeauna aceste activitati sa se desfasoare in conformitate cu necesitatile reale si, prin urmare,
persoane neautorizate sa obtina acces la date si informatii confidentiale.
Recomandare
Recomandam elaborarea si implementarea unei proceduri de administrare a conturilor de utilizator la
nivelul sistemelor IT din cadrul Ministerului Justiției in vederea stabilirii unor fluxuri formalizate pentru
procesul de creare, modificare sau dezactivare a acestor conturi. Aceste activitati trebuie sa se
realizeze in mod formalizat prin completarea de catre solicitanti a unor formulare care, inainte de a fi
procesate, sa fie aprobate de personal superior, din punct de vedere ierarhic.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 49 din 53
3.4.9 Licentierea programelor software
(Prioritate: Ridicata)
Observatie
In urma discutiilor purtate cu personalul de administrare a infrastructurii IT din cadrul Ministerului
Justiției, am aflat ca cea mai mare parte dintre programele software folosite pe statiile de lucru interne
(sisteme de operare, sistem antivirus etc.) nu sunt licentiate. Prin urmare, exista riscul ca astfel de
programe sa ascunda posibile vulnerabilitati de securitate, care odata exploatate de un atacator, pot
favoriza accesul neautorizat la date si informatii interne. De asemenea, procesul de actualizare a
acestor programe poate sa functioneze defectuos, sau sa nu functioneze deloc, situatii care
favorizeaza grave probleme de securitate (de exemplu, lipsa actualizarii cu semnaturi de virusi a
sistemelor antivirus). In plus, prin folosirea unor programe software fara licenta, in cazul unor controale
ale organelor abilitate exista riscul primirii unor sanctiuni.
De asemenea, am observat ca nu exista o lista formalizata cu configuratia necesara fiecarei statii de
lucru si a aplicatiilor software care sunt aprobate a fi folosite. Prin urmare, exista riscul ca utilizatorii sa
foloseasca alte programe decat cele permise si sa deschida brese de securitate in sisteme.
Recomandare
Recomandam Ministerului Justiției folosirea la nivel de componente software esentiale (sistem de
operare, antivirus etc.) a unor programe software licentiate sau, alternativ, a unor solutii software open-
source (gratis) care beneficiaza de suport din partea producatorului si care sa fie actualizate in
conformite cu recomandarile producatorului.
Recomandam, de asemenea, formalizarea configuratiei necesare fiecarei statii de lucru prin aprobarea
aplicatiilor software care pot fi folosite de catre utilizatori.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 50 din 53
3.4.10 Accesul la codul sursa
(Prioritate: Ridicata)
Observatie
Ministerul Justiției, in calitate de beneficiar, nu a definit o procedura pentru mentinerea codului sursa al
aplicatiei PIGD, acesta existand, la momentul actual, doar la entitatea responsabila cu dezvoltarea
aplicatiei (compania BASS Systems). De aceea, in contextul in care s-ar intrerupe colaborarea cu
compania BASS Systems, exista riscul ca Ministerul Justiției sa nu poata intra in posesia codului sursa
al aplicatiei.
Recomandare
Recomandam Ministerului Justiției agrearea unor conditii cu compania dezvoltatoare a aplicatiei, prin
care aceasta sa furnizeze Ministerului codul sursa al aplicatiei PIGD si toate modificarile efectuate pe
parcurs.
Raspunsul Conducerii
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 51 din 53
ANEXA 1 – PRIORITIZAREA OBSERVATIILOR
In tabelul de mai jos, detaliem prioritatea observatiilor care ar trebui rezolvate pentru imbunatatirea
nivelului de securitate al sistemului PIGD si al mediului IT in care acesta functioneaza:
Ref. Observatie
(Prioritate ridicata)
Necesar a fi
rezolvat inainte de
auditul final de
securitate
(Prioritate medie)
Necesar a fi
inceput inainte de
auditul final de
securitate
(Prioritate scazuta)
A fi rezolvat
dupa auditul final de
securitate
OBSERVATII REFERITOARE LA SISTEMUL PIGD
3.1.1 Deficiente functionale ale sistemului PIGD √
3.1.2 Reguli de parole √
3.1.3 Criptarea parolelor de acces √
3.1.4 Log-uri de sistem √
3.1.5 Aprobarea profilelor de utilizator in sistem √
OBSERVATII REFERITOARE LA MEDIUL IT IN CARE SE ADMINISTREAZA SISTEMUL PIGD
3.2.1 Salvarea datelor aferente sistemului PIGD √
3.2.2 Protectia antivirus √
3.2.3 Update-ul sistemelor de operare server √
3.2.4 Proceduri de continuitate operationala si de recuperare in caz de dezastru √
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 52 din 53
3.2.5 Transferul datelor in modulul de raportare √
3.2.6 Managementul incidentelor √
3.2.7 Salvarea datelor aferente modulului de raportare din sistemul PIGD √
3.2.8 Conturi de administrare √
3.2.9 Drepturi de administrator √
3.2.10 Managementul capacitatii √
3.2.11 Migrarea schimbarilor pe mediul de productie √
3.2.12 Revizuirea conturilor de utilizator √
3.2.13 Diagrama de retea √
OBSERVATII REFERITOARE LA MEDIUL IT DIN INSTANTELE JUDECATORESTI
3.3.1 Politica de securitate IT √
3.3.2 Parole de acces pe statiile locale √
3.3.3 Linii de comunicatie √
3.3.4 Camerele serverelor din instantele judecatoresti √
3.3.5 Drepturi de administrator √
3.3.6 Administrarea conturilor de utilizator √
3.3.7 Managementul incidentelor raportate √
3.3.8 Update-ul sistemelor de operare √
Auditul initial de securitate al sistemului PIGD – Raport intermediar
12 iulie 2013
DOCUMENT CONFIDENTIAL Pagina 53 din 53
3.3.9 Conturi de utilizator in sistemul PIGD √
3.3.10 Administrarea retelelor pe baza de Domain Controller √
3.3.11 Conturi de utilizator in modulul de raportare al sistemului PIGD √
OBSERVATII REFERITOARE LA MEDIUL IT DIN MINISTERUL JUSTIȚIEI
3.4.1 Politica de securitate IT √
3.4.2 Reguli de parole la nivel de retea √
3.4.3 Controlul accesul fizic √
3.4.4 Controalele de mediu √
3.4.5 Procesul de management al schimbarilor √
3.4.6 Proceduri de continuitate operationala si de recuperare in caz de dezastru √
3.4.7 Drepturi de administrator √
3.4.8 Administrarea conturilor de utilizator √
3.4.9 Licentierea programelor software √
3.4.10 Accesul la codul sursa √