LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRO
2017 M. GRUODŽIO 22 D. ĮSAKYMO NR. 1V-883 „DĖL KAI KURIŲ LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS VALDOMŲ REGISTRŲ IR VALSTYBĖS INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO IR KAI KURIŲ LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRO ĮSAKYMŲ, SUSIJUSIŲ SU VIDAUS REIKALŲ MINISTERIJOS VALDOMŲ REGISTRŲ IR VALSTYBĖS INFORMACINIŲ SISTEMŲ SAUGA, PRIPAŽINIMO NETEKUSIAIS GALIOS
2018 m. lapkričio 13 d. Nr. 1V-837
Vilnius
1. P a k e i č i u Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymu Nr. 1V-883 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo“:
1.1. Pakeičiu 15.8 papunktį ir jį išdėstau taip:
1.2. Pakeičiu 16.4 papunktį ir jį išdėstau taip:
1.3. Pakeičiu 21 punktą ir jį išdėstau taip:
„21. Informatikos ir ryšių departamento paskirti administratoriai atlieka funkcijas, susijusias su informacinių sistemų naudotojų administravimu, informacinės sistemos komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo sistemomis, elektroninės informacijos perdavimu tinklais, bylų serveriais ir kitais), šių informacinių sistemų komponentų sąranka, informacinių sistemų pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena, reagavimu į elektroninės informacijos saugos incidentus ir jų valdymu, taip pat privalo vykdyti visus saugos įgaliotinio nurodymus ir pavedimus, susijusius su informacinės sistemos saugos užtikrinimu, ir nuolat teikti saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.“
1.4. Pakeičiu 22.2 papunktį ir jį išdėstau taip:
„22.2. naudotojų administratorius, kuris atlieka informacinių sistemų naudotojų administravimo funkcijas (informacinių sistemų naudotojų registravimas ir išregistravimas, prieigos teisių suteikimas ir panaikinimas, informacinių sistemų naudotojų duomenų tvarkymas, klasifikatorių tvarkymas, registracijos žurnalų įrašų analizė ir kt.);“
1.5. Papildau 231 punktu:
1.6. Pakeičiu 24 punktą ir jį išdėstau taip:
1.7. Pakeičiu 26 punktą ir jį išdėstau taip:
„26. Teisės aktai, kuriais vadovaujantis tvarkoma informacinių sistemų elektroninė informacija ir užtikrinama jos sauga:
26.4. Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymas;
26.5. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1).;
26.8. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai reikalavimai);
26.9. Informacinių sistemų valdytojos patvirtintas kibernetinių incidentų valdymo ypatingos svarbos informacinėje infrastruktūroje planas;
26.11. Lietuvos standartai LST EN ISO/IEC 27002 ir LST EN ISO/IEC 27001 bei Lietuvos ir tarptautiniai „Informacijos technologijos. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;
1.8. Pakeičiu 31 punktą ir jį išdėstau taip:
„31. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano duomenis bei jų kopijas informacinių sistemų valdytoja ar jos įgaliotas informacinių sistemų tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai (toliau – ARSIS) Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro, nustatyta tvarka.“
1.9. Pakeičiu 38 punktą ir jį išdėstau taip:
„38. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano duomenis ir jų kopijas informacinių sistemų valdytoja arba jos įgaliotas informacinių sistemų tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro, nustatyta tvarka.“
1.10. Pakeičiu 41.1 papunktį ir jį išdėstau taip:
„41.1. informacinių sistemų darbui turi būti naudojama tik legali ir patikrinta programinė įranga, įtraukta į leistinos programinės įrangos sąrašą. Leistinos programinės įrangos sąrašą tvirtina Informatikos ir ryšių departamentas. Kitas informacinių sistemų tvarkytojas gali patvirtinti leistinos programinės įrangos sąrašą savo ir jam pavaldžių institucijų kompiuterinėms darbo vietoms. Informatikos ir ryšių departamento tvirtinamą leistinos programinės įrangos sąrašą turi parengti ir pagal poreikį peržiūrėti bei prireikus atnaujinti pagrindinis saugos įgaliotinis kartu su pagrindiniu administratoriumi. Kito informacinių sistemų tvarkytojo tvirtinamą leistinos programinės įrangos sąrašą parengia, peržiūri ir prireikus atnaujina šio tvarkytojo paskirtas saugos įgaliotinis;“
1.11. Pakeičiu 65 punktą ir jį išdėstau taip:
„65. Naudotojai, atliekantys tarnybines funkcijas, susijusias su asmens duomenų tvarkymu bei teikimu, pasirašytinai supažindinami su asmens duomenų tvarkymą ir apsaugą reglamentuojančiais teisės aktais ir atsakomybe už jų pažeidimą bei raštu įpareigojami saugoti asmens duomenų paslaptį. Asmens duomenų paslaptį jie privalo saugoti ir pasibaigus darbo (tarnybos) santykiams, per visą asmens duomenų teisinės apsaugos laiką, jeigu Asmens duomenų teisinės apsaugos įstatymas nenumato ko kita.“
1.12. Pakeičiu 67.3 papunktį ir jį išdėstau taip:
„67.3. įtarę, kad prisijungimo prie informacinės sistemos slaptažodis galėjo būti atskleistas kitam asmeniui, praradę ar kitaip netekę slaptažodžio, nedelsiant informuoti ITT pagalbos grupę; nurodytais atvejais slaptažodis turi būti pakeistas Naudotojų administravimo taisyklių, patvirtintų vidaus reikalų ministro, nustatyta tvarka.“
1.13. Pakeičiu 69 punktą ir jį išdėstau taip:
„69. Informacinių sistemų naudotojams ne rečiau kaip kartą per kalendorinius metus turi būti rengiami elektroninės informacijos saugos mokymai, įvairiais būdais primenama apie saugos problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.). Saugos mokymai organizuojami periodiškai, mokymus organizuoja pagrindinis saugos įgaliotinis ir kitų informacinių sistemų tvarkytojų paskirti saugos įgaliotiniai arba duomenų apsaugos pareigūnai pagal kompetenciją.“
1.14. Pakeičiu priedo 8 punktą ir jį išdėstau taip:
| „8. |
Lietuvos nacionalinė antrosios kartos Šengeno informacinė sistema |
ypatingos svarbos |
1 |
Aprašo 7.1, 7.2 ir 12.1 papunkčiai“ |
2. P r i p a ž į s t u netekusiais galios:
2.1. Lietuvos Respublikos vidaus reikalų ministro 2007 m. rugsėjo 18 d. įsakymą Nr. 1V-325 „Dėl Lietuvos nacionalinės Šengeno informacinės sistemos duomenų saugos nuostatų patvirtinimo“ su visais pakeitimais ir papildymais;
2.2. Lietuvos Respublikos vidaus reikalų ministro 2011 m. birželio 17 d. įsakymą Nr. 1V-469 „Dėl Lietuvos nacionalinės vizų informacinės sistemos duomenų saugos nuostatų patvirtinimo, saugos įgaliotinio ir saugos politiką įgyvendinančių dokumentų rengėjo paskyrimo“ su visais pakeitimais ir papildymais;
2.3. Lietuvos Respublikos vidaus reikalų ministro 2011 m. rugsėjo 19 d. įsakymą Nr. 1V-698 „Dėl Sertifikatų valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ su visais pakeitimais ir papildymais;
2.4. Lietuvos Respublikos vidaus reikalų ministro 2015 m. spalio 5 d. įsakymą Nr. 1V-781 „Dėl Administracinių teisės pažeidimų registro duomenų saugos nuostatų patvirtinimo“ su visais pakeitimais ir papildymais;
2.5. Lietuvos Respublikos vidaus reikalų ministro 2015 m. lapkričio 6 d. įsakymą Nr. 1V-876 „Dėl Integruotos baudžiamojo proceso informacinės sistemos duomenų saugos nuostatų patvirtinimo“;
2.6. Lietuvos Respublikos vidaus reikalų ministro 2016 m. balandžio 8 d. įsakymo Nr. 1V-272 „Dėl Viešųjų ir administracinių paslaugų stebėsenos ir analizės informacinės sistemos steigimo ir Viešųjų ir administracinių paslaugų stebėsenos ir analizės informacinės sistemos nuostatų bei duomenų saugos nuostatų patvirtinimo“ 2.2 papunktį (su visais Viešųjų ir administracinių paslaugų stebėsenos ir analizės informacinės sistemos duomenų saugos nuostatų pakeitimais);
2.7. Lietuvos Respublikos vidaus reikalų ministro 2016 m. spalio 25 d. įsakymo Nr. 1V-760 „Dėl Viešojo administravimo subjektų sistemos stebėsenos (monitoringo) informacinės sistemos steigimo ir Viešojo administravimo subjektų sistemos stebėsenos (monitoringo) informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ 2.2 papunktį.