Visagino savivaldybės administracijos saugaus elektroninės informacijos tvarkymo priemonės

PATVIRTINTA
Visagino savivaldybės administracijos direktoriaus
2021 m. spalio ___ d. įsakymu Nr. ĮV-E-____
VISAGINO SAVIVALDYBĖS ADMINISTRACIJOS
SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Visagino savivaldybės administracijos saugaus elektroninės informacijos tvarkymo
taisyklių (toliau – Taisyklės) tikslas– nustatyti tvarką, užtikrinančią saugų Visagino savivaldybės
administracijos informacinių sistemų techninės, programinės įrangos funkcionavimą, saugų duomenų
tvarkymą ir jų teikimą kitoms institucijoms pagal teisės aktų nustatytus reikalavimus.
2. Taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos
reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Elektroninės informacijos,
sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų,
registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos
Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, Visagino savivaldybės administracijos
direktoriaus 2021 m. ____ d. įsakymu Nr. ĮV-___ patvirtintais Visagino savivaldybės administracijos
informacinės sistemos duomenų saugos nuostatais.
3. Šios Taisyklės yra privalomos visiems Visagino savivaldybės administracijos valstybės
tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartį, naudojantiems kompiuterinę įrangą
darbo užduotims atlikti.
4. Šiose Taisyklėse vartojamos sąvokos:
Savivaldybės informacinės sistemos (toliau – Informacinės sistemos) – informacinių
technologijų pagrindu veikiančios sistemos, užtikrinančios kompiuterizuotą Savivaldybės
administracijos duomenų, dokumentų ir kitos informacijos kūrimą, tvarkymą ir saugojimą,
tenkinančios kitus Savivaldybės administracijos informacinius poreikius. Informacines sistemas
sudaro techninė įranga (tarnybinės stotys, darbo vietų kompiuteriai, duomenų saugyklos,
kompiuterių tinklo ir elektroninio ryšio priemonės, duomenų apsaugos priemonės), programinė
įranga (operacinės sistemos, pagalbinės programos, taikomosios programinės įrangos),
kompiuterizuotai tvarkoma Savivaldybės administracijos veiklos informacija (elektroniniai
dokumentai, įvairūs duomenys, duomenų bazės) ir kita informacija.
Saugos įgaliotinis – Savivaldybės administracijos direktoriaus paskirtas valstybės
tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, įgyvendinantis elektroninės informacijos
saugą Savivaldybės administracijos Informacinėse sistemose.
Informacinių sistemų administratorius (toliau – Administratorius) – Savivaldybės
administracijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, atliekantis
Informacinių sistemų priežiūrą.
Informacinių sistemų naudotojas (toliau – Naudotojas) – valstybės tarnautojas ar
darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis Informacinių sistemų ištekliais
numatytoms funkcijoms atlikti.
Nuotolinis prisijungimas – tai toks prisijungimo prie informacinės sistemos būdas, kai
informacinės sistemos naudotojas jungiasi prie informacinės sistemos iš kompiuterizuotos darbo
vietos, esančios už Visagino savivaldybės administracijos telekomunikacinio tinklo ribų.
Privilegijuota prieiga – prieiga prie informacinės sistemos ar jos komponentų, suteikianti
galimybę atlikti veiksmus, galinčius sukelti didesnę nei įprastą riziką informacinei sistemai, jos
komponentams ar joje tvarkomiems duomenims (informacinių sistemų komponentų
administravimas, naudotojų administravimas, specifiniai duomenų tvarkymo veiksmai ir pan.).
Privilegijuotas naudotojas – asmuo (informacinės sistemos naudotojas, administratorius,
programuotojas, paslaugų teikėjo darbuotojas ir kt.), kuriam vidaus reikalų ministro tvirtinamų
naudotojų administravimo taisyklių nustatyta tvarka suteikta privilegijuota prieiga.
Tiesioginis prisijungimas – tai toks prisijungimo prie informacinės sistemos būdas, kai
informacinės sistemos naudotojas jungiasi prie informacinės sistemos iš kompiuterizuotos darbo
vietos, esančios Visagino savivaldybės administracijos telekomunikaciniame tinkle.
Kitos Taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos
reikalavimus, Saugos dokumentų turinio gaires ir Elektroninės informacijos, sudarančios valstybės
informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų
informacinių sistemų klasifikavimo gaires patvirtintas Lietuvos Respublikos Vyriausybės 2013 m.
liepos 24 d. nutarimu Nr. 716 ir kituose Lietuvos Respublikos teisės aktuose vartojamas sąvokas.
5. Už Informacinių sistemų duomenų saugų tvarkymą atsakingi Informacinių sistemų
naudotojai, Informacinių sistemų administratorius.
6. Už Taisyklių įgyvendinimo organizavimą ir kontrolę atsakingas Saugos įgaliotinis.
II SKYRIUS
TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS
7. Saugiam elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės
įrangos, programinės įrangos, fizinės, techninės ir organizacinės duomenų saugos priemonės.
8. Prieiga prie Informacinių sistemų suteikiama tik autorizuotiems Naudotojams.
Kiekvienas Naudotojas Informacinėje sistemoje turi patvirtinti savo tapatybę vardu ir slaptažodžiu.
Slaptažodžiai negali būti atskleidžiami kitiems asmenims.
9. Prieiga Naudotojams suteikiama tik prie tų išteklių, kurie yra būtini tiesioginėms
pareigoms vykdyti.
10. Naudojama legali sisteminė ir taikomoji programinė įranga.
11. Programinės įrangos diegimą atlieka tik Informacinių sistemų administratoriai ar kiti
įgalioti asmenys.
12. Naudojamos antivirusinės programos naudotojų kompiuteriuose, antivirusinės
programos elektroninio pašto tarnybinėje stotyje, programinės ugniasienės naudotojų
kompiuteriuose ir tinklo tarnybinėse stotyse apsaugai nuo virusų, šnipinėjimui skirtos programinės
įrangos, nepageidaujamo elektroninio pašto ir pan.
13. Siekiant apsaugoti nuo žalingos programinės įrangos, ne rečiau kaip kartą per mėnesį
turi būti atliekamas nuolatinis naudotojų ir tarnybinių stočių operacinių sistemų atnaujinimas.
14. Antivirusinių programų duomenų bazės turi būti atnaujinamos periodiškai – ne rečiau
kaip kartą per dieną, jei atnaujinimą pateikia antivirusinės programos gamintojas.
15. Ne rečiau kaip kartą per metus Administratorius atlieka patikrinimą, siekdamas
nustatyti, ar informacinėje sistemoje naudojama legali programinė įranga. Patikrinimą inicijuoja
Saugos įgaliotinis.
16. Informacinės sistemos elektroninės informacijos perdavimo tinklas turi būti atskirtas
nuo viešųjų telekomunikacijų tinklų naudojant ugniasienę.
17. Už tinklo ugniasienių administravimą, priežiūrą, operacinės sistemos atnaujinimą ir
saugią ugniasienių konfigūraciją atsako Administratorius.
18. Saugiam elektroninės informacijos teikimui ir (ar) gavimui iš kitų valstybės institucijų
užtikrinti naudojamas Saugus valstybės duomenų perdavimo tinklas (toliau – SVDPT).
19. Naudotojams kompiuterių operacinėse sistemose turi būti suteikiamos teisės, kurios
būtinos tiesioginėms pareigoms vykdyti.
20. Duomenys nuo jų praradimo, iškraipymo, sunaikinimo, neteisėto panaudojimo
galimybių apsaugomi techninėmis, organizacinėmis, programinėmis priemonėmis
21. Fizinė prieiga prie Informacinių sistemų tarnybinių stočių suteikiama tik direktoriaus
paskirtiems atsakingiems asmenims.
22. Techninė įranga apsaugoma nuo elektros srovės svyravimų, nuo neteisėtos prieigos prie
techninės įrangos, jos sugadinimo ar neteisėto poveikio jai. Naudojami specialūs maitinimo šaltiniai,
nenutrūkstamo maitinimo šaltinis su automatine apsauga nuo įtampos svyravimų.
23. Patalpa, kurioje veikia tarnybinės stotys atitinka priešgaisrinės saugos reikalavimus,
jose yra gaisro gesinimo priemonės. Periodiškai atliekama gaisro gesinimo priemonių patikra.
24. Tarnybinių stočių patalpoje įrengta oro kondicionavimo sistema.
III SKYRIUS
SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
25. Informacinės sistemos naudotojų veiksmų registravimas:
25.1. informacinės sistemos naudotojų tapatybė ir veiksmai su informacinės sistemos
posistemių duomenimis ar bandymai juos atlikti registruojami programiniu būdu informacinės
sistemos posistemių įvykių žurnaluose, jei informacinės sistemos posistemiuose, kuriuose duomenys
yra tvarkomi, yra tokia galimybė;
25.2. informacinės sistemos posistemių įvykių žurnalų informacija prieinama tik
administratoriui ir informacinės sistemos naudotojams, turintiems prieigos teisę prie informacinės
sistemos posistemių įvykių žurnalų, jei informacinės sistemos posistemiuose, kuriuose duomenys yra
tvarkomi, yra tokia galimybė.
26. Informacinės sistemos duomenų kopijų darymo, saugojimo ir duomenų atkūrimo iš
atsarginių duomenų kopijų tvarka:
26.1. prarasti, iškraipyti, sunaikinti informacinės sistemos duomenys atkuriami iš
informacinės sistemos duomenų kopijų;
26.2. informacinės sistemos duomenų kopijos daromos į tam skirtą duomenų saugyklą
26.3. informacinių sistemų duomenų bazės yra kopijuojamos ir saugomos taip, kad įvykus
nenumatytai situacijai informacinių sistemų veikla būtų visiškai atkurta per 48 valandas;
26.4. duomenų saugykloje yra saugoma visų duomenų kopija ir skirtuminės kopijos,
leidžiančios atkurti duomenis iki vienos dienos prieš gedimą;
26.5. informacinės sistemos duomenų atkūrimo bandymai atliekami vieną kartą per metus;
26.6. informacinės sistemos duomenų atkūrimo bandymai atliekami ne darbo valandomis ir
prieš tai informavus visus informacinės sistemos naudotojus;
26.7. už informacinės sistemos duomenų kopijų darymą ir duomenų atkūrimo bandymus yra
atsakingas administratorius arba informacinę sistemą aptarnaujanti įmonė.
27. Pranešimų dėl neteisėto duomenų kopijavimo, keitimo, naikinimo ar perdavimo
teikimo tvarka:
27.1. informacinės sistemos naudotojas, įtaręs, kad su informacinės sistemos duomenimis
buvo atlikti neteisėti veiksmai, privalo pranešti apie tai administratoriui.
27.2. administratorius nustatęs, kad su informacinės sistemos duomenimis galėjo būti
atliekami neteisėti veiksmai, privalo apie tai pranešti Savivaldybės administracijos direktoriui ir
saugos įgaliotiniui;
27.3. Savivaldybės administracijos direktorius ir saugos įgaliotinis, gavę pranešimą apie
atliekamus neteisėtus veiksmus su informacinėje sistemoje tvarkomais duomenimis, inicijuoja
Savivaldybės administracijos informacinės sistemos veiklos tęstinumo valdymo plane nustatytas
informacijos saugumo incidento valdymo procedūras.
28. Prieš atlikdamas informacinės sistemos programinės ir techninės įrangos keitimą, kurio
metu gali iškilti grėsmė duomenų ir informacinės sistemos konfidencialumui, vientisumui ar
pasiekiamumui, administratorius pagal informacinės sistemos galimybes turėtų išbandyti
planuojamus informacinės sistemos pokyčius.
29. Informacinės sistemos pokyčių valdymo tvarka nustatyta Taisyklių priede „Visagino
savivaldybės administracijos informacinės sistemos pokyčių valdymo tvarkos aprašas“.
30. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (toliau – mobilieji įrenginiai),
naudojamų informacinės sistemos naudotojų tarnybinėms ar darbo funkcijos vykdyti, naudojimo
tvarka:
30.1. išnešti iš informacinės sistemos valdytojo ar informacinės sistemos tvarkytojo patalpų
mobilieji įrenginiai negali būti palikti be priežiūros viešose vietose; kelionės metu mobilieji įrenginiai
turi būti saugomi;
30.2. iš informacinės sistemos valdytojo ar informacinės sistemos tvarkytojo patalpų
išnešamiems mobiliesiems įrenginiams turi būti taikomos papildomos saugos priemonės
(elektroninės informacijos šifravimas ir pan.);
30.3. duomenys, perduodami tarp mobiliojo įrenginio ir informacinės sistemos, turi būti
šifruojami;
30.4. turi būti užtikrinta kompiuterinių laikmenų apsauga, t. y. esant techninėms
galimybėms turi būti šifruojami duomenys tiek mobiliųjų įrenginių laikmenose, tiek išorinėse
kompiuterinėse laikmenose. Draudžiama saugoti neužšifruotuose mobiliųjų įrenginių laikmenose
konfidencialią ir (arba) asmens duomenų informaciją;
30.5. už mobiliųjų įrenginių ir jame tvarkomų ar saugomų duomenų saugą teisės aktų
nustatyta tvarka atsako naudotojas, kuriam šis įrenginys yra skirtas.
31. Belaidžio tinklo saugumas ir kontrolė:
31.1. leidžiama naudoti tik su savivaldybės administracijos saugos įgaliotiniu suderintus
belaidžio tinklo įrenginius, atitinkančius techninius kibernetinio saugumo reikalavimus;
31.2. turi būti naudojamos priemonės, kurios apribotų neleistinus ar saugumo reikalavimų
neatitinkančius belaidžius įrenginius arba informuotų savivaldybės administracijos saugos įgaliotinį
apie neleistinos įrangos prijungimą prie Visagino savivaldybės administracijos infrastruktūros;
31.3. kompiuteriuose, mobiliuosiuose įrenginiuose turi būti išjungta belaidė prieiga, jeigu
jos nereikia darbo funkcijoms atlikti, išjungta lygiarangė (angl. peer to peer) funkcija, neleidžianti
belaidžiais įrenginiais palaikyti ryšį tarpusavyje, belaidė periferinė prieiga.
32. savivaldybės administracijos naudojamų svetainių, pasiekiamų iš viešųjų elektroninių
ryšių tinklų, saugumas ir kontrolė:
32.1. turi būti įgyvendinti atpažinties, tapatumo patvirtinimo ir naudojimosi informacinėmis
sistemomis kontrolės reikalavimai:
32.1.1. svetainės, patvirtinančios nuotolinio prisijungimo tapatumą, turi drausti
automatiškai išsaugoti slaptažodžius;
32.1.2. turi būti įgyvendinti svetainės kriptografijos reikalavimai;
32.1.3. svetainės administravimo darbai turi būti atliekami per šifruotą ryšio kanalą,
šifruojant ne trumpesniu kaip 128 bitų raktu;
32.1.4. šifruojant naudojami skaitmeniniai sertifikatai privalo būti išduoti patikimų
sertifikavimo tarnybų; sertifikato raktas turi būti ne trumpesnis kaip 2048 bitų;
32.1.5. svetainės kriptografinės funkcijos turi būti įdiegtos serverio, kuriame yra svetainė,
dalyje arba kriptografiniame saugumo modulyje (angl. Hardware security module);
32.1.6. turi būti naudojama svetainės naudotojo įvedamų duomenų tikslumo kontrolė
(angl. Validation);
32.1.7. serveris, kuriame yra svetainė, neturi rodyti svetainės naudotojui klaidų pranešimų
apie svetainės programinį kodą ar serverį;
32.1.8. serveris, kuriame yra svetainė, turi leisti tik svetainės funkcionalumui užtikrinti
reikalingus HTTP (angl. Hypertext Transfer Protocol) protokolo metodus;
32.1.9. turi būti uždrausta naršyti svetainės kataloguose (angl. Directory browsing).
33. Informacinių sistemų duomenų keitimą, atnaujinimą ir naujų duomenų įvedimą turi
teisę atlikti tik autorizuoti naudotojai, turintys teisę tai atlikti.
34. Naudotojų tapatybė ir veiksmai su Informacinių sistemų duomenimis fiksuojami
programinėmis priemonėmis.
35. Už Informacinių sistemų duomenų atsarginių duomenų kopijų darymą, saugojimą ir
duomenų atkūrimą iš atsarginių duomenų kopijų atsako Administratorius.
36. Atsarginės duomenų kopijos daromos periodiškai, bet ne rečiau kaip kartą per mėnesį,
o kopijos tarnybinėse stotyse – automatiniu būdu į išorinius informacijos kaupiklius.
37. Prarasti, iškraipyti ar sunaikinti Informacinių sistemų duomenys atkuriami iš atsarginių
duomenų kopijų.
38. Duomenų atstatymas iš atsarginių kopijų turi būti periodiškai išbandomas – ne rečiau
kaip kartą per metus.
39. Atstatymų išbandymą inicijuoja Saugos įgaliotinis.
40. Duomenų perkėlimo ir teikimo kitoms Informacinėms sistemoms bei duomenų gavimo
iš jų tvarka nustatoma atskiromis sutartimis.
41. Programinės ir techninės įrangos keitimo ir atnaujinimo tvarką, priklausomai nuo
konkretaus atvejo, derina Administratorius.
42. Operacinių sistemų ir taikomosios programinės įrangos keitimai turi būti valdomi:
planuojami ir ištestuojami, numatomos atstatomosios procedūros nesėkmingų keitimų atvejams,
įvertinamas keitimų poveikis saugumui.
43. Už operacinių sistemų ir taikomosios programinės įrangos keitimų valdymą atsakingas
Informacinių sistemų administratorius.
44. Administratorius, užtikrindamas Informacinių sistemų duomenų vientisumą, privalo
naudoti visas įmanomas fizines, programines ir organizacines priemones, skirtas Informacinei
sistemai ir joje tvarkomiems duomenims apsaugoti nuo neteisėtų veiksmų.
45. Naudotojas, įtaręs, kad su Informacinių sistemų duomenimis buvo atlikti neteisėti
veiksmai, privalo pranešti apie tai Administratoriui. Administratorius, įtaręs, kad su Informacinių
sistemų duomenimis vykdomi neteisėti veiksmai, privalo apie tai pranešti Saugos įgaliotiniui.
Saugos įgaliotinis, gavęs pranešimą apie vykdomus neteisėtus veiksmus su Informacinėmis
sistemomis arba su Informacinių sistemų tvarkomais duomenimis, inicijuoja elektroninės
informacijos saugos incidento valdymo procedūras.
46. Informacinės sistemos valdytojas užtikrina informacinės sistemos pokyčių (toliau –
pokyčiai) valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas pagal
pokyčio tipą (administracinis, organizacinis ar techninis), įtakos vertinimą ir pokyčių prioritetų
nustatymo procesus. Su tuo susijusios nuostatos numatomos informacinės sistemos valdytojo
tvirtinamose Saugaus elektroninės informacijos tvarkymo taisyklėse ar kitame informacinės sistemos
valdytojo patvirtintame teisės akte.
47. Visi pokyčiai, galintys sutrikdyti ar sustabdyti informacinės sistemos darbą, turi būti
suderinti su informacinės sistemos valdytojo vadovu ar duomenų valdymo įgaliotiniu ir vykdomi tik
gavus jų raštišką pritarimą. Pokyčius turi teisę inicijuoti duomenų valdymo įgaliotinis, saugos
įgaliotinis ar administratorius, o įgyvendinti – administratorius.
48. Informacinės sistemos sąrankos aprašai turi būti nuolat atnaujinami ir rodyti esamą
informacinės sistemos sąrankos būklę.
49. Pokyčiai, galintys daryti neigiamą įtaką elektroninės informacijos konfidencialumui,
vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių
ir asmens duomenų ir kuri atskirta nuo eksploatuojamos informacinės sistemos.
IV SKYRIUS
REIKALAVIMAI, KELIAMI INFORMACINIŲ SISTEMŲ FUNKCIONAVIMUI
REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS
50. Administratorius suteikia prieigos prie Informacinių sistemų duomenų teisę (peržiūrėti
duomenis, atlikti užklausas, vykdyti veiksmus su duomenimis ir kt.) bei fizinę prieigą prie techninės
ir programinės įrangos paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje
nurodytam laikotarpiui jam nustatytoms funkcijoms atlikti.
51. Administratorius, suteikdamas prieigos prie Informacinių sistemų duomenų teisę,
paslaugų teikėjo įgaliotą fizinį asmenį supažindina su prieigos prie Informacinių sistemų duomenų
sąlygomis.
52. Pasibaigus sutartyje nurodytam laikotarpiui, Administratorius panaikina paslaugų
teikėjo įgalioto fizinio asmens prieigos prie Informacinių sistemų duomenų teisę ir apie tai jį
informuoja.
53. Reikalavimai Informacinėms sistemoms, reikalingoms paslaugų teikėjams ir jų
projektavimo, aptarnavimo ir priežiūros teikiamoms paslaugoms funkcionuoti nustatomi šių
paslaugų teikimo sutartyse.
54. Perkant paslaugas, darbus ar įrangą, susijusią su informacinėmis sistemomis, pirkimo
dokumentuose yra iš anksto nustatoma, kad paslaugų teikėjas turi užtikrinti atitiktį kibernetinio
saugumo reikalavimams, nustatytiems Organizacinių ir techninių kibernetinio saugumo reikalavimų
apraše
55. Paslaugų teikimo sutartyse turi būti nurodoma, kad paslaugų teikėjas kuria ar
modifikuoja programinę įrangą naudodamas:
55.1. įgyvendintas elektroninės informacijos saugos priemones nuo sankcionuoto poveikio
sistemoms, programinei įrangai ir patalpoms;
55.2. sertifikuotą sisteminę programinę įrangą.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
56. Naudotojas privalo kuo greičiau informuoti Saugos įgaliotinį ar Informacinių sistemų
administratorių apie pastebėtus saugumo incidentus: šių Taisyklių reikalavimų pažeidimus,
informacinės sistemos veiklos sutrikimus arba neįprastą sistemos veikimą.
57. Naudotojai, pažeidę šių Taisyklių ir kitų saugos politiką įgyvendinančių teisės aktų
nuostatas, atsako teisės aktų nustatyta tvarka.