Informacija apie organizacines ir technines duomenų saugumo priemones

Informacija apie organizacines ir technines duomenų saugumo priemones

TEISĖS AKTUOSE NUSTATYTŲ PRIEMONIŲ ĮGYVENDINIMAS. Valstybinė mokesčių inspekcija prie Lietuvos Respublikos finansų ministerijos (toliau – VMI prie FM), kaip duomenų valdytoja, privalo įgyvendinti Lietuvos Respublikos teisės aktuose nustatytus organizacinius ir techninius duomenų saugumo užtikrinimo reikalavimus.

Pagrindiniai teisės aktai, kuriais vadovaujantis Valstybinėje mokesčių inspekcijoje yra diegiamos organizacinės ir techninės duomenų saugumo priemonės, yra šie:

  • Bendrasis duomenų apsaugos reglamentas[1];
  • standartas LST ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai";
  • Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;
  • Lietuvos Respublikos kibernetinio saugumo įstatymas;
  • Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;[2]
  • Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas[3].

PAPILDOMOS SAUGUMO PRIEMONĖS. Be Lietuvos Respublikos teisės aktuose nustatytų reikalavimų įgyvendinimo, VMI prie FM įgyvendina ir papildomas duomenų saugumo priemones. Pavyzdžiui, 2015 m. buvo įgyvendintas projektas „Valstybinės mokesčių inspekcijos prie Lietuvos Respublikos finansų ministerijos informacinių technologijų sauga". Šio projekto metu įsigytos 6 papildomos informacijos saugumo valdymo priemonės: duomenų nutekėjimo prevencijos sistema, administratorių veiksmų kontrolės sistema, duomenų bazių monitoringo sistema, pažeidžiamumų valdymo sistema, tapatybės ir teisių valdymo sistema ir kompiuterizuota informacijos saugumo valdymo sistema.

Šios papildomos saugumo priemonės padeda užtikrinti dar didesnį saugumą, pavyzdžiui, duomenų nutekėjimo prevencijos sistema yra skirta užkirsti kelią bandymams nutekinti duomenis: pagal tam tikras taisykles nuolat fiksuoja, kokia informacija siunčiama elektroniniu paštu, kokia informacija yra įrašoma į laikmenas ir kt.

Taip pat VMI prie FM, sukūrusi ar modernizavusi elektronines paslaugas, organizuoja atsparumo įsilaužimui vertinimą, kurio metu tikrinamas informacinės sistemos atsparumas įsilaužimui, galutinių naudotojų darbo vietos atsparumas socialinei inžinerijai, išorinio sistemos kompiuterių tinklo perimetras, vidinio kompiuterinio tinklo infrastruktūra, tarnybinių stočių saugumas, sistemos tvarkytojų darbo vietų saugumas, kt.

ATITIKTIES IR RIZIKOS VERTINIMAI. Atitikties ir rizikos vertinimo metu yra tikrinama atitiktis Lietuvos Respublikos teisės aktų reikalavimams, tikrinama, ar VMI taikomos organizacinės ir techninės duomenų saugumo priemonės efektyvios, identifikuojamos rizikos, nustatomos saugumo priemonės šioms rizikoms valdyti ir kt.

Rizikos ir atitikties vertinimai VMI prie FM atliekami kasmet. Kas trejus metus rizikos ir atitikties vertinimus atlieka nepriklausomi ekspertai.

ATITIKTIS ISO 27001 STANDARTUI. Tarptautiniame standarte LST ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai" yra nustatyti pagrindiniai duomenų saugos reikalavimai, keliami duomenų tvarkymo kontrolei, fizinei apsaugai, darbuotojų tikrinimui prieš priimant į darbą, švietimui, mobiliųjų įrenginių politikai, organizacijos turto tvarkymui, informacijos klasifikavimui, duomenų laikmenų priežiūrai, prieigos valdymui, kriptografijai ir kt.

Atitiktis LST ISO/IEC 27001:2017 standarto reikalavimams patvirtina, kad visi LST ISO/IEC 27001:2017 standarto reikalavimai yra įgyvendinti ir nėra nustatytų neatitikčių.

Išorės auditoriai įvertino VMI prie FM ir nustatė, kad VMI įgyvendinami duomenų saugos užtikrinimo procesai, taikomos organizacinės ir techninės duomenų saugumo priemonės atitinka LST ISO/IEC 27001:2017 standarto reikalavimus mokesčių administravimo srityje.

UŽ DUOMENŲ SAUGĄ ATSAKINGI ASMENYS.

  • VMI yra paskirtas už duomenų apsaugos kontrolę atsakingas padalinys – Vidaus saugumo skyrius, kuris prižiūri ir kontroliuoja, kad duomenys būtų tvarkomi, vadovaujantis teisės aktų reikalavimais.
  • Įgyvendinant Bendrojo duomenų apsaugos reglamento nuostatas, VMI yra paskirti du duomenų apsaugos pareigūnai, kurie prižiūri atitiktį Bendrojo duomenų apsaugos reglamento nuostatoms, teikia išvadas, konsultuoja duomenų saugos klausimais ir atlieka kitas Bendrajame duomenų apsaugos reglamente nurodytas funkcijas.
  • VMI taip pat yra paskirtas saugos įgaliotinis, kuris atlieka rizikos ir atitikties vertinimus, yra atsakingas už duomenų saugumo priemonių veiksmingumo vertinimą ir kitus procesus.
  • Siekiant užtikrinti efektyvų kibernetinių saugumo incidentų valdymą, VMI yra paskirtas kibernetinio saugumo vadovas ir paskirta VMI prie FM valstybės tarnautojų ir darbuotojų komanda, kuri veiktų, įvykus kibernetinio saugumo incidentui.
  • Apskričių valstybinės mokesčių inspekcijos, kaip duomenų tvarkytojos, yra paskyrusios atsakingus už duomenų saugą asmenis, kurie periodiškai atlieka duomenų tvarkymo teisėtumo kontrolės patikrinimus, vykdo AVMI valstybės tarnautojų ir darbuotojų mokymus ir atlieka kitas funkcijas.
  • Visi VMI valstybės tarnautojai ir darbuotojai, kurie kiekvieną dieną tvarko duomenis, taip pat dalyvauja duomenų saugos užtikrinimo procese.

VALSTYBĖS TARNAUTOJŲ IR DARBUOTOJŲ ŠVIETIMAS IR JŲ KONTROLĖ. Visi VMI valstybės tarnautojų ir darbuotojų VMI informacinėse sistemose atliekami veiksmai yra fiksuojami. Nuolat yra atliekami planiniai ir neplaniniai duomenų tvarkymo teisėtumo patikrinimai, kurių metu tikrinama, ar VMI valstybės tarnautojai ir darbuotojai teisėtai tvarko duomenis. VMI labai didelis dėmesys skiriamas tiek duomenų tvarkymo teisėtumo kontrolei, tiek VMI valstybės tarnautojų ir darbuotojų sąmoningumo didinimui: nuolat organizuojami mokymai, rengiamos įvairios rekomendacijos duomenų saugumo užtikrinimo klausimais ir kt. Taip pat VMI yra nustatytos giežtos prieigos valdymo procedūros ir prieigos teisės prie VMI informacinių sistemų suteikiamos tik tiems VMI valstybės tarnautojams ir darbuotojams, kuriems šios prieigos teisės yra būtinos atlikti tarnybines funkcijas. Be to, VMI valstybės tarnautojai ir darbuotojai yra pasirašę konfidencialumo pasižadėjimus.


[1] 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB

[2] Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, saugos dokumentų turinio gairių aprašo ir elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo"

[3] Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 5 d. nutarimu Nr. 1209 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo"