Lietuvos Respublikos muitinės Integruotos muitinės informacinės sistemos duomenų saugos nuostatai

MUITINĖS DEPARTAMENTO

PRIE LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJOS

GENERALINIS DIREKTORIUS

ĮSAKYMAS

DĖL MUITINĖS DEPARTAMENTO PRIE LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJOS GENERALINIO DIREKTORIAUS 2015 M. SPALIO 15 D. ĮSAKYMO
NR. 1B-791 „DĖL MUITINĖS INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO

2019 m. rugsėjo 16 d. Nr.1B-824

Vilnius

P a k e i č i u Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2015 m. spalio 15 d. įsakymą Nr. 1B-791 „Dėl Muitinės informacinių sistemų duomenų saugos nuostatų patvirtinimo“ ir jį išdėstau nauja redakcija:

„MUITINĖS DEPARTAMENTO

PRIE LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJOS

GENERALINIS DIREKTORIUS

ĮSAKYMAS

DĖL MUITINĖS INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 12,19 ir 26 punktais:

1. T v i r t i n u Muitinės informacinių sistemų duomenų saugos nuostatus (pridedama).

2. SkiriuMuitinės informacinių sistemų centro patarėją Dainorą Gelžinytę muitinės informacinių sistemų saugos įgaliotine (toliau – Saugos įgaliotinis).

3. ĮpareigojuMuitinės departamento saugos muitinėje koordinavimo komitetą ir muitinės įstaigų saugos administravimo pakomitečius pasirašytinai supažindinti muitinės pareigūnus, valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartis, su šio įsakymo 1 punktu patvirtintais nuostatais.

4. P a v e d u:

4.1. Muitinės informacinių sistemų centrui (T. Banelis):

4.1.1. ne vėliau kaip per 5 darbo dienas nuo šio įsakymo įsigaliojimo dienos pateikti šio įsakymo ir juo patvirtintų nuostatų kopiją Registrų ir valstybės informacinių sistemų registrui Registrų ir valstybės informacinių sistemų registro nuostatų nustatyta tvarka;

4.1.2. iki 2019 m. gruodžio 31 d. paskirti muitinės administruojamų informacinių sistemų administratorius;

4.2. Saugos įgaliotiniui šio įsakymo 1 punktu patvirtintus nuostatus ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos stebėsenos sistemai (ARSIS);

4.3. Muitinės departamento ir muitinės įstaigų struktūrinių padalinių vadovams pasirašytinai supažindinti su šio įsakymo 1 punktu patvirtintais nuostatais naujai priimamus muitinės pareigūnus, valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartis.

5. P r i p a ž į s t u netekusiu galios Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2015 m. lapkričio 25 d. įsakymą 1B-911 „Dėl Muitinės informacinių sistemų saugos įgaliotinio paskyrimo. “

Generalinio direktoriaus pavaduotojas,

atliekantis generalinio direktoriaus funkcijas Vygantas Paigozinas

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2019-09-04 raštu Nr. (4.2)6K-585

PATVIRTINTA

Muitinės departamento prie Lietuvos Respublikos finansų ministerijos

generalinio direktoriaus 2015 m.

spalio 15 d. įsakymu Nr. 1B-791

(Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2019 m. rugsėjo 16 d. įsakymo Nr. 1B-824 redakcija)

muitinės informacinių sistemų duomenų saugos nuostatai

I SKYRIUS

Bendrosios nuostatos

1. Muitinės informacinių sistemų duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos Respublikos muitinės (toliau – muitinė) informacinių sistemų elektroninės informacijos saugos politiką (toliau – elektroninės informacijos saugos politika), nustato organizacines, technines, programines, teisines ir kitas priemones, užtikrinančias saugų muitinės informacinių sistemų elektroninės informacijos valdymą ir tvarkymą.

2. Saugos nuostatų reikalavimai taikomi administruojant muitinės informacines sistemas, nurodytas Muitinės administruojamų informacinių sistemų sąraše (1 priedas).

3. Elektroninės informacijos saugos politika įgyvendinama pagal Muitinės departamento prie Lietuvos Respublikos finansų ministerijos (toliau – Muitinės departamentas) generalinio direktoriaus tvirtinamus muitinės informacinių sistemų saugos politiką įgyvendinančius dokumentus: Muitinės informacinių sistemų saugaus elektroninės informacijos tvarkymo taisykles, Muitinės informacinių sistemų naudotojų administravimo taisykles, Muitinės informacinių sistemų veiklos tęstinumo valdymo planą (toliau – saugos politiką įgyvendinantys dokumentai).

4. Saugos nuostatuose vartojamos sąvokos:

4.1. Duomenys – muitinės informacinėse sistemose kaupiami ir apdorojami duomenys, įskaitant asmens duomenis.

4.2. Informacinių sistemų elektroninės informacijos sauga – elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas.

4.3. Informacinės sistemos saugos įgaliotinis – Muitinės departamento generalinio direktoriaus įsakymu paskirtas muitinės darbuotojas, koordinuojantis ir prižiūrintis elektroninės informacijos saugos politikos įgyvendinimą muitinės informacinėse sistemose ir vykdantis muitinės informacinių sistemų Saugos įgaliotinio funkcijas (toliau – Saugos įgaliotinis).

4.4. Išorinis naudotojas – tretieji asmenys (fiziniai asmenys, kurie nėra muitinės darbuotojai, arba juridiniai asmenys, ketinantys sudaryti arba sudarę sutartį su muitine), kuriems nustatyta tvarka suteikta prieiga prie muitinės informacinių išteklių.

4.5. Kibernetinio saugumo specialistas – Muitinės departamento generalinio direktoriaus įsakymu paskirtas muitinės darbuotojas, atsakingas už muitinės kibernetinio saugumo politikos organizavimą ir užtikrinimą.

4.6. Muitinės darbuotojas – muitinės pareigūnas, valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį.

4.7. Muitinės informacinės sistemos – Integruota muitinės informacinė sistema, registras, vidaus administravimo informacinės sistemos, nurodytos Muitinės informacinių sistemų valdytojo ir tvarkytojo atstovų, išorinių informacinių sistemų koordinatorių ir atsakingų asmenų sąraše, patvirtintame Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2014 m. birželio 30 d. įsakymu Nr. 1B-418 „Dėl Muitinės informacinių sistemų valdytojo ir tvarkytojo atstovų, išorinių informacinių sistemų koordinatorių ir atsakingų asmenų skyrimo taisyklių ir Muitinės informacinių sistemų valdytojo ir tvarkytojo atstovų, išorinių informacinių sistemų koordinatorių ir atsakingų asmenų sąrašo patvirtinimo“.

4.8. Muitinės informacinių sistemų administratorius – muitinės darbuotojas, prižiūrintis muitinės informacinę sistemą ir (ar) jos infrastruktūrą, užtikrinantis jos veikimą ir elektroninės informacijos saugą bei kibernetinį saugumą, administruojantis muitinės informacinių sistemų naudotojų prieigos teisių valdymą ir atliekantis kitas teisės aktų nustatytas funkcijas.

4.9. Muitinės informacinių sistemų elektroninė informacija – duomenys, dokumentai ir informacija, tvarkoma muitinės informacinėse sistemose.

4.10. Muitinės informacinių sistemų naudotojas – muitinės darbuotojas ar kitas asmuo (išorinis naudotojas), informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją.

4.11. Kitos Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (toliau – Valstybės informacinių išteklių valdymo įstatymas), Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Lietuvos standartuose LST ISO 27000 ir muitinės informacinių sistemų nuostatuose.

5. Muitinės informacinių sistemų elektroninės informacijos saugos užtikrinimo tikslai:

5.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją muitinės informacinėse sistemose;

5.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar kitokio neteisėto jos tvarkymo;

5.3. vykdyti elektroninės informacijos saugos (kibernetinių) incidentų prevenciją, reaguoti į elektroninės informacijos saugos (kibernetinius) incidentus ir juos operatyviai suvaldyti, atkuriant įprastą muitinės informacinių sistemų veiklą;

5.4. užtikrinti informacijos apsaugos priemonių naudojimo veiksmingumą.

6. Muitinės informacinių sistemų elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

6.1. muitinės informacinių sistemų elektroninės informacijos konfidencialumo užtikrinimas;

6.2. muitinės informacinių sistemų elektroninės informacijos vientisumo užtikrinimas;

6.3. muitinės informacinių sistemų elektroninės informacijos prieinamumo užtikrinimas;

6.4. muitinės informacinių sistemų veiklos tęstinumo užtikrinimas;

6.5. muitinės informacinėse sistemose tvarkomų asmens duomenų apsauga;

6.6. prieigos prie muitinės informacinių sistemų kontrolė;

6.7. muitinės informacinių sistemų rizikos valdymas;

6.8. muitinės informacinių sistemų naudotojų ir administratorių mokymai elektroninės informacijos saugos (kibernetinio saugumo) klausimais;

6.9. organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų muitinės informacinių sistemų elektroninės informacijos saugai (kibernetiniam saugumui) užtikrinti, įgyvendinimas ir kontrolė.

7. Muitinės informacinių sistemų elektroninės informacijos saugai užtikrinti kompleksiškai naudojamos organizacinės, techninės, programinės ir fizinės informacijos apsaugos priemonės.

8. Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų (toliau – Saugos dokumentai) reikalavimai taikomi taip:

8.1. Saugos dokumentai taikomi:

8.1.1. muitinės informacinių sistemų valdytojui – Muitinės departamentui, A. Jakšto g. 1, 01105 Vilnius;

8.1.2. muitinės informacinių sistemų pagrindiniam tvarkytojui – Muitinės informacinių sistemų centrui, Vytenio g. 7, 03113 Vilnius;

8.1.3. kitiems muitinės informacinių sistemų tvarkytojams:

8.1.3.1. Muitinės kriminalinei tarnybai – Žalgirio g. 127, 08217 Vilnius;

8.1.3.2. Vilniaus teritorinei muitinei – Naujoji Riovonių g. 3, 03153 Vilnius;

8.1.3.3. Kauno teritorinei muitinei – Jovarų g. 3, 47500 Kaunas;

8.1.3.4. Klaipėdos teritorinei muitinei – S. Nėries g. 4, 92228 Klaipėda;

8.1.4. Muitinės mokymo centui – Jeruzalės g. 25, 08420 Vilnius;

8.1.5. Muitinės laboratorijai – Akademijos g. 7, 08412 Vilnius;

8.1.6. muitinės informacinių sistemų saugos įgaliotiniui;

8.1.7. muitinės informacinių sistemų naudotojams;

8.1.8. muitinės informacinių sistemų administratoriams;

8.1.9. paslaugų, susijusių su muitinės informacinėmis sistemomis, teikėjams.

8.2. Saugos nuostatai yra vieši ir skelbiami Lietuvos Respublikos teisės aktų registre. Saugos politikos įgyvendinimo dokumentų naudojimas yra ribojamas – muitinės informacinių sistemų naudotojams, išoriniams naudotojams suteikiama teisė susipažinti su Saugos nuostatais ir Saugos politiką įgyvendinančiais dokumentais Saugos nuostatų V skyriuje nustatyta tvarka.

8.3. Saugos politikos įgyvendinimo dokumentai turi būti saugiai platinami ir prieinami su jais turinčioms teisę susipažinti suinteresuotoms šalims visais elektroninės informacijos saugos (kibernetinio saugumo) incidentų ar avarijų atvejais.

9. Muitinės informacinių sistemų valdytojas yra asmens duomenų valdytojas, jeigu muitinės informacinėse sistemose tvarkomi asmens duomenys.

10. Muitinės informacinių sistemų tvarkytojai yra asmens duomenų tvarkytojai, jeigu muitinės informacinėse sistemose tvarkomi asmens duomenys.

11. Už elektroninės informacijos saugą pagal kompetenciją atsako muitinės informacinių sistemų valdytojas ir tvarkytojai.

12. Muitinės informacinių sistemų valdytojas atsako už muitinės informacinių sistemų elektroninės informacijos saugos (kibernetinio saugumo) politikos formavimą, jos įgyvendinimo organizavimą ir priežiūrą, elektroninės informacijos ir duomenų tvarkymo bei duomenų teikimo duomenų gavėjams teisėtumą.

13. Muitinės informacinių sistemų naudotojai, tvarkantys duomenis, informaciją, dokumentus ir (arba) jų kopijas, privalo saugoti duomenų ir informacijos paslaptį, net ir nutraukus su duomenų, informacijos, dokumentų ir (arba) jų kopijų tvarkymu susijusią veiklą.

14. Paslaugų, susijusių su muitinės informacinių sistemų kūrimu, vystymu ir priežiūra, teikėjai privalo saugoti duomenų ir informacijos paslaptį pasirašydami konfidencialumo pasižadėjimą. Pasižadėjimas saugoti duomenų ir informacijos paslaptį galioja ir pasibaigus paslaugų teikimo laikui ar nutraukus šią veiklą.

15. Muitinės departamentas, kaip informacinių sistemų valdytojas, atlieka muitinės informacinių sistemų nuostatuose nustatytas funkcijas, taip pat:

15.1. tvirtina Saugos nuostatus, saugos politiką įgyvendinančius dokumentus, kitus dokumentus, susijusius su elektroninės informacijos sauga (kibernetiniu saugumu);

15.2. prižiūri ir kontroliuoja, kad muitinės informacinės sistemos būtų tvarkomos vadovaujantis muitinės informacinių sistemų nuostatais, Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais;

15.3. priima sprendimus dėl techninių ir programinių priemonių, būtinų elektroninės informacijos saugai (kibernetiniam saugumui) užtikrinti, įsigijimo, diegimo ir modernizavimo;

15.4. koordinuoja muitinės informacinių sistemų tvarkytojų darbą įgyvendinant elektroninės informacijos saugos reikalavimus, metodiškai jiems vadovauja ir įstatymų nustatyta tvarka atlieka šio darbo priežiūrą;

15.5. prireikus tvirtina muitinės informacinių sistemų rizikos valdymo planą ir muitinės informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų ir neatitikčių šalinimo priemonių planą (esant poreikiui šie planai gali būti sujungti ir tvirtinamas bendras planas);

15.6. prireikus tvirtina muitinės informacinių technologinių pažeidžiamumų (angl. penetration test) šalinimo planą;

15.7. skiria saugos įgaliotinį ir esant poreikiui sudaro elektroninės informacijos saugos darbo grupes;

15.8. skiria kompetentingą asmenį ar padalinį, atsakingą už muitinės kibernetinį saugumą ir dalyvavimą kibernetinių incidentų valdymo veikloje;

15.9. priima sprendimus atlikti muitinės informacinių sistemų technologijų saugos atitikties, rizikos ir informacinių technologinių pažeidžiamumų vertinimą;

15.10. užtikrina muitinės informacinių sistemų atitiktį organizaciniams ir techniniams kibernetinio saugumo reikalavimams;

15.11. nagrinėja muitinės informacinių sistemų tvarkytojų pasiūlymus dėl muitinės informacinių sistemų elektroninės informacijos saugos priemonių tobulinimo ir priima dėl jų sprendimus;

15.12. atsako už muitinės elektroninės informacijos saugos politikos (kibernetinio saugumo) formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą;

15.13. pagal kompetenciją įgyvendina reikiamas administracines, technines ir organizacines saugos priemones;

15.14. užtikrina veiksmingą muitinės informacinių sistemų tobulinimo planavimą bei priima sprendimus dėl muitinės informacinių sistemų elektroninės informacijos saugos ir kibernetinio saugumo priemonių finansavimo;

15.15. atlieka kitas Valstybės informacinių išteklių įstatyme, Kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas) ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

16. Muitinės informacinių sistemų centras, kaip pagrindinis muitinės informacinių sistemų tvarkytojas, atlieka muitinės informacinių sistemų nuostatuose nustatytas funkcijas, taip pat:

16.1. užtikrina elektroninės informacijos, esančios muitinės informacinių sistemų duomenų bazėse, saugą;

16.2. užtikrina saugų elektroninės informacijos perdavimą elektroninių ryšių tinklais (automatiniu būdu);

16.3. užtikrina muitinės informacinių sistemų sąveiką su kitomis informacinėmis sistemomis ir registrais;

16.4. užtikrina tinkamą Saugos nuostatų, muitinės informacinių sistemų saugos politiką įgyvendinančių dokumentų, kitų dokumentų, susijusių su elektroninės informacijos sauga (kibernetiniu saugumu) įgyvendinimą;

16.5. planuoja ir įgyvendina priemones, mažinančias duomenų atskleidimo ir praradimo riziką bei užtikrinančias prarastų duomenų atkūrimą ir duomenų apsaugą nuo klastojimo;

16.6. užtikrina nepertraukiamą muitinės informacinių sistemų veikimą;

16.7. skiria muitinės informacinių sistemų administratorius;

16.8. teisės aktų numatyta tvarka pagal pateiktus prašymus suteikia naudotojams prieigas prie muitinės informacinių sistemų. Suteikiamos tik tos prieigos prie muitinės informacinių sistemų teisės, kurios būtinos jų tarnybinėms funkcijoms vykdyti;

16.9. vykdo Muitinės Informacinių technologijų paslaugų centro (toliau – ITPC) funkcijas, registruoja ir valdo elektroninės informacijos saugos ir kibernetinių incidentus įvykusius muitinės informacinėse sistemose, užtikrina jų tyrimą;

16.10. vykdo kibernetinio saugumo organizavimo ir užtikrinimo funkcijas, nustatytas Kibernetinio saugumo įstatyme, Kibernetinio saugumo reikalavimų apraše, Nacionaliniame kibernetinių incidentų valdymo plane, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Nacionalinis kibernetinių incidentų valdymo planas), ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose;

16.11. teikia siūlymus muitinės informacinių sistemų valdytojui dėl muitinės informacinių sistemų saugos tobulinimo;

16.12. atlieka kitas Valstybės informacinių išteklių įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

17. Kiti muitinės informacinių sistemų tvarkytojai atlieka šias funkcijas:

17.1. užtikrina tinkamą muitinės informacinių sistemų valdytojo priimtų teisės aktų ir rekomendacijų, susijusių su elektroninės informacijos sauga (kibernetiniu saugumu), įgyvendinimą;

17.2. pagal kompetenciją įgyvendina reikiamas administracines, technines ir organizacines saugos (kibernetinio saugumo) užtikrinimo priemones;

17.3. pagal kompetenciją atsako už muitinės informacinės sistemos elektroninės informacijos tvarkymo teisėtumą;

17.4. teikia siūlymus muitinės informacinių sistemų valdytojui dėl informacinių sistemų saugos tobulinimo;

17.5. atlieka kitas Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, muitinės informacinių sistemų nuostatuose bei saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

18. Muitinės informacinių sistemų tvarkytojai užtikrina tvarkytojo įstaigoje tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą. Muitinės informacinių sistemų tvarkytojų vadovai atsako už reikiamų organizacinių ir techninių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir muitinės informacinių sistemų saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.

19. Saugos įgaliotinis, koordinuodamas ir prižiūrėdamas muitinės informacinių sistemų elektroninės informacijos saugos politikos įgyvendinimą, taip pat atlieka šias funkcijas:

19.1. rengia Saugos dokumentų projektus;

19.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių muitinės informacinėse sistemose, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, saugos incidentus, neteisėtas veikas, susijusias su saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

19.3. atlieka informacijos saugos incidentų analizę, Informacijos saugos incidentų valdymo procedūros nustatyta tvarka rengia informacijos saugos incidentų ataskaitas su siūlymais, dėl informacijos saugumo valdymo priemonių ir informacijos saugos tobulinimo;

19.4. turi teisę duoti privalomus vykdyti nurodymus ir pavedimus muitinės informacinių sistemų administratoriams, muitinės informacinių sistemų naudotojams ir kitiems darbuotojams dėl muitinės informacinių sistemų saugos politikos įgyvendinimo;

19.5. teikia muitinės informacinių sistemų valdytojui siūlymus dėl:

19.5.1. Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų rengimo priėmimo, keitimo ar panaikinimo;

19.5.2. muitinės informacinių sistemų administratorių, paskyrimo;

19.5.3. muitinės informacinių sistemų informacinių technologijų saugos atitikties ir muitinės informacinių sistemų rizikos vertinimo atlikimo;

19.6. periodiškai organizuoja muitinės informacinių sistemų rizikos vertinimą;

19.7. periodiškai organizuoja muitinės informacinių technologinių pažeidžiamumų įvertinimą;

19.8. periodiškai organizuoja muitinės informacinių sistemų informacinių technologijų saugos atitikties vertinimą;

19.9. prireikus rengia muitinės informacinių sistemų rizikos valdymo planą, informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų ir neatitikčių šalinimo priemonių planą ir muitinės informacinių technologinių pažeidžiamumo šalinimo planą;

19.10. periodiškai organizuoja muitinės informacinių sistemų veiklos tęstinumo valdymo plano bandymus;

19.11. reguliariai įvairiais būdais informuoja muitinės informacinių sistemų naudotojus apie elektroninės informacijos saugos problemas, teikia konsultacijas ir rekomendacijas (elektroniniu paštu, telefonu ir kt. būdais), prireikus rengia atmintines;

19.12. atlieka kitas Bendrųjų saugos reikalavimų apraše, muitinės informacinių sistemų nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

20. Saugos įgaliotinis negali atlikti administratoriaus funkcijų.

21. Muitinės informacinių sistemų centro paskirti administratoriai atlieka funkcijas, susijusias su muitinės informacinių sistemų naudotojų teisių valdymu, informacinės sistemos komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo sistemomis, elektroninės informacijos perdavimu tinklais, bylų serveriais ir kitais), šių informacinių sistemų komponentų sąranka, informacinių sistemų pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena, reagavimu į saugos incidentus ir jų valdymu, taip pat privalo vykdyti visus Saugos įgaliotinio nurodymus ir pavedimus, susijusius su muitinės informacinių sistemų saugos užtikrinimu, ir nuolat teikti Saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.

22. Muitinės informacinių sistemų centro, kaip pagrindinio tvarkytojo, skiriami administratoriai, pagal einamas pareigas ir prieigos prie muitinės informacinės sistemos lygį:

22.1. Kompiuterinių tinklų administratorius atlieka šias funkcijas:

22.1.1. užtikrina kompiuterinių tinklų veikimą;

22.1.2. projektuoja kompiuterinius tinklus;

22.1.3. diegia, konfigūruoja ir prižiūri kompiuterinių tinklų aktyviąją įrangą;

22.1.4. administruoja ugniasienes, maršrutizatorius, komutatorius ir pagalbinę įrangą (nepertraukiamo maitinimo šaltinius, fizines linijas ir pan.);

22.1.5. užtikrina kompiuterinių tinklų saugumą (nustato pažeidžiamas vietas);

22.1.6. pagal kompetenciją reaguoja į elektroninės informacijos saugos (kibernetinio saugumo) incidentus ir juos valdo;

22.1.7. užtikrina muitinės įstaigų prieigą prie Kertinio (SVDPT) valstybinio telekomunikacijų centro teikiamų paslaugų.

22.2. Tarnybinių stočių administratorius atlieka šias funkcijas:

22.2.1. užtikrina tarnybinių stočių veikimą;

22.2.2. konfigūruoja tarnybinių stočių tinklo prieigą;

22.2.3. kuria ir administruoja tarnybinių stočių naudotojų registracijos į tarnybines stotis duomenis;

22.2.4. stebi ir analizuoja tarnybinių stočių veiklą;

22.2.5. diegia ir konfigūruoja tarnybinių stočių programinę įrangą;

22.2.6. diegia tarnybinių stočių programinės įrangos atnaujinimus;

22.2.7. pagal kompetenciją reaguoja į elektroninės informacijos saugos (kibernetinio saugumo) incidentus ir juos valdo;

22.2.8. užtikrina tarnybinių stočių saugą;

22.2.9. diegia ir konfigūruoja taikomąją programinę įrangą, jos atnaujinimus bei susijusius paketus.

22.3. Duomenų bazių administratorius atlieka šias funkcijas:

22.3.1. užtikrina duomenų bazių veikimą;

22.3.2. tvarko duomenų bazių programinę įrangą;

22.3.3. diegia duomenų bazių programinės įrangos atnaujinimus;

22.3.4. konfigūruoja duomenų bazių kompiuterių tinklo aplinką;

22.3.5. kuria ir administruoja duomenų bazių naudotojų registracijos į duomenų bazes duomenis;

22.3.6. kuria ir atkuria atsargines elektroninės informacijos kopijas;

22.3.7. stebi duomenų bazes ir optimizuoja jų funkcionavimą;

22.3.8. pagal kompetenciją reaguoja į elektroninės informacijos saugos (kibernetinio saugumo) incidentus ir juos valdo;

22.3.9. užtikrina duomenų bazių saugą.

22.4. Kompiuterizuotų darbo vietų administratorius atlieka šias funkcijas:

22.4.1. užtikrina kompiuterizuotų darbo vietų veikimą;

22.4.2. diegia ir konfigūruoja kompiuterizuotų darbo vietų programinę įrangą;

22.4.3. diegia kompiuterizuotų darbo vietų programinės įrangos atnaujinimus;

22.4.4. stebi ir analizuoja kompiuterizuotų darbo vietų veikimą;

22.4.5. pagal kompetenciją reaguoja į elektroninės informacijos saugos (kibernetinio saugumo) incidentus ir juos valdo;

22.4.6. užtikrina kompiuterizuotų darbo vietų saugą;

22.4.7. centralizuotos kompiuterizuotų darbo vietų valdymo programinės įrangos administravimas.

22.5. Naudotojų (vidinių ir išorinių) administratorius atlieka šias funkcijas:

22.5.1. Vidinių naudotojų administratorius:

22.5.1.1. tvarko (priskiria/pašalina) vidinių naudotojų prieigos teises;

22.5.1.2. registruoja ir išregistruoja vidinius muitinės informacinių sistemų naudotojus;

22.5.1.3. vykdo prieigų prie muitinės informacinių sistemų suteikimą;

22.5.1.4. vykdo muitinės informacinių sistemų teisių valdymą (sukuria/pašalina prieigos teises);

22.5.1.5. kuria ir tvarko vidinių naudotojų grupes;

22.5.1.6. esant poreikiui, analizuoja naudotojų veiksmų registracijos žurnalų įrašus ir kt.

22.5.2. Išorinių naudotojų administratorius:

22.5.2.1. registruoja ir išregistruoja muitinės elektroninių paslaugų gavėjus, jų administratorius ir naudotojus;

22.5.2.2. tvarko muitinės elektroninių paslaugų gavėjų, jų administratorių ir naudotojų duomenis, prieigos teises, įkelia(pašalina) jų sertifikatus;

22.5.2.3. tvarko muitinės elektroninių paslaugų gavėjo suteiktus įgaliojimus kitam asmeniui;

22.5.2.4. registruoja ir išregistruoja išorinius naudotojus;

22.5.2.5. tvarko išorinių naudotojų duomenis, prieigos teises;

22.5.2.6. ištrina neteisingai registruotus naudotojus, koreguoja jau egzistuojančių naudotojų teises pagal prašymus.

22.6. Taikomosios programinės įrangos administratorius atlieka šias funkcijas:

22.6.1. tvarko sistemos nustatymus;

22.6.2. registruoja ir tvarko susijusių muitinės informacinių sistemų neveikimą;

22.6.3. esant poreikiui kartoja elektroninių pranešimų siuntimą arba vykdo procedūras, reikalingas sąsajose numatytam duomenų perdavimui atlikti;

22.6.4. tvarko sistemos normatyvinius duomenis;

22.6.5. kuria duomenų rinkinius ir ataskaitas;

22.6.6. kuria ir modernizuoja taikomosios programos programinę įrangą ir duomenų bazės struktūrą;

22.6.7. užtikrina taikomosios programos veikimą;

22.6.8. rengia taikomosios programinės įrangos diegimo paketus;

22.6.9. esant poreikiui kuria įvairias duomenų atrinkimo užklausas;

22.6.10. stebi sistemos veikimą, analizuoja klaidas, inicijuoja klaidų taisymą;

22.6.11. priklausomai nuo muitinės informacinės sistemos funkcionalumo, atlieka kitas specifines funkcijas, nustatytas Muitinės informacinių sistemų ir jų veikimą užtikrinančios infrastruktūros valdymo, administratorių sąraše.

23. Muitinės informacinių sistemų paskirti administratoriai pagal kompetenciją yra atsakingi už tinkamą muitinės informacinių sistemų saugos ir kibernetinio saugumo dokumentuose nustatytų funkcijų vykdymą.

24. Muitinės informacinių sistemų paskirti administratoriai dalyvauja atliekant muitinės informacinių sistemų rizikos vertinimą ir muitinės informacinių sistemų informacinių technologijų saugos atitikties reikalavimams vertinimą.

25. Muitinės informacinių sistemų paskirti administratoriai privalo vykdyti visus Saugos įgaliotinio nurodymus ir pavedimus dėl muitinės informacinių sistemų elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo, pagal kompetenciją reaguoti į elektroninės informacijos saugos (kibernetinio saugumo) incidentus ir nuolat teikti Saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.

26. Muitinės informacinių sistemų administratoriai privalo registruoti visus elektroninės informacijos saugos ir kibernetinius incidentus ir apie tai informuoti ITPC, Saugos įgaliotinį ir Kibernetinio saugumo specialistą bei teikti siūlymus dėl incidentų pašalinimo.

27. Muitinės informacinių sistemų administratoriai privalo patikrinti (peržiūrėti) informacinių sistemų sąranką ir informacinių sistemų būsenos rodiklius reguliariai – ne rečiau kaip kartą per metus ir (arba) po informacinės sistemos pokyčio.

28. Muitinės informacinių sistemų naudotojo funkcijos yra šios:

28.1. atsakyti už muitinės informacinės sistemos ir joje tvarkomų duomenų saugumą;

28.2. tvarkyti muitinės informacinių sistemų elektroninę informaciją;

28.3. neatskleisti, neperduoti tvarkomos muitinės informacinės sistemos elektroninės informacijos;

28.4. atlikti kitas Saugos nuostatų, muitinės informacinės sistemos nuostatų ir kitų teisės aktų nustatytas funkcijas.

29. Muitinėje informacijos saugą ir kibernetinį saugumą koordinuoja nuolatinis Saugos muitinėje koordinavimo komitetas (toliau – Komitetas), sudarytas Muitinės departamento generalinio direktoriaus 2006 m. lapkričio 27 d. įsakymu Nr. 780 „Dėl Saugos muitinėje koordinavimo komiteto sudarymo ir jo nuostatų patvirtinimo“ (toliau – Komiteto nuostatai). Komiteto veikla organizuojama vadovaujantis Komiteto nuostatais.

30. Už muitinės informacijos ir kito su informacija susijusio turto saugumą teritorinėse muitinėse ir specialiosiose muitinės įstaigose atsakingi Saugos administravimo pakomitečiai (toliau – Pakomitečiai), kurie yra sudaryti kiekvienoje muitinės įstaigoje Muitinės departamento generalinio direktoriaus pavedimu ir kuriems tiesiogiai vadovauja Komitetas. Pakomitečių sudėtis ir nuostatai tvirtinami muitinės įstaigos vadovo įsakymu. Pakomitečių pagrindinės funkcijos – įgyvendinti muitinės informacijos saugumo ir kibernetinio saugumo politiką bei užtikrinti muitinės informacijos ir kito su informacija susijusio turto saugumą savo įstaigos veiklos zonoje.

31. Muitinės informacinių sistemų elektroninė informacija tvarkoma ir jos sauga užtikrinama vadovaujantis šiais teisės aktais:

31.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1).;

31.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

31.3. Valstybės informacinių išteklių valdymo įstatymu;

31.4. Lietuvos Respublikos kibernetinio saugumo įstatymu;

31.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

31.6. Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

31.7. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – IS klasifikavimo gairių aprašas);

31.8. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai reikalavimai);

31.9. Kibernetinio saugumo reikalavimų aprašu;

31.10. Nacionaliniu kibernetinių incidentų valdymo planu;

31.11. muitinės informacinių sistemų nuostatais;

31.12. Asmens duomenų tvarkymo Lietuvos Respublikos muitinėje taisyklėmis, patvirtintomis Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2019 m. birželio 7 d. įsakymu Nr. 1B-537 „Dėl Asmens duomenų tvarkymo Lietuvos Respublikos muitinėje taisyklių patvirtinimo“;

31.13. saugos politiką įgyvendinančiais dokumentais;

31.14. muitinės informacinių sistemų valdytojo patvirtintu kibernetinių incidentų valdymo planu;

31.15. Lietuvos standartais LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo priemonių praktikos nuostatai“, kitais Lietuvos ir tarptautiniais standartais, reglamentuojančiais saugų duomenų tvarkymą;

31.16. Kitais teisė aktais, reglamentuojančiais elektroninės informacijos tvarkymo teisėtumą ir elektroninės informacijos saugos valdymą.

II SKYRIUS

elektroninės informacijos saugos valdymas

32. Muitinės informacinėse sistemose tvarkomos elektroninės informacijos svarbos kategorija, muitinės informacinių sistemų kategorijos bei priskyrimo tam tikrai kategorijai kriterijai nurodyti Saugos nuostatų 1 priede.

33. Pirmiausia turi būti užtikrintas svarbiausios elektroninės informacijos, kurios praradimas turėtų didžiausią įtaką muitinės informacinių sistemų darbui, saugumas.

34. Muitinės informacinių sistemų saugos priemonės parenkamos įvertinus galimus rizikos veiksnius elektroninės informacijos vientisumui, konfidencialumui ir prieinamumui.

35. Per metus turi būti užtikrintas muitinės informacinių sistemų prieinamumas: ketvirtos kategorijos informacinėms sistemoms – ne mažiau kaip 70 proc. laiko darbo metu darbo dienomis, trečiosios kategorijos informacinėms sistemoms – ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis, antrosios kategorijos informacinėms sistemoms – ne mažiau kaip 96 proc. laiko visą parą, pirmosios kategorijos informacinėms sistemoms – ne mažiau kaip 99 proc. laiko visą parą.

36. Saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacinės technologijos. Saugumo metodai“ standartus, kasmet organizuoja muitinės informacinių sistemų rizikos vertinimą. Prireikus Saugos įgaliotinis gali organizuoti neeilinį muitinės informacinių sistemų rizikos įvertinimą.

37. Muitinės informacinių sistemų rizikos vertinimo rezultatai ir pagrindinės muitinės informacinių sistemų rizikos mažinimo priemonės išdėstomos rizikos įvertinimo ataskaitoje, kuri svarstoma ir tvirtinama Saugos muitinėje koordinavimo komitete. Muitinės informacinių sistemų rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai, yra šie:

37.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

37.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis muitinės informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kita);

37.3. atsitiktinės subjektyvios aplinkybės (darbuotojų praradimas, gaisrai, vandens poveikis, elektros instaliacijos gedimas ir kita);

37.4. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

38. Muitinės informacinių sistemų rizikos vertinimas atliekamas Informacijos saugos rizikos valdymo procedūros aprašo nustatyta tvarka. Atsižvelgiant į rizikos įvertinimo ataskaitą, Informacijos saugos rizikos valdymo procedūros aprašo nustatyta tvarka prireikus sudaromas ir tvirtinamas rizikos valdymo planas, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis muitinės informacinių sistemų rizikos valdymo priemonėms įgyvendinti.

39. Elektroninės informacijos saugos būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis muitinės informacinių sistemų elektroninės informacijos saugos priemonėmis, kurios pasirenkamos atsižvelgiant į muitinės informacinių sistemų valdytojo skiriamus išteklius, vadovaujantis šiais principais:

39.1. likutinė rizika turi būti sumažinta iki priimtino lygio;

39.2. elektroninės informacijos saugos priemonės diegimo kainos turi atitikti saugomos informacijos vertę;

39.3. esant galimybei turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos užtikrinimo priemonės.

40. Siekiant užtikrinti Saugos dokumentuose nustatytų elektroninės informacijos saugos reikalavimų įgyvendinimo organizavimą ir kontrolę, Informacijos saugos atitikties vertinimo procedūros apraše ir Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka, kasmet organizuojamas muitinės informacinių sistemų informacinių technologijų saugos atitikties vertinimas.

41. Muitinės informacinių sistemų informacinių technologijų saugos atitikties vertinimo metu, siekiant objektyviai nustatyti saugos reikalavimų įgyvendinimo lygį, turi būti:

41.1. įvertinama realios muitinės informacinių sistemų informacijos saugos situacijos ir Saugos nuostatų bei kitų saugos politiką įgyvendinančių teisės aktų reikalavimų atitiktis;

41.2. inventorizuojama muitinės informacinių sistemų techninė ir programinė įranga;

41.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų muitinės informacinių sistemų naudotojų kompiuterizuotų darbo vietų, visose muitinės informacinių sistemų tarnybinėse stotyse įdiegtos programos ir jų sąrankos (konfigūracija);

41.4. patikrinama (įvertinama) muitinės informacinių sistemų naudotojams suteiktų teisių tvarkyti muitinės informacines sistemas ir atliekamų funkcijų atitiktis, o prireikus muitinės informacinių sistemų naudotojų teisės išplečiamos arba apribojamos;

41.5. įvertinamas pasirengimas užtikrinti muitinės informacinių sistemų veiklos tęstinumą įvykus elektroninės informacijos saugos (kibernetiniam) incidentui;

41.6. įvertinama muitinės informacinių sistemų rizikos įvertinimo ir valdymo būklė.

42. Atlikus muitinės informacinių sistemų informacinių technologijų saugos reikalavimų atitikties vertinimą, rengiama muitinės informacinių sistemų informacinių technologijų saugos vertinimo ataskaita. Atsižvelgiant į vertinimo ataskaitą, prireikus parengiamas muitinės informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų ir neatitikčių šalinimo priemonių planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Saugos muitinėje koordinavimo komitetas.

43. Muitinės informacinių sistemų rizikos įvertinimo ataskaitos, rizikos valdymo plano duomenis bei jų kopijas ir muitinės informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano duomenis bei jų kopijas muitinės informacinių sistemų valdytojas ar jo įgaliotas atstovas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 “Dėl valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

44. Ne rečiau kaip kartą per trejus metus pirmosios kategorijos muitinės informacinių sistemų informacinių technologijų saugos atitikties vertinimą turi atlikti nepriklausomi visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.

III SKYRIUS

organizaciniai ir techniniai reikalavimai

45. Programinės įrangos, skirtos apsaugoti muitinės informacines sistemas nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai), naudojimo ir jos atnaujinimo reikalavimai:

45.1. muitinės informacinių sistemų tarnybinėse stotyse ir kompiuterizuotose darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingąją programinę įrangą, kurios turi būti reguliariai atnaujinamos automatiniu būdu ne rečiau kaip kartą per 24 valandas;

45.2. programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu;

45.3. antivirusinės sistemos virusų parašų bazės automatinio atnaujinimo ir kompiuterių operacinių sistemų kritinių pataisų diegimo terminai netaikomi toms darbo vietoms, kurios yra laikinai nenaudojamos. Pradėjus naudoti visos pataisos įdiegiamos nedelsiant.

46. Programinės įrangos, įdiegtos muitinės informacinių sistemų tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:

46.1. muitinės informacinių sistemų tarnybinėse stotyse ir kompiuterizuotose darbo vietose turi būti naudojama tik legali ir patikrinta programinė įranga;

46.2. naudotojų kompiuterizuotoje darbo vietoje naudojama programinė įranga turi būti įtraukta į leistinos naudoti programinės įrangos sąrašą. Leistinos programinės įrangos sąrašą tvirtina Muitinės departamentas. Muitinės departamento tvirtinamą leistinos programinės įrangos sąrašą turi parengti ir pagal poreikį peržiūrėti bei prireikus atnaujinti pagrindinis muitinės informacinių sistemų tvarkytojas;

46.3. programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;

46.4. programinės įrangos, nesusijusios su muitinės veikla ar muitinės informacinės sistemos naudotojo atliekamomis funkcijomis (žaidimų, bylų siuntimo, internetinių pokalbių programų ir pan.), naudojimas neleidžiamas;

46.5. programinę įrangą diegia, atnaujina, kontroliuoja, kompiuterines darbo vietas prižiūri tik šiai veiklai vykdyti paskirti muitinės informacinių sistemų administratoriai (pagal atliekamas funkcijas). Kriminalinę žvalgybą vykdančių muitinės informacinių sistemų naudotojų kompiuterines darbo vietas diegia, prižiūri, programinę įrangą atnaujina ir kontroliuoja šiai veiklai atlikti įgalioti muitinės informacinių sistemų administratoriai;

46.6. muitinės informacinių sistemų administratoriai dalyvauja paslaugų teikėjams atnaujinant programinę įrangą;

46.7. muitinės informacinių sistemų naudotojų teisės yra ribojamos – jiems neleidžiama įdiegti papildomos programinės įrangos ir keisti sistemos, kompiuterio ar programinės įrangos bendrųjų nustatymų, nebent tai nustatyta pareigybės aprašymuose. Išimties tvarka suteikiant administratoriaus teises muitinės informacinių sistemų naudotojams, jos turi būti registruojamos pateikiant atskirą prašymą ITPC, nurodant motyvuotą pagrindą;

46.8. programinės įrangos testavimas negali būti vykdomas su realiais duomenimis, išskyrus būtinus atvejus, kurių metu būtų naudojamos organizacinės ir techninės duomenų saugumo priemonės, užtikrinančios realių duomenų saugumą.

47. Muitinės informacinių sistemų tarnybinės stotys ir administravimui naudojami kompiuteriai negali turėti tiesioginio ryšio su internetu (nepertraukiamos sesijos), jei toks ryšys nėra būtinas muitinės informacinių sistemų funkcionavimui.

48. Muitinės informacinių sistemų programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbtiems (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org.

49. Muitinės informacinėse sistemose turi būti naudojamos tik tarnybinės išorinės duomenų laikmenos (USB, CD/DVD ir kt.) ir kiti tarnybiniai įrenginiai, kurie yra išduoti tarnybinėms funkcijoms vykdyti.

50. Muitinės informacinių sistemų kompiuterizuotose darbo vietose turi būti įdiegtos priemonės, leidžiančios riboti išorinių duomenų laikmenų (USB, CD/DVD ir kt.) naudojimą.

51. Muitinės informacinių sistemų programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems su juo susipažinti asmenims.

52. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:

52.1. kompiuterių tinklai turi būti atskirti nuo viešųjų telekomunikacijų tinklų (interneto) ugniasienėmis, DOS ir DDOS atakų prevencijai skirta įranga bei įsilaužimų aptikimo ir prevencijos įranga;

52.2. kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuose ryšių tinkluose naršančių muitinės informacinių sistemų naudotojų kompiuterinę įrangą nuo kenksmingo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojantį apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

52.3. apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga;

52.4. turi būti naudojamos turinio filtravimo sistemos;

52.5. turi būti naudojamos taikomųjų programų kontrolės sistemos.

53. Muitinės informacinėse sistemose naudojamų interneto svetainių (toliau – svetainės) saugos valdymo reikalavimai:

53.1. svetainės turi atitikti Kibernetinio saugumo reikalavimų apraše ir Techniniuose reikalavimuose nustatytus reikalavimus;

53.2. svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų būtų galima jungtis tik iš vidinio muitinės informacinių sistemų tvarkytojo kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;

53.3. turi būti pakeistos numatytos prisijungimo prie svetainių turinio valdymo sistemos ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) ir slaptažodžiai;

53.4. turi būti užtikrinama, kad prie svetainių turinio valdymo sistemų ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;

53.5. muitinės informacinėse sistemose naudojamų svetainių sauga turi būti vertinama muitinės informacinių sistemų rizikos ir (arba) informacinių technologijų saugos atitikties ir (arba) technologinių pažeidžiamumų vertinimų metu.

54. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

54.1. muitinės informacinių sistemų elektroninė informacija perduodama automatiniu būdu naudojant TCP/IP, HTTPS protokolus realiame laike (angl. „On-line“ režimu) arba asinchroniniu režimu pagal muitinės informacinių sistemų duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamos elektroninės informacijos specifikacijas, perdavimo sąlygos ir tvarka;

54.2. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą naudojamas šifravimas, virtualus privatus tinklas (angl. virtual private network), skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas;

54.3. elektroninei informacijai teikti ir (ar) gauti iš kitų valstybės institucijų naudojamasi tik Kertinio valstybės telekomunikacijų centro teikiama paslauga – Saugus valstybinis duomenų perdavimo tinklas (SVDPT);

54.4. šifro raktų ilgiai, šifro raktų generavimo algoritmai, šifro raktų apsikeitimo protokolai, sertifikato parašo šifravimo algoritmai ir kiti šifravimo algoritmai nustatomi atsižvelgiant į Lietuvos ir tarptautinių organizacijų ir standartų rekomendacijas, Kibernetinio saugumo reikalavimų aprašo reikalavimus;

54.5. tiesioginė prieiga prie muitinės informacinių sistemų elektroninės informacijos suteikiama įgyvendinus muitinės informacinių sistemų naudotojų autentifikavimo priemones – šie naudotojai savo tapatybę patvirtina slaptažodžiu ar kita autentifikavimo priemone;

54.6. prieiga prie muitinės informacinių sistemų suteikiama tik registruotiems muitinės informacinių sistemų naudotojams;

54.7. prieigos prie muitinės informacinių sistemų elektroninės informacijos teises gali suteikti tik muitinės informacinių sistemų administratoriai. Muitinės informacinių sistemų naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės;

54.8. muitinės informacinėje sistemoje jos naudotojui turi būti leista atlikti tik tuos veiksmus, kuriuos atlikti jam yra suteiktos teisės;

54.9. pasibaigus muitinės informacinės sistemos naudotojo darbo santykiams, teisė naudotis elektronine informacija turi būti panaikinta. Muitinės informacinės sistemos naudotojui prieiga prie muitinės informacinių sistemų turi būti ribojama arba sustabdoma, kai vyksta muitinės informacinės sistemos naudotojo veiklos tyrimas arba keičiasi jo atliekamos ir (ar) pareigybės aprašyme nurodytos funkcijos.

55. Muitinės informacinių sistemų naudotojų tapatybė nustatoma pagal suteiktą tapatybės kodą ir atitinkamą slaptažodį. Teisės naudotis muitinės informacinių sistemų funkcinėmis galimybėmis ir tvarkyti muitinės informacinių sistemų duomenis suteikiamos, vadovaujantis Muitinės informacinių sistemų naudotojų administravimo taisyklėmis, informuojant ITPC nustatyta tvarka.

56. Muitinės informacinių sistemų administratorių ir muitinės informacinių sistemų naudotojų tapatybei nustatyti (ten, kur technologiškai įmanoma) naudojama Microsoft Active directory sistema.

57. Leidžiamos muitinės informacinių sistemų naudotojų kompiuterių naudojimo ribos:

57.1. stacionarūs ir nešiojamieji muitinės informacinių sistemų naudotojų kompiuteriai privalo būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai atlikti ir turi būti apsaugoti prisijungimo vardu ir slaptažodžiu;

57.2. muitinės informacinių sistemų naudotojų tarnybinėms funkcijoms vykdyti naudojamuose nešiojamuosiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas muitinės informacinių sistemų naudotojo tapatybės patvirtinimas ir elektroninės informacijos šifravimas;

57.3. iš kompiuterių ar elektroninės informacijos laikmenų, kurie perduodami remontui ar techniniam aptarnavimui arba nurašomi, turi būti neatkuriamai pašalinta visa nevieša elektroninė informacija;

57.4. muitinės informacinių sistemų duomenų naudotojai privalo naudotis visomis saugumo priemonėmis, kad kompiuteris ir duomenų laikmenos būtų apsaugoti nuo vagystės ar pažeidimo.

58. Mobiliųjų įrenginių naudojimą ir priežiūrą reglamentuoja Muitinės įstaigų mobiliųjų įrenginių naudojimo ir priežiūros taisyklės, patvirtintos Muitinės departamento generalinio direktoriaus 2016 m. gruodžio 6 d. įsakymu Nr. 1B-988 „Dėl Muitinės įstaigų mobiliųjų įrenginių naudojimo ir priežiūros taisyklių patvirtinimo“.

59. Muitinės informacinių sistemų naudotojams, kuriems atliekant tiesiogines pareigas būtina prisijungti iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie informacinių sistemų galimybė:

59.1. techninis nuotolinio prisijungimo sprendimas turi užtikrinti ne žemesnį nei vidiniam prisijungimui naudojamą saugumo lygį, t. y. turi būti naudojamos Saugos nuostatuose nurodytos priemonės ir elektroninės informacijos šifravimas naudojantis virtualiu privačiu tinklu;

59.2. prie muitinės informacinių sistemų prisijungiama nuotoliniu būdu naudojant interneto naršyklę (HTTPS protokolą);

59.3. nuotolinė prieiga prie konkrečių muitinės informacinės sistemos ar posistemių muitinės informacinės sistemos naudotojui suteikiama pagal atskirą prašymą, vadovaujantis Muitinės informacinių sistemų naudotojų administravimo taisyklėmis.

60. Lietuvos Respublikos muitinės pareigūnų, valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, nustatytų pareigų (funkcijų) ar jų dalies atlikimo dalį darbo laiko ne nuolatinėje darbo vietoje sąlygas ir tvarką reglamentuoja Lietuvos Respublikos muitinės pareigūnų, kitų valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, darbo nuotoliniu būdu taisyklės, patvirtintos Muitinės departamento generalinio direktoriaus 2017 m. gruodžio 28 d. įsakymu Nr. 1B-1113 „Dėl Lietuvos Respublikos muitinės pareigūnų, kitų valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, darbo nuotoliniu būdu taisyklių patvirtinimo“.

61. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

61.1. atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokios apimties, kad muitinės informacinių sistemų veiklos sutrikimo, elektroninės informacijos saugos (kibernetinio) incidento ar elektroninės informacijos vientisumo praradimo atvejais muitinės informacinių sistemų neveikimo laikotarpis nebūtų ilgesnis, nei taikoma priklausomai nuo muitinės informacinės sistemos kategorijos, nurodytos Saugos nuostatų 1 priede, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus;

61.2. duomenų kopijos turi būti daromos periodiškai (visų duomenų kopija – vieną kartą per savaitę) pagal patvirtintą atsarginių duomenų kopijų administravimo aprašą;

61.3. muitinės informacinių sistemų elektroninės informacijos kopijos (pakeitimai) turi būti daromos kiekvieną dieną;

61.4. atsarginėms kopijoms daryti naudojama speciali programinė įrangą;

61.5. atsarginių elektroninės informacijos kopijų darymas turi būti fiksuojamas;

61.6. atkūrimas iš elektroninės informacijos kopijų privalo būti išbandomas;

61.7. atsargines duomenų kopijas kuria, sunaikina, atkuria ir saugo paskirtas administratorius;

61.8. muitinės informacinių sistemų elektroninės informacijos kopijos turi būti saugomos užrakintoje nedegioje spintoje, kitose patalpose arba kitame pastate, nei muitinės informacinių sistemų tarnybinės stotys;

61.9. patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas.

62. Kiekvienas muitinės informacinių sistemų administratorius ar muitinės informacinių sistemų naudotojai atsako už duomenų, kurie jiems prieinami naudojant muitinės informacines sistemas, tvarkymo teisėtumą ir tvarkomų duomenų saugą.

63. Siekiant užtikrinti muitinės informacinių sistemų saugą ir tinkamą jų veikimą, kaupiami ir analizuojami žurnaliniai įrašai (angl. log file). Žurnaliniai įrašai kaupiami ir analizuojami, naudojant sisteminių žurnalinių įrašų valdymo sistemą.

64. Taikomi organizaciniai ir techniniai kibernetinio saugumo reikalavimai, priklausomai nuo informacinės sistemos kategorijos, išdėstyti Kibernetinio saugumo reikalavimų apraše.

65. Kibernetinių incidentų, įvykusių muitinės valdomuose informaciniuose ištekliuose ir ypatingos svarbos informacinėje infrastruktūroje, valdymas ir tyrimas užtikrinamas vadovaujantis Lietuvos Respublikos muitinės kibernetinių incidentų valdymo planu, patvirtintu Muitinės departamento generalinio direktoriaus 2017 m. liepos 5 d. įsakymu Nr. 1B-575 „Dėl Lietuvos Respublikos muitinės kibernetinių incidentų valdymo plano patvirtinimo“.

66. Perkant paslaugas, darbus ar įrangą, susijusią su muitinės informacinėmis sistemomis, jų projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos ir kibernetinio saugumo užtikrinimu, auditavimu, patalpų priežiūra, elektroninės informacijos perdavimo tinklais, taip pat kitus suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, ją apdoroti, saugoti, keistis elektronine informacija ar tiekti informacinių technologijų infrastruktūros komponentus, pirkimo dokumentuose iš anksto turi būti nustatyta, kad paslaugų teikėjas, darbų vykdytojas ar techninės ir programinės įrangos tiekėjas (toliau – paslaugų teikėjas) privalo laikytis muitinės informacinių sistemų saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar teikiamos įrangos atitiktį nustatytiems elektroninės informacijos saugos ir kibernetinio saugumo reikalavimams.

67. Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant šią sutartį, išskyrus tiek, kiek būtina sutarties vykdymui, taip pat nenaudoti konfidencialios informacijos asmeniniais ar trečiųjų asmenų poreikiams laikantis principo, kad visa paslaugų teikėjui suteikta informacija (įskaitant muitinės informacinėse sistemose tvarkomą elektroninę informaciją) yra konfidenciali, nebent raštu patvirtinama, kad tam tikra pateikta informacija nėra konfidenciali.

IV SKYRIUS

reikalavimai personalui

68. Muitinės informacinių sistemų naudotojų, muitinės informacinių sistemų administratorių, Saugos įgaliotinio kvalifikacija turi atitikti bendruosius ir specialiuosius reikalavimus, nustatytus jų pareigybių aprašymuose ir Saugos nuostatuose.

69. Muitinės informacinių sistemų administratoriai ir naudotojai turi būti susipažinę su saugos ir kibernetinio saugumo dokumentais, pagal kompetenciją – ir kitais teisės aktais bei standartais, reglamentuojančiais elektroninės informacijos saugą ir kibernetinį saugumą.

70. Reikalavimai Saugos įgaliotiniui:

70.1. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos ir kibernetinio saugumo srityje, savo darbe vadovautis saugos politiką įgyvendinančiais dokumentais, saugos standartais, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą;

70.2. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau nei vieni metai.

71. Reikalavimai muitinės informacinių sistemų administratoriams:

71.1. muitinės informacinių sistemų administratoriumi gali būti skiriamas muitinės darbuotojas, išmanantis darbą su centriniais ir tinklo kompiuteriais (tarnybinėmis stotimis), kompiuterių tinklais ir kita kompiuterių įranga ir (arba) duomenų bazėmis ir (arba) standartine programine įranga ir (arba) taikomosiomis sistemomis ir sąsajomis tarp jų bei mokantis užtikrinti jų saugumą;

71.2. muitinės informacinių sistemų administratoriai pagal kompetenciją privalo išmanyti pagrindinius elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, mokėti užtikrinti muitinės informacinių sistemų ir jose tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą;

71.3. muitinės informacinių sistemų administratorius pagal kompetenciją privalo administruoti ir prižiūrėti muitinės informacinių sistemų komponentus (stebėti muitinės informacinių sistemų komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti muitinės informacinių sistemų komponentų nepertraukiamą funkcionavimą ir pan.);

71.4. turi būti pasirašę pasižadėjimą saugoti asmens duomenų paslaptį;

71.5. muitinės informacinių sistemų administratoriumi, atliekančiu muitinės informacinės sistemos techninės ir programinės įrangos priežiūros ir duomenų, informacijos ir dokumentų ir (arba) jų kopijų tvarkymo funkcijas, negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau nei vieni metai. Šie reikalavimai taikomi ir išorinių paslaugų teikėjo asmenims, teikiantiems muitinės informacinėms sistemoms priežiūros ir (arba) duomenų bei informacijos tvarkymo paslaugas pagal sutartis;

71.6. muitinės informacinių sistemų administratoriai apie Saugos nuostatų 37 punkte ir jo papunkčiuose nurodytus rizikos veiksnius turi informuoti ITPC ir Saugos įgaliotinį.

72. Reikalavimai muitinės informacinių sistemų naudotojams:

72.1. turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių;

72.2. mokėti saugiai tvarkyti muitinės informacinių sistemų elektroninę informaciją atitinkamų muitinės informacinių sistemų naudojimo instrukcijų nustatyta tvarka;

72.3. tobulinti kvalifikaciją Saugos įgaliotinio, Kibernetinio saugumo specialisto, asmens duomenų apsaugos pareigūno rekomenduojamose (aprobuotose) kursuose, seminaruose ar mokymuose;

72.4. įtarus, kad prisijungimo prie muitinės informacinės sistemos slaptažodis galėjo būti atskleistas kitam asmeniui, praradus, pamiršus arba kitaip netekus slaptažodžio turi būti nedelsiant informuotas ITPC;

72.5. naudotojai, tvarkantys elektroninę informaciją, privalo įsipareigoti saugoti informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą bei valstybės tarnybos ar darbo santykius;

72.6. naudotojai turi patvirtinti savo tapatybę slaptažodžiu, taip pat kita tapatumo patvirtinimo priemone, kurios reikalaujama jungiantis prie konkrečios muitinės informacinės sistemos;

72.7. slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacijos (pvz.; gimimo data, šeimos narių vardai ir pan.);

72.8. baigus darbą ar pasitraukiant iš darbo vietos, turi būti imamasi priemonių, kad su informacija, kuri tvarkoma muitinės informacinėse sistemose, negalėtų susipažinti kiti asmenys: atsijungiama nuo muitinės informacinės sistemos, įjungiama ekrano užsklanda su slaptažodžiu.

73. Naudotojai, pastebėję Saugos dokumentų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai ITPC arba Saugos įgaliotiniui arba muitinės informacinių sistemų administratoriui.

74. Naudotojai, atliekantys tarnybines funkcijas, susijusias su asmens duomenų tvarkymu ir teikimu, raštu pasirašytinai įpareigojami pasižadėti saugoti asmens duomenų paslaptį. Asmens duomenų paslaptį jie privalo saugoti ir pradėjus eiti kitas pareigas, taip pat pasibaigus darbo (tarnybos) santykiams.

75. Muitinės informacinių sistemų naudotojams draudžiama:

75.1. atskleisti muitinės informacinės sistemos duomenis ar suteikti kitokią galimybę bet kokia forma su jais susipažinti tokios teisės neturintiems asmenims;

75.2. savavališkai diegti informacinės sistemos taikomosios programinės įrangos pakeitimus ir naujas versijas neturint tam suteiktos teisės;

75.3. atskleisti kitiems asmenims prisijungimo prie muitinės informacinės sistemos vardą, slaptažodį ar kitaip sudaryti sąlygas jais pasinaudoti (pvz., užrašyti slaptažodį ant lapelio ir palikti darbo vietoje);

75.4. naudoti muitinės informacinės sistemos duomenis kitokiais nei jų nuostatuose nurodytais tikslais bei savo pareigybės aprašyme nustatytų funkcijų vykdymo tikslais;

75.5. sudaryti sąlygas pasinaudoti muitinės informacinei sistemai tvarkyti naudojama technine ir programine įranga tokios teisės neturintiems asmenims (paliekant darbo vietą būtina užrakinti darbalaukį arba išjungti darbo stotį);

75.6. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti, sunaikinti ar atskleisti muitinės informacinės sistemos duomenys, taip pat neatlikti būtinų veiksmų, kurie apsaugo muitinės informacinės sistemos duomenis;

75.7. atlikti bet kokius kitus neteisėtus muitinės informacinės sistemos tvarkymo veiksmus.

76. Muitinės informacinių sistemų naudotojų, muitinės informacinių sistemų administratorių ir Saugos įgaliotinio mokymo planavimo, organizavimo ir vykdymo tvarka, mokymo dažnumo reikalavimai:

76.1. muitinės informacinių sistemų naudotojams periodiškai, bet ne rečiau kaip kartą per dvejus metus turi būti organizuojami ir rengiami mokymai elektroninės informacijos saugos, kibernetinio saugumo ir asmens duomenų apsaugos klausimais, o kasmet įvairiais būdais primenama apie elektroninės informacijos saugos ir kibernetinio saugumo problemas (pvz., svarbios informacijos priminimai elektroniniu paštu, informacijos skelbimas intranete, atmintinės ir pan.);

76.2. mokymai muitinės informacinių sistemų administratoriams turi būti organizuojami pagal poreikį;

76.3. mokymai elektroninės informacijos saugos, kibernetinio saugumo klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos, kibernetinio saugumo užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), muitinės informacinių sistemų naudotojų ar administratorių poreikius;

76.4. mokymai gali būti vykdomi tiesioginiu (pvz., paskaitos, seminarai, konferencijos ir kiti teminiai renginiai) ar nuotoliniu būdu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.). Mokymus gali vykdyti muitinės informacinių sistemų valdytojo paskirtas kompetentingas darbuotojas, gerai išmanantis elektroninės informacijos saugos, kibernetinio saugumo ar asmens duomenų apsaugos užtikrinimo principus, arba elektroninės informacijos saugos, kibernetinio saugumo mokymų paslaugų teikėjas;

76.5. muitinės informacinių sistemų naudotojų mokymus duomenų saugos klausimais nuotoliniu būdu ne rečiau kaip vieną kartą per metus organizuoja Muitinės mokymo centras;

76.6. muitinės informacinių sistemų valdytojas turi užtikrinti tinkamą ir nuoseklų Saugos įgaliotinio, muitinės informacinių sistemų administratorių, muitinės informacinių sistemų naudotojų kvalifikacijos tobulinimą elektroninės informacijos saugos ir kibernetinio saugumo klausimais ir skirti tinkamą finansavimą.

V SKYRIUS

MUITINĖS INFORMACINIŲ SISTEMŲ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

77. Tvarkyti muitinės informacinių sistemų elektroninę informaciją gali tik muitinės informacinių sistemų naudotojai, susipažinę su Saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugą, taip pat atsakomybe už saugos dokumentų nuostatų pažeidimus, ir sutikę laikytis saugos dokumentų reikalavimų.

78. Muitinės informacinių sistemų naudotojų supažindinimą su Saugos dokumentais ir kitais teisės aktais Muitinės departamente organizuoja Saugos muitinėje koordinavimo komitetas, muitinės įstaigose – Saugos administravimo pakomitečiai. Saugos muitinėje koordinavimo komitetas ir Saugos administravimo pakomitečiai yra atsakingi, kad muitinės informacinių sistemų naudotojai būtų informuoti apie Saugos dokumentų pakeitimą ir (ar) pripažinimą netekusiais galios.

79. Muitinės informacinių sistemų naudotojai su Saugos dokumentais bei atsakomybe už jų reikalavimų nesilaikymą turi būti supažindinami pasirašytinai, užpildant muitinės informacinių sistemų naudotojų supažindinimo su Saugos dokumentais kortelę (2 priedas). Pasirašytos kortelės turi būti pateiktos Saugos įgaliotiniui.

80. Pakartotinai su Saugos dokumentais ir kitais teisės aktais muitinės informacinių sistemų naudotojai supažindinami tik iš esmės pasikeitus muitinės informacinei sistemai arba elektroninės informacijos saugą bei kibernetinį saugumą reglamentuojantiems teisės aktams.

81. Saugos nuostatai ir kiti elektroninės informacijos saugos ir kibernetinio saugumo reglamentavimo dokumentai muitinės informacinių sistemų naudotojams, išskyrus išorinius naudotojus, skelbiami Lietuvos Respublikos muitinės vidinėje svetainėje ir yra privalomi visiems muitinės informacinių sistemų naudotojams, dirbantiems su muitinės informacinėmis sistemomis.

82. Išoriniams naudotojams viešai prieinami yra tik Saugos nuostatai, kurie yra skelbiami Registrų ir informacinių sistemų registre http://registrai.lt/management/objects/view/10152.

83. Informacijos saugos priemonių diegimo ar kitas paslaugas, susijusias su informacijos saugos užtikrinimu muitinėje, atliekantys teikėjai turi būti susipažinę su Saugos nuostatais ir įsipareigoję laikytis jų reikalavimų, t.y. turi būti pasirašę Konfidencialumo pasižadėjimą (3 priedas).

84. Muitinės informacinių sistemų elektroninės informacijos saugumo užtikrinimas su muitinės informacinių sistemų duomenų teikėjais, gavėjais ar rangovais nustatomas duomenų teikimo (paslaugų teikimo) sutartimis, kuriose nurodomi muitinės informacinių sistemų elektroninės informacijos saugumo reikalavimai.

85. Muitinės informacinių sistemų naudotojai pagal kompetenciją atsako už muitinės informacinės sistemos ir joje tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą.

86. Saugos įgaliotinis, muitinės informacinių sistemų administratoriai ir muitinės informacinių sistemų naudotojai, pažeidę Saugos dokumentų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių tesės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

87. Muitinės informacinių sistemų valdytojas Saugos nuostatus gali keisti ir (ar) pripažinti netekusiais galios savo arba Saugos įgaliotinio iniciatyva.

88. Saugos dokumentai turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai taip pat turi būti persvarstomi (peržiūrimi) atlikus muitinės informacinių sistemų rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą arba muitinėje įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Keičiami Saugos dokumentai derinami su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 14 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, nustatyta tvarka. Keičiami saugos dokumentai gali būti nederinami su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką, tais atvejais, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar saugos politikos nekeičiantys pakeitimai arba taisoma teisės technika. Tuo atveju krašto apsaugos ministro įgaliotai institucijai, įgyvendinančiai valstybės informacinių išteklių saugos politiką, turi būti pateiktos keičiamų Saugos dokumentų kopijos.

89. Reorganizuojant arba likviduojant muitinės informacinę sistemą, jos elektroninė informacija turi būti saugiai perduota į kitą muitinės informacinę sistemą, valstybės archyvą Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka arba sunaikinama.

_______________________

Muitinės informacinių sistemų

duomenų saugos nuostatų

1 priedas

MUITINĖS ADMINISTRUOJAMŲ INFORMACINIŲ SISTEMŲ SĄRAŠAS

Eil. Nr.	Muitinės informacinės sistemos pavadinimas	Muitinės informacinės sistemos elektroninės informacijos svarbos kategorija	Muitinės informacinės sistemos kategorija	Muitinės informacinės sistemos priskyrimo prie kategorijos kriterijai
Registrai
1.	Muitinės prievolininkų registras (MPR)	Ypatingos svarbos	1	IS klasifikavimo gairių aprašo 7.1, 7.6 ir 12.1 papunkčiai
Integruota muitinės informacinė sistema
2.	Integruota muitinės informacinė sistema (Integruota MIS)	Ypatingos svarbos	1	IS klasifikavimo gairių aprašo 7.1 – 7.6 ir 12.1 papunkčiai
Vidaus administravimo informacinės sistemos
3.	Muitinės efektyvumo rodiklių sistema (MERS)	Mažiausios svarbos	4	IS klasifikavimo gairių aprašo 10 punktas ir 12.4 papunktis
4.	Lietuvos Respublikos muitinės finansinių išteklių, jų apskaitos ir kontrolės sistema (FAS)	Mažiausios svarbos	4	IS klasifikavimo gairių aprašo 10 punktas ir 12.4 papunktis
5.	MD planų vykdymo kontrolės informacinė sistema (PLANAI)	Mažiausios svarbos	4	IS klasifikavimo gairių aprašo 10 punktas ir 12.4 papunktis
6.	Informacinių technologijų paslaugų teikimo ir valdymo sistema (ITPS)	Mažiausios svarbos	4	IS klasifikavimo gairių aprašo 10 punktas ir 12.4 papunktis
7.	Lietuvos Respublikos muitinės žmogiškųjų išteklių valdymo informacinė sistema (ŽIVIS)	Mažiausios svarbos	4	IS klasifikavimo gairių aprašo 10 punktas ir 12.4 papunktis
8.	Vidinės komunikacijos sistema (VKS)	Mažiausios svarbos	4	IS klasifikavimo gairių aprašo 10 punktas ir 12.4 papunktis

_______________________

Muitinės informacinių sistemų

duomenų saugos nuostatų

2 priedas

––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

(Muitinės departamento saugos komiteto ar muitinės įstaigos pakomitečio pavadinimas)

MUITINĖS INFORMACINIŲ SISTEMŲ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS KORTELĖ

Patvirtinu, kad esu pasirašytinai supažindintas su teisės aktais, reglamentuojančiais elektroninės informacijos saugą ir kibernetinio saugumo politiką:

1. Muitinės informacinių sistemų duomenų saugos nuostatais, patvirtintais Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2015 m. spalio 15 d. įsakymu Nr. 1B-791„Dėl Muitinės informacinių sistemų duomenų saugos nuostatų patvirtinimo“;

2. Muitinės informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėmis, patvirtintomis Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2011 m. gegužės 31 d. įsakymu Nr. 1B-311 „Dėl Muitinės informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių, Muitinės informacinių sistemų naudotojų administravimo taisyklių ir Muitinės informacinių sistemų veiklos tęstinumo valdymo plano patvirtinimo“;

3. Muitinės informacinių sistemų naudotojų administravimo taisyklėmis, patvirtintomis Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2011 m. gegužės 31 d. įsakymu Nr. 1B-311 „Dėl Muitinės informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių, Muitinės informacinių sistemų naudotojų administravimo taisyklių ir Muitinės informacinių sistemų veiklos tęstinumo valdymo plano patvirtinimo“;

4. Muitinės informacinių sistemų veiklos tęstinumo valdymo planu, patvirtintu Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2011 m. gegužės 31 d. įsakymu Nr. 1B-311 „Dėl Muitinės informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių, Muitinės informacinių sistemų naudotojų administravimo taisyklių ir Muitinės informacinių sistemų veiklos tęstinumo valdymo plano patvirtinimo“;

5. Lietuvos Respublikos muitinės kibernetinio saugumo politikos aprašu, patvirtintu Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2016 m. lapkričio 18 d. įsakymu Nr. 1B-939 „Dėl Lietuvos Respublikos muitinės kibernetinio saugumo politikos aprašo patvirtinimo“;

6. Lietuvos Respublikos muitinės kibernetinių incidentų valdymo planu, patvirtintu Muitinės departamento prie Lietuvos Respublikos finansų ministerijos generalinio direktoriaus 2017 m. liepos 5 d. įsakymu Nr. 1B-575 „Dėl Lietuvos Respublikos muitinės kibernetinių incidentų valdymo plano patvirtinimo“.

SUPAŽINDINTŲ MUITINĖS INFORMACINIŲ SISTEMŲ NAUDOTOJŲ SĄRAŠAS

Eil. Nr.	Supažindinimo data	Muitinės informacinių sistemų naudotojo vardas ir pavardė	Pareigos	Parašas
1	2	3	4	5
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.

Muitinės informacinių sistemų

duomenų saugos nuostatų

3 priedas

(Konfidencialumo pasižadėjimo forma)

KONFIDENCIALUMO PASIŽADĖJIMAS

________________

(data)

______________

(sudarymo vieta)

Aš,________________________________________________________________________

(asmens vardas, pavardė,) Būtina užpildyti

_______________________________________________________________________________

(Įmonės, įstaigos ar organizacijos pavadinimas, pareigos, tel. Nr. el. paštas) Būtina užpildyti

vykdydamas ____________________________________________________ numatytus darbus:

(sutarties pavadinimas, data ir numeris) Būtina užpildyti

1. Esu informuotas (-a), kad konfidencialią informaciją sudaro:

1.1. bet kokios formos (žodine, rašytine, elektronine, kita) informacija, susijusi su teisės aktais pavestų funkcijų Lietuvos Respublikos muitinei (toliau – Muitinė) administruojant muitinės informacines sistemas vykdymu, kurios praradimas gali kelti pavojų Muitinės veiklai ar informacijos saugumui;

1.2. komercinė paslaptis, t. y. žinios, susijusios su Muitinės ar jos klientų ūkine ir finansine veikla, kurių paskelbimas gali padaryti materialinės žalos, pakenkti prestižui ar turėti kitų neigiamų pasekmių Muitinei ar jos klientams, įskaitant Muitinės ūkinės veiklos ir kitų procedūrų metu gautą informaciją;

1.3. Muitinės administruojamų informacinių sistemų naudotojų prisijungimo duomenys (prisijungimo vardas ir slaptažodis).

2. Įsipareigoju:

2.1. saugoti ir tik įstatymų bei kitų teisės aktų nustatytais tikslais ir tvarka naudoti konfidencialią informaciją, kuri taps žinoma, – tiek, kiek to reikalauja Lietuvos Respublikos teisės aktai;

2.2. laikytis Muitinės informacinių sistemų duomenų saugos politikos^{^[1]};

2.3. neatskleisti konfidencialios informacijos be Muitinės išankstinio raštiško sutikimo;

2.4. man patikėtus dokumentus, kuriuose yra konfidencialios informacijos, saugoti taip, kad tretieji asmenys neturėtų galimybės su jais susipažinti ar pasinaudoti. Pasibaigus teisiniams santykiams visa konfidenciali informacija lieka Muitinės nuosavybe.

3. Esu įspėtas (-a), kad, jeigu pažeisiu teisės aktus dėl konfidencialios informacijos naudojimo, turėsiu atlyginti Muitinės patirtus nuostolius Lietuvos Respublikos teisės aktų nustatyta tvarka ir man gali būti taikoma administracinė ar baudžiamoji atsakomybė.

______________ ___________________

(parašas) (vardas ir pavardė)

^{^[1]} Lietuvos Respublikos muitinės informacinių sistemų duomenų saugos politika išdėstyta Muitinės informacinių sistemų duomenų saugos nuostatuose, kurie skelbiami Registrų ir informacinių sistemų registre http://registrai.lt/management/objects/view/10152.