INFORMACINĖS VISUOMENĖS PLĖTROS KOMITETO
PRIE LIETUVOS RESPUBLIKOS VYRIAUSYBĖS DIREKTORIAUS
Į S A K Y M A S
DĖL VALSTYBĖS INFORMACINIŲ SISTEMŲ APSKAITOS KOMPIUTERINIO ŽURNALO NUOSTATŲ IR VALSTYBĖS INFORMACINIŲ SISTEMŲ APSKAITOS KOMPIUTERINIO ŽURNALO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2009 m. lapkričio 17 d. Nr. T-111
Vilnius
Vadovaudamasis Valstybės informacinių sistemų steigimo ir įteisinimo taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), 8 punktu ir Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 punktu:
1. T v i r t i n u pridedamus:
2. S k i r i u Valstybės informacinių sistemų apskaitos kompiuterinio žurnalo (toliau – Žurnalas) saugos įgaliotiniu Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės (toliau – Komitetas) Informacinių sistemų ir registrų skyriaus vyriausiąjį specialistą Audrių Mašidlauską.
3. P a v e d u Komiteto Informacinių sistemų ir registrų skyriui per 3 mėnesius nuo šio įsakymo įsigaliojimo parengti ir pateikti Komiteto direktoriui tvirtinti Saugaus Žurnalo elektroninės informacijos tvarkymo taisykles, Žurnalo veiklos tęstinumo valdymo planą ir Žurnalo naudotojų administravimo taisykles.
PATVIRTINTA
Informacinės visuomenės plėtros komiteto prie
Lietuvos Respublikos Vyriausybės
direktoriaus 2009 m. lapkričio 17 d.
įsakymu Nr. T-111
Valstybės INFORMACINIŲ SISTEMŲ APSKAITOS KOMPIUTERINIO ŽURNALO NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Valstybės informacinių sistemų apskaitos kompiuterinio žurnalo (toliau – Žurnalas) nuostatai nustato Žurnalo tikslus, pagrindinę funkciją, steigimo pagrindą, laukiamą rezultatą, Žurnalo valdytoją ir tvarkytoją, jų teises ir pareigas, kaupiamųjų duomenų šaltinius, Žurnalo informacinę ir funkcinę struktūras bei reguliuoja Žurnalo duomenų tvarkymą ir naudojimą, duomenų apsaugą, Žurnalo reorganizavimą ir likvidavimą.
2. Žurnalas – valstybės informacinė sistema (toliau – informacinė sistema), kuri yra skirta tvarkyti duomenis, susijusius su informacinių sistemų steigimu, kūrimu, įteisinimu, reorganizavimu ir likvidavimu (toliau – IS duomenys).
3. Žurnalo duomenys – IS duomenys, taip pat su IS duomenų tvarkymu susiję duomenys (Žurnalo administratoriaus ir Žurnalo naudotojų identifikaciniai duomenys, su Žurnalo administratoriaus atliktais veiksmais susiję duomenys ir kt.)
4. Žurnalo steigimo pagrindas:
4.1. Valstybės informacinių sistemų steigimo ir įteisinimo taisyklės, patvirtintos Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061).
II. ŽURNALO ORGANIZACINĖ STRUKTŪRA
8. Žurnalo valdytojas ir tvarkytojas yra Informacinės visuomenės plėtros komitetas prie Lietuvos Respublikos Vyriausybės (toliau – Komitetas).
9. Žurnalo valdytojo funkcijos:
9.1. analizuoti teisines, technologines, metodologines ir organizacines Žurnalo duomenų tvarkymo problemas ir pagal savo kompetenciją priimti sprendimus, kurių reikia šių duomenų tvarkymui užtikrinti;
10. Žurnalo tvarkytojo funkcijos:
10.5. užtikrinti IS duomenų aktualumą, jų operatyvų atnaujinimą ir sklaidą, Žurnalo duomenų bazėje sukauptų IS duomenų atitiktį Žurnalo kaupiamųjų duomenų šaltinių pateiktiems IS duomenims;
11. Žurnalo naudotojai – Komiteto valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, turintys teisę naudotis Žurnalo duomenimis numatytoms funkcijoms atlikti.
12. Žurnalo administratorius – Komiteto valstybės tarnautojas ar asmuo, dirbantis pagal darbo sutartį, kuris tvarko Žurnalo duomenis pagal jam suteiktą prieigos teisę.
III. ŽURNALO INFORMACINĖ STRUKTŪRA
14. Žurnalo duomenų bazėje tvarkomi šie duomenys:
14.2. informacinės sistemos valdytojas (pavadinimas, juridinio asmens kodas, buveinės adresas, interneto svetainės adresas);
14.3. informacinės sistemos tvarkytojas (pavadinimas, juridinio asmens kodas, buveinės adresas, interneto svetainės adresas);
14.5. informacinės sistemos nuostatų pavadinimas, registravimo Žurnale numeris ir data, patvirtinimo data, oficialaus paskelbimo duomenys, internetinė nuoroda, nuoroda į skaitmeninę nuostatų kopiją (jeigu tokie duomenys yra);
14.6. informacinės sistemos specifikacijos pavadinimas, registravimo Žurnale numeris ir data, patvirtinimo data, nuoroda į skaitmeninę specifikacijos kopiją;
14.7. informacinės sistemos arba jos sudedamosios dalies (komponentės, posistemės) priėmimo ir tinkamumo eksploatuoti akto pavadinimas, priėmimo data ir numeris, nuoroda į šio akto skaitmeninę kopiją;
14.8. teisės akto, patvirtinančio informacinės sistemos reorganizavimą ar likvidavimą, priėmimo data ir numeris, įsigaliojimo data, oficialaus paskelbimo duomenys, internetinė nuoroda į šį teisės aktą, nuoroda į šio teisės akto skaitmeninę kopiją (jeigu tokie duomenys yra), pavadinimas, žyma dėl informacinės sistemos reorganizavimo ar likvidavimo, jos reorganizavimo arba likvidavimo data;
IV. ŽURNALO FUNKCINĖ STRUKTŪRA
15. Atliekamos funkcijos:
15.1. IS duomenų įrašymas, kaupimas, apdorojimas, sisteminimas, saugojimas, paieška, peržiūra, skelbimas internete ir kiti tvarkymo veiksmai;
15.2. internetinių nuorodų į informacinių sistemų nuostatus, nuorodų į nuostatų skaitmenines kopijas, jeigu tokie duomenys yra, įkėlimas į Žurnalą, nuostatų peržiūra ir parsisiuntimas;
15.3. nuorodų į informacinių sistemų specifikacijų skaitmenines kopijas įkėlimas į Žurnalą, specifikacijų peržiūra ir parsisiuntimas;
15.4. internetinių nuorodų į teisės aktus, patvirtinančius informacinių sistemų reorganizavimą ir likvidavimą, nuorodų į šių teisės aktų skaitmenines kopijas, jeigu tokie duomenys yra, įkėlimas, šių teisės aktų peržiūra ir parsisiuntimas;
15.5. nuorodų į informacinės sistemos arba jos sudedamosios dalies (komponentės, posistemės) priėmimo ir tinkamumo eksploatuoti aktų skaitmenines kopijas įkėlimas, šių aktų peržiūra ir parsisiuntimas;
18. Žurnalo duomenys, nurodyti šių nuostatų 14.1 (išskyrus informacinės sistemos registravimo Žurnale datą), 14.2, 14.3, 14.5, 14.6 (išskyrus nuorodas į skaitmenines kopijas), 14.7 ir 14.8 punktuose, yra vieši ir skelbiami Komiteto interneto svetainėje adresu www.ivpk.lt.
19. Informacinių sistemų nuostatų, specifikacijų, informacinių sistemų ir jų sudedamųjų dalių priėmimo ir tinkamumo eksploatuoti aktų bei teisės aktų, patvirtinančių informacinių sistemų reorganizavimą ar likvidavimą, skaitmeninės kopijos yra saugomos Komiteto vidaus administravimui skirtoje sistemoje (dokumentų valdymo sistemoje).
V. KAUPIAMŲJŲ DUOMENŲ ŠALTINIAI
21. Kaupiamųjų duomenų šaltinis Žurnalo valdytojo nustatyta tvarka:
21.3. teikia informacinės sistemos arba jos sudedamosios dalies (komponentės, posistemės) priėmimo ir tinkamumo eksploatuoti akto kopiją;
21.4. teikia teisės akto, patvirtinančio informacinės sistemos įsteigimą, reorganizavimą ar likvidavimą, kopiją;
21.5. teikia informacinės sistemos nuostatų (jų pakeitimų ir papildymų) bei teisės aktų, patvirtinančių informacinės sistemos reorganizavimą ir likvidavimą, oficialaus paskelbimo duomenis, jeigu tokie yra;
VI. Žurnalo SAUGUMO REIKALAVIMAI
22. Žurnalo duomenų sauga organizuojama, vadovaujantis Žurnalo duomenų saugos nuostatais ir kitais saugos dokumentais, parengtais ir patvirtintais, vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin.,1997, Nr. 83-2075; 2007, Nr. 49-1891).
23. Už Žurnalo duomenų saugą pagal kompetenciją atsako Žurnalo valdytojas, tvarkytojas, administratorius ir naudotojai.
VII. Žurnalo FINANSAVIMAS
VIII. BAIGIAMOSIOS NUOSTATOS
27. Likviduojamo Žurnalo duomenys perduodami kitai informacinei sistemai, sunaikinami arba perduodami valstybės archyvui Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982) ir Lietuvos archyvų departamento prie Lietuvos Respublikos Vyriausybės nustatyta tvarka.
PATVIRTINTA
Informacinės visuomenės plėtros komiteto prie
Lietuvos Respublikos Vyriausybės
direktoriaus 2009 m. lapkričio 17 d.
įsakymu Nr. T-111
VALSTYBĖS INFORMACINIŲ SISTEMŲ APSKAITOS KOMPIUTERINIO ŽURNALO duomenų saugos nuostatai
I. Bendrosios nuostatos
1. Valstybės informacinių sistemų apskaitos kompiuterinio žurnalo duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – nustatyti principus ir taisykles, užtikrinančias saugų ir teisėtą Valstybės informacinių sistemų apskaitos kompiuterinio žurnalo (toliau – Žurnalas) duomenų tvarkymą.
2. Saugos nuostatai parengti, vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160; 2008, Nr. 127-4866), Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070).
3. Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Saugos nuostatų 2 punkte nurodytuose teisės aktuose.
4. Žurnalo valdytojas ir tvarkytojas yra Informacinės visuomenės plėtros komitetas prie Lietuvos Respublikos Vyriausybės (toliau – Komitetas), kurio kodas 188772433.
5. Žurnalui su valstybės informacinių sistemų steigimu, kūrimu, įteisinimu, reorganizavimu ir likvidavimu susijusius duomenis (toliau – IS duomenys) teikia informacinių sistemų valdytojai Žurnalo nuostatų ir Žurnalo valdytojo nustatyta tvarka.
6. IS duomenų tvarkymo procesas duomenų saugos požiūriu susideda iš šių etapų:
6.1. informacinių sistemų valdytojai teikia IS duomenis Žurnalo nuostatuose ir Žurnalo valdytojo nustatyta tvarka;
7. Žurnalo duomenys yra IS duomenys, taip pat su IS duomenų tvarkymu susiję duomenys (Žurnalo administratoriaus ir Žurnalo naudotojų identifikaciniai duomenys, su Žurnalo administratoriaus atliktais veiksmais susiję duomenys ir kt.). Žurnalo duomenų saugumo tikslai yra šie:
8. Žurnalo duomenų saugos prioritetinės kryptys:
9. Komiteto direktorius tvirtina šiuos Žurnalo saugos politiką įgyvendinančius dokumentus (toliau – saugos dokumentai):
11. Žurnalo saugos įgaliotinis organizuoja ir kontroliuoja Saugos nuostatų įgyvendinimą bei atlieka šias funkcijas:
11.1. teikia Komiteto direktoriui pasiūlymus dėl:
11.2. koordinuoja Žurnalo duomenų saugos incidentų tyrimą (išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės);
12. Žurnalo administratorius atlieka šias funkcijas:
13. Žurnalo administratorius atsako už tai, kad, tvarkant Žurnalą, nebūtų pažeisti Saugos nuostatai ir saugos dokumentai.
14. Žurnalo techninės įrangos administratorius – valstybės įmonė „Infostruktūra“, esanti Pilies g. 23/15, LT-01123 Vilniuje, kurios tarnybinėje stotyje duomenų bazių serveriuose patalpintos Žurnalo duomenų bazė ir jos valdymo programinės priemonės:
14.1. užtikrina Žurnalo duomenų saugą pagal Valstybės institucijų kompiuterių tinklo paslaugų teikimo sutartį (2002 m. Nr. 02/10-10);
15. Žurnalo duomenų sauga užtikrinama, vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Saugos dokumentų turinio gairėmis, Lietuvos standartais LST ISO/IEC 17799:2006 ir LST ISO/IEC 27001:2006, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, Saugos nuostatais ir saugos dokumentais.
II. Žurnalo DUOMENŲ saugos VALDYMAS
16. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, Žurnalas priskirtinas trečiajai informacinių sistemų kategorijai.
17. Žurnalo duomenų saugą pagal kompetenciją užtikrina Žurnalo techninės įrangos administratorius ir Žurnalo administratorius.
18. Pagrindiniai rizikos veiksniai, kurie gali pažeisti duomenų saugą, yra:
18.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
18.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
19. Saugos įgaliotinis, siekdamas užtikrinti tinkamą saugumo politiką apibrėžiančiuose teisės aktuose nustatytų reikalavimų įgyvendinimą ir saugumo politikos laikymosi kontrolę, ne rečiau kaip vieną kartą per metus organizuoja Žurnalo saugumo auditą, kurio metu:
19.3. patikrinama Žurnalo tvarkymo kompiuterizuotos darbo vietos programinė įranga ir jos konfigūracija;
19.5. įvertinamas Žurnalo administratoriaus pasiruošimas atkurti Žurnalo veikimą, įvykus nenumatytoms situacijoms;
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
21. Žurnalo administratoriui ir naudotojams prieigai prie Žurnalo duomenų bazės suteikiami prisijungimo vardas ir slaptažodis. Prisijungimo prie Žurnalo duomenų laikas ir trukmė nėra ribojami.
22. Žurnalo naudotojų kompiuterinėse darbo vietose privalo būti įdiegta antivirusinė sistema ir apsauga nuo nepageidaujamos programinės įrangos. Šios priemonės turi būti reguliariai atnaujinamos automatiniu būdu.
23. Žurnalo naudotojų kompiuterinėse darbo vietose draudžiama naudoti programinę įrangą, nesusijusią su tiesiogine Komiteto veikla ir funkcijomis.
IV. REIKALAVIMAI PERSONALUI
25. Saugos įgaliotinis privalo išmanyti saugos principus, būti susipažinęs su Saugos nuostatais, saugos dokumentais ir teisės aktais, reglamentuojančiais saugų duomenų tvarkymą, ir sugebėti prižiūrėti saugos politikos įgyvendinimą.
26. Žurnalo administratorius turi išmanyti pagrindinius duomenų saugos politikos principus, mokėti tvarkyti Žurnalo duomenis Žurnalo valdytojo nustatyta tvarka ir būti susipažinęs bei raštu įsipareigojęs laikytis Saugos nuostatuose ir saugos dokumentuose nustatytų reikalavimų.
27. Žurnalo naudotojai privalo turėti pagrindinius darbo kompiuteriu įgūdžius ir būti susipažinę bei raštu sutikę laikytis Saugos nuostatuose ir saugos dokumentuose nustatytų reikalavimų.
28. Komitetas užtikrina, kad Žurnalo saugos įgaliotinis, administratorius ir naudotojai būtų tinkamai parengti, apmokyti bei informuoti, ir reguliariai organizuoja būtinus jų mokymus ir kitas jų kvalifikacijos kėlimo priemones.
V. ŽURNALO ADMINISTRATORIAUS IR NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
VI. SAUGOS NUOSTATŲ IR SAUGOS DOKUMENTŲ ATNAUJINIMO TVARKA
VII. Baigiamosios nuostatos
33. Komitetas privalo įgyvendinti Saugos nuostatuose ir saugos dokumentuose nustatytas organizacines ir technines priemones, skirtas užtikrinti Žurnalo duomenų saugą.
34. Saugos nuostatuose aprašytos Komiteto funkcijos vykdomos ir teisės realizuojamos, nepažeidžiant Lietuvos Respublikoje galiojančiuose teisės aktuose nustatytų reikalavimų.