1. Lietuvos Respublikos teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos Respublikos teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinėje sistemoje (toliau – TPDRIS) tvarkomos elektroninės informacijos (toliau – Elektroninė informacija) saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui ir TPDRIS naudotojų supažindinimo su saugos dokumentais principus.

2. Šiuose Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, (toliau – Aprašas) ir kituose teisės aktuose vartojamas sąvokas.

Punkto pakeitimai:

Nr. 1V-154, 2014-11-03, paskelbta TAR 2014-11-05, i. k. 2014-15779

3. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys ir tikslai:

4. TPDRIS valdytoja yra Valstybinė teritorijų planavimo ir statybos inspekcija prie Aplinkos ministerijos (buveinės adresas – A. Vienuolio g. 8, Vilnius).

5. TPDRIS tvarkytojai:

6. TPDRIS techninis administratorius – Inspekcijos viršininko įsakymu paskirtas Inspekcijos darbuotojas arba Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatyta tvarka Inspekcijos parinktas paslaugos teikėjas, atsakingas už TPDRIS techninės ir programinės įrangos priežiūrą.

Punkto pakeitimai:

Nr. 1V-154, 2014-11-03, paskelbta TAR 2014-11-05, i. k. 2014-15779

7. TPDRIS valdytojo funkcijos:

8. Informacinės sistemos tvarkytojų funkcijos:

9. TPDRIS saugos įgaliotinio funkcijos:

10. TPDRIS administratoriaus funkcijos:

11. TPDRIS techninio administratoriaus funkcijos:

12. Tvarkant Elektroninę informaciją ir užtikrinant jos saugumą vadovaujamasi:

13. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.2.4 ir 4.2.7 punktais, Elektroninė informacija priskiriama svarbios elektroninės informacijos kategorijai.

14. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.2 punktu, TPDRIS pagal Elektroninės informacijos svarbos kategoriją priskiriama antrai kategorijai.

15. Vadovaujantis Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintų Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12), 7.2 punktu, TPDRIS automatiniu būdu tvarkomų asmens duomenų saugumo lygis yra antrasis (dėl galimybės tvarkyti asmens duomenis duomenų bazėje, prie kurios yra prieiga per išorinius duomenų perdavimo tinklus).

Punkto pakeitimai:

Nr. 1V-154, 2014-11-03, paskelbta TAR 2014-11-05, i. k. 2014-15779

16. TPDRIS saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, kuri skelbiama Vidaus reikalų ministerijos interneto svetainėje (http://www.vrm.lt/Rizikos_analize.pdf), Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja TPDRIS rizikos įvertinimą. Prireikus TPDRIS saugos įgaliotinis gali organizuoti neeilinį TPDRIS rizikos įvertinimą. TPDRIS valdytojo vadovo rašytiniu pavedimu TPDRIS rizikos įvertinimą gali atlikti pats TPDRIS saugos įgaliotinis.

17. TPDRIS rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama TPDRIS valdytojo vadovui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos Elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai yra šie:

18. Atsižvelgdamas į rizikos įvertinimo ataskaitą, TPDRIS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

19. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas TPDRIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740, nustatyta tvarka.

Punkto pakeitimai:

Nr. 1V-154, 2014-11-03, paskelbta TAR 2014-11-05, i. k. 2014-15779

20. Elektroninės informacijos saugos priemonės yra parenkamos atsižvelgiant į poreikį ir TPDRIS valdytojo turimus resursus.

21. Elektroninės informacijos saugumą užtikrina TPDRIS techninė ir programinė įranga, kompetentingi TPDRIS tvarkytojai, TPDRIS saugos įgaliotinis, TPDRIS administratorius ir TPDRIS techninis administratorius.

22. Kompiuterizuotos darbo vietos, skirtos tvarkyti TPDRIS duomenis, turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai) jose įdiegtos antivirusinės programinės įrangos priemonėmis.

23. TPDRIS tarnybinėse stotyse ir kompiuterizuotose darbo vietose gali būti naudojama tik legali programinė įranga.

24. TPDRIS tarnybinėse stotyse turi būti naudojama programinė įranga, skirta kovoti su kenksminga programine įranga, atnaujinama automatiniu būdu ne rečiau kartą per parą.

25. TPDRIS funkcionuoti būtina programinė tarnybinių stočių ir TPDRIS naudotojų kompiuteriuose esanti programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kt.) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Už tarnybinių stočių programinės įrangos kontrolę atsako TPDRIS techninis administratorius.

26. TPDRIS tarnybinėse stotyse turi veikti tik su TPDRIS duomenų tvarkymu, TPDRIS naudotojų ir pačios įrangos administravimu susijusi programinė įranga.

27. TPDRIS tarnybinių stočių infrastruktūra turi būti pajungta prie interneto naudojant ugniasienes. Ugniasienių sąranka turi būti nustatyta taip, kad jos praleistų tiktai TPDRIS veikimui reikalingą elektroninių duomenų srautą.

28. Kompiuterizuotos darbo vietos, skirtos tvarkyti TPDRIS duomenis, turi būti naudojamos tik tam skirtose patalpose. Keičiant kompiuterizuotos darbo vietos paskirtį, visa joje saugoma konfidenciali informacija turi būti sunaikinta.

29. Elektroninės informacijos mainai tarp TPDRIS ir tvarkytojų vyksta šifruotu būdu, naudojant SSL/TLS technologiją.

30. Už Elektroninės informacijos atsarginių kopijų darymą, jų saugojimą ir atstatymą yra atsakingas TPDRIS techninis administratorius.

31. Elektroninės informacijos atsarginės kopijos yra daromos kartą per parą. Saugomos paskutinių 7 dienų kasdienės atsarginės kopijos, pastarojo pusmečio mėnesinės atsarginės kopijos. Atsarginės kopijos yra saugomos kitose patalpose.

Punkto pakeitimai:

Nr. 1V-154, 2014-11-03, paskelbta TAR 2014-11-05, i. k. 2014-15779

32. Stacionarūs ir nešiojamieji TPDRIS naudotojų kompiuteriai turi būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai; iš kompiuterių, kurie perduoti remontui ar techninei priežiūrai, turi būti pašalinta visa riboto naudojimo Elektroninė informacija.

33. Metodai, kuriais gali būti užtikrinamas saugus TPDRIS duomenų teikimas ir (ar) gavimas:

34. TPDRIS naudotojai turi turėti naudojimosi kompiuteriu įgūdžių, būti susipažinę su šiais Saugos nuostatais ir kitais TPDRIS saugos dokumentais.

35. TPDRIS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Aprašo, kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis.

36. TPDRIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

37. TPDRIS administratorius turi turėti naudojimosi kompiuteriu įgūdžių, gerai išmanyti TPDRIS veikimą, būti susipažinęs su šiais Saugos nuostatais ir kitais TPDRIS saugos dokumentais.

38. TPDRIS techninis administratorius privalo išmanyti Elektroninės informacijos saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugą, taip pat administruoti ir prižiūrėti TPDRIS, jos tarnybines stotis ir duomenų perdavimo tinklo įrangą, turi būti susipažinęs su šiais Saugos nuostatais ir kitais TPDRIS saugos dokumentais.

39. TPDRIS techninis administratorius privalo sugebėti užtikrinti IS techninės ir programinės įrangos nepertraukiamą funkcionalumą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų diagnostiką ir šalinimą, išmanyti elektroninės informacijos saugos principus, turi būti susipažinęs su Nuostatais bei kitais saugos politiką įgyvendinančiais dokumentais. TPDRIS naudotojų mokymai Elektroninės informacijos saugos tema vykdomi pagal poreikį. Už mokymų organizavimą yra atsakingas TPDRIS saugos įgaliotinis.

40. Tvarkyti TPDRIS duomenis gali tik įgalioti TPDRIS naudotojai, patvirtinę savo tapatybę per Elektroninių paslaugų portalą „Elektroniniai valdžios vartai“ ir pirmą kartą jungdamiesi prie TPDRIS patvirtinę, kad sutinka laikytis saugos dokumentuose nustatytų reikalavimų.

41. Pakartotinis supažindinimas su TPDRIS saugos dokumentais yra vykdomas elektroniniu paštu pasikeitus saugos dokumentams.

42. Saugos įgaliotinis organizuoja TPDRIS saugos dokumentų peržiūrą ne rečiau kaip kartą per metus. Saugos dokumentai turi būti peržiūrimi atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.

43. Informacinės sistemos naudotojai, pažeidę TPDRIS saugos dokumentų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.