Suvestinė redakcija nuo 2020-05-19

 

Įsakymas paskelbtas: TAR 2017-01-09, i. k. 2017-00638

 

Nauja redakcija nuo 2020-05-19:

Nr. 3-328, 2020-05-18, paskelbta TAR 2020-05-18, i. k. 2020-10511

 

LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRAS

 

ĮSAKYMAS

DĖL NACIONALINĖS ELEKTRONINIŲ SIUNTŲ PRISTATYMO, NAUDOJANT PAŠTO TINKLĄ, INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2017 m. sausio 9  d. Nr. 3-9

Vilnius

 

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 19 ir 26 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 6 punktu:

1. T v i r t i n u Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos duomenų saugos nuostatus (pridedama).

2. P a v e d u valstybės įmonei Registrų centrui:

2.1. paskirti Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos saugos įgaliotinį (-ius), administratorius ir asmenį ar padalinį, atsakingą už kibernetinio saugumo organizavimą ir užtikrinimą;

2.2. per 6  mėnesius nuo šio įsakymo įsigaliojimo parengti ir pateikti Lietuvos Respublikos susisiekimo ministerijai Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos saugos politikos įgyvendinamųjų  dokumentų projektus.

 

 

 

Susisiekimo ministras                                                              Rokas Masiulis

 

 

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2016 m. gruodžio 30 d. raštu Nr. 1D-7559

 

 

 

PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro

2017 m. sausio 9 d. įsakymu Nr. 3-9

(Lietuvos Respublikos susisiekimo ministro 

2020 m. gegužės 18 d. įsakymo Nr. 3-328 redakcija)

 

 

Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos (toliau – E. siuntų pristatymo sistema) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – saugos politika), organizacines, technines, programines ir teisines priemones, kurios užtikrina saugų E. siuntų pristatymo sistemos elektroninės informacijos tvarkymą.

2.  Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), apibrėžtas sąvokas.

3.  E. siuntų pristatymo sistemos elektroninės informacijos saugos politika įgyvendinama pagal E. siuntų pristatymo sistemos valdytojo tvirtinamus E. siuntų pristatymo sistemos saugos politikos įgyvendinamuosius dokumentus (toliau – saugos politikos įgyvendinamieji dokumentai):

3.1. E. siuntų pristatymo sistemos saugaus elektroninės informacijos tvarkymo taisykles;

3.2. E. siuntų pristatymo sistemos veiklos tęstinumo valdymo planą;

3.3. E. siuntų pristatymo sistemos naudotojų administravimo taisykles.

4.  E. siuntų pristatymo sistemos elektroninės informacijos saugos ir kibernetinio saugumo (toliau – E. siuntų pristatymo sistemos elektroninės informacijos sauga) užtikrinimo tikslai – sudaryti sąlygas saugiai automatizuotomis priemonėmis tvarkyti E. siuntų pristatymo sistemos elektroninę informaciją, užtikrinti E. siuntų pristatymo sistemos elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą techninės, programinės ir ryšių įrangos funkcionavimą.

5.  E. siuntų pristatymo sistemos elektroninės informacijos saugos prioritetinės kryptys:

5.1. E. siuntų pristatymo sistemos elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

5.2. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų E. siuntų pristatymo sistemos elektroninės informacijos saugai užtikrinti, įgyvendinimas ir šių priemonių įgyvendinimo kontrolė;

5.3. teisėtas, saugus ir kokybiškas E. siuntų pristatymo sistemos duomenų tvarkymas;

5.4. teisėtas ir saugus E. siuntų pristatymo sistemos asmens duomenų naudojimas;

5.5. E. siuntų pristatymo sistemos veiklos tęstinumas.

6.  Saugos nuostatai taikomi E. siuntų pristatymo sistemos naudotojams, E. siuntų pristatymo sistemos valdytojui, E. siuntų pristatymo sistemos tvarkytojui, E. siuntų pristatymo sistemos tvarkytojo valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis, E. siuntų pristatymo sistemos tvarkytojo (-ų) Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinkto (-ų)  elektroninių siuntų fizinio pristatymo paslaugos teikėjo (-ų) darbuotojams ir E. siuntų pristatymo sistemos tvarkytojo įgaliotiems asmenims (toliau – darbuotojai).

7E. siuntų pristatymo sistemos valdytoja – Lietuvos Respublikos susisiekimo ministerija (Gedimino pr. 17, 01505 Vilnius), kuri vykdo Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2015 m. rugpjūčio 26 d. nutarimu Nr. 914 „Dėl Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos nuostatų patvirtinimo“ (toliau – E. siuntų pristatymo sistemos nuostatai), nustatytas funkcijas, taip pat:

7.1. organizuoja E. siuntų pristatymo sistemos veiklą ir jai vadovauja;

7.2. tvirtina Saugos nuostatus, saugos politikos įgyvendinamuosius dokumentus, kitus dokumentus, susijusius su elektroninės informacijos sauga, ir jų pakeitimus;

7.3. prižiūri ir kontroliuoja, kad E. siuntų pristatymo sistema būtų tvarkoma vadovaujantis Lietuvos Respublikos įstatymais, E. siuntų pristatymo sistemos nuostatais, Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais;

