Logo Description automatically generated

LIETUVOS TRANSPORTO SAUGOS ADMINISTRACIJOS

DIREKTORIUS

ĮSAKYMAS

DĖL ŪKIO SUBJEKTŲ, SUSIJUSIŲ SU KELIŲ TRANSPORTU, STEBĖSENOS IR INFORMAVIMO VALSTYBĖS INFORMACINĖS SISTEMOS „VEKTRA“ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2023 m. gruodžio 21 d. Nr. 2BE-273

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Aprašas), 7.1 papunkčiu, 11, 19 ir 26 punktais:

1. T v i r t i n u Ūkio subjektų, susijusių su kelių transportu, stebėsenos ir informavimo valstybės informacinės sistemos „Vektra“ duomenų saugos nuostatus (toliau – Saugos nuostatai) (pridedama).

2. S k i r i u:

2.1. Ūkio subjektų, susijusių su kelių transportu, stebėsenos ir informavimo valstybės informacinės sistemos „Vektra“ saugos įgaliotiniu Lietuvos transporto saugos administracijos Bendrųjų reikalų skyriaus patarėją Gintarą Serbentą;

2.2. Ūkio subjektų, susijusių su kelių transportu, stebėsenos ir informavimo valstybės informacinės sistemos „Vektra“ administratoriumi Lietuvos transporto saugos administracijos Bendrųjų reikalų skyriaus specialistą Marių Gailiūną.

3. Į p a r e i g o j u Bendrųjų reikalų skyrių ne vėliau kaip per 6 mėnesius nuo Saugos nuostatų patvirtinimo dienos peržiūrėti ir Aprašo nustatyta tvarka pagal poreikį atnaujinti Aprašo 7.2–7.4 papunkčiuose nurodytus saugos politiką įgyvendinančius dokumentus.

4. P r i p a ž į s t u netekusiu galios Valstybinės kelių transporto inspekcijos prie Susisiekimo ministerijos viršininko 2015 m. kovo 2 d. įsakymą Nr. 2B-37 „Dėl Ūkio subjektų, susijusių su kelių transportu, stebėsenos ir informavimo valstybės informacinės sistemos „Vektra“ duomenų saugos nuostatų patvirtinimo“.

5. P a v e d u Bendrųjų reikalų skyriui su šiuo įsakymu supažindinti Administracijos direktoriaus pavaduotojus, kanclerį, Administracijos Priežiūros departamento direktorių ir valstybės tarnautojus bei darbuotojus, dirbančius pagal darbo sutartis, vykdančius kelių transporto veiklos valstybinę priežiūrą ir kelių transporto eismo įvykių tyrimą, Bendrųjų reikalų skyriaus vedėją ir valstybės tarnautojus bei darbuotojus, dirbančius pagal darbo sutartis, atsakingus už informacines technologijas.

6. I n f o r m u o j u, kad šis įsakymas teisės aktų nustatyta tvarka skelbiamas Teisės aktų registre ir Lietuvos transporto saugos administracijos interneto svetainėje.

Administracijos direktoriaus pavaduotojas,

pavaduojantis Administracijos direktorių Tomas Kolendo

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2023 m. rugsėjo 22 d. raštu Nr. (4.1 E) 6K-697

PATVIRTINTA

Lietuvos transporto saugos administracijos

direktoriaus 2023 m. gruodžio 21 d.

įsakymu Nr. 2BE-273

ŪKIO SUBJEKTŲ, SUSIJUSIŲ SU KELIŲ TRANSPORTU, STEBĖSENOS IR INFORMAVIMO VALSTYBĖS INFORMACINĖS SISTEMOS „VEKTRA“

DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Ūkio subjektų, susijusių su kelių transportu, stebėsenos ir informavimo valstybės informacinės sistemos „Vektra“ duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Ūkio subjektų, susijusių su kelių transportu, stebėsenos ir informavimo valstybės informacinės sistemos „Vektra“ (toliau – IS „Vektra“) elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui ir supažindinimo su saugos dokumentais principus.

2. Saugos nuostatų tikslas – sudaryti sąlygas tinkamam tarnybinių stočių, kompiuterių tinklo, kompiuterizuotų darbo vietų techninės ir programinės įrangos veikimui ir saugiam šios įrangos naudojimui, saugiu automatiniu būdu tvarkyti IS „Vektra“ elektroninę informaciją ir užtikrinti elektroninės informacijos konfidencialumą, prieinamumą ir vientisumą. IS „Vektra“ elektroninės informacijos saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės.

3. Saugos nuostatuose vartojamos sąvokos:

3.1. IS „Vektra“ naudotojas – Lietuvos transporto saugos administracijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją.

3.2. Kitos Saugos nuostatuose vartojamos sąvokos atitinka 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau – Saugos reikalavimų aprašas), ir aktualiuose Lietuvos standartuose LST EN ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, LST EN ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ vartojamas sąvokas.

4. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

4.1. IS „Vektra“ elektroninės informacijos konfidencialumo, vientisumo, prieinamumo užtikrinimas;

4.2. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų IS „Vektra“ elektroninės informacijos saugai užtikrinti, įgyvendinimas ir šių priemonių įgyvendinimo kontrolė;

4.3. teisėtas, saugus IS „Vektra“ duomenų tvarkymas;

4.4. IS „Vektra“ veiklos tęstinumas;

4.5. IS „Vektra“ tvarkomų asmens duomenų apsauga.

5. IS „Vektra“ valdytojas ir tvarkytojas yra Lietuvos transporto saugos administracija (toliau – Administracija) (Švitrigailos g. 42, LT-03209 Vilnius, Lietuva).

6. IS „Vektra“ valdytojo ir tvarkytojo funkcijos, teisės ir pareigos nurodytos Ūkio subjektų, susijusių su kelių transportu, stebėsenos ir informavimo valstybės informacinės sistemos „Vektra“ nuostatuose.

7. Saugos nuostatais privalo vadovautis:

7.1. Administracijos valstybės tarnautojai ar darbuotojai, dirbantys pagal darbo sutartis, IS „Vektra“ saugos įgaliotinis, IS „Vektra“ administratorius, IS „Vektra“ duomenų valdymo įgaliotinis (-iai), asmuo ar padalinys, atsakingas už kibernetinio saugumo organizavimą ir užtikrinimą;

7.2. Administracijos Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinkto juridinio asmens ar asmenų (asmenų grupės), kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos IS „Vektra“ ir (ar) jos infrastuktūros priežiūros funkcijos (toliau – IS „Vektra“ priežiūros paslaugos teikėjas), darbuotojai, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantys ir (ar) tvarkantys IS „Vektra“ elektroninę informaciją;

7.3. Informacinės visuomenės plėtros komiteto valstybės tarnautojai ar darbuotojai, dirbantys pagal darbo sutartis, prižiūrintys Valstybinio duomenų centro veikimą;

7.4. Informacinės visuomenės plėtros komiteto Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinkto juridinio asmens ar asmenų (asmenų grupės), kuriems pavesta teikti valstybės informacinių technologijų infrastruktūros priežiūros paslaugas, darbuotojai;

8. IS „Vektra“ saugos įgaliotinis vykdo funkcijas, nustatytas Saugos reikalavimų apraše.

9. IS „Vektra“ administratorius, be Saugos reikalavimų aprašo 27 punkte nurodytų funkcijų:

9.1. registruoja IS „Vektra“ naudotojus IS „Vektra“ testavimo ir (ar) darbinėje aplinkoje, jiems suteikia prisijungimo vardus ir slaptažodžius (identifikavimo duomenis), teises ir leidžiamus veiksmus IS „Vektra“ (autorizavimo duomenis);

9.2. organizuoja IS „Vektra“ konfigūravimą, įskaitant saugų IS „Vektra“ įjungimą ir išjungimą;

9.3. vykdo centralizuotą IS „Vektra“ programinės įrangos diegimą ir atnaujinimą; vykdo teisės aktų ir kitų dokumentų, susijusių su IS „Vektra“ veikimu, atnaujinimą;

