LIETUVOS RESPUBLIKOS VYRIAUSYBĖ
N U T A R I M A S
DĖL ELEKTRONINĖS INFORMACIJOS SAUGOS VALSTYBĖS INSTITUCIJŲ INFORMACINĖSE SISTEMOSE VALSTYBINĖS STRATEGIJOS IKI 2008 METŲ IR JOS ĮGYVENDINIMO PRIEMONIŲ PLANO PATVIRTINIMO
2006 m. birželio 19 d. Nr. 601
Vilnius
Įgyvendindama Lietuvos Respublikos Vyriausybės 2004–2008 metų programos įgyvendinimo priemonių, patvirtintų Lietuvos Respublikos Vyriausybės 2005 m. kovo 24 d. nutarimu Nr. 315 (Žin., 2005, Nr. 40-1290), 601 punktą, Lietuvos Respublikos Vyriausybė nutaria:
1. Patvirtinti pridedamus:
1.1. Elektroninės informacijos saugos valstybės institucijų informacinėse sistemose valstybinę strategiją iki 2008 metų;
2. Pavesti Vidaus reikalų ministerijai stebėti ir koordinuoti Elektroninės informacijos saugos valstybės institucijų informacinėse sistemose valstybinės strategijos iki 2008 metų įgyvendinimą ir teisės aktų nustatyta tvarka teikti Lietuvos Respublikos Vyriausybei atitinkamus pasiūlymus dėl šios strategijos tobulinimo; valstybės institucijoms ir įstaigoms – užtikrinti elektroninės informacijos saugos įgyvendinimą valdomose informacinėse sistemose.
3. Nustatyti, kad Elektroninės informacijos saugos valstybės institucijų informacinėse sistemose valstybinės strategijos iki 2008 metų įgyvendinimo priemonės įgyvendinamos iš institucijoms, atsakingoms už jų vykdymą, atitinkamų metų Lietuvos Respublikos valstybės biudžeto ir savivaldybių biudžetų finansinių rodiklių patvirtinimo įstatymu patvirtintų bendrųjų asignavimų.
4. Pasiūlyti Lietuvos Respublikos ryšių reguliavimo tarnybai dalyvauti įgyvendinant Elektroninės informacijos saugos valstybės institucijų informacinėse sistemose valstybinę strategiją iki 2008 metų.
5. Pripažinti netekusiais galios:
5.1. Lietuvos Respublikos Vyriausybės 2001 m. gruodžio 22 d. nutarimą Nr. 1625 „Dėl Informacijos technologijų saugos valstybinės strategijos ir jos įgyvendinimo plano patvirtinimo“ (Žin., 2001, Nr. 110-4006);
5.2. Lietuvos Respublikos Vyriausybės 2002 m. rugpjūčio 10 d. nutarimą Nr. 1244 „Dėl Lietuvos Respublikos Vyriausybės 2001 m. gruodžio 22 d. nutarimo Nr. 1625 „Dėl Informacijos technologijų saugos valstybinės strategijos ir jos įgyvendinimo plano patvirtinimo“ pakeitimo“ (Žin., 2002, Nr. 80-3429);
5.3. Lietuvos Respublikos Vyriausybės 2003 m. liepos 18 d. nutarimą Nr. 936 „Dėl Lietuvos Respublikos Vyriausybės 2001 m. gruodžio 22 d. nutarimo Nr. 1625 „Dėl Informacijos technologijų saugos valstybinės strategijos ir jos įgyvendinimo plano patvirtinimo“ pakeitimo“ (Žin., 2003, Nr. 73-3370).
Patvirtinta
Lietuvos Respublikos Vyriausybės
2006 m. birželio 19 d. nutarimu Nr. 601
elektroninės informacijos saugos valstybės institucijų informacinėse sistemose valstybinė strategija iki 2008 metų
I. BENDROSIOS NUOSTATOS
1. Valstybės institucijose ir įstaigose (toliau vadinama – valstybės institucijos) lemiamą reikšmę įgijo neįslaptinta informacija, kuri saugoma, perduodama ar kitaip apdorojama elektroniniu būdu valstybės institucijų valdomose informacinėse sistemose, leidžiančiose tokią informaciją saugoti, perduoti ar kitaip apdoroti (toliau vadinama – informacinės sistemos), valstybės ir žinybiniuose registruose (toliau vadinama – elektroninė informacija), sudaranti sąlygas sėkmingai atlikti valstybės institucijoms pavestas funkcijas. Elektroninės informacijos saugos procesas skirtas atitinkamam elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo lygiui užtikrinti.
2. Elektroninės informacijos saugos valstybės institucijų informacinėse sistemose valstybinė strategija iki 2008 metų (toliau vadinama – ši Strategija) nustato pagrindinius elektroninės informacijos saugos užtikrinimo principus, tikslus, uždavinius ir jų įgyvendinimą.
3. Šioje Strategijoje vartojamos sąvokos:
Saugos dokumentai – su atsakingomis valstybės institucijomis suderinti ir valstybės institucijos vadovo priimti dokumentai, reguliuojantys elektroninės informacijos saugą informacinėje sistemoje.
Saugos įgaliotinis – valstybės institucijos vadovo paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, įgyvendinantis elektroninės informacijos saugą informacinėje sistemoje.
Elektroninės informacijos saugos incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie informacinės sistemos galimybę, sutrikdyti ar pakeisti informacinės sistemos veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas neleistinai elektroninę informaciją pasisavinti, paskleisti ar kitaip panaudoti.
II. Pagrindiniai principai
4. Elektroninės informacijos sauga plėtojama atsižvelgiant į tam tikrus principus, kuriais privaloma vadovautis užtikrinant elektroninės informacijos saugą:
4.1. Suvokimo principas. Siekiant užtikrinti elektroninės informacijos saugą, reikia suvokti apsisaugojimo nuo galimos grėsmės elektroninei informacijai priemonių naudojimo būtinybę.
4.2. Atsakomybės principas. Kiekvienas elektroninės informacijos naudotojas turi suvokti savo atsakomybę ir funkcijas saugant elektroninę informaciją. Elektroninės informacijos saugą informacinėse sistemose turi užtikrinti valstybės institucijos vadovas, o ją įgyvendinti – saugos įgaliotiniai.
4.3. Reagavimo principas. Elektroninei informacijai kyla įvairi grėsmė, todėl būtina laiku aptikti elektroninės informacijos saugos incidentus ir užkirsti jiems kelią, keistis informacija apie grėsmę elektroninei informacijai ir kovos su ja priemones valstybės institucijos viduje ir tarp valstybės institucijų.
4.4. Demokratiškumo principas. Elektroninės informacijos sauga turi būti įgyvendinama ir derinama su esminėmis demokratiškos visuomenės vertybėmis (pvz., laisve skleisti informaciją ir ją gauti).
4.5. Rizikos įvertinimo principas. Siekiant nustatyti esamą elektroninės informacijos saugos lygį ir parinkti būtinas elektroninės informacijos saugos priemones, būtina periodiškai vertinti elektroninės informacijos saugos informacinėse sistemose riziką.
4.6. Elektroninės informacijos saugos kultūros kėlimo principas. Siekiant užtikrinti elektroninės informacijos saugą, būtina ypač daug dėmesio skirti nuolatiniam elektroninės informacijos naudotojų mokymui elektroninės informacijos saugos klausimais ir taip kelti elektroninės informacijos saugos kultūrą valstybės institucijose.
4.7. Elektroninės informacijos saugos priemonių projektavimo ir diegimo principas. Elektroninės informacijos sauga turi būti kuriama kartu su informacine sistema. Elektroninės informacijos sauga turi būti pamatinis visų informacinės sistemos paslaugų elementas, kuriam būtina užtikrinti nuolatinį lėšų, neviršijančių pačios elektroninės informacijos vertės, skyrimą.
III. EsamOS BŪKLĖS ANALIZĖ
5. Įgyvendinant Lietuvos Respublikos Vyriausybės 2001–2004 metų programos įgyvendinimo priemonių, patvirtintų Lietuvos Respublikos Vyriausybės 2001 m. spalio 4 d. nutarimu Nr. 1196 (Žin., 2001, Nr. 86-3015), 77 punktą, Lietuvos Respublikos Vyriausybės 2001 m. gruodžio 22 d. nutarimu Nr. 1625 (Žin., 2001, Nr. 110-4006) patvirtinta Informacijos technologijų saugos valstybinė strategija, kuria siekiama: informacinių technologijų saugos teisinio reguliavimo plėtros, svarbiausių informacinių sistemų saugos stiprinimo, informacinių technologijų atitikties saugos reikalavimams vertinimo sistemos sukūrimo, informacinių technologijų saugos metodinės ir konsultacinės sistemos plėtros, informacinių technologijų saugos įgyvendinimo kontrolės užtikrinimo, valstybės tarnautojų mokymo informacinių technologijų saugos, saugos įgaliotinių įgūdžių ugdymo.
6. Per 2002–2004 metus, įgyvendinant Informacijos technologijų saugos valstybinę strategiją, priimti teisės aktai, reguliuojantys informacinių technologijų saugą (vidaus reikalų ministro 2003 m. liepos 16 d. įsakymas Nr. 1V-272 „Dėl Tipinių duomenų saugos nuostatų patvirtinimo“ (Žin., 2003, Nr. 76-3511), vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymas Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (Žin., 2004, Nr. 80-2855), vidaus reikalų ministro 2004 m. gegužės 21 d. įsakymas Nr. 1V-176 „Dėl Interneto tarnybinių stočių apsaugos rekomendacijų patvirtinimo“ (Žin., 2004, Nr. 85-3095), pakeistas ir nauja redakcija išdėstytas Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimas Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), įvertinta informacinių sistemų sauga, su Vidaus reikalų ministerija suderinta ir patvirtinta daugiau kaip 30 informacinių sistemų duomenų saugos nuostatų, pradėtas organizuoti saugos įgaliotinių mokymas, Vidaus reikalų ministerijoje įsteigtas informacinių technologijų saugą valstybės institucijose koordinuojantis padalinys.
7. Atlikdama informacinių technologijų saugos koordinavimo valstybės institucijose funkcijas ir išnagrinėjusi problemas, su kuriomis susiduria valstybės institucijos, siekdamos užtikrinti elektroninės informacijos saugą, Vidaus reikalų ministerija parengė PHARE programos finansuojamą projektą „Administracinių ir techninių gebėjimų stiprinimas užtikrinant duomenų, informacinių technologijų bei jomis perduodamų duomenų apsaugą“. Šį projektą įgyvendinant parengta nuotolinio mokymo programa, leidžianti tobulinti valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, turimas elektroninės informacijos saugos žinias, elektroninės informacijos saugos mokyti valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, kurie geba perduoti savo žinias kitiems valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis, parengtos teisės aktų, reguliuojančių elektroninės informacijos saugą Lietuvos Respublikoje, tobulinimo rekomendacijos.
8. Apibendrinant elektroninės informacijos saugą informacinėse sistemose, galima išskirti šias:
8.1. stipriąsias vietas:
8.1.2. įgyvendinami elektroninės informacijos saugos užtikrinimo projektai (sukurta elektroninės informacijos saugos nuotolinio mokymo sistema);
8.2. silpnąsias vietas:
8.2.2. nevisiškai suformuota elektroninės informacijos saugos valdymo ir priežiūros struktūra valstybės ir institucijų mastu;
8.2.3. ne visose valstybės institucijose paskirti saugos įgaliotiniai, nesuburtos elektroninės informacijos saugą informacinėse sistemose koordinuojančios darbo grupės;
8.2.5. stokojama koordinuoto bendradarbiavimo tarp privataus ir viešojo sektorių elektroninės informacijos saugos klausimais;
8.2.6. nesukurta išankstinio perspėjimo apie galimą grėsmę ir reagavimo į elektroninės informacijos saugos incidentus sistema;
8.2.7. nesukurta efektyvi kovos su nusikalstamomis veikomis, vykdomomis elektroninės informacijos perdavimo aplinkoje, sistema;
8.2.9. valstybės institucijose neatliekami nuolatiniai elektroninės informacijos saugos stebėjimo, įvertinimo ir saugos priemonių atnaujinimo darbai;
8.3. galimybes:
8.3.1. Europos Sąjunga ir Šiaurės Atlanto Sutarties Organizacija skiria daug dėmesio elektroninės informacijos saugai;
8.3.2. elektroninės informacijos sauga yra vienas iš prioritetų skiriant Europos Sąjungos struktūrinių fondų paramą;
IV. STRATEGIJOS TikslaI IR UŽDAVINIAI
9. Šios Strategijos tikslai:
9.1. tobulinti elektroninės informacijos saugos koordinavimą ir priežiūrą. Šiam tikslui pasiekti numatyti tokie uždaviniai:
9.2. teisės aktais reguliuoti elektroninės informacijos saugą. Šiam tikslui pasiekti numatyti tokie uždaviniai:
9.3. kelti elektroninės informacijos saugos kultūrą. Šiam tikslui pasiekti numatyti tokie uždaviniai:
9.3.1. mokyti elektroninės informacijos saugos valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartis;
9.4. tobulinti elektroninės informacijos perdavimo infrastruktūros saugą. Šiam tikslui pasiekti numatytas uždavinys – tobulinti SVDPT saugomos ir perduodamos elektroninės informacijos saugą;
V. Strategijos įgyvendinimas
11. Strategijos įgyvendinimo stebėsenai atlikti nustatomi vertinimo kriterijai, leidžiantys reguliariai vertinti padarytą pažangą:
11.1. informacinių sistemų, kurių saugą įgyvendina saugos įgaliotiniai, skaičius, palyginti su visomis informacinėmis sistemomis (procentais);
11.2. informacinių sistemų, kurių sauga reglamentuojama saugos dokumentais, skaičius, palyginti su visomis informacinėmis sistemomis (procentais);
11.3. valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, kurie sėkmingai baigia elektroninės informacijos saugos mokymus, skaičius, palyginti su visais valstybės tarnautojais ir darbuotojais, dirbančiais pagal darbo sutartis, dalyvavusiais elektroninės informacijos saugos mokymuose (procentais);
11.4. informacinių sistemų, elektroninę informaciją perduodančių SVDPT skaičius, palyginti su visomis informacinėmis sistemomis (procentais);
Patvirtinta
Lietuvos Respublikos Vyriausybės
2006 m. birželio 19 d. nutarimu Nr. 601
elektroninės informacijos saugos valstybės institucijų informacinėse sistemose valstybinės strategijos iki 2008 metų įgyvendinimo priemonių planas
| Strategijos tikslai ir uždaviniai |
Priemonės pavadinimas |
Atsakingi vykdytojai ir įvykdymo data |
| 1. Tobulinti elektroninės informacijos saugos koordinavimą ir priežiūrą: |
|
|
| 1.1. Užtikrinti elektroninės informacijos saugos koordinavimą |
1.1.1. Parengti ir Lietuvos Respublikos Vyriausybei pateikti nutarimo, kuriuo būtų sudaryta Elektroninės informacijos saugos koordinavimo komisija, projektą |
Vidaus reikalų ministerija; 2006 metų III ketvirtis |
| 1.2. Sukurti efektyvią kovos su nusikalstamomis veikomis, vykdomomis elektroninės informacijos perdavimo aplinkoje, sistemą |
1.2.1. įsteigti Lietuvos kriminalinės policijos biure kovos su nusikalstamomis veikomis, vykdomomis elektroninės informacijos perdavimo aplinkoje, padalinį |
Policijos departamentas prie Vidaus reikalų ministerijos; 2006 metų II ketvirtis |
| 1.2.2. Aprūpinti būtinomis techninėmis priemonėmis Lietuvos kriminalinės policijos biure įsteigtą kovos su nusikalstamomis veikomis, vykdomomis elektroninės informacijos perdavimo aplinkoje, padalinį |
Policijos departamentas prie Vidaus reikalų ministerijos; 2007 metų I ketvirtis |
|
| 2. Reguliuoti teisės aktais elektroninės informacijos saugą: |
|
|
| 2.1. Priimti teisės aktus, reguliuojančius elektroninės informacijos saugą |
2.1.1. Parengti ir Lietuvos Respublikos Vyriausybei pateikti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimo Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45) pakeitimo projektą |
Vidaus reikalų ministerija; 2006 metų IV ketvirtis |
| 2.1.2. Parengti ir patvirtinti valstybės institucijų ir įstaigų informacinių sistemų (toliau vadinama – informacinės sistemos) klasifikavimo pagal jose tvarkomą elektroninę informaciją gaires ir elektroninės informacijos saugos reikalavimus |
Vidaus reikalų ministerija; 2007 metų II ketvirtis |
|
| 2.1.3. Parengti ir patvirtinti saugaus elektroninės informacijos teikimo informacinėmis sistemomis pavyzdinę sutarties formą, kurioje būtų nurodytos sutarties šalių teisės ir pareigos |
Vidaus reikalų ministerija; 2007 metų II ketvirtis |
|
| 2.1.4. Parengti ir Lietuvos Respublikos Vyriausybei pateikti Lietuvos Respublikos valstybės registrų įstatymo (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488) pakeitimo įstatymo projektą |
Vidaus reikalų ministerija; 2007 metų III ketvirtis |
|
| 2.1.5. Perimti tarptautinių standartizacijos organizacijų elektroninės informacijos saugos standartus |
Lietuvos standartizacijos departamentas prie Aplinkos ministerijos, Vidaus reikalų ministerija, Ryšių reguliavimo tarnyba; 2006 metų II ketvirtis–2007 metų IV ketvirtis |
|
| 2.2. Elektroninės informacijos saugą nustatyti saugos dokumentuose |
2.2.1. Parengti ir patvirtinti saugos dokumentų turinio gaires |
Vidaus reikalų ministerija; 2007 metų I ketvirtis |
| 2.2.2. Parengti ir suderinus su Vidaus reikalų ministerija patvirtinti saugos dokumentus |
valstybės informacinių sistemų valdytojai, vadovaujančiosios registrų tvarkymo įstaigos; 2007 metų II ketvirtis |
|
| 3. Kelti elektroninės informacijos saugos kultūrą: |
|
|
| 3.1. Mokyti elektroninės informacijos saugos valstybės tarnautojus ir darbuotojus, dirbančius pagal darbo sutartis |
3.1.1. Organizuoti seminarus saugos įgaliotiniams |
Vidaus reikalų ministerija; 2006 metų II ketvirtis–2007 metų IV ketvirtis |
| 3.1.2. Organizuoti PHARE projekto „Administracinių ir techninių gebėjimų stiprinimas užtikrinant duomenų, informacinių technologijų bei jomis perduodamų duomenų apsaugą“ įgyvendinimo metu parengtos valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, elektroninės informacijos saugos nuotolinio mokymo programos palaikymą ir plėtrą |
Vidaus reikalų ministerija; 2006 metų II ketvirtis–2007 metų IV ketvirtis |
|
| 3.2. Skatinti elektroninės informacijos saugos svarbos suvokimą |
3.2.1. Interneto svetainėje www. esaugumas. lt skelbti informaciją apie elektroninės informacijos saugą ir elektroninei informacijai kylančią grėsmę, parengti ir platinti kompaktines plokšteles ir informacinius bukletus, kuriuose būtų pateikta informacija apie elektroninės informacijos saugą, elektroninei informacijai kylančią grėsmę, elektroninės informacijos saugos užtikrinimo priemones |
Ryšių reguliavimo tarnyba, Informacinės visuomenės plėtros komitetas prie Lietuvos Respublikos Vyriausybės, Vidaus reikalų ministerija, Susisiekimo ministerija; 2006 metų II ketvirtis–2007 metų IV ketvirtis |
| 3.2.2. Papildyti bendrojo ugdymo ir profesinio mokymo programas elektroninės informacijos saugos temomis |
Švietimo ir mokslo ministerija, Vidaus reikalų ministerija, Ryšių reguliavimo tarnyba; 2006 metų II ketvirtis |
|
| 3.2.3. Rekomenduoti aukštosioms mokykloms papildyti studijų programas elektroninės informacijos saugos temomis |
Švietimo ir mokslo ministerija; 2006 metų II ketvirtis |
|
| 4. Tobulinti elektroninės informacijos perdavimo infrastruktūros saugą |
|
|
| 4.1. Tobulinti Saugiame valstybiniame duomenų perdavimo tinkle saugomos ir perduodamos elektroninės informacijos saugą |
4.1.1. Parengti ir patvirtinti Saugaus valstybinio duomenų perdavimo tinklo elektroninės informacijos saugos reikalavimus |
Vidaus reikalų ministerija, viešoji įstaiga „Infostruktūra“; 2007 metų I ketvirtis |
| 5. Skatinti elektroninės informacijos saugos užtikrinimo projektų įgyvendinimą |
|
|
| 5.1. Naudotis privataus sektoriaus patirtimi, įgyvendinant elektroninės informacijos saugos projektus |
5.1.1. Organizuoti informacinėse sistemose apdorojamos elektroninės informacijos rizikos analizės atlikimą ir pateikti rizikos analizės ataskaitas Vidaus reikalų ministerijai |
valstybės institucijos ir įstaigos; 2007 metų II ketvirtis |
| 5.1.2. Apibendrinti gautas informacinėse sistemose apdorojamos elektroninės informacijos rizikos analizės ataskaitas ir pateikti išvadas Lietuvos Respublikos Vyriausybei |
Vidaus reikalų ministerija; 2007 metų III ketvirtis |
|
| 5.1.3. Organizuoti pagrindinių registrų atitikties standartui LST ISO/IEC 17799: 2005 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas“ įvertinimą |
Vidaus reikalų ministerija; 2007 metų III ketvirtis |
______________