NACIONALINĖS ŽEMĖS TARNYBos

prie žemės ūkio ministerijos

direktoriUS

ĮSAKYMAS

DėL NACIONALINĖS ŽEMĖS TARNYBos prie žemės ūkio ministerijos GENERALINIO direktoriAus 2008 M. GEGUŽĖS 30 D. ĮSAKYMO Nr. 1P-58 „DĖL Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatų ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos NUOSTATų patvirtinimo“ PAKEITIMO

2014 m. rugsėjo 5 d. Nr. 1p-(1.3.)-329

Vilnius

Pakeičiu Nacionalinės žemės tarnybos prie Žemės ūkio ministerijos generalinio direktoriaus 2008 m. gegužės 30 d. įsakymą Nr. 1P-58 „Dėl Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatų ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatų patvirtinimo“:

1. Pakeičiu preambulę ir ją išdėstau taip:

„Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 ir 30 straipsniais ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimo aprašo, saugos dokumentų turinio gairių aprašo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7.1 papunkčiu:“

2. Pakeičiu nurodytuoju įsakymu patvirtintus Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatus ir išdėstau juos nauja redakcija (pridedama).

Direktoriaus pavaduotojas,

atliekantis direktoriaus funkcijas Vaidas Pakalka

PATVIRTINTA

Nacionalinės žemės tarnybos prie

Žemės ūkio ministerijos generalinio

direktoriaus 2008 m. gegužės 30 d.

įsakymu Nr. 1P-58

(Nacionalinės žemės tarnybos prie

Žemės ūkio ministerijos direktoriaus

2014 m. rugsėjo 5 d. įsakymo

Nr. 1P-(1.3.)-329

redakcija)

Lietuvos Respublikos globalinės padėties nustatymo sistemos

nuolatinių stočių tinklo duomenų saugos NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatai (toliau – Saugos nuostatai) reguliuoja principus ir taisykles, užtikrinančias saugų ir teisėtą Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo (toliau – LitPOS) duomenų tvarkymą.

2. Saugos nuostatai parengti vadovaujantis:

2.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

2.2. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

2.3. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai);

2.4. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“

3. Saugos nuostatuose vartojamos sąvokos:

3.1. Administratorius – LitPOS tvarkytojo vadovo paskirtas asmuo, atliekantis LitPOS priežiūrą;

3.2. Elektroninės informacijos saugos incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie LitPOS galimybę, sutrikdyti ar pakeisti LitPOS veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas elektroninę informaciją neleistinai pasisavinti, paskleisti ar kitaip neteisėtai panaudoti;

3.3. Saugos įgaliotinis – Nacionalinės žemės tarnybos prie Žemės ūkio ministerijos direktoriaus paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, įgyvendinantis LitPOS elektroninės informacijos saugą;

Kitos Saugos nuostatuose vartojamos sąvokos atitinka Saugos nuostatų 2 punkte nurodytuose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 27001:2013 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir LST ISO/IEC 27002:2014 „Informacijos technologija. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ vartojamas sąvokas.

4. LitPOS valdytojas – Nacionalinė žemės tarnyba prie Žemės ūkio ministerijos, esanti Gedimino pr. 19, LT-01103 Vilniuje.

5. LitPOS tvarkytojas – valstybės įmonė Distancinių tyrimų ir geoinformatikos centras „GIS-Centras“, esantis Sėlių g. 66, LT-08109 Vilniuje.

6. LitPOS duomenų saugos tikslai:

6.1. LitPOS duomenų vientisumo užtikrinimas;

6.2. LitPOS duomenų prieinamumo užtikrinimas;

6.3. LitPOS duomenų konfidencialumo užtikrinimas;

6.4. LitPOS veiklos tęstinumo užtikrinimas.

7. LitPOS duomenų saugą užtikrinančių priemonių įgyvendinimo prioritetinės kryptys:

7.1. reguliari įstatymų ir kitų teisės aktų, reglamentuojančių elektroninės informacijos saugą, pokyčių stebėsena ir operatyvus LitPOS duomenų saugos politiką įgyvendinančių teisės aktų atnaujinimas;

7.2. priemonių ir veiklos procesų, nurodytų LitPOS duomenų saugos politiką įgyvendinančiuose teisės aktuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, įgyvendinimas;

7.3. tinkamo kompiuterinės, programinės ir tinklo įrangos funkcionavimo ir saugumo užtikrinimas.

8. LitPOS valdytojas atsako už LitPOS saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir LitPOS duomenų tvarkymo teisėtumą bei atlieka šias funkcijas:

8.1. tvirtina LitPOS duomenų saugos politiką įgyvendinančius teisės aktus (toliau – LitPOS saugos dokumentai):

8.1.1. LitPOS saugaus elektroninės informacijos tvarkymo taisykles;

8.1.2. LitPOS veiklos tęstinumo valdymo planą;

8.1.3. LitPOS naudotojų administravimo taisykles;

8.1.4. LitPOS rizikos įvertinimo ataskaitą;

8.1.5. LitPOS rizikos įvertinimo ir rizikos valdymo priemonių planą;

8.1.6. LitPOS trūkumų šalinimo planą;

8.1.7. LitPOS saugos nuostatus;

8.1.8. kitus LitPOS saugos dokumentus;

8.2. kontroliuoja, kaip laikomasi Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatuose (toliau – LitPOS nuostatai), Saugos nuostatuose, LitPOS saugos dokumentuose ir kituose elektroninės informacijos saugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų;

8.3. skiria saugos įgaliotinį;

8.4. priima sprendimą dėl LitPOS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

8.5. priima sprendimus dėl LitPOS techninių ir programinių priemonių, būtinų LitPOS duomenų saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

8.6. atlieka kitas LitPOS nuostatais, šiais Saugos nuostatais ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais jam priskirtas funkcijas.

9. LitPOS tvarkytojas atsako už LitPOS duomenų saugos įgyvendinimą, reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir kituose LitPOS saugos dokumentuose nustatyta tvarka bei:

9.1. pagal kompetenciją įgyvendina LitPOS nuostatų, Saugos nuostatų, LitPOS saugos dokumentų ir kitų elektroninės informacijos saugą reglamentuojančių teisės aktų reikalavimus;

9.2. užtikrina, kad LitPOS duomenys būtų apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio neteisėto veiksmo;

9.3. užtikrina LitPOS techninę priežiūrą, užtikrina nepertraukiamą LitPOS veikimą, LitPOS duomenų saugą ir saugų LitPOS duomenų perdavimą kompiuterių tinklais;

9.4. teikia pasiūlymus LitPOS valdytojui dėl LitPOS duomenų saugos tobulinimo, LitPOS techninių ir programinių priemonių, būtinų LitPOS duomenų saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

9.5. saugos įgaliotinio teikimu skiria administratorių;

9.6. atlieka LitPOS valdytojo pavestas ir LitPOS nuostatais, šiais Saugos nuostatais ir kitais LitPOS saugos dokumentais jam priskirtas funkcijas.

10. Saugos įgaliotinis įgyvendina LitPOS duomenų saugą ir atsako už LitPOS saugos dokumentų reikalavimų vykdymą bei atlieka šias funkcijas:

10.1. rengia LitPOS saugos dokumentų projektus (išskyrus trūkumų šalinimo planą);

10.2 ne rečiau kaip vieną kartą per dvejus metus organizuoja LitPOS duomenų saugos reikalavimų atitikties vertinimą, nurodytą Saugos nuostatų  22 punkte;

10.3. teikia LitPOS tvarkytojui pasiūlymus dėl administratoriaus skyrimo (saugos įgaliotinis negali atlikti administratoriaus funkcijų) ir reikalavimų administratoriui nustatymo;

10.4. koordinuoja elektroninės informacijos saugos incidentų, įvykusių LitPOS, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;

10.5. teikia administratoriui ir LitPOS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

10.6. pasirašytinai supažindina administratorių, LitPOS naudotojus ir LitPOS tvarkytojo informacinės sistemos naudotojus, su LitPOS saugos dokumentais ir atsakomybe, kylančia dėl jų pažeidimo;

10.7. užtikrina tinkamą saugos dokumentuose nustatytų reikalavimų įgyvendinimo ir saugos politikos laikymosi kontrolę;

10.8. periodiškai inicijuoja administratoriaus ir LitPOS tvarkytojo informacinės sistemos naudotojų mokymą LitPOS duomenų saugos klausimais, įvairiais būdais informuoja juos apie LitPOS duomenų saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinių priimtiems naujiems LitPOS tvarkytojo informacinės sistemos naudotojams rengimas ir pan.);

10.9. teikia LitPOS valdytojui pasiūlymus dėl LitPOS saugos dokumentų priėmimo, keitimo ar panaikinimo; LitPOS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

10.10 kasmet organizuoja LitPOS rizikos įvertinimą ir rengia LitPOS rizikos įvertinimo ataskaitą, o prireikus – LitPOS rizikos įvertinimo ir rizikos valdymo priemonių planą;

10.11. atlieka kitas LitPOS valdytojo pavestas ir šiais Saugos nuostatais jam priskirtas funkcijas.

11. Administratorius atsako už LitPOS infrastruktūros funkcionavimą ir LitPOS saugumą bei atlieka šias funkcijas:

11.1. rengia pasiūlymus dėl LitPOS palaikymo, tobulinimo ir plėtros bei elektroninės informacijos saugos;

11.2. registruoja elektroninės informacijos saugos incidentus, informuoja apie juos saugos įgaliotinį ir teikia pasiūlymus dėl incidentų pašalinimo;

11.3. užtikrina LitPOS techninės ir programinės įrangos bei infrastruktūros funkcionavimą;

11.4. administruoja LitPOS duomenų teikimą LitPOS naudotojams;

11.5. registruoja LitPOS naudotojus ir suteikia jiems vardus bei slaptažodžius;

11.6. prižiūri LitPOS techninę ir programinę įrangą (kompiuterius, tarnybines stotis, operacines sistemas, ugniasienes, įsilaužimų aptikimo sistemas), nustato rizikos veiksnius, galinčius pažeisti LitPOS duomenų saugą;

11.7. parenka LitPOS techninės ir programinės įrangos saugos priemones bei nustato jų atitiktį Saugos nuostatų ir saugos dokumentų reikalavimus;

11.8. kontroliuoja, kad tvarkant LitPOS ir LitPOS duomenis nebūtų pažeisti Saugos nuostatų reikalavimai;

11.9. dalyvauja atliekant LitPOS rizikos įvertinimą ir rengiant LitPOS rizikos įvertinimo ataskaitą, o prireikus – ir LitPOS rizikos įvertinimo ir rizikos valdymo priemonių planą;

11.10. rengia LitPOS trūkumų šalinimo planą;

11.11. atlieka LitPOS saugumo reikalavimų atitikties vertinimą ir rengia LitPOS informacinių technologijų saugos atitikties vertinimo ataskaitą;

11.12. reguliariai, ne rečiau kaip kartą per metus ir (arba) po LitPOS pokyčio, patikrina (peržiūri) LitPOS sąranką ir LitPOS būsenos rodiklius.

11.13. atlieka kitas Saugos nuostatais bei LitPOS saugos dokumentais priskirtas funkcijas ir kitus LitPOS valdytojo ar saugos įgaliotinio nurodymus, susijusius su LitPOS duomenų sauga.

12. LitPOS duomenų sauga užtikrinama vadovaujantis šiais teisės aktais:

12.1. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716;

12.2. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais;

12.3. LitPOS nuostatais;

12.4. Saugos nuostatais;

12.5. LitPOS saugos dokumentais;

12.6. LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“.

II. litPOs elektroninės informacijos saugos valdymas

13. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas), 4.3 papunkčiu, LitPOS duomenys priskiriami žinybinės svarbos elektroninės informacijos kategorijai, kadangi dėl elektroninės informacijos saugumo pažeidimo gali kilti grėsmė įvykti procesams, kurie:

13.1. gali padaryti žalą vieno ar kelių fizinių ar juridinių asmenų teisėtiems interesams;

13.2. gali turėti neigiamų padarinių LitPOS tvarkytojo veiklai.

14. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.3 papunkčiu, LitPOS yra priskiriamas trečios kategorijos valstybės informacinėms sistemoms, kadangi LitPOS apdorojama žinybinės svarbos elektroninė informacija.

15. Saugos įgaliotinis, vadovaudamasis Vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“, Lietuvos ir tarptautinės grupės „Informacinės technologijos. Saugumo metodai“ standartais, kasmet organizuoja LitPOS rizikos įvertinimą, kurio metu išanalizuojami rizikos veiksniai, galimos jų pašalinimo arba neigiamo poveikio sumažinimo priemonės. Pagal poreikį saugos įgaliotinis gali organizuoti neeilinį LitPOS rizikos vertinimą.

16. LitPOS duomenų saugos priemonės parenkamos įvertinus galimus rizikos veiksnius LitPOS duomenų vientisumui, konfidencialumui ir prieinamumui.

17. Atlikus LitPOS rizikos vertinimą, LitPOS rizikos vertinimo rezultatai išdėstomi saugos įgaliotinio parengtoje LitPOS rizikos įvertinimo ataskaitoje. LitPOS rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos LitPOS duomenų saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus ir rizikos priimtinumo kriterijus.

18. Svarbiausieji rizikos veiksniai, kurie gali pažeisti LitPOS duomenų saugą, yra:

18.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

18.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai ir kita);

18.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

19. Pagrindiniai elektroninės informacijos saugos valdymo priemonių parinkimo principai yra šie:

19.1. likutinė rizika turi būti sumažinta iki priimtino lygio;

19.2. elektroninės informacijos saugos priemonės diegimo kainos adekvatumas saugomos elektroninės informacijos vertei;

19.3. turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos priemonės.

20. Atsižvelgdamas į LitPOS rizikos įvertinimo ataskaitą, saugos įgaliotinis prireikus, t. y. jeigu LitPOS rizikos įvertinimo ataskaitoje nustatyti rizikos veiksniai yra nepriimtini, parengia rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos veiksnių valdymo priemonėms įgyvendinti. LitPOS rizikos įvertinimo ataskaita, rizikos įvertinimo ir rizikos valdymo priemonių planas teikiamas tvirtinti LitPOS valdytojo vadovui.

Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas LitPOS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatai), nustatyta tvarka.

21. Saugos įgaliotinis, siekdamas užtikrinti tinkamą saugos dokumentuose nustatytų reikalavimų įgyvendinimą ir saugos politikos laikymosi kontrolę, ne rečiau kaip vieną kartą per dvejus metus organizuoja LitPOS duomenų saugos reikalavimų atitikties vertinimą.

Atlikus LitPOS informacinių technologijų saugos atitikties vertinimą, administratorius rengia LitPOS informacinių technologijų saugos atitikties vertinimo ataskaitą, kuri pateikiama susipažinimui LitPOS valdytojo vadovui.

Jeigu atlikus LitPOS informacinių technologijų saugos atitikties vertinimą buvo nustatyta informacinių technologijų saugos neatitikčių Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“
(toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), nuostatoms, administratorius parengia LitPOS pastebėtų trūkumų šalinimo planą, kurį įsakymu tvirtina LitPOS valdytojo vadovas.

22. LitPOS informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas LitPOS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

III. LitPOS ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

23. Pagrindinė LitPOS duomenų pateikimo prieiga yra duomenų perdavimas Saugiu valstybiniu duomenų perdavimo tinklu į LitPOS duomenų tvarkymo centrą.

24. Priemonės ir metodai, kurie taikomi užtikrinant prieigą prie LitPOS, nurodant leistiną šios prieigos laiką ir būdą, nustatomi Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo naudotojų administravimo taisyklėse, patvirtintose Nacionalinės žemės tarnybos prie Žemės ūkio ministerijos direktoriaus 2013 m. liepos 13 d. įsakymu Nr. 1P-(1.3.)-225 „Dėl Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo naudotojų administravimo taisyklių, Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo saugaus elektroninės informacijos tvarkymo taisyklių ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos tęstinumo valdymo plano patvirtinimo“ (toliau – LitPOS naudotojų administravimo taisyklės).

25. Taikomi šie LitPOS programinės įrangos naudojimo reikalavimai:

25.1. LitPOS tarnybinėse stotyse diegiama tik legali ir saugi programinė įranga;

25.2. LitPOS tarnybinių stočių operacinių sistemų ir taikomųjų programų struktūra sudaroma tokiu būdu, kad būtų užtikrintas didžiausias saugumo lygis (išjungiami nereikalingi darbui procesai ir reikmenys (angl. services), ribojamas priėjimas prie operacinės sistemos prievadų);

25.3. LitPOS duomenų tvarkymo centre turi būti įdiegta legali programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo, nepageidaujamo elektroninio pašto ir pan.). Antivirusinės sistemos virusų parašų bazė atnaujinama automatiškai kas 5 darbo dienas. Kompiuterio operacinės sistemos kritinės pataisos diegiamos per 5 darbo dienas nuo jų išleidimo;

25.4. LitPOS tarnybinėse stotyse neturi veikti programinė įranga, nesusijusi su LitPOS funkcine sistema;

25.5. LitPOS programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims, t. y. asmenims, nenurodytiems LitPOS naudotojų administravimo taisyklėse;

25.6. LitPOS naudotojų kompiuteriuose draudžiama naudoti programinę įrangą, nesusijusią su jų nustatytomis funkcijomis;

25.7. Turi būti naudojama LitPOS administravimo programinės įrangos ugniasienė;

25.8. LitPOS funkcionuoti būtina programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kita) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Programinės įrangos konfigūravimą atlieka administratorius;

25.9. LitPOS funkcionuoti būtina programinė įranga turi būti atnaujinama ne vėliau kaip per 5 darbo dienas nuo programinės įrangos gamintojų pranešimo apie programinės įrangos atnaujinimą gavimą dienos. Programinės įrangos atnaujinimą atlieka administratorius;

25.10. Programinės įrangos testavimas turi būti atliekamas naudojant atskirą tam skirtą testavimo aplinką. Programinės įrangos testavimą atlieka administratorius.

26. LitPOS tarnybinės stotys ir administravimui naudojami kompiuteriai negali turėti tiesioginio ryšio su internetu (nepertraukiamos sesijos), jei toks ryšys nebūtinas LitPOS funkcionuoti.

27. Prieiga prie LitPOS duomenų LitPOS naudotojams suteikiama LitPOS naudotojų administravimo taisyklėse nustatyta tvarka ir sąlygomis.

28. LitPOS veiklos tęstinumui užtikrinti LitPOS duomenys yra periodiškai ne rečiau kaip kas 24 valandas kopijuojami į rezervinių kopijų laikmenas ir laikmenos saugomos taip, kad įvykus saugos incidentui visiškas LitPOS funkcionalumas ir veikla būtų atkurta per 16 valandų. Administratorius ne rečiau kaip kartą per metus atlieka rezervinių kopijų tinkamumo ir saugojimo kontrolę.

Rezervinių kopijų, iš kurių būtų galima atstatyti LitPOS duomenis, darymo ir saugojimo tvarka nustatoma Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo saugaus elektroninės informacijos tvarkymo taisyklėse, patvirtintose Nacionalinės žemės tarnybos prie Žemės ūkio ministerijos direktoriaus 2013 m. liepos 13 d. įsakymu Nr. 1P-(1.3.)-225 „Dėl Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo naudotojų administravimo taisyklių, Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo saugaus elektroninės informacijos tvarkymo taisyklių ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos tęstinumo valdymo plano patvirtinimo“.

29. Kompiuteriuose, turinčiuose prieigą prie LitPOS ir naudojamuose nustatytoms funkcijoms vykdyti ne LitPOS tvarkytojo patalpose, turi būti įdiegiamos papildomos saugos priemonės (duomenų šifravimas, prisijungimo ribojimai).

IV. REIKALAVIMAI LitPOS PERSONALUI

30. Saugos įgaliotinis privalo išmanyti LitPOS duomenų saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, LitPOS saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų informacijos tvarkymą informacinėje sistemoje, ir sugebėti prižiūrėti saugos politikos įgyvendinimą.

31. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

32. LitPOS administratorius turi:

32.1. išmanyti darbą su kompiuterių tinklais;

32.2. turėti LitPOS ir LitPOS duomenims tvarkyti naudojamų sisteminių programinių priemonių administravimo patirties;

32.3. mokėti administruoti informacinių sistemų duomenų bazes;

32.4. gebėti užtikrinti LitPOS duomenų saugą, LitPOS saugos dokumentų ir kitų elektroninės informacijos saugą reglamentuojančių teisės aktų nustatyta tvarka.

32.5. būti susipažinęs su LitPOS saugos dokumentais bei raštu sutikęs laikytis juose nustatytų reikalavimų.

33. LitPOS tvarkytojo informacinės sistemos naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti LitPOS duomenis, būti susipažinę su LitPOS saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą bei raštu sutikę laikytis juose nustatytų reikalavimų.

34. Saugos įgaliotinis ir administratorius turi nuolat tobulinti kvalifikaciją duomenų saugos srityje. Saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja administratoriaus ir LitPOS tvarkytojo informacinės sistemos naudotojai mokymą informacijos saugos klausimais, įvairiais būdais informuoja apie informacijos saugos problemas (pvz., elektroniniu paštu, teminių seminarų organizavimas, atmintinės ir panašiai).

35. LitPOS naudotojai privalo rūpintis LitPOS ir joje tvarkomų duomenų saugumu.

36. LitPOS naudotojai, pastebėję saugos dokumentų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti administratoriui ir saugos įgaliotiniui.

37. Jeigu saugos įgaliotinis nebuvo informuotas apie Saugos nuostatų 37 punkte nurodytus pažeidimus, administratorius informuoja saugos įgaliotinį apie šiuos pažeidimus. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią LitPOS saugą (jos konfidencialumą, vientisumą ar prieinamumą), saugos įgaliotinis apie tai turi pranešti LitPOS valdytojo vadovui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais.

38. LitPOS naudotojų veiksmus įvykus LitPOS duomenų saugos incidentui reglamentuoja bei LitPOS duomenų saugos incidentų tyrimo tvarką nustato LitPOS valdytojas.

V. LitPOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

39. Visi LitPOS duomenys yra vieši ir teikiami nemokamai.

40. Už LitPOS naudotojų supažindinimą su saugos dokumentais atsakingas saugos įgaliotinis.

41. LitPOS naudotojai su saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą supažindinami registruojantis LitPOS valdytojo interneto svetainėje www.nzt.lt, t. y. pildant elektroninę registracijos formą. Pakartotinai su Saugos nuostatais ir LitPOS saugos dokumentais LitPOS naudotojai pasirašytinai supažindinami tik iš esmės pasikeitus LitPOS arba LitPOS saugos dokumentams.

42. LitPOS administratorių ir LitPOS tvarkytojo informacinės sistemos naudotojus su LitPOS saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina saugos įgaliotinis. Saugos įgaliotinis tvarko LitPOS naudotojų supažindinimo su LitPOS saugos dokumentais žurnalą, kuriame pildomos šios skiltys: supažindinimo data, LitPOS naudotojo vardas ir pavardė, pareigos, parašas.

43. Saugos įgaliotinis informuoja administratorių ir LitPOS tvarkytojo informacinės sistemos naudotojus apie Saugos nuostatų ar kitų LitPOS saugos dokumentų pakeitimus. Informacija apie Saugos nuostatų ir saugos dokumentų pakeitimus siunčiama elektroniniu paštu.

Saugos nuostatai skelbiami LitPOS valdytojo ir LitPOS tvarkytojo interneto svetainėse.

VII. Baigiamosios nuostatos

44. Saugos nuostatai ir kiti LitPOS saugos dokumentai turi būti peržiūrėti ne rečiau kaip kartą per metus po LitPOS rizikos įvertinimo ir LitPOS duomenų saugos reikalavimų atitikties įvertinimo, įvykus LitPOS valdytojo esminiams organizaciniams ar kitiems pokyčiams. Prireikus, Saugos nuostatai ir kiti LitPOS saugos dokumentai turi būti tikslinami.

45. Saugos įgaliotinis, administratorius, LitPOS tvarkytojo informacinės sistemos naudotojai ir LitPOS naudotojai privalo saugoti ir neatskleisti LitPOS elektroninės informacijos, įsipareigojimas saugoti ir neatskleisti LitPOS elektroninės informacijos galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą.

46. Asmenys, pažeidę Saugos nuostatų, kitų saugos dokumentų arba saugų duomenų tvarkymą reglamentuojančių teisės aktų reikalavimus, atsako įstatymų ir kitų teisės aktų nustatyta tvarka.

_______________