LIETUVOS DAILĖS MUZIEJAUS DIREKTORIUS
ĮSAKYMAS
DĖL LIETUVOS INTEGRALIOS MUZIEJŲ INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2018 m. balandžio 30 d. Nr. V.1-46
Vilnius
Vadovaudamasis Lietuvos Respublikos kibernetinio saugumo įstatymo 13 straipsnio 5 dalimi, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 19 ir 26 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, 5 punktu:
1. Tvirtinu Lietuvos integralios muziejų informacinės sistemos duomenų saugos nuostatus (pridedama).
2. Skiriu:
2.1. Lietuvos dailės muziejaus filialo Lietuvos muziejų informacijos skaitmeninimo ir LIMIS centras vedėjo pavaduotoją Donatas Snarskį Lietuvos integralios muziejų informacinės sistemos saugos įgaliotiniu ir LIMIS kibernetinio saugumo vadovu;
2.2. Lietuvos dailės muziejaus filialo Lietuvos muziejų informacijos skaitmeninimo ir LIMIS centras informacinių sistemų ir internetinių svetainių administratorių Arnoldą Urbelį LIMIS-C administratoriumi (nuo 2018 m. gegužės 12 d.);
3. Pavedu:
3.1. Lietuvos dailės muziejaus filialo Lietuvos muziejų informacijos skaitmeninimo ir LIMIS centras vedėjai Danutei Mukienei, Lietuvos integralios muziejų informacinės sistemos saugos įgaliotiniui Donatui Snarskiui per 6 mėnesius nuo šio įstatymo patvirtinimo parengti ir pateikti Lietuvos dailės muziejaus direktoriui tvirtinti Lietuvos integralios muziejų informacinės sistemos saugos politiką įgyvendinančių dokumentų projektus;
4. Pripažįstu netekusiu galios Lietuvos dailės muziejaus direktoriaus 2017 m. gegužės 8 d. įsakymą Nr.1-48 „Dėl Lietuvos dailės muziejaus direktoriaus 2015 m. gruodžio 7 d. įsakymo Nr.1-98 „Dėl Lietuvos integralios muziejų informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo“.
PATVIRTINTA
Lietuvos dailės muziejaus direktoriaus
2018 m. balandžio 30 d. įsakymu Nr. V.1-46
LIETUVOS INTEGRALIOS MUZIEJŲ INFORMACINĖS SISTEMOS
DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos integralios muziejų informacinės sistemos (toliau – LIMIS) duomenų saugos nuostatuose (toliau – Saugos nuostatai) nustatomi principai ir taisyklės, užtikrinantys saugų LIMIS elektroninės informacijos tvarkymą (gavimą, įvedimą, apdorojimą, saugojimą, teikimą) informacinių technologijų ir ryšio priemonėmis.
2. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), vartojamas sąvokas.
3. Saugos nuostatai nustato LIMIS elektroninės informacijos saugos ir kibernetinio saugumo politiką (toliau – saugos politika). LIMIS saugos politiką įgyvendina:
4. Saugos nuostatai reguliuoja saugų LIMIS elektroninės informacijos tvarkymą ir yra privalomi visiems LIMIS elektroninę informaciją tvarkantiems fiziniams ir juridiniams asmenims, administratoriams, kibernetinio saugumo vadovui ir saugos įgaliotiniui.
5. LIMIS elektroninės informacijos saugos ir kibernetinio saugumo (toliau – elektroninės informacijos sauga) užtikrinimo tikslai:
5.1. sudaryti sąlygas saugiai automatizuotu būdu kaupti, tvarkyti, sisteminti ir teikti LIMIS elektroninę informaciją;
5.2. užtikrinti, kad LIMIS elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar kitokio neteisėto tvarkymo;
5.3. užtikrinti, kad LIMIS elektroninė informacija ilgainiui neprarastų šių pagrindinių savybių: autentiškumo, patikimumo, vientisumo ir galimybės ja naudotis;
6. Elektroninės informacijos sauga, jos užtikrinimas bei valdymas yra ypač svarbi LIMIS priežiūros dalis. Turi būti sudarytos sąlygos LIMIS duomenų bazėse LIMIS tvarkytojų pateiktą elektroninę informaciją saugoti neribotą laiką, teisėta prieiga prie saugomos informacijos turi būti suteikiama tik juridiniams ir fiziniams asmenims, kurių tapatybė nustatyta, įstatymų numatytais atvejais prieiga prie duomenų ribojama, asmens duomenys saugomi.
7. Elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
7.1. sukauptos elektroninės informacijos išsaugojimas ir informacijos praradimo rizikos minimizavimas (elektroninės informacijos vientisumo užtikrinimas);
9. LIMIS pagrindinis tvarkytojas yra Lietuvos dailės muziejus, kurio adresas – Didžioji g. 4, LT-01128 Vilnius.
10. LIMIS tvarkytojai yra fiziniai ir juridiniai asmenys, sudarę sutartis su Lietuvos dailės muziejumi dėl darbo su LIMIS, kaupiantys savo elektroninių katalogų duomenis LIMIS duomenų bazėse, viešinantys sklaidai skirtus duomenis LIMIS viešosiose prieigose ir teikiantys LIMIS saugomą skaitmeninį turinį į kitas duomenų bazes. LIMIS tvarkytojų sąrašas yra tvirtinamas Lietuvos dailės muziejaus direktoriaus įsakymu. Šis sąrašas nėra baigtinis. Jis Lietuvos dailės muziejaus direktoriaus įsakymu gali būti papildytas ir kitais fiziniais ir juridiniais asmenimis, gavus prašymą suteikti jiems LIMIS tvarkytojų teises. Lietuvos dailės muziejaus direktoriaus 2015 m. spalio 23 d. įsakymu Nr. V.1-86 „Dėl LIMIS duomenų tvarkytojų sąrašo patvirtinimo“ LIMIS tvarkytojų teisės yra suteiktos šiems juridiniams asmenims:
10.3. Aleksandro Stulginskio universiteto muziejus, kurio adresas Studentų g. 11, Akademija, 53361 Kauno rajonas;
10.5. Antano Baranausko ir Antano Vienuolio-Žukausko memorialinis muziejus, kurio adresas A. Vienuolio g. 4, LT-29147 Anykščiai;
10.8. Aukštaitijos nacionalinio parko ir Labanoro regioninio parko direkcija, kurios adresas Lūšių g. 16, Palūšės kaimas, LT-30202 Ignalinos rajonas;
10.9. B. Grincevičiūtės memorialinis butas-muziejus „Beatričės namai“, kurio adresas: Vienuolio g. 12-1, LT-01104 Vilnius;
10.13. Daugyvenės kultūros istorijos muziejus-draustinis, kurio adresas Aušros aikštė 10, Radviliškis;
10.15. Elektrėnų savivaldybės literatūros ir meno muziejus, kurio adresas Rungos g. 24, LT-26110 Elektrėnai;
10.17. Europos centro muziejus Europos parkas, kurio adresas Joneikiškių kaimas, LT-15148 Vilniaus rajonas;
10.20. Generolo Jono Žemaičio Lietuvos karo akademijos muziejus, kurio adresas Šilo g. 5a, LT-10322 Vilnius;
10.21. Geologijos ir geografijos instituto Mineralų muziejus, kurio adresas Ševčenkos g. 13, LT-03223 Vilnius;
10.23. Janinos Monkutės-Marks muziejus-galerija, kurios adresas J. Basanavičiaus g. 45, LT-57182 Kėdainiai;
10.24. Jonavos rajono savivaldybės kultūros centro Jonavos krašto muziejus, kurio adresas J. Basanavičiaus g. 3, Jonava
10.28. Kardinolo V. Sladkevičiaus memorialinis butas-muziejus, kurio adresas M. Valančiaus g. 6, LT–44279 Kaunas;
10.33. Kauno technologijos universiteto muziejus, kurio adresas: K. Donelaičio g. 73, LT-44029 Kaunas;
10.36. Kražių M. K. Sarbievijaus kultūros centro muziejus, kurio adresas Kolegijos g. 5, Kražiai, Kelmės rajonas;
10.37. Kintų Vydūno kultūros centro Vydūno muziejus, kurio adresas Kintai, LT-99050 Šilutės rajonas;
10.39. Kultūros paveldo departamentas prie Kultūros ministerijos, kurio adresas yra Šnipiškių gatvė 3, LT-09309Vilnius;
10.46. Lietuvos etnokosmologijos muziejus, kurio adresas Kulionių kaimas, LT-33354, Čiulėnų seniūnija, Molėtų rajonas;
10.47. Lietuvos geologijos tarnybos Žemės gelmių informacijos centras, kurio adresas Taikos g. 2, LT-21371 Vievis, Elektrėnų savivaldybė;
10.48. Lietuvos gyventojų genocido ir rezistencijos tyrimo centras, kurio adresas Didžioji g. 17/1, LT-01128 Vilnius;
10.50. Lietuvos liaudies buities muziejus, kurio adresas J. Aisčio g. 2, LT-56335, Rumšiškės, Kaišiadorių rajonas;
10.51. Lietuvos medicinos ir farmacijos istorijos muziejus, kurio adresas Rotušės a. 28, LT-44279 Kaunas;
10.52. Lietuvos nacionalinė Martyno Mažvydo biblioteka, kurios adresas Gedimino pr. 51, LT-01504 Vilnius;
10.65. Mažosios Lietuvos istorijos muziejus, kurio adresas Didžioji Vandens g. 6, LT-91246 Klaipėda;
10.66. Merkinės kraštotyros ir genocido muziejus, kurio adresas Dariaus ir Girėno a. 1, Merkinė, Varėnos rajonas;
10.69. Nacionalinis M. K. Čiurlionio dailės muziejus, kurio adresas V. Putvinskio g. 55, LT-44248 Kaunas;
10.70. Nacionalinis muziejus Lietuvos Didžiosios Kunigaikštystės valdovų rūmai, kurio adresas Katedros a. 4, LT-01143 Vilnius;
10.73. Pagėgių savivaldybės Martyno Jankaus muziejus, kurio adresas Bitėnai, LT-99265, Lumpėnų seniūnija, Pagėgių savivaldybė;
10.80. Rašytojo Vinco Krėvės-Mickevičiaus memorialinis muziejus-namas, kurio adresas Subartonių kaimas, LT-65332, Merkinės seniūnija, Varėnos rajonas;
10.81. Respublikinis Vaclovo Into akmenų muziejus, kurio adresas Salantų g. 2, LT- 98271 Mosėdis, Skuodo rajonas;
10.82. Rietavo Oginskių kultūros istorijos muziejus, kurio adresas L. Ivinskio g. 4, LT-90311 Rietavas;
10.94. Valstybinė įstaiga Anykščių miškų urėdija, kurios adresas Vilniaus g. 101, LT-29142 Anykščiai;
10.95. Valstybės įstaiga „Automagistralė“ Kelių muziejus, kurio adresas Kauno g. 14, LT-21372, Vievis, Elektrėnų savivaldybė;
10.96. Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos Pasieniečių mokykla, kurios adresas Pasieniečių g. 11, Medininkų kaimas, LT-13019 Vilniaus rajono savivaldybė;
10.97. Valstybinio Kernavės kultūrinio rezervato direkcijos Kernavės archeologinės vietovės muziejus, kurio adresas Kerniaus 4 a., Kernavė, LT-19172 Širvintų rajonas;
10.98. Valstybinis Vilniaus Gaono žydų muziejus, kurio adresas Naugarduko g. 10/2, LT-01141 Vilnius;
10.100. Vilkaviškio krašto muziejus, kurio adresas Paežeriai, LT-70372, Alvito paštas, Vilkaviškio rajonas;
10.102. Vilniaus krašto etnografijos muziejus, kurio adresas Švenčionių g. 14, LT-15168, Nemenčinė, Vilniaus rajonas;
10.103. Vilniaus memorialinių muziejų direkcija, kurios adresas Pamėnkalnio g. 34, LT-01114 Vilnius;
10.104. Vilniaus pilių valstybinio kultūrinio rezervato direkcija, kurios adresas Šiltadaržio g. 2, LT-01124 Vilnius;
10.106. Vinco Krėvės-Mickevičiaus memorialinis muziejus, kurio adresas: Tauro g. 10-1, LT-01114 Vilnius;
10.107. Vinco Mykolaičio Putino memorialinis butas-muziejus, kurio adresas: Tauro g. 10-3, LT-01114 Vilnius;
10.109. Vyskupo Motiejaus Valančiaus gimtinės muziejus, kurio adresas Nasrėnų kaimas, LT-97330, Kūlupėnų seniūnija, Kretingos rajonas;
10.110. Vladislovo Sirakomlės muziejus, kurio adresas Sirokomlės g. 5, LT-13176 Bareikiškių kaimas, Rukainių seniūnija, Vilniaus rajonas;
11. LIMIS valdytojo funkcijos ir atsakomybė:
11.4. tvirtina saugos nuostatus, LIMIS saugos politiką įgyvendinančius teisės aktus, kitus dokumentus, tikrina, kaip jie vykdomi;
11.6. kontroliuoja, kad būtų skiriami pakankami, racionaliai ir taupiai naudojami darbo, materialiniai ir finansiniai ištekliai, susiję su LIMIS tvarkymu;
12. LIMIS pagrindinio tvarkytojo funkcijos ir atsakomybė:
12.2. saugo į LIMIS duomenų bazes perduotą elektroninę informaciją, užtikrina jos vientisumą ir konfidencialumo išsaugojimą;
12.3. organizuoja saugomos elektroninės informacijos rizikos valdymą, užtikrina jos autentiškumo, patikimumo ir galimybės naudoti laikui bėgant išsaugojimą, saugojimo laikmenų valdymą;
12.6. skiria LIMIS administratorius, sudaro sutartis su LIMIS tvarkytojais, registruoja LIMIS tvarkytojus, LIMIS naudotojus, duomenų gavėjus, LIMIS tvarkytojų įgaliotus asmenis, atsakingus už LIMIS-M tarnybinių stočių priežiūrą ir tinkamą naudojimą;
12.7. užtikrina saugų LIMIS elektroninės informacijos perdavimą kompiuterių tinklais (automatiniu būdu);
12.10. ne rečiau kaip kartą per metus, atlikus rizikos analizę, informacinių technologijų saugos atitikties vertinimą, grėsmių ir pažeidžiamumų, galinčių turėti įtakos LIMIS kibernetiniam saugumui, vertinimą, organizuoja LIMIS saugos politikos dokumentų peržiūrėjimą;
12.11. organizuoja elektroninės informacijos registravimo ir teikimo mokomuosius ir pažintinius kursus LIMIS naudotojams;
13. LIMIS tvarkytojų funkcijos ir atsakomybė:
13.1. juridinių asmenų atveju, paskiria savo institucijoje LIMIS naudotojus ir duomenis apie juos pateikia LIMIS administratoriui;
13.2. institucijose, kur yra įdiegtos LIMIS-M tarnybinės stotys, paskiria darbuotojus, atsakingus už LIMIS-M tarnybinių stočių priežiūrą ir jų tinkamą naudojimą;
13.3. užtikrina į LIMIS duomenų bazes pateikiamų duomenų tinkamą įvedimą, duomenų teisingumą, saugumą ir konfidencialumą savo įstaigoje ir saugų duomenų perdavimą kompiuterių tinklais (automatiniu būdu) į LIMIS duomenų bazes;
13.4. užtikrina LIMIS valdytojo ir pagrindinio tvarkytojo priimtų teisės aktų ir rekomendacijų įgyvendinimą;
14. Saugos įgaliotinio, įgyvendinančio LIMIS saugos politiką, koordinuojančio ir prižiūrinčio saugos politiką LIMIS, funkcijos ir atsakomybė:
14.1. teikia LIMIS valdytojui ir pagrindiniam tvarkytojui pasiūlymus dėl LIMIS administratorių paskyrimo ir dėl reikalavimų administratoriams nustatymo, dėl Lietuvos dailės muziejaus informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo, saugos politiką reglamentuojančių dokumentų;
14.3. koordinuoja saugos incidentų, įvykusių LIMIS, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų saugos incidentus, neteisėtas veiklas, susijusias su saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka sudarytos informacijos saugos darbo grupės;
14.4. teikia LIMIS administratoriams ir LIMIS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;
14.5. kasmet organizuoja LIMIS rizikos vertinimus, prireikus organizuoja neeilinius LIMIS rizikos vertinimus;
14.6. periodiškai (ne rečiau kaip kartą per metus) organizuoja LIMIS naudotojų mokymus elektroninės informacijos saugos klausimais, įvairiais būdais (priminimai elektroniniu paštu, teminių seminarų organizavimas, atmintinės priimtiems naujiems darbuotojams ir panašiai) informuoja juos apie elektroninės informacijos saugos problemas;
15. Kibernetinio saugumo vadovas kartą per metus atlieka Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas) atitikties nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimą, taip pat vykdo Kibernetinio saugumo reikalavimų apraše ir kituose teisės aktuose nustatytas funkcijas. Kibernetinio saugumo vadovas ir saugos įgaliotinis gali būti tas pats asmuo.
16. Saugos įgaliotinis ir kibernetinio saugumo vadovas negali atlikti LIMIS administratoriaus funkcijų.
17. LIMIS administratoriaus funkcijos ir atsakomybė:
17.1. pagal kompetenciją registruoja LIMIS tvarkytojus, jų įgaliotus asmenis, LIMIS naudotojus, duomenų gavėjus, suteikia jiems prieigos teises;
17.2. stabdo LIMIS duomenų tvarkymo ir naudojimo įgaliojimus jų netekusiems asmenims ir LIMIS tvarkytojų įgaliojimus baigus galioti LIMIS tvarkytojo sutarčiai su LIMIS valdytoju ir pagrindiniu tvarkytoju;
17.4. diegia ir atnaujina elektroninės informacijos saugai užtikrinti skirtas priemones bei keičia jų parametrus;
17.5. dalyvauja atliekant LIMIS tvarkytojams, LIMIS naudotojams suteiktų teisių ir priskirtų funkcijų atitikties vertinimą;
17.6. reguliariai (ne rečiau kaip kartą per šešis mėnesius) ir (arba) po kiekvieno LIMIS pokyčio rengia, tikrina (peržiūri) LIMIS sąranką ir LIMIS būsenos rodiklius;
17.9. nedelsiant vykdo saugos įgaliotinio ir kibernetinio saugumo vadovo nurodymus dėl LIMIS saugos politikos įgyvendinimo;
17.10. pagal kompetenciją reaguoja į saugos incidentus ir nuolat teikia saugos įgaliotiniui ir kibernetinio saugumo vadovui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę;
17.11. informuoja saugos įgaliotinį ir kibernetinio saugumo vadovą apie saugos politiką įgyvendinančių dokumentų pažeidimus, nusikalstamos veiklos požymius, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones;
18. Teisės aktai, kuriais vadovaujamasi tvarkant elektroninę informaciją ir užtikrinant jos saugumą:
18.7. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V–832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai valstybės informacinių sistemų saugos reikalavimai);
18.8. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms);
18.9. Bendrųjų veiklos ir organizacinių reikalavimų valstybės debesijos paslaugų tiekėjams aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2016 m. spalio 19 d. nutarimu Nr. 1051 „Dėl Valstybės informacinių išteklių infrastruktūros konsolidavimo“;
18.10. Lietuvos standartai LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“;
18.11. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V–156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
18.12. LIMIS nuostatai, patvirtinti Lietuvos dailės muziejaus direktoriaus 2017 m. gegužės 8 d. įsakymu Nr. V.1-47 „Dėl Lietuvos dailės muziejaus direktoriaus 2010 m. vasario 26 d. įsakymo Nr. V.1-25 „Dėl Lietuvos integralios muziejų informacinės sistemos (LIMIS) nuostatų patvirtinimo“ pakeitimo“;
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
19. LIMIS tvarkoma elektroninė informacija yra priskiriama svarbios informacijos kategorijai, nes dėl jos konfidencialumo, vientisumo ir (ar) prieinamumo praradimo gali kilti grėsmė, kad prasidės procesai, galintys:
19.1. sudaryti sąlygas kilti pavojui žmogaus gyvybei arba sukelti pavojų žmogaus sveikatai ar kitaip pažeisti daugiau kaip 5 proc., bet ne daugiau nei pusės valstybės gyventojų kitas teises ir teisėtus interesus;
19.2. vienai ar kelioms institucijoms padarytų finansinių nuostolių didesnių negu 300.000,00 eurų, bet ne didesnių nei 3.000.000,00 eurų;
20. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 12.2 punktu LIMIS priskiriama antros kategorijos informacinėms sistemoms.
21. Vadovaujantis Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms 11.2 papunkčiu, LIMIS asmens duomenų tvarkymas automatiniu būdu priskiriamas antram saugumo lygiui.
22. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja LIMIS rizikos vertinimą, prireikus gali organizuoti ir neeilinius LIMIS rizikos vertinimus. LIMIS valdytojo rašytiniu pavedimu informacinių sistemų rizikos įvertinimą gali atlikti pats saugos įgaliotinis. Kartu su informacinių sistemų rizikos įvertinimu ir (arba) saugos nuostatų 29 punkte nurodytu informacinių technologijų saugos atitikties vertinimu turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos informacinių sistemų kibernetiniam saugumui, vertinimas.
23. LIMIS rizikos vertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama LIMIS valdytojo vadovui. Rizikos vertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:
23.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų suvedimas ir teikimas, fizinės informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);
23.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis LIMIS duomenims, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
23.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
24. Rizikos veiksniai vertinami pagal elektroninės informacijos kategoriją, nustatant jų įtaką LIMIS informacijos saugai laipsnį:
24.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi: informacija pasiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, nesusijusios su elektroninių duomenų saugykloje saugomais elektroniniais dokumentais, tačiau prarastą informaciją įmanoma atkurti iš atsarginių kopijų, sugadinta operacinė sistema;
24.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti: duomenys netikslūs arba visiškai sugadinti, duomenų bazių įrašai suklastoti ir nekorektiški, elektroninių duomenų saugykloje yra pažeistų elektroninių dokumentų arba dalis jų prarasta, tačiau duomenis įmanoma atkurti iš atsarginių kopijų, sunku rasti klaidas ir suklastotą informaciją; neveikia kompiuterinės programos ir operacinė sistema;
24.3. A – aukštas. Duomenų pažeidimo poveikio laipsnis labi didelis, padariniai rimti: duomenys visiškai sugadinti, dėl vagystės, gaisro, užliejimo, fizinio ar elektromagnetinio poveikio prarasti ne tik duomenys, saugomi duomenų bazėse ir saugyklose, bet ir jų atsarginės kopijos, LIMIS neveikia (ar tikėtina, kad neveiks) ilgiau nei 3 paras.
25. Rizikos vertinimo metu atliekamų darbų apimtys:
26. LIMIS valdytojas, atsižvelgdamas į rizikos įvertinimo ataskaitą, prireikus tvirtina Rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kitų poreikių, numatomas ir techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
27. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:
27.1. aukščiausias prioritetas – išsaugoti saugomus duomenis ir sumažinti informacijos praradimo riziką;
27.3. užtikrinti, kad informacijos saugos priemonės diegimo kaina būtų adekvati saugomos informacijos vertei;
28. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas informacinės sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą (toliau – ARSIS).
29. Siekiant užtikrinti šiuose saugos nuostatuose ir kituose saugos politiką nustatančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kasmet organizuojamas informacinių technologijų saugos atitikties vertinimas, vadovaujantis Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156. Atitikties vertinimo metu:
29.3. tikrinama: visose LIMIS tvarkytojų tarnybinėse stotyse įdiegtos programos ir jų sąranka; visos LIMIS administratorių darbo vietos; ne mažiau kaip 10 procentų atsitiktinai parinktų LIMIS naudotojų darbo vietų;
29.4. patikrinama (įvertinama) LIMIS naudotojams ir LIMIS administratoriams suteiktų teisių atitiktis vykdomoms funkcijoms;
30. Atlikus LIMIS informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama LIMIS valdytojo vadovui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato LIMIS valdytojo vadovas.
31. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas informacinės sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti į ARSIS.
32. Elektroninės informacijos saugos būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis saugos priemonėmis, kurios pasirenkamos atsižvelgiant į LIMIS valdytojo turimus išteklius, vadovaujantis šiais principais:
32.1. aukščiausias prioritetas – išsaugoti saugomus duomenis ir sumažinti informacijos praradimo riziką;
32.3. užtikrinti, kad informacijos saugos priemonės diegimo kaina būtų adekvati saugomos informacijos vertei;
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
33. Priemonės ir metodai, kuriais leidžiama užtikrinti saugų LIMIS elektroninės informacijos tiekimą ir (ar) gavimą, nurodant leistinus prieigos atvejus, būdą ir laiką, konkrečiai nustatomi ir reguliuojami LIMIS naudotojų administravimo taisyklėse.
34. Visos LIMIS tarnybinės stotys ir LIMIS naudotojų darbo vietos turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.):
34.1. kenksmingos programinės įrangos aptikimo priemonės turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas;
35. LIMIS naudojamų svetainių saugos valdymo reikalavimai:
35.1. svetainės turi atitikti Kibernetinio saugumo reikalavimų aprašo ir Techninių valstybės informacinių sistemų saugos reikalavimų nuostatas;
35.2. svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio LIMIS tvarkytojo kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;
35.3. turi būti pakeistos numatytos prisijungimo prie svetainių TVS ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) ir slaptažodžiai;
35.4. turi būti užtikrinama, kad prie svetainių TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;
36. LIMIS tarnybinėse stotyse ir LIMIS naudotojų darbo vietų kompiuterinėje įrangoje turi būti naudojama tik sertifikuota ir legali programinė įranga, būtina darbo funkcijoms atlikti. Naudojama programinė įranga turi būti įtraukta į su LIMIS valdytoju suderintą leistinos naudoti programinės įrangos sąrašą. Leistinos programinės įrangos sąrašą turi parengti, ne rečiau kaip kartą per metus peržiūrėti ir prireikus atnaujinti LIMIS saugos įgaliotinis.
37. Programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – LIMIS administratoriai, LIMIS tvarkytojų informacinių technologijų specialistai arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai.
38. LIMIS naudotojų (muziejų darbuotojų) prieiga prie kitų valstybės institucijų arba žinybų kompiuterių tinklų ar interneto turi būti apsaugota užkardomis. Interneto turinys turi būti kontroliuojamas, nepraleidžiant nepageidaujamos informacijos. Už šios įrangos administravimo koordinavimą ir priežiūrą atsakingi LIMIS duomenų tvarkytojai.
39. Leidžiama naudoti tik su kibernetinio saugumo vadovu suderintus belaidžio tinklo įrenginius, atitinkančius techninius kibernetinio saugumo reikalavimus. Turi būti vykdoma belaidžių įrenginių kontrolė. Belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, kontroliuojamoje zonoje. Prisijungimai prie LIMIS tvarkytojų vidinių belaidžių tinklų turi būti apsaugoti saugiais slaptažodžiais. Prie vidinio belaidžio tinklo draudžiama jungti įrenginius, kurie nesusiję su LIMIS administratorių, saugos įgaliotinio, kibernetinio saugumo vadovo, LIMIS tvarkytojų, LIMIS naudotojų (muziejaus darbuotojų) atliekamomis funkcijomis. Detaliai saugus naudojimasis belaidžiu tinklu ir belaidžių įrenginių kontrolė aprašyti LIMIS saugaus elektroninės informacijos tvarkymo taisyklėse.
40. LIMIS administratorių ir LIMIS naudotojų (muziejų darbuotojų) stacionarių darbo vietų kompiuterius leidžiama naudoti tik LIMIS pagrindinio tvarkytojo ar LIMIS tvarkytojų patalpose.
41. Darbui su LIMIS naudojami nešiojamieji kompiuteriai ir kiti įrenginiai negali būti palikti be priežiūros, palikti veikiantys neužrakintose patalpose, matomi automobilyje, viešbučio kambaryje (išskyrus užrakintus seife). Kelionių lėktuvais metu nešiojamieji įrenginiai turi būti laikomi rankiniame bagaže. Visi nešiojamieji įrenginiai turi būti apsaugoti saugiais slaptažodžiais, jei įmanoma, turi būti aktyvuotas bazinės įvesties / išvesties sistemos (angl. Basic Input/Output System (BIOS)) slaptažodis. Tiek nešiojamų kompiuterių laikmenose, tiek išorinėse kompiuterinėse laikmenose saugomi duomenys turi būti šifruojami. Detaliai nešiojamų kompiuterių ir kitų įrenginių, naudojamų prisijungti prie LIMIS, saugumas ir kontrolė aprašyti LIMIS saugaus elektroninės informacijos tvarkymo taisyklėse.
42. Darbo elektroninį paštą draudžiama naudoti veikloms, kurios nėra susijusios su LIMIS administratorių, saugos įgaliotinio, kibernetinio saugumo vadovo, LIMIS tvarkytojų ir LIMIS naudotojų (muziejaus darbuotojų) atliekamomis funkcijomis.
43. Duomenys teikiami ir (ar) gaunami automatiniu būdu tik pagal Lietuvos dailės muziejaus ir kitų duomenų tvarkytojų pasirašytose bendradarbiavimo (darbo su LIMIS) sutartyse nustatytas specifikacijas ir sąlygas.
44. Tais atvejais, kai reikia aukštesnio lygio LIMIS paslaugų gavėjų ir teikėjų identifikacijos nei registracija LIMIS viešojoje prieigoje, užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš juridinių ir (ar) fizinių asmenų, naudojama fizinių ir juridinių asmenų tapatybės nustatymo per VIISP paslauga. Priimami ir teikiami tik registruotų LIMIS paslaugų gavėjų duomenys.
47. Turi būti daromos šios atsarginės LIMIS duomenų kopijos:
48. Atsarginės LIMIS duomenų kopijos turi būti daromos automatiškai. LIMIS duomenys turi būti kopijuojami ir saugomi taip, kad juos iš atsarginių kopijų būtų galima atkurti per 12 valandų. LIMIS viešojo portalo www.limis.lt ir LIMIS tvarkytojų elektroninių katalogų viešosios prieigos (interneto svetainės) veikla turi būti atkuriama ne ilgiau kaip per 48 valandas, muziejų darbuotojams skirtų komponentų veikla turi būti atkuriama ne ilgiau kaip per 24 valandas, LIMIS vidinių procesų veikla turi būti atkuriama ne ilgiau kaip per 24 valandas.
49. Duomenis atkurti prireikus turi teisę tik LIMIS administratorius. Kopijų, iš kurių būtų galima atkurti duomenis, darymo ir saugojimo tvarka detaliai aprašyta LIMIS saugaus elektroninės informacijos tvarkymo taisyklėse.
50. Duomenų atkūrimo iš atsarginių kopijų testavimas atliekamas ne rečiau kaip kartą per 6 mėnesius. Ne rečiau kaip kartą per 5 metus vienkartinio įrašymo laikmenose saugomi duomenys turi būti perrašomi į naujas laikmenas.
51. LIMIS turi būti įgyvendinami ir kiti reikalavimai, keliami antrosios kategorijos informacinėms sistemoms, numatyti Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Bendruosiuose reikalavimuose organizacinėms ir techninėms duomenų saugumo priemonėms, Techniniuose valstybės informacinių sistemų saugos reikalavimuose, Kibernetinio saugumo reikalavimų apraše ir kituose teisės aktuose.
52. LIMIS valdytojas ir pagrindinis tvarkytojas, pirkdamas paslaugas, darbus ar įrangą, susijusius su LIMIS projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu ir elektroninės informacijos saugos užtikrinimu, iš anksto pirkimo dokumentuose turi nustatyti, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas užtikrina atitiktį Kibernetinio saugumo reikalavimų apraše nustatytiems reikalavimams.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
53. LIMIS naudotojai privalo rūpintis tvarkomos informacijos saugumu ir tinkamu jos įvedimu į LIMIS.
54. Visi LIMIS naudotojai privalo turėti darbo kompiuteriu įgūdžių bei būti išklausę bendruosius darbo su LIMIS mokymo kursus.
55. Teikti duomenis į LIMIS gali tik LIMIS tvarkytojų paskirti LIMIS naudotojai. Jie turi būti susipažinę su saugos dokumentais ir su atsakomybe už saugos dokumentų nuostatų pažeidimus, kaip tai nurodyta Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 46 punkte, bei raštu ar elektroniniu būdu sutikę laikytis šių teisės aktų reikalavimų.
56. Saugos įgaliotinis ir kibernetinio saugumo vadovas privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Kibernetinio saugumo reikalavimų aprašo, ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reglamentuojančiomis elektroninės informacijos saugą. LIMIS pagrindinis tvarkytojas turi sudaryti sąlygas kelti saugos įgaliotinio ir kibernetinio saugumo vadovo kvalifikaciją.
57. LIMIS administratoriais gali būti skiriami darbuotojai, dirbantis pagal darbo sutartis, išmanantys darbą su kompiuterių tinklais, mokantys užtikrinti jų saugumą. Jie turi būti susipažinęs su duomenų bazių ir duomenų centruose naudojamos techninės ir programinės įrangos administravimo ir priežiūros pagrindais.
58. Saugos įgaliotiniu, administratoriumi ir kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.
59. Saugos įgaliotinis ne rečiau kaip kartą per metus inicijuoja LIMIS naudotojų mokymus elektroninės informacijos saugos ir kibernetinio saugumo klausimais, įvairiais būdais (priminimai elektroniniu paštu, teminių seminarų organizavimas, atmintinių naujai priimtiems darbuotojams rengimas) informuoja juos apie elektroninės informacijos saugos ir kibernetinio saugumo problematiką.
V SKYRIUS
LIMIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
60. Už LIMIS naudotojų supažindinimą su saugos dokumentais ir saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių teisės aktų reikalavimų nesilaikymą yra atsakingas saugos įgaliotinis.
61. LIMIS naudotojai su saugos dokumentais ir saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių teisės aktų reikalavimų nesilaikymą supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
63. Saugos nuostatai ir saugos politiką įgyvendinantys dokumentai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą, arba įvykus esminiams organizaciniams, sisteminiams ar kitiems LIMIS tvarkytojų pokyčiams. Prireikus saugos dokumentai turi būti tikslinami ir derinami su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką.
64. LIMIS pagrindinis tvarkytojas privalo įgyvendinti saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose LIMIS saugos politiką, nustatytas organizacines, technines ir kitas priemones.