Suvestinė redakcija nuo 2011-05-25 iki 2014-04-29
Įsakymas paskelbtas: Žin. 2007, Nr. 74-2966, i. k. 107231GISAK0001-207
PRIEŠGAISRINĖS APSAUGOS IR GELBĖJIMO DEPARTAMENTO PRIE VIDAUS REIKALŲ MINISTERIJOS DIREKTORIUS
Į S A K Y M A S
DĖL VALSTYBINĖS REIKŠMĖS IR PAVOJINGŲ OBJEKTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2007 m. birželio 29 d. Nr. 1-207
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891), 6 punktu:
1. Tvirtinu Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatus (pridedama).
2. Skiriu Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos Operatyvaus valdymo valdybos Informacinių technologijų ir ryšių skyriaus vyriausiąjį specialistą Viačeslavą Jabluniną Valstybinės reikšmės ir pavojingų objektų registro saugos įgaliotiniu.
3. Įpareigoju Valstybinės reikšmės ir pavojingų objektų registro saugos įgaliotinį Viačeslavą Jabluniną:
3.1. iki 2007 m. birželio 30 d. parengti Valstybinės reikšmės ir pavojingų objektų registro saugaus elektroninės informacijos tvarkymo taisykles, Valstybinės reikšmės ir pavojingų objektų registro veiklos tęstinumo valdymo planą ir Valstybinės reikšmės ir pavojingų objektų registro naudotojų administravimo taisykles;
4. Pripažįstu netekusiu galios Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos direktoriaus 2006 m. lapkričio 6 d. įsakymą Nr. 1-419 „Dėl Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatų patvirtinimo“ (Žin., 2006, Nr. 123-4660).
PATVIRTINTA
Priešgaisrinės apsaugos ir
gelbėjimo departamento prie
Vidaus reikalų ministerijos direktoriaus
2007 m. birželio 29 d. įsakymu Nr. 1-207
(Priešgaisrinės apsaugos ir
gelbėjimo departamento prie
Vidaus reikalų ministerijos direktoriaus
2011 m. vasario 8 d. įsakymo Nr. 1-49 redakcija)
VALSTYBINĖS REIKŠMĖS IR PAVOJINGŲ OBJEKTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato principus ir taisykles, užtikrinančias saugų Valstybinės reikšmės ir pavojingų objektų registro (toliau – Registras) elektroninės informacijos tvarkymą.
2. Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, vartojamas Valstybinės reikšmės ir pavojingų objektų registro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2000 m. lapkričio 8 d. nutarimu Nr. 1386 (Žin., 2000, Nr. 98-3117; 2006, Nr. 97-3783), ir Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. IV-172 (Žin., 2007, Nr. 53-2070).
Kitos Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos įstatymuose ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006.
3. Saugos nuostatų tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti Registro elektroninę informaciją.
5. Registro tvarkymo įstaigų darbuotojai ir Registro duomenų gavėjų įvardyti atsakingi asmenys, kurie turi teisę naudotis Registro ištekliais nustatytoms funkcijoms atlikti, sudaro Registro naudotojus.
6. Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos direktoriaus įsakymu tvirtinamos Valstybinės reikšmės ir pavojingų objektų registro saugaus elektroninės informacijos tvarkymo taisyklės, Valstybinės reikšmės ir pavojingų objektų registro veiklos tęstinumo valdymo planas, Valstybinės reikšmės ir pavojingų objektų registro naudotojų administravimo taisyklės yra saugos politiką įgyvendinantys teisės aktai, kurie įgyvendina Saugos nuostatais reglamentuotą Registro saugos politiką.
7. Saugos nuostatai parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. IV-384 (Žin., 2008, Nr. 127-4866), kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą.
8. Pagrindinės Registro elektroninės informacijos saugumo užtikrinimo kryptys:
8.1. fizinė elektroninės informacijos apdorojimo priemonių (Registro patalpos, tarnybinės stotys, elektroninės informacijos perdavimo įranga, programinė įranga) apsauga;
9. Registro tvarkymo įstaigos yra:
9.1. Priešgaisrinės apsaugos ir gelbėjimo departamentas prie Vidaus reikalų ministerijos – vadovaujančioji Registro tvarkymo įstaiga (toliau – vadovaujančioji Registro tvarkymo įstaiga) (Švitrigailos g. 18, Vilnius), kuris kartu atlieka ir Registro tvarkymo įstaigos funkcijas. Vadovaujančioji Registro tvarkymo įstaiga atsako už informacijos tvarkymo teisėtumą ir informacijos saugą;
9.2. apskričių priešgaisrinės gelbėjimo valdybos (toliau – APGV). Šių Registro tvarkymo įstaigų adresai pateikti lentelėje:
Eil. Nr. |
Registro tvarkymo įstaiga |
Adresas |
1. |
Vilniaus APGV |
Pamėnkalnio g. 30, Vilnius |
2. |
Kauno APGV |
I. Kanto g. 1, Kaunas |
3. |
Klaipėdos APGV |
Trilapio g. 4, Klaipėda |
4. |
Šiaulių APGV |
J. Basanavičiaus g. 89, Šiauliai |
5. |
Panevėžio APGV |
Ramygalos g. 14, Panevėžys |
6. |
Marijampolės APGV |
Stoties g. 59, Marijampolė |
7. |
Tauragės APGV |
Respublikos g. 1, Tauragė |
8. |
Telšių APGV |
Žemaitės g. 22A / Birutės g. 11, Telšiai |
9. |
Utenos APGV |
Pramonės g. 2, Utena |
10. |
Alytaus APGV |
Suvalkų g. 34, Alytus |
10. Vadovaujančiosios Registro tvarkymo įstaigos vadovo funkcijos ir atsakomybė:
11. Registro tvarkymo įstaigų vadovų funkcijos ir atsakomybė:
11.1. atsako už Registro saugos priemonių įgyvendinimo atitiktį Saugos nuostatams ir saugos politiką įgyvendinantiems teisės aktams;
11.2. užtikrina, kad įstaigoje dirbantys Registro naudotojai laikosi nuostatų, išvardytų Saugos nuostatuose ir saugos politiką įgyvendinančiuose teisės aktuose;
12. Saugos įgaliotinio, įgyvendinančio Registro elektroninės informacijos saugą, funkcijos ir atsakomybė:
12.1. teikia vadovaujančiosios Registro tvarkymo įstaigos vadovui pasiūlymus dėl:
12.3. teikia administratoriams privalomus vykdyti nurodymus ir pavedimus, susijusius su duomenų saugos įgyvendinimu;
12.4. pasirašytinai supažindina Registro naudotojus, administratorius su Saugos nuostatais, saugos politiką įgyvendinančiais teisės aktais ir atsakomybe už šių reikalavimų nesilaikymą;
12.5. organizuoja administratorių, Registro naudotojų kvalifikacijos tobulinimą elektroninės informacijos saugos klausimais, reguliariai jiems primena saugumo problemas (elektroniniu paštu, atmintinėmis naujai priimtiems darbuotojams ir pan.);
13. Administratoriaus funkcijos ir atsakomybė:
13.2. suteikia Registro naudotojams teisę naudotis Registro ištekliais nustatytoms funkcijoms atlikti;
13.3. rengia pasiūlymus Registro kūrimo, palaikymo, priežiūros ir elektroninės informacijos saugos klausimais;
13.4. atlieka Registrą sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, elektroninės informacijos perdavimo tinklų) administravimą, pažeidžiamų vietų ir saugos reikalavimų atitikties nustatymą;
14. Elektroninės informacijos sauga Registre užtikrinama vadovaujantis:
14.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597);
14.2. Bendraisiais elektroninės informacijos saugos valstybės ir įstaigų informacinėse sistemose reikalavimais;
14.6. Lietuvos standartais LST ISO/IEC 27002:2009, LST ISO/IEC 27001:2006, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos elektroninės informacijos tvarkymą;
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
15. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), 3.2.6 punktu, Registras priskiriamas antrajai informacinės sistemos kategorijai. Registrą sudaro bendrieji bei specifiniai (nurodyti Registro nuostatuose) ir technologiniai (asmens, įvedusio duomenis į Registrą) duomenys.
17. Turi būti parengtas Valstybinės reikšmės ir pavojingų objektų registro veiklos tęstinumo valdymo planas, kuriame aprašomas veiksmų planas, užtikrinantis Registro veiklos atnaujinimą per 1 val.
18. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuoja Registro rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. Registro rizikos veiksnių vertinimas atliekamas kokybiniu rizikos vertinimo metodu.
19. Registro rizikos įvertinimas išdėstomas Rizikos ataskaitoje. Rizikos ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos Registro informacijos saugai. Svarbiausi rizikos veiksniai yra šie:
19.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kt.);
19.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis duomenims gauti, duomenų pakeitimas ir sunaikinimas, IT duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kt.);
20. Atsižvelgdama į rizikos ataskaitą, vadovaujančioji Registro tvarkymo įstaiga prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
21. Siekdamas užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose teisės aktuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja IT saugos atitikties vertinimą, kurio metu:
21.1. įvertinama Saugos nuostatų, saugos politiką įgyvendinančių teisės aktų ir realios duomenų saugos situacijos atitiktis;
21.3. tikrinama Registro visose tarnybinėse stotyse, administratorių, ne mažiau nei 10 proc. Registro naudotojų kompiuterinėse darbo vietose įdiegta programinė įranga ir jos sąranka;
21.4. peržiūrima administratoriui, Registro naudotojams suteiktų teisių atitiktis jų vykdomoms funkcijoms;
22. Atlikus IT saugos atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus vadovaujančiosios Registro tvarkymo įstaigos vadovas.
23. Kad būtų užtikrintas Registro veiklos tęstinumas, patiriant kuo mažiau išlaidų, ir saugus Registro tvarkymo įstaigų darbuotojų ir duomenų gavėjų darbas, parenkamos atitinkamos techninės, programinės ir organizacinės elektroninės informacijos saugos priemonės.
24. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
25. Registro duomenų gavėjai sudaro su vadovaujančiąja Registro tvarkymo įstaiga duomenų teikimo sutartį, kurioje nurodomi:
26. Pagrindinė Registro duomenų pateikimo prieiga yra elektroninės informacijos perdavimas duomenų perdavimo kanalu, panaudojant saugaus hipertekstų persiuntimo protokolą (angl. HTTPS). Registro naudotojai identifikuojami ir jiems suteikiamos teisės Registre pagal suteiktą identifikatorių ir atitinkamą slaptažodį. Kaip papildoma priemonė, ribojanti prisijungimą prie Registro, yra interneto protokolo (angl. IP) adresų filtravimas.
27. Kaip papildomas Registro duomenų pateikimo būdas yra duomenų pateikimas Registro duomenų gavėjams žodžiu, pažymų, Registro išrašų ar kitų dokumentų, kurie gali būti teikiami raštu ar elektroniniu paštu, formavimas.
28. Siekiant užtikrinti Registro elektroninės informacijos saugą Registro tvarkymo įstaigoje, taikomos šios programinės įrangos naudojimo nuostatos:
28.1. visose Registro tarnybinėse stotyse, administratorių, Registro naudotojų kompiuterizuotose darbo vietose yra įdiegta legali ir saugi programinė įranga (operacinė sistema su naujausiais pataisymais);
28.2. visose Registro tarnybinėse stotyse, administratorių, Registro naudotojų kompiuterizuotose darbo vietose operacinių sistemų ir taikomųjų programų sąranka parenkama tokiu būdu, kad būtų užtikrintas didžiausias saugumo lygis (išjungiami nereikalingi darbui procesai ir reikmenys (angl. services), ribojama arba išjungiama prieiga prie operacinės sistemos prievadų);
28.3. visose Registro tarnybinėse stotyse, administratorių, Registro naudotojų kompiuterizuotose darbo vietose sukuriamos kompiuterių naudotojų paskyros, apsaugotos slaptažodžiais. Slaptažodis žinomas tik paskyros savininkui;
28.4. visose Registro tarnybinėse stotyse, administratorių, Registro naudotojų kompiuterizuotose darbo vietose įdiegiama centralizuotai valdoma programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.). Programinė įranga atnaujinama kiekvieną darbo dieną. Ilgiausias leistinas neatnaujinimo laikas – penkios darbo dienos. Programinę įrangą atnaujina ir kontroliuoja administratoriai ir Registro tvarkymo įstaigų atsakingi darbuotojai;
28.5. visose Registro tarnybinėse stotyse, administratorių, Registro naudotojų kompiuterizuotose darbo vietose turi būti naudojama tik su Registro veikla susijusi programinė įranga. Registro naudotojų, administratorių, kompiuterių naudotojų paskyros turi būti apribotų teisių, kurios neleidžia įdiegti papildomos programinės įrangos. Programinės įrangos diegimą gali atlikti tik administratorius arba Registro tvarkymo įstaigos atsakingas darbuotojas;
28.6. stacionariuosius kompiuterius leidžiama naudoti tik Registro tvarkymo įstaigos patalpose. Nešiojamiesiems kompiuteriams, kurie naudojami nustatytoms funkcijoms vykdyti ne Registro tvarkymo įstaigos patalpose, taikomos papildomos saugos priemonės:
29. Kompiuterių tinklas, prie kurio prijungtos Registro tarnybinės stotys, administratorių kompiuteriai, nuo viešojo interneto yra atskirtas užkarda (angl. firewall) ir įgaliotu serveriu (angl. proxy).
30. Viešaisiais telekomunikacijų tinklais perduodamos Registro elektroninės informacijos konfidencialumas užtikrinamas naudojant šifravimą, virtualų privatų tinklą (angl. virtual private network), skirtines linijas, saugų valstybinį duomenų perdavimo tinklą ir kitas priemones.
31. Administratorius atsako už atsarginių Registro elektroninės informacijos kopijų darymą ir saugojimą. Kopijų, iš kurių būtų galima atkurti Registro elektroninę informaciją, darymo ir saugojimo tvarka išsamiai aprašyta Registro saugaus elektroninės informacijos tvarkymo taisyklėse.
32. Registro tarnybinės stotys ir aparatinė įranga yra specialiai įrengtose patalpose. Šių patalpų reikalavimai aprašyti Registro saugaus elektroninės informacijos tvarkymo taisyklėse.
33. Registro naudotojų ir administratorių veiksmų fiksavimas ir kaupimas, išsami prisijungimo prie Registro, darbo ir atsijungimo nuo Registro tvarka pateikta Registro saugaus elektroninės informacijos tvarkymo taisyklėse.
34. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, elektroninė informacija teikiama ir (ar) gaunama automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas ir vadovaujantis vadovaujančiosios Registro tvarkymo įstaigos vadovo patvirtintomis tvarkomis.
IV. REIKALAVIMAI PERSONALUI
35. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Saugos dokumentų turinio gairėmis, Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.
36. Administratorius privalo išmanyti informacijos saugos principus, darbą kompiuteriais ir kita IT įranga, jų programine įranga, mokėti užtikrinti jų saugą, taip pat administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais, taip pat kitomis vidaus ir darbo saugos taisyklėmis.
37. Registro naudotojai privalo turėti pagrindinius darbo kompiuteriu įgūdžius, mokėti tvarkyti Registro duomenis Registro nuostatų nustatyta tvarka ir būti susipažinę su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais.
38. Registro naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti saugos įgaliotiniui ir (ar) administratoriui.
39. Susidarius elektroninės informacijos saugos incidentui, nenumatytai situacijai, saugos įgaliotinio, administratoriaus, Registro naudotojų veiksmus reglamentuoja Registro veiklos tęstinumo valdymo planas.
V. REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
41. Registro naudotojai turi būti susipažinę su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais ir pasirašytinai sutikę laikytis šių teisės aktų reikalavimų.
42. Už Registro naudotojų supažindinimą su Saugos nuostatais ir dokumentais, įgyvendinančiais saugos politiką, atsako saugos įgaliotinis. Saugos įgaliotinis tvarko Registro naudotojų supažindinimo su saugos dokumentais žurnalą.
43. Registro tvarkymo įstaigoms Saugos nuostatai ir saugos politiką įgyvendinantys teisės aktai įteikiami, kai jos pradeda vykdyti Registro tvarkymo įstaigos funkcijas. Registro duomenų gavėjams Saugos nuostatai ir saugos politiką įgyvendinantys teisės aktai įteikiami Registro duomenų teikimo sutarties arba kitų Registro duomenų gavėjo statusą patvirtinančių dokumentų pasirašymo metu.
44. Išsami Registro naudotojų supažindinimo su Saugos nuostatais ir dokumentais, įgyvendinančiais saugos politiką, registravimo ir administravimo tvarka aprašyta Valstybinės reikšmės ir pavojingų objektų registro naudotojų administravimo taisyklėse.
45. Saugos nuostatai ir Registro saugos politiką įgyvendinantys teisės aktai skelbiami Registro tinklalapyje.
Priedo pakeitimai:
Nr. 1-49, 2011-02-08, Žin., 2011, Nr. 62-2975 (2011-05-24), i. k. 111231GISAK00001-49
Pakeitimai:
1.
Priešgaisrinės apsaugos ir gelbėjimo departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos, Įsakymas
Nr. 1-49, 2011-02-08, Žin., 2011, Nr. 62-2975 (2011-05-24), i. k. 111231GISAK00001-49
Dėl Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos direktoriaus 2007 m. birželio 29 d. įsakymo Nr. 1-207 "Dėl Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatų patvirtinimo" pakeitimo