Suvestinė redakcija nuo 2008-07-30 iki 2011-05-11

 

Įsakymas paskelbtas: Žin. 2005, Nr. 143-5225, i. k. 10523VTISAK0027V-76

 

 

VALSTYBĖS TARNYBOS DEPARTAMENTO PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS DIREKTORIUS

 

Į S A K Y M A S

DĖL VALSTYBĖS TARNAUTOJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2005 m. lapkričio 21 d. Nr. 27V-76

Vilnius

 

Vadovaudamasis Valstybės informacinių sistemų steigimo ir įteisinimo taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), 8 punktu bei Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 punktu:

Preambulės pakeitimai:

Nr. 27V-156, 2008-07-23, Žin., 2008, Nr. 86-3447 (2008-07-29), i. k. 10823VTISAK027V-156

 

1. Tvirtinu Valstybės tarnautojų registro duomenų saugos nuostatus (pridedama).

2. Skiriu Valstybės tarnybos departamento prie Vidaus reikalų ministerijos Registro ir analizės skyriaus vedėją Laimą Tuleikienę Valstybės tarnautojų registro saugos įgaliotiniu.

3. Įpareigoju Valstybės tarnautojų registro saugos įgaliotinį iki 2008 m. rugsėjo 15 d. teisės aktų nustatyta tvarka parengti ir pateikti tvirtinti Valstybės tarnybos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriui teisės aktų projektus dėl:

3.1. Valstybės tarnautojų registro saugaus elektroninės informacijos tvarkymo taisykles;

3.2. Valstybės tarnautojų registro veiklos tęstinumo valdymo planą;

3.3. Valstybės tarnautojų registro naudotojų administravimo taisykles.

Punkto pakeitimai:

Nr. 27V-156, 2008-07-23, Žin., 2008, Nr. 86-3447 (2008-07-29), i. k. 10823VTISAK027V-156

 

4. Įpareigoju Valstybės tarnybos departamento prie Vidaus reikalų ministerijos Registro ir analizės skyrių inicijuoti duomenų saugos mokymus Valstybės tarnautojų registro vartotojams.

 

 

DIREKTORIUS                                                                                  OSVALDAS ŠARMAVIČIUS

 


 

PATVIRTINTA

Valstybės tarnybos departamento prie

Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2005 m. lapkričio 21 d.

įsakymu Nr. 27V-76

(Valstybės tarnybos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus

2008 m. liepos 23 d. įsakymo Nr. 27V-156 redakcija)

 

VALSTYBĖS TARNAUTOJŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Valstybės tarnautojų registro (toliau – registras) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja registro saugos politiką.

2. Šiuose Saugos nuostatuose vartojamos sąvokos atitinka Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) (toliau – Saugos reikalavimai), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 17799:2006 ir LST ISO/IEC 27001:2006 vartojamas sąvokas.

3. Registro saugos tikslas – užtikrinti registro elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. Registro duomenų saugumui užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo ir saugos priemonių projektavimo ir diegimo principus.

4. Registro duomenų saugos užtikrinimo prioritetinės kryptys:

4.1. registro duomenų tvarkymui naudojamos techninės ir programinės įrangos kontrolė;

4.2. registro duomenų tvarkymo kontrolė;

4.3. Naudojimosi registro duomenimis kontrolė.

5. Saugos nuostatai taikomi:

5.1. Vadovaujančiajai registro tvarkymo įstaigai – Valstybės tarnybos departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Departamentas), esančiam Kalvarijų g. 3, LT-09310 Vilniuje, kuris:

5.1.1. priima sprendimą dėl registro informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo;

5.1.2. rengia ir tvirtina teisės aktus, susijusius su registro duomenų tvarkymu ir duomenų sauga, ir prižiūri, kaip jų laikomasi;

5.1.3. skiria saugos įgaliotinį;

5.1.4. atlieka registro duomenų bazių techninę priežiūrą;

5.1.5. užtikrina registro sąveiką su kitomis informacinėmis sistemomis ir registrais;

5.1.6. užtikrina nepertraukiamą registro veikimą ir duomenų, esančių registro duomenų bazėse, saugą;

5.1.7. vadovaujančiosios registro tvarkymo įstaigos ir duomenų gavėjų sutarčių dėl duomenų teikimo nustatyta tvarka teikia automatiniu būdu registro duomenis duomenų gavėjams bei užtikrina teikiamų duomenų saugą;

5.1.8. atlieka kitas Saugos nuostatų, Saugos reikalavimų, registro nuostatų ir kitų teisės aktų nustatytas funkcijas.

5.2. Registro tvarkytojams – valstybės ir savivaldybių institucijoms ir įstaigoms (toliau – įstaigos), nurodytoms Valstybės tarnybos įstatymo 2 straipsnio 4 dalyje (Žin., 1999, Nr. 66-2130; 2002, Nr. 45-1708), elektroniniu būdu tvarkančioms registro duomenis.

6. Saugos įgaliotinis organizuoja ir kontroliuoja šių Saugos nuostatų įgyvendinimą ir atlieka kitas funkcijas:

6.1. teikia Departamento direktoriui siūlymus dėl:

6.1.1. saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;

6.1.2. registro saugos reikalavimų atitikties vertinimo atlikimo;

6.2. koordinuoja elektroninės informacijos saugos incidentų tyrimą;

6.3. atlieka kitas Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas ir kitus Departamento direktoriaus nurodymus, susijusius su registro sauga.

7. Administratorius:

7.1. atsako už registro funkcionavimą užtikrinančios techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą, registro funkcionavimo užtikrinimą, atsakingų už registro duomenų tvarkymą asmenų (toliau – naudotojai) registravimą ir prisijungimo vardų skyrimą, prieigos prie registro infrastruktūros išteklių teisių nustatymą;

7.2. atsako už priskirtų registro komponentų (kompiuterizuotų darbo vietų, tarnybinių stočių, operacinių sistemų, duomenų bazių, įsilaužimo aptikimo sistemų) administravimą, registro komponentų sąrankos aprašymo dokumentacijos parengimo ir atnaujinimo organizavimą, pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą bei jų atitiktį Saugos nuostatų ir Saugos politiką įgyvendinančių dokumentų reikalavimams;

7.3. pagal kompetenciją rengia pasiūlymus dėl registro palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

7.4. registruoja elektroninės informacijos saugos incidentus, informuoja apie juos saugos įgaliotinį ir teikia pasiūlymus dėl minėtų incidentų pašalinimo;

7.5. užtikrina registro duomenų konfidencialumą ir vientisumą;

7.6. atlieka kitas Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas ir kitus Departamento direktoriaus ar saugos įgaliotinio nurodymus, susijusius su registro sauga.

8. Registro naudotojai:

8.1. vadovaudamiesi Saugos nuostatais, Departamento direktoriaus tvirtinamomis Saugaus Valstybės tarnautojų registro elektroninės informacijos tvarkymo taisyklėmis, Valstybės tarnautojų registro naudotojų administravimo taisyklėmis ir pareigybių aprašymais, naudojasi registru;

8.2. užtikrina duomenų tvarkymo teisėtumą;

8.3. informuoja saugos įgaliotinį, registro administratorių apie elektroninės informacijos saugos incidentus, registro darbo sutrikimus;

8.4. vykdo kitas Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas ir kitus Departamento direktoriaus, saugos įgaliotinio ir administratoriaus nurodymus, susijusius su registro naudojimu ir registro sauga.

9. Teisės aktai, kuriais vadovaujantis tvarkomi registro duomenys ir užtikrinama jų sauga:

9.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

9.2. Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);

9.3. Saugos reikalavimai;

9.4. Lietuvos standartai LST ISO/IEC 17799:2006 ir LST ISO/IEC 27001:2006 bei Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;

9.5. kiti teisės aktai, reglamentuojantys registro duomenų tvarkymo teisėtumą, registro tvarkytojų veiklą ir registro duomenų saugos valdymą.

