LOŠIMŲ PRIEŽIŪROS TARNYBOS
PRIE LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJOS DIREKTORIUS
ĮSAKYMAS
DĖL VALSTYBINĖS LOŠIMŲ PRIEŽIŪROS KOMISIJOS 2009 M. KOVO 25 D. NUTARIMO NR. N-111 „DĖL LIETUVOS LOŠIMO ĮRENGINIŲ REGISTRO INFORMACINĖS SISTEMOS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ PATVIRTINIMO“ PAKEITIMO
2018 m. gruodžio 28 d. Nr. DI-704
Vilnius
P a k e i č i u Lietuvos lošimo įrenginių registro informacinės sistemos elektroninės informacijos tvarkymo taisykles, patvirtintas Valstybinės lošimų priežiūros komisijos 2009 m. kovo 25 d. nutarimu Nr. N-111 „Dėl Lietuvos lošimo įrenginių registro informacinės sistemos elektroninės informacijos tvarkymo taisyklių patvirtinimo“, ir išdėstau jas nauja redakcija (pridedama).
PATVIRTINTA
Valstybinės lošimų priežiūros komisijos
2009 m. kovo 25 d. nutarimu Nr. N-111
(2018 m. gruodžio 28 d. įsakymo Nr. DI-704 redakcija)
LIETUVOS LOŠIMO ĮRENGINIŲ REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos lošimo įrenginių registro saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) nustato pagrindinius saugaus Lietuvos lošimo įrenginių registro (toliau – Registras) elektroninės informacijos tvarkymo reikalavimus, technines ir kitas saugos priemones, skirtas informacijos saugai užtikrinti.
2. Taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Lietuvos lošimo įrenginių registro duomenų saugos nuostatais (toliau – Saugos nuostatai).
3. Taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.
4. Registre tvarkoma ir kaupiama elektroninė informacija, nurodyta Lietuvos lošimo įrenginių registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2003 m. balandžio 25 d. nutarimu Nr. 530 „Dėl Lietuvos lošimo įrenginių registro įsteigimo ir Lietuvos lošimo įrenginių registro nuostatų patvirtinimo“ (toliau – Registro nuostatai) III skyriuje.
5. Už Registro duomenų saugų tvarkymą atsakingi Registro tvarkytojas, Registro saugos įgaliotinis ir Registro administratorius.
7. Registre tvarkoma informacija yra skirstoma į šias kategorijas:
8. Elektroninės informacijos, tvarkomos Registro administratoriaus ir priskirtos tam tikroms kategorijoms, sąrašas:
II SKYRIUS
TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS
10. Saugiam Registro elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, programinės įrangos, duomenų perdavimo tinklai, fizinės, techninės ir organizacinės duomenų ir informacijos saugumo priemonės.
11. Registro kompiuterinės įrangos saugos užtikrinimo priemonės:
11.1. prieigos prie Registro tarnybinių stočių (serverių) kontrolė užtikrinama suteikiant prieigos prie Registro tarnybinių stočių teises tik Registro administratoriui;
11.4. naudojamos kompiuterinės įrangos priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai;
11.6. Registro tarnybinėse stotyse ir Registro naudotojų kompiuterizuotose darbo vietose yra įdiegtos centralizuotai valdomos ir atnaujinamos kenksmingosios programinės įrangos aptikimo, stebėjimo realiu laiku priemonės; šios priemonės automatiškai informuoja Registro administratorių apie pradelstą kenksmingosios programinės įrangos aptikimo priemonių atsinaujinimo laiką;
12. Registro sisteminės ir taikomosios programinės įrangos (toliau – Registro programinė įranga) saugos priemonės:
12.1. Registro tarnybinėse stotyse ir Registro naudotojų kompiuteriuose naudojama tik legali, Registro funkcijoms vykdyti būtina programinė įranga;
12.2. operatyviai įdiegiami Registro tarnybinių stočių ir Registro naudotojų kompiuterizuotų darbo vietų kompiuterinės įrangos, operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;
12.3. programinės įrangos diegimą, gedimų šalinimą ir konfigūravimą turi teisę atlikti tik Registro administratorius arba jį pavaduojantis asmuo;
12.4. slaptažodžiai, suteikiantys teisę dirbti su Registro tarnybinės stoties administravimo programine įranga, žinomi tik Registro sisteminiam administratoriui arba jį pavaduojančiam asmeniui;
13. Registro duomenų perdavimo tinklais saugumo užtikrinimo priemonės:
13.2. Registro elektroninės informacijos perdavimo tinklas atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienę;
13.3. viešaisiais telekomunikaciniais tinklais perduodamos elektroninės informacijos konfidencialumas užtikrinamas naudojant saugų valstybinį duomenų perdavimo tinklą;
14. Patalpų ir aplinkos saugumo užtikrinimo priemonės:
14.4. apsauga nuo elektros tiekimo sutrikimų – elektros energijos tiekimui užtikrinti įrengtas rezervinis elektros srovės generatorius;
14.5. tarnybinių stočių patalpose įrengta kondicionavimo ir vėdinimo sistema temperatūrai palaikyti. Šiose patalpose palaikomas tarnybinės stoties gamintojų nustatytas santykinis oro drėgnumas;
15. Kitos priemonės, naudojamos elektroninės informacijos saugai užtikrinti:
15.1. Registro naudotojams suteikiama prieigos teisė atlikti veiksmus Registro naudotojų administravimo taisyklėse nustatyta tvarka;
15.2. Registro tarnybinėse stotyse įdiegtos priemonės, įspėjančios Registro administratorių apie laisvos operatyviosios atminties ar laisvos vietos kompiuterių diskuose sumažėjimą iki nustatytos pavojingos ribos, apie ilgą laiką stipriai apkraunamą centrinį procesorių ar kompiuterių tinklo sąsają;
15.3. Registras automatiškai atjungia naudotojus, kurie yra prisijungę prie Registro, bet neatlieka jokių veiksmų. Ilgiausias neaktyvumo laikas, kuriam pasibaigus naudotojas automatiškai atjungiamas, yra 15 min;
15.4. Registro naudotojui baigus darbą, imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama, uždaroma programinė įranga, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai padedami į pašaliniams asmenims neprieinamą vietą;
III SKYRIUS
SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
16. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo užtikrinimo tvarka:
16.1. Registro elektroninę informaciją keisti, atnaujinti, įrašyti ir naikinti turi teisę tik Registro naudotojai pagal nustatytas prieigos teises;
16.2. administravimo posistemyje tvarkomą elektroninę informaciją įvesti, keisti, atnaujinti ar naikinti turi teisę tik Registro administratorius;
16.3. Registro elektroninė informacija įvedama, atnaujinama, keičiama ir naikinama Registro nuostatų nustatyta tvarka;
17. Registro naudotojų tapatybė ir jų veiksmai su Registro duomenimis atpažįstami programinėmis priemonėmis, įrašomi Registro duomenų bazės veiksmų žurnale automatiniu būdu, apsaugotame nuo nesankcionuoto jame esančių duomenų naudojimo, keitimo, iškraipymo, sunaikinimo. Registro duomenų bazės veiksmų žurnalo duomenys prieinami tik Registro sisteminiam administratoriui arba jį pavaduojančiam asmeniui.
19. Atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka:
19.1. už Registro elektroninės informacijos kopijų darymą, saugojimą atsakingas Registro administratorius;
19.3. elektroninės informacijos kopijos laikomos kitose patalpose nei yra Registro tarnybinės stotys;
19.4. elektroninės informacijos kopijos turi būti prieinamos tik Registro administratoriui ar jį pavaduojančiam asmeniui;
19.5. prarasta, iškraipyta ar sunaikinta Registro elektroninė informacija turi būti atkuriama iš Registro elektroninės informacijos atsarginių kopijų;
20. Saugaus elektroninės informacijos perkėlimo ir teikimo susijusioms informacinėms sistemoms, elektroninės informacijos gavimo iš jų tvarka:
20.1. elektroninė informacija iš susijusių registrų ir informacinių sistemų gaunama ir jiems teikiama šių registrų ir informacinių sistemų valdytojų ar tvarkytojų sudarytose duomenų teikimo ir gavimo sutartyse numatyta tvarka;
21. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:
21.1. Registro naudotojai, pastebėję saugos dokumentų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai Registro administratoriui ar saugos įgaliotiniui;
21.3. Registro administratorius ir saugos įgaliotinis pagal kompetenciją nedelsdami imasi visų įmanomų prevencinių veiksmų, susijusių su neteisėtu elektroninės informacijos naudojimu;
21.4. Registro saugos įgaliotinis apie Taisyklių 21.1 papunktyje nurodytus pažeidimus praneša Lošimų priežiūros tarnybos prie Lietuvos Respublikos finansų ministerijos (toliau – Priežiūros tarnyba) direktoriui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais.
22. Registro programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:
22.1. Registro administratorius Registro tarnybinėse stotyse diegia ir tvarko programinę įrangą, reikalingą Registro funkcionavimui;
22.2. Registro tvarkytojas programinę įrangą, reikalingą tvarkyti Registro elektroninei informacijai, perka Lietuvos Respublikos viešųjų pirkimų įstatymo, kitų teisės aktų nustatyta tvarka;
22.3. Registrui veikti reikalingos naujos ar atnaujinamos programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką;
23. Registro pokyčių (toliau – pokyčiai) valdymo tvarka:
23.2. pokyčiai turi būti planuojami, identifikuojami, suskirstomi į kategorijas pagal pokyčio tipą, nustatomas jų prioritetas, įvertinama įtaka Registro veiklai;
23.3. pokyčiai, galintys sutrikdyti ar sustabdyti Registro veiklą (operacinės sistemos, duomenų bazių atnaujinimas, programinės įrangos modernizavimas, kompiuterinės ar tinklo įrangos atnaujinimas ir pan.), turi būti suderinti su Priežiūros tarnybos direktoriumi ir Registro saugos įgaliotiniu ir vykdomi tik gavus jų raštišką pritarimą;
23.4. pokyčiai, galintys daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų bei kuri atskirta nuo Registro;
24. Nešiojamųjų kompiuterių naudojimo tvarka:
24.1. nešiojamieji kompiuteriai prie kompiuterių tinklo gali būti prijungiami ir iš Registro tvarkymo patalpų išnešami tik Registro saugos įgaliotiniui leidus;
24.3. naudotojai, savo darbo funkcijoms vykdyti naudojantys nešiojamuosius kompiuterius Registro duomenų perdavimui kompiuterių tinklais ne savo darbo vietoje, turi naudoti kompiuterio įjungimo slaptažodį, papildomą naudotojo tapatybės patvirtinimą ir Registro duomenų šifravimą;
IV SKYRIUS
REIKALAVIMAI, KELIAMI REGISTRUI FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS
25. Reikalavimai Registrui funkcionuoti reikalingoms paslaugų teikėjų paslaugoms, paslaugų teikėjų prieigos prie Registro lygis ir sąlygos nustatomi šių paslaugų teikimo sutartyse pagal paslaugų teikimo pobūdį. Paslaugų teikėjo teikiamoms paslaugoms nustatyti saugos reikalavimai negali būti mažesni nei tie, kurie nustatyti Registro saugos dokumentuose.
26. Už paslaugos teikėjui prieigos prie Registro lygio ir sąlygų nustatymą atsakingas Registro administratorius. Paslaugos teikėjui prieigos prie Registro lygis (-iai) ir sąlygos turi būti suderinti su Registro saugos įgaliotiniu.
27. Registro administratorius suteikia paslaugos teikėjui tik tokią prieigą prie Registro resursų, kuri yra būtina norint atlikti arba vykdyti sutartyje nustatytus įsipareigojimus, kurie neprieštarauja įstatymų ir kitų teisės aktų reikalavimams.
28. Registro administratorius privalo supažindinti paslaugos teikėjus su suteiktos prieigos prie Registro reikalavimais ir sąlygomis, taip pat atlikti paslaugos teikėjo priežiūrą, stebėti, kaip įgyvendinamos Registro saugos dokumentuose ir paslaugų teikimo sutartyse nustatytos sąlygos.
29. Pasibaigus sutarties su paslaugos teikėjais galiojimo terminui ar atsiradus kitoms sutartyje ar Registro saugos dokumentuose įvardintoms sąlygoms, Registro administratorius nedelsdamas privalo panaikinti suteiktą prieigą.