NacionalinĖs ŽemĖs tarnybos
PRIE APLINKOS MINISTERIJOS
direktorius
ĮSAKYMAS
DĖL Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatų ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatų PATVIRTINIMO
2023 m. sausio 17 d. Nr. 1P-46-(1.3 E.)
Vilnius
Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 3 dalimi, 30 ir 31 straipsniais, Lietuvos Respublikos geodezijos ir kartografijos įstatymo 10 straipsnio 1 dalies 7 punktu, remdamasis Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 8, 11, 19 ir 26 punktais, Nacionalinės žemės tarnybos prie Aplinkos ministerijos nuostatų, patvirtintų Lietuvos Respublikos aplinkos ministro 2022 m. gruodžio 8 d. įsakymu Nr. D1-393 „Dėl Nacionalinės žemės tarnybos prie Aplinkos ministerijos nuostatų patvirtinimo“, 13.1 papunkčiu:
1. T v i r t i n u pridedamus:
1.1. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatus;
2. P a v e d u:
2.1. valstybės įmonės Žemės ūkio duomenų centro direktoriui per 10 darbo dienų nuo šio įsakymo įsigaliojimo dienos paskirti:
2.1.1. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo (toliau – LitPOS) saugos įgaliotinį;
2.2. LitPOS saugos įgaliotiniui per du mėnesius nuo šio įsakymo įsigaliojimo dienos pateikti Nacionalinės žemės tarnybos prie Aplinkos ministerijos direktoriui tvirtinti:
2.2.1. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo saugaus elektroninės informacijos tvarkymo taisyklių projektą;
2.2.2. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos tęstinumo valdymo plano projektą;
Direktoriaus pavaduotojas,
atliekantis direktoriaus funkcijas Saulius Mocevičius
| SUDERINTA Lietuvos Respublikos žemės ūkio ministerijos 2022-05-20 raštu Nr. 2D-1483 (12.145 E) |
|
SUDERINTA Lietuvos Respublikos vidaus reikalų ministerijos 2022-05-17 raštu Nr. 1D-2712 |
|
SUDERINTA Lietuvos Respublikos ekonomikos ir inovacijų ministerijos 2022-12-29 raštu Nr. 3-5464 |
|
|
|
|
|
|
| SUDERINTA Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos 2022-05-24 raštu Nr. (4.1 E) 6K-463 |
|
SUDERINTA Valstybinės duomenų apsaugos inspekcijos 2022-12-28 raštu Nr. 2R-68 (3.2.Mr) |
|
SUDERINTA Valstybės įmonės Distancinių tyrimų ir geoinformatikos centro „GIS-Centras“ 2022-05-20 raštu Nr. 3-5464 |
PATVIRTINTA
Nacionalinės žemės tarnybos
prie Aplinkos ministerijos
direktoriaus 2023 m. sausio 17 d.
įsakymu Nr. 1P-46-(1.3 E.)
LIETUVOS RESPUBLIKOS GLOBALINĖS PADĖTIES NUSTATYMO SISTEMOS NUOLATINIŲ STOČIŲ TINKLO NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatai (toliau – Nuostatai) reglamentuoja Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo (toliau – LitPOS) steigimo teisinį pagrindą, tikslus, uždavinius, funkcijas, organizacinę, informacinę, funkcinę struktūras, duomenų naudojimo ir teikimo tvarką, duomenų saugos reikalavimus, finansavimą, modernizavimą ir likvidavimą.
2. LitPOS teisinis steigimo pagrindas:
3. LitPOS tvarkoma vadovaujantis:
3.5. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Aprašas);
3.6. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas);
3.7. Elektroninių paslaugų kūrimo metodika, patvirtinta Lietuvos Respublikos susisiekimo ministro 2015 m. spalio 7 d. įsakymu Nr. 3-416(1.5 E) „Dėl metodinių dokumentų patvirtinimo“;
3.8. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas);
3.9. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Bendrasis duomenų apsaugos reglamentas);
4. Šiuose Nuostatuose vartojamos sąvokos atitinka Geodezijos ir kartografijos įstatyme, Valstybės informacinių išteklių valdymo įstatyme, Bendrųjų saugos reikalavimų apraše, Lietuvos standarte LST EN ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, Lietuvos standarte LST EN ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir kituose Lietuvos Respublikos ir Europos Sąjungos teisės aktuose apibrėžtas sąvokas.
5. LitPOS tikslas – informacinių technologijų priemonėmis rinkti, kaupti ir realiuoju laiku teikti geodezinio pagrindo duomenis.
6. LitPOS paskirtis – apskaičiuoti ir eliminuoti globalinės padėties nustatymo sistemų (toliau – GPNS) matavimo priemonėmis gaunamas GPNS palydovų signalų paklaidas, naudojant GPNS matavimo įrangą objektų erdvinei padėčiai žemės paviršiuje Lietuvos Respublikos teritorijoje nustatyti, ir pagal šias pataisas pakoreguotus geodezinio pagrindo duomenis telekomunikacinėmis ryšio priemonėmis teikti LitPOS naudotojams.
7. LitPOS uždaviniai:
7.1. centralizuoti LitPOS nuolatinėse stotyse gaunamų duomenų iš GPNS surinkimą, sisteminimą bei kaupimą;
7.2. automatizuoti GPNS palydovų signalų paklaidų apskaičiavimus ir teikti LitPOS naudotojams elektroninę paslaugą, leidžiančią gauti pataisas erdvės taškų Lietuvos Respublikos teritorijoje valstybinės 1994 metų Lietuvos koordinačių sistemos (toliau – LKS 94) geodezinėms koordinatėms ir Lietuvos valstybinės aukščių sistemos LAS07 (toliau – LAS07) normaliniams aukščiams nustatyti;
7.3. automatizuoti su LitPOS funkcionalumu susijusių valstybinio geodezinio pagrindo komponentų tikslinimą ir tobulinimą;
8. LitPOS pagrindinės funkcijos yra:
8.1. priimti ir registruoti GPNS palydovų signalų duomenis visoje Lietuvos Respublikos teritorijoje išdėstytose GPNS nuolatinėse stotyse;
8.2. realiuoju laiku priimti ir registruoti kaimyninių valstybių analogiškų tinklų nuolatinėse stotyse surinktus duomenis;
8.3. LitPOS duomenų tvarkymo centre apdoroti LitPOS nuolatinėse stotyse surinktus duomenis ir apskaičiuoti pataisas erdvės taškų LKS 94 geodezinėms koordinatėms ir LAS07 normaliniams aukščiams nustatyti realiuoju laiku;
8.4. realiuoju laiku teikti pagal apskaičiuotas GPNS palydovų signalų pataisas pakoreguotus geodezinio pagrindo duomenis LitPOS naudotojams telekomunikacinėmis ryšio priemonėmis;
9. Asmens duomenų tvarkymo LitPOS tikslai:
II SKYRIUS
LitPOS ORGANIZACINĖ STRUKTŪRA
11. LitPOS valdytojas:
11.1. atlieka Valstybės informacinių išteklių valdymo įstatyme nustatytas funkcijas ir turi šiame įstatyme nurodytas teises ir pareigas;
11.3. planuoja valstybės biudžeto lėšų poreikį LitPOS tvarkymui, plėtrai ir modernizavimui įgyvendinti ir teikia jį Lietuvos Respublikos aplinkos ministerijai;
13. LitPOS tvarkytojas:
13.1. atlieka Valstybės informacinių išteklių valdymo įstatyme nustatytas funkcijas ir turi šiame įstatyme nurodytas teises ir pareigas;
13.2. kas pusmetį, iki liepos 31 d. ir iki sausio 31 d., teikia LitPOS valdytojui LitPOS veiklos ataskaitą bei rekomendacijas dėl LitPOS eksploatavimo ir tobulinimo;
13.3. užtikrina LitPOS duomenų tinkamą kokybę, konsultuoja LitPOS naudotojus LitPOS duomenų teikimo ir naudojimo klausimais, teikia LitPOS naudotojams informaciją apie LitPOS kokybės parametrus;
13.4. teikia Nuostatų 22 punkte nurodytiems asmenims informaciją apie LitPOS naudotojams realiu laiku teiktus geodezinio pagrindo duomenis;
13.6. tikslina ir tobulina su LitPOS funkcionalumu susijusius valstybinio geodezinio pagrindo komponentus – Lietuvos Respublikos GPNS, gravimetrinį ir vertikalųjį tinklus bei kvazigeoido modelį;
13.7. palaiko integralumą su Europos geodeziniais tinklais, užtikrinant LitPOS patikimumą, stabilumą ir tvarumą;
14. LitPOS naudotojai – Lietuvos Respublikos bei užsienio fiziniai asmenys ir juridinių asmenų, juridinio asmens statuso neturinčių subjektų, jų filialų ir atstovybių atstovai, naudojantys GPNS matavimo įrangą objektų erdvinei padėčiai žemės paviršiuje Lietuvos Respublikos teritorijoje nustatyti.
15. LitPOS naudotojai:
15.3. pagal LitPOS duomenis nustato erdvinę objekto padėtį žemės paviršiuje Lietuvos Respublikos teritorijoje;
16. LitPOS valdytojas yra LitPOS tvarkomų asmens duomenų valdytojas, LitPOS tvarkytojas yra LitPOS tvarkomų asmens duomenų tvarkytojas.
17. LitPOS valdytojas užtikrina, kad asmens duomenys LitPOS būtų tvarkomi laikantis Bendrajame duomenų apsaugos reglamente ir kituose asmens duomenų tvarkymo veiklą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.
18. LitPOS tvarkytojas Nuostatų 9 punkte nustatytais tikslais tvarko LitPOS naudotojų asmens duomenis tiek, kiek būtina, norint tinkamai vykdyti LitPOS tvarkytojo funkcijas, laikantis asmens duomenų tvarkymo sutarties, sudarytos tarp LitPOS valdytojo ir LitPOS tvarkytojo pagal Bendrojo duomenų apsaugos reglamento 28 straipsnio 3 dalį.
III SKYRIUS
LitPOS INFORMACINĖ STRUKTŪRA
19. LitPOS tvarkomi šie duomenys:
19.1. LitPOS GPNS nuolatinėse stotyse priimti ir į duomenų tvarkymo centrą perduoti duomenys iš GPNS palydovų pagal RINEX (Receiver Independent Exchange) formatą (LitPOS nuolatinės stoties punkto geodezinės geocentrinės koordinatės, GPNS palydovų kodai, laiko žyma, pseudoatstumai nuo LitPOS stoties antenos iki GPNS palydovų, GNPS palydovų signalų nešlių fazių poslinkių reikšmės, GPNS palydovų signalų nešlių Doplerio poslinkių reikšmės);
19.3. jonosferos modelio parametrai ties GPNS nuolatinėmis stotimis (jonosferos I95 indekso reikšmės);
19.4. valstybinio geodezinio pagrindo – LKS-94 geodezinių koordinačių ir LAS07 parametrai (LitPOS stočių punktų elipsoidinės ir plokštuminės koordinatės, elipsoidiniai ir normaliniai aukščiai);
19.6. LitPOS GPNS įrangos antenų kalibravimo rezultatai (pataisos GPNS palydovų signalų paklaidoms pašalinti);
19.7. duomenys realiu laiku matuojamų taškų patikslintoms geodezinėms koordinatėms bei aukščiams nustatyti (apskaičiuotos pataisos GPNS palydovų signalų paklaidoms pašalinti);
19.8. geodezinio pagrindo duomenys (pagrindinių geodezinių tinklų punktų LKS-94 elipsoidinės ir plokštuminės koordinatės ir elipsoidiniai aukščiai bei LAS07 normaliniai aukščiai);
19.9. informacija apie LitPOS naudotojams realiu laiku teiktus geodezinio pagrindo duomenis: LitPOS naudotojo prisijungimo vardas, duomenų teikimo sesijos laiko žyma, duomenų teikimo sesijos pradžios vietos apytikslės geodezinės koordinatės;
19.10. LitPOS naudotojų prisijungimo ir asmens duomenys (LitPOS naudotojo prisijungimo vardas, slaptažodis, vardas, pavardė, telefono numeris, el. pašto adresas, individualios veiklos pažymos numeris (jeigu LitPOS naudotojas tokį turi), taip pat kiti LitPOS naudotojų duomenys (juridinio asmens pavadinimas ir juridinio asmens kodas (jeigu LitPOS naudotojas dirba juridiniame asmenyje)).
IV SKYRIUS
LitPOS FUNKCINĖ STRUKTŪRA
20. LitPOS funkcinę struktūrą sudaro šie posistemiai:
20.1. tolygiai šalies teritorijoje išdėstytos GPNS nuolatinės stotys, kurios priima GPNS palydovų signalų duomenis Lietuvos Respublikos teritorijoje ir perduoda šiuos duomenis į duomenų tvarkymo centrą;
20.2. duomenų tvarkymo centro posistemis, kuriame realiu laiku apdorojami LitPOS nuolatinėse stotyse surinkti duomenys, apskaičiuojamos pataisos GPNS palydovų signalų paklaidoms realiu laiku pašalinti. Šį posistemį sudaro:
20.2.1. geodezinio pagrindo duomenų teikimo realiu laiku DGPSNet (angl. Differential Global Positioning System) modulis, kurio funkcija – greitas mažo tikslumo geodezinio pagrindo duomenų teikimas LitPOS naudotojams realiu laiku;
20.2.2. geodezinio pagrindo duomenų teikimo realiu laiku RTKNet modulis, kurio funkcija – realiu laiku teikti LitPOS naudotojams didelio tikslumo geodezinio pagrindo duomenis;
20.2.3. geodezinio pagrindo duomenų teikimo, kai matavimo duomenys apdorojami ne matavimo metu, GPPS modulis, kurio funkcija – atlikus matavimus, teikti matavimo laikotarpio geodezinio pagrindo duomenis, kuriuos LitPOS naudotojai atsisiunčia iš duomenų tvarkymo centro;
20.2.4. LitPOS interaktyvių elektroninių paslaugų teikimo modulis, kurio funkcija – teikti LitPOS naudotojams informaciją apie LitPOS naudojimą (prisijungimų prie LitPOS datą, laiką ir vietą) bei su juo susijusias elektronines paslaugas;
20.2.5. LitPOS interneto svetainė – Lietuvos erdvinės informacijos portalo LitPOS teminė sritis, kurioje LitPOS naudotojai realiu laiku užpildo ir pateikia LitPOS tvarkytojui elektroninę registracijos formą, gauna informaciją apie LitPOS būseną bei kitą reikalingą informaciją apie LitPOS;
20.2.6. LitPOS administravimo modulis, skirtas administruoti LitPOS naudotojų, LitPOS tvarkančių asmenų įgaliojimus ir teises, valdyti vidinius ir išorinius LitPOS duomenų srautus;
V SKYRIUS
LitPOS DUOMENŲ TEIKIMAS IR NAUDOJIMAS
21. LitPOS duomenys yra vieši, išskyrus LitPOS duomenis, nurodytus Nuostatų 19.9 ir 19.10 papunkčiuose, ir teikiami neatlygintinai.
22. LitPOS duomenys, nurodyti Nuostatų 19.9 papunktyje, teikiami juridinių asmenų, kuriems atstovauja LitPOS naudotojai, atstovams (tik su tų juridinių asmenų atstovų prisijungimais prie LitPOS susiję duomenys) bei gali būti teikiami LitPOS veikimui užtikrinti reikalingų paslaugų teikėjams, taip pat valstybės ir savivaldybių institucijoms teisės aktuose nustatytoms funkcijoms atlikti teisės aktų nustatyta tvarka pagal pateiktą prašymą. Nuostatų 19.10 papunktyje nurodyti duomenys yra skirti tik vidiniam naudojimui ir gali būti teikiami tik valstybės ir savivaldybių institucijoms teisės aktuose nustatytoms funkcijoms atlikti teisės aktų nustatyta tvarka pagal pateiktą prašymą. Prašymuose pateikti LitPOS naudotojo asmens duomenis turi būti nurodytas asmens duomenų gavimo tikslas, teisinis pagrindas ir asmens duomenų apimtis.
23. LitPOS duomenys, nurodyti Nuostatų 19.1–19.8 papunkčiuose, teikiami elektroninėmis ryšio priemonėmis.
24. LitPOS duomenys teikiami tokio turinio ir tokio formato, kurie LitPOS tvarkytojo jau yra naudojami ir jiems nereikia papildomo duomenų apdorojimo.
27. LitPOS naudotojai, pageidaujantys gauti LitPOS duomenis, turi užsiregistruoti LitPOS tvarkytojo interneto svetainėje www.geoportal.lt, t. y. užpildyti ir išsiųsti LitPOS tvarkytojui elektroninę registracijos formą, ir turėti GPNS matavimo įrangą objektų erdvinei padėčiai žemės paviršiuje nustatyti.
28. LitPOS duomenys Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka.
VI SKYRIUS
LitPOS DUOMENŲ SAUGA
29. Už LitPOS elektroninės informacijos saugą pagal kompetenciją atsako LitPOS valdytojas ir LitPOS tvarkytojas.
30. LitPOS duomenų sauga organizuojama vadovaujantis Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatais ir saugos politiką įgyvendinančias dokumentais – Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo saugaus elektroninės informacijos tvarkymo taisyklėmis, Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos tęstinumo valdymo planu ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo naudotojų administravimo taisyklėmis.
31. Tvarkant ir saugant LitPOS duomenis, turi būti įgyvendintos duomenų saugos organizacinės ir techninės priemonės, skirtos LitPOS duomenų konfidencialumui, prieinamumui, vientisumui ir autentiškumui užtikrinti bei apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, naudojimo, atskleidimo, taip pat bet kokio kito neteisėto tvarkymo. Minėtos priemonės turi užtikrinti tokio lygio saugumą, kuris atitiktų saugotinų LitPOS duomenų pobūdį.
32. LitPOS duomenų sauga užtikrinama vadovaujantis Bendruoju duomenų apsaugos reglamentu, Kibernetinio saugumo įstatymu, Valstybės informacinių išteklių valdymo įstatymu, Bendrųjų saugos reikalavimų aprašu, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašu, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patirtinimo“, Lietuvos standartu LST EN ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, Lietuvos standartu LST EN ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, kitais Lietuvos ir tarptautiniais standartais, apibūdinančiais saugų informacinės sistemos duomenų tvarkymą, ir kitais teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, saugojimą ir sunaikinimą.
33. Asmenys, kurie tvarko asmens duomenis, privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga galioja perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.
34. LitPOS duomenys saugomi nustatytą terminą:
34.1. LitPOS duomenys, nurodyti Nuostatų 19.1 papunktyje, saugomi 1 (vienerius) metus nuo jų gavimo datos;
34.2. LitPOS duomenys, nurodyti Nuostatų 19.4, 19.7 ir 19.8 papunkčiuose, saugomi visą LitPOS gyvavimo laikotarpį;
34.3. LitPOS duomenys, nurodyti Nuostatų 19.2 ir 19.3 papunkčiuose, tvarkomi realiu laiku ir nėra saugomi;
34.4. LitPOS duomenys, nurodyti Nuostatų 19.5 ir 19.6 papunkčiuose, saugomi 2 (dvejus) metus nuo jų gavimo datos. Pasibaigus šiam terminui, šie duomenys perkeliami į LitPOS archyvą ir jame saugomi 10 (dešimt) metų;
35. LitPOS naudotojo prieiga laikoma aktyvia iki tol, kol LitPOS naudotojas pateikia LitPOS tvarkytojui prašymą jį išregistruoti, bet ne ilgiau kaip 3 (trejus) metus nuo paskutinio LitPOS naudotojo prisijungimo. Ilgiau kaip 3 (trejus) metus nenaudojamą LitPOS naudotojo prieigą LitPOS tvarkytojas panaikina, ne vėliau kaip prieš 20 darbo dienų apie LitPOS naudotojo prieigos naikinimą LitPOS naudotoją informavęs elektroniniu paštu.
VII SKYRIUS
LitPOS FINANSAVIMAS
VIII SKYRIUS
LitPOS MODERNIZAVIMAS IR LIKVIDAVIMAS
38. LitPOS modernizuojamas ir likviduojamas Valstybės informacinių išteklių valdymo įstatymo, Aprašo ir kitų teisės aktų nustatyta tvarka.
IX SKYRIUS
BAIGIAMOSIOS NUOSTATOS
40. LitPOS valdytojas įgyvendina LitPOS naudotojų, kurie tuo pačiu metu yra ir duomenų subjektai, teises vadovaujantis Bendruoju duomenų apsaugos reglamentu ir LitPOS valdytojo patvirtintomis Duomenų subjekto teisių įgyvendinimo Nacionalinėje žemės tarnyboje prie Aplinkos ministerijos taisyklėmis, patvirtintomis Nacionalinės žemės tarnybos prie Žemės ūkio ministerijos direktoriaus 2019 m. sausio 29 d. įsakymu Nr. 1P-26-(1.3 E.) „Dėl Duomenų subjekto teisių įgyvendinimo Nacionalinėje žemės tarnyboje prie Aplinkos ministerijos taisyklių patvirtinimo“.
PATVIRTINTA
Nacionalinės žemės tarnybos
prie Aplinkos ministerijos
direktoriaus 2023 m. sausio 17 d.
įsakymu Nr. 1P-46-(1.3 E.)
Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos NUOSTATAI
I Skyrius
BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo (toliau – LitPOS) elektroninės informacijos saugos politiką, organizacines, technines, programines, teisines ir kitas priemones, užtikrinančias saugų LitPOS elektroninės informacijos tvarkymą.
2. LitPOS elektroninės informacijos saugos užtikrinimo tikslas – garantuoti LitPOS tvarkomos elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą bei LitPOS veiklos tęstinumą.
3. LitPOS elektroninės informacijos sauga užtikrinama reguliariai vertinant LitPOS elektroninės informacijos saugumo riziką, rizikos vertinimo pagrindu parenkant ir taikant rizikos valdymo priemones, naudojant organizacines ir technines elektroninės informacijos apsaugos priemones.
