LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTRAS

ĮSAKYMAS

DĖL ŽEMĖS ŪKIO IR MAISTO PRODUKTŲ RINKOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2017 m. gruodžio 19 d. Nr. 3D-815

Vilnius

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 3 dalimi ir 30 straipsniu, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 9 punktu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7, 11 ir 19 punktais:

1. T v i r t i n u Žemės ūkio ir maisto produktų rinkos informacinės sistemos duomenų saugos nuostatus (pridedama).

2. P a v e d u:

2.1. Žemės ūkio ministerijos Veiklos administravimo ir turto valdymo departamento Informacinių sistemų skyriui:

2.1.1. ne vėliau kaip per 6 mėnesius nuo šio įsakymo įsigaliojimo dienos parengti Žemės ūkio ir maisto produktų rinkos informacinės sistemos duomenų saugos politikos įgyvendinamųjų teisės aktų projektus, suderinti ir pateikti tvirtinti;

2.1.2. ne vėliau kaip per 14 darbo dienų nuo šio įsakymo įsigaliojimo dienos pateikti šio įsakymo ir juo tvirtinamų dokumentų kopijas Registrų ir valstybės informacinių sistemų registrui Registrų ir valstybės informacinių sistemų registro nuostatų numatyta tvarka;

2.2. VĮ Žemės ūkio informacijos ir kaimo verslo centrui:

2.2.1. per 14 darbo dienų nuo šio įsakymo įsigaliojimo dienos paskirti Žemės ūkio ir maisto produktų rinkos informacinės sistemos duomenų saugos įgaliotinį, duomenų valdymo įgaliotinį ir administratorių;

2.2.2. saugos įgaliotiniui pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai rizikos vertinimo ir atitikties vertinimo rezultatus Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų numatyta tvarka rizikos vertinimo ir atitikties vertinimo rezultatus;

2.2.3. šio įsakymo vykdymą kontroliuoti žemės ūkio viceministrui pagal administravimo sritį.

Žemės ūkio ministras Bronius Markauskas

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2017-12-06 raštu Nr. 1D-6404

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2017 m. gruodžio 19 d. įsakymu Nr. 3D-815

ŽEMĖS ŪKIO IR MAISTO PRODUKTŲ RINKOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Žemės ūkio ir maisto produktų rinkos informacinės sistemos (toliau – ŽŪMPRIS) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja ŽŪMPRIS elektroninės informacijos saugos politiką.

2. Šiuose Saugos nuostatuose vartojamos sąvokos:

2.1. ŽŪMPRIS administratorius – ŽŪMPRIS tvarkytojo (VĮ Žemės ūkio informacijos ir kaimo verslo centro (toliau – ŽŪIKVC) paskirtas darbuotojas, prižiūrintis ŽŪMPRIS ir (ar) jos infrastruktūrą, užtikrinantis jos veikimą ir elektroninės informacijos saugą.

2.2. ŽŪMPRIS naudotojas – valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis ŽŪMPRIS ištekliais numatytoms funkcijoms atlikti.

2.3. ŽŪMPRIS naudotojų administratorius – ŽŪMPRIS tvarkytojo (ŽŪIKVC) paskirtas darbuotojas, administruojantis ŽŪMPRIS naudotojų prieigos teisių valdymą ir atliekantis kitas teisės aktų nustatytas funkcijas.

2.4. ŽŪMPRIS saugos įgaliotinis – ŽŪMPRIS tvarkytojo (ŽŪIKVC) paskirtas darbuotojas, koordinuojantis ir prižiūrintis elektroninės informacijos saugos politikos įgyvendinimą ŽŪMPRIS.

2.5. Kitos Saugos nuostatuose vartojamos sąvokos apibrėžtos Bendrųjų elektroninės informacijos saugos reikalavimų apraše (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas) ir Saugos dokumentų turinio gairių apraše (toliau – Saugos dokumentų turinio gairių aprašas) ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše (toliau – Elektroninės informacijos svarbos įvertinimo ir klasifikavimo gairių aprašas), patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“.

3. ŽŪMPRIS tvarkomos elektroninės informacijos saugos užtikrinimo tikslas – sudaryti sąlygas saugiai automatizuotu būdu tvarkyti ir saugoti elektroninę informaciją ŽŪMPRIS, užtikrinti elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą.

