LOGOnespalv-maz2

LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO

MINISTRAS

 

ĮSAKYMAS

DĖL GYVŪNŲ AUGINTINIŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2015 m. gruodžio 16 d. Nr. 3D-923

Vilnius

 

 

Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7.1 papunkčiu bei 11 ir 19 punktais:

1.  T v i r t i n u Gyvūnų augintinių registro duomenų saugos nuostatus (pridedama).

2.   P a v e d u:

2.1. Veiklos administravimo ir turto valdymo departamento Informacinių sistemų skyriui ne vėliau kaip per 6 mėnesius nuo šio įsakymo įsigaliojimo dienos parengti Gyvūnų augintinių registro naudotojų administravimo taisyklių, Gyvūnų augintinių registro saugaus elektroninės informacijos tvarkymo taisyklių ir Gyvūnų augintinių registro veiklos tęstinumo valdymo plano projektus, juos suderinti ir pateikti tvirtinti;

2.2. valstybės įmonei Žemės ūkio informacijos ir kaimo verslo centrui per 14 darbo dienų nuo šio įsakymo įsigaliojimo dienos paskirti Gyvūnų augintinių registro duomenų valdymo ir saugos įgaliotinius;

2.3. šio įsakymo vykdymo kontrolę žemės ūkio viceministrui pagal administravimo sritį.

 

 

 

Žemės ūkio ministrė                                                                                           Virginija Baltraitienė

 

 

SUDERINTA                                                                 

Lietuvos Respublikos vidaus reikalų ministerijos          

2015-06-19 raštu Nr. 1D-5501(3)                           


 

PATVIRTINTA

Lietuvos Respublikos

žemės ūkio ministro

2015 m. gruodžio 16 d.

įsakymu Nr. 3D-923

 

GYVŪNŲ AUGINTINIŲ REGISTRO

DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.  Gyvūnų augintinių registro duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Gyvūnų augintinių registro (toliau – Registras) elektroninės informacijos saugos politiką.

2.  Šiuose Saugos nuostatuose vartojamos sąvokos:

2.1. Gyvūnų augintinių registras (toliau – Registras) – valstybės registras, kuriame registruojami mikroschemomis paženklinti gyvūnai augintiniai.

2.2. Registro administratorius – Registro tvarkytojo (VĮ Žemės ūkio informacijos ir kaimo verslo centro (toliau – ŽŪIKVC)) paskirtas darbuotojas, atliekantis Registro infrastruktūros priežiūrą ir kitas jam priskirtas funkcijas;

2.3. Registro duomenų valdymo įgaliotinis – Registro tvarkytojo (ŽŪIKVC) paskirtas struktūrinio padalinio, atsakingo už Registro tvarkytojui (ŽŪIKVC) teisės aktų nustatytų funkcijų atlikimą, vadovas;

2.4. Registro naudotojas – valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę  naudotis Registro ištekliais numatytoms funkcijoms atlikti;

2.5. Registro naudotojų administratorius – Registro tvarkytojo (ŽŪIKVC) paskirtas darbuotojas, administruojantis Registro naudotojų prieigos teisių valdymą ir atliekantis kitas teisės aktų nustatytas funkcijas;

2.6. Registro saugos įgaliotinis – Registro tvarkytojo (ŽŪIKVC) paskirtas darbuotojas, koordinuojantis ir prižiūrintis elektroninės informacijos saugos politikos įgyvendinimą Registre;

2.7. Kitos Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas), kituose teisės aktuose ir Lietuvos standartuose LST ISO/IEC 27001:2013 ir LST ISO/IEC 27002:2014.

3.  Registro tvarkomos elektroninės informacijos saugos užtikrinimo tikslas – sudaryti sąlygas saugiai automatizuotu būdu tvarkyti ir saugoti elektroninę informaciją Registre, užtikrinti elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą.

4.  Registro informacijos saugumui užtikrinti naudojamos organizacinės, techninės, programinės ir fizinės informacijos apsaugos priemonės.

5.    Registro elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

5.1. Registro elektroninės informacijos konfidencialumo užtikrinimas;

5.2. Registro elektroninės informacijos vientisumo užtikrinimas;

5.3. Registro elektroninės informacijos prieinamumo užtikrinimas;

5.4. prieigos prie Registro kontrolė;

5.5. Registro rizikos valdymas;

5.6. Registro veiklos tęstinumo užtikrinimas;

5.7. Registro naudotojų ir Registro administratoriaus saugos švietimas.

6.    Saugos nuostatai taikomi:

6.1. Registro valdytojai – Lietuvos Respublikos žemės ūkio ministerijai (toliau – Registro valdytoja), Gedimino pr. 19, LT-01103 Vilnius;

6.2. Registro tvarkytojui – ŽŪIKVC, V. Kudirkos g. 18-1, LT-03105 Vilnius;

6.3. Registro tvarkytojai – Valstybinei maisto ir veterinarijos tarnybai (toliau – VMVT), Siesikų g. 19, LT-07170 Vilnius;

6.4. Registro naudotojams;

6.5. Registro administratoriui;

6.6. Registro naudotojų administratoriui;

6.7. Registro saugos įgaliotiniui.

7.  Registro valdytojos funkcijos:

7.1. rengti ir priimti teisės aktus, užtikrinančius Registro duomenų tvarkymo teisėtumą ir Registro elektroninės informacijos saugą, atlikti jų nuostatų laikymosi priežiūrą;

7.2. nagrinėti ŽŪIKVC pasiūlymus dėl Registro veiklos, elektroninės informacijos saugos, juos apibendrinti ir priimti sprendimus dėl Registro tobulinimo;

7.3. atsako už Registro elektroninės informacijos saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą;

7.4. rengti Registro biudžeto projektus;

7.5. pavesti ŽŪIKVC skirti Registro administratorių ir Registro naudotojų administratorių;

7.6.    priimti sprendimus dėl Registro rizikos vertinimo rezultatų;

7.7. atlikti kitas Saugos nuostatuose ir saugos dokumentuose, Gyvūnų augintinių registro nuostatuose (toliau – Registro nuostatai) ir kituose teisės aktuose pavestas funkcijas.

8.    ŽŪIKVC funkcijos:

8.1. užtikrinti Registro prieinamumą;

8.2. pagal kompetenciją užtikrinti Registro veiklos tęstinumą;

8.3. užtikrinti Registro taikomajai programinei įrangai, tarnybinėms stotims ir juose esantiems duomenims funkcionuoti būtinos informacinių technologijų infrastruktūros (toliau – serverių sritis) saugą;

8.4. rengti ir saugoti serverių srities saugai užtikrinti būtiną dokumentaciją;

8.5. sudaryti Registro duomenų gavimo ir teikimo sutartis ir užtikrinti duomenų gavimo ir teikimo saugą;

8.6. sudaryti galimybes duomenų teikėjams teikti duomenis elektroniniu būdu;

8.7. užtikrinti Registro elektroninės informacijos saugą;

8.8.    skirti Registro saugos įgaliotinį;

8.9.    skirti Registro administratorių;

8.10.  skirti Registro naudotojų administratorių;

8.11teikti pastabas ir pasiūlymus Registro valdytojai ir VMVT Registro veiklos klausimais;

8.12.  atlikti kitas Saugos nuostatuose ir saugos dokumentuose, Registro nuostatuose ir kituose teisės aktuose pavestas funkcijas.

9.  VMVT funkcijos:

9.1. registruoti Registro objektus pagal duomenų teikėjų pateiktus dokumentus;

9.2. užtikrinti, kad į Registrą įvedami duomenys atitiktų pateiktuose dokumentuose nurodytus duomenis;

9.3. užtikrinti, kad klaidingi Registro duomenys būtų ištaisyti pagal duomenų teikėjų pateiktą informaciją;

9.4. užtikrinti duomenų teikėjų teikiamų dokumentų ir suvedamų duomenų apsaugą;

9.5. pagal kompetenciją užtikrinti Registro veiklos tęstinumą;

9.6. užtikrinti gautų iš ŽŪIKVC duomenų saugą;

9.7. teikti pastabas ir pasiūlymus Registro valdytojai ir ŽŪIKVC Registro veiklos klausimais;

9.8. atlikti kitas Saugos nuostatuose ir saugos dokumentuose, Registro nuostatuose ir kituose teisės aktuose pavestas funkcijas.

10.  Registro duomenų valdymo įgaliotinio funkcijos:

10.1.  įgyvendinti Registro plėtrą;

10.2prižiūrėti, kaip kuriamas ir tvarkomas Registras, diegiama programinė įranga, panaudojamos investicijos;

10.3užtikrinti, kad informacija, duomenys, dokumentai ir (arba) jų kopijos būtų teikiami, skelbiami ir (arba) perduodami pagal šiuos Saugos nuostatus ir kitus saugos reikalavimus;

10.4teikti ŽŪIKVC vadovui pasiūlymus dėl darbuotojų, kuriems pavesta tvarkyti duomenis, informaciją, dokumentus ir (arba) jų kopijas, teisių ir pareigų;

10.5.  atlikti kitas teisės aktuose nustatytas funkcijas.

11.  Registro saugos įgaliotinio funkcijos:

11.1.  teikti ŽŪIKVC vadovui pasiūlymus dėl:

11.1.1. Registro administratoriaus paskyrimo ir reikalavimų nustatymo;

11.1.2. saugos dokumentų priėmimo, keitimo ir panaikinimo;

11.1.3. ŽŪIKVC informacinių technologijų saugos atitikties vertinimo atlikimo;

11.2.  koordinuoti įvykusių incidentų dėl Registro elektroninės informacijos saugos tyrimą;

11.3.  teikti Registro administratoriui ir Registro naudotojų administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

11.4.  organizuoti Registro naudotojų supažindinimą su Registro saugos dokumentais, užtikrinti supažindinimo įrodomumą;

11.5.  koordinuoti Registro saugos dokumentų reikalavimų vykdymą;

11.6.  organizuoti ir atlikti Registro rizikos įvertinimą;

11.7.  atlikti kitas Saugos nuostatuose ir kituose saugos dokumentuose pavestas funkcijas.

12.  Registro administratoriaus funkcijos:

12.1.  atsakyti už Registro serverių srities funkcionavimą ir prieigų prie Registro suteikimą;

12.2.  atlikti Registrą sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) sąrangą, kuri atitiktų Registro saugos dokumentų reikalavimus;

12.3.  pagal kompetenciją teikti Registro saugos įgaliotiniui pasiūlymus dėl Registro palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir Registro elektroninės informacijos saugos užtikrinimo;

12.4.  informuoti Registro saugos įgaliotinį apie incidentus dėl elektroninės informacijos saugos ir teikti jam pasiūlymus dėl tokių incidentų pašalinimo;

12.5.  vykdyti visus Registro saugos įgaliotinio nurodymus ir pavedimus, susijusius su Registro elektroninės informacijos saugos užtikrinimu;

12.6.  teikti Registro saugos įgaliotiniui informaciją apie Registro elektroninės informacijos saugą užtikrinančių komponentų būklę;

12.7.  koordinuoti Registro naudotojų administratoriaus veiklą;

12.8.  atlikti kitas Saugos nuostatuose ir kituose saugos dokumentuose pavestas funkcijas.

13.  Registro naudotojų administratoriaus funkcijos:

13.1.  atsakyti už prieigų prie Registro suteikimą;

13.2.  atsakyti už Registro teisių valdymą;

13.3.  vykdyti Registro naudotojų prieigų ir teisių kontrolę;

13.4.  atlikti kitas Saugos nuostatuose ir kituose saugos dokumentuose pavestas funkcijas.

14.     Registro naudotojo funkcijos:

14.1.  atsakyti už Registro ir jame tvarkomų duomenų saugumą;

14.2.  tvarkyti Registro elektroninę informaciją;

14.3.  neatskleisti, neperduoti tvarkomos Registro elektroninės informacijos;

14.4.  atlikti kitas Saugos nuostatų ir kitų saugos dokumentų, Registro nuostatų ir kitų teisės aktų nustatytas funkcijas.

15.     Teisės aktai, kuriais vadovaujamasi tvarkant elektroninę informaciją ir užtikrinant jos saugą:

15.1.  Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

15.2.  Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

15.3.  Lietuvos Respublikos kibernetinio saugumo įstatymas;

15.4.  Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas;

15.5.  Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai);

15.6.  Bendrieji reikalavimai organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai organizacinėms ir techninėms asmens duomenų saugumo priemonėms);

15.7.  Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

15.8.  Lietuvos standartai LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugumą;

15.9.    kiti teisės aktai, reglamentuojantys elektroninės informacijos apsaugą valstybės institucijose.

 

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

16.  Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, Registro tvarkoma elektroninė informacija priskiriama svarbios elektroninės informacijos kategorijai, nes šios elektroninės informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti sunkių padarinių kelių institucijų veiklai, dėl šios elektroninės informacijos saugumo pažeidimo gali kilti grėsmė įvykti Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.2.4, 4.2.7 papunkčiuose nurodytiems procesams.

17.  Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.2 papunkčiu, Registras priskiriamas prie antrosios kategorijos, kurioje apdorojama svarbi elektroninė informacija.

18.  Vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms dėl galimybės per išorinius duomenų perdavimo tinklus tvarkyti Registro saugomus asmens duomenis, Registrui priskiriamas antrasis saugumo lygis.

19.  Registro saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, kuri skelbiama Vidaus reikalų ministerijos interneto svetainėje (http://www.vrm.lt/Rizikos_analize.pdf), Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja Registro rizikos įvertinimą. Prireikus Registro saugos įgaliotinis gali organizuoti neeilinį Registro rizikos įvertinimą. Registro tvarkytojo rašytiniu pavedimu Registro rizikos įvertinimą gali atlikti pats Registro saugos įgaliotinis. Registro rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama ŽŪIKVC vadovui. Rizikos įvertinimo ataskaita rengