PROJEKTAS

LIETUVOS GEOLOGIJOS TARNYBOS PRIE APLINKOS MINISTERIJOS

DIREKTORIUS

ĮSAKYMAS

DĖL LIETUVOS GEOLOGIJOS TARNYBOS PRIE APLINKOS MINISTERIJOS INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO IR SAUGOS ĮGALIOTINIO BEI ADMINISTRATORIAUS SKYRIMO

2017 m. rugsėjo 18 d. Nr. 1-258

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7, 11 ir 19 punktais:

1. T v i r t i n u Lietuvos geologijos tarnybos prie Aplinkos ministerijos informacinių sistemų duomenų saugos nuostatus (pridedama).

2. S k i r i u:

2.1. Lietuvos geologijos tarnybos prie Aplinkos ministerijos direktoriaus pavaduotoją Jolantą Čyžienę Žemės gelmių registro, Valstybinės geologijos informacinės sistemos ir Valstybinės požeminio vandens informacinės sistemos saugos įgaliotiniu;

2.2. Informacijos valdymo skyriaus vedėją Riną Aleknienę Žemės gelmių registro, Valstybinės geologijos informacinės sistemos ir Valstybinės požeminio vandens informacinės sistemos administratoriumi.

3. P a v e d u:

3.1. Žemės gelmių registro, Valstybinės geologijos informacinės sistemos ir Valstybinės požeminio vandens informacinės sistemos saugos įgaliotiniui ne vėliau kaip per 5 darbo dienas nuo rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano, informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano priėmimo pateikti šių dokumentų kopijas Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka;

3.2. Informacijos valdymo skyriaus vedėjui:

3.2.1. ne vėliau kaip per 5 darbo dienas nuo šio įsakymo įsigaliojimo dienos pateikti šio įsakymo ir jo 1 punktu patvirtintų Lietuvos geologijos tarnybos prie Aplinkos ministerijos informacinių sistemų duomenų saugos nuostatų kopijas Registrų ir valstybės informacinių sistemų registrui Registrų ir valstybės informacinių sistemų registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2012 m. spalio 16 d. nutarimu Nr. 1263 „Dėl Registrų sąrašo reorganizavimo į Registrų ir valstybės informacinių sistemų registrą ir Registrų ir valstybės informacinių sistemų registro nuostatų patvirtinimo“, nustatyta tvarka;

3.2.2. ne vėliau kaip per 4 mėnesius nuo šio įsakymo 1 punkte nurodytų Lietuvos geologijos tarnybos prie Aplinkos ministerijos informacinių sistemų duomenų saugos nuostatų patvirtinimo dienos atnaujinti Saugaus elektroninės informacijos tvarkymo taisykles, Informacinės sistemos veiklos tęstinumo valdymo planą ir Informacinės sistemos naudotojų administravimo taisykles ir teisės aktų nustatyta tvarka suderintus dokumentus pateikti Lietuvos geologijos tarnybos prie Aplinkos ministerijos direktoriui patvirtinti.

4. P r i p a ž į s t u netekusiais galios Lietuvos geologijos tarnybos prie Aplinkos ministerijos direktoriaus 2009 m. balandžio 24 d. įsakymą Nr. 1-61 „Dėl Valstybinės geologijos informacinės sistemos ir Žemės gelmių registro duomenų saugos nuostatų patvirtinimo“ ir 2010 m. spalio 4 d. įsakymą Nr. 1-202 „Dėl Požeminio vandens informacinės sistemos saugos įgaliotinio skyrimo ir saugos dokumentų rengimo“.

Direktorius Jonas Satkūnas

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2017-09-07 raštu Nr. 1D-4761

PATVIRTINTA

Lietuvos geologijos tarnybos prie

Aplinkos ministerijos direktoriaus

2017 m. rugsėjo 18 d. įsakymu Nr. 1-258

LIEtuvos geologijos tarnybos prie aplinkos ministerijos informacinių sistemų DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos geologijos tarnybos prie Aplinkos ministerijos informacinių sistemų duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos geologijos tarnybos prie Aplinkos ministerijos (toliau – Tarnyba) valdomų Žemės gelmių registro (toliau – ŽGR), Valstybinės geologijos informacinės sistemos (toliau – GEOLIS) ir Valstybinės požeminio vandens informacinės sistemos (toliau – PožVIS) elektroninės informacijos saugos valdymą, organizacinius, techninius reikalavimus, reikalavimus ŽGR, GEOLIS, PožVIS naudotojams, supažindinimo su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais principus.

2. Saugos nuostatų tikslas – sudaryti sąlygas saugiai tvarkyti ŽGR, GEOLIS, PožVIS elektroninę informaciją, užtikrinant jos konfidencialumą, vientisumą, prieinamumą ir asmens duomenų apsaugą.

3. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), ir Lietuvos standartuose LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ vartojamas sąvokas.

4. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

4.1. reguliari įstatymų ir kitų teisės aktų, reglamentuojančių elektroninės informacijos saugą, pokyčių stebėsena ir operatyvus ŽGR, GEOLIS ir PožVIS saugos dokumentų atnaujinimas;

4.2. priemonių ir veiklos procesų, nurodytų ŽGR, GEOLIS ir PožVIS saugos dokumentuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, įgyvendinimas.

5. ŽGR, GEOLIS ir PožVIS valdytojas ir tvarkytojas yra Lietuvos geologijos tarnyba prie Aplinkos ministerijos, buveinės adresas – S. Konarskio g. 35, Vilnius.

6. ŽGR, GEOLIS ir PožVIS valdytojo funkcijos:

6.1. vadovauja ir organizuoja ŽGR, GEOLIS ir PožVIS veiklą, tvirtindamas saugos politiką įgyvendinančius dokumentus, skiria saugos įgaliotinį, administratorių bei duomenų įgaliotinius;

6.2. tvirtina priimtiną ŽGR, GEOLIS ir PožVIS informacijos saugos rizikos lygį, priimtino ŽGR, GEOLIS ir PožVIS informacijos saugos rizikos lygio nustatymo dažnumą;

6.3. kontroliuoja, kad ŽGR, GEOLIS ir PožVIS būtų tvarkomi vadovaujantis Lietuvos Respublikos žemės gelmių įstatymu, ŽGR, GEOLIS ir PožVIS nuostatais, Saugos nuostatais ir kitais teisės aktais;

6.4. priima sprendimus dėl techninių ir programinių priemonių, būtinų ŽGR, GEOLIS ir PožVIS duomenų saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

6.5. prižiūri kaip laikomasi ŽGR, GEOLIS ir PožVIS duomenų ir elektroninės informacijos saugos reikalavimų;

6.6. priima sprendimą atlikti ŽGR, GEOLIS ir PožVIS informacinių technologijų saugos reikalavimų atitikties vertinimą.

7. ŽGR, GEOLIS ir PožVIS tvarkytojo funkcijos:

7.1. atsako už ŽGR, GEOLIS ir PožVIS elektroninės informacijos tvarkymo teisėtumą ir saugą;

7.2. įgyvendina tinkamas organizacines ir technines priemones, skirtas elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ir nuo bet kokio kito neteisėto tvarkymo;

7.3. pagal kompetenciją įgyvendina Saugos nuostatų ir ŽGR, GEOLIS ir PožVIS saugos politiką įgyvendinančių dokumentų reikalavimus;

7.4. užtikrina, kad ŽGR, GEOLIS, PožVIS naudotojai laikytųsi reikalavimų, nustatytų Saugos nuostatuose ir ŽGR, GEOLIS ir PožVIS saugos politiką įgyvendinančiuose dokumentuose.

8. Saugos įgaliotinio, įgyvendinančio ŽGR, GEOLIS ir PožVIS elektroninės informacijos saugą, funkcijos:

8.1. teikia Tarnybos direktoriui pasiūlymus dėl:

8.1.1. administratoriaus paskyrimo;

8.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

8.1.3. ŽGR, GEOLIS ir PožVIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

8.2. koordinuoja elektroninės informacijos saugos incidentų tyrimą;

8.3. pasirašytinai supažindina administratorių, naudotojus su Saugos nuostatais ir ŽGR, GEOLIS ir PožVIS saugos politiką įgyvendinančiais dokumentais bei atsakomybe už šių reikalavimų nesilaikymą;

8.4. organizuoja administratoriaus ir naudotojų kvalifikacijos tobulinimą duomenų saugos klausimais, reguliariai jiems primena saugumo problemas (elektroniniu paštu, atmintinės naujai priimtiems darbuotojams ir pan.);

8.5. atsako už ŽGR, GEOLIS ir PožVIS saugos reikalavimų atitiktį teisės aktams;

8.6. teikia privalomus vykdyti nurodymus ir pavedimus administratoriui ir naudotojams dėl saugos politikos įgyvendinimo;

8.7. atlieka kitas Tarnybos direktoriaus pavestas ir priskirtas funkcijas.

9. Saugos įgaliotinis negali atlikti administratoriaus funkcijų.

10. Administratoriaus funkcijos ir atsakomybė:

10.1. atsako už ŽGR, GEOLIS ir PožVIS funkcionavimą;

10.2. įvertina naudotojų pasirengimą dirbti su informacine sistema ir suteikia naudotojams teisę naudotis informacinės sistemos galimybėmis paskirtoms funkcijoms atlikti;

10.3. rengia pasiūlymus ŽGR, GEOLIS ir PožVIS kūrimo, palaikymo, priežiūros ir duomenų saugos klausimais;

10.4. užtikrina ŽGR, GEOLIS ir PožVIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) tinkamą priežiūrą ir veikimą, pažeidžiamų vietų ir saugos reikalavimų atitikties nustatymą;

10.5. registruoja ir informuoja saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia pasiūlymus dėl elektroninės informacijos saugos incidentų pašalinimo.

11. Saugų ŽGR, GEOLIS, PožVIS duomenų tvarkymą reglamentuoja:

11.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

11.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

11.3. Lietuvos Respublikos kibernetinio saugumo įstatymas;

11.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

11.5. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Gairių aprašas);

11.6. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

11.7. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 “Dėl Informacinių sistemų saugos atitikties vertinimo metodikos patvirtinimo”;

11.8. Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, nustatantys saugų informacinės sistemos duomenų tvarkymą;

11.9. kiti teisės aktai, reglamentuojantys elektroninės informacijos saugumo politiką ir duomenų tvarkymo teisėtumą, valstybės informacinių sistemų tvarkytojų veiklą bei duomenų saugos valdymą.

12. Saugos nuostatai privalomi ŽGR, GEOLIS, PožVIS valdytojui, saugos įgaliotiniui, administratoriui, ŽGR, GEOLIS, PožVIS tvarkytojams, naudotojams.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

13. ŽGR, GEOLIS ir PožVIS tvarkoma elektroninė informacija pagal svarbą priskiriama vidutinės svarbos informacijos kategorijai. ŽGR, GEOLIS ir PožVIS elektroninė informacija šiai kategorijai priskiriama vadovaujantis Gairių aprašo 9.2 ir 9.3 papunkčiais.

14. Vadovaujantis Gairių aprašo 12.3 papunkčiu, ŽGR, GEOLIS ir PožVIS priskiriamos trečiajai informacinių sistemų kategorijai.

15. ŽGR, GEOLIS ir PožVIS saugos priemonės parenkamos įvertinus galimus rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos konfidencialumui, vientisumui ir prieinamumui.

16. Saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja ŽGR, GEOLIS ir PožVIS rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. ŽGR, GEOLIS ir PožVIS rizikos veiksnių vertinimas atliekamas kokybiniu rizikos vertinimo metodu.

17. ŽGR, GEOLIS ir PožVIS rizikos įvertinimas išdėstomas Rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos ŽGR, GEOLIS ir PožVIS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus.

18. Svarbiausi rizikos veiksniai yra šie:

18.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai informacijos tvarkymo technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kt.);

18.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis elektroninei informacijai gauti, elektroninės informacijos pakeitimas ir sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kt.);

18.3 veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

19. Atsižvelgdama į rizikos įvertinimo ataskaitą, Tarnyba prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

20. ŽGR, GEOLIS ir PožVIS elektroninės informacijos saugos priemonių parinkimo pagrindiniai principai yra tokie:

20.1. saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

20.2. likutinė rizika turi būti sumažinta iki priimtino lygio;

20.3. kur įmanoma, būtina įdiegti prevencines informacijos saugos priemones.

21. Siekdamas užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose teisės aktuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, saugos įgaliotinis ne rečiau kaip kartą per dvejus metus organizuoja informacinių technologijų saugos atitikties vertinimą.

22. Remiantis atliktais saugos atitikties vertinimo rezultatais, rengiamas pastebėtų trūkumų šalinimo planą, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytų priemonių įgyvendinimo terminai. Planą tvirtina Tarnybos direktorius.

23. Techninės, programinės ir organizacinės elektroninės informacijos saugos priemonės pasirenkamos taip, kad, patiriant kuo mažiau išlaidų, būtų užtikrintas ŽGR, GEOLIS ir PožVIS veiklos tęstinumas ir saugus naudotojų darbas.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

24. Programinės įrangos, skirtos ŽGR, GEOLIS ir PožVIS apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

24.1. tarnybinėse stotyse ir kompiuterinėse darbo vietose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingos programinės įrangos aptikimo, stebėjimo realiu laiku priemonės;

24.2. elektroninio pašto tarnybinės stotys turi būti apsaugotos nuo brukalų ir nepageidaujamo turinio elektroninių laiškų;

24.3. kenksmingos programinės įrangos aptikimo priemonės turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas programinės ugniasienės tarnybinėse stotyse ir kompiuterinėse darbo vietose;

24.4. apsaugai naudojama programinė įranga privalo automatiškai informuoti atsakingus darbuotojus apie kompiuterines darbo vietas ir tarnybines stotis, kuriose apsaugos sistema netinkamai funkcionuoja, yra išjungta arba neatsinaujino per 24 valandas.

25. Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo nuostatos:

25.1. naudojama tik legali programinė įranga;

25.2. programinė įranga atnaujinama laikantis gamintojo reikalavimų;

25.3. programinės įrangos diegimą, šalinimą ir konfigūravimą atlieka tik tarnybinių stočių administratorius;

25.4. ŽGR, GEOLIS ir PožVIS programinis kodas turi būti apsaugotas nuo atskleidimo asmenims, neturintiems teisės su juo susipažinti;

25.5. ŽGR, GEOLIS ir PožVIS programinės įrangos testavimas turi būti atliekamas naudojant tam skirtą testavimo aplinką. Programinės įrangos testavimą atlieka administratorius.

26. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotojų tarnybinių stočių ir kita) pagrindinės naudojimo nuostatos:

26.1. kompiuterių tinklas turi būti atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienes, ugniasienių įvykių žurnalai turi būti reguliariai analizuojami;

26.2. informacinių sistemų tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešajame ryšių tinkle naršančių naudotojų kompiuterinę įrangą nuo kenksmingo kodo;

26.3. siekiant užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojamas Saugus valstybinis duomenų perdavimo tinklas.

27. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

27.1. duomenų registravimui naudojamas saugus HTTPS protokolas;

27.2. prieigos prie ŽGR, GEOLIS ar PožVIS elektroninės informacijos teises gali suteikti tik administratorius. Naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės;

27.3. prieiga prie ŽGR, GEOLIS ar PožVIS elektroninės informacijos leidžiama tik per registravimosi, teisių suteikimo ir slaptažodžių sistemą;

27.4. elektroninė informacija automatiniu būdu turi būti teikiama ir (ar) gaunama tik pagal duomenų teikimo sutartyse nustatytas sąlygas.

28. ŽGR, GEOLIS ir PožVIS atsarginės duomenų bazės kopijos daromos automatiniu būdu kiekvieną dieną. Kopijos turi būti saugomos kitoje patalpoje, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. Prireikus jas atkurti turi teisę tik administratorius ar jį pavaduojantis asmuo. Kopijų darymo ir saugojimo tvarka nustatoma Saugaus elektroninės informacijos tvarkymo taisyklėse.

29. Reikalavimai ŽGR, PožVIS ir GEOLIS funkcionalumo atstatymui ir prieinamumui:

29.1. turi būti užtikrintas pagrindinių ŽGR, PožVIS ir GEOLIS funkcijų atkūrimas per 16 valandų nuo veiklos sutrikimo;

29.2. turi būti užtikrintas ŽGR, GEOLIS ir PožVIS prieinamumas ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

30. Saugos įgaliotinis privalo išmanyti ŽGR, GEOLIS ir PožVIS elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais bei kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, standartais ir kitais dokumentais, tobulinti kvalifikaciją elektroninės informacijos saugos srityje.

31. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.

32. Administratorius privalo išmanyti pagrindinius saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugumą, taip pat administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su saugumo politika ir teisės aktais, standartais ir kitais dokumentais, reglamentuojančiais ŽGR, GEOLIS ir PožVIS duomenų tvarkymą.

33. Naudotojai privalo išmanyti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą ir kitus teisės aktus, reglamentuojančius asmens duomenų saugą, turi turėti naudojimosi kompiuteriu įgūdžių, mokėti tvarkyti ŽGR, GEOLIS ir PožVIS duomenis, būti susipažinę su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais bei raštu įsipareigoję laikytis juose nustatytų reikalavimų.

34. ŽGR, GEOLIS ir PožVIS naudotojai, pastebėję saugos politikos pažeidimus, nusikalstamos veiklos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti saugos įgaliotiniui ir (ar) administratoriui.

V SKYRIUS

ŽGR, GEOLIS ir POŽVIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

35. Už ŽGR, GEOLIS ir PožVIS naudotojų supažindinimą su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais bei atsakomybe už šių reikalavimų nesilaikymą yra atsakingas ŽGR, GEOLIS ir PožVIS saugos įgaliotinis.

36. ŽGR, GEOLIS ir PožVIS naudotojai su Saugos nuostatais ir saugos politikos įgyvendinančiais dokumentais bei atsakomybe už šių reikalavimų nesilaikymą supažindinami pasirašytinai. Saugos įgaliotinis tvarko ŽGR, GEOLIS ir PožVIS naudotojų supažindinimo su saugos politika registrą, kuriame pildomos šios skiltys: supažindinimo data, naudotojo vardas ir pavardė, pareigos, parašas.

37. Saugos įgaliotinis informuoja naudotojus apie Saugos nuostatų ir kitų saugos politiką įgyvendinančių dokumentų pakeitimus. Informacija apie šių dokumentų pakeitimus siunčiama elektroniniu būdu.

38. Saugos nuostatai ir saugos politiką įgyvendinantys dokumentai skelbiami vidiniame Tarnybos tinklalapyje.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

39. Saugos nuostatai ir saugos politikos įgyvendinantys dokumentai turi būti peržiūrėti ne rečiau kaip kartą per kalendorinius metus, atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, technologiniams ar kitiems ŽGR, GEOLIS ir PožVIS pokyčiams.

40. ŽGR, GEOLIS ir PožVIS naudotojai, administratorius, saugos įgaliotinis, pažeidę Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų nuostatas, atsako įstatymų nustatyta tvarka.