LIETUVOS RESPUBLIKOS GINKLŲ FONDO PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS DIREKTORIAUS

Į S A K Y M A S

 

DĖL ginklų registro DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2012 m. gegužės 9 d. Nr. 1A-33

Vilnius

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6.1, 8 ir 15 punktais:

1. T v i r t i n u Ginklų registro duomenų saugos nuostatus (pridedama).

2. S k i r i u Ginklų registro saugos įgaliotiniu Lietuvos Respublikos ginklų fondo prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Ginklų fondas) Licencijavimo ir kontrolės skyriaus vyriausiąjį specialistą Saulių Riaubą.

3. P a v e d u Ginklų registro saugos įgaliotiniui iki 2012 m. birželio 29 d. teisės aktų nustatyta tvarka parengti ir pateikti Ginklų fondo direktoriui tvirtinti saugos politiką įgyvendinančius dokumentus:

3.1. Ginklų registro saugaus elektroninės informacijos tvarkymo taisykles;

3.2. Ginklų registro veiklos tęstinumo valdymo planą;

3.3. Ginklų registro naudotojų administravimo taisykles.

 

 

Direktorius                                                                                  Gintautas Mišeikis

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2012 m. gegužės 4 d. raštu Nr. 1D-3099(52)

 

_________________

 

PATVIRTINTA

Lietuvos Respublikos ginklų fondo prie

Lietuvos Respublikos vidaus reikalų

ministerijos direktoriaus

2012 m. gegužės 9 d. įsakymu Nr. 1A-33

 

Ginklų registro DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Ginklų registro duomenų saugos nuostatuose (toliau – Saugos nuostatai) reglamentuojama Ginklų registro (toliau – Registras) saugos politika, kuria vadovaudamasis Lietuvos Respublikos ginklų fondas prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Ginklų fondas) užtikrina pakankamą saugos lygį, atitinkantį teisės aktų nustatytą slaptumo žymos lygį.

2. Saugos nuostatų tikslai – užtikrinti Registro duomenų saugą, saugų Registro duomenų tvarkymą automatiniu būdu.

3. Saugos nuostatuose vartojamos sąvokos:

3.1. Registro valdytojas – vadovaujančioji Registro tvarkymo įstaiga;

3.2. Registro tvarkytojai – Registro tvarkymo įstaigos;

3.3. Registro naudotojai – Registro tvarkymo įstaigų valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis ir turintys teisę naudotis Registro ištekliais numatytoms funkcijoms atlikti;

3.4. Registro saugos politiką įgyvendinantys dokumentai – Registro saugaus elektroninės informacijos tvarkymo taisyklės, Registro veiklos tęstinumo valdymo planas, Registro naudotojų administravimo taisyklės;

3.5. Saugos dokumentai – Saugos nuostatai ir Registro saugos politiką įgyvendinantys dokumentai;

3.6. kitos Saugos nuostatuose vartojamos sąvokos atitinka Saugos nuostatų 4 ir 5 punktuose nurodytuose teisės aktuose apibrėžtas sąvokas.

4. Saugus Registro duomenų tvarkymas užtikrinamas vadovaujantis:

4.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

4.2. Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymu (Žin., 1999, Nr. 105-3019; 2004, Nr. 4-29) ir kitais valstybės ir tarnybos paslapčių apsaugą reglamentuojančiais teisės aktais;

4.3. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) (toliau – Bendrieji elektroninės informacijos saugos reikalavimai);

4.4. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);

4.5. Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (Žin., 2008, Nr. 135-5298);

4.6. Lietuvos standartais LST ISO/IEC 27002:2009, LST ISO/IEC 27001:2006, kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos duomenų tvarkymą;

4.7. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160).

5. Saugos nuostatai parengti vadovaujantis:

5.1. Valstybės informacinių išteklių valdymo įstatymu (Žin., 2011, Nr. 163-7739);

5.2. Valstybės registrų ir kadastrų steigimo, reorganizavimo ir likvidavimo taisyklėmis, patvirtintomis Lietuvos Respublikos Vyriausybės 2005 m. gegužės 3 d. nutarimu Nr. 485 (Žin., 2005, Nr. 58-2015);

5.3. Bendraisiais elektroninės informacijos saugos reikalavimais;

5.4. Lietuvos standartais LST ISO/IEC 27002:2009, LST ISO/IEC 27001:2006, kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos duomenų tvarkymą;

5.5. Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070);

5.6. Ginklų registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2011 m. gruodžio 14 d. nutarimu Nr. 1457 „Dėl Valstybinio ginklų registro reorganizavimo į Ginklų registrą ir Ginklų registro nuostatų patvirtinimo“ (Žin., 2011, Nr. 154-7285).

6. Registro saugos politikos tikslas – užtikrinti Registro informacijos konfidencialumą, vientisumą ir prieinamumą.

7. Registro saugai užtikrinti naudojamos organizacinės, techninės, programinės ir fizinės informacijos apsaugos priemonės.

8. Registro saugos užtikrinimo prioritetinės kryptys:

8.1. Registro tvarkymo kontrolė;

8.2. Registro paslaugų ir naudojimosi Registro duomenimis kontrolė;

8.3. Registro duomenims tvarkyti naudojamos techninės ir programinės įrangos kontrolė.

9. Registro valdytojas yra Ginklų fondas (Linkmenų g. 26, LT-08217 Vilnius).

10. Registro tvarkytojai yra:

10.1. Ginklų fondas;

10.2. Policijos departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos (Saltoniškių g. 19, LT-08105 Vilnius);

10.3. teritorinės policijos įstaigos.

11. Registro valdytojo vadovo funkcijos:

11.1. patvirtinti Saugos dokumentus;

11.2. paskirti Registro saugos įgaliotinį (toliau – Saugos įgaliotinis);

11.3. paskirti Registro administratorių (toliau – Administratorius);

11.4. atlikti kitas Lietuvos Respublikoje galiojančiuose teisės aktuose numatytas su Registro duomenų saugos užtikrinimu susijusias funkcijas.

12. Registro valdytojo vadovas Saugos įgaliotinį skiria teisės aktu, kuriuo tvirtinami Saugos nuostatai. Šiuo teisės aktu Registro valdytojo vadovas taip pat nurodo Registro saugos politiką įgyvendinančių dokumentų rengėjus bei Registro saugos politiką įgyvendinančių dokumentų patvirtinimo terminus.

13. Administratorius už paskirtų funkcijų vykdymą atsiskaito tiesiogiai Saugos įgaliotiniui.

14. Saugos įgaliotinio funkcijos:

14.1. įgyvendina Registro saugos politiką, atsako už Saugos dokumentų reikalavimų vykdymą;

14.2. organizuoja Registro sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) priežiūrą, pažeidžiamų vietų nustatymą ir Registro saugos priemonių parinkimą bei šių priemonių atitikties Saugos dokumentų reikalavimams tikrinimą;

14.3. organizuoja eilinius ir neeilinius Registro rizikos įvertinimus ir rengia Registro rizikos įvertinimo ataskaitas;

14.4. teikia Registro valdytojo vadovui pasiūlymus dėl:

14.4.1. Administratoriaus skyrimo (Saugos įgaliotinis negali atlikti Administratoriaus funkcijų);

14.4.2. Saugos dokumentų priėmimo, keitimo ar panaikinimo;

14.4.3. Registro saugos reikalavimų atitikties vertinimo atlikimo;

14.5. koordinuoja Registro saugos incidentų tyrimą, išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės;

14.6. periodiškai inicijuoja Registro naudotojų mokymą Registro saugos klausimais, įvairiais būdais informuoja juos apie Registro saugos iškylančias problemas (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.);

14.7. atlieka kitas Registro valdytojo vadovo pavestas ir Bendrųjų elektroninės informacijos saugos reikalavimų nustatytas saugos įgaliotinio funkcijas.

15. Administratoriaus funkcijos:

15.1. pagal kompetenciją užtikrina Registro duomenų konfidencialumą, vientisumą ir prieinamumą;

15.2. registruoja Registro saugos incidentus ir informuoja apie juos Saugos įgaliotinį, teikia Registro valdytojui pasiūlymus dėl minėtų incidentų pašalinimo;

15.3. sukuria ar panaikina Registro naudotojų teises;

15.4. daro atsargines Registro duomenų kopijas ir jas archyvuoja;

15.5. tikrina Registro sąranką ir jos būsenos rodiklius;

15.6. vykdo Saugos įgaliotinio nurodymus ir pavedimus, susijusius su Registro saugos užtikrinimu;

15.7. atlieka kitas Registro valdytojo vadovo pavestas ir Bendrųjų elektroninės informacijos saugos reikalavimų nustatytas Administratoriaus funkcijas.

16. Saugos nuostatai taikomi Registro valdytojui ir Registro tvarkytojams. Jie privalomi visiems Registro naudotojams.

 

II. Elektroninės INFORMACIJOS SAUGOS VALDYMAS

 

17. Registro elektroninės informacijos saugos valdymą atlieka Registro valdytojas ir Registro tvarkytojai.

18. Registro duomenų tvarkymo ir saugumo procedūros nustatomos Registro saugaus elektroninės informacijos tvarkymo ir Registro naudotojų administravimo taisyklėse, kurias Registro valdytojo vadovui teikia tvirtinti Saugos įgaliotinis.

19. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247, 3.2.1–3.2.3, 3.2.5 ir 3.2.6 punktais, Registras priskiriamas antrai kategorijai.

20. Už duomenų tvarkymo teisėtumą ir duomenų saugą atsako Registro valdytojo bei Registro tvarkytojų paskirti atsakingi asmenys pagal jų pareigybės aprašymuose nustatytas funkcijas.

21. Parenkant Registro saugos priemones, turi būti atsižvelgiama į Lietuvos standarto LST ISO/IEC 27002:2009 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas“ rekomendacijas.

22. Saugos įgaliotinis Registro valdytojo vadovo pavedimu vieną kartą per kalendorinius metus organizuoja Registro saugos reikalavimų atitikties vertinimą, kurio metu:

22.1. įvertinama Saugos dokumentų ir realios informacijos saugos situacijos atitiktis;

22.2. inventorizuojama Registro techninė įranga ir patikrinamos visose Registro tarnybinėse stotyse įdiegtos programos ir jų sąranka;

22.3. patikrinama (įvertinama) Administratoriui ir Registro naudotojams suteiktų teisių atitiktis jų vykdomoms funkcijoms;

22.4. įvertinamas pasirengimas užtikrinti Registro veiklos tęstinumą įvykus Registro saugos incidentui.

23. Atlikus Registro saugos reikalavimų atitikties vertinimą, Saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Registro valdytojo vadovas.

24. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per kalendorinius metus organizuoja Registro rizikos įvertinimą.

25. Registro rizikos įvertinimas atliekamas atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausi rizikos veiksniai:

25.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, duomenų perdavimo tinklų veiklos trikdymai, programinės įrangos klaidos ir kt.);

25.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacinėmis sistemomis, duomenų pakeitimas ir sunaikinimas, duomenų perdavimo tinklų veiklos trikdymai, fizinio saugumo pažeidimai ir kt.);

25.3. atsitiktinės aplinkybės (darbuotojų praradimas, audros, gaisrai, vandens poveikis, elektros instaliacijos gedimai ir kt.).

26. Atlikus Registro rizikos įvertinimą, Saugos įgaliotinis parengia Registro rizikos įvertinimo ataskaitą, kurioje išdėstomos pagrindinės Registro rizikos mažinimo priemonės.

27. Registro valdytojas, atsižvelgdamas į Registro rizikos įvertinimo ataskaitą, prireikus tvirtina Registro rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomos Registro rizikos valdymo priemonės bei techninių, administracinių ir kitų išteklių poreikis joms įgyvendinti, taip pat paskiria atsakingus šių priemonių vykdytojus, nustato šių priemonių įgyvendinimo terminus.

28. Įvykus esminiams Registro techninės ar programinės įrangos pokyčiams, kurie galėtų turėti įtakos Registro veikimui, arba įvykus Registro saugos incidentui, kurio metu būtų sutrikdyta Registro veikla, sugadinti ar prarasti Registro duomenys, o prireikus ir kitais atvejais, Saugos įgaliotinis organizuoja neeilinį Registro rizikos įvertinimą.

 

III. Organizaciniai ir techniniai reikalavimai

 

29. Registro nepertraukiama veikla užtikrinama:

29.1. naudojant pagrindinę ir rezervinę techninę įrangą;

29.2. naudojant nenutrūkstamo maitinimo šaltinius, kurie užtikrina Registro veikimą nutrūkus elektros energijos tiekimui.

30. Siekiant apsisaugoti nuo žalingų programų, naudojama antivirusinė programinė įranga, turinti realaus laiko apsaugą ir nuolat (kiekvieną dieną) automatiškai atsinaujinanti.

31. Registro tarnybinėse stotyse neturi veikti programinė įranga, kuri nėra susijusi su Registro duomenų tvarkymu.

32. Siekiant maksimaliai užtikrinti Registro duomenų fizinę saugą, prieiga prie Registro fiziniu lygiu suteikiama tik darbo metu ir tik iš tam skirtų darbo vietų, naudojami slaptažodžiai.

33. Kiekvienas Registro naudotojas identifikuojamas unikaliai – Registro naudotojo tapatybė patvirtinama slaptažodžiu.

34. Registro tarnybinės stotys nuo išorinio tinklo yra atskirtos aparatinėmis tinklo užkardomis, kurias administruoja ir prižiūri Administratorius.

35. Registro duomenys nuotoliniu būdu perduodami Saugiu valstybiniu duomenų perdavimo tinklu, kuris atitinka saugumo lygį, reikalingą perduoti duomenis su slaptumo žyma „Slaptai“. Duomenys perduodami laikantis Lietuvos Respublikos galiojančių teisės aktų ir tik pagal duomenų teikimo sutartyse numatytas sąlygas. Prisijungimo būdai, naudojami protokolai, šifravimo ir užkardų naudojimas numatomas duomenų teikimo sutartyse kiekvienu atveju atskirai.

36. Į išorę Registras teikia tik viešą informaciją. Iš Registro duomenų teikėjų gaunamų duomenų vientisumas užtikrinamas naudojant viešojo rakto infrastruktūros priemones, leidžiančias vienareikšmiškai autentifikuoti Registro gaunamus duomenis teikiančias kitų informacinių sistemų tarnybines stotis.

37. Registro duomenų atsarginės kopijos daromos kasdien automatiniu būdu Administratoriaus nustatytu laiku dubliuojant pagrindinius Registro serverius, kad esant būtinybei būtų galima greitai atkurti Registro veiklą. Kopijos daromos esant aktyviai Registro duomenų bazei, tuo metu Registro naudotojams leidžiama prisijungti prie Registro duomenų bazės.

38. Siekiant išvengti Registro atsarginių duomenų kopijų neteisėto panaudojimo, Registro atsarginės duomenų kopijos šifruojamos arba naudojamos kitos ekvivalenčios apsaugos priemonės.

39. Registro duomenų atkūrimo išbandymą bent kartą per kalendorinius metus atlieka Administratorius. Šio bandymo metu Registro duomenys atkuriami taip, kaip jie būtų atkuriami tuo atveju, jei būtų netikėtai prarasti. Bandymo metu atkurti Registro duomenys turi būti nuodugniai patikrinti ir įvertinti, siekiant įsitikinti, kad bandymas buvo užbaigtas ir sėkmingas.

 

IV. Reikalavimai personalui

 

40. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendraisiais elektroninės informacijos saugos reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais teisės aktais.

41. Administratorius privalo išmanyti darbą su atitinkamomis kompiuterių operacinėmis sistemomis, taikomosiomis programomis, kompiuterių tinklais, ir mokantis užtikrinti jų saugą. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.

42. Registro naudotojai privalo turėti darbo kompiuteriu įgūdžių, išmanyti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą ir kitus teisės aktus, reglamentuojančius asmens duomenų tvarkymą.

43. Registro naudotojų mokymai vykdomi ne rečiau kaip kartą per trejus metus pagal Saugos įgaliotinio parengtą mokymų planą.

44. Registro naudotojai, pastebėję Saugos dokumentų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti Administratoriui, o jo nesant – Saugos įgaliotiniui.

 

V. Registro NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

45. Registro naudotojai turi būti susipažinę su Saugos dokumentais, raštiškai sutikę laikytis šių teisės aktų reikalavimų.

46. Registro naudotojų supažindinimą su Saugos dokumentais bei atsakomybę už šių reikalavimų nesilaikymą organizuoja Saugos įgaliotinis. Šio supažindinimo tvarka nustatoma Registro naudotojų administravimo taisyklėse.

 

VI. Baigiamosios nuostatos

 

47. Registro naudotojai, pažeidę Saugos dokumentų reikalavimus, atsako teisės aktų nustatyta tvarka.

 

_________________