7.4. prižiūri, kaip laikomasi teisės aktų, susijusių su E. siuntų pristatymo sistemos tvarkymu ir duomenų saugumu, reikalavimų;

7.5.      nagrinėja E. siuntų pristatymo sistemos tvarkytojo pasiūlymus dėl E. siuntų pristatymo sistemos elektroninės informacijos saugos tobulinimo ir priima dėl jų sprendimus;

7.6. paveda E. siuntų pristatymo sistemos tvarkytojui skirti E. siuntų pristatymo sistemos saugos įgaliotinį (-ius), informacinės sistemos administratorius ir asmenį ar padalinį, atsakingą už kibernetinio saugumo organizavimą ir užtikrinimą (toliau – kibernetinio saugumo vadovas);

7.7. atsižvelgdama į rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti;

7.8. priima sprendimą dėl E. siuntų pristatymo sistemos informacinių technologijų saugos atitikties vertinimo atlikimo;

7.9. prireikus tvirtina E. siuntų pristatymo sistemos informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą;

7.10.      vykdo kitas Saugos nuostatų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nustatytas funkcijas.

8.  E. siuntų pristatymo sistemos tvarkytoja – valstybės įmonė Registrų centras (Lvovo g. 25-101, 09320 Vilnius), kuri vykdo E. siuntų pristatymo sistemos nuostatuose nustatytas funkcijas, taip pat:

8.1. E. siuntų pristatymo sistemos valdytojo pavedimu skiria E. siuntų pristatymo sistemos saugos įgaliotinį (-ius), E. siuntų pristatymo sistemos administratorius ir kibernetinio saugumo vadovą;

8.2. rengia, nustatyta tvarka derina ir pateikia E. siuntų pristatymo sistemos valdytojui tvirtinti saugos politikos įgyvendinamųjų dokumentų projektus;

8.3. teikia pasiūlymus E. siuntų pristatymo sistemos valdytojui, kaip tobulinti E. siuntų pristatymo sistemos elektroninės informacijos saugą;

8.4. užtikrina E. siuntų pristatymo sistemos komponentų, už kurių tvarkymą yra atsakinga savo institucijoje, techninę priežiūrą ir nepertraukiamą E. siuntų pristatymo sistemos veiklą;

8.5. užtikrina E. siuntų pristatymo sistemos sąveiką su kitomis valstybės informacinėmis sistemomis ir (ar) registrais;

8.6. įgyvendina tinkamas organizacines ir technines priemones, kurios skirtos elektroninei informacijai apsaugoti nuo netyčinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jos;

8.7. pagal kompetenciją atsako už E. siuntų pristatymo sistemos elektroninės informacijos tvarkymo teisėtumą ir saugumą ir E. siuntų pristatymo sistemos saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams ir Saugos nuostatams;

8.8. pagal kompetenciją vykdo kitas Saugos nuostatų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nustatytas funkcijas.

9. Elektroninių siuntų fizinio pristatymo paslaugos teikėjas vykdo E. siuntų pristatymo sistemos nuostatuose nustatytas funkcijas, taip pat:

9.1. įgyvendina tinkamas organizacines ir technines priemones, kurios skirtos elektroninei informacijai apsaugoti nuo netyčinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jos;

9.2. pagal kompetenciją vykdo kitas Saugos nuostatų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nustatytas funkcijas.

10E. siuntų pristatymo sistemos saugos įgaliotinis (-iai), koordinuodamas (-i) ir prižiūrėdamas (-i) E. siuntų pristatymo sistemos elektroninės informacijos saugą, atlieka šias funkcijas:

10.1. teikia E. siuntų pristatymo sistemos tvarkytojui pasiūlymus dėl:

10.1.1.   E. siuntų pristatymo sistemos administratorių skyrimo ir reikalavimų administratoriams nustatymo;

10.1.2.   Saugos nuostatų ir saugos politikos įgyvendinamųjų dokumentų priėmimo, keitimo ar panaikinimo;

10.1.3.   E. siuntų pristatymo sistemos informacinių technologijų saugos atitikties vertinimo atlikimo Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 43 punkte nurodytoje metodikoje nustatyta tvarka;

10.2.      koordinuoja elektroninės informacijos saugos incidentų, įvykusių E. siuntų pristatymo sistemoje, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų saugos incidentus, neteisėtas veikas, susijusias su elektroninės informacijos sauga, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

10.3.      informuoja E. siuntų pristatymo sistemos tvarkytojo vadovą apie E. siuntų pristatymo sistemos saugos problemas;

10.4.      teikia E. siuntų pristatymo sistemos administratoriams, darbuotojams privalomus vykdyti nurodymus ir pavedimus dėl saugos politikos įgyvendinimo;

10.5.      konsultuoja darbuotojus saugaus elektroninės informacijos tvarkymo klausimais;

10.6.      supažindina E. siuntų pristatymo sistemos naudotojus ir darbuotojus su E. siuntų pristatymo sistemos saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą ir atsakomybę už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;

10.7. organizuoja darbuotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas;

10.8.      organizuoja E. siuntų pristatymo sistemos rizikos įvertinimą;

10.9.      atsako už saugos reikalavimų vykdymą;

10.10.    atlieka kitas Saugos nuostatuose, saugos politikos įgyvendinamuosiuose dokumentuose nurodytas ir kituose saugos reikalavimus nustatančiuose teisės aktuose jam priskirtas funkcijas.

