3.1. Aplinkos apsaugos agentūrai paskirti Aplinkos informacijos valdymo integruotos kompiuterinės sistemos ir Aplinkos apsaugos kontrolės informacinės sistemos saugos įgaliotinį;

Punkto pakeitimai:

Nr. D1-988, 2013-12-27, paskelbta TAR 2014-01-13, i. k. 2014-00154

3.2. Generalinei miškų urėdijai prie Aplinkos ministerijos paskirti Intelektualios miškų ūkio elektroninių paslaugų informacinės sistemos saugos įgaliotinį;

3.3. Aplinkos ministerijos Vidaus audito skyriaus vyriausiajam specialistui Denis Kuzmin koordinuoti Aplinkos informacijos valdymo integruotos kompiuterinės sistemos saugos įgaliotinio ir Intelektualios miškų ūkio elektroninių paslaugų informacinės sistemos saugos įgaliotinio veiklą, įgyvendinant elektroninės informacijos saugą informacinėse sistemose;

3.4. Aplinkos ministerijos Informacinių technologijų skyriui ne vėliau kaip per 1 mėnesį nuo šio įsakymo įsigaliojimo dienos pateikti aplinkos ministrui tvirtinti Lietuvos Respublikos aplinkos ministerijos informacinių sistemų saugaus elektroninės informacijos tvarkymo taisykles, Lietuvos Respublikos aplinkos ministerijos informacinių sistemų veiklos tęstinumo valdymo planą ir Lietuvos Respublikos aplinkos ministerijos informacinių sistemų naudotojų administravimo taisykles.

1. Lietuvos Respublikos aplinkos ministerijos (toliau – Ministerija) informacinių sistemų duomenų saugos nuostatų (toliau – Nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotu būdu rinkti, apdoroti, kaupti, tvarkyti duomenis Ministerijos informacinėse sistemose, užtikrinant duomenų konfidencialumą, vientisumą ir prieinamumą.

2. Nuostatai reglamentuoja informacinių sistemų elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, Ministerijos informacinių sistemų naudotojų supažindinimo su saugos dokumentais principus.

3. Nuostatai parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) (toliau – Bendrieji reikalavimai), Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866) (toliau – Techniniai saugos reikalavimai), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. IV-172 (Žin., 2007, Nr. 53-2070) (toliau – Gairės).

4. Nuostatuose vartojamos sąvokos:

Ministerijos informacinės sistemos (toliau – Informacinės sistemos) – Informacinės sistemos) – techninių priemonių, programinės įrangos ir žmogaus veiksmų visuma, skirta Ministerijos nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1998 m. rugsėjo 22 d. nutarimu Nr. 1138, išvardintoms funkcijoms atlikti naudojant informacines technologijas, kuri apima šias informacines sistemas: Aplinkosauginių mokesčių kontrolės informacinė sistema, Aplinkos informacijos valdymo integruota kompiuterinė sistema, Aplinkosaugos leidimų informacinė sistema, Intelektuali miškų ūkio elektroninių paslaugų informacinė sistema, Saugomų rūšių informacinė sistema, Vieninga gaminių, pakuočių ir atliekų apskaitos informacinė sistema, Genetiškai modifikuotų organizmų informacinė sistema, Aplinkos apsaugos kontrolės informacinė sistema.

Naudotojas – Ministerijos arba Ministerijai pavaldžios institucijos valstybės tarnautojas ar darbuotojas (toliau – Darbuotojas), dirbantis pagal darbo sutartį, turintis teisę naudotis Informacinių sistemų ištekliais numatytoms funkcijoms atlikti.

Saugos įgaliotinis – Lietuvos Respublikos aplinkos ministro įsakymu paskirtas Darbuotojas, įgyvendinantis elektroninės informacijos saugą Aplinkosauginių mokesčių kontrolės, Saugomų rūšių, Aplinkosaugos leidimų, Genetiškai modifikuotų organizmų ir Vieningos gaminių, pakuočių ir atliekų apskaitos informacinėse sistemose.

Intelektualios miškų ūkio elektroninių paslaugų informacinės sistemos saugos įgaliotinis (toliau – Urėdijos saugos įgaliotinis) – Generalinio miškų urėdo įsakymu paskirtas Darbuotojas, įgyvendinantis elektroninės informacijos saugą Intelektualioje miškų ūkio elektroninių paslaugų informacinėje sistemoje.

Aplinkos informacijos valdymo integruotos kompiuterinės sistemos ir Aplinkos apsaugos kontrolės informacinės sistemos saugos įgaliotinis (toliau – Agentūros saugos įgaliotinis) – Aplinkos apsaugos agentūros direktoriaus įsakymu paskirtas Darbuotojas, įgyvendinantis elektroninės informacijos saugą Aplinkos informacijos valdymo integruotoje kompiuterinėje ir Aplinkos apsaugos kontrolės informacinėje sistemose.

