LIETUVOS RESPUBLIKOS VYRIAUSYBĖ
N U T A R I M A S
DĖL INFORMACIJOS TECHNOLOGIJŲ SAUGOS VALSTYBINĖS STRATEGIJOS IR JOS ĮGYVENDINIMO PLANO PATVIRTINIMO
2001 m. gruodžio 22 d. Nr. 1625
Vilnius
Įgyvendindama Lietuvos Respublikos Vyriausybės 2001 m. spalio 4 d. nutarimu Nr. 1196 „Dėl Lietuvos Respublikos Vyriausybės 2001–2004 metų programos įgyvendinimo priemonių patvirtinimo“ (Žin., 2001, Nr. 86-3015) patvirtintų Lietuvos Respublikos Vyriausybės 2001–2004 metų programos įgyvendinimo priemonių 77 punktą, Lietuvos Respublikos Vyriausybė nutaria:
PATVIRTINTA
Lietuvos Respublikos Vyriausybės
2001 m. gruodžio 22 d. nutarimu Nr. 1625
INFORMACIJOS TECHNOLOGIJŲ SAUGOS VALSTYBINĖ STRATEGIJA
I. BENDROSIOS NUOSTATOS
1. Informacinėje visuomenėje lemiamą reikšmę įgyja informacija, sudaranti sąlygas valstybės institucijoms ir įstaigoms (toliau vadinama – valstybės institucijos) sėkmingai vykdyti savo funkcijas, ir informacijos technologijos, leidžiančios šią informaciją gauti, apdoroti, perteikti ir saugoti. Informacijos technologijos turi padėti tinkamai atlikti kontrolę, užtikrinančią informacijos saugą nuo įvairių pavojų (pvz., nepageidautino ar nesankcionuoto informacijos skleidimo, pakeitimo ar netekimo). Terminas „Informacijos technologijų sauga“ reiškia siekimą išvengti minėtų ir kitų pavojų arba juos sušvelninti.
Informacijos technologijų saugos strategiją ir taktiką būtina nuolat tobulinti, ši strategija ir taktika turi keistis kartu su tobulėjančiomis informacijos technologijomis.
II. TIKSLAI
2. Svarbiausieji šios strategijos tikslai:
2.1. informacijos technologijų saugos teisinio reglamentavimo plėtra:
2.1.1. bendrųjų duomenų saugos reikalavimų pagal duomenų kategorijas, atsižvelgiant į tarptautinius standartus, Ekonominio bendradarbiavimo ir plėtros organizacijos, NATO ir Europos Sąjungos rekomendacijas, Europolo ir Šengeno informacinių sistemų reikalavimus, nustatymas;
2.5. valstybės tarnautojų mokymas informacijos technologijų saugos, duomenų saugos įgaliotinių įgūdžių ugdymas;
III. ESAMA PADĖTIS
3. Siekiant užtikrinti duomenų patikimumą ir saugą nuo neteisėto panaudojimo, Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų apsaugos valstybės ir vietos savivaldos informacinėse sistemose“ (Žin., 1997, Nr. 83-2075) buvo patvirtinti Bendrieji duomenų saugos reikalavimai, pagal kurių 5 ir 6 punktų nuostatas duomenų valdytojai įpareigojami, vadovaujantis rekomenduojamais Lietuvos standartais, atitinkančiais tarptautinius standartus ISO 11442, ISO/IEC TR 13335 – 1, ISO/TR 13569, arba kitomis rekomendacijomis, suformuluoti specialius duomenų saugos priemonių reikalavimus ir nustatyti duomenų saugos įgyvendinimo tvarką bei priemones. Šiuo metu patvirtinti nauji ISO standartai: ISO/IEC TR 13335 – 2, 13335 – 3, 13335 – 4, šalims kandidatėms į Europos Sąjungą parengtas informacinės plėtros veiksmų planas eEurope+, sukurtos naujos informacijos technologijos, todėl būtina atitinkamai patikslinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimą Nr. 952.
4. Kompanija „Computer Associates“ kartu su Vilniaus universiteto, Valstybinio informacinės technologijos instituto ir buvusios Valdymo reformų ir savivaldybių reikalų ministerijos Informatikos ir informacijos departamento specialistais 2000 metais atliko valstybės informacinių sistemų įvertinimą Valstybinėje mokesčių inspekcijoje prie Finansų ministerijos, Muitinės departamente prie Finansų ministerijos, Finansų ministerijoje, Ūkio ministerijoje, Teisingumo ministerijoje, Vidaus reikalų ministerijoje, Užsienio reikalų ministerijoje, Aplinkos ministerijoje, valstybės įmonėje Lietuvos pašte, Valstybės sienos apsaugos tarnyboje prie Vidaus reikalų ministerijos ir kitose valstybės institucijose. Įvertinimo rezultatai rodo, kad informacijos technologijų saugos priemonės valstybės institucijų informacinėse sistemose bei registruose taikomos atsitiktinai ir nepakankamai. Valstybinei duomenų apsaugos inspekcijai pateikti kai kurių valstybės institucijų informacinių sistemų saugos priemonių planai (rizikos įvertinimas, veiklos tęstinumas ir t. t.). Atliktas valstybės institucijų informacinių sistemų įvertinimas parodė, kad daugelis planų buvo tik vienkartinė priemonė.
IV. PAGRINDINIAI PRINCIPAI
5. Valstybės institucijų informacijos technologijų sauga plėtojama pagal tam tikrus principus. Pagrindiniai iš jų yra šie:
5.1. aplinkos stebėjimo principas. Būtina stebėti aplinką ir sekti naujas technologijas. Atsižvelgiant į tai, informacijos technologijų saugos strategija turi būti nuolat tobulinama ir atitikti kintančias aplinkos sąlygas;
5.2. informacijos technologijų saugos sistemos ir informacinių sistemų tarpusavio priklausomybės principas. Remiantis šiuo principu, informacijos technologijų saugos sistema turi būti kuriama kartu su informacine sistema: tai užtikrina darną ir didesnį efektyvumą, mažina išlaidas;
5.3. informacijos technologijų saugos užtikrinimo pagal informacijos svarbą principas. Kuriant saugos sistemą, būtina numatyti kuo platesnį saugos veiksnių spektrą. Ne kiekvienai informacinei sistemai reikia maksimalios saugos, todėl diegtinos duomenų saugos priemonės pasirenkamos atsižvelgiant į jų reikšmę ir būsimas saugos sąnaudas. Parenkamos ir diegiamos duomenų saugos priemonės turi atitikti duomenų svarbos laipsnį ir galimo duomenų pažeidimo padarinius;
5.4. informacijos technologijų naudotojų ir specialistų švietimo principas. Naudotojams turėtų būti rengiami kursai, kuriuose būtų suteikiama informacija apie saugos svarbą ir saugos reikalavimų nesilaikymo padarinius. Atsižvelgiant į naujų informacijos technologijų atsiradimą, spartų jų tobulėjimą ir su tuo susijusį saugos reikalavimų kitimą, būtina kelti informacijos technologijų specialistų kvalifikaciją.
V. ĮGYVENDINIMO KRYPTYS
6. Įgyvendinant informacijos technologijų saugos priemones, reikia laikytis informacijos technologijų saugos bendrųjų reikalavimų (jie nuolat atnaujinami), metodikos, į lietuvių kalbą išverstų ISO standartų.
7. Lietuvos Respublikos Vyriausybės įgaliotoje institucijoje turėtų būti įsteigtas informacijos technologijų saugos įvertinimo (konsultavimo) padalinys, kuriame dirbtų kvalifikuoti informacijos technologijų saugos specialistai. Šis padalinys rūpintųsi ir švietimu informacijos technologijų saugos klausimais.
8. Duomenys turi būti perduodami saugiu valstybiniu duomenų perdavimo tinklu. Ši kryptis glaudžiai susijusi su kriptografija ir elektroninio parašo infrastruktūra. Saugaus valstybinio duomenų perdavimo tinklo koncepcija turi būti neatsiejama nuo valstybės ryšio ir duomenų perdavimo tinklų integracijos strategijos.
VI. LĖŠŲ POREIKIS
PATVIRTINTA
Lietuvos Respublikos Vyriausybės
2001 m. gruodžio 22 d. nutarimu Nr. 1625
INFORMACIJOS TECHNOLOGIJŲ SAUGOS VALSTYBINĖS STRATEGIJOS ĮGYVENDINIMO PLANAS
| Tikslas |
Priemonės pavadinimas |
Atsakingos institucijos ir įvykdymo terminas |
Priemonės turinys, vertinimo kriterijus |
| 1. Informacijos technologijų saugos teisinio reglamentavimo plėtra |
parengti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimo Nr. 952 „Dėl duomenų apsaugos valstybės ir vietos savivaldos informacinėse sistemose“ dalinio pakeitimo projektą suklasifikuoti informaciją pagal duomenų grupes parengti lietuviškus informacijos technologijų saugos standartus |
Vidaus reikalų ministerija – 2002 metų I ketvirtis
Vidaus reikalų ministerija – 2002 metų II ketvirtis
Aplinkos ministerija, Vidaus reikalų ministerija – 2002 metų II ketvirtis |
informacijos technologijų saugos politikos projektas atsakomybės ir teisių nustatymas rizikos valdymas ir: turto, kurį reikia saugoti, įvertinimas; pavojų įvertinimas; pažeidžiamumo įvertinimas; įtakos įvertinimas; rizika; saugos priemonės; liekamoji rizika; prievarta konfigūracijos valdymas pakeitimų valdymas tęstinumo ir atkūrimo valdymas saugos priemonių parinkimas ir įdiegimas būtinumas išmanyti informacijos technologijų saugą informacijos technologijų saugos valdymas: planavimo ir valdymo proceso apžvalga; rizikos valdymas; įdiegimo valdymas; informacijos technologijų saugos integravimas bendroji informacijos technologijų saugos politika: vadovybės įpareigojimas; sąryšiai tarp verslo, informacijos technologijų, rinkodaros ir informacijos technologijų politikos; bendrosios informacijos technologijų politikos elementai organizaciniai informacijos technologijų politikos aspektai: įpareigojimai ir atsakomybė; nuoseklusis metodas bendroji rizikos analizės strategija priemonės esamai būklei įvertinti (informacijos technologijų sistemos identifikavimas, aplinkos/ fizinių sąlygų identifikavimas, esamos ar planuojamos saugos priemonės) organizacinės ir fizinės saugos priemonės (informacijos technologijų saugos politika, politikos įgyvendinimo patikrinimas, personalas, incidentų valdymas, operatyvinės priemonės, verslo tęstinumo planavimas, fizinė sauga, kompiuterinio tinklo sauga, kriptografija, duomenų perdavimo priemonės) saugos priemonių parinkimas atsižvelgiant į informacinės sistemos tipą (informacijos technologijų saugos politika ir valdymas, informacijos technologijų saugos patikrinimas, incidentų valdymas, personalas, operatyvinės priemonės, verslo tęstinumo planas, fizinė sauga) saugos priemonių parinkimas atsižvelgiant į poreikį ir grėsmę (konfidencialumo, integralumo, prieinamumo, atsiskaitomybės, autentiškumo, lankstumo praradimas); saugos priemonių parinkimas pagal detalaus įvertinimo rezultatus rekomendacijos, kaip klasifikuoti informaciją pagal duomenų pobūdį, informacijos susiejimas su rizikos veiksniais, duomenų saugos priemonės pagal duomenų grupes tarptautinių standartų vertimas į lietuvių kalbą; lietuviškų saugos standartų parengimas |
| 2. Svarbiausiųjų valstybės informacinių sistemų saugos stiprinimas |
