Įsakymas netenka galios 2016-01-05:

Priešgaisrinės apsaugos ir gelbėjimo departamentas prie Vidaus reikalų ministerijos, Įsakymas

Nr. 1/2015-412, 2016-01-04, paskelbta TAR 2016-01-04, i. k. 2016-00020

Dėl Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatų, Valstybinės reikšmės ir pavojingų objektų registro saugaus elektroninės informacijos tvarkymo taisyklių, Valstybinės reikšmės ir pavojingų objektų registro naudotojų administravimo taisyklių ir Valstybinės reikšmės ir pavojingų objektų registro veiklos tęstinumo valdymo plano patvirtinimo

 

Suvestinė redakcija nuo 2014-04-30 iki 2016-01-04

 

Įsakymas paskelbtas: Žin. 2007, Nr. 74-2966, i. k. 107231GISAK0001-207

 

Nauja redakcija nuo 2014-04-30:

Nr. 1-174, 2014-04-25, paskelbta TAR 2014-04-29, i. k. 2014-04894

 

PRIEŠGAISRINĖS APSAUGOS IR GELBĖJIMO DEPARTAMENTO

PRIE VIDAUS REIKALŲ MINISTERIJOS

DIREKTORIUS

 

ĮSAKYMAS

DĖL PRIEŠGAISRINĖS APSAUGOS IR GELBĖJIMO DEPARTAMENTO PRIE VIDAUS

REIKALŲ MINISTERIJOS DIREKTORIAUS 2007 M. BIRŽELIO 29 D. ĮSAKYMO NR. 1-207 ,,DĖL VALSTYBINĖS REIKŠMĖS IR PAVOJINGŲ OBJEKTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“

 

2007 m. birželio 29 d. Nr. 1-207

Vilnius

 

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7 ir 11 punktais:

1. T v i r t i n u Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatus (pridedama).

2. S k i r i u Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos Operatyvaus valdymo valdybos Informacinių technologijų ir ryšių skyriaus vyriausiąjį specialistą Viačeslavą Jabluniną Valstybinės reikšmės ir pavojingų objektų registro saugos įgaliotiniu.

 

 

 

DIREKTORIUS

VIDAUS TARNYBOS GENEROLAS                                                       REMIGIJUS BANIULIS

 


 

PATVIRTINTA

Priešgaisrinės apsaugos ir gelbėjimo

departamento prie Vidaus reikalų

ministerijos direktoriaus

2007 m. birželio 29 d.

įsakymu Nr. 1-207

(Priešgaisrinės apsaugos ir

gelbėjimo departamento prie Vidaus reikalų

ministerijos direktoriaus

2014 m. balandžio 25 d.

įsakymo Nr. 1-174  redakcija)

 

 

VALSTYBINĖS REIKŠMĖS IR PAVOJINGŲ OBJEKTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

 

I. BENDROSIOS NUOSTATOS

 

1. Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato principus ir taisykles, užtikrinančias saugų ir teisėtą Valstybinės reikšmės ir pavojingų objektų registro (toliau – Registras) elektroninės informacijos tvarkymą.

2. Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, vartojamas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Lietuvos Respublikos įstatymuose, kituose teisės aktuose ir Lietuvos standartuose LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006.

3. Saugos nuostatų tikslas – sudaryti sąlygas saugiai tvarkyti Registro elektroninę informaciją.

4. Saugos nuostatai yra privalomi Registro valdytojui, Registro tvarkytojui, informacinės sistemos saugos įgaliotiniui (toliau – saugos įgaliotinis),  informacinės sistemos administratoriams (toliau – administratoriai), informacinės sistemos naudotojams (toliau – naudotojas).

5. Registro valdytojas ir tvarkytojas yra Priešgaisrinės apsaugos ir gelbėjimo departamentas prie Vidaus reikalų ministerijos (Švitrigailos g. 18, Vilnius) (toliau – PAGD). PAGD atsako už saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą, administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.

