Vidaus reikalų ministerijos informacinių išteklių valdymas

Parengtas ir patvirtintas Informatikos ir ryšių departamento teikiamų IT paslaugų katalogas ir nustatytas jų teikimo lygis.

Vidaus reikalų ministerija 2017-01-19 raštu Nr. 1D-352(6) pateikė informaciją, kad atlikta Naudotojų administravimo posistėmės ADMIN III slaptažodžių analizė, taikomoji programinė įranga modifikuota ir ištestuota, atlikti pakeitimai: minimalaus slaptažodžio ilgis - 8 simboliai, slaptažodžio sudarymui galima naudoti visus simbolius matomus klaviatūroje. Papildomai 2017-01-24 el. laišku pateikta: naudotojų administravimo posistemės ADMIN III slaptažodžių sudarymo modifikavimo paslaugos užsakymas (paraiška) ir paslaugų priėmimo-perdavimo aktas; VRIS CDB naudotojų administravimo taisyklės. Įvertinus informaciją, rekomendacija laikoma įgyvendinta.

2017-02-03 Vidaus reikalų ministerijos atstovė el. laišku pateikė 2017-02-03 LR vidaus reikalų ministro įsakymą Nr. 1V-97 „Dėl Lietuvos Respublikos vidaus reikalų ministro 2009 m. gegužės 21 d. įsakymo Nr. 1V-213 „Dėl Informacinės visuomenės plėtros vidaus reikalų sistemoje koordinavimo komiteto sudarymo ir informacinės visuomenės plėtros vidaus reikalų sistemoje prioritetų nustatymo“ pakeitimo“. Sudarytas Informacinės visuomenės plėtros vidaus reikalų sistemoje koordinavimo komitetas. Koordinavimo grupė sudaryta iš atskirų departamentų ir padalinių atstovų, įskaitant Informatikos ir ryšių, Žmogiškųjų išteklių politikos, Teisės departamentų, Elektroninės valdžios ir saugos politikos skyriaus, stebėtojo teisėmis komiteto posėdžiuose dalyvauja Vidaus audito skyriaus atstovai. Nustatyti informacinės visuomenės plėtros vidaus reikalų sistemoje prioritetai, kurie apima ir vidaus reikalų sistemos informacinių sistemų ir registrų saugos politikos įgyvendinimo koordinavimą (2.7 p.). Pavesta komitetui, be kita ko, koordinuoti informacinių išteklių valdymą, IRT paslaugų teikimą ir saugą vidaus reikalų sistemoje (3.1 p.); analizuoti informacinių išteklių valdymą, IRT paslaugoms ir saugai vidaus reikalų sistemoje skirtų lėšų panaudojimo klausimus, pagal kompetenciją juos spręsti arba teikti siūlymus dėl jų sprendimo vidaus reikalų ministrui (3.2 p.); teikti siūlymus vidaus reikalų ministrui dėl informacinių išteklių valdymo, IRT paslaugas ir saugą reguliuojančių teisės aktų parengimo (3.3 p.); koordinuoti elektroninės informacijos saugos priemonių ir metodų taikymą informacinėms sistemoms ir registrams (3.5 p.). Atsižvelgiant į aukščiau išdėstytą informaciją, vertinama, kad rekomendacija kaip įgyvendinta. 2017-02-03 Vidaus reikalų ministerijos atstovė el. laišku pateikė 2017-02-03 LR vidaus reikalų ministro įsakymą Nr. 1V-97 „Dėl Lietuvos Respublikos vidaus reikalų ministro 2009 m. gegužės 21 d. įsakymo Nr. 1V-213 „Dėl Informacinės visuomenės plėtros vidaus reikalų sistemoje koordinavimo komiteto sudarymo ir informacinės visuomenės plėtros vidaus reikalų sistemoje prioritetų nustatymo“ pakeitimo“. Sudarytas Informacinės visuomenės plėtros vidaus reikalų sistemoje koordinavimo komitetas. Koordinavimo grupė sudaryta iš atskirų departamentų ir padalinių atstovų, įskaitant Informatikos ir ryšių, Žmogiškųjų išteklių politikos, Teisės departamentų, Elektroninės valdžios ir saugos politikos skyriaus, stebėtojo teisėmis komiteto posėdžiuose dalyvauja Vidaus audito skyriaus atstovai. Nustatyti informacinės visuomenės plėtros vidaus reikalų sistemoje prioritetai, kurie apima ir vidaus reikalų sistemos informacinių sistemų ir registrų saugos politikos įgyvendinimo koordinavimą (2.7 p.). Pavesta komitetui, be kita ko, koordinuoti informacinių išteklių valdymą, IRT paslaugų teikimą ir saugą vidaus reikalų sistemoje (3.1 p.); analizuoti informacinių išteklių valdymą, IRT paslaugoms ir saugai vidaus reikalų sistemoje skirtų lėšų panaudojimo klausimus, pagal kompetenciją juos spręsti arba teikti siūlymus dėl jų sprendimo vidaus reikalų ministrui (3.2 p.); teikti siūlymus vidaus reikalų ministrui dėl informacinių išteklių valdymo, IRT paslaugas ir saugą reguliuojančių teisės aktų parengimo (3.3 p.); koordinuoti elektroninės informacijos saugos priemonių ir metodų taikymą informacinėms sistemoms ir registrams (3.5 p.). Atsižvelgiant į aukščiau išdėstytą informaciją, vertinama, kad rekomendacija kaip įgyvendinta.

2017-09-15 Vidaus reikalų ministerija informavo, kad įgyvendinta ataskaitos 1 priedo 2 rekomendacija. Informatikos ir ryšių departamento prie Vidaus reikalų ministerijos direktorius 2017 m. balandžio 3 d. įsakymu Nr. 5V-30 „Dėl Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2006 m. gruodžio 29 d. įsakymo Nr. 5V-91 „Dėl kompiuterizuotos darbo vietos priežiūros taisyklių pavirtinimo“ pakeitimo“ pakeistas Kompiuterizuotos darbo vietos priežiūros taisyklių 2 priedas ,,Kompiuterizuotose darbo vietose, kurių priežiūrą vykdo Informatikos ir ryšių departamentas LR VRM, leistinos programines įrangos sąrašas", kuriame aktualizuotas bazinės ir papildomos programines įrangos sąrašas.

2017-12-05 iš VRM gauta informacija, kad yra patvirtintas Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir informacinių sistemų pokyčių valdymo tvarkos aprašas Lietuvos Respublikos vidaus reikalų ministro 2017 m. lapkričio 10 d. įsakymu Nr. 1V-773 „Dėl Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir informacinių sistemų pokyčių valdymo tvarkos aprašo patvirtinimo“. Rekomendacijos būklė - Įgyvendinta.

2017-12-05 VRM informavo, kad Lietuvos Respublikos vidaus reikalų ministro 2017 m. spalio 30 d. įsakymu Nr. 1V-752 „Dėl Lietuvos Respublikos vidaus reikalų ministro 2014 m. gruodžio 1 d. įsakymo Nr. 1V-820 „Dėl Nacionalinės elektroninės atpažinties informacinės sistemos nuostatų patvirtinimo“ pakeitimo“ paskirtas Nacionalinės elektroninės atpažinties informacinės sistemos (NETAIS) saugos įgaliotinis. Taip pat 2017-09-15 VRM informavo, kad informatikos ir ryšių departamento prie LR VRM direktoriaus 2017 m. vasario 1 d. įsakymu Nr. 5V-11 „Dėl sertifikatų valdymų informacinės saugos įgaliotinio ir administratoriaus skyrimo“ paskirtas Sertifikatų valdymo (SVIS) saugos įgaliotinis ir administratorius. Rekomendacijos būklė - Įgyvendinta

2017-10-20 VRM informavo, kad yra parengtas Sertifikatų valdymų informacinės sistemos informacinių technologijų saugos atitikties rizikos vertinimų metu pastebėtų trūkumų šalinimo ir rizikos valdymo priemonių planas, patvirtintas LR vidaus reikalų ministro 2017 m. balandžio 3 d. įsakymu Nr. 248, taip pat Techninių kibernetinio saugumo reikalavimų įgyvendinimo VRM valdomuose ypatingos svarbos informacinėse infrastruktūruose ir valstybės informaciniuose ištekliuose priemonių planas, patvirtintas LR vidaus reikalų ministro 2017 m. rugsėjo 20 d. įsakymu Nr. 1V-650. Pastarasis priemonių planas taikomas visoms VRM valdomoms informacinėms sistemoms. Rekomendacijos būklė - Įgyvendinta

2017-11-15 Įgyvendinta ataskaitos priemonė "Atlikus informacinių technologijų saugos atitikties vertinimą, ministerijos vadovybei teikti tvirtinti trūkumų šalinimo planus". Parengti ir vidaus reikalų ministro patvirtinti minėti trūkumai šalinimo planai, kurie apima tiek rizikos valdymo priemones, tiek elektroninės informacijos saugos bei kibernetinio saugumo trūkumų (neatitikčių) šalinimo priemones: Sertifikatų valdymo informacines sistemos informacinių technologijų saugos atitikties ir rizikos vertinimų metu pastebėtų trūkumų šalinimo ir rizikos valdymo priemonių planas, patvirtintas Lietuvos Respublikos vidaus reikalų ministro 2017 m. balandžio 3 d. įsakymu Nr. 248, Techninių kibernetinio saugumo reikalavimų įgyvendinimo Vidaus reiklų ministerijos valdomuose ypatingos svarbos informacinėse infrastruktūrose ir valstybės informaciniuose ištekliuose priemonių planas, patvirtintas Lietuvos Respublikos vidaus reikalų ministro 2017 m. rugsėjo 20 d. įsakymu Nr. 1V-650. Vidaus reikalų viceministras. Rekomendacijos būklė - Įgyvendinta.

Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymu Nr. 1V-883 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo“ patvirtinti Vidaus reikalų ministerijos valdomų bei Informatikos ir ryšių departamento tvarkomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatai, taikomi visiems šiame punkte nurodytiems registrams ir informacinėms sistemoms. Rekomendacijos būklė keičiama - Įgyvendinta.

LR VRM 2017 m . kovo 24 d. įsakymu Nr. 1V-215 "Dėl Sertifikatų valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Sertifikatų valdymo informacinės sistemos veiklos tęstinumo valdymo plano ir Sertifikatų valdymo informacinės sistemos naudotojų administravimo taisyklių patvirtinimo" patvirtinti Sertifikatų valdymo informacinės sistemos saugos politiką įgyvendinantys dokumentai. Ir Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymu Nr. 1V-883 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo“ patvirtinti Vidaus reikalų ministerijos valdomų bei Informatikos ir ryšių departamento tvarkomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatai taikomi šiame punkte nurodytoms informacinėms sistemoms. Rekomendacijos būklė - Įgyvendinta.

Informatikos ir ryšių departamento paskirti saugos įgaliotiniai atliko visų priskirtų informacinių sistemų ir registrų rizikos vertinimą: VRIS, N.SIS, N.VIS, SVIS, ANR, ĮKNR, IBPS, PASIS, parengtos rizikos įvertinimo ataskaitos. Rekomendacijos būklė - įgyvendinta.

Persvarstyti visų Informatikos ir ryšių departamento tvarkomų informacinių sistemų ir registrų saugos dokumentai. Parengti ir patvirtinti bendri Vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų, kurių tvarkytojas yra Informatikos ir ryšių departamentas, duomenų saugos nuostatai (Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymu Nr. 1V-883 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo“). Parengtas Techninių kibernetinio saugumo reikalavimų įgyvendinimo Vidaus reikalų ministerijos valdomuose ypatingos svarbos informacinėse infrastruktūrose ir valstybės informaciniuose ištekliuose priemonių planas, patvirtintas Lietuvos Respublikos vidaus reikalų ministro 2017 m. rugsėjo 20 d. įsakymu Nr. 1V-650. Parengtas Kibernetinių incidentų valdymo Vidaus reikalų ministerijos valdomose ypatingos svarbos informacinėse infrastruktūrose planas, patvirtintas Lietuvos Respublikos vidaus reikalų ministro 2017 m. rugsėjo 20 d. įsakymu Nr. 1V-651. Rekomendacijos būklė - Įgyvendinta.

Įgyvendinant rekomendaciją, atskirtos el. valdžios ir el. saugos politikos formavimo ir jos įgyvendinimo (t. y. IS valdytojo) funkcijos: - Lietuvos Respublikos kibernetinio saugumo įstatymo Nr. XII-1428 4, 6 str. pakeitimo ir 7 straipsnio pripažinimo netekusiu galios įstatymo (Nr. XIII-798), 4 str. nurodyta, kad kibernetinio saugumo politiką formuoja, jos įgyvendinimą organizuoja, kontroliuoja ir koordinuoja Lietuvos Respublikos krašto apsaugos ministerija. - Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo Nr. XI-1807 5, 6, 43 ir 431 str. pakeitimo įstatymo (Nr. XIII-797) 5 str. nurodyta, kad Vidaus reikalų ministerija formuoja politiką elektroninės valdžios srityje. Rekomendacija įgyvendinta.

