VALSTYBĖS TARNYBOS DEPARTAMENTO PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS DIREKTORIAUS
ĮSAKYMAS
DĖL VALSTYBĖS TARNYBOS DEPARTAMENTO PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS DIREKTORIAUS 2007 M. SAUSIO 8 D. ĮSAKYMO NR. 27V-8 „DĖL VALSTYBĖS TARNYBOS VALDYMO INFORMACINĖS SISTEMOS NUOSTATŲ IR VALSTYBĖS TARNYBOS VALDYMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO
2008 m. birželio 19 d. Nr. 27V-129
Vilnius
Pakeičiu Valstybės tarnybos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2007 m. sausio 8 d. įsakymą Nr. 27V-8 „Dėl Valstybės tarnybos valdymo informacinės sistemos nuostatų ir Valstybės tarnybos valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (Žin., 2007, Nr. 5-245):
1. Įrašau 2 ir 4 punktuose vietoj žodžių „Registro ir analizės“ žodžius „Informacinių sistemų ir projektų“.
2. Išdėstau 3 punktą taip:
„3. Įpareigoju Valstybės tarnybos valdymo informacinės sistemos saugos įgaliotinį iki 2008 m. rugpjūčio 1 d. teisės aktų nustatyta tvarka parengti ir pateikti tvirtinti Valstybės tarnybos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriui teisės aktų projektus dėl:
3.1. Valstybės tarnybos valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;
3. Papildau šiuo 31 punktu:
4. Nurodytuoju įsakymu patvirtintuose Valstybės tarnybos valdymo informacinės sistemos nuostatuose:
4.1. Išdėstau 12.9 punktą taip:
„12.9. VATIS administratoriaus duomenų bazė, kurioje kaupiami atsakingų už VATIS duomenų tvarkymą asmenų kontaktiniai duomenys, skundai ir paklausimai, susiję su VATIS duomenų tvarkymu įstaigose, VATIS sistemoje atliekamų veiksmų registravimo duomenys ir išrašų su VATIS susijusioms informacinėms sistemoms duomenys;“.
4.2. Papildau šiuo 12.11 punktu:
4.3. Papildau šiuo 12.12 punktu:
4.4. Išdėstau 13.1.5 punktą taip:
4.5. Įrašau 13.2.1 punkte po nuorodos į oficialaus paskelbimo šaltinį „2002, Nr. 51-1953“ nuorodą į oficialaus paskelbimo šaltinį „2007, Nr. 50-1922“.
4.6. Papildau šiuo 13.2.9 punktu:
„13.2.9. valstybės tarnautojų tarnybinio kaitumo modulis, kurio pagrindinės funkcijos nustatytos Valstybės tarnybos įstatymo 20 straipsnyje ir Valstybės tarnautojo perkėlimo tarnybinio kaitumo būdu į kitas valstybės tarnautojo pareigas taisyklėse, patvirtintose Lietuvos Respublikos Vyriausybės 2007 m. spalio 24 d. nutarimu Nr. 1114 (Žin., 2007, Nr. 1114541); modulio paskirtis – suteikti galimybę įstaigoms skelbti informaciją apie laisvas karjeros valstybės tarnautojo pareigas, į kurias tarnybinio kaitumo būdu siekiama perkelti valstybės tarnautoją, bei vykdyti valstybės tarnautojų, pareiškusių norą būti perkeltais į kitas valstybės tarnautojų pareigas, paiešką ir suteikti galimybę valstybės tarnautojams vykdyti laisvų valstybės tarnautojų pareigybių paiešką bei pateikti informaciją apie norą būti perkeltais į kitas valstybės tarnautojų pareigas;“.
4.7. Papildau šiuo 13.2.10 punktu:
4.10. Papildau šiuo 16.3 punktu:
4.11. Papildau šiuo 16.4 punktu:
4.12. Išdėstau 17 punktą taip:
„17. Asmens dokumentų išrašymo informacinei sistemai teikiami duomenys apie valstybės tarnautojų einamas pareigas, kurie reikalingi valstybės tarnautojui išduodant arba keičiant tarnybinį pasą, ir duomenys, kurie reikalingi valstybės tarnautojui išduodant arba keičiant valstybės tarnautojo pažymėjimą (valstybės tarnautojo veido atvaizdas, pareigų pavadinimas, elektroninio pašto adresas, kodas Valstybės tarnautojų registre, valstybės ar savivaldybės institucijos ar įstaigos, kurioje jis eina pareigas, pavadinimas).“
4.13. Išdėstau 21.3.1 punktą taip:
„21.3.1. valstybės tarnautojai ir darbuotojai, kurių duomenys saugomi Valstybės tarnautojų registre ir VATIS, gali tikslinti duomenis apie savo išsilavinimą, tarnybinio telefono numerį, tarnybinio elektroninio pašto adresą VATIS posistemėje „Savitarna“. Valstybės tarnautojai ir darbuotojai prie VATIS posistemės „Savitarna“ gali prisijungti su VATIS posistemės „Savitarna“ prisijungimo kortele, kurių išdavimo taisykles nustato Valstybės tarnybos departamento direktorius.“
4.14. Išdėstau 27 punktą taip:
„27. VATIS saugą reglamentuoja VATIS valdytojo tvirtinami VATIS duomenų saugos nuostatai ir kiti VATIS saugos politiką apibrėžiantys teisės aktai. Saugų VATIS duomenų tvarkymą reglamentuoja:
27.1. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891);
6. Išdėstau nurodytuoju įsakymu patvirtintus Valstybės tarnybos valdymo informacinės sistemos duomenų saugos nuostatus nauja redakcija (pridedama).
PATVIRTINTA
Valstybės tarnybos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2007 m. sausio 8 d. įsakymu
Nr. 27V-8
(Valstybės tarnybos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos
2008 m. birželio 19 d. įsakymo Nr. 27V-129
redakcija)
VALSTYBĖS TARNYBOS VALDYMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Valstybės tarnybos valdymo informacinės sistemos (toliau – VATIS) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja VATIS saugos politiką.
2. Šiuose Saugos nuostatuose vartojamos sąvokos atitinka Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) (toliau – Saugos reikalavimai), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 17799:2006 ir LST ISO/IEC 27001:2006 vartojamas sąvokas.
3. VATIS saugos tikslas – užtikrinti VATIS elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. VATIS duomenų saugumui užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo ir saugos priemonių projektavimo ir diegimo principus.
4. VATIS duomenų saugos užtikrinimo prioritetinės kryptys:
5. Saugos nuostatai taikomi:
5.1. VATIS valdytojui – Valstybės tarnybos departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Departamentas), esančiam Kalvarijų g. 3, LT-09310 Vilniuje, kuris:
5.1.1. priima sprendimą dėl VATIS informacinių technologijų atitikties Saugos reikalavimams vertinimo atlikimo;
5.1.2. rengia ir tvirtina teisės aktus, susijusius su VATIS duomenų tvarkymu ir duomenų sauga, ir prižiūri, kaip jų laikomasi;
5.1.6. VATIS valdytojo ir duomenų gavėjų sutarčių dėl duomenų teikimo nustatyta tvarka teikia automatiniu būdu VATIS duomenis duomenų gavėjams bei užtikrina teikiamų duomenų saugą;
6. Saugos įgaliotinis organizuoja ir kontroliuoja šių Saugos nuostatų įgyvendinimą ir atlieka kitas funkcijas:
6.1. teikia Departamento direktoriui siūlymus dėl:
7. Administratorius:
7.1. atsako už VATIS funkcionavimą užtikrinančios techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą, VATIS funkcionavimo užtikrinimą, VATIS naudotojų registravimą ir prisijungimo vardų skyrimą, prieigos prie VATIS infrastruktūros išteklių teisių nustatymą;
7.2. atsako už priskirtų VATIS komponentų (kompiuterizuotų darbo vietų, tarnybinių stočių, operacinių sistemų, duomenų bazių, įsilaužimo aptikimo sistemų) administravimą, VATIS komponentų sąrankos aprašymo dokumentacijos parengimo ir atnaujinimo organizavimą, pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą bei jų atitiktį Saugos nuostatų ir Saugos politiką įgyvendinančių dokumentų reikalavimams;
7.3. pagal kompetenciją rengia pasiūlymus dėl VATIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;
7.4. registruoja elektroninės informacijos saugos incidentus, informuoja apie juos saugos įgaliotinį ir teikia pasiūlymus dėl minėtų incidentų pašalinimo;
8. VATIS naudotojai:
8.1. vadovaudamiesi Saugos nuostatais, Saugaus VATIS elektroninės informacijos tvarkymo taisyklėmis, VATIS naudotojų administravimo taisyklėmis ir pareigybių aprašymais, naudojasi VATIS;
8.3. informuoja saugos įgaliotinį, VATIS administratorių apie elektroninės informacijos saugos incidentus, VATIS darbo sutrikimus;
9. Teisės aktai, kuriais vadovaujantis tvarkomi VATIS duomenys ir užtikrinama jų sauga:
9.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);
9.2. Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);
9.4. Lietuvos standartai LST ISO/IEC 17799:2006 ir LST ISO/IEC 27001:2006 bei Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
10. Atsižvelgiant į VATIS duomenų savybių (vientisumo, konfidencialumo ir prieinamumo) įtaką VATIS darbui, VATIS priskiriama trečiajai informacinių sistemų kategorijai pagal Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), 3.3.1 punktą.
11. VATIS saugos priemonės parenkamos įvertinus galimus rizikos veiksnius VATIS duomenų vientisumui, konfidencialumui ir prieinamumui.
12. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet iki spalio 1 dienos organizuoja VATIS rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. VATIS rizikos veiksnių vertinimui taikoma kokybinė rizikos vertinimo metodika.
13. VATIS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausieji rizikos veiksniai yra šie:
13.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
13.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis VATIS duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);
14. Departamento direktorius, atsižvelgdamas į VATIS rizikos įvertinimo ataskaitą, prireikus tvirtina saugos įgaliotinio parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
15. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 4 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), nustatyta tvarka kasmet organizuojamas VATIS informacinių technologijų saugos reikalavimų atitikties vertinimas, kurio metu:
15.1. įvertinama Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų atitiktis realiai VATIS duomenų saugos situacijai;
15.3. tikrinama ne mažiau kaip 10 VATIS naudotojų kompiuterizuotų darbo vietų ir VATIS tarnybinėse stotyse įdiegtos programos bei jų sąranga (konfigūracija);
15.4. patikrinama VATIS naudotojams suteiktų teisių tvarkyti VATIS atitiktis atliekamoms funkcijoms, prireikus VATIS naudotojų teisės praplečiamos ar apribojamos;
16. Remdamasis atlikto VATIS informacinių technologijų saugos reikalavimų atitikties vertinimo rezultatais, saugos įgaliotinis parengia ir Departamento direktoriui pateikia tvirtinti pastebėtų trūkumų šalinimo planą, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytųjų priemonių įgyvendinimo terminai.
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
19. VATIS tarnybinėse stotyse neturi veikti programinė įranga, nesusijusi su VATIS duomenų tvarkymu, VATIS naudotojų ir pačios įrangos administravimu.
20. VATIS tarnybinėse stotyse privalo būti naudojama programinė įranga, skirta kovai su kenksminga programine įranga, atnaujinama automatiniu būdu ne rečiau kaip kas trys dienos.
21. VATIS programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.
22. VATIS naudotojų, jų vykdytų užklausų ir peržiūrėtų užklausų rezultatų duomenys tvarkomi VATIS administratoriaus posistemėje Departamento direktoriaus nustatyta tvarka.
23. Tiesioginė prieiga prie VATIS duomenų suteikiama įgyvendinus VATIS naudotojų autentifikavimo priemones. Tiesioginė prieiga prie VATIS duomenų užtikrinama automatiniu būdu ištisą parą darbo ir poilsio dienomis.
24. VATIS duomenys perduodami automatiniu būdu naudojant TCP/IP protokolą realiame laike („On-line“ režimu) arba asinchroniniu režimu pagal VATIS duomenų teikimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, kopijų skaičius, kitos duomenų perdavimo sąlygos ir tvarka.
25. VATIS duomenys, perduodami ne per Vidaus reikalų telekomunikacinį tinklą, turi būti šifruojami; duomenų šifravimą privalo užtikrinti VATIS valdytojas; VATIS duomenų gavėjų prieigą prie VATIS duomenų turi kontroliuoti tinklo užkarda.
26. VATIS naudotojams, savo tarnybinėms funkcijoms vykdyti naudojantiems nešiojamuosius kompiuterius VATIS duomenų perdavimui kompiuterių tinklais ne savo darbo vietoje, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas VATIS naudotojo tapatybės patvirtinimas ir VATIS duomenų šifravimas.
27. VATIS administratorius atsako už atsarginių VATIS duomenų kopijų darymą ir saugojimą. VATIS duomenų atsarginės kopijos turi būti daromos automatiškai. Prireikus jas atkurti turi teisę tik VATIS administratorius. Turi būti periodiškai atliekama kopijų tinkamumo ir saugojimo kontrolė. Kopijų, iš kurių būtų galima atstatyti VATIS duomenis, darymo ir saugojimo tvarka detaliai aprašyta Valstybės tarnybos valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse.
IV. REIKALAVIMAI PERSONALUI IR SUPAŽINDINIMO SU SAUGOS REIKALAVIMAIS TVARKA
28. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Saugos reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą, standartais ir kitais dokumentais, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.
29. VATIS administratorius privalo išmanyti pagrindinius saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugumą, turėti sisteminių programinių priemonių (Windows, Unix) administravimo bei priežiūros patirties, turi būti susipažinęs su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais, taip pat kitomis vidaus ir darbo saugos taisyklėmis.
30. VATIS naudotojai privalo turėti darbo kompiuteriu įgūdžių. Tvarkyti VATIS duomenis gali tik VATIS naudotojai, pasirašytinai arba elektroniniu būdu susipažinę su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais. VATIS naudotojų supažindinimas su šiais teisės aktais atliekamas Departamento direktoriaus patvirtintų Valstybės tarnybos valdymo informacinės sistemos naudotojų administravimo taisyklių nustatyta tvarka.
31. VATIS naudotojų supažindinimą su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais ir atsakomybe už šių reikalavimų nesilaikymą organizuoja saugos įgaliotinis. Saugos įgaliotinis informuoja VATIS naudotojus apie Saugos nuostatų pakeitimus ar kitų saugos politiką įgyvendinančių teisės aktų pripažinimą netekusiais galios, keitimą ar priėmimą.
32. VATIS naudotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugos problematiką (pvz., priminimai elektroniniu būdu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir pan.).
33. VATIS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti VATIS saugos įgaliotiniui ir/arba VATIS administratoriui.
V. BAIGIAMOSIOS NUOSTATOS