MUITINĖS DEPARTAMENTO
PRIE LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJOS
GENERALINIS DIREKTORIUS
ĮSAKYMAS
DĖL MUITINĖS DEPARTAMENTO PRIE LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJOS GENERALINIO DIREKTORIAUS 2015 M. SPALIO 15 D. ĮSAKYMO
NR. 1B-791 „DĖL MUITINĖS INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO
2019 m. rugsėjo 16 d. Nr.1B-824
Vilnius
P a k e i č i u Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2015 m. spalio 15 d. įsakymą Nr. 1B-791 „Dėl Muitinės informacinių sistemų duomenų saugos nuostatų patvirtinimo“ ir jį išdėstau nauja redakcija:
„MUITINĖS DEPARTAMENTO
PRIE LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJOS
GENERALINIS DIREKTORIUS
ĮSAKYMAS
DĖL MUITINĖS INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 12,19 ir 26 punktais:
2. SkiriuMuitinės informacinių sistemų centro patarėją Dainorą Gelžinytę muitinės informacinių sistemų saugos įgaliotine (toliau – Saugos įgaliotinis).
3. ĮpareigojuMuitinės departamento saugos muitinėje koordinavimo komitetą ir muitinės įstaigų saugos administravimo pakomitečius pasirašytinai supažindinti muitinės pareigūnus, valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartis, su šio įsakymo 1 punktu patvirtintais nuostatais.
4. P a v e d u:
4.1. Muitinės informacinių sistemų centrui (T. Banelis):
4.1.1. ne vėliau kaip per 5 darbo dienas nuo šio įsakymo įsigaliojimo dienos pateikti šio įsakymo ir juo patvirtintų nuostatų kopiją Registrų ir valstybės informacinių sistemų registrui Registrų ir valstybės informacinių sistemų registro nuostatų nustatyta tvarka;
4.2. Saugos įgaliotiniui šio įsakymo 1 punktu patvirtintus nuostatus ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos stebėsenos sistemai (ARSIS);
PATVIRTINTA
Muitinės departamento prie Lietuvos Respublikos finansų ministerijos
generalinio direktoriaus 2015 m.
spalio 15 d. įsakymu Nr. 1B-791
(Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2019 m. rugsėjo 16 d. įsakymo Nr. 1B-824 redakcija)
muitinės informacinių sistemų duomenų saugos nuostatai
I SKYRIUS
Bendrosios nuostatos
1. Muitinės informacinių sistemų duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos Respublikos muitinės (toliau – muitinė) informacinių sistemų elektroninės informacijos saugos politiką (toliau – elektroninės informacijos saugos politika), nustato organizacines, technines, programines, teisines ir kitas priemones, užtikrinančias saugų muitinės informacinių sistemų elektroninės informacijos valdymą ir tvarkymą.
2. Saugos nuostatų reikalavimai taikomi administruojant muitinės informacines sistemas, nurodytas Muitinės administruojamų informacinių sistemų sąraše (1 priedas).
3. Elektroninės informacijos saugos politika įgyvendinama pagal Muitinės departamento prie Lietuvos Respublikos finansų ministerijos (toliau – Muitinės departamentas) generalinio direktoriaus tvirtinamus muitinės informacinių sistemų saugos politiką įgyvendinančius dokumentus: Muitinės informacinių sistemų saugaus elektroninės informacijos tvarkymo taisykles, Muitinės informacinių sistemų naudotojų administravimo taisykles, Muitinės informacinių sistemų veiklos tęstinumo valdymo planą (toliau – saugos politiką įgyvendinantys dokumentai).
4. Saugos nuostatuose vartojamos sąvokos:
4.1. Duomenys – muitinės informacinėse sistemose kaupiami ir apdorojami duomenys, įskaitant asmens duomenis.
4.2. Informacinių sistemų elektroninės informacijos sauga – elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas.
4.3. Informacinės sistemos saugos įgaliotinis – Muitinės departamento generalinio direktoriaus įsakymu paskirtas muitinės darbuotojas, koordinuojantis ir prižiūrintis elektroninės informacijos saugos politikos įgyvendinimą muitinės informacinėse sistemose ir vykdantis muitinės informacinių sistemų Saugos įgaliotinio funkcijas (toliau – Saugos įgaliotinis).
4.4. Išorinis naudotojas – tretieji asmenys (fiziniai asmenys, kurie nėra muitinės darbuotojai, arba juridiniai asmenys, ketinantys sudaryti arba sudarę sutartį su muitine), kuriems nustatyta tvarka suteikta prieiga prie muitinės informacinių išteklių.
4.5. Kibernetinio saugumo specialistas – Muitinės departamento generalinio direktoriaus įsakymu paskirtas muitinės darbuotojas, atsakingas už muitinės kibernetinio saugumo politikos organizavimą ir užtikrinimą.
4.6. Muitinės darbuotojas – muitinės pareigūnas, valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį.
4.7. Muitinės informacinės sistemos – Integruota muitinės informacinė sistema, registras, vidaus administravimo informacinės sistemos, nurodytos Muitinės informacinių sistemų valdytojo ir tvarkytojo atstovų, išorinių informacinių sistemų koordinatorių ir atsakingų asmenų sąraše, patvirtintame Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2014 m. birželio 30 d. įsakymu Nr. 1B-418 „Dėl Muitinės informacinių sistemų valdytojo ir tvarkytojo atstovų, išorinių informacinių sistemų koordinatorių ir atsakingų asmenų skyrimo taisyklių ir Muitinės informacinių sistemų valdytojo ir tvarkytojo atstovų, išorinių informacinių sistemų koordinatorių ir atsakingų asmenų sąrašo patvirtinimo“.
4.8. Muitinės informacinių sistemų administratorius – muitinės darbuotojas, prižiūrintis muitinės informacinę sistemą ir (ar) jos infrastruktūrą, užtikrinantis jos veikimą ir elektroninės informacijos saugą bei kibernetinį saugumą, administruojantis muitinės informacinių sistemų naudotojų prieigos teisių valdymą ir atliekantis kitas teisės aktų nustatytas funkcijas.
4.9. Muitinės informacinių sistemų elektroninė informacija – duomenys, dokumentai ir informacija, tvarkoma muitinės informacinėse sistemose.
4.10. Muitinės informacinių sistemų naudotojas – muitinės darbuotojas ar kitas asmuo (išorinis naudotojas), informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją.
4.11. Kitos Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (toliau – Valstybės informacinių išteklių valdymo įstatymas), Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Lietuvos standartuose LST ISO 27000 ir muitinės informacinių sistemų nuostatuose.
5. Muitinės informacinių sistemų elektroninės informacijos saugos užtikrinimo tikslai:
5.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją muitinės informacinėse sistemose;
5.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar kitokio neteisėto jos tvarkymo;
5.3. vykdyti elektroninės informacijos saugos (kibernetinių) incidentų prevenciją, reaguoti į elektroninės informacijos saugos (kibernetinius) incidentus ir juos operatyviai suvaldyti, atkuriant įprastą muitinės informacinių sistemų veiklą;
6. Muitinės informacinių sistemų elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
6.8. muitinės informacinių sistemų naudotojų ir administratorių mokymai elektroninės informacijos saugos (kibernetinio saugumo) klausimais;
7. Muitinės informacinių sistemų elektroninės informacijos saugai užtikrinti kompleksiškai naudojamos organizacinės, techninės, programinės ir fizinės informacijos apsaugos priemonės.
8. Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų (toliau – Saugos dokumentai) reikalavimai taikomi taip:
8.1. Saugos dokumentai taikomi:
8.1.1. muitinės informacinių sistemų valdytojui – Muitinės departamentui, A. Jakšto g. 1, 01105 Vilnius;
8.1.2. muitinės informacinių sistemų pagrindiniam tvarkytojui – Muitinės informacinių sistemų centrui, Vytenio g. 7, 03113 Vilnius;
8.1.3. kitiems muitinės informacinių sistemų tvarkytojams:
8.2. Saugos nuostatai yra vieši ir skelbiami Lietuvos Respublikos teisės aktų registre. Saugos politikos įgyvendinimo dokumentų naudojimas yra ribojamas – muitinės informacinių sistemų naudotojams, išoriniams naudotojams suteikiama teisė susipažinti su Saugos nuostatais ir Saugos politiką įgyvendinančiais dokumentais Saugos nuostatų V skyriuje nustatyta tvarka.
9. Muitinės informacinių sistemų valdytojas yra asmens duomenų valdytojas, jeigu muitinės informacinėse sistemose tvarkomi asmens duomenys.
10. Muitinės informacinių sistemų tvarkytojai yra asmens duomenų tvarkytojai, jeigu muitinės informacinėse sistemose tvarkomi asmens duomenys.
11. Už elektroninės informacijos saugą pagal kompetenciją atsako muitinės informacinių sistemų valdytojas ir tvarkytojai.
12. Muitinės informacinių sistemų valdytojas atsako už muitinės informacinių sistemų elektroninės informacijos saugos (kibernetinio saugumo) politikos formavimą, jos įgyvendinimo organizavimą ir priežiūrą, elektroninės informacijos ir duomenų tvarkymo bei duomenų teikimo duomenų gavėjams teisėtumą.
13. Muitinės informacinių sistemų naudotojai, tvarkantys duomenis, informaciją, dokumentus ir (arba) jų kopijas, privalo saugoti duomenų ir informacijos paslaptį, net ir nutraukus su duomenų, informacijos, dokumentų ir (arba) jų kopijų tvarkymu susijusią veiklą.
14. Paslaugų, susijusių su muitinės informacinių sistemų kūrimu, vystymu ir priežiūra, teikėjai privalo saugoti duomenų ir informacijos paslaptį pasirašydami konfidencialumo pasižadėjimą. Pasižadėjimas saugoti duomenų ir informacijos paslaptį galioja ir pasibaigus paslaugų teikimo laikui ar nutraukus šią veiklą.
15. Muitinės departamentas, kaip informacinių sistemų valdytojas, atlieka muitinės informacinių sistemų nuostatuose nustatytas funkcijas, taip pat:
15.1. tvirtina Saugos nuostatus, saugos politiką įgyvendinančius dokumentus, kitus dokumentus, susijusius su elektroninės informacijos sauga (kibernetiniu saugumu);
15.2. prižiūri ir kontroliuoja, kad muitinės informacinės sistemos būtų tvarkomos vadovaujantis muitinės informacinių sistemų nuostatais, Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais;
15.3. priima sprendimus dėl techninių ir programinių priemonių, būtinų elektroninės informacijos saugai (kibernetiniam saugumui) užtikrinti, įsigijimo, diegimo ir modernizavimo;
15.4. koordinuoja muitinės informacinių sistemų tvarkytojų darbą įgyvendinant elektroninės informacijos saugos reikalavimus, metodiškai jiems vadovauja ir įstatymų nustatyta tvarka atlieka šio darbo priežiūrą;
15.5. prireikus tvirtina muitinės informacinių sistemų rizikos valdymo planą ir muitinės informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų ir neatitikčių šalinimo priemonių planą (esant poreikiui šie planai gali būti sujungti ir tvirtinamas bendras planas);
15.6. prireikus tvirtina muitinės informacinių technologinių pažeidžiamumų (angl. penetration test) šalinimo planą;
15.7. skiria saugos įgaliotinį ir esant poreikiui sudaro elektroninės informacijos saugos darbo grupes;
15.8. skiria kompetentingą asmenį ar padalinį, atsakingą už muitinės kibernetinį saugumą ir dalyvavimą kibernetinių incidentų valdymo veikloje;
15.9. priima sprendimus atlikti muitinės informacinių sistemų technologijų saugos atitikties, rizikos ir informacinių technologinių pažeidžiamumų vertinimą;
15.10. užtikrina muitinės informacinių sistemų atitiktį organizaciniams ir techniniams kibernetinio saugumo reikalavimams;
15.11. nagrinėja muitinės informacinių sistemų tvarkytojų pasiūlymus dėl muitinės informacinių sistemų elektroninės informacijos saugos priemonių tobulinimo ir priima dėl jų sprendimus;
15.12. atsako už muitinės elektroninės informacijos saugos politikos (kibernetinio saugumo) formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą;
15.13. pagal kompetenciją įgyvendina reikiamas administracines, technines ir organizacines saugos priemones;
15.14. užtikrina veiksmingą muitinės informacinių sistemų tobulinimo planavimą bei priima sprendimus dėl muitinės informacinių sistemų elektroninės informacijos saugos ir kibernetinio saugumo priemonių finansavimo;
15.15. atlieka kitas Valstybės informacinių išteklių įstatyme, Kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas) ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.
16. Muitinės informacinių sistemų centras, kaip pagrindinis muitinės informacinių sistemų tvarkytojas, atlieka muitinės informacinių sistemų nuostatuose nustatytas funkcijas, taip pat:
16.1. užtikrina elektroninės informacijos, esančios muitinės informacinių sistemų duomenų bazėse, saugą;
16.2. užtikrina saugų elektroninės informacijos perdavimą elektroninių ryšių tinklais (automatiniu būdu);
16.3. užtikrina muitinės informacinių sistemų sąveiką su kitomis informacinėmis sistemomis ir registrais;
16.4. užtikrina tinkamą Saugos nuostatų, muitinės informacinių sistemų saugos politiką įgyvendinančių dokumentų, kitų dokumentų, susijusių su elektroninės informacijos sauga (kibernetiniu saugumu) įgyvendinimą;
16.5. planuoja ir įgyvendina priemones, mažinančias duomenų atskleidimo ir praradimo riziką bei užtikrinančias prarastų duomenų atkūrimą ir duomenų apsaugą nuo klastojimo;
16.8. teisės aktų numatyta tvarka pagal pateiktus prašymus suteikia naudotojams prieigas prie muitinės informacinių sistemų. Suteikiamos tik tos prieigos prie muitinės informacinių sistemų teisės, kurios būtinos jų tarnybinėms funkcijoms vykdyti;
16.9. vykdo Muitinės Informacinių technologijų paslaugų centro (toliau – ITPC) funkcijas, registruoja ir valdo elektroninės informacijos saugos ir kibernetinių incidentus įvykusius muitinės informacinėse sistemose, užtikrina jų tyrimą;
16.10. vykdo kibernetinio saugumo organizavimo ir užtikrinimo funkcijas, nustatytas Kibernetinio saugumo įstatyme, Kibernetinio saugumo reikalavimų apraše, Nacionaliniame kibernetinių incidentų valdymo plane, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Nacionalinis kibernetinių incidentų valdymo planas), ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose;
16.11. teikia siūlymus muitinės informacinių sistemų valdytojui dėl muitinės informacinių sistemų saugos tobulinimo;
17. Kiti muitinės informacinių sistemų tvarkytojai atlieka šias funkcijas:
17.1. užtikrina tinkamą muitinės informacinių sistemų valdytojo priimtų teisės aktų ir rekomendacijų, susijusių su elektroninės informacijos sauga (kibernetiniu saugumu), įgyvendinimą;
17.2. pagal kompetenciją įgyvendina reikiamas administracines, technines ir organizacines saugos (kibernetinio saugumo) užtikrinimo priemones;
17.3. pagal kompetenciją atsako už muitinės informacinės sistemos elektroninės informacijos tvarkymo teisėtumą;
17.4. teikia siūlymus muitinės informacinių sistemų valdytojui dėl informacinių sistemų saugos tobulinimo;
18. Muitinės informacinių sistemų tvarkytojai užtikrina tvarkytojo įstaigoje tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą. Muitinės informacinių sistemų tvarkytojų vadovai atsako už reikiamų organizacinių ir techninių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir muitinės informacinių sistemų saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.
19. Saugos įgaliotinis, koordinuodamas ir prižiūrėdamas muitinės informacinių sistemų elektroninės informacijos saugos politikos įgyvendinimą, taip pat atlieka šias funkcijas:
19.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių muitinės informacinėse sistemose, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, saugos incidentus, neteisėtas veikas, susijusias su saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;
19.3. atlieka informacijos saugos incidentų analizę, Informacijos saugos incidentų valdymo procedūros nustatyta tvarka rengia informacijos saugos incidentų ataskaitas su siūlymais, dėl informacijos saugumo valdymo priemonių ir informacijos saugos tobulinimo;
19.4. turi teisę duoti privalomus vykdyti nurodymus ir pavedimus muitinės informacinių sistemų administratoriams, muitinės informacinių sistemų naudotojams ir kitiems darbuotojams dėl muitinės informacinių sistemų saugos politikos įgyvendinimo;
19.5. teikia muitinės informacinių sistemų valdytojui siūlymus dėl:
19.5.1. Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų rengimo priėmimo, keitimo ar panaikinimo;
19.8. periodiškai organizuoja muitinės informacinių sistemų informacinių technologijų saugos atitikties vertinimą;
19.9. prireikus rengia muitinės informacinių sistemų rizikos valdymo planą, informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų ir neatitikčių šalinimo priemonių planą ir muitinės informacinių technologinių pažeidžiamumo šalinimo planą;
19.10. periodiškai organizuoja muitinės informacinių sistemų veiklos tęstinumo valdymo plano bandymus;
19.11. reguliariai įvairiais būdais informuoja muitinės informacinių sistemų naudotojus apie elektroninės informacijos saugos problemas, teikia konsultacijas ir rekomendacijas (elektroniniu paštu, telefonu ir kt. būdais), prireikus rengia atmintines;
21. Muitinės informacinių sistemų centro paskirti administratoriai atlieka funkcijas, susijusias su muitinės informacinių sistemų naudotojų teisių valdymu, informacinės sistemos komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo sistemomis, elektroninės informacijos perdavimu tinklais, bylų serveriais ir kitais), šių informacinių sistemų komponentų sąranka, informacinių sistemų pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena, reagavimu į saugos incidentus ir jų valdymu, taip pat privalo vykdyti visus Saugos įgaliotinio nurodymus ir pavedimus, susijusius su muitinės informacinių sistemų saugos užtikrinimu, ir nuolat teikti Saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.
22. Muitinės informacinių sistemų centro, kaip pagrindinio tvarkytojo, skiriami administratoriai, pagal einamas pareigas ir prieigos prie muitinės informacinės sistemos lygį:
22.1. Kompiuterinių tinklų administratorius atlieka šias funkcijas:
22.1.4. administruoja ugniasienes, maršrutizatorius, komutatorius ir pagalbinę įrangą (nepertraukiamo maitinimo šaltinius, fizines linijas ir pan.);
22.1.6. pagal kompetenciją reaguoja į elektroninės informacijos saugos (kibernetinio saugumo) incidentus ir juos valdo;
22.2. Tarnybinių stočių administratorius atlieka šias funkcijas:
22.2.3. kuria ir administruoja tarnybinių stočių naudotojų registracijos į tarnybines stotis duomenis;
22.2.7. pagal kompetenciją reaguoja į elektroninės informacijos saugos (kibernetinio saugumo) incidentus ir juos valdo;
22.3. Duomenų bazių administratorius atlieka šias funkcijas:
22.3.8. pagal kompetenciją reaguoja į elektroninės informacijos saugos (kibernetinio saugumo) incidentus ir juos valdo;
22.4. Kompiuterizuotų darbo vietų administratorius atlieka šias funkcijas:
22.4.5. pagal kompetenciją reaguoja į elektroninės informacijos saugos (kibernetinio saugumo) incidentus ir juos valdo;
22.5. Naudotojų (vidinių ir išorinių) administratorius atlieka šias funkcijas:
22.5.1. Vidinių naudotojų administratorius:
22.5.2. Išorinių naudotojų administratorius:
22.5.2.1. registruoja ir išregistruoja muitinės elektroninių paslaugų gavėjus, jų administratorius ir naudotojus;
22.5.2.2. tvarko muitinės elektroninių paslaugų gavėjų, jų administratorių ir naudotojų duomenis, prieigos teises, įkelia(pašalina) jų sertifikatus;
22.6. Taikomosios programinės įrangos administratorius atlieka šias funkcijas:
22.6.3. esant poreikiui kartoja elektroninių pranešimų siuntimą arba vykdo procedūras, reikalingas sąsajose numatytam duomenų perdavimui atlikti;
23. Muitinės informacinių sistemų paskirti administratoriai pagal kompetenciją yra atsakingi už tinkamą muitinės informacinių sistemų saugos ir kibernetinio saugumo dokumentuose nustatytų funkcijų vykdymą.
24. Muitinės informacinių sistemų paskirti administratoriai dalyvauja atliekant muitinės informacinių sistemų rizikos vertinimą ir muitinės informacinių sistemų informacinių technologijų saugos atitikties reikalavimams vertinimą.
25. Muitinės informacinių sistemų paskirti administratoriai privalo vykdyti visus Saugos įgaliotinio nurodymus ir pavedimus dėl muitinės informacinių sistemų elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo, pagal kompetenciją reaguoti į elektroninės informacijos saugos (kibernetinio saugumo) incidentus ir nuolat teikti Saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.
26. Muitinės informacinių sistemų administratoriai privalo registruoti visus elektroninės informacijos saugos ir kibernetinius incidentus ir apie tai informuoti ITPC, Saugos įgaliotinį ir Kibernetinio saugumo specialistą bei teikti siūlymus dėl incidentų pašalinimo.
27. Muitinės informacinių sistemų administratoriai privalo patikrinti (peržiūrėti) informacinių sistemų sąranką ir informacinių sistemų būsenos rodiklius reguliariai – ne rečiau kaip kartą per metus ir (arba) po informacinės sistemos pokyčio.
28. Muitinės informacinių sistemų naudotojo funkcijos yra šios:
29. Muitinėje informacijos saugą ir kibernetinį saugumą koordinuoja nuolatinis Saugos muitinėje koordinavimo komitetas (toliau – Komitetas), sudarytas Muitinės departamento generalinio direktoriaus 2006 m. lapkričio 27 d. įsakymu Nr. 780 „Dėl Saugos muitinėje koordinavimo komiteto sudarymo ir jo nuostatų patvirtinimo“ (toliau – Komiteto nuostatai). Komiteto veikla organizuojama vadovaujantis Komiteto nuostatais.
30. Už muitinės informacijos ir kito su informacija susijusio turto saugumą teritorinėse muitinėse ir specialiosiose muitinės įstaigose atsakingi Saugos administravimo pakomitečiai (toliau – Pakomitečiai), kurie yra sudaryti kiekvienoje muitinės įstaigoje Muitinės departamento generalinio direktoriaus pavedimu ir kuriems tiesiogiai vadovauja Komitetas. Pakomitečių sudėtis ir nuostatai tvirtinami muitinės įstaigos vadovo įsakymu. Pakomitečių pagrindinės funkcijos – įgyvendinti muitinės informacijos saugumo ir kibernetinio saugumo politiką bei užtikrinti muitinės informacijos ir kito su informacija susijusio turto saugumą savo įstaigos veiklos zonoje.
31. Muitinės informacinių sistemų elektroninė informacija tvarkoma ir jos sauga užtikrinama vadovaujantis šiais teisės aktais:
31.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1).;
31.6. Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
31.7. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – IS klasifikavimo gairių aprašas);
31.8. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai reikalavimai);
31.12. Asmens duomenų tvarkymo Lietuvos Respublikos muitinėje taisyklėmis, patvirtintomis Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2019 m. birželio 7 d. įsakymu Nr. 1B-537 „Dėl Asmens duomenų tvarkymo Lietuvos Respublikos muitinėje taisyklių patvirtinimo“;
31.15. Lietuvos standartais LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo priemonių praktikos nuostatai“, kitais Lietuvos ir tarptautiniais standartais, reglamentuojančiais saugų duomenų tvarkymą;
II SKYRIUS
elektroninės informacijos saugos valdymas
32. Muitinės informacinėse sistemose tvarkomos elektroninės informacijos svarbos kategorija, muitinės informacinių sistemų kategorijos bei priskyrimo tam tikrai kategorijai kriterijai nurodyti Saugos nuostatų 1 priede.
33. Pirmiausia turi būti užtikrintas svarbiausios elektroninės informacijos, kurios praradimas turėtų didžiausią įtaką muitinės informacinių sistemų darbui, saugumas.
34. Muitinės informacinių sistemų saugos priemonės parenkamos įvertinus galimus rizikos veiksnius elektroninės informacijos vientisumui, konfidencialumui ir prieinamumui.
35. Per metus turi būti užtikrintas muitinės informacinių sistemų prieinamumas: ketvirtos kategorijos informacinėms sistemoms – ne mažiau kaip 70 proc. laiko darbo metu darbo dienomis, trečiosios kategorijos informacinėms sistemoms – ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis, antrosios kategorijos informacinėms sistemoms – ne mažiau kaip 96 proc. laiko visą parą, pirmosios kategorijos informacinėms sistemoms – ne mažiau kaip 99 proc. laiko visą parą.
36. Saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacinės technologijos. Saugumo metodai“ standartus, kasmet organizuoja muitinės informacinių sistemų rizikos vertinimą. Prireikus Saugos įgaliotinis gali organizuoti neeilinį muitinės informacinių sistemų rizikos įvertinimą.
37. Muitinės informacinių sistemų rizikos vertinimo rezultatai ir pagrindinės muitinės informacinių sistemų rizikos mažinimo priemonės išdėstomos rizikos įvertinimo ataskaitoje, kuri svarstoma ir tvirtinama Saugos muitinėje koordinavimo komitete. Muitinės informacinių sistemų rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai, yra šie:
37.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
37.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis muitinės informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kita);
37.3. atsitiktinės subjektyvios aplinkybės (darbuotojų praradimas, gaisrai, vandens poveikis, elektros instaliacijos gedimas ir kita);
38. Muitinės informacinių sistemų rizikos vertinimas atliekamas Informacijos saugos rizikos valdymo procedūros aprašo nustatyta tvarka. Atsižvelgiant į rizikos įvertinimo ataskaitą, Informacijos saugos rizikos valdymo procedūros aprašo nustatyta tvarka prireikus sudaromas ir tvirtinamas rizikos valdymo planas, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis muitinės informacinių sistemų rizikos valdymo priemonėms įgyvendinti.
39. Elektroninės informacijos saugos būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis muitinės informacinių sistemų elektroninės informacijos saugos priemonėmis, kurios pasirenkamos atsižvelgiant į muitinės informacinių sistemų valdytojo skiriamus išteklius, vadovaujantis šiais principais:
39.2. elektroninės informacijos saugos priemonės diegimo kainos turi atitikti saugomos informacijos vertę;
40. Siekiant užtikrinti Saugos dokumentuose nustatytų elektroninės informacijos saugos reikalavimų įgyvendinimo organizavimą ir kontrolę, Informacijos saugos atitikties vertinimo procedūros apraše ir Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka, kasmet organizuojamas muitinės informacinių sistemų informacinių technologijų saugos atitikties vertinimas.
41. Muitinės informacinių sistemų informacinių technologijų saugos atitikties vertinimo metu, siekiant objektyviai nustatyti saugos reikalavimų įgyvendinimo lygį, turi būti:
41.1. įvertinama realios muitinės informacinių sistemų informacijos saugos situacijos ir Saugos nuostatų bei kitų saugos politiką įgyvendinančių teisės aktų reikalavimų atitiktis;
41.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų muitinės informacinių sistemų naudotojų kompiuterizuotų darbo vietų, visose muitinės informacinių sistemų tarnybinėse stotyse įdiegtos programos ir jų sąrankos (konfigūracija);
41.4. patikrinama (įvertinama) muitinės informacinių sistemų naudotojams suteiktų teisių tvarkyti muitinės informacines sistemas ir atliekamų funkcijų atitiktis, o prireikus muitinės informacinių sistemų naudotojų teisės išplečiamos arba apribojamos;
41.5. įvertinamas pasirengimas užtikrinti muitinės informacinių sistemų veiklos tęstinumą įvykus elektroninės informacijos saugos (kibernetiniam) incidentui;
42. Atlikus muitinės informacinių sistemų informacinių technologijų saugos reikalavimų atitikties vertinimą, rengiama muitinės informacinių sistemų informacinių technologijų saugos vertinimo ataskaita. Atsižvelgiant į vertinimo ataskaitą, prireikus parengiamas muitinės informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų ir neatitikčių šalinimo priemonių planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Saugos muitinėje koordinavimo komitetas.
43. Muitinės informacinių sistemų rizikos įvertinimo ataskaitos, rizikos valdymo plano duomenis bei jų kopijas ir muitinės informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano duomenis bei jų kopijas muitinės informacinių sistemų valdytojas ar jo įgaliotas atstovas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 “Dėl valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.
III SKYRIUS
organizaciniai ir techniniai reikalavimai
45. Programinės įrangos, skirtos apsaugoti muitinės informacines sistemas nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai), naudojimo ir jos atnaujinimo reikalavimai:
45.1. muitinės informacinių sistemų tarnybinėse stotyse ir kompiuterizuotose darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingąją programinę įrangą, kurios turi būti reguliariai atnaujinamos automatiniu būdu ne rečiau kaip kartą per 24 valandas;
46. Programinės įrangos, įdiegtos muitinės informacinių sistemų tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:
46.1. muitinės informacinių sistemų tarnybinėse stotyse ir kompiuterizuotose darbo vietose turi būti naudojama tik legali ir patikrinta programinė įranga;
46.2. naudotojų kompiuterizuotoje darbo vietoje naudojama programinė įranga turi būti įtraukta į leistinos naudoti programinės įrangos sąrašą. Leistinos programinės įrangos sąrašą tvirtina Muitinės departamentas. Muitinės departamento tvirtinamą leistinos programinės įrangos sąrašą turi parengti ir pagal poreikį peržiūrėti bei prireikus atnaujinti pagrindinis muitinės informacinių sistemų tvarkytojas;
46.3. programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;
46.4. programinės įrangos, nesusijusios su muitinės veikla ar muitinės informacinės sistemos naudotojo atliekamomis funkcijomis (žaidimų, bylų siuntimo, internetinių pokalbių programų ir pan.), naudojimas neleidžiamas;
46.5. programinę įrangą diegia, atnaujina, kontroliuoja, kompiuterines darbo vietas prižiūri tik šiai veiklai vykdyti paskirti muitinės informacinių sistemų administratoriai (pagal atliekamas funkcijas). Kriminalinę žvalgybą vykdančių muitinės informacinių sistemų naudotojų kompiuterines darbo vietas diegia, prižiūri, programinę įrangą atnaujina ir kontroliuoja šiai veiklai atlikti įgalioti muitinės informacinių sistemų administratoriai;
46.6. muitinės informacinių sistemų administratoriai dalyvauja paslaugų teikėjams atnaujinant programinę įrangą;
46.7. muitinės informacinių sistemų naudotojų teisės yra ribojamos – jiems neleidžiama įdiegti papildomos programinės įrangos ir keisti sistemos, kompiuterio ar programinės įrangos bendrųjų nustatymų, nebent tai nustatyta pareigybės aprašymuose. Išimties tvarka suteikiant administratoriaus teises muitinės informacinių sistemų naudotojams, jos turi būti registruojamos pateikiant atskirą prašymą ITPC, nurodant motyvuotą pagrindą;
47. Muitinės informacinių sistemų tarnybinės stotys ir administravimui naudojami kompiuteriai negali turėti tiesioginio ryšio su internetu (nepertraukiamos sesijos), jei toks ryšys nėra būtinas muitinės informacinių sistemų funkcionavimui.
48. Muitinės informacinių sistemų programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbtiems (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org.
49. Muitinės informacinėse sistemose turi būti naudojamos tik tarnybinės išorinės duomenų laikmenos (USB, CD/DVD ir kt.) ir kiti tarnybiniai įrenginiai, kurie yra išduoti tarnybinėms funkcijoms vykdyti.
50. Muitinės informacinių sistemų kompiuterizuotose darbo vietose turi būti įdiegtos priemonės, leidžiančios riboti išorinių duomenų laikmenų (USB, CD/DVD ir kt.) naudojimą.
51. Muitinės informacinių sistemų programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems su juo susipažinti asmenims.
52. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:
52.1. kompiuterių tinklai turi būti atskirti nuo viešųjų telekomunikacijų tinklų (interneto) ugniasienėmis, DOS ir DDOS atakų prevencijai skirta įranga bei įsilaužimų aptikimo ir prevencijos įranga;
52.2. kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuose ryšių tinkluose naršančių muitinės informacinių sistemų naudotojų kompiuterinę įrangą nuo kenksmingo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojantį apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;
52.3. apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga;
53. Muitinės informacinėse sistemose naudojamų interneto svetainių (toliau – svetainės) saugos valdymo reikalavimai:
53.1. svetainės turi atitikti Kibernetinio saugumo reikalavimų apraše ir Techniniuose reikalavimuose nustatytus reikalavimus;
53.2. svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų būtų galima jungtis tik iš vidinio muitinės informacinių sistemų tvarkytojo kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;
53.3. turi būti pakeistos numatytos prisijungimo prie svetainių turinio valdymo sistemos ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) ir slaptažodžiai;
53.4. turi būti užtikrinama, kad prie svetainių turinio valdymo sistemų ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;
54. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:
54.1. muitinės informacinių sistemų elektroninė informacija perduodama automatiniu būdu naudojant TCP/IP, HTTPS protokolus realiame laike (angl. „On-line“ režimu) arba asinchroniniu režimu pagal muitinės informacinių sistemų duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamos elektroninės informacijos specifikacijas, perdavimo sąlygos ir tvarka;
54.2. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą naudojamas šifravimas, virtualus privatus tinklas (angl. virtual private network), skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas;
54.3. elektroninei informacijai teikti ir (ar) gauti iš kitų valstybės institucijų naudojamasi tik Kertinio valstybės telekomunikacijų centro teikiama paslauga – Saugus valstybinis duomenų perdavimo tinklas (SVDPT);
54.4. šifro raktų ilgiai, šifro raktų generavimo algoritmai, šifro raktų apsikeitimo protokolai, sertifikato parašo šifravimo algoritmai ir kiti šifravimo algoritmai nustatomi atsižvelgiant į Lietuvos ir tarptautinių organizacijų ir standartų rekomendacijas, Kibernetinio saugumo reikalavimų aprašo reikalavimus;
54.5. tiesioginė prieiga prie muitinės informacinių sistemų elektroninės informacijos suteikiama įgyvendinus muitinės informacinių sistemų naudotojų autentifikavimo priemones – šie naudotojai savo tapatybę patvirtina slaptažodžiu ar kita autentifikavimo priemone;
54.6. prieiga prie muitinės informacinių sistemų suteikiama tik registruotiems muitinės informacinių sistemų naudotojams;
54.7. prieigos prie muitinės informacinių sistemų elektroninės informacijos teises gali suteikti tik muitinės informacinių sistemų administratoriai. Muitinės informacinių sistemų naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės;
54.8. muitinės informacinėje sistemoje jos naudotojui turi būti leista atlikti tik tuos veiksmus, kuriuos atlikti jam yra suteiktos teisės;
54.9. pasibaigus muitinės informacinės sistemos naudotojo darbo santykiams, teisė naudotis elektronine informacija turi būti panaikinta. Muitinės informacinės sistemos naudotojui prieiga prie muitinės informacinių sistemų turi būti ribojama arba sustabdoma, kai vyksta muitinės informacinės sistemos naudotojo veiklos tyrimas arba keičiasi jo atliekamos ir (ar) pareigybės aprašyme nurodytos funkcijos.
55. Muitinės informacinių sistemų naudotojų tapatybė nustatoma pagal suteiktą tapatybės kodą ir atitinkamą slaptažodį. Teisės naudotis muitinės informacinių sistemų funkcinėmis galimybėmis ir tvarkyti muitinės informacinių sistemų duomenis suteikiamos, vadovaujantis Muitinės informacinių sistemų naudotojų administravimo taisyklėmis, informuojant ITPC nustatyta tvarka.
56. Muitinės informacinių sistemų administratorių ir muitinės informacinių sistemų naudotojų tapatybei nustatyti (ten, kur technologiškai įmanoma) naudojama Microsoft Active directory sistema.
57. Leidžiamos muitinės informacinių sistemų naudotojų kompiuterių naudojimo ribos:
57.1. stacionarūs ir nešiojamieji muitinės informacinių sistemų naudotojų kompiuteriai privalo būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai atlikti ir turi būti apsaugoti prisijungimo vardu ir slaptažodžiu;
57.2. muitinės informacinių sistemų naudotojų tarnybinėms funkcijoms vykdyti naudojamuose nešiojamuosiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas muitinės informacinių sistemų naudotojo tapatybės patvirtinimas ir elektroninės informacijos šifravimas;
57.3. iš kompiuterių ar elektroninės informacijos laikmenų, kurie perduodami remontui ar techniniam aptarnavimui arba nurašomi, turi būti neatkuriamai pašalinta visa nevieša elektroninė informacija;
58. Mobiliųjų įrenginių naudojimą ir priežiūrą reglamentuoja Muitinės įstaigų mobiliųjų įrenginių naudojimo ir priežiūros taisyklės, patvirtintos Muitinės departamento generalinio direktoriaus 2016 m. gruodžio 6 d. įsakymu Nr. 1B-988 „Dėl Muitinės įstaigų mobiliųjų įrenginių naudojimo ir priežiūros taisyklių patvirtinimo“.
59. Muitinės informacinių sistemų naudotojams, kuriems atliekant tiesiogines pareigas būtina prisijungti iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie informacinių sistemų galimybė:
59.1. techninis nuotolinio prisijungimo sprendimas turi užtikrinti ne žemesnį nei vidiniam prisijungimui naudojamą saugumo lygį, t. y. turi būti naudojamos Saugos nuostatuose nurodytos priemonės ir elektroninės informacijos šifravimas naudojantis virtualiu privačiu tinklu;
59.2. prie muitinės informacinių sistemų prisijungiama nuotoliniu būdu naudojant interneto naršyklę (HTTPS protokolą);
60. Lietuvos Respublikos muitinės pareigūnų, valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, nustatytų pareigų (funkcijų) ar jų dalies atlikimo dalį darbo laiko ne nuolatinėje darbo vietoje sąlygas ir tvarką reglamentuoja Lietuvos Respublikos muitinės pareigūnų, kitų valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, darbo nuotoliniu būdu taisyklės, patvirtintos Muitinės departamento generalinio direktoriaus 2017 m. gruodžio 28 d. įsakymu Nr. 1B-1113 „Dėl Lietuvos Respublikos muitinės pareigūnų, kitų valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, darbo nuotoliniu būdu taisyklių patvirtinimo“.
61. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
61.1. atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokios apimties, kad muitinės informacinių sistemų veiklos sutrikimo, elektroninės informacijos saugos (kibernetinio) incidento ar elektroninės informacijos vientisumo praradimo atvejais muitinės informacinių sistemų neveikimo laikotarpis nebūtų ilgesnis, nei taikoma priklausomai nuo muitinės informacinės sistemos kategorijos, nurodytos Saugos nuostatų 1 priede, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus;
61.2. duomenų kopijos turi būti daromos periodiškai (visų duomenų kopija – vieną kartą per savaitę) pagal patvirtintą atsarginių duomenų kopijų administravimo aprašą;
61.3. muitinės informacinių sistemų elektroninės informacijos kopijos (pakeitimai) turi būti daromos kiekvieną dieną;
61.8. muitinės informacinių sistemų elektroninės informacijos kopijos turi būti saugomos užrakintoje nedegioje spintoje, kitose patalpose arba kitame pastate, nei muitinės informacinių sistemų tarnybinės stotys;
62. Kiekvienas muitinės informacinių sistemų administratorius ar muitinės informacinių sistemų naudotojai atsako už duomenų, kurie jiems prieinami naudojant muitinės informacines sistemas, tvarkymo teisėtumą ir tvarkomų duomenų saugą.
63. Siekiant užtikrinti muitinės informacinių sistemų saugą ir tinkamą jų veikimą, kaupiami ir analizuojami žurnaliniai įrašai (angl. log file). Žurnaliniai įrašai kaupiami ir analizuojami, naudojant sisteminių žurnalinių įrašų valdymo sistemą.
64. Taikomi organizaciniai ir techniniai kibernetinio saugumo reikalavimai, priklausomai nuo informacinės sistemos kategorijos, išdėstyti Kibernetinio saugumo reikalavimų apraše.
65. Kibernetinių incidentų, įvykusių muitinės valdomuose informaciniuose ištekliuose ir ypatingos svarbos informacinėje infrastruktūroje, valdymas ir tyrimas užtikrinamas vadovaujantis Lietuvos Respublikos muitinės kibernetinių incidentų valdymo planu, patvirtintu Muitinės departamento generalinio direktoriaus 2017 m. liepos 5 d. įsakymu Nr. 1B-575 „Dėl Lietuvos Respublikos muitinės kibernetinių incidentų valdymo plano patvirtinimo“.
66. Perkant paslaugas, darbus ar įrangą, susijusią su muitinės informacinėmis sistemomis, jų projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos ir kibernetinio saugumo užtikrinimu, auditavimu, patalpų priežiūra, elektroninės informacijos perdavimo tinklais, taip pat kitus suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, ją apdoroti, saugoti, keistis elektronine informacija ar tiekti informacinių technologijų infrastruktūros komponentus, pirkimo dokumentuose iš anksto turi būti nustatyta, kad paslaugų teikėjas, darbų vykdytojas ar techninės ir programinės įrangos tiekėjas (toliau – paslaugų teikėjas) privalo laikytis muitinės informacinių sistemų saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar teikiamos įrangos atitiktį nustatytiems elektroninės informacijos saugos ir kibernetinio saugumo reikalavimams.
67. Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant šią sutartį, išskyrus tiek, kiek būtina sutarties vykdymui, taip pat nenaudoti konfidencialios informacijos asmeniniais ar trečiųjų asmenų poreikiams laikantis principo, kad visa paslaugų teikėjui suteikta informacija (įskaitant muitinės informacinėse sistemose tvarkomą elektroninę informaciją) yra konfidenciali, nebent raštu patvirtinama, kad tam tikra pateikta informacija nėra konfidenciali.
IV SKYRIUS
reikalavimai personalui
68. Muitinės informacinių sistemų naudotojų, muitinės informacinių sistemų administratorių, Saugos įgaliotinio kvalifikacija turi atitikti bendruosius ir specialiuosius reikalavimus, nustatytus jų pareigybių aprašymuose ir Saugos nuostatuose.
69. Muitinės informacinių sistemų administratoriai ir naudotojai turi būti susipažinę su saugos ir kibernetinio saugumo dokumentais, pagal kompetenciją – ir kitais teisės aktais bei standartais, reglamentuojančiais elektroninės informacijos saugą ir kibernetinį saugumą.
70. Reikalavimai Saugos įgaliotiniui:
70.1. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos ir kibernetinio saugumo srityje, savo darbe vadovautis saugos politiką įgyvendinančiais dokumentais, saugos standartais, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą;
70.2. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau nei vieni metai.
71. Reikalavimai muitinės informacinių sistemų administratoriams:
71.1. muitinės informacinių sistemų administratoriumi gali būti skiriamas muitinės darbuotojas, išmanantis darbą su centriniais ir tinklo kompiuteriais (tarnybinėmis stotimis), kompiuterių tinklais ir kita kompiuterių įranga ir (arba) duomenų bazėmis ir (arba) standartine programine įranga ir (arba) taikomosiomis sistemomis ir sąsajomis tarp jų bei mokantis užtikrinti jų saugumą;
71.2. muitinės informacinių sistemų administratoriai pagal kompetenciją privalo išmanyti pagrindinius elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, mokėti užtikrinti muitinės informacinių sistemų ir jose tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą;
71.3. muitinės informacinių sistemų administratorius pagal kompetenciją privalo administruoti ir prižiūrėti muitinės informacinių sistemų komponentus (stebėti muitinės informacinių sistemų komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti muitinės informacinių sistemų komponentų nepertraukiamą funkcionavimą ir pan.);
71.5. muitinės informacinių sistemų administratoriumi, atliekančiu muitinės informacinės sistemos techninės ir programinės įrangos priežiūros ir duomenų, informacijos ir dokumentų ir (arba) jų kopijų tvarkymo funkcijas, negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau nei vieni metai. Šie reikalavimai taikomi ir išorinių paslaugų teikėjo asmenims, teikiantiems muitinės informacinėms sistemoms priežiūros ir (arba) duomenų bei informacijos tvarkymo paslaugas pagal sutartis;
72. Reikalavimai muitinės informacinių sistemų naudotojams:
72.2. mokėti saugiai tvarkyti muitinės informacinių sistemų elektroninę informaciją atitinkamų muitinės informacinių sistemų naudojimo instrukcijų nustatyta tvarka;
72.3. tobulinti kvalifikaciją Saugos įgaliotinio, Kibernetinio saugumo specialisto, asmens duomenų apsaugos pareigūno rekomenduojamose (aprobuotose) kursuose, seminaruose ar mokymuose;
72.4. įtarus, kad prisijungimo prie muitinės informacinės sistemos slaptažodis galėjo būti atskleistas kitam asmeniui, praradus, pamiršus arba kitaip netekus slaptažodžio turi būti nedelsiant informuotas ITPC;
72.5. naudotojai, tvarkantys elektroninę informaciją, privalo įsipareigoti saugoti informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą bei valstybės tarnybos ar darbo santykius;
72.6. naudotojai turi patvirtinti savo tapatybę slaptažodžiu, taip pat kita tapatumo patvirtinimo priemone, kurios reikalaujama jungiantis prie konkrečios muitinės informacinės sistemos;
72.7. slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacijos (pvz.; gimimo data, šeimos narių vardai ir pan.);
73. Naudotojai, pastebėję Saugos dokumentų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai ITPC arba Saugos įgaliotiniui arba muitinės informacinių sistemų administratoriui.
74. Naudotojai, atliekantys tarnybines funkcijas, susijusias su asmens duomenų tvarkymu ir teikimu, raštu pasirašytinai įpareigojami pasižadėti saugoti asmens duomenų paslaptį. Asmens duomenų paslaptį jie privalo saugoti ir pradėjus eiti kitas pareigas, taip pat pasibaigus darbo (tarnybos) santykiams.
75. Muitinės informacinių sistemų naudotojams draudžiama:
75.1. atskleisti muitinės informacinės sistemos duomenis ar suteikti kitokią galimybę bet kokia forma su jais susipažinti tokios teisės neturintiems asmenims;
75.2. savavališkai diegti informacinės sistemos taikomosios programinės įrangos pakeitimus ir naujas versijas neturint tam suteiktos teisės;
75.3. atskleisti kitiems asmenims prisijungimo prie muitinės informacinės sistemos vardą, slaptažodį ar kitaip sudaryti sąlygas jais pasinaudoti (pvz., užrašyti slaptažodį ant lapelio ir palikti darbo vietoje);
75.4. naudoti muitinės informacinės sistemos duomenis kitokiais nei jų nuostatuose nurodytais tikslais bei savo pareigybės aprašyme nustatytų funkcijų vykdymo tikslais;
75.5. sudaryti sąlygas pasinaudoti muitinės informacinei sistemai tvarkyti naudojama technine ir programine įranga tokios teisės neturintiems asmenims (paliekant darbo vietą būtina užrakinti darbalaukį arba išjungti darbo stotį);
75.6. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti, sunaikinti ar atskleisti muitinės informacinės sistemos duomenys, taip pat neatlikti būtinų veiksmų, kurie apsaugo muitinės informacinės sistemos duomenis;
76. Muitinės informacinių sistemų naudotojų, muitinės informacinių sistemų administratorių ir Saugos įgaliotinio mokymo planavimo, organizavimo ir vykdymo tvarka, mokymo dažnumo reikalavimai:
76.1. muitinės informacinių sistemų naudotojams periodiškai, bet ne rečiau kaip kartą per dvejus metus turi būti organizuojami ir rengiami mokymai elektroninės informacijos saugos, kibernetinio saugumo ir asmens duomenų apsaugos klausimais, o kasmet įvairiais būdais primenama apie elektroninės informacijos saugos ir kibernetinio saugumo problemas (pvz., svarbios informacijos priminimai elektroniniu paštu, informacijos skelbimas intranete, atmintinės ir pan.);
76.2. mokymai muitinės informacinių sistemų administratoriams turi būti organizuojami pagal poreikį;
76.3. mokymai elektroninės informacijos saugos, kibernetinio saugumo klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos, kibernetinio saugumo užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), muitinės informacinių sistemų naudotojų ar administratorių poreikius;
76.4. mokymai gali būti vykdomi tiesioginiu (pvz., paskaitos, seminarai, konferencijos ir kiti teminiai renginiai) ar nuotoliniu būdu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.). Mokymus gali vykdyti muitinės informacinių sistemų valdytojo paskirtas kompetentingas darbuotojas, gerai išmanantis elektroninės informacijos saugos, kibernetinio saugumo ar asmens duomenų apsaugos užtikrinimo principus, arba elektroninės informacijos saugos, kibernetinio saugumo mokymų paslaugų teikėjas;
76.5. muitinės informacinių sistemų naudotojų mokymus duomenų saugos klausimais nuotoliniu būdu ne rečiau kaip vieną kartą per metus organizuoja Muitinės mokymo centras;
76.6. muitinės informacinių sistemų valdytojas turi užtikrinti tinkamą ir nuoseklų Saugos įgaliotinio, muitinės informacinių sistemų administratorių, muitinės informacinių sistemų naudotojų kvalifikacijos tobulinimą elektroninės informacijos saugos ir kibernetinio saugumo klausimais ir skirti tinkamą finansavimą.
V SKYRIUS
MUITINĖS INFORMACINIŲ SISTEMŲ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
77. Tvarkyti muitinės informacinių sistemų elektroninę informaciją gali tik muitinės informacinių sistemų naudotojai, susipažinę su Saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugą, taip pat atsakomybe už saugos dokumentų nuostatų pažeidimus, ir sutikę laikytis saugos dokumentų reikalavimų.
78. Muitinės informacinių sistemų naudotojų supažindinimą su Saugos dokumentais ir kitais teisės aktais Muitinės departamente organizuoja Saugos muitinėje koordinavimo komitetas, muitinės įstaigose – Saugos administravimo pakomitečiai. Saugos muitinėje koordinavimo komitetas ir Saugos administravimo pakomitečiai yra atsakingi, kad muitinės informacinių sistemų naudotojai būtų informuoti apie Saugos dokumentų pakeitimą ir (ar) pripažinimą netekusiais galios.
79. Muitinės informacinių sistemų naudotojai su Saugos dokumentais bei atsakomybe už jų reikalavimų nesilaikymą turi būti supažindinami pasirašytinai, užpildant muitinės informacinių sistemų naudotojų supažindinimo su Saugos dokumentais kortelę (2 priedas). Pasirašytos kortelės turi būti pateiktos Saugos įgaliotiniui.
80. Pakartotinai su Saugos dokumentais ir kitais teisės aktais muitinės informacinių sistemų naudotojai supažindinami tik iš esmės pasikeitus muitinės informacinei sistemai arba elektroninės informacijos saugą bei kibernetinį saugumą reglamentuojantiems teisės aktams.
81. Saugos nuostatai ir kiti elektroninės informacijos saugos ir kibernetinio saugumo reglamentavimo dokumentai muitinės informacinių sistemų naudotojams, išskyrus išorinius naudotojus, skelbiami Lietuvos Respublikos muitinės vidinėje svetainėje ir yra privalomi visiems muitinės informacinių sistemų naudotojams, dirbantiems su muitinės informacinėmis sistemomis.
82. Išoriniams naudotojams viešai prieinami yra tik Saugos nuostatai, kurie yra skelbiami Registrų ir informacinių sistemų registre http://registrai.lt/management/objects/view/10152.
83. Informacijos saugos priemonių diegimo ar kitas paslaugas, susijusias su informacijos saugos užtikrinimu muitinėje, atliekantys teikėjai turi būti susipažinę su Saugos nuostatais ir įsipareigoję laikytis jų reikalavimų, t.y. turi būti pasirašę Konfidencialumo pasižadėjimą (3 priedas).
84. Muitinės informacinių sistemų elektroninės informacijos saugumo užtikrinimas su muitinės informacinių sistemų duomenų teikėjais, gavėjais ar rangovais nustatomas duomenų teikimo (paslaugų teikimo) sutartimis, kuriose nurodomi muitinės informacinių sistemų elektroninės informacijos saugumo reikalavimai.
85. Muitinės informacinių sistemų naudotojai pagal kompetenciją atsako už muitinės informacinės sistemos ir joje tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
87. Muitinės informacinių sistemų valdytojas Saugos nuostatus gali keisti ir (ar) pripažinti netekusiais galios savo arba Saugos įgaliotinio iniciatyva.
88. Saugos dokumentai turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai taip pat turi būti persvarstomi (peržiūrimi) atlikus muitinės informacinių sistemų rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą arba muitinėje įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Keičiami Saugos dokumentai derinami su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 14 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, nustatyta tvarka. Keičiami saugos dokumentai gali būti nederinami su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką, tais atvejais, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar saugos politikos nekeičiantys pakeitimai arba taisoma teisės technika. Tuo atveju krašto apsaugos ministro įgaliotai institucijai, įgyvendinančiai valstybės informacinių išteklių saugos politiką, turi būti pateiktos keičiamų Saugos dokumentų kopijos.
Muitinės informacinių sistemų
duomenų saugos nuostatų
1 priedas
MUITINĖS ADMINISTRUOJAMŲ INFORMACINIŲ SISTEMŲ SĄRAŠAS
Eil. Nr. |
Muitinės informacinės sistemos pavadinimas |
Muitinės informacinės sistemos elektroninės informacijos svarbos kategorija |
Muitinės informacinės sistemos kategorija |
Muitinės informacinės sistemos priskyrimo prie kategorijos kriterijai |
Registrai |
||||
1. |
Muitinės prievolininkų registras (MPR) |
Ypatingos svarbos |
1 |
IS klasifikavimo gairių aprašo 7.1, 7.6 ir 12.1 papunkčiai |
Integruota muitinės informacinė sistema |
||||
2. |
Integruota muitinės informacinė sistema (Integruota MIS) |
Ypatingos svarbos |
1 |
IS klasifikavimo gairių aprašo 7.1 – 7.6 ir 12.1 papunkčiai
|
Vidaus administravimo informacinės sistemos |
||||
3. |
Muitinės efektyvumo rodiklių sistema (MERS) |
Mažiausios svarbos |
4 |
IS klasifikavimo gairių aprašo 10 punktas ir 12.4 papunktis |
4. |
Lietuvos Respublikos muitinės finansinių išteklių, jų apskaitos ir kontrolės sistema (FAS) |
Mažiausios svarbos |
4 |
IS klasifikavimo gairių aprašo 10 punktas ir 12.4 papunktis |
5. |
MD planų vykdymo kontrolės informacinė sistema (PLANAI) |
Mažiausios svarbos |
4 |
IS klasifikavimo gairių aprašo 10 punktas ir 12.4 papunktis |
6. |
Informacinių technologijų paslaugų teikimo ir valdymo sistema (ITPS) |
Mažiausios svarbos |
4 |
IS klasifikavimo gairių aprašo 10 punktas ir 12.4 papunktis |
7. |
Lietuvos Respublikos muitinės žmogiškųjų išteklių valdymo informacinė sistema (ŽIVIS) |
Mažiausios svarbos |
4 |
IS klasifikavimo gairių aprašo 10 punktas ir 12.4 papunktis |
8. |
Vidinės komunikacijos sistema (VKS) |
Mažiausios svarbos |
4 |
IS klasifikavimo gairių aprašo 10 punktas ir 12.4 papunktis |
_______________________
Muitinės informacinių sistemų
duomenų saugos nuostatų
2 priedas
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
(Muitinės departamento saugos komiteto ar muitinės įstaigos pakomitečio pavadinimas)
MUITINĖS INFORMACINIŲ SISTEMŲ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS KORTELĖ
Patvirtinu, kad esu pasirašytinai supažindintas su teisės aktais, reglamentuojančiais elektroninės informacijos saugą ir kibernetinio saugumo politiką:
1. Muitinės informacinių sistemų duomenų saugos nuostatais, patvirtintais Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2015 m. spalio 15 d. įsakymu Nr. 1B-791„Dėl Muitinės informacinių sistemų duomenų saugos nuostatų patvirtinimo“;
2. Muitinės informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėmis, patvirtintomis Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2011 m. gegužės 31 d. įsakymu Nr. 1B-311 „Dėl Muitinės informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių, Muitinės informacinių sistemų naudotojų administravimo taisyklių ir Muitinės informacinių sistemų veiklos tęstinumo valdymo plano patvirtinimo“;
3. Muitinės informacinių sistemų naudotojų administravimo taisyklėmis, patvirtintomis Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2011 m. gegužės 31 d. įsakymu Nr. 1B-311 „Dėl Muitinės informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių, Muitinės informacinių sistemų naudotojų administravimo taisyklių ir Muitinės informacinių sistemų veiklos tęstinumo valdymo plano patvirtinimo“;
4. Muitinės informacinių sistemų veiklos tęstinumo valdymo planu, patvirtintu Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2011 m. gegužės 31 d. įsakymu Nr. 1B-311 „Dėl Muitinės informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių, Muitinės informacinių sistemų naudotojų administravimo taisyklių ir Muitinės informacinių sistemų veiklos tęstinumo valdymo plano patvirtinimo“;
5. Lietuvos Respublikos muitinės kibernetinio saugumo politikos aprašu, patvirtintu Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2016 m. lapkričio 18 d. įsakymu Nr. 1B-939 „Dėl Lietuvos Respublikos muitinės kibernetinio saugumo politikos aprašo patvirtinimo“;
6. Lietuvos Respublikos muitinės kibernetinių incidentų valdymo planu, patvirtintu Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2017 m. liepos 5 d. įsakymu Nr. 1B-575 „Dėl Lietuvos Respublikos muitinės kibernetinių incidentų valdymo plano patvirtinimo“.
Muitinės informacinių sistemų
duomenų saugos nuostatų
3 priedas
(Konfidencialumo pasižadėjimo forma)
KONFIDENCIALUMO PASIŽADĖJIMAS
________________
(data)
______________
(sudarymo vieta)
Aš,________________________________________________________________________
(asmens vardas, pavardė,) Būtina užpildyti
_______________________________________________________________________________
(Įmonės, įstaigos ar organizacijos pavadinimas, pareigos, tel. Nr. el. paštas) Būtina užpildyti
vykdydamas ____________________________________________________ numatytus darbus:
(sutarties pavadinimas, data ir numeris) Būtina užpildyti
1. Esu informuotas (-a), kad konfidencialią informaciją sudaro:
1.1. bet kokios formos (žodine, rašytine, elektronine, kita) informacija, susijusi su teisės aktais pavestų funkcijų Lietuvos Respublikos muitinei (toliau – Muitinė) administruojant muitinės informacines sistemas vykdymu, kurios praradimas gali kelti pavojų Muitinės veiklai ar informacijos saugumui;
1.2. komercinė paslaptis, t. y. žinios, susijusios su Muitinės ar jos klientų ūkine ir finansine veikla, kurių paskelbimas gali padaryti materialinės žalos, pakenkti prestižui ar turėti kitų neigiamų pasekmių Muitinei ar jos klientams, įskaitant Muitinės ūkinės veiklos ir kitų procedūrų metu gautą informaciją;
2. Įsipareigoju:
2.1. saugoti ir tik įstatymų bei kitų teisės aktų nustatytais tikslais ir tvarka naudoti konfidencialią informaciją, kuri taps žinoma, – tiek, kiek to reikalauja Lietuvos Respublikos teisės aktai;
2.2. laikytis Muitinės informacinių sistemų duomenų saugos politikos[1];
3. Esu įspėtas (-a), kad, jeigu pažeisiu teisės aktus dėl konfidencialios informacijos naudojimo, turėsiu atlyginti Muitinės patirtus nuostolius Lietuvos Respublikos teisės aktų nustatyta tvarka ir man gali būti taikoma administracinė ar baudžiamoji atsakomybė.
______________ ___________________
(parašas) (vardas ir pavardė)
[1] Lietuvos Respublikos muitinės informacinių sistemų duomenų saugos politika išdėstyta Muitinės informacinių sistemų duomenų saugos nuostatuose, kurie skelbiami Registrų ir informacinių sistemų registre http://registrai.lt/management/objects/view/10152.