INFORMACINĖS VISUOMENĖS PLĖTROS KOMITETO PRIE LIETUVOS RESPUBLIKOS VYRIAUSYBĖS DIREKTORIUS
Į S A K Y M A S
DĖL TARPŽINYBINĖS MOKESTINIŲ DUOMENŲ SAUGYKLOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2007 m. rugsėjo 27 d. Nr. T-133
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 punktu:
2. Skiriu Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės (toliau vadinama – IVPK) Tarpžinybinių duomenų valdymo skyriaus vyriausiąjį specialistą Tomą Sakalauską Tarpžinybinės mokestinių duomenų saugyklos saugos įgaliotiniu.
3. Pavedu IVPK Tarpžinybinių duomenų valdymo skyriaus vyriausiajam specialistui Tomui Sakalauskui per 3 mėnesius nuo šio įsakymo įsigaliojimo parengti:
3.1. Saugaus Tarpžinybinės mokestinių duomenų saugyklos elektroninės informacijos tvarkymo taisykles ir jų priedus:
3.1.1. įgalioto naudotis Tarpžinybine mokestinių duomenų saugykla darbuotojo įsipareigojimų formos pavyzdį;
DIREKTORIUS AURIMAS MATULIS
SUDERINTA Vidaus reikalų ministerijos 2007-08-16 raštu Nr. 1D-6426(13)
|
SUDERINTA Lietuvos Respublikos finansų ministerijos 2007-09-03 raštu Nr. ((17.3)-5K-0726829; 5K-0726737)-6K-0710052 |
SUDERINTA Valstybinės mokesčių inspekcijos prie Lietuvos Respublikos finansų ministerijos 2007-09-10 raštu Nr. (11.3-33-6)-R-9067 |
SUDERINTA Muitinės departamento prie Lietuvos Respublikos finansų ministerijos 2007-09-07 raštu Nr. 3B-14.1-8003 |
SUDERINTA Statistikos departamento prie Lietuvos Respublikos Vyriausybės 2007-08-31 raštu Nr. (17-111)-5D-1266 |
SUDERINTA Socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos 2007-09-03 raštu Nr. (14.5)I-5565 |
SUDERINTA Finansinių nusikaltimų tyrimo tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos 2007-09-21 raštu Nr. 25/14-2-4081 |
|
PATVIRTINTA
Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės direktoriaus 2007 m. rugsėjo 27 d. įsakymu Nr. T-133
TARPŽINYBINĖS MOKESTINIŲ DUOMENŲ SAUGYKLOS DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Tarpžinybinės mokestinių duomenų saugyklos duomenų saugos nuostatų (toliau vadinama – TDS saugos nuostatai) tikslas – nustatyti principus ir taisykles, užtikrinančias saugų ir teisėtą Tarpžinybinės mokestinių duomenų saugyklos (toliau vadinama – TDS) duomenų tvarkymą.
2. TDS duomenų tvarkymo procesas duomenų saugos požiūriu susideda iš trijų vienas po kito sekančių etapų:
2.1. duomenų valdytojai teikia duomenis į TDS sutartyje dėl duomenų teikimo į TDS nustatytais tikslais, apimtimi, reguliarumu ir terminais;
2.2. TDS valdytojas teikiamus į TDS duomenis priima, tikrina jų kokybę, integruoja, sukelia į duomenų vitrinas, rengia tipinius dokumentus ir, vadovaudamasis Tarpžinybinės mokestinių duomenų saugyklos nuostatais (toliau vadinama – TDS nuostatai), TDS saugos nuostatais, TDS valdytojo sutartimis su duomenų valdytojais dėl duomenų teikimo į TDS, TDS valdytojo sutartimis su TDS naudotojais dėl TDS naudojimo, eksponuoja duomenų vitrinas TDS darbo vietose ir teikia TDS naudotojams tipinius dokumentus;
3. TDS saugos nuostatuose naudojamos Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir TDS nuostatuose apibrėžtos sąvokos.
4. TDS duomenų saugos prioritetinės kryptys – saugus duomenų teikimas į TDS, teisėtas, saugus ir kokybiškas jų tvarkymas teikiant TDS duomenis TDS naudotojams bei teisėtas ir saugus jų naudojimas.
5. TDS valdytojo vadovas teisės aktu, kuriuo tvirtinami TDS saugos nuostatai, skiria TDS saugos įgaliotinį (toliau vadinama – saugos įgaliotinis) ir nurodo TDS saugos politiką įgyvendinančių dokumentų rengėjus bei šių dokumentų patvirtinimo terminus.
6. TDS valdytojo vadovas tvirtina šiuos TDS saugos politiką įgyvendinančius dokumentus:
6.1. Saugaus Tarpžinybinės mokestinių duomenų saugyklos elektroninės informacijos tvarkymo taisykles ir jų priedus:
6.1.1. įgalioto naudotis Tarpžinybine mokestinių duomenų saugykla darbuotojo įsipareigojimų formos pavyzdį;
7. TDS valdytojo vadovas, vadovaudamasis TDS saugos nuostatais, skiria TDS administratorių (toliau vadinama – administratorius).
8. Saugos įgaliotinis organizuoja, kontroliuoja, atsako už TDS saugos nuostatų įgyvendinimą bei atlieka šias funkcijas:
8.1. teikia TDS valdytojo vadovui pasiūlymus dėl:
8.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių TDS, tyrimą (išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės);
8.4. supažindina TDS naudotojus su TDS saugą reglamentuojančiais teisės aktais ir atsakomybe, kylančia dėl jų pažeidimo;
9. Administratorius atlieka funkcijas, susijusias su TDS naudotojų darbuotojų teisių administravimu, TDS sudarančių komponentų (kompiuteriai, operacinės sistemos, duomenų bazių valdymo sistemos, taikomųjų programų sistemos, ugniasienės, įsilaužimų aptikimo sistemos, duomenų perdavimo tinklai) tinkamu veikimu ir priežiūra, TDS pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu, vykdo kitas TDS saugos nuostatuose ir kituose TDS saugos nuostatų 6 punkte nurodytuose TDS saugos politiką įgyvendinančiuose dokumentuose prisikirtas funkcijas bei kitus TDS valdytojo nurodymus, susijusius su TDS sauga.
10. Administratorius kontroliuoja ir atsako už aptarnaujančių TDS darbuotojų ir TDS naudotojų darbuotojų atitinkamų teisių sukūrimą ir panaikinimą, jų administravimą, TDS ir TDS sudarančių komponentų nepertraukiamą veikimą, TDS pažeidžiamų vietų ir saugumo reikalavimų nustatymą bei aptarnaujančių TDS darbuotojų TDS saugos nuostatų ir kitų TDS saugą reglamentuojančių teisės aktų laikymąsi.
11. Administratorius turi teisę patikrinti (peržiūrėti) TDS saugos nuostatų 9 punkte įvardintų TDS sudarančių komponentų tinkamą veikimą ir TDS būsenos rodiklius.
12. Aptarnaujantys TDS darbuotojai atlieka tokias funkcijas:
12.1. rengia ir derina TDS valdytojo sutartis su duomenų valdytojais dėl duomenų teikimo į TDS bei kontroliuoja jos vykdymą;
12.2. rengia ir derina TDS valdytojo sutartis su TDS naudotojais dėl TDS naudojimo bei kontroliuoja jų vykdymą;
12.6. tiria TDS naudotojų poreikius, kuria, aptarnauja ir tobulina duomenų vitrinas bei tipinius dokumentus, kontroliuoja ir užtikrina TDS naudotojams teikiamų TDS duomenų kokybę, konsultuoja ir moko TDS naudotojų darbuotojus;
13. Aptarnaujantys TDS darbuotojai naudojasi teisėmis tvarkyti sukeltus į TDS juridinio asmens duomenis tik tiek, kiek tai yra būtina nustatytoms jų funkcijoms atlikti.
14. Aptarnaujantys TDS darbuotojai, užpildydami ir pasirašydami aptarnaujančio TDS darbuotojo įsipareigojimų formą, raštu įsipareigoja nepažeisti TDS saugos nuostatų, kitų TDS saugos nuostatų 6 punkte nurodytų TDS saugos politiką įgyvendinančių dokumentų ir kitų teisės aktų, kurie reglamentuoja TDS duomenų tvarkymą ir saugą.
15. Teisės aktų, kuriais vadovaujamasi tvarkant teikiamus į TDS duomenis, TDS duomenis ir informaciją iš TDS, užtikrinant jų saugumą, sąrašas:
15.3. kiti TDS saugos politiką įgyvendinantys dokumentai, nurodyti šių TDS saugos nuostatų 6 punkte;
15.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597);
15.5. Lietuvos standartas LST ISO/IEC 17799:2006, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;
16. TDS saugos nuostatai yra parengti vadovaujantis:
16.2. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais;
16.4. Lietuvos standartu LST ISO/IEC 17799:2006, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, reglamentuojančiais saugų duomenų tvarkymą;
II. TDS DUOMENŲ SAUGOS VALDYMAS
17. TDS tvarkomi juridinius asmenis identifikuojantys, taip pat agreguoti ir juridinių asmenų tiesiogiai neidentifikuojantys duomenys.
18. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), TDS priskiriama antrajai informacinių sistemų kategorijai.
19. Pagrindiniai rizikos veiksniai, kurie gali pažeisti teikiamų į TDS duomenų, TDS duomenų ir informacijos iš TDS saugą, yra:
19.3. nepakankama teikiamų į TDS duomenų, TDS duomenų arba informacijos iš TDS kokybė, dėl kurios jais visai negalima naudotis arba galima tiktai iš dalies;
20. TDS valdytojas registruoja visus TDS naudotojo darbuotojų atliktus veiksmus naudojantis TDS ir naudoja šią informaciją išaiškinant įvykusius arba galėjusius įvykti TDS saugos nuostatų pažeidimus.
21. Siekdamas kontroliuoti TDS saugos nuostatų įgyvendinimą ir TDS duomenų tvarkymą bei saugą reglamentuojančių kitų teisės aktų įgyvendinimą TDS valdytojas kartu su duomenų valdytojais ir TDS naudotojais kasmet atlieka duomenų valdytojų, TDS valdytojo ir TDS naudotojų susijusios su TDS veiklos inventorizaciją, kurios metu:
21.3. peržiūrima aptarnaujantiems TDS darbuotojams suteiktų teisių atitiktis jų atliekamoms funkcijoms;
21.4. duomenų saugos požiūriu patikrinama TDS valdytojo naudojama TDS kompiuterinė ir programinė įranga;
21.5. peržiūrimos TDS valdytojo sutartys su duomenų valdytojais dėl duomenų teikimo į TDS ir TDS valdytojo sutartys su TDS naudotojais dėl TDS naudojimo;
21.6. peržiūrima TDS naudotojams eksponuojamų TDS duomenų ir suteiktų teisių atitiktis jų atliekamoms funkcijoms;
21.7. duomenų saugos požiūriu patikrinama ne mažiau kaip dešimtadalis TDS darbo vietų, jose instaliuotos programos ir jų konfigūracija;
22. Atlikus inventorizaciją administratorius parengia pastebėtų trūkumų šalinimo planą, suderina jį su TDS Veiklos koordinavimo grupe (toliau vadinama – VKG) ir pateikia TDS valdytojui bei įtrauktiems į planą duomenų valdytojams ir TDS naudotojams. Šį planą, suderinęs su duomenų valdytojais ir TDS naudotojais, tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato TDS valdytojo vadovas.
23. Saugos įgaliotinis bent vieną kartą į metus organizuoja TDS rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį TDS rizikos įvertinimą.
24. Esant TDS valdytojo vadovo rašytiniam pavedimui, TDS rizikos įvertinimą gali atlikti pats saugos įgaliotinis.
25. TDS rizikos įvertinimas išdėstomas TDS rizikos įvertinimo ataskaitoje. TDS rizikos ataskaita rengiama atsižvelgiant į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo metodai“ grupės standartus bei kitas, visuotinai pripažintas ir naudojamas, rizikos įvertinimo metodikas.
III. TDS ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
27. TDS naudojama programinė įranga, skirta apsaugoti TDS nuo kenksmingos programinės įrangos – antivirusinė programinė įranga.
28. Antivirusinėje programinėje įrangoje nuolat privalo būti įjungtas kenksmingos programinės įrangos analizatorius, veikiantis realiu laiku. Jis gali būti išjungiamas tik administratoriaus grupei priklausantiems vartotojams.
29. Antivirusinė programinė įranga privalo būti:
30. Aptarnaujančių TDS darbuotojų darbo vietose taikomąją programinę įrangą, reikalingą darbui su TDS ir jos palaikymui, diegia ir šalina administratorius.
31. Aptarnaujantys TDS darbuotojai atsako už tai, kad jų darbo vietose įdiegta programinė įranga būtų naudojama tik su Informacinės visuomenės plėtros komiteto prie Lietuvos Respublikos Vyriausybės (toliau vadinama – IVPK) ar su TDS veikla susijusioms funkcijoms vykdyti.
32. Aptarnaujančių TDS darbuotojų naudojami nešiojami kompiuteriai gali prisijungti prie TDS tik iš tam specialiai skirtos darbo vietos ir tik naudojantis vidiniu IVPK kompiuterių tinklu.
33. Metodai ir priemonės, kurie taikomi užtikrinant prieigą prie TDS, nurodant leistiną šios prieigos laiką ir būdą, ir saugos reikalavimai TDS naudotojų darbo vietų sukūrimui yra aprašyti TDS valdytojo sutartyse su TDS naudotojais dėl TDS naudojimo.
35. Vidinio IVPK kompiuterinio tinklo priežiūrą ir administravimą atlieka IVPK Bendrojo skyriaus specialistas.
36. TDS naudotojų darbuotojai jungiasi prie TDS per TDS naudotojų aptarnavimo sritį ir tiktai iš kiekvienam jų atskirai sukurtų TDS darbo vietų, naudodamiesi Saugiu valstybinių duomenų perdavimo tinklu (toliau vadinama – SVDPT) srityje R arba kitu šifruotu duomenų perdavimo kanalu, užtikrinančiu saugų informacijos perdavimą.
38. TDS valdytojas užtikrina TDS nuostatų skyriuje „Funkcinė TDS struktūra“ detalizuotos TDS kompiuterinės ir programinės įrangos, išskyrus TDS darbo vietose naudojamą kompiuterinę ir sisteminę programinę įrangą, saugų eksploatavimą.
39. Duomenų valdytojai užtikrina teikiamų į TDS duomenų saugą iki šių duomenų perdavimo TDS valdytojui momento.
40. TDS valdytojas užtikrina:
IV. REIKALAVIMAI PERSONALUI
42. TDS valdytojas savo vadovo įsakymu nustato ir tvirtina kvalifikacinius reikalavimus, kuriuos turi atitikti aptarnaujantys TDS darbuotojai.
43. TDS valdytojas užtikrina, kad aptarnaujantys TDS darbuotojai būtų tinkamai parengti, apmokyti ir informuoti, ir reguliariai organizuoja būtinus jų mokymus bei kitas jų kvalifikacijos kėlimo priemones.
44. Saugos įgaliotinis mažiausiai kartą per metus inicijuoja TDS naudotojų darbuotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujiems TDS naudotojo darbuotojams ir panašiai).
V. TDS NAUDOTOJŲ SUPAŽINDINIMO SU TDS SAUGOS POLITIKĄ ĮGYVENDINANČIAIS DOKUMENTAIS PRINCIPAI
45. TDS valdytojas užtikrina, kad TDS naudotojų atstovai būtų elektroniniu paštu supažindinti su TDS saugos nuostatų 6 punkte nurodytais TDS saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, ir atsakomybe už šių teisės aktų nuostatų pažeidimus.
46. Už TDS naudotojų atstovų supažindinimą su TDS saugą reglamentuojančiais teisės aktais ir atsakomybe, kylančia dėl jų pažeidimo, atsakingas saugos įgaliotinis.
47. TDS naudotojų atstovus su teisės aktais, reglamentuojančiais TDS saugą, arba jų pakeitimais saugos įgaliotinis elektroniniu paštu supažindina ne vėliau kaip kitą darbo dieną po jų įsigaliojimo.
VI. DUOMENŲ TEIKIMAS Į TDS
49. TDS valdytojas sudaro sutartis su duomenų valdytojais dėl duomenų teikimo į TDS, o duomenų valdytojai teikia duomenis į TDS ir užtikrina teikiamų į TDS duomenų saugą iki perdavimo TDS valdytojui vadovaudamiesi tokį teikimą reglamentuojančiais teisės aktais ir savo informacinių sistemų duomenų saugos nuostatais.
VII. TEIKIAMŲ Į TDS DUOMENŲ TVARKYMAS
51. Į TDS keliami ir TDS naudotojų darbuotojams eksponuojami tik aktualūs duomenys. Anksčiau sukelti į TDS nebeaktualūs duomenys yra sunaikinami Saugaus TDS elektroninės informacijos tvarkymo taisyklėse nustatyta tvarka.
VIII. TDS DUOMENŲ IR INFORMACIJOS IŠ TDS NAUDOJIMAS
53. TDS valdytojas, eksponuodamas duomenų vitrinas TDS darbo vietose ir teikdamas TDS naudotojams tipinius dokumentus, vadovaujasi TDS nuostatais, TDS valdytojo sutartimis su TDS naudotojais dėl TDS naudojimo, taip pat įstatymais ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymą.
54. TDS naudotojas savo vadovo įsakymu nustato, kokios teisės suteikiamos konkrečiam TDS naudotojo darbuotojui, kokios duomenų vitrinos ir kokie jų objektai yra eksponuojami jo darbo vietoje ir kokie tipiniai dokumentai yra jam teikiami.
55. Kiekvienas TDS naudotojas supažindina savo įgaliotus naudotis TDS darbuotojus su TDS saugos nuostatų 6 punkte nurodytais TDS saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, atsakomybe už šių teisės aktų nuostatų pažeidimus ir papildomais reikalavimais, kuriuos TDS naudotojas kelia minėtiems darbuotojams naudojantis TDS. TDS naudotojo darbuotojai prieš pradėdami naudotis TDS privalo pasirašyti įgalioto naudotis Tarpžinybine mokestinių duomenų saugykla darbuotojo įsipareigojimą, kurios pavyzdinę formą tvirtina TDS valdytojas.
56. Kiekvienas TDS naudotojas kontroliuoja savo įgaliotus naudotis TDS darbuotojus, kaip yra laikomasi TDS saugos nuostatų ir reglamentuojančių TDS duomenų tvarkymą bei saugą teisės aktų.
57. Kiekvienas TDS naudotojas organizuoja būtinus savo įgaliotų naudotis TDS darbuotojų mokymus TDS duomenų saugos srityje.
58. Kiekvienas TDS naudotojas užtikrina TDS darbo vietoms įrengti būtiną kompiuterinę ir sisteminę bei standartinę programinę įrangą ir saugų jos eksploatavimą.
IX. BAIGIAMOSIOS NUOSTATOS
60. Duomenų valdytojai, TDS valdytojas ir TDS naudotojai privalo įgyvendinti TDS saugos nuostatuose ir duomenų tvarkymą reglamentuojančiuose teisės aktuose nustatytas organizacines ir technines priemones, skirtas užtikrinti TDS duomenų saugą, tame TDS saugos nuostatų 2 punkte nurodytame TDS duomenų tvarkymo etape, kuriame jie veikia.
61. TDS saugos nuostatuose aprašytos duomenų valdytojų, TDS valdytojo ir TDS naudotojų funkcijos vykdomos ir teisės realizuojamos nepažeidžiant Lietuvos Respublikos įstatymų ir kitų teisės aktų, reglamentuojančių duomenų teikimą ir jų saugų tvarkymą.