Įsakymas netenka galios 2015-04-23:
Lietuvos Respublikos teisingumo ministerija, Įsakymas
Nr. 1R-106, 2015-04-22, paskelbta TAR 2015-04-22, i. k. 2015-06119
Dėl Centrinės hipotekos įstaigos tvarkomų registrų ir informacinių sistemų duomenų saugos nuostatų patvirtinimo, saugos įgaliotinio, administratorių skyrimo ir saugos politiką įgyvendinančių dokumentų rengimo
Suvestinė redakcija nuo 2011-02-27 iki 2015-04-22
Įsakymas paskelbtas: Žin. 2011, Nr. 3-104, i. k. 1112270ISAK00001R-1
LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRO
Į S A K Y M A S
Dėl Centrinės hipotekos įstaigos tvarkomų registrų ir informacinių sistemų duomenų saugos nuostatų patvirtinimo, saugos įgaliotinio ir saugos politiką įgyvendinančių dokumentų rengėjų skyrimo
2011 m. sausio 5 d. Nr. 1R-1
Vilnius
Pakeistas teisės akto pavadinimas:
Nr. 1R-61, 2011-02-22, Žin., 2011, Nr. 24-1188 (2011-02-26), i. k. 1112270ISAK0001R-61
Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 6.1, 8 ir 25 punktais:
1. Tvirtinu Centrinės hipotekos įstaigos tvarkomų registrų ir informacinių sistemų duomenų saugos nuostatus (pridedama).
Punkto pakeitimai:
Nr. 1R-61, 2011-02-22, Žin., 2011, Nr. 24-1188 (2011-02-26), i. k. 1112270ISAK0001R-61
2. Pavedu Centrinei hipotekos įstaigai:
2.1. paskirti Centrinės hipotekos įstaigos tvarkomų Lietuvos Respublikos hipotekos, Turto arešto aktų, Testamentų, Vedybų sutarčių, Sutarčių, Neveiksnių ir ribotai veiksnių asmenų, Notarine tvarka patvirtintų įgaliojimų registrų ir Politinių partijų narių sąrašų informacinės sistemos saugos įgaliotinį.
Punkto pakeitimai:
Nr. 1R-61, 2011-02-22, Žin., 2011, Nr. 24-1188 (2011-02-26), i. k. 1112270ISAK0001R-61
3. Pripažįstu netekusiais galios:
3.1. Lietuvos Respublikos teisingumo ministro 2007 m. spalio 4 d. įsakymą Nr. 1R-388 „Dėl Hipotekos registro informacinės sistemos duomenų saugos nuostatų patvirtinimo, saugos įgaliotinio ir saugos dokumentų rengėjų skyrimo“ (Žin., 2007, Nr. 104-4264);
3.2. Lietuvos Respublikos teisingumo ministro 2010 m. sausio 11 d. įsakymą Nr. 1R-8 „Dėl teisingumo ministro 2007 m. spalio 4 d. įsakymo Nr. 1R-388 „Dėl Hipotekos registro informacinės sistemos duomenų saugos nuostatų patvirtinimo, saugos įgaliotinio ir saugos dokumentų rengėjų skyrimo“ pakeitimo“ (Žin., 2010, Nr. 6-274).
PATVIRTINTA
Lietuvos Respublikos teisingumo
ministro 2011 m. sausio 5 d.
įsakymu Nr. 1R-1
CENTRINĖS HIPOTEKOS ĮSTAIGOS TVARKOMŲ REGISTRŲ ir informacinių sistemų DUOMENŲ SAUGOS NUOSTATAI
Pakeistas priedo pavadinimas:
Nr. 1R-61, 2011-02-22, Žin., 2011, Nr. 24-1188 (2011-02-26), i. k. 1112270ISAK0001R-61
I. BENDROSIOS NUOSTATOS
1. Centrinės hipotekos įstaigos tvarkomų registrų ir informacinių sistemų duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Centrinės hipotekos įstaigos tvarkomų Lietuvos Respublikos hipotekos, Turto arešto aktų, Testamentų, Vedybų sutarčių, Sutarčių, Neveiksnių ir ribotai veiksnių asmenų, Notarine tvarka patvirtintų įgaliojimų registrų ir Politinių partijų narių sąrašų informacinės sistemos (toliau – Informacinės sistemos) saugos politiką.
Punkto pakeitimai:
Nr. 1R-61, 2011-02-22, Žin., 2011, Nr. 24-1188 (2011-02-26), i. k. 1112270ISAK0001R-61
2. Saugos nuostatai parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866).
3. Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, nustatytas Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, Saugos dokumentų turinio gairėse ir kituose teisės aktuose bei Lietuvos „Informacijos technologija. Saugumo metodai“ grupės standartuose.
4. Informacinių sistemų elektroninės informacijos saugumo tikslai:
4.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją Informacinėse sistemose;
5. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:
6. Informacinių sistemų valdytojo ir tvarkytojo pavadinimai ir adresai:
6.1. Informacinių sistemų valdytoja yra Lietuvos Respublikos teisingumo ministerija, Gedimino pr. 30/1, Vilnius;
7. Informacinių sistemų valdytojo funkcijos ir atsakomybė:
7.1. koordinuoja Informacinių sistemų tvarkytojo darbą, metodiškai jam vadovauja ir įstatymų nustatyta tvarka vykdo šio darbo priežiūrą;
7.4. priima įsakymus, susijusius su Informacinių sistemų saugumo užtikrinimu, tikrina, kaip jie vykdomi;
7.6. kontroliuoja, kad racionaliai ir taupiai būtų naudojami darbo, materialiniai ir finansiniai ištekliai, susiję su Informacinėmis sistemomis;
8. Informacinių sistemų tvarkytojo funkcijos ir atsakomybė:
8.2. užtikrina Informacinių sistemų valdytojo priimtų teisės aktų ir rekomendacijų tinkamą įgyvendinimą;
9. Saugos įgaliotinio, įgyvendinančio elektroninės informacijos saugą Informacinėse sistemose, funkcijos ir atsakomybė:
9.1. teikia Informacinių sistemų tvarkytojo vadovui pasiūlymus dėl:
9.1.1. Informacinių sistemų administratoriaus ar administratorių (toliau – Administratorius) paskyrimo;
9.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Informacinėse sistemose, tyrimą, išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės;
9.4. periodiškai inicijuoja Informacinių sistemų naudotojų mokymą informacijos saugos klausimais, informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir pan.);
10. Administratoriaus, vykdančio Informacinių sistemų priežiūrą, funkcijos ir atsakomybė:
10.5. pagal kompetenciją atlieka Informacinėms sistemoms taikomų saugumo reikalavimų atitikties vertinimą;
11. Teisės aktai, kuriais vadovaujantis tvarkomi Informacinių sistemų duomenys ir užtikrinamas jų saugumas:
11.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);
11.2. Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);
11.3. Notarine tvarka patvirtintų įgaliojimų registro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2010 m. gruodžio 17 d nutarimu Nr. 1770 (Žin., 2010, Nr. 148-7591);
11.4. Neveiksnių ir ribotai veiksnių asmenų registro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2010 m. gruodžio 17 d nutarimu Nr. 1771 (Žin., 2010, Nr. 148-7592);
11.5. Turto arešto aktų registro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2002 m. kovo 5 d. nutarimu Nr. 314 (Žin., 2002, Nr. 26-924; 2007, Nr. 68-2666);
11.6. Sutarčių registro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2002 m. liepos 17 d. nutarimu Nr. 1158 (Žin., 2002, Nr. 74-3157; 2007, Nr. 67-2612);
11.7. Vedybų sutarčių registro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2002 m. rugpjūčio 13 d. nutarimu Nr. 1284 (Žin., 2002, Nr. 82-3523; 2009, Nr. 126-5430);
11.8. Testamentų registro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2001 m. gegužės 22 d. nutarimu Nr. 594 (Žin., 2001, Nr. 44-1547; 2009, Nr. 34-1288);
11.9. Lietuvos Respublikos hipotekos registro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2001 m. spalio 18 d. nutarimas Nr. 1246 (Žin., 2001, Nr. 90-3173; 2007, Nr. 108-4416);
11.10. Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimas Nr. 952 „Dėl elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891);
11.11. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniai saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);
11.12. Saugos dokumentų turinio gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070);
11.13. Testamentų registro tvarkymo instrukcija, patvirtinta Lietuvos Respublikos teisingumo ministro 2007 m. gegužės 25 d. įsakymu Nr. 1R-203;
11.14. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160; 2008, Nr. 127-4866);
11.15. Turto arešto aktų registro objektų registravimo taisyklės, patvirtintos Lietuvos Respublikos teisingumo ministro 2007 m. rugpjūčio 28 d. įsakymu Nr. 1R-316 (Žin., 2007, Nr. 93-3754);
11.16. Vedybų sutarčių registro tvarkymo taisyklės, patvirtintos Lietuvos Respublikos teisingumo ministro 2006 m. balandžio 21 d. įsakymu Nr. 1R-139;
11.17. Sutarčių registro tvarkymo taisyklės, patvirtintos Lietuvos Respublikos teisingumo ministro 2006 m. balandžio 21 d. įsakymu Nr. 1R-140;
11.18. Lietuvos Respublikos hipotekos registro tvarkymo instrukcija, patvirtinta Lietuvos Respublikos teisingumo ministro 1998 m. balandžio 15 d. įsakymu Nr. 52;
11.19. Lietuvos standartai LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006 bei kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, apibūdinantys saugų informacinių sistemų duomenų tvarkymą;
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
12. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, Lietuvos Respublikos hipotekos registras priskiriamas pirmosios kategorijos informacinei sistemai, Turto arešto aktų, Testamentų, Vedybų sutarčių, Sutarčių, Neveiksnių ir ribotai veiksnių asmenų ir Notarine tvarka patvirtintų įgaliojimų registrai ir Politinių partijų narių sąrašų informacinė sistema priskiriami antrosios kategorijos informacinėms sistemoms.
Punkto pakeitimai:
Nr. 1R-61, 2011-02-22, Žin., 2011, Nr. 24-1188 (2011-02-26), i. k. 1112270ISAK0001R-61
13. Informacinių sistemų rizikos veiksnių vertinimą, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja saugos įgaliotinis. Prireikus saugos įgaliotinis gali organizuoti neeilinį Informacinių sistemų rizikos veiksnių vertinimą. Informacinių sistemų tvarkytojo rašytiniu pavedimu Informacinių sistemų rizikos veiksnių vertinimą gali atlikti pats saugos įgaliotinis.
15. Informacinių sistemų rizikos įvertinimas surašomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausieji rizikos veiksniai yra šie:
15.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);
15.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Informacine sistema duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
16. Rizikos vertinimo metu atliekamų darbų apimtis:
17. Atsižvelgdamas į rizikos įvertinimo ataskaitą, Informacinių sistemų valdytojas prireikus tvirtina Rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
18. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:
19. Siekiant užtikrinti saugos dokumentuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, ne rečiau kaip kartą per metus organizuojamas Informacinių sistemų informacinių technologijų saugos atitikties vertinimas, kurio metu:
19.3. patikrinamos ne mažiau kaip 10 procentų atsitiktinai parinktose Informacinių sistemų naudotojų kompiuterinėse darbo vietose, visose tarnybinėse stotyse įdiegtos programos ir jų sąranka;
19.4. patikrinama (įvertinama) Informacinių sistemų naudotojams, Administratoriui ir saugos įgaliotiniui suteiktų teisių atitiktis vykdomoms funkcijoms;
19.5. įvertinamas pasirengimas užtikrinti Informacinių sistemų veiklos tęstinumą įvykus elektroninės informacijos saugos incidentui;
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
21. Priemonės ir metodai, kurie taikomi užtikrinant prieigą prie Informacinių sistemų, nurodant leistiną šios prieigos laiką ir būdą, konkrečiai nustatomi ir reguliuojami Informacinių sistemų naudotojų administravimo taisyklėse.
22. Visos Informacinių sistemų tarnybinės stotys ir naudotojų kompiuterinės darbo vietos turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.). Apsaugai naudojama programinė įranga turi atsinaujinti automatiškai ne rečiau kaip kartą per parą.
23. Naudoti programinę įrangą, nesusijusią su Informacinių sistemų tvarkytojo veikla ar Informacinių sistemų naudotojo atliekamomis funkcijomis (žaidimų, bylų siuntimo, internetinių pokalbių programų ir kt.), neleidžiama.
24. Informacinių sistemų prieiga prie kitų valstybės institucijų arba žinybų kompiuterių tinklų ar interneto turi būti apsaugota užkardomis. Interneto turinys turi būti kontroliuojamas, nepraleidžiant nepageidaujamos informacijos. Už kompiuterių tinklo filtravimo įrangos administravimo koordinavimą ir priežiūrą atsakingas Centrinės hipotekos įstaigos Informacinių technologijų skyriaus vedėjas.
25. Stacionarius kompiuterius leidžiama naudoti tik Centrinės hipotekos įstaigos ir jos filialų hipotekos skyrių prie apylinkių teismų patalpose. Nešiojamiesiems kompiuteriams, išnešamiems iš Centrinės hipotekos įstaigos ar jos filialų hipotekos skyrių prie apylinkių teismų patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, papildomas tapatybės patvirtinimas, prisijungimo ribojimai, rakinimo įrenginių naudojimas ir pan.).
26. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą su kitomis valstybės institucijomis, naudojamas Saugus valstybės duomenų perdavimo tinklas. Duomenys teikiami ir (ar) gaunami automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas.
27. Pagrindiniai atsarginių duomenų kopijų darymo ir atkūrimo reikalavimai:
27.1. išsamios atsarginės duomenų kopijos turi būti daromos automatiškai kartą per savaitę, dalinės atsarginės duomenų kopijos – kiekvieną darbo dieną;
27.3. periodiškai, bet ne rečiau kaip kartą per pusmetį, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;
27.4. atsarginių kopijų apsaugos priemonės turi užkirsti kelią neteisėtam elektroninės informacijos atkūrimui;
27.6. atsarginės kopijos turi būti saugomos kitose patalpose, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota, ir saugomos užrakintoje nedegioje spintoje;
IV. REIKALAVIMAI PERSONALUI
28. Informacinių sistemų naudotojai privalo rūpintis Informacinių sistemų ir jose tvarkomos informacijos saugumu.
30. Tvarkyti Informacinių sistemų duomenis gali tik Informacinių sistemų naudotojai, susipažinę su saugos dokumentais ir raštu sutikę laikytis jų reikalavimų.
31. Informacinių sistemų naudotojai, pažeidę Saugos nuostatų ir kitų saugos dokumentų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.
32. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais.
33. Administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.
34. Informacinių sistemų naudotojams turi būti periodiškai, bet ne rečiau kaip kartą per metus, rengiami informacijos saugos mokymo kursai, įvairiais būdais primenama apie informacijos saugos problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų organizavimas, atmintinės priimtiems naujiems darbuotojams ir pan.). Informacijos saugos mokymo kursus organizuoja saugos įgaliotinis.
V. INFORMACINIŲ SISTEMŲ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
35. Už Informacinių sistemų naudotojų supažindinimą su Saugos nuostatais ir kitais saugos dokumentais bei atsakomybe už jų reikalavimų nesilaikymą yra atsakingas saugos įgaliotinis.
36. Informacinių sistemų naudotojai su Saugos nuostatais ir kitais saugos dokumentais bei atsakomybe už jų reikalavimų nesilaikymą supažindinami pasirašytinai.
37. Pakartotinai su Saugos nuostatais ir kitais saugos dokumentais Informacinių sistemų naudotojai supažindinami tik iš esmės pasikeitus Informacinėms sistemoms arba informacijos saugą reglamentuojantiems teisės aktams.
VI. BAIGIAMOSIOS NUOSTATOS
39. Informacinių sistemų valdytojas Saugos nuostatus gali keisti savo arba saugos įgaliotinio iniciatyva.
40. Informacinių sistemų tvarkytojas saugos dokumentus turi persvarstyti (peržiūrėti) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems Informacinių sistemų tvarkytojo pokyčiams. Prireikus saugos dokumentai turi būti tikslinami ir derinami su Lietuvos Respublikos vidaus reikalų ministerija.
Pakeitimai:
1.
Lietuvos Respublikos teisingumo ministerija, Įsakymas
Nr. 1R-61, 2011-02-22, Žin., 2011, Nr. 24-1188 (2011-02-26), i. k. 1112270ISAK0001R-61
Dėl teisingumo ministro 2011 m. sausio 5 d. įsakymo Nr. 1R-1 "Dėl Centrinės hipotekos įstaigos tvarkomų registrų duomenų saugos nuostatų patvirtinimo, saugos įgaliotinio ir saugos politiką įgyvendinančių dokumentų rengėjų skyrimo" pakeitimo