Suvestinė redakcija nuo 2010-03-03 iki 2012-10-23
Įsakymas paskelbtas: Žin. 2007, Nr. 104-4265, i. k. 1072270ISAK001R-389
Nauja redakcija nuo 2010-03-03:
Nr. 1R-37, 2010-02-23, Žin. 2010, Nr. 25-1183 (2010-03-02), i. k. 1102270ISAK0001R-37
LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRAS
ĮSAKYMAS
DĖL VĮ REGISTRŲ CENTRO TVARKOMŲ REGISTRŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO IR SAUGOS ĮGALIOTINIO SKYRIMO
2007 m. spalio 4 d. Nr. 1R-389
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 ir 25 punktais:
1. T v i r t i n u Valstybės įmonės Registrų centro tvarkomų registrų duomenų saugos nuostatus (pridedama).
2. S k i r i u valstybės įmonės Registrų centro darbuotoją Vilmą Andziulevičienę valstybės įmonės Registrų centro tvarkomų Nekilnojamojo turto, Juridinių asmenų ir Adresų registrų saugos įgaliotine.
TEISINGUMO MINISTRAS PETRAS BAGUŠKA
SUDERINTA
Lietuvos Respublikos vidaus reikalų ministerijos
2007 m. rugsėjo 26 d. raštu Nr. 1D-7450(13)
PATVIRTINTA
Lietuvos Respublikos teisingumo ministro
2007 m. spalio 4 d. įsakymu Nr. 1R-389
(Lietuvos Respublikos teisingumo ministro
2010 m. vasario 23 d. įsakymo Nr. 1R-37 redakcija)
VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO TVARKOMŲ REGISTRŲ DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Valstybės įmonės Registrų centre (toliau – VĮ Registrų centras) tvarkomos elektroninės informacijos saugumo tikslai yra šie:
1.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją VĮ Registrų centro tvarkomuose Nekilnojamojo turto, Juridinių asmenų ir Adresų registruose (toliau – Informacinės sistemos);
2. VĮ Registrų centras, siekdamas užtikrinti tinkamą elektroninės informacijos saugumą, diegia informacijos saugumo vadybos sistemą, atitinkančią Lietuvos standarto LST ISO/IEC 27001:2006 reikalavimus.
3. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:
4. Informacinių sistemų valdytojo ir tvarkytojo pavadinimai ir adresai:
4.1. Informacinių sistemų valdytoja yra Lietuvos Respublikos teisingumo ministerija, kurios adresas – Gedimino pr. 30/1, Vilnius;
5. Informacinių sistemų valdytojo funkcijos ir atsakomybė:
5.1. koordinuoja Informacinių sistemų tvarkytojo darbą, metodiškai jam vadovauja ir įstatymų nustatyta tvarka atlieka šio darbo priežiūrą;
5.4. priima įsakymus, susijusius su Informacinių sistemų saugumo užtikrinimu, tikrina, kaip jie vykdomi;
5.6. kontroliuoja, kad racionaliai ir taupiai būtų naudojami darbo, materialiniai ir finansiniai ištekliai, susiję su Informacinių sistemų tvarkymu;
6. Informacinių sistemų tvarkytojo funkcijos ir atsakomybė:
6.1. užtikrina Informacinių sistemų duomenų saugą ir saugų duomenų perdavimą kompiuterių tinklais (automatiniu būdu), teikia pasiūlymus Informacinių sistemų valdytojui, kaip tobulinti Informacinių sistemų duomenų saugą;
6.2. užtikrina Informacinių sistemų valdytojo priimtų teisės aktų ir rekomendacijų tinkamą įgyvendinimą;
6.3. ne rečiau kaip kartą per metus, atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą, organizuoja Informacinių sistemų saugos dokumentų persvarstymą (peržiūrėjimą);
6.4. organizuoja Informacinių sistemų naudotojams mokomuosius ir pažintinius kursus duomenų registravimo ir elektroninės informacijos teikimo klausimais;
6.5. teikia VĮ Registrų centro filialams metodinę ir informacinę pagalbą Informacinių sistemų saugos klausimais, organizuoja Informacinių sistemų naudotojų mokymą, apibendrina duomenų registravimo, keitimo, išregistravimo ir kitų su duomenimis atliekamų veiksmų praktiką ir teikia bendrą praktiką formuojančias rekomendacijas;
7. Saugos įgaliotinis, įgyvendindamas elektroninės informacijos saugą Informacinėse sistemose, atlieka šias funkcijas:
7.1. teikia Informacinių sistemų tvarkytojo vadovui pasiūlymus dėl:
7.1.1. Informacinių sistemų administratoriaus ar administratorių (toliau – Administratorius) paskyrimo;
7.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Informacinėse sistemose, tyrimą, išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės;
7.6. periodiškai inicijuoja Informacinių sistemų naudotojų supažindinimą informacijos saugos klausimais, informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai);
7.7. atlieka kitas Informacinių sistemų valdytojo ir Informacinių sistemų tvarkytojo vadovų pavestas ir Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2007 m. balandžio 25 d. nutarimu Nr. 410 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), jam priskirtas funkcijas;
8. Administratorius, vykdantis Informacinių sistemų priežiūrą, atlieka šias funkcijas:
8.2. atlieka Informacinių sistemų naudotojams suteiktų teisių ir priskirtų funkcijų atitikties vertinimą;
9. Administratorius, vykdydamas Informacinių sistemų priežiūrą, yra atsakingas už tinkamą šių nuostatų 8 punkte nustatytų funkcijų vykdymą.
10. Saugų Informacinių sistemų duomenų tvarkymą reguliuoja:
10.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597);
10.2. Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597);
10.3. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai;
10.4. Saugos dokumentų turinio gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070);
10.5. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160);
10.6. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniai saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);
10.7. Lietuvos standartai LST ISO/IEC 17799:2006 ir LST ISO/IEC 27001:2006, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, reguliuojantys saugų Informacinės sistemos duomenų tvarkymą;
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
11. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, Nekilnojamojo turto, Juridinių asmenų ir Adresų registrai priskiriami pirmos kategorijos informacinėms sistemoms.
12. Elektroninės informacijos priskyrimas atitinkamai kategorijai nustatomas įvertinus tvarkomų duomenų tipą ir įtaką informacinės sistemos funkcionavimui atsižvelgiant į jų konfidencialumą, vientisumą ir pasiekiamumą.
13. Saugos įgaliotinis, vadovaudamasis Lietuvos standartu LST ISO/IEC 27005 „Informacijos technologija. Saugumo technika. Informacijos saugumo rizikos valdymas“, kasmet organizuoja Informacinių sistemų rizikos veiksnių vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį Informacinių sistemų rizikos veiksnių vertinimą.
14. Informacinių sistemų rizikos veiksnių vertinimas surašomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausi rizikos veiksniai yra šie:
14.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);
14.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Informacinių sistemų duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
15. Rizikos veiksniai vertinami pagal elektroninės informacijos kategorijas, nustatant jų įtakos Informacinių sistemų elektroninės informacijos saugai laipsnius:
15.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – informacija pasiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, prarasta informacija po paskutinio kopijavimo, sugadinta operacinė sistema;
15.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar visiškai sugadinti, duomenų bazių įrašai suklastoti ir nekorektiški, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterinės programos ir operacinė sistema;
16. Rizikos vertinimo metu atliekamų darbų apimtis:
17. Atsižvelgdamas į rizikos įvertinimo ataskaitą, Informacinių sistemų valdytojas prireikus tvirtina Rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
18. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:
19. Siekiant užtikrinti šiuose nuostatuose ir kituose Saugos politiką reguliuojančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kasmet organizuojamas informacinių technologijų saugos atitikties vertinimas, kurio metu:
19.1. įvertinama šių nuostatų ir kitų Saugos politiką reglamentuojančių teisės aktų ir realios informacijos saugos atitiktis;
19.3. tikrinamos ne mažiau kaip 10 procentų atsitiktinai parinktose Informacinių sistemų duomenis tvarkančių darbuotojų ir sistemų administratorių darbo vietose, visose tarnybinėse stotyse įdiegtos programos ir jų sąranka;
19.4. patikrinama (įvertinama) Informacinių sistemų duomenis tvarkantiems darbuotojams ir sistemų administratoriams suteiktų teisių atitiktis vykdomoms funkcijoms;
20. Atlikus šių nuostatų 19 punkte nurodytą vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Informacinių sistemų valdytojas.
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
22. Priemonės ir metodai, kurie taikomi užtikrinant prieigą prie Informacinių sistemų, nurodant leistiną šios prieigos laiką ir būdą, konkrečiai nustatomi ir reguliuojami VĮ Registrų centro informacinių sistemų naudotojų administravimo taisyklėse.
23. Visos Informacinių sistemų tarnybinės stotys ir naudotojų darbo vietos turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.). Apsaugai naudojama programinė įranga turi atsinaujinti automatiškai ne rečiau kaip kartą per valandą.
24. Naudoti programinę įrangą, nesusijusią su Informacinių sistemų tvarkytojo veikla ar Informacinių sistemų naudotojo atliekamomis funkcijomis (žaidimų, bylų siuntimo, internetinių pokalbių programų), neleidžiama.
25. Informacinių sistemų naudotojų prieiga prie kitų valstybės institucijų arba žinybų kompiuterių tinklų ar interneto turi būti apsaugota užkardomis. Interneto turinys turi būti kontroliuojamas, nepraleidžiant nepageidaujamos informacijos. Už šios įrangos administravimo koordinavimą ir priežiūrą atsakingas Duomenų saugos skyriaus vedėjas.
27. Nešiojami kompiuteriai naudojami įmonės direktoriaus 2008 m. birželio 20 d. įsakyme Nr. v-148 „Dėl nešiojamų įrenginių saugumo patvirtinimo tvarkos ir duomenų rezervinio kopijavimo ir laikmenų saugojimo tvarkos patvirtinimo“ nustatyta tvarka.
28. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojamas Saugus valstybės duomenų perdavimo tinklas (toliau vadinama – SVDPT).
29. Duomenys teikiami ir (ar) gaunami automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas.
30. Atsarginės duomenų kopijos daromos laikantis įmonės direktoriaus 2008 m. birželio 20 d. įsakyme Nr. v-148 „Dėl nešiojamų įrenginių saugumo patvirtinimo tvarkos ir duomenų rezervinio kopijavimo ir laikmenų saugojimo tvarkos patvirtinimo“ nustatytos tvarkos.
IV. REIKALAVIMAI PERSONALUI
34. Tvarkyti Informacinių sistemų duomenis gali tik Informacinių sistemų naudotojai, susipažinę su šiais nuostatais ir elektroninės informacijos Saugos politiką reguliuojančiais saugos dokumentais bei raštu sutikę laikytis šių teisės aktų reikalavimų.
35. Informacinių sistemų naudotojai, pažeidę šių nuostatų ar kitų Saugos politiką reguliuojančių teisės aktų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.
36. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais.
37. Administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.
38. Saugos įgaliotinis ne rečiau kaip kartą per metus inicijuoja Informacinės sistemos naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų organizavimas, atmintinių naujai priimtiems darbuotojams rengimas).
V. INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
39. Už Informacinių sistemų naudotojų supažindinimą su šiais nuostatais ir kitais Saugos politiką reguliuojančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą yra atsakingas saugos įgaliotinis.
40. Šie nuostatai ir kiti Saugos politiką reguliuojantys teisės aktai skelbiami VĮ Registrų centro vidiniame puslapyje, skiltyje „Dokumentai“.
41. Informacinių sistemų naudotojai su šiais nuostatais ir kitais Saugos politiką reguliuojančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą supažindinami pasirašytinai.
42. Pakartotinai su Saugos politiką reguliuojančiais teisės aktais darbuotojai supažindinami tik iš esmės pasikeitus Informacinėms sistemoms arba informacijos saugą reguliuojantiems teisės aktams. Informacija apie pasikeitimus Saugos politiką reguliuojančiuose teisės aktuose siunčiama elektroniniu būdu.
VI. BAIGIAMOSIOS NUOSTATOS
44. Informacinių sistemų valdytojas šiuos nuostatus gali keisti, pripažinti netekusiais galios savo arba saugos įgaliotinio iniciatyva.
45. Informacinių sistemų tvarkytojas saugos dokumentus turi persvarstyti (peržiūrėti) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą, arba įvykus esminiams organizaciniams, sisteminiams ar kitiems Informacinių sistemų tvarkytojo pokyčiams. Prireikus saugos dokumentai turi būti tikslinami ir derinami su Lietuvos Respublikos vidaus reikalų ministerija.
46. Reorganizuojant arba likviduojant Informacines sistemas, jų elektroninė informacija turi būti saugiai perduodama kitam Informacinės sistemos valdytojui, valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982) nustatyta tvarka arba sunaikinama.
Pakeitimai:
1.
Lietuvos Respublikos teisingumo ministerija, Įsakymas
Nr. 1R-37, 2010-02-23, Žin., 2010, Nr. 25-1183 (2010-03-02), i. k. 1102270ISAK0001R-37
Dėl teisingumo ministro 2007 m. spalio 4 d. įsakymo Nr. 1R-389 "Dėl VĮ Registrų centro informacinės sistemos duomenų saugos nuostatų patvirtinimo, saugos įgaliotinio ir saugos politiką įgyvendinančių dokumentų rengėjų patvirtinimo" pakeitimo