1
LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRAS
ĮSAKYMAS
DĖL ELEKTRONINIO DOKUMENTŲ ARCHYVO INFORMACINĖS SISTEMOS SAUGOS NUOSTATŲ PATVIRTINIMO
2014 m. gruodžio 29 d. Nr. 1R-382
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7 ir 19 punktais:
2. Pavedu valstybės įmonei Registrų centrui:
2.2. per 3 mėnesius nuo Elektroninio dokumentų archyvo informacinės sistemos saugos nuostatų patvirtinimo dienos Teisingumo ministerijai pateikti Elektroninio dokumentų archyvo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Elektroninio dokumentų archyvo informacinės sistemos veiklos tęstinumo valdymo plano ir Elektroninio dokumentų archyvo informacinės sistemos naudotojų administravimo taisyklių projektus.
PATVIRTINTA
Lietuvos Respublikos teisingumo ministro
2014 m. gruodžio 29 d. įsakymu Nr. 1R-382
ELEKTRONINIO DOKUMENTŲ ARCHYVO INFORMACINĖS SISTEMOS
SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Elektroninio dokumentų archyvo informacinės sistemos saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Elektroninio dokumentų archyvo valstybės informacinės sistemos (toliau – informacinė sistema) elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui ir Informacinės sistemos naudotojų supažindinimo su saugos dokumentais principus.
2. Informacinės sistemos Saugos nuostatų tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti informacinės sistemos informaciją, užtikrinti elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterinių darbo vietų bei tinklo įrangos funkcionavimą. Informacinės sistemos saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo ir saugos priemonių projektavimo bei diegimo principus.
3. Saugos nuostatuose vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), teisingumo ministro tvirtinamuose Elektroninio dokumentų archyvo informacinės sistemos nuostatuose ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 27002:2014 ir LST ISO/IEC 27001:2013 vartojamas sąvokas.
4. Informacijos saugumo užtikrinimo prioritetinės kryptys:
5. Informacinės sistemos valdytojo ir tvarkytojo pavadinimai ir adresai:
5.1. informacinės sistemos valdytojas yra Lietuvos Respublikos teisingumo ministerija, Gedimino pr. 30, 01104 Vilnius;
6. Informacinės sistemos valdytojo funkcijos ir atsakomybė:
6.1. koordinuoja informacinės sistemos tvarkytojo darbą, metodiškai jam vadovauja ir įstatymų nustatyta tvarka atlieka šio darbo priežiūrą;
6.7. atsižvelgdamas į rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą;
6.8. atsako už informacinės sistemos saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą, tvirtina saugos politikos įgyvendinamuosius dokumentus (Saugaus elektroninės informacijos tvarkymo taisykles, informacinės sistemos veiklos tęstinumo valdymo planą, informacinės sistemos naudotojų administravimo taisykles).
7. Informacinės sistemos tvarkytojo funkcijos ir atsakomybė:
7.1. užtikrina nepertraukiamą informacinės sistemos veikimą, elektroninės informacijos, esančios informacinėje sistemoje, saugą ir saugų elektroninės informacijos perdavimą kompiuterių tinklais (automatiniu būdu);
7.2. teikia pasiūlymus informacinės sistemos valdytojui, kaip tobulinti informacinės sistemos saugą;
7.3. užtikrina tinkamą informacinės sistemos valdytojo priimtų teisės aktų ir rekomendacijų įgyvendinimą;
7.5. skiria informacinės sistemos administratorių arba kelis administratorius, vykdančius atskiras informacinės sistemos administravimo funkcijas;
8. Informacinės sistemos saugos įgaliotinio funkcijos ir atsakomybė:
8.1. teikia informacinės sistemos tvarkytojo vadovui pasiūlymus dėl:
8.2. teikia informacinės sistemos valdytojo vadovui pasiūlymus dėl saugos dokumentų priėmimo, keitimo;
8.3. koordinuoja elektroninės informacijos saugos incidentų, įvykusių informacinėje sistemoje, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;
8.4. teikia administratoriui (administratoriams), informacinės sistemos naudotojams ir kitiems informacinės sistemos valdytojo ir tvarkytojo darbuotojams privalomus vykdyti nurodymus ir pavedimus dėl saugos politikos įgyvendinimo;
8.6. periodiškai organizuoja informacinės sistemos naudotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas;
8.7. atlieka kitas informacinės sistemos valdytojo ir tvarkytojo vadovų pavestas ir kituose teisės aktuose jam priskirtas funkcijas;
9. Informacinės sistemos priežiūrą atlieka administratoriai: kompiuterinių tinklų administratorius, tarnybinių stočių administratorius, duomenų bazių administratorius ir informacinės sistemos naudotojų administratorius. Pagal atliekamų funkcijų pobūdį bei prieigos prie informacinės sistemos lygį:
9.1. kompiuterinių tinklų administratorius atlieka šias funkcijas:
9.2. tarnybinių stočių administratorius atlieka šias funkcijas:
9.2.3. kuria ir administruoja tarnybinių stočių naudotojų registracijos į tarnybines stotis duomenis;
9.3. duomenų bazių administratorius atlieka šias funkcijas:
9.4. informacinės sistemos naudotojų administratorius atlieka šias funkcijas:
10. Saugų informacinės sistemos duomenų tvarkymą reglamentuoja:
10.4. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas);
10.5. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
10.6. Lietuvos standartai LST ISO/IEC 27002:2014 ir LST ISO/IEC 27001:2013, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, nustatantys saugų informacinės sistemos duomenų tvarkymą;
10.7. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“;
II skyrius
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
11. Informacinėje sistemoje tvarkoma elektroninė informacija priskirtina svarbios elektroninės informacijos kategorijai, vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.2.4 ir 4.2.7 papunkčių nuostatomis.
12. Informacinė sistema priskiriama antrajai kategorijai, vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.2 papunkčio nuostatomis, atsižvelgiant į joje apdorojamos elektroninės informacijos svarbos kategoriją.
13. Informacinėje sistemoje asmens duomenų tvarkymas automatiniu būdu priskirtinas antrajam saugumo lygiui, vadovaujantis Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms 7.2 papunkčio nuostatomis.
14. Informacinės sistemos saugos įgaliotinis, vadovaudamasis Vidaus reikalų ministerijos metodine priemone „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, kasmet organizuoja informacinės sistemos rizikos veiksnių vertinimą. Prireikus, saugos įgaliotinis gali organizuoti neeilinį informacinės sistemos rizikos veiksnių vertinimą.
15. Informacinės sistemos rizikos vertinimas surašomas rizikos įvertinimo ataskaitoje, kuri pateikiama informacinės sistemos valdytojo ir tvarkytojo vadovams. Informacinės sistemos rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:
15.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
15.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
15.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
16. Informacinės sistemos rizikos veiksniai vertinami nustatant jų įtakos informacinės sistemos elektroninės informacijos saugai laipsnius:
16.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – informacija išsiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, kurią galima greitai atstatyti iš turimų atsarginių kopijų, prarasta informacija po paskutinio kopijavimo. Neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterinėse darbo vietose;
16.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar sugadinti, bet juos įmanoma atkurti iš turimų atsarginių kopijų. Duomenų bazių įrašai pakeisti, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse;
17. Informacinės sistemos rizikos vertinimo metu atliekami darbai:
18. Informacinės sistemos valdytojas, atsižvelgdamas į informacinės sistemos rizikos įvertinimo ataskaitą, prireikus tvirtina informacinės sistemos rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis informacinės sistemos rizikos valdymo priemonėms įgyvendinti.
19. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:
20. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politikos įgyvendinamuosiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, ne rečiau kaip kartą per metus yra organizuojamas informacinių technologijų saugos atitikties vertinimas, vadovaujantis vidaus reikalų ministro patvirtinta metodika.
