LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTRO
Į S A K Y M A S
DĖL SUPIRKĖJŲ DUOMENŲ APDOROJIMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2012 m. rugpjūčio 13 d. Nr. 3D-665
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 6.1 ir 8 punktais,
1. Tvirtinu Supirkėjų duomenų apdorojimo informacinės sistemos duomenų saugos nuostatus (pridedama).
2. Pavedu:
2.1. valstybės įmonei Žemės ūkio informacijos ir kaimo verslo centrui paskirti Supirkėjų duomenų apdorojimo informacinės sistemos saugos įgaliotinį;
2.2. saugos įgaliotiniui per 5 mėnesius nuo šio įsakymo įsigaliojimo datos parengti:
2.2.1. Supirkėjų duomenų apdorojimo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių projektą;
Žemės ūkio ministras Kazys Starkevičius
SUDERINTA
Lietuvos Respublikos vidaus reikalų ministerijos
2012-07-17 raštu Nr. 1D-4834 (52)
PATVIRTINTA
Lietuvos Respublikos žemės ūkio ministro
2012 m. rugpjūčio 13 d. įsakymu Nr. 3D-665
SUPIRKĖJŲ DUOMENŲ APDOROJIMO INFORMACINĖS SISTEMOS
DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Supirkėjų duomenų apdorojimo informacinės sistemos duomenų saugos nuostatai (toliau – saugos nuostatai) reglamentuoja Supirkėjų duomenų apdorojimo informacinės sistemos (toliau – SDAIS) saugos politiką.
2. Šiuose saugos nuostatuose vartojamos sąvokos:
SDAIS naudotojas – valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis SDAIS ištekliais numatytoms funkcijoms atlikti.
Kitos šiuose saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (Žin., 2011, Nr. 163-7739), Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Valstybės informacinių sistemų steigimo ir įteisinimo taisyklėse, patvirtintose Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), kituose teisės aktuose ir Lietuvos Respublikos standartuose LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006.
3. SDAIS tvarkomos informacijos saugumo tikslas – sudaryti sąlygas saugiai automatizuotu būdu saugoti ir tvarkyti SDAIS duomenis, užtikrinti duomenų konfidencialumą, vientisumą ir prieinamumą.
5. Elektroninės SDAIS duomenų saugos užtikrinimo prioritetinės kryptys:
6. Saugos nuostatai taikomi:
6.1. SDAIS valdytojui – Lietuvos Respublikos žemės ūkio ministerijai, Gedimino pr. 19, LT-01103 Vilnius;
6.2. SDAIS tvarkytojui – valstybės įmonei Žemės ūkio informacijos ir kaimo verslo centras, V. Kudirkos g. 18, LT-03105 Vilnius;
7. SDAIS valdytojo vadovo funkcijos ir atsakomybė:
7.1. rengia ir priima teisės aktus, užtikrinančius SDAIS duomenų tvarkymo teisėtumą ir SDAIS duomenų saugą, atlieka jų nuostatų laikymosi priežiūrą;
7.2. analizuoja gaunamus pasiūlymus dėl SDAIS duomenų saugos, juos apibendrina ir priima sprendimus dėl SDAIS tobulinimo;
7.3. vadovauja SDAIS tvarkytojo veiklai, kuriant ir diegiant SDAIS, taip pat užtikrina SDAIS veikimą, tobulinimą ir duomenų saugą;
8. SDAIS tvarkytojo vadovo funkcijos ir atsakomybė:
8.2. pagal kompetenciją atsako už informacijos saugą, užtikrina SDAIS taikomajai programinei įrangai, tarnybinėms stotims ir jose esantiems duomenims funkcionuoti būtinos informacinių technologijų infrastruktūros (toliau – serverių sritis) saugą ir naudotojų kompiuterinės įrangos bei jos funkcionavimui būtinos informacinių technologijų infrastruktūros (toliau – klientų sritis) saugą;
9. SDAIS saugos įgaliotinio funkcijos ir atsakomybė:
9.1. teikia SDAIS tvarkytojo vadovui pasiūlymus dėl:
9.4. pasirašytinai, SDAIS tvarkytojo nustatyta tvarka, supažindina SDAIS tvarkytojo darbuotojus, SDAIS administratorių ir SDAIS naudotojus su saugos nuostatais, saugos dokumentų reikalavimais ir jų atsakomybe už reikalavimų nesilaikymą bei teisės aktais, nurodytais saugos nuostatų 12 punkte, kuriais vadovaujamasi tvarkant elektroninę informaciją užtikrinant jos saugumą;
9.6. atsako už SDAIS rizikos vertinimo atlikimo organizavimą, rizikos įvertinimo ir rizikos valdymo priemonių plano parengimą;
9.8. atsako už atsarginių SDAIS duomenų kopijų darymo ir atkūrimo ir už SDAIS taikomosios programinės įrangos (aplikacijų) kopijų darymo organizavimą ir peržiūrą;
10. SDAIS administratoriaus funkcijos ir atsakomybė:
10.1. užtikrina SDAIS serverių srities funkcionavimą ir prieigų prie SDAIS infrastruktūros išteklių teisių suteikimą;
10.2. užtikrina SDAIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) sąranką, kuri atitiktų SDAIS saugos dokumentų reikalavimus;
10.3. pagal kompetenciją teikia pasiūlymus dėl SDAIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;
10.4. informuoja SDAIS saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia pasiūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;
11. SDAIS naudotojų funkcijos:
12. Teisės aktai, kuriais vadovaujamasi tvarkant SDAIS, tvarkomi duomenys ir užtikrinama sauga:
12.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);
12.3. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai;
12.6. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160; 2008, Nr. 127-4866);
12.7. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniai saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);
12.8. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12) (Žin., 2008, Nr. 135-5298);
12.9. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855);
12.10. Lietuvos standartai LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006 ir kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugumą;
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
13. SDAIS elektroninės informacijos priskyrimo atitinkamai kategorijai bendrieji reikalavimai:
13.1. vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, dėl SDAIS tvarkomų asmens duomenų jis yra priskiriamas trečios kategorijos informacinėms sistemoms;
14. Pagrindinės nuostatos dėl rizikos veiksnių vertinimo:
14.3. SDAIS rizikos vertinimas atliekamas ne rečiau kaip kartą per metus, kurio metu:
14.3.1. įvertinama saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų atitiktis esamai SDAIS duomenų saugos situacijai;
14.5. SDAIS vertinimas atliekamas vadovaujantis:
14.6. SDAIS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. SDAIS rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos SDAIS informacijos saugai. Svarbiausi rizikos veiksniai:
14.6.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
14.6.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis SDAIS duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kita);
15. Siekiant užtikrinti saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, SDAIS saugos įgaliotinis ne rečiau kaip kartą per 2 metus organizuoja SDAIS informacinių technologijų saugos atitikties vertinimą, kurio metu:
15.1. įvertinama saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų atitiktis realiai SDAIS duomenų saugos situacijai;
15.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų SDAIS naudotojų kompiuterinių darbo vietų, visose tarnybinėse stotyse įdiegtos programos ir jų sąranka;
15.6. SDAIS valdytojas, atsižvelgdamas į SDAIS informacinių technologijų saugos reikalavimų atitikties vertinimo rezultatus, prireikus tvirtina SDAIS saugos įgaliotinio parengtą pastebėtų trūkumų šalinimo planą, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytų priemonių įgyvendinimo terminai.
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
17. Metodai ir priemonės, kurie taikomi užtikrinant prieigą prie SDAIS nustatomi Supirkėjų duomenų apdorojimo informacinės sistemos naudotojų administravimo taisyklėse. Pagrindiniai metodai ir priemonės:
17.1. prieigos prie SDAIS teises suteikia SDAIS administratorius. Pasikeitus SDAIS naudotojo pareigoms ar atliekamoms užduotims, suteikta prieiga turi būti nedelsiant nutraukiama. SDAIS naudotojams suteiktos prieigos teisės periodiškai, bet ne rečiau kaip kartą per metus, turi būti peržiūrimos, siekiant nustatyti ir pašalinti subjektus, kuriems prieigos teisės prie SDAIS turi būti panaikintos ar pakeistos. Už periodinę SDAIS naudotojų teisių peržiūrą atsakingas SDAIS saugos įgaliotinis;
17.2. prieš suteikiant prieigą, SDAIS administratorius privalo įsitikinti, kad SDAIS naudotojas pasirašytinai yra susipažinęs su informacijos saugos dokumentais bei žino savo atsakomybę tvarkant ar naudojant SDAIS duomenis;
17.3. kiekvienas SDAIS naudotojas sistemoje turi būti unikaliai atpažįstamas pagal jam suteiktą atpažinties kodą ir atitinkamą slaptažodį;
18. SDAIS tarnybinėse stotyse privalo būti naudojama programinė įranga, skirta kovai su kenksminga programine įranga, atnaujinama automatiniu būdu ne rečiau kaip kas 5 darbo dienos. Pagrindinės programinės įrangos, skirtos apsaugoti SDAIS nuo kenksmingos programinės įrangos, naudojimo nuostatos:
18.1. SDAIS funkcionuoti būtina programinė tarnybinių stočių ir SDAIS naudotojų kompiuteriuose esanti programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kt.) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Už tarnybinių stočių programinę įrangos kontrolę atsakingas SDAIS saugos įgaliotinis;
18.2. SDAIS funkcionuoti būtina serverių srities ir SDAIS naudotojų kompiuteriuose esanti programinė įranga turi būti atnaujinama ne vėliau kaip per 5 darbo dienas po programinės įrangos gamintojų pranešimo apie programinės įrangos atnaujinimą. Už atnaujinimų atlikimo kontrolę atsakingas SDAIS saugos įgaliotinis;
18.3. SDAIS naudotojų kompiuteriuose prieigos teisės turi būti apribojamos. Suteikiama prieiga tik būtinoms darbo užduotims atlikti;
19. Programinės įrangos naudojimo ribojimo nuostatos:
20. Kompiuterių tinklo filtravimo įrangos naudojimo nuostatos:
20.1. SDAIS elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacijos tinklų naudojant užkardą;
20.2. konfigūruojant SDAIS elektroninės informacijos perdavimo tinklo užkardas turi būti naudojami tik organizacijos veiklai būtini tinklo protokolai ir užkardų prievadai;
20.3. SDAIS saugos įgaliotinis organizuoja SDAIS serverių srities tinklo užkardų administravimą, priežiūrą, operacinės sistemos atnaujinimą ir saugią užkardų konfigūraciją;
21. Leistinos kompiuterių (įskaitant nešiojamuosius) naudojimo ribos:
21.1. stacionarūs ir nešiojamieji SDAIS naudotojų kompiuteriai privalo būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai atlikti. Iš kompiuterių, kurie perduodami remontui ar techniniam aptarnavimui, turi būti pašalinta visa riboto naudojimo SDAIS elektroninė informacija;
22. Metodai, kurie leidžiami užtikrinant saugų SDAIS elektroninės informacijos teikimą ir (ar) gavimą:
22.1. SDAIS duomenys perduodami automatiniu būdu TCP/IP protokolu realiu laiku arba asinchroniniu režimu pagal SDAIS duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka;
23. Pagrindiniai atsarginių SDAIS duomenų kopijų darymo ir atkūrimo reikalavimai:
23.1. atsarginių SDAIS duomenų kopijų darymas ir atkūrimas turi būti atliekamas laikantis Lietuvos Respublikos teisės aktų nustatytų reikalavimų;
23.2. atsarginės SDAIS duomenų kopijos turi būti daromos ir jų atkūrimas turi būti atliekamas pagal VĮ Žemės ūkio informacijos ir kaimo verslo centro svarbiausios veiklos atsarginių kopijų administravimo procedūros aprašą, patvirtintą Žemės ūkio informacijos ir kaimo verslo centro generalinio direktoriaus 2011 m. vasario 10 d. įsakymu Nr. 1V-17;
IV. REIKALAVIMAI PERSONALUI
24. SDAIS saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis saugos dokumentais bei kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą, standartais ir kitais dokumentais, sugebėti prižiūrėti, kaip įgyvendinama SDAIS saugos politika.
25. SDAIS administratorius privalo išmanyti SDAIS informacijos saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugą, taip pat administruoti ir prižiūrėti informacines sistemas, turi būti susipažinęs su šiais saugos nuostatais ir kitais susijusiais saugos dokumentais.
26. SDAIS naudotojai turi turėti naudojimosi kompiuteriu įgūdžių, būti susipažinę su šiais saugos nuostatais ir kitais susijusiais saugos dokumentais.
27. SDAIS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių ar netinkamai veikiančių SDAIS duomenų saugos užtikrinimo priemonių, nedelsdami privalo apie tai pranešti SDAIS administratoriui.
28. SDAIS administratorius apie saugos nuostatų 27 punkte nurodytus pažeidimus informuoja SDAIS saugos įgaliotinį. Įtaręs neteisėtą veiklą, pažeidžiančią ar neišvengiamai pažeisiančią SDAIS saugą (jos konfidencialumą, vientisumą ar prieinamumą), SDAIS saugos įgaliotinis apie tai turi pranešti kompetentingoms institucijoms.
29. Visi SDAIS naudotojai privalo būti pasirašytinai supažindinti su SDAIS saugos dokumentais, savo pareigomis ir atsakomybe, susijusia su SDAIS informacijos sauga bei teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą.
31. Už SDAIS naudotojų supažindinimą su SDAIS saugos dokumentais, saugos nuostatų 12 punkte nurodytais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, taip pat su atsakomybe už saugos dokumentų nuostatų pažeidimus, informacijos saugos mokymą ir žinių atnaujinimą atsakingas SDAIS saugos įgaliotinis.
V. BAIGIAMOSIOS NUOSTATOS