E-lietu sekretariāts iedzīvotāju reģistram auditu pēdējoreiz veicis 2005.gada decembrī. Informatīvais ziņojums par audita rezultātiem tika izskatīts valdībā. Lai gan tas nebija drošības audits, tomēr ziņojumā ir norādīts, ka Iedzīvotāju reģistrs neatbilst Ministru kabineta (MK) noteikumiem „Valsts informācijas sistēmu vispārējās drošības prasības”, piemēram, neesot noteikti sistēmas drošības apdraudējumi, neesot novērtēti reģistra sistēmas drošības riski, neesot izstrādāts sistēmas atjaunošanas plāns pēc sistēmas drošības incidenta. Saņemt detalizētāku informāciju par auditā konstatētajām drošības nepilnībām nevar, jo, kā norāda e-lietu sekretariāta Komunikācijas nodaļas vadītāja Elita Cepurīte, tas dotu iespēju publiski piekļūt kritiski svarīgai valsts infrastruktūrai, kāds ir arī Iedzīvotāju reģistrs, saitēm, informācijai par sistēmas uzbūvi un darbības principiem, „un tas nav pieļaujami no drošības viedokļa”.
PMLP esot novērsusi trūkumus
Izskatot ziņojumu valdībā, Iekšlietu ministrijai tika uzdots izstrādāt darba plānu nepilnību novēršanai un nodrošināt tā īstenošanu. Ministrijas Preses centra vadītāja Laura Karnīte sniedz informāciju, ka problēmas risināšanai Pilsonības un migrācijas lietu pārvalde (PMLP) ir izstrādājusi sistēmas drošības politiku un aktualizējusi Iedzīvotāju reģistra informācijas sistēmas lietošanas noteikumus un sistēmas atjaunošanas plānus, tāpat esot arī uzsākta visaptveroša darbinieku apmācība sistēmas drošības jautājumos.
Precīzi nav zināms arī tas, kādi ir aktualizētie un uzlabotie lietošanas noteikumi, jo tie nav publiski pieejami. MK noteikumos „Valsts informācijas sistēmu vispārējās drošības prasības” ir noteikts, ka sistēmas pārzinim (Iedzīvotāju reģistra gadījumā tā ir PMLP) jānodrošina sistēmas drošības politikas izstrāde un īstenošana, iekšējo sistēmas drošības noteikumu izstrāde un ievērošana, sistēmas lietošanas noteikumu izstrāde un ievērošana. Bet nav detalizēti aprakstīts, kam šajos noteikumos jābūt, piemēram, teikts, ka iekšējie sistēmas drošības noteikumi nosaka informācijas resursu izveidošanas, papildināšanas, mainīšanas, apstrādes, pārraidīšanas, glabāšanas, atjaunošanas un iznīcināšanas kārtību. Kāda šī kārtība ir, izlemj pats sistēmas pārzinis, kas arī visus minētos dokumentus apstiprina. Lai gan noteikumu „Valsts informācijas sistēmu vispārējās drošības prasības” izpilde jāuzrauga e-lietu sekretariātam, tur iekšējie drošības noteikumi pirms apstiprināšanas netiek izvērtēti, sekretariāts tos izpēta tikai gadījumos, ja sistēmai veic auditu.
Kārtības nav arī citur
Kā raidījumā sacīja I.Gudele, pēdējo trīs gadu laikā e-lietu sekretariāts ir veicis auditus 16 valsts institūciju informācijas sistēmām, bet kopējais sistēmu skaits ir virs simta. Tas, ko sabiedrība par drošības situāciju informācijas sistēmās var uzzināt, lasāms citā informatīvajā ziņojumā, kas tikai šī gada 10.janvārī tika izsludināts valsts sekretāru sanāksmē. Tajā teikts, ka no e-lietu sekretariāta 2006. un 2007.gadā realizētajiem 10 drošības auditiem „tikai vienā no pārbaudītajām iestādēm tika īstenota labajai praksei un normatīvo aktu prasībām atbilstīga IS drošības pārvaldība”. Secināts, ka iestādēs drošības jautājumiem netiek pievērsta pietiekoša uzmanība (nepietiekama speciālistu apmācība, drošības pasākumi); drošības pārvaldnieki savus pienākumus pilda formāli; risku analīze netiek veikta vispār vai tiek veikta daļēji; trūkst kontroles mehānismu. Savukārt saistībā ar Iedzīvotāju reģistra drošību būtisks ir vēl viens apstāklis – audits tam tika veikts pirms tam, kad 2006.gada 18.aprīlī tika ieviesta jauna Iedzīvotāju reģistra sistēma. Jaunajai sistēmai audits vēl nav veikts.