LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO

MINISTRAS

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTRO 2012 M. GRUODŽIO 4 D. ĮSAKYMO NR. 3D-909 „DĖL LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTERIJOS REGULIAVIMO SRIČIAI PRISKIRTŲ INSTITUCIJŲ IR ĮSTAIGŲ TEIKIAMŲ PASLAUGŲ INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO

2015 m. kovo 13 d. Nr. 3D-173

Vilnius

P a k e i č i u Lietuvos Respublikos žemės ūkio ministro 2012 m. gruodžio 4 d. įsakymą Nr. 3D-909 „Dėl Lietuvos Respublikos žemės ūkio ministerijos reguliavimo sričiai priskirtų institucijų ir įstaigų teikiamų paslaugų informacinės sistemos duomenų saugos nuostatų patvirtinimo“ ir jį išdėstau nauja redakcija:

„LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO

MINISTRAS

ĮSAKYMAS

DĖL ŽEMĖS ŪKIO MINISTERIJOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 2 punktu:

1. T v i r t i n u Žemės ūkio ministerijos informacinės sistemos duomenų saugos nuostatus (pridedama).

2. P a v e d u:

2.1. valstybės įmonei Žemės ūkio informacijos ir kaimo verslo centrui per 14 darbo dienų nuo šio įsakymo įsigaliojimo dienos paskirti Žemės ūkio ministerijos informacinės sistemos duomenų saugos įgaliotinį;

2.2. šio įsakymo vykdymo kontrolę žemės ūkio viceministrui pagal administravimo sritį. “

Žemės ūkio ministrė Virginija Baltraitienė

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2015-03-04 raštu Nr. 1D-2501

PATVIRTINTA

Lietuvos Respublikos

žemės ūkio ministro

2012 m. gruodžio 4 d.

įsakymu Nr. 3D-909

(Lietuvos Respublikos

žemės ūkio ministro

2015 m. kovo 13 d. įsakymo

Nr. 3D-173 redakcija)

ŽEMĖS ŪKIO MINISTERIJOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Žemės ūkio ministerijos informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Žemės ūkio ministerijos informacinės sistemos (toliau – ŽŪMIS) saugos politiką, nustato administracines, technines ir kitas priemones, užtikrinančias saugų ŽŪMIS paslaugoms teikti reikalingų duomenų tvarkymą.

2. Saugos nuostatų tikslas – sudaryti sąlygas saugiai tvarkyti elektroninę informaciją ŽŪMIS, užtikrinti, kad ŽŪMIS paslaugoms teikti reikalingi duomenys būtų tvarkomi saugiai ir teisėtai.

3. Saugos nuostatai parengti vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Lietuvos standartais LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2013, atsižvelgiant į Lietuvos Respublikos žemės ūkio ministerijos reguliavimo sričiai priskirtų institucijų ir įstaigų teikiamų paslaugų informacinės sistemos nuostatus (toliau – ŽŪMIS nuostatai), patvirtintus žemės ūkio ministro 2012 m. spalio 2 d. įsakymu Nr. 3D-774 „Dėl Lietuvos Respublikos žemės ūkio ministerijos reguliavimo sričiai priskirtų institucijų ir įstaigų teikiamų paslaugų informacinės sistemos nuostatų patvirtinimo“.

4. Saugos nuostatuose vartojamos sąvokos atitinka Saugos nuostatų 3 punkte nurodytuose ir kituose teisės aktuose vartojamas sąvokas.

5. Saugos nuostatų reikalavimai taikomi tvarkant ŽŪMIS duomenis ir per ŽŪMIS iš duomenų teikėjų gaunamus ir duomenų gavėjams teikiamus duomenis iki to momento, kol jie perduodami tvarkyti į kitas informacines sistemas (toliau kartu – ŽŪMIS duomenys) ir yra privalomi Lietuvos Respublikos žemės ūkio ministerijos reguliavimo sričiai priskirtų institucijų ir įstaigų, teikiančių ŽŪMIS paslaugas, valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis, turintiems bet kokias ŽŪMIS naudotojų teises, taip pat ŽŪMIS paslaugų gavėjams.

6. Saugos nuostatai reglamentuoja ŽŪMIS saugos politiką, kurią įgyvendina šie ŽŪMIS valdytojos patvirtinti teisės aktai (toliau – Saugos politiką įgyvendinantys teisės aktai):

6.1. saugaus elektroninės informacijos tvarkymo taisyklės;

6.2. naudotojų administravimo taisyklės;

6.3. veiklos tęstinumo valdymo planas.

7. ŽŪMIS duomenų saugos tikslai yra šie:

7.1. sudaryti sąlygas saugiai tvarkyti ŽŪMIS duomenis;

7.2. užtikrinti, kad ŽŪMIS paslaugoms teikti reikalingi ŽŪMIS duomenys būtų patikimi ir apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar neteisėto jų tvarkymo.

8. ŽŪMIS duomenų saugumo užtikrinimo prioritetinės kryptys:

8.1. teisėtas, saugus, kokybiškas ir tęstinis paslaugų teikimas ŽŪMIS paslaugų gavėjams bei teisėtas ir saugus ŽŪMIS paslaugoms teikti reikalingų ŽŪMIS duomenų naudojimas;

8.2. ŽŪMIS duomenų prieinamumo užtikrinimas;

8.3. ŽŪMIS duomenų vientisumo užtikrinimas;

8.4. ŽŪMIS duomenų konfidencialumo užtikrinimas;

8.5. per ŽŪMIS teikiamų paslaugų tęstinumo užtikrinimas;

8.6. prieigos prie ŽŪMIS kontrolė;

8.7. ŽŪMIS rizikos valdymas.

9. Saugos nuostatai taikomi:

9.1. ŽŪMIS valdytojai – Lietuvos Respublikos žemės ūkio ministerijai, Gedimino pr. 19, LT-01103 Vilnius;

9.2. ŽŪMIS tvarkytojui – valstybės įmonei Žemės ūkio informacijos ir kaimo verslo centrui, V. Kudirkos g. 18-1, LT-03105 Vilnius;

9.3. ŽŪMIS saugos įgaliotiniui;

9.4. ŽŪMIS administratoriui;

9.5. ŽŪMIS naudotojų administratoriui;

9.6. ŽŪMIS paslaugas teikiančiai institucijai (toliau – Institucija);

9.7. Institucijos ŽŪMIS paslaugos administratoriui;

9.8. Institucijos ŽŪMIS paslaugos naudotojų administratoriui;

9.9. ŽŪMIS naudotojams;

9.10. ŽŪMIS duomenų teikėjams;

9.11. ŽŪMIS paslaugos gavėjams.

10. ŽŪMIS valdytoja atlieka šias funkcijas:

10.1. rengia ir priima teisės aktus, užtikrinančius ŽŪMIS duomenų tvarkymo teisėtumą ir ŽŪMIS elektroninės informacijos saugą, atlieka jų nuostatų laikymosi priežiūrą;

10.2. nagrinėja ŽŪMIS tvarkytojo pasiūlymus dėl ŽŪMIS veiklos, elektroninės informacijos saugos, juos apibendrina ir priima sprendimus dėl ŽŪMIS tobulinimo;

10.3. metodiškai vadovauja ŽŪMIS tvarkytojo veiklai, kuriant ir diegiant ŽŪMIS, taip pat užtikrinant jos veikimą, tobulinimą ir elektroninės informacijos saugą, už kurią atsako;

10.4. priima sprendimus dėl ŽŪMIS rizikos vertinimo rezultatų;

10.5. atlieka kitas Saugos nuostatuose, ŽŪMIS nuostatuose ir kituose teisės aktuose pavestas funkcijas.

11. ŽŪMIS tvarkytojas atlieka šias funkcijas:

11.1. užtikrina ŽŪMIS duomenų saugą ir saugų duomenų perdavimą kompiuterių tinklais (automatiniu būdu), teikia pasiūlymus ŽŪMIS valdytojai, kaip tobulinti ŽŪMIS duomenų saugą;

11.2. užtikrina ŽŪMIS prieinamumą, t. y. užtikrina, kad ŽŪMIS duomenys būtų perduodami teisėtai, saugiai ir kokybiškai;

11.3. užtikrina ŽŪMIS konfidencialumą, t. y. užtikrina, kad paslaugų gavėjams būtų perduodami tik tie duomenys, kuriuos jie turi teisę gauti;

11.4. užtikrina ŽŪMIS duomenų atsarginių kopijų darymą;

11.5. užtikrina ŽŪMIS taikomajai programinei įrangai, tarnybinėms stotims ir jose esantiems duomenims funkcionuoti būtinos informacinių technologijų infrastruktūros (toliau – serverių sritis) saugą;

11.6. rengia ir saugo serverių srities saugai užtikrinti būtiną dokumentaciją;

11.7. užtikrina ŽŪMIS elektroninės informacijos saugą;

11.8. skiria ŽŪMIS saugos įgaliotinį;

11.9. skiria ŽŪMIS administratorių;

11.10. skiria ŽŪMIS naudotojų administratorių;

11.11. atlieka kitas Saugos nuostatuose, ŽŪMIS nuostatuose ir kituose teisės aktuose pavestas funkcijas.

12. Saugos įgaliotinis, įgyvendindamas ŽŪMIS saugos politiką, atlieka šias funkcijas:

12.1. teikia ŽŪMIS tvarkytojo vadovui pasiūlymus dėl:

12.1.1. ŽŪMIS administratoriaus paskyrimo ir reikalavimų nustatymo;

12.1.2. saugos politiką įgyvendinančių teisės aktų priėmimo, keitimo ir panaikinimo;

12.1.3. ŽŪMIS tvarkytojo informacinių technologijų saugos atitikties vertinimo atlikimo;

12.2. koordinuoja įvykusių incidentų dėl ŽŪMIS elektroninės informacijos saugos tyrimą;

12.3. teikia ŽŪMIS administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

12.4. organizuoja ŽŪMIS naudotojų supažindinimą su ŽŪMIS saugos politiką įgyvendinančiais teisės aktais, užtikrina supažindinimo kontrolę;

12.5. koordinuoja ŽŪMIS saugos politiką įgyvendinančių teisės aktų reikalavimų vykdymą;

12.6. organizuoja ŽŪMIS rizikos įvertinimą;

12.7. atlieka kitas Saugos nuostatuose ir kituose teisės aktuose pavestas funkcijas.

13. ŽŪMIS administratorius, vykdantis ŽŪMIS priežiūrą, atlieka šias funkcijas:

13.1. atsako už ŽŪMIS serverių ir tarnybinių stočių srities funkcionavimą ir prieigų prie ŽŪMIS infrastruktūros išteklių teisių suteikimą;

13.2. atlieka ŽŪMIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) sąranką, kuri atitiktų ŽŪMIS saugos politiką įgyvendinančių teisės aktų reikalavimus;

13.3. pagal kompetenciją teikia pasiūlymus ŽŪMIS saugos įgaliotiniui dėl ŽŪMIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir ŽŪMIS elektroninės informacijos saugos užtikrinimo;

13.4. informuoja ŽŪMIS saugos įgaliotinį apie incidentus dėl elektroninės informacijos saugos ir teikia pasiūlymus dėl tokių incidentų pašalinimo;

13.5. vykdo visus ŽŪMIS saugos įgaliotinio nurodymus ir pavedimus, susijusius su ŽŪMIS elektroninės informacijos saugos užtikrinimu;

13.6. teikia ŽŪMIS saugos įgaliotiniui informaciją apie ŽŪMIS elektroninės informacijos saugą užtikrinančių komponentų būklę;

13.7. atlieka ŽŪMIS priežiūrą.

14. Institucijos funkcijos:

14.1. ŽŪMIS tvarkytojui suteikus ŽŪMIS naudotojų administravimo funkcijas administruoja ŽŪMIS naudotojus;

14.2. ŽŪMIS tvarkytojui suteikus ŽŪMIS administratoriaus funkcijas tvarko savo paslaugas.

15. Institucijos ŽŪMIS paslaugos naudotojų administratoriaus funkcijos:

15.1. atsako už prieigų prie Institucijos ŽŪMIS paslaugos suteikimą;

15.2. atsako už Institucijos ŽŪMIS paslaugos teisių valdymą;

15.3. vykdo Institucijos ŽŪMIS paslaugos naudotojų prieigų ir teisių kontrolę;

15.4. informuoja ŽŪMIS tvarkytoją el. paštu pagalba@vic.lt apie incidentus dėl elektroninės informacijos saugos.

16. Institucijos ŽŪMIS paslaugos administratorius atlieka šias funkcijas:

16.1. atsako už Institucijos ŽŪMIS paslaugos funkcionavimą;

16.2. atlieka Institucijos ŽŪMIS paslaugos priežiūrą;

16.3. informuoja ŽŪMIS tvarkytoją el. paštu pagalba@vic.lt apie incidentus dėl elektroninės informacijos saugos.

17. ŽŪMIS naudotojų funkcija yra saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga galioja pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.

18. ŽŪMIS paslaugos gavėjų funkcijos:

18.1. rūpinasi ŽŪMIS ir joje tvarkomos informacijos saugumu;

18.2. tvarko ir naudoja ŽŪMIS duomenis;

18.3. atlieka kitas duomenų Saugos nuostatų, ŽŪMIS nuostatų ir kitų teisės aktų nustatytas funkcijas;

18.4. informuoja ŽŪMIS tvarkytoją el. paštu pagalba@vic.lt apie incidentus dėl elektroninės informacijos saugos.

19. Teisės aktai, kuriais vadovaujamasi tvarkant elektroninę informaciją ir užtikrinant jos saugą:

19.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

19.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

19.3. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

19.4. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas);

19.5. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

19.6. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai organizacinėms ir techninėms asmens duomenų saugumo priemonėms);

19.7. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

19.8. Lietuvos standartai LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2013 ir kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugumą;

19.9. kiti teisės aktai, reglamentuojantys elektroninės informacijos apsaugą valstybės institucijose.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

20. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, ŽŪMIS tvarkoma elektroninė informacija priskiriama prie svarbios elektroninės informacijos kategorijos, kadangi šios elektroninės informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti sunkių padarinių kelių institucijų veiklai, dėl šios elektroninės informacijos saugumo pažeidimo gali kilti grėsmė įvykti Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.2.4, 4.2.7 papunkčiuose nurodytiems procesams.

21. ŽŪMIS priskiriama antrajai kategorijai, vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.2 papunkčio nuostatomis, atsižvelgiant į joje apdorojamos elektroninės informacijos svarbos kategoriją.

22. Vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms dėl galimybės per išorinius duomenų perdavimo tinklus tvarkyti ŽŪMIS saugomus asmens duomenis ŽŪMIS priskiriamas antrasis saugumo lygis.

23. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, kuri skelbiama Vidaus reikalų ministerijos interneto svetainėje (http://www.vrm.lt/Rizikos_analize.pdf), Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja ŽŪMIS rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį ŽŪMIS rizikos įvertinimą. ŽŪMIS tvarkytojo rašytiniu pavedimu ŽŪMIS rizikos įvertinimą gali atlikti pats saugos įgaliotinis. ŽŪMIS rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama ŽŪMIS tvarkytojo vadovui ir ŽŪMIS valdytojai. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos ŽŪMIS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai:

23.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

23.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis ŽŪMIS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kita);

23.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

24. Pagrindinės nuostatos dėl rizikos veiksnių vertinimo:

24.1. ŽŪMIS rizikos vertinimą inicijuoja ŽŪMIS valdytoja ar ŽŪMIS tvarkytojas;

24.2. ŽŪMIS rizika nustatoma periodinio rizikos vertinimo metu;

24.3. ŽŪMIS rizikos vertinimas atliekamas ne rečiau kaip kartą per metus;

24.4. ŽŪMIS saugos įgaliotinis yra atsakingas už ŽŪMIS rizikos vertinimo atlikimo organizavimą;

24.5. ŽŪMIS rizikos veiksniai vertinami taikant ŽŪMIS tvarkytojo patvirtintą rizikos vertinimo metodiką;

24.6. ŽŪMIS rizikos vertinimas atliekamas vadovaujantis:

24.6.1. Lietuvos Respublikos valstybės institucijų ir įstaigų informacinių sistemų duomenų saugą reglamentuojančių teisės aktų reikalavimais;

24.6.2. Lietuvos standartu LST ISO/IEC 27001:2013 ir kitais Lietuvos ir tarptautiniais standartais, reglamentuojančiais rizikos vertinimą;

24.6.3. ŽŪMIS tvarkytojo patvirtinta Informacijos saugumo politika;

24.6.4. ŽŪMIS tvarkytojo patvirtintu Informacijos saugumo rizikos valdymo tvarkos aprašu;

24.7. rizikos valdymo procesą sudaro:

24.7.1. rizikos vertinimo konteksto nustatymas, rizikos vertinimas (informacinių išteklių inventorizacija ir jų įtakos ŽŪMIS veiklai vertinimas, rizikos analizė, rizikos įvertinimas), rizikos tvarkymas ir rizikos stebėsena ir peržiūros;

24.7.2. ŽŪMIS valdytoja, atsižvelgdama į ŽŪMIS rizikos vertinimo rezultatus, prireikus tvirtina ŽŪMIS saugos įgaliotinio parengtą rizikos tvarkymo planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

25. ŽŪMIS saugai užtikrinti naudojamos priemonės, parengtos vadovaujantis:

25.1. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, kuris nustato būtinas priemones pagal informacinei sistemai paskirtą saugos kategoriją;

25.2. Bendraisiais reikalavimais organizacinėms ir techninėms saugumo priemonėms;

25.3. kitų elektroninės informacijos apsaugą reglamentuojančių Lietuvos Respublikos teisės aktų reikalavimais, kurie nustato būtinas priemones pagal informacinei sistemai paskirtą kategoriją;

25.4. Lietuvos standarte LST ISO/IEC 27001:2013 pateikiamomis rekomendacijomis ir siūlymais.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

26. Programinės įrangos, skirtos apsaugoti ŽŪMIS nuo kenkėjiškos programinės įrangos, naudojimo nuostatos:

26.1. ŽŪMIS funkcionuoti būtina programinė tarnybinių stočių ir ŽŪMIS paslaugos gavėjų kompiuteriuose esanti programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kt.) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Už tarnybinių stočių programinės įrangos konfigūravimą atsakingas ŽŪMIS administratorius, o už kontrolę atsakingas ŽŪMIS saugos įgaliotinis;

26.2. ŽŪMIS funkcionuoti būtina serverių ir tarnybinių stočių srities ir ŽŪMIS paslaugos gavėjų kompiuteriuose esanti programinė įranga turi būti atnaujinama ne vėliau kaip per 5 darbo dienas po programinės įrangos gamintojų pranešimo apie programinės įrangos atnaujinimą. Už serverių srities atnaujinimų atlikimą atsakingas ŽŪMIS administratorius, o už kontrolę atsakingas ŽŪMIS saugos įgaliotinis;

26.3. ŽŪMIS paslaugos gavėjų kompiuteriuose prieigos teisės turi būti apribojamos iki minimalių, būtinų darbo užduotims atlikti teisių, už tai atsakingas ŽŪMIS paslaugos gavėjas;

26.4. ŽŪMIS paslaugos gavėjų kompiuteriai turi būti apsaugoti lokaliomis ugniasienėmis;

26.5. ŽŪMIS paslaugos gavėjų kompiuteriuose turi būti naudojama antivirusinė programinė įranga, apsauganti nuo kenksmingų programų, įskaitant elektroninio pašto apsaugą. Antivirusinė programinė įranga periodiškai, ne rečiau kaip kartą per savaitę, turi būti automatiškai atnaujinama.

27. Programinės įrangos naudojimo ribojimo nuostatos:

27.1. ŽŪMIS tarnybinėse stotyse turi veikti tik legali programinė įranga;

27.2. periodiškai, bet ne rečiau kaip kartą per metus, turi būti atliekamas ŽŪMIS tarnybinėse stotyse naudojamos programinės įrangos auditas, kurį inicijuoja ŽŪMIS saugos įgaliotinis.

28. Kompiuterių tinklo filtravimo įrangos naudojimo nuostatos:

28.1. konfigūruojant ŽŪMIS paslaugos gavėjų elektroninės informacijos perdavimo tinklo užkardas turi būti naudojami tik ŽŪMIS tvarkytojo veiklai būtini tinklo protokolai ir užkardų prievadai;

28.2. už ŽŪMIS serverių srities tinklo užkardų administravimą, priežiūrą, operacinės sistemos atnaujinimą ir saugią užkardų konfigūraciją atsakingas ŽŪMIS administratorius;

28.3. ŽŪMIS serverių ir tarnybinių stočių srities tinklo užkardų konfigūracijos aprašymas (užkardos taisyklės) saugomas ŽŪMIS saugos įgaliotinio. Užkardų konfigūracija peržiūrima ne rečiau kaip kartą per metus. Peržiūrą inicijuoja ŽŪMIS saugos įgaliotinis, o vykdo ŽŪMIS administratorius.

29. Leistinos kompiuterių naudojimo ribos:

29.1. stacionarūs ir nešiojamieji ŽŪMIS paslaugos gavėjų kompiuteriai privalo būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai atlikti. Iš kompiuterių, kurie perduodami remontui ar techninei priežiūrai, turi būti pašalinta visa riboto naudojimo ŽŪMIS elektroninė informacija;

29.2. visiems ŽŪMIS paslaugos gavėjų naudojamiems kompiuteriams privaloma naudoti papildomas saugos priemones, kuriomis patvirtinama kompiuterio naudotojo tapatybė bei šifruojami riboto naudojimo duomenys.

30. Metodas, kuriuo galima užtikrinti saugų ŽŪMIS elektroninės informacijos teikimą ir (ar) gavimą, kai ŽŪMIS duomenys perduodami automatiniu būdu TCP/IP protokolu realiu laiku arba asinchroniniu režimu pagal ŽŪMIS duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka. Už duomenų teikimo ir gavimo sutartyse nurodomų saugos reikalavimų identifikavimą, suformulavimą ir įgyvendinimo organizavimą atsakingas ŽŪMIS saugos įgaliotinis.

31. Pagrindiniai atsarginių ŽŪMIS duomenų kopijų darymo ir atkūrimo reikalavimai:

31.1. atsarginių ŽŪMIS duomenų kopijų darymas ir atkūrimas turi būti atliekamas laikantis Lietuvos Respublikos teisės aktų nustatytų reikalavimų;

31.2. atsarginės ŽŪMIS duomenų kopijos turi būti daromos periodiškai pagal ŽŪMIS tvarkytojo patvirtintą svarbiausios veiklos atsarginių kopijų administravimo tvarkos aprašą;

31.3. atsarginių kopijų laikmenos yra pažymimos taip, kad jas būtų galima atpažinti;

31.4. ŽŪMIS duomenų atkūrimas iš atsarginių duomenų kopijų turi būti periodiškai išbandomas pagal ŽŪMIS tvarkytojo patvirtintą svarbiausios veiklos atsarginių kopijų administravimo tvarkos aprašą. Bandymų eiga ir rezultatai pateikiami ŽŪMIS saugos įgaliotiniui;

31.5. už atsarginių ŽŪMIS duomenų kopijų darymą, atkūrimą ir už ŽŪMIS taikomosios programinės įrangos (aplikacijų) kopijų inicijavimą atsakingas ŽŪMIS saugos įgaliotinis, o vykdymą – ŽŪMIS administratorius;

31.6. atsarginės ŽŪMIS duomenų kopijos turi būti saugomos kitose patalpose arba kitame pastate, nei yra įrenginys.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

32. ŽŪMIS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis saugos dokumentais bei kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, standartais ir kitais dokumentais, sugebėti prižiūrėti, kaip įgyvendinama ŽŪMIS saugos politika, tobulinti kvalifikaciją elektroninės informacijos saugos srityje.

33. ŽŪMIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

34. ŽŪMIS administratorius ir Institucijos ŽŪMIS paslaugos administratoriai privalo išmanyti ŽŪMIS elektroninės informacijos saugumo politikos principus, darbą su duomenų perdavimo tinklais, užtikrinti jų saugą, taip pat administruoti ir prižiūrėti informacines sistemas, turi būti susipažinęs su šiais Saugos nuostatais ir kitais su elektroninės informacijos sauga susijusiais dokumentais.

35. ŽŪMIS paslaugos gavėjai privalo būti gerai susipažinę su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų saugą, turi turėti naudojimosi kompiuteriu įgūdžių, būti susipažinę su šiais Saugos nuostatais ir kitais susijusiais saugos dokumentais.

36. ŽŪMIS paslaugų gavėjai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių ar netinkamai veikiančių ŽŪMIS elektroninės informacijos saugos užtikrinimo priemonių, nedelsdami privalo apie tai pranešti ŽŪMIS administratoriui.

37. ŽŪMIS administratorius ir Institucijos ŽŪMIS paslaugų administratoriai apie Saugos nuostatų 36 punkte nurodytus pažeidimus informuoja ŽŪMIS saugos įgaliotinį. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią ŽŪMIS elektroninės informacijos saugą (jos konfidencialumą, vientisumą ar prieinamumą), ŽŪMIS saugos įgaliotinis apie tai turi pranešti ŽŪMIS tvarkytojo vadovui ir kompetentingoms institucijoms.

38. Institucijos ŽŪMIS paslaugos naudotojų administratoriai turi būti gerai susipažinę su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų saugą, žinoti visus sutartinius įsipareigojimus ir teisės aktus, susijusius su ŽŪMIS paslaugos naudotojų administravimu.

39. Institucijos ŽŪMIS paslaugos naudotojų administratoriai turi žinoti ŽŪMIS paslaugos vaidmenis ir jų suteikimo principus.

40. ŽŪMIS paslaugos gavėjų informacijos saugos mokymai ir žinių atnaujinimas atliekamas kasmet. Už tai atsakingas ŽŪMIS saugos įgaliotinis.

V skyrius

ŽŪMIS NAUDOTOJŲ ir PASLAUGŲ GAVĖJų SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

41. Už ŽŪMIS naudotojų supažindinimą su ŽŪMIS saugos dokumentais, teisės aktais, nurodytais Saugos nuostatų 19 punkte, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, atsakomybę už saugos dokumentų nuostatų pažeidimus, informaciją apie saugos mokymą ir žinių atnaujinimą, yra atsakingas ŽŪMIS saugos įgaliotinis.

42. Saugos dokumentai yra skelbiami viešai ŽŪMIS tvarkytojo interneto svetainėje.

43. ŽŪMIS tvarkytojo patvirtinta Informacijos saugumo politika yra skelbiama viešai ŽŪMIS tvarkytojo interneto svetainėje ir yra privaloma visiems naudotojams bei paslaugų gavėjams, dirbantiems su ŽŪMIS.

44. Pirmą kartą prisijungę prie ŽŪMIS paslaugos gavėjai privalo susipažinti su Informacijos saugumo politika, ŽŪMIS nuostatais, Saugos nuostatais ir kitais saugos dokumentais.

45. Pasikeitus šių Saugos nuostatų 44 punkte nurodytiems dokumentams, paslaugų gavėjai privalo su jais pakartotinai susipažinti.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

46. Asmenys, pažeidę Saugos nuostatus, atsako įstatymų nustatyta tvarka.

47. Saugos nuostatų ir kitos su ŽŪMIS elektroninės informacijos sauga susijusios dokumentacijos peržiūrą ar keitimą inicijuoja ŽŪMIS tvarkytojas.

48. Saugos nuostatai ir Saugos politiką įgyvendinantys teisės aktai turi būti peržiūrėti ne rečiau kaip kartą per kalendorinius metus atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, technologiniams ar kitiems ŽŪMIS pokyčiams.

__________________________