valstybinės teritorijų planavimo ir statybos inspekcijos
prie aplinkos ministerijos viršininkas
ĮSAKYMAS
Dėl Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „infostatyba“ duomenų saugos nuostatŲ patvirtinimo ir saugos įgaliotinio skyrimo
2016 m. gegužės 17 d. Nr. 1V-55
Vilnius
Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7, 11 ir 19 punktais:
1. T v i r t i n u pridedamus Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ (toliau – IS „Infostatyba“) duomenų saugos nuostatus.
2. S k i r i u Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos (toliau – Inspekcija) Informacinių technologijų skyriaus (toliau – Skyrius) specialistą Valdą Šerelį – IS „Infostatyba“ saugos įgaliotiniu.
3. P a v e d u Skyriaus vedėjui užtikrinti, kad ne vėliau kaip per 3 mėnesius nuo šio įsakymo 1 punkte nurodytų duomenų saugos nuostatų patvirtinimo dienos būtų atnaujintos ir teisės aktų nustatyta tvarka suderintos IS „Infostatyba“ Saugaus tvarkomos elektroninės informacijos tvarkymo taisyklės, IS „Infostatyba“ veiklos tęstinumo valdymo planas ir IS „Infostatyba“ naudotojų administravimo taisyklės, patvirtintos Inspekcijos viršininko 2010 m. gegužės 19 d. įsakymu Nr. 1V-86 „Dėl Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ saugaus elektroninės informacijos tvarkymo taisyklių, šios informacinės sistemos veiklos tęstinumo valdymo plano ir naudotojų administravimo taisyklių patvirtinimo“, bei pateiktos Inspekcijos viršininkui patvirtinti.
4. P r i p a ž į s t u netekusiu galios Inspekcijos viršininko 2009 m. gruodžio 12 d. įsakymą Nr. 1V-471 (su visais vėlesniais pakeitimais) „Dėl Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ duomenų saugos nuostatų patvirtinimo ir saugos įgaliotinio skyrimo“.
PATVIRTINTA
Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko
2016 m. gegužės 17 d. įsakymu Nr. 1V-55
LIETUVOS RESPUBLIKOS STATYBOS LEIDIMŲ IR STATYBOS VALSTYBINĖS PRIEŽIŪROS INFORMACINĖS SISTEMOS „INFOSTATYBA“ DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ (toliau – IS) duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato principus ir taisykles, užtikrinančias saugų IS tvarkomos elektroninės informacijos (toliau – Elektroninė informacija) tvarkymą.
2. Saugos nuostatuose vartojamos sąvokos:
2.1. IS techninis administratorius – Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos (toliau – Inspekcija) viršininko įsakymu paskirtas Inspekcijos darbuotojas arba Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatyta tvarka Inspekcijos parinktas paslaugos teikėjas, atsakingas už IS techninės ir programinės įrangos priežiūrą;
2.2. Kitos šiuose Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, (toliau – Aprašas) ir kituose teisės aktuose vartojamas sąvokas.
3. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys ir tikslai:
3.1. fizinė elektroninės informacijos apdorojimo priemonių (patalpų, tarnybinių stočių, elektroninės informacijos perdavimo įrangos, programinės įrangos) apsauga;
5. IS tvarkytojai:
6. Kiti subjektai, kuriems taikomi Saugos nuostatų reikalavimai:
6.1. statinių projektus tikrinančios institucijos ir subjektai (jų padaliniai), nurodyti Lietuvos Respublikos statybos įstatymo 23 straipsnio 15–17 dalyse;
7. IS valdytojo funkcijos:
7.2. atsako už IS saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir Elektroninės informacijos tvarkymo teisėtumą
7.4. skiria arba Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatyta tvarka parenka IS techninį administratorių;
7.7. nagrinėja IS tvarkytojų pasiūlymus dėl IS veiklos tobulinimo ir priima sprendimus dėl jų įgyvendinimo;
7.9. organizuoja IS techninės ir programinės įrangos įsigijimą, nustato šios įrangos priežiūros reikalavimus, sprendžia IS modernizavimo ir plėtros klausimus;
7.11. užtikrina, kad IS duomenys, gaunami iš susijusių registrų ir informacinių sistemų, būtų nuolat atnaujinami;
7.12. sudaro duomenų teikimo sutartis su susijusių registrų ir informacinių sistemų tvarkymo įstaigomis;
8. IS tvarkytojų funkcijos:
8.1. tvarko IS elektroninę informaciją ir naudojasi IS teikiamomis galimybėmis pagal nustatytą funkcijoms atlikti reikalingą IS prieigos teisių lygmenį, kuris apriboja naudojimąsi elektronine informacija;
8.2. informuoja IS saugos įgaliotinį ar IS administratorių apie elektroninės informacijos saugos incidentus, IS darbo sutrikimus ir teikia pasiūlymus dėl jų pašalinimo;
8.4. atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi šiuose Saugos nuostatuose ir kituose IS saugos dokumentuose nustatyta tvarka;
9. IS saugos įgaliotinio funkcijos:
9.2. teikia IS valdytojo vadovui pasiūlymus dėl:
9.2.1. IS administratoriaus (administratorių) paskyrimo ir reikalavimų administratoriui (administratoriams) nustatymo;
9.2.2. institucijos informacinių technologijų saugos atitikties vertinimo atlikimo Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156, nustatyta tvarka;
9.3. koordinuoja Elektroninės informacijos saugos incidentų, įvykusių IS, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, Elektroninės informacijos saugumo incidentus, neteisėtas veikas, susijusias su Elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;
9.4. teikia IS administratoriui (administratoriams) ir IS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;
9.5. turi teisę pagal savo įgaliojimus teikti privalomus vykdyti nurodymus ir pavedimus kitiems IS valdytojo ir IS tvarkytojų darbuotojams, jeigu tai būtina saugos politikai įgyvendinti;
9.7. periodiškai organizuoja IS naudotojų mokymą Elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie Elektroninės informacijos saugos problemas;
10. IS administratoriaus funkcijos:
11. IS techninio administratoriaus funkcijos:
11.1. atsako už IS techninės ir programinės įrangos funkcionavimą, tinkamą duomenų bazių valdymo sistemų veikimą;
11.2. valdo IS komponentus – tarnybines stotis, operacines sistemas, duomenų bazių valdymo sistemas, taikomųjų programų sistemas, ugniasienes, įsilaužimų aptikimo sistemas, Elektroninės informacijos perdavimo terpę;
11.8. nuolat teikia IS saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę;
11.9. atlikdamas IS sąrankos pakeitimus, turi laikytis IS pokyčių valdymo tvarkos, nustatytos IS valdytojo patvirtintose Saugaus elektroninės informacijos tvarkymo taisyklėse;
11.10. reguliariai (ne rečiau kaip kartą per metus ir (arba) po IS pokyčio) privalo patikrinti (peržiūrėti) IS sąranką ir IS būsenos rodiklius.
11.11. parenka ir diegia saugos priemones bei užtikrina jų atitiktį Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimams;
11.12. registruoja elektroninės informacijos saugos incidentus ir informuoja apie juos IS saugos įgaliotinį, teikia pasiūlymus dėl minėtų incidentų pašalinimo;
11.13. neperduoda neįgaliotiems asmenimis slaptažodžių, tapatybės kodų ar kitos informacijos, leidžiančios naudojantis programinėmis ir techninėmis priemonėmis sužinoti asmens duomenis ar kitą IS tvarkomą elektroninę informaciją, ir nesudaro kitų sąlygų susipažinti su IS tvarkoma elektronine informacija;
12. Tvarkant Elektroninę informaciją ir užtikrinant jos saugumą vadovaujamasi:
12.5. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716;
12.6. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832;
12.7. Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12);
12.8. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;;
12.10. Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;
12.11. Lietuvos standartais: LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos“. Reikalavimai“;
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
13. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.2.4 ir 4.2.7 punktais, Elektroninė informacija priskiriama svarbios elektroninės informacijos kategorijai;
14. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.2 punktu, IS pagal Elektroninės informacijos svarbos kategoriją priskiriama antrai kategorijai;
15. Vadovaujantis Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintų Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12), 7.2 punktu, IS automatiniu būdu tvarkomų asmens duomenų saugumo lygis yra antrasis (dėl galimybės tvarkyti asmens duomenis duomenų bazėje, prie kurios yra prieiga per išorinius duomenų perdavimo tinklus).
16. IS saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, kuri skelbiama Vidaus reikalų ministerijos interneto svetainėje (http://www.vrm.lt/Rizikos_analize.pdf), Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet atlieka IS rizikos įvertinimą. Prireikus IS saugos įgaliotinis gali organizuoti neeilinį IS rizikos įvertinimą.
17. IS rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama IS valdytojo vadovui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos Elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai yra šie:
17.1. subjektyvūs netyčiniai (Elektroninės informacijos tvarkymo klaidos ir apsirikimai, Elektroninės informacijos ištrynimas, klaidingas Elektroninės informacijos teikimas, fiziniai Elektroninės informacijos technologijų sutrikimai, Elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
17.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Elektroninei informacijai gauti, Elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
18. Atsižvelgdamas į rizikos įvertinimo ataskaitą, IS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
19. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas IS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740, nustatyta tvarka.
20. Elektroninės informacijos saugos priemonės yra parenkamos atsižvelgiant į poreikį ir IS valdytojo turimus resursus.
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
22. Programinės įrangos, skirtos apsaugoti IS nuo kenksmingos programinės įrangos (virusų, programinės įrangos skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
22.1. IS tarnybinėse stotyse ir kompiuterizuotose darbo vietose gali būti naudojama tik legali antivirusinė programinė įranga;
23. Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo nuostatos:
23.1. IS tarnybinėse stotyse ir kompiuterizuotose darbo vietose gali būti naudojama tik legali programinė įranga;
23.2. IS tvarkytojai jungiasi prie IS naudodamiesi techninėmis ir programinėmis priemonėmis, užtikrinančiomis saugų duomenų perdavimą kompiuterių tinklais;
24. Kompiuterių tinklo filtravimo įrangos pagrindinės naudojimo nuostatos:
24.1. IS tarnybinės stotys jungiamos prie interneto per užkardas (angl. firewall), kurios sukonfigūruotos tokiu būdu, kad prie IS tarnybinių stočių galima prisijungti tik registruotais interneto IP adresais. Už užkardų administravimą ir kitų saugos priemonių diegimą ir techninį palaikymą atsakingas IS techninis administratorius;
25. IS tarnybinės stotys gali veikti tiktai specialiai tam pritaikytose patalpose. Reikalavimai šioms patalpoms nurodyti IS saugaus elektroninės informacijos tvarkymo taisyklėse.
26. Leistinos kompiuterių naudojimo ribos:
26.2. per nešiojamąjį kompiuterį (ne per vidinį tinklą) jungiantis prie IS reikia naudoti fiksuotą IP adresą, nurodytą IS techniniam administratoriui;
27. Metodus, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą, nustato IS valdytojas ir IS techninis administratorius. IS techninis administratorius suderina su IS valdytoju elektroninės informacijos teikimo ir (ar) gavimo sąlygas atskirai kiekvienam elektroninės informacijos gavėjui ir (ar) teikėjui ir jas nurodo duomenų teikimo sutartyse.
28. IS techninis administratorius suderina atsarginių duomenų kopijų darymo metodus ir dažnumą, paruošia ir suderina visiško ir dalinio duomenų atkūrimo bandymų metodus ir užtikrina atsarginių duomenų kopijų saugojimą ir atsarginių duomenų kopijų darymo kontrolę.
29. Atsarginių duomenų kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarka:
IV. REIKALAVIMAI PERSONALUI
30. IS naudotojai turi turėti naudojimosi kompiuteriu įgūdžių, būti susipažinę su šiais Saugos nuostatais ir kitais IS saugos dokumentais.
31. IS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Aprašo, kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis.
32. IS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
33. IS administratorius turi turėti naudojimosi kompiuteriu įgūdžių, gerai išmanyti IS veikimą, būti susipažinęs su šiais Saugos nuostatais ir kitais IS saugos dokumentais.
34. IS techninis administratorius privalo išmanyti Elektroninės informacijos saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugą, taip pat administruoti ir prižiūrėti IS, jos tarnybines stotis ir duomenų perdavimo tinklo įrangą, turi būti susipažinęs su šiais Saugos nuostatais ir kitais IS saugos dokumentais.
35. IS techninis administratorius privalo sugebėti užtikrinti IS techninės ir programinės įrangos nepertraukiamą funkcionalumą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų diagnostiką ir šalinimą, išmanyti elektroninės informacijos saugos principus, turi būti susipažinęs su Nuostatais bei kitais saugos politiką įgyvendinančiais dokumentais. IS naudotojų mokymai Elektroninės informacijos saugos tema vykdomi pagal poreikį. Už mokymų organizavimą yra atsakingas IS saugos įgaliotinis.
V. INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
36. Tvarkyti IS duomenis gali tik įgalioti IS naudotojai, patvirtinę savo tapatybę per Elektroninių paslaugų portalą „Elektroniniai valdžios vartai“ ir pirmą kartą jungdamiesi prie IS pateikę sutikimą laikytis saugos dokumentuose nustatytų reikalavimų;
37. Už IS naudotojų supažindinimą su Saugos nuostatais ir IS saugos dokumentais bei atsakomybe už šių reikalavimų nesilaikymą yra atsakingas IS saugos įgaliotinis.
VI. BAIGIAMOSIOS NUOSTATOS
39. Saugos įgaliotinis organizuoja IS saugos dokumentų peržiūrą ne rečiau kaip kartą per metus. Saugos dokumentai turi būti peržiūrimi atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams;