Nutarimas skelbtas: Žin., 2001, Nr. 110-4006

Neoficialus nutarimo tekstas

 

Lietuvos Respublikos Vyriausybė

 

nutarimas

 

DĖL informacijos technologijų saugos valstybinės strategijos ir jos įgyvendinimo plano patvirtinimo

 

2001 m. gruodžio 22 d. Nr. 1625

Vilnius

 

Įgyvendindama Lietuvos Respublikos Vyriausybės 2001 m. spalio 4 d. nutarimu Nr. 1196 „Dėl Lietuvos Respublikos Vyriausybės 2001–2004 metų programos įgyvendinimo priemonių patvirtinimo“ (Žin., 2001, Nr. 86-3015) patvirtintų Lietuvos Respublikos Vyriausybės 2001–2004 metų programos įgyvendinimo priemonių 77 punktą, Lietuvos Respublikos Vyriausybė nutaria:

Patvirtinti pridedamus:

1. Informacijos technologijų saugos valstybinę strategiją.

2. Informacijos technologijų saugos valstybinės strategijos įgyvendinimo planą.

 

 

Ministras Pirmininkas                                                                         Algirdas Brazauskas

 

 

Vidaus reikalų ministras                                                                     Juozas Bernatonis

_________________

Patvirtinta

Lietuvos Respublikos Vyriausybės
2001 m. gruodžio 22 d. nutarimu Nr. 1625

 

Informacijos technologijų saugos valstybinė strategija

 

I. Bendrosios nuostatos

1. Informacinėje visuomenėje lemiamą reikšmę įgyja informacija, sudaranti sąlygas valstybės institucijoms ir įstaigoms (toliau vadinama – valstybės institucijos) sėkmingai vykdyti savo funkcijas, ir informacijos technologijos, leidžiančios šią informaciją gauti, apdoroti, perteikti ir saugoti. Informacijos technologijos turi padėti tinkamai atlikti kontrolę, užtikrinančią informacijos saugą nuo įvairių pavojų (pvz., nepageidautino ar nesankcionuoto informacijos skleidimo, pakeitimo ar netekimo). Terminas „Informacijos technologijų sauga“ reiškia siekimą išvengti minėtų ir kitų pavojų arba juos sušvelninti.

Informacijos technologijų saugos strategiją ir taktiką būtina nuolat tobulinti, ši strategija ir taktika turi keistis kartu su tobulėjančiomis informacijos technologijomis.

 

II. Tikslai

2. Svarbiausieji šios strategijos tikslai:

2.1.   informacijos technologijų saugos teisinio reglamentavimo plėtra:

2.1.1.      bendrųjų duomenų saugos reikalavimų pagal duomenų kategorijas, atsižvelgiant į tarptautinius standartus, Ekonominio bendradarbiavimo ir plėtros organizacijos, NATO ir Europos Sąjungos rekomendacijas, Europolo ir Šengeno informacinių sistemų reikalavimus, nustatymas;

2.1.2.      elektroninio verslo saugos reikalavimų nustatymas;

2.1.3.      elektroninio susirašinėjimo saugos reikalavimų nustatymas;

2.1.4.      kompiuterių tinklų saugos reikalavimų nustatymas;

2.1.5.      interneto tarnybinių stočių saugos reikalavimų nustatymas;

2.1.6.      asmens identifikavimo elektroninio parašo saugos reikalavimų nustatymas;

2.1.7.      atsakomybės pagal pažeidimų pobūdį nustatymas;

2.1.8.      duomenų saugos įgaliotinių pareigybių įvedimas (tai leis plėtoti ir administruoti informacijos technologijų saugą, analizuoti incidentus);

2.2.  svarbiausiųjų valstybės informacinių sistemų saugos stiprinimas;

2.3.  informacijos technologijų saugos atitikties vertinimo sistemos kūrimas;

2.4.  metodologinės ir konsultacinės sistemos plėtra;

2.5.  valstybės tarnautojų mokymas informacijos technologijų saugos, duomenų saugos įgaliotinių įgūdžių ugdymas;

2.6.  informacijos technologijų saugos įgyvendinimo kontrolės užtikrinimas.

 

III. Esama padėtis

3. Siekiant užtikrinti duomenų patikimumą ir saugą nuo neteisėto panaudojimo, Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų apsaugos valstybės ir vietos savivaldos informacinėse sistemose“ (Žin., 1997, Nr. 83-2075) buvo patvirtinti Bendrieji duomenų saugos reikalavimai, pagal kurių 5 ir 6 punktų nuostatas duomenų valdytojai įpareigojami, vadovaujantis rekomenduojamais Lietuvos standartais, atitinkančiais tarptautinius standartus ISO 11442, ISO / IEC TR 13335 – 1, ISO / TR 13569, arba kitomis rekomendacijomis, suformuluoti specialius duomenų saugos priemonių reikalavimus ir nustatyti duomenų saugos įgyvendinimo tvarką bei priemones. Šiuo metu patvirtinti nauji ISO standartai: ISO / IEC TR 13335 – 2, 13335 – 3, 13335 – 4, šalims kandidatėms į Europos Sąjungą parengtas informacinės plėtros veiksmų planas eEurope+, sukurtos naujos informacijos technologijos, todėl būtina atitinkamai patikslinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimą Nr. 952.

4. Kompanija „Computer Associates“ kartu su Vilniaus universiteto, Valstybinio informacinės technologijos instituto ir buvusios Valdymo reformų ir savivaldybių reikalų ministerijos Informatikos ir informacijos departamento specialistais 2000 metais atliko valstybės informacinių sistemų įvertinimą Valstybinėje mokesčių inspekcijoje prie Finansų ministerijos, Muitinės departamente prie Finansų ministerijos, Finansų ministerijoje, Ūkio ministerijoje, Teisingumo ministerijoje, Vidaus reikalų ministerijoje, Užsienio reikalų ministerijoje, Aplinkos ministerijoje, valstybės įmonėje Lietuvos pašte, Valstybės sienos apsaugos tarnyboje prie Vidaus reikalų ministerijos ir kitose valstybės institucijose. Įvertinimo rezultatai rodo, kad informacijos technologijų saugos priemonės valstybės institucijų informacinėse sistemose bei registruose taikomos atsitiktinai ir nepakankamai. Valstybinei duomenų apsaugos inspekcijai pateikti kai kurių valstybės institucijų informacinių sistemų saugos priemonių planai (rizikos įvertinimas, veiklos tęstinumas ir t.t.). Atliktas valstybės institucijų informacinių sistemų įvertinimas parodė, kad daugelis planų buvo tik vienkartinė priemonė.

 

IV. Pagrindiniai principai

5. Valstybės institucijų informacijos technologijų sauga plėtojama pagal tam tikrus principus. Pagrindiniai iš jų yra šie:

5.1. aplinkos stebėjimo principas. Būtina stebėti aplinką ir sekti naujas technologijas. Atsižvelgiant į tai, informacijos technologijų saugos strategija turi būti nuolat tobulinama ir atitikti kintančias aplinkos sąlygas;

5.2. informacijos technologijų saugos sistemos ir informacinių sistemų tarpusavio priklausomybės principas. Remiantis šiuo principu, informacijos technologijų saugos sistema turi būti kuriama kartu su informacine sistema: tai užtikrina darną ir didesnį efektyvumą, mažina išlaidas;

5.3. informacijos technologijų saugos užtikrinimo pagal informacijos svarbą principas. Kuriant saugos sistemą, būtina numatyti kuo platesnį saugos veiksnių spektrą. Ne kiekvienai informacinei sistemai reikia maksimalios saugos, todėl diegtinos duomenų saugos priemonės pasirenkamos atsižvelgiant į jų reikšmę ir būsimas saugos sąnaudas. Parenkamos ir diegiamos duomenų saugos priemonės turi atitikti duomenų svarbos laipsnį ir galimo duomenų pažeidimo padarinius;

5.4. informacijos technologijų naudotojų ir specialistų švietimo principas. Naudotojams turėtų būti rengiami kursai, kuriuose būtų suteikiama informacija apie saugos svarbą ir saugos reikalavimų nesilaikymo padarinius. Atsižvelgiant į naujų informacijos technologijų atsiradimą, spartų jų tobulėjimą ir su tuo susijusį saugos reikalavimų kitimą, būtina kelti informacijos technologijų specialistų kvalifikaciją.

 

V. Įgyvendinimo kryptys

6. Įgyvendinant informacijos technologijų saugos priemones, reikia laikytis informacijos technologijų saugos bendrųjų reikalavimų (jie nuolat atnaujinami), metodikos, į lietuvių kalbą išverstų ISO standartų.

7. Lietuvos Respublikos Vyriausybės įgaliotoje institucijoje turėtų būti įsteigtas informacijos technologijų saugos įvertinimo (konsultavimo) padalinys, kuriame dirbtų kvalifikuoti informacijos technologijų saugos specialistai. Šis padalinys rūpintųsi ir švietimu informacijos technologijų saugos klausimais.

8. Duomenys turi būti perduodami saugiu valstybiniu duomenų perdavimo tinklu. Ši kryptis glaudžiai susijusi su kriptografija ir elektroninio parašo infrastruktūra. Saugaus valstybinio duomenų perdavimo tinklo koncepcija turi būti neatsiejama nuo valstybės ryšio ir duomenų perdavimo tinklų integracijos strategijos.

9. Informacinės visuomenės plėtros sąlygomis viešojo administravimo paslaugos Lietuvoje bus teikiamos ir internetu. Todėl būtina ypač rūpintis interneto tarnybinių stočių sauga valstybės institucijose, nustatyti jų pažeidžiamumą, parengti saugos priemonių rekomendacijas.

 

VI. Lėšų poreikis

10. Numatoma, kad šiai strategijai įgyvendinti 2002 – 2004 metų laikotarpiu reikės 3265 tūkst. litų Lietuvos Respublikos valstybės biudžeto lėšų.

 

VII. Strategijos įgyvendinimas

11. Šios strategijos įgyvendinimo priemonės išdėstytos Informacijos technologijų saugos valstybinės strategijos įgyvendinimo plane.

––––––––––––––––

 


 

Patvirtinta

Lietuvos Respublikos Vyriausybės
2001 m. gruodžio 22 d. nutarimu Nr. 1625

 

Informacijos technologijų saugos valstybinės strategijos įgyvendinimo planas

 

 

Tikslas

Priemonės pavadinimas

Atsakingos institucijos ir įvykdymo terminas

Priemonės turinys, vertinimo kriterijus

1. Informacijos technologijų saugos teisinio reglamentavimo plėtra

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

parengti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimo Nr. 952 „Dėl duomenų apsaugos valstybės ir vietos savivaldos informacinėse sistemose“ dalinio pakeitimo projektą

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

suklasifikuoti informaciją pagal duomenų grupes

 

 

 

parengti lietuviškus informacijos technologijų saugos standartus

 

Vidaus reikalų ministerija – 2002 metų III ketvirtis

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Vidaus reikalų ministerija –

2002 metų IV ketvirtis

 

Aplinkos ministerija, Vidaus reikalų ministerija –

2002 metų II ketvirtis

informacijos technologijų saugos politikos projektas

atsakomybės ir teisių nustatymas

rizikos valdymas ir:

turto, kurį reikia saugoti, įvertinimas;

pavojų įvertinimas;

pažeidžiamumo įvertinimas;

įtakos įvertinimas;

rizika;

saugos priemonės;

liekamoji rizika;

prievarta

konfigūracijos valdymas

pakeitimų valdymas

tęstinumo ir atkūrimo valdymas

saugos priemonių parinkimas ir įdiegimas

būtinumas išmanyti informacijos technologijų saugą

 

informacijos technologijų saugos valdymas:

planavimo ir valdymo proceso apžvalga;

rizikos valdymas;

įdiegimo valdymas;

informacijos technologijų saugos integravimas

bendroji informacijos technologijų saugos politika:

vadovybės įpareigojimas;

sąryšiai tarp verslo, informacijos technologijų, rinkodaros ir informacijos technologijų politikos;

bendrosios informacijos technologijų politikos elementai

organizaciniai informacijos technologijų politikos aspektai:

įpareigojimai ir atsakomybė;

nuoseklusis metodas

bendroji rizikos analizės strategija

priemonės esamai būklei įvertinti (informacijos technologijų sistemos identifikavimas, aplinkos/fizinių sąlygų identifikavimas, esamos ar planuojamos saugos priemonės)

organizacinės ir fizinės saugos priemonės (informacijos technologijų saugos politika, politikos įgyvendinimo patikrinimas, personalas, incidentų valdymas, operatyvinės priemonės, verslo tęstinumo planavimas, fizinė sauga, kompiuterinio tinklo sauga, kriptografija, duomenų perdavimo priemonės)

saugos priemonių parinkimas atsižvelgiant į informacinės sistemos tipą (informacijos technologijų saugos politika ir valdymas, informacijos technologijų saugos patikrinimas, incidentų valdymas, personalas, operatyvinės priemonės, verslo tęstinumo planas, fizinė sauga)

 

saugos priemonių parinkimas atsižvelgiant į poreikį ir grėsmę (konfidencialumo, integralumo, prieinamumo, atsiskaitomybės, autentiškumo, lankstumo praradimas);

saugos priemonių parinkimas pagal detalaus įvertinimo rezultatus

 

rekomendacijos, kaip klasifikuoti informaciją pagal duomenų pobūdį, informacijos susiejimas su rizikos veiksniais, duomenų saugos priemonės pagal duomenų grupes

 

 

tarptautinių standartų vertimas į lietuvių kalbą;

lietuviškų saugos standartų parengimas

2. Svarbiausiųjų valstybės informacinių sistemų saugos stiprinimas

įvertinti valstybės institucijų informacijos technologijų saugą

 

 

 

 

 

sukurti saugų valstybinį duomenų perdavimo tinklą valstybės institucijų kompiuterinio tinklo (VIKT) pagrindu

 

 

 

 

 

 

 

įgyvendinti asmens tapatybės nustatymo priemones

 

 

užtikrinti interneto tarnybinių stočių saugą valstybės institucijose

 

Vidaus reikalų ministerija –

2004 metų II ketvirtis

 

 

 

Vidaus reikalų ministerija –

2002 metų III ketvirtis – 2004 metų IV ketvirtis

 

 

 

 

 

 

 

Vidaus reikalų ministerija – 2003 metų I ketvirtis

 

Vidaus reikalų ministerija –

2004 metų I ketvirtis

bendros informacinių sistemų įvertinimo metodikos (informacijos technologijų infrastruktūros, informacinių sistemų integruotumo, informacijos technologijų saugos, informacijos technologijų projektų vadybos) parengimas

 

 

 

duomenų, perduodamų valstybiniu duomenų perdavimo tinklu, kodavimo ir šifravimo reikalavimai

reikalavimai institucijoms, prisijungiančioms prie valstybinio duomenų perdavimo tinklo

valstybinis duomenų perdavimo tinklas turi būti parengtas atsižvelgiant į informacinės visuomenės plėtros strateginiame plane numatytos 2.10 priemonės (2.10. Integruoti valstybinius ryšių ir duomenų perdavimo tinklus, nustatyti integruoto tinklo valdymą) rekomendacijas

 

 

 

saugos reikalavimų asmens tapatybės kortelių techniniams komponentams parengimas

 

 

visų interneto tarnybinių stočių valstybės institucijose pažeidžiamumo nustatymo metodikos parengimas, analizė ir rekomendacijų pateikimas; saugumo reikalavimų įvedimas; nuolatinis saugos priemonių katalogo (programinė įranga, tiekėjai, kvalifikacija, įvertinimas ir t.t.) atnaujinimas

3. Informacijos technologijų saugos atitikties vertinimo sistemos sukūrimas

parengti informacijos technologijų saugos atitikties vertinimo planus, tvarką, kriterijus ir metodinę medžiagą

Vidaus reikalų ministerija –

2004 metų I ketvirtis

teisės akto, kuriuo tvirtinama informacijos technologijų saugos atitikties vertinimo sistema (metodinė medžiaga, vertinimo kriterijai, tvarka, planai), parengimas

4. Metodologinės ir konsultacinės sistemos plėtra

parengti Informacijos technologijų saugos mokymo programą viešojo administravimo institucijoms

 

 

skelbti informaciją interneto tinklalapyje ir spaudoje

Švietimo ir mokslo ministerija, Vidaus reikalų ministerija – 2002 metų IV ketvirtis

 

Vidaus reikalų ministerija –

2002 metų II ketvirtis – 2004 metų IV  ketvirtis

mokymo programos ir metodikos viešojo administravimo institucijoms parengimas

 

 

 

 

spaudai skirtos informacijos ir tinklalapio atnaujinimo metodikos parengimas

5. Valstybės tarnautojų mokymas informacijos technologijų saugos, duomenų saugos įgaliotinių įgūdžių ugdymas

rengti informacijos technologijų saugos specialistus

 

 

organizuoti seminarus

 

Vidaus reikalų ministerija –

2004 metų IV ketvirtis

Vidaus reikalų ministerija –

2002 metų II–IV ketvirčiai –

2004 metų IV ketvirtis

15 specialistų, turinčių tarptautinius informacijos technologijų saugos sertifikatus (pvz., CIIS), parengimas

 

 

seminarų metodinės medžiagos parengimas

6. Informacijos technologijų saugos įgyvendinimo kontrolės užtikrinimas

 

įsteigti informacijos technologijų saugos įvertinimo (konsultavimo) padalinį

 

 

įsteigti padalinį Saugumo priežiūros tarnybos funkcijoms vykdyti

Vidaus reikalų ministerija –

2003 metų I ketvirtis

 

Vidaus reikalų ministerija –

2002 metų I ketvirtis

padalinio įsteigimas

 

 

 

 

nuostatų ir veiklos plano patvirtinimas, padalinio įsteigimas

Priedo pakeitimai:

Nr. 1244, 2002-08-10, Žin., 2002, Nr. 80-3429 (2002-08-14)

Nr. 936, 2003-07-18, Žin., 2003, Nr. 73-3370 (2003-07-23)

 

__________________


 

Pakeitimai:

 

1.

Lietuvos Respublikos Vyriausybė, Nutarimas

Nr. 1244, 2002-08-10, Žin., 2002, Nr. 80-3429 (2002-08-14)

DĖL LIETUVOS RESPUBLIKOS VYRIAUSYBĖS 2001 M. GRUODŽIO 22 D. NUTARIMO NR. 1625 "DĖL INFORMACIJOS TECHNOLOGIJŲ SAUGOS VALSTYBINĖS STRATEGIJOS IR JOS ĮGYVENDINIMO PLANO PATVIRTINIMO" PAKEITIMO

 

2.

Lietuvos Respublikos Vyriausybė, Nutarimas

Nr. 936, 2003-07-18, Žin., 2003, Nr. 73-3370 (2003-07-23)

DĖL LIETUVOS RESPUBLIKOS VYRIAUSYBĖS 2001 M. GRUODŽIO 22 D. NUTARIMO NR. 1625 „DĖL INFORMACIJOS TECHNOLOGIJŲ SAUGOS VALSTYBINĖS STRATEGIJOS IR JOS ĮGYVENDINIMO PLANO PATVIRTINIMO" PAKEITIMO

 

*** Pabaiga ***

 

 

Redagavo: Angonita Rupšytė (2003-07-23)

anrups@lrs.lt