Įsakymas netenka galios 2018-10-20:
Lietuvos Respublikos žemės ūkio ministerija, Įsakymas
Nr. 3D-754, 2018-10-18, paskelbta TAR 2018-10-19, i. k. 2018-16375
Dėl Valstybės įmonės Žemės ūkio informacijos ir kaimo verslo centro administruojamų informacinių sistemų ir registrų tvarkytojų informacijos saugos funkcijų nustatymo
Suvestinė redakcija nuo 2011-06-03 iki 2018-10-19
Įsakymas paskelbtas: Žin. 2006, Nr. 63-2337, i. k. 1062330ISAK003D-224
Nauja redakcija nuo 2011-06-03:
Nr. 3D-436, 2011-05-26, Žin. 2011, Nr. 67-3175 (2011-06-02), i. k. 1112330ISAK003D-436
LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO
MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS FITOSANITARINIO REGISTRO
DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2006 m. gegužės 31 d. Nr. 3D-224
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 6.1, 8 punktais:
2. Pavedu:
2.1. Žemės ir maisto ūkio departamentui ne vėliau kaip per keturis mėnesius nuo šio įsakymo įsigaliojimo dienos parengti ir pateikti Lietuvos Respublikos žemės ūkio ministrui tvirtinti saugos politiką įgyvendinančių dokumentų projektus.
ŽEMĖS ŪKIO MINISTRĖ KAZIMIRA DANUTĖ PRUNSKIENĖ
SUDERINTA
Lietuvos Respublikos vidaus reikalų ministerijos
2006-05-17 raštu Nr. 1D-3514-(13)
PATVIRTINTA
Lietuvos Respublikos žemės ūkio ministro
2006 m. gegužės 31 d. įsakymu Nr. 3D-224
(Lietuvos Respublikos žemės ūkio ministro
2011 m. gegužės 26 d. įsakymo Nr. 3D-436 redakcija)
LIETUVOS RESPUBLIKOS
FITOSANITARINIO REGISTRO DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos fitosanitarinio registro (toliau – Registras) duomenų saugos nuostatai (toliau – saugos nuostatai) reglamentuoja Registro saugos politiką. Saugos politiką įgyvendina Registro saugaus elektroninės informacijos tvarkymo taisyklės, Registro veiklos tęstinumo valdymo planas, Registro naudotojų administravimo taisyklės, kurias tvirtina Registro valdytojas.
2. Saugos nuostatai parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. IV-384 (Žin., 2008, Nr. 127-4866), Lietuvos Respublikos standartais LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006.
3. Registro elektroninės informacijos saugumo tikslas – sudaryti sąlygas saugiai automatiniu būdu saugoti ir tvarkyti Registro duomenis, užtikrinti duomenų konfidencialumą, vientisumą ir prieinamumą ir tinkamą kompiuterizuotų darbo vietų ir tinklo įrangos funkcionavimą.
4. Elektroninės informacijos saugos politika vykdoma šiomis prioritetinėmis kryptimis:
5. Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, nustatytas šių nuostatų 2 punkte nurodytuose teisės aktuose ir kituose teisės aktuose.
6. Esama Registro elektroninės informacijos saugumo padėtis yra nustatoma periodinės rizikos analizės metu ir fiksuojama rizikos įvertinimo ataskaitoje.
7. Registro valdytojo, tvarkymo įstaigos ir tvarkytojo adresai:
7.1. Registro valdytoja yra Lietuvos Respublikos žemės ūkio ministerija, Gedimino pr. 19, LT-01103 Vilnius;
7.2. Registro tvarkymo įstaiga yra Valstybinė augalininkystės tarnyba prie Žemės ūkio ministerijos, Ozo g. 4A, LT-08200 Vilnius.
8. Registro valdytojo funkcijos ir atsakomybė:
9. Registro tvarkymo įstaigos funkcijos ir atsakomybė:
9.1. užtikrina naudotojų kompiuterinės įrangos bei jos funkcionavimui būtinos informacinių technologijų infrastruktūros klientų srities saugą;
10. Registro tvarkytojo funkcijos ir atsakomybė:
10.1. užtikrina Registro duomenų saugą ir saugų duomenų perdavimą kompiuterių tinklais, rezervinį kopijavimą;
10.4. užtikrina Registro taikomosios programinės įrangos, tarnybinių stočių, tarnybinėse stotyse esančių duomenų bei tarnybinių stočių funkcionavimui būtinos informacinių technologijų infrastruktūros serverių srities saugą;
11. Saugos įgaliotinio, įgyvendinančio Registro elektroninės informacijos saugą, funkcijos ir atsakomybė:
11.1. teikia Registro tvarkytojo vadovui pasiūlymus dėl:
11.3. informuoja Registro tvarkytojo darbuotojus, administratorių, naudotojus informacijos saugos klausimais;
12. Administratoriaus funkcijos ir atsakomybė:
12.1. atsako už Registro funkcionavimą ir prieigų prie Registro infrastruktūros išteklių teisių suteikimo;
12.2. atlieka Registrą sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) sąranką, kuri atitiktų saugos dokumentų reikalavimus;
12.3. informuoja saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia pasiūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;
13. Teisės aktai, kuriais vadovaujantis tvarkomi Registro duomenys ir užtikrinamas jų saugumas:
13.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);
13.2. Lietuvos Respublikos fitosanitarinio registro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2001 m. balandžio 10 d. nutarimu Nr. 402 (Žin., 2001, Nr. 32-1074; 2010, Nr. 84-4418);
13.3. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai;
13.4. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160; 2008, Nr. 127-4866);
13.5. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniai saugos reikalavimai;
13.7. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (Žin., 2008, Nr. 135-5298);
13.8. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855);
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
14. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, Registras priskiriamas antrosios kategorijos informacinėms sistemoms.
15. Registro rizikos veiksnių vertinimą teisės aktų, reglamentuojančių duomenų saugą, nustatyta tvarka kasmet organizuoja saugos įgaliotinis. Prireikus saugos įgaliotinis gali organizuoti neeilinį Registro rizikos veiksnių vertinimą.
16. Registro informacinės saugos rizika nustatoma kasmetinio rizikos vertinimo metu. Rizikos vertinimas atliekamas ne rečiau kaip kartą per metus.
17. Registro rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausi rizikos veiksniai:
17.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
17.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Registru duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kita);
18. Registro valdytojas, atsižvelgdamas į rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
19. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:
20. Siekiant užtikrinti saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja informacinių technologijų saugos atitikties vertinimą, kurio metu:
20.1. įvertinama saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų atitiktis esamai Registro duomenų saugos situacijai;
20.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų Registro naudotojų kompiuterinėse darbo vietose, visose tarnybinėse stotyse įdiegtos programos ir jų sąranka;
21. Registro valdytojo vadovas, atsižvelgdamas į informacinių technologijų saugos reikalavimų atitikties vertinimo rezultatus, prireikus tvirtina saugos įgaliotinio parengtą pastebėtų trūkumų šalinimo planą, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytų priemonių įgyvendinimo terminai.
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
22. Metodai ir priemonės, kurie taikomi užtikrinant prieigą prie Registro, nurodant leistiną šios prieigos laiką ir būdą, nustatomi ir reguliuojami Registro naudotojų administravimo taisyklėse, kurias tvirtina Registro valdytojas.
23. Visos Registro tarnybinės stotys ir naudotojų darbo vietos turi būti apsaugotos nuo kenksmingos programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto, virusų ir pan. Apsaugai naudojama programinė įranga turi būti atnaujinama automatiškai ne rečiau kaip kartą per 5 darbo dienas.
24. Draudžiama naudoti programinę įrangą, nesusijusią su Registro tvarkytojo ir naudotojo atliekamomis funkcijomis (žaidimų, bylų siuntimo, internetinių pokalbių programų ir kt.).
25. Prieiga prie kitų valstybės institucijų arba žinybų kompiuterių tinklų ar interneto turi būti apsaugota užkardomis. Interneto turinys turi būti kontroliuojamas, nepraleidžiant nepageidaujamos informacijos.
26. Turi būti įdiegiamos papildomos saugos priemonės (duomenų šifravimas, prisijungimo ribojimai), rakinimo įrenginių naudojimas ir pan.) į nešiojamuosius kompiuterius, kurie turi prieigą prie Registro ir kurie naudojami Lietuvos Respublikos fitosanitarinio registro nuostatuose, Saugos nuostatuose nurodytoms funkcijoms atlikti ne Registro tvarkymo įstaigos patalpose.
27. Turi būti naudojamas Saugus valstybės duomenų perdavimo tinklas užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą. Duomenys teikiami ir (ar) gaunami automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas.
28. Periodiškai (priklausomai nuo konkretaus posistemio) turi būti daromos Registro atsarginės duomenų kopijos, kurios turi būti laikomos atskiroje patalpoje ir saugomos užrakintoje nedegioje spintoje.
IV. REIKALAVIMAI PERSONALUI
30. Saugos įgaliotinis privalo turėti atitinkamą kvalifikaciją (kvalifikacijos tobulinimo kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL vartotojo sertifikatas ar pan.), išmanyti informacijos saugos užtikrinimo principus ir saugos užtikrinimo metodus.
31. Administratorius privalo išmanyti informacijos saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugą, taip pat administruoti ir prižiūrėti informacines sistemas, turi būti susipažinęs su šiais saugos nuostatais ir kitais susijusiais saugos dokumentais.
32. Naudotojai turi turėti pagrindinių darbo kompiuteriu įgūdžių, būti susipažinę su saugos nuostatais ir kitais susijusiais saugos dokumentais.
33. Registro naudotojams kasmet rengiami informacijos saugos mokymai, įvairiais būdais primenama apie saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.). Mokymus organizuoja ir jų efektyvumą vertina saugos įgaliotinis.
V. BAIGIAMOSIOS NUOSTATOS
Pakeitimai:
1.
Lietuvos Respublikos žemės ūkio ministerija, Įsakymas
Nr. 3D-436, 2011-05-26, Žin., 2011, Nr. 67-3175 (2011-06-02), i. k. 1112330ISAK003D-436
Dėl žemės ūkio ministro 2006 m. gegužės 31 d. įsakymo Nr. 3D-224 "Dėl Lietuvos Respublikos fitosanitarinio registro duomenų saugos nuostatų patvirtinimo" pakeitimo