įvertinti valstybės institucijų informacijos technologijų saugą sukurti saugų valstybinį duomenų perdavimo tinklą valstybės institucijų kompiuterinio tinklo (VIKT) pagrindu įgyvendinti asmens tapatybės nustatymo priemones užtikrinti interneto tarnybinių stočių saugą valstybės institucijose |
Vidaus reikalų ministerija – 2003 metų I ketvirtis
Vidaus reikalų ministerija – 2002 metų III ketvirtis – 2004 metų IV ketvirtis
Vidaus reikalų ministerija – 2003 metų I ketvirtis
Vidaus reikalų ministerija – 2002 metų IV ketvirtis |
bendros informacinių sistemų įvertinimo metodikos (informacijos technologijų infrastruktūros, informacinių sistemų integruotumo, informacijos technologijų saugos, informacijos technologijų projektų vadybos) parengimas duomenų, perduodamų valstybiniu duomenų perdavimo tinklu, kodavimo ir šifravimo reikalavimai reikalavimai institucijoms, prisijungiančioms prie valstybinio duomenų perdavimo tinklo valstybinis duomenų perdavimo tinklas turi būti parengtas atsižvelgiant į informacinės visuomenės plėtros strateginiame plane numatytos 2.10 priemonės (2.10. Integruoti valstybinius ryšių ir duomenų perdavimo tinklus, nustatyti integruoto tinklo valdymą) rekomendacijas saugos reikalavimų asmens tapatybės kortelių techniniams komponentams parengimas visų interneto tarnybinių stočių valstybės institucijose pažeidžiamumo nustatymo metodikos parengimas, analizė ir rekomendacijų pateikimas; saugumo reikalavimų įvedimas; nuolatinis saugos priemonių katalogo (programinė įranga, tiekėjai, kvalifikacija, įvertinimas ir t. t.) atnaujinimas |
| 3. Informacijos technologijų saugos atitikties vertinimo sistemos sukūrimas |
parengti informacijos technologijų saugos atitikties vertinimo planus, tvarką, kriterijus ir metodinę medžiagą |
Vidaus reikalų ministerija – 2003 metų II ketvirtis |
teisės akto, kuriuo tvirtinama informacijos technologijų saugos atitikties vertinimo sistema (metodinė medžiaga, vertinimo kriterijai, tvarka, planai), parengimas |
| 4. Metodologinės ir konsultacinės sistemos plėtra |
parengti Informacijos technologijų saugos mokymo programą viešojo administravimo institucijoms skelbti informaciją interneto tinklalapyje ir spaudoje |
Švietimo ir mokslo ministerija, Vidaus reikalų ministerija – 2002 metų IV ketvirtis
Vidaus reikalų ministerija – 2002 metų II ketvirtis – 2003 metų IV ketvirtis |
mokymo programos ir metodikos viešojo administravimo institucijoms parengimas spaudai skirtos informacijos ir tinklalapio atnaujinimo metodikos parengimas |
| 5. Valstybės tarnautojų mokymas informacijos technologijų saugos, duomenų saugos įgaliotinių įgūdžių ugdymas |
rengti informacijos technologijų saugos specialistus organizuoti seminarus |
Vidaus reikalų ministerija – 2003 metų II ketvirtis
Vidaus reikalų ministerija – 2002 metų II-IV ketvirčiai – 2003 metų III ketvirtis |
15 specialistų, turinčių tarptautinius informacijos technologijų saugos sertifikatus (pvz., CIIS), parengimas seminarų metodinės medžiagos parengimas |
| 6. Informacijos technologijų saugos įgyvendinimo kontrolės užtikrinimas |
įsteigti informacijos technologijų saugos įvertinimo (konsultavimo) padalinį įsteigti padalinį Saugumo priežiūros tarnybos funkcijoms vykdyti |
Vidaus reikalų ministerija – 2002 metų II ketvirtis
Vidaus reikalų ministerija – 2002 metų I ketvirtis |
padalinio įsteigimas nuostatų ir veiklos plano patvirtinimas, padalinio įsteigimas |
______________