Informacija apie organizacines ir technines duomenų saugumo priemones

TEISĖS AKTUOSE NUSTATYTŲ PRIEMONIŲ ĮGYVENDINIMAS. Valstybinė mokesčių inspekcija prie Lietuvos Respublikos finansų ministerijos (toliau – VMI prie FM), kaip duomenų valdytoja, privalo įgyvendinti Lietuvos Respublikos teisės aktuose nustatytus organizacinius ir techninius duomenų saugumo užtikrinimo reikalavimus.

Pagrindiniai teisės aktai, kuriais vadovaujantis Valstybinėje mokesčių inspekcijoje (toliau – VMI) yra diegiamos organizacinės ir techninės duomenų saugumo priemonės, yra šie:

 • Bendrasis duomenų apsaugos reglamentas 1;
 • Standartas LST ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai";
 • Lietuvos Respublikos kibernetinio saugumo įstatymas;
 • Bendrųjų elektroninės informacijos saugos reikalavimų aprašas 2;
 • Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas 3;
 • Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas 4.

PAPILDOMOS SAUGUMO PRIEMONĖS. Be Lietuvos Respublikos teisės aktuose ir tarptautiniuose standartuose nustatytų reikalavimų įgyvendinimo, VMI prie FM įgyvendina ir papildomas duomenų saugumo priemones. Pavyzdžiui, 2015 m. buvo įgyvendintas projektas „Valstybinės mokesčių inspekcijos prie Lietuvos Respublikos finansų ministerijos informacinių technologijų sauga". Šio projekto metu įsigytos 6 papildomos informacijos saugumo valdymo priemonės: duomenų nutekėjimo prevencijos sistema, administratorių veiksmų kontrolės sistema, duomenų bazių monitoringo sistema, pažeidžiamumų valdymo sistema, tapatybės ir teisių valdymo sistema ir kompiuterizuota informacijos saugumo valdymo sistema.

Šios papildomos saugumo priemonės padeda užtikrinti dar didesnį saugumą, pavyzdžiui, duomenų nutekėjimo prevencijos sistema yra skirta užkirsti kelią bandymams nutekinti duomenis: pagal tam tikras taisykles nuolat fiksuoja, kokia informacija siunčiama elektroniniu paštu ir kt.

Taip pat VMI prie FM, sukūrusi ar modernizavusi elektronines paslaugas, organizuoja atsparumo įsilaužimui vertinimą, kurio metu tikrinamas informacinės sistemos atsparumas įsilaužimui, galutinių naudotojų darbo vietos atsparumas socialinei inžinerijai, išorinio sistemos kompiuterių tinklo perimetras, vidinio kompiuterinio tinklo infrastruktūra, tarnybinių stočių saugumas, sistemos tvarkytojų darbo vietų saugumas ir kt.

VMI prie FM kasmet vyksta kibernetinio saugumo pratybos ir informacinių sistemų veiklos tęstinumo valdymo plano išbandymai, siekiant formuoti praktinius kibernetinio saugumo incidento ir informacinių sistemų veiklos tęstinumo valdymo įgūdžius, patikrinti nustatytas procedūras, gerinti bendradarbiavimą.

ATITIKTIES IR RIZIKOS VERTINIMAI. Atitikties ir rizikos vertinimo metu yra tikrinama atitiktis Lietuvos Respublikos teisės aktų ir standartų reikalavimams, tikrinama, ar VMI taikomos organizacinės ir techninės duomenų saugumo priemonės efektyvios, identifikuojamos rizikos, nustatomos saugumo priemonės šioms rizikoms valdyti ir kt.

Rizikos ir atitikties vertinimai VMI prie FM atliekami kasmet. Kas trejus metus rizikos ir atitikties vertinimus atlieka nepriklausomi ekspertai.

ATITIKTIS ISO 27001 STANDARTUI. Tarptautiniame standarte LST ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai" yra nustatyti pagrindiniai duomenų saugos reikalavimai, keliami duomenų tvarkymo kontrolei, fizinei apsaugai, darbuotojų tikrinimui prieš priimant į darbą, švietimui, mobiliųjų įrenginių politikai, organizacijos turto tvarkymui, informacijos klasifikavimui, duomenų laikmenų priežiūrai, prieigos valdymui, kriptografijai ir kt.

Atitiktis LST ISO/IEC 27001:2017 standarto reikalavimams patvirtina, kad visi LST ISO/IEC 27001:2017 standarto reikalavimai yra įgyvendinti ir nėra nustatytų neatitikčių.

Išorės auditoriai yra įvertinę Valstybinės mokesčių inspekcijos (toliau – VMI) informacijos saugumo valdymo sistemą ir nustatę, kad VMI įgyvendinami duomenų saugos užtikrinimo procesai, taikomos organizacinės ir techninės duomenų saugumo priemonės atitinka LST ISO/IEC 27001:2017 standarto reikalavimus mokesčių administravimo srityje.

UŽ DUOMENŲ SAUGĄ ATSAKINGI ASMENYS.

 • VMI yra paskirtas už duomenų apsaugos kontrolę atsakingas padalinys – Vidaus saugumo skyrius, kuris prižiūri ir kontroliuoja, kad duomenys būtų tvarkomi, vadovaujantis teisės aktų reikalavimais.
 • Įgyvendinant Bendrojo duomenų apsaugos reglamento nuostatas, VMI yra paskirtas duomenų apsaugos pareigūnas ir jo komanda, kurie prižiūri atitiktį Bendrojo duomenų apsaugos reglamento nuostatoms, teikia išvadas, konsultuoja duomenų saugos klausimais ir atlieka kitas Bendrajame duomenų apsaugos reglamente nurodytas funkcijas.
 • VMI taip pat yra paskirtas informacinių sistemų saugos įgaliotinis, kuris atlieka rizikos ir atitikties vertinimus, yra atsakingas už duomenų saugumo priemonių veiksmingumo vertinimą ir kitus procesus.
 • Siekiant užtikrinti efektyvų kibernetinių saugumo incidentų ir informacijos saugumo incidentų valdymą, VMI yra sudarytos kibernetinio saugumo incidentų valdymo ir informacijos saugumo incidentų tyrimo grupės.
 • Apskričių valstybinės mokesčių inspekcijos, kaip duomenų tvarkytojos, yra paskyrusios atsakingus už duomenų saugą asmenis, kurie periodiškai atlieka duomenų tvarkymo teisėtumo kontrolės patikrinimus, vykdo AVMI valstybės tarnautojų ir darbuotojų mokymus ir atlieka kitas funkcijas.
 • Visi VMI valstybės tarnautojai ir darbuotojai, kurie kiekvieną dieną tvarko duomenis, taip pat dalyvauja duomenų saugos užtikrinimo procese.

VALSTYBĖS TARNAUTOJŲ IR DARBUOTOJŲ ŠVIETIMAS IR JŲ KONTROLĖ.

VMI didelis dėmesys skiriamas VMI valstybės tarnautojų ir darbuotojų sąmoningumo duomenų saugos srityje didinimui: nuolat organizuojami mokymai, rengiamos įvairios rekomendacijos duomenų saugumo užtikrinimo klausimais, su darbuotojais dalinamasi aktualia informacija, jiems nuolat teikiamos konsultacijos ir kt.

Taip pat VMI didelis dėmesys skiriamas ir duomenų tvarkymo teisėtumo kontrolei: visi VMI valstybės tarnautojų ir darbuotojų VMI informacinėse sistemose atliekami veiksmai yra fiksuojami; nuolat yra atliekami planiniai ir neplaniniai duomenų tvarkymo teisėtumo patikrinimai, kurių metu tikrinama, ar VMI valstybės tarnautojai ir darbuotojai teisėtai tvarko duomenis. Taip pat VMI yra nustatytos griežtos prieigos valdymo procedūros ir prieigos teisės prie VMI informacinių sistemų suteikiamos tik tiems VMI valstybės tarnautojams ir darbuotojams, kuriems šios prieigos teisės yra būtinos atlikti tarnybines funkcijas.

Be to, visi VMI valstybės tarnautojai ir darbuotojai yra pasirašę konfidencialumo pasižadėjimus, kuriais yra pasižadėję tvarkyti informaciją tik tokios apimties, kuri būtina pareigybės aprašyme nustatytoms funkcijoms vykdyti, laikytis VMI nustatytų informacijos saugos reikalavimų ir kitų teisės aktų nuostatų, reglamentuojančių saugų informacijos tvarkymą, saugoti informacijos paslaptį ir užtikrinti, kad informacija nebus atskleista, perduota ar kitomis priemonėmis nebus sudarytos sąlygos su ja susipažinti asmenims, kurie nėra įgalioti ją tvarkyti ir kt.

 


1 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas)

2 Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, saugos dokumentų turinio gairių aprašo ir elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo"

Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 5 d. nutarimu Nr. 1209 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo"

4 Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo"