LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRO
2007 M. BALANDŽIO 3 D. ĮSAKYMO NR. 1V-121 „DĖL LIETUVOS RESPUBLIKOS KELIŲ TRANSPORTO PRIEMONIŲ VAIRUOTOJŲ REGISTRO ĮSTEIGIMO IR JO NUOSTATŲ PATVIRTINIMO“ PAKEITIMO
2018 m. birželio 25 d. Nr. 1V-455
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 19 ir 26 punktais,
p a k e i č i u Lietuvos Respublikos kelių transporto priemonių vairuotojų registro duomenų saugos nuostatus, patvirtintus Lietuvos respublikos vidaus reikalų ministro 2007 m. balandžio 3 d. įsakymu Nr. 1V-121 „Dėl Lietuvos Respublikos kelių transporto priemonių vairuotojų registro įsteigimo ir jo nuostatų patvirtinimo“ ir juos išdėstau nauja redakcija (pridedama).
PATVIRTINTA
Lietuvos Respublikos vidaus reikalų ministro
2018 m. birželio 25 d. įsakymu Nr. 1V-455
LIETUVOS RESPUBLIKOS KELIŲ TRANSPORTO PRIEMONIŲ REGISTRO
DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos kelių transporto priemonių vairuotojų registro duomenų saugos nuostatai (toliau – saugos nuostatai) reglamentuoja Lietuvos Respublikos kelių transporto priemonių vairuotojų registro (toliau – KTPVR) saugos politiką, nustato taisykles ir principus, užtikrinančius saugų KTPVR elektroninės informacijos (toliau – informacija) valdymą bei tvarkymą.
2. Saugos nuostatuose vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, (toliau – saugos reikalavimų aprašas), Lietuvos Respublikos kelių transporto priemonių vairuotojų registro nuostatuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2007 m. balandžio 3 d. įsakymu Nr. 1V-121 „Dėl Lietuvos Respublikos kelių transporto priemonių vairuotojų registro įsteigimo ir jo nuostatų patvirtinimo“ (toliau – KTPVR nuostatai) bei Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, (toliau – saugumo reikalavimų aprašas) vartojamas sąvokas.
3. KTPVR informacijos saugos tikslas – užtikrinti KTPVR elektroninės informacijos konfidencialumą, prieinamumą ir vientisumą.
4. KTPVR informacijos saugos užtikrinimo prioritetinės kryptys:
4.1. fizinė informacijos apdorojimo priemonių (patalpų, techninės įrangos, programinės įrangos) apsauga;
5. KTPVR informacijos saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės.
6. KTPVR valdytojas – Lietuvos Respublikos vidaus reikalų ministerija (toliau – VRM), adresas: Šventaragio g. 2, Vilnius. Atlieka saugos nuostatuose, saugos reikalavimų apraše, KTPVR nuostatuose nustatytas funkcijas.
7. KTPVR tvarkytojas – valstybės įmonė „Regitra“ (toliau – VĮ „Regitra“), adresas: Liepkalnio g. 97, Vilnius. Atlieka su KTPVR informacijos sauga susijusias saugos nuostatuose, saugos reikalavimų apraše, KTPVR nuostatuose nustatytas funkcijas.
8. KTPVR saugos įgaliotinis (toliau – saugos įgaliotinis) atlieka saugos nuostatuose, saugos reikalavimų apraše, saugumo reikalavimų apraše apibrėžtas saugos įgaliotiniui priskirtas funkcijas. Saugos įgaliotinį skiria VĮ „Regitra“ generalinis direktorius. Saugos įgaliotinis, atlikdamas savo funkcijas, turi teisę duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems KTPVR valdytojo ir KTPVR tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti.
9. KTPVR administratorius atlieka KTPVR priežiūrą, teikia saugos įgaliotiniui pasiūlymus dėl KTPVR saugos priemonių ir atlieka kitas saugos reikalavimų apraše nustatytas funkcijas.
10. Teisės aktai, kuriais vadovaujantis tvarkoma KTPVR informacija ir užtikrinama jos sauga:
10.1. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
10.2. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – klasifikavimo aprašas);
10.3. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – techniniai reikalavimai);
10.4. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (OL 2016 L 119, p.1).;
10.8. kiti KTPVR valdytojo patvirtinti KTPVR saugos dokumentai (KTPVR saugaus elektroninės informacijos tvarkymo taisyklės; KTPVR veiklos tęstinumo valdymo planas; KTPVR naudotojų administravimo taisyklės, KTPVR pokyčių valdymo tvarkos aprašas);
II SKYRIUS
eleKtroninės informacijos SAUGOS VALDYMAS
11. Vadovaujantis klasifikavimo aprašu:
11.1. KTPVR tvarkoma informacija pagal svarbą priskiriama svarbios informacijos kategorijai, remiantis klasifikavimo aprašo 8.2 ir 8.5 papunkčiais;
12. KTPVR saugos priemonės parenkamos, įvertinus galimus rizikos veiksnius, susijusius su KTPVR informacijos vientisumu, konfidencialumu ir prieinamumu. KTPVR saugos priemonių parinkimo principai:
13. Saugos įgaliotinis kasmet organizuoja KTPVR rizikos įvertinimą. KTPVR valdytojo nurodymu gali būti organizuojamas neeilinis rizikos įvertinimas, kurio metu įvertinami rizikos veiksniai, galintys turėti įtakos KTPVR informacijos saugai, jų galima žala, pasireiškimo tikimybė, galimi rizikos valdymo būdai. Svarbiausi rizikos veiksniai:
13.1. subjektyvūs netyčiniai (informacijos tvarkymo klaidos ir apsirikimai, informacijos ištrynimas, klaidingas informacijos teikimas, fiziniai informacijos technologijų sutrikimai, informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kt.);
13.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema informacijai gauti, informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kt.);
13.3. atsitiktinės subjektyvios aplinkybės ir įvykiai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
14. Registro rizikos veiksniams vertinti naudojama kokybinė rizikos vertinimo sistema bei metodika, vadovaujantis Lietuvos Respublikos vidaus reikalų ministerijos metodine priemone – Rizikos analizės vadovu bei Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais. Vertinimas atliekamas remiantis penkiabale veiksnių tikimybės ir rizikos vertinimo sistema:
15. Atlikus rizikos vertinimą, rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kurią tvirtina KTPVR tvarkytojo generalinis direktorius. Patvirtintą rizikos įvertinimo ataskaitos kopiją KTPVR tvarkytojas teikia KTPVR valdytojui. Atsižvelgdamas į rizikos įvertinimo ataskaitą, KTPVR valdytojas tvirtina KTPVR rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
16. Siekiant užtikrinti saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, kasmet organizuojamas KTPVR informacinių technologijų saugos (kibernetinio saugumo) reikalavimų atitikties vertinimas, kurio metu:
16.1. įvertinama realios KTPVR informacijos saugos situacijos ir saugos nuostatų bei kitų saugos politiką įgyvendinančių teisės aktų reikalavimų atitiktis;
16.3. tikrinama ne mažiau kaip 10 procentų KTPVR naudotojų kompiuterinių darbo vietų ir KTPVR tarnybinėse stotyse įdiegtos programos bei jų sąranka (konfigūracija);
16.4. tikrinama KTPVR naudotojams suteiktų teisių tvarkyti KTPVR ir atliekamų funkcijų atitiktis, o prireikus KTPVR naudotojų teisės išplečiamos arba apribojamos;
16.5. įvertinamas pasirengimas užtikrinti KTPVR veiklos tęstinumą, įvykus KTPVR informacijos saugos incidentui;
16.6. organizuojamas ir atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos KTPVR kibernetiniam saugumui, vertinimas, kurio metu trečiosios šalies specialistai kartu su VĮ „Regitra“ ITD darbuotojais ir saugos įgaliotiniu pagal prieš jo atlikimą parengtą pažeidžiamumų nustatymo planą, naudodami techninę ir programinę įrangą, imituoja kibernetines atakas iš vidaus ir iš išorės tinklų, nustato pažeidžiamumus, juos suklasifikuoja pagal rizikos lygį (nereikšmingas, žemas, vidutinis, aukštas), parengia atliktos patikros ataskaitą ir nustatytų trūkumų šalinimo rekomendacijas, kuriomis vadovaujamasi vertinant KTPVR riziką.
17. Atlikus informacinių technologijų saugos (kibernetinio saugumo) atitikties vertinimą, rengiama informacinių technologijų saugos (kibernetinio saugumo) atitikties vertinimo ataskaita bei kibernetinio saugumo būklės gerinimo ir (ar) trūkumų šalinimo planas, kuriame numatomos kibernetinio saugumo užtikrinimo priemonės, teisės aktų atitikties įgyvendinimo priemonės bei kontrolė. Parengti dokumentai pateikiami KTPVR tvarkytojo generaliniam direktoriui tvirtinti.
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
19. KTPVR tarnybinėse stotyse turi veikti tik licencijuota programinė įranga, kuri būtina KTPVR veikimo ir administravimo bei tarnybinės stoties veiksmingumui užtikrinti.
20. Darbo stotyse, kuriose tvarkoma KTPVR informacija, privalo veikti programinė įranga, skirta kovai su kenksminga programine įranga, atnaujinama automatiniu būdu ne rečiau kaip kas tris dienas.
21. KTPVR programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.
22. KTPVR naudojamas VĮ „Regitra“ telekomunikacinis tinklas turi būti atskirtas nuo kitų tinklų tinklo užkarda. Už šio telekomunikacinio tinklo administravimą ir priežiūrą atsako VĮ „Regitra“. Prieiga prie KTPVR turi būti kontroliuojama naudojant filtravimo įrangą. Už filtravimo techninės ir programinės įrangos priežiūrą bei kenkėjų veiklą ribojančios techninės ir programinės įrangos atnaujinimą atsakingas KTPVR administratorius. Išimtiniais atvejais (jei būtina KTPVR veiklai užtikrinti) galimas KTPVR administratoriaus prisijungimas prie KTPVR nuotoliniu būdu per virtualų privatų tinklą.
23. Tiesioginė prieiga prie KTPVR informacijos suteikiama įgyvendinus KTPVR naudotojų autentifikavimo priemones. Tiesioginė prieiga prie KTPVR turi būti užtikrinama automatiniu būdu ne mažiau kaip 96 % laiko visą parą, darbo ir poilsio dienomis.
24. Perduodant KTPVR duomenis automatiniu būdu prijungties režimu (angl. on-line) arba asinchroniniu režimu pagal KTPVR duomenų teikimo sutartis, kuriose nustatytos perduodamų duomenų specifikacija, kopijų skaičius, kitos duomenų perdavimo sąlygos ir tvarka, naudojamas TCP / IP protokolas.
25. KTPVR duomenys, perduodami ne per VĮ „Regitra“ telekomunikacinį tinklą, turi būti šifruojami, o šį duomenų šifravimą privalo užtikrinti VĮ „Regitra“.
26. KTPVR naudotojų nešiojamuosiuose kompiuteriuose, kurie skirti tarnybinėms funkcijoms vykdyti – KTPVR duomenims perduoti kompiuterių tinklais ne savo darbo vietoje, turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas KTPVR naudotojo tapatybės patvirtinimas ir KTPVR duomenų šifravimas.
27. KTPVR naudojamų svetainių, pasiekiamų iš išorinių tinklų, saugos techniniai reikalavimai bei reikalavimai interneto paslaugų teikėjui turi atitikti saugumo reikalavimų aprašo 2 priedo lentelėse „RIS naudojamos svetainės, pasiekiamos iš viešųjų elektroninių ryšių tinklų, saugumas ir kontrolė“ ir „RIS naudojamo interneto saugumas ir kontrolė“ apibrėžtus reikalavimus, taikomus antros kategorijos valstybės informaciniams ištekliams.
28. KTPVR naudojamų svetainių saugos organizaciniai reikalavimai analogiški saugos nuostatuose bei KTPVR informacijos saugą įgyvendinančiuose dokumentuose aprašytoms saugos organizavimo nuostatoms.
29. Bendri KTPVR informacijos kopijų darymo ir atkūrimo reikalavimai:
29.3. informacijos atkūrimo iš atsarginių kopijų testavimas turi būti atliekamas ne rečiau kaip vieną kartą per metus;
29.4. kopijuojant turi būti atliekamas KTPVR informacijos kopijų išsamumo ir vientisumo patikrinimas;
IV SKYRIUS
REIKALAVIMAI PERSONALUI
31. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją informacijos saugos srityje, savo darbe vadovautis saugos nuostatais ir kitais KTPVR saugos politiką įgyvendinančiais teisės aktais. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.
32. Saugos įgaliotiniui kasmet turi būti organizuojami mokymai kibernetinio saugumo klausimais arba sudaromos sąlygos kelti kvalifikaciją individualiai.
33. KTPVR administratorius privalo išmanyti pagrindinius informacijos saugos principus, darbą su duomenų perdavimo tinklais, užtikrinti jų saugą, taip pat išmanyti duomenų bazių administravimo ir priežiūros pagrindus.
34. KTPVR naudotojai turi turėti atitinkamą kvalifikaciją (informacinių technologijų naudotojų kvalifikacijos kursai, pradinis saugaus darbo su informacine sistema (registru) mokymas, Europos kompiuterio vartotojo pažymėjimas ar pan.) ir patirties (darbo su atitinkamomis operacinėmis sistemomis, taikomosiomis programomis ir pan.).
35. KTPVR naudotojams kas trejus metus turi būti rengiami kibernetinio saugumo (informacijos saugos) mokymai, o kasmet įvairiais būdais primenama apie saugos problematiką (pvz., priminimai elektroniniu paštu, intraneto portalas, atmintinės ir pan.).
36. KTPVR administratoriumi ir (arba) naudotoju, atliekančiu KTPVR techninės ir programinės įrangos priežiūros ir duomenų, informacijos ir dokumentų ir (arba) jų kopijų tvarkymo funkcijas, negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat turintis paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo yra praėję mažiau kaip vieni metai. Šie reikalavimai taip pat taikomi ir išorinių paslaugų teikėjo asmenims, teikiantiems KTPVR priežiūros ir (arba) duomenų bei informacijos tvarkymo paslaugas pagal sutartis.
V SKYRIUS
NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
37. KTPVR naudotojai, tvarkantys informaciją, turi būti susipažinę su saugos nuostatais ir kitais KTPVR saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už jų pažeidimus.
38. KTPVR naudotojų supažindinimą su saugos nuostatais ir kitais KTPVR saugos politiką įgyvendinančiais teisės aktais ir atsakomybe už šiuose teisės aktuose nustatytų reikalavimų nesilaikymą organizuoja saugos įgaliotinis. Saugos įgaliotinis raštu informuoja KTPVR naudotojus apie saugos nuostatų pakeitimus ar kitų KTPVR saugos politiką įgyvendinančių teisės aktų priėmimą, pakeitimą ar pripažinimą netekusiais galios.