Įsakymas netenka galios 2018-11-14:

Lietuvos Respublikos vidaus reikalų ministerija, Įsakymas

Nr. 1V-837, 2018-11-13, paskelbta TAR 2018-11-13, i. k. 2018-18324

Dėl Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymo Nr. 1V-883 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo“ pakeitimo ir kai kurių Lietuvos Respublikos vidaus reikalų ministro įsakymų, susijusių su Vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų sauga, pripažinimo netekusiais galios

 

Suvestinė redakcija nuo 2016-05-20 iki 2018-11-13

 

Įsakymas paskelbtas: Žin. 2011, Nr. 76-3695, i. k. 1112310ISAK001V-469

 

LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRO

 

ĮSAKYMAS

DĖL LIETUVOS NACIONALINĖS VIZŲ INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO, SAUGOS ĮGALIOTINIO IR SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ RENGĖJO PASKYRIMO

 

2011 m. birželio 17 d. Nr. 1V-469

Vilnius

 

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11 ir 19 punktais:

Preambulės pakeitimai:

Nr. 1V-370, 2016-05-19, paskelbta TAR 2016-05-19, i. k. 2016-13615

 

1. Tvirtinu Lietuvos nacionalinės vizų informacinės sistemos duomenų saugos nuostatus (pridedama).

2. Pavedu Informatikos ir ryšių departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos:

2.1. paskirti Lietuvos nacionalinės vizų informacinės sistemos saugos įgaliotinį;

2.2. iki š. m. spalio 20 d. teisės aktų nustatyta tvarka parengti ir pateikti Lietuvos Respublikos vidaus reikalų ministrui tvirtinti Lietuvos nacionalinės vizų informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles, Lietuvos nacionalinės vizų informacinės sistemos veiklos tęstinumo valdymo planą ir Lietuvos nacionalinės vizų informacinės sistemos naudotojų administravimo taisykles.

 

 

 

Vidaus reikalų ministras                                                 Raimundas Palaitis

 

PATVIRTINTA

Lietuvos Respublikos vidaus reikalų ministro 2011 m. birželio 17 d.

įsakymu Nr.1V-469

(Lietuvos Respublikos vidaus reikalų

ministro 2016 m. gegužės 19 d.

įsakymo Nr. 1V-370 redakcija)

 

 

LIETUVOS NACIONALINĖS VIZŲ INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.    Lietuvos nacionalinės vizų informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato Lietuvos nacionalinės vizų informacinės sistemos (toliau – N.VIS) saugos politiką.

2.    Šiuose Saugos nuostatuose vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Saugos reikalavimų aprašas), Lietuvos nacionalinės vizų informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2009 m. lapkričio 4 d. nutarimu Nr. 1456 „Dėl Lietuvos nacionalinės vizų informacinės sistemos įsteigimo, jos nuostatų patvirtinimo ir veiklos pradžios nustatymo“ (toliau – N.VIS nuostatai), vartojamas sąvokas.

3.    N.VIS elektroninės informacijos saugos politika įgyvendinama pagal N.VIS valdytojo tvirtinamus saugos politiką įgyvendinančius dokumentus:

3.1Saugaus elektroninės informacijos tvarkymo taisykles;

3.2Naudotojų administravimo taisykles;

3.3Veiklos tęstinumo valdymo planą.

4.    N.VIS saugos tikslai nustatyti N.VIS nuostatų 18 punkte. Taip pat siekiama užtikrinti saugų keitimąsi duomenimis tarp Centrinės vizų informacinės sistemos (toliau – C.VIS), Užsieniečių registro (toliau – UR), Lietuvos nacionalinės Šengeno informacinės sistemos (toliau – N.SIS), Policijos informacinių sistemų ir registrų (toliau – POLIS) ir Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos informacinės sistemos (toliau – VSATIS).

5.    N.VIS saugos užtikrinimo prioritetinės kryptys:

5.1.    organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų N.VIS elektroninės informacijos saugai užtikrinti, įgyvendinimas ir šių priemonių įgyvendinimo kontrolė;

5.2.    C.VIS duomenų konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

5.3.    C.VIS perduodamų duomenų kontrolė;

5.4.    N.VIS veiklos tęstinumo užtikrinimas.

6.    Saugos nuostatai taikomi N.VIS valdytojui – Lietuvos Respublikos vidaus reikalų ministerija (adresas –Šventaragio g. 2, Vilnius), N.VIS tvarkytojui – Informatikos ir ryšių departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – IRD) (adresas – Šventaragio g. 2, Vilnius), o taip pat N.VIS saugos įgaliotiniui, administratoriui ir naudotojams.

7.    N.VIS valdytojas:

7.1.    atsako už N.VIS duomenų tvarkymo bei duomenų teikimo C.VIS duomenų gavėjams teisėtumą;

7.2.    tvirtina teisės aktus, reglamentuojančius N.VIS saugą;

7.3.    priima sprendimą dėl N.VIS informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo;

7.4.    atlieka kitas Saugos nuostatų, N.VIS nuostatų ir kitų teisės aktų, reglamentuojančių  elektroninės informacijos saugą, nustatytas funkcijas.

8.    N.VIS tvarkytojas:

8.1.    užtikrina saugų N.VIS duomenų perdavimą tarp UR ir N.SIS bei VSATIS, POLIS ir UR Vidaus reikalų telekomunikaciniu tinklu;

8.2.    užtikrina N.VIS valdytojo priimtų teisės aktų ir rekomendacijų N.VIS saugai užtikrinti tinkamą įgyvendinimą;

8.3.    organizuoja N.VIS saugos priežiūros darbų atlikimą;

8.4.    atlieka kitas Saugos nuostatų, N.VIS nuostatų ir kitų teisės aktų nustatytas funkcijas, susijusias su N.VIS sauga.

9.    N.VIS saugos įgaliotinis, įgyvendindamas N.VIS saugos politiką, atlieka šias funkcijas:

9.1.      koordinuoja elektroninės informacijos saugos incidentų, įvykusių N.VIS, tyrimą;

9.2.      kasmet organizuoja N.VIS rizikos vertinimą;

9.3.      teikia N.VIS valdytojui pasiūlymus dėl:

9.3.1.     N.VIS administratoriaus paskyrimo;

9.3.2.     N.VIS saugos dokumentų priėmimo, keitimo ar panaikinimo;

9.3.3.     N.VIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo.

9.4.         teikia N.VIS administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su N.VIS sauga;

9.5.         atlieka kitas Saugos nuostatų, Saugos reikalavimo aprašo ir kitų teisės aktų nustatytas funkcijas.

10.  N.VIS administratorius, vykdydamas N.VIS priežiūrą, atlieka šias funkcijas:

10.1.    suteikia N.VIS naudotojams prieigos teises prie C.VIS duomenų;

10.2.    rengia ir tikrina N.VIS sudarančių komponenčių sąranką;

10.3.    informuoja N.VIS saugos įgaliotinį apie N.VIS saugos politikos pažeidimus arba netinkamai veikiančias N.VIS saugos užtikrinimo priemones, teikia siūlymus N.VIS saugos įgaliotiniui dėl N.VIS saugos priemonių;

10.4.    atlieka kitas Saugos reikalavimų aprašo, kitų teisės aktų nustatytas funkcijas, susijusias su N.VIS sauga.

11.  N.VIS elektroninė informacija tvarkoma ir užtikrinama jos sauga vadovaujantis:

11.1.    Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

11.2.    Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

11.3.    Saugos reikalavimų aprašu;

11.4.    Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

11.5.    Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai saugumo priemonėms);

11.6.    N.VIS nuostatais;

11.7.    Lietuvos standartais LST ISO/IEC 27002 ir LST ISO/IEC 27001, kiti Lietuvos ir tarptautiniai „Informacijos technologijos. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;

11.8.    kitais teisės aktais, reglamentuojančiais N.VIS duomenų tvarkymo teisėtumą, N.VIS tvarkytojo veiklą ir N.VIS duomenų saugos valdymą.

 

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

12.     Atsižvelgiant į C.VIS per N.VIS perduodamos elektroninės informacijos savybių (vientisumo, konfidencialumo ir prieinamumo) įtaką N.VIS darbui, N.VIS tvarkoma elektroninė informacija priskirtina ypatingos svarbos elektroninės informacijos kategorijai pagal Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau Klasifikavimo gairių aprašas), 4.1.2 ir 4.1.6 papunkčius.

13.     Pagal Klasifikavimo gairių aprašo 5.1 papunktį, N.VIS priskiriama pirmajai informacinių sistemų kategorijai, atsižvelgiant į N.VIS tvarkomos elektroninės informacijos svarbos kategoriją.

14.     N.VIS asmens duomenų tvarkymas automatiniu būdu priskirtinas trečiajam saugumo lygiui, vadovaujantis Bendrųjų reikalavimų saugumo priemonėms 11.3 papunkčio nuostatomis.

15.     N.VIS saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ standartus, kasmet organizuoja N.VIS rizikos vertinimą. Prireikus N.VIS saugos įgaliotinis gali organizuoti neeilinį N.VIS rizikos vertinimą.

16.     N.VIS rizikos vertinimo metu atliekamos šios veiklos:

16.1.    N.VIS sudarančių išteklių inventorizacija;

16.2.    rizikos veiksnių įtakos N.VIS veiklai vertinimas;

16.3.    liekamosios rizikos vertinimas.

17.     N.VIS saugos priemonės parenkamos įvertinus galimus rizikos veiksnius per N.VIS perduodamų C.VIS bei gaunamų C.VIS duomenų vientisumui, konfidencialumui ir prieinamumui.

18.     Pagrindinės N.VIS rizikos mažinimo priemonės išdėstomos rizikos įvertinimo ataskaitoje, kurią kasmet iki liepos 1 dienos, o prireikus ir neeilinio rizikos įvertinimo ataskaitą iki N.VIS valdytojo nurodytos datos rengia saugos įgaliotinis, įvertinęs galinčius turėti įtakos N.VIS saugai rizikos veiksnius, iš kurių svarbiausieji yra šie:

18.1.       subjektyvūs netyčiniai (per N.VIS atliekamo duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas C.VIS, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

18.2.       subjektyvūs tyčiniai (nesankcionuotas naudojimasis N.VIS duomenims gauti, duomenų pakeitimas ar sunaikinimas C.VIS, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

18.3.       veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 84 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

19.     N.VIS valdytojas, atsižvelgdamas į N.VIS rizikos įvertinimo ataskaitą, prireikus tvirtina IRD parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

20.     N.VIS rizikos veiksnių vertinimui taikoma kokybinė rizikos vertinimo metodika.

21.     Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai:

21.1.    liekamosios rizikos sumažinimas iki priimtino (kontroliuojamo) lygio;

21.2.    informacijos saugos priemonės diegimo kainos adekvatumas perduodamos ir gaunamos informacijos vertei;

21.3.       esant galimybei, įdiegiamos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

22.     Siekiant užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka kasmet organizuojamas N.VIS informacinių technologijų saugos reikalavimų atitikties vertinimas, kurio metu:

22.1.    įvertinama Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų atitiktis realiai N.VIS saugos situacijai;

22.2.    inventorizuojama N.VIS techninė ir programinė įranga;

22.3.    tikrinama ne mažiau kaip 10 procentų N.VIS naudotojų kompiuterizuotų darbo vietų ir N.VIS tarnybinėje stotyje įdiegtos programos bei jų sąranka (konfigūracija);

22.4.    patikrinama N.VIS naudotojams suteiktų teisių naudotis C.VIS atitiktis atliekamoms funkcijoms, prireikus N.VIS naudotojų teisės praplečiamos ar apribojamos;

22.5.    įvertinamas pasiruošimas atkurti N.VIS veiklą N.VIS saugos incidento atveju.

23.     Atlikus N.VIS informacinių technologijų saugos reikalavimų atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato N.VIS valdytojas.

24.     Ne rečiau kaip kartą per trejus metus N.VIS informacinių technologijų saugos reikalavimų atitikties vertinimą turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.

 

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

25.     Priemonės ir metodai, kurie taikomi užtikrinant prieigą prie C.VIS per N.VIS, nustatomi  N.VIS naudotojų administravimo taisyklėse.

26.     Programinės įrangos, skirtos N.VIS apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai) naudojimo nuostatos ir jos atnaujinimo reikalavimai:

26.1.       N.VIS tarnybinėje stotyje ir kompiuterizuotose darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą (virusų, šnipinėjimo programinę įrangą ir kt.), kurios turi būti reguliariai atnaujinamos automatiniu būdu ne rečiau kaip kartą per 24 valandas;

26.2.    N.VIS programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu.

27.     Programinės įrangos, įdiegtos N.VIS tarnybinėje stotyje ir kompiuterizuotose darbo vietose, naudojimo nuostatos:

27.1.    N.VIS darbui turi būti naudojama tik legali programinė įranga, įtraukta į leistinos programinės įrangos sąrašą, suderintą su N.VIS valdytoju arba N.VIS valdytojo įgaliotu N.VIS tvarkytoju. Leistinos programinės įrangos sąrašą turi parengti ir ne rečiau kaip kartą per metus peržiūrėti ir prireikus atnaujinti N.VIS saugos įgaliotinis;

27.2.    N.VIS tarnybinėje stotyje neturi veikti programinė įranga, nesusijusi su N.VIS duomenų tvarkymu, N.VIS naudotojų ir pačios įrangos administravimu;

27.3.    N.VIS programinė įranga atnaujinama laikantis gamintojo reikalavimų;

27.4.    N.VIS programinės įrangos diegimą, šalinimą ir konfigūravimą atlieka N.VIS administratorius;

27.5.    N.VIS naudotojų kompiuterizuotose darbo vietose turi būti įdiegtos priemonės, leidžiančios riboti išorinių duomenų laikmenų (USB, CD/DVD ir kt.) naudojimą;

27.6.    N.VIS programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.

28.     Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų ir kt.) pagrindinės naudojimo nuostatos:

28.1.    N.VIS naudojamas Vidaus reikalų telekomunikacinis tinklas (toliau – VRTT), už kurio administravimą ir priežiūrą atsako šio tinklo pagrindinis tvarkytojas – IRD, turi būti atskirtas nuo kitų tinklų tinklo užkarda;

28.2.    N.VIS tvarkytojai apie diegiamus vietinius belaidžius tinklus, sujungimus su kitais tinklais, vietinių tinklų įrangos pakeitimus turi raštu informuoti VRTT pagrindinį tvarkytoją;

28.3.    Visos VRTT esančios N.VIS naudotojų kompiuterizuotos darbo vietos turi būti valdomos centralizuotai pagal VRTT pagrindinio tvarkytojo nustatytas N.VIS naudotojų valdymo grupes;

28.4.    turi būti įdiegta atkirtimo nuo paslaugos (angl. DOS) ir dedikuoto atkirtimo nuo paslaugos (angl. DDOS) atakų prevencijai skirta įranga ir įsilaužimų aptikimo ir prevencijos įranga;

28.5.    visas duomenų srautas į internetą ir iš jo yra filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

28.6.    naudojamos turinio filtravimo sistemos.

29.     Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir gavimą:

29.1.    N.VIS naudotojų, jų vykdytų užklausų ir peržiūrėtų užklausų rezultatų duomenys tvarkomi Vidaus reikalų informacinės sistemos centrinio duomenų banko naudotojų administravimo posistemėje Lietuvos Respublikos vidaus reikalų ministro 2005 m. kovo 9 d. įsakymu Nr. 1V-68 „Dėl Vidaus reikalų informacinės sistemos centrinio duomenų banko duomenų peržiūros taisyklių patvirtinimo“ nustatyta tvarka;

29.2.    prieiga prie C.VIS per N.VIS suteikiama tik IRD Informacinių technologijų ir telekomunikacijų paslaugų tarnyboje registruotiems N.VIS naudotojams;

29.3.    prieiga prie C.VIS per N.VIS suteikiama įgyvendinus N.VIS naudotojų autentifikavimo priemones. Prieiga prie C.VIS užtikrinama automatiniu būdu ištisą parą darbo ir poilsio dienomis;

29.4.    N.VIS duomenys iš UR į C.VIS perduodami realiame laike („On-line“ režimu);

29.5.    saugiam duomenų srautų tarp C.VIS ir N.VIS užtikrinimui naudojamas Europos Sąjungos administracijų saugus duomenų perdavimo ir integruotų paslaugų tinklas sTESTA.

30.     N.VIS naudotojams, savo tarnybinėms funkcijoms vykdyti naudojantiems nešiojamus kompiuterius N.VIS duomenų perdavimui kompiuterių tinklais ne savo darbo vietoje, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas N.VIS naudotojo tapatybės patvirtinimas ir N.VIS duomenų šifravimas.

31.     N.VIS programinės įrangos kopijos daromos automatiškai kiekvieną dieną. Prireikus jas atkurti turi teisę N.VIS administratorius. Laikmenos su N.VIS programinės įrangos kopijomis saugomos kitoje patalpoje nei N.VIS tarnybinė stotis.

32.     N.VIS naudotojams, kuriems būtinas prisijungimas tiesioginėms pareigoms atlikti iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie N.VIS galimybė:

32.1.       techninis nuotolinio prisijungimo sprendimas turi užtikrinti ne žemesnį nei vidiniam prisijungimui naudojamą saugumo lygį, t. y. turi būti naudojamos Saugos nuostatuose nurodytos priemonės ir elektroninės informacijos šifravimas naudojantis virtualiu privačiu tinklu (angl. virtual private network – VPN);

32.2.       prie N.SIS prisijungiama nuotoliniu būdu naudojant interneto naršyklę (https protokolą).

IV SKYRIUS

REIKALAVIMAI PERSONALUI

 

33.     N.VIS saugos įgaliotinis privalo turėti informacinių technologijų specialisto kvalifikaciją, išmanyti informacinių sistemų administravimą, gerai žinoti elektroninės informacijos saugos principus bei saugos užtikrinimo metodus.

34.     N.VIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

35.     N.VIS administratorius privalo išmanyti pagrindinius saugos politikos principus, darbą su duomenų perdavimo tinklais, užtikrinti jų saugumą, turėti sisteminių programinių priemonių (Windows, Unix, Oracle) administravimo bei priežiūros patirties.

36.     N.VIS naudotojai turi turėti atitinkamą kvalifikaciją (informacinių technologijų vartotojų kvalifikacijos kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL (Europos kompiuterio vartotojo pažymėjimas), vartotojo sertifikatas ar pan.) ir patirties (dirbant su atitinkamomis operacinėmis sistemomis, taikomosiomis programomis ir pan.).

37.     N.VIS naudotojams ne rečiau kaip kartą per kalendorinius metus turi būti rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugos problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.). Saugos mokymai organizuojami periodiškai, mokymus organizuoja N.VIS saugos įgaliotinis.

 

V SKYRIUS

NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

38.     Naudoti C.VIS duomenis gali tik N.VIS naudotojai, pasirašytinai susipažinę su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais.

39.     N.VIS naudotojų supažindinimą su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais ir atsakomybe už šių reikalavimų nesilaikymą organizuoja N.VIS saugos įgaliotinis. N.VIS saugos įgaliotinis raštu informuoja N.VIS naudotojus apie Saugos nuostatų pakeitimus ar saugos politiką įgyvendinančių dokumentų pripažinimą netekusiais galios, keitimą ar priėmimą.

40.     N.VIS saugos įgaliotinis ne rečiau kaip kartą per metus inicijuoja N.VIS naudotojų mokymą informacijos saugos klausimais, įvairiais būdais primena apie saugos problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.).

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

41.     N.VIS saugos įgaliotinis, N.VIS administratorius, N.VIS naudotojai, pažeidę Saugos nuostatų ar saugos politiką įgyvendinančių dokumentų reikalavimus, atsako įstatymų nustatyta tvarka.

_____________________

Priedo pakeitimai:

Nr. 1V-370, 2016-05-19, paskelbta TAR 2016-05-19, i. k. 2016-13615

 

 

 

Pakeitimai:

 

1.

Lietuvos Respublikos vidaus reikalų ministerija, Įsakymas

Nr. 1V-370, 2016-05-19, paskelbta TAR 2016-05-19, i. k. 2016-13615

Dėl Lietuvos Respublikos vidaus reikalų ministro 2011 m. birželio 17 d. įsakymo Nr. 1V-469 „Dėl Lietuvos nacionalinės vizų informacinės sistemos duomenų saugos nuostatų patvirtinimo, saugos įgaliotinio ir saugos politiką įgyvendinančių dokumentų rengėjo paskyrimo“ pakeitimo