VALSTYBINĖS LOŠIMŲ PRIEŽIŪROS KOMISIJOS

NUTARIMAS

 

DĖL LIETUVOS LOŠIMO ĮRENGINIŲ REGISTRO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2008 m. birželio 13 d. Nr. N-146

Vilnius

 

Vadovaudamasi Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 2007 m. balandžio 25 d. nutarimu Nr. 410 (Žin., 1997, Nr. 832075; 2007, Nr. 49-1891), 6 punktu bei Lietuvos lošimo įrenginių registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2003 m. balandžio 25 d. nutarimu Nr. 530 (Žin., 2003, Nr. 40-1849), 46 punktu, Valstybinė lošimų priežiūros komisija nutaria:

1. Patvirtinti pridedamus Lietuvos lošimo įrenginių registro informacinės sistemos duomenų saugos nuostatus.

2. Paskirti Valstybinės lošimų priežiūros komisijos Lošimo įrenginių techninės kontrolės ir registro skyriaus vedėją Danielių Stašį Lietuvos lošimo įrenginių registro informacinės sistemos saugos įgaliotiniu.

3. Paskirti Valstybinės lošimų priežiūros komisijos Lošimo įrenginių techninės kontrolės ir registro skyriaus vyresnįjį specialistą Lauryną Gužą Lietuvos lošimo įrenginių registro informacinės sistemos administratoriumi.

4. Pavesti Lietuvos lošimo įrenginių registro informacinės sistemos saugos įgaliotiniui iki 2008 m. liepos 31 d. parengti Saugaus elektroninės informacijos tvarkymo taisykles, Informacinės sistemos veiklos tęstinumo valdymo planą ir Informacinės sistemos naudotojų administravimo taisykles.

5. Pripažinti netekusiu galios Valstybinės lošimų priežiūros komisijos 2007 m. sausio 19 d. nutarimą Nr. N-17 „Dėl Lietuvos lošimo įrenginių registro duomenų saugos nuostatų patvirtinimo“ (Žin., 2007, Nr. 10-425).

6. Šį nutarimą paskelbti leidinyje „Valstybės žinios“.

 

KOMISIJOS PIRMININKAS                                     ČESLOVAS KAZIMIERAS BLAŽYS

 

 

 

PATVIRTINTA

Valstybinės lošimų priežiūros komisijos

2008 m. birželio 13 d. nutarimu Nr. N-146.

 

LIETUVOS LOŠIMO ĮRENGINIŲ REGISTRO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Lietuvos lošimo įrenginių registro (toliau – Registras) informacinės sistemos duomenų saugos nuostatai (toliau – saugos nuostatai) reglamentuoja Lietuvos lošimo įrenginių registro informacinės sistemos (toliau – LIR IS) paskirtį, funkcijas, jos tvarkytojų teises ir pareigas, LIR IS duomenis, jų apdorojimo procesus, duomenų saugos reikalavimus, kurie yra privalomi LIR IS saugos įgaliotiniui, administratoriui ir naudotojui.

2. LIR IS – tai elektroninę informaciją apdorojanti sistema, skirta Lietuvos lošimo įrenginių registro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2003 m. balandžio 25 d. nutarimu Nr. 530 (Žin., 2003, Nr. 40-1849, Nr. 843844), (toliau – Registro nuostatai) nustatytoms funkcijoms atlikti, kurią sudaro Valstybinės lošimų priežiūros komisijos (toliau – Priežiūros komisija) tvarkomo Registro duomenų bazės ir papildomos posistemės, nurodytos šių nuostatų 13 punkte.

3. LIR IS duomenys – Registro ir sisteminiai, užtikrinantys sklandų LIR IS posistemių veiklą, duomenys.

4. Registro tvarkymo įstaiga ir LIR IS valdytoja – Valstybinė lošimų priežiūros komisija (buveinės adresas – Birutės g. 56, Vilnius).

5. Užtikrinant saugų LIR IS tvarkymą nustatomos elektroninės informacijos saugumo užtikrinimo kryptys:

5.1. Vidinis informacijos saugumo organizavimas:

5.1.1. LIR IS valdytojo vadovų įsipareigojimas užtikrinti informacijos saugumą;

5.1.2. informacijos saugumo koordinavimo užtikrinimas;

5.1.3. atsakomybės už informacijos saugumą nustatymas;

5.1.4. prieigos prie informacijos apdorojimo priemonių suteikimas;

5.1.5. nuolatinis LIR IS naudotojų švietimas;

5.1.6. konfidencialumo sutartys su LIR IS naudotojais;

5.1.7. ryšys su valdžios institucijomis;

5.1.8. ryšių plėtojimas su išoriniais saugumo specialistais;

5.1.9. nepriklausoma informacijos saugumo peržiūra.

5.2. Informacijos saugumo organizavimas su išorinėmis šalimis.

6. LIR IS valdytoja:

6.1. užtikrina veiksmingą ir spartų LIR IS funkcijų pokyčių valdymo planavimą, apimantį pokyčių nustatymą, suskirstymą į kategorijas, įtakos įvertinimą ir pokyčių prioritetų nustatymo procesus;

6.2. įgyvendina tinkamas organizacines ir technines priemones, skirtas LIR IS duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

6.3. tvirtina teisės aktus, reguliuojančius LIR IS informacinių technologijų ir telekomunikacijų infrastruktūros, informacinės sistemos posistemių duomenų tvarkymą ir saugą;

6.4. užtikrina, kad LIR IS būtų tvarkoma vadovaujantis Lietuvos Respublikos įstatymais, šiais nuostatais ir kitais teisės aktais;

6.5. skiria LIR IS saugos įgaliotinį ir administratorių;

6.6. organizuoja LIR IS eksploatavimui, priežiūrai ir plėtrai skirtų techninių, programinių priemonių įsigijimą, jų įdiegimą ir modernizavimą, pagal kompetenciją atlieka LIR IS techninės, programinės įrangos priežiūros ir tobulinimo darbus;

6.7. rengia ir tvirtina LIR IS plėtros strategiją, LIR IS sudarančių registro ir posistemių duomenų tvarkymą ir elektroninės informacijos saugą reglamentuojančių teisės aktų projektus;

6.8. užtikrina LIR IS plėtros strategijos įgyvendinimą;

6.9. tvirtina audito metu pastebėtų trūkumų šalinimo planą;

6.10. atsako už LIR IS duomenų patikimumą, tvarkymo teisėtumą, duomenų teikimo teisėtumą ir duomenų saugą nuo neteisėto panaudojimo teisės aktų nustatyta tvarka;

6.11. atlieka kitas šiuose nuostatuose ir kituose teisės aktuose, susijusiuose su LIR IS tvarkymu, nustatytas funkcijas.

7. LIR IS saugos įgaliotinis:

7.1. teikia LIR IS valdytojui pasiūlymus dėl:

7.1.1. LIR IS administratoriaus paskyrimo;

7.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

7.1.3. LIR IS saugos atitikties vertinimo atlikimo;

7.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių LIR IS, tyrimą;

7.3. teikia LIR IS administratoriui privalomus vykdyti nurodymus ir pavedimus;

7.4. periodiškai inicijuoja LIR IS naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujiems darbuotojams ir kt.);

7.5. atlieka kitas LIR IS valdytojo pavestas ar šiais nuostatais jam paskirtas funkcijas;

7.6. įgyvendina informacijos saugą LIR IS ir atsako už LIR IS saugos dokumentų reikalavimų vykdymą.

8. LIR IS administratorius:

8.1. atlieka funkcijas, susijusias su LIR IS naudotojų teisių nustatymu ir administravimu, LIR IS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų, užkardų, įsilaužimo aptikimo sistemų, duomenų perdavimo tinklų) priežiūra ir sąranka bei LIR IS pažeidžiamų vietų nustatymu, atitikties saugumo reikalavimams įvertinimu;

8.2. tikrina LIR IS sąranką ir būsenos rodiklius;

8.3. suderinęs su LIR IS saugos įgaliotiniu atlieka LIR IS funkcijų pakeitimus;

8.4. atsako už saugų LIR IS veikimą, LIR IS duomenų atsarginių kopijų periodinį darymą bei saugojimą ir už paskirtas funkcijas atsiskaito tiesiogiai saugos įgaliotiniui.

9. Saugų LIR IS duomenų tvarkymą be šių nuostatų reglamentuoja:

9.1. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) (toliau – Bendrieji reikalavimai);

9.2. Lietuvos standartai LST ISO/IEC 17799:2006 ir LST ISO/IEC 27001:2006;

9.3. Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;

9.4. Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);

9.5. Registro nuostatai;

9.6. „Saugaus elektroninės informacijos tvarkymo taisyklės“;

9.7. „Informacinės sistemos veiklos tęstinumo valdymo planas“;

9.8. „Informacinės sistemos naudotojų administravimo taisyklės“.

10. Saugos nuostatuose naudojamos sąvokos atitinka sąvokas, naudojamas:

10.1. Registro nuostatuose;

10.2. Saugos dokumentų turinio gairėse, patvirtintose Lietuvos respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 „Dėl saugos dokumentų turinio gairių patvirtinimo“ (Žin., 2007, Nr. 56-2070);

10.3. Bendruosiuose reikalavimuose.

 

II. LIETUVOS LOŠIMO ĮRENGINIŲ REGISTRO INFORMACINĖS SISTEMOS APIBŪDINIMAS

 

11. LIR IS paskirtis:

11.1. Operatyviai ir kokybiškai priimti, tvarkyti, apdoroti, naudoti Registro duomenis.

11.2. Vadovaujantis Registro nuostatais, automatizuotu būdu teikti Registro duomenis.

11.3. Užtikrinti Registro duomenų saugumą.

12. LIR IS tvarkomų duomenų grupės aprašytos Registro nuostatuose.

13. LIR IS sudaro:

13.1. Administravimo posistemės, skirtos:

13.1.1. administruoti LIR IS;

13.1.2. derinti LIR IS parametrus;

13.1.3. kurti ir administruoti LIR IS naudotojų informaciją LIR informacinėje sistemoje;

13.1.4. administruoti LIR IS žinynus;

13.1.5. užtikrinti ryšiui su LIR IS išorine aplinka.

13.2. Duomenų mainų posistemės, skirtos:

13.2.1. gauti duomenis iš Registro duomenų teikėjų į LIR IS papildomą duomenų bazę interneto tinklais Registro nuostatų nustatyta tvarka;

13.2.2. teikti duomenis Registro duomenų gavėjams Registro nuostatų nustatyta tvarka;

13.2.3. kontroliuoti duomenų mainus tarp LIR IS naudotojų;

13.2.4. papildomai LIR IS duomenų bazei atnaujinti pagal pagrindinės LIR IS duomenų bazės informaciją;

13.2.5. duomenims priimti iš papildomos LIR IS į pagrindinę LIR IS duomenų bazę.

13.3. Paslaugų posistemė, skirta:

13.3.1. rengti prašymams tvarkyti Registro duomenis;

13.3.2. apskaityti ir kontroliuoti atsiskaitymus už paslaugas;

13.3.3. rengti suvestinius duomenims apie atliktus darbus, atsiskaitymus, skolas;

13.3.4. atlikti duomenų paiešką ir analizę.

13.4. Elektroninio archyvo posistemė, skirta elektroniniams dokumentams teikti;

13.5. Registro duomenų tvarkymo posistemė, skirta Registro nuostatuose aprašytiems duomenims tvarkyti (įregistruoti, išregistruoti, papildyti, keisti ar taisyti duomenų teikėjo pateiktus duomenis) ir dokumentams rengti Registro nuostatuose nustatyta tvarka.

13.6. Sąsajos su Juridinių asmenų registru posistemė, skirta Registro nuostatų nustatyta tvarka bendrovių duomenims sutikrinti su Juridinių asmenų registro duomenimis.

 

III. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

14. Vadovaujantis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 „Dėl Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių ir valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (Žin., 2007, Nr. 78-3160), LIR IS priskiriama antros kategorijos informacinei sistemai.

15. LIR IS rizikos įvertinimas vykdomas:

15.1. periodiškai kasmet;

15.2. pasikeitus LIR IS struktūrai (sistemos pakitimai, papildymas naujomis taikomosiomis programomis, taikomųjų programų šalinimas);

15.3. nustačius naujų rizikos veiksnių.

16. LIR IS rizikos įvertinimas organizuojamas atsižvelgiant į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus.

17. LIR IS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausieji rizikos veiksniai yra šie:

17.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

17.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis LIR IS duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);

17.3. nenugalima jėga (force majeure).

18. Už rizikos įvertinimo ir ataskaitos rengimo organizavimą atsakingas LIR IS saugos įgaliotinis.

19. Prireikus saugos įgaliotinis gali organizuoti neeilinį LIR IS rizikos įvertinimą.

20. LIR IS valdytojos rašytiniu pavedimu LIR IS rizikos įvertinimą gali atlikti pats saugos įgaliotinis.

21. Atsižvelgdama į rizikos įvertinimo ataskaitą, LIR IS valdytoja prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis Registro rizikos valdymo priemonėms įgyvendinti.

22. Siekiant užtikrinti šiuose nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kasmet organizuojamas informacinių technologijų saugos atitikties vertinimas, kurio metu:

22.1. įvertinama šių nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų ir realios informacijos saugos atitiktis;

22.2. inventorizuojama LIR IS techninė ir programinė įranga;

22.3. tikrinamos LIR IS saugos įgaliotinio, LIR IS administratoriaus bei LIR IS naudotojų, dirbančių Priežiūros komisijoje, darbo vietose ir visose tarnybinėse stotyse įdiegtos programos ir jų sąranka;

22.4. patikrinama (įvertinama) LIR IS naudotojams suteiktų teisių atitiktis vykdomoms funkcijoms;

22.5. įvertinamas pasirengimas užtikrinti LIR IS veiklos tęstinumą įvykus saugos incidentui (nenumatytai situacijai);

22.6. atliekama rizikos analizė ir atitinkamai koreguojama rizikos ataskaita.

23. Atlikus 22 punkte nurodytą vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato LIR IS valdytoja.

 

IV. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

24. Reikalavimai apsaugos sistemos valdymui:

24.1. apsaugos sistema turi būti valdoma centralizuotai;

24.2. visuose Priežiūros komisijos kompiuteriuose bei tarnybinėse stotyse privalo būti įdiegta ir prijungtine veiksena veikti antivirusinė sistema bei apsauga nuo nepageidaujamos programinės įrangos;

24.3. centrinė tarnybinė stotis visą parą kas valandą privalo tikrinti atnaujinimo galimybę (iš apsaugos sistemos gamintojo tarnybinių stočių);

24.4. LIR IS tarnybinių stočių atnaujinimas turi būti vykdomas kas valandą;

24.5. kompiuterizuotų darbo vietų apsaugos atnaujinimas turi būti vykdomas kas keturias valandas;

24.6. centralizuotas kompiuterių tikrinimas nuo virusų ir nuo nepageidaujamos programinės įrangos vykdomas kas savaitę.

25. Programinės įrangos naudojimas:

25.1. LIR IS naudotojų darbo vietose draudžiama naudoti programinę įrangą, nesusijusią su tiesiogine veikla ir funkcijomis;

25.2. centralizuotai ribojama prieiga prie tam tikro turinio interneto svetainių (žaidimų, pornografinio turinio, nelegalios programinės įrangos puslapiai ir kt.);

25.3. draudžiamas rinkmenų apsikeitimo programų naudojimas.

26. Kompiuterių tinklo kontrolės priemonės:

26.1. visos prieigos prie sistemos iš išorės (interneto) privalomai komutuojamos per užkardą;

26.2. vidinis tinklas turi būti atskirtas nuo išorinio papildoma užkarda;

26.3. tinklu gaunamas duomenų srautas privalo būti filtruojamas;

26.4. visos gaunamos ir siunčiamos elektroninio pašto žinutės privalomai tikrinamos nuo virusų;

26.5. už kompiuterių tinklo kontrolės priemones atsakingas kompiuterių tinklų administratorius.

27. prisijungimo prie LIR IS tarnybinių stočių vardai ir slaptažodžiai žinomi tik LIR IS saugos įgaliotiniui ir administratoriui.

28. LIR IS naudotojai prie informacinės sistemos gali prisijungti bet kuriuo paros metu.

29. LIR IS naudotojų tapatybei nustatyti ir prisijungimui prie LIR IS kontroliuoti naudojama prisijungimo vardų, slaptažodžių ir teisių sistema.

30. Duomenys teikiami ir priimami registro nuostatuose nustatyta forma ir tvarka.

31. Konkrečios LIR IS duomenų tvarkymo ir saugumo procedūros, duomenų atsarginių kopijų darymo ir atkūrimo reikalavimai bei metodai ir priemonės, kurie taikomi užtikrinant prieigą prie LIR IS, išdėstomi Saugaus Lietuvos lošimo įrenginių registro informacinės sistemos elektroninės informacijos tvarkymo taisyklėse, kurias LIRS IS valdytojai tvirtinti teikia LIR IS saugos įgaliotinis.

 

V. REIKALAVIMAI PERSONALUI

 

32. LIR IS saugos įgaliotinis:

32.1. privalo gerai išmanyti informacijos saugos užtikrinimo principus ir turėti atitinkamą kvalifikaciją, sugebėti organizuoti ir prižiūrėti saugos politikos įgyvendinimą;

32.2. turi būti susipažinęs su LIR IS duomenų tvarkymą ir saugą reglamentuojančiais teisės aktais, savo darbe vadovautis Bendraisiais reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais elektroninės informacijos saugą.

33. LIR IS administratorius privalo gerai išmanyti informacijos saugos principus, turėti atitinkamą kvalifikaciją, turėti darbo su kompiuterių tinklais patirties, mokėti užtikrinti jų saugumą, taip pat administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su saugumo politika ir teisės aktais, standartais bei kitais dokumentais, reglamentuojančiais duomenų tvarkymą sistemoje.

34. LIR IS naudotojas:

34.1. privalo turėti pagrindinius darbo kompiuteriu įgūdžius, gebėti tvarkyti Registro duomenis vadovaudamasis Registro nuostatų ir kitų teisės aktų, reglamentuojančių elektroninės informacijos saugą bei darbą su Registro duomenimis, nustatyta tvarka;

34.2. pastebėjęs saugos dokumentų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones privalo nedelsdamas apie tai pranešti LIR IS administratoriui ir/arba saugos įgaliotiniui.

35. LIR IS naudotojų mokymas turi atitikti LIR IS naudotojo funkcijas ir atsakomybę.

36. Už LIR IS naudotojų mokymo organizavimą yra atsakingas LIR IS saugos įgaliotinis.

 

VI. INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

37. LIR IS naudotojai naudotis LIR IS ištekliais numatytoms funkcijoms atlikti gali tik susipažinę su saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją.

38. Pasikeitus saugos dokumentų ir kitų teisės aktų, reglamentuojančių elektroninės informacijos tvarkymą, nuostatoms, LIR IS saugos įgaliotinis privalo LIR IS naudotojus supažindinti su pasikeitimais.

39. LIR IS naudotojus su saugos dokumentais, kitais teisės aktais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina LIR IS saugos įgaliotinis.

 

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2008 m. gegužės 29 d. raštu Nr. 1D-4051 (13)

 

_________________