2.1.    Informatikos ir ryšių departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos per 1 mėnesį nuo Sertifikatų valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo paskirti Sertifikatų valdymo informacinės sistemos saugos įgaliotinį ir administratorių.

2.2.    Sertifikatų valdymo informacinės sistemos saugos įgaliotiniui per 6 mėnesius nuo Sertifikatų valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo parengti ir pateikti Sertifikatų valdymo informacinės sistemos valdytojui tvirtinti saugos politiką įgyvendinančių dokumentų projektus.

1.         Sertifikatų valdymo informacinės sistemos duomenų saugos nuostatai (toliau – SVIS saugos nuostatai) nustato Sertifikatų valdymo informacinės sistemos (toliau – SVIS) elektroninės informacijos saugos politiką.

2.         SVIS saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas).

3.         SVIS elektroninės informacijos saugos politikos tikslas – užtikrinti SVIS elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą.

4.         SVIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

5.         SVIS saugos nuostatų reikalavimai taikomi:

6.         SVIS valdytoja atlieka Sertifikatų valdymo informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2011 m. rugsėjo 19 d. įsakymu Nr. 1V-697 „Dėl Sertifikatų valdymo informacinės sistemos nuostatų patvirtinimo“ (toliau – SVIS nuostatai), nustatytas funkcijas, taip pat:

7.         Asmens dokumentų išrašymo centras, atlieka SVIS nuostatuose nustatytas funkcijas, o taip pat:

8.         Informatikos ir ryšių departamentas atlieka SVIS nuostatuose nustatytas funkcijas, o taip pat:

9.         Vidaus reikalų statutinės įstaigos atlieka SVIS nuostatuose nustatytas funkcijas, taip pat:

10.       Valstybės ir savivaldybių įstaigos ir institucijos atlieka SVIS nuostatuose nustatytas funkcijas, taip pat:

11.       SVIS saugos įgaliotinis:

12.       SVIS administratorius:

13.       Tvarkant SVIS elektroninę informaciją ir užtikrinant jos saugą, vadovaujamasi:

14.       Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas), 8.1 ir 8.2 papunkčiais, SVIS tvarkoma elektroninė informacija priskiriama svarbios elektroninės informacijos kategorijai.

15.       Vadovaujantis Klasifikavimo gairių aprašo 12.2 papunkčio nuostatomis ir atsižvelgiant į apdorojamos informacijos svarbą, SVIS priskiriama antrosios kategorijos informacinėms sistemoms.

16.       Vadovaujantis Bendrųjų reikalavimų saugumo priemonėms 11.2 papunkčiu, SVIS organizacinės ir techninės asmens duomenų saugumo priemonės turi užtikrinti pirmą automatiniu būdu tvarkomų asmens duomenų saugumo lygį.

17.       SVIS saugos įgaliotinis kasmet organizuoja SVIS informacinių technologijų saugos reikalavimų atitikties vertinimą, kurio metu:

18.       Atlikus SVIS informacinių technologijų saugos reikalavimų atitikties vertinimą SVIS saugos įgaliotinis rengia informacinių technologijų saugos atitikties vertinimo ataskaitą ir pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato SVIS valdytojo vadovas.

19.       SVIS saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo metodai“ grupės standartus, ne rečiau kaip kartą per metus organizuoja SVIS rizikos įvertinimą.

20.       SVIS rizikos įvertinimas išdėstomas SVIS rizikos įvertinimo ataskaitoje. Ši ataskaita rengiama atsižvelgiant į Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 36 punkte nustatytus rizikos veiksnius.

21.       Atsižvelgdamas į SVIS rizikos įvertinimo ataskaitą, SVIS valdytojas prireikus tvirtina SVIS rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomos SVIS rizikos valdymo priemonės bei techninių, administracinių ir kitų išteklių poreikis joms įgyvendinti, bei paskiria šių priemonių atsakingus vykdytojus ir nustato šių priemonių įgyvendinimo terminus.

22.       SVIS saugos nuostatų 23 punkte nurodytais, o prireikus ir kitais atvejais SVIS saugos įgaliotinis gali organizuoti neeilinį SVIS rizikos įvertinimą.

23.       Neeilinis SVIS rizikos įvertinimas organizuojamas, kai:

24.       Parenkant SVIS elektroninės informacijos saugos priemones turi būti atsižvelgiama į Lietuvos standarto LST ISO/IEC 27002:2014 „Informacijos technologija. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ rekomendacijas.

25.       Programinės įrangos, skirtos apsaugoti SVIS nuo kenksmingos programinės įrangos (virusų, šnipinėjimui skirtos programinės įrangos ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

26.       Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:

27.       SVIS neturi veikti programinė įranga, kuri nėra susijusi su SVIS elektroninės informacijos tvarkymu.

28.       SVIS sąveikos su registrais saugumui užtikrinti naudojamas Vidaus reikalų telekomunikacinis tinklas.

29.       SVIS tarnybinės stotys nuo išorinio tinklo yra atskirtos aparatinėmis tinklo užkardomis, kurias administruoja ir prižiūri SVIS administratorius.

30.       Jeigu SVIS administravimui yra reikalinga naudoti nešiojamą kompiuterinę įrangą (nešiojamus kompiuterius, išorines duomenų laikmenas ir pan.), tokią įrangą leidžiama laikyti tik institucijos, kuriai pavesta vykdyti SVIS techninės ir programinės įrangos priežiūrą,  patalpose ir naudoti tik SVIS administravimo tikslu.

31.       SVIS atsarginės elektroninės informacijos kopijos daromos esant aktyviai SVIS duomenų bazei (SVIS naudotojų prisijungimas prie SVIS duomenų bazės yra leidžiamas) automatiniu būdu SVIS administratoriaus nustatytu laiku.

32.       Siekiant išvengti SVIS atsarginių elektroninės informacijos kopijų neteisėto panaudojimo, SVIS atsarginės elektroninės informacijos kopijos šifruojamos arba naudojamos kitos ekvivalenčios apsaugos priemonės.

33.       SVIS elektroninės informacijos atkūrimo išbandymą bent kartą per metus atlieka SVIS administratorius. Šio bandymo metu SVIS elektroninė informacija atkuriama taip, kaip ji būtų atkuriama tuo atveju, jei būtų netikėtai prarasta. Bandymo metu atkurta SVIS elektroninė informacija patikrinama ir įvertinama, siekiant įsitikinti, kad bandymas buvo užbaigtas ir sėkmingas.

34.       Išorės naudotojams SVIS teikia tik viešą SVIS tvarkomą informaciją. Atsakymų į automatizuotas sertifikatų galiojimo užklausas vientisumą užtikrina atsakymuose naudojamas elektroninis parašas. Iš SVIS duomenų teikėjų ir SVIS duomenų šaltinių gaunamų duomenų vientisumas užtikrinamas naudojant viešojo rakto infrastruktūros priemones, kurios leidžia autentifikuoti SVIS gaunamus duomenis teikiančias kitų informacinių sistemų tarnybines stotis.

35.       SVIS naudotojai, pastebėję SVIS saugos dokumentų reikalavimų pažeidimus, neveikiančias arba netinkamai veikiančias SVIS elektroninės informacijos saugos užtikrinimo priemones, ar nusikalstamos veikos požymių, privalo nedelsdami apie tai telefonu ar elektroniniu paštu pranešti SVIS administratoriui, SVIS saugos įgaliotiniui.

36.       SVIS naudotojai privalo išmanyti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą ir kitus teisės aktus, reglamentuojančius asmens duomenų tvarkymą, būti susipažinę su saugų SVIS elektroninės informacijos tvarkymą reglamentuojančiais teisės aktais.

37.       SVIS saugos įgaliotiniu skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis elektroninės informacijos saugos užtikrinimo principus.

38.       SVIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.

39.       SVIS administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis pagrindinius elektroninės informacijos saugos užtikrinimo principus, turintis darbo su kompiuterių tinklais, sisteminių programinių priemonių administravimo ir priežiūros patirties, mokantis administruoti ir prižiūrėti duomenų bazes.

40.       SVIS administratorius privalo sugebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, trikdžių diagnostiką ir šalinimą.

41.       SVIS naudotojų mokymai vykdomi ne rečiau kaip kartą per dvejus metus pagal SVIS saugos įgaliotinio parengtą mokymų planą.

42.       Tvarkyti SVIS elektroninę informaciją gali tik SVIS naudotojai, susipažinę su SVIS saugos dokumentais, kitais teisės aktais, kuriais vadovaujamasi tvarkant SVIS elektroninę informaciją, užtikrinant jos saugą ir atsakomybe už SVIS saugos dokumentų nuostatų pažeidimus ir raštu sutikę laikytis nurodytų dokumentų reikalavimų.

43.       SVIS naudotojus su SVIS saugos dokumentais, kitais teisės aktais, kuriais vadovaujamasi tvarkant SVIS elektroninę informaciją, užtikrinant jos saugą bei atsakomybe už jų nuostatų pažeidimus supažindina SVIS saugos įgaliotinis. Pakartotinis supažindinimas yra vykdomas pasikeitus minėtiems dokumentams ir teisės aktams.