Suvestinė redakcija nuo 2009-01-30 iki 2010-10-18
Įsakymas paskelbtas: Žin. 2008, Nr. 66-2522, i. k. 1082231ISAK000V-164
LIETUVOS RESPUBLIKOS
VYRIAUSIOJO VALSTYBINIO DARBO INSPEKTORIAUS
ĮSAKYMAS
DĖL DARBO SĄLYGŲ DARBO VIETOSE NUOLATINĖS STEBĖSENOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2008 m. birželio 5 d. Nr. V-164
Vilnius
Vadovaudamasis Valstybės informacinių sistemų steigimo ir įteisinimo taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), 8 punktu ir Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 punktu:
1. Tvirtinu Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos (toliau – DSS IS) duomenų saugos nuostatus (pridedama).
PATVIRTINTA
Lietuvos Respublikos vyriausiojo valstybinio
darbo inspektoriaus 2008 m. birželio 5 d.
įsakymu Nr. V-164
DARBO SĄLYGŲ DARBO VIETOSE NUOLATINĖS STEBĖSENOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos (toliau – DSS IS) duomenų saugos nuostatai (toliau – Nuostatai) reglamentuoja šios sistemos elektroninės informacijos ir duomenų (toliau – informacija) saugumo tikslus, svarbą, aprašo esamą būklę, nustato informacijos saugumo užtikrinimo prioritetines kryptis, pagrindinius keliamus saugos reikalavimus šiai sistemai, saugaus duomenų tvarkymo reikalavimus, DSS IS valdytojo ir tvarkytojo naudotojų (toliau – naudotojai) supažindinimo su saugos dokumentais gaires, atsakomybę už saugos dokumentų reikalavimų pažeidimus.
3. DSS IS duomenų saugos nuostatai parengti, vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. IV-172 (Žin., 2007, Nr. 53-2070).
4. Šiuose nuostatuose vartojamos sąvokos:
4.2. Grėsmė – potenciali nepageidaujamo incidento, galinčio sukelti žalos informacinei sistemai arba valstybės ar savivaldybės institucijai ar įstaigai, galimybė.
4.4. Elektroninės informacijos saugos incidentas (toliau – incidentas) – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie informacinės sistemos galimybę, sutrikdyti ar pakeisti informacinės sistemos veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas neleistinai elektroninę informaciją pasisavinti, paskleisti ar kitaip panaudoti.
4.5. Informacija – apibendrinti duomenys (faktų interpretavimas); šiuose Nuostatuose yra naudojamas sutrumpinimas „informacija“, apibrėžtas 1 punkte.
4.6. Kitos naudojamos sąvokos atitinka sąvokas, apibrėžtas šiuose Nuostatuose nurodytuose teisės aktuose, Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2008 m. balandžio 17 d. įsakymu Nr. V-1 10 „Dėl darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos nuostatų patvirtinimo“ patvirtintuose DSS IS nuostatuose (Žin., 2008, Nr. 49-1836) (toliau – DSS IS nuostatai) ir Lietuvos standarte LST ISO/IEC 17799:2006.
5. DSS IS informacijos saugumo tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti informaciją.
6. DSS IS informacijos saugumo svarba yra siejama su galimomis informacijos ir ryšių pažeidžiamumo grėsmėmis, kurias gali sukelti gamtos, infrastruktūros, technologiniai, organizaciniai ir žmogiškieji (tyčiniai ir netyčiniai) veiksniai. Neįdiegus reikalingų saugumo priemonių yra galima informacijos vertybių ir asmens privatumo teisės pažeidžiamumo rizika ir gali būti padaryta materialinė ir nematerialinė žala.
7. Esamą būklę apibūdina 2007 m. rugpjūčio 24 d. Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus patvirtinta Valstybinės darbo inspekcijos informacinėse sistemose tvarkomos elektroninės informacijos saugos rizikos vertinimo ataskaita.
8. DSS IS informacijos saugumo užtikrinimo prioritetinės kryptys:
9. DSS Is valdytojas (toliau – Valdytojas) ir tvarkytojas yra Lietuvos Respublikos valstybinė darbo inspekcija prie Socialinės apsaugos ir darbo ministerijos (toliau – Valstybinė darbo inspekcija), adresas – Algirdo g. 19, LT-03607 Vilnius.
11. Valdytojo vadovas yra Lietuvos Respublikos vyriausiasis valstybinis darbo inspektorius, kurio pagrindines funkcijas reglamentuoja Lietuvos Respublikos valstybinės darbo inspekcijos įstatymas (Žin., 2003, Nr. 102-4585).
12. Valdytojas skiria DSS IS saugos įgaliotinį (toliau – saugos įgaliotinis), kuris įgyvendina informacijos saugą DSS IS ir atsako už saugos dokumentų reikalavimų vykdymą.
13. Saugos įgaliotinis atlieka šias funkcijas:
13.1. teikia Valdytojo vadovui pasiūlymus dėl:
13.1.1. DSS IS administratoriaus (toliau – administratorius) skyrimo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);
13.2. koordinuoja informacijos saugos incidentų, įvykusių DSS IS, tyrimą, vadovaudamasis saugos incidentų tyrimo tvarka, numatyta Saugaus elektroninės informacijos tvarkymo taisyklėse;
13.4. periodiškai inicijuoja naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai);
14. Administratorius vykdo DSS IS priežiūrą. Administratorius:
14.1. atlieka funkcijas, susijusias su naudotojų pasirengimo dirbti su DSS IS įvertinimu, jų teisėmis, DSS IS sudarančiais komponentais (t. y. kompiuteriai, operacinės sistemos, duomenų bazių valdymo sistemos, taikomųjų programų sistemos, ugniasienės, įsilaužimų aptikimo sistemos, duomenų perdavimo tinklai), šių komponentų sąranka, DSS IS pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu;
14.2. atlikdamas DSS IS funkcijų pakeitimus, turi laikytis Valdytojo nustatytos DSS IS pokyčių valdymo tvarkos;
15. Kai yra skiriami keli administratoriai (administratorių grupė), turi būti aiškiai išdėstomos kiekvieno administratoriaus funkcijos ir vienam iš jų turi būti pavedama koordinuoti bei prižiūrėti kitų administratorių veiklą.
16. Naudotojai DSS IS informaciją tvarkyti gali tik susipažinę su saugos dokumentais ir sutikę laikytis jų reikalavimų.
17. Naudotojai, pastebėję saugos dokumentų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias informacijos saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai administratoriui, kuris apie tokius pažeidimus privalo informuoti saugos įgaliotinį. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią DSS IS saugą (jos konfidencialumą, vientisumą ar prieinamumą), saugos įgaliotinis apie tai turi pranešti kompetentingoms institucijoms.
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
19. DSS IS pagal joje tvarkomos elektroninės informacijos svarbą yra priskiriama antrajai kategorijai, remiantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), 3.2.7 punktu.
20. DSS IS informacijos sauga šiuose Nuostatuose suprantama kaip organizacinių ir techninių priemonių visuma, skirta užtikrinti informacijos:
20.1. konfidencialumą, siekiant, kad su DSS IS tvarkoma informacija galėtų susipažinti tik tam įgalioti asmenys;
20.2. vientisumą, siekiant, kad informacija nebūtų atsitiktiniu ar neteisėtu būdu pakeista ar sunaikinta;
21. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“ (toliau – Rizikos analizės vadovas), Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuoja DSS IS rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą.
22. Saugaus elektroninės informacijos tvarkymo taisyklėse yra nustatomi rizikos vertinimo kriterijai, kuriais vadovaujantis sprendžiama – rizika priimtina (kai ji nedidelė arba kai su ja susijusios priežiūros išlaidos būtų nerentabilios) ar ne.
23. Valdytojas kartą per kalendorinius metus, jei teisės aktai nenustato kitaip, išleidžia įsakymą dėl DSS IS rizikos įvertinimo. Šiame įsakyme nurodomas pagrindas rizikos įvertinimui atlikti, skiriami asmenys (ar sudaroma darbo grupė arba kviečiamas išorinis vertintojas) rizikos įvertinimo ataskaitai parengti, nustatomas rizikos įvertinimo atlikimo terminas ir apimtis. Nustatant apimtį, būtina atsižvelgti į visus rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Apimtį turi sudaryti informacinės sistemos komponentės:
24. DSS IS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje, kuri rengiama atsižvelgiant į Saugaus elektroninės informacijos tvarkymo taisyklėse numatytus rizikos veiksnius, galinčius turėti įtaką informacijos saugai.
25. Atliekant rizikos vertinimą:
25.1. yra analizuojama faktinė esamos situacijos būklė ir kiekvienam rizikos veiksniui yra nustatoma, kokios saugos priemonės yra įdiegtos, kokių trūksta;
26. Rengėjų pasirašyta rizikos vertinimo ataskaita yra pateikiama Valdytojo vadovui – Lietuvos Respublikos vyriausiajam valstybiniam darbo inspektoriui, kuris prireikus, atsižvelgdamas į ataskaitoje numatytas būtinas priemones, tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą ir jame nustato techninių, administracinių ir (ar) kitų išteklių poreikį, aprūpinimą ir įdiegimą rizikos valdymo priemonėms įgyvendinti.
27. DSS IS saugos priemonės parenkamos, siekiant užtikrinti DSS IS veiklos tęstinumą, patiriant kuo mažiau išlaidų ir užtikrinant saugų DSS IS darbą.
28. Valdytojo vadovas, vadovaudamasis Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 patvirtinta informacinių technologijų saugos atitikties vertinimo metodika (Žin., 2004, Nr. 80-2855) (toliau – Informacinių technologijų atitikties vertinimo metodika) ir kitais teisės aktais, kartą per kalendorinius metus, jei teisės aktai nenustato kitaip, išleidžia įsakymą dėl DSS IS informacinių technologijų saugos atitikties vertinimo. Šiame įsakyme yra nustatoma vertinimo apimtis, skiriami asmenys (ar sudaroma darbo grupė arba kviečiamas išorinis vertintojas). Apimtyje numatomos tokios užduotys:
28.3. patikrinti ne mažiau kaip 10 procentų atsitiktinai parinktų naudotojų kompiuterinių darbo vietų, taip pat visose tarnybinėse stotyse įdiegtas programas ir jų sąranką;
29. Neeilinis DSS IS rizikos įvertinimas turi būti atliekamas:
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
31. Metodai ir priemonės, kurie taikomi užtikrinant prieigą prie informacinės sistemos:
31.2. Prieigos prie DSS IS pagrindinės nuostatos:
31.2.1. Teisė dirbti su konkrečia informacija suteikiama konkrečiam naudotojui arba naudotojų grupei, vadovaujantis principu – „būtina darbui“ ir „būtina žinoti“.
31.2.2. „DSS IS priežiūros funkcijos atliekamos, naudojant atskirą tam skirtą administratoriaus identifikatorių, kuriuo galima būtų uždrausti atlikti naudotojo funkcijas;
Punkto pakeitimai:
Nr. V-31, 2009-01-23, Žin., 2009, Nr. 11-452 (2009-01-29), i. k. 1092231ISAK0000V-31
31.2.3. Kiekvienas naudotojas DSS IS yra unikaliai identifikuojamas – naudotojas turi patvirtinti savo tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone.
31.2.4. Administratorius registruoja ir išregistruoja naudotojus, suteikia jiems teises dirbti su duomenimis, vadovaujantis Naudotojų administravimo taisyklėmis ir Saugaus darbo su DSS IS duomenimis taisyklėmis.
31.2.5. DSS IS tarnybinių stočių įvykių žurnaluose (angl. event log) turi būti registruojami ir nustatytą laiką saugomi duomenys apie DSS IS įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis DSS IS, bandymus prieiti prie DSS IS išteklių, kitus saugai svarbius įvykius, nurodant naudotojo identifikatorių ir įvykio laiką; ši informacija turi būti reguliariai analizuojama;
Punkto pakeitimai:
Nr. V-31, 2009-01-23, Žin., 2009, Nr. 11-452 (2009-01-29), i. k. 1092231ISAK0000V-31
32. Programinės įrangos, skirtos apsaugoti informacinę sistemą nuo kenksmingos programinės įrangos, naudojimo nuostatos ir jos atnaujinimo reikalavimai:
32.1. Kompiuterinėse darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, kurios turi būti reguliariai atnaujinamos. Kenksmingų programų kontrolė turi būti grindžiama kenksmingų programų atpažinimo ir sistemos atitaisymo programine įranga, saugumo supratimu, tinkama sistemos prieiga ir valdymo priemonių keitimu, atsižvelgiant į rekomendacijas, nustatytas Lietuvos standarte LST ISO/IEC 17799 „informacijos technologija. Saugumo metodai. informacijos saugumo valdymo praktikos kodeksas (tapatus ISO/IEC 17799:2005)“.
Punkto pakeitimai:
Nr. V-31, 2009-01-23, Žin., 2009, Nr. 11-452 (2009-01-29), i. k. 1092231ISAK0000V-31
33. Programinės įrangos naudojimo nuostatos, ribojančios programinės įrangos, nesusijusios su DSS IS veikla ar naudotojo funkcijomis, naudojimą:
33.2. Naudotojams kompiuterinėse darbo vietose draudžiama patiems, be administratoriaus leidimo diegti bet kokias programas.
33.3. Baigus darbą DSS IS, turi būti imamasi priemonių, kad su informacija negalėtų susipažinti pašaliniai asmenys.
34. Kompiuterių tinklo filtravimo įrangos pagrindinės naudojimo nuostatos:
34.1. DSS IS vidinis tinklas turi būti atskirtas nuo išorinio tinklo ugniasiene, tokiu būdu dirbant DSS IS apribojamas naršymas ir apsaugoma DSS IS nuo žalingo pobūdžio interneto turinio, taip pat nuo kenksmingų programų.
35. Leistinos kompiuterių naudojimo ribos:
35.1. Kiekvienas kompiuteris yra priskiriamas atsakingam naudotojui; tokį priskyrimo sąrašą sudaro administratorius.
35.2. Draudžiama keisti savo kompiuterio konfigūraciją bei dalis, taip pat stacionarių kompiuterių išdėstymo vietas (išskyrus kambario viduje) be administratoriaus leidimo.
35.3. Nešiojamieji kompiuteriai, skirti DSS IS elektroninės informacijos tvarkymui, negali būti išnešami iš Valstybinės darbo inspekcijos patalpų, išskyrus jei yra būtina tarnybinėms funkcijoms vykdyti ir yra gautas Valdytojo vadovo ar jo įgalioto asmens leidimas, nurodant kompiuterio naudojimo tikslą ir laikotarpį, kuriam duodamas leidimas. Tokiems kompiuteriams administratorius įdiegia papildomas saugos priemones (šifravimas, papildomas tapatybės patvirtinimas, prisijungimo ribojimai, rakinimo įrenginių naudojimas ir pan.).
Punkto pakeitimai:
Nr. V-31, 2009-01-23, Žin., 2009, Nr. 11-452 (2009-01-29), i. k. 1092231ISAK0000V-31
36. Metodai, kurie leidžiami užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą:
36.1. Duomenys teikiami, naudojant Saugų valstybinį duomenų perdavimo tinklą. Informacinės sistemos elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacinių tinklų naudojant užkardą ar kitas priemones.
Punkto pakeitimai:
Nr. V-31, 2009-01-23, Žin., 2009, Nr. 11-452 (2009-01-29), i. k. 1092231ISAK0000V-31
36.2. Viešaisiais telekomunikaciniais tinklais perduodamos informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą, skirtines linijas, saugų valstybinį duomenų perdavimo tinklą ir (ar) kitas priemones.
36.5. Administratorius užtikrina, kad prieiga trečiajai šaliai nebūtų suteikta, kol nėra pasirašyta duomenų teikimo sutartis, kurioje numatyti naudotojų prieigos terminai, sąlygos ir saugos reikalavimai, ir kol nėra įgyvendintos būtinos DSS IS saugos priemonės.
36.6. Administratorius dalyvauja, sudarant duomenų teikimo (įskaitant gavimą) sutartis ir jose nustatant duomenų teikimo sąlygas.
37. Pagrindiniai elektroninės informacijos atsarginių kopijų darymo ir atkūrimo reikalavimai:
Punkto pakeitimai:
Nr. V-31, 2009-01-23, Žin., 2009, Nr. 11-452 (2009-01-29), i. k. 1092231ISAK0000V-31
37.1. Kopijų darymas turi būti fiksuojamas žurnale. Atsarginės kopijos turi būti 4 rūšių: dienos, savaitės, mėnesio ir metų. Turi būti saugoma ne mažiau kaip po 3 paskutiniąsias kiekvienos rūšies kopijas.
Punkto pakeitimai:
Nr. V-31, 2009-01-23, Žin., 2009, Nr. 11-452 (2009-01-29), i. k. 1092231ISAK0000V-31
37.2. Elektroninė informacija kopijose turi būti užšifruota arba turi būti imtasi kitų priemonių, neleidžiančių panaudoti kopijų neteisėtam elektroninės informacijos atkūrimui.
Punkto pakeitimai:
Nr. V-31, 2009-01-23, Žin., 2009, Nr. 11-452 (2009-01-29), i. k. 1092231ISAK0000V-31
37.3. Periodiškai turi būti atliekami elektroninės informacijos atkūrimo iš kopijų bandymai.
Punkto pakeitimai:
Nr. V-31, 2009-01-23, Žin., 2009, Nr. 11-452 (2009-01-29), i. k. 1092231ISAK0000V-31
37.4. Administratorius atsako už atsarginių kopijų darymą ir saugojimą, laikantis šių Nuostatų reikalavimų, Saugaus elektroninės informacijos tvarkymo taisyklių bei Veiklos tęstinumo valdymo plano.
37.5. Naudotojui turi būti sudaryta galimybė tęsti savo funkcijų įgyvendinimą. Turi būti užtikrintas informacinės sistemos prieinamumas ne mažiau kaip 96 proc. laiko visą parą. Veiklos tęstinumo valdymo planas turi užtikrinti DSS IS veiklos atkūrimą. Turi būti parengtas veiksmų planas, užtikrinantis DSS IS veiklos atnaujinimą per 1 valandą.
Punkto pakeitimai:
Nr. V-31, 2009-01-23, Žin., 2009, Nr. 11-452 (2009-01-29), i. k. 1092231ISAK0000V-31
37.6. Numatomos atsarginės patalpos, į kurias būtų galima laikinai perkelti DSS IS įrangą, nesant galimybių tęsti veiklą pagrindinėse patalpose. Atsarginės patalpos turėtų tenkinti pagrindinėms patalpoms keliamus reikalavimus. Veiklos tęstinumo valdymo planas turi užtikrinti DSS IS veiklos atnaujinimą atsarginėse patalpose per tokį laikotarpį, kad nebūtų nusižengta institucijos įsipareigojimams, susijusiems su informacinės sistemos veikla.
Punkto pakeitimai:
Nr. V-31, 2009-01-23, Žin., 2009, Nr. 11-452 (2009-01-29), i. k. 1092231ISAK0000V-31
38. Kiti reikalavimai:
38.1. Turi būti įdiegtos patalpų ir aplinkos saugumo užtikrinimo priemonės. Visose patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybų. Patekimas prie darbo vietų turi būti kontroliuojamas.
Punkto pakeitimai:
Nr. V-31, 2009-01-23, Žin., 2009, Nr. 11-452 (2009-01-29), i. k. 1092231ISAK0000V-31
38.4. informacijos (įskaitant kopijas) ir programinės įrangos saugojimo laikmenos turi būti tinkamai saugomos, naudojamos ir prižiūrimos.
38.5. Taikomoji programinė įranga (įskaitant jos pakeitimus) iki diegimo turi būti išbandoma bandomojoje aplinkoje, kurioje nėra konfidencialių duomenų ir kuri atskirta nuo eksploatuojamos DSS IS. Taikomoji programinė įranga turi būti prižiūrima.
38.6. Informacinė sistema turi perspėti administratorių, kai pagrindinėje DSS IS kompiuterinėje įrangoje sumažėja iki nustatytos pavojingos ribos laisvos kompiuterio atminties ar vietos diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja.
Papildyta papunkčiu:
Nr. V-31, 2009-01-23, Žin., 2009, Nr. 11-452 (2009-01-29), i. k. 1092231ISAK0000V-31
38.7. Saugaus elektroninės informacijos tvarkymo taisyklėse gali būti numatomi papildomi DSS IS saugos reikalavimai, atitinkantys Lietuvos Respublikos teisės aktus, valstybės institucijų rekomendacijas ir Lietuvos standartus.
Punkto numeracijos pakeitimas:
Nr. V-31, 2009-01-23, Žin., 2009, Nr. 11-452 (2009-01-29), i. k. 1092231ISAK0000V-31
IV. REIKALAVIMAI PERSONALUI
39. Kvalifikaciniai reikalavimai DSS IS dirbančiam personalui:
39.1. Saugos įgaliotiniu gali būti skiriamas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, kuris geba įgyvendinti informacijos saugą informacinėse sistemose. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis šiais Nuostatais, informacinių technologijų saugos atitikties vertinimo metodika, kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais DSS IS informacijos tvarkymą, turėti kvalifikaciją sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.
39.2. Administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, kuris geba atlikti informacinės sistemos priežiūrą. Administratorius privalo išmanyti darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugumą. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.
V. NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
41. Saugos įgaliotinis supažindina naudotojus su šiais Nuostatais ir kitais saugos dokumentais bei DSS IS nuostatais. Supažindinimas gali būti atliekamas naudotojų mokymų, kuriuos organizuoja DSS IS saugos įgaliotinis, metu. Susipažinimo faktas fiksuojamas žurnale, kurį saugo DSS IS saugos įgaliotinis. Su teisės aktais, išvardytais DSS IS nuostatuose, šiuose Nuostatuose ir saugos dokumentuose, naudotojas privalo susipažinti savarankiškai ir jais vadovautis, tvarkant informaciją, siekiant užtikrinti informacijos saugumą.
VI. BAIGIAMOSIOS NUOSTATOS
43. Saugos dokumentai turi būti peržiūrimi ne rečiau kaip kartą per metus ir visada po rizikos analizės ar informacinių technologijų saugos atitikties vertinimo atlikimo, taip pat įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams Valstybinėje darbo inspekcijoje. Prireikus saugos dokumentai turi būti tikslinami ir derinami su Vidaus reikalų ministerija.
44. Valdytojas užtikrina efektyvų ir spartų DSS IS funkcijų pokyčių (toliau – pokyčiai) valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas, įtakos vertinimą ir pokyčių prioritetų nustatymo procesus. Pokyčių valdymo tvarka yra nustatoma Saugaus elektroninės informacijos tvarkymo taisyklėse, vadovaujantis šiais pokyčių valdymo principais:
44.1. Asmuo, inicijuojantis pokytį, be Valdytojo vadovo rašytinio leidimo negali pokyčio pats įgyvendinti (siekiama, kad asmuo, planuojantis pokyčius, jų pats neįgyvendintų).
44.2. Funkcijos, susijusios su DSS IS plėtimu, turi būti aiškiai atskirtos nuo administravimo (eksploatavimo) funkcijų.
44.3. DSS IS sąrankos dokumentacija turi būti nuolat naujinama ir ji turi rodyti esamą DSS IS sąrankos būklę.
Pakeitimai:
1.
Valstybinė darbo inspekcija prie Socialinės apsaugos ir darbo ministerijos, Įsakymas
Nr. V-31, 2009-01-23, Žin., 2009, Nr. 11-452 (2009-01-29), i. k. 1092231ISAK0000V-31
Dėl Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2008 m. birželio 5 d. įsakymo Nr. V-164 "Dėl Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos duomenų saugos nuostatų patvirtinimo" pakeitimo