 

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

10. Atsižvelgiant į registro duomenų savybių (vientisumo, konfidencialumo ir prieinamumo) įtaką registro darbui, registras priskiriamas antrajai informacinių sistemų kategorijai pagal Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), 3.3.1 punktą.

11. Registro saugos priemonės parenkamos įvertinus galimus rizikos veiksnius registro duomenų vientisumui, konfidencialumui ir prieinamumui.

12. Registro saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet iki spalio 1 dienos organizuoja registro rizikos įvertinimą. Prireikus registro saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. Registro rizikos veiksnių vertinimui taikoma kokybinė rizikos vertinimo metodika.

13. Registro rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausieji rizikos veiksniai yra šie:

13.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

13.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis registro duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);

13.3. nenugalima jėga (force majeure).

14. Departamento direktorius, atsižvelgdamas į registro rizikos įvertinimo ataskaitą, prireikus tvirtina saugos įgaliotinio parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

15. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 4 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), nustatyta tvarka kasmet organizuojamas registro informacinių technologijų saugos reikalavimų atitikties vertinimas, kurio metu:

15.1. įvertinama Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų atitiktis realiai registro duomenų saugos situacijai;

15.2. inventorizuojama registro techninė ir programinė įranga;

15.3. tikrinama ne mažiau kaip 10 registro naudotojų kompiuterizuotų darbo vietų ir registro tarnybinėse stotyse įdiegtos programos bei jų sąranga (konfigūracija);

15.4. patikrinama registro naudotojams suteiktų teisių tvarkyti registrą atitiktis atliekamoms funkcijoms, prireikus registro naudotojų teisės praplečiamos ar apribojamos;

15.5. įvertinamas pasiruošimas atkurti registro veiklą registro duomenų saugos incidento atveju;

15.6. analizuojami rizikos veiksniai, galimos jų pašalinimo arba neigiamo poveikio sumažinimo priemonės ir Saugos nuostatuose nustatyta tvarka koreguojama registro rizikos įvertinimo ataskaita.

16. Remdamasis atlikto registro informacinių technologijų saugos reikalavimų atitikties vertinimo rezultatais, saugos įgaliotinis parengia ir Departamento direktoriui pateikia tvirtinti pastebėtų trūkumų šalinimo planą, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytųjų priemonių įgyvendinimo terminai.

17. Techninės, programinės ir organizacinės elektroninės informacijos saugos priemonės pasirenkamos, kad būtų užtikrintas registro veiklos tęstinumas patiriant kuo mažiau išlaidų ir saugus registro naudotojų darbas.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

18. Registro darbui turi būti naudojama tik legali programinė įranga.

19. Registro tarnybinėse stotyse neturi veikti programinė įranga, nesusijusi su registro duomenų tvarkymu, registro naudotojų ir pačios įrangos administravimu.

20. Registro tarnybinėse stotyse privalo būti naudojama programinė įranga, skirta kovai su kenksminga programine įranga, atnaujinama automatiniu būdu ne rečiau kaip kas trys dienos.

21. Registro programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.

22. Registro naudotojų, jų vykdytų užklausų ir peržiūrėtų užklausų rezultatų duomenys tvarkomi registro administratoriaus posistemėje Departamento direktoriaus nustatyta tvarka.

23. Tiesioginė prieiga prie registro duomenų suteikiama įgyvendinus registro naudotojų autentifikavimo priemones. Tiesioginė prieiga prie registro duomenų užtikrinama automatiniu būdu ištisą parą darbo ir poilsio dienomis.

24. Registro duomenys perduodami automatiniu būdu naudojant TCP/IP protokolą realiame laike („On-line“ režimu) arba asinchroniniu režimu pagal registro duomenų teikimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, kopijų skaičius, kitos duomenų perdavimo sąlygos ir tvarka.

25. Registro duomenys, perduodami ne per Vidaus reikalų telekomunikacinį tinklą, turi būti šifruojami; duomenų šifravimą privalo užtikrinti vadovaujančioji registro tvarkymo įstaiga; registro duomenų gavėjų prieigą prie registro duomenų turi kontroliuoti tinklo užkarda.

26. Registro naudotojams, savo tarnybinėms funkcijoms vykdyti naudojantiems nešiojamuosius kompiuterius registro duomenų perdavimui kompiuterių tinklais ne savo darbo vietoje, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas registro naudotojo tapatybės patvirtinimas ir registro duomenų šifravimas.

27. Registro administratorius atsako už atsarginių registro duomenų kopijų darymą ir saugojimą. Registro duomenų atsarginės kopijos turi būti daromos automatiškai. Prireikus jas atkurti turi teisę tik registro administratorius. Turi būti periodiškai atliekama kopijų tinkamumo ir saugojimo kontrolė. Kopijų, iš kurių būtų galima atstatyti registro duomenis, darymo ir saugojimo tvarka detaliai aprašyta Departamento direktoriaus tvirtinamose Valstybės tarnautojų registro saugaus elektroninės informacijos tvarkymo taisyklėse.

 

IV. REIKALAVIMAI PERSONALUI IR SUPAŽINDINIMO SU SAUGOS REIKALAVIMAIS TVARKA

 

28. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Saugos reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą, standartais ir kitais dokumentais, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

29. Registro administratorius privalo išmanyti pagrindinius saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugumą, turėti sisteminių programinių priemonių (Windows, Unix) administravimo bei priežiūros patirties, turi būti susipažinęs su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais, taip pat kitomis vidaus ir darbo saugos taisyklėmis.

30. Registro naudotojai privalo turėti darbo kompiuteriu įgūdžių. Tvarkyti registro duomenis gali tik registro naudotojai, pasirašytinai arba elektroniniu būdu susipažinę su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais. Registro naudotojų supažindinimas su šiais teisės aktais atliekamas Departamento direktoriaus patvirtintų Valstybės tarnautojų registro naudotojų administravimo taisyklių nustatyta tvarka.

31. Registro naudotojų supažindinimą su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais ir atsakomybe už šių reikalavimų nesilaikymą organizuoja saugos įgaliotinis. Saugos įgaliotinis informuoja registro naudotojus apie Saugos nuostatų pakeitimus ar kitų saugos politiką įgyvendinančių teisės aktų pripažinimą netekusiais galios, keitimą ar priėmimą.

32. Registro naudotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugos problematiką (pvz., priminimai elektroniniu būdu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir pan.).

33. Registro naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti registro saugos įgaliotiniui ir/arba registro administratoriui.

34. Esant elektroninės informacijos saugos incidentui, nenumatytai situacijai, registro saugos įgaliotinio, registro administratoriaus, registro naudotojų veiksmus reglamentuoja Valstybės tarnautojų registro veiklos tęstinumo valdymo planas.

 

V. BAIGIAMOSIOS NUOSTATOS

 

35. Registro saugos įgaliotinis, registro administratorius, registro naudotojai, pažeidę Saugos nuostatų ar kitų saugos politiką įgyvendinančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

 

______________

 

 

 

Pakeitimai:

 

1.

Valstybės tarnybos departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos, Įsakymas

Nr. 27V-156, 2008-07-23, Žin., 2008, Nr. 86-3447 (2008-07-29), i. k. 10823VTISAK027V-156

Dėl Valstybės tarnybos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2005 m. lapkričio 21 d. įsakymo Nr. 27V-76 "Dėl Valstybės tarnautojų registro duomenų saugos nuostatų patvirtinimo" pakeitimo