LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRO

 

ĮSAKYMAS

DĖL LIETUVOS NACIONALINĖS VIZŲ INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO, SAUGOS ĮGALIOTINIO IR SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ RENGĖJO PASKYRIMO

 

2011 m. birželio 17 d. Nr. 1V-469

Vilnius

 

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6.1, 8 ir 15 punktais:

1. Tvirtinu Lietuvos nacionalinės vizų informacinės sistemos duomenų saugos nuostatus (pridedama).

2. Pavedu Informatikos ir ryšių departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos:

2.1. paskirti Lietuvos nacionalinės vizų informacinės sistemos saugos įgaliotinį;

2.2. iki š. m. spalio 20 d. teisės aktų nustatyta tvarka parengti ir pateikti Lietuvos Respublikos vidaus reikalų ministrui tvirtinti Lietuvos nacionalinės vizų informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles, Lietuvos nacionalinės vizų informacinės sistemos veiklos tęstinumo valdymo planą ir Lietuvos nacionalinės vizų informacinės sistemos naudotojų administravimo taisykles.

 

 

 

Vidaus reikalų ministras                                                 Raimundas Palaitis

PATVIRTINTA

Lietuvos Respublikos vidaus reikalų ministro

2011 m. birželio 17 d. įsakymu Nr. 1V-469

 

LIETUVOS NACIONALINĖS VIZŲ INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Lietuvos nacionalinės vizų informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos nacionalinės vizų informacinės sistemos (toliau – N.VIS) saugos politiką.

2. Šiuose Saugos nuostatuose vartojamos sąvokos atitinka Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) (toliau – Bendrieji saugos reikalavimai), Lietuvos nacionalinės vizų informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2009 m. lapkričio 4 d. nutarimu Nr. 1456 (Žin., 2009, Nr. 136-5933) (toliau – N.VIS nuostatai), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070) vartojamas sąvokas.

3. N.VIS saugumo svarba yra siejama su galimomis informacijos ir ryšių pažeidžiamumo grėsmėmis, kurias gali sukelti gamtos, infrastruktūros, technologiniai ir žmogiškieji (tyčiniai ir netyčiniai) veiksniai.

4. N.VIS saugumo esama padėtis: Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Informatikos ir ryšių departamentas), užtikrindamas N.VIS saugą, vadovaujasi Lietuvos standarte LST ISO/IEC 27002:2009 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas“ nustatytomis rekomendacijomis.

5. N.VIS saugumo tikslai nustatyti N.VIS nuostatų 18 punkte. Taip pat siekiama užtikrinti saugų keitimąsi duomenimis tarp Centrinės vizų informacinės sistemos (toliau – C.VIS), Užsieniečių registro (toliau – UR), Lietuvos nacionalinės Šengeno informacinės sistemos (toliau – N.SIS), Policijos informacinės sistemos (toliau – POLIS) ir Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos informacinės sistemos (toliau – VSATIS).

6. N.VIS saugumo užtikrinimo prioritetinės kryptys:

6.1. C.VIS duomenų prieinamumo užtikrinimas;

6.2. C.VIS perduodamų duomenų vientisumo užtikrinimas;

6.3. C.VIS perduodamų duomenų konfidencialumo užtikrinimas;

6.4. N.VIS veiklos tęstinumo užtikrinimas.

7. N.VIS valdytojas – Lietuvos Respublikos vidaus reikalų ministerija (adresas – Šventaragio g. 2, Vilnius):

7.1. atsako už N.VIS duomenų tvarkymo bei duomenų teikimo C.VIS duomenų gavėjams teisėtumą;

7.2. tvirtina teisės aktus, reglamentuojančius N.VIS saugą;

7.3. priima sprendimą dėl N.VIS informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo;

7.4. atlieka kitas Saugos nuostatų, N.VIS nuostatų ir kitų teisės aktų nustatytas funkcijas.

8. N.VIS tvarkytojas – Informatikos ir ryšių departamentas (adresas – Šventaragio g. 2, Vilnius):

8.1. užtikrina saugų N.VIS duomenų perdavimą tarp UR ir N.SIS bei VSATIS, POLIS ir UR Vidaus reikalų telekomunikaciniu tinklu;

8.2. užtikrina N.VIS valdytojo priimtų teisės aktų ir rekomendacijų N.VIS saugai užtikrinti tinkamą įgyvendinimą;

8.3. organizuoja N.VIS saugos priežiūros darbų atlikimą;

8.4. atlieka kitas Saugos nuostatų, N.VIS nuostatų ir kitų teisės aktų nustatytas funkcijas, susijusias su N.VIS sauga.

9. N.VIS saugos įgaliotinis, įgyvendindamas N.VIS saugos politiką, atlieka šias funkcijas:

9.1. koordinuoja elektroninės informacijos saugos incidentų, įvykusių N.VIS, tyrimą;

9.2. kasmet organizuoja N.VIS rizikos vertinimą;

9.3. teikia N.VIS valdytojui pasiūlymus dėl:

9.3.1. N.VIS administratoriaus paskyrimo;

9.3.2. N.VIS saugos dokumentų priėmimo, keitimo ar panaikinimo;

9.3.3. N.VIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

9.4. teikia N.VIS administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su N.VIS sauga;

9.5. atlieka kitas Saugos nuostatų, Bendrųjų saugos reikalavimų ir kitų teisės aktų nustatytas funkcijas.

10. N.VIS administratorius, vykdydamas N.VIS priežiūrą, atlieka šias funkcijas:

10.1. suteikia N.VIS naudotojams prieigos teises prie C.VIS duomenų;

10.2. rengia ir tikrina N.VIS sudarančių komponenčių sąranką;

10.3. informuoja N.VIS saugos įgaliotinį apie N.VIS saugos politikos pažeidimus arba netinkamai veikiančias N.VIS saugos užtikrinimo priemones, teikia siūlymus N.VIS saugos įgaliotiniui dėl N.VIS saugos priemonių;

10.4. atlieka kitas Bendrųjų saugos reikalavimų, kitų teisės aktų nustatytas funkcijas.

11. Teisės aktai, kuriais vadovaujantis tvarkoma N.SIS elektroninė informacija ir užtikrinama jos sauga:

11.1. Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);

11.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

11.3. Bendrieji saugos reikalavimai;

11.4. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniai saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);

11.5. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (Žin., 2008, Nr. 135-5298);

11.6. N.VIS nuostatai;

11.7. Lietuvos standartai LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, reglamentuojantys saugų informacinės sistemos duomenų tvarkymą;

11.8. kiti teisės aktai, reglamentuojantys N.VIS duomenų tvarkymo teisėtumą, N.VIS tvarkytojo veiklą ir N.VIS duomenų saugos valdymą.

 

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

12. Atsižvelgiant į C.VIS per N.VIS perduodamų duomenų savybių (vientisumo, konfidencialumo ir prieinamumo) įtaką N.VIS darbui, N.VIS priskiriama pirmajai informacinių sistemų kategorijai pagal Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), 3.1.1 punktą.

13. N.VIS saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ standartus, kasmet organizuoja N.VIS rizikos vertinimą. Prireikus N.VIS saugos įgaliotinis gali organizuoti neeilinį N.VIS rizikos vertinimą.

14. N.VIS rizikos vertinimo metu atliekamos šios veiklos:

14.1. N.VIS sudarančių išteklių inventorizacija;

14.2. rizikos veiksnių įtakos N.VIS veiklai vertinimas;

14.3. liekamosios rizikos vertinimas.

15. N.VIS saugos priemonės parenkamos įvertinus galimus rizikos veiksnius per N.VIS perduodamų C.VIS bei gaunamų C.VIS duomenų vientisumui, konfidencialumui ir prieinamumui.

16. Pagrindinės N.VIS rizikos mažinimo priemonės išdėstomos rizikos įvertinimo ataskaitoje, kurią kasmet iki liepos 1 dienos, o prireikus ir neeilinio rizikos įvertinimo ataskaitą iki N.VIS valdytojo nurodytos datos rengia saugos įgaliotinis, įvertinęs galinčius turėti įtakos N.VIS saugai rizikos veiksnius, iš kurių svarbiausieji yra šie:

16.1. subjektyvūs netyčiniai (per N.VIS atliekamo duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas C.VIS, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

16.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis N.VIS duomenims gauti, duomenų pakeitimas ar sunaikinimas C.VIS, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

16.3. nenugalima jėga (force majeure).

17. N.VIS valdytojas, atsižvelgdamas į N.VIS rizikos įvertinimo ataskaitą, prireikus tvirtina Informatikos ir ryšių departamento parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

18. N.VIS rizikos veiksnių vertinimui taikoma kokybinė rizikos vertinimo metodika.

19. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai:

19.1. liekamosios rizikos sumažinimas iki priimtino (kontroliuojamo) lygio;

19.2. informacijos saugos priemonės diegimo kainos adekvatumas perduodamos ir gaunamos informacijos vertei;

19.3. esant galimybei, įdiegiamos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

20. Siekiant užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, vidaus reikalų ministro patvirtintos informacinių technologijų saugos atitikties vertinimo metodikos nustatyta tvarka kasmet organizuojamas N.VIS informacinių technologijų saugos reikalavimų atitikties vertinimas, kurio metu:

20.1. įvertinama Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų atitiktis realiai N.VIS saugos situacijai;

20.2. inventorizuojama N.VIS techninė ir programinė įranga;

20.3. tikrinama ne mažiau kaip 10 procentų N.VIS naudotojų kompiuterizuotų darbo vietų ir N.VIS tarnybinėje stotyje įdiegtos programos bei jų sąranka (konfigūracija);

20.4. patikrinama N.VIS naudotojams suteiktų teisių naudotis C.VIS atitiktis atliekamoms funkcijoms, prireikus N.VIS naudotojų teisės praplečiamos ar apribojamos;

20.5. įvertinamas pasiruošimas atkurti N.VIS veiklą N.VIS saugos incidento atveju.

21. Atlikus N.VIS informacinių technologijų saugos reikalavimų atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato N.VIS valdytojas.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

22. Priemonės ir metodai, kurie taikomi užtikrinant prieigą prie C.VIS per N.VIS, nustatomi Lietuvos nacionalinės vizų informacinės sistemos naudotojų administravimo taisyklėse.

23. N.VIS darbui turi būti naudojama tik legali programinė įranga.

24. N.VIS tarnybinėje stotyje neturi veikti programinė įranga, nesusijusi su N.VIS duomenų tvarkymu, N.VIS naudotojų ir pačios įrangos administravimu.

25. N.VIS tarnybinėje stotyje privalo būti naudojama programinė įranga, skirta kovai su kenksminga programine įranga, atnaujinama automatiniu būdu ne rečiau kaip kas trys dienos.

26. N.VIS programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.

27. N.VIS naudojamas Vidaus reikalų telekomunikacinis tinklas, už kurio administravimą ir priežiūrą atsako šio tinklo pagrindinis tvarkytojas, turi būti atskirtas nuo kitų tinklų tinklo užkarda.

28. N.VIS naudotojų, jų vykdytų užklausų ir peržiūrėtų užklausų rezultatų duomenys tvarkomi Vidaus reikalų informacinės sistemos centrinio duomenų banko naudotojų administravimo posistemėje.

29. Prieiga prie C.VIS per N.VIS suteikiama įgyvendinus N.VIS naudotojų autentifikavimo priemones. Prieiga prie C.VIS užtikrinama automatiniu būdu ištisą parą darbo ir poilsio dienomis.

30. N.VIS duomenys iš UR į C.VIS perduodami realiame laike („On-line“) režimu.

31. Saugiam duomenų srautų tarp C.VIS ir N.VIS užtikrinimui naudojamas Europos Sąjungos administracijų saugus duomenų perdavimo ir integruotų paslaugų tinklas sTESTA.

32. N.VIS naudotojams, savo tarnybinėms funkcijoms vykdyti naudojantiems nešiojamuosius kompiuterius N.VIS duomenų perdavimui kompiuterių tinklais ne savo darbo vietoje, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas N.VIS naudotojo tapatybės patvirtinimas ir N.VIS duomenų šifravimas.

33. N.VIS programinės įrangos kopijos turi būti daromos Informatikos ir ryšių departamento direktoriaus nustatyta tvarka. Prireikus jas atkurti turi teisę N.VIS administratorius.

 

IV. REIKALAVIMAI PERSONALUI IR SUPAŽINDINIMO SU SAUGOS REIKALAVIMAIS TVARKA

 

34. N.VIS saugos įgaliotinis privalo turėti informacinių technologijų specialisto kvalifikaciją, išmanyti informacinių sistemų administravimą, gerai žinoti elektroninės informacijos saugos principus bei saugos užtikrinimo metodus.

35. N.VIS administratorius privalo išmanyti pagrindinius saugos politikos principus, darbą su duomenų perdavimo tinklais, užtikrinti jų saugumą, turėti sisteminių programinių priemonių (Windows, Unix, Oracle) administravimo bei priežiūros patirties.

36. N.VIS naudotojai turi turėti atitinkamą kvalifikaciją (informacinių technologijų vartotojų kvalifikacijos kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL (Europos kompiuterio vartotojo pažymėjimas), vartotojo sertifikatas ar pan.) ir patirties (dirbant su atitinkamomis operacinėmis sistemomis, taikomosiomis programomis ir pan.).

37. Naudoti C.VIS duomenis gali tik N.VIS naudotojai, pasirašytinai susipažinę su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais.

38. N.VIS naudotojų supažindinimą su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais ir atsakomybe už šių reikalavimų nesilaikymą organizuoja N.VIS saugos įgaliotinis. N.VIS saugos įgaliotinis raštu informuoja N.VIS naudotojus apie Saugos nuostatų pakeitimus ar saugos politiką įgyvendinančių dokumentų pripažinimą netekusiais galios, keitimą ar priėmimą.

39. N.VIS saugos įgaliotinis ne rečiau kaip kartą per metus inicijuoja N.VIS naudotojų mokymą informacijos saugos klausimais, įvairiais būdais primena apie saugos problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.).

 

V. BAIGIAMOSIOS NUOSTATOS

 

40. N.VIS saugos įgaliotinis, N.VIS administratorius, N.VIS naudotojai, pažeidę Saugos nuostatų ar saugos politiką įgyvendinančių dokumentų reikalavimus, atsako įstatymų nustatyta tvarka.

_________________