6. PAGD direktoriaus įsakymu tvirtinamos Valstybinės reikšmės ir pavojingų objektų registro saugaus elektroninės informacijos tvarkymo taisyklės, Valstybinės reikšmės ir pavojingų objektų registro veiklos tęstinumo valdymo planas, Valstybinės reikšmės ir pavojingų objektų registro naudotojų administravimo taisyklės yra Registro saugos politiką įgyvendinantys dokumentai.

7. Saugos nuostatai parengti vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Saugos dokumentų turinio gairių aprašas), Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. IV-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai elektroninės informacijos saugos reikalavimai), Valstybinės reikšmės ir pavojingų objektų registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2000 m. lapkričio 8 d. nutarimu Nr. 1386 „Dėl Pavojingų Lietuvos ūkio objektų registro reorganizavimo į Valstybinės reikšmės ir pavojingų objektų registrą“, kitais teisės aktais, reglamentuojančiais duomenų tvarkymo saugą ir teisėtumą.

8. Pagrindinės Registro elektroninės informacijos saugos užtikrinimo kryptys:

8.1. fizinė elektroninės informacijos apdorojimo priemonių (Registro patalpos, tarnybinės stotys, elektroninės informacijos perdavimo įranga, programinė įranga) apsauga;

8.2. organizacinių saugaus darbo su elektronine informacija priemonių įgyvendinimas ir kontrolė (Registro duomenų gavėjų, PAGD teisių, įpareigojimų, atsakomybės ribų nustatymas; Registro elektroninės informacijos saugojimo, tvarkymo ir administravimo tvarkos nustatymas).

9. PAGD:

9.1. rengia ir priima teisės aktus, susijusius su Registro duomenų sauga;

9.2. atsako už Registro duomenų saugą, atlieka Registro duomenų saugos reikalavimų laikymosi priežiūrą;

9.3. direktoriaus įsakymu skiria duomenų valdymo įgaliotinį, saugos įgaliotinį,  administratorius, nustato jų skaičių ir priskiria administratoriams 12 punkte nustatytas funkcijas;

9.4. atsako už Registro duomenų saugos priemonių įgyvendinimo atitiktį Saugos nuostatams ir saugos politiką įgyvendinantiems dokumentams;

9.5. rengia ir įgyvendina Registro techninių ir programinių priemonių kūrimo ir plėtros planus, investicinius projektus;

9.6. užtikrina, kad pavaldūs Registro naudotojai laikytųsi reikalavimų, išvardytų Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose.

10. Duomenų valdymo įgaliotinio funkcijos vykdomos, kaip yra nustatyta Valstybės informacinių išteklių valdymo įstatyme.

11. Saugos įgaliotinis, koordinuodamas ir prižiūrėdamas saugos politikos įgyvendinimą Registre, atlieka šias funkcijas :

11.1. teikia PAGD direktoriui pasiūlymus dėl:

11.1.1. administratorių paskyrimo ir reikalavimų administratoriams nustatymo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);

11.1.2. Registro informacinių technologijų (toliau – IT) saugos atitikties vertinimo atlikimo vidaus reikalų ministro nustatyta tvarka;

11.1.3. saugos dokumentų priėmimo, keitimo;

11.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Registre, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

11.3. teikia administratoriams ir Registro naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu. Turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems PAGD  darbuotojams, jei tai būtina saugos politikai įgyvendinti;

11.4. organizuoja rizikos įvertinimą;

11.5. periodiškai organizuoja administratorių, Registro naudotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas;

11.6. organizuoja administratorių, Registro naudotojų supažindinimą su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;

11.7. organizuoja Registro IT saugos atitikties vertinimą;

11.8. atlieka kitas teisės aktuose nustatytas ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo jam priskirtas funkcijas.

12. Administratoriai:

12.1. atlieka funkcijas, susijusias su Registro naudotojų ir Registro duomenų gavėjų teisių valdymu;

12.2. atlieka Registrą sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, elektroninės informacijos perdavimo tinklų, bylų serverių ir kitų) administravimą, šių Registro komponentų sąrankos ir Registro būsenos rodiklių kontrolę, Registro pažeidžiamų vietų ir saugumo reikalavimų atitikties nustatymą ir stebėseną;

12.3. reaguoja į elektroninės informacijos saugos incidentus;

12.4. rengia ir teikia PAGD direktoriui pasiūlymus dėl Registro tobulinimo, palaikymo, priežiūros ir elektroninės informacijos saugos;

12.5. vykdo visus saugos įgaliotinio nurodymus ir pavedimus, susijusius su Registro duomenų saugos užtikrinimu, nuolat teikia saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.

13. Elektroninės informacijos sauga Registre užtikrinama vadovaujantis:

13.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

13.2. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

13.3. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu;

13.4. Techniniais elektroninės informacijos saugos reikalavimais;

13.5. Lietuvos standartais LST ISO/IEC 27002:2009, LST ISO/IEC 27001:2006, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos elektroninės informacijos tvarkymą;

13.6. Valstybinės reikšmės ir pavojingų objektų registro nuostatais;

13.7. Saugos nuostatais ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, PAGD veiklą ir elektroninės informacijos saugos valdymą.

 

 

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

14. Registrą sudaro bendrieji, specialieji (nurodyti Valstybinės reikšmės ir pavojingų objektų registro nuostatuose) ir technologiniai (asmens, tvarkiusio Registro duomenis) duomenys.

15. Bendrųjų ir specialiųjų duomenų konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti sunkių padarinių kelių institucijų veiklai, sukelti pavojų viešajai tvarkai, gyventojų, gamtos ir aplinkos saugumui. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.2 punktu, 4.2.2 ir 4.2.3 papunkčiais, Registre tvarkoma elektroninė informacija yra priskiriama svarbiai elektroninei informacijai.

16. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.2 punktu, Registras priskiriamas antrai kategorijai.

17. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę ,,Rizikos analizės vadovas“, Lietuvos ir tarptautinius ,,Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuoja Registro rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. PAGD direktorius rašytiniu pavedimu Registro rizikos įvertinimą atlieka saugos įgaliotinis. Registro rizikos veiksnių vertinimas atliekamas kokybiniu rizikos vertinimo metodu.

18. Registro rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje, kuri pateikiama PAGD direktoriui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos Registro elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Pagrindiniai rizikos veiksniai yra šie:

18.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės IT sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

18.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Registro elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, IT duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

18.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės  1996 m. liepos
 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte;

18.4. atsitiktinės subjektyvios aplinkybės (darbuotojų praradimas, audros, gaisrai, vandens poveikis, elektros instaliacijos gedimas ir kita).

19. Atsižvelgdamas į rizikos įvertinimo ataskaitą, PAGD direktorius prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti. Rizikos įvertinimo ataskaita, rizikos įvertinimo ir rizikos valdymo priemonių planas pateikiami Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Bendrųjų elektroninės informacijos saugos reikalavimų apraše nustatyta tvarka.

20. Siekdamas užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja IT saugos atitikties vertinimą, kurio metu:

20.1. įvertinama Saugos nuostatų, saugos politiką įgyvendinančių dokumentų ir realios duomenų saugos situacijos atitiktis;

20.2. inventorizuojama techninė ir programinė Registro įranga;

20.3. tikrinama visose Registro tarnybinėse stotyse, administratorių ir ne mažiau kaip 10 procentų Registro naudotojų kompiuterizuotose darbo vietose įdiegta programinė įranga ir jos sąranka;

20.4. peržiūrima administratoriams, Registro naudotojams suteiktų teisių atitiktis jų atliekamoms funkcijoms;

20.5. įvertinamas pasirengimas užtikrinti Registro veiklos tęstinumą įvykus saugos incidentui.

