LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRO

 

Į S A K Y M A S

DĖL INFORMACINIŲ TECHNOLOGIJŲ SAUGOS ATITIKTIES VERTINIMO METODIKOS PATVIRTINIMO

 

2004 m. gegužės 6 d. Nr. 1V-156

Vilnius

 

 

Įgyvendindamas Informacinių technologijų saugos valstybinės strategijos įgyvendinimo plano, patvirtinto Lietuvos Respublikos Vyriausybės 2001 m. gruodžio 22 d. nutarimu Nr. 1625 (Žin., 2001, Nr. 110-4006), 3 priemonę „Informacijos technologijų saugos atitikties vertinimo sistemos sukūrimas“:

tvirtinu Informacinių technologijų saugos atitikties vertinimo metodiką (pridedama).

 

 

 

VIDAUS REIKALŲ MINISTRAS                                                            VIRGILIJUS BULOVAS


 

PATVIRTINTA

Lietuvos Respublikos vidaus reikalų ministro

2004 m. gegužės 6 d. įsakymu Nr. 1V-156

 

Informacinių technologijų saugos atitikties vertinimo metodika

 

I. Bendrosios nuostatos

 

1. Informacinių technologijų saugos atitikties vertinimo metodikos (toliau – Metodika) tikslas – sudaryti sąlygas sistemingai ir visapusiškai įvertinti informacinių technologijų saugos valstybės registruose ar kitose informacinėse sistemose (toliau – informacinė sistema) sutikimą su Bendraisiais duomenų saugos reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45).

2. Metodika parengta remiantis Bendraisiais duomenų saugos reikalavimais, Lietuvos standartu LST ISO/IEC 17799:2000, Lietuvos ir tarptautiniais grupės „Informacijos technologija. Saugumo technika“ standartais, reglamentuojančiais saugų duomenų tvarkymą.

3. Metodikoje vartojamos sąvokos:

3.1. Įstaiga – informacinės sistemos valdytojas, vadovaujanti valstybės registro tvarkymo įstaiga arba, jeigu jos nėra, valstybės registro tvarkymo įstaiga.

3.2. Vertintojas – įstaigos vidaus auditas, įstaigos vadovo ar įgaliotos institucijos paskirtas vertintojas arba įstaigos saugos įgaliotinis.

 

II. Vertinimo tvarka

 

4. Įstaigos informacinių technologijų saugos atitiktis informacinėse sistemose vertinama dviem etapais:

4.1. Pirmas etapas – informacijos surinkimas ir vertinimas. Surenkama vertinimui būtina informacija apie informacinių technologijų saugos padėtį įstaigos informacinėse sistemose ir dokumentai, būtini užtikrinant informacinės sistemos saugą: informacinės sistemos duomenų saugos nuostatai, saugaus darbo su duomenimis taisyklės (tvarka), detalios informacinės sistemos saugos instrukcijos ir procedūros. Šie dokumentai ir kiti objektai, nustatyti informacinių sistemų saugos atitikties vertinimo lentelėje (toliau – objektas) (Metodikos priedas), vertinami pagal sutikimą su Bendraisiais duomenų saugumo reikalavimais. Vertinimo metu vertintojas gali atlikti įstaigos valstybės tarnautojų ir darbuotojų apklausą.

4.2. Antras etapas – informacinių sistemų saugos atitikties vertinimo ataskaitos, kurioje nurodomi vertinimo metu rasti trūkumai, išvados ir pateikiamos rekomendacijos pastebėtiems trūkumams pašalinti, parengimas.

 

III. vertinimo kriterijai

 

5. Informacinių technologijų saugos atitikties įstaigos informacinėse sistemose vertinimas atliekamas vertinant atskirai kiekvieną objektą. Objektas vertinamas pagal penkių balų skalę, kurioje žemiausia reikšmė yra vienetas, o aukščiausia – penketas:

5.1. vienetas – nėra vertinamo objekto;

5.2. dvejetas – parengtas vertinamo objekto projektas;

5.3. trejetas – vertinamas objektas patvirtintas, tačiau netaikomas (nesivadovaujama parengtomis priemonėmis ar procedūromis, vartotojai nesupažindinti su jomis, nepaskirtas atsakingas vykdytojas ir pan.);

5.4. ketvertas – vertinamas objektas taikomas, tačiau rasta nežymių trūkumų, kurie nurodomi pastabose;

5.5. penketas – vertinamas objektas taikomas.

 

IV. Baigiamosios nuostatos

 

6. Vertintojas parengia informacinių sistemų saugos atitikties vertinimo ataskaitą ir teikia ją įstaigos vadovui, kuris organizuoja trūkumų šalinimo priemonių plano rengimą.

7. Kaip vykdomas trūkumų šalinimo priemonių planas, prižiūri įstaigos saugos įgaliotinis.

______________


 

Informacinių technologijų saugos atitikties

vertinimo metodikos

priedas

 

informacinių sistemų Saugos atitikties vertinimo lentelė

 

Vertinama informacinė sistema

 

 

Vertintojas

(vardas, pavardė, pareigos)

 

 

Vertinimo data

 

 

Vertinimo objektas

Vertinimas, balais

Pastabos ir rekomendacijos

1. Informacinės sistemos duomenų saugos nuostatai

 

 

 

1.1. Nustatytas sistemos ir sistemoje tvarkomų duomenų svarbumas

 

 

1.2. Pagal nustatytą duomenų svarbumą parinktos saugos priemonės

 

 

1.3. Nustatytas teisės aktų ir Lietuvos bei tarptautinių standartų sąrašas, kuriuo remiamasi tvarkant duomenis ir užtikrinant jų saugumą

 

 

1.4. Nustatyti kvalifikaciniai reikalavimai sistemos tvarkytojo personalui: sistemos vartotojams ir administratoriams

 

 

1.5. Atlikta rizikos veiksnių analizė

 

 

1.6. Nenumatytų situacijų valdymo principai ir planai

 

 

1.7. Informacinės sistemos duomenų saugos nuostatų atnaujinimo principai ir tvarka

 

 

1.8. Sistemos vartotojų supažindinimo su dokumentais, nustatančiais saugumo politiką, taisyklės (tvarka)

 

 

2. Saugaus darbo su duomenimis taisyklės (tvarka)

 

 

3. Informacinės sistemos duomenų saugos nuostatuose nurodyti dokumentai (detalios instrukcijos ir procedūrų aprašymai, reglamentuojantys veiksmus ar jų atlikimo tvarką tam tikrais atvejais ar konkrečioje situacijoje)

 

 

4. Nustatyta atsakomybė už saugumo politikos pažeidimus

 

 

5. Sistemos vartotojams suteiktų teisių sutikimas su vykdomomis funkcijomis

 

 

6. Paskirtas saugos įgaliotinis ir kiti atsakingi asmenys

 

 

______________