LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRO
2011 M. birželio 17 D. ĮSAKYMO Nr. 1V-469 „DĖL Lietuvos nacionalinės VIZŲ informacinės sistemos DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO, SAUGOS ĮGALIOTINIO IR SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ RENGĖJO PASKYRIMO“ PAKEITIMO
2016 m. gegužės 19 d. Nr. 1V-370
Vilnius
P a k e i č i u Lietuvos Respublikos vidaus reiklų ministro 2011 m. birželio 17 d. įsakymą Nr. 1V-469 „Dėl Lietuvos nacionalinės vizų informacinės sistemos duomenų saugos nuostatų patvirtinimo, saugos įgaliotinio ir saugos politiką įgyvendinančių dokumentų rengėjo paskyrimo“:
1. Pakeičiu preambulę ir ją išdėstau taip:
„Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11 ir 19 punktais:“;
2. Pakeičiu nurodytuoju įsakymu patvirtintus Lietuvos nacionalinės vizų informacinės sistemos duomenų saugos nuostatus ir išdėstau juos nauja redakcija (pridedama).
PATVIRTINTA
Lietuvos Respublikos vidaus reikalų ministro 2011 m. birželio 17 d.
įsakymu Nr.1V-469
(Lietuvos Respublikos vidaus reikalų
ministro 2016 m. gegužės 19 d.
įsakymo Nr. 1V-370 redakcija)
LIETUVOS NACIONALINĖS VIZŲ INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos nacionalinės vizų informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato Lietuvos nacionalinės vizų informacinės sistemos (toliau – N.VIS) saugos politiką.
2. Šiuose Saugos nuostatuose vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Saugos reikalavimų aprašas), Lietuvos nacionalinės vizų informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2009 m. lapkričio 4 d. nutarimu Nr. 1456 „Dėl Lietuvos nacionalinės vizų informacinės sistemos įsteigimo, jos nuostatų patvirtinimo ir veiklos pradžios nustatymo“ (toliau – N.VIS nuostatai), vartojamas sąvokas.
3. N.VIS elektroninės informacijos saugos politika įgyvendinama pagal N.VIS valdytojo tvirtinamus saugos politiką įgyvendinančius dokumentus:
4. N.VIS saugos tikslai nustatyti N.VIS nuostatų 18 punkte. Taip pat siekiama užtikrinti saugų keitimąsi duomenimis tarp Centrinės vizų informacinės sistemos (toliau – C.VIS), Užsieniečių registro (toliau – UR), Lietuvos nacionalinės Šengeno informacinės sistemos (toliau – N.SIS), Policijos informacinių sistemų ir registrų (toliau – POLIS) ir Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos informacinės sistemos (toliau – VSATIS).
5. N.VIS saugos užtikrinimo prioritetinės kryptys:
5.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų N.VIS elektroninės informacijos saugai užtikrinti, įgyvendinimas ir šių priemonių įgyvendinimo kontrolė;
6. Saugos nuostatai taikomi N.VIS valdytojui – Lietuvos Respublikos vidaus reikalų ministerija (adresas –Šventaragio g. 2, Vilnius), N.VIS tvarkytojui – Informatikos ir ryšių departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – IRD) (adresas – Šventaragio g. 2, Vilnius), o taip pat N.VIS saugos įgaliotiniui, administratoriui ir naudotojams.
7. N.VIS valdytojas:
7.3. priima sprendimą dėl N.VIS informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo;
8. N.VIS tvarkytojas:
8.1. užtikrina saugų N.VIS duomenų perdavimą tarp UR ir N.SIS bei VSATIS, POLIS ir UR Vidaus reikalų telekomunikaciniu tinklu;
8.2. užtikrina N.VIS valdytojo priimtų teisės aktų ir rekomendacijų N.VIS saugai užtikrinti tinkamą įgyvendinimą;
9. N.VIS saugos įgaliotinis, įgyvendindamas N.VIS saugos politiką, atlieka šias funkcijas:
9.3. teikia N.VIS valdytojui pasiūlymus dėl:
9.4. teikia N.VIS administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su N.VIS sauga;
10. N.VIS administratorius, vykdydamas N.VIS priežiūrą, atlieka šias funkcijas:
10.3. informuoja N.VIS saugos įgaliotinį apie N.VIS saugos politikos pažeidimus arba netinkamai veikiančias N.VIS saugos užtikrinimo priemones, teikia siūlymus N.VIS saugos įgaliotiniui dėl N.VIS saugos priemonių;
11. N.VIS elektroninė informacija tvarkoma ir užtikrinama jos sauga vadovaujantis:
11.4. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
11.5. Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai saugumo priemonėms);
11.7. Lietuvos standartais LST ISO/IEC 27002 ir LST ISO/IEC 27001, kiti Lietuvos ir tarptautiniai „Informacijos technologijos. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
12. Atsižvelgiant į C.VIS per N.VIS perduodamos elektroninės informacijos savybių (vientisumo, konfidencialumo ir prieinamumo) įtaką N.VIS darbui, N.VIS tvarkoma elektroninė informacija priskirtina ypatingos svarbos elektroninės informacijos kategorijai pagal Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas), 4.1.2 ir 4.1.6 papunkčius.
13. Pagal Klasifikavimo gairių aprašo 5.1 papunktį, N.VIS priskiriama pirmajai informacinių sistemų kategorijai, atsižvelgiant į N.VIS tvarkomos elektroninės informacijos svarbos kategoriją.
14. N.VIS asmens duomenų tvarkymas automatiniu būdu priskirtinas trečiajam saugumo lygiui, vadovaujantis Bendrųjų reikalavimų saugumo priemonėms 11.3 papunkčio nuostatomis.
15. N.VIS saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ standartus, kasmet organizuoja N.VIS rizikos vertinimą. Prireikus N.VIS saugos įgaliotinis gali organizuoti neeilinį N.VIS rizikos vertinimą.
16. N.VIS rizikos vertinimo metu atliekamos šios veiklos:
17. N.VIS saugos priemonės parenkamos įvertinus galimus rizikos veiksnius per N.VIS perduodamų C.VIS bei gaunamų C.VIS duomenų vientisumui, konfidencialumui ir prieinamumui.
18. Pagrindinės N.VIS rizikos mažinimo priemonės išdėstomos rizikos įvertinimo ataskaitoje, kurią kasmet iki liepos 1 dienos, o prireikus ir neeilinio rizikos įvertinimo ataskaitą iki N.VIS valdytojo nurodytos datos rengia saugos įgaliotinis, įvertinęs galinčius turėti įtakos N.VIS saugai rizikos veiksnius, iš kurių svarbiausieji yra šie:
18.1. subjektyvūs netyčiniai (per N.VIS atliekamo duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas C.VIS, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
18.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis N.VIS duomenims gauti, duomenų pakeitimas ar sunaikinimas C.VIS, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
18.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 84 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
19. N.VIS valdytojas, atsižvelgdamas į N.VIS rizikos įvertinimo ataskaitą, prireikus tvirtina IRD parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
21. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai:
21.2. informacijos saugos priemonės diegimo kainos adekvatumas perduodamos ir gaunamos informacijos vertei;
22. Siekiant užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka kasmet organizuojamas N.VIS informacinių technologijų saugos reikalavimų atitikties vertinimas, kurio metu:
22.1. įvertinama Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų atitiktis realiai N.VIS saugos situacijai;
22.3. tikrinama ne mažiau kaip 10 procentų N.VIS naudotojų kompiuterizuotų darbo vietų ir N.VIS tarnybinėje stotyje įdiegtos programos bei jų sąranka (konfigūracija);
22.4. patikrinama N.VIS naudotojams suteiktų teisių naudotis C.VIS atitiktis atliekamoms funkcijoms, prireikus N.VIS naudotojų teisės praplečiamos ar apribojamos;
23. Atlikus N.VIS informacinių technologijų saugos reikalavimų atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato N.VIS valdytojas.
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
25. Priemonės ir metodai, kurie taikomi užtikrinant prieigą prie C.VIS per N.VIS, nustatomi N.VIS naudotojų administravimo taisyklėse.
26. Programinės įrangos, skirtos N.VIS apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai) naudojimo nuostatos ir jos atnaujinimo reikalavimai:
26.1. N.VIS tarnybinėje stotyje ir kompiuterizuotose darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą (virusų, šnipinėjimo programinę įrangą ir kt.), kurios turi būti reguliariai atnaujinamos automatiniu būdu ne rečiau kaip kartą per 24 valandas;
27. Programinės įrangos, įdiegtos N.VIS tarnybinėje stotyje ir kompiuterizuotose darbo vietose, naudojimo nuostatos:
27.1. N.VIS darbui turi būti naudojama tik legali programinė įranga, įtraukta į leistinos programinės įrangos sąrašą, suderintą su N.VIS valdytoju arba N.VIS valdytojo įgaliotu N.VIS tvarkytoju. Leistinos programinės įrangos sąrašą turi parengti ir ne rečiau kaip kartą per metus peržiūrėti ir prireikus atnaujinti N.VIS saugos įgaliotinis;
27.2. N.VIS tarnybinėje stotyje neturi veikti programinė įranga, nesusijusi su N.VIS duomenų tvarkymu, N.VIS naudotojų ir pačios įrangos administravimu;
27.5. N.VIS naudotojų kompiuterizuotose darbo vietose turi būti įdiegtos priemonės, leidžiančios riboti išorinių duomenų laikmenų (USB, CD/DVD ir kt.) naudojimą;
28. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų ir kt.) pagrindinės naudojimo nuostatos:
28.1. N.VIS naudojamas Vidaus reikalų telekomunikacinis tinklas (toliau – VRTT), už kurio administravimą ir priežiūrą atsako šio tinklo pagrindinis tvarkytojas – IRD, turi būti atskirtas nuo kitų tinklų tinklo užkarda;
28.2. N.VIS tvarkytojai apie diegiamus vietinius belaidžius tinklus, sujungimus su kitais tinklais, vietinių tinklų įrangos pakeitimus turi raštu informuoti VRTT pagrindinį tvarkytoją;
28.3. Visos VRTT esančios N.VIS naudotojų kompiuterizuotos darbo vietos turi būti valdomos centralizuotai pagal VRTT pagrindinio tvarkytojo nustatytas N.VIS naudotojų valdymo grupes;
28.4. turi būti įdiegta atkirtimo nuo paslaugos (angl. DOS) ir dedikuoto atkirtimo nuo paslaugos (angl. DDOS) atakų prevencijai skirta įranga ir įsilaužimų aptikimo ir prevencijos įranga;
28.5. visas duomenų srautas į internetą ir iš jo yra filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;
29. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir gavimą:
29.1. N.VIS naudotojų, jų vykdytų užklausų ir peržiūrėtų užklausų rezultatų duomenys tvarkomi Vidaus reikalų informacinės sistemos centrinio duomenų banko naudotojų administravimo posistemėje Lietuvos Respublikos vidaus reikalų ministro 2005 m. kovo 9 d. įsakymu Nr. 1V-68 „Dėl Vidaus reikalų informacinės sistemos centrinio duomenų banko duomenų peržiūros taisyklių patvirtinimo“ nustatyta tvarka;
29.2. prieiga prie C.VIS per N.VIS suteikiama tik IRD Informacinių technologijų ir telekomunikacijų paslaugų tarnyboje registruotiems N.VIS naudotojams;
29.3. prieiga prie C.VIS per N.VIS suteikiama įgyvendinus N.VIS naudotojų autentifikavimo priemones. Prieiga prie C.VIS užtikrinama automatiniu būdu ištisą parą darbo ir poilsio dienomis;
30. N.VIS naudotojams, savo tarnybinėms funkcijoms vykdyti naudojantiems nešiojamus kompiuterius N.VIS duomenų perdavimui kompiuterių tinklais ne savo darbo vietoje, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas N.VIS naudotojo tapatybės patvirtinimas ir N.VIS duomenų šifravimas.
31. N.VIS programinės įrangos kopijos daromos automatiškai kiekvieną dieną. Prireikus jas atkurti turi teisę N.VIS administratorius. Laikmenos su N.VIS programinės įrangos kopijomis saugomos kitoje patalpoje nei N.VIS tarnybinė stotis.
32. N.VIS naudotojams, kuriems būtinas prisijungimas tiesioginėms pareigoms atlikti iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie N.VIS galimybė:
32.1. techninis nuotolinio prisijungimo sprendimas turi užtikrinti ne žemesnį nei vidiniam prisijungimui naudojamą saugumo lygį, t. y. turi būti naudojamos Saugos nuostatuose nurodytos priemonės ir elektroninės informacijos šifravimas naudojantis virtualiu privačiu tinklu (angl. virtual private network – VPN);
IV SKYRIUS
REIKALAVIMAI PERSONALUI
33. N.VIS saugos įgaliotinis privalo turėti informacinių technologijų specialisto kvalifikaciją, išmanyti informacinių sistemų administravimą, gerai žinoti elektroninės informacijos saugos principus bei saugos užtikrinimo metodus.
34. N.VIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
35. N.VIS administratorius privalo išmanyti pagrindinius saugos politikos principus, darbą su duomenų perdavimo tinklais, užtikrinti jų saugumą, turėti sisteminių programinių priemonių (Windows, Unix, Oracle) administravimo bei priežiūros patirties.
36. N.VIS naudotojai turi turėti atitinkamą kvalifikaciją (informacinių technologijų vartotojų kvalifikacijos kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL (Europos kompiuterio vartotojo pažymėjimas), vartotojo sertifikatas ar pan.) ir patirties (dirbant su atitinkamomis operacinėmis sistemomis, taikomosiomis programomis ir pan.).
37. N.VIS naudotojams ne rečiau kaip kartą per kalendorinius metus turi būti rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugos problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.). Saugos mokymai organizuojami periodiškai, mokymus organizuoja N.VIS saugos įgaliotinis.
V SKYRIUS
NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
38. Naudoti C.VIS duomenis gali tik N.VIS naudotojai, pasirašytinai susipažinę su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais.
39. N.VIS naudotojų supažindinimą su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais ir atsakomybe už šių reikalavimų nesilaikymą organizuoja N.VIS saugos įgaliotinis. N.VIS saugos įgaliotinis raštu informuoja N.VIS naudotojus apie Saugos nuostatų pakeitimus ar saugos politiką įgyvendinančių dokumentų pripažinimą netekusiais galios, keitimą ar priėmimą.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS