GYVENTOJŲ REGISTRO TARNYBOS

GYVENTOJŲ REGISTRO TARNYBOS
PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS DIREKTORIAUS

ĮSAKYMAS

DĖL METRIKACIJOS PASLAUGŲ informacinės sistemos DUOMENŲ SAUGOS nuostatŲ Patvirtinimo

2010 m. rugpjūčio 9 d. Nr. (29)4R-32

Vilnius

Vadovaudamasi Lietuvos Respublikos Vyriausybės 2007 m. balandžio 25 d. nutarimu Nr. 410 „Dėl elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891):

1. Tvirtinu pridedamus Metrikacijos paslaugų informacinės sistemos duomenų saugos nuostatus.

2. Skiriu Ievą Paužaitę, Registro strateginio vystymo ir saugos skyriaus vyresniąją specialistę, Metrikacijos paslaugų informacinės sistemos duomenų saugos įgaliotiniu.

3. Pavedu saugos įgaliotiniui iki 2011 m. rugpjūčio 31 d. parengti ir pateikti tvirtinimui:

3.1. saugaus elektroninės informacijos tvarkymo taisykles;

3.2. veiklos tęstinumo valdymo planą;

3.3. naudotojų administravimo taisykles.

Direktorė Marija Norkevičienė

_________________

PATVIRTINTA

Gyventojų registro tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2010 m. rugpjūčio 9 d. įsakymu Nr. (29)4R-32

METRIKACIJOS PASLAUGŲ INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Metrikacijos paslaugų informacinės sistemos (toliau – MEPIS) duomenų saugos nuostatų (toliau – Nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotu būdu tvarkyti asmens duomenis MEPIS, taip pat sumažinti žalą esant galimiems poveikiams bei tokius poveikius numatyti ir jų išvengti.

2. Nuostatai reglamentuoja automatizuotą duomenų tvarkymą MEPIS ir yra privalomi visiems jo naudotojams, administratoriui ir saugos įgaliotiniui.

3. MEPIS valdytojas ir tvarkytojas yra Gyventojų registro tarnyba prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Tarnyba), kuri pagal kompetenciją, vadovaudamasi Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891) (toliau – Reikalavimai), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), rengia ir suderinusi su Lietuvos Respublikos vidaus reikalų ministerija tvirtina Nuostatus, kurie apibrėžia MEPIS duomenų saugos politiką.

4. Už duomenų tvarkymo teisėtumą ir duomenų saugą atsako MEPIS valdytojas.

5. MEPIS valdytojas skiria saugos įgaliotinį, kuris įgyvendina informacijos saugą MEPIS ir atsako už saugos dokumentų reikalavimų vykdymą.

6. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais.

7. Saugos įgaliotinis, įgyvendindamas elektroninės informacijos saugą informacinėje sistemoje, atlieka šias funkcijas:

7.1. teikia MEPIS valdytojo vadovui pasiūlymus dėl:

7.1.1 administratorių paskyrimo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);

7.1.2 saugos dokumentų priėmimo, keitimo ar panaikinimo;

7.1.3 Tarnybos informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

7.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių MEPIS, tyrimą (išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės);

7.3. teikia administratoriams privalomus vykdyti nurodymus ir pavedimus;

7.4. atlieka kitas MEPIS valdytojo vadovo pavestas funkcijas.

8. Administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.

9. Administratorius atlieka funkcijas, susijusias su MEPIS naudotojų teisėmis, MEPIS sudarančiais komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis), šių MEPIS sudarančių komponentų sąranka, saugumo reikalavimų atitikties nustatymu.

10. Atlikdamas MEPIS funkcijų pakeitimus, administratorius turi laikytis informacinės sistemos valdytojo nustatytos informacinės sistemos pokyčių valdymo tvarkos.

11. Administratorius turi teisę patikrinti (peržiūrėti) MEPIS sąranką ir MEPIS būsenos rodiklius.

12. MEPIS valdytas yra Tarnyba, kurios adresas: A. Vivulskio g. 4A, LT-03220 Vilnius, Gyventojų aptarnavimas – Lvovo g. 7/ Slucko g. 6, LT-09313 Vilnius.

13. Teisės aktų, kuriais vadovaujamasi tvarkant MEPIS ir jame tvarkomus duomenis, užtikrinant jų saugumą, sąrašas:

13.1. Lietuvos Respublikos gyventojų registro įstatymas (Žin., 1992, Nr. 5-78; 1999 Nr. 28-793);

13.2. Lietuvos Respublikos dokumentų ir archyvų įstatymas (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982);

13.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597);

13.4. Lietuvos Respublikos gyventojų registro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2000 m. lapkričio 6 d. nutarimu Nr. 1346 (Žin., 2000, Nr. 96-3034; 2007, Nr. 40-1486);

13.5. Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymas Nr. 1V-172 „Dėl saugos dokumentų turinio gairių patvirtinimo“;

13.6. Lietuvos standartai LST ISO/IEC 17799:2006 ir LST ISO/IEC 27005:2008, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;

13.7. Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 14 d. įsakymas Nr. 1V-167 „Dėl saugaus valstybinio duomenų perdavimo tinklo nuostatų ir saugaus valstybinio duomenų perdavimo tinklo paslaugų teikimo taisyklių patvirtinimo“ (Žin., 2004, Nr. 83-3025);

13.8. kiti teisės aktai, reglamentuojantys duomenų tvarkymo teisėtumą, sistemos tvarkytojo veiklą bei duomenų saugos valdymą.

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

14. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), MEPIS pagal jame tvarkomos elektroninės informacijos svarbą priskiriamas trečiajai kategorijai, nes joje tvarkomi asmens duomenys.

15. Teisės aktų nustatyta tvarka atliekant MEPIS informacinių technologijų saugos atitikties vertinimą (atliekamas ne rečiau kaip kartą per dvejus metus):

15.1. įvertinama saugos dokumentų ir realios informacijos saugos situacijos atitiktis;

15.2. inventorizuojama MEPIS valdytojo techninė ir programinė įranga;

15.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų MEPIS valdytojo tvarkytojų kompiuterinių darbo vietų, visose tarnybinėse stotyse įdiegtų programų ir jų sąranka;

15.4. patikrinama (įvertinama) MEPIS valdytojo tvarkytojams suteiktų teisių ir vykdomų funkcijų atitiktis;

15.5. įvertinamas pasirengimas užtikrinti MEPIS veiklos tęstinumą įvykus saugos incidentui.

16. Saugos įgaliotinis kasmet organizuoja MEPIS rizikos veiksnių vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį MEPIS rizikos veiksmų vertinimą.

17. MEPIS rizikos veiksnių vertinimas surašomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausi rizikos veiksniai yra šie:

17.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

17.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

17.3. nenugalima jėga (force majeure).

18. Atsižvelgdamas į rizikos įvertinimo ataskaitą, informacinės sistemos valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

19. Elektroninės informacijos saugos priemonės parenkamos atsižvelgiant į rizikos analizės rezultatus.

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

20. Prieiga prie MEPIS užtikrinama:

20.1. naudojant ekranines formas, pritaikytas tik konkrečioms užduotims vykdyti;

20.2. administruojant MEPIS naudotojus, kurie registruojami unikaliu naudotojo vardu bei slaptažodžiu ir kuriems priskiriami programiniai moduliai ir suteikiamos teisės tik konkrečioms funkcijoms atlikti;

20.3. nuolat darant atsargines duomenų kopijas, todėl informacijos praradimo atvejais galima atkurti duomenis. Kopijos daromos periodiškai kartą per savaitę karšto duomenų bazės kopijavimo būdu. Saugomos trys paskutinės kopijos tam, kad sugedus vienai iš laikmenų būtų galimybė atkurti duomenis iš senesnės kopijos;

20.4. prie tarnybinių stočių prijungti nenutrūkstamo maitinimo šaltiniai užtikrina MEPIS veikimą nutrūkus elektros energijos tiekimui. Svarbiausia kompiuterinė įranga ir duomenų perdavimo tinklo mazgai turi rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne mažiau kaip 30 min.

21. Programinė įranga, skirta apsaugoti MEPIS nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir pan.), privalo:

21.1. turėti realaus laiko apsaugą;

21.2. apsaugoti nuo naujausių žinomų virusų, kirminų, šnipinėjančios įrangos programėlių ir panašiai paveikiančių kompiuterinę bei programinę įrangą programų;

21.3. naudoti nedaug kompiuterio resursų;

21.4. susieti antivirusinės programos komponentus su sisteminiais failais;

21.5. tikrinti interneto srauto duomenis, pašto protokolų srautus;

21.6. turėti slaptažodžiu apsaugotą programos valdymo meniu;

21.7. automatiškai kasdien atnaujinti programinės įrangos virusų aprašų duomenų bazes ir komponentus. Nenumatytais atvejais atnaujininimas gali būti atliekamas rankiniu būdu darbuotojų, atsakingų už kompiuterinės technikos priežiūrą (ne rečiau nei kartą per 14 dienų). MEPIS neturi veikti programinė įranga, kuri yra nesusijusi su MEPIS duomenų tvarkymu, MEPIS duomenų naudotojų ir pačios įrangos administravimu.

22. MEPIS neturi veikti programinė įranga, kuri yra nesusijusi su MEPIS duomenų tvarkymu, MEPIS duomenų naudotojų ir pačios įrangos administravimu.

23. MEPIS valdytojo darbo vietose programinę įrangą diegia ir šalina tik Tarnybos Registro strateginio vystymo ir saugos skyriaus darbuotojai arba atsakingi asmenys, kuriuos skiria Tarnybos direktorius.

24. Stacionarių darbo vietų kompiuterius leidžiama naudoti tik MEPIS tvarkytojų patalpose.

25. Dirbantys su MEPIS turi vadovautis „švaraus stalo“ politika:

25.1. nors ir trumpam paliekant darbo vietą reikia įjungti slaptažodžiu apsaugotą ekrano užsklandą;

25.2. baigus darbą reikia uždaryti programų langus ir išjungti kompiuterį;

25.3. baigus darbą nepalikti ant stalo dokumentų ir duomenų laikmenų, sudėti juos į stalčius, spintas ar lentynas;

25.4. dokumentai, kuriuose pateikiama ypatingai svarbi informacija, iš spausdintuvų turi būti išimami nedelsiant asmens, kuris inicijavo spausdinimą;

25.5. nebereikalingi svarbūs dokumentai turi būti ne išmetami, o sunaikinami dokumentų naikintuvu.

26. Išorinį kompiuterių tinklą, ugniasienes, įsilaužimų aptikimo sistemas administruoja ir prižiūri Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos.

27. Visi išorinių naudotojų prisijungimai prie MEPIS vyksta per ugniasienę, su duomenų baze per internetą dirbti gali tik tie išoriniai naudotojai, kurių IP (Internet Protocol) adresai yra patvirtinti Informatikos ir ryšių departamente prie Lietuvos Respublikos vidaus reikalų ministerijos.

28. MEPIS duomenų kopijos turi būti daromos MEPIS duomenų bazės administratoriaus esant aktyviai MEPIS duomenų bazei (MEPIS duomenų naudotojų prisijungimas prie duomenų bazės yra leidžiamas) automatiniu būdu administratoriaus nustatytu laiku. Juostų bibliotekoje saugomos MEPIS duomenų kopijos ir žurnalinės bylos, reikalingos duomenų atkūrimui.

IV. REIKALAVIMAI PERSONALUI

29. MEPIS administratorius ir saugos įgaliotinis, dirbantys Tarnyboje, privalo turėti atitinkamą kvalifikaciją ir patirtį dirbdami su Oracle duomenų bazių valdymo sistema, Oracle Forms programinėmis priemonėmis, elektroniniu paštu; turi būti susipažinę su Asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, pasirašę pasižadėjimą saugoti asmens duomenų paslaptį, nuolat kelti savo kvalifikaciją kvalifikacijos kėlimo kursuose, saugaus darbo su duomenimis seminaruose ir mokymuose, gilinti kompiuterines žinias. MEPIS duomenų centrinės bazės administratorius ir saugos įgaliotinis pagal pareigybės specialiuosius reikalavimus turi turėti ne mažesnę kaip 1 metų darbo patirtį, susijusią su duomenų bazių administravimu bei informacinių technologijų taikymu praktikoje.

30. MEPIS naudotojų, dirbančių Tarnyboje, mokymai vykdomi pagal patvirtintus darbuotojų informacijos saugos mokymo planus.

31. Saugos įgaliotinis įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų organizavimas, atmintinių naujai priimtiems darbuotojams rengimas).

V. MEPIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

32. MEPIS naudotojai privalo rūpintis MEPIS ir jame tvarkomos informacijos saugumu.

33. MEPIS naudotojus, dirbančius Tarnyboje, su saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina saugos įgaliotinis.

34. MEPIS naudotojai, pažeidę šių Nuostatų ar kitų saugos politiką reglamentuojančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2010-08-04 raštu Nr. 1D-6070 (6)

_________________