LIETUVOS RESPUBLIKOS VYRIAUSIOJO VALSTYBINIO DARBO INSPEKTORIAUS

Į S A K Y M A S

DĖL VALSTYBINĖS DARBO INSPEKCIJOS INTERNETO SVETAINĖS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2010 m. birželio 30 d. Nr. V-205

Vilnius

Vadovaudamasis Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms aprašo, patvirtintu Lietuvos Respublikos Vyriausybės 2003 m. balandžio 18 d. nutarimu Nr. 480 (Žin., 2003, Nr. 38-1739; 2006, Nr. 115-4376; 2009, Nr. 154-6976), 8 punktu ir Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 punktu:

1. Tvirtinu Valstybinės darbo inspekcijos interneto (toliau – VDI) svetainės duomenų saugos nuostatus (pridedama).

2. Neskelbiama.

3. Neskelbiama.

4. Neskelbiama.

vyriausiasis valstybinis darbo inspektorius Mindaugas Pluktas

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2010-06-28 raštu Nr. 1D-5103

PATVIRTINTA

Lietuvos Respublikos

vyriausiojo valstybinio darbo inspektoriaus

2010 m. birželio 30 d. įsakymu Nr. V-205

VALSTYBINĖS DARBO INSPEKCIJOS INTERNETO SVETAINĖS DUOMENŲ SAUGOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Valstybinės darbo inspekcijos (toliau – VDI) interneto svetainės (toliau – ISV) duomenų saugos nuostatų (toliau – Nuostatai) tikslas – apibrėžti VDI interneto svetainės informacijos saugos politiką ir užtikrinti, kad VDI interneto svetainės www.vdi.lt informacija būtų apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo ir kitokio neteisėto tvarkymo.

2. VDI ISV saugumo svarba yra siejama su galimomis informacijos ir ryšių pažeidžiamumo grėsmėmis, kurias gali sukelti gamtos, infrastruktūros, technologiniai, organizaciniai ir žmogiškieji (tyčiniai ir netyčiniai) veiksniai. Neįdiegus reikalingų saugumo priemonių yra galima informacijos pažeidžiamumo rizika ir gali būti padaryta materialinė ir nematerialinė žala.

3. Nuostatai parengti vadovaujantis:

3.1. Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2003 m. balandžio 18 d. nutarimu Nr. 480 (Žin., 2003, Nr. 38-1739; 2006, Nr. 115-4376; 2009, Nr. 154-6976);

3.2. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) (toliau – Bendrieji reikalavimai);

3.3. Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070);

3.4. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866) (toliau – Techniniai reikalavimai).

4. VDI ISV valdytojas ir tvarkytojas – Valstybinė darbo inspekcija, kurios adresas – Algirdo g. 19, Vilnius.

5. Esama būklė. VDI, užtikrindama ISV saugą, vadovaujasi Lietuvos standarte LST ISO/IEC 17799:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas (tapatus ISO/IEC 17799:2005)“ nustatytomis rekomendacijomis.

6. VDI ISV saugumo užtikrinimo prioritetinės kryptys:

6.1. informacijos vientisumo užtikrinimas, siekiant, kad informacija nebūtų atsitiktiniu ar neteisėtu būdu pakeista ar sunaikinta;

6.2. informacijos prieinamumo užtikrinimas, siekiant, kad:

6.2.1. informacija būtų prieinama interneto svetainės lankytojams visą parą;

6.2.2. VDI ISV valdytojo paskirti asmenys galėtų tvarkyti VDI interneto svetainę darbo metu;

6.3. VDI ISV valdytojo ir tvarkytojo funkcijos ir atsakomybė:

6.3.1. kuria ir valdo VDI ISV;

6.3.2. užtikrina veiksmingą VDI ISV tobulinimo planavimą;

6.3.3. organizuoja VDI ISV saugos įgyvendinimą ir tvirtina saugos politiką įgyvendinančius dokumentus;

6.3.4. nustato VDI ISV pokyčių valdymo tvarką;

6.3.5. organizuoja VDI ISV saugos dokumentų peržiūrėjimą;

6.3.6. skiria saugos įgaliotinį, įgyvendinantį VDI ISV saugą, ir administratorių, atliekantį VDI ISV priežiūrą;

6.3.7. atsako už VDI ISV tvarkymo teisėtumą ir saugą.

7. VDI vadovas yra atsakingas už tinkamą Nuostatuose nustatytų funkcijų vykdymą.

8. Saugos įgaliotinis, įgyvendindamas VDI ISV, atlieka šias funkcijas:

8.1. teikia VDI ISV valdytojo vadovui pasiūlymus dėl:

8.1.1. administratoriaus (ar jų grupės) paskyrimo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);

8.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

8.1.3. VDI ISV saugos reikalavimų atitikties vertinimo atlikimo;

8.2. koordinuoja VDI ISV saugos incidentų tyrimą;

8.3. teikia administratoriui privalomus vykdyti nurodymus ir pavedimus;

8.4. atlieka kitas Bendruosiuose reikalavimuose nustatytas ir VDI ISV valdytojo vadovo pavestas bei Nuostatuose ir kituose VDI ISV saugos politiką įgyvendinančiuose dokumentuose jam priskirtas funkcijas.

9. Saugos įgaliotinis, įgyvendindamas VDI ISV saugą, yra atsakingas už tinkamą Nuostatuose jam nustatytų funkcijų vykdymą.

10. Administratorius (arba administratorių grupė) atlieka šias funkcijas:

10.1. rengia ir tikrina (peržiūri) VDI ISV sudarančių komponentų sąranką;

10.2. nustato VDI ISV pažeidžiamas vietas;

10.3. atlieka VDI ISV taikomų saugumo reikalavimų atitikties vertinimą;

10.4. užtikrina VDI ISV pokyčių valdymo tvarkos laikymąsi;

10.5. atlieka kitas Bendruosiuose reikalavimuose nustatytas ir VDI ISV valdytojo vadovo pavestas bei Nuostatuose ir kituose VDI ISV saugos politiką įgyvendinančiuose dokumentuose jam priskirtas funkcijas.

11. Administratorius, vykdydamas VDI ISV priežiūrą, yra atsakingas už tinkamą Nuostatuose jam nustatytų funkcijų vykdymą.

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

12. Tvarkant VDI ISV ir užtikrinant saugą, nustatant rizikos veiksnius ir vertinant riziką, vadovaujamasi:

12.1. teisės aktais, nurodytais Nuostatų 3 punkte, ir kitais Lietuvos Respublikos teisės aktais, reguliuojančiais elektroninės informacijos tvarkymą ir saugą;

12.2. Vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“;

12.3. Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais.

13. VDI ISV techniniai saugos reikalavimai nustatomi pagal Techninius reikalavimus, pagal tvarkomos informacijos svarbą taikomus ketvirtajai informacinių sistemų kategorijai, vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160).

14. VDI ISV saugos priemonės nustatomos VDI ISV saugaus elektroninės informacijos tvarkymo taisyklėse ir atnaujinamos, įvertinus rizikos veiksnius, galinčius turėti įtakos VDI ISV saugai. Saugos priemonių parinkimo principas: užtikrinti interneto svetainės veiksmingumą ir saugą, patiriant kuo mažiau išlaidų.

15. Rizikos veiksniai vertinami, nustatant jų įtakos interneto svetainės saugai laipsnius:

15.1. Ž – žemas, jei duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nėra pavojingi (pvz., įvesti netikslūs duomenys; dingo dalis duomenų; prarasti duomenys po paskutinio kopijavimo);

15.2. V – vidutinis, jei duomenų pažeidimo poveikio laipsnis yra didelis, padariniai rimti (pvz., duomenys netikslūs ar visiškai sugadinti, suklastoti ir nekorektiški; sunku rasti klaidas ir sugadintus duomenis; neveikia interneto svetainės dalis);

15.3. A – aukštas, jei duomenų pažeidimo poveikio laipsnis yra labai didelis, padariniai rimti (pvz., duomenys visiškai sugadinti; dėl vagystės, gaisro ar užliejimo prarastos atsarginės kopijos; visiškai neveikia interneto svetainė).

16. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos standartą LST ISO/IEC 27005 „Informacijos technologija. Saugumo technika. Informacijos saugumo rizikos valdymas“, kasmet organizuoja VDI ISV rizikos įvertinimą. Saugos įgaliotinio teikimu VDI ISV valdytojas išleidžia įsakymą dėl rizikos įvertinimo, kuriame nurodo vertinimo apimtį, terminus ir atsakingus asmenis. Nustatant apimtį, būtina atsižvelgti į visus rizikos veiksnius, galinčius turėti įtakos informacijos saugai. VDI ISV rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai.

17. Svarbiausieji rizikos veiksniai yra šie:

17.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai ir kita);

17.2. subjektyvūs tyčiniai (duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

17.3. nenugalima jėga (force majeure).

18. Atsižvelgiant į rizikos įvertinimo ataskaitą, prireikus yra rengiamas rizikos įvertinimo ir rizikos valdymo priemonių planas, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti. Šį planą tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato VDI ISV valdytojo vadovas.

19. Neeilinis VDI ISV rizikos įvertinimas turi būti atliekamas: įvykus dideliems pokyčiams VDI ISV techninėje ir programinėje įrangoje; įvykus dideliems organizaciniams pokyčiams Valstybinėje darbo inspekcijoje; paaiškėjus naujoms tendencijoms informacinių technologijų saugos srityje; po didelio masto saugos incidentų.

20. VDI ISV valdytojo vadovas, vadovaudamasis Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 patvirtinta Informacinių technologijų saugos atitikties vertinimo metodika (Žin., 2004, Nr. 80-2855) ir kitais teisės aktais, kartą per kalendorinius metus, jei teisės aktai nenustato kitaip, išleidžia įsakymą dėl VDI ISV informacinių technologijų saugos atitikties vertinimo. Šiame įsakyme yra nustatoma vertinimo apimtis, terminai ir atsakingieji asmenys.

21. Atliekant informacinių technologijų saugos atitikties vertinimą:

21.1. įvertinama saugos dokumentų ir realios informacijos saugos situacijos atitiktis;

21.2. inventorizuojama VDI ISV techninė ir programinė įranga;

21.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų naudotojų kompiuterinių darbo vietų, taip pat visose tarnybinėse stotyse įdiegtos programos ir jų sąranka;

21.4. patikrinama (įvertinama) naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

21.5. įvertinamas pasirengimas užtikrinti VDI ISV veiklos tęstinumą įvykus saugos incidentui.

22. Atlikus VDI ISV informacinių technologijų saugos atitikties vertinimą, saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina Valdytojo vadovas.

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

23. Priemonės ir metodai, kurie taikomi užtikrinant prieigą prie VDI ISV, nurodant leistiną šios prieigos laiką ir būdą, nustatomi VDI ISV naudotojų administravimo taisyklėse.

24. VDI ISV tarnybinė stotis turi būti apsaugota nuo kenksmingos programinės įrangos. Apsaugai naudojama programinė įranga turi atsinaujinti automatiškai ne rečiau kaip kartą per dieną.

25. VDI ISV tvarkymui bei administravimui neturi būti naudojama neteisėta programinė įranga. Naudoti programinę įrangą, nesusijusią su VDI veikla ar VDI ISV naudotojo atliekamomis funkcijomis (žaidimų, bylų siuntimo, internetinių pokalbių programų), neleidžiama.

26. Prieiga prie interneto turi būti apsaugota užkardomis. Už šios įrangos administravimą ir priežiūrą atsakingas VDI ISV administratorius.

27. Interneto turinys turi būti kontroliuojamas.

28. Stacionarių darbo vietų kompiuterius leidžiama naudoti tik VDI patalpose. Nešiojamiems kompiuteriams taikomos papildomos saugos priemonės (rakinimo įrenginiai, prisijungimo ribojimai ir kt.).

29. Užtikrinant saugų elektroninės informacijos teikimą, naudojamas Saugus valstybės duomenų perdavimo tinklas (toliau vadinama – SVDPT).

30. VDI ISV tvarkymo veiksmus – įrašymą, redagavimą gali atlikti tik VDI ISV valdytojo paskirti VDI ISV naudotojai, atsakingieji už informacijos teikimą VDI interneto svetainėje.

31. VDI ISV atsarginės kopijos turi būti daromos kiekvieną darbo dieną. Kopijų darymas turi būti fiksuojamas žurnale. Atsarginės kopijos turi būti 4 rūšių: dienos, savaitės, mėnesio ir metų. Turi būti saugoma ne mažiau kaip po 3 paskutiniąsias kiekvienos rūšies kopijas. Kopijos (įskaitant laikmenas su programine įranga) turi būti saugomos užrakintoje nedegioje spintoje, kitose patalpose, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate. Patekimas į patalpas, kuriose laikomos kopijos, turi būti registruojamas žurnale. Administratorius atsako už atsarginių kopijų darymą ir saugojimą.

32. Duomenų atkūrimo iš atsarginių kopijų testavimas turi būti atliekamas ne rečiau kaip kartą per pusmetį.

33. VDI darbuotojai, pastebėję saugos dokumentų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai administratoriui. Administratorius apie tokius pažeidimus informuoja saugos įgaliotinį. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią VDI ISV saugą (jos konfidencialumą, vientisumą ar prieinamumą), saugos įgaliotinis apie tai turi pranešti kompetentingoms institucijoms.

34. Pokyčių valdymo tvarka yra nustatoma VDI ISV saugaus elektroninės informacijos tvarkymo taisyklėse.

IV. REIKALAVIMAI PERSONALUI

35. Kvalifikaciniai reikalavimai VDI ISV dirbančiam personalui:

35.1. Saugos įgaliotiniu gali būti skiriamas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, kuris geba įgyvendinti informacijos saugą informacinėse sistemose. Saugos įgaliotinis privalo savo darbe vadovautis Nuostatais ir kitais VDI ISV saugos politiką įgyvendinančiais dokumentais, Lietuvos Respublikos teisės aktais, reglamentuojančiais VDI ISV informacijos tvarkymą ir saugą.

35.2. Administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, kuris išmano darbą su kompiuterių tinklais ir geba užtikrinti jų saugumą. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.

35.3. Naudotojai, kurie tvarko interneto svetainę, privalo turėti darbo kompiuteriu įgūdžių. Jie turi būti išmokyti dirbti su VDI ISV programine ir technine įranga.

36. Saugos įgaliotinis periodiškai organizuoja VDI darbuotojų, tvarkančių interneto svetainę, mokymus informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir pan.).

V. NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

37. Saugos įgaliotinis pasirašytinai supažindina administratorių ir naudotojus, tvarkančius bei kuriančius interneto svetainę, su Nuostatais ir kitais saugos dokumentais; pakartotinai supažindinama tik iš esmės pasikeitus VDI ISV saugą reguliuojantiems teisės aktams. Su teisės aktais, išvardintais Nuostatuose ir saugos dokumentuose, administratorius, saugos įgaliotinis ir kiti naudotojai susipažįsta savarankiškai ir jais turi vadovautis, tvarkydami VDI ISV.

38. Saugos įgaliotinio supažindinimą su saugos dokumentais pasirašytinai organizuoja VDI ISV valdytojo vadovas.

VI. BAIGIAMOSIOS NUOSTATOS

39. Saugos dokumentai turi būti peržiūrimi ne rečiau kaip kartą per metus ir prireikus po rizikos analizės ar informacinių technologijų saugos atitikties vertinimo atlikimo, taip pat įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams Valstybinėje darbo inspekcijoje. Prireikus saugos dokumentai turi būti tikslinami ir derinami su Vidaus reikalų ministerija.

40. Saugos įgaliotinis, administratorius, naudotojai ir kiti asmenys, pažeidę Nuostatų ir kitų VDI ISV saugos politiką įgyvendinančių dokumentų reikalavimus bei VDI ISV informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako įstatymų nustatyta tvarka.

_________________