LIETUVOS RESPUBLIKOS KULTŪROS MINISTRO

ĮSAKYMAS

 

DĖL LIETUVAI REIKŠMINGŲ KILNOJAMŲJŲ KULTŪROS VERTYBIŲ, ESANČIŲ UŽSIENYJE, SĄVADO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2008 m. vasario 8 d. Nr. ĮV-77

Vilnius

 

Vadovaudamasis Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimo Nr. 952 „Dėl elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) 2 punktu ir atsižvelgdamas į Saugos dokumentų turinio gaires, patvirtintas Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070):

1. Tvirtinu Lietuvai reikšmingų kilnojamųjų kultūros vertybių, esančių užsienyje, sąvado informacinės sistemos duomenų saugos nuostatus (pridedama).

2. Skiriu Bendrųjų reikalų skyriaus vedėją Nerijų Baranauską Lietuvai reikšmingų kilnojamųjų kultūros vertybių, esančių užsienyje, sąvado informacinės sistemos saugos įgaliotiniu.

3. Pavedu Bendrųjų reikalų skyriui ir Saugomų teritorijų ir paveldo apsaugos skyriui per 4 mėnesius nuo šio įsakymo įsigaliojimo parengti ir pateikti kultūros ministrui tvirtinti Saugaus Lietuvai reikšmingų kilnojamųjų kultūros vertybių, esančių užsienyje, sąvado informacinės sistemos duomenų tvarkymo taisyklių, Lietuvai reikšmingų kilnojamųjų kultūros vertybių, esančių užsienyje, sąvado informacinės sistemos veiklos tęstinumo valdymo plano ir Lietuvai reikšmingų kilnojamųjų kultūros vertybių, esančių užsienyje, sąvado informacinės sistemos naudotojų administravimo taisyklių projektus.

 

KULTŪROS MINISTRAS                                                                                JONAS JUČAS

 

_________________

 

PATVIRTINTA

Lietuvos Respublikos kultūros ministro 2008 m. vasario 8 įsakymu Nr. ĮV-77

 

LIETUVAI REIKŠMINGŲ KILNOJAMŲJŲ KULTŪROS VERTYBIŲ, ESANČIŲ UŽSIENYJE, SĄVADO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Lietuvai reikšmingų kilnojamųjų kultūros vertybių, esančių užsienyje, sąvado informacinės sistemos duomenų saugos nuostatai (toliau – Nuostatai) nustato Lietuvai reikšmingų kilnojamųjų kultūros vertybių, esančių užsienyje, sąvado informacinės sistemos (toliau – Sąvadas) principus ir taisykles, užtikrinančias saugų informacinės sistemos elektroninės informacijos tvarkymą.

2. Nuostatuose vartojamos sąvokos atitinka Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) (toliau – Reikalavimai), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070) ir kituose teisės aktuose, reglamentuojančiuose valstybės informacinių sistemų veiklą, vartojamas sąvokas.

3. Nuostatų tikslas – sudaryti tinkamas sąlygas automatizuotu būdu saugiai rinkti, tvarkyti, apdoroti, sisteminti, saugoti Lietuvai reikšmingų kilnojamųjų kultūros vertybių, esančių užsienyje, sąvado nuostatuose, patvirtintuose kultūros ministro 2006 m. gegužės 25 d. įsakymu Nr. ĮV-205 (Žin., 2006, Nr. 61-2236 ) nustatytus duomenis apie Lietuvai reikšmingas kilnojamąsias kultūros vertybes, esančias užsienyje.

4. Nuostatai yra privalomi Sąvado saugos įgaliotiniui, Sąvado administratoriui ir Sąvado naudotojams.

5. Šie Nuostatai kartu su Lietuvos Respublikos kultūros ministro (toliau – Ministras) tvirtinamomis Saugaus Lietuvai reikšmingų kilnojamųjų kultūros vertybių, esančių užsienyje, sąvado informacinės sistemos duomenų tvarkymo taisyklėmis, Lietuvai reikšmingų kilnojamųjų kultūros vertybių, esančių užsienyje, Sąvado informacinės sistemos veiklos tęstinumo valdymo planu ir Lietuvai reikšmingų kilnojamųjų kultūros vertybių, esančių užsienyje, Sąvado informacinės sistemos naudotojų administravimo taisyklėmis apibrėžia duomenų saugos politiką.

6. Prioritetinės Sąvado elektroninės informacijos saugumo užtikrinimo kryptys:

6.1. fizinė elektroninės informacijos apdorojimo priemonių (patalpos, tarnybinės stotys, elektroninės informacijos perdavimo įranga, programinė įranga) apsauga;

6.2. organizacinių saugaus darbo su duomenimis priemonių įgyvendinimas ir kontrolė (informacinės sistemos duomenų gavėjų ir teikėjų, tvarkytojo teisių, įpareigojimų, atsakomybės ribų, detalių elektroninės informacijos tvarkymo ir administravimo taisyklių nustatymas).

7. Informacinės sistemos valdytojas yra Lietuvos Respublikos kultūros ministerija (toliau – Kultūros ministerija), esanti J. Basanavičiaus g. 5, LT-01118 Vilniuje. Informacinės sistemos tvarkytojas yra Kultūros paveldo departamentas prie Kultūros ministerijos (toliau – Departamentas), esantis Šnipiškių g. 3, LT-09309 Vilniuje.

8. Ministras skiria Sąvado saugos įgaliotinį, kuris įgyvendina informacijos saugą ir atsako už šių Nuostatų reikalavimų vykdymą. Ministras kontroliuoja, kad Sąvadas būtų tvarkomas vadovaujantis šiais Nuostatais bei kitais teisės aktais, reglamentuojančiuose valstybės informacinių sistemų veiklą.

9. Sąvado saugos įgaliotinis, įgyvendinantis elektroninės informacijos saugą:

9.1. teikia Ministrui pasiūlymus dėl:

9.1.1. Sąvado administratoriaus paskyrimo;

9.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

9.1.3. informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

9.2. koordinuoja elektroninės informacijos saugos incidentų tyrimą;

9.3. teikia Sąvado administratoriui privalomus vykdyti nurodymus ir pavedimus;

9.4. pasirašytinai supažindina Sąvado administratorių ir naudotojus su šiais Nuostatais ir saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą;

9.5. organizuoja administratoriaus, Sąvado naudotojų kvalifikacijos tobulinimą duomenų saugos klausimais, reguliariai juos informuoja apie saugumo problemas;

9.6. atsako už Sąvado saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams;

9.7. atsako už Sąvado saugos politikos įgyvendinimo organizavimą.

9.8. atlieka kitas Ministro pavestas ir teisės aktuose jam priskirtas funkcijas.

10. Sąvado administratorius:

10.1. atsako už Sąvado funkcionavimą;

10.2. įvertina Sąvado naudotojų pasirengimą dirbti su informacine sistema ir suteikia naudotojams teisę naudotis informacinės sistemos galimybėmis paskirtoms funkcijoms atlikti;

10.3. rengia pasiūlymus Sąvado kūrimo, palaikymo, priežiūros ir duomenų saugos klausimais;

10.4. atlieka Sąvado sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių (angl. firewall), įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) administravimą, pažeidžiamų vietų ir saugos reikalavimų atitikties nustatymą;

10.5. registruoja ir informuoja Sąvado saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia pasiūlymus.

11. Tvarkant informacinę sistemą ir šioje sistemoje saugomus duomenis ir užtikrinant jų saugumą, vadovaujamasi šiais teisės aktais:

11.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597);

11.2. Lietuvai reikšmingų kilnojamųjų kultūros vertybių, esančių užsienyje, sąvado nuostatais;

11.3. Reikalavimais;

11.4. Saugos dokumentų turinio gairėmis;

11.5. Lietuvos standartais LST ISO/IEC 17799:2006, LST ISO/IEC 27001:2006, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos duomenų tvarkymą;

11.6. kitais teisės aktais, reglamentuojančiais duomenų tvarkymą, tvarkytojų veiklą ir duomenų saugos valdymą.

 

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

12. Elektroninės informacijos sauga Nuostatuose suprantama kaip organizacinių ir techninių priemonių visuma, skirta užtikrinti Sąvado duomenų:

12.1. konfidencialumą – duomenis galėtų tvarkyti ir naudoti tik tie asmenys, kuriems suteikiamos atitinkamos teisės;

12.2. vientisumą – duomenys nėra savaiminiu, atsitiktiniu ar neteisėtu būdu pakeisti ar sunaikinti;

12.3. prieinamumą – duomenys ir paslaugos yra prieinami asmenims, kurie tam turi teisę.

13. Sąvadas yra priskiriamas trečiajai informacinės sistemos kategorijai, remiantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160).

14. Sąvado kaupiami duomenys yra viešai neskelbtini. Jie teikiami Lietuvai reikšmingų kilnojamųjų kultūros vertybių, esančių užsienyje, Sąvado nuostatuose numatytiems subjektams.

15. Sąvado saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja Sąvado rizikos įvertinimą. Prireikus Sąvado saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. Sąvado rizikos veiksnių vertinimas atliekamas kokybiniu rizikos vertinimo metodu.

16. Sąvado rizikos įvertinimas išdėstomas Rizikos ataskaitoje. Rizikos ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos Sąvado informacijos saugai. Svarbiausi rizikos veiksniai yra šie:

16.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kt.);

16.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis duomenims gauti, duomenų pakeitimas ir sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kt.);

16.3. nenugalima jėga (force majeure).

17. Atsižvelgdamas į Rizikos ataskaitą, Ministras prireikus tvirtina Rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

18. Siekdamas užtikrinti šiuose Nuostatuose ir saugos politiką įgyvendinančiuose teisės aktuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, Sąvado saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja informacinių technologijų saugos atitikties vertinimą, kurio metu:

18.1. įvertinama Nuostatų, saugos politiką įgyvendinančių teisės aktų ir realios duomenų saugos situacijos atitiktis;

18.2. inventorizuojama Sąvado techninė ir programinė įranga;

18.3. tikrinama Sąvado visose tarnybinėse stotyse, Sąvado administratorių, Sąvado tvarkytojų kompiuterinėse darbo vietose įdiegta programinė įranga ir jos sąranka;

18.4. peržiūrima Sąvado administratoriui, Sąvado tvarkytojams, Sąvado naudotojams suteiktų teisių atitiktis jų vykdomoms funkcijoms;

18.5. įvertinamas pasirengimas užtikrinti Sąvado veiklos tęstinumą įvykus saugos incidentui;

18.6. atliekamas rizikos įvertinimas ir Nuostatuose reglamentuota tvarka koreguojama Rizikos ataskaita.

19. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus Ministras.

20. Techninės, programinės ir organizacinės elektroninės informacijos saugos priemonės pasirenkamos, kad būtų užtikrintas Sąvado veiklos tęstinumas patiriant kuo mažiau išlaidų ir saugus Sąvado naudotojų darbas.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

21. Sąvado duomenų saugai yra taikomos tam tikros programinės įrangos naudojimo nuostatos:

21.1. Sąvado saugos įgaliotinio, Sąvado administratoriaus, Sąvado naudotojų kompiuterinėse darbo vietose įdiegta legali ir saugi programinė įranga (operacinė sistema su naujausiais pataisymais);

21.2. Sąvado saugos įgaliotinio, Sąvado administratoriaus, Sąvado naudotojų kompiuterinėse darbo vietose sukuriamos kompiuterių vartotojų paskyros, apsaugotos tam tikro ilgio slaptažodžiais;

21.3. Sąvado saugos įgaliotinio, Sąvado administratoriaus, Sąvado naudotojų kompiuterinėse darbo vietose įdiegiama programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir pan.). Programinė įranga atnaujinama kiekvieną darbo dieną. Ilgiausias leistinas neatnaujinimo laikas – penkios darbo dienos. Programinę įrangą atnaujina ir kontroliuoja Sąvado administratorius.

21.4. Sąvado naudotojų, kurie dirba su Sąvado tarnybinėmis stotimis, Sąvado administratorių kompiuteriais, vartotojų paskyros turi būti apribotų teisių, kurios neleidžia įdiegti papildomos programinės įrangos. Programinės įrangos diegimą atlieka tik Sąvado administratorius.

22. Kompiuterinis tinklas, prie kurio prijungtos Sąvado tarnybinės stotys, Sąvado administratorių kompiuteriai nuo viešojo interneto yra atskirtas ugniasiene (angl. firewall). Taip yra apribojamas naršymas ir apsaugoma nuo žalingo pobūdžio interneto turinio. Už šios įrangos administravimą ir priežiūrą yra atsakingas Sąvado administratorius.

23. Sąvado administratorius atsako už atsarginių Sąvado duomenų kopijų darymą ir saugojimą. Kopijų, iš kurių būtų galima atstatyti Sąvado duomenis, darymo ir saugojimo tvarka detaliai aprašyta Saugaus Lietuvai reikšmingų kilnojamųjų kultūros vertybių, esančių užsienyje, sąvado informacinės sistemos duomenų tvarkymo taisyklėse.

 

IV. REIKALAVIMAI PERSONALUI

 

24. Sąvado saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais Sąvado duomenų tvarkymą, standartais bei kitais dokumentais ir būti susipažinęs su esminiais reikalavimais, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

25. Sąvado administratorius privalo išmanyti informacijos saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, taip pat administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su Nuostatais ir saugos politiką įgyvendinančiais teisės aktais, taip pat kitomis vidaus ir darbo saugos taisyklėmis.

26. Sąvado naudotojai, kurie naudosis Sąvado duomenimis, privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, būti susipažinę su Nuostatais ir saugos politiką įgyvendinančiais teisės aktais.

27. Sąvado naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti Sąvado saugos įgaliotiniui ir/arba Sąvado administratoriui.

28. Esant elektroninės informacijos saugos incidentui, nenumatytai situacijai, Sąvado saugos įgaliotinio, Sąvado administratoriaus, Sąvado naudotojų veiksmus reglamentuoja Lietuvai reikšmingų kilnojamųjų kultūros vertybių, esančių užsienyje, sąvado informacinės sistemos veiklos tęstinumo valdymo planas.

29. Sąvado saugos įgaliotinis kartą per metus organizuoja Sąvado administratoriaus, Sąvado naudotojų mokymus kvalifikacijos tobulinimo ir duomenų saugos klausimais, nuolat juos informuoja apie saugumo problemas.

 

V. INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

30. Sąvado duomenis naudoti gali tik tie asmenys, kurie susipažinę su šiais Nuostatais ir saugos politiką įgyvendinančiais teisės aktais ir raštiškai sutikę laikytis šių teisės aktų reikalavimų.

31. Už Sąvado naudotojų supažindinimą su Nuostatais ir dokumentais, įgyvendinančiais saugos politiką, atsako Sąvado saugos įgaliotinis.

32. Sąvado naudotojai, pažeidę šių Nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų reikalavimus, atsako teisės aktų nustatyta tvarka.

 

_________________