11.       Gali būti paskiriami kelių E. siuntų pristatymo sistemos posistemių, funkciškai savarankiškų sudedamųjų dalių saugos įgaliotinis ir E. siuntų pristatymo sistemos administratorius ar saugos įgaliotinis ir E. siuntų pristatymo sistemos administratorius tam tikroms saugos įgaliotinio ir E. siuntų pristatymo sistemos administratoriaus funkcijoms atlikti, tačiau turi būti užtikrintas tinkamas saugos įgaliotinio ir E. siuntų pristatymo sistemos administratoriaus funkcijų atlikimas. Šiais atvejais turi būti aiškiai nurodyta, kurio E. siuntų pristatymo sistemos posistemio, funkciškai savarankiškos sudedamosios dalies ar kurioms saugos įgaliotinio ir E. siuntų pristatymo sistemos administratoriaus funkcijoms atlikti paskiriamas konkretus saugos įgaliotinis ir administratorius, taip pat vienam iš saugos įgaliotinių ir E. siuntų pristatymo sistemos administratorių pavedama koordinuoti šių saugos įgaliotinių ir administratorių veiklą. Saugos įgaliotinis negali atlikti E. siuntų pristatymo sistemos administratoriaus funkcijų.

12.       Kibernetinio saugumo vadovas atlieka šias funkcijas:

12.1.    koordinuoja kibernetinių incidentų tyrimą, bendradarbiauja su kompetentingomis institucijomis, tiriančiomis kibernetinius incidentus;

12.2.    atlieka kitas Saugos nuostatuose, saugos politikos įgyvendinamuosiuose dokumentuose nurodytas ir kituose teisės aktuose, reglamentuojančiuose kibernetinio saugumą, jam priskirtas funkcijas.

13.       E. siuntų pristatymo sistemos saugos įgaliotinis ir kibernetinio saugumo vadovas gali būti tas pats asmuo.

14.       E. siuntų pristatymo sistemos administratoriai skirstomi į šias grupes:

14.1. koordinuojantysis administratorius, prižiūrintis E. siuntų pristatymo sistemos administratorių veiklą, siekdamas užtikrinti tinkamą E. siuntų pristatymo sistemos administratorių funkcijų vykdymą;

14.2. E. siuntų pristatymo sistemos naudotojų administratoriai, atliekantys funkcijas, susijusias su E. siuntų pristatymo sistemos naudotojų teisių valdymu;

14.3. E. siuntų pristatymo sistemos komponentų administratoriai, atliekantys funkcijas, susijusias su E. siuntų pristatymo sistemos komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazėmis ir jų valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo ir prevencijos sistemomis, elektroninės informacijos perdavimo tinklais, duomenų saugyklomis, bylų serveriais ir kita technine ir programine įranga, kurios pagrindu funkcionuoja E. siuntų pristatymo sistema ir užtikrinama joje tvarkomos elektroninės informacijos sauga ir kibernetinis saugumas, ir E. siuntų pristatymo sistemos komponentų sąranka);

14.4. saugos administratoriai, atliekantys funkcijas, susijusias su E. siuntų pristatymo sistemos pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena.

15.     E. siuntų pristatymo sistemos administratoriai yra atsakingi už tinkamą Saugos nuostatuose ir saugos politikos įgyvendinamuosiuose dokumentuose nustatytų funkcijų vykdymą.

16.       E. siuntų pristatymo sistemos administratoriai privalo vykdyti visus E. siuntų pristatymo sistemos saugos įgaliotinio (-ių) ar kibernetinio saugumo vadovo nurodymus ir pavedimus dėl E. siuntų pristatymo sistemos elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo, pagal kompetenciją reaguoti į elektroninės informacijos saugos ir kibernetinius incidentus (toliau – saugos incidentai) ir nuolat teikti E. siuntų pristatymo sistemos saugos įgaliotiniui (-iams) informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.

17.       Atlikdami E. siuntų pristatymo sistemos sąrankos pakeitimus, E. siuntų pristatymo sistemos komponentų administratoriai turi laikytis E. siuntų pristatymo sistemos pokyčių valdymo tvarkos, nustatytos E. siuntų pristatymo sistemos saugaus elektroninės informacijos tvarkymo taisyklėse.

18E. siuntų pristatymo sistemos komponentų administratoriai E. siuntų pristatymo sistemos sąranką ir E. siuntų pristatymo sistemos būsenos rodiklius privalo tikrinti (peržiūrėti) reguliariai – ne rečiau kaip kartą per metus ir (arba) po E. siuntų pristatymo sistemos pokyčio.

19E. siuntų pristatymo sistemos administratoriai pagal kompetenciją atsako už E. siuntų pristatymo sistemos priežiūrą, veikimo užtikrinimą, elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimą.

20E. siuntų pristatymo sistemos naudotojai, pastebėję saugumo pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti E. siuntų pristatymo sistemos tvarkytojui jo interneto svetainėje nurodytais kontaktais.

21E. siuntų pristatymo sistemos elektroninė informacija tvarkoma ir jos sauga užtikrinama vadovaujantis:

21.1.      2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679);

21.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

21.3. Lietuvos Respublikos kibernetinio saugumo įstatymu;

21.4. Lietuvos Respublikos informacinės visuomenės paslaugų įstatymu;

21.5. Lietuvos standartais LST EN ISO/IEC 27001, LST EN ISO/IEC 27002;

21.6.      Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

21.7.      Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio
13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

21.8.      E. siuntų pristatymo sistemos nuostatais;

21.9.      Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Informacinių technologijų saugos atitikties vertinimo metodika);

21.10.    Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

21.11.    Saugos nuostatais.

 

II Skyrius

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

22.     Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 9.1, 9.3 ir 12.3 papunkčiais, E. siuntų pristatymo sistemoje tvarkoma elektroninė informacija yra priskiriama vidutinės svarbos informacijos kategorijai, o E. siuntų pristatymo sistema yra priskiriama trečiajai kategorijai.

23.     E. siuntų pristatymo sistemos saugos priemonės parenkamos įvertinus galimus rizikos veiksnius E. siuntų pristatymo sistemos duomenų vientisumui, konfidencialumui ir prieinamumui. Pasirenkant saugos priemones, prioritetas teikiamas toms priemonėms, kurioms įdiegti reikia mažiausiai sąnaudų ir gaunamas didžiausias poveikis.

24.     Pagrindiniai rizikos veiksniai, galintys turėti įtakos E. siuntų pristatymo sistemos elektroninės informacijos saugai:

24.1.      subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, ištrynimas, klaidingas teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

24.2.      subjektyvūs tyčiniai (nesankcionuotas naudojimasis E. siuntų pristatymo sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);

24.3.      veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

25.         E. siuntų pristatymo sistemos saugos įgaliotinis (-iai), atsižvelgdamas (-i) į metodinę priemonę „Rizikos analizės vadovas“, išleistą Lietuvos Respublikos vidaus reikalų ministerijos, ir Lietuvos Respublikos ir tarptautinius grupės „Informacinės technologijos. Saugumo metodai“ standartus, kasmet organizuoja E. siuntų pristatymo sistemos rizikos įvertinimą, prireikus ir neeilinį rizikos įvertinimą. Kartu su pagrindiniu E. siuntų pristatymo sistemos rizikos įvertinimu organizuojamas ir atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos E. siuntų pristatymo sistemos kibernetiniam saugumui, vertinimas. Prireikus E. siuntų pristatymo sistemos valdytojo ar tvarkytojo pavedimu E. siuntų pristatymo sistemos rizikos įvertinimui atlikti gali būti perkamos rizikos įvertinimo paslaugos.

26.         Rizikos įvertinimo metu atliekamos veiklos:

26.1.    E. siuntų pristatymo sistemos sudarančių informacinių išteklių inventorizacija;

26.2.    įtakos E. siuntų pristatymo sistemos veiklai vertinimas;

26.3.    grėsmės ir pažeidimų analizė;

26.4.    liekamosios rizikos vertinimas.

27.       E. siuntų pristatymo sistemos rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama E. siuntų pristatymo sistemos valdytojui. E. siuntų pristatymo sistemos rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus.

28.       E. siuntų pristatymo sistemos valdytojas, atsižvelgdamas į E. siuntų pristatymo sistemos rizikos įvertinimo ataskaitą, prireikus tvirtina E. siuntų pristatymo sistemos rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis E. siuntų pristatymo sistemos rizikos valdymo priemonėms įgyvendinti.

29.       E. siuntų pristatymo sistemos rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas E. siuntų pristatymo sistemos valdytojas ne vėliau kaip per penkias darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS) ARSIS nuostatų nustatyta tvarka.

30.       Techninės, programinės ir organizacinės E. siuntų pristatymo sistemos elektroninės informacijos saugos priemonės pasirenkamos atsižvelgiant į E. siuntų pristatymo sistemos valdytojo ir tvarkytojo turimus išteklius, vadovaujantis šiais priemonių parinkimo principais:

30.1.      likutinė rizika turi būti sumažinta iki priimtino lygio;

30.2.      informacijos saugos priemonės diegimo kainos turi atitikti saugomos informacijos vertę;

30.3.      esant galimybei, turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

31.       Siekdamas (-i) užtikrinti Saugos nuostatuose ir saugos politikos įgyvendinamuosiuose dokumentuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, E. siuntų pristatymo sistemos saugos įgaliotinis (-iai) ne rečiau kaip kartą per dvejus metus organizuoja E. siuntų pristatymo sistemos informacinių technologijų saugos atitikties vertinimą.

32.       Atlikęs (-ę) E. siuntų pristatymo sistemos informacinių technologijų saugos atitikties vertinimą, E. siuntų pristatymo sistemos saugos įgaliotinis (-iai) rengia informacinių technologijų saugos atitikties vertinimo ataskaitą, kuri pateikiama E. siuntų pristatymo sistemos valdytojo ar tvarkytojo, jeigu jis paskyrė E. siuntų pristatymo sistemos saugos įgaliotinį (-ius), vadovui, ir pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir nustatytų trūkumų šalinimo įgyvendinimo terminus nustato E. siuntų pristatymo sistemos valdytojas.

33.       Informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas E. siuntų pristatymo sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti ARSIS nuostatų nustatyta tvarka.

34.       Neeilinis E. siuntų pristatymo sistemos rizikos įvertinimas turi būti atliekamas:

34.1.      įvykus esminiams E. siuntų pristatymo sistemos techninės ar programinės įrangos pokyčiams, kurie galėtų turėti įtakos E. siuntų pristatymo sistemos veikimui;

34.2.      paaiškėjus naujoms tendencijoms informacinių technologijų saugos srityje, dėl kurių kiltų grėsmė E. siuntų pristatymo sistemos techninei, programinei įrangai ar E. siuntų pristatymo sistemoje laikomiems duomenims;

34.3.      po saugos incidento, kurio metu būtų sutrikdyta E. siuntų pristatymo sistemos veikla, sugadinti ar prarasti E. siuntų pristatymo sistemos duomenys.

35.       Pokyčiai, galintys sutrikdyti ar sustabdyti E. siuntų pristatymo sistemos darbą, turi būti suderinti su E. siuntų pristatymo sistemos valdytojo vadovu ar jo įgaliotu asmeniu.

36.       Pokyčiai, galintys daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri atskirta nuo eksploatuojamos E. siuntų pristatymo sistemos.

 

 

III skyrius

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

37.       Nustatomi šie E. siuntų pristatymo sistemoje naudojamos programinės įrangos reikalavimai:

37.1.      E. siuntų pristatymo sistemoje naudojama programinė įranga turi atitikti programinės įrangos saugos gerąją praktiką, kuriant programinę įrangą taikomą saugos gerąją praktiką, programinės įrangos kūrimo struktūras, standartus.

37.2.      Specifiniai saugos reikalavimai turi būti apibrėžti pradiniuose programinės įrangos kūrimo etapuose.

37.3.      Turi būti laikomasi duomenų saugą užtikrinančių programavimo standartų ir gerosios praktikos.

37.4.      Programinės įrangos kūrimo, testavimo ir verifikacijos etapai turi vykti atsižvelgiant į pagrindinius saugos reikalavimus.

37.5.      Prieš pradedant naudoti programinę įrangą, turi būti atliktas šios programinės įrangos pažeidžiamumo, pritaikomumo ir infrastruktūros atsparumo skverbimuisi įvertinimas. Programinė įranga negali būti patvirtinta, kol nėra pasiektas reikiamas saugumo lygis.

37.6.      Turi būti atliekami periodiški infrastruktūros atsparumo skverbimuisi testavimai.

38.         Programinės įrangos, skirtos E. siuntų pristatymo sistemai ir kompiuterinėms darbo vietoms (toliau – KDV) apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos:

38.1.      E. siuntų pristatymo sistemos darbui turi būti naudojama tik legali programinė įranga.

38.2.      E. siuntų pristatymo sistemos tarnybinėse stotyse ir visose KDV, kuriose dirbama su E. siuntų pristatymo sistemos duomenimis, privalo būti naudojama ir reguliariai ne rečiau kaip kartą per parą automatiškai atnaujinama programinė įranga, skirta apsaugai nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos ir kt.).

38.3.      Darbuotojų kompiuteriuose naudojama įranga, skirta KDV nuo kenksmingos programinės įrangos apsaugoti, turi apsaugoti ir elektroninio pašto programinę įrangą nuo nepageidaujamo pašto ar kenksmingų programų patekimo į KDV.

38.4.      Atsiradus požymių, kad KDV yra kenksmingų programų, turi būti patikrinami visi KDV standieji diskai, naudojama programinė įranga, skirta E. siuntų pristatymo sistemai ir KDV apsaugoti nuo kenksmingos programinės įrangos.

38.5.      KDV esančios programinės įrangos, skirtos E. siuntų pristatymo sistemai ir KDV apsaugoti nuo kenksmingos programinės įrangos, nustatymai turi būti parinkti pagal rekomenduojamus tokios programinės įrangos gamintojų reikalavimus arba pagal vidinio kompiuterių tinklo administratoriaus rekomendacijas.

38.6.      Programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu.

38.7.      Apsaugos sistema privalo automatiškai informuoti E. siuntų pristatymo sistemos saugos administratorių apie kompiuterizuotas darbo vietas ir tarnybines stotis, kuriose apsaugos sistema netinkamai funkcionuoja, yra išjungta arba neatsinaujino per 24 valandas.

39.       Leistinos kompiuterių (ypač nešiojamųjų) naudojimo ribos ir metodai, kuriais leidžiama užtikrinti saugų E. siuntų pristatymo sistemos duomenų teikimą ir (ar) gavimą:

39.1.      Prie E. siuntų pristatymo sistemos prisijungiama nuotoliniu būdu naudojant interneto naršyklę (HTTPS (angl. Hypertext Transfer Protocol Secure) protokolą).

39.2.      Prieigą prie E. siuntų pristatymo sistemos pagal kompetenciją suteikia, apriboja ir panaikina E. siuntų pristatymo sistemos komponentų ir naudotojų administratoriai.

39.3.      Teisė dirbti su konkrečia elektronine informacija suteikiama konkrečiam darbuotojui.

39.4.      Prisijungimo prie kompiuterių tinklo laikas ir trukmė nėra ribojami, E. siuntų pristatymo sistema pasiekiama visą parą.

39.5.      Tiesioginė prieiga prie E. siuntų pristatymo sistemos duomenų suteikiama įgyvendinus E. siuntų pristatymo sistemos naudotojų ir darbuotojų autentifikavimo priemones – E. siuntų pristatymo sistemos naudotojai ir darbuotojai tapatybę patvirtina slaptažodžiu. Slaptažodžiai sudaromi, keičiami ir jų galiojimo trukmė nustatoma vadovaujantis E. siuntų pristatymo sistemos naudotojų administravimo taisyklėmis. 

39.6.      Stacionarius kompiuterius leidžiama naudoti tik E. siuntų pristatymo sistemos valdytojo ir tvarkytojo patalpose.

39.7.      Darbuotojai kompiuterius naudoja tik darbinėms funkcijoms atlikti.

39.8.      Darbuotojai, darbinėms funkcijoms atlikti naudojantys nešiojamuosius kompiuterius, išnešdami juos iš E. siuntų pristatymo sistemos valdytojo ir tvarkytojo patalpų, norėdami E. siuntų pristatymo sistemos duomenis perduoti kompiuterių tinklais ne savo darbo vietoje, turi naudoti duomenų šifravimą, papildomą darbuotojo tapatybės patvirtinimą, rakinimo įrenginį. Nešiojamojo kompiuterio pagrindinės įvesties ir išvesties sistema (BIOS) turi būti apsaugota slaptažodžiu ir nurodytas standusis diskas kaip pirminis paleidimo įrenginys. Iš išorės prie E. siuntų pristatymo sistemos duomenų bazės prisijungimas ribojamas. Nešiojamuosiuose kompiuteriuose ar išorinėse kompiuterinėse laikmenose esantys duomenys turi būti šifruojami. Darbuotojai privalo naudotis visomis saugumo priemonėmis, kad apsaugotų kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo.

40Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:

40.1.      Kompiuterių tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis ir įsilaužimų aptikimo ir prevencijos įranga.

40.2.      Visas duomenų srautas į internetą ir iš jo yra filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos.

40.3.      Naudojamos turinio filtravimo sistemos.

40.4.      Pagrindinė E. siuntų pristatymo sistemos duomenų pateikimo prieiga yra duomenų perdavimas šifruotu virtualaus privataus tinklo (VPN) duomenų perdavimo kanalu arba naudojant saugų HTTPS (angl. Hypertext Transfer Protocol Secure) duomenų perdavimo protokolą.

40.5.      Turi būti naudojama programinė įranga, leidžianti atlikti E. siuntų pristatymo sistemai naudojamų kompiuterių tinklų monitoringą ir užtikrinanti šių tinklų saugos prevencines priemones.

40.6.      Už kompiuterių tinklo filtravimo įrangos administravimo koordinavimą ir priežiūrą atsakingas E. siuntų pristatymo sistemos komponentų administratorius.

41.     Programinės įrangos, įdiegtos KDV ir tarnybinėse stotyse, naudojimo nuostatos:

41.1.      E. siuntų pristatymo sistemai veikti naudojama tik legali programinė įranga.

41.2.      Darbuotojams draudžiama diegti ir naudoti bet kokią programinę įrangą, keisti sistemos, kompiuterio ar programinės įrangos sistemų nustatymus. Programinę įrangą, reikalingą E. siuntų pristatymo sistemos naudotojo funkcijoms atlikti, KDV diegia, atnaujina, kontroliuoja ir prižiūri tik E. siuntų pristatymo sistemos komponentų administratorius. Kiti asmenys (paslaugų teikėjų specialistai) gali diegti programinę įrangą tik prižiūrint E. siuntų pristatymo sistemos komponentų administratoriui.

41.3.      Diegti ir naudoti programinę įrangą, nesusijusią su E. siuntų pristatymo sistemos valdytojo ar tvarkytojo veikla ar darbuotojo atliekamomis funkcijomis (žaidimų, bylų siuntimo, internetinių pokalbių programas ir kt.), draudžiama.

41.4.      Programinė įranga yra nuolat atnaujinama laikantis gamintojo reikalavimų. 

42Darbuotojai turi vadovautis švaraus stalo politika:

42.1.      Nors trumpam paliekant KDV, privaloma įjungti slaptažodžiu apsaugotą ekrano užsklandą.

42.2.      Baigus darbą, reikia uždaryti programų langus ir tinkamai išjungti kompiuterį.

42.3.      Baigus darbą nepalikti ant stalo dokumentų ir duomenų laikmenų, sudėti juos į stalčius, spintas ar lentynas.

42.4.      Dokumentų, kuriuose pateikiama ypač svarbi informacija, arba dokumentų, kuriuose yra asmens duomenų, spausdinimą inicijavęs asmuo iš spausdintuvų juos turi išimti nedelsdamas.

42.5.      Nebereikalingi ypač svarbūs dokumentai arba dokumentai, kuriuose yra asmens duomenų, turi būti ne išmetami, o sunaikinami dokumentų naikikliu.

43.         Užtikrinant saugų elektroninės informacijos teikimą kitoms valstybės institucijoms ir (ar) gavimą iš jų, naudojamas šifruotas virtualus privatus tinklas (VPN) arba Saugus valstybinis duomenų perdavimo tinklas (toliau – SVDPT). Elektronine informacija keičiamasi per saugųjį HTTP (angl. Hypertext Transfer Protocol Secure) duomenų perdavimo protokolą (HTTPS) žiniatinklio paslaugų metodu (XML formatu) arba duomenų bazių užklausomis. Duomenys teikiami ir (ar) gaunami automatizuotomis priemonėmis tik pagal duomenų teikimo sutartyje nustatytas specifikacijas, duomenų perdavimo sąlygas ir tvarką.

44.         Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

44.1.      E. siuntų pristatymo sistemos  veikimas turi būti užtikrintas ne mažiau kaip 96 proc. laiko visą parą darbo ir poilsio dienomis.

44.2.      E. siuntų pristatymo sistemos elektroninė informacija perduodama automatiniu būdu arba asinchroniniu režimu pagal duomenų teikimo sutartis, kuriose nustatytos elektroninės informacijos perdavimo sąlygos ir tvarka.

44.3.      E. siuntų pristatymo sistemos elektroninei informacijai perduoti naudojamas SVDPT arba kitas šifruotas perdavimo kanalas, užtikrinantis saugų informacijos perdavimą.

45.       Pagrindiniai atsarginių elektroninės informacijos kopijų (toliau – atsarginės kopijos) darymo ir atkūrimo reikalavimai:

45.1.      E. siuntų pristatymo sistemos komponentų atsarginis kopijavimas ir saugojimas vykdomas taip, kad E. siuntų pristatymo sistemos veiklą būtų įmanoma visiškai atkurti per 16 valandų.

45.2.      Atsarginės kopijos saugomos kitoje patalpoje nei E. siuntų pristatymo sistemos duomenų bazė.

45.3.      E. siuntų pristatymo sistemos atsarginės kopijos turi būti daromos automatiškai kartą per parą.

45.4.      Periodiškai (ne rečiau kaip kartą per metus) turi būti testuojama galimybė atkurti duomenis iš atsarginių kopijų. Testavimo eiga ir rezultatai įforminami kopijų darymo žurnale.

45.5.      Už atsarginių kopijų darymą ir saugojimą, elektroninės informacijos atkūrimą iš atsarginių kopijų yra atsakingas E. siuntų pristatymo sistemos komponentų administratorius, vykdantis E. siuntų pristatymo sistemos priežiūrą.

45.6.      Elektroninė informacija atsarginėse kopijose turi būti šifruota (šifravimo raktai turi būti saugomi atskirai nuo atsarginių kopijų).

45.7.      Per metus sukurtos  atsarginės kopijos saugomos trejus metus nuo jų sukūrimo dienos.

46.       E. siuntų pristatymo sistemos atsarginių kopijų saugojimo priemonės, būdai ir vieta, atsarginių kopijų atkūrimo ir naikinimo tvarka išdėstomi E. siuntų pristatymo sistemos saugaus elektroninės informacijos tvarkymo  taisyklėse.

47.       Nustatomi duomenų naikinimo ir šalinimo reikalavimai:

47.1.      Prieš pašalinant bet kokią duomenų laikmeną, turi būti sunaikinti visi joje esantys duomenys, naudojant tam skirtą programinę įrangą, kuri palaiko patikimus duomenų naikinimo algoritmus. Jeigu to padaryti neįmanoma (pvz., DVD laikmenos), duomenų laikmenos turi būti fiziškai sunaikintos be galimybės atkurti.

47.2.      Prieš šalinant laikmenas, turi būti atlikti visų šalinamų laikmenų daugybiniai programinės įrangos perrašymai.

47.3.      Jeigu saugiems duomenų naikinimo ir šalinimo duomenų laikmenose darbams atlikti yra pasitelkiamos trečiosios šalies paslaugos, turi būti sudaryta atitinkama paslaugų sutartis.

 

IV skyrius

REIKALAVIMAI PERSONALUI

 

48.       E. siuntų pristatymo sistemos saugos įgaliotinis (-iai) privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Informacinių technologijų saugos atitikties vertinimo metodika, Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais, standartų ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reglamentuojančiomis elektroninės informacijos saugą, būti susipažinęs su esminiais E. siuntų pristatymo sistemos duomenų saugos reikalavimais. E. siuntų pristatymo sistemos saugos įgaliotinis (-iai) privalo sugebėti prižiūrėti, kaip įgyvendinama saugos politika. E. siuntų pristatymo sistemos saugos įgaliotinis (-iai) privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje.  

49. Kibernetinio saugumo vadovas privalo išmanyti kibernetinio saugumo užtikrinimo principus, tobulinti kvalifikaciją kibernetinio saugumo srityje ir savo darbe vadovautis Saugos nuostatais ir saugos politikos įgyvendinamaisiais dokumentais, Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais, reglamentuojančiais kibernetinį saugumą.

50.       E. siuntų pristatymo sistemos saugos įgaliotiniu ir kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimus elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

51.       E. siuntų pristatymo sistemos administratorius atsižvelgiant į vykdomas funkcijas atitinkamai turi turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą bei saugą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų bei saugos incidentų diagnostiką ir šalinimą.

52.       E. siuntų pristatymo sistemos naudotojai turi būti susipažinę su Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais.

53.       Darbuotojai privalo rūpintis tvarkomų duomenų saugumu: vadovaudamiesi saugos politikos įgyvendinamaisiais dokumentais, nuolat rūpintis E. siuntų pristatymo sistemos sauga, o pastebėję pažeidimų, neveikiančias duomenų saugos užtikrinimo priemones, nusikalstamos veikos požymių privalo nedelsdami apie tai pranešti informacinių technologijų pagalbos tarnybai.

54.       Darbuotojai privalo turėti darbo kompiuteriu įgūdžių, būti susipažinę su Saugos nuostatais ir saugos politikos įgyvendinamaisiais dokumentais.

55.       E. siuntų pristatymo sistemos saugos įgaliotinis (-iai) periodiškai (ne rečiau kaip kartą per 12 mėnesių) inicijuoja darbuotojų mokymą elektroninės informacijos saugos ir kibernetinio saugumo klausimais, įvairiais būdais (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai) informuoja juos apie elektroninės informacijos saugos problemas ir, jei žinoma, galimas taikytinas prevencines ar kitas reagavimo priemones.

 

V skyrius

E. siuntų pristatymo sistemos NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

56Tvarkyti E. siuntų pristatymo sistemos duomenis gali tik įgalioti darbuotojai, kurie yra pasirašytinai susipažinę su Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais, pasirašę pasižadėjimą saugoti asmens duomenų paslaptį ir susipažinę su atsakomybe už Reglamento (ES) 2016/679, saugos dokumentų nuostatų pažeidimus. Ši pareiga galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo, sutartiniams ar kitiems santykiams.

57E. siuntų pristatymo sistemos administratorius su Saugos nuostatais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą, supažindina E. siuntų pristatymo sistemos saugos įgaliotinis (-iai) per 10 darbo dienų nuo E. siuntų pristatymo sistemos administratorių paskyrimo, o su saugos politikos įgyvendinamaisiais dokumentais – per 10 darbo dienų nuo šių dokumentų patvirtinimo.

58E. siuntų pristatymo sistemos saugos įgaliotinis atsakingas už tai, kad E. siuntų pristatymo sistemos naudotojai būtų informuoti apie Saugos nuostatų ir saugos politikos įgyvendinamųjų dokumentų priėmimą, pakeitimą ar pripažinimą netekusiais galios. E. siuntų pristatymo sistemos naudotojų supažindinimas užtikrinamas programinėmis E. siuntų pristatymo sistemos priemonėmis (elektroniniu būdu).

59Darbuotojų supažindinimas su Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais ir atsakomybe už Saugos nuostatų, saugos politikos įgyvendinamuosiuose dokumentuose nustatytų reikalavimų nesilaikymą ir informacija apie Saugos nuostatų, saugos politikos įgyvendinamųjų dokumentų priėmimą, pakeitimą ar pripažinimą netekusiais galios užtikrinamas pasirašytinai.

 

VI skyrius

BAIGIAMOSIOS NUOSTATOS

 

60.       E. siuntų pristatymo sistemos saugos įgaliotinis (-iai) organizuoja saugos politikos įgyvendinamųjų dokumentų svarstymą (peržiūrą) ne rečiau kaip kartą per metus. Saugos politikos įgyvendinamieji dokumentai yra svarstomi (peržiūrimi) atlikus rizikos analizę ar informacinių technologijų saugos reikalavimų atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.

61.       E. siuntų pristatymo sistemos saugos įgaliotinis (-iai), kibernetinio saugumo vadovas, E. siuntų pristatymo sistemos administratorius ir darbuotojai, pažeidę Saugos nuostatų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų, nustatančių atsakomybę už saugų elektroninės informacijos tvarkymą, nustatyta tvarka.

_______________

 

Priedo pakeitimai:

Nr. 3-328, 2020-05-18, paskelbta TAR 2020-05-18, i. k. 2020-10511

 

 

 

Pakeitimai:

 

1.

Lietuvos Respublikos susisiekimo ministerija, Įsakymas

Nr. 3-328, 2020-05-18, paskelbta TAR 2020-05-18, i. k. 2020-10511

Dėl Lietuvos Respublikos susisiekimo ministro 2017 m. sausio 9 d. įsakymo Nr. 3-9 „Dėl Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo