valstybinės teritorijų planavimo ir statybos inspekcijos
prie aplinkos ministerijos viršininkas
ĮSAKYMAS
Dėl Lietuvos Respublikos teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinės sistemos duomenų saugos nuostatŲ patvirtinimo
2014 m. vasario 13 d. Nr. 1V-32
Vilnius
Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, 7, 11 ir 19 punktais:
1. T v i r t i n u pridedamus Lietuvos Respublikos teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinės sistemos duomenų saugos nuostatus.
2. S k i r i u Lietuvos Respublikos teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinės sistemos (toliau – TPDRIS) saugos įgaliotiniu Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos Informacinių technologijų skyriaus (toliau – Skyrius) vyriausiąjį specialistą Karolį Aleksiejų.
3. P a v e d u Skyriaus vedėjui užtikrinti, kad ne vėliau kaip per 6 mėnesius nuo šio įsakymo 1 punkte nurodytų duomenų saugos nuostatų patvirtinimo dienos būtų parengti, teisės aktų nustatyta tvarka suderinti ir patvirtinti kiti TPDRIS saugos dokumentai – Saugaus tvarkomos elektroninės informacijos tvarkymo taisyklės, TPDRIS veiklos tęstinumo valdymo planas ir TPDRIS naudotojų administravimo taisyklės.
PATVIRTINTA
Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko
2014 m. vasario 13 d. įsakymu Nr. 1V-32
LIETUVOS RESPUBLIKOS TERITORIJŲ PLANAVIMO DOKUMENTŲ RENGIMO IR TERITORIJŲ PLANAVIMO PROCESO VALSTYBINĖS PRIEŽIŪROS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos Respublikos teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinėje sistemoje (toliau – TPDRIS) tvarkomos elektroninės informacijos (toliau – Elektroninė informacija) saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui ir TPDRIS naudotojų supažindinimo su saugos dokumentais principus.
2. Šiuose Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (Žin., 2011, Nr. 163-7739), Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 (Žin., 2013, Nr. 86-4310), (toliau – Aprašas) ir kituose teisės aktuose vartojamas sąvokas.
3. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys ir tikslai:
4. TPDRIS valdytoja yra Valstybinė teritorijų planavimo ir statybos inspekcija prie Aplinkos ministerijos (buveinės adresas – A. Vienuolio g. 8, Vilnius).
5. TPDRIS tvarkytojai:
5.1. Valstybinė teritorijų planavimo ir statybos inspekcija prie Aplinkos ministerijos (toliau – Inspekcija);
6. TPDRIS techninis administratorius – Lietuvos Respublikos aplinkos ministerijos įgaliotas specialistas, atsakingas už TPDRIS techninės ir programinės įrangos priežiūrą arba Inspekcijos viešųjų pirkimų būdu nupirktas TPDRIS palaikymo ir vystymo paslaugų teikėjas.
7. TPDRIS valdytojo funkcijos:
7.2. atsako už TPDRIS saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir Elektroninės informacijos tvarkymo teisėtumą;
7.8. nagrinėja TPDRIS tvarkytojų pasiūlymus dėl TPDRIS veiklos tobulinimo ir priima sprendimus dėl jų įgyvendinimo;
7.10. organizuoja TPDRIS techninės ir programinės įrangos įsigijimą, nustato šios įrangos priežiūros reikalavimus, sprendžia TPDRIS modernizavimo ir plėtros klausimus;
7.13. užtikrina, kad TPDRIS duomenys, gaunami iš susijusių registrų ir informacinių sistemų, būtų nuolat atnaujinami;
7.14. sudaro duomenų teikimo sutartis su susijusių registrų ir informacinių sistemų tvarkymo įstaigomis;
7.16. centralizuotai administruoja TPDRIS naudotojų duomenis, suteikia jiems prieigos prie TPDRIS teises;
8. Informacinės sistemos tvarkytojų funkcijos:
8.2. atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi šiuose Saugos nuostatuose ir kituose TPDRIS saugos dokumentuose nustatyta tvarka;
9. TPDRIS saugos įgaliotinio funkcijos:
9.2. teikia TPDRIS valdytojo vadovui pasiūlymus dėl:
9.2.1. TPDRIS administratoriaus (administratorių) paskyrimo ir reikalavimų administratoriui (administratoriams) nustatymo;
9.2.2. institucijos informacinių technologijų saugos atitikties vertinimo atlikimo Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), nustatyta tvarka;
9.3. koordinuoja Elektroninės informacijos saugos incidentų, įvykusių TPDRIS, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, Elektroninės informacijos saugumo incidentus, neteisėtas veikas, susijusias su Elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;
9.4. teikia TPDRIS administratoriui (administratoriams) ir TPDRIS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;
9.5. turi teisę pagal savo įgaliojimus teikti privalomus vykdyti nurodymus ir pavedimus kitiems TPDRIS valdytojo ir TPDRIS tvarkytojų darbuotojams, jeigu tai būtina saugos politikai įgyvendinti;
9.7. periodiškai organizuoja TPDRIS naudotojų mokymą Elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie Elektroninės informacijos saugos problemas;
10. TPDRIS administratoriaus funkcijos:
11. TPDRIS techninio administratoriaus funkcijos:
11.1. valdo TPDRIS komponentus – tarnybines stotis, operacines sistemas, duomenų bazių valdymo sistemas, taikomųjų programų sistemas, ugniasienes, įsilaužimų aptikimo sistemas, Elektroninės informacijos perdavimo terpę;
11.6. vykdo visus TPDRIS saugos įgaliotinio nurodymus ir pavedimus, susijusius su TPDRIS saugos užtikrinimu;
11.7. nuolat teikia TPDRIS saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę;
11.8. atlikdamas TPDRIS sąrankos pakeitimus, turi laikytis TPDRIS pokyčių valdymo tvarkos, nustatytos TPDRIS valdytojo patvirtintose Saugaus elektroninės informacijos tvarkymo taisyklėse;
12. Tvarkant Elektroninę informaciją ir užtikrinant jos saugumą vadovaujamasi:
12.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);
12.3. Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymu (Žin., 1999, Nr. 105-3019; 2004, Nr. 4-29);
12.5. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 (Žin., 2013, Nr. 86-4310);
12.6. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 (Žin., 2013, Nr. 106-5251);
12.7. Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12) (Žin., 2008, 135-5298);
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
13. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.2.4 ir 4.2.7 punktais, Elektroninė informacija priskiriama svarbios elektroninės informacijos kategorijai.
14. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.2 punktu, TPDRIS pagal Elektroninės informacijos svarbos kategoriją priskiriama antrai kategorijai.
15. Vadovaujantis Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintų Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) (Žin., 2008, Nr. 135-5298), 7.2 punktu, TPDRIS automatiniu būdu tvarkomų asmens duomenų saugumo lygis yra antrasis (dėl galimybės tvarkyti asmens duomenis duomenų bazėje, prie kurios yra prieiga per išorinius duomenų perdavimo tinklus).
16. TPDRIS saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, kuri skelbiama Vidaus reikalų ministerijos interneto svetainėje (http://www.vrm.lt/Rizikos_analize.pdf), Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja TPDRIS rizikos įvertinimą. Prireikus TPDRIS saugos įgaliotinis gali organizuoti neeilinį TPDRIS rizikos įvertinimą. TPDRIS valdytojo vadovo rašytiniu pavedimu TPDRIS rizikos įvertinimą gali atlikti pats TPDRIS saugos įgaliotinis.
17. TPDRIS rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama TPDRIS valdytojo vadovui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos Elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai yra šie:
17.1. subjektyvūs netyčiniai (Elektroninės informacijos tvarkymo klaidos ir apsirikimai, Elektroninės informacijos ištrynimas, klaidingas Elektroninės informacijos teikimas, fiziniai Elektroninės informacijos technologijų sutrikimai, Elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
17.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Elektroninei informacijai gauti, Elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
18. Atsižvelgdamas į rizikos įvertinimo ataskaitą, TPDRIS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
19. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas TPDRIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 (Žin., 2012, Nr. 123-6204), nustatyta tvarka.
20. Elektroninės informacijos saugos priemonės yra parenkamos atsižvelgiant į poreikį ir TPDRIS valdytojo turimus resursus.
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
22. Kompiuterizuotos darbo vietos, skirtos tvarkyti TPDRIS duomenis, turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai) jose įdiegtos antivirusinės programinės įrangos priemonėmis.
23. TPDRIS tarnybinėse stotyse ir kompiuterizuotose darbo vietose gali būti naudojama tik legali programinė įranga.
24. TPDRIS tarnybinėse stotyse turi būti naudojama programinė įranga, skirta kovoti su kenksminga programine įranga, atnaujinama automatiniu būdu ne rečiau kartą per parą.
25. TPDRIS funkcionuoti būtina programinė tarnybinių stočių ir TPDRIS naudotojų kompiuteriuose esanti programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kt.) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Už tarnybinių stočių programinės įrangos kontrolę atsako TPDRIS techninis administratorius.
26. TPDRIS tarnybinėse stotyse turi veikti tik su TPDRIS duomenų tvarkymu, TPDRIS naudotojų ir pačios įrangos administravimu susijusi programinė įranga.
27. TPDRIS tarnybinių stočių infrastruktūra turi būti pajungta prie interneto naudojant ugniasienes. Ugniasienių sąranka turi būti nustatyta taip, kad jos praleistų tiktai TPDRIS veikimui reikalingą elektroninių duomenų srautą.
28. Kompiuterizuotos darbo vietos, skirtos tvarkyti TPDRIS duomenis, turi būti naudojamos tik tam skirtose patalpose. Keičiant kompiuterizuotos darbo vietos paskirtį, visa joje saugoma konfidenciali informacija turi būti sunaikinta.
29. Elektroninės informacijos mainai tarp TPDRIS ir tvarkytojų vyksta šifruotu būdu, naudojant SSL/TLS technologiją.
30. Už Elektroninės informacijos atsarginių kopijų darymą, jų saugojimą ir atstatymą yra atsakingas TPDRIS techninis administratorius.
31. Elektroninės informacijos atsarginės kopijos yra daromos kartą per parą. Saugomos paskutinių 7 dienų kasdienės atsarginės kopijos, pastarojo pusmečio mėnesinės atsarginės kopijos.
32. Stacionarūs ir nešiojamieji TPDRIS naudotojų kompiuteriai turi būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai; iš kompiuterių, kurie perduoti remontui ar techninei priežiūrai, turi būti pašalinta visa riboto naudojimo Elektroninė informacija.
33. Metodai, kuriais gali būti užtikrinamas saugus TPDRIS duomenų teikimas ir (ar) gavimas:
33.1. TPDRIS duomenys perduodami automatiniu būdu (naudojant TCP/IP protokolą) realiu laiku arba asinchroniniu režimu pagal TPDRIS duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka;
IV. REIKALAVIMAI PERSONALUI
34. TPDRIS naudotojai turi turėti naudojimosi kompiuteriu įgūdžių, būti susipažinę su šiais Saugos nuostatais ir kitais TPDRIS saugos dokumentais.
35. TPDRIS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Aprašo, kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis.
36. TPDRIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
37. TPDRIS administratorius turi turėti naudojimosi kompiuteriu įgūdžių, gerai išmanyti TPDRIS veikimą, būti susipažinęs su šiais Saugos nuostatais ir kitais TPDRIS saugos dokumentais.
38. TPDRIS techninis administratorius privalo išmanyti Elektroninės informacijos saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugą, taip pat administruoti ir prižiūrėti TPDRIS, jos tarnybines stotis ir duomenų perdavimo tinklo įrangą, turi būti susipažinęs su šiais Saugos nuostatais ir kitais TPDRIS saugos dokumentais.
39. TPDRIS techninis administratorius privalo sugebėti užtikrinti IS techninės ir programinės įrangos nepertraukiamą funkcionalumą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų diagnostiką ir šalinimą, išmanyti elektroninės informacijos saugos principus, turi būti susipažinęs su Nuostatais bei kitais saugos politiką įgyvendinančiais dokumentais. TPDRIS naudotojų mokymai Elektroninės informacijos saugos tema vykdomi pagal poreikį. Už mokymų organizavimą yra atsakingas TPDRIS saugos įgaliotinis.
V. NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
40. Tvarkyti TPDRIS duomenis gali tik įgalioti TPDRIS naudotojai, patvirtinę savo tapatybę per Elektroninių paslaugų portalą „Elektroniniai valdžios vartai“ ir pirmą kartą jungdamiesi prie TPDRIS patvirtinę, kad sutinka laikytis saugos dokumentuose nustatytų reikalavimų.
VI. BAIGIAMOSIOS NUOSTATOS
42. Saugos įgaliotinis organizuoja TPDRIS saugos dokumentų peržiūrą ne rečiau kaip kartą per metus. Saugos dokumentai turi būti peržiūrimi atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.