LIETUVOS RESPUBLIKOS

SOCIALINĖS APSAUGOS IR DARBO MINISTRAS

 

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS SOCIALINĖS APSAUGOS IR DARBO MINISTRO 2008 M. GEGUŽĖS 29 D. ĮSAKYMO NR. A1-172 „DĖL SOCIALINĖS PARAMOS ŠEIMAI INFORMACINĖS SISTEMOS NUOSTATŲ IR SOCIALINĖS PARAMOS ŠEIMAI INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO

 

2021 m. sausio 4 d. Nr. A1-1

Vilnius

 

 

P a k e i č i u Socialinės paramos šeimai informacinės sistemos duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2008 m. gegužės 29 d. įsakymu Nr. A1-172 „Dėl Socialinės paramos šeimai informacinės sistemos nuostatų ir Socialinės paramos šeimai informacinės sistemos duomenų saugos nuostatų patvirtinimo“, ir juos išdėstau nauja redakcija (pridedama).

 

 

 

Socialinės apsaugos ir darbo ministrė                                                             Monika Navickienė

 

PATVIRTINTA

Lietuvos Respublikos socialinės apsaugos

ir darbo ministro 2008 m. gegužės 29 d.

įsakymu Nr. A1-172

(Lietuvos Respublikos socialinės

apsaugos ir darbo ministro

2021 m. sausio 4 d. įsakymo Nr. A1-1

redakcija)

 

 

 

SOCIALINĖS PARAMOS ŠEIMAI INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Socialinės paramos šeimai informacinės sistemos duomenų saugos nuostatai (toliau –Duomenų saugos nuostatai) reglamentuoja Socialinės paramos šeimai informacinės sistemos (toliau – SPIS) saugos politiką – SPIS elektroninės informacijos saugos valdymą, organizacinius ir techninius SPIS duomenų saugos reikalavimus, reikalavimus su SPIS dirbančiam personalui, su SPIS dirbančių valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis (toliau kartu – darbuotojas) supažindinimo su saugos politiką įgyvendinančiais dokumentais taisykles.

2. SPIS duomenų saugos tikslai:

2.1. sudaryti sąlygas automatiniu būdu saugiai tvarkyti elektroninę informaciją;

2.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar neteisėto jos tvarkymo.

3. Duomenų saugos nuostatuose naudojamos sąvokos:

3.1. SPIS administratorius – SPIS valdytojo pasitelktas paslaugų teikėjas, SPIS valdytojo vardu tvarkantis SPIS;

3.2. SPIS techninis administratorius – SPIS valdytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį (toliau kartu ‒ darbuotojas), arba SPIS valdytojo pasitelktas paslaugų teikėjas, SPIS infrastruktūros, kompiuterinės įrangos saugos ir priežiūros administratorius;

3.3. SPIS SI administratorius – savivaldybės institucijos (toliau – SI) darbuotojas atliekantis SPIS SI administratoriaus funkcijas;

3.4. SPIS administratorius, SPIS techninis administratorius ir SPIS SI administratorius kartu – administratoriai;

3.5. SPIS VI naudotojasSPIS asmens duomenų tvarkytojo SPIS duomenų gavėjo valstybės institucijų (toliau – VI), įskaitant kitų įstaigų, pagal asmens duomenų tvarkymo ir duomenų teikimo sutartis tvarkančių ir gaunančių SPIS duomenis, darbuotojas, atliekantis SPIS VI naudotojo funkcijas;

3.6. SPIS SI naudotojas – SPIS asmens duomenų tvarkytojas, savivaldybės institucijos (toliau – SI) darbuotojas, atliekantis SPIS SI naudotojo funkcijas;

3.7. SPIS SI naudotojas ir SPIS VI naudotojas kartu – SPIS naudotojai;

3.8. Saugos įgaliotinis – darbuotojas, įgyvendinantis SPIS elektroninės informacijos saugą;

3.9. SPIS valdytojas – Lietuvos Respublikos socialinės apsaugos ir darbo ministerija (toliau – Ministerija), kurios buveinės adresas A. Vivulskio g. 11, 03610 Vilnius.

4. SPIS tvarkytojai ir SPIS asmens duomenų tvarkytojai – SPIS administratorius, savivaldybių administracijos, savivaldybių įstaigos, įstaigos, organizuojančios mokinių nemokamą maitinimą, Techninės pagalbos neįgaliesiems centras prie Socialinės apsaugos ir darbo ministerijos, Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos, Valstybės vaiko teisių apsaugos ir įvaikinimo tarnyba prie Socialinės apsaugos ir darbo ministerijos, Socialinių paslaugų priežiūros departamentas prie Socialinės apsaugos ir darbo ministerijos, Lietuvos nevyriausybinės organizacijos, specializuotos pagalbos centrai, socialinių paslaugų įstaigos, kredito įstaigos, teikiančios būsto kreditus pirmajam būstui pirkti ar (ir) statyti pagal Finansinės paskatos pirmąjį būstą įsigyjančioms jaunoms šeimoms įstatymą. Asmenų, vykdančių SPIS tvarkytojų ir SPIS asmens duomenų tvarkytojų funkcijas, nurodant juridinio asmens ar jo filialo pavadinimą, kodą, jų tvarkomų duomenų (įskaitant asmens duomenis), nurodytų SPIS nuostatuose, ir jiems priskirtų rolių bei jomis suteiktų teisių sąrašą tvirtina socialinės apsaugos ir darbo ministras.

5Kitos Duomenų saugos nuostatuose vartojamos sąvokos atitinka sąvokas, nustatytas  Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau ‒ Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr.  V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau ‒ Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas), Socialinės paramos šeimai informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2008 m. gegužės 29 d. įsakymu Nr. A1-172 „Dėl Socialinės paramos šeimai informacinės sistemos nuostatų ir Socialinės paramos šeimai informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – SPIS nuostatai) ir kituose teisės aktuose naudojamas sąvokas.

6Duomenų saugos nuostatų tikslas – sudaryti tinkamas sąlygas saugiai tvarkyti SPIS elektroninę informaciją automatiniu būdu ir užtikrinti SPIS veiklos tęstinumą.

7SPIS elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo prioritetinės kryptys yra šios:

7.1. elektroninės informacijos konfidencialumo užtikrinimas;

7.2. elektroninės informacijos vientisumo užtikrinimas;

7.3. elektroninės informacijos prieinamumo užtikrinimas;

7.4. asmens duomenų apsauga;

7.5. veiklos tęstinumo užtikrinimas;

7.6. prieigos prie SPIS kontrolė;

7.7. rizikos valdymas;

7.8. SPIS naudotojų ir administratorių mokymas elektroninės informacijos saugos ir kibernetinio saugumo klausimais;

7.9. organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti, įgyvendinimas ir kontrolė.

8. Duomenų saugos nuostatai reglamentuoja sistemos automatizuotą duomenų apdorojimą ir yra privalomi visiems SPIS naudotojams, administratoriams, Saugos įgaliotiniui ir kibernetinio saugumo vadovui.

9. SPIS valdytojas atsako už saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą bei atlieka šias funkcijas:

9.1. plėtoja SPIS duomenų apsaugos teisinę bazę ir organizuoja jos įgyvendinimą;

9.2. užtikrina SPIS pokyčių valdymą plano įgyvendinimą;

9.3. koordinuoja visų SPIS naudotojų, administratorių, Saugos įgaliotinio ir kibernetinio saugumo vadovo darbą, metodiškai jiems vadovauja ir įstatymų nustatyta tvarka vykdo šio darbo priežiūrą;

9.4. prižiūri, kaip laikomasi duomenų saugos reikalavimų;

9.5. priima sprendimus, susijusius su SPIS saugumo užtikrinimu, tikrina, kaip jie vykdomi;

9.6. skiria Saugos įgaliotinį ir kibernetinio saugumo vadovą;

9.7. nustato elektroninės informacijos saugos incidentų registracijos ir tyrimo tvarką.

9.8. atsako už elektroninės informacijos saugos ir kibernetinio saugumo politikos formavimą.

10. Administratoriai įgyvendindami SPIS elektroninės informacijos saugą, atlieka šias funkcijas:

10.1. užtikrina SPIS duomenų apsaugą, elektroninės informacijos saugą ir kibernetinį saugumą saugos politikos įgyvendinamųjų dokumentų nustatyta tvarka ir atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą;

10.2. užtikrina SPIS valdytojo priimtų teisės aktų ir rekomendacijų tinkamą įgyvendinimą;

10.3. teikia pasiūlymus SPIS valdytojui, kaip tobulinti SPIS apsaugą.

11. SPIS SI administratorius įgyvendindamas SPIS elektroninės informacijos saugą, atlieka šias funkcijas:

11.1. registruoja SPIS SI naudotojus ir suteikia jiems prieigos teises;

11.2. panaikina SPIS SI naudotųjų prieigos teises;

11.3. dalyvauja atliekant SPIS saugos reikalavimų atitikties vertinimą;

11.4. dalyvauja nustatant SPIS pažeidžiamas vietas – elektroninės informacijos saugą ir kibernetinį saugumą;

11.5. nedelsdami vykdo Saugos įgaliotinio ir kibernetinio saugumo vadovo nurodymus SPIS saugos politikos įgyvendinimo klausimais ir jam atsiskaito už pavestą duomenų saugos organizavimą ir saugos priemonių įgyvendinimą;

11.6. nedelsiant informuoja SPIS administratorių ir SPIS techninį administratorių apie saugos politiką įgyvendinančių dokumentų pažeidimus, nusikalstamos veikos požymius, elektroninės informacijos saugai svarbius įvykius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones.

12. SPIS techninis administratorius įgyvendindamas SPIS elektroninės informacijos saugą, atlieka šias funkcijas:

12.1. registruoja ir suteikia SPIS administratoriui prieigos teises;

12.2. užtikrina SPIS duomenų apsaugą, elektroninės informacijos saugą ir kibernetinį saugumą saugos politikos įgyvendinamųjų dokumentų nustatyta tvarka ir atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą;

12.3. dalyvauja atliekant SPIS saugos reikalavimų atitikties vertinimą;

12.4. dalyvauja nustatant SPIS pažeidžiamas vietas – elektroninės informacijos saugą ir kibernetinį saugumą;

12.5. teikia pasiūlymus Saugos įgaliotiniui ir kibernetinio saugumo vadovui, kaip tobulinti elektroninės informacijos saugą;

12.6. nedelsiant raštu ar elektroninėmis ryšio priemonėmis informuoja Saugos įgaliotinį apie saugos politiką įgyvendinančių dokumentų pažeidimus, nusikalstamos veikos požymius, kibernetinio saugumo vadovą apie elektroninės informacijos saugai svarbius įvykius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones (nurodo savo pareigas, vardą, pavardę ir šiame papunktyje nurodytas aplinkybes);

12.7. teikia metodinę ir informacinę pagalbą SPIS saugos klausimais Saugos įgaliotiniui ir kibernetinio saugumo vadovui.

13. SPIS administratorius įgyvendindamas SPIS elektroninės informacijos saugą, atlieka šias funkcijas:

13.1. užtikrina SPIS duomenų apsaugą, elektroninės informacijos saugą ir kibernetinį saugumą saugos politikos įgyvendinamųjų dokumentų nustatyta tvarka ir vykdyti kitas funkcijas, kurios nurodytos SPIS duomenų saugos nuostatuose, Socialinės paramos šeimai informacinės sistemos naudotojų administravimo taisyklėse (toliau – Administravimo taisyklės), Informacijos tvarkymo taisyklėse, kituose duomenų tvarkymą ir saugą reglamentuojančiuose teisės aktuose ir SPIS priežiūros, naudotojų konsultavimo ir vystymo paslaugų sutartyje bei asmens duomenų tvarkymo sutartyje;

13.2. dalyvauja atliekant SPIS saugos reikalavimų atitikties vertinimą;

13.3. dalyvauja nustatant SPIS pažeidžiamas vietas – elektroninės informacijos saugą ir kibernetinį saugumą;

13.4. teikia pasiūlymus SPIS valdytojui, kaip tobulinti elektroninės informacijos saugą;

13.5. nedelsiant raštu ar elektroninėmis ryšio priemonėmis informuoja Saugos įgaliotinį apie saugos politiką įgyvendinančių dokumentų pažeidimus, nusikalstamos veikos požymius, kibernetinio saugumo vadovą apie elektroninės informacijos saugai svarbius įvykius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;

13.6. konsultuoja, teikia metodinę ir informacinę pagalbą SPIS saugos klausimais.

14. SPIS naudotojas įgyvendindamas SPIS elektroninės informacijos saugą, atlieka šias funkcijas:

14.1. tvarkydamas SPIS elektroninę informaciją laikosi SPIS duomenų apsaugą, elektroninės informacijos saugą ir kibernetinį saugumą, saugos politikos įgyvendinamųjų dokumentų nustatytos tvarkos;

14.2. tvarkydamas SPIS elektroninę informaciją naudoja tik kompiuterinėje įrangoje įdiegtą ir tik darbo funkcijoms atlikti reikalingą programinę įrangą;

14.3. teikia pasiūlymus Saugos įgaliotiniui ir kibernetinio saugumo vadovui, kaip tobulinti elektroninės informacijos saugą;

14.4. susipažįsta su Duomenų saugos nuostatais ir kitais saugos politiką reguliuojančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą;

14.6. dalyvauja SPIS naudotojų mokymuose elektroninės informacijos saugos ir kibernetinio saugumo klausimais;

14.7. SPIS naudotojai, pastebėję SPIS duomenų saugos pažeidimų, neleistinos arba nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugą užtikrinančias priemones (toliau – saugos pažeidimas) ar asmens duomenų saugumo pažeidimą, privalo apie tai nedelsdami pranešti Administravimo taisyklėse nustatyta tvarka.

15. Saugos įgaliotinis, įgyvendindami SPIS elektroninės informacijos saugą, atlieka šias funkcijas:

15.1. teikia SPIS valdytojui pasiūlymus dėl saugos dokumentų tobulinimo, keitimo ar panaikinimo;

15.2. tiria elektroninės informacijos saugos incidentus;

15.3. teikia administratoriams privalomus vykdyti nurodymus ir pavedimus;

15.4. supažindina SPIS naudotojus ir administratorius su Duomenų saugos nuostatais ir kitais saugos politiką reguliuojančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą;

15.5. periodiškai inicijuoja SPIS naudotojų ir administratorių mokymą elektroninės informacijos saugos ir kibernetinio saugumo klausimais, informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai);

15.6. koordinuodamas ir prižiūrėdamas, kaip SPIS įgyvendinama saugos politika, atlieka Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir saugos politikos įgyvendinamuosiuose dokumentuose saugos įgaliotiniui priskirtas funkcijas;

15.7. gavęs pranešimą apie vykdomus neteisėtus veiksmus su SPIS tvarkoma elektronine informacija, inicijuoja elektroninės informacijos saugos incidento valdymo procedūras detalizuotas Veiklos tęstinumo plane;

15.8. užtikrina, kad SPIS naudotojų ir administratorių kompiuterinėje įrangoje būtų naudojama tik darbo funkcijoms atlikti reikalinga programinė įranga (SPIS saugos įgaliotinis turi parengti, su SPIS valdytoju suderinti ir ne rečiau kaip kartą per metus peržiūrėti bei prireikus atnaujinti leistinos programinės įrangos sąrašą);

15.9. organizuoja Tvarkymo taisyklių peržiūrą ne rečiau kaip vieną kartą per metus. Tvarkymo taisyklės turi būti peržiūrimos atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams;

15.10. vykdo kitas funkcijas, kurios nurodytos SPIS duomenų saugos nuostatuose, Administravimo taisyklėse, Informacijos tvarkymo taisyklėse ir kituose duomenų tvarkymą ir saugą reglamentuojančiuose teisės aktuose.

16. Kibernetinio saugumo vadovas atlieka šias funkcijas:

16.1. koordinuoja SPIS elektroninės informacijos saugos incidentų tyrimą, bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;

16.2. kiekvienais metais SPIS valdytojui pateikia per praėjusius kalendorinius metus įvykusių kibernetinių incidentų (jeigu tokių buvo) vertinimą;

16.3. vykdo kitas funkcijas, kurios nurodytos SPIS duomenų saugos nuostatuose, Administravimo taisyklėse, Informacijos tvarkymo taisyklėse ir kituose duomenų tvarkymą ir saugą reglamentuojančiuose teisės aktuose.

17. Saugos įgaliotiniu ir kibernetinio saugumo vadovu gali būti paskirtas tas pats asmuo.

18. Saugų SPIS duomenų tvarkymą reglamentuoja:

18.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

18.2. Kibernetinio saugumo įstatymas;

18.3. Valstybės informacinių išteklių valdymo įstatymas;

18.4. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

18.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

18.6. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

18.7. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

18.8. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“

18.9. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

18.10. Lietuvos standartai LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai (tapatus ISO/IEC 27001)“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai (tapatus ISO/IEC 27002)“;

18.11. kiti teisės aktai, reglamentuojantys duomenų tvarkymo teisėtumą, sistemos tvarkytojo veiklą bei duomenų saugos valdymą.

19. Tvarkant SPIS duomenis vadovaujamasi SPIS nuostatų 2 ir 3 punktuose nurodytais teisės aktais.

 

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

20. Vadovaujantis Saugos dokumentų turinio gairių aprašo 9 punktu, SPIS tvarkoma elektroninė informacija priskiriama vidutinės svarbos informacijai. Vadovaujantis Saugos dokumentų turinio gairių aprašo 12 punktu, SPIS priskiriama trečiajai informacinių sistemų klasifikavimo kategorijai, kurioje tvarkoma vidutinės svarbos informacija.

21. SPIS rizika vertinama atsižvelgiant į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuojas SPIS rizikos vertinimas.  Prireikus Saugos įgaliotinis gali organizuoti neeilinį SPIS rizikos vertinimą.

22. Saugos įgaliotinis atsakingas už SPIS rizikos vertinimo organizavimą. Atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuoja SPIS rizikos vertinimą. Kartu su SPIS rizikos vertinimu ir (ar) Duomenų saugos nuostatų 26 ir 27 punktuose nurodytu informacinių technologijų saugos atitikties vertinimu turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos SPIS kibernetiniam saugumui, vertinimas pagal Duomenų saugos nuostatų 28 punkto reikalavimus.

23. SPIS rizikos vertinimo rezultatai išdėstomi rizikos vertinimo ataskaitoje, kuri pateikiama SPIS valdytojui. Rizikos vertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai, galimą jų žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:

23.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

23.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis SPIS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, vagystės ir kita);

23.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

24. Atsižvelgdamas į rizikos vertinimo ataskaitą, SPIS valdytojas prireikus tvirtina rizikos vertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

25. Elektroninės informacijos saugos ir kibernetinio saugumo gerinimo priemonės turi atitikti teisės aktų reikalavimus, būti parinktos atsižvelgiant į rizikos vertinimo rezultatus ir vadovaujantis šiais principais:

25.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

25.2. priemonės diegimo kaina turi būti adekvati tvarkomos elektroninės informacijos vertei;

25.3. atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos ir kibernetinio saugumo priemonės.

26. Siekiant įgyvendinti saugos politikos įgyvendinamuosiuose dokumentuose nustatytus elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus ir užtikrinti jų kontrolę, ne rečiau kaip kartą per dvejus metus organizuojamas informacinių technologijų saugos atitikties vertinimas, ir ne rečiau kaip kartą per metus – kibernetinio saugumo atitikties reikalavimams vertinimas, atliekamas vadovaujantis Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu.

27. Informacinių technologijų saugos atitikties vertinimo metu turi būti:

27.1. vertinama saugos politikos įgyvendinamųjų dokumentų atitiktis realiai informacijos saugos situacijai;

27.2. tikrinamas įdiegtos apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti ir pan.) filtravimo sistemų naudojimas, valdymas ir atnaujinimas;

27.3. tikrinamas virtualių mašinų ir duomenų perdavimo įrangos programinės įrangos naudojimas ir atnaujinimas;

27.4. tikrinama, kaip daromos atsarginės kopijos;

27.5. tikrinama naudotojų kompiuterizuotose darbo vietose įdiegta programinė įranga ir jos sąranka;

27.6. tikrinama (vertinama) naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

27.7. vertinamas pasirengimas užtikrinti SPIS veiklos tęstinumą įvykus saugos incidentui;

27.8. rengiama informacinių technologijų saugos atitikties vertinimo ataskaita.

