სახელმწიფო აუდიტის სამსახური

სოციალური დაცვა 05 ივნისი, 2020
სახელმწიფო პენსიის ადმინისტრირების ინფორმაციული სისტემების ეფექტიანობის აუდიტის ანგარიში
პერიოდი: 2019, 2018, 2017, 2016, 2015, 2014

სახელმწიფო აუდიტის სამსახურმა შეისწავლა სახელმწიფო პენსიის ადმინისტრირების ინფორმაციული სისტემა და მასთან დაკავშირებული კონტროლები. კერძოდ, აუდიტის პროცესში შეფასდა ინფორმაციული სისტემისა და პენსიის ადმინისტრირების პროცესის პროდუქტიულობა, ასევე პენსიის ადმინისტრირების პროცესში გამოყენებული მონაცემების უსაფრთხოება და პერსონალური ინფორმაციის დამუშავების პრაქტიკა.

აუდიტის ობიექტებს წარმოადგენენ სსიპ − სოციალური მომსახურების სააგენტო (შემდგომ − სააგენტო) და საქართველოს ოკუპირებული ტერიტორიებიდან დევნილთა, შრომის, ჯანმრთელობისა და სოციალური დაცვის სამინისტრო (შემდგომ − სამინისტრო).

აუდიტის შედეგად გამოვლინდა შემდეგი მიგნებები:

სახელმწიფო პენსიის ადმინისტრირების ინფორმაციული სისტემა („პენსია 2005“) მოძველებულია და ვერ უზრუნველყოფს სააგენტოს სხვა სისტემებთან ინტეგრაციას. სისტემა არ არის ცენტრალიზებული, რაც გულისხმობს, რომ იგი დამოუკიდებლად არის დაინსტალირებული ყველა სამუშაო სადგურზე (პერსონალურ კომპიუტერზე) და ერთმანეთს არ უკავშირდება. სხვადასხვა მომხმარებლის მიერ დამუშავებული მონაცემების ცენტრალიზება ხდება ხელით და საჭიროებს რამდენიმე ნაბიჯს. აღნიშნული მოიცავს როგორც ბაზების გაერთიანებას, ასევე ინფორმაციის გადამოწმებას (ვალიდაციას). შესაბამისად, დეცენტრალიზებული არქიტექტურის გათვალისწინებით, სახელმწიფო პენსიის ადმინისტრირების ბიზნესპროცესი არ არის პროდუქტიული და საჭიროებს ინტენსიურ ხელით შესრულებულ პროცესებს, რაც, თავის მხრივ, ზრდის მონაცემთა დამუშავების სიზუსტისა და სანდოობის რისკებს. ზემოაღნიშნული გამოწვეულია სააგენტოს არაერთგვაროვანი მიდგომით ინფორმაციული სისტემების განვითარების მიმართ. კერძოდ, სააგენტოს სისტემების კომპლექსურობისა და კრიტიკულობის გათვალისწინებით, სააგენტოს არ გააჩნია სტანდარტიზებული მიდგომა ინფორმაციულ სისტემებთან დაკავშირებით. სააგენტოს მფლობელობაში მყოფი ორი მსხვილი სისტემა − სახელმწიფო პენსიის ადმინისტრირების სისტემა („პენსია 2005“) და საარსებო შემწეობის ადმინისტრირების სისტემა (SAESA) მნიშვნელოვნად განსხვავებული შესაძლებლობებისაა. „პენსია 2005“ მნიშვნელოვნად ჩამორჩება სააგენტოს მიერ ადმინისტრირებულ მეორე სისტემას − SAESA-ს, ავტომატიზაციისა და უსაფრთხოების ხარისხით;

სააგენტო ვერ უზრუნველყოფს ინფორმაციული უსაფრთხოების საკანონმდებლო მოთხოვნების შესრულებას. აუდიტის პერიოდში სააგენტოს არ ჰქონდა შესრულებული „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის მოთხოვნები;

სახელმწიფო პენსიის ადმინისტრირების სისტემის მოძველებული პლატფორმის გათვალისწინებით, სააგენტოს არ აქვს შეფასებული სისტემის უწყვეტობასთან დაკავშირებული რისკები და დანერგილი შესაბამისი კონტროლის მექანიზმები. აღნიშნული კონტროლები სააგენტოს საშუალებას მისცემდა წინასწარ განსაზღვრული გეგმის შესაბამისად ემოქმედა სისტემის ფუნქციონირების წყვეტის შემთხვევაში;

სახელმწიფო პენსიის მიმღებ უფლებამოსილ პირთა წრის განსაზღვრის პროცესში, სააგენტო ვერ უზრუნველყოფს სპეციალური პენიტენციური სამსახურიდან განსაკუთრებული კატეგორიის პერსონალური მონაცემების მიღებას დაცული საკომუნიკაციო არხის საშუალებით;

სააგენტო ვერ უზრუნველყოფს ქვეყნის მასშტაბით 69 რაიონულ ოფისში არსებული სამუშაო სადგურების უსაფრთხოების მინიმალურად დაცვას. კერძოდ, სამუშაო სადგურების მართვა ცენტრალურად არ ხორციელდება, რაც გულისხმობს მომხმარებლების უფლებების გაწერასა და მართვას, პაროლების პოლიტიკის გატარებას და ანგარიშების მართვას. ასევე, სამუშაო სადგურებზე დაყენებული მავნე კოდისგან დაცვის საშუალებების კონფიგურაცია არასათანადოა;