III skyrius
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
21. Programinės įrangos, skirtos informacinei sistemai nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai) apsaugoti, naudojimo nuostatos ir jos atnaujinimo reikalavimai:
21.1. tarnybinėse stotyse ir kompiuterinėse darbo vietose su „Microsoft Windows“ operacine sistema privalo būti įdiegta centralizuotai valdoma apsauga nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos ir kt.);
21.2. elektroninio pašto tarnybinės stotys turi būti apsaugotos nuo brukalų ir nepageidaujamo turinio elektroninių laiškų;
21.3. kompiuterinėse darbo vietose turi būti įdiegtos priemonės, leidžiančios riboti USB ir kito tipo laikmenų naudojimą;
21.4. apsaugai naudojama programinė įranga privalo atsinaujinti ne rečiau kaip kartą per 24 valandas;
21.5. apsaugos sistema privalo automatiškai elektroniniu paštu informuoti atsakingus darbuotojus apie kompiuterines darbo vietas ir tarnybines stotis, kuriose apsaugos sistema netinkamai funkcionuoja, yra išjungta arba neatsinaujino per 24 valandas;
22. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:
23. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:
23.1. įmonės kompiuteriniai tinklai nuo viešųjų telekomunikacijų tinklų (interneto) atskirti ugniasienėmis, DOS ir DDOS atakų prevencijai skirta įranga bei įsilaužimų aptikimo ir prevencijos įranga;
23.2. visas informacinės sistemos duomenų srautas į ir iš interneto yra filtruojamas naudojant apsaugą nuo virusų ir kitos kenkėjiškos programinės įrangos;
24. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:
24.1. nuotolinis prisijungimas prie informacinės sistemos galimas:
24.1.1. iš virtualių darbo vietų „PCoIP“ protokolu. Nutolusiame kompiuteryje įdiegiama speciali programinė įranga „Vmware view client“ ir jungiamasi per specializuotą tarnybinę stotį (securitysrv.kada.lt) naudojant HTTPS protokolą;
24.1.2. naudojantis „IPSec“ (angl. Internet Protocol Security) protokolų rinkiniu ir jungiantis kaip „IPSec“ programiniam klientui;
24.2. prieiga prie informacinės sistemos yra ribojama ugniasienėmis pagal sutartyse numatytus kriterijus (IP adresus);
24.3. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojami saugūs ryšio kanalai. Informacijai perduoti gali būti naudojamas saugus valstybės duomenų perdavimo tinklas (SVDPT);
25. Nešiojamieji kompiuteriai naudojami valstybės įmonės Registrų centro direktoriaus 2008 m. birželio 20 d. įsakyme Nr. v-148 „Dėl Nešiojamų įrenginių saugumo patvirtinimo tvarkos ir Duomenų rezervinio kopijavimo ir laikmenų saugojimo tvarkos patvirtinimo“ nustatyta tvarka.
IV skyrius
REIKALAVIMAI PERSONALUI
27. Visi informacinės sistemos naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti informacinės sistemos duomenis teisingumo ministro tvirtinamų Elektroninio dokumentų archyvo informacinės sistemos nuostatų nustatyta tvarka, būti susipažinę su Saugos nuostatais ir saugos politikos įgyvendinimą reglamentuojančiais teisės aktais.
28. Informacinės sistemos naudotojai, pažeidę Saugos nuostatų ar kitų saugos politikos įgyvendinamųjų teisės aktų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.
29. Informacinės sistemos saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais. Informacinės sistemos saugos įgaliotinis privalo sugebėti prižiūrėti, kaip įgyvendinama saugos politika. Saugos įgaliotinis privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje.
30. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumo srityje, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau nei vieni metai.
31. Informacinės sistemos administratoriumi gali būti skiriamas darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. Informacinės sistemos administratorius privalo mokėti administruoti ir prižiūrėti duomenų bazes, būti susipažinęs su Saugos nuostatais ir saugos politikos įgyvendinamaisiais teisės aktais.
V skyrius
INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
33. Už informacinės sistemos naudotojų supažindinimą su Saugos nuostatais ir kitais saugos politikos įgyvendinamaisiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą yra atsakingas informacinės sistemos saugos įgaliotinis.
34. Informacinės sistemos saugos įgaliotinis raštu informuoja informacinės sistemos naudotojus apie tai, kur jie gali susipažinti su Saugos nuostatais ir kitais saugos politikos įgyvendinamaisiais dokumentais.
35. Saugos nuostatai ir kiti saugos politikos įgyvendinamieji teisės aktai skelbiami informacinės sistemos naudotojams pasiekiamoje interneto svetainėje.