Administratorius – Aplinkos apsaugos agentūros arba Generalinės miškų urėdijos prie Aplinkos ministerijos, arba Ministerijos paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, atliekantis Informacinių sistemų priežiūrą.

Kitos Nuostatuose vartojamos sąvokos apibrėžtos Bendruosiuose reikalavimuose, Gairėse ir kituose Lietuvos Respublikos teisės aktuose.

Punkto pakeitimai:

Nr. D1-988, 2013-12-27, paskelbta TAR 2014-01-13, i. k. 2014-00154

Nr. D1-913, 2014-11-14, paskelbta TAR 2014-11-18, i. k. 2014-17053

5. Informacinių sistemų saugos politiką, kurią nustato šie Nuostatai, įgyvendinantys dokumentai yra Ministerijos informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklės, Ministerijos informacinių sistemų veiklos tęstinumo valdymo planas ir Ministerijos informacinių sistemų naudotojų administravimo taisyklės (toliau –Saugos politiką įgyvendinantys dokumentai).

6. Už informacijos tvarkymo Informacinėse sistemose teisėtumą ir saugą atsako Ministerija. Jos buveinė: Jakšto g. 4/9, Vilnius, LT-01105.

7. Informacinių sistemų svarba ir esama saugos padėtis yra nustatoma periodinės rizikos vertinimo metu ir pateikiama Rizikos įvertinimo ataskaitoje.

8. Informacinių sistemų duomenų saugos užtikrinimo prioritetinės kryptys:

9. Informacinių sistemų valdytojas yra Ministerija.

10. Aplinkos informacijos valdymo integruotos kompiuterinės sistemos tvarkytojas yra Aplinkos apsaugos agentūra, jos buveinė: A. Juozapavičiaus g. 9, LT-09311 Vilnius.

11. Intelektualios miškų ūkio elektroninių paslaugų informacinės sistemos tvarkytojai yra 1 priede nurodytos įstaigos.

12. Saugomų rūšių informacinės sistemos ir Genetiškai modifikuotų organizmų informacinės sistemos tvarkytojas yra Aplinkos ministerija.

Punkto pakeitimai:

Nr. D1-988, 2013-12-27, paskelbta TAR 2014-01-13, i. k. 2014-00154

13. Aplinkosaugos leidimų informacinės sistemos ir Aplinkosauginių mokesčių kontrolės informacinės sistemos tvarkytojai yra 2 priede nurodytos įstaigos.

Punkto pakeitimai:

Nr. D1-913, 2014-11-14, paskelbta TAR 2014-11-18, i. k. 2014-17053

13¹. Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos centrinis tvarkytojas yra Aplinkos apsaugos agentūra, kurios buveinė: A. Juozapavičiaus g. 9, LT-09311 Vilnius, o teritoriniai tvarkytojai yra 3 priede nurodytos įstaigos.

Papildyta punktu:

Nr. D1-988, 2013-12-27, paskelbta TAR 2014-01-13, i. k. 2014-00154

13². Aplinkos apsaugos kontrolės informacinės sistemos centrinis tvarkytojas yra Aplinkos apsaugos agentūra, o tvarkytojai yra 4 priede nurodytos įstaigos.

Papildyta punktu:

Nr. D1-988, 2013-12-27, paskelbta TAR 2014-01-13, i. k. 2014-00154

14. Informacinių sistemų valdytojas:

15. Informacinių sistemų tvarkytojai:

16. Saugos įgaliotinio funkcijos, susijusios su Informacinių sistemų sauga:

17. Urėdijos saugos įgaliotinio funkcijos, susijusios su Informacinių sistemų sauga:

18. Agentūros saugos įgaliotinio funkcijos, susijusios su Informacinių sistemų sauga:

19. Administratorius atlieka funkcijas, susijusias su Naudotojų pasirengimo dirbti su informacinėmis sistemomis įvertinimu, Naudotojų teisėmis, Informacines sistemas sudarančiais komponentais (kompiuteriais, tarnybinėmis stotimis, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo sistemomis, duomenų perdavimo tinklais), šių komponentų sąranka, Informacinių sistemų pažeidžiamų vietų nustatymu, saugumo reikalavimų atitiktimi.

20. Teisės aktai, kuriais vadovaujamasi tvarkant Informacines sistemas ir šiose sistemose tvarkomus duomenis, užtikrinant jų saugą:

21. Informacinių sistemų duomenų konfidencialumo, vientisumo ir prieinamumo praradimas gali turėti neigiamą įtaką Ministerijos veiklai. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių 3.3.1 punktu, Informacinės sistemos priskiriamos trečiosios kategorijos informacinėms sistemoms.

22. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos standartą LST ISO/IEC 27005:2008, ne rečiau kaip kartą per metus organizuoja Informacinių sistemų rizikos vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos vertinimą. Informacinių sistemų rizikos veiksnių vertinimas atliekamas kokybiniu rizikos vertinimo metodu.

23. Informacinių sistemų rizikos vertinimas išdėstomas Rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausi rizikos veiksniai yra šie:

24. Atsižvelgęs į rizikos įvertinimo ataskaitą, Aplinkos ministerijos kancleris tvirtina rizikos valdymo priemonių planą, kuriame numatomas techninių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

25. Siekdami užtikrinti Nuostatų ir saugos politiką įgyvendinančių dokumentų nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, Saugos įgaliotinis, Urėdijos Saugos įgaliotinis ir Agentūros saugos įgaliotinis (toliau – Informacinių sistemų saugos įgaliotiniai) ne rečiau kaip kartą per dvejus metus organizuoja informacinių technologijų saugos atitikties vertinimą, kurio metu įvertinama realios duomenų saugos situacijos atitiktis Nuostatų reikalavimams.

26. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas. Planas tvirtinamas paskiriant atsakingus vykdytojus ir nustatant įgyvendinimo terminus. Planą tvirtina Aplinkos ministerijos kancleris.

27. Techninės, programinės ir organizacinės elektroninės informacijos saugos priemonės pasirenkamos taip, kad su kuo mažesnėmis išlaidomis būtų užtikrintas Informacinių sistemų veiklos tęstinumas ir saugus administratorių bei naudotojų darbas.

28. Prieiga prie Informacinių sistemų suteikiama tik autorizuotiems Naudotojams.

29. Kiekvienas Naudotojas yra unikaliai identifikuojamas – Naudotojas savo tapatybę patvirtina slaptažodžiu.

30. Prieiga Naudotojams suteikiama tik prie tų išteklių, kurie yra būtini tiesioginių pareigų vykdymui.

31. Prieiga prie Informacinių sistemų galioja darbuotojui dirbant Ministerijoje arba Ministerijai pavaldžioje institucijoje, arba kol prieigos panaikinimo neiniciuoja darbuotojo tiesioginis vadovas. Naudotoją atleidžiant iš darbo ar pareigų, prieiga prie Informacinių sistemų turi būti panaikinama nedelsiant.

32. Naudotoją priimant į darbą ar keičiant pareigas, Naudotojo tiesioginis vadovas užpildo prašymą, kuriame nurodo, kokia prieiga bus reikalinga. Šį prašymą pateikia informacinės sistemos administratoriui. Prieigos suteikimo prašymai rašytine forma turi būti saugomi tol, kol darbuotojas dirba, ir metus po jo atleidimo iš darbo (pareigų).

33. Ministerijos Teisės ir personalo departamento Personalo skyrius (toliau – Personalo skyrius) arba Ministerijai pavaldi institucija informuoja informacinės sistemos administratorių apie Naudotojo atleidimą iš darbo ar pareigų.

34. Ministerijoje arba Ministerijai pavaldžioje institucijoje turi būti naudojama programinė įranga, skirta apsaugai nuo kenksmingo kodo (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir pan.):

35. Apsaugai nuo kenksmingo kodo užtikrinti turi būti naudojamas nuolatinis Naudotojų kompiuterių ir serverių operacinių sistemų ir taikomųjų programų atnaujinimas. Operacinių sistemų ir taikomųjų programų atnaujinimas atliekamas pagal gamintojo rekomendacijas.

36. Naudotojų kompiuterių apsaugos priemonės turi būti valdomos (ugniasienių įjungimas ir konfigūravimas, antivirusinės programinės įrangos atnaujinimas, operacinių sistemų atnaujinimas) centralizuotai.

37. Antivirusinės programinės įrangos kenksmingo kodo aprašai turi būti atnaujinami ne rečiau kaip kartą per dieną.

38. Turi būti naudojama tik legali ir autorizuota programinė įranga.

39. Autorizuotos Ministerijos programinės įrangos sąrašą rengia Ministerijos Informacinių technologijų skyrius.

40. Siekiant nustatyti, ar Naudotojai naudoja legalią ir autorizuotą programinę įrangą, ne rečiau kaip kartą per metus atliekamas programinės įrangos auditas. Auditą organizuoja Informacinių sistemų saugos įgaliotiniai. Auditas atliekamas rizikos vertinimo metu, jo rezultatai įtraukiami į rizikos vertinimo ataskaitą.

41. Ministerijos duomenų perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacijų tinklų ugniasiene.

42. Konfigūruojant duomenų perdavimo tinklo ugniasienes, turi būti laikomasi principo „draudžiama viskas, išskyrus“, t. y. turi būti leidžiami tik būtini veiklai prisijungimai prie Ministerijos duomenų perdavimo tinklo.

43. Už duomenų perdavimo tinklo ugniasienių priežiūrą, ugniasienės valdymo sistemos priežiūrą ir tinkamą ugniasienių sąranką yra atsakingas ugniasienės administratorius.

44. Duomenų perdavimo tinklo ugniasienių sąrankos aprašymą rengia ugniasienės administratorius. Sąrankos aprašymą saugo ugniasienės administratorius. Ugniasienių sąranka peržiūrima ne rečiau kaip kartą per metus. Peržiūrą organizuoja ugniasienės administratorius.

45. Naudotojų kompiuteriai skirti tik Informacinių sistemų Naudotojų tiesioginių pareigų atlikimui.

46. Informacinių sistemų Naudotojams, kuriems būtinas prisijungimas iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie Informacinių sistemų galimybė.

47. Nuotolinis prisijungimas turi būti autorizuojamas. Autorizuotų nuotoliniam prisijungimui Naudotojų sąrašą rengia ir prižiūri ugniasienės administratorius. Sąrašas turi būti peržiūrimas ne rečiau kaip 2 kartus per metus.

48. Nuotolinio prisijungimo galimybė prie Informacinių sistemų suteikiama tik tiems Naudotojams, kuriems tai yra būtina atliekant tiesiogines pareigas.

49. Techninis nuotolinio prisijungimo sprendimas turi užtikrinti ne žemesnį, nei naudojamą vidiniam prisijungimui, saugumo lygį.

50. Nuotolinio prisijungimo techninis sprendimas privalo užtikrinti:

51. Turi būti daromos atsarginės elektroninės informacijos kopijos, kurios turi būti laikomos atskiroje patalpoje, apsaugotos nuo nepalankių išorės veiksnių poveikio. Atsarginės duomenų kopijos turi būti daromos ne rečiau kaip kartą per savaitę.

52. Atstatymas iš atsarginių kopijų privalo būti išbandomas ne rečiau kaip kartą per metus. Duomenų atstatymo išbandymą organizuoja Informacinių sistemų administratoriai. Reikalavimai Informacinių sistemų funkcionalumo atstatymui ir prieinamumui:

53. Informacinių sistemų saugos įgaliotiniai privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Techniniais saugos reikalavimais ir Bendraisiais reikalavimais, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą, standartais ir kitais su elektroninės informacijos sauga susijusiais dokumentais.

54. Informacinių sistemų administratorius privalo išmanyti informacijos saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, taip pat administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su Nuostatais. Personalui taikomi kvalifikaciniai reikalavimai nustatomi pareigybės aprašymuose.

55. Informacinių sistemų Naudotojai turi turėti kvalifikaciją (informacinių technologijų naudotojų kvalifikacijos kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL (Europos kompiuterio naudotojo pažymėjimas) naudotojo sertifikatas ar pan.) ir patirties dirbant su atitinkamomis operacinėmis sistemomis, taikomosiomis programomis.

56. Informacinių sistemų saugos įgaliotiniai periodiškai, bet ne rečiau kaip kartą per metus, inicijuoja Naudotojų mokymus elektroninės informacijos duomenų saugos klausimais.

57. Saugos įgaliotinis organizuoja Naudotojų rašytinį supažindinimą su Nuostatais ir saugos politiką įgyvendinančiais dokumentais bei atsakomybe už juose nustatytų reikalavimų nesilaikymą.

Punkto pakeitimai:

Nr. D1-913, 2014-11-14, paskelbta TAR 2014-11-18, i. k. 2014-17053

58. Urėdijos ir Agentūros saugos įgaliotiniai organizuoja pavaldžių institucijų Naudotojų rašytinį supažindinimą su Nuostatais ir saugos politiką įgyvendinančiais dokumentais bei atsakomybe už juose nustatytų reikalavimų nesilaikymą.

59. Informacinių sistemų saugos įgaliotiniai informuoja Naudotojus apie Nuostatų ar saugos politiką įgyvendinančių dokumentų pakeitimus.

60. Nuostatai yra privalomi Ministerijai ir Ministerijai pavaldžioms institucijoms, naudojančioms Informacines sistemas, Informacinių sistemų saugos įgaliotiniams, Informacinių sistemų administratoriams ir visiems Naudotojams.

61. Naudotojai, pažeidę šių Nuostatų ar saugos politiką įgyvendinančių dokumentų reikalavimus, atsako teisės aktų nustatyta tvarka.