9.4. moko IS „Vektra“ naudotojus, juos konsultuoja;

9.5. dalyvauja valdant IS „Vektra“ pokyčius, pagal kompetenciją juos įgyvendina;

9.6. dalyvauja atkuriant IS „Vektra“ elektroninius duomenis iš duomenų atsarginių kopijų;

9.7. perkelia elektroninius duomenis į IS „Vektra“ duomenų archyvą ir tvarko elektroninių duomenų perkėlimo įrašų žurnalą;

9.8. naikina elektroninius duomenis IS „Vektra“ duomenų archyvuose ir tvarko elektroninių duomenų naikinimo įrašų žurnalą;

9.9. tvarko IS „Vektra“ eksploatacijos žurnalą;

9.10. atlieka kitų informacinių sistemų saugą reglamentuojančių teisės aktų nustatytas funkcijas;

9.11. atlieka kitas IS „Vektra“ valdytojo, IS „Vektra“ saugos įgaliotinio pavestas funkcijas;

9.12. atsako už nepertraukiamą IS „Vektra“ veikimą.

10. Saugų IS „Vektra“ duomenų tvarkymą reglamentuoja:

10.1. Reglamentas (ES) 2016/679;

10.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

10.3. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

10.4. Lietuvos Respublikos kibernetinio saugumo įstatymas;

10.5. Saugos reikalavimų aprašas;

10.6. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Gairių aprašas);

10.7. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas ir Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinti Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

10.8. aktualūs Lietuvos standartai LST EN ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST EN ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, Lietuvos ir tarptautiniai standartai, nustatantys saugų elektroninės informacijos tvarkymą;

10.9. kiti teisės aktai, reglamentuojantys elektroninės informacijos saugą.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

11. Vadovaujantis Gairių aprašo 9 punkto nuostatomis, IS „Vektra“ tvarkoma elektroninė informacija priskirtina vidutinės svarbos elektroninės informacijos kategorijai. Atsižvelgiant į elektroninės informacijos svarbos kategoriją ir vadovaujantis Gairių aprašo 12.3 papunkčio nuostata, IS „Vektra“ priskiriama trečiajai valstybės informacinių sistemų klasifikavimo kategorijai.

12. IS „Vektra“ rizikos įvertinimas (toliau – rizikos įvertinimas) atliekamas vadovaujantis šiomis nuostatomis:

12.1. atliekamas ne rečiau kaip kartą per vienerius metus, jeigu teisės aktai nenustato kitaip;

12.2. neeilinis rizikos įvertinimas atliekamas padarius esminius IS „Vektra“ funkcinius pakeitimus arba kai įvyksta dideli Administracijos organizaciniai pokyčiai, arba atsiranda naujų informacinių technologijų saugos srities reikalavimų, arba po didelio masto saugos incidentų, kai nustatoma naujų rizikos formų;

12.3. atliekant rizikos įvertinimą, vadovaujamasi Lietuvos Respublikos vidaus reikalų ministerijos metodine priemone „Rizikos analizės vadovas“, Saugos nuostatų 10.8 papunktyje nurodytais standartais, geriausiomis praktikomis (COBIT ar kitomis) ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais;

12.4. taikoma detali rizikos analizės strategija, kokybiniai rizikos analizės metodai;

12.5. įvertinami svarbiausi saugos rizikos veiksniai, galintys turėti įtakos elektroninės informacijos saugai, jų galima žala, pasireiškimo tikimybė ir pobūdis, galimi rizikos valdymo būdai, rizikos priimtinumo kriterijai, atsižvelgiant į Saugos reikalavimų aprašo 36 punkto nuostatas.

13. Rizikos įvertinimas atliekamas vadovaujantis šiais kriterijais:

13.1. organizacijos valdymo ir veiklos sutrikdymas;

13.2. asmens duomenų saugumas;

13.3. teisės aktų reikalavimų laikymasis;

13.4. finansiniai nuostoliai;

13.5. tarptautiniai santykiai;

13.6. viešosios paslaugos;

13.7. reputacija.

14. Rizikos įvertinimas apima:

14.1. vertinamų informacinių išteklių sąrašo sudarymą ir šių informacinių išteklių savybių nustatymą (įtaka, priklausomybė, vieta, už saugų tvarkymą atsakingi asmenys ir kt.);

14.2. galimų grėsmių sąrašo sudarymą;

14.3. galimų grėsmių priskyrimą kiekvienam informaciniam ištekliui;

14.4. potencialaus įvykio kiekvienai informacinio ištekliaus ir grėsmės porai tikimybės nustatymą;

14.5. rizikos priimtinumo nustatymą;

14.6. liekamosios rizikos apskaičiavimą;

14.7. rekomendacijų rizikai mažinti pateikimą.

15. Rizikos įvertinimą atlieka saugos įgaliotinis arba sutartiniais pagrindais samdomi tretieji asmenys.

16. Pagrindinės IS „Vektra“ saugos rizikos mažinimo priemonės pateikiamos IS „Vektra“ rizikos įvertinimo ataskaitoje, kurią iki IS „Vektra“ valdytojo nurodytos datos rengia IS „Vektra“ saugos įgaliotinis. IS „Vektra“ saugos įgaliotinis dalyvauja rengiant IS „Vektra“ rizikos įvertinimo ataskaitą, jei rizikos įvertinimą atlieka trečioji šalis.

17. IS „Vektra“ valdytojas, atsižvelgęs į rizikos įvertinimo ataskaitą, jei prireikia, tvirtina IS „Vektra“ saugos rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų priemonių poreikis saugos rizikos valdymo priemonėms įgyvendinti.

18. Už IS „Vektra“ saugos rizikos vertinimo organizavimą ir atlikimą atsakingas IS „Vektra“ saugos įgaliotinis.

19. Siekdamas užtikrinti Saugos nuostatų ir saugos politikos įgyvendinamųjų dokumentų nuostatų įgyvendinimo kontrolę, saugos įgaliotinis ne rečiau kaip kartą per dvejus metus, jeigu teisės aktai nenustato kitaip, organizuoja IS „Vektra“ informacinių technologijų saugos atitikties vertinimą (toliau – saugos atitikties vertinimas), vadovaudamasis Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“:

19.1. saugos atitikties vertinimą pagal sutartį gali atlikti tretieji asmenys;

19.2. atliekant saugos atitikties vertinimą tikrinama, kaip IS „Vektra“ veikimas atitinka Saugos nuostatų, kitų elektroninės informacijos saugą reglamentuojančių teisės aktų ir dokumentų reikalavimus;

19.3. tikrinamas įdiegtos antivirusinės programos ir apsaugos nuo nepageidaujamos programinės įrangos filtravimo sistemos naudojimas, centralizuotas jų valdymas ir atnaujinimas;

19.4. tikrinamas programinės įrangos, programinės įrangos sertifikatų ir licencijų naudojimas;

19.5. tikrinamas IS „Vektra“ naudotojų kompiuterizuotų darbo vietų (ne mažiau kaip 10 procentų) naudojimas;

19.6. tikrinamas tarnybinių stočių ir komunikacinės įrangos naudojimas;

19.7. tikrinamas duomenų bazių atsarginių kopijų ir archyvų darymas;

19.8. tikrinamas pasirengimas atkurti IS „Vektra“ veiklą duomenų saugos incidento atveju;

19.9. tikrinama, kaip IS „Vektra“ naudotojams suteiktos teisės IS „Vektra“ atitinka naudotojų atliekamas funkcijas.

20. Atlikus saugos atitikties vertinimą, parengiama saugos atitikties vertinimo ataskaita ir, jei reikia, pastebėtų trūkumų šalinimo planas, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus IS „Vektra“ valdytojas.

21. Parengus Saugos nuostatų 16, 17 ir 20 punktuose nurodytus dokumentus, IS „Vektra“ saugos įgaliotinis vadovaudamasis Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatuose, patvirtintuose Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka ir terminais į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą pateikia reikiamus duomenis.

22. Elektroninės informacijos saugos priemonėms parinkti taikomi šie principai:

22.1. parenkamos priemonės, kurios leidžia užtikrinti patalpų saugą;

22.2. parenkamos priemonės, kurios leidžia užtikrinti kompiuterinės ir programinės įrangos veikimo saugą;

22.3. parenkamos priemonės, kurios leidžia užtikrinti kompiuterių tinklų veikimo saugą;

22.4. parenkamos priemonės, kurios leidžia užtikrinti IS „Vektra“ naudotojų mokymą ir informavimą apie elektroninių duomenų tvarkymo saugą.

23. Elektroninės informacijos saugos priemonės turi garantuoti:

23.1. elektroninių duomenų saugą jų tvarkymo ir (ar) perdavimo ryšio kanalais metu;

23.2. elektroninių duomenų saugą nuo nesankcionuoto ar neteisėto tvarkymo, perdavimo ryšio kanalais ir (ar) kitokio pažeidimo.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

24. Programinės įrangos, skirtos IS „Vektra“ apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

24.1. tarnybinėse stotyse ir kompiuterizuotose darbo vietose turi būti įdiegta centralizuotai valdoma apsauga nuo kenksmingos programinės įrangos;

24.2. tarnybinės stotys ir kompiuterizuotos darbo vietos turi būti apsaugotos nuo brukalų ir nepageidaujamo turinio laiškų;

24.3. kompiuterizuotose darbo vietose turi būti įdiegtos priemonės, ribojančios atminties raktų (USB) ir kitų išorinių laikmenų naudojimą;

24.4. apsaugai nuo kenksmingos programinės įrangos naudojama programinė įranga turi atsinaujinti ne rečiau kaip kartą per 24 valandas;

24.5. apsaugos nuo kenksmingos programinės įrangos sistema turi automatiškai elektroniniu paštu informuoti atsakingus darbuotojus apie kompiuterizuotas darbo vietas ir tarnybines stotis, kuriose apsaugos nuo kenksmingos programinės įrangos sistema netinkamai funkcionuoja, yra išjungta arba neatsinaujino per 24 valandas.

25. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:

25.1. IS „Vektra“ veikti naudojama tik legali programinė įranga;

25.2. IS „Vektra“ naudotojų kompiuterizuotose darbo vietose draudžiama naudoti programinę įrangą, nesusijusią su tiesiogine jų veikla ir funkcijomis;

25.3. programinė įranga yra nuolat atnaujinama laikantis gamintojo reikalavimų;

25.4. programinę įrangą diegia, šalina ir konfigūruoja tik atitinkami administratoriai;

25.5. kompiuterizuotos darbo vietos, programinė įranga, jos sertifikatai ir licencijos kasmet turi būti inventorizuojami.

26. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) programinės įrangos naudojimo nuostatos:

26.1. IS „Vektra“ naudojami kompiuterių tinklai nuo kitų kompiuterių tinklų turi būti atskirti tinklo užkardomis;

26.2. IS „Vektra“ naudojamame kompiuterių tinkle turi būti įdiegtos ir veikti automatinės įsilaužimo aptikimo sistemos;

26.3. viešuoju kompiuterių tinklu gaunamas duomenų srautas turi būti filtruojamas;

26.4. turi būti naudojama programinė įranga, leidžianti atlikti IS „Vektra“ naudojamų kompiuterių tinklų monitoringą ir užtikrinanti šių tinklų saugos prevencines priemones;

26.5. už saugų Administracijos teritorinio kompiuterių tinklo veikimą atsako šio tinklo administratorius.

27. Kompiuterizuotų darbo vietų, kuriose veikia IS „Vektra“, saugaus naudojimo nuostatos ir reikalavimai:

27.1. kompiuterizuota darbo vieta turi būti naudojama tik toms funkcijoms, kurios susijusios su IS „Vektra“ ir su kitomis Administracijoje naudojamomis informacinėmis sistemomis pagal naudotojo kompetenciją, vykdyti;

27.2. stacionariuosiuose ir nešiojamuosiuose kompiuteriuose IS „Vektra“ įjungimo metu turi būti naudojamas kompiuterizuotų darbo vietų įjungimo metu naudojamas įjungimo (angl. power on) slaptažodis ir centralizuotas IS „Vektra“ naudotojo identifikavimas (pvz., AD, angl. Active Directory);

27.3. IS „Vektra“ naudotojo, atliekančio patikrinimus keliuose ar vežėjų įmonėse, nešiojamajam kompiuteriui prieiga prie IS „Vektra“ suteikiama naudojant virtualų privatų tinklą (VPN), praleidžiantį tik tam tikru būdu šifruotus duomenų paketus; nešiojamieji kompiuteriai prieigai prie IS „Vektra“ parengiami IS „Vektra“ valdytojo nurodymu.

28. Saugaus elektroninės informacijos teikimo ir gavimo metodai:

28.1. duomenys IS „Vektra“ perduodami naudojant TCP / IP protokolą realiu laiku („On-line“ režimu);

28.2. iš duomenų gavėjų elektroniniai duomenys gaunami pagal asmens duomenų teikimo sutartyse ar duomenų teikimo sutartyse numatytas elektroninių duomenų perdavimo technologijas, jų šifravimo mechanizmus, specifikacijas ir kitas sąlygas; duomenų gavėjų prieigą prie IS „Vektra“ kontroliuoja Administracijos teritorinio kompiuterių tinklo užkarda.

29. Nustatomi šie pagrindiniai atsarginių elektroninių duomenų kopijų darymo ir atkūrimo reikalavimai:

29.1. turi būti sudaromi IS „Vektra“ elektroninių duomenų, kurių kopijos daromos, sąrašai;

29.2. elektroninių duomenų atsarginės kopijos turi būti daromos, archyvai tvarkomi ir duomenys iš jų atkuriami vadovaujantis Lietuvos transporto saugos administracijos tvarkomų duomenų atsarginių kopijų kūrimo ir atkūrimo tvarkos aprašu, patvirtintu Lietuvos transporto saugos administracijos direktoriaus 2021 m. gruodžio 28 d. įsakymu Nr. 2BE-359 „Dėl Lietuvos transporto saugos administracijos tvarkomų duomenų atsarginių kopijų kūrimo ir atkūrimo tvarkos aprašo patvirtinimo“;

29.3. elektroninių duomenų atsarginės kopijos turi būti daromos automatiškai kiekvieną dieną nuo tarnybinių stočių patalpų nutolusiose patalpose esančiame elektroninių duomenų kopijų darymo įrenginyje;

29.4. elektroniniai duomenys į duomenų archyvą perkeliami, pasibaigus duomenų saugojimo IS „Vektra“ laikui;

29.5. elektroninių duomenų atsarginėms kopijoms daryti turi būti naudojama speciali programinė įranga;

29.6. už elektroninių duomenų atsarginių kopijų ir elektroninių duomenų archyvų tvarkymą yra atsakingi tarnybinių stočių ir IS „Vektra“ administratoriai pagal kompetenciją; už elektroninių duomenų naikinimą – IS „Vektra“ duomenų valdymo įgaliotinis ir IS „Vektra“ administratorius.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

30. IS „Vektra“ naudotojai turi turėti ne prastesnius darbo kompiuteriu įgūdžius, nei numatyta jų pareigybių aprašymuose.

31. Saugos įgaliotinis privalo išmanyti šiuolaikinių informacinių technologijų panaudojimo ypatumus, elektroninės informacijos saugos principus bei saugos užtikrinimo metodus, kitus su informacinių sistemų saugiu veikimu susijusius teisės aktus, turėti darbo organizavimo gabumų bei negali turėti neišnykusio ar nepanaikinto teistumo už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat galiojančių administracinių nuobaudų už administracinius nusižengimus, nurodytus Saugos reikalavimų aprašo 20 punkte.

32. IS „Vektra“ administratorius privalo gerai išmanyti kompiuterizuotos veiklos procesus, elektroninės informacijos saugos užtikrinimo metodus ir principus, būti susipažinęs su naudojamų duomenų bazių organizavimo principais, gebėti jas administruoti, išmanyti tarnybinių stočių veikimo principus. IS „Vektra“ administratoriaus kvalifikacija turi būti nuolat keliama jam dalyvaujant atitinkamuose kvalifikacijos kėlimo kursuose.

33. IS „Vektra“ naudotojai ir IS „Vektra“ administratorius turi būti susipažinę su Saugos nuostatais bei kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais (toliau – saugos dokumentai) ir sutikę laikytis jų reikalavimų.

34. IS „Vektra“ naudotojai privalo rūpintis tvarkomų duomenų saugumu: vadovaudamiesi saugos politikos įgyvendinamaisiais dokumentais nuolat rūpintis IS „Vektra“ sauga, o pastebėję pažeidimų, neveikiančias duomenų saugos užtikrinimo priemones, nusikalstamos veikos požymių privalo nedelsdami apie tai pranešti IS „Vektra“ administratoriui arba saugos įgaliotiniui.

35. IS „Vektra“ naudotojai turi būti išmokyti dirbti su IS „Vektra“. Mokymai gali būti centralizuoti, kai juos organizuoja ir veda IS „Vektra“ administratorius, arba individualūs, kai juos organizuoja ir veda IS „Vektra“ tvarkytojo paskirtas asmuo arba IS „Vektra“ administratorius.

36. Saugos įgaliotinis IS „Vektra“ administratoriui ir naudotojams periodiškai, bet ne rečiau kaip kartą per dvejus metus organizuoja mokymus elektroninės informacijos saugos ir kibernetinio saugumo klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugumo problemas (pvz., siunčia pranešimus elektroniniu paštu, instruktuoja naujus darbuotojus ir pan.) ir, jeigu žinoma, galimas taikyti prevencines ar kitas reagavimo priemones.

V SKYRIUS

IS „VEKTRA“ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

37. Tvarkyti IS „Vektra“ duomenis gali tik tie darbuotojai, kurie yra susipažinę su Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais, pasirašę pasižadėjimą saugoti asmens duomenų paslaptį ir susipažinę su atsakomybe už Reglamento (ES) 2016/679 ar kitų elektroninės informacijos saugą reglamentuojančių teisės aktų nuostatų pažeidimus. Ši pareiga galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo, sutartiniams ar kitiems santykiams.

38. Už IS „Vektra“ naudotojų ir IS „Vektra“ administratoriaus supažindinimą su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais ir už šių reikalavimų laikymąsi yra atsakingas IS „Vektra“ saugos įgaliotinis:

38.1. IS „Vektra“ saugos įgaliotinis raštu informuoja IS „Vektra“ naudotojus ir IS „Vektra“ administratorių apie tai, kur jie gali susipažinti su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais;

38.2. su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais IS „Vektra“ naudotojai ir IS „Vektra“ administratorius supažindinami IS „Vektra“ tvarkytojo naudojamoje dokumentų valdymo sistemoje.

39. Pakartotinai IS „Vektra“ naudotojai ir IS „Vektra“ administratorius su saugos dokumentais supažindinami iš esmės pasikeitus saugos dokumentams ir (arba) padažnėjus elektroninės informacijos saugos incidentų.

40. IS „Vektra“ naudotojai ir IS „Vektra“ administratorius turi būti nuolat informuojami apie saugos problemas (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.).

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

41. IS „Vektra“ saugos įgaliotinis, IS „Vektra“ administratorius, IS „Vektra“ tvarkytojas, IS „Vektra“ naudotojai, IS „Vektra“ priežiūros paslaugos teikėjas, pažeidę Saugos nuostatų ar kitų saugos politiką reglamentuojančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

______________

_____________