28. Kibernetinio saugumo atitikties reikalavimams vertinimo metu taip pat turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos SPIS kibernetiniam saugumui, vertinimas, kurio metu imituojamos kibernetinės atakos ir vykdomos kibernetinių incidentų imitavimo pratybos. Kibernetinių atakų imitavimas turi būti atliekamas tokiais etapais:

28.1. planavimo etapas. Parengiamas pažeidžiamumų nustatymo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtis, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (ar) pilkosios dėžės (angl. Grey Box), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (ar) techniniai įrankiai ir priemonės, naudojamos pažeidžiamumams nustatyti, nurodomos už pažeidžiamumų nustatymo plano vykdymą atsakingų asmenų teisės ir pareigos. Pažeidžiamumų nustatymo planas turi būti suderintas su Veiklos skaitmeninimo grupės vadovu;

28.2. žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių virtualių mašinų ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą, konfigūracijas ir kitą sėkmingai kibernetinei atakai įvykdyti reikalingą informaciją;

28.3. kibernetinių atakų imitavimo etapas. Atliekami pažeidžiamumų nustatymo plane numatyti testai;

28.4. ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti pateikti kibernetinio saugumo atitikties reikalavimams vertinimo ataskaitoje. Pažeidžiamumų nustatymo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir turi būti pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

29. Atlikus Saugos nuostatų 26 ir 28 punktuose nurodytus vertinimus, rengiamas pastebėtų trūkumų šalinimo planas, kuriame, atsižvelgiant į kibernetinių atakų imitavimo metu nustatytus trūkumus, SPIS valdytojui teikiami pasiūlymai dėl kibernetinį saugumą reglamentuojančių teisės aktų ar kitų SPIS valdytojo patvirtintų dokumentų pakeitimo, kibernetinio saugumo būklės gerinimo ir papildomų kibernetinio saugumo priemonių įsigijimo. Pastebėtų trūkumų šalinimo planą tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato SPIS valdytojas.

30. SPIS rizikos vertinimo ataskaitos, rizikos vertinimo ir rizikos valdymo priemonių plano, informacinių technologijų saugos atitikties vertinimo ataskaitos, kibernetinio saugumo atitikties reikalavimams vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas SPIS valdytojas ne vėliau kaip per penkias darbo dienas nuo minėtų dokumentų priėmimo dienos pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS) Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai), nustatyta tvarka.

31. Patvirtintų SPIS saugos politikos įgyvendinamųjų dokumentų ir jų pakeitimų kopijas SPIS valdytojas ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo dienos pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

 

 

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

32. Prieigos prie SPIS suteikimo, blokavimo ir panaikinimo tvarką nustato SPIS valdytojas Administravimo taisyklėse.

33. SPIS tarnybinės stotys (virtualios mašinos) turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti ir pan.). Apsaugai naudojama programinė įranga turi atsinaujinti automatiškai ne rečiau kaip kartą per parą.

34. SPIS naudotojų ir administratorių prieiga prie SPIS valdoma naudojant unikalius identifikatorius ir slaptažodžius.

35. SPIS naudotojams jungtis prie SPIS leidžiama darbo laiku, atliekant jiems priskirtas darbo funkcijas.

36. SPIS naudotojų ir administratorių darbo vietose turi būti naudojama programinė įranga, skirta apsaugoti SPIS naudotojų darbo vietas nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti ir pan.). Ši programinė įranga turi būti atnaujinama ne rečiau kaip vieną kartą per parą.

37. SPIS naudotojų ir administratorių darbo vietose kompiuterinė ir programinė įranga gali būti naudojami ir kitoms SPIS naudotojo ir administratoriaus funkcijoms atlikti, jei nenumatyta kitaip.

38. SPIS elektroninės informacijos perdavimas vykdomas naudojant saugias ryšio linijas, aprašytas Socialinės paramos šeimai informacinės sistemos elektroninės informacijos tvarkymo taisyklėse.

39. SPIS duomenys automatiniu būdu perduodami tik pagal duomenų teikimo sutartyse nustatytas technines specifikacijas ir sąlygas.

40. SPIS kompiuterinės įrangos ir mobiliųjų įrenginių apsauga nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.) užtikrinama programinėmis ir organizacinėmis priemonėmis.

41. SPIS techninis administratorius ir SPIS SI administratorius pagal priskirtas funkcijas gali diegti kibernetiniam saugumui užtikrinti reikalingas priemones ir (ar) keisti šių priemonių parametrus tik suderinęs su kibernetinio saugumo vadovu.

42. Atsarginių duomenų kopijų darymas turi užtikrinti SPIS duomenų bazės ir pačios informacinės sistemos veiklos tęstinumą. Atsarginės duomenų kopijos turi būti daromos ir duomenys iš atsarginių duomenų kopijų turi būti atkuriami laikantis elektroninės informacijos atsarginio kopijavimo ir atkūrimo iš atsarginių duomenų kopijų reikalavimų. Pagrindiniai elektroninės informacijos atsarginio kopijavimo ir atkūrimo reikalavimai yra šie:

42.1. atsarginės duomenų kopijos daromos automatiniu būdu periodiškai. Visų atsarginių duomenų kopija daroma kartą per 24 valandas;

42.2. elektroninė informacija atsarginėse duomenų kopijose turi būti užšifruota;

42.3. prarasta, iškraipyta ar sunaikinta SPIS elektroninė informacija atkuriama iš atsarginių duomenų kopijų;

42.4. SPIS elektroninė informacija turi būti kopijuojama ir saugoma taip, kad elektroninės informacijos praradimo atveju visišką SPIS funkcionalumą ir veiklą būtų galima atnaujinti per 16 valandų;

42.5. atsarginės duomenų kopijos turi būti pažymėtos taip, kad jas būtų galima atpažinti;

42.6. padarius atsarginių duomenų kopiją, SPIS techninis administratorius turi patikrinti sistemos sukurtus duomenų kopijavimo protokolus ir pažymėti elektroninės informacijos atsarginio kopijavimo ir atkūrimo apskaitos elektroniniame žurnale;

42.7. elektroninės informacijos visiško atkūrimo iš atsarginių duomenų kopijų bandymai privalo būti vykdomi ne rečiau kaip 1 kartą metuose;

42.8. elektroninės informacijos visiško atkūrimo iš atsarginių duomenų kopijų bandymai vykdomi ne darbo valandomis. SPIS valdytojas apie planuojamą SPIS veikimo sustabdymą atkūrimo bandymams vykdyti iš anksto, bet ne vėliau, kaip prieš 2 darbo dienas informuojami visi SPIS naudotojai ir administratoriai;

42.9. už atsarginių duomenų kopijų darymą, saugojimą ir elektroninės informacijos iš atsarginių duomenų kopijų atkūrimą atsakingas SPIS techninis administratorius. Už atsarginių duomenų kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių duomenų kopijų kontrolę atsakingas Saugos įgaliotinis;

42.10. atsarginės duomenų laikmenos su SPIS programinės įrangos kopijomis turi būti laikomos nedegioje spintoje, kitose patalpose arba kitame pastate nei yra SPIS tarnybinės stotys.

43. Kompiuterių tinklo filtravimo įrangos naudojimo nuostatos:

43.1. SPIS naudotojų ir administratorių elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacijų tinklų, naudojant užkardą;

43.2. konfigūruojant tinklo užkardas, turi būti laikomasi principo „draudžiama pagal nutylėjimą“, t. y. turi būti naudojami tik būtini organizacijos veiklai tinklo protokolai ir užkardų prievadai;

43.3. už SPIS SI naudotojų srities tinklo užkardų administravimą, priežiūrą, operacinės sistemos atnaujinimą ir užkardų konfigūracija bei jų aprašymas (užkardos taisyklės) saugomos ir už jas atsakingas SPIS SI administratorius ir saugos įgaliotinis;

43.4. už SPIS VI naudotojų srities tinklo užkardų administravimą, priežiūrą, operacinės sistemos atnaujinimą ir užkardų konfigūracija bei jų aprašymas (užkardos taisyklės) saugomos ir už jas atsakingas SPIS administratorius. Peržiūrą inicijuoja Saugos įgaliotinis;

43.5. SPIS tarnybinių stočių srities tinklo užkardų konfigūracijos aprašymas (užkardos taisyklės) saugomas pas SPIS techninį administratorių ir Saugos įgaliotinį. Užkardų konfigūracija peržiūrima ne rečiau kaip kartą per metus. Peržiūrą inicijuoja Saugos įgaliotinis.

 

IV SKYRIUS

REIKALAVIMAI PERSONALUI

 

45. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje ir savo darbe vadovautis saugos politikos įgyvendinamaisiais dokumentais, Informacinių technologijų saugos atitikties vertinimo metodika ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais ir kitais dokumentais, reglamentuojančiais informacinių sistemų duomenų tvarkymą, sugebėti prižiūrėti informacinių sistemų saugos politikos įgyvendinimą.

46. Kibernetinio saugumo vadovas privalo išmanyti kibernetinio saugumo užtikrinimo principus, tobulinti kvalifikaciją kibernetinio saugumo srityje ir savo darbe vadovautis saugos politikos įgyvendinamaisiais dokumentais, Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais ir kitais dokumentais, reglamentuojančiais kibernetinį saugumą.

47. Saugos įgaliotiniu ir kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą, susijusį su elektroninių duomenų ir informacinių sistemų saugumu, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą, savavališką prisijungimą prie tinklo, galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, žymėjimo, priežiūros ir naudojimo taisyklių pažeidimą, jeigu nuo jos skyrimo praėję mažiau kaip vieni metai.

48. Saugos įgaliotinis negali atlikti administratorių funkcijų.

49. Administratoriai privalo turėti sisteminių programinių priemonių administravimo bei priežiūros patirties, išmanyti elektroninės informacijos saugos politikos principus, pagal priskirtas funkcijas administruoti SPIS naudotojus, būti susipažinusiems su saugos politikos įgyvendinamaisiais dokumentais.

50. SPIS naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti duomenis, būti susipažinę su saugos politikos įgyvendinamaisiais dokumentais. Jungtis prie SPIS duomenų ir (ar) juos tvarkyti gali tik tie SPIS naudotojai, kurie SPIS yra pasirašę konfidencialumo pasižadėjimą saugoti asmens duomenų paslaptį ir yra susipažinę su SPIS nuostatais, SPIS duomenų saugos nuostatais ir kitais SPIS duomenų saugos politiką įgyvendinančiais dokumentais.

 

V SKYRIUS

INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

51. Saugos įgaliotinis ne rečiau kaip kartą per metus inicijuoja saugos politikos įgyvendinamųjų dokumentų peržiūrą. Saugos politikos įgyvendinamieji dokumentai peržiūrimi atlikus rizikos analizę, informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Saugos politikos įgyvendinamieji dokumentai turi būti derinami su Nacionaliniu kibernetinio saugumo centru prie Lietuvos Respublikos krašto apsaugos ministerijos.

52. Saugos įgaliotinis tvarko SPIS naudotojų supažindinimo su saugos politiką reguliuojančiais teisės aktais žurnalą (SPIS naudotojo vardas ir pavardė, pareigos, supažindinimo data)  SPIS naudotojų administravimo sistemoje.

53. SPIS naudotojai, administratoriai, Saugos įgaliotinis ir kibernetinio saugumo vadovas su SPIS duomenų saugos nuostatais ir kitais saugos politiką reguliuojančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą supažindinami pasirašytinai.

54. Pakartotinai su saugos politiką reguliuojančiais teisės aktais darbuotojai supažindinami iš esmės pasikeitus pačiai SPIS arba informacijos saugą reguliuojantiems teisės aktams.

55. Už Duomenų saugos nuostatų ar kitų saugos politiką reguliuojančių teisės aktų reikalavimų laikymąsi SPIS naudotojai, administratoriai, Saugos įgaliotinis ir kibernetinio saugumo vadovas atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

 

 

_________________