LIETUVOS GEOLOGIJOS TARNYBOS
PRIE APLINKOS MINISTERIJOS DIREKTORIAUS
ĮSAKYMAS
DĖL VALSTYBINĖS GEOLOGIJOS INFORMACINĖS SISTEMOS IR ŽEMĖS GELMIŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2009 m. balandžio 24 d. Nr. 1-61
Vilnius
Vadovaudamasis Valstybės informacinių sistemų steigimo ir įteisinimo taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), 8 punktu, Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemos reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 punktu bei Lietuvos geologijos tarnybos prie Aplinkos ministerijos nuostatų (Žin., 2002, Nr. 81-3494) 13.5 punktu,
1. Tvirtinu pridedamus Valstybinės geologijos informacinės sistemos ir Žemės gelmių registro duomenų saugos nuostatus.
DIREKTORIUS JUOZAS MOCKEVIČIUS
SUDERINTA
Lietuvos Respublikos vidaus reikalų ministerijos
2009-04-22 raštu Nr. 1D-3014 (13)
PATVIRTINTA
Lietuvos geologijos tarnybos prie
Aplinkos ministerijos direktoriaus
2009 m. balandžio 24 d.
įsakymu Nr. 1-61
VALSTYBINĖS GEOLOGIJOS INFORMACINĖS SISTEMOS
IR ŽEMĖS GELMIŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Valstybinės geologijos informacinės sistemos (toliau – GEOLIS) ir Žemės gelmių registro (toliau – Registras) duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato principus ir taisykles, užtikrinančias saugų GEOLIS ir Registro elektroninės informacijos tvarkymą.
2. Saugos nuostatuose vartojamos sąvokos:
Elektroninės informacijos saugos incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie informacinės sistemos galimybę, sutrikdyti ar pakeisti informacinės sistemos veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas neleistinai elektroninę informaciją pasisavinti, paskleisti ar kitaip panaudoti.
Saugos įgaliotinis – Lietuvos geologijos tarnybos prie Aplinkos ministerijos (toliau – Tarnyba) direktoriaus paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, įgyvendinantis GEOLIS ir Registro elektroninės informacijos saugą.
Administratorius – Tarnybos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, atliekantis GEOLIS ir/arba Registro informacinės sistemos priežiūrą.
Naudotojas –Tarnybos darbuotojas, valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, tvarkantis GEOLIS ir/arba Registro duomenis arba turintis teisę naudotis GEOLIS ir/arba Registro ištekliais numatytoms funkcijoms atlikti.
Duomenų teikėjai – valstybės ar savivaldybės institucijos ar įstaigos, atsakingos už aplinkos apsaugą, fiziniai ir juridiniai asmenys bei šių asmenų grupės, veikiančios pagal jungtinės veiklos sutartis, kurie tiria žemės gelmes arba užsako žemės gelmių tyrimus, naudoja žemės gelmes, vykdo veiklą, dėl kurios teršiančios medžiagos gali patekti į geologinę aplinką.
Duomenų gavėjai – valstybės registrai ir informacinės sistemos, naudojančios duomenis pagal duomenų teikimo sutartis, valstybės ar savivaldybės institucijos ar įstaigos – jų tiesioginėms funkcijos atlikti, fiziniai ir juridiniai asmenys bei šių asmenų grupės, veikiančios pagal jungtinės veiklos sutartis, įstatymų ir kitų teisės aktų nustatyta tvarka turintys teisę juos gauti ir pateikę prašymus ar sudarę duomenų teikimo sutartį, kurioje nurodyti duomenų naudojimo tikslai, sąlygos ir tvarka.
Kitos Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos įstatymuose ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 17799:2006 ir LST ISO/IEC 27001:2006.
3. Saugos nuostatų tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti GEOLIS ir Registro elektroninę informaciją.
5. Tarnybos direktoriaus tvirtinamos GEOLIS ir Registro saugaus elektroninės informacijos tvarkymo taisyklės, GEOLIS ir Registro veiklos tęstinumo valdymo planas, GEOLIS ir Registro naudotojų administravimo taisyklės yra saugos politiką įgyvendinantys teisės aktai, kurie įgyvendina GEOLIS ir Registro saugos politiką, kurią nustato Saugos nuostatai.
6. Saugos nuostatai parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891) (toliau – Reikalavimai), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. IV-172 (Žin., 2007, Nr. 53-2070), ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą.
7. Pagrindinės GEOLIS ir Registro elektroninės informacijos saugumo užtikrinimo kryptys:
7.1. fizinė elektroninės informacijos apdorojimo priemonių (GEOLIS ir Registro patalpos, tarnybinės stotys, elektroninės informacijos perdavimo įranga, programinė įranga) apsauga;
8. GEOLIS ir Registro valdytojas, GEOLIS ir Registras tvarkytojas yra Lietuvos geologijos tarnyba prie Aplinkos ministerijos, S. Konarskio g. 35, Vilnius.
9. Tarnybos, kaip GEOLIS ir Registro valdytojo, vadovo funkcijos ir atsakomybė:
9.1. vadovauja ir organizuoja GEOLIS ir Registro veiklą, skirdamas saugos įgaliotinį, administratorius bei kitus darbuotojus;
9.2. kontroliuoja, kad GEOLIS ir Registras būtų tvarkomas vadovaujantis Lietuvos Respublikos žemės gelmių įstatymu, GEOLIS ir Registro nuostatais, šiais Saugos nuostatais ir kitais teisės aktais;
9.3. atsako už GEOLIS ir Registro saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams;
10. Tarnybos, kaip GEOLIS ir Registro tvarkytojo, vadovo funkcijos ir atsakomybė:
10.2. atsako už GEOLIS ir Registro saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams ir šiems Saugos nuostatams;
10.3. užtikrina, kad naudotojai laikosi nuostatų, išvardintų Saugos nuostatuose ir saugos politiką įgyvendinančiuose teisės aktuose;
11. Saugos įgaliotinio, įgyvendinančio GEOLIS ir Registro elektroninės informacijos saugą, funkcijos ir atsakomybė:
11.1. teikia Tarnybos vadovui pasiūlymus dėl:
11.3. pasirašytinai supažindina administratorius, naudotojus su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą;
11.4. organizuoja administratorių ir naudotojų kvalifikacijos tobulinimą duomenų saugos klausimais, reguliariai jiems primena saugumo problemas (elektroniniu paštu, atmintinės naujai priimtiems darbuotojams ir pan.);
11.6. atsako už GEOLIS ir Registro saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams;
12. Administratorių funkcijos ir atsakomybė:
12.2. įvertina naudotojų pasirengimą dirbti su informacine sistema ir suteikia naudotojams teisę naudotis informacinės sistemos galimybėmis paskirtoms funkcijoms atlikti;
12.3. rengia pasiūlymus GEOLIS ir/arba Registro kūrimo, palaikymo, priežiūros ir duomenų saugos klausimais;
12.4. atlieka GEOLIS ir/arba Registrą sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) administravimą, pažeidžiamų vietų ir saugos reikalavimų atitikties nustatymą;
13. GEOLIS ir Registro duomenų sauga užtikrinama vadovaujantis:
13.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2000, Nr. 64-1924; 2008, Nr. 22-804);
13.2. Bendraisiais elektroninės informacijos saugos valstybės ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891);
13.4. Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. IV-172 (Žin., 2007, Nr. 53-2070);
13.5. Lietuvos standartais LST ISO/IEC 17799:2006, LST ISO/IEC 27001:2006, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos duomenų tvarkymą;
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
14. Registras priskiriamas antrai, GEOLIS – trečiai informacinės sistemos kategorijai pagal Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160).
15. GEOLIS duomenys yra vieši. GEOLIS duomenys teikiami duomenų gavėjams Lietuvos geologijos tarnyboje prie Aplinkos ministerijos saugomos geologinės informacijos teikimo ir naudojimo tvarkos aprašo, patvirtinto Tarnybos direktoriaus 2007 m. lapkričio 30 d. įsakymu Nr. 1-146 (Žin., 2007, Nr. 129-5253), nustatyta tvarka.
16. Registro duomenys yra vieši. Lietuvos geologijos tarnyba teikia Registro duomenis duomenų gavėjams, išskyrus duomenų teikimo apribojimus, nurodytus Žemės gelmių registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2002 m. balandžio 26 d. nutarimu Nr. 584 (Žin., 2002, Nr. 44-1676; 2006, Nr. 54-1961), 45 punkte.
17. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos metodines rekomendacijas, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuoja GEOLIS ir Registro rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. GEOLIS ir Registro rizikos veiksnių vertinimas atliekamas kokybiniu rizikos vertinimo metodu.
18. GEOLIS ir/arba Registro rizikos įvertinimas išdėstomas Rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos GEOLIS ir Registro informacijos saugai. Svarbiausi rizikos veiksniai yra šie:
18.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kt.);
18.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis duomenims gauti, duomenų pakeitimas ir sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kt.);
19. Atsižvelgdama į rizikos įvertinimo ataskaitą, Tarnyba prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
20. Siekdamas užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose teisės aktuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja informacinių technologijų (toliau – IT) saugos atitikties vertinimą, kurio metu:
20.1. įvertinama Saugos nuostatų, saugos politiką įgyvendinančių teisės aktų ir realios duomenų saugos situacijos atitiktis;
20.3. tikrinama visose Tarnybos tarnybinėse stotyse, administratorių bei ne mažiau kaip 10% naudotojų kompiuterinėse darbo vietose įdiegta programinė įranga ir jos sąranka;
20.4. peržiūrima administratoriams ir naudotojams suteiktų teisių atitiktis jų vykdomoms funkcijoms;
20.5. įvertinamas pasirengimas užtikrinti GEOLIS ir Registro veiklos tęstinumą įvykus saugos incidentui;
21. Atlikus informacinių sistemų (toliau – IS) saugos atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus Tarnybos direktorius.
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
23. GEOLIS ir/ar Registro naudotojams, duomenų gavėjams ir GEOLIS duomenų teikėjams tiesioginė prieiga prie duomenų suteikiama įgyvendinus vartotojų autentifikavimo priemones. Tiesioginė prieiga prie Registro duomenų užtikrinama ne mažiau kaip 96 proc. laiko visą parą.
24. Registro ir GEOLIS duomenys duomenų gavėjams gali būti perduodami automatiniu būdu naudojant TCP/IP protokolą realiame laike („On-line“ režimu) arba asinchroniniu režimu pagal duomenų teikimo sutartis, kuriose nustatomos perduodamų duomenų specifikacijos, kopijų skaičius, duomenų naudojimo tikslas, kitos duomenų perdavimo sąlygos ir tvarka.
25. GEOLIS duomenis duomenų teikėjai gali teikti „On-line“ režimu pagal atskiras sutartis, kuriose apibrėžiama teikiamų duomenų apimtis, vartotojų autentifikavimo priemonės, teikėjų atsakomybė ir kitos duomenų teikimo sąlygos.
26. GEOLIS ir Registro duomenų saugai užtikrinti yra taikomos tam tikros programinės įrangos naudojimo nuostatos:
26.1. GEOLIS ir Registro tarnybinėse stotyse, administratorių, naudotojų kompiuterinėse darbo vietose įdiegiama legali ir saugi (su naujausiais pataisymais) programinė įranga;
26.2. GEOLIS ir Registro tarnybinių stočių, administratorių, naudotojų kompiuterinių darbo vietų operacinių sistemų ir taikomųjų programų sąranka parenkama tokiu būdu, kad būtų užtikrintas didžiausias saugumo lygis (išjungiami nereikalingi darbui procesai ir reikmenys (angl. services), ribojamas arba išjungiamas priėjimas prie operacinės sistemos prievadų);
26.3. GEOLIS ir Registro tarnybinėse stotyse, administratorių, naudotojų kompiuterinėse darbo vietose įdiegiama programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir pan.). Programinė įranga atnaujinama kiekvieną darbo dieną. Ilgiausias leistinas neatnaujinimo laikas – penkios darbo dienos.
27. Registro ir GEOLIS programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.
28. Kompiuterinis tinklas, prie kurio prijungtos Tarnybos tarnybinės stotys, naudotojų kompiuteriai nuo viešojo interneto turi būti atskirti tinklo užkarda (angl. Firewall).
29. Registro naudotojams draudžiama naudoti nešiojamuosius kompiuterius duomenų perdavimui kompiuterių tinklais ne savo darbo vietoje. GEOLIS naudotojams, savo tarnybinėms funkcijoms vykdyti naudojantiems nešiojamuosius kompiuterius ne savo darbo vietoje, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas vartotojo tapatybės patvirtinimas.
30. GEOLIS ir/ar Registro programinės, techninės įrangos saugos priemonių įgyvendinimą organizuoja administratoriai.
31. Už atsarginių GEOLIS ir Registro duomenų kopijų darymą ir saugojimą atsako atitinkamos sistemos administratorius. Duomenų kopijos turi būti daromos automatiškai kasdien. Registro ir GEOLIS duomenų kopijų saugojimo priemonės, būdai ir vieta, kopijų atkūrimo tvarka, naikinimo tvarka išdėstomi Saugaus elektroninės informacijos tvarkymo taisyklėse.
IV. REIKALAVIMAI PERSONALUI
33. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais GEOLIS ir Registro duomenų tvarkymą, standartais bei kitais dokumentais ir būti susipažinęs su esminiais reikalavimais, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti, kaip įgyvendinama saugos politika.
34. Administratorius privalo turėti dokumentais patvirtintą informacinių technologijų specialisto kvalifikaciją, privalo išmanyti informacijos saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, taip pat administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais, taip pat kitomis vidaus ir darbo saugos taisyklėmis.
36. Tvarkyti GEOLIS ir/ar Registro duomenis gali tik GEOLIS ir/ar Registro naudotojai, susipažinę su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais.
37. GEOLIS ir Registro naudotojai, pastebėję saugos politikos pažeidimus, nusikalstamos veiklos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti saugos įgaliotiniui ir/arba administratoriams.
38. Esant elektroninės informacijos saugos incidentui, nenumatytai situacijai, saugos įgaliotinio, administratorių, GEOLIS ir Registro naudotojų veiksmus reglamentuoja GEOLIS ir Registro veiklos tęstinumo valdymo planas.
V. GEOLIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
40. Saugos nuostatai skelbiami Tarnybos tinklalapyje, kiti GEOLIS ir Registro saugos politiką įgyvendinantys teisės aktai skelbiami vidiniame Tarnybos tinklalapyje.
41. Registro ir GEOLIS naudotojai su šiais nuostatais ir kitais Saugos politiką reguliuojančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą supažindinami pasirašytinai.
42. Pakartotinai su saugos politiką reguliuojančiais teisės aktais darbuotojai supažindinami tik iš esmės pasikeitus Registro ar GEOLIS informacinėms sistemoms arba informacijos saugą reguliuojantiems teisės aktams.
43. Už GEOLIS ir Registro naudotojų supažindinimą su Saugos nuostatais ir dokumentais, įgyvendinančiais saugos politiką, atsako Saugos įgaliotinis.
44. Saugos įgaliotinis tvarko Registro ir GEOLIS naudotojų supažindinimo su Saugos politiką reguliuojančiais teisės aktais žurnalą, kuriame pildomos šios grafos: supažindinimo data, naudotojo vardas ir pavardė, pareigos, susipažinusio su Saugos dokumentais asmens parašas.