LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRO

Į S A K Y M A S

DĖL VALSTYBĖS INFORMACINIŲ IŠTEKLIŲ ATITIKTIES ELEKTRONINĖS INFORMACIJOS SAUGOS (KIBERNETINIO SAUGUMO) REIKALAVIMAMS STEBĖSENOS SISTEMOS NUOSTATŲ PATVIRTINIMO

2012 m. spalio 16 d. Nr. 1V-740

Vilnius

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo (Žin., 2011, Nr. 163‑7739) 30 straipsniu, 33 straipsnio 1 dalimi ir Valstybės informacinių sistemų steigimo ir įteisinimo taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58‑2061), 8 punktu:

1. Tvirtinu Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatus (pridedama).

2. Skiriu:

2.1. Lietuvos Respublikos vidaus reikalų ministeriją Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos valdytoja;

2.2. Informatikos ir ryšių departamentą prie Lietuvos Respublikos vidaus reikalų ministerijos Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos tvarkytoju.

Vidaus reikalų ministras Artūras Melianas

SUDERINTA

Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos

2012 m. rugpjūčio 3 d. raštu Nr. S-1030

Patvirtinta

Lietuvos Respublikos vidaus reikalų ministro

2012 m. spalio 16 d. įsakymu Nr. 1V-740

Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatai

I. BENDROSIOS NUOSTATOS

1. Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatai (toliau – Nuostatai) nustato Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos (toliau – ARSIS) steigimo pagrindą, tikslą, uždavinius, organizacinę, informacinę ir funkcinę struktūras, kaupiamų duomenų šaltinius, ARSIS duomenų saugą, ARSIS finansavimo, modernizavimo ir likvidavimo tvarką.

2. ARSIS yra Vidaus reikalų informacinės sistemos dalis.

3. ARSIS tvarkoma vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu (Žin., 2011, Nr. 163-7739), Nuostatais ir kitais teisės aktais.

4. Nuostatuose vartojamos sąvokos apibrėžtos Nuostatų 3 punkte nurodytuose teisės aktuose.

II. ARSIS STEIGIMO PAGRINDAS, TIKSLAS, UŽDAVINIAI

5. ARSIS steigimo pagrindas – Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 5 straipsnio 4 dalies 1, 2 ir 4 punktai, Lietuvos Respublikos vidaus reikalų ministerijos nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2001 m. kovo 14 d. nutarimu Nr. 291 (Žin., 2001, Nr. 24-794; 2010, Nr. 123-6302), 14.6, 14.9 punktai bei Elektroninės informacijos saugos (kibernetinio saugumo) plėtros 2011–2019 metais programa, patvirtinta Lietuvos Respublikos Vyriausybės 2011 m. birželio 29 d. nutarimu Nr. 796 (Žin., 2011, Nr. 83‑4033).

6. ARSIS tikslas – automatiniu būdu vykdyti valstybės informacinių išteklių (toliau – informaciniai ištekliai) atitikties nustatytiems elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėseną.

7. ARSIS uždaviniai yra:

7.1. rinkti, kaupti, saugoti, apdoroti, sisteminti ir kitaip tvarkyti duomenis apie elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų įgyvendinimą valdant ir tvarkant informacinius išteklius;

7.2. vykdyti informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams priežiūrą;

7.3. informuoti valstybės informacinių sistemų, valstybės ir žinybinių registrų valdytojus apie jų valdomų informacinių išteklių atitiktį elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams.

8. ARSIS laukiamas rezultatas:

8.1. sukurtos priemonės, leidžiančios Lietuvos Respublikos vidaus reikalų ministerijai efektyviai vykdyti Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo, Lietuvos Respublikos vidaus reikalų ministerijos nuostatų nustatytas funkcijas, susijusias su elektroninės informacijos sauga (kibernetiniu saugumu);

8.2. sukurtos priemonės, užtikrinančios Elektroninės informacijos saugos (kibernetinio saugumo) plėtros 2011–2019 metais programos priedo 6 punkte nurodyto vertinimo kriterijaus rodiklių pasiekimą.

III. ARSIS ORGANIZACINĖ STRUKTŪRA

9. ARSIS organizacinę struktūrą sudaro ARSIS valdytoja, ARSIS tvarkytojas, ARSIS duomenų teikėjas ir duomenų gavėjai.

10. ARSIS valdytoja yra Lietuvos Respublikos vidaus reikalų ministerija.

11. ARSIS tvarkytojas yra Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos.

12. ARSIS valdytoja:

12.1. metodiškai vadovauja ARSIS tvarkytojui, atlieka jo priežiūrą, koordinuoja ARSIS funkcionavimą;

12.2. priima teisės aktus, susijusius su duomenų tvarkymu ir duomenų sauga;

12.3. sprendžia ARSIS plėtros klausimus;

12.4. atlieka duomenų saugos reikalavimų laikymosi priežiūrą;

12.5. nagrinėja ARSIS tvarkytojo pasiūlymus dėl ARSIS veiklos tobulinimo, jos eksploatavimui, priežiūrai ir plėtrai skirtų techninių, programinių priemonių įsigijimo, jų modernizavimo ir priima dėl jų sprendimus;

12.6. užtikrina, kad ARSIS būtų tvarkoma vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu, Nuostatais ir kitais teisės aktais;

12.7. atlieka kitus Nuostatuose ir kituose teisės aktuose nustatytus veiksmus.

13. ARSIS tvarkytojas:

13.1. tvarko duomenis ir atsako už jų saugą;

13.2. rengia ir įgyvendina ARSIS techninių ir programinių priemonių kūrimo ir plėtros planus, investicijų projektus;

13.3. užtikrina, kad ARSIS duomenys būtų teisingi, tikslūs, išsamūs ir nuolat atnaujinti;

13.4. užtikrina, kad neteisingi, netikslūs, neišsamūs duomenys būtų nedelsiant ištaisyti, atnaujinti arba papildyti;

13.5. užtikrina, kad ARSIS duomenys būtų apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

13.6. saugos dokumentuose nustatyta tvarka užtikrina reikiamas administracines, technines ir organizacines ARSIS tvarkomų duomenų saugos priemones ir kontroliuoja tokių priemonių laikymąsi;

13.7. užtikrina, kad ARSIS veiktų nepertraukiamai;

13.8. užtikrina, kad duomenų gavėjams pateikti duomenys atitiktų ARSIS tvarkomus duomenis;

13.9. užtikrina, kad duomenų gavėjai, kuriems buvo pateikti neteisingi, netikslūs, neišsamūs duomenys, būtų nedelsiant informuoti apie ištaisytus netikslumus;

13.10. skiria duomenų teikėjui terminą trūkumams pašalinti, jeigu nustato, kad pateikti duomenys yra netikslūs ar neatitinka teisės aktuose nustatytų reikalavimų;

13.11. nustato ARSIS duomenų tvarkymo organizavimo principus ir taisykles;

13.12. rengia ARSIS veikimui užtikrinti reikalingus dokumentus;

13.13. atlieka centralizuotą ARSIS naudotojų administravimą;

13.14. užtikrina, kad ARSIS duomenys būtų tvarkomi vadovaujantis Nuostatais ir kitais teisės aktais;

13.15. teikia ARSIS valdytojai pasiūlymus dėl ARSIS tobulinimo, jos eksploatavimui, priežiūrai ir plėtrai skirtų techninių, programinių priemonių įsigijimo, organizuoja jų įdiegimą, modernizavimą, priežiūrą;

13.16. atlieka kitus Nuostatuose ir kituose teisės aktuose nustatytus veiksmus.

14. ARSIS duomenų teikėjas yra Informacinės visuomenės plėtros komitetas prie Lietuvos Respublikos susisiekimo ministerijos, kuris teikia Valstybės informacinių sistemų apskaitos kompiuterinio žurnalo ir Registrų sąrašo duomenis – valstybės informacinės sistemų, valstybės ir žinybinių registrų duomenis (pavadinimas, rūšis, valdytojas, tvarkytojai, informacinė struktūra (tvarkomi duomenys)).

15. ARSIS duomenų gavėjai yra valstybės institucijos, turinčios teisės aktuose įtvirtintą teisę gauti šiuos duomenis nustatytoms funkcijoms vykdyti.

IV. INFORMACINĖ STRUKTŪRA

16. ARSIS duomenų bazėje tvarkomi šie duomenys:

16.1. valstybės informacinių sistemų, valstybės ir žinybinių registrų duomenys (pavadinimas, rūšis, valdytojas, tvarkytojai, informacinė struktūra (tvarkomi duomenys), tarpusavio ryšiai (sąveika su kitomis valstybės informacinėmis sistemomis, valstybės ir žinybiniais registrais), kategorija);

16.2. elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų duomenys (reikalavimų sąrašai, nustatyti Lietuvos Respublikos, Europos Sąjungos teisės aktuose ir kituose dokumentuose, Lietuvos ir tarptautiniuose saugos (saugumo) standartuose bei metodikose, jų tarpusavio ryšiai, taikymo sritys ir įgyvendinimo būdai);

16.3. elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų įgyvendinimo informaciniuose ištekliuose duomenys (informacinių išteklių saugos atitikties būklė, atitiktį (neatitiktį) pagrindžiantys duomenys, neatitikties keliamos rizikos lygis, pašalinimo terminai ir būdai);

16.4. informacinių technologijų saugos auditų duomenys (informacinių technologijų saugos atitikties vertinimo, rizikos vertinimo, pažeidžiamumo vertinimo);

16.5. informacinių išteklių saugos tobulinimo projektų duomenys (projektų tikslai, projektų vykdytojai, paveikiami informaciniai ištekliai, įgyvendinimo terminai, rezultatai).

V. FUNKCINĖ STRUKTŪRA

17. ARSIS funkcinę struktūrą sudaro:

17.1. Duomenų įvedimo ir gavimo posistemė, kuri skirta:

17.1.1. įvesti, pateikti į ARSIS informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams duomenis bei juos gauti;

17.1.2. užtikrinti įvedamų ir pateikiamų duomenų išsamumą ir kokybę;

17.2. Informacinių išteklių posistemė, kuri skirta tvarkyti duomenis apie informacinius išteklius, jų valdytojus, tvarkytojus, struktūrą, tarpusavio ryšius ir taikytinus elektroninės informacijos saugos (kibernetinio saugumo) reikalavimus;

17.3. Elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų posistemė, kuri skirta tvarkyti duomenis, apibūdinančius elektroninės informacijos saugos (kibernetinio saugumo) reikalavimus, nustatytus Lietuvos Respublikos, Europos Sąjungos teisės aktuose ir kituose dokumentuose, Lietuvos ir tarptautiniuose saugos (saugumo) standartuose bei metodikose, jų tarpusavio ryšius, taikymo sritis ir įgyvendinimo būdus;

17.4. Ataskaitų ir vizualizavimo posistemė, kuri skirta:

17.4.1. stebėti, įvairiomis priemonėmis analizuoti ARSIS duomenis ir pateikti ataskaitas (atitikties vertinimo, rizikos vertinimo, pažeidžiamumo vertinimo ir kitas);

17.4.2. pateikti informaciją apie informacinių išteklių saugos atitikties būklę naudojant įvairius grafinius būdus – diagramas, lenteles ir kita;

17.5. Audito posistemė, kuri skirta:

17.5.1. tvarkyti informacinių išteklių saugos auditų duomenis;

17.5.2. analizuoti ir vertinti informacinių išteklių atitiktį elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams ir šią atitiktį pagrindžiančius duomenis;

17.5.3. vertinti saugos reikalavimų neatitikties riziką ir teikti rekomendacijas apie informacinių išteklių saugos audito tikslingumą ir (ar) saugos reikalavimų taikymo tikslingumą;

17.6. Automatinės stebėsenos posistemė, kuri skirta:

17.6.1. valdyti informacinių išteklių būsenos automatinio stebėjimo priemones;

17.6.2. valdyti automatinės informacinių išteklių stebėsenos parametrus;

17.6.3. informuoti informacinių išteklių valdytojus ir (ar) tvarkytojus apie informacinių išteklių būsenos nukrypimus nuo nustatytų ribų;

17.7. Rizikos vertinimo posistemė, kuri skirta valdyti rizikų grėsmių klasifikatorių, apskaičiuoti ir sekti informacinių išteklių riziką, atlikti ir atvaizduoti rizikų analizę;

17.8. Informacinių išteklių saugos tobulinimo projektų posistemė, kuri skirta:

17.8.1. valdyti informacinių išteklių neatitikimo elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams šalinimą;

17.8.2. stebėti ir kontroliuoti informacinių išteklių saugos tobulinimo projektų įgyvendinimą;

17.9. Administravimo posistemė, kuri skirta:

17.9.1. administruoti ARSIS naudotojus ir jų prieigos teises;

17.9.2. tvarkyti ARSIS sąrankas (konfigūracijas);

17.9.3. tvarkyti ARSIS klasifikatorius;

17.9.4. valdyti ARSIS naudotojų darbo sekas;

17.9.5. valdyti ARSIS duomenų kokybę;

17.9.6. užtikrinti ARSIS duomenų saugą.

VI. KAUPIAMŲ DUOMENŲ ŠALTINIAI

18. ARSIS veikimui užtikrinti reikalingus duomenis teikia informacinių išteklių valdytojai – duomenis apie elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų įgyvendinimą savo valdomuose informaciniuose ištekliuose, nurodytus Nuostatų 16.3–16.5 punktuose.

19. Informacinių išteklių valdytojai užtikrina, kad ARSIS teikiami duomenys būtų teisingi, tikslūs, išsamūs. Nustačius, kad ARSIS pateikti neteisingi, netikslūs, neišsamūs duomenys, informacinių išteklių valdytojai privalo nedelsdami ištaisyti neteisingus, netikslius arba papildyti neišsamius duomenis.

VII. DUOMENŲ SAUGA

20. Už ARSIS duomenų (informacijos) saugą pagal kompetenciją atsako ARSIS valdytoja ir ARSIS tvarkytojas.

21. ARSIS duomenų sauga organizuojama vadovaujantis Vidaus reikalų informacinės sistemos duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2007 m. sausio 2 d. įsakymu Nr. 1V-1 (Žin., 2007, Nr. 3-141; Nr. 113-4606), ir kitais saugos politiką įgyvendinančiais dokumentais.

22. ARSIS naudotojai jungiasi prie ARSIS naudodamiesi tik ARSIS programine įranga ir kompiuterių tinklu, užtikrinančiu saugų informacijos perdavimą. ARSIS naudotojui jungiantis prie ARSIS ir dirbant su šia sistema, fiksuojamas jo unikalus identifikatorius, leidžiantis nustatyti asmens tapatybę.

23. ARSIS valdytoja, ARSIS tvarkytojas ir ARSIS naudotojai teisės aktų nustatyta tvarka atsako už neteisėtą gaunamų iš ARSIS duomenų (informacijos) atskleidimą ar kitokią neteisėtą veiką, susijusią su ARSIS.

VIII. BAIGIAMOSIOS NUOSTATOS

24. Duomenys iš valstybės informacinių sistemų, valstybės ir žinybinių registrų ARSIS teikiami Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo ir kitų teisės aktų nustatyta tvarka.

25. ARSIS finansuojama iš Lietuvos Respublikos valstybės biudžeto lėšų ir kitų teisės aktuose nustatytų finansavimo šaltinių.

26. ARSIS modernizuojama ir likviduojama Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo ir kitų teisės aktų nustatyta tvarka.

27. Likviduojamos ARSIS duomenys negali būti sunaikinami, išskyrus Lietuvos Respublikos įstatymuose ar Europos Sąjungos teisės aktuose nustatytus atvejus, ir privalo būti perduoti kitai valstybės informacinei sistemai arba valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982) nustatyta tvarka.

_________________