Suvestinė redakcija nuo 2018-12-30
Nutarimas paskelbtas: Žin. 2008, Nr. 71-2764, i. k. 108110LNUTA000N-146
VALSTYBINĖS LOŠIMŲ PRIEŽIŪROS KOMISIJOS
NUTARIMAS
DĖL LIETUVOS LOŠIMO ĮRENGINIŲ REGISTRO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2008 m. birželio 13 d. Nr. N-146
Vilnius
Vadovaudamasi Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 2007 m. balandžio 25 d. nutarimu Nr. 410 (Žin., 1997, Nr. 832075; 2007, Nr. 49-1891), 6 punktu bei Lietuvos lošimo įrenginių registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2003 m. balandžio 25 d. nutarimu Nr. 530 (Žin., 2003, Nr. 40-1849), 46 punktu, Valstybinė lošimų priežiūros komisija nutaria:
1. Patvirtinti pridedamus Lietuvos lošimo įrenginių registro informacinės sistemos duomenų saugos nuostatus.
2. Paskirti Lošimų priežiūros tarnybos prie Lietuvos Respublikos finansų ministerijos Lošimo įrenginių tipų tvirtinimo ir registro skyriaus vedėją Lauryną Gužą Lietuvos lošimo įrenginių registro informacinės sistemos saugos įgaliotiniu.
Punkto pakeitimai:
Nr. DI-67, 2014-02-24, paskelbta TAR 2014-02-25, i. k. 2014-02029
3. Paskirti Lošimų priežiūros tarnybos prie Lietuvos Respublikos finansų ministerijos Lošimo įrenginių tipų tvirtinimo ir registro skyriaus vyriausiąjį specialistą Irmantą Zakaracką ir to paties skyriaus specialistą Aurimą Ambrasą Lietuvos lošimo įrenginių registro informacinės sistemos administratoriais.
Punkto pakeitimai:
Nr. DI-67, 2014-02-24, paskelbta TAR 2014-02-25, i. k. 2014-02029
4. Pavesti Lietuvos lošimo įrenginių registro informacinės sistemos saugos įgaliotiniui iki 2008 m. liepos 31 d. parengti Saugaus elektroninės informacijos tvarkymo taisykles, Informacinės sistemos veiklos tęstinumo valdymo planą ir Informacinės sistemos naudotojų administravimo taisykles.
5. Pripažinti netekusiu galios Valstybinės lošimų priežiūros komisijos 2007 m. sausio 19 d. nutarimą Nr. N-17 „Dėl Lietuvos lošimo įrenginių registro duomenų saugos nuostatų patvirtinimo“ (Žin., 2007, Nr. 10-425).
PATVIRTINTA
Lošimų priežiūros tarnybos prie Lietuvos
Respublikos finansų ministerijos direktoriaus
2018 m. gruodžio 28 d. įsakymo Nr. DI-702
LIETUVOS LOŠIMO ĮRENGINIŲ REGISTRO duomenų saugos nuostatai
i SKYRIUS
Bendrosios nuostatos
1. Lietuvos lošimo įrenginių registro duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos lošimo įrenginių registro (toliau – Registras) elektroninės informacijos saugos ir kibernetinio saugumo politiką.
2. Registro elektroninės informacijos saugos politikos tikslas – užtikrinti Registro elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą.
3. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Lietuvos ir tarptautiniuose grupės standartuose „Informacijos technologija. Saugumo metodai“.
4. Registro elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų Registro elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti, įgyvendinimas ir kontrolė;
5. Saugos nuostatai taikomi Registro valdytojai ir tvarkytojai – Lošimų priežiūros tarnybai prie Lietuvos Respublikos finansų ministerijos, Ukmergės g. 222, LT-07157, Vilnius (toliau – Priežiūros tarnyba), Registro saugos įgaliotiniui, Registro administratoriui, Registro kompetentingam asmeniui, atsakingam už kibernetinio saugumo organizavimą ir užtikrinimą (toliau ‒ Kibernetinio saugumo vadovas) ir Registro naudotojams.
6. Priežiūros tarnyba, kaip Registro valdytoja atlieka šias funkcijas:
6.1. pagal kompetenciją atsako už elektroninės informacijos saugos politikos formavimą, jos įgyvendinimo organizavimą ir priežiūrą;
6.2. tvirtina Registro saugos nuostatus, saugos politiką įgyvendinančius dokumentus (toliau – Saugos dokumentai) ir kitus teisės aktus, susijusius su Registro sauga;
6.3. priima sprendimus dėl Registro techninių ir programinių priemonių, būtinų Registro elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
6.4. nagrinėja pasiūlymus dėl Registro elektroninės informacijos saugos priemonių tobulinimo ir priima dėl jų sprendimus;
7. Priežiūros tarnyba, kaip Registro tvarkytoja atlieka šias funkcijas:
7.2. įgyvendina tinkamas organizacines ir technines priemones, skirtas elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;
7.3. atlieka Registro duomenų bazės techninę priežiūrą ir užtikrina nepertraukiamą Registro veikimą;
7.4. Priežiūros tarnybos vadovo pavedimu skiria duomenų valdymo įgaliotinį, saugos įgaliotinį, administratorių ir Kibernetinio saugumo vadovą;
7.5. užtikrina, kad Registro naudotojai, turintys teisę naudotis Registro elektronine informacija, laikytųsi reikalavimų, nustatytų Registro Saugos dokumentuose;
7.6. vykdo kibernetinio saugumo organizavimo ir užtikrinimo funkcijas, nustatytas Lietuvos Respublikos kibernetinio saugumo įstatyme ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose;
8. Registro saugos įgaliotinis, įgyvendindamas Registro elektroninės informacijos saugą, atlieka šias funkcijas:
8.1. teikia Priežiūros tarnybos vadovui pasiūlymus dėl:
8.2. teikia Registro administratoriui ir naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su Registro elektroninės informacijos saugumo užtikrinimu;
8.4. inicijuoja Registro administratoriaus ir naudotojų mokymą elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;
8.6. ne rečiau kaip kartą per dvejus metus organizuoja informacinių technologijų saugos atitikties vertinimą;
8.7. atsako už registro elektroninės informacijos saugumo užtikrinimą ir saugos dokumentų reikalavimų vykdymą;
9. Registro administratoriaus funkcijos:
9.1. organizuoja Registro techninės ir programinės įrangos administravimą ir priežiūrą, siekdamas užtikrinti kokybišką ir patikimą jos veikimą;
9.3. suteikia naudotojams prieigos teisę naudotis Registro elektronine informacija, reikalinga jiems priskirtoms funkcijoms atlikti;
9.4. registruoja ir informuoja saugos įgaliotinį apie Registro elektroninės informacijos saugos incidentus, saugos įgaliotiniui teikia siūlymus dėl incidentų pašalinimo;
9.5. Priežiūros tarnybos vadovui teikia siūlymus dėl Registro palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir Registro elektroninės informacijos saugumo užtikrinimo;
10. Kibernetinio saugumo vadovas vykdo Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“ ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose jam priskirtas funkcijas.
11. Teisės aktai, kuriais vadovaujamasi tvarkant Registro elektroninę informaciją ir užtikrinant jos saugumą:
11.3. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
11.4. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
11.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“;
11.6. Lietuvos ir tarptautiniai grupės standartai „Informacijos technologija. Saugumo metodai“, nustatantys saugų elektroninės informacijos tvarkymą;
II SKYRIUS
Elektroninės informacijos saugos valdymas
12. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Informacijos svarbos įvertinimo gairių aprašas) 10 punktu, Registro tvarkoma elektroninė informacija priskirtina mažiausios svarbos informacijos kategorijai.
13. Vadovaujantis Informacijos svarbos įvertinimo gairių aprašo 12.4 papunkčiu, Registras pagal joje tvarkomos elektroninės informacijos svarbą yra priskiriamas ketvirtosios kategorijos informacinei sistemai.
14. Registro saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“ ne rečiau kaip kartą per metus organizuoja Registro rizikos įvertinimą. Pasikeitus Registro duomenų bazės struktūrai (sistemos pakeitimai, papildymas naujomis taikomosiomis programomis, taikomųjų programų šalinimas ir kt.) ar nustačius naujų rizikos veiksnių, gali būti organizuojamas neeilinis Registro rizikos įvertinimas.
15. Registro įvertinimo rezultatai pateikiami rizikos įvertinimo ataskaitoje, kuri pateikiama Priežiūros tarnybos vadovui. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos Registro elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus rizikos priimtinumo kriterijus. Šioje ataskaitoje išdėstomos pagrindinės Registro rizikos valdymo priemonės. Kartu su pagrindiniu Registro rizikos vertinimu organizuojamas ir atliekamas grėsmių ir pažeidžiamumo, galinčių turėti įtakos Registro kibernetiniam saugumui, vertinimas.
16. Pagrindiniai rizikos veiksniai, galintys turėti įtakos Registro elektroninės informacijos saugumui, yra šie:
16.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);
16.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
16.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
17. Saugos užtikrinimo priemonės parenkamos siekiant užtikrinti Registro veiklos tęstinumą patiriant kuo mažiau išlaidų ir užtikrinant Registro darbą taip, kad būtų išsaugotas Registro elektroninės informacijos konfidencialumas, vientisumas ir prieinamumas.
18. Siekiant įvertinti Registro saugos dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę saugos įgaliotinis ne rečiau kaip kartą per dvejus metus organizuoja Registro informacinių technologijų saugos atitikties vertinimą.
19. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama Priežiūros tarnybos vadovui.
20. Registro rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas Registro valdytoja ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
iii SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
21. Programinės įrangos, skirtos Registro nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai) apsaugoti, naudojimo nuostatos ir jos atnaujinimo reikalavimai:
21.1. Registro tarnybinių stočių ir kompiuterinėse darbo vietose turi būti įdiegtos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, kurios turi būti reguliariai atnaujinamos automatiniu būdu;
21.2. turi būti naudojamos priemonės, turinčios apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų.
22. Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo nuostatos:
22.3. turi būti įdiegta prieigos prie Registro elektroninės informacijos per registravimą, teisių suteikimą ir slaptažodžius sistema;
23. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:
23.1. Registro elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų, naudojant ugniasienes, ugniasienių įvykių žurnalai turi būti reguliariai analizuojami;
23.2. Registro programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) bei kitų per tinklą vykdomų atakos rūšių;
24. Leistinos kompiuterių naudojimo ribos:
24.1. stacionarūs ir nešiojamieji Registro naudotojų kompiuteriai ir kiti mobilieji įrenginiai turi būti naudojami tik tiesioginėms pareigoms atlikti. Iš kompiuterių, kurie perduodami remontuoti ar techninei priežiūrai atlikti, turi būti pašalinti visi Registro duomenys ir informacija;
24.2. nešiojamuosiuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose turi būti naudojamas įjungimo slaptažodis;
24.3. nešiojamuosiuose kompiuteriuose, mobiliuosiuose įrenginiuose ar išorinėse kompiuterinėse laikmenose esantys duomenys turi būti šifruojami;
25. Metodai, kuriais užtikrinamas saugus Registro elektroninės informacijos teikimas ir (ar) gavimas:
25.1. prieigos prie Registro elektroninės informacijos teises gali suteikti tik Registro administratorius. Registro naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės;
25.2. prieiga prie Registro elektroninės informacijos leidžiama tik per registravimosi slaptažodžių sistemą. Prieigos prie Registro elektroninės informacijos valdymas apibrėžtas Registro naudotojų administravimo taisyklėse;
25.3. pasibaigus Registro naudotojo darbo sutarčiai, teisė naudotis Registro elektronine informacija turi būti panaikinta. Registro naudotojui prieiga prie Registro turi būti ribojama ar sustabdoma, kai vyksta Registro naudotojo veiklos tyrimas, naudotojas turi ilgalaikes atostogas arba keičiasi jo atliekamos ir (ar) pareigybės aprašyme nurodytos funkcijos.
26. Registro atsarginės duomenų bazės kopijos daromos ne rečiau kaip du kartus per mėnesį. Kopijos turi būti šifruojamos ir saugomos kitoje patalpoje, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. Prireikus jas atkurti turi teisę tik Registro administratorius ar jį pavaduojantis asmuo. Kopijų darymo ir saugojimo tvarka nustatoma Registro saugaus elektroninės informacijos tvarkymo taisyklėse.
IV SKYRIUS
reikalavimai personalui
27. Registro saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
28. Registro saugos įgaliotinis turi:
29. Registro administratorius turi:
30. Registro naudotojai turi:
31. Registro naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti Registro saugos įgaliotiniui.
32. Registro saugos įgaliotinis administratoriui ir naudotojams periodiškai, bet ne rečiau kaip kartą per dvejus metus, organizuoja mokymus elektroninės informacijos saugos klausimais, įvairiais būdais primena apie saugumo problemas (pvz., siunčia pranešimus elektroniniu paštu, instruktuoja naujus darbuotojus ir pan.).
V SKYRIUS
REGISTRO Naudotojų supažindinimo su saugos dokumentais principai
33. Registro naudotojus su Saugos nuostatais, Registro Saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina Registro saugos įgaliotinis.
34. Registro saugos įgaliotinis, administratorius, Kibernetinio saugumo vadovas ir naudotojai raštu įsipareigoja laikytis Saugos nuostatų ir kitų Registro saugos dokumentų reikalavimų.
VI SKYRIUS
Baigiamosios nuostatos
Priedo pakeitimai:
Nr. DI-702, 2018-12-28, paskelbta TAR 2018-12-29, i. k. 2018-21927
Pakeitimai:
1.
Lošimų priežiūros tarnyba prie Lietuvos Respublikos finansų ministerijos, Įsakymas
Nr. DI-67, 2014-02-24, paskelbta TAR 2014-02-25, i. k. 2014-02029
Dėl Valstybinės lošimų priežiūros komisijos 2008 m. birželio 13 d. nutarimo Nr. N-146 „Dėl Lietuvos lošimo įrenginių registro informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo
2.
Lošimų priežiūros tarnyba prie Lietuvos Respublikos finansų ministerijos, Įsakymas
Nr. DI-702, 2018-12-28, paskelbta TAR 2018-12-29, i. k. 2018-21927
Dėl Valstybinės lošimų priežiūros komisijos 2008 m. birželio 13 d. nutarimo Nr. N-146 „Dėl Lietuvos lošimo įrenginių registro informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo