Įsakymas netenka galios 2013-12-18:
Valstybinė darbo inspekcija prie Socialinės apsaugos ir darbo ministerijos, Įsakymas
Nr. V-526, 2013-12-12, Žin., 2013, Nr. 129-6614 (2013-12-17), i. k. 1132231ISAK000V-526
Dėl Valstybinės darbo inspekcijos valdomų informacinių sistemų duomenų saugos nuostatų patvirtinimo
Suvestinė redakcija nuo 2010-10-19 iki 2013-12-17
Įsakymas paskelbtas: Žin. 2010, Nr. 79-4148, i. k. 1102231ISAK000V-205
LIETUVOS RESPUBLIKOS VYRIAUSIOJO VALSTYBINIO DARBO INSPEKTORIAUS
Į S A K Y M A S
DĖL VALSTYBINĖS DARBO INSPEKCIJOS INTERNETO SVETAINĖS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2010 m. birželio 30 d. Nr. V-205
Vilnius
Vadovaudamasis Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms aprašo, patvirtintu Lietuvos Respublikos Vyriausybės 2003 m. balandžio 18 d. nutarimu Nr. 480 (Žin., 2003, Nr. 38-1739; 2006, Nr. 115-4376; 2009, Nr. 154-6976), 8 punktu ir Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 punktu:
1. Tvirtinu Valstybinės darbo inspekcijos interneto (toliau – VDI) svetainės duomenų saugos nuostatus (pridedama).
PATVIRTINTA
Lietuvos Respublikos
vyriausiojo valstybinio darbo inspektoriaus
2010 m. birželio 30 d. įsakymu Nr. V-205
VALSTYBINĖS DARBO INSPEKCIJOS INTERNETO SVETAINĖS DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Valstybinės darbo inspekcijos (toliau – VDI) interneto svetainės (toliau – ISV) duomenų saugos nuostatų (toliau – Nuostatai) tikslas – apibrėžti VDI interneto svetainės informacijos saugos politiką ir užtikrinti, kad VDI interneto svetainės www.vdi.lt informacija būtų apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo ir kitokio neteisėto tvarkymo.
2. VDI ISV saugumo svarba yra siejama su galimomis informacijos ir ryšių pažeidžiamumo grėsmėmis, kurias gali sukelti gamtos, infrastruktūros, technologiniai, organizaciniai ir žmogiškieji (tyčiniai ir netyčiniai) veiksniai. Neįdiegus reikalingų saugumo priemonių yra galima informacijos pažeidžiamumo rizika ir gali būti padaryta materialinė ir nematerialinė žala.
3. Nuostatai parengti vadovaujantis:
3.1. Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2003 m. balandžio 18 d. nutarimu Nr. 480 (Žin., 2003, Nr. 38-1739; 2006, Nr. 115-4376; 2009, Nr. 154-6976);
3.2. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) (toliau – Bendrieji reikalavimai);
3.3. Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070);
3.4. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866) (toliau – Techniniai reikalavimai).
4. VDI ISV valdytojas ir tvarkytojas – Valstybinė darbo inspekcija, kurios adresas – Algirdo g. 19, Vilnius.
5. Esama būklė. VDI, užtikrindama ISV saugą, vadovaujasi Lietuvos Respublikos teisės aktais
Punkto pakeitimai:
Nr. V-328, 2010-10-12, Žin., 2010, Nr. 123-6320 (2010-10-18), i. k. 1102231ISAK000V-328
6. VDI ISV saugumo užtikrinimo prioritetinės kryptys:
6.1. informacijos vientisumo užtikrinimas, siekiant, kad informacija nebūtų atsitiktiniu ar neteisėtu būdu pakeista ar sunaikinta;
6.2. informacijos prieinamumo užtikrinimas, siekiant, kad:
6.3. VDI ISV valdytojo ir tvarkytojo funkcijos ir atsakomybė:
6.3.3. organizuoja VDI ISV saugos įgyvendinimą ir tvirtina saugos politiką įgyvendinančius dokumentus;
6.3.6. skiria saugos įgaliotinį, įgyvendinantį VDI ISV saugą, ir administratorių, atliekantį VDI ISV priežiūrą;
8. Saugos įgaliotinis, įgyvendindamas VDI ISV, atlieka šias funkcijas:
8.1. teikia VDI ISV valdytojo vadovui pasiūlymus dėl:
8.1.1. administratoriaus (ar jų grupės) paskyrimo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);
9. Saugos įgaliotinis, įgyvendindamas VDI ISV saugą, yra atsakingas už tinkamą Nuostatuose jam nustatytų funkcijų vykdymą.
10. Administratorius (arba administratorių grupė) atlieka šias funkcijas:
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
12. Tvarkant VDI ISV ir užtikrinant saugą, nustatant rizikos veiksnius ir vertinant riziką, vadovaujamasi:
12.1. teisės aktais, nurodytais Nuostatų 3 punkte, ir kitais Lietuvos Respublikos teisės aktais, reguliuojančiais elektroninės informacijos tvarkymą ir saugą;
13. VDI ISV techniniai saugos reikalavimai nustatomi pagal Techninius reikalavimus, pagal tvarkomos informacijos svarbą taikomus ketvirtajai informacinių sistemų kategorijai, vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160).
14. VDI ISV saugos priemonės nustatomos VDI ISV saugaus elektroninės informacijos tvarkymo taisyklėse ir atnaujinamos, įvertinus rizikos veiksnius, galinčius turėti įtakos VDI ISV saugai. Saugos priemonių parinkimo principas: užtikrinti interneto svetainės veiksmingumą ir saugą, patiriant kuo mažiau išlaidų.
15. Rizikos veiksniai vertinami, nustatant jų įtakos interneto svetainės saugai laipsnius:
15.1. Ž – žemas, jei duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nėra pavojingi (pvz., įvesti netikslūs duomenys; dingo dalis duomenų; prarasti duomenys po paskutinio kopijavimo);
15.2. V – vidutinis, jei duomenų pažeidimo poveikio laipsnis yra didelis, padariniai rimti (pvz., duomenys netikslūs ar visiškai sugadinti, suklastoti ir nekorektiški; sunku rasti klaidas ir sugadintus duomenis; neveikia interneto svetainės dalis);
16. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos standartą LST ISO/IEC 27005 „Informacijos technologija. Saugumo technika. Informacijos saugumo rizikos valdymas“, kasmet organizuoja VDI ISV rizikos įvertinimą. Saugos įgaliotinio teikimu VDI ISV valdytojas išleidžia įsakymą dėl rizikos įvertinimo, kuriame nurodo vertinimo apimtį, terminus ir atsakingus asmenis. Nustatant apimtį, būtina atsižvelgti į visus rizikos veiksnius, galinčius turėti įtakos informacijos saugai. VDI ISV rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai.
17. Svarbiausieji rizikos veiksniai yra šie:
17.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai ir kita);
17.2. subjektyvūs tyčiniai (duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
18. Atsižvelgiant į rizikos įvertinimo ataskaitą, prireikus yra rengiamas rizikos įvertinimo ir rizikos valdymo priemonių planas, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti. Šį planą tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato VDI ISV valdytojo vadovas.
19. Neeilinis VDI ISV rizikos įvertinimas turi būti atliekamas: įvykus dideliems pokyčiams VDI ISV techninėje ir programinėje įrangoje; įvykus dideliems organizaciniams pokyčiams Valstybinėje darbo inspekcijoje; paaiškėjus naujoms tendencijoms informacinių technologijų saugos srityje; po didelio masto saugos incidentų.
20. VDI ISV valdytojo vadovas, vadovaudamasis Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 patvirtinta Informacinių technologijų saugos atitikties vertinimo metodika (Žin., 2004, Nr. 80-2855) ir kitais teisės aktais, kartą per kalendorinius metus, jei teisės aktai nenustato kitaip, išleidžia įsakymą dėl VDI ISV informacinių technologijų saugos atitikties vertinimo. Šiame įsakyme yra nustatoma vertinimo apimtis, terminai ir atsakingieji asmenys.
21. Atliekant informacinių technologijų saugos atitikties vertinimą:
21.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų naudotojų kompiuterinių darbo vietų, taip pat visose tarnybinėse stotyse įdiegtos programos ir jų sąranka;
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
23. Priemonės ir metodai, kurie taikomi užtikrinant prieigą prie VDI ISV, nurodant leistiną šios prieigos laiką ir būdą, nustatomi VDI ISV naudotojų administravimo taisyklėse.
24. VDI ISV tarnybinė stotis turi būti apsaugota nuo kenksmingos programinės įrangos. Apsaugai naudojama programinė įranga turi atsinaujinti automatiškai ne rečiau kaip kartą per dieną.
25. VDI ISV tvarkymui bei administravimui neturi būti naudojama neteisėta programinė įranga. Naudoti programinę įrangą, nesusijusią su VDI veikla ar VDI ISV naudotojo atliekamomis funkcijomis (žaidimų, bylų siuntimo, internetinių pokalbių programų), neleidžiama.
26. Prieiga prie interneto turi būti apsaugota užkardomis. Už šios įrangos administravimą ir priežiūrą atsakingas VDI ISV administratorius.
28. Stacionarių darbo vietų kompiuterius leidžiama naudoti tik VDI patalpose. Nešiojamiems kompiuteriams taikomos papildomos saugos priemonės (rakinimo įrenginiai, prisijungimo ribojimai ir kt.).
29. Užtikrinant saugų elektroninės informacijos teikimą, naudojamas Saugus valstybės duomenų perdavimo tinklas (toliau vadinama – SVDPT).
30. VDI ISV tvarkymo veiksmus – įrašymą, redagavimą gali atlikti tik VDI ISV valdytojo paskirti VDI ISV naudotojai, atsakingieji už informacijos teikimą VDI interneto svetainėje.
31. VDI ISV atsarginės kopijos turi būti daromos kiekvieną darbo dieną. Kopijų darymas turi būti fiksuojamas žurnale. Atsarginės kopijos turi būti 4 rūšių: dienos, savaitės, mėnesio ir metų. Turi būti saugoma ne mažiau kaip po 3 paskutiniąsias kiekvienos rūšies kopijas. Kopijos (įskaitant laikmenas su programine įranga) turi būti saugomos užrakintoje nedegioje spintoje, kitose patalpose, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate. Patekimas į patalpas, kuriose laikomos kopijos, turi būti registruojamas žurnale. Administratorius atsako už atsarginių kopijų darymą ir saugojimą.
32. Duomenų atkūrimo iš atsarginių kopijų testavimas turi būti atliekamas ne rečiau kaip kartą per pusmetį.
33. VDI darbuotojai, pastebėję saugos dokumentų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai administratoriui. Administratorius apie tokius pažeidimus informuoja saugos įgaliotinį. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią VDI ISV saugą (jos konfidencialumą, vientisumą ar prieinamumą), saugos įgaliotinis apie tai turi pranešti kompetentingoms institucijoms.
IV. REIKALAVIMAI PERSONALUI
35. Kvalifikaciniai reikalavimai VDI ISV dirbančiam personalui:
35.1. Saugos įgaliotiniu gali būti skiriamas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, kuris geba įgyvendinti informacijos saugą informacinėse sistemose. Saugos įgaliotinis privalo savo darbe vadovautis Nuostatais ir kitais VDI ISV saugos politiką įgyvendinančiais dokumentais, Lietuvos Respublikos teisės aktais, reglamentuojančiais VDI ISV informacijos tvarkymą ir saugą.
35.2. Administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, kuris išmano darbą su kompiuterių tinklais ir geba užtikrinti jų saugumą. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.
36. Saugos įgaliotinis periodiškai organizuoja VDI darbuotojų, tvarkančių interneto svetainę, mokymus informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir pan.).
V. NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
37. Saugos įgaliotinis pasirašytinai supažindina administratorių ir naudotojus, tvarkančius bei kuriančius interneto svetainę, su Nuostatais ir kitais saugos dokumentais; pakartotinai supažindinama tik iš esmės pasikeitus VDI ISV saugą reguliuojantiems teisės aktams. Su teisės aktais, išvardintais Nuostatuose ir saugos dokumentuose, administratorius, saugos įgaliotinis ir kiti naudotojai susipažįsta savarankiškai ir jais turi vadovautis, tvarkydami VDI ISV.
VI. BAIGIAMOSIOS NUOSTATOS
39. Saugos dokumentai turi būti peržiūrimi ne rečiau kaip kartą per metus ir prireikus po rizikos analizės ar informacinių technologijų saugos atitikties vertinimo atlikimo, taip pat įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams Valstybinėje darbo inspekcijoje. Prireikus saugos dokumentai turi būti tikslinami ir derinami su Vidaus reikalų ministerija.
Pakeitimai:
1.
Valstybinė darbo inspekcija prie Socialinės apsaugos ir darbo ministerijos, Įsakymas
Nr. V-328, 2010-10-12, Žin., 2010, Nr. 123-6320 (2010-10-18), i. k. 1102231ISAK000V-328
Dėl Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2010 m. birželio 30 d. įsakymo Nr. V-205 "Dėl Valstybinės darbo inspekcijos interneto svetainės duomenų saugos nuostatų patvirtinimo" pakeitimo