2016 m. gegužės 30 d., pirmadienis

Baisi situacija .......



Vidaus reikalų ministras:
„Užsienio partneriai sako, kad Lietuvoje yra didžiausios bėdos - tokio chaoso ir betvarkės būti negali. 
Pagal kibernetinio saugumo įstatymą funkcijos yra išmėtytos trims ministerijoms - Krašto apsaugos, Susisiekimo ir Vidaus reikalų.
 Neaišku, kas formuoja šios srities politiką. 
Todėl turime kalbėti apie vieną vienintelį nacionalinį kibernetinio saugumo centrą ir visus resursus telkti ten.
 Amerikiečiai jau atvirai sako, kad pas jus yra baisi situacija ir tai tęstis negali“.
---------------------------------------------------------
Kibernetinio saugumo įstatymas

KIBERNETINIO SAUGUMO POLITIKOS FORMAVIMAS IR ĮGYVENDINIMAS

4 straipsnis. Kibernetinio saugumo politikos formavimo ir įgyvendinimo institucijos

1. Kibernetinio saugumo politikos strateginius tikslus ir jiems pasiekti būtinas priemones nustato Lietuvos Respublikos Vyriausybė (toliau – Vyriausybė).

2. Kibernetinio saugumo politiką formuoja, jos įgyvendinimą organizuoja, kontroliuoja ir koordinuoja Lietuvos Respublikos krašto apsaugos ministerija (toliau – Krašto apsaugos ministerija). Lietuvos Respublikos vidaus reikalų ministerija (toliau – Vidaus reikalų ministerija), Nacionalinis kibernetinio saugumo centras, Lietuvos Respublikos ryšių reguliavimo tarnyba (toliau – Ryšių reguliavimo tarnyba), Valstybinė duomenų apsaugos inspekcija ir Policijos departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Policijos departamentas) formuojant kibernetinio saugumo politiką dalyvauja tiek, kiek šiame įstatyme nustatytoms funkcijoms atlikti reikia nustatyti viešojo administravimo subjektų, valdančių valstybės informacinius išteklius, ypatingos svarbos informacinės infrastruktūros valdytojų, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų ir elektroninės informacijos prieglobos paslaugų teikėjų veiklos teisinį reguliavimą.
3. Kibernetinio saugumo politiką pagal kompetenciją įgyvendina Vidaus reikalų ministerija, Nacionalinis kibernetinio saugumo centras, Ryšių reguliavimo tarnyba, Valstybinė duomenų apsaugos inspekcija ir Policijos departamentas.

5 straipsnis. Vyriausybės įgaliojimai kibernetinio saugumo srityje

Vyriausybė:
1) sudaro Kibernetinio saugumo tarybą ir tvirtina jos reglamentą, tarybos narių skaičių ir paveda krašto apsaugos ministrui nustatyti tarybos personalinę sudėtį;
2) tvirtina Ypatingos svarbos informacinės infrastruktūros identifikavimo metodiką ir ypatingos svarbos informacinę infrastruktūrą ir (arba) šios infrastruktūros valdytojų sąrašą;
3) tvirtina organizacinius ir techninius kibernetinio saugumo reikalavimus, taikomus ypatingos svarbos informacinei infrastruktūrai, organizacinius ir techninius kibernetinio saugumo reikalavimus, taikomus valstybės informaciniams ištekliams;
4) tvirtina Nacionalinį kibernetinių incidentų valdymo planą;
5) tvirtina tipinius kibernetinių incidentų valdymo ypatingos svarbos informacinėse infrastruktūrose planus;
6) atlieka kitas Lietuvos Respublikos teisės aktuose nustatytas funkcijas kibernetinio saugumo užtikrinimo srityje.



-------------------------------------------------------
2016-02-05. Sukurta Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistema (ARSIS)
arsisInformatikos ir ryšių departamentas sėkmingai įgyvendino 2014-2015 m. valstybės investicijų projektą „Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos (ARSIS) įdiegimas“.

Vadovaujantis Elektroninės informacijos saugos (kibernetinio saugumo) plėtros 2011–2019 m. programos, patvirtintos Lietuvos Respublikos Vyriausybės 2011 m. birželio 29 d. nutarimu Nr. 796, nuostatomis, buvo sukurta ir įdiegta Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistema (ARSIS), kurios pagalba galima vykdyti nuolatinę, išsamią, visaapimančią ir efektyvią valstybės informacinių sistemų ir registrų atitikties teisės aktų nustatytiems elektroninės informacijos saugos reikalavimams stebėseną.

Ši sistema sukurta kaip įrankis Vidaus reikalų ministerijai informacinių technologijų priemonėmis vykdyti Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 5 str. 4 d. ir 43¹ str. 1 d. nustatytas funkcijas: organizuoti informacinių technologijų priemonių valdymo ir saugos vertinimą; rinkti ir analizuoti informaciją apie institucijų valdomų valstybės informacinių išteklių saugą ir tam naudojamas lėšas; atlikti saugos reikalavimų laikymosi priežiūrą, vykdyti valstybės informacinių išteklių atitikties Vyriausybės nustatytiems elektroninės informacijos saugos reikalavimams stebėseną ir remiantis objektyviais duomenimis formuoti politiką valstybės informacinių išteklių saugos srityje.

Rengiant investicijų projektą ir analizuojant valstybės informacinių išteklių saugos valdymo praktiką, buvo konstatuota, kad informacinių sistemų ir registrų informacinių technologijų saugos atitikties bei rizikos vertinimų tikslumas ir pagrįstumas paliekamas vertintojo nuožiūrai, vertinimų organizavimas ir rastų neatitikčių šalinimas dažniausiai vidinis institucijų reguliavimo ir kontrolės dalykas, nekontroliuojama vertinimų kokybė, rezultatai nesisteminami, nestebima pažanga. Siekiant kokybiškai pagerinti elektroninės informacijos saugos valdymo būklę, buvo parengtas ARSIS projektas, patvirtinti sistemos nuostatai, inicijuoti būtini teisinio reglamentavimo pokyčiai.

Naujoji stebėsenos sistema ARSIS sudaro sąlygas efektyviai rinkti, tvarkyti, sisteminti ir analizuoti valstybės informacinių išteklių atitikties saugos reikalavimams, taip pat rizikų valdymo informaciją, būtiną Vidaus reikalų ministerijos funkcijų vykdymui, kontroliuoti jos kokybę, o šios informacijos teikėjams – valstybės informacinių išteklių valdytojams ir tvarkytojams – palengvina jų valdomų ir tvarkomų informacinių sistemų, registrų saugos užtikrinimo funkcijų vykdymą bei suteikia prieigą prie žinių bazių, apimančių visą spektrą informacijos saugos sričiai aktualios problematikos – rizikos veiksnių, apsaugos priemonių, teisės aktų reikalavimų, saugos standartų, metodinių rekomendacijų ir kt.

ARSIS funkcionalumas ir sukaupti duomenys padės efektyviau planuoti biudžeto lėšas, skiriamas valstybės informacinių išteklių saugai, sumažinti elektroninės informacijos saugos incidentų skaičių ir patiriamos žalos dydį, taip pat padės ugdyti (plėsti) valstybės, žinybinių registrų, valstybės ir kitų informacinių sistemų saugos įgaliotinių, saugos priemonių administratorių kompetencijas.

Atskirai pažymėtina, kad ARSIS funkcionalumas leidžia lanksčiai, be sudėtingų programavimo darbų, tik papildant atitinkamas duomenų struktūras, stebėti valstybės informacinių išteklių atitiktį bet kuriai reikalavimų visumai ar grupei, įskaitant kibernetinio saugumo reikalavimus, kurie yra dar tik rengiami Krašto apsaugos ministerijos, taip pat ypatingos svarbos infrastruktūros objektų atitiktį jiems keliamiems reikalavimams.

Iškeltų tikslų, kuriems įgyvendinti buvo sukurta ARSIS, sėkmingas įgyvendinimas neatsiejamas nuo valstybės informacinių išteklių valdytojų ir tvarkytojų glaudaus bendradarbiavimo su ARSIS valdytoja – Vidaus reikalų ministerija. Nuo 2015 m. sausio 1 d. įsigaliojusios Valstybės informacinių išteklių valdymo įstatymo redakcijos 43¹ str. 2 dalyje įtvirtinta pareiga valstybės ir kitų informacinių sistemų ir registrų valdytojams ARSIS nuostatų nustatyta tvarka teikti duomenis apie organizacinių ir techninių elektroninės informacijos saugos reikalavimų įgyvendinimą savo valdomuose valstybės informaciniuose ištekliuose.

Siekdamas apmokyti valstybės informacinių sistemų ir registrų valdytojų bei tvarkytojų atstovus – valstybės tarnautojus ir darbuotojus, atsakingus už saugos reikalavimų įgyvendinimą, naudotis stebėsenos sistema ARSIS, Informatikos ir ryšių departamentas organizavo specializuotus mokymus, kurių metu buvo apžvelgti elektroninės informacijos saugą reglamentuojantys teisės aktai, taikytinos gerosios praktikos, rizikos ir informacinių technologijų saugos atitikties vertinimo metodika bei praktiniai duomenų teikimo ir apdorojimo aspektai. 

2015 m. lapkričio 18 – 20 d. mokymuose dalyvavo 39 valstybės institucijų atstovai, saugos įgaliotiniai. Papildomai 2015 m. gruodžio 2-4 d. buvo organizuoti stebėsenos sistemos ARSIS naudotojų, kurie vykdys valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėseną, mokymai, kurių metu apžvelgti ARSIS vidiniams naudotojams teikiamo funkcionalumo aspektai, padėta pasirengti valstybės mastu vykdyti informacinių išteklių saugos atitikties stebėseną.



.

Komentarų nėra:

Rašyti komentarą