Suvestinė redakcija nuo 2012-03-16 iki 2012-11-06
Įsakymas paskelbtas: Žin. 2007, Nr. 105-4324, i. k. 1072050ISAK001K-289
LIETUVOS RESPUBLIKOS FINANSŲ MINISTRAS
Į S A K Y M A S
DĖL FINANSŲ MINISTERIJOS INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2007 m. spalio 3 d. Nr. 1K-289
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 punktu:
1. Tvirtinu Lietuvos Respublikos finansų ministerijos informacinių sistemų duomenų saugos nuostatus (pridedama).
2. Skiriu Informacinių technologijų departamento vyr. specialistą Rimą Čiuladą Finansų ministerijos valdomų ir tvarkomų informacinių sistemų saugos įgaliotiniu (toliau – saugos įgaliotinis). Laikinai nesant saugos įgaliotinio dėl ligos, komandiruotės ar kitų objektyvių priežasčių, šias funkcijas laikinai atlieka Informacinių technologijų departamento direktorius.
Punkto pakeitimai:
Nr. 1K-232, 2011-06-30, Žin., 2011, Nr. 81-3995 (2011-07-05), i. k. 1112050ISAK001K-232
3. Pavedu saugos įgaliotiniui per 4 mėnesius nuo šio įsakymo įsigaliojimo parengti:
4. Pripažįstu netekusiais galios:
4.1. Lietuvos Respublikos finansų ministro 2004 m. spalio 26 d. įsakymą Nr. 1K-346 „Dėl Lietuvos Respublikos finansų ministerijos duomenų saugos nuostatų patvirtinimo“;
4.2. Lietuvos Respublikos finansų ministro 2006 m. balandžio 6 d. įsakymo Nr. 1K-152 „Dėl Valstybės biudžeto apskaitos ir mokėjimų sistemos bei šios sistemos duomenų saugos nuostatų patvirtinimo“ (Žin., 2006, Nr. 41-1485) 1.2 ir 2 punktus;
PATVIRTINTA
Lietuvos Respublikos finansų ministro
2007 m. spalio 3 d. įsakymu Nr. 1K-289
LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJOS INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos finansų ministerijos informacinių sistemų duomenų saugos nuostatai (toliau – saugos nuostatai) nustato principus ir reikalavimus, užtikrinančius saugų elektroninės informacijos tvarkymą (toliau – saugos politika) Lietuvos Respublikos finansų ministerijos (toliau – ministerija) valdomose informacinėse sistemose, jų posistemiuose ir duomenų rinkmenose (toliau – IS) atliekant ministerijai pavestas funkcijas.
2. Saugos nuostatuose vartojamos sąvokos:
Administratorius – ministerijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį (toliau – darbuotojas), atliekantis IS infrastruktūros priežiūrą, registruojantis IS infrastruktūros naudotojus, skiriantis jiems registravimosi vardus, nustatantis prieigos prie IS infrastruktūros išteklių teises.
Elektroninė informacija – neįslaptinta informacija (arba duomenys), saugoma, perduodama ar kitaip apdorojama elektroniniu būdu ministerijos valdomose IS, leidžiančiose tokią informaciją saugoti, perduoti ar kitaip apdoroti, arba valstybės ir žinybiniuose registruose ir sudaranti sąlygas sėkmingai atlikti ministerijos funkcijas.
IS administratorius – ministerijos valstybės tarnautojas ar darbuotojas, atliekantis IS priežiūrą, registruojantis IS naudotojus, skiriantis jiems registravimosi vardus, nustatantis prieigos prie IS išteklių teises.
IS duomenų gavėjas -valstybės institucija ar įstaiga, kuri Lietuvos Respublikos teisės aktų nustatyta tvarka turi teisę gauti duomenis savo atliekamoms priežiūros ir kontrolės funkcijoms. IS duomenų gavėjais gali būti ir kiti fiziniai ir juridiniai asmenys, Lietuvos Respublikos teisės aktų nustatyta tvarka turintys teisę gauti duomenis ir pateikę prašymus ar sudarę elektroninės informacijos (arba duomenų) teikimo sutartis, kuriose nurodyti duomenų naudojimo tikslai, sąlygos ir tvarka.
IS duomenų teikėjas – valstybės institucija ar įstaiga, taip pat kitas fizinis ar juridinis asmuo, Lietuvos Respublikos teisės aktų nustatyta tvarka turintis teikti duomenis IS ir sudaręs elektroninės informacijos (arba duomenų) teikimo sutartį, kurioje nurodyti duomenų naudojimo tikslai, sąlygos ir tvarka.
IS duomenų valdytojas – ministerijos administracijos padalinio, kurio funkcijoms atlikti reikiamą informaciją apdoroja IS, vadovas. IS duomenų valdytojas, vadovaudamasis IS valdytojo patvirtinta informacinių technologijų strategija, rengia IS kūrimo ir plėtros planus, prižiūri IS kūrimą, diegimą ir tvarkymą, kontroliuoja lėšų, skiriamų IS, panaudojimą.
IS naudotojas – valstybės tarnautojas ar darbuotojas, turintis teisę naudotis IS ištekliais numatytoms funkcijoms atlikti.
Kitos šiuose saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos teisės aktuose bei Lietuvos standartuose LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001: 2006 vartojamas sąvokas.
Punkto pakeitimai:
Nr. 1K-093, 2012-03-09, Žin., 2012, Nr. 32-1502 (2012-03-15), i. k. 1122050ISAK001K-093
3. Už ministerijos valdomų IS elektroninės informacijos tvarkymo teisėtumą ir elektroninės informacijos saugą atsako IS valdytojas – ministerija.
4. IS valdytojas užtikrina valdomų IS elektroninės informacijos saugumą, vientisumą, konfidencialumą, prieinamumą, tinkamą kompiuterių bei komunikacinės įrangos funkcionavimą ministerijoje ir valdomų IS duomenų teikimą IS duomenų gavėjams.
5. IS valdytojas, vadovaudamasis saugos nuostatais, skiria IS saugos įgaliotinį (toliau – saugos įgaliotinis), IS administratorius, administratorius, IS duomenų valdytojus, esant poreikiui sudaro elektroninės informacijos saugos darbo grupes.
6. Ministerijos elektroninės informacijos saugumo užtikrinimo tikslas – saugiai tvarkyti duomenis ministerijos valdomose IS.
7. Ministerijos elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys – saugus duomenų teikimas, teisėtas ir kokybiškas jų tvarkymas užtikrinant tvarkomų duomenų konfidencialumą, vientisumą ir tinkamo lygio prieinamumą.
8. Ministerijos elektroninės informacijos saugos principai:
8.1. Suvokimo principas. Siekiant užtikrinti elektroninės informacijos saugą, ugdyti suvokimą apie apsisaugojimo priemonių nuo galimos grėsmės elektroninei informacijai naudojimo būtinybę.
8.2. Atsakomybės principas. Kiekvienas IS naudotojas turi suvokti savo atsakomybę ir funkcijas saugant elektroninę informaciją. Elektroninės informacijos saugą ministerijos valdomose IS turi užtikrinti IS valdytojo vadovas arba jo įgaliotas asmuo, o ją įgyvendinti – saugos įgaliotinis.
8.3. Reagavimo principas. Laiku aptikti elektroninės informacijos saugos incidentus ir užkirsti jiems kelią, keistis informacija apie grėsmę elektroninei informacijai ir kovos su ja priemones ministerijoje ir tarp valstybės institucijų.
8.4. Demokratiškumo principas. Ministerijoje elektroninės informacijos sauga turi būti įgyvendinama ir derinama su esminėmis demokratiškos visuomenės vertybėmis (pvz., laisve skleisti informaciją ir ją gauti).
8.5. Rizikos įvertinimo principas. Periodiškai vertinti elektroninės informacijos saugos riziką, siekiant nustatyti esamą elektroninės informacijos saugos lygį, ir parinkti būtinas elektroninės informacijos saugos priemones.
8.6. Elektroninės informacijos saugos kultūros kėlimo principas. Vykdyti nuolatinius elektroninės informacijos tvarkytojų mokymus elektroninės informacijos saugos klausimais ir taip kelti elektroninės informacijos saugos kultūrą ministerijoje.
8.7. Elektroninės informacijos saugos priemonių projektavimo ir diegimo principas. Elektroninės informacijos saugos priemonės turi būti kuriamos kartu su IS. Elektroninės informacijos sauga turi būti pamatinis visų informacinių technologijų (toliau – IT) paslaugų elementas, kuriam būtina užtikrinti nuolatinį lėšų, neviršijančių pačios elektroninės informacijos vertės, skyrimą.
9. Ministerijoje veikiančių IS tvarkytojai:
9.1. Valstybės biudžeto, apskaitos ir mokėjimų sistemos (toliau – VBAMS) tvarkytoja yra Finansų ministerija, taip pat įstaigos ir kiti subjektai, pagal kurių pateiktas mokėjimo paraiškas, vadovaujantis Valstybės biudžeto lėšų išdavimo iš valstybės iždo sąskaitos taisyklėmis, patvirtintomis Lietuvos Respublikos finansų ministro 2000 m. liepos 21 d. įsakymu Nr. 195 (Žin., 2000, Nr. 65-1976; 2007, Nr. 90-3604), iš valstybės iždo sąskaitos pervedamos lėšos, skirtos asignavimų valdytojų ir jiems pavaldžių biudžetinių įstaigų ir kitų subjektų programų sąmatoms vykdyti.
9.2. Europos Sąjungos struktūrinių fondų ir Europos Sąjungos sanglaudos fondo kompiuterinės informacinės valdymo ir priežiūros sistemos (toliau – SFMIS) tvarkytoja yra Finansų ministerija, taip pat valstybės institucijos ir įstaigos, kurios Lietuvos Respublikos Seimo 2003 m. liepos 1 d. nutarimu Nr. IX-1667 „Dėl pavedimo Lietuvos Respublikos valstybės kontrolei atlikti Lietuvos Respublikoje gaunamos Europos Sąjungos struktūrinės paramos auditus“ (Žin., 2003, Nr. 70-3171; 2007, Nr. 108-4402), Lietuvos Respublikos Vyriausybės 2001 m. gegužės 31 d. nutarimu Nr. 649 „Dėl institucijų, atsakingų už Europos Sąjungos struktūrinių fondų lėšų, skirtų Lietuvos 2004–2006 metų bendrojo programavimo dokumentui įgyvendinti, administravimą, atsakomybės ir funkcijų paskirstymo“ (Žin., 2001, Nr. 48-1676; 2005, Nr. 51-1700), Lietuvos Respublikos Vyriausybės 2001 m. rugpjūčio 24 d. nutarimu Nr. 1026 „Dėl Europos Sąjungos sanglaudos fondo lėšų administravimo Lietuvoje“ (Žin., 2001, Nr. 74-2596; 2004, Nr. 103-3777; 2008, Nr. 87-3483) ir Lietuvos Respublikos Vyriausybės 2007 m. spalio 17 d. nutarimu Nr. 1139 „Dėl atsakomybės ir funkcijų paskirstymo tarp institucijų, įgyvendinant Lietuvos 2007–2013 metų Europos Sąjungos struktūrinės paramos panaudojimo strategiją ir veiksmų programas“ (Žin., 2007, Nr. 114-4637) įpareigotos administruoti ES paramos lėšas.
9.3. Viešojo sektoriaus apskaitos konsolidavimo informacinės sistemos (toliau – VSAKIS) tvarkytoja yra Finansų ministerija, taip pat viešojo sektoriaus subjektai, nustatyti Lietuvos Respublikos finansų ministro 2011 m. kovo 17 d. įsakymu Nr. 1K-092 „Dėl Lietuvos Respublikos viešojo sektoriaus subjektų grupių finansinėms ataskaitoms konsoliduoti sudėties ir atsakingų už konsoliduotųjų finansinių ataskaitų rinkinių rengimą viešojo sektoriaus subjektų patvirtinimo“, kurie teikia ir tvirtina VSAKIS duomenis.
Punkto pakeitimai:
Nr. 1K-093, 2012-03-09, Žin., 2012, Nr. 32-1502 (2012-03-15), i. k. 1122050ISAK001K-093
10. Kiekvienas IS tvarkytojas tvarko tik tą elektroninę informaciją, kuri jo valstybės tarnautojams ar darbuotojams – IS naudotojams – prieinama naudojant konkrečios IS programinę įrangą.
11. IS valdytojas rengia ir tvirtina šiuos saugos politiką įgyvendinančius dokumentus:
12. Saugos įgaliotinis organizuoja ir kontroliuoja šių saugos nuostatų įgyvendinimą ir atlieka šias funkcijas:
12.1. teikia IS valdytojui pasiūlymus dėl:
12.1.1. IS administratorių skyrimo (saugos įgaliotinis negali atlikti IS administratoriaus ar administratoriaus funkcijų);
12.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių IS, tyrimą (išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės);
12.4. teisės aktų nustatyta tvarka atlieka IT saugos atitikties vertinimą. Jei vertinimui atlikti būtina įsigyti vertinimo paslaugas, teikia IS valdytojui pasiūlymus dėl minėtų paslaugų įsigijimo;
13. IS duomenų valdytojų funkcijos ir atsakomybė:
14. IS administratoriaus funkcijos ir atsakomybė:
14.1. atsako už priskirtos IS funkcionavimą, IS naudotojų registravimą ir registravimosi vardų skyrimą, prieigos prie IS teisių nustatymą;
14.4. administruoja IS ar jos komponentus (posistemius, duomenų bazių valdymo sistemas, taikomųjų programų sistemas), rengia ir atnaujina IS sąrankos aprašymo dokumentaciją, nustato IS pažeidžiamas vietas ir parenka ir diegia saugos priemones bei užtikrina jų atitiktį saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimams;
14.5. registruoja elektroninės informacijos saugos incidentus ir informuoja apie juos saugos įgaliotinį, teikia pasiūlymus dėl minėtų incidentų pašalinimo;
14.6. tvarkydami IS elektroninę informaciją neatskleidžia, neperduoda tvarkomos informacijos nė vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija tiek ministerijoje, tiek už jos ribų;
14.8. neperduoda neįgaliotiems asmenimis slaptažodžių, naudotojo tapatybės kodų ar kitos informacijos, leidžiančios naudojantis programinėmis ir techninėmis priemonėmis sužinoti asmens duomenis ar kitą IS tvarkomą elektroninę informaciją, ir nesudaro kitų sąlygų susipažinti su IS tvarkoma elektronine informacija;
15. Administratoriaus funkcijos ir atsakomybė:
15.1. atsako už IS funkcionavimą užtikrinančios techninės ir programinės įrangos, infrastruktūros bei IT paslaugų administravimą, funkcionavimo užtikrinimą ir jų naudotojų registravimą ir registravimosi vardų skyrimą, prieigos prie IS infrastruktūros išteklių teisių nustatymą;
15.2. atsako už priskirtų IS komponentų (kompiuterių, serverių, operacinių sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) administravimą, IS komponentų sąrankos aprašymo dokumentacijos parengimą ir atnaujinimą, pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą bei jų atitiktį saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimams;
Punkto pakeitimai:
Nr. 1K-093, 2012-03-09, Žin., 2012, Nr. 32-1502 (2012-03-15), i. k. 1122050ISAK001K-093
15.3. pagal kompetenciją rengia pasiūlymus dėl IS kūrimo, palaikymo, priežiūros ir elektroninės informacijos saugos;
15.4. registruoja elektroninės informacijos saugos incidentus ir informuoja apie juos saugos įgaliotinį, teikia pasiūlymus dėl minėtų incidentų pašalinimo;
15.5. neatskleidžia, neperduoda tvarkomos informacijos nė vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija tiek ministerijoje, tiek už jos ribų;
15.7. neperduoda neįgaliotiems asmenimis slaptažodžių, naudotojo tapatybės kodų ar kitos informacijos, leidžiančios naudojantis programinėmis ir techninėmis priemonėmis sužinoti asmens duomenis ar kitą IS tvarkomą elektroninę informaciją, ir nesudaro kitų sąlygų susipažinti su IS tvarkoma elektronine informacija;
16. IS naudotojų funkcijos ir atsakomybė:
16.1. vadovaudamiesi IS valdytojo patvirtintais IS nuostatais, šiais saugos nuostatais, IS duomenų teikimo sutartimis, IS naudojimo instrukcijomis ir pareigybių aprašymais, naudoja ministerijos IS;
16.2. tvarko IS elektroninę informaciją ir naudojasi kitomis ministerijos IS teikiamomis galimybėmis pagal nustatytą funkcijoms atlikti reikalingą IS prieigos teisių lygmenį, kuris apriboja naudojimosi elektronine informacija apimtį;
16.3. pagal kompetenciją rengia pasiūlymus dėl IS kūrimo, palaikymo, priežiūros ir elektroninės informacijos saugos;
16.4. tvarkydami IS elektroninę informaciją neatskleidžia, neperduoda tvarkomos informacijos nė vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija;
16.6. neperduoda neįgaliotiems asmenimis slaptažodžių, naudotojo tapatybės kodų ar kitos informacijos, leidžiančios naudojantis programinėmis ir techninėmis priemonėmis sužinoti asmens duomenis ar kitą IS tvarkomą elektroninę informaciją, ir nesudaro kitų sąlygų susipažinti su IS tvarkoma elektronine informacija;
16.7. informuoja saugos įgaliotinį, IS administratorių ar administratorių apie elektroninės informacijos saugos incidentus, IS darbo sutrikimus ir teikia pasiūlymus dėl jų pašalinimo;
17. Tvarkant IS elektroninę informaciją bei rengiant saugos politiką įgyvendinančius dokumentus, vadovaujamasi:
17.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597);
17.2. Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);
17.3. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891);
17.4. Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070);
17.5. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160);
17.6. Valstybės institucijų ir įstaigų IS klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160);
17.7. Europos Sąjungos struktūrinių fondų ir Europos Sąjungos sanglaudos fondo kompiuterinės informacinės valdymo ir priežiūros sistemos nuostatais, patvirtintais Lietuvos Respublikos finansų ministro 2006 m. liepos 20 d. įsakymu Nr. 1K-263;
17.8. Valstybės biudžeto apskaitos ir mokėjimų sistemos nuostatais, patvirtintais Lietuvos Respublikos finansų ministro 2006 m. balandžio 6 d. įsakymu Nr. 1K-152 (Žin., 2006, Nr. 41-1485);
17.9. Lietuvos standartais LST ISO/IEC LST ISO/IEC 27002:2009, LST ISO/IEC 27001: 2006, taip pat kitais Lietuvos ir tarptautiniais grupės „Informacijos technologija. Saugumo metodai“ standartais;
Punkto pakeitimai:
Nr. 1K-093, 2012-03-09, Žin., 2012, Nr. 32-1502 (2012-03-15), i. k. 1122050ISAK001K-093
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
18. Ministerijos valdomų IS paskirtis – kaupti, apdoroti ir saugoti ministerijos veiklai vykdyti reikalingus duomenis.
20. Ministerijoje IS kategorijos priskiriamos vadovaujantis Valstybės institucijų ir įstaigų IS klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis:
20.3. prie trečiosios kategorijos IS priskiriama Administracinė informacinė sistema (AIS), Valstybės iždo finansų valdymo ir apskaitos informacinė sistema (FVIS), Finansų ministerijos finansų valdymo ir apskaitos sistema (FVAIS);
20.4. prie ketvirtosios kategorijos IS priskiriamos visos kitos ministerijos vidiniams poreikiams sukurtos ir naudojamos IS.
Punkto pakeitimai:
Nr. 1K-093, 2012-03-09, Žin., 2012, Nr. 32-1502 (2012-03-15), i. k. 1122050ISAK001K-093
21. IS sauga turi būti įgyvendinama siekiant išsaugoti IS elektroninės informacijos savybes. Pirmiausia turi būti diegiamos priemonės, skirtos išsaugoti toms elektroninės informacijos savybėms, kurių praradimas turėtų didžiausią įtaką IS darbui.
22. Pasirenkant saugos priemones prioritetas teikiamas toms priemonėms, kurių diegimas reikalauja mažiausia sąnaudų ir duoda didžiausią efektą.
23. Prioritetinis ministerijos IS elektroninės informacijos (arba duomenų) pateikimo būdas yra informacinių technologijų ir elektroninių ryšių priemonės. Siektinas ministerijos elektroninės informacijos pasiekiamumo lygis darbo dienomis darbo laiku – 98 procentai.
24. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo technika“ standartus, kasmet organizuoja visų IS rizikos vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį IS rizikos vertinimą. IS valdytojo rašytiniu pavedimu IS rizikos vertinimą gali atlikti pats saugos įgaliotinis, dalyvaujant IS duomenų valdytojams.
Punkto pakeitimai:
Nr. 1K-093, 2012-03-09, Žin., 2012, Nr. 32-1502 (2012-03-15), i. k. 1122050ISAK001K-093
25. IS rizikos vertinimo rezultatai išdėstomi rizikos vertinimo ataskaitoje. Rizikos vertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai.
26. Svarbiausieji IS rizikos veiksniai yra išdėstyti Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų 31 punkte.
27. Atsižvelgdamas į rizikos vertinimo ataskaitą, IS valdytojo vadovas prireikus tvirtina IS rizikos vertinimo ataskaitą ir IS rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis IS rizikos valdymo priemonėms įgyvendinti.
28. Teisės aktų nustatyta tvarka atliekant informacinių technologijų saugos atitikties vertinimą, būtina:
28.1. įvertinti saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimų ir realios informacijos saugos situacijos atitiktį;
28.3. patikrinti ne mažiau kaip 10 procentų atsitiktinai parinktų IS naudotojų kompiuterinių darbo vietų, visuose serveriuose įdiegtas programas ir jų sąranką;
Punkto pakeitimai:
Nr. 1K-093, 2012-03-09, Žin., 2012, Nr. 32-1502 (2012-03-15), i. k. 1122050ISAK001K-093
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
30. Ministerijos valdomų IS duomenų teikėjai ir/arba gavėjai sudaro su ministerija elektroninės informacijos arba duomenų teikimo sutartį, kurioje turi būti nurodyti:
31. IS naudotojai jungiasi prie IS naudodami tik IS programinę įrangą, naudodamiesi techninėmis ir programinėmis priemonėmis, užtikrinančiomis saugų duomenų perdavimą kompiuterių tinklais. Prie I ir II kategorijų priskirtų IS serveriai turi būti atskiruose loginiuose kompiuteriniuose tinkluose.
32. IS naudotojų tapatybė nustatoma pagal suteiktą tapatybės kodą ir atitinkamą slaptažodį. Teisės naudoti IS funkcinėmis galimybėmis ir tvarkyti IS duomenis jiems suteikiamos vadovaujantis raštišku IS tvarkytojo arba IS duomenų valdytojo prašymu. Jungiantis prie IS ir dirbant, fiksuojamas IS naudotojo tapatybės kodas.
33. Kiekvienas atitinkamos IS tvarkytojas atsako už elektroninės informacijos, kuri jam prieinama naudojant informacinę sistemą, tvarkymo teisėtumą ir tvarkomų duomenų saugą.
34. Ministerijos IS duomenų teikėjai ir/arba gavėjai už duomenų tvarkymo teisėtumą ir gautų arba teikiamų duomenų saugą atsako įstatymų nustatyta tvarka.
35. Neaktyvumo laikas, kuriam pasibaigus IS naudotojų ryšio sesijos automatiškai nutraukiamos, nustatytas Lietuvos Respublikos finansų ministerijos valdomų ir (arba) tvarkomų informacinių sistemų naudotojų administravimo taisyklėse. Automatinis IS sesijos nutraukimas, tapatybės kodo blokavimas taikomi ten, kur tai leidžia naudojamos technologijos.
Punkto pakeitimai:
Nr. 1K-093, 2012-03-09, Žin., 2012, Nr. 32-1502 (2012-03-15), i. k. 1122050ISAK001K-093
36. Elektroninės informacijos saugai užtikrinti yra taikomos šios bendrosios programinės įrangos naudojimo nuostatos:
36.1. serveriuose, IS administratorių, administratorių, ministerijos valstybės tarnautojų ar darbuotojų kompiuterinėse darbo vietose turi būti naudojama tik legali ir saugi programinė įranga, kuri yra įtraukta į ministerijoje naudojamos programinės įrangos sąrašus;
Punkto pakeitimai:
Nr. 1K-093, 2012-03-09, Žin., 2012, Nr. 32-1502 (2012-03-15), i. k. 1122050ISAK001K-093
37. IS duomenų saugai užtikrinti serveriuose taikomos šios programinės įrangos naudojimo nuostatos:
37.1. operacinių sistemų ir taikomųjų programų sąranka parenkama tokiu būdu, kad būtų užtikrintas didžiausias saugumo lygis, sustabdomi nereikalingi darbui procesai;
37.3. programinę įrangą atnaujina ir kontroliuoja administratoriai arba IS administratoriai (pagal atliekamas funkcijas). Paslaugų teikėjai programinę įrangą gali atnaujinti tik dalyvaujant administratoriui arba IS administratoriui.
Punkto pakeitimai:
Nr. 1K-093, 2012-03-09, Žin., 2012, Nr. 32-1502 (2012-03-15), i. k. 1122050ISAK001K-093
38. Administratorių ir IS administratorių kompiuterinėse darbo vietose taikomos šios programinės įrangos naudojimo nuostatos:
38.1. įdiegiama programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.). Antivirusinės sistemos virusų parašų bazė atnaujinama automatiškai. Ilgiausias leistinas neatnaujinimo laikas – penkios darbo dienos. Kompiuterio operacinės sistemos kritinės pataisos diegiamos ne vėliau kaip per 5 darbo dienas nuo jų išleidimo;
39. Duomenų saugai užtikrinti IS naudotojų, ministerijos valstybės tarnautojų ar darbuotojų darbo vietose taikomos šios programinės įrangos naudojimo nuostatos:
39.1. įdiegiama programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.). Antivirusinės sistemos virusų parašų bazė atnaujinama automatiškai. Ilgiausias leistinas neatnaujinimo laikas – penkios darbo dienos. Kompiuterio operacinės sistemos kritinės pataisos diegiamos automatiškai. Programinę įrangą atnaujina ir kontroliuoja administratoriai bei kompiuterines darbo vietas prižiūrintys ITD Informacinių technologijų infrastruktūros skyriaus valstybės tarnautojai ar darbuotojai;
39.2. IS naudotojų paskyros turi būti apribotų teisių, kurios neleidžia įdiegti papildomos programinės įrangos bei keisti sistemos, kompiuterio ar programinės įrangos sisteminių nustatymų. Programinę įrangą diegia tik ITD valstybės tarnautojai ar darbuotojai. Kai diegimą turi atlikti kiti asmenys (paslaugų teikėjų specialistai), diegimas gali būti atliekamas tik suderinus su ITD ir prižiūrint ITD valstybės tarnautojams ar darbuotojams.
40. IS serveriai ir administravimui naudojami kompiuteriai negali turėti tiesioginio ryšio su internetu (nepertraukiamos sesijos), jei toks ryšys nėra būtinas IS funkcionuoti.
Punkto pakeitimai:
Nr. 1K-093, 2012-03-09, Žin., 2012, Nr. 32-1502 (2012-03-15), i. k. 1122050ISAK001K-093
41. Už IS funkcionavimą užtikrinančios techninės ir programinės įrangos administravimą ir priežiūrą yra atsakingi ITD valstybės tarnautojai ar darbuotojai, kuriems priskirtos atitinkamos administratoriaus funkcijos.
42. Administratorius atsako už IS atsarginių kopijų darymą ir saugojimą Rezervinio kopijavimo procedūrų vadove nustatyta tvarka. Reikalavimai Rezervinio kopijavimo procedūrų vadovo turiniui nustatyti saugaus IS elektroninės informacijos tvarkymo taisyklėse, kurias tvirtina IS valdytojas.
43. Nešiojamųjų kompiuterių saugojimo, išdavimo ir naudojimo tvarką reglamentuoja Finansų ministerijos nešiojamųjų kompiuterių saugojimo, išdavimo ir naudojimo taisyklės, patvirtintos Lietuvos Respublikos finansų ministerijos valstybės sekretoriaus 2005 m. vasario 4 d. potvarkiu Nr. 2K-004.
44. Ministerijoje taikomos šios nešiojamųjų kompiuterių ir juose esančios informacijos apsaugos priemonės:
44.1. turi būti naudojama programinė įranga, leidžianti išsaugoti naudotojo duomenis bei operacinės sistemos atkūrimo kopiją atskiruose naudotojui nematomuose standžiojo disko skirsniuose, tam skirtose optinėse laikmenose ar tam skirtoje tinklo srityje;
IV. REIKALAVIMAI PERSONALUI
45. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimais ir Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą, standartais ir kitais dokumentais, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.
46. IS administratorius privalo išmanyti elektroninės informacijos saugos principus, administruoti ir prižiūrėti duomenų bazes ir priskirtas IS, taip pat mokėti užtikrinti jų saugumą, turi būti susipažinęs su šiais saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais.
47. Administratorius privalo išmanyti elektroninės informacijos saugos principus, administruoti ir prižiūrėti IS komponentus (kompiuterius, serverius, operacines sistemas, taikomųjų programų sistemas, ugniasienes, įsilaužimų aptikimo sistemas, duomenų perdavimo tinklus), taip pat mokėti užtikrinti jų saugumą, turi būti susipažinęs su šiais saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais.
Punkto pakeitimai:
Nr. 1K-093, 2012-03-09, Žin., 2012, Nr. 32-1502 (2012-03-15), i. k. 1122050ISAK001K-093
48. IS duomenų tvarkytojai privalo:
48.1. išklausyti pradinį saugaus darbo su duomenimis mokymą arba susipažinti su šio mokymo medžiaga;
48.2. mokėti dirbti su „Windows“ operacine sistema, biuro taikomosiomis programomis arba turėti Europos kompiuterio naudotojo pažymėjimą;
49. IS tvarkytojai ar IS naudotojai, pastebėję elektroninės informacijos saugos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti saugos įgaliotiniui ir/arba IS administratoriui.
50. Esant elektroninės informacijos saugos incidentui, nenumatytai situacijai, saugos įgaliotinio, IS administratoriaus, administratoriaus, IS tvarkytojų, IS naudotojų veiksmus reglamentuoja IS veiklos tęstinumo valdymo planas, kurį tvirtina IS valdytojas.
51. Saugos įgaliotinis ar jo paskirtas ITD valstybės tarnautojas ar darbuotojas organizuoja IS administratorių, administratorių, IS tvarkytojų ir kitų IS naudotojų mokymus duomenų saugos klausimais, nuolat jiems primena elektroninės informacijos saugos reikalavimus (elektroniniu paštu, per interneto svetainę, atmintinėmis naujai priimtiems ministerijos valstybės tarnautojams ar darbuotojams ir pan.).
V. IS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
53. IS elektroninę informaciją gali tvarkyti tik IS naudotojai, kurie yra susipažinę su šiais saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais ir raštu arba elektroninėmis priemonėmis patvirtinę sutikimą laikytis jų reikalavimų.
Punkto pakeitimai:
Nr. 1K-093, 2012-03-09, Žin., 2012, Nr. 32-1502 (2012-03-15), i. k. 1122050ISAK001K-093
54. IS duomenų teikėjai ar gavėjai šių saugos nuostatų ir kitų saugos politiką įgyvendinančių dokumentų kopijas gauna sutarties dėl elektroninės informacijos arba duomenų teikimo pasirašymo metu, jei minėti dokumentai nėra paskelbti IS valdytojo. Kitais atvejais sutartyje pateikiama nuorodą į IS valdytojo tinklalapį.
55. Šie saugos nuostatai ir kiti elektroninės informacijos saugos reglamentavimo dokumentai skelbiami IS valdytojo tinklalapyje.
56. Už IS naudotojų supažindinimą su šiais saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais atsako atitinkamos IS administratorius.
Pakeitimai:
1.
Lietuvos Respublikos finansų ministerija, Įsakymas
Nr. 1K-232, 2011-06-30, Žin., 2011, Nr. 81-3995 (2011-07-05), i. k. 1112050ISAK001K-232
Dėl finansų ministro 2007 m. spalio 3 d. įsakymo Nr. 1K-289 "Dėl Finansų ministerijos informacinių sistemų duomenų saugos nuostatų patvirtinimo" pakeitimo
2.
Lietuvos Respublikos finansų ministerija, Įsakymas
Nr. 1K-093, 2012-03-09, Žin., 2012, Nr. 32-1502 (2012-03-15), i. k. 1122050ISAK001K-093
Dėl finansų ministro 2007 m. spalio 3 d. įsakymo Nr. 1K-289 "Dėl Finansų ministerijos informacinių sistemų duomenų saugos nuostatų patvirtinimo" pakeitimo