4. Saugos nuostatuose vartojamos sąvokos:
4.1. LitPOS administratorius – LitPOS tvarkytojo vadovo įsakymu paskirtas darbuotojas, dirbantis pagal darbo sutartį, atliekantis LitPOS priežiūrą, užtikrinantis jo veikimą ir LitPOS elektroninės informacijos saugą;
4.2. LitPOS duomenų valdymo įgaliotinis – LitPOS tvarkytojo struktūrinio padalinio, atsakingo už LitPOS tvarkymo funkcijų atlikimą, vadovas;
4.3. LitPOS tvarkantis asmuo – LitPOS tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, ar kitas asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis LitPOS elektroninę informaciją;
5. Kitos Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu
Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patirtinimo“ (toliau – Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas), Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatuose (toliau – LitPOS nuostatai), Lietuvos standarte LST EN ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir Lietuvos standarte LST EN ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, kituose Lietuvos ir tarptautiniuose standartuose, apibūdinančiuose saugų informacinės sistemos duomenų tvarkymą.
6. LitPOS elektroninės informacijos saugą užtikrinančių priemonių įgyvendinimo prioritetinės kryptys:
6.1. reguliari įstatymų ir kitų teisės aktų, reglamentuojančių elektroninės informacijos saugą, pokyčių stebėsena ir operatyvus LitPOS elektroninės informacijos saugos politikos įgyvendinamųjų teisės aktų atnaujinimas;
6.2. priemonių ir veiklos procesų, nurodytų LitPOS elektroninės informacijos saugos politikos įgyvendinamuosiuose teisės aktuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, įgyvendinimas;
7. Saugos nuostatai reglamentuoja LitPOS saugos politiką (toliau – saugos politika). Saugos politika įgyvendinama vadovaujantis Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo saugaus elektroninės informacijos tvarkymo taisyklėmis (toliau – LitPOS saugaus elektroninės informacijos tvarkymo taisyklės), Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos tęstinumo valdymo planu, Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo naudotojų administravimo taisyklėmis (toliau – LitPOS naudotojų administravimo taisyklės) (toliau kartu – LitPOS saugos dokumentai) ir kitais teisės aktais, reglamentuojančiais LitPOS duomenų tvarkymo teisėtumą ir saugų duomenų valdymą.
8. Saugos nuostatai, LitPOS saugos dokumentai privalomi:
8.1. LitPOS valdytojui – Nacionalinei žemės tarnybai prie Aplinkos ministerijos, Gedimino pr. 19, LT-01103 Vilnius;
8.2. LitPOS tvarkytojui – valstybės įmonei Žemės ūkio duomenų centrui,
Vinco Kudirkos g. 18-1, LT-00105 Vilnius;
9. LitPOS valdytojas atsako už saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir LitPOS elektroninės informacijos tvarkymo teisėtumą bei atlieka šias funkcijas:
9.2. kontroliuoja, kaip laikomasi LitPOS nuostatuose, Saugos nuostatuose, LitPOS saugos dokumentuose ir kituose elektroninės informacijos saugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų;
9.3. priima sprendimą dėl LitPOS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;
9.4. priima sprendimus dėl LitPOS techninių ir programinių priemonių, būtinų LitPOS elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
9.5. paveda LitPOS tvarkytojui skirti LitPOS saugos įgaliotinį, LitPOS administratorių ir LitPOS duomenų valdymo įgaliotinį;
10. LitPOS tvarkytojas atsako už LitPOS elektroninės informacijos saugos įgyvendinimą, reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose bei kituose LitPOS saugos dokumentuose nustatyta tvarka ir:
10.1. pagal kompetenciją įgyvendina LitPOS nuostatų, Saugos nuostatų, LitPOS saugos dokumentų ir kitų elektroninės informacijos saugą reglamentuojančių teisės aktų reikalavimus;
10.2. užtikrina, kad LitPOS elektroninė informacija būtų apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio neteisėto veiksmo;
10.3. užtikrina LitPOS techninę priežiūrą, užtikrina nepertraukiamą LitPOS veikimą, LitPOS elektroninės informacijos saugą ir saugų LitPOS elektroninės informacijos perdavimą kompiuterių tinklais;
10.4. teikia pasiūlymus LitPOS valdytojui dėl LitPOS elektroninės informacijos saugos tobulinimo, LitPOS techninių ir programinių priemonių, būtinų LitPOS elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
10.7. užtikrina, kad LitPOS tvarkantys asmenys laikytųsi nuostatų, išvardytų Saugos nuostatuose ir LitPOS saugos dokumentuose;
11. LitPOS saugos įgaliotinis koordinuoja ir prižiūri LitPOS saugos politikos įgyvendinimą, atsako už LitPOS saugos dokumentų reikalavimų vykdymą bei atlieka šias funkcijas:
11.2. ne rečiau kaip vieną kartą per dvejus metus atlieka LitPOS saugumo reikalavimų atitikties vertinimą, nurodytą Saugos nuostatų 23 punkte, ir rengia LitPOS informacinių technologijų saugos atitikties vertinimo ataskaitą, o prireikus – LitPOS trūkumų šalinimo planą;
11.3. teikia LitPOS tvarkytojo vadovui pasiūlymus dėl LitPOS administratoriaus skyrimo (LitPOS saugos įgaliotinis negali atlikti LitPOS administratoriaus funkcijų) ir reikalavimų LitPOS administratoriui nustatymo;
11.4. koordinuoja elektroninės informacijos saugos incidentų, įvykusių LitPOS, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;
11.5. teikia LitPOS administratoriui ir LitPOS tvarkantiems asmenims privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;
11.6. supažindina LitPOS administratorių ir LitPOS tvarkančius asmenis su Saugos nuostatais, LitPOS saugos dokumentais ir atsakomybe, kylančia dėl jų pažeidimo;
11.7. užtikrina tinkamą LitPOS saugos dokumentuose nustatytų reikalavimų įgyvendinimo ir saugos politikos laikymosi kontrolę;
11.8. inicijuoja LitPOS administratoriaus ir LitPOS tvarkančių asmenų mokymą LitPOS elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie LitPOS elektroninės informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinių priimtiems naujiems LitPOS tvarkantiems asmenims rengimas ir pan.);
11.9. teikia LitPOS valdytojui pasiūlymus dėl Saugos nuostatų, LitPOS saugos dokumentų priėmimo, keitimo ar panaikinimo, LitPOS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;
11.10. kasmet organizuoja LitPOS rizikos įvertinimą ir rengia LitPOS rizikos įvertinimo ataskaitą, o prireikus – LitPOS rizikos įvertinimo ir rizikos valdymo priemonių planą, taip pat prireikus organizuoja neeilinį LitPOS rizikos vertinimą;
12. LitPOS administratorius atsako už LitPOS infrastruktūros funkcionavimą ir LitPOS saugumą bei atlieka šias funkcijas:
12.1. rengia pasiūlymus LitPOS tvarkytojo vadovui dėl LitPOS palaikymo, tobulinimo ir plėtros bei elektroninės informacijos saugos;
12.2. registruoja elektroninės informacijos saugos incidentus, informuoja apie juos LitPOS saugos įgaliotinį ir teikia pasiūlymus dėl incidentų pašalinimo;
12.4. administruoja LitPOS elektroninės informacijos teikimą LitPOS naudotojams ir LitPOS tvarkantiems asmenims;
12.5. registruoja LitPOS naudotojus ir LitPOS tvarkančius asmenis bei suteikia jiems prisijungimo vardus ir slaptažodžius;
12.6. suteikdamas prieigos prie LitPOS duomenų teisę, LitPOS naudotojus supažindina su LitPOS naudojimo taisyklėmis, kuriose nurodomos LitPOS naudotojų teisės, pareigos ir atsakomybė;
12.7. prižiūri LitPOS techninę ir programinę įrangą (kompiuterius, tarnybines stotis, operacines sistemas, ugniasienes, įsilaužimų aptikimo sistemas), nustato rizikos veiksnius, galinčius pažeisti LitPOS elektroninės informacijos saugą;
12.8. parenka LitPOS techninės ir programinės įrangos saugos priemones bei nustato jų atitiktį Saugos nuostatų ir kitų LitPOS saugos dokumentų reikalavimams;
12.9. kontroliuoja, kad tvarkant LitPOS ir LitPOS elektroninę informaciją nebūtų pažeisti Saugos nuostatų reikalavimai;
12.10. dalyvauja atliekant LitPOS rizikos įvertinimą ir rengiant LitPOS rizikos įvertinimo ataskaitą, o prireikus – ir LitPOS rizikos įvertinimo ir rizikos valdymo priemonių planą, taip pat prireikus dalyvauja atliekant neeilinį LitPOS rizikos vertinimą;
12.12. dalyvauja atliekant LitPOS saugumo reikalavimų atitikties vertinimą ir dalyvauja rengiant LitPOS informacinių technologijų saugos atitikties vertinimo ataskaitą;
12.13. reguliariai, ne rečiau kaip kartą per metus ir (arba) po LitPOS pokyčio, patikrina (peržiūri) LitPOS sąranką ir LitPOS būsenos rodiklius;
13. Tvarkant LitPOS elektroninę informaciją ir užtikrinant jos saugumą, vadovaujamasi:
13.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio
13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
13.6. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu;
13.7. Lietuvos standartu LST EN ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, Lietuvos standartu LST EN ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir kitais Lietuvos Respublikos ir tarptautiniais grupės „Informacijos technologija. Saugumo metodai“ standartais, naudojamais kaip elektroninės informacijos saugos užtikrinimo rekomendacinės priemonės;
13.10. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
II SKyrius
litPOs elektroninės informacijos saugos valdymas
14. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas), 10 punktu, LitPOS tvarkoma elektroninė informacija priskiriama prie mažiausios svarbos informacijos kategorijos.
15. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo 12.4 papunkčiu, LitPOS yra priskiriamas prie ketvirtosios informacinių sistemų kategorijos.
16. LitPOS saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos Respublikos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja LitPOS rizikos įvertinimą, kurio metu išanalizuojami rizikos veiksniai, galimos jų pašalinimo arba neigiamo poveikio sumažinimo priemonės. Pagal poreikį LitPOS saugos įgaliotinis gali organizuoti neeilinį LitPOS rizikos įvertinimą.
17. LitPOS elektroninės informacijos saugos priemonės parenkamos įvertinus galimus rizikos veiksnius LitPOS elektroninės informacijos vientisumui, konfidencialumui ir prieinamumui.
18. Atlikus LitPOS rizikos įvertinimą, LitPOS rizikos įvertinimo rezultatai išdėstomi LitPOS saugos įgaliotinio parengtoje LitPOS rizikos įvertinimo ataskaitoje, kuri pateikiama LitPOS tvarkytojo vadovui. LitPOS rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos LitPOS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus ir rizikos priimtinumo kriterijus.
