1. Lietuvos Respublikos jūrų laivų registro duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotu būdu tvarkyti Lietuvos Respublikos jūrų laivų registro (toliau – Registras) duomenis.

2. Saugos nuostatai reglamentuoja elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui, dirbančiam su Registru, Registro naudotojų supažindinimo su saugos dokumentais principus.

3. Saugos nuostatai parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866).

4. Registro duomenų saugos tikslas – užtikrinti registro duomenų elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. Registro duomenų saugumui užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo ir saugos priemonių projektavimo ir diegimo principus.

5. Pagrindinės šiuose Saugos nuostatuose vartojamos sąvokos:

Saugos politika – pagrindinės taisyklės, pagrindiniai taikytini informacijos saugos užtikrinimo ir valdymo principai, į kuriuos atsižvelgiant turi būti derinami informacinės sistemos veiklos ir naudojimo procesai, procedūros ir rengiami juos reglamentuojantys dokumentai;

Registro administratorius – Registro tvarkymo įstaigos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, atliekantis informacinių technologijų taikomųjų sistemų, duomenų bazių, tarnybinių stočių, tinklo ir kitos kompiuterinės įrangos priežiūrą;

Elektroninė informacija – visa informacija, kuri tvarkoma Registro priemonėmis. Tai programos, elektroninės bylos ir kita informacija, kuri saugoma, perduodama ir sukuriama kompiuteriu;

Elektroninės informacijos saugos incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie Registro galimybę, sutrikdyti ar pakeisti Registro veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas neleistinai elektroninę informaciją pasisavinti, paskleisti ar kitaip panaudoti;

Informacijos tvarkymas – visos su informacija atliekamos operacijos: rinkimas, užrašymas, klasifikavimas, grupavimas, kaupimas, saugojimas, keitimas, kopijavimas, sujungimas, atskleidimas, teikimas, naudojimas, naikinimas;

Kompiuterinė įranga – kompiuteriai, tarnybinės stotys, jų dalys, išoriniai įrenginiai (monitoriai, skeneriai, spausdintuvai bei kopijavimo aparatai, klaviatūros, pelės, garso kolonėlės, ausinės, filmavimo kameros, fotoaparatai, projektoriai ir pan.), kompiuterinio tinklo įranga, kompiuterinės bei tinklinės įrangos montavimo spintos, nepertraukiamo elektros maitinimo šaltiniai ir pan.;

Kompiuterių tinklas – tarnybinė stotis ir darbo vietų kompiuteriai, kompiuterine įranga (kabeliais ir kompiuterių tinklo aparatūra) sujungti į sistemą, siekiant užtikrinti vartotojams operatyvų pasikeitimą informacija, kolektyvinį kompiuterinės ir programinės įrangos naudojimą bei interneto paslaugas;

Programinė įranga – programos, skirtos kompiuterinei įrangai valdyti bei vartotojo uždaviniams spręsti kompiuteriu (operacinės sistemos, programavimo sistemos, biuro programų paketai, antivirusinės, archyvavimo bei kitos taikomosios programos);

Registro naudotojas – Registro tvarkymo įstaigos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, taip pat kitas asmuo, turintis teisę naudotis Registro duomenimis numatytoms funkcijoms atlikti;

Saugos įgaliotinis – Registro tvarkymo įstaigos valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, įgyvendinantis elektroninės informacijos saugą Registre.

Kitos Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos įstatymuose ir kituose teisės aktuose bei Lietuvos ir tarptautiniuose „Informacijos technologija. Saugumo metodai“ grupės standartuose, apibūdinančiuose saugų informacinės sistemos duomenų tvarkymą.

6. Saugos nuostatai privalomi visiems Registro naudotojams, saugos įgaliotiniui ir Registro administratoriui.

7. Saugos politiką apibrėžia Saugos nuostatai. Saugos nuostatus įgyvendina Lietuvos Respublikos jūrų laivų registro saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės), Lietuvos Respublikos jūrų laivų registro veiklos tęstinumo valdymo planas (toliau – Valdymo planas), Lietuvos Respublikos jūrų laivų registro naudotojų administravimo taisyklės (toliau – Administravimo taisyklės), kiti teisės aktai, reglamentuojantys Registro duomenų tvarkymo teisėtumą ir saugos valdymą.

8. Pagrindinės Registro duomenų saugumo užtikrinimo kryptys:

9. Vadovaujančioji Registro tvarkymo įstaiga yra Lietuvos Respublikos susisiekimo ministerija (toliau – Susisiekimo ministerija), Gedimino pr. 17, LT-01505 Vilnius. Susisiekimo ministerija yra ir Registre tvarkomų asmens duomenų valdytoja.

Registro tvarkymo įstaiga – Lietuvos saugios laivybos administracija (toliau – Administracija), J. Janonio g. 24, LT-92251 Klaipėda, Registro duomenis tvarko pagal Lietuvos Respublikos jūrų laivų registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2004 m. spalio 21 d. nutarimu Nr. 1318 (Žin., 2004, Nr. 156-5703), reikalavimus. Administracija yra Registre tvarkomų asmens duomenų tvarkytoja. Ji taip pat vykdo Registro duomenų bazės tvarkytojos funkcijas.

10. Susisiekimo ministro funkcijos ir atsakomybė:

11. Administracijos direktoriaus funkcijos ir atsakomybė:

12. Saugos įgaliotinio, įgyvendinančio Registro elektroninės informacijos saugą, funkcijos ir atsakomybė:

13. Registro administratoriaus funkcijos ir atsakomybė:

14. Registro duomenų sauga užtikrinama vadovaujantis Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488), Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Saugos dokumentų turinio gairėmis, Lietuvos standartu LST ISO/IEC 17799:2005, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, Saugos nuostatais, Tvarkymo taisyklėmis, Valdymo planu, Administravimo taisyklėmis, kitais teisės aktais, reglamentuojančiais saugų Registro duomenų tvarkymą.

15. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160; 2008, Nr. 127-4866), Registras priskiriamas antrajai informacinių sistemų kategorijai.

16. Registro duomenis sudaro bendrieji, specialieji ir technologiniai duomenys.

17. Registrą sudaro šie posistemiai:

18. Registro saugos priemonės parenkamos įvertinus galimus rizikos veiksnius Registro duomenų vientisumui ir prieinamumui.

19. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja Registro rizikos vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį Registro rizikos vertinimą.

20. Registro rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaitą rengia saugos įgaliotinis, atsižvelgęs į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausi rizikos veiksniai yra šie:

21. Lietuvos Respublikos susisiekimo ministras, atsižvelgdamas į rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

22. Rizikos veiksnių Registro duomenims, techninei, programinei įrangai, registravimo dokumentams, tikėtinumui vertinti Administracijoje naudojama penkiabalė rizikos veiksnių tikėtinumo ir žalos vertinimo metodika:

23. Siekiant užtikrinti šiuose nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kasmet organizuojamas informacinių technologijų saugos atitikties vertinimas, kurio metu:

24. Atlikus Saugos nuostatų 23 punkte nurodytą atitikties vertinimą, saugos įgaliotinis parengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus Lietuvos Respublikos susisiekimo ministras.

25. Prieigos prie Registro užtikrinimo metodai ir priemonės:

26. Registro duomenims apsaugoti nuo kenksmingos programinės įrangos Administracijoje naudojama antivirusinė programinė priemonė atnaujinama ne rečiau kaip kartą per savaitę.

27. Registro objektų duomenims saugiai rinkti, apdoroti, kaupti, saugoti, teikti kitiems registrams, informacinėms sistemoms, suinteresuotiems juridiniams ir fiziniams asmenims Administracijoje naudojamos programinės ir techninės įrangos naudojimą ribojančios pagrindinės priemonės, kuriose:

28. Saugos įgaliotinis, Registro administratorius Administracijoje turi organizuoti Registro programinės, techninės įrangos naudojimą ribojančių priemonių įgyvendinimą – periodiškai, ne rečiau kaip kartą per 3 mėnesius, patikrinti, ar nenaudojama nelegali programinė įranga; rasta nelegali programinė įranga turi būti nedelsiant pašalinta.

29. Registro duomenys laikomi tik stacionariuose darbo vietų kompiuteriuose. Bet kokia prieiga prie Registro duomenų iš nešiojamųjų kompiuterių yra draudžiama. Kompiuteriuose esanti informacija apsaugota operacinės sistemos ir vartotojo vardu bei slaptažodžiu. Kompiuteriuose negali būti jokios svarbios informacijos, išskyrus Registro naudotojo naudojamus darbo dokumentus. Registro duomenys iš kompiuterio pasiekiami tik naudojant Administracijos vidaus tinklą.

30. Viešaisiais telekomunikaciniais tinklais perduodamos elektroninės informacijos konfidencialumas užtikrinamas naudojant virtualų privatų tinklą.

31. Registro duomenų gavimo automatiniu būdu iš kitų informacinių sistemų tvarka nustatyta duomenų teikimo sutartyse.

32. Registro fizinę saugą Radiacinės saugos centre užtikrina šios saugos priemonės: signalizacija, įėjimo kontrolės sistema, apsauginės žaliuzės, stebėjimas vaizdo kamera ir kt.

33. Registrui administruoti naudojamas tarnybinių stočių operacines sistemas, techninę ir programinę įrangą, reikalingą Registro naudotojo funkcijoms vykdyti, diegia ir prižiūri tik Registro administratorius.

34. Registro programinės įrangos diegimą ar atnaujinimą turi atlikti tik Registro administratorius ar įgalioti asmenys.

35. Registro programinės įrangos testavimas turi būti atliekamas naudojant atskirą tam skirtą testavimo aplinką.

36. Už atsarginių Registro duomenų kopijų kūrimo periodiškumą ir saugojimą atsako Registro administratorius. Registro duomenų kopijų saugojimo priemonės, būdai ir vieta, kopijų atkūrimo tvarka, naikinimo tvarka bei asmens, atsakingo už Registro duomenų kopijų kūrimą, saugojimą, atkūrimą, sunaikinimą, teisės ir pareigos išdėstytos Saugaus elektroninės informacijos tvarkymo taisyklėse.

37. Registro objektų duomenims saugiai rinkti, apdoroti, sisteminti, kaupti, saugoti ir teikti kitiems registrams, informacinėms sistemoms, suinteresuotiems juridiniams ir fiziniams asmenims, kitiems duomenų gavėjams gali Registro naudotojai, susipažinę su Lietuvos Respublikos jūrų laivų registro nuostatais, registrų ir informacinių sistemų saugos politiką reglamentuojančiais teisės aktais.

38. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais Registro duomenų tvarkymą, standartais bei kitais dokumentais ir būti susipažinęs su esminiais reikalavimais, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti, kaip įgyvendinama saugos politika.

39. Registro administratorius privalo išmanyti informacijos saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugą, taip pat administruoti, prižiūrėti registrų ir informacinių sistemų duomenų bazes, turi būti susipažinęs su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais, taip pat kitomis vidaus ir darbo saugos taisyklėmis.

40. Registro naudotojai turi turėti atitinkamą kvalifikaciją (informacinių technologijų vartotojų kvalifikacijos kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL (Europos kompiuterio vartotojo pažymėjimas) vartotojo sertifikatas ir pan.) ir patirties (dirbant su atitinkamomis operacinėmis sistemomis, taikomosiomis programomis ir pan.).

41. Tvarkyti Registro duomenis gali tik Registro naudotojai, pasirašytinai susipažinę su saugos politiką įgyvendinančiais teisės aktais.

42. Registro naudotojams 1 kartą per metus pateikiamos darbo su Registru instrukcijos. Už instrukcijų pateikimą atsakingas saugos įgaliotinis.

43. Registro naudotojai privalo rūpintis tvarkomų duomenų sauga.

44. Esant elektroninės informacijos saugos incidentui, nenumatytai situacijai, saugos įgaliotinio, Registro administratorių, Registro naudotojų veiksmus reglamentuoja Valdymo planas.

45. Saugos įgaliotinis periodiškai inicijuoja Registro naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, pagal poreikį organizuojami susitikimai su Registro naudotojais, atmintinės naujai priimtiems darbuotojams).

46. Registro naudotojų supažindinimą pasirašytinai su šiais Saugos nuostatais ir kitais saugos politiką reglamentuojančiais dokumentais organizuoja bei informuoja Registro naudotojus apie Saugos nuostatų pakeitimus ar kitų saugos politiką įgyvendinančių teisės aktų pripažinimą netekusiais galios, keitimą ar priėmimą saugos įgaliotinis.

47. Saugos įgaliotinis reguliariai įvairiais būdais informuoja Registro naudotojus apie informacijos saugos problematiką.

48. Saugos nuostatai skelbiami Administracijos interneto svetainėje, kiti Registro saugos politiką įgyvendinantys teisės aktai skelbiami Administracijos vidiniame tinklalapyje.

49. Saugos nuostatai ir kiti saugos politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip vieną kartą per metus.

50. Administracija privalo įgyvendinti šiuose Saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose Registro duomenų saugų tvarkymą, nustatytas organizacines, technines ir kitas priemones.

51. Duomenys apie Registro duomenų tvarkytojų, Registro administratoriaus atliktus veiksmus su Registro duomenimis saugomi neterminuotai.

52. Registro naudotojai, saugos įgaliotinis ir Registro administratorius raštu įsipareigoja nepažeisti šių Saugos nuostatų ir kitų teisės aktų, reglamentuojančių Registro duomenų saugų tvarkymą.

53. Registro naudotojai, saugos įgaliotinis ir Registro administratorius, pažeidę Saugos nuostatų ar kitų saugos politiką įgyvendinančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.