LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRAS
Į S A K Y M A S
DĖL LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRAS 2007 M. BALANDŽIO 16 D. ĮSAKYMO NR. 1R-153 „DĖL LIETUVOS RESPUBLIKOS ĮSTATYMŲ IR KITŲ TEISĖS AKTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ IR VEIKIMO SCHEMOS PATVIRTINIMO“ PAKEITIMO
2007 m. rugpjūčio 28 d. Nr. 1R-317
Vilnius
Pakeičiu Lietuvos Respublikos teisingumo ministro 2007 m. balandžio 16 d. įsakymą Nr. 1R-153 „Dėl Lietuvos Respublikos įstatymų ir kitų teisės aktų registro duomenų saugos nuostatų ir veikimo schemos patvirtinimo“ (Žin., 2007, Nr. 47-1816) ir išdėstau jį nauja redakcija:
„LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS ĮSTATYMŲ IR KITŲ TEISĖS AKTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ IR VEIKIMO SCHEMOS PATVIRTINIMO, DUOMENŲ SAUGOS ĮGALIOTINIO IR SAUGOS DOKUMENTŲ RENGĖJŲ SKYRIMO, SAUGOS DOKUMENTŲ TVIRTINIMO DATOS NUSTATYMO
Vadovaudamasis Lietuvos Respublikos valstybės registrų įstatymo (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488) 8 straipsnio 3 dalimi ir 20 straipsnio 3 dalimi, Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 punktu:
1. Tvirtinu pridedamus:
2. Skiriu valstybės įmonės Teisinės informacijos centro Informacinių technologijų skyriaus vadovą Laimutį Ignatavičių Lietuvos Respublikos įstatymų ir kitų teisės aktų registro saugos įgaliotiniu.
PATVIRTINTA
Lietuvos Respublikos teisingumo ministro
2007 m. balandžio 16 d. įsakymu Nr. 1R-153
(Lietuvos Respublikos teisingumo ministro
2007 m. rugpjūčio 28 d. įsakymo Nr. 1R-317
redakcija)
LIETUVOS RESPUBLIKOS ĮSTATYMŲ IR KITŲ TEISĖS AKTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos įstatymų ir kitų teisės aktų registro (toliau vadinama – Registras) duomenų saugos nuostatuose (toliau vadinama – Saugos nuostatai) nustatomi principai ir taisyklės, užtikrinančios saugų Registro duomenų tvarkymą.
2. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos įstatymų ir kitų teisės aktų registro nuostatuose (toliau vadinama – Registro nuostatai), patvirtintuose Lietuvos Respublikos Vyriausybės 2000 m. balandžio 10 d. nutarimu Nr. 405 (Žin., 2000, Nr. 32-896), ir Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), vartojamas sąvokas.
3. Saugos nuostatų tikslas – sudaryti tinkamas sąlygas automatizuotu būdu saugiai rinkti, kaupti, tvarkyti, apdoroti, sisteminti, teikti Registro duomenis.
4. Saugos nuostatai kartu su Saugaus elektroninės informacijos tvarkymo taisyklėmis, Veiklos tęstinumo valdymo planu bei Naudotojų administravimo taisyklėmis apibrėžia Registro duomenų saugos politiką (toliau vadinama – saugos politika).
5. Saugos nuostatai reguliuoja saugų Registro duomenų tvarkymą, apdorojimą ir teikimą ir yra privalomi visiems Registro duomenis tvarkantiems darbuotojams, Registro administratoriui ir Registro saugos įgaliotiniui.
6. Vadovaujančioji Registro tvarkymo įstaiga yra Lietuvos Respublikos teisingumo ministerija, Gedimino pr. 30/1, LT-01104 Vilnius. Registro tvarkymo įstaiga yra valstybės įmonė Teisinės informacijos centras, Žirmūnų g. 68A, LT-09124 Vilnius.
7. Už informacijos tvarkymo teisėtumą ir informacijos saugą atsako vadovaujančioji Registro tvarkymo įstaiga.
8. Už duomenų apsaugą nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo ir bet kokio kito neteisėto tvarkymo atsako Registro tvarkymo įstaiga – valstybės įmonė Teisinės informacijos centras.
9. Vadovaujančiosios Registro tvarkymo įstaigos vadovas Registro tvarkymo įstaigos vadovo siūlymu skiria saugos įgaliotinį, kuris įgyvendina informacijos saugą Registre ir atsako už Registro saugos dokumentų reikalavimų vykdymą.
10. Saugos įgaliotinis, įgyvendindamas elektroninės informacijos saugą informacinėje sistemoje, atlieka šias funkcijas:
10.1. teikia pasiūlymus Registro tvarkymo įstaigos vadovui dėl:
10.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Registre, tyrimą (išskyrus atvejus, kai šią funkciją atlieka sudarytos informacijos saugos darbo grupės);
11. Administratorius atlieka funkcijas, susijusias su Registro naudotojų pasirengimo dirbti su informacinėmis sistemomis įvertinimu, jų teisėmis, Registrą sudarančiais komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo sistemomis, duomenų perdavimu tinklais), šių Registrą sudarančių komponentų sąranka, Registro pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu.
12. Atlikdami Registro funkcijų pakeitimus, administratoriai turi laikytis vadovaujančiosios Registro tvarkymo įstaigos nustatytos informacinės sistemos pokyčių valdymo tvarkos.
13. Administratorius turi teisę patikrinti (peržiūrėti) informacinės sistemos sąranką ir informacinės sistemos būsenos rodiklius.
14. Registro duomenų tvarkymo teisinį pagrindą sudaro ir saugų duomenų tvarkymą reguliuoja:
14.1. Lietuvos Respublikos įstatymų ir kitų teisės aktų registro įstatymas (Žin., 1995, Nr. 41-992);
14.2. Lietuvos Respublikos įstatymų ir kitų teisės aktų skelbimo ir įsigaliojimo tvarkos įstatymas (Žin., 1993, Nr. 12- 296; 2002, Nr. 124-5626);
14.3. Lietuvos Respublikos įstatymų ir kitų teisės norminių aktų rengimo tvarkos įstatymas (Žin., 1995, Nr. 41-991);
14.4. Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);
14.5. Lietuvos Respublikos įstatymų ir kitų teisės aktų registro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2000 m. balandžio 10 d. nutarimu Nr. 405;
14.6. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952;
14.7. Autentiško suaktualinto teisės akto teksto pateikimo tvarka, patvirtinta Lietuvos Respublikos teisingumo ministro 2000 m. birželio 30 d. įsakymu Nr. 152 (Žin., 2000, Nr. 54-1594);
14.8. Lietuvos standartai LST ISO/IEC 17799: 2006, LST ISO/IEC 27001: 2006, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
15. Elektroninės informacijos sauga Saugos nuostatuose suprantama kaip organizacinių ir techninių priemonių visuma, skirta užtikrinti Registro duomenų:
15.1. konfidencialumą: duomenis galėtų tvarkyti ir naudoti tik tie asmenys, kuriems suteikiamos atitinkamos teisės;
16. Registras yra pagrindinis valstybės registras ir priskiriamas pirmajai informacinės sistemos kategorijai, remiantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160).
18. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja Registro rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį Registro rizikos įvertinimą. Vadovaujančiosios Registro tvarkymo įstaigos rašytiniu pavedimu Registro rizikos įvertinimą gali atlikti pats saugos įgaliotinis.
19. Registro rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausieji rizikos veiksniai yra šie:
19.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
19.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
20. Atsižvelgdamas į rizikos įvertinimo ataskaitą, vadovaujančiosios Registro tvarkymo įstaigos vadovas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
21. Elektroninės informacijos saugos priemonės turi būti parenkamos taip, kad visų pirma būtų užtikrinama apsauga nuo Saugos nuostatų 15 punkte nurodytų Registro duomenų savybių praradimo, o įvykus elektroninės informacijos saugos incidentui būtų sudarytos galimybės šias duomenų savybes atkurti.
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
23. Registro duomenis rinkti, kaupti, tvarkyti, apdoroti, sisteminti, teikti turi būti leidžiama tik specialiai sukurtomis Registro tvarkymo programinėmis priemonėmis.
24. Registro tarnybinėse stotyse ir Registrą tvarkančių asmenų darbo vietose turi būti naudojama tik legali programinė įranga.
25. Registrą tvarkantiems asmenims turi būti draudžiama (fiziškai neleidžiama įrašyti į registrą ir sisteminius katalogus) diegti naujus produktus darbo vietose. Registrą tvarkančių asmenų darbo vietose neturi būti įdiegta ir naudojama programinė įranga, nesusijusi su Registro tvarkymo įstaigos veikla ir darbuotojo funkcijų atlikimu. Už programinės įrangos įdiegimą Registro tarnybinėse stotyse ir Registrą tvarkančių asmenų darbo vietose atsakingas atitinkamas funkcijas vykdantis administratorius.
26. Specializuota Registro taikomoji programinė įranga perkama su visomis autorinėmis teisėmis (programos išeities kodais ir teisėmis jį keisti), nustatomas garantinio aptarnavimo laikas trūkumams ir klaidoms šalinti.
27. Turi būti vykdoma kuriamos ir sukurtos programinės įrangos, išeities kodo bei dokumentacijos apskaita.
28. Registro funkcijų pokyčiai planuojami, identifikuojami, realizuojami, testuojami ir diegiami vadovaujantis vadovaujančiosios Registro tvarkymo įstaigos patvirtinta Registro pokyčių valdymo tvarka.
29. Registro duomenis, išskyrus teikiamus viešai ir neatlygintinai interneto tinklalapyje, tvarkyti ir naudoti Registro nuostatų nustatyta tvarka turi būti leidžiama tik iš nustatytų darbo vietų, įvedus prisijungimo duomenis.
30. Prisijungimo duomenis Registro naudotojams suteikia nustatytą funkciją vykdantis administratorius. Atleidžiant Registrą tvarkiusį asmenį iš darbo arba esant kitiems atvejams, turi būti operatyviai koreguojami, blokuojami arba šalinami jo prisijungimo duomenys.
31. Registro naudotojams suteikiamos teisės turi būti proporcingos jo atliekamoms funkcijoms. Turi būti fiksuojami duomenų įrašų sukūrimo (ar pakeitimo) autoriai ir veiksmo laikas.
32. Turi būti naudojamos programinės priemonės, skirtos apsaugoti Registro tvarkymo įstaigos kompiuterių tinklą, Registro tarnybines stotis, Registrą tvarkančių asmenų darbo vietas bei elektroninį paštą nuo kenksmingos programinės įrangos (virusų, šnipinėjimui skirtos programinė įrangos, nepageidaujamo elektroninio pašto ir pan.). Reguliariai, ne rečiau kaip kartą per savaitę, naujinami kenksmingos programinės įrangos atpažinimo aprašai – už tai atsakingi atitinkamas funkcijas vykdantys administratoriai.
33. Turi būti įdiegta ir naudojama kompiuterių tinklo filtravimo įranga (užkarda, įsilaužimų prevencijos sistema ir pan.), skirta apsaugoti Registro tvarkymo įstaigos vidinį kompiuterių tinklą nuo interneto poveikio. Už šių įrenginių veiklos priežiūrą, administravimą ir programinės įrangos bei kenkėjiškos veiklos aprašų reguliarų atnaujinimą atsakingi atitinkamas funkcijas vykdantys administratoriai. Registrą tvarkančių darbuotojų darbo vietose pagal galimybes irgi turi būti naudojama ir reguliariai prižiūrima tinklo filtravimo įranga.
34. Registro duomenų tvarkymui iš kompiuterių, esančių už Registro tvarkymo įstaigos ribų, turi būti naudojamas šifruotas ryšys, užmezgamas su Registro tvarkymo įstaiga.
35. Nešiojamųjų kompiuterių, skirtų Registro duomenų tvarkymui, apsaugai turi būti naudojamos papildomos juose įdiegtos apsaugos priemonės – slaptažodžiai, biometrinės sistemos, rakinimo įrenginiai ir kita.
36. Registro duomenys, išskyrus teikiamus viešai ir neatlygintinai interneto tinklalapyje, automatiniu būdu teikiami tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas.
37. Turi būti pastoviai vykdomas atsarginis Registro duomenų kopijavimas pagal nustatytas kopijavimo taisykles, registruojami pokyčiai Registro duomenų bazėse. Turi būti reguliariai analizuojami pokyčiai duomenų bazėse, tikrinamas duomenų kopijų pilnumas ir vientisumas.
38. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politiką reglamentuojančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, saugos įgaliotinis turi kasmet organizuoti informacinių technologijų saugos atitikties vertinimą, kurio metu:
38.1. įvertinama Saugos nuostatų ir kitų saugos politiką reglamentuojančių teisės aktų ir realios informacijos saugos atitiktis;
38.3. tikrinamos ne mažiau kaip 10 procentų atsitiktinai parinktose Registro duomenis tvarkančių darbuotojų, Registro administratoriaus bei saugos įgaliotinio darbo vietose, visose tarnybinėse stotyse įdiegtos programos ir jų sąranka;
38.4. patikrinama (įvertinama) Registro duomenis tvarkantiems darbuotojams, Registro administratoriui bei saugos įgaliotiniui suteiktų teisių atitiktis vykdomoms funkcijoms;
IV. REIKALAVIMAI PERSONALUI
40. Saugos įgaliotinis privalo išmanyti pagrindinius saugos politikos ir informacijos saugos principus ir turėti atitinkamą kvalifikaciją, būti susipažinęs su Registro duomenų tvarkymo teisinį pagrindą sudarančiais ir saugų duomenų tvarkymą reglamentuojančiais teisės aktais, standartais ir kitais dokumentais ir žinoti jų esminius reikalavimus, sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis ir taikomosiomis programomis patirties.
41. Administratorius turi turėti atitinkamą pareigybei kvalifikaciją (būtinas aukštasis išsilavinimas informacinių technologijų, elektronikos ar tiksliųjų mokslų srityje) ir patirties administruoti Registro naudojamas kompiuterių, kompiuterių tinklų ir duomenų bazių sistemas, mokėti užtikrinti jų saugą.
42. Registro duomenis tvarkantys darbuotojai privalo turėti pagrindinių kompiuterinio raštingumo įgūdžių, atsižvelgiant į minimalius kvalifikacinius reikalavimus, nustatomus darbuotojo pareigybei, mokėti tvarkyti Registro duomenis Registro nuostatų ir kitų teisės aktų, reglamentuojančių saugos politiką ir darbą su Registro duomenimis, nustatyta tvarka.
43. Registro duomenis tvarkantys darbuotojai turi būti išmokomi dirbti su specialiomis programomis, reikalingomis jų darbo funkcijoms atlikti. Turi būti organizuojami visų Registrą tvarkančių ir administruojančių asmenų darbo su pakeista Registro programine įranga apmokymai. Už šių mokymų organizavimą atsakingas saugos įgaliotinis.
44. Saugos įgaliotinis periodiškai inicijuoja informacinės sistemos naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai).
V. DARBUOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
45. Saugos įgaliotinis, Registro administratorius ir Registro duomenis tvarkantys darbuotojai privalo rūpintis Registro ir jame tvarkomų duomenų saugumu.
46. Tvarkyti Registro duomenis gali tik Registro duomenis tvarkantys darbuotojai, susipažinę su Saugos nuostatais ir kitais saugos politiką reglamentuojančiais teisės aktais bei raštu sutikę laikytis šių teisės aktų reikalavimų.
47. Registro duomenis tvarkančių darbuotojų ir Registro administratoriaus supažindinimą su Saugos nuostatais ir kitais saugos politiką reglamentuojančiais teisės aktais ir dokumentais bei atsakomybę už šių reikalavimų nesilaikymą pasirašytinai organizuoja saugos įgaliotinis.
48. Registro duomenis tvarkantiems darbuotojams ir administratoriui turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugos problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).
