herbas 130301

LOŠIMŲ PRIEŽIŪROS TARNYBOS

PRIE LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJOS DIREKTORIUS

ĮSAKYMAS

DĖL VALSTYBINĖS LOŠIMŲ PRIEŽIŪROS KOMISIJOS 2009 M. KOVO 25 D. NUTARIMO NR. N-111 „DĖL LIETUVOS LOŠIMO ĮRENGINIŲ REGISTRO INFORMACINĖS SISTEMOS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ PATVIRTINIMO“ PAKEITIMO

2018 m. gruodžio 28 d. Nr. DI-704

Vilnius

P a k e i č i u Lietuvos lošimo įrenginių registro informacinės sistemos elektroninės informacijos tvarkymo taisykles, patvirtintas Valstybinės lošimų priežiūros komisijos 2009 m. kovo 25 d. nutarimu Nr. N-111 „Dėl Lietuvos lošimo įrenginių registro informacinės sistemos elektroninės informacijos tvarkymo taisyklių patvirtinimo“, ir išdėstau jas nauja redakcija (pridedama).

Direktorius Virginijus Daukšys

SUDERINTA

Nacionalinio kibernetinio saugumo centro prie

Lietuvos Respublikos krašto apsaugos ministerijos

2018 m. gruodžio 14 d. raštu Nr. (4.2) 6K-794

PATVIRTINTA

Valstybinės lošimų priežiūros komisijos

2009 m. kovo 25 d. nutarimu Nr. N-111

(2018 m. gruodžio 28 d. įsakymo Nr. DI-704 redakcija)

LIETUVOS LOŠIMO ĮRENGINIŲ REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos lošimo įrenginių registro saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) nustato pagrindinius saugaus Lietuvos lošimo įrenginių registro (toliau – Registras) elektroninės informacijos tvarkymo reikalavimus, technines ir kitas saugos priemones, skirtas informacijos saugai užtikrinti.

2. Taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Lietuvos lošimo įrenginių registro duomenų saugos nuostatais (toliau – Saugos nuostatai).

3. Taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.

4. Registre tvarkoma ir kaupiama elektroninė informacija, nurodyta Lietuvos lošimo įrenginių registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2003 m. balandžio 25 d. nutarimu Nr. 530 „Dėl Lietuvos lošimo įrenginių registro įsteigimo ir Lietuvos lošimo įrenginių registro nuostatų patvirtinimo“ (toliau – Registro nuostatai) III skyriuje.

5. Už Registro duomenų saugų tvarkymą atsakingi Registro tvarkytojas, Registro saugos įgaliotinis ir Registro administratorius.

6. Už Taisyklių įgyvendinimo organizavimą ir kontrolę atsakingas Registro saugos įgaliotinis.

7. Registre tvarkoma informacija yra skirstoma į šias kategorijas:

7.1. Registro administratoriaus tvarkoma informacija;

7.2. Registro naudotojų tvarkoma informacija.

8. Elektroninės informacijos, tvarkomos Registro administratoriaus ir priskirtos tam tikroms kategorijoms, sąrašas:

8.1. Registro klasifikatoriai;

8.2. Registro naudotojų teisės;

8.3. Registro naudotojų prisijungimo vardai ir slaptažodžiai.

9. Registro naudotojai yra atsakingi už Registro duomenų, nurodytų Registro nuostatų III skyriuje, tvarkymą.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

10. Saugiam Registro elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, programinės įrangos, duomenų perdavimo tinklai, fizinės, techninės ir organizacinės duomenų ir informacijos saugumo priemonės.

11. Registro kompiuterinės įrangos saugos užtikrinimo priemonės:

11.1. prieigos prie Registro tarnybinių stočių (serverių) kontrolė užtikrinama suteikiant prieigos prie Registro tarnybinių stočių teises tik Registro administratoriui;

11.2. įrangos priežiūra vykdoma pagal gamintojo rekomendacijas;

11.3. kompiuterinės įrangos gedimai registruojami žurnale;

11.4. naudojamos kompiuterinės įrangos priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai;

11.5. Registro tarnybinės stotys ir kompiuterinė įranga turi rezervinį maitinimo šaltinį;

11.6. Registro tarnybinėse stotyse ir Registro naudotojų kompiuterizuotose darbo vietose yra įdiegtos centralizuotai valdomos ir atnaujinamos kenksmingosios programinės įrangos aptikimo, stebėjimo realiu laiku priemonės; šios priemonės automatiškai informuoja Registro administratorių apie pradelstą kenksmingosios programinės įrangos aptikimo priemonių atsinaujinimo laiką;

11.7. kompiuterinės įrangos būklė nuolat stebima.

12. Registro sisteminės ir taikomosios programinės įrangos (toliau – Registro programinė įranga) saugos priemonės:

12.1. Registro tarnybinėse stotyse ir Registro naudotojų kompiuteriuose naudojama tik legali, Registro funkcijoms vykdyti būtina programinė įranga;

12.2. operatyviai įdiegiami Registro tarnybinių stočių ir Registro naudotojų kompiuterizuotų darbo vietų kompiuterinės įrangos, operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;

12.3. programinės įrangos diegimą, gedimų šalinimą ir konfigūravimą turi teisę atlikti tik Registro administratorius arba jį pavaduojantis asmuo;

12.4. slaptažodžiai, suteikiantys teisę dirbti su Registro tarnybinės stoties administravimo programine įranga, žinomi tik Registro sisteminiam administratoriui arba jį pavaduojančiam asmeniui;

12.5. Registro naudotojų tinkle įdiegtos automatinės įsilaužimo aptikimo sistemos.

13. Registro duomenų perdavimo tinklais saugumo užtikrinimo priemonės:

13.1. Registro duomenų perdavimo tinklas nuo grėsmių iš interneto atskirtas užkardų;

13.2. Registro elektroninės informacijos perdavimo tinklas atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienę;

13.3. viešaisiais telekomunikaciniais tinklais perduodamos elektroninės informacijos konfidencialumas užtikrinamas naudojant saugų valstybinį duomenų perdavimo tinklą;

13.4. fiksuojami Registro naudotojų, kuriems suteikta teisė tvarkyti Registro duomenis, veiksmai.

14. Patalpų ir aplinkos saugumo užtikrinimo priemonės:

14.1. Registro tarnybinių stočių patalpos apsaugotos nuo neteisėto asmenų patekimo į jas;

14.2. Registro tarnybinių stočių patalpoje įrengti gaisro davikliai;

14.3. naudojama įėjimo į patalpas kontrolė;

14.4. apsauga nuo elektros tiekimo sutrikimų – elektros energijos tiekimui užtikrinti įrengtas rezervinis elektros srovės generatorius;

14.5. tarnybinių stočių patalpose įrengta kondicionavimo ir vėdinimo sistema temperatūrai palaikyti. Šiose patalpose palaikomas tarnybinės stoties gamintojų nustatytas santykinis oro drėgnumas;

14.6. Registro įrangą, nesant galimybių tęsti veiklą pagrindinėse patalpose, perkeliama į atsargines patalpas esančias Lukiškių g. 2, Vilniuje.

15. Kitos priemonės, naudojamos elektroninės informacijos saugai užtikrinti:

15.1. Registro naudotojams suteikiama prieigos teisė atlikti veiksmus Registro naudotojų administravimo taisyklėse nustatyta tvarka;

15.2. Registro tarnybinėse stotyse įdiegtos priemonės, įspėjančios Registro administratorių apie laisvos operatyviosios atminties ar laisvos vietos kompiuterių diskuose sumažėjimą iki nustatytos pavojingos ribos, apie ilgą laiką stipriai apkraunamą centrinį procesorių ar kompiuterių tinklo sąsają;

15.3. Registras automatiškai atjungia naudotojus, kurie yra prisijungę prie Registro, bet neatlieka jokių veiksmų. Ilgiausias neaktyvumo laikas, kuriam pasibaigus naudotojas automatiškai atjungiamas, yra 15 min;

15.4. Registro naudotojui baigus darbą, imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama, uždaroma programinė įranga, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai padedami į pašaliniams asmenims neprieinamą vietą;

15.5. Registro naudotojų kompiuterizuotose darbo vietose naudojamos tik tarnybinėms reikmėms skirtos išorinės duomenų laikmenos (USB, CD / DVD ir kt.); šios laikmenos negali būti naudojamos veiklai, nesusijusiai su teisėtu Registro elektroninės informacijos tvarkymu.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

16. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo užtikrinimo tvarka:

16.1. Registro elektroninę informaciją keisti, atnaujinti, įrašyti ir naikinti turi teisę tik Registro naudotojai pagal nustatytas prieigos teises;

16.2. administravimo posistemyje tvarkomą elektroninę informaciją įvesti, keisti, atnaujinti ar naikinti turi teisę tik Registro administratorius;

16.3. Registro elektroninė informacija įvedama, atnaujinama, keičiama ir naikinama Registro nuostatų nustatyta tvarka;

16.4. Elektroninės informacijos įvedimas, pakeitimas, atnaujinimas ir naikinimas registruojami elektroniniuose žurnaluose, nurodant Registro naudotoją, prisijungimo datą, laiką ir atliktus veiksmus.

17. Registro naudotojų tapatybė ir jų veiksmai su Registro duomenimis atpažįstami programinėmis priemonėmis, įrašomi Registro duomenų bazės veiksmų žurnale automatiniu būdu, apsaugotame nuo nesankcionuoto jame esančių duomenų naudojimo, keitimo, iškraipymo, sunaikinimo. Registro duomenų bazės veiksmų žurnalo duomenys prieinami tik Registro sisteminiam administratoriui arba jį pavaduojančiam asmeniui.

18. Registro naudotojai atpažįstami pagal prisijungimo vardus ir slaptažodžius.

19. Atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka:

19.1. už Registro elektroninės informacijos kopijų darymą, saugojimą atsakingas Registro administratorius;

19.2. elektroninės informacijos kopijos daromos ne rečiau kaip du kartus per mėnesį;

19.3. elektroninės informacijos kopijos laikomos kitose patalpose nei yra Registro tarnybinės stotys;

19.4. elektroninės informacijos kopijos turi būti prieinamos tik Registro administratoriui ar jį pavaduojančiam asmeniui;

19.5. prarasta, iškraipyta ar sunaikinta Registro elektroninė informacija turi būti atkuriama iš Registro elektroninės informacijos atsarginių kopijų;

19.6. elektroninės informacijos kopijų darymas registruojamas žurnale.

20. Saugaus elektroninės informacijos perkėlimo ir teikimo susijusioms informacinėms sistemoms, elektroninės informacijos gavimo iš jų tvarka:

20.1. elektroninė informacija iš susijusių registrų ir informacinių sistemų gaunama ir jiems teikiama šių registrų ir informacinių sistemų valdytojų ar tvarkytojų sudarytose duomenų teikimo ir gavimo sutartyse numatyta tvarka;

20.2. už elektroninės informacijos, gaunamos iš susijusių registrų ir informacinių sistemų, atnaujinimo procesą Registre yra atsakingas Registro administratorius.

21. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:

21.1. Registro naudotojai, pastebėję saugos dokumentų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai Registro administratoriui ar saugos įgaliotiniui;

21.2. Registro administratorius apie saugos pažeidimus informuoja Registro saugos įgaliotinį;

21.3. Registro administratorius ir saugos įgaliotinis pagal kompetenciją nedelsdami imasi visų įmanomų prevencinių veiksmų, susijusių su neteisėtu elektroninės informacijos naudojimu;

21.4. Registro saugos įgaliotinis apie Taisyklių 21.1 papunktyje nurodytus pažeidimus praneša Lošimų priežiūros tarnybos prie Lietuvos Respublikos finansų ministerijos (toliau – Priežiūros tarnyba) direktoriui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais.

22. Registro programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:

22.1. Registro administratorius Registro tarnybinėse stotyse diegia ir tvarko programinę įrangą, reikalingą Registro funkcionavimui;

22.2. Registro tvarkytojas programinę įrangą, reikalingą tvarkyti Registro elektroninei informacijai, perka Lietuvos Respublikos viešųjų pirkimų įstatymo, kitų teisės aktų nustatyta tvarka;

22.3. Registrui veikti reikalingos naujos ar atnaujinamos programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką;

22.4. organizuojami Registro naudotojų darbo su nauja programine ir technine įranga mokymai;

22.5. naudojama tik sertifikuota programinė ir techninė įranga;

22.6. sugedusią techninę įrangą išvežant remontuoti, išimamos duomenų laikmenos (kietieji diskai ir kt.) arba daromos jų kopijos ir kartu perduodamose laikmenose saugomi duomenys ištrinami.

23. Registro pokyčių (toliau – pokyčiai) valdymo tvarka:

23.1. pokyčius turi teisę inicijuoti Registro saugos įgaliotinis ir Registro administratorius;

23.2. pokyčiai turi būti planuojami, identifikuojami, suskirstomi į kategorijas pagal pokyčio tipą, nustatomas jų prioritetas, įvertinama įtaka Registro veiklai;

23.3. pokyčiai, galintys sutrikdyti ar sustabdyti Registro veiklą (operacinės sistemos, duomenų bazių atnaujinimas, programinės įrangos modernizavimas, kompiuterinės ar tinklo įrangos atnaujinimas ir pan.), turi būti suderinti su Priežiūros tarnybos direktoriumi ir Registro saugos įgaliotiniu ir vykdomi tik gavus jų raštišką pritarimą;

23.4. pokyčiai, galintys daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų bei kuri atskirta nuo Registro;

23.5. po įgyvendinimo pokyčiai turi būti peržiūrimi ir palyginami su planuotais rezultatais;

23.6. Registro administratorius privalo pateikti visą reikalingą informaciją Registro naudotojams apie naudojimo pakitimus.

24. Nešiojamųjų kompiuterių naudojimo tvarka:

24.1. nešiojamieji kompiuteriai prie kompiuterių tinklo gali būti prijungiami ir iš Registro tvarkymo patalpų išnešami tik Registro saugos įgaliotiniui leidus;

24.2. nešiojamieji kompiuteriai turi būti atskirti nuo viešojo interneto tinklo užkarda;

24.3. naudotojai, savo darbo funkcijoms vykdyti naudojantys nešiojamuosius kompiuterius Registro duomenų perdavimui kompiuterių tinklais ne savo darbo vietoje, turi naudoti kompiuterio įjungimo slaptažodį, papildomą naudotojo tapatybės patvirtinimą ir Registro duomenų šifravimą;

24.4. duomenys esantys nešiojamuose kompiuteriuose turi būti šifruojami;

24.5. nešiojamieji kompiuteriai, nedirbant su jais, turi būti saugomi saugioje vietoje;

24.6. draudžiama administruoti Registrą naudojant nešiojamus kompiuterius.

IV SKYRIUS

REIKALAVIMAI, KELIAMI REGISTRUI FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

25. Reikalavimai Registrui funkcionuoti reikalingoms paslaugų teikėjų paslaugoms, paslaugų teikėjų prieigos prie Registro lygis ir sąlygos nustatomi šių paslaugų teikimo sutartyse pagal paslaugų teikimo pobūdį. Paslaugų teikėjo teikiamoms paslaugoms nustatyti saugos reikalavimai negali būti mažesni nei tie, kurie nustatyti Registro saugos dokumentuose.

26. Už paslaugos teikėjui prieigos prie Registro lygio ir sąlygų nustatymą atsakingas Registro administratorius. Paslaugos teikėjui prieigos prie Registro lygis (-iai) ir sąlygos turi būti suderinti su Registro saugos įgaliotiniu.

27. Registro administratorius suteikia paslaugos teikėjui tik tokią prieigą prie Registro resursų, kuri yra būtina norint atlikti arba vykdyti sutartyje nustatytus įsipareigojimus, kurie neprieštarauja įstatymų ir kitų teisės aktų reikalavimams.

28. Registro administratorius privalo supažindinti paslaugos teikėjus su suteiktos prieigos prie Registro reikalavimais ir sąlygomis, taip pat atlikti paslaugos teikėjo priežiūrą, stebėti, kaip įgyvendinamos Registro saugos dokumentuose ir paslaugų teikimo sutartyse nustatytos sąlygos.

29. Pasibaigus sutarties su paslaugos teikėjais galiojimo terminui ar atsiradus kitoms sutartyje ar Registro saugos dokumentuose įvardintoms sąlygoms, Registro administratorius nedelsdamas privalo panaikinti suteiktą prieigą.

30. Reikalavimai, keliami teikėjų patalpoms, įrangai, informacinės sistemos priežiūrai, duomenų perdavimui tinklais ir kitoms paslaugoms, turi atitikti Taisyklių II skyriuje nustatytiems reikalavimams.

___________________