LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRO

Į S A K Y M A S

 

DĖL TEISINGUMO MINISTRO 2007 M. SPALIO 4 D. ĮSAKYMO NR. 1R-389 „DĖL VĮ REGISTRŲ CENTRO TVARKOMŲ REGISTRŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO IR SAUGOS ĮGALIOTINIO SKYRIMO“ PAKEITIMO

 

2012 m. spalio 19 d. Nr. 1R-263

Vilnius

 

P a k e i č i u Valstybės įmonės Registrų centro tvarkomų registrų duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos teisingumo ministro 2007 m. spalio 4 d. įsakymu Nr. 1R-389 „Dėl VĮ Registrų centro tvarkomų registrų duomenų saugos nuostatų patvirtinimo ir saugos įgaliotinio skyrimo“ (Žin., 2007, Nr. 104-4265; 2010, Nr. 25-1183), ir išdėstau juos nauja redakcija (pridedama).

 

 

 

Teisingumo ministras                                                             Remigijus Šimašius


PATVIRTINTA

Lietuvos Respublikos teisingumo ministro

2007 m. spalio 4 d. įsakymu Nr. 1R-389

(Lietuvos Respublikos teisingumo ministro

2012 m. spalio 19 d. įsakymo Nr. 1R-263

redakcija)

 

VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO TVARKOMŲ REGISTRŲ DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Valstybės įmonės Registrų centro (toliau – VĮ Registrų centras) tvarkomų registrų elektroninės informacijos saugumo tikslai yra šie:

1.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją VĮ Registrų centro tvarkomuose Nekilnojamojo turto, Juridinių asmenų ir Adresų registruose (toliau – informacinės sistemos);

1.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, kokio nors kitokio neteisėto jos tvarkymo.

2. VĮ Registrų centras, siekdamas užtikrinti tinkamą elektroninės informacijos saugumą, įgyvendina Lietuvos standarto LST ISO/IEC 27002:2009 reikalavimus.

3. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

3.1. elektroninės informacijos konfidencialumo užtikrinimas;

3.2. elektroninės informacijos vientisumo užtikrinimas;

3.3. elektroninės informacijos prieinamumo užtikrinimas;

3.4. veiklos tęstinumas;

3.5. informacinių sistemų naudotojų mokymas;

3.6. asmens duomenų apsauga.

4. Informacinių sistemų valdytojo ir tvarkytojo pavadinimai ir adresai:

4.1. informacinių sistemų valdytoja yra Lietuvos Respublikos teisingumo ministerija, kurios adresas Gedimino pr. 30, Vilnius;

4.2. informacinių sistemų tvarkytoja yra VĮ Registrų centras, kurio adresas Vinco Kudirkos g. 18-3, Vilnius.

5. Informacinių sistemų valdytojo funkcijos ir atsakomybė:

5.1. koordinuoja informacinių sistemų tvarkytojo darbą, metodiškai jam vadovauja ir įstatymų nustatyta tvarka atlieka šio darbo priežiūrą;

5.2. organizuoja informacinių sistemų duomenų saugos teisinės bazės plėtojimą ir įgyvendinimą;

5.3. prižiūri, kaip laikomasi informacinių sistemų duomenų saugos reikalavimų;

5.4. priima įsakymus dėl informacinių sistemų saugumo užtikrinimo, tikrina, kaip jie vykdomi;

5.5. užtikrina veiksmingą ir spartų informacinių sistemų tobulinimo planavimą;

5.6. kontroliuoja, kad racionaliai ir taupiai būtų naudojami darbo, materialiniai ir finansiniai ištekliai, skirti informacinėms sistemoms tvarkyti;

5.7. atsako už tinkamą jam pavestų funkcijų vykdymą;

5.8. atsako už informacinėse sistemose tvarkomos informacijos tvarkymo teisėtumą ir informacijos saugą.

6. Informacinių sistemų tvarkytojo funkcijos ir atsakomybė:

6.1. užtikrina informacinių sistemų duomenų saugą ir saugų duomenų perdavimą kompiuterių tinklais (automatiniu būdu), teikia pasiūlymus informacinių sistemų valdytojui, kaip tobulinti informacinių sistemų duomenų saugą;

6.2. užtikrina informacinių sistemų valdytojo priimtų teisės aktų ir rekomendacijų tinkamą įgyvendinimą;

6.3. ne rečiau kaip kartą per metus, atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą, organizuoja informacinių sistemų saugos dokumentų persvarstymą (peržiūrėjimą);

6.4. organizuoja informacinių sistemų naudotojams mokomuosius ir pažintinius kursus duomenų registravimo ir elektroninės informacijos teikimo klausimais;

6.5. teikia VĮ Registrų centro filialams metodinę ir informacinę pagalbą informacinių sistemų saugos klausimais, organizuoja informacinių sistemų naudotojų mokymą, apibendrina duomenų registravimo, keitimo, išregistravimo ir kitų su duomenimis atliekamų veiksmų praktiką ir teikia bendrą praktiką formuojančias rekomendacijas;

6.6. organizuoja informacinių sistemų duomenų saugos priežiūros darbų atlikimą;

6.7. VĮ Registrų centro vadovas yra atsakingas už tinkamą šiuose nuostatuose nustatytų funkcijų vykdymą.

7. Saugos įgaliotinis, įgyvendindamas elektroninės informacijos saugą informacinėse sistemose, atlieka šias funkcijas:

7.1. teikia informacinių sistemų tvarkytojo vadovui pasiūlymus dėl:

7.1.1. informacinių sistemų administratoriaus ar administratorių (toliau administratorius) paskyrimo;

7.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

7.1.3. VĮ Registrų centro informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo organizavimo;

7.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių informacinėse sistemose, tyrimą, išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės;

7.3. teikia administratoriui privalomus vykdyti nurodymus ir pavedimus;

7.4. kasmet organizuoja informacinių sistemų rizikos vertinimą;

7.5. prireikus organizuoja neeilinį informacinių sistemų rizikos vertinimą;

7.6. periodiškai inicijuoja informacinių sistemų naudotojų supažindinimą informacijos saugos klausimais, informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai);

7.7. atlieka kitas informacinių sistemų valdytojo ir informacinių sistemų tvarkytojo vadovų pavestas ir Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2007 m. balandžio 25 d. nutarimu Nr. 410 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), jam priskirtas funkcijas;

7.8. saugos įgaliotinis, įgyvendindamas elektroninės informacijos saugą informacinėse sistemose, yra atsakingas už tinkamą šiuose nuostatuose nustatytų funkcijų vykdymą.

8. Administratorius atlieka šias funkcijas:

8.1. pagal kompetenciją užtikrina informacinių sistemų informacijos konfidencialumą, vientisumą ir prieinamumą;

8.2. sukuria ar panaikina informacinių sistemų naudotojų teises, reikalingas numatytoms funkcijoms atlikti;

8.3. tikrina informacines sistemas sudarančių komponentų sąranką ir jų būsenų rodiklius;

8.4. nustato informacinių sistemų pažeidžiamas vietas;

8.5. vykdo saugos įgaliotinio nurodymus ir pavedimus dėl informacinių sistemų informacijos saugos užtikrinimo;

8.6. registruoja informacinių sistemų saugos incidentus ir informuoja apie juos saugos įgaliotinį, teikia pasiūlymus dėl incidentų pašalinimo;

8.7. atlieka kitas teisės aktuose numatytas administratoriaus funkcijas.

9. Administratorius, atlikdamas informacinių sistemų priežiūrą, yra atsakingas už tinkamą šių nuostatų 8 punkte nustatytų funkcijų vykdymą.

10. Saugų informacinių sistemų duomenų tvarkymą reguliuoja:

10.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

10.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas (Žin., 2011, Nr. 163-7739);

10.3. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai;

10.4. Saugos dokumentų turinio gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070);

10.5. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160);

10.6. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniai saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);

10.7. Lietuvos standartai LST ISO/IEC 27002:2009 ir LST ISO/IEC 27005:2008, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, reguliuojantys saugų informacinės sistemos duomenų tvarkymą;

10.8. kiti teisės aktai, reguliuojantys elektroninės informacijos saugumo politiką (toliau – saugos politika) ir duomenų tvarkymo teisėtumą, informacinių sistemų tvarkytojų veiklą ir duomenų saugos valdymą.

 

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

11. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, Nekilnojamojo turto, Juridinių asmenų, ir Adresų registrai priskiriami pirmos kategorijos informacinėms sistemoms.

12. Elektroninės informacijos priskyrimas atitinkamai kategorijai nustatomas įvertinus tvarkomų duomenų tipą ir įtaką informacinės sistemos funkcionavimui, atsižvelgiant į jų konfidencialumą, vientisumą ir pasiekiamumą.

13. Saugos įgaliotinis, vadovaudamasis Lietuvos standartu LST ISO/IEC 27005 „Informacijos technologija. Saugumo technika. Informacijos saugumo rizikos valdymas“, kasmet organizuoja informacinių sistemų rizikos veiksnių vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį informacinių sistemų rizikos veiksnių vertinimą.

14. Informacinių sistemų rizikos veiksnių vertinimas surašomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausi rizikos veiksniai yra šie:

14.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

14.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacinių sistemų duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

14.3. nenugalima jėga (force majeure).

15. Rizikos veiksniai vertinami pagal elektroninės informacijos kategorijas, nustatant jų įtakos informacinių sistemų elektroninės informacijos saugai laipsnius:

15.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – informacija pasiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, kurią galima greitai atkurti iš turimų atsarginių kopijų, prarasta informacija po paskutinio kopijavimo. Neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterizuotose darbo vietose;

15.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar sugadinti, bet juos įmanoma atkurti iš turimų atsarginių kopijų. Duomenų bazių įrašai pakeisti, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse;

15.3. A – aukštas. Duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti – duomenys visiškai sugadinti; dėl vagystės, gaisro ar užliejimo prarasti ne tik duomenys iš duomenų bazių, bet ir atsarginės kopijos; neveikia visos informacinės sistemos.

16. Rizikos vertinimo metu atliekamų darbų apimtis:

16.1. informacines sistemas sudarančių informacinių išteklių inventorizacija;

16.2. įtakos informacinių sistemų veiklai vertinimas;

16.3. grėsmės ir pažeidimų analizė;

16.4. liekamosios rizikos vertinimas.

17. Atsižvelgdamas į rizikos įvertinimo ataskaitą, informacinių sistemų valdytojas prireikus tvirtina Rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

18. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:

18.1. likutinė rizika turi būti sumažinta iki priimtino lygio;

18.2. informacijos saugos priemonės diegimo kaina adekvati saugomos informacijos vertei;

18.3. kur galima, turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

19. Siekiant užtikrinti šiuose nuostatuose ir kituose saugos politiką reguliuojančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kasmet organizuojamas informacinių technologijų saugos atitikties vertinimas, kurio metu:

19.1. įvertinama šių nuostatų ir kitų saugos politiką reglamentuojančių teisės aktų ir realios informacijos saugos atitiktis;

19.2. inventorizuojama informacinių sistemų techninė ir programinė įranga;

19.3. tikrinamos ne mažiau kaip 10 procentų atsitiktinai parinktose informacinių sistemų duomenis tvarkančių darbuotojų ir sistemų administratorių darbo vietose, visose tarnybinėse stotyse įdiegtų programų ir jų sąranka;

19.4. patikrinama (įvertinama) informacinių sistemų duomenis tvarkantiems darbuotojams ir sistemų administratoriams suteiktų teisių atitiktis vykdomoms funkcijoms;

19.5. įvertinamas pasirengimas užtikrinti informacinių sistemų veiklos tęstinumą įvykus saugos incidentui.

20. Atlikus šių nuostatų 19 punkte nurodytą vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato informacinių sistemų tvarkytojas.

21. Informacinių sistemų informacinių technologijų saugos atitikties Lietuvos standartui LST ISO/IEC 27002:2009 vertinimą atlieka nepriklausomi specialistai.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

22. Priemonės ir metodai, kurie taikomi užtikrinant prieigą prie informacinių sistemų, nurodant leistiną šios prieigos laiką ir būdą, konkrečiai nustatomi ir reguliuojami VĮ Registrų centro registrų naudotojų administravimo taisyklėse.

23. Visose informacinių sistemų tarnybinėse stotyse ir kompiuterizuotose darbo vietose privalo būti įdiegta centralizuotai valdoma apsauga nuo kenksmingos programinės įrangos. Apsaugai naudojama programinė įranga privalo atsinaujinti ne rečiau kaip kartą per 24 valandas.

24. Naudoti programinę įrangą, nesusijusią su informacinių sistemų tvarkytojo veikla ar informacinių sistemų naudotojo atliekamomis funkcijomis (žaidimų, bylų siuntimo, internetinių pokalbių programų), griežtai draudžiama.

25. Informacinių sistemų naudotojų prieiga prie informacinių sistemų ir viešųjų kompiuterinių tinklų turi būti apsaugota užkardomis. Interneto turinys privalo būti filtruojamas, nepraleidžiant nepageidaujamos ir kenksmingos informacijos.

26. Užkardų ir kitos informacinių sistemų saugumui užtikrinti skirtos įrangos diegimą ir konfigūravimą koordinuoja Duomenų saugos skyrius.

27. Stacionarių darbo vietų kompiuterius leidžiama naudoti tik VĮ Registrų centro patalpose.

28. Nešiojamieji kompiuteriai naudojami VĮ Registrų centro direktoriaus 2008 m. birželio 20 d. įsakyme Nr. v-148 „Dėl nešiojamų įrenginių saugumo patvirtinimo tvarkos ir duomenų rezervinio kopijavimo ir laikmenų saugojimo tvarkos patvirtinimo“ nustatyta tvarka (VĮ Registrų centro direktoriaus 2011 m. lapkričio 18 d. įsakymo Nr. v-221 redakcija).

29. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojami saugūs ryšio kanalai su perduodamų duomenų šifravimu. Informacijai perduoti gali būti naudojamas saugus valstybės duomenų perdavimo tinklas (toliau – SVDPT).

30. Duomenys teikiami ir (ar) gaunami automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas.

31. Atsarginės duomenų kopijos daromos laikantis VĮ Registrų centro direktoriaus 2008 m. birželio 20 d. įsakyme Nr. v-148 „Dėl nešiojamų įrenginių saugumo patvirtinimo tvarkos ir duomenų rezervinio kopijavimo ir laikmenų saugojimo tvarkos patvirtinimo“ (VĮ Registrų centro direktoriaus 2011 m. lapkričio 18 d. įsakymo Nr. v-221 redakcija) nustatytos tvarkos.

 

IV. REIKALAVIMAI PERSONALUI

 

32. Informacinių sistemų naudotojai privalo rūpintis tvarkomos informacijos saugumu.

33. Informacinių sistemų naudotojai privalo gerai mokėti valstybinę lietuvių kalbą, turėti pareiginiuose nuostatuose nustatytą išsilavinimą, gerai mokėti dirbti kompiuteriu ir taikomosiomis programomis.

34. Tvarkyti informacinių sistemų duomenis gali tik informacinių sistemų naudotojai, susipažinę su šiais nuostatais ir elektroninės informacijos saugos politiką reguliuojančiais saugos dokumentais ir raštu sutikę laikytis šių teisės aktų reikalavimų.

35. Informacinių sistemų naudotojai, pažeidę šių nuostatų ar kitų saugos politiką reguliuojančių teisės aktų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

36. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais.

37. Administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.

38. Saugos įgaliotinis ne rečiau kaip kartą per metus inicijuoja informacinių sistemų naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų organizavimas, atmintinių naujai priimtiems darbuotojams rengimas).

 


V. INFORMACINIŲ SISTEMŲ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

39. Už informacinių sistemų naudotojų supažindinimą su šiais nuostatais ir kitais saugos politiką reguliuojančiais teisės aktais ir atsakomybe už šių reikalavimų nesilaikymą atsakingas saugos įgaliotinis.

40. Šie nuostatai ir kiti saugos politiką reguliuojantys teisės aktai skelbiami VĮ Registrų centro vidinio tinklalapio skiltyje „Duomenų saugos dokumentai“.

41. Informacinių sistemų naudotojai su šiais nuostatais ir kitais saugos politiką reguliuojančiais teisės aktais ir atsakomybe už šių reikalavimų nesilaikymą supažindinami pasirašytinai.

42. Pakartotinai su saugos politiką reguliuojančiais teisės aktais darbuotojai supažindinami tik iš esmės pasikeitus informacinėms sistemoms arba informacijos saugą reguliuojantiems teisės aktams. Informacija apie pasikeitimus saugos politiką reguliuojančiuose teisės aktuose siunčiama elektroniniu būdu.

43. Saugos įgaliotinis tvarko informacinių sistemų naudotojų supažindinimo su saugos politiką reguliuojančiais teisės aktais žurnalą, kuriame pildomos šios skiltys: supažindinimo data, informacinių sistemų naudotojo vardas, pavardė, pareigos ir parašas.

 

VI. BAIGIAMOSIOS NUOSTATOS

 

44. Informacinių sistemų valdytojas šiuos nuostatus gali keisti, pripažinti netekusiais galios savo arba saugos įgaliotinio iniciatyva.

45. Informacinių sistemų tvarkytojas saugos dokumentus turi persvarstyti (peržiūrėti) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems informacinių sistemų tvarkytojo pokyčiams. Prireikus saugos dokumentai turi būti tikslinami ir derinami su Lietuvos Respublikos vidaus reikalų ministerija.

46. Reorganizuojant arba likviduojant informacines sistemas, jų elektroninė informacija turi būti saugiai perduodama kitam informacinių sistemų valdytojui, valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982) nustatyta tvarka arba sunaikinama.

 

_________________