LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRO

 

ĮSAKYMAS

DĖL SERTIFIKATŲ VALDYMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2011 m. rugsėjo 19 d. Nr. 1V-698

Vilnius

 

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 6.1 ir 8 punktais:

1. Tvirtinu Sertifikatų valdymo informacinės sistemos duomenų saugos nuostatus (pridedama).

2. Pavedu Informatikos ir ryšių departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos paskirti Sertifikatų valdymo informacinės sistemos saugos įgaliotinį.

3. Pavedu Lietuvos Respublikos vidaus reikalų ministerijos Elektroninės valdžios politikos skyriui iki 2012 m. sausio 15 d. teisės aktų nustatyta tvarka parengti ir pateikti tvirtinti Lietuvos Respublikos vidaus reikalų ministrui:

3.1. Sertifikatų valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;

3.2. Sertifikatų valdymo informacinės sistemos veiklos tęstinumo valdymo planą;

3.3. Sertifikatų valdymo informacinės sistemos naudotojų administravimo taisykles.

 

 

 

Vidaus reikalų ministras                                                 Raimundas Palaitis

PATVIRTINTA

Lietuvos Respublikos vidaus reikalų ministro

2011 m. rugsėjo 19 d. įsakymu Nr. 1V-698

 

SERTIFIKATŲ VALDYMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Sertifikatų valdymo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato Sertifikatų valdymo informacinės sistemos (toliau – SVIS) elektroninės informacijos (toliau – informacija) saugos politiką.

2. SVIS informacijos saugos politikos tikslas – užtikrinti SVIS informacijos konfidencialumą, vientisumą ir prieinamumą.

3. SVIS informacijos saugumui užtikrinti naudojamos organizacinės, techninės, programinės ir fizinės informacijos apsaugos priemonės.

4. SVIS informacijos saugumo užtikrinimo prioritetinės kryptys:

4.1. SVIS tvarkymo kontrolė;

4.2. SVIS paslaugų ir naudojimosi SVIS duomenimis kontrolės užtikrinimas;

4.3. SVIS duomenims tvarkyti naudojamos techninės ir programinės įrangos kontrolė.

5. Saugos nuostatai taikomi:

5.1. SVIS valdytojui – Lietuvos Respublikos vidaus reikalų ministerijai, Šventaragio g. 2, LT-01510 Vilnius.

5.2. SVIS tvarkytojams:

5.2.1. Asmens dokumentų išrašymo centrui prie Vidaus reikalų ministerijos, Žirmūnų g. 1D, LT-09229 Vilnius;

5.2.2. Gyventojų registro tarnybai prie Lietuvos Respublikos vidaus reikalų ministerijos, A. Vivulskio g. 4A, LT-03220 Vilnius;

5.2.3. Informatikos ir ryšių departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos, Šventaragio g. 2, LT-01510 Vilnius;

5.2.4. teritorinėms policijos įstaigoms;

5.2.5. valstybės ir savivaldybių institucijoms ir įstaigoms.

6. SVIS valdytojo vadovas priima sprendimą dėl SVIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo, administratoriaus paskyrimo ir atlieka kitas Saugos nuostatų ir kitų teisės aktų nustatytas funkcijas.

7. Asmens dokumentų išrašymo centro prie Vidaus reikalų ministerijos vadovas užtikrina SVIS nuostatų 14 punkto įgyvendinimą.

8. Gyventojų registro tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos vadovas užtikrina SVIS nuostatų 12 punkto įgyvendinimą.

9. Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos vadovas užtikrina SVIS nuostatų 13 punkto įgyvendinimą.

10. Teritorinių policijos įstaigų vadovai užtikrina SVIS nuostatų 15 punkto įgyvendinimą.

11. Valstybės ir savivaldybių institucijų ir įstaigų vadovai užtikrina SVIS nuostatų 16 punkto įgyvendinimą.

12. SVIS saugos įgaliotinis:

12.1. įgyvendina SVIS informacijos saugos politiką ir atsako už Saugos nuostatų ir kitų saugos politiką įgyvendinančių dokumentų (toliau – saugos dokumentai) reikalavimų vykdymą;

12.2. organizuoja SVIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) priežiūrą, pažeidžiamų vietų nustatymą ir SVIS informacijos saugos priemonių parinkimą bei šių priemonių atitikties saugos dokumentų reikalavimams tikrinimą;

12.3. organizuoja kasmetinius ir neeilinius SVIS rizikos įvertinimus ir rengia SVIS rizikos įvertinimo ataskaitas;

12.4. teikia SVIS valdytojo vadovui pasiūlymus dėl:

12.4.1. SVIS administratoriaus skyrimo (SVIS saugos įgaliotinis negali atlikti administratorius funkcijų);

12.4.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

12.4.3. SVIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

12.5. koordinuoja SVIS informacijos saugos incidentų tyrimą, išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės;

12.6. periodiškai inicijuoja SVIS naudotojų mokymą SVIS informacijos saugos klausimais, įvairiais būdais informuoja juos apie SVIS informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir panašiai);

12.7. atlieka kitas SVIS valdytojo vadovo pavestas ir Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), nustatytas saugos įgaliotinio funkcijas.

13. SVIS administratorius:

13.1. pagal kompetenciją užtikrina SVIS informacijos konfidencialumą, vientisumą ir prieinamumą;

13.2. registruoja SVIS informacijos saugos incidentus ir informuoja apie juos SVIS saugos įgaliotinį, teikia SVIS valdytojui pasiūlymus dėl minėtų incidentų pašalinimo;

13.3. sukuria ar panaikina SVIS naudotojų teises, reikalingas numatytoms funkcijoms atlikti;

13.4. daro atsargines SVIS duomenų kopijas bei jas archyvuoja;

13.5. tikrina SVIS sąranką ir jos būsenos rodiklius;

13.6. vykdo SVIS saugos įgaliotinio nurodymus ir pavedimus, susijusius su SVIS informacijos saugos užtikrinimu;

13.7. atlieka kitas teisės aktuose nustatytas administratoriaus funkcijas.

14. Tvarkant SVIS informaciją ir užtikrinant jos saugumą, vadovaujamasi:

14.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

14.2. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais;

14.3. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);

14.4. Lietuvos standartu LST ISO/IEC 27001:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;

14.5. SVIS saugaus elektroninės informacijos tvarkymo taisyklėmis;

14.6. SVIS veiklos tęstinumo valdymo planu;

14.7. SVIS naudotojų administravimo taisyklėmis;

14.8. kitais teisės aktais.

15. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Valstybės informacinių sistemų steigimo ir įteisinimo taisyklėse, patvirtintose Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir kituose teisės aktuose.

 

II. SVIS INFORMACIJOS SAUGOS VALDYMAS

 

16. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), 3.2.1 punktu, SVIS priskiriama antrosios kategorijos informacinėms sistemoms.

17. SVIS saugos įgaliotinis kiekvienų metų sausio mėnesį organizuoja SVIS informacinių technologijų saugos reikalavimų atitikties vertinimą, kurio metu:

17.1. įvertinama saugos dokumentų ir realios informacijos saugos situacijos atitiktis;

17.2. inventorizuojama SVIS techninė įranga ir patikrinamos visose SVIS tarnybinėse stotyse įdiegtos programos ir jų sąranka;

17.3. patikrinama (įvertinama) SVIS administratoriui ir SVIS naudotojams suteiktų teisių atitiktis jų vykdomoms funkcijoms;

17.4. įvertinamas pasirengimas užtikrinti SVIS veiklos tęstinumą įvykus SVIS informacijos saugos incidentui.

18. Atlikus SVIS informacinių technologijų saugos reikalavimų atitikties vertinimą SVIS saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato SVIS valdytojo vadovas.

19. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuoja SVIS rizikos įvertinimą.

20. SVIS rizikos įvertinimas išdėstomas SVIS rizikos įvertinimo ataskaitoje. Ši ataskaita rengiama atsižvelgiant į Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų 31 punkte nustatytus rizikos veiksnius.

21. Atsižvelgdamas į SVIS rizikos įvertinimo ataskaitą, SVIS valdytojas prireikus tvirtina SVIS rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomos SVIS rizikos valdymo priemonės bei techninių, administracinių ir kitų išteklių poreikis joms įgyvendinti, bei paskiria šių priemonių atsakingus vykdytojus ir nustato šių priemonių įgyvendinimo terminus.

22. Saugos nuostatų 23 punkte nurodytais, o prireikus ir kitais atvejais, SVIS saugos įgaliotinis gali organizuoti neeilinį SVIS rizikos įvertinimą.

23. Neeilinis SVIS rizikos įvertinimas organizuojamas, kai:

23.1. įvyksta esminiai pokyčiai SVIS techninėje ar programinėje įrangoje;

23.2. paaiškėja naujos tendencijos informacinių technologijų saugos srityje;

23.3. įvyksta SVIS informacijos saugos incidentas.

24. Parenkant SVIS informacijos saugos priemones turi būti atsižvelgiama į Lietuvos standarto LST ISO/IEC 27002:2009 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas“ rekomendacijas.

 

III. SVIS Organizaciniai ir techniniai reikalavimai

 

25. SVIS veikimui užtikrinti naudojamas Vidaus reikalų telekomunikacinis tinklas.

26. Kiekvienas SVIS naudotojas turi būti identifikuojamas unikaliai – SVIS naudotojo tapatybė patvirtinama slaptažodžiu arba kitomis autentiškumo patvirtinimo priemonėmis.

27. SVIS naudotojai, pastebėję saugos dokumentų pažeidimų, neveikiančias arba netinkamai veikiančias SVIS informacijos saugos užtikrinimo priemones, ar nusikalstamos veikos požymių, privalo nedelsdami apie tai telefonu ar elektroniniu paštu pranešti SVIS administratoriui.

28. SVIS nepertraukiama veikla užtikrinama:

28.1. naudojant pagrindinę ir rezervinę techninę įrangą;

28.2. naudojant nenutrūkstamo maitinimo šaltinius, kurie užtikrina SVIS veikimą nutrūkus elektros energijos tiekimui.

29. Programinė įranga, skirta apsaugoti SVIS nuo kenksmingos programinės įrangos (virusų, šnipinėjimui skirtos programinės įrangos ir pan.) privalo:

29.1. turėti realaus laiko apsaugą;

29.2. apsaugoti nuo naujausios šnipinėjimui skirtos programinės įrangos ir kitų kenkėjiškų programų;

29.3. būti kasdien automatiškai atnaujinama.

30. SVIS neturi veikti programinė įranga, kuri nėra susijusi su SVIS informacijos tvarkymu.

31. SVIS tarnybinės stotys nuo išorinio tinklo yra atskirtos aparatinėmis tinklo užkardomis, kurias administruoja ir prižiūri SVIS administratorius.

32. SVIS atsarginės duomenų kopijos turi būti daromos esant aktyviai SVIS duomenų bazei (SVIS naudotojų prisijungimas prie SVIS duomenų bazės yra leidžiamas) automatiniu būdu SVIS administratoriaus nustatytu laiku.

33. Siekiant išvengti SVIS atsarginių duomenų kopijų neteisėto panaudojimo, SVIS atsarginės duomenų kopijos turi būti šifruojamos arba naudojamos kitos ekvivalenčios apsaugos priemonės.

34. SVIS elektroninės informacijos atkūrimo išbandymą bent kartą per metus atlieka SVIS administratorius. Šio bandymo metu SVIS duomenys atkuriami taip, kaip jie būtų atkuriami tuo atveju, jei būtų netikėtai prarasti. Bandymo metu atkurti SVIS duomenys turi būti nuodugniai patikrinti ir įvertinti, siekiant įsitikinti, kad bandymas buvo užbaigtas ir sėkmingas.

35. Išorės vartotojams SVIS teikia tik viešą informaciją. Atsakymų į automatizuotas sertifikatų galiojimo užklausas vientisumą užtikrina atsakymuose naudojamas elektroninis parašas. Iš SVIS duomenų teikėjų ir SVIS duomenų šaltinių gaunamų duomenų vientisumas užtikrinamas naudojant viešojo rakto infrastruktūros priemones, leidžiančias vienareikšmiškai autentifikuoti SVIS gaunamus duomenis teikiančias kitų informacinių sistemų tarnybines stotis.

 

IV. Reikalavimai personalui

 

36. SVIS naudotojai privalo išmanyti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą ir kitus teisės aktus, reglamentuojančius asmens duomenų tvarkymą.

37. SVIS saugos įgaliotiniu gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis informacijos saugos užtikrinimo principus.

38. SVIS administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. SVIS administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.

39. SVIS naudotojų mokymai vykdomi ne rečiau kaip kartą per dvejus metus pagal SVIS saugos įgaliotinio parengtą mokymų planą.

 

V. SVIS naudotojų SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

40. SVIS informaciją gali tvarkyti tik SVIS naudotojai, susipažinę su saugos dokumentais ir raštu sutikę laikytis šių dokumentų reikalavimų. SVIS naudotojus su saugos dokumentais bei atsakomybe už jų nuostatų pažeidimus supažindina SVIS saugos įgaliotinis.

41. SVIS naudotojų supažindinimo su saugos dokumentais tvarka yra nustatoma SVIS naudotojų administravimo taisyklėse.

 

VI. Baigiamosios nuostatos

 

42. SVIS naudotojai, pažeidę saugos dokumentų nuostatas, atsako įstatymų nustatyta tvarka.

_________________