Įgyvendinant rekomendaciją, buvo atnaujinta Vidaus reikalų ministerijos valdomų informacinių išteklių IT pokyčių valdymo tvarka, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2017 m. lapkričio 10 d. įsakymu Nr. 1V-773 „Dėl Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir informacinių sistemų pokyčių valdymo tvarkos aprašo patvirtinimo“. Rekomendacija įgyvendinta.

Įgyvendinant ataskaitos 3 priedo 6 priemonę „Įteisinti Informatikos ir ryšių departamente naudojamą ADA darbo vietą“, Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2018 m. lapkričio 6 d. įsakymu Nr. 5V-69 „Dėl Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos įslaptintos informacijos tvarkymo sistemos nuostatų patvirtinimo“ patvirtinti Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos įslaptintos informacijos tvarkymo sistemos nuostatai, kuriuose įteisinta Informatikos ir ryšių departamente naudojama ADA darbo vieta. Priemonė įgyvendinta.

Įgyvendinant ataskaitos 3 priedo 21 priemonę, Vidaus reikalų ministerija 2017-01-19 raštu Nr. 1D-352 (6) pateikė informaciją, kad Informatikos ir ryšiu departamento direktoriaus 2017-01-05 įsakymu Nr. 5V-6 patvirtintas Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos administruojamų informacinių sistemų ir registrų elektroninės informacijos atsarginių kopijų darymo, saugojimo ir atkūrimo tvarkos aprašas, kuris pateiktas 2017-01-24 el. laišku. 2018-10-01 Vidaus reikalų ministerija informavo, kad šiuo metu įsigyti du įrenginiai, o 2019-05-16 pateikė informaciją, kad, įvykdžius duomenų centro patalpų remontą, vienas atsarginių kopijų saugojimo įrenginys perkeltas į rezervinę serverinę. Priemonė įgyvendinta.

Įgyvendinant ataskaitos 3 priedo 24 priemonę, 2018-10-01 Vidaus reikalų ministerija informavo, kad 77 proc. IS, registrų bei naudotojų sąsajų aplikacijų naudoja HTTPS (angl. Hyper Text Transfer Protocol Secure ) protokolą, kuris užtikrina siunčiamų duomenų šifravimą bei dešifravimą. Vidaus reikalų ministerija 2019-05-16 informavo, kad visos numatytos aplikacijos naudoja HTTPS protokolą. Priemonė įgyvendinta.

Įgyvendinant priemonę, Lietuvos Respublikos vidaus reikalų ministro 2019 m. gruodžio 18 d. įsakymu Nr.1V-1009, patvirtintas Lietuvos Respublikos vidaus reikalų ministrui pavestų valdymo sričių 2019–2025 metų informacinių technologijų strateginių plėtros krypčių aprašas ir Lietuvos Respublikos vidaus reikalų ministrui pavestų valdymo sričių 2019–2025 metų informacinių technologijų strateginių plėtros krypčių įgyvendinimo veiksmų planas. Priemonė įgyvendinta.

Įgyvendinant rekomendaciją, Lietuvos Respublikos vidaus reikalų ministro 2019 m. gruodžio 18 d. įsakymu Nr.1V-1009 patvirtintas Lietuvos Respublikos vidaus reikalų ministrui pavestų valdymo sričių 2019–2025 metų informacinių technologijų strateginių plėtros krypčių aprašas ir Lietuvos Respublikos vidaus reikalų ministrui pavestų valdymo sričių 2019–2025 metų informacinių technologijų strateginių plėtros krypčių įgyvendinimo veiksmų planas. Rekomendacija įgyvendinta.

Paskirti Vidaus reikalų ministerijos valdomų informacinių išteklių (sistemų UR, IBPS, VRPR, KTPR, KTPVR, SVIS, ARSIS, NETAIS, ATPR, N.VSIS,IAŽR, HDR, N.SIS) duomenų valdymo įgaliotiniai. Rekomendaciją laikome iš dalies įgyvendinta, kadangi nepaskirtas VRIP duomenų valdymo įgaliotinis. Stebėseną baigiame, o problemai išspręsti reikalingų pokyčių stebėsena tęsiama strateginio tyrimo metu analizuojant atitinkamos viešojo sektoriaus srities aplinką.

Įgyvendinant rekomendaciją, buvo paskirti duomenų valdymo įgaliotiniai 12 iš 13 ministerijos valdomų informacinių išteklių (N.VIS, N.SIS, IAŽR, HDR, VRPR, IBPS, UR, KTPR, KTPVR, SVIS, ARSIS, ANR). Rekomendaciją laikome iš dalies įgyvendinta, kadangi nepaskirtas VRIP duomenų valdymo įgaliotinis. Stebėseną baigiame, o problemai išspręsti reikalingų pokyčių stebėsena tęsiama strateginio tyrimo metu analizuojant atitinkamos viešojo sektoriaus srities aplinką.

Parengtas Vidaus reikalų informacinių išteklių informacijos architektūros modelio projektas, kuris derinamas su suinteresuotomis šalimis. Rekomendaciją laikome iš dalies įgyvendinta ir stebėseną baigiame, o problemai išspręsti reikalingų pokyčių stebėsena tęsiama strateginio tyrimo metu analizuojant atitinkamos viešojo sektoriaus srities aplinką.

Ne rečiau, kaip nustatyta teisės aktuose, stebima ir vertinama informacinių sistemų ir registrų vidaus kontrolės būklė: 2019 m. Vidaus reikalų ministerijos Centralizuotas vidaus audito skyrius pradėjo vidaus reikalų ministro valdymo srityse taikomų informacinių technologijų vidaus auditą, 2020-2021 m. buvo įsigytos Informatikos ir ryšių departamento informacinių technologijų Informacijos saugumo valdymo sistemos vidaus audito paslaugos, 2020-2022 m. nepriklausomų auditorių atliktas atitikties standarto ISO/IEC 27001:2013 ir LST EN ISO/IEC 27001:2017 reikalavimams priežiūros auditas (sertifikatas Nr. TIC 15 121 19119 galioja iki 2025-06-23).

Ne rečiau, kaip nustatyta teisės aktuose, stebima ir vertinama informacinių sistemų ir registrų vidaus kontrolės būklė: 2019 m. Vidaus reikalų ministerijos Centralizuotas vidaus audito skyrius pradėjo vidaus reikalų ministro valdymo srityse taikomų informacinių technologijų vidaus auditą, 2020-2021 m. buvo įsigytos Informatikos ir ryšių departamento informacinių technologijų Informacijos saugumo valdymo sistemos vidaus audito paslaugos, 2020-2022 m. nepriklausomų auditorių atliktas atitikties standarto ISO/IEC 27001:2013 ir LST EN ISO/IEC 27001:2017 reikalavimams priežiūros auditas (sertifikatas Nr. TIC 15 121 19119 galioja iki 2025-06-23).

Rekomendacijai įgyvendinti numatytos 4 priemonės iš kurių 3 laikomos įgyvendintomis, 1 iš dalies įgyvendinta. Įgyvendinant rekomendaciją buvo atnaujinti Lietuvos nacionalinės Šengeno informacinės sistemos (N.SIS) ir Sertifikatų valdymo informacinės sistemos (SVIS) nuostatai, parengtas Vidaus reikalų informacinių išteklių aprašas, parengtas ir pateiktas derinimui Vidaus reikalų integracinės platformos (VRIP) nuostatų projektas. Rekomendaciją laikome iš dalies įgyvendinta ir stebėseną baigiame, o problemai išspręsti reikalingų pokyčių stebėsena tęsiama strateginio tyrimo metu analizuojant atitinkamos viešojo sektoriaus srities aplinką.

Atnaujinti SVIS, N.VIS ir N.SIS nuostatai. Taip pat parengtas VRIP nuostatų projektas.Rekomendaciją laikome iš dalies įgyvendinta ir stebėseną baigiame, o problemai išspręsti reikalingų pokyčių stebėsena tęsiama strateginio tyrimo metu analizuojant atitinkamos viešojo sektoriaus srities aplinką.

Įgyvendinant rekomendaciją parengta SVIS specifikacija, N.VIS, N.SIS, ADIS specifikacijų projektai. Rekomendaciją laikome iš dalies įgyvendinta ir stebėseną baigiame, o problemai išspręsti reikalingų pokyčių stebėsena tęsiama strateginio tyrimo metu analizuojant atitinkamos viešojo sektoriaus srities aplinką.

Įteisinti N.SIS, N.VIS, SVIS, PASIS. Rekomendaciją laikome iš dalies įgyvendinta, kadangi nėra pilnai įteisinti ADIS ir VRIP (parengtas VRIP nuostatų projektas, ADIS specifikacijos projektas). Stebėseną baigiame, o problemai išspręsti reikalingų pokyčių stebėsena tęsiama strateginio tyrimo metu analizuojant atitinkamos viešojo sektoriaus srities aplinką.