LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRO
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS CIVILINIŲ ORLAIVIŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO, SAUGOS ĮGALIOTINIO IR SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ RENGĖJO PASKYRIMO
2011 m. kovo 25 d. Nr. 3-169
Vilnius
Vadovaudamasis Lietuvos Respublikos valstybės registrų įstatymo (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488) 20 straipsnio 3 dalimi, Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6.1 ir 8 punktais ir atsižvelgdamas į Saugos dokumentų turinio gaires, patvirtintas Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techninius saugos reikalavimus, patvirtintus Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866), ir Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gaires, patvirtintas Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160):
2. Pavedu Civilinės aviacijos administracijai:
2.2. ne vėliau kaip per 2 mėnesius nuo šio įsakymo įsigaliojimo dienos parengti ir pateikti Lietuvos Respublikos susisiekimo ministrui tvirtinti Lietuvos Respublikos civilinių orlaivių registro elektroninės informacijos saugaus tvarkymo taisykles, Lietuvos Respublikos civilinių orlaivių registro veiklos tęstinumo valdymo planą ir Lietuvos Respublikos civilinių orlaivių registro naudotojų administravimo taisykles.
3. Pripažįstu netekusiu galios Lietuvos Respublikos susisiekimo ministro 2006 m. sausio 31 d. įsakymą Nr. 3-38 „Dėl Lietuvos Respublikos civilinių orlaivių registro duomenų saugos nuostatų ir registro veikimo schemos patvirtinimo“ (Žin., 2006, Nr. 15-540).
PATVIRTINTA
Lietuvos Respublikos susisiekimo
ministro 2011 m. kovo 25 d.
įsakymu Nr. 3-169
LIETUVOS RESPUBLIKOS CIVILINIŲ ORLAIVIŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos civilinių orlaivių registro duomenų saugos nuostatai (toliau – nuostatai) nustato organizacines, technines ir kitas priemones, suteikiančias galimybę saugiai rinkti, apdoroti, kaupti, saugoti ir tvarkyti Lietuvos Respublikos civilinių orlaivių registro (toliau – Registras) objektų – civilinių ir nekarinių valstybės orlaivių ir jų savininkų (naudotojų) duomenis, juos teikti kitiems registrams, informacinėms sistemoms, suinteresuotiems juridiniams ir fiziniams asmenims.
2. Šie nuostatai parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866), ir Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160).
3. Šių nuostatų tikslas – užtikrinti Registro duomenų elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų ir tinklo įrangos funkcionavimą. Registro duomenų saugumui užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo ir saugos priemonių projektavimo ir diegimo principus.
4. Šiuose nuostatuose vartojamos sąvokos atitinka sąvokas, nustatytas šių nuostatų 2 punkte minimuose teisės aktuose ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 17799:2006 ir LST ISO/IEC 27001:2006.
5. Šie nuostatai privalomi visiems už Registro duomenų tvarkymą atsakingiems asmenims, saugos įgaliotiniui ir administratoriui.
6. Šie nuostatai nustato Registro saugos politiką (toliau – saugos politika), kuri įgyvendinama pagal Lietuvos Respublikos civilinių orlaivių registro elektroninės informacijos saugaus tvarkymo taisykles, Lietuvos Respublikos civilinių orlaivių registro veiklos tęstinumo valdymo planą, Lietuvos Respublikos civilinių orlaivių registro naudotojų administravimo taisykles, kitus teisės aktus, reglamentuojančius Registro duomenų tvarkymo teisėtumą ir saugos valdymą.
7. Saugos politika vykdoma šiomis prioritetinėmis kryptimis:
7.2. prieigos prie Registro duomenų teisių suteikimas ir duomenų vartotojo tapatumo identifikavimas;
8. Registre tvarkomų asmens duomenų valdytoja (vadovaujančioji Registro tvarkymo įstaiga) yra Lietuvos Respublikos susisiekimo ministerija (toliau – Susisiekimo ministerija), kurios buveinės adresas – Gedimino pr. 17, Vilnius. Registre tvarkomų asmens duomenų tvarkytoja (Registro tvarkymo įstaiga) yra Civilinės aviacijos administracija (toliau – CAA), kurios buveinės adresas – Rodūnios kelias 2, Vilnius. CAA Registro duomenis tvarko pagal Lietuvos Respublikos civilinių orlaivių registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2004 m. gruodžio 30 d. nutarimu Nr. 1680 (Žin., 2005, Nr. 1-5), reikalavimus.
II. REGISTRO ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
9. Registras priskiriamas antrajai informacinių sistemų kategorijai pagal Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), 3.2.6 punktą.
10. Registro saugos priemonės parenkamos įvertinus galimus rizikos veiksnius Registro duomenų vientisumui ir prieinamumui.
11. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ standartus, kasmet organizuoja Registro rizikos vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį Registro rizikos vertinimą.
12. Registro rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgus į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausi rizikos veiksniai yra šie:
12.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
12.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Registro duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kt.);
13. Atsižvelgdama į rizikos įvertinimo ataskaitą, Susisiekimo ministerija, jei prireikia, tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
14. Rizikos veiksnių Registro duomenims, techninei, programinei įrangai, registravimo dokumentams vertinti CAA naudojama penkiabalė rizikos veiksnių faktorių ir žalos vertinimo metodika:
15. Siekiant užtikrinti šiuose nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose numatytą kontrolę, ne rečiau kaip kartą per metus organizuojamas informacinių technologijų saugos atitikties vertinimas, kurio metu:
15.1. įvertinama šių nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų ir realios informacijos saugos atitiktis;
15.3. tikrinama visose CAA tarnybinėse stotyse, administratoriaus ir Registro naudotojų kompiuterinėse darbo vietose įdiegta programinė įranga ir jos sąranka;
15.4. peržiūrima administratoriui ir Registro naudotojams suteiktų teisių atitiktis jų vykdomoms funkcijoms;
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
17. Registro duomenų saugumui užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės Registro tvarkymo įstaigos vadovo nustatyta tvarka, kurios teisinį pagrindą sudaro šie dokumentai: Lietuvos Respublikos civilinių orlaivių registro elektroninės informacijos saugaus tvarkymo taisyklės, Lietuvos Respublikos civilinių orlaivių registro veiklos tęstinumo valdymo planas, Lietuvos Respublikos civilinių orlaivių registro naudotojų administravimo taisyklės, Saugaus darbo kompiuteriu (informacijai apsaugoti) instrukcija.
18. Registro tvarkymo įstaigos vadovas:
18.2. atsako už Registro saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams ir šiems nuostatams;
18.3. paskiria saugos įgaliotinį ir paveda jam organizuoti ir kontroliuoti saugos politiką reglamentuojančių teisės aktų įgyvendinimą CAA;
18.4. paskiria administratorių ir jam paveda užtikrinti Registro tarnybinės stoties ir Registro naudotojų kompiuterinių darbo vietų programinės įrangos tinkamą veikimą, priežiūrą ir kontrolę, administruoti Registro duomenų bazę šių nuostatų ir kitų saugumo politiką reglamentuojančių teisės aktų nustatyta tvarka;
19. Saugos įgaliotinis:
19.2. teikia Registro tvarkymo įstaigos vadovui pasiūlymus dėl:
19.4. pasirašytinai supažindina administratorių, Registro naudotojus su šiais nuostatais ir saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą;
19.5. organizuoja administratoriaus ir Registro naudotojų kvalifikacijos tobulinimą duomenų saugos klausimais, reguliariai jiems primena saugumo problemas (elektroniniu paštu, atmintinėse naujai priimtiems darbuotojams ir kt.);
19.7. atsako už Registro saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams;
20. Administratorius:
20.2. įvertina Registro naudotojų pasirengimą dirbti su Registru ir suteikia Registro naudotojams teisę naudotis Registro galimybėmis paskirtoms funkcijoms atlikti;
20.4. administruoja Registrą sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų ir kt.) veikimą, nustato pažeidžiamas vietas ir saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams;
20.5. registruoja elektroninės informacijos saugos incidentus, apie juos informuoja saugos įgaliotinį ir teikia dėl jų pasiūlymus;
21. Registro tvarkymo įstaigos vadovas paskiria Registro naudotojus, jiems paveda tvarkyti Registro duomenis, užtikrina Registro duomenų saugą atitinkamų teisės aktų nustatyta tvarka.
22. Registro duomenų sauga užtikrinama vadovaujantis Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488), Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Lietuvos standartu LST ISO/IEC 17799:2005, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ standartais, šiais nuostatais, Lietuvos Respublikos civilinių orlaivių registro elektroninės informacijos saugaus tvarkymo taisyklėmis, Lietuvos Respublikos civilinių orlaivių registro veiklos tęstinumo valdymo planu, Lietuvos Respublikos civilinių orlaivių registro naudotojų administravimo taisyklėmis, kitais teisės aktais, reglamentuojančiais saugų Registro duomenų tvarkymą.
23. Registro naudotojų darbo su Registro duomenimis ir registravimo dokumentais tvarka nurodyta Lietuvos Respublikos civilinių orlaivių registro nuostatuose.
24. Registro duomenims apsaugoti nuo kenksmingos programinės įrangos CAA naudojama antivirusinė programinė priemonė.
25. Registro objektų duomenims saugiai rinkti, apdoroti, kaupti, saugoti, teikti kitiems registrams, informacinėms sistemoms, suinteresuotiems juridiniams ir fiziniams asmenims CAA naudojamos programinės ir techninės įrangos naudojimą ribojančios pagrindinės priemonės, kuriose:
25.2. realizuota Registro naudotojams prieigos prie Registro duomenų galimybė tik per registravimosi ir slaptažodžių sistemą;
25.3. realizuota galimybė Registro naudotojams ne rečiau kaip kartą per 3 mėnesius atnaujinti slaptažodžius;
25.4. CAA vidaus tinklas atskirtas nuo viešųjų telekomunikacinių tinklų naudojant ugniasienę (užkardą);
25.5. realizuota galimybė nustatyti prieigos prie Registro duomenų autorius, fiksuoti jų atliktus veiksmus ir juos kaupti;
26. Saugos įgaliotinis ir administratorius organizuoja Registro programinės, techninės įrangos naudojimą ribojančių priemonių įgyvendinimą.
27. Registro duomenys laikomi tik stacionariuose atitinkamų darbo vietų kompiuteriuose. Bet kokia prieiga prie Registro duomenų iš nešiojamųjų kompiuterių yra draudžiama. Kompiuteriuose esanti informacija apsaugota operacinės sistemos ir vartotojo vardu bei slaptažodžiu. Kompiuteriuose negali būti jokios svarbios informacijos, išskyrus Registro naudotojo naudojamus darbo dokumentus. Registro duomenys iš kompiuterio pasiekiami tik naudojant CAA vidaus tinklą.
28. Registrui administruoti naudojamas tarnybinių stočių operacines sistemas, techninę ir programinę įrangą, reikalingą Registro naudotojo funkcijoms vykdyti, diegia ir prižiūri tik administratorius.
30. Už atsarginių Registro duomenų kopijų kūrimo periodiškumą ir saugojimą atsako administratorius. Registro duomenų kopijų saugojimo priemonės, būdai ir vieta, kopijų atkūrimo tvarka, naikinimo tvarka ir asmens, atsakingo už Registro duomenų kopijų kūrimą, saugojimą, atkūrimą, sunaikinimą, teisės ir pareigos išdėstytos Lietuvos Respublikos civilinių orlaivių registro elektroninės informacijos saugaus tvarkymo taisyklėse.
IV. REIKALAVIMAI PERSONALUI
31. Registro objektų duomenis saugiai rinkti, apdoroti, sisteminti, kaupti, saugoti ir teikti kitiems registrams, informacinėms sistemoms, suinteresuotiems juridiniams ir fiziniams asmenims, kitiems duomenų vartotojams gali asmenys, susipažinę su Lietuvos Respublikos civilinių orlaivių registro nuostatais, registrų ir informacinių sistemų saugumo politiką reglamentuojančiais teisės aktais.
32. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis atitinkamais reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais Registro duomenų tvarkymą, standartais ir kitais dokumentais ir būti susipažinęs su esminiais reikalavimais, gebėti prižiūrėti, kaip įgyvendinama saugos politika.
33. Administratorius privalo išmanyti informacijos saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, taip pat administruoti, prižiūrėti registrų ir informacinių sistemų duomenų bazes, būti susipažinęs su šiais nuostatais ir saugos politiką įgyvendinančiais teisės aktais, taip pat kitomis vidaus ir darbo saugos taisyklėmis.
34. Registro naudotojai turi turėti atitinkamą kvalifikaciją (informacinių technologijų vartotojų kvalifikacijos kursai, pradinis saugaus darbo su duomenimis mokymas, Europos kompiuterio vartotojo pažymėjimas (ECDL) ar kt.) ir patirties dirbant su atitinkamomis operacinėmis sistemomis, taikomosiomis programomis ir kt.
35. Tvarkyti Registro duomenis gali tik Registro naudotojai, pasirašytinai susipažinę su saugos politiką įgyvendinančiais teisės aktais.
36. Registro naudotojams 1 kartą per metus pateikiamos darbo su Registru instrukcijos. Už instrukcijų pateikimą atsakingas saugos įgaliotinis.
38. Esant elektroninės informacijos saugos incidentui, nenumatytai situacijai, saugos įgaliotinio, administratoriaus, Registro naudotojų veiksmus reglamentuoja Registro veiklos tęstinumo valdymo planas.
39. Saugos įgaliotinis periodiškai inicijuoja Registro naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problemas (priminimai elektroniniu paštu, pagal poreikį organizuojami susitikimai su Registro naudotojais, atmintinės naujai priimtiems darbuotojams).
V. REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS TVARKA
40. Registro naudotojų supažindinimą pasirašytinai su šiais nuostatais ar jų pakeitimais ir kitais saugos politiką reglamentuojančiais dokumentais organizuoja saugos įgaliotinis.
41. Saugos įgaliotinis reguliariai įvairiais būdais informuoja Registro naudotojus apie informacijos saugos problemas.
VI. BAIGIAMOSIOS NUOSTATOS
43. Šie nuostatai ir kiti saugos politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus. Saugos dokumentai turi būti peržiūrimi po rizikos analizės ar informacinių technologijų saugos atitikties vertinimo atlikimo arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Prireikus saugos dokumentai turi būti tikslinami ir derinami su Lietuvos Respublikos vidaus reikalų ministerija.
44. CAA privalo įgyvendinti šiuose nuostatuose ir kituose teisės aktuose, reglamentuojančiuose Registro duomenų saugų tvarkymą, nustatytas organizacines, technines ir kitas priemones.
45. Duomenys apie Registro naudotojų, administratoriaus atliktus veiksmus su Registro duomenimis saugomi neterminuotai.
46. Registro naudotojai raštu įsipareigoja nepažeisti šių nuostatų ir kitų teisės aktų, reglamentuojančių Registro duomenų saugų tvarkymą.