4. ŽŪMPRIS informacijos saugumui užtikrinti naudojamos organizacinės, techninės, programinės ir fizinės informacijos apsaugos priemonės.

5. ŽŪMPRIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

5.1. ŽŪMPRIS elektroninės informacijos konfidencialumo užtikrinimas;

5.2. ŽŪMPRIS elektroninės informacijos vientisumo užtikrinimas;

5.3. ŽŪMPRIS elektroninės informacijos prieinamumo užtikrinimas;

5.4. prieigos prie ŽŪMPRIS kontrolė;

5.5. ŽŪMPRIS rizikos valdymas;

5.6. ŽŪMPRIS veiklos tęstinumo užtikrinimas;

5.7. ŽŪMPRIS naudotojų ir ŽŪMPRIS administratoriaus saugos mokymas.

6. Saugos nuostatai taikomi:

6.1. ŽŪMPRIS valdytojai – Lietuvos Respublikos žemės ūkio ministerijai (toliau – ŽŪMPRIS valdytoja), Gedimino pr. 19, 01103, Vilnius;

6.2. ŽŪMPRIS tvarkytojams – ŽŪIKVC, V. Kudirkos g. 18-1, 03105, Vilnius; Žuvininkystės tarnybai prie Lietuvos Respublikos žemės ūkio ministerijos (toliau – Žuvininkystės tarnyba), J. Lelevelio g. 6, LT-01102, Vilnius.

6.3. ŽŪMPRIS naudotojams;

6.4. ŽŪMPRIS administratoriui;

6.5. ŽŪMPRIS naudotojų administratoriui;

6.6. ŽŪMPRIS saugos įgaliotiniui.

7. ŽŪMPRIS valdytojos funkcijos:

7.1. rengti ir priimti teisės aktus, užtikrinančius ŽŪMPRIS duomenų tvarkymo teisėtumą ir ŽŪMPRIS elektroninės informacijos saugą, atlikti jų nuostatų laikymosi priežiūrą;

7.2. nagrinėti ŽŪIKVC pasiūlymus dėl ŽŪMPRIS veiklos, elektroninės informacijos saugos, juos apibendrinti ir priimti sprendimus dėl ŽŪMPRIS tobulinimo;

7.3. metodiškai vadovauti ŽŪMPRIS tvarkytojų veiklai kuriant ir diegiant ŽŪMPRIS, taip pat užtikrinant ŽŪMPRIS veikimą, tobulinimą ir elektroninės informacijos saugą, už kurią atsako;

7.4. rengti ŽŪMPRIS biudžeto projektus;

7.5. pavesti ŽŪIKVC skirti ŽŪMPRIS saugos įgaliotinį ir ŽŪMPRIS administratorių;

7.6. priimti sprendimus dėl ŽŪMPRIS rizikos vertinimo rezultatų;

7.7. atlikti kitas Saugos nuostatuose, ŽŪMPRIS nuostatuose ir kituose teisės aktuose pavestas funkcijas.

8. ŽŪIKVC funkcijos:

8.1. užtikrinti ŽŪMPRIS prieinamumą;

8.2. užtikrinti ŽŪMPRIS duomenų atsarginių kopijų darymą;

8.3. pagal kompetenciją užtikrinti ŽŪMPRIS veiklos tęstinumą;

8.4. užtikrinti ŽŪMPRIS taikomajai programinei įrangai, tarnybinėms stotims ir juose esantiems duomenims funkcionuoti būtinos informacinių technologijų infrastruktūros saugą;

8.5. priimti sprendimus dėl ŽŪMPRIS rizikos vertinimo rezultatų;

8.6. rengti ir saugoti tarnybinės stoties saugai užtikrinti būtiną dokumentaciją;

8.7. sudaryti ŽŪMPRIS duomenų gavimo ir teikimo sutartis ir užtikrinti duomenų gavimo ir teikimo saugą;

8.8. sudaryti galimybes duomenų teikėjams teikti duomenis elektroniniu būdu;

8.9. užtikrinti ŽŪMPRIS elektroninės informacijos saugą;

8.10. skirti ŽŪMPRIS saugos įgaliotinį;

8.11. skirti ŽŪMPRIS administratorių;

8.12. skirti ŽŪMPRIS naudotojų administratorių;

8.13. teikti pastabas ir pasiūlymus ŽŪMPRIS valdytojai ŽŪMPRIS veiklos klausimais;

8.14. atlikti kitas Saugos nuostatuose, ŽŪMPRIS nuostatuose ir kituose teisės aktuose pavestas funkcijas.

9. Žuvininkystės tarnybos funkcijos:

9.1. pagal kompetenciją užtikrinti Žuvininkystės duomenų informacinės sistemos (toliau – ŽDIS) informacijos saugą;

9.2. užtikrinti duomenų teikėjų į ŽDIS teikiamų dokumentų ir suvedamų duomenų apsaugą;

9.3. pagal kompetenciją užtikrinti ŽŪMPRIS veiklos tęstinumą;

9.4. teikti pastabas ir pasiūlymus ŽŪMPRIS valdytojai ŽŪMPRIS veiklos klausimais;

9.5. atlikti kitas Saugos nuostatuose, ŽŪMPRIS nuostatuose ir kituose teisės aktuose pavestas funkcijas.

10. ŽŪMPRIS saugos įgaliotinio funkcijos:

10.1. teikti ŽŪIKVC vadovui pasiūlymus dėl:

10.1.1. ŽŪMPRIS administratoriaus paskyrimo ir reikalavimų nustatymo;

10.1.2. saugos dokumentų priėmimo, keitimo ir panaikinimo;

10.1.3. ŽŪIKVC informacinių technologijų saugos atitikties vertinimo atlikimo;

10.2. koordinuoti įvykusių incidentų dėl ŽŪMPRIS elektroninės informacijos saugos tyrimą;

10.3. teikti ŽŪMPRIS administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su Informacijos saugumo politikos įgyvendinimu;

10.4. organizuoti ŽŪMPRIS naudotojų supažindinimą su ŽŪMPRIS saugos dokumentais, užtikrinti supažindinimo įrodomumą;

10.5. koordinuoti ŽŪMPRIS saugos dokumentų reikalavimų vykdymą;

10.6. organizuoti ir atlikti ŽŪMPRIS rizikos vertinimą;

10.7. atlikti kitas Saugos nuostatuose ir kituose saugos dokumentuose pavestas funkcijas.

11. ŽŪMPRIS administratoriaus funkcijos:

11.1. atsakyti už ŽŪMPRIS tarnybinių stočių funkcionavimą ir prieigų prie ŽŪMPRIS infrastruktūros išteklių teisių suteikimą;

11.2. atlikti ŽŪMPRIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų, saugasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) sąranką, kuri atitiktų ŽŪMPRIS saugos dokumentų reikalavimus;

11.3. nustatyti ŽŪMPRIS pažeidžiamas vietas;

11.4. reaguoti į elektroninės informacijos saugos incidentus;

11.5. patikrinti (peržiūrėti) ŽŪMPRIS sąranką ir ŽŪMPRIS būsenos rodiklius reguliariai, ne rečiau kaip kartą per metus ir (arba) po ŽŪMPRIS pokyčio;

11.6. įgyvendinti ŽŪMPRIS pokyčius, kuriuos inicijuoja ŽŪMPRIS duomenų valdymo įgaliotinis, saugos įgaliotinis arba pats administratorius;

11.7. pagal kompetenciją teikti pasiūlymus ŽŪMPRIS saugos įgaliotiniui dėl ŽŪMPRIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir ŽŪMPRIS elektroninės informacijos saugos užtikrinimo;

11.8. informuoti ŽŪMPRIS saugos įgaliotinį apie incidentus dėl elektroninės informacijos saugos ir teikti pasiūlymus dėl tokių incidentų pašalinimo;

11.9. vykdyti visus ŽŪMPRIS saugos įgaliotinio nurodymus ir pavedimus, susijusius su ŽŪMPRIS elektroninės informacijos saugos užtikrinimu;

11.10. teikti ŽŪMPRIS saugos įgaliotiniui informaciją apie ŽŪMPRIS elektroninės informacijos saugą užtikrinančių komponentų būklę;

11.11. atlikti kitas Saugos nuostatuose ir kituose saugos dokumentuose pavestas funkcijas.

12. ŽŪMPRIS naudotojų administratoriaus funkcijos:

12.1. vykdyti prieigų prie ŽŪMPRIS suteikimą;

12.2. vykdyti ŽŪMPRIS teisių valdymą;

12.3. redaguoti ŽŪMPRIS naudotojų teises;

12.4. atlikti kitas Saugos nuostatuose ir kituose saugos dokumentuose pavestas funkcijas.

13. ŽŪMPRIS naudotojo funkcijos:

13.1. atsakyti už ŽŪMPRIS ir joje tvarkomų duomenų saugumą;

13.2. tvarkyti ŽŪMPRIS elektroninę informaciją;

13.3. neatskleisti, neperduoti tvarkomos ŽŪMPRIS elektroninės informacijos;

13.4. atlikti kitas Saugos nuostatų, ŽŪMPRIS nuostatų ir kitų teisės aktų nustatytas funkcijas.

14. Teisės aktai, kuriais vadovaujamasi tvarkant elektroninę informaciją ir užtikrinant jos saugą:

14.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

14.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

14.3. Lietuvos Respublikos kibernetinio saugumo įstatymas;

14.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

14.5. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;

14.6. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

14.7. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“;

14.8. Bendrieji reikalavimai organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai organizacinėms ir techninėms asmens duomenų saugumo priemonėms);

14.9. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

14.10. Lietuvos standartai LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugumą;

14.11. kiti teisės aktai, reglamentuojantys elektroninės informacijos saugą valstybės institucijose.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

15. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Elektroninės informacijos svarbos įvertinimo ir klasifikavimo gairių aprašas), ŽŪMPRIS tvarkoma elektroninė informacija priskiriama ypatingos svarbos elektroninės informacijos kategorijai, kadangi dėl šios elektroninės informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimo gali kilti grėsmė, kad prasidės Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo 7.1–7.6 papunkčiuose nurodyti procesai.

16. Pagal ŽŪMPRIS tvarkomą ypatingos svarbos elektroninę informaciją ŽŪMPRIS priskiriama prie pirmosios kategorijos informacinių sistemų.

17. Vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu dėl galimybės per išorinius duomenų perdavimo tinklus tvarkyti ŽŪMPRIS saugomus asmens duomenis ŽŪMPRIS priskiriamas prie antrojo saugumo lygio.

18. ŽŪMPRIS saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, kuri skelbiama Vidaus reikalų ministerijos interneto svetainėje (adresu http://www.vrm.lt/Rizikos_analize.pdf) (toliau – Vidaus reikalų ministerijos išleista metodinė priemonė „Rizikos analizės vadovas“), Lietuvos ir tarptautinius standartus „Informacijos technologija. Saugumo technika“, kasmet organizuoja ŽŪMPRIS rizikos vertinimą. Prireikus ŽŪMPRIS saugos įgaliotinis gali organizuoti neeilinį ŽŪMPRIS rizikos vertinimą. ŽŪMPRIS tvarkytojo rašytiniu pavedimu ŽŪMPRIS rizikos vertinimą gali atlikti pats ŽŪMPRIS saugos įgaliotinis. ŽŪMPRIS rizikos vertinimo rezultatai išdėstomi Rizikos įvertinimo ataskaitoje, kuri pateikiama ŽŪMPRIS tvarkytojo vadovui. Rizikos įvertinimo ataskaita rengiama vertinant rizikos veiksnius, galinčius turėti įtakos ŽŪMPRIS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai:

18.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

18.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis ŽŪMPRIS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kita);

18.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

19. Pagrindinės nuostatos dėl rizikos veiksnių vertinimo:

19.1. ŽŪMPRIS rizikos vertinimą inicijuoja ŽŪMPRIS valdytoja ar ŽŪIKVC;

19.2. ŽŪMPRIS rizika nustatoma periodinio rizikos vertinimo metu;

19.3. ŽŪMPRIS rizikos vertinimas atliekamas ne rečiau kaip kartą per metus;

19.4. ŽŪMPRIS saugos įgaliotinis yra atsakingas už ŽŪMPRIS rizikos vertinimo atlikimo organizavimą;

19.5. ŽŪMPRIS rizikos veiksniai vertinami taikant ŽŪIKVC patvirtintą Rizikos vertinimo metodiką.

20. ŽŪMPRIS rizikos vertinimas atliekamas vadovaujantis:

20.1. Lietuvos Respublikos valstybės institucijų ir įstaigų informacinių sistemų duomenų saugą reglamentuojančių teisės aktų reikalavimais;

20.2. Lietuvos standartu LST ISO/IEC 27001 ir kitais Lietuvos ir tarptautiniais standartais, reglamentuojančiais rizikos vertinimą;

20.3. ŽŪIKVC patvirtinta Informacijos saugumo politika;

20.4. ŽŪIKVC patvirtintu Rizikos valdymo tvarkos aprašu.

21. Rizikos valdymo procesą sudaro: rizikos vertinimo konteksto nustatymas, rizikos vertinimas (informacinių išteklių inventorizacija ir jų įtakos ŽŪMPRIS tvarkytojo veiklai vertinimas, rizikos analizė, rizikos įvertinimas), rizikos tvarkymas ir rizikos stebėsena ir peržiūra.

22. ŽŪMPRIS valdytoja, atsižvelgdama į ŽŪMPRIS rizikos vertinimo rezultatus, prireikus tvirtina ŽŪMPRIS saugos įgaliotinio parengtą Rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti;

23. Rizikos įvertinimo rezultatus ŽŪMPRIS saugos įgaliotinis turi pateikti į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą (ARSIS), kaip numatyta Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“.

24. ŽŪMPRIS saugos užtikrinimo priemonės parenkamos vadovaujantis:

24.1. Lietuvos Respublikos kibernetinio saugumo įstatymu;

24.2. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. Nr. įsakymu 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

24.3. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“;

24.4. Elektroninės informacijos svarbos įvertinimo ir klasifikavimo gairių aprašu, kuris nustato būtinas priemones pagal informacinei sistemai paskirtą saugos kategoriją;

24.5. Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms;

24.6. Vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“;

24.7. kitų elektroninės informacijos apsaugą reglamentuojančių Lietuvos Respublikos teisės aktų reikalavimais, kurie nustato būtinas priemones pagal informacinei sistemai paskirtą kategoriją;

24.8. Lietuvos standarte LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ pateikiamomis rekomendacijomis ir siūlymais.

25. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:

25.1. likutinė rizika turi būti sumažinta iki priimtino lygio;

25.2. elektroninės informacijos saugos priemonės diegimo kaina turi būti proporcinga saugomos elektroninės informacijos vertei;

25.3. turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

26. Programinės įrangos, skirtos apsaugoti ŽŪMPRIS nuo kenkėjiškos programinės įrangos, naudojimo nuostatos:

26.1. ŽŪMPRIS funkcionuoti būtina programinė tarnybinių stočių ir ŽŪMPRIS naudotojų kompiuteriuose esanti programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kt.) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Už tarnybinių stočių programinės įrangos konfigūravimą atsakingas ŽŪMPRIS administratorius, o už kontrolę – ŽŪMPRIS saugos įgaliotinis;

26.2. ŽŪMPRIS funkcionuoti būtina tarnybinėse stotyse ir ŽŪMPRIS naudotojų kompiuteriuose esanti programinė įranga turi būti atnaujinama ne vėliau kaip per 5 darbo dienas po programinės įrangos gamintojų pranešimo apie programinės įrangos atnaujinimą. Už tarnybinių stočių atnaujinimų atlikimą atsakingas ŽŪMPRIS administratorius, o už kontrolę – ŽŪMPRIS saugos įgaliotinis;

26.3. ŽŪMPRIS naudotojų kompiuteriuose prieigos teisės turi būti apribojamos iki minimalių, būtinų darbo užduotims atlikti, teisių;

26.4. ŽŪMPRIS naudotojų kompiuteriai turi būti apsaugoti lokaliomis saugasienėmis;

26.5. ŽŪMPRIS naudotojų kompiuteriuose turi būti naudojama antivirusinė programinė įranga, apsauganti nuo kenksmingų programų, įskaitant elektroninio pašto apsaugą. Antivirusinė programinė įranga periodiškai, ne rečiau kaip kartą per savaitę, turi būti automatiškai atnaujinama.

27. Programinės įrangos naudojimo ribojimo nuostatos:

27.1. ŽŪMPRIS tarnybinėse stotyse turi veikti tik legali programinė įranga;

27.2. periodiškai, bet ne rečiau kaip kartą per metus, turi būti atliekamas ŽŪMPRIS rizikos vertinimas ir informacinių technologijų saugos atitikties vertinimas, kuriuos inicijuoja ŽŪMPRIS saugos įgaliotinis.

28. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, tarnybinių stočių ir kitos) naudojimo nuostatos:

28.1. ŽŪMPRIS naudotojų elektroninės informacijos perdavimo tinklo ir užkardų priežiūra vykdoma pagal ŽŪIKVC patvirtintą Kompiuterinio tinklo konfigūravimo ir stebėsenos tvarkos aprašą;

28.2. tinklo ir užkardų konfigūracija peržiūrima ne rečiau kaip kartą per metus. Peržiūrą inicijuoja ŽŪMPRIS saugos įgaliotinis, o ją vykdo ŽŪMPRIS administratorius;

28.3. visas duomenų srautas į internetą ir iš jo filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

28.4. naudojamos turinio filtravimo sistemos;

28.5. naudojamos taikomųjų programų kontrolės sistemos;

28.6. apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga, galinti iššifruoti įeinančių ir išeinančių duomenų srautų duomenis.

29. Leistinos ŽŪMPRIS naudotojų kompiuterių naudojimo ribos:

29.1. stacionarūs ir nešiojamieji ŽŪMPRIS naudotojų kompiuteriai privalo būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai atlikti. Iš kompiuterių, kurie perduodami remontui ar techniniam aptarnavimui, turi būti pašalinta visa ŽŪMPRIS apriboto naudojimo elektroninė informacija;

29.2. visiems ŽŪMPRIS naudotojų naudojamiems kompiuteriams privaloma naudoti papildomas saugos priemones, kuriomis patvirtinama kompiuterio ŽŪMPRIS naudotojo tapatybė bei šifruojami duomenys.

30. Metodai, kuriais galima užtikrinti saugų ŽŪMPRIS elektroninės informacijos teikimą ir (ar) gavimą:

30.1. ŽŪMPRIS duomenys perduodami automatiškai TCP/IP protokolu realiuoju laiku arba asinchroniniu režimu pagal ŽŪMPRIS duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka;

30.2. už duomenų teikimo ir gavimo sutartyse nurodomų saugos reikalavimų nustatymą, suformulavimą ir įgyvendinimo organizavimą atsakingas ŽŪMPRIS saugos įgaliotinis.

30.3. ŽŪMPRIS perdavimas šifruotais ryšio kanalais;

30.4. duomenų registravimui naudojamas saugus HTTPS protokolas;

30.5. saugaus valstybinio duomenų perdavimo tinklo (SVDPT) naudojimas.

31. Pagrindiniai atsarginių ŽŪMPRIS duomenų kopijų darymo ir atkūrimo reikalavimai:

31.1. atsarginių ŽŪMPRIS duomenų kopijų darymas ir atkūrimas turi būti atliekamas laikantis Lietuvos Respublikos teisės aktų nustatytų reikalavimų;

31.2. atsarginės ŽŪMPRIS duomenų kopijos turi būti daromos periodiškai (visų duomenų kopija – vieną kartą per savaitę) pagal ŽŪIKVC patvirtintą Svarbiausių veiklos duomenų ir kitos informacijos atsarginių kopijų administravimo tvarkos aprašą;

31.3. atsarginių kopijų laikmenos yra pažymimos taip, kad jas būtų galima atpažinti;

31.4. ŽŪMPRIS duomenų atkūrimas iš atsarginių duomenų kopijų turi būti periodiškai išbandomas pagal ŽŪIKVC patvirtintą Svarbiausių veiklos duomenų ir kitos informacijos atsarginių kopijų administravimo tvarkos aprašą. Bandymų eiga ir rezultatai pateikiami ŽŪMPRIS saugos įgaliotiniui;

31.5. už atsarginių ŽŪMPRIS duomenų kopijų darymą ir atkūrimą ir už ŽŪMPRIS taikomosios programinės įrangos (aplikacijų) kopijų inicijavimą atsakingas ŽŪMPRIS saugos įgaliotinis, o už vykdymą – ŽŪMPRIS administratorius;

31.6. atsarginės ŽŪMPRIS duomenų kopijos turi būti saugomos užrakintoje nedegioje spintoje, kitose patalpose arba kitame pastate, nei yra įrašymo įrenginys.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

32. ŽŪMPRIS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis saugos dokumentais bei kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą, standartais ir kitais dokumentais, sugebėti prižiūrėti, kaip įgyvendinama ŽŪMPRIS elektroninės informacijos saugumo politika, tobulinti kvalifikaciją elektroninės informacijos saugos srityje.

33. ŽŪMPRIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

34. ŽŪMPRIS administratorius privalo išmanyti ŽŪMPRIS elektroninės informacijos saugumo politikos principus, mokėti užtikrinti jų saugą, mokėti dirbti su duomenų perdavimo tinklais, užtikrinti jų saugą, taip pat administruoti ir prižiūrėti informacines sistemas, turi būti susipažinęs su šiais Saugos nuostatais ir kitais su elektroninės informacijos sauga susijusiais dokumentais, darbo saugos taisyklėmis.

35. ŽŪMPRIS administratorius privalo sugebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų diagnostiką ir šalinimą, išmanyti elektroninės informacijos saugos užtikrinimo principus.

36. ŽŪMPRIS naudotojai privalo išmanyti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą ir kitus teisės aktus, reglamentuojančius asmens duomenų saugą, turi turėti naudojimosi kompiuteriu įgūdžių, būti susipažinę su šiais Saugos nuostatais ir kitais susijusiais saugos dokumentais.

37. ŽŪMPRIS naudotojai, pastebėję informacijos saugumo politikos pažeidimų, nusikalstamos veikos požymių ar netinkamai veikiančių ŽŪMPRIS elektroninės informacijos saugos užtikrinimo priemonių, nedelsdami privalo apie tai pranešti ŽŪIKVC.

38. ŽŪMPRIS administratorius apie šių Saugos nuostatų 18 punkte nurodytus pažeidimus informuoja ŽŪMPRIS saugos įgaliotinį. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeidžiančią ŽŪMPRIS elektroninę informaciją (jos konfidencialumą, vientisumą ar prieinamumą), ŽŪMPRIS saugos įgaliotinis apie tai turi pranešti ŽŪIKVC vadovui ir kompetentingoms institucijoms.

39. ŽŪMPRIS naudotojų administratorius turi būti gerai susipažinęs su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų saugą, žinoti visus sutartinius įsipareigojimus ir teisės aktus, susijusius su ŽŪMPRIS naudotojų administravimu.

40. ŽŪMPRIS naudotojų administratorius turi žinoti ŽŪMPRIS vaidmenis ir jų suteikimo principus.

41. ŽŪMPRIS naudotojų informacijos saugos mokymai ir žinių atnaujinimas atliekamas kasmet, laisvai pasirenkama forma. Už tai atsakingas ŽŪMPRIS saugos įgaliotinis.

V SKYRIUS

ŽŪMPRIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

42. ŽŪMPRIS naudotojų supažindinimą su saugos dokumentais bei teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinat jos saugumą, jo įrodomumą ir atsakomybę už jų reikalavimų nesilaikymą yra atsakingas ŽŪMPRIS saugos įgaliotinis.

43. Saugos dokumentai yra viešai skelbiami ŽŪIKVC interneto svetainėje.

44. ŽŪIKVC patvirtinta Informacijos saugumo politikos santrauka ir Išorinių naudotojų administravimo taisyklės yra viešai skelbiamos ŽŪIKVC interneto svetainėje ir yra privalomos visiems ŽŪMPRIS naudotojams, dirbantiems su ŽŪMPRIS.

45. Pirmą kartą prisijungęs prie ŽŪMPRIS naudotojas privalo susipažinti su Informacijos saugumo politikos santrauka, Išorinių naudotojų administravimo taisyklėmis, ŽŪMPRIS nuostatais, Saugos nuostatais ir kitais saugos dokumentais.

46. Pasikeitus šių Saugos nuostatų 14 punkte nurodytiems dokumentams, ŽŪMPRIS naudotojas privalo su jais pakartotinai susipažinti.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

47. Saugos nuostatai privalomi ŽŪMPRIS valdytojos ir ŽŪMPRIS tvarkytojų darbuotojams, ŽŪMPRIS naudotojams, kurie tvarko ŽŪMPRIS elektroninę informaciją.

48. Asmenys, pažeidę šiuos Saugos nuostatus, atsako teisės aktų nustatyta tvarka.

49. Saugos nuostatų ir kitos su ŽŪMPRIS elektroninės informacijos sauga susijusios dokumentacijos priežiūrą ar keitimą inicijuoja ŽŪIKVC.

________________________