LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRO
ĮSAKYMAS
DĖL SERTIFIKATŲ VALDYMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2011 m. rugsėjo 19 d. Nr. 1V-698
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 6.1 ir 8 punktais:
2. Pavedu Informatikos ir ryšių departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos paskirti Sertifikatų valdymo informacinės sistemos saugos įgaliotinį.
3. Pavedu Lietuvos Respublikos vidaus reikalų ministerijos Elektroninės valdžios politikos skyriui iki 2012 m. sausio 15 d. teisės aktų nustatyta tvarka parengti ir pateikti tvirtinti Lietuvos Respublikos vidaus reikalų ministrui:
3.1. Sertifikatų valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;
PATVIRTINTA
Lietuvos Respublikos vidaus reikalų ministro
2011 m. rugsėjo 19 d. įsakymu Nr. 1V-698
SERTIFIKATŲ VALDYMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Sertifikatų valdymo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato Sertifikatų valdymo informacinės sistemos (toliau – SVIS) elektroninės informacijos (toliau – informacija) saugos politiką.
2. SVIS informacijos saugos politikos tikslas – užtikrinti SVIS informacijos konfidencialumą, vientisumą ir prieinamumą.
3. SVIS informacijos saugumui užtikrinti naudojamos organizacinės, techninės, programinės ir fizinės informacijos apsaugos priemonės.
4. SVIS informacijos saugumo užtikrinimo prioritetinės kryptys:
5. Saugos nuostatai taikomi:
5.1. SVIS valdytojui – Lietuvos Respublikos vidaus reikalų ministerijai, Šventaragio g. 2, LT-01510 Vilnius.
5.2. SVIS tvarkytojams:
5.2.1. Asmens dokumentų išrašymo centrui prie Vidaus reikalų ministerijos, Žirmūnų g. 1D, LT-09229 Vilnius;
5.2.2. Gyventojų registro tarnybai prie Lietuvos Respublikos vidaus reikalų ministerijos, A. Vivulskio g. 4A, LT-03220 Vilnius;
5.2.3. Informatikos ir ryšių departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos, Šventaragio g. 2, LT-01510 Vilnius;
6. SVIS valdytojo vadovas priima sprendimą dėl SVIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo, administratoriaus paskyrimo ir atlieka kitas Saugos nuostatų ir kitų teisės aktų nustatytas funkcijas.
7. Asmens dokumentų išrašymo centro prie Vidaus reikalų ministerijos vadovas užtikrina SVIS nuostatų 14 punkto įgyvendinimą.
8. Gyventojų registro tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos vadovas užtikrina SVIS nuostatų 12 punkto įgyvendinimą.
9. Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos vadovas užtikrina SVIS nuostatų 13 punkto įgyvendinimą.
11. Valstybės ir savivaldybių institucijų ir įstaigų vadovai užtikrina SVIS nuostatų 16 punkto įgyvendinimą.
12. SVIS saugos įgaliotinis:
12.1. įgyvendina SVIS informacijos saugos politiką ir atsako už Saugos nuostatų ir kitų saugos politiką įgyvendinančių dokumentų (toliau – saugos dokumentai) reikalavimų vykdymą;
12.2. organizuoja SVIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) priežiūrą, pažeidžiamų vietų nustatymą ir SVIS informacijos saugos priemonių parinkimą bei šių priemonių atitikties saugos dokumentų reikalavimams tikrinimą;
12.3. organizuoja kasmetinius ir neeilinius SVIS rizikos įvertinimus ir rengia SVIS rizikos įvertinimo ataskaitas;
12.4. teikia SVIS valdytojo vadovui pasiūlymus dėl:
12.4.1. SVIS administratoriaus skyrimo (SVIS saugos įgaliotinis negali atlikti administratorius funkcijų);
12.5. koordinuoja SVIS informacijos saugos incidentų tyrimą, išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės;
12.6. periodiškai inicijuoja SVIS naudotojų mokymą SVIS informacijos saugos klausimais, įvairiais būdais informuoja juos apie SVIS informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir panašiai);
12.7. atlieka kitas SVIS valdytojo vadovo pavestas ir Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), nustatytas saugos įgaliotinio funkcijas.
13. SVIS administratorius:
13.2. registruoja SVIS informacijos saugos incidentus ir informuoja apie juos SVIS saugos įgaliotinį, teikia SVIS valdytojui pasiūlymus dėl minėtų incidentų pašalinimo;
13.6. vykdo SVIS saugos įgaliotinio nurodymus ir pavedimus, susijusius su SVIS informacijos saugos užtikrinimu;
14. Tvarkant SVIS informaciją ir užtikrinant jos saugumą, vadovaujamasi:
14.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);
14.2. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais;
14.3. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);
14.4. Lietuvos standartu LST ISO/IEC 27001:2006 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;
15. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Valstybės informacinių sistemų steigimo ir įteisinimo taisyklėse, patvirtintose Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir kituose teisės aktuose.
II. SVIS INFORMACIJOS SAUGOS VALDYMAS
16. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), 3.2.1 punktu, SVIS priskiriama antrosios kategorijos informacinėms sistemoms.
17. SVIS saugos įgaliotinis kiekvienų metų sausio mėnesį organizuoja SVIS informacinių technologijų saugos reikalavimų atitikties vertinimą, kurio metu:
17.2. inventorizuojama SVIS techninė įranga ir patikrinamos visose SVIS tarnybinėse stotyse įdiegtos programos ir jų sąranka;
17.3. patikrinama (įvertinama) SVIS administratoriui ir SVIS naudotojams suteiktų teisių atitiktis jų vykdomoms funkcijoms;
18. Atlikus SVIS informacinių technologijų saugos reikalavimų atitikties vertinimą SVIS saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato SVIS valdytojo vadovas.
19. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuoja SVIS rizikos įvertinimą.
20. SVIS rizikos įvertinimas išdėstomas SVIS rizikos įvertinimo ataskaitoje. Ši ataskaita rengiama atsižvelgiant į Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų 31 punkte nustatytus rizikos veiksnius.
21. Atsižvelgdamas į SVIS rizikos įvertinimo ataskaitą, SVIS valdytojas prireikus tvirtina SVIS rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomos SVIS rizikos valdymo priemonės bei techninių, administracinių ir kitų išteklių poreikis joms įgyvendinti, bei paskiria šių priemonių atsakingus vykdytojus ir nustato šių priemonių įgyvendinimo terminus.
22. Saugos nuostatų 23 punkte nurodytais, o prireikus ir kitais atvejais, SVIS saugos įgaliotinis gali organizuoti neeilinį SVIS rizikos įvertinimą.
23. Neeilinis SVIS rizikos įvertinimas organizuojamas, kai:
III. SVIS Organizaciniai ir techniniai reikalavimai
26. Kiekvienas SVIS naudotojas turi būti identifikuojamas unikaliai – SVIS naudotojo tapatybė patvirtinama slaptažodžiu arba kitomis autentiškumo patvirtinimo priemonėmis.
27. SVIS naudotojai, pastebėję saugos dokumentų pažeidimų, neveikiančias arba netinkamai veikiančias SVIS informacijos saugos užtikrinimo priemones, ar nusikalstamos veikos požymių, privalo nedelsdami apie tai telefonu ar elektroniniu paštu pranešti SVIS administratoriui.
28. SVIS nepertraukiama veikla užtikrinama:
29. Programinė įranga, skirta apsaugoti SVIS nuo kenksmingos programinės įrangos (virusų, šnipinėjimui skirtos programinės įrangos ir pan.) privalo:
29.2. apsaugoti nuo naujausios šnipinėjimui skirtos programinės įrangos ir kitų kenkėjiškų programų;
31. SVIS tarnybinės stotys nuo išorinio tinklo yra atskirtos aparatinėmis tinklo užkardomis, kurias administruoja ir prižiūri SVIS administratorius.
32. SVIS atsarginės duomenų kopijos turi būti daromos esant aktyviai SVIS duomenų bazei (SVIS naudotojų prisijungimas prie SVIS duomenų bazės yra leidžiamas) automatiniu būdu SVIS administratoriaus nustatytu laiku.
33. Siekiant išvengti SVIS atsarginių duomenų kopijų neteisėto panaudojimo, SVIS atsarginės duomenų kopijos turi būti šifruojamos arba naudojamos kitos ekvivalenčios apsaugos priemonės.
34. SVIS elektroninės informacijos atkūrimo išbandymą bent kartą per metus atlieka SVIS administratorius. Šio bandymo metu SVIS duomenys atkuriami taip, kaip jie būtų atkuriami tuo atveju, jei būtų netikėtai prarasti. Bandymo metu atkurti SVIS duomenys turi būti nuodugniai patikrinti ir įvertinti, siekiant įsitikinti, kad bandymas buvo užbaigtas ir sėkmingas.
35. Išorės vartotojams SVIS teikia tik viešą informaciją. Atsakymų į automatizuotas sertifikatų galiojimo užklausas vientisumą užtikrina atsakymuose naudojamas elektroninis parašas. Iš SVIS duomenų teikėjų ir SVIS duomenų šaltinių gaunamų duomenų vientisumas užtikrinamas naudojant viešojo rakto infrastruktūros priemones, leidžiančias vienareikšmiškai autentifikuoti SVIS gaunamus duomenis teikiančias kitų informacinių sistemų tarnybines stotis.
IV. Reikalavimai personalui
36. SVIS naudotojai privalo išmanyti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą ir kitus teisės aktus, reglamentuojančius asmens duomenų tvarkymą.
37. SVIS saugos įgaliotiniu gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis informacijos saugos užtikrinimo principus.
38. SVIS administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. SVIS administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.
V. SVIS naudotojų SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
40. SVIS informaciją gali tvarkyti tik SVIS naudotojai, susipažinę su saugos dokumentais ir raštu sutikę laikytis šių dokumentų reikalavimų. SVIS naudotojus su saugos dokumentais bei atsakomybe už jų nuostatų pažeidimus supažindina SVIS saugos įgaliotinis.
VI. Baigiamosios nuostatos