Centralni registar obaveznog socijalnog osiguranja (CROSO) nije organizaciono ni kadrovski uspostavio upravljanje informacionom bezbednošću, objavila je danas Državna revizorska institucija (DRI).
U Izveštaju DRI o reviziji svrsishodnosti poslovanja „Informacioni sistemi u Centralnom registru obaveznog socijalnog osiguranja“ navedeno je da je ta državna služba ;nadležna za vođenje dva značajna registra – Registra osiguranih lica, osiguranika i evidenciju obveznika doprinosa (IS CRIS – Jedinstvena baza podataka) i Registra zaposlenih, izabranih, imenovanih, postavljenih i angažovanih lica kod korisnika javnih sredstava (IS RegZap).
Revizijom, koju je sprovela DRI, utvrđeno je da u CROSO ne postoje pravila i procedure praćenja i kontrole zapisa o događajima, niti je uređena saradnja sa pružaocem usluge održavanja informacionog sistema.
CROSO ne postupa u skladu sa Aktom o bezbednosti informaciono-komunikacionih sistema od posebnog značaja, s obzirom na to da generički administrativni nalog koristi dvoje zaposlenih iz CROSO i troje zaposlenih kod pružaoca usluge održavanja informacionog sistema, kao i da zahtevi za otvaranje/izmenu/ukidanje korisničkih uloga ne sadrže naziv korisničke uloge, već njeno objašnjenje, istakla je DRI.
CROSO nije u potpunosti uspostavio efikasno IT upravljanje u slučaju vanrednih okolnosti i/ili prekida saradnje sa pružaocem usluge održavanja IS, testiranja rezervnih kopija baza podataka i usaglašenosti sa promenama u okruženju i IKT sistemu.