21. Atlikus 21 punkte nurodytą IT saugos atitikties vertinimą, rengiama IT saugos atitikties vertinimo ataskaita, kuri pateikiama PAGD direktoriui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato PAGD direktorius. IT saugos atitikties vertinimo ataskaita, pastebėtų trūkumų šalinimo planas pateikiami Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Bendrųjų elektroninės informacijos saugos reikalavimų apraše nustatyta tvarka.

22. Kad būtų užtikrintas Registro veiklos tęstinumas, patiriant kuo mažiau išlaidų, saugus Registro naudotojų ir Registro duomenų gavėjų darbas, parenkamos atitinkamos techninės, programinės ir organizacinės elektroninės informacijos saugos priemonės.

23. Pagrindiniai Registro elektroninės informacijos saugos priemonių parinkimo principai yra šie:

23.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

23.2. informacijos saugos priemonių diegimo kaina turi atitikti saugomos informacijos vertę;

23.3. įdiegiamos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos priemonės.

 

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

24. Susijusiems registrams ir valstybės informacinėms sistemoms Registro duomenys perduodami, Registro duomenų gavėjams Registro duomenys teikiami, kaip yra nustatyta Valstybinės reikšmės ir pavojingų objektų registro nuostatuose.

25. Registro duomenys duomenų gavėjams teikiami:

25.1. XML formatu naudojant žiniatinklio paslaugas;

25.2. duomenų perdavimo kanalu, naudojant saugaus hipertekstų persiuntimo protokolą (angl. HTTPS), kai jungiamasi prie Registro duomenų teikimo puslapio. Registro duomenų gavėjai identifikuojami ir jiems suteikiamos teisės Registre pagal suteiktą identifikatorių ir atitinkamą slaptažodį;

25.3. žodžiu, raštu ar elektroniniu paštu formuojant pažymas, Registro išrašus ar kitus dokumentus.

26. Registro naudotojai unikaliai autentifikuojami per katalogų valdymo paslaugą (angl. Active Directory).

27. Registro naudotojams negali būti suteikiamos administratoriaus teisės.

28. Siekiant užtikrinti Registro elektroninės informacijos saugą, PAGD taikomos šios programinės įrangos naudojimo nuostatos:

28.1. visose Registro tarnybinėse stotyse, administratorių, Registro naudotojų kompiuterizuotose darbo vietose įdiegiama tik legali programinė įranga;

28.2. operatyviai ištestuojami ir įdiegiami visų Registro tarnybinių stočių, administratorių, Registro naudotojų darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai. Administratoriai reguliariai, ne rečiau kaip kartą per savaitę, turi įvertinti informaciją apie Registro posistemiams, funkciškai savarankiškoms dalims, administratorių, Registro naudotojų darbo vietų kompiuterinei įrangai neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumų svarbos lygius;

28.3. visose Registro tarnybinėse stotyse, administratorių, Registro naudotojų kompiuterizuotose darbo vietose operacinių sistemų ir taikomųjų programų sąranka parenkama taip, kad būtų užtikrintas didžiausias saugos lygis (išjungiami nereikalingi darbui procesai ir reikmenys (angl. services), ribojama arba išjungiama prieiga prie operacinės sistemos prievadų);

28.4. visose Registro tarnybinėse stotyse, administratorių, Registro naudotojų kompiuterizuotose darbo vietose sukuriamos kompiuterių naudotojų paskyros, apsaugotos slaptažodžiais. Slaptažodis žinomas tik paskyros savininkui;

28.5. visose Registro tarnybinėse stotyse, administratorių, Registro naudotojų kompiuterizuotose darbo vietose įdiegiamos centralizuotai valdomos ir atnaujinamos kenksmingosios programinės įrangos aptikimo, stebėjimo realiu laiku priemonės. Šios priemonės automatiškai informuoja administratorius apie tai, kuriems Registro posistemiams, funkciškai savarankiškoms sudedamosioms dalims yra pradelstas kenksmingosios programinės įrangos aptikimo priemonių atsinaujinimo laikas. Registro komponentai be kenksmingo programinės įrangos aptikimo priemonių gali būti eksploatuojami, jei rizikos įvertinimo metu yra patvirtinama, kad šių komponentų rizika yra priimtina. Kenksmingosios programinės įrangos aptikimo priemonės atnaujinamos kiekvieną darbo dieną;

28.6. visose Registro tarnybinėse stotyse, administratorių, Registro naudotojų kompiuterizuotose darbo vietose naudojama tik su Registro veikla susijusi programinė įranga. Saugos įgaliotinis rengia, su PAGD direktoriumi suderina ir ne rečiau kaip kartą per metus peržiūri, prireikus atnaujina leistinos programinės įrangos sąrašą. Registro naudotojų paskyros yra tokių teisių, kurios neleidžia įdiegti papildomos programinės įrangos;

28.7. visose Registro tarnybinėse stotyse naudojamos vykdomojo kodo kontrolės priemonės, automatiškai apribojančios ar informuojančios apie neautorizuoto programinio kodo vykdymą;

28.8. visose Registro tarnybinėse stotyse įjungiamos ugniasienės, sukonfigūruotos praleisti tik su Registro funkcionalumu ir administravimu susijusių duomenų srautą.

29. Stacionariuosius kompiuterius leidžiama naudoti tik PAGD patalpose. Nešiojamiesiems kompiuteriams, kurie naudojami nustatytoms funkcijoms vykdyti ne PAGD patalpose, taikomos papildomos saugos priemonės:

29.1. elektroninė informacija kompiuteryje šifruojama;

29.2. tapatybė papildomai patvirtinama naudojant biometrinius parametrus;

29.3. naudojami rakinimo įrenginiai.

30. Kompiuterių tinklas, prie kurio prijungtos Registro tarnybinės stotys, nuo viešojo  interneto ir lokalaus kompiuterių tinklo yra atskirtas užkarda (angl. firewall) ir perkeltas į demilitarizuotą zoną.

31. Kompiuterių tinklas, prie kurio prijungtos administratorių ir naudotojų darbo stotys, nuo viešojo interneto atskirtas ugniasiene (angl. firewall) ir įgaliotu serveriu (angl. proxy).

32. Viešaisiais ryšių tinklais perduodamos Registro elektroninės informacijos konfidencialumas užtikrinamas naudojant šifravimą, virtualų privatų tinklą (angl. virtual private network), skirtines linijas, saugų valstybinį duomenų perdavimo tinklą ir kitas priemones.

33. Registro elektroninės informacijos perdavimo tinkle įdiegta ir veikia automatinė įsilaužimo aptikimo sistema.

34. Svarbiausia Registro kompiuterinė įranga, duomenų perdavimo tinklo mazgai ir ryšio linijos yra dubliuoti ir jų techninė būklė nuolat stebima.

35. Registro naudotojų darbo vietose naudojamos tik tarnybinėms reikmėms skirtos išorinės duomenų laikmenos (pavyzdžiui, USB, CD/DVD, ir. kt.). Šios laikmenos nenaudojamos veiklai, nesusijusiai su teisėtu Registro tvarkymu.

36. Administratoriai atsako už atsarginių Registro elektroninės informacijos kopijų darymą ir saugojimą. Kopijų, iš kurių būtų galima atkurti Registro elektroninę informaciją, darymo ir saugojimo tvarka išsamiai aprašyta Valstybinės reikšmės ir pavojingų objektų registro saugaus elektroninės informacijos tvarkymo taisyklėse (toliau – Registro saugaus elektroninės informacijos tvarkymo taisyklės).

37. Registro tarnybinės stotys ir aparatinė įranga yra specialiai įrengtose patalpose. Šių patalpų reikalavimai aprašyti Registro saugaus elektroninės informacijos tvarkymo taisyklėse.

38. Registro naudotojų ir administratorių veiksmų fiksavimas ir kaupimas, išsami prisijungimo prie Registro, darbo ir atsijungimo nuo Registro tvarka pateikta Registro saugaus elektroninės informacijos tvarkymo taisyklėse.

39. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, elektroninė informacija teikiama ir (ar) gaunama automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas ir vadovaujantis PAGD direktoriaus patvirtintų tvarkų aprašais.

40. Parengiamas Valstybinės reikšmės ir pavojingų objektų registro veiklos tęstinumo valdymo planas, kuriame aprašomas veiksmų planas, užtikrinantis Registro veiklos atnaujinimą ne ilgiau nei per 12 val.

 

 

IV. REIKALAVIMAI PERSONALUI

 

41. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Techninių elektroninės informacijos saugos reikalavimų, Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis.

42. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

43. Administratoriai privalo išmanyti informacijos saugos principus, darbą su kompiuteriais ir kita IT įranga, mokėti užtikrinti kompiuterių ir kitos IT įrangos saugą, taip pat administruoti ir prižiūrėti sisteminę ir taikomąją programinę įrangą, duomenų bazes, būti susipažinę su saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais, kitomis vidaus ir darbo saugos taisyklėmis.

44. Registro naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, mokėti tvarkyti Registro duomenis Valstybinės reikšmės ir pavojingų objektų registro nuostatų nustatyta tvarka ir būti susipažinę su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais.

45. Saugos įgaliotinis elektroniniu paštu ir per Registro interneto svetainę informuoja Registro naudotojus ir administratorius apie elektroninės informacijos saugos problemas.

46. Registro naudotojų ir administratorių mokymų kvalifikacijos tobulinimo ir duomenų saugos klausimais planavimo, organizavimo ir vykdymo tvarka išsamiai aprašyta Valstybinės reikšmės ir pavojingų objektų registro naudotojų administravimo taisyklėse.

 

 

V. REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

47. Registro naudotojai yra susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir sutikę laikytis šių dokumentų reikalavimų.

48. Už Registro naudotojų supažindinimą su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais atsako saugos įgaliotinis. Turi būti užtikrintas susipažinimo įrodomumas.

49. Išsami Registro naudotojų supažindinimo su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais, Registro naudotojų registravimo ir administravimo tvarka aprašyta Valstybinės reikšmės ir pavojingų objektų registro naudotojų administravimo taisyklėse.

50. Saugos nuostatai ir Registro saugos politiką įgyvendinantys dokumentai skelbiami Registro tinklalapyje.

51. Registro naudotojai privalo saugoti duomenų ir informacijos paslaptį, įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą.

52. Registro naudotojai, pažeidę Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų nuostatas, atsako įstatymų nustatyta tvarka.

 

__________________________

Priedo pakeitimai:

Nr. 1-49, 2011-02-08, Žin., 2011, Nr. 62-2975 (2011-05-24), i. k. 111231GISAK00001-49

Nr. 1-174, 2014-04-25, paskelbta TAR 2014-04-29, i. k. 2014-04894

 

 

 

Pakeitimai:

 

1.

Priešgaisrinės apsaugos ir gelbėjimo departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos, Įsakymas

Nr. 1-49, 2011-02-08, Žin., 2011, Nr. 62-2975 (2011-05-24), i. k. 111231GISAK00001-49

Dėl Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos direktoriaus 2007 m. birželio 29 d. įsakymo Nr. 1-207 "Dėl Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatų patvirtinimo" pakeitimo

 

2.

Priešgaisrinės apsaugos ir gelbėjimo departamentas prie Vidaus reikalų ministerijos, Įsakymas

Nr. 1-174, 2014-04-25, paskelbta TAR 2014-04-29, i. k. 2014-04894

Dėl Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos direktoriaus 2007 m. birželio 29 d. įsakymo Nr. 1-207 ,,Dėl Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatų patvirtinimo“ pakeitimo