LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRAS

 

Į S A K Y M A S

DĖL LIETUVOS NACIONALINĖS ŠENGENO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2007 m. rugsėjo 18 d. Nr. 1V-325

Vilnius

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6.1, 8 ir 15 punktais:

1. Tvirtinu Lietuvos nacionalinės Šengeno informacinės sistemos duomenų saugos nuostatus (pridedama).

2. Skiriu Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktorių Vygantą Ivanauską Lietuvos nacionalinės Šengeno informacinės sistemos saugos įgaliotiniu.

 

 

VIDAUS REIKALŲ MINISTRAS                                                               RAIMONDAS ŠUKYS

______________


PATVIRTINTA

Lietuvos Respublikos vidaus reikalų ministro

2007 m. rugsėjo 18 d. įsakymu Nr. 1V-325

 

LIETUVOS NACIONALINĖS ŠENGENO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Lietuvos nacionalinės Šengeno informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos nacionalinės Šengeno informacinės sistemos (toliau – N. SIS) saugos politiką.

2. Saugos nuostatuose vartojamos sąvokos:

N. SIS naudotojas – N. SIS tvarkytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, kuriam suteikta teisė naudotis N. SIS ištekliais jo funkcijoms vykdyti, ir N. SIS duomenų gavėjo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, kuriam suteikta teisė vykdyti paiešką N. SIS bei rengti ir/ar skelbti perspėjimus.

Kitos Saugos nuostatuose vartojamos sąvokos atitinka Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) (toliau – Saugos reikalavimai), vidaus reikalų ministro patvirtintuose Lietuvos nacionalinės Šengeno informacinės sistemos nuostatuose (toliau – N. SIS nuostatai), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir kituose teisės aktuose vartojamas sąvokas.

3. N. SIS duomenų saugos tikslas – užtikrinti N. SIS duomenų konfidencialumą, prieinamumą ir vientisumą.

4. N. SIS duomenų saugos užtikrinimo prioritetinės kryptys:

4.1. N. SIS duomenų tvarkymui naudojamos techninės ir programinės įrangos kontrolė;

4.2. N. SIS duomenų tvarkymo kontrolė;

4.3. Naudojimosi N. SIS duomenimis kontrolė.

5. N. SIS duomenų saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės.

6. N. SIS valdytojas – Lietuvos Respublikos vidaus reikalų ministerija atlieka šias funkcijas, susijusias su N. SIS duomenų sauga:

6.1. skiria N. SIS administratorius;

6.2. priima sprendimą dėl N. SIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

6.3. atlieka kitas Saugos nuostatų, Saugos reikalavimų, N. SIS nuostatų ir kitų teisės aktų nustatytas funkcijas.

7. N. SIS tvarkytojai:

7.1. Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – IRD) atlieka Saugos nuostatų, Saugos reikalavimų, N. SIS nuostatų ir kitų teisės aktų nustatytas funkcijas, susijusias su N. SIS duomenų sauga;

7.2. Lietuvos kriminalinės policijos biuro Tarptautinių ryšių valdybos SIRENE nacionalinis skyrius pagal kompetenciją atsako už N. SIS duomenų tvarkymo teisėtumą.

8. Saugos įgaliotinis atlieka šias funkcijas, susijusias su N. SIS duomenų sauga:

8.1. teikia N. SIS valdytojui pasiūlymus dėl N. SIS duomenų saugai užtikrinti reikalingų techninių ir programinių priemonių įsigijimo, įdiegimo ir modernizavimo;

8.2. atlieka kitas Saugos nuostatų, Saugos reikalavimų ir kitų teisės aktų nustatytas funkcijas.

9. N. SIS administratoriai atlieka N. SIS priežiūros funkcijas, susijusias su N. SIS naudotojų, jiems suteiktų teisių vykdyti N. SIS duomenų paiešką, rengti ir (ar) skelbti ar išregistruoti perspėjimus administravimu, siūlymų dėl N. SIS saugos priemonių teikimu saugos įgaliotiniui, ir atlieka kitas Saugos reikalavimų ir kitų teisės aktų nustatytas funkcijas.

10. Valstybės ir žinybinių registrų, sudarančių N. SIS informacinę infrastruktūrą, duomenų saugą užtikrina šių registrų saugos įgaliotiniai ir administratoriai šių registrų duomenų saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų nustatyta tvarka.

11. Teisės aktai, kuriais vadovaujantis tvarkomi N. SIS duomenys ir užtikrinama jų sauga:

11.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597);

11.2. Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);

11.3. Saugos reikalavimai;

11.4. N. SIS nuostatai;

11.5. N. SIS duomenų saugaus tvarkymo taisyklės;

11.6. N. SIS naudotojų administravimo taisyklės;

11.7. Lietuvos standartai LST ISO/IEC 17799: 2006 ir LST ISO/IEC 27001: 2006 bei Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;

11.8. kiti teisės aktai, reglamentuojantys N. SIS duomenų tvarkymo teisėtumą, N. SIS naudotojų veiklą ir N. SIS duomenų saugos valdymą.

 

II. N. SIS DUOMENŲ SAUGOS VALDYMAS

 

12. Atsižvelgiant į galimo N. SIS duomenų savybių (vientisumo, konfidencialumo ir prieinamumo) praradimo pasekmes, N. SIS priskiriama pirmai informacinių sistemų kategorijai pagal Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), 3.1.1 punktą.

13. N. SIS saugos priemonės parenkamos įvertinus galimus rizikos veiksnius N. SIS duomenų vientisumui, konfidencialumui ir prieinamumui.

14. Pagrindinės N. SIS rizikos mažinimo priemonės išdėstomos rizikos įvertinimo ataskaitoje, kurią kasmet iki liepos 1 dienos rengia saugos įgaliotinis, įvertinęs galinčius turėti įtakos N. SIS duomenų saugai rizikos veiksnius, iš kurių svarbiausieji išvardyti Saugos reikalavimų 31 punkte. Prireikus neeilinio rizikos įvertinimo, saugos įgaliotinis rizikos ataskaitą rengia iki N. SIS valdytojo nurodytos datos.

15. N. SIS valdytojas atsižvelgdamas į N. SIS rizikos įvertinimo ataskaitą, prireikus tvirtina IRD parengtą N. SIS rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

16. N. SIS rizikos veiksnių vertinimui taikoma kokybinė rizikos vertinimo metodika. Pagrindiniai rizikos vertinimo kriterijai pasirenkami atliekant N. SIS rizikos įvertinimą priklausomai nuo N. SIS rizikos vertinimo strategijos.

17. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, vidaus reikalų ministro patvirtintos informacinių technologijų saugos atitikties vertinimo metodikos nustatyta tvarka kasmet organizuojamas N. SIS informacinių technologijų saugos reikalavimų atitikties vertinimas, kurio metu:

17.1. įvertinama realios N. SIS duomenų saugos situacijos atitiktis Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų reikalavimams;

17.2. inventorizuojama N. SIS techninė ir programinė įranga;

17.3. tikrinama ne mažiau kaip 10 procentų N. SIS naudotojų kompiuterinių darbo vietų ir N. SIS tarnybinėse stotyse įdiegtos programos bei jų sąranka (konfigūracija);

17.4. patikrinama N. SIS naudotojams suteiktų teisių tvarkyti N. SIS atitiktis atliekamoms funkcijoms, prireikus N. SIS naudotojų teisės praplečiamos arba apribojamos;

17.5. įvertinamas pasirengimas užtikrinti N. SIS veiklos tęstinumą įvykus N. SIS duomenų saugos incidentui.

18. Atlikus N. SIS informacinių technologijų saugos reikalavimų atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato N. SIS valdytojas.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

19. N. SIS darbui turi būti naudojama tik legali programinė įranga.

20. N. SIS tarnybinėse stotyse neturi veikti programinė įranga, nesusijusi su N. SIS duomenų tvarkymu, N. SIS naudotojų ir pačios įrangos administravimu.

21. Darbo stotyse, kurios naudojamos N. SIS duomenims tvarkyti, privalo veikti programinė įranga, skirta kovai su kenksminga programine įranga, atnaujinama automatiniu būdu ne rečiau kaip kas tris dienas.

22. N. SIS programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.

23. N. SIS naudojamas Vidaus reikalų telekomunikacinis tinklas, už kurio administravimą ir priežiūrą atsako šio tinklo pagrindinis tvarkytojas, turi būti atskirtas nuo kitų tinklų tinklo užkarda.

24. N. SIS naudotojų, jų vykdytų užklausų ir peržiūrėtų užklausų rezultatų duomenys tvarkomi Vidaus reikalų informacinės sistemos centrinio duomenų banko vartotojų administravimo posistemėje vidaus reikalų ministro nustatyta tvarka.

25. Tiesioginė prieiga prie N. SIS duomenų suteikiama įgyvendinus N. SIS naudotojų autentifikavimo priemones. Tiesioginė prieiga prie N. SIS turi būti užtikrinama automatiniu būdu ištisą parą darbo ir poilsio dienomis.

26. Perduodant N. SIS duomenis automatiniu būdu naudojamas TCP/IP protokolas realiame laike (jungties režimu (angl. on-line) arba asinchroniniu režimu pagal N. SIS duomenų teikimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, kopijų skaičius, kitos duomenų perdavimo sąlygos ir tvarka.

27. N. SIS duomenys, perduodami ne per N. SIS valdytojui priklausančias duomenų perdavimo linijas, turi būti šifruojami. N. SIS duomenų gavėjų prieigą prie N. SIS duomenų turi kontroliuoti tinklo užkarda.

28. N. SIS naudotojams, savo tarnybinėms funkcijoms vykdyti naudojantiems nešiojamus kompiuterius N. SIS duomenų perdavimui kompiuterių tinklais ne savo darbo vietoje, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas N. SIS naudotojo tapatybės patvirtinimas ir N. SIS duomenų šifravimas.

29. N. SIS duomenų kopijos turi būti daromos automatiškai kiekvieną dieną.

 

IV. REIKALAVIMAI PERSONALUI IR SUPAŽINDINIMO SU SAUGOS REIKALAVIMAIS TVARKA

 

30. Saugos įgaliotinis privalo turėti dokumentais patvirtintą informacinių technologijų specialisto kvalifikaciją, išmanyti informacinių sistemų administravimą, gerai žinoti elektroninės informacijos saugos principus bei saugos užtikrinimo metodus.

31. N. SIS administratoriai privalo išmanyti pagrindinius elektroninės informacijos saugos principus, darbą su duomenų perdavimo tinklais, duomenų bazių administravimo ir priežiūros pagrindus.

32. N. SIS naudotojai turi turėti atitinkamą kvalifikaciją (informacinių technologijų vartotojų kvalifikacijos kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL (Europos kompiuterio vartotojo pažymėjimas) vartotojo sertifikatas ar pan.) ir patirties (dirbant su atitinkamomis operacinėmis sistemomis, taikomosiomis programomis ir pan.).

33. N. SIS naudotojai turi būti pasirašytinai susipažinę su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais.

34. N. SIS naudotojų supažindinimą su Saugos nuostatais ir kitais N. SIS saugos politiką įgyvendinančiais teisės aktais ir atsakomybe už šių reikalavimų nesilaikymą organizuoja saugos įgaliotinis. Saugos įgaliotinis raštu informuoja N. SIS naudotojus apie Saugos nuostatų pakeitimus ar kitų N. SIS saugos politiką įgyvendinančių teisės aktų pripažinimą netekusiais galios, keitimą ar priėmimą.

35. N. SIS naudotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugos problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.).

 

V. BAIGIAMOSIOS NUOSTATOS

 

36. N. SIS saugos įgaliotinis, N. SIS administratoriai, N. SIS naudotojai, pažeidę Saugos nuostatų ar kitų N. SIS saugos politiką įgyvendinančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

______________