Lietuvos statistikos departamento Valstybės duomenų valdysenos informacinės sistemos informacijos saugumo reikalavimų bei priemonių, užtikrinančių duomenų apsaugą, santrauka

Bendrosios nuostatos

Informacija – tai strategiškai svarbus Lietuvos statistikos departamento (toliau – departamentas) veiklai turtas, todėl jos praradimas, neteisėtas atskleidimas, sugadinimas ar informacijos apdorojimo nutraukimas gali sukelti rimtų departamento veiklos sutrikimų. Atsižvelgiant į tai, departamente yra keliami aukšti reikalavimai informacijos saugumui.

Departamento Valstybės duomenų valdysenos informacinės sistemos (toliau – VDV IS) informacijos saugumo reikalavimų bei priemonių, užtikrinančių duomenų apsaugą, santrauka (toliau – santrauka) – tai dokumentas, kuriame aprašomos pagrindinės departamento informacijos saugumo nuostatos, informacijos saugos užtikrinimo ir valdymo principai, siekiant užtikrinti departamento tvarkomos informacijos saugą.

Ši santrauka skirta visiems departamento valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis, VDV IS funkcionuoti reikalingų prekių ir paslaugų tiekėjams, kitoms suinteresuotoms šalims.

Informacijos saugumo valdymo sistema

Departamento informacijos saugumo reikalavimų įgyvendinimas užtikrinamas ir valdomas nuosekliai planuojant, įgyvendinant, vertinant ir tobulinant informacijos saugumo valdymo sistemą (ISVS). Departamento informacijos saugumo valdymo sistema yra sertifikuota LST EN ISO/IEC 27001:2017. Turimas sertifikatas patvirtina, kad departamente užtikrinamas informacijos saugumo politikos efektyvumas, įgyvendinami informacijos saugumo principai, tinkamai naudojamos informacinės sistemos.

Departamento ISVS tikslas – apsaugoti visą departamento gaunamą, siunčiamą, kuriamą, valdomą ir naudojamą žodinę, rašytinę ir elektroninę informaciją nuo galimų grėsmių: išorinių, vidinių, tyčinių ar atsitiktinių, galinčių turėti įtakos departamento vykdomai veiklai ir įvaizdžiui.

Departamentas nuolat gerina ISVS veiksmingumą, atlikdamas išsamius kasmetinius rizikos vertinimus, organizuodamas ISVS vidaus auditus, nustatydamas neatitiktis ir jas šalindamas, vykdydamas ISVS korekcinius veiksmus ir aptardamas informacijos saugos klausimus pasitarimuose.

Informacijos saugumo reikalavimų įgyvendinimas

+ VDV IS elektroninės informacijos saugos valdymas


  

 

Departamento informacijos saugumo politika taikoma visiems departamento veiklos procesams ir apima žodinę bei rašytinę informaciją, informacines sistemas, kompiuterių tinklus, fizinę aplinką, valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartis, kitus asmenis, teisėtai tvarkančius VDV IS informaciją ar teikiančius departamentui kitas IT paslaugas.

Informacijos saugumas departamente grindžiamas:

  • konfidencialumo principu – departamentas užtikrina, kad duomenys yra prieinami tik tiems duomenų vartotojams, kuriems yra skirti;
  • vientisumo principu – departamentas garantuoja, kad duomenys jų saugojimo arba perdavimo metu nebuvo neleistinu būdu pakeisti;
  • prieinamumo principu – departamentas užtikrina galimybę gauti duomenis per priimtiną laikotarpį.

Kadangi VDV IS elektroninė informacija sudaro svarbius valstybės informacinius išteklius, VDV IS tvarkoma elektroninė informacija priskiriama ypatingos svarbos elektroninės informacijos kategorijai.

Duomenų apsaugą departamente nustato departamento generalinio direktoriaus patvirtinti saugos dokumentai:

  • VDV IS duomenų saugos nuostatai;
  • VDV IS saugaus elektroninės informacijos tvarkymo taisyklės, įskaitant VDV IS galutinio naudotojo įsipareigojimus dėl duomenų ir nuosavybės teise saugomos informacijos apsaugos;
  • VDV IS naudotojų administravimo taisyklės;
  • VDV IS veiklos tęstinumo valdymo planas;
  • departamento kibernetinių incidentų VDV IS valdymo planas;
  • departamento ISVS vadovas;
  • kiti vidaus teisės aktai, reglamentuojantys informacijos saugą, kibernetinį saugumą ir asmens duomenų apsaugą departamente.

Visi departamento darbuotojai ir praktiką atliekantys asmenys pasirašo VDV IS galutinio naudotojo įsipareigojimus dėl duomenų ir nuosavybės teise saugomos informacijos apsaugos.

Departamento darbuotojams reguliariai organizuojami informacijos saugos mokymai.
 

 

+ VDV IS naudotojų įgaliojimai, teisės ir pareigos


  

 

VDV IS naudotojai privalo:

  • laikytis organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, ir šios santraukos reikalavimų;
  • naudoti VDV IS elektroninę informaciją tik darbo funkcijoms atlikti;
  • užtikrinti jų naudojamos ir tvarkomos VDV IS elektroninės informacijos konfidencialumą bei vientisumą, savo veiksmais netrikdyti VDV IS elektroninės informacijos prieinamumo;
  • baigę darbą ar pasitraukdami iš darbo vietos, imtis priemonių, kad su VDV IS elektronine informacija negalėtų susipažinti pašaliniai asmenys.

Pastebėję bet kokį VDV IS veiklos sutrikimą ar saugos incidentą, naudotojai privalo apie jį nedelsdami pranešti departamento Pagalbos tarnybai el. paštu IT.pagalba@stat.gov.lt arba telefonu +370 652 85456 ir už sutartį atsakingam asmeniui (jei santykiai pagrįsti departamento ir trečiosios šalies sutartimi). Sutrikus Duomenų valdymo platformos posistemio veiklai papildomai informuojami platformos priežiūrą užtikrinantys darbuotojai el. paštu vdv-support@palantir.com.

Departamentas, siekdamas apsaugoti informaciją ir asmens duomenis nuo neteisėto atskleidimo ar sunaikinimo, kilus įtarimų dėl naudotojo atliekamų veiksmų ir siekiant sumažinti galimą žalą, turi teisę iš anksto neperspėjęs naudotojo stebėti naudotojo veiksmus, taip pat apriboti naudotojo teises naudotis VDV IS.

VDV IS naudotojo teisė dirbti su konkrečia VDV IS elektronine informacija sustabdoma nedelsiant, kai pastarasis nušalinamas nuo darbo, vykdomas jo veiklos ikiteisminis tyrimas ir pan.
 

 

+ Techniniai ir organizaciniai saugos reikalavimai


  

 

Kiekvienam VDV IS naudotojui suteikiamas tik tokia prieiga prie duomenų, kuri yra būtina jo užduotims atlikti.

Visi asmens duomenys yra šifruojami arba nuasmeninami.

Turi būti naudojama tik legali programinė įranga, kurią įdiegti ar pašalinti gali tik įgalioti asmenys. VDV IS naudotojų kompiuteriuose draudžiama naudoti programinę įrangą, nesusijusią su jų tiesiogine veikla ir funkcijomis.

Departamente siekiant kontroliuoti asmenų patekimą į departamento patalpas yra įdiegta leidimų režimo sistema.

Siekiant užtikrinti departamento darbuotojų, lankytojų, pastatų (patalpų) ir juose esančio turto bei departamento tvarkomų duomenų saugumą departamente yra vykdomas vaizdo stebėjimas.

Visuose kompiuteriuose yra nustatomas įjungimo slaptažodis. VDV IS naudotojui pasitraukus iš darbo vietos automatiškai po 15 minučių turi būti įjungiama slaptažodžiu apsaugota ekrano užsklanda.

VDV IS naudotojai privalo naudotis visomis fizinės saugos priemonėmis, siekdami apsaugoti savo kompiuterius nuo vagystės arba pažeidimo.

VDV IS naudotojų darbo vietoms taikoma „švaraus stalo“ politika, todėl VDV IS naudotojai turi vykdyti šiuos reikalavimus:

  • nors ir trumpam paliekant darbo vietą reikia įjungti slaptažodžiu apsaugotą ekrano užsklandą;
  • baigus darbą reikia uždaryti programų langus ir išjungti kompiuterį;
  • VDV IS naudotojų, dirbančių nuotoliniu būdu, kompiuteris gali būti paliktas įjungtas su slaptažodžiu apsaugota ekrano užsklanda;
  • baigus darbą nepalikti ant stalo dokumentų ir duomenų laikmenų su konfidencialiais duomenimis arba riboto naudojimo informacija, sudėti juos į stalčius, spintas ar lentynas;
  • VDV IS naudotojo darbastalis, taip pat kompiuterio darbalaukiai negali būti naudojami dokumentams bei failams su konfidencialiais duomenimis arba riboto naudojimo informacija saugoti.
     

 

+ VDV IS naudotojų slaptažodžio sudarymo, galiojimo trukmės ir keitimo reikalavimai


  

 

VDV IS naudotojų slaptažodžiai turi atitikti šiuos reikalavimus:

  • slaptažodis turi būti sudarytas iš raidžių, skaičių ir specialiųjų simbolių. Slaptažodį turi sudaryti ne mažiau kaip 8 simboliai;
  • slaptažodžiams sudaryti nenaudojama asmeninio pobūdžio informacija, jie negali būti susieti su darbuotojo ar jo šeimos narių vardais, pavardėmis, asmens kodais, gimimo datomis ar kita panašia lengvai atspėjama informacija;
  • VDV IS naudotojų slaptažodžiai yra laikomi paslaptyje. Jų negalima atskleisti nei kitiems darbuotojams, nei tretiesiems asmenims;
  • VDV IS naudotojui 3 kartus iš eilės įvedus neteisingą slaptažodį, VDV IS naudotojo paskyra užrakinama mažiausiai 15 minučių laikotarpiui.
  • slaptažodis turi būti keičiamas ne rečiau kaip kas 60 dienų.

VDV IS Duomenų valdymo platformos posistemio atveju visiems naudotojams privalomai taikomas dviejų veiksnių autentifikavimo mechanizmas.

Draudžiama užrašytus slaptažodžius laikyti šalia kompiuterio ar bet kurioje kitoje kitiems asmenims prieinamoje vietoje ir formoje.

Griežtai draudžiama naudoti svetimus identifikatorius ir slaptažodžius. Kiekvienas VDV IS naudotojas atsako už kito asmens veiksmus, jei dėl jo kaltės buvo pasinaudota jo identifikatoriumi ir slaptažodžiu.
 

 

+ Reikalavimai, keliami VDV IS funkcionuoti reikalingoms paslaugoms ir jų teikėjams


  

 

Už sutarties vykdymą atsakingi asmenys privalo supažindinti tiekėją su šia santrauka.

Tiekėjai turi užtikrinti atitiktį minimaliems organizaciniams ir techniniams kibernetinio saugumo reikalavimams, taikomiems kibernetinio saugumo subjektams, nustatytiems Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, taip pat LST EN ISO/IEC 27001:2017 standarte ir kituose teisės ir normatyviniuose aktuose, laikytis Kibernetinio saugumo įstatymo, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941, reikalavimų. Tiekėjai privalo laikytis visų šių pareigų ir reikalavimų tiek, kiek tai susiję su tiekiamomis paslaugomis, įskaitant, bet neapsiribojant, dėl atitikties organizaciniams ir techniniams kibernetinio saugumo reikalavimams bei atsakomybės už kibernetinį saugumą, dėl savalaikio ir atitinkančio keliamus reikalavimus kibernetinių incidentų ir sutrikimų šalinimo, dėl teisės aktuose nustatytų kibernetinio saugumo priemonių vykdymo.

Reikalavimai tiekėjams yra iš anksto nustatomi duomenų ar paslaugų teikimo sutartyse.

Tiekėjų atliekamos paslaugos stebimos ir prižiūrimos sutartyse nustatyta tvarka.

VDV IS administratoriai suteikia tiekėjui tik tokią prieigą prie VDV IS programinių, techninių ir kitų išteklių, kuri yra būtina norint vykdyti VDV IS kūrimo, modernizavimo ir (arba) priežiūros, kitas informacinių technologijų paslaugas ir tik tokia apimtimi, kokia yra būtina teikiant sutartyse numatytas paslaugas.

Informacija elektroninio ryšio tinklais yra perduodama naudojant tik šifruotą ryšio kanalą.

Pasibaigus sutarties su teikėju galiojimo terminui, VDV IS administratoriai nedelsdami panaikina prieigas prie VDV IS išteklių, suteiktas šiam tiekėjui.