LIETUVOS POLICIJOS GENERALINIO KOMISARO
ĮSAKYMAS
DĖL LIETUVOS POLICIJOS GENERALINIO KOMISARO 2008 m. SAUSIO 8 d. ĮSAKYMO Nr. 5-V-8 „DĖL Policijos ŽINYBINIŲ REGISTRŲ IR POLICIJOS ELEKTRONINIŲ PASLAUGŲ SISTEMOS duomenų saugos NUOSTATŲ PATVIRTINIMO“ PAKEITIMO
2011 m. balandžio 18 d. Nr. 5-V-340
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6.1 punktu:
1. Pakeičiu Policijos žinybinių registrų ir policijos elektroninių paslaugų sistemos duomenų saugos nuostatus, patvirtintus Lietuvos policijos generalinio komisaro 2008 m. sausio 8 d. įsakymu Nr. 5-V-8 „Dėl Policijos žinybinių registrų ir policijos elektroninių paslaugų sistemos duomenų saugos nuostatų patvirtinimo“ (kartu su 2010 m. balandžio 28 d. įsakymu Nr. 5-V-342), ir išdėstau juos nauja redakcija (pridedama).
2. Pripažįstu netekusiu galios Lietuvos policijos generalinio komisaro 2006 m. liepos 28 d. įsakymo Nr. 5-V-468 „Dėl Policijos informacinės sistemos personalo posistemio steigimo ir jo nuostatų patvirtinimo“ 2.2 punktą.
PATVIRTINTA
Lietuvos policijos generalinio komisaro
2008 m. sausio 8 d. įsakymu Nr. 5-V-8
(Lietuvos policijos generalinio komisaro
2011 m. balandžio 18 d.
įsakymo Nr.5-V-340 redakcija)
Policijos informacinės sistemos duomenų saugos nuostatai
I. BENDROSIOS NUOSTATOS
1. Policijos informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato principus ir reikalavimus, užtikrinančius saugų policijos žinybinių registrų, posistemių ir kitų informacinių sistemų (toliau – POLIS) (POLIS sudėtinių dalių), elektroninės informacijos tvarkymą, reglamentuoja POLIS saugos politiką.
2. Saugos nuostatai parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) (toliau – Saugos reikalavimai), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070) (toliau – Saugos dokumentų turinio gairės), Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160) (toliau – Informacinių sistemų klasifikavimo gairės), Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866) (toliau – Informacinių sistemų elektroninės informacijos techniniai saugos reikalavimai), ir kitais teisės aktais bei Lietuvos standartais LST ISO/IEC 27001:2006 ir LST ISO/IEC 27002:2009. Šiuose Saugos nuostatuose vartojamos sąvokos atitinka išvardytuose teisės aktuose vartojamas sąvokas.
3. Saugos nuostatų reikalavimai taikomi tvarkant:
4. Elektroninės informacijos saugumo tikslai:
5. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:
6. Saugos nuostatai taikomi POLIS valdytojui ir registrų tvarkymo įstaigoms (toliau – tvarkytojams).
7. POLIS valdytojo ir tvarkytojų pavadinimai ir adresai:
7.1. POLIS valdytojas yra Policijos departamentas prie Vidaus reikalų ministerijos (toliau – Policijos departamentas). Buveinės adresas – Saltoniškių g. 19, LT-08105 Vilnius;
7.2. POLIS tvarkytojai:
7.2.1. teritorinės, specializuotos policijos ir policijos profesinio mokymo įstaigos. POLIS tvarkymo įstaigų buveinių adresai pateikiami Policijos departamento tinklalapyje adresu http://www.policija.lt/, skiltyje „Struktūra ir kontaktai“;
8. Policijos departamento, kaip POLIS valdytojo, funkcijos ir atsakomybė:
8.1. priimti sprendimus dėl POLIS informacinių technologijų atitikties Saugos reikalavimams vertinimo atlikimo;
8.2. rengti ir tvirtinti teisės aktus, susijusius su POLIS duomenų tvarkymu ir duomenų sauga, prižiūrėti, kaip jų laikomasi;
9. POLIS tvarkytojų funkcijos ir atsakomybė:
9.3. teikti siūlymus POLIS valdytojui dėl techninių, programinių priemonių, skirtų POLIS eksploatuoti ir prižiūrėti, įsigijimo ir atnaujinimo;
10. Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reiklaų ministerijos atlieka policijos žinybinių registrų nuostatų ir kitų teisės aktų nustatytas saugos funkcijas.
11. Saugos įgaliotinio, įgyvendinančio elektroninės informacijos saugą POLIS, funkcijos ir atsakomybė:
11.1. teikti POLIS valdytojui siūlymus dėl:
11.1.1. administratorių, kuriuos turi teisę skirti POLIS valdytojas, skyrimo (saugos įgaliotinis negali atlikti POLIS administratoriaus funkcijų);
11.2. koordinuoti elektroninės informacijos saugos incidentų, įvykusių POLIS, tyrimą (išskyrus atvejus, kai šią funkciją atlieka veiklos tęstinumo valdymo grupė);
12. Administratoriaus, vykdančio POLIS priežiūrą, funkcijos ir atsakomybė:
12.6. informuoti saugos įgaliotinį apie saugos dokumentų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;
12.7. atlikti kitas POLIS valdytojo vadovo ar saugos įgaliotinio pavestas funkcijas, pvz., atsakyti už POLIS funkcionavimą užtikrinančios techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą, vardų skyrimą, atsakyti už priskirtų POLIS komponentų (kompiuterizuotų darbo vietų (toliau – KDV), tarnybinių stočių, operacinių sistemų, duomenų bazių, užkardų, įsilaužimo aptikimo sistemų, duomenų perdavimo tinklų) administravimą, POLIS komponentų sąrankos aprašymo dokumentacijos parengimą ir atnaujinimą, saugos priemonių POLIS pažeidžiamoms vietoms parinkimą bei jų atitiktį saugos politikos (išdėstytos Saugos nuostatuose) ir saugos politiką įgyvendinančių dokumentų (Saugaus policijos informacinės sistemos žinybinių registrų ir posistemių elektroninės informacijos tvarkymo taisyklės (Lietuvos policijos generalinio komisaro 2008 m. spalio 2 d. įsakymas Nr. 5-V-584), POLIS veiklos tęstinumo valdymo planu (Lietuvos policijos generalinio komisaro 2011 m. balandžio 14 d. įsakymas Nr. 5-V-335) ir Naudotojų, dirbančių su registrais ir informacinėmis sistemomis, administravimo taisyklėmis (Lietuvos policijos generalinio komisaro 2008 m. gruodžio 16 d. įsakymas Nr. 5-V-775)) reikalavimams, pagal kompetenciją rengti pasiūlymus dėl POLIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo, registruoti elektroninės informacijos saugos incidentus ir informuoti apie juos saugos įgaliotinį, teikti siūlymus dėl minėtų incidentų pašalinimo, užtikrinti POLIS duomenų konfidencialumą, vientisumą ir prieinamumą, atlikti kitas Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.
13. POLIS naudotojai:
13.1. vadovaudamiesi POLIS valdytojo patvirtintais žinybinių registrų, posistemių ir informacinių sistemų nuostatais, šiais Saugos nuostatais, Naudotojų, dirbančių su registrais ir informacinėmis sistemomis, administravimo taisyklėmis, Saugaus policijos informacinės sistemos žinybinių registrų ir posistemių elektroninės informacijos tvarkymo taisyklėmis ir pareigybių aprašymais, naudojasi POLIS;
13.3. informuoja saugos įgaliotinį, administratorių apie elektroninės informacijos saugos incidentus, POLIS darbo sutrikimus;
14. Teisės aktai, kuriais vadovaujantis tvarkomi POLIS duomenys ir užtikrinama jų sauga:
14.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);
14.2. Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);
14.7. Lietuvos standartai LST ISO/IEC 27001:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002:2009 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas“ ir kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, apibūdinantys saugų informacinės sistemos duomenų tvarkymą;
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
15. Atsižvelgiant į POLIS duomenų savybių (vientisumo, konfidencialumo ir prieinamumo) įtaką policijos veiklai, POLIS sudėtinės dalys, išvardytos Saugos nuostatų 3 punkte, vadovaujantis Informacinių sistemų klasifikavimo gairėmis, yra priskiriamos:
15.1. POLIS sudėtinės dalys, nurodytos Saugos nuostatų 3.1–3.11 punktuose, – antrajai informacinių sistemų kategorijai;
16. POLIS saugos priemonės parenkamos įvertinus galimus rizikos POLIS duomenų vientisumui, konfidencialumui ir prieinamumui veiksnius. Pasirenkant saugos priemones prioritetas teikiamas toms priemonėms, kurių diegimas duoda didžiausią poveikį ir reikalauja mažiausiai sąnaudų.
17. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus ir taikydamas pasaulyje pripažintas metodikas bei vadovaudamasis Galimų grėsmių ir rizikų Policijos informacinei sistemai analizavimo, stebėjimo ir vertinimo procedūrų aprašu, patvirtintu Lietuvos policijos generalinio komisaro 2010 m. birželio 3 d. įsakymu Nr. 5-V-456, kasmet atlieka POLIS rizikos vertinimą, o prireikus ir neeilinį rizikos vertinimą iki liepos 1 dienos. Prireikus POLIS valdytojo pavedimu POLIS rizikos vertinimui atlikti gali būti samdoma privati įmonė.
19. Rizikos veiksnių tikimybės ir žalos vertinimo klasifikacija:
20. Atsižvelgdamas į rizikos vertinimo ataskaitą, POLIS valdytojo vadovas prireikus tvirtina POLIS rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomos rizikos mažinimo priemonės bei techninių, administracinių ir organizacinių išteklių poreikis šioms priemonėms įgyvendinti.
21. Siekiant užtikrinti saugos politikos ir ją įgyvendinančių teisės aktų nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, ne rečiau kaip kartą per dvejus metus organizuojamas POLIS informacinių technologijų saugos atitikties vertinimas, kurio metu:
21.1. įvertinama Saugos nuostatų ir saugos politiką įgyvendinančių teisės aktų atitiktis realiai POLIS saugos situacijai;
21.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų POLIS naudotojų KDV, visose tarnybinėse stotyse įdiegta programinė įranga ir jų sąranka;
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
23. Priemonės ir metodai, kurie taikomi užtikrinant prieigą prie POLIS, nurodant leistiną šios prieigos laiką ir būdą, nustatomi Naudotojų, dirbančių su registrais ir informacinėmis sistemomis, administravimo taisyklėse.
24. Bendrosios priemonės ir metodai:
24.1. POLIS naudotojai jungiasi prie POLIS naudodami POLIS programinę įrangą bei technines ir kitas programines priemones, užtikrinančias saugų duomenų perdavimą;
24.2. POLIS naudotojai atpažįstami pagal unikalius POLIS naudotojų vardus ir slaptažodžius, kurių automatizuotą kontrolę atlieka KDV ir tarnybinių stočių operacinės sistemos. Teisės POLIS naudotojams naudotis POLIS suteikiamos vadovaujantis prašymu ir atsižvelgiant į vykdomas funkcijas;
24.3. prireikus (jei būtina POLIS veiklai užtikrinti) galimas administratoriaus prisijungimas prie KDV ir tarnybinių stočių operacinių sistemų valdymo ir konfigūravimo nuotoliniu būdu, naudojant virtualų privatų tinklą;
24.6. kontroliuojamas patekimas į tarnybinių stočių patalpas, veikia signalizacija (nuo įsilaužimo ir gaisro);
24.7. ilgiausias neaktyvumo laikas, kuriam pasibaigus POLIS naudotojų ryšio sesijos yra automatiškai nutraukiamos, yra 30 minučių. POLIS naudotojų prieigos teisės yra blokuojamos, jei suteiktas prisijungimo vardas yra nenaudojamas 90 dienų;
25. Programinės įrangos, skirtos POLIS ir KDV nuo kenksmingos programinės įrangos apsaugoti, naudojimo nuostatos:
25.1. visose POLIS tarnybinėse stotyse ir KDV, kuriose dirbama su POLIS duomenimis, privalo būti naudojama programinė įranga, skirta POLIS ir KDV nuo kenksmingos programinės įrangos apsaugoti;
25.2. POLIS duomenims ir KDV nuo kenksmingos programinės įrangos apsaugoti POLIS valdytojo ir tvarkytojų įstaigose turi būti naudojamos legalios programinės priemonės;
25.3. POLIS naudotojų kompiuteriuose naudojama įranga, skirta KDV nuo kenksmingos programinės įrangos apsaugoti, turi apsaugoti ir elektroninio pašto programinę įrangą nuo nepageidaujamo pašto ar kenksmingų programų patekimo į KDV;
25.4. POLIS naudotojų kompiuteriuose esanti programinė įranga, skirta POLIS ir KDV nuo kenksmingos programinės įrangos apsaugoti, turi būti atnaujinama automatiniu būdu ne rečiau kaip kas trys dienos;
25.5. atsiradus požymių, kad KDV yra kenksmingų programų, turi būti patikrinami visi KDV standieji diskai, naudojama programinė įranga, skirta POLIS ir KDV nuo kenksmingos programinės įrangos apsaugoti;
25.6. KDV esančios programinės įrangos, skirtos POLIS ir KDV nuo kenksmingos programinės įrangos apsaugoti, nustatymai turi būti parinkti pagal rekomenduojamus tokios programinės įrangos gamintojų reikalavimus arba pagal vidinio kompiuterių tinklo administratoriaus rekomendacijas;
26. Programinės įrangos naudojimo nuostatos:
26.1. POLIS naudotojams draudžiama diegti ir naudoti bet kokią programinę įrangą, keisti sistemos, kompiuterio ar programinės įrangos sistemų nustatymus. Programinę įrangą, reikalingą POLIS naudotojo funkcijoms atlikti, KDV diegia, atnaujina, kontroliuoja ir prižiūri tik administratorius. Kai diegimą turi atlikti kiti asmenys (paslaugų teikėjų specialistai), diegimas gali būti atliekamas suderinus su Policijos departamento Policijos informacijos valdyba ir prižiūrint administratoriams;
27. POLIS naudotojai turi vadovautis „švaraus stalo“ politika:
27.3. baigus darbą, nepalikti ant stalo dokumentų ir duomenų laikmenų, sudėti juos į stalčius, spintas ar lentynas;
27.4. dokumentai, kuriuose pateikiama ypač svarbi informacija, iš spausdintuvų turi būti išimami nedelsiant asmens, kuris inicijavo spausdinimą;
28. POLIS naudotojų prieiga prie kitų valstybės institucijų arba žinybų kompiuterių tinklų ar interneto turi būti apsaugota užkardomis. Interneto turinys turi būti kontroliuojamas, nepraleidžiant nepageidaujamos informacijos. Už kompiuterių tinklo filtravimo įrangos administravimo koordinavimą ir priežiūrą atsakingas administratorius.
29. Leistinos kompiuterių naudojimo ribos:
29.3. POLIS naudotojai, tarnybinėms funkcijoms atlikti naudojantys nešiojamuosius kompiuterius, išnešdami juos iš POLIS valdytojo ir tvarkytojų patalpų, norėdami POLIS duomenis perduoti kompiuterių tinklais ne savo darbo vietoje, turi naudoti kompiuterio įjungimo slaptažodį, papildomą POLIS naudotojo tapatybės patvirtinimą ir POLIS duomenų šifravimą, rakinimo įtaisus (pvz., Kensingtono užraktas).
30. Užtikrinant saugų elektroninės informacijos teikimą kitoms valstybės institucijoms ir (ar) gavimą iš jų, naudojamas Saugus valstybinis duomenų perdavimo tinklas. Duomenys teikiami ir (ar) gaunami automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas.
31. Pagrindiniai atsarginių duomenų kopijų darymo ir atkūrimo reikalavimai:
31.1. POLIS atsarginės duomenų kopijos turi būti daromos periodiškai (visų duomenų kopija – vieną kartą per savaitę). Atsarginių kopijų laikmenos yra sužymimos nurodant kopijos tipą, datą ir kitą sėkmingam atkūrimui reikiamą informaciją;
31.2. periodiškai (ne rečiau kaip kartą per metus) turi būti bandoma atkurti duomenis iš atsarginių duomenų kopijų. Bandymų eiga ir rezultatai įforminami kopijų darymo žurnale;
31.3. atsarginės duomenų kopijos turi būti saugomos:
IV. REIKALAVIMAI PERSONALUI
32. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis saugos reikalavimais, Informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, taip pat Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą, standartais ir kitais dokumentais, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.
33. POLIS administratoriai privalo išmanyti pagrindinius saugos politikos principus, darbą su duomenų perdavimo tinklais, užtikrinti jų saugumą, turėti sisteminių programinių priemonių (Windows, Unix, Oracle) administravimo ir priežiūros patirties.
34. POLIS naudotojai turi turėti atitinkamą kvalifikaciją (darbo su kompiuteriu įgūdžiai, informacinių technologijų vartotojų kvalifikacijos kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL (Europos kompiuterio vartotojo pažymėjimas) vartotojo sertifikatas ar pan.) ir patirties (darbo su atitinkamomis operacinėmis sistemomis, taikomosiomis programomis ir pan.).
35. POLIS valdytojas kartu su registrų tvarkymo įstaigomis užtikrina tinkamą saugos įgaliotinio, administratorių ir POLIS naudotojų kvalifikacijos tobulinimą.
V. POLIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
37. Tvarkyti POLIS duomenis gali tik POLIS naudotojai, pasirašytinai susipažinę su saugos politika ir saugos politiką įgyvendinančiais teisės aktais.
38. Saugos politika ir saugos politiką įgyvendinantys teisės aktai skelbiami POLIS valdytojo tinklalapyje, kaupiami POLIS teisės aktų duomenų bazėje ir POLIS pagalbos ir mokymų medžiagos skiltyje „Duomenų sauga“ (http://pagalba.policija.lt/help.php?type=DS).
39. POLIS naudotojų ir administratorių supažindinimą su saugos politika kitais saugos politiką įgyvendinančiais teisės aktais ir atsakomybę už šių reikalavimų nesilaikymą organizuoja saugos įgaliotinis. Saugos įgaliotinis supažindinimą atlieka šiais būdais ir terminais:
39.1. su informacija apie saugos politikos ar saugos politiką įgyvendinančių teisės aktų priėmimą, keitimą ar panaikinimą – per 10 darbo dienų nuo teisės akto priėmimo, keitimo ar panaikinimo (informacija pateikiama POLIS pagalbos ir mokymų medžiagos skiltyje „Duomenų sauga“);
39.2. Švietimo ar kvalifikacijos tobulinimo duomenų saugos klausimais, supažindinimą su saugaus darbo su duomenimis būdais – žodžiu, elektroniniu paštu ar telefonu, pildydamas ir atnaujindamas POLIS pagalbos ir mokymų medžiagos skilties „Duomenų sauga“ informaciją;
VI. BAIGIAMOSIOS NUOSTATOS