სააგენტო ვერ უზრუნველყოფს სახელმწიფო პენსიის ადმინისტრირების პროცესში გამოყენებულ მონაცემებზე ეფექტიან კონტროლს. ქვეყნის მასშტაბით არსებულ რაიონულ ოფისებში სააგენტოს თანამშრომლებს დაშვება აქვთ იმაზე მეტ ინფორმაციაზე, ვიდრე ეს საჭიროა მათი ფუნქცია-მოვალეობების შესასრულებლად. ასევე, სააგენტოს არ გააჩნია ტექნიკური კონტროლები, რომელთა საშუალებითაც მიიღწეოდა არასანქცირებული მოქმედებების აღმოჩენა და პრევენცია. შესაბამისად, პერსონალური და განსაკუთრებული კატეგორიის პერსონალური მონაცემები სათანადო ხარისხით არ არის დაცული.

რეკომენდაციები სამინისტროს:

სახელმწიფო პენსიის ადმინისტრირების ბიზნესპროცესის გაუმჯობესების მიზნით, სააგენტომ, თავის მფლობელობაში არსებული სისტემებისა და გამოცდილების გათვალისწინებით:

  • უზრუნველყოს პენსიის ადმინისტრირების სისტემის განვითარების გეგმის შემუშავება, რომელიც უნდა ითვალისწინებდეს პენსიის ადმინისტრირების სისტემის ცენტრალიზებული მართვის შესაძლებლობას და თავსებადობას სოციალური უზრუნველყოფის სფეროს სხვა სისტემებთან;
  • პენსიის ადმინისტრირების ბიზნესპროცესის პროდუქტიულობისა და საიმედოობის გაზრდის მიზნით, უზრუნველყოს პენსიის ადმინისტრირების ინფორმაციული სისტემის ავტომატიზაცია, რაც პირველ რიგში გულისხმობს სათავო ოფისსა და ტერიტორიულ ერთეულებს შორის მონაცემთა ავტომატურ მიმოცვლას. ასევე უზრუნველყოს პენსიის ადმინისტრირების ეტაპების ავტომატიზაცია, რაც გულისხმობს მანუალურად (ხელით) ჩატარებული პროცედურების შემცირებას.

სახელმწიფო პენსიის ადმინისტრირების პროცესისა და დაკავშირებული სისტემის უწყვეტად ფუნქციონირების მნიშვნელობის გათვალისწინებით, სააგენტომ:

  • შეაფასოს სისტემის უწყვეტ ფუნქციონირებასთან დაკავშირებული რისკები და შეიმუშაოს ამ რისკების მოპყრობის გეგმა;
  • შეიმუშაოს სახელმწიფო პენსიის ბიზნესუწყვეტობისა და პენსიის ადმინისტრირების სისტემის კატასტროფიდან აღდგენის გეგმები. უზრუნველყოს ამ გეგმების პერიოდული ტესტირება და განახლება.

საკანონმდებლო მოთხოვნების შესაბამისად, სააგენტომ უზრუნველყოს გარე წყაროებიდან მიღებული ინფორმაციის უსაფრთხოება, რაც გულისხმობს სპეციალური პენიტენციური სამსახურიდან მოწოდებული ინფორმაციის მიღებას დაცული საკომუნიკაციო არხის გამოყენებით.

სააგენტომ უზრუნველყოს საბოლოო მომხმარებელთა სამუშაო სადგურების მინიმალური უსაფრთხოება, რაც მოიცავს შემდეგ აქტივობებს:

  • მაქსიმალურად სწრაფად უზრუნველყოს რაიონული ოფისის ყველა სამუშაო სადგურის ჩართვა დომენში;
  • მაქსიმალურად სწრაფად შეიმუშაოს და გაავრცელოს დომენში ჩართული სამუშაო სადგურების მომხმარებლების ჯგუფური პოლიტიკები, რომელიც, მინიმუმ, უნდა მოიცავდეს პაროლების პოლიტიკას, ანგარიშების პოლიტიკას, როლებისა და დაკავშირებული პრივილეგიების განსაზღვრას;
  • დანერგოს მავნე კოდისგან დაცვის ქმედითი მექანიზმი (მაგალითად, მუდმივად განახლებადი ანტივირუსი) და უზრუნველყოს სისტემების პერიოდული სკანირება;
  • განიხილოს საბოლოო მომხმარებლების საჭიროებები და დანერგოს მოქმედი კონტროლები ვებრესურსებზე წვდომისათვის, უზრუნველყოს წვდომის შეზღუდვა მავნე რესურსებსა და ფაილების გაცვლის სერვისებზე.

სახელმწიფო პენსიის ადმინისტრირების პროცესში პერსონალური მონაცემების დამუშავების პრინციპების დასაცავად, სააგენტომ:

  • განსაზღვროს ინფორმაციაზე დაშვების წესები მინიმალური პრივილეგიებისა და ცოდნის საჭიროებაზე დაფუძნებული პრინციპის გათვალისწინებით;
  • შეიმუშაოს წვდომის კონტროლები ფაილების გაცვლის (FTP) სერვერისათვის, რომელიც უზრუნველყოფს მომხმარებლების იდენტიფიკაციისა და ავთენტიფიკაციის სათანადო პრაქტიკის ჩამოყალიბებას. ასევე, განახორციელოს სისტემაზე წვდომის ლოგების ანალიზი არაავტორიზებული ქმედებების აღმოსაჩენისა და აღმოფხვრის მიზნით.