Microsoft Word - Isakymo_projektas _patvirtintas_.docx

Transkriptas

1 LIETUVOS VYRIAUSIASIS ARCHYVARAS ĮSAKYMAS DĖL ELEKTRONINIO ARCHYVO INFORMACINĖS SISTEMOS IR INTEGRALIOS ADMINISTRACINIŲ PASLAUGŲ SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO 2015 m. liepos 1 d. Nr. (1.3 E)VE-45 Vilnius Vadovaudamasis Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimo Nr. 716 Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo 11, 12 ir 19 punktais: 1. T v i r t i n u Elektroninio archyvo informacinės sistemos ir Integralios administracinių paslaugų sistemos duomenų saugos nuostatus (pridedama). 2. S k i r i u : 2.1. Lietuvos vyriausiojo archyvaro tarnybos Informacijos ir dokumentų naudojimo skyriaus vedėją Iloną Nečiporenkienę Elektroninio archyvo informacinės sistemos duomenų valdymo įgaliotiniu ir Elektroninio archyvo informacinės sistemos duomenų saugos įgaliotiniu; 2.2. Lietuvos vyriausiojo archyvaro tarnybos Informacijos ir dokumentų naudojimo skyriaus vyriausiąjį specialistą Andrių Zilnį Integralios administracinių paslaugų sistemos duomenų valdymo įgaliotiniu ir Integralios administracinių paslaugų sistemos duomenų saugos įgaliotiniu Integralios administracinių paslaugų sistemos valdytoją ir tvarkytojus, nurodytus Integralios administracinių paslaugų sistemos duomenų saugos nuostatų 8 ir 9 punktuose. 3. P a v e d u Lietuvos vyriausiojo archyvaro tarnybos Informacijos ir dokumentų naudojimo skyriaus vedėjai Ilonai Nečiporenkienei ir šio skyriaus vyriausiajam specialistui Andriui Zilniui per 6 mėnesius po šio įsakymo patvirtinimo parengti Elektroninio archyvo informacinės sistemos ir Integralios administracinių paslaugų sistemos saugos politiką įgyvendinančius dokumentus. Lietuvos vyriausiasis archyvaras Ramojus Kraujelis

2 1 PATVIRTINTA Lietuvos vyriausiojo archyvaro 2015 m. liepos 1 d. įsakymu Nr. (1.3 E)VE-45 ELEKTRONINIO ARCHYVO INFORMACINĖS SISTEMOS IR INTEGRALIOS ADMINISTRACINIŲ PASLAUGŲ SISTEMOS DUOMENŲ SAUGOS NUOSTATAI I SKYRIUS BENDROSIOS NUOSTATOS 1. Elektroninio archyvo informacinės sistemos (toliau EAIS) ir Integralios administracinių paslaugų sistemos (toliau IAPS) duomenų saugos nuostatuose (toliau Saugos nuostatai) nustatomi principai ir taisyklės, užtikrinantys saugų EAIS ir IAPS (toliau Sistemos) elektroninės informacijos tvarkymą (gavimą, įvedimą, apdorojimą, saugojimą, teikimą) informacinių technologijų ir ryšio priemonėmis. 2. Saugos nuostatuose vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos standarte LST ISO :2006 Informacija ir dokumentai Dokumentų vadyba 1 dalis: Bendrieji dalykai vartojamas sąvokas. 3. Saugos nuostatai nustato Sistemų saugos politiką. Sistemų saugos politiką įgyvendina: 3.1. EAIS ir IAPS saugaus elektroninės informacijos tvarkymo taisyklės; 3.2. EAIS ir IAPS veiklos tęstinumo valdymo planas; 3.3. EAIS ir IAPS naudotojų administravimo taisyklės. 4. Saugos nuostatai reguliuoja saugų Sistemų elektroninės informacijos tvarkymą ir yra privalomi visiems Sistemų elektroninę informaciją tvarkantiems darbuotojams, administratoriams ir saugos įgaliotiniui. 5. Sistemų elektroninės informacijos saugumo užtikrinimo tikslai: 5.1. sudaryti sąlygas saugiai automatizuotu būdu kaupti, tvarkyti, sisteminti, teikti Sistemų dokumentus ir elektroninę informaciją;

3 užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, ar kitokio neteisėto jos tvarkymo; 5.3. užtikrinti, kad Sistemose saugomi elektroniniai dokumentai ilgainiui neprarastų šių pagrindinių savybių: autentiškumo, patikimumo, vientisumo ir galimybės jais naudotis. 6. Atsižvelgiant į Sistemų pobūdį saugoti valstybės archyvams įstaigų perduotus oficialius elektroninius dokumentus ilgą ar neribotą laiką, užtikrinti saugomų dokumentų fizinį išsaugojimą bei galimybę naudoti laikui bėgant, užtikrinti teisėtą prieigą prie saugomų dokumentų tik asmenims, kurių tapatybė nustatyta, įstatymų nustatytais atvejais riboti prieigą prie dokumentų, saugoti asmens duomenis, elektroninės informacijos sauga, jos užtikrinimas bei valdymas yra ypač svarbi Sistemų priežiūros dalis. 7. Elektroninės informacijos saugos užtikrinimo prioritetinės kryptys: 7.1. sukauptos elektroninės informacijos išsaugojimas ir informacijos praradimo rizikos minimizavimas (elektroninės informacijos vientisumo užtikrinimas); 7.2. elektroninės informacijos autentiškumo ir patikimumo užtikrinimas; 7.3. elektroninės informacijos galimybės naudoti laikui bėgant (prieinamumo) užtikrinimas; 7.4. elektroninės informacijos konfidencialumo užtikrinimas; 7.5. Sistemų veiklos tęstinumas; 7.6. Sistemų naudotojų mokymas; 7.7. asmens duomenų apsauga. 8. Sistemų valdytojas yra Lietuvos vyriausiojo archyvaro tarnyba (toliau Archyvaro tarnyba), kurios adresas Algirdo g. 31, LT Vilnius. 9. Sistemų tvarkytojai: 9.1. Lietuvos vyriausiojo archyvaro tarnyba; 9.2. Sistemų duomenų centrai: Lietuvos valstybės naujasis archyvas, kurio adresas O. Milašiaus g. 19, LT Vilnius; Šiaulių apskrities archyvas, kurio adresas Vilniaus g. 160, LT Šiauliai; 9.3. kiti valstybės archyvai: Lietuvos valstybės istorijos archyvas, kurio adresas Gerosios Vilties g. 10, LT Vilnius;

4 Lietuvos centrinis valstybės archyvas, kurio adresas O. Milašiaus g. 21, LT Vilnius; Lietuvos ypatingasis archyvas, kurio adresas Gedimino pr. 40/1, LT Vilnius; Lietuvos literatūros ir meno archyvas, kurio adresas O. Milašiaus g. 19, LT Vilnius; Alytaus apskrities archyvas, kurio adresas Jotvingių g. 7, LT Alytus; Kauno apskrities archyvas, kurio adresas Maironio g. 28B, LT Kaunas; Klaipėdos apskrities archyvas, kurio adresas Priestočio g. 8, LT Klaipėda; Marijampolės apskrities archyvas, kurio adresas P. Butlerienės g. 9, LT Marijampolė; Panevėžio apskrities archyvas, kurio adresas M. Valančiaus g. 3, LT Panevėžys; Tauragės apskrities archyvas, kurio adresas Gaurės g. 4a, LT Tauragė; Telšių apskrities archyvas, kurio adresas Sedos g. 12, LT Telšiai; Utenos apskrities archyvas, kurio adresas Basanavičiaus g. 114, LT Utena; Vilniaus apskrities archyvas, kurio adresas O. Milašiaus g. 23, LT Vilnius. 10. Sistemų valdytojo funkcijos ir atsakomybė: skiria Sistemų saugos įgaliotinį (toliau Saugos įgaliotinis). Kiekvienai sistemai skiriamas atskiras Saugos įgaliotinis; koordinuoja Sistemų tvarkytojų darbą, metodiškai jiems vadovauja ir įstatymų nustatyta tvarka atlieka šio darbo priežiūrą; organizuoja Sistemų duomenų saugos teisinės bazės plėtojimą ir įgyvendinimą; prižiūri, kaip laikomasi Sistemų duomenų saugos reikalavimų; priima Sistemų saugos politiką įgyvendinančius teisės aktus, kitus dokumentus, tikrina, kaip jie vykdomi; užtikrina veiksmingą ir spartų Sistemų tobulinimo planavimą; kontroliuoja, kad būtų skiriami pakankami, racionaliai ir taupiai naudojami darbo, materialiniai ir finansiniai ištekliai, susiję su Sistemų tvarkymu; atsako už tinkamą pavestų funkcijų vykdymą; atsako už Sistemose tvarkomos informacijos tvarkymo teisėtumą ir informacijos saugą. 11. Sistemų tvarkytojo Lietuvos vyriausiojo archyvaro tarnybos funkcijos ir atsakomybė:

5 skiria administratorius registruoti Sistemų naudotojus, duomenų teikėjus ir gavėjus, jų įgaliotus asmenis, atlikti Sistemų priežiūrą; užtikrina saugų Sistemų elektroninės informacijos perdavimą kompiuterių tinklais (automatiniu būdu); nagrinėja siūlymus dėl Sistemų duomenų saugos tobulinimo; užtikrina Sistemų valdytojo priimtų teisės aktų ir rekomendacijų tinkamą įgyvendinimą; ne rečiau kaip kartą per metus, atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą, organizuoja Sistemų saugos dokumentų peržiūrėjimą; organizuoja elektroninės informacijos registravimo ir teikimo mokomuosius ir pažintinius kursus Sistemų naudotojams; teikia kitiems Sistemų tvarkytojams metodinę ir informacinę pagalbą Sistemų saugos klausimais, apibendrina elektroninių dokumentų priėmimo, parengimo saugojimui, saugojimo, rizikos valdymo, saugomų dokumentų naikinimo, duomenų įvedimo, tvarkymo ir kitų su duomenimis atliekamų veiksmų praktiką ir teikia bendrą praktiką formuojančias rekomendacijas; organizuoja Sistemų duomenų saugos priežiūros darbų atlikimą. 12. Sistemų tvarkytojų Sistemų duomenų centrų funkcijos ir atsakomybė: užtikrina Sistemų elektroninės informacijos ir dokumentų saugą, administruoja Sistemų duomenų bazes, teikia pasiūlymus Sistemų valdytojui dėl duomenų saugos tobulinimo; saugo į valstybės archyvus perduotus elektroninius dokumentus, užtikrina jų vientisumo ir konfidencialumo išsaugojimą; organizuoja saugomų elektroninių dokumentų rizikos valdymą, užtikrina jų autentiškumo, patikimumo ir galimybės naudoti laikui bėgant išsaugojimą, saugojimo laikmenų valdymą; teisės aktų nustatyta tvarka atlieka dokumentų naikinimą; stebi Sistemų veiklą, sutrikus ją atkuria; užtikrina Sistemų valdytojo priimtų teisės aktų ir rekomendacijų tinkamą įgyvendinimą; dalyvauja atliekant rizikos vertinimą, informacinių technologijų saugos atitikties vertinimą, peržiūrint Sistemų saugos dokumentus. 13. Sistemų tvarkytojų kitų valstybės archyvų funkcijos ir atsakomybė: pagal kompetenciją priima saugoti elektroninius dokumentus, atlieka kitas nustatytas funkcijas, tvarko Sistemose saugomus dokumentus ir elektroninę informaciją;

6 užtikrina Sistemų duomenų saugą Sistemų tvarkytojo įstaigoje ir saugų duomenų perdavimą kompiuterių tinklais (automatiniu būdu); užtikrina Sistemų valdytojo priimtų teisės aktų ir rekomendacijų tinkamą įgyvendinimą; teikia siūlymus Sistemų valdytojui dėl duomenų saugos tobulinimo. 14. Saugos įgaliotinio, įgyvendinančio Sistemų saugos politiką, funkcijos ir atsakomybė: teikia Sistemų valdytojui pasiūlymus dėl Sistemų administratorių paskyrimo, Lietuvos vyriausiojo archyvaro tarnybos ir valstybės archyvų informacinių technologijų saugos, saugos reikalavimų atitikties vertinimo atlikimo, saugos politiką reglamentuojančių dokumentų; registruoja Sistemų administratorius ir suteikia jiems teises pagal kompetenciją administruoti Sistemas; atlieka įvykusių Sistemų elektroninės informacijos saugos incidentų tyrimą, išskyrus atvejus, kai šią funkciją atlieka sudarytos informacijos saugos darbo grupės; teikia administratoriams privalomus vykdyti nurodymus ir pavedimus; kasmet organizuoja Sistemų rizikos vertinimus, prireikus organizuoja neeilinius Sistemų rizikos vertinimus; periodiškai supažindina Sistemų naudotojus su informacijos saugos aktualijomis, informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai); atlieka kitas Sistemų valdytojo pavestas ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, jam priskirtas funkcijas. 15. Sistemų administratorių funkcijos ir atsakomybė: pagal kompetenciją registruoja Sistemų naudotojus, duomenų teikėjus ir gavėjus, jų įgaliotus asmenis, suteikia jiems prieigos teises; stabdo Sistemų duomenų tvarkymo ar naudojimo įgaliojimus jų netekusiems asmenims ar baigus galioti Sistemų duomenų teikimo sutarčiai; pagal kompetenciją atlieka Sistemų priežiūrą; dalyvauja atliekant Sistemų naudotojams suteiktų teisių ir priskirtų funkcijų atitikties vertinimą; rengia, tikrina, peržiūri Sistemas sudarančių komponentų sąranką;

7 dalyvauja nustatant Sistemų pažeidžiamas vietas; dalyvauja atliekant Sistemų saugumo reikalavimų atitikties vertinimą; nedelsdami vykdo Saugos įgaliotinio nurodymus dėl Sistemų saugos politikos įgyvendinimo; informuoja Saugos įgaliotinį apie saugos politiką įgyvendinančių dokumentų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones. 16. Teisės aktai, kuriais vadovaujamasi tvarkant elektroninę informaciją ir užtikrinant jos saugumą: Lietuvos Respublikos dokumentų ir archyvų įstatymas; Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas; Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas; Lietuvos Respublikos kibernetinės saugos įstatymas; Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716; Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832; Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12); Lietuvos standartai LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006, Lietuvos ir tarptautiniai Informacijos technologija. Saugumo technika grupės standartai, reguliuojantys saugų Informacinės sistemos duomenų tvarkymą; Sistemų saugos politiką įgyvendinantys teisės aktai, kiti teisės aktai ir dokumentai, reguliuojantys elektroninės informacijos saugos politiką, duomenų tvarkymo teisėtumą, Sistemų tvarkytojų veiklą ir duomenų saugos valdymą. II SKYRIUS ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

8 7 17. EAIS tvarkoma elektroninė informacija yra svarbi elektroninė informacija, nes ji yra svarbi kelioms institucijoms ir šios informacijos saugumo pažeidimas: gali sukelti pavojų viešajai tvarkai ir gyventojų saugumui; gali sutrikdyti kelių institucijų veiklą ar viešųjų paslaugų teikimą daugiau kaip vienai dienai. 18. EAIS tvarkoma elektroninė informacija yra žinybinės svarbos elektroninė informacija, nes ji yra svarbi vienai institucijai ir šios informacijos saugumo pažeidimas: gali padaryti žalą vieno ar kelių fizinių ar juridinių asmenų teisėtiems interesams, taip pat ir asmens duomenų apsaugai; gali turėti neigiamų padarinių institucijos veiklai. 19. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5 punktu, EAIS priskiriama antros kategorijos informacinėms sistemoms. 20. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5 punktu, IAPS priskiriama trečios kategorijos informacinėms sistemoms. 21. Saugos įgaliotinis, vadovaudamasis Lietuvos standartu LST ISO/IEC 27005:2008 Informacijos technologija. Saugumo metodai. Informacijos saugumo rizikos valdymas (tapatus ISO/IEC 27005:2008), kasmet organizuoja Sistemų rizikos vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinius Sistemų rizikos vertinimus. 22. Sistemų rizikos vertinimas surašomas rizikos įvertinimo ataskaitoje (kiekvienai sistemai sudaroma atskira rizikos įvertinimo ataskaita). Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausi rizikos veiksniai yra šie: subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita); subjektyvūs tyčiniai (nesankcionuotas naudojimasis Informacinių sistemų duomenimis, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita); nenugalima jėga (force majeure).

9 8 23. Rizikos veiksniai vertinami pagal elektroninės informacijos kategorijas, nustatant jų įtakos Sistemų elektroninės informacijos saugai laipsnius: Ž žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi: informacija pasiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, nesusijusios su elektroninių dokumentų saugykloje saugomais elektroniniais dokumentais, tačiau prarastą informaciją įmanoma atkurti iš atsarginių kopijų, sugadinta operacinė sistema; V vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti: duomenys netikslūs ar visiškai sugadinti; duomenų bazių įrašai suklastoti ir nekorektiški, elektroninių dokumentų saugykloje yra pažeistų elektroninių dokumentų arba dalis jų prarasta, tačiau duomenis įmanoma atkurti iš atsarginių kopijų; sunku rasti klaidas ir suklastotą informaciją; neveikia kompiuterinės programos ir operacinė sistema; A aukštas. Duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti: duomenys visiškai sugadinti; dėl vagystės, gaisro, užliejimo, fizinio ar elektromagnetinio poveikio prarasti ne tik duomenys, saugomi duomenų bazėse ir saugyklose, bet ir jų atsarginės kopijos; IAPS neveikia (ar tikėtina, kad neveiks) ilgiau nei 3 paras. 24. Rizikos vertinimo metu atliekamų darbų apimtis: Sistemas sudarančių informacinių išteklių inventorizacija; įtakos Sistemų veiklai vertinimas; grėsmių ir pažeidimų analizė; liekamosios rizikos vertinimas. 25. Atsižvelgdamas į rizikos įvertinimo ataskaitą, Sistemų valdytojas prireikus tvirtina Rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti. 26. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie: aukščiausias prioritetas išsaugoti saugomus duomenis ir sumažinti informacijos praradimo riziką; sumažinti iki priimtino lygio likutinę riziką; užtikrinti, kad informacijos saugos priemonės diegimo kaina būtų adekvati saugomos informacijos vertei; kur galima, įdiegti prevencines, detekcines ir korekcines informacijos saugos priemones.

10 9 27. Siekiant užtikrinti šiuose Saugos nuostatuose ir kituose saugos politiką nustatančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kasmet organizuojamas informacinių technologijų saugos atitikties vertinimas, kurio metu: įvertinama saugos dokumentų ir realios informacijos saugos atitiktis; inventorizuojama Sistemų techninė ir programinė įranga; tikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų Sistemų duomenis tvarkančių darbuotojų ir sistemų administratorių darbo vietų, visose tarnybinėse stotyse įdiegtų programų ir jų sąranka; patikrinama (įvertinama) Sistemų duomenis tvarkantiems darbuotojams ir administratoriams suteiktų teisių atitiktis vykdomoms funkcijoms; įvertinama parengtis užtikrinti Sistemų veiklos tęstinumą įvykus saugos incidentui. 28. Atlikus šių nuostatų 27 punkte nurodytą vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Sistemų valdytojas. III SKYRIUS ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI 29. Priemonės ir metodai, kurie taikomi užtikrinant prieigą prie Sistemų, nurodant leistinus prieigos atvejus, būdą ir laiką, konkrečiai nustatomi ir reguliuojami EAIS ir IAPS naudotojų administravimo taisyklėse. 30. Visos Sistemų tarnybinės stotys ir naudotojų darbo vietos turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.) apsaugai naudojamos programinės įrangos turimos duomenų bazės kaupiančios informaciją apie kenksmingą programinę įrangą turi automatiškai atsinaujinti ne rečiau kaip kartą per parą; pati apsaugai naudojama programinė įranga (jos versija) atnaujinama ne rečiau negu kartą per metus. 31. Draudžiama naudoti programinę įrangą, nesusijusią su Sistemų tvarkytojo veikla ar Sistemų naudotojo atliekamomis funkcijomis. 32. Sistemų naudotojų prieiga prie kitų valstybės institucijų arba žinybų kompiuterių tinklų ar interneto turi būti apsaugota užkardomis. Interneto turinys turi būti kontroliuojamas, nepraleidžiant

11 10 nepageidaujamos informacijos. Už šios įrangos administravimo koordinavimą ir priežiūrą atsakingas Saugos įgaliotinis. 33. Stacionarių darbo vietų kompiuterius leidžiama naudoti tik Sistemų tvarkytojų patalpose. 34. Nešiojamieji kompiuteriai ir kiti įrenginiai negali būti palikti be priežiūros, palikti veikiantys neužrakintose patalpose, matomi automobilyje, viešbučio kambaryje (išskyrus užrakintus seife). Kelionių lėktuvais metu nešiojamieji įrenginiai turi būti laikomi rankiniame bagaže. Visi nešiojamieji įrenginiai turi būti apsaugoti saugiais slaptažodžiais, jei įmanoma, turi būti aktyvuotas bazinės įvesties / išvesties sistemos (angl. Basic Input/Output System (BIOS)) slaptažodis. 35. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojamas Saugus valstybės duomenų perdavimo tinklas. 36. Duomenys teikiami ir (ar) gaunami automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas. 37. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš juridinių ir (ar) fizinių asmenų, naudojama fizinių ir juridinių asmenų tapatybės nustatymo per VIISP paslauga. Duomenys ir dokumentai priimami ir teikiami tik registruotiems sistemos naudotojams. 38. Duomenų perdavimo saugumas užtikrinamas HTTPS protokolu. 39. Už Sistemų atsarginių duomenų kopijų darymą ir saugojimą atsakingi įgalioti Sistemų administratoriai. 40. Turi būti daromos šios atsarginės Sistemų duomenų kopijos: dokumentus perduodančių institucijų perduoti elektroninių dokumentų originalia perdavimo paketų forma kopijos; Sistemose saugomų elektroninių dokumentų ir duomenų atsarginės kopijos. Tarp geografiškai nutolusių Sistemų duomenų centrų šios kopijos daromos taip, kad netrukdytų perjungti sistemos veiklos iš vieno duomenų centro į kitą, jei sutriktų vieno duomenų centro darbas, ir nereikėtų papildomai kopijuoti duomenų, norint atkurti sistemos veiklą; tarnybinių stočių operacinių sistemų ir Sistemų taikomosios ir standartinės programinės įrangos rezervinės kopijos, prieš keičiant tos programinės įrangos konfigūraciją. 41. Atsarginės Sistemų duomenų kopijos turi būti daromos automatiškai. Sistemų duomenys turi būti kopijuojami ir saugomi taip, kad sutrikus pagrindinio Sistemų duomenų centro veiklai būtų įmanoma per 1 valandą atkurti sistemos veiklą rezerviniame duomenų centre. Sistemų viešųjų portalų veikla turi būti atkuriama ne ilgiau kaip per 3 dienas, vidinio portalo ir archyvų darbuotojams skirtų komponentų veikla turi būti atkuriama ne ilgiau kaip per 8 darbo valandas, elektroninių dokumentų

12 11 teikėjų viešųjų portalų funkcijų veikla turi būti atkuriama ne ilgiau kaip per 16 darbo valandų, Sistemų vidinių procesų veikla turi būti atkuriama ne ilgiau kaip per 24 darbo valandas. 42. Duomenis atkurti prireikus turi teisę tik Sistemų administratoriai. Kopijų, iš kurių būtų galima atkurti duomenis, darymo ir saugojimo tvarka detaliai aprašyta saugaus elektroninės informacijos tvarkymo taisyklėse. 43. Duomenų atkūrimo iš atsarginių kopijų testavimas atliekamas ne rečiau kaip kartą per 6 mėnesius. Ne rečiau kaip kartą per 5 metus turi būti atliekamas vienkartinio įrašymo laikmenose saugomų duomenų perrašymas į naujas laikmenas. 44. Turi būti įgyvendinti ir kiti Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832. IAPS turi būti įgyvendinami reikalavimai keliami trečiosios kategorijos informacinėms sistemoms; EAIS turi būti įgyvendinami reikalavimai keliami antrosios kategorijos informacinėms sistemoms. IV SKYRIUS REIKALAVIMAI PERSONALUI 45. Sistemų naudotojai privalo rūpintis tvarkomos informacijos saugumu. 46. Visi Sistemų naudotojai privalo turėti darbo kompiuteriu įgūdžių bei būti išklausę bendruosius darbo su Sistemomis mokymo kursus. 47. Tvarkyti EAIS duomenis gali tik EAIS naudotojai. Tvarkyti IAPS duomenis gali tik IAPS naudotojai. Sistemų naudotojai, tvarkantys Sistemų duomenis turi būti susipažinę su saugos dokumentais bei raštu sutikę laikytis šių teisės aktų reikalavimų. 48. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais. 49. Administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. Administratorius, prižiūrintis Sistemų duomenų centrus, privalo būti susipažinęs su duomenų bazių ir duomenų centruose naudojamos techninės ir programinės įrangos administravimo ir priežiūros pagrindais.

13 Saugos įgaliotinis ne rečiau kaip kartą per metus inicijuoja Sistemų naudotojų mokymus informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų organizavimas, atmintinių naujai priimtiems darbuotojams rengimas). V SKYRIUS INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI 51. Už Sistemų naudotojų supažindinimą su saugos dokumentais ir saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių teisės aktų reikalavimų nesilaikymą yra atsakingas Saugos įgaliotinis. 52. Sistemų naudotojai su saugos dokumentais ir saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių teisės aktų reikalavimų nesilaikymą supažindinami pasirašytinai. 53. Pakartotinai su saugos dokumentais ir saugos politiką įgyvendinančiais teisės aktais Sistemų naudotojai supažindinami tik iš esmės juos pasikeitus. Informacija apie pasikeitimus saugos dokumentuose ir saugos politiką įgyvendinančiuose teisės aktuose siunčiama elektroniniu būdu. VI SKYRIUS BAIGIAMOSIOS NUOSTATOS 54. Saugos nuostatai ir saugos politiką įgyvendinantys dokumentai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą, arba įvykus esminiams organizaciniams, sisteminiams ar kitiems Sistemų tvarkytojų pokyčiams. Prireikus saugos dokumentai turi būti tikslinami ir derinami su Lietuvos Respublikos vidaus reikalų ministerija. 55. Sistemų tvarkytojai privalo įgyvendinti Saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose saugų Sistemų duomenų tvarkymą, nustatytas organizacines, technines ir kitas priemones. 56. Saugos įgaliotinis, Sistemų administratoriai, Sistemų naudotojai, pažeidę šių nuostatų ar saugos politiką įgyvendinančių dokumentų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

14 13 SUDERINTA Lietuvos Respublikos vidaus reikalų ministerijos 2015 m. birželio 19 d. raštu Nr.1D-5528