19. Svarbiausieji rizikos veiksniai, kurie gali pažeisti LitPOS elektroninės informacijos saugą, yra:
19.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
19.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis LitPOS informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
19.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
20. Pagrindiniai elektroninės informacijos saugos valdymo priemonių parinkimo principai yra šie:
20.2. elektroninės informacijos saugos priemonės diegimo kainos adekvatumas saugomos elektroninės informacijos vertei;
21. Atsižvelgdamas į LitPOS rizikos įvertinimo ataskaitą, LitPOS saugos įgaliotinis prireikus, t. y. jeigu LitPOS rizikos įvertinimo ataskaitoje nustatyti rizikos veiksniai yra nepriimtini, parengia LitPOS rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos veiksnių valdymo priemonėms įgyvendinti. LitPOS rizikos įvertinimo ataskaita, rizikos įvertinimo ir rizikos valdymo priemonių planas teikiamas tvirtinti LitPOS valdytojo vadovui.
22. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas LitPOS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai), nustatyta tvarka.
23. LitPOS saugos įgaliotinis, siekdamas užtikrinti tinkamą saugos dokumentuose nustatytų reikalavimų įgyvendinimą ir saugos politikos laikymosi kontrolę, ne rečiau kaip vieną kartą per dvejus metus organizuoja informacinių technologijų saugos atitikties vertinimą.
24. Atlikus LitPOS informacinių technologijų saugos atitikties vertinimą, LitPOS saugos įgaliotinis rengia LitPOS informacinių technologijų saugos atitikties vertinimo ataskaitą, kuri pateikiama susipažinti LitPOS tvarkytojo vadovui.
25. Jeigu atlikus LitPOS informacinių technologijų saugos atitikties vertinimą buvo nustatyta informacinių technologijų saugos neatitikčių Bendrųjų saugos reikalavimų aprašo nuostatoms, LitPOS saugos įgaliotinis parengia LitPOS pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato LitPOS valdytojo vadovas.
26. LitPOS informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas LitPOS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
III skyrius
LitPOS ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
27. Pagrindinė LitPOS elektroninės informacijos pateikimo prieiga yra saugus elektroninės informacijos perdavimas elektroninių ryšių tinklais į LitPOS duomenų tvarkymo centrą.
28. Priemonės ir metodai, kurie taikomi užtikrinant prieigą prie LitPOS, nurodant leistiną šios prieigos laiką ir būdą, nustatomi LitPOS naudotojų administravimo taisyklėse.
29. Taikomi šie LitPOS programinės įrangos naudojimo reikalavimai:
29.2. LitPOS tarnybinių stočių operacinių sistemų ir taikomųjų programų struktūra sudaroma tokiu būdu, kad būtų užtikrintas didžiausias saugumo lygis (išjungiami nereikalingi darbui procesai ir reikmenys (angl. services), ribojamas priėjimas prie operacinės sistemos prievadų);
29.3. LitPOS duomenų tvarkymo centre turi būti įdiegta legali programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo, nepageidaujamo elektroninio pašto ir pan.). Antivirusinės sistemos virusų parašų bazė atnaujinama automatiškai kas 5 darbo dienas. Kompiuterio operacinės sistemos kritinės pataisos diegiamos per 5 darbo dienas nuo jų išleidimo;
29.4. LitPOS tarnybinėse stotyse neturi veikti programinė įranga, nesusijusi su LitPOS funkcine sistema;
29.5. LitPOS programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims, t. y. asmenims, nenurodytiems LitPOS naudotojų administravimo taisyklėse;
29.6. LitPOS tvarkančių asmenų kompiuteriuose draudžiama naudoti programinę įrangą, nesusijusią su jų nustatytomis funkcijomis;
29.8. LitPOS funkcionuoti būtina programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kita) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Programinės įrangos konfigūravimą atlieka LitPOS administratorius;
29.9. LitPOS funkcionuoti būtina programinė įranga turi būti atnaujinama ne vėliau kaip per 5 darbo dienas nuo programinės įrangos gamintojų pranešimo apie programinės įrangos atnaujinimą gavimo dienos. Programinės įrangos atnaujinimą atlieka LitPOS administratorius;
30. Prieiga prie LitPOS elektroninės informacijos LitPOS tvarkantiems asmenims ir LitPOS naudotojams suteikiama LitPOS naudotojų administravimo taisyklėse nustatyta tvarka ir sąlygomis.
31. LitPOS veiklos tęstinumui užtikrinti LitPOS elektroninė informacija yra kopijuojama į atsarginių kopijų laikmenas ir laikmenos saugomos taip, kad įvykus saugos incidentui visiškas LitPOS funkcionalumas ir veikla būtų atkurta per 24 valandas. LitPOS administratorius ne rečiau kaip kartą per metus atlieka atsarginių kopijų tinkamumo ir saugojimo kontrolę.
32. Atsarginių kopijų, iš kurių būtų galima atkurti LitPOS elektroninę informaciją, darymo ir saugojimo tvarka nustatoma LitPOS saugaus elektroninės informacijos tvarkymo taisyklėse.
33. Kompiuteriuose, turinčiuose prieigą prie LitPOS ir naudojamuose nustatytoms funkcijoms vykdyti ne LitPOS tvarkytojų patalpose, turi būti įdiegiamos papildomos saugos priemonės (duomenų šifravimas, prisijungimo ribojimai).
34. Kompiuterių tinklas, prie kurio prijungtos LitPOS tarnybinės stotys, nuo viešojo interneto turi būti atskirtas tinklo užkarda (angl. firewall). Už šios įrangos administravimą ir priežiūrą atsako LitPOS administratorius.
35. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojamas Saugusis valstybinis duomenų perdavimo tinklas (toliau – SVDPT).
37. LitPOS tvarkančių asmenų kompiuterių tinklai turi tenkinti SVDPT saugos organizavimo, valdymo ir SVDPT naudotojų prijungimo reikalavimus, nustatytus Saugiojo valstybinio duomenų perdavimo tinklo nuostatuose, patvirtintuose Lietuvos Respublikos krašto apsaugos ministro 2018 m. vasario 7 d. įsakymu Nr. V-135 „Dėl Saugiojo valstybinio duomenų perdavimo tinklo nuostatų patvirtinimo“.
IV skyrius
REIKALAVIMAI LitPOS PERSONALUI
38. LitPOS saugos įgaliotinis privalo išmanyti LitPOS elektroninės informacijos saugos užtikrinimo principus, tobulinti elektroninės informacijos saugos srities kvalifikaciją, savo darbe vadovautis Bendrųjų saugos reikalavimų aprašu, šiais Saugos nuostatais, LitPOS saugos dokumentais, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų informacijos tvarkymą informacinėje sistemoje, ir sugebėti prižiūrėti saugos politikos įgyvendinimą.
39. LitPOS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.
40. LitPOS administratorius turi:
40.1. išmanyti Saugos nuostatus ir saugos politikos įgyvendinimo teisės aktus, pagrindinius saugos politikos principus, darbą su duomenų perdavimo ir kompiuterių tinklais, mokėti užtikrinti jų saugumą;
40.2. turėti LitPOS ir LitPOS elektroninei informacijai tvarkyti naudojamų sisteminių programinių priemonių administravimo patirties;
40.4. gebėti užtikrinti LitPOS elektroninės informacijos saugą Saugos nuostatų, LitPOS saugos dokumentų ir kitų elektroninės informacijos saugą reglamentuojančių teisės aktų nustatyta tvarka;
41. LitPOS tvarkantys asmenys privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti LitPOS elektroninę informaciją, būti susipažinę su Saugos nuostatais, LitPOS saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą bei raštu sutikę laikytis juose nustatytų reikalavimų.
42. LitPOS saugos įgaliotinis ir LitPOS administratorius turi nuolat tobulinti kvalifikaciją elektroninės informacijos saugos srityje. LitPOS saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja LitPOS administratoriaus ir LitPOS tvarkančių asmenų mokymą informacijos saugos klausimais, įvairiais būdais informuoja apie informacijos saugos problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų organizavimas, atmintinės ir panašiai).
43. LitPOS tvarkantys asmenys privalo rūpintis LitPOS ir joje tvarkomos elektroninės informacijos saugumu.
44. LitPOS tvarkantys asmenys, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias LitPOS saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti LitPOS administratoriui ir LitPOS saugos įgaliotiniui.
45. Jeigu LitPOS saugos įgaliotinis nebuvo informuotas apie Saugos nuostatų 44 punkte nurodytus pažeidimus, LitPOS administratorius informuoja LitPOS saugos įgaliotinį apie šiuos pažeidimus. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią LitPOS saugą (jos konfidencialumą, vientisumą ar prieinamumą), LitPOS saugos įgaliotinis apie tai turi pranešti LitPOS valdytojo vadovui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais.
V skyrius
LitPOS tvarkančių asmenų SUPAŽINDINIMO
SU SAUGOS DOKUMENTAIS PRINCIPAI
46. Už LitPOS tvarkančių asmenų supažindinimą su Saugos nuostatais bei LitPOS saugos dokumentais ir atsakomybę už šių reikalavimų nesilaikymą yra atsakingas LitPOS saugos įgaliotinis.
47. LitPOS tvarkantys asmenys su Saugos nuostatais, LitPOS saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą. Pakartotinai su Saugos nuostatais ir LitPOS saugos dokumentais LitPOS tvarkantys asmenys supažindinami tik iš esmės pasikeitus Saugos nuostatams ir LitPOS saugos dokumentams.
48. LitPOS administratorių ir LitPOS tvarkančius asmenis su Saugos nuostatais, LitPOS saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina LitPOS saugos įgaliotinis. LitPOS saugos įgaliotinis tvarko LitPOS tvarkančių asmenų supažindinimo su LitPOS saugos dokumentais žurnalą, kuriame pildomos šios skiltys: supažindinimo data, LitPOS tvarkančio asmens vardas ir pavardė, pareigos, parašas.
49. LitPOS saugos įgaliotinis informuoja LitPOS administratorių ir LitPOS tvarkančius asmenis apie Saugos nuostatų ar kitų LitPOS saugos dokumentų pakeitimus. Informacija apie Saugos nuostatų ir LitPOS saugos dokumentų pakeitimus siunčiama elektroniniu paštu.
VI skyrius
Baigiamosios nuostatos
51. Saugos nuostatai ir kiti LitPOS saugos dokumentai turi būti iš naujo peržiūrimi (persvarstomi) ne rečiau kaip kartą per metus po LitPOS rizikos įvertinimo, LitPOS informacinių technologijų saugos atitikties vertinimo atlikimo arba įvykus LitPOS valdytojo esminiams organizaciniams ar kitiems pokyčiams. Prireikus Saugos nuostatai ir kiti LitPOS saugos dokumentai turi būti tikslinami. Keičiami LitPOS saugos dokumentai su Nacionaliniu kibernetinio saugumo centru prie Krašto apsaugos ministerijos gali būti nederinami tais atvejais, kai atliekami tik redakciniai pakeitimai. Tokiais atvejais Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos pateikiamos šių dokumentų kopijos.
52. LitPOS saugos įgaliotinis, LitPOS administratorius, LitPOS tvarkantys asmenys privalo saugoti ir neatskleisti LitPOS elektroninės informacijos. Įsipareigojimas saugoti ir neatskleisti LitPOS elektroninės informacijos galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą.