Valstybės duomenų agentūros Valstybės duomenų valdysenos informacinės sistemos informacijos saugumo reikalavimų bei priemonių, užtikrinančių duomenų apsaugą, santrauka
Bendrosios nuostatos
Informacija – tai strategiškai svarbus Valstybės duomenų agentūros (toliau – agentūra) veiklai turtas, todėl jos praradimas, neteisėtas atskleidimas, sugadinimas ar informacijos apdorojimo nutraukimas gali sukelti rimtų agentūros veiklos sutrikimų. Atsižvelgiant į tai, agentūroje yra keliami aukšti reikalavimai informacijos saugumui.
Agentūros Valstybės duomenų valdysenos informacinės sistemos (toliau – VDV IS) informacijos saugumo reikalavimų bei priemonių, užtikrinančių duomenų apsaugą, santrauka (toliau – santrauka) – tai dokumentas, kuriame aprašomos pagrindinės departamento informacijos saugumo nuostatos, informacijos saugos užtikrinimo ir valdymo principai, siekiant užtikrinti departamento tvarkomos informacijos saugą.
Ši santrauka skirta visiems agentūros valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis, VDV IS funkcionuoti reikalingų prekių ir paslaugų tiekėjams, kitoms suinteresuotoms šalims.
Informacijos saugumo valdymo sistema
Agentūros informacijos saugumo reikalavimų įgyvendinimas užtikrinamas ir valdomas nuosekliai planuojant, įgyvendinant, vertinant ir tobulinant informacijos saugumo valdymo sistemą (ISVS). Agentūros informacijos saugumo valdymo sistema yra sertifikuota LST EN ISO/IEC 27001:2017. Turimas sertifikatas patvirtina, kad agentūroje užtikrinamas informacijos saugumo politikos efektyvumas, įgyvendinami informacijos saugumo principai, tinkamai naudojamos informacinės sistemos.
Agentūros ISVS tikslas – apsaugoti visą agentūros gaunamą, siunčiamą, kuriamą, valdomą ir naudojamą žodinę, rašytinę ir elektroninę informaciją nuo galimų grėsmių: išorinių, vidinių, tyčinių ar atsitiktinių, galinčių turėti įtakos agentūros vykdomai veiklai ir įvaizdžiui.
Agentūra nuolat gerina ISVS veiksmingumą, atlikdamas išsamius kasmetinius rizikos vertinimus, organizuodamas ISVS vidaus auditus, nustatydamas neatitiktis ir jas šalindamas, vykdydamas ISVS korekcinius veiksmus ir aptardamas informacijos saugos klausimus pasitarimuose.
Informacijos saugumo reikalavimų įgyvendinimas
+ VDV IS elektroninės informacijos saugos valdymas
|
Agentūros informacijos saugumo politika taikoma visiems agentūros veiklos procesams ir apima žodinę bei rašytinę informaciją, informacines sistemas, kompiuterių tinklus, fizinę aplinką, valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartis, kitus asmenis, teisėtai tvarkančius VDV IS informaciją ar teikiančius agentūrai kitas IT paslaugas. Informacijos saugumas agentūroje grindžiamas:
Kadangi VDV IS elektroninė informacija sudaro svarbius valstybės informacinius išteklius, VDV IS tvarkoma elektroninė informacija priskiriama ypatingos svarbos elektroninės informacijos kategorijai. Duomenų apsaugą agentūroje nustato agentūros generalinio direktoriaus patvirtinti saugos dokumentai:
Visi agentūros darbuotojai ir praktiką atliekantys asmenys pasirašo VDV IS galutinio naudotojo įsipareigojimus dėl duomenų ir nuosavybės teise saugomos informacijos apsaugos. Agentūros darbuotojams reguliariai organizuojami informacijos saugos mokymai. |
+ VDV IS naudotojų įgaliojimai, teisės ir pareigos
|
VDV IS naudotojai privalo:
Pastebėję bet kokį VDV IS veiklos sutrikimą ar saugos incidentą, naudotojai privalo apie jį nedelsdami pranešti departamento Pagalbos tarnybai el. paštu [email protected] arba telefonu +370 652 85456 ir už sutartį atsakingam asmeniui (jei santykiai pagrįsti agentūros ir trečiosios šalies sutartimi). Sutrikus Duomenų valdymo platformos posistemio veiklai papildomai informuojami platformos priežiūrą užtikrinantys darbuotojai el. paštu [email protected]. Agentūra, siekdama apsaugoti informaciją ir asmens duomenis nuo neteisėto atskleidimo ar sunaikinimo, kilus įtarimų dėl naudotojo atliekamų veiksmų ir siekiant sumažinti galimą žalą, turi teisę iš anksto neperspėjus naudotojo stebėti naudotojo veiksmus, taip pat apriboti naudotojo teises naudotis VDV IS. VDV IS naudotojo teisė dirbti su konkrečia VDV IS elektronine informacija sustabdoma nedelsiant, kai pastarasis nušalinamas nuo darbo, vykdomas jo veiklos ikiteisminis tyrimas ir pan. |
+ Techniniai ir organizaciniai saugos reikalavimai
|
Kiekvienam VDV IS naudotojui suteikiamas tik tokia prieiga prie duomenų, kuri yra būtina jo užduotims atlikti. Visi asmens duomenys yra šifruojami arba nuasmeninami. Turi būti naudojama tik legali programinė įranga, kurią įdiegti ar pašalinti gali tik įgalioti asmenys. VDV IS naudotojų kompiuteriuose draudžiama naudoti programinę įrangą, nesusijusią su jų tiesiogine veikla ir funkcijomis. Agentūroje siekiant kontroliuoti asmenų patekimą į agentūros patalpas yra įdiegta leidimų režimo sistema. Siekiant užtikrinti agentūros darbuotojų, lankytojų, pastatų (patalpų) ir juose esančio turto bei agentūros tvarkomų duomenų saugumą agentūroje yra vykdomas vaizdo stebėjimas. Visuose kompiuteriuose yra nustatomas įjungimo slaptažodis. VDV IS naudotojui pasitraukus iš darbo vietos automatiškai po 15 minučių turi būti įjungiama slaptažodžiu apsaugota ekrano užsklanda. VDV IS naudotojai privalo naudotis visomis fizinės saugos priemonėmis, siekdami apsaugoti savo kompiuterius nuo vagystės arba pažeidimo. VDV IS naudotojų darbo vietoms taikoma „švaraus stalo“ politika, todėl VDV IS naudotojai turi vykdyti šiuos reikalavimus:
|
+ VDV IS naudotojų slaptažodžio sudarymo, galiojimo trukmės ir keitimo reikalavimai
|
VDV IS naudotojų slaptažodžiai turi atitikti šiuos reikalavimus:
VDV IS Duomenų valdymo platformos posistemio atveju visiems naudotojams privalomai taikomas dviejų veiksnių autentifikavimo mechanizmas. Draudžiama užrašytus slaptažodžius laikyti šalia kompiuterio ar bet kurioje kitoje kitiems asmenims prieinamoje vietoje ir formoje. Griežtai draudžiama naudoti svetimus identifikatorius ir slaptažodžius. Kiekvienas VDV IS naudotojas atsako už kito asmens veiksmus, jei dėl jo kaltės buvo pasinaudota jo identifikatoriumi ir slaptažodžiu. |
+ Reikalavimai, keliami VDV IS funkcionuoti reikalingoms paslaugoms ir jų teikėjams
|
Už sutarties vykdymą atsakingi asmenys privalo supažindinti tiekėją su šia santrauka. Tiekėjai turi užtikrinti atitiktį minimaliems organizaciniams ir techniniams kibernetinio saugumo reikalavimams, taikomiems kibernetinio saugumo subjektams, nustatytiems Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, taip pat LST EN ISO/IEC 27001:2017 standarte ir kituose teisės ir normatyviniuose aktuose, laikytis Kibernetinio saugumo įstatymo, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941, reikalavimų. Tiekėjai privalo laikytis visų šių pareigų ir reikalavimų tiek, kiek tai susiję su tiekiamomis paslaugomis, įskaitant, bet neapsiribojant, dėl atitikties organizaciniams ir techniniams kibernetinio saugumo reikalavimams bei atsakomybės už kibernetinį saugumą, dėl savalaikio ir atitinkančio keliamus reikalavimus kibernetinių incidentų ir sutrikimų šalinimo, dėl teisės aktuose nustatytų kibernetinio saugumo priemonių vykdymo. Reikalavimai tiekėjams yra iš anksto nustatomi duomenų ar paslaugų teikimo sutartyse. Tiekėjų atliekamos paslaugos stebimos ir prižiūrimos sutartyse nustatyta tvarka. VDV IS administratoriai suteikia tiekėjui tik tokią prieigą prie VDV IS programinių, techninių ir kitų išteklių, kuri yra būtina norint vykdyti VDV IS kūrimo, modernizavimo ir (arba) priežiūros, kitas informacinių technologijų paslaugas ir tik tokia apimtimi, kokia yra būtina teikiant sutartyse numatytas paslaugas. Informacija elektroninio ryšio tinklais yra perduodama naudojant tik šifruotą ryšio kanalą. Pasibaigus sutarties su teikėju galiojimo terminui, VDV IS administratoriai nedelsdami panaikina prieigas prie VDV IS išteklių, suteiktas šiam tiekėjui. |