Informacija apie duomenų saugumo priemones
Informacija apie duomenų saugumo priemones
Valstybinė mokesčių inspekcija (toliau – VMI), siekdama tinkamai apsaugoti tvarkomus fizinių ir juridinių asmenų duomenis bei kitą tvarkomą informaciją, įgyvendina organizacines ir technines duomenų saugumo priemones, vadovaudamasi šiais teisės aktais:
- 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
- Standartu LST ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;
- Lietuvos Respublikos kibernetinio saugumo įstatymu;
- Bendrųjų elektroninės informacijos saugos reikalavimų aprašu 1;
- Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu 2;
- Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu 3.
Organizacinės ir techninės duomenų saugumo priemonės
VMI yra įdiegta informacijos saugumo valdymo sistema, kurios pagalba yra užtikrinamas kokybiškas ir saugus informacijos valdymas VMI, nuolat identifikuojama ir valdoma su informacijos saugumu susijusi rizika, įgyvendinamos tinkamos, geriausią praktiką atitinkančios saugumo priemonės.
Organizuojami atsparumo įsilaužimui vertinimai, kurių metu tikrinamas informacinės sistemos atsparumas įsilaužimui, darbuotojų atsparumas socialinei inžinerijai, išorinio sistemos kompiuterių tinklo perimetras, vidinio kompiuterinio tinklo infrastruktūra, tarnybinių stočių saugumas, sistemos tvarkytojų darbo vietų saugumas ir kt.
Vyksta kibernetinio saugumo pratybos ir informacinių sistemų veiklos tęstinumo valdymo plano išbandymai, siekiant formuoti praktinius kibernetinio saugumo incidento ir informacinių sistemų veiklos tęstinumo valdymo įgūdžius, patikrinti nustatytas procedūras, gerinti bendradarbiavimą.
Atliekami atitikties ir rizikos vertinimai, kurių metu yra tikrinama atitiktis Lietuvos Respublikos teisės aktų ir standartų reikalavimams, tikrinama, ar VMI taikomos organizacinės ir techninės duomenų saugumo priemonės efektyvios, identifikuojamos rizikos, nustatomos saugumo priemonės šioms rizikoms valdyti ir kt.
Atliekamas atitikties Tarptautiniam standartui LST ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ vertinimas, kurį atlieka išorės auditoriai, ir kuris patvirtina, kad visi LST ISO/IEC 27001:2017 standarto reikalavimai yra įgyvendinti, neatitikčių nėra. VMI informacijos saugumo valdymo sistema sertifikuojama nuo 2015 m. išduotas sertifikatas, patvirtinantis, kad VMI duomenų saugumo užtikrinimas atitinka LST ISO/IEC 27001:2017 standarto reikalavimus galioja iki 2024 m. lapkričio 25 d. (Sertifikatas ir VMI sertifikavimo ribos). Daugiau informacijos: Informacijos saugumo valdymo sistemos politika.
VMI yra paskirtas duomenų apsaugos pareigūnas, VMI informacinių sistemų saugos įgaliotinis, taip pat yra ir kiti asmenys / padaliniai, prižiūrintys ir kontroliuojantys duomenų tvarkymo teisėtumą ir saugumą.
1 Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, saugos dokumentų turinio gairių aprašo ir elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“.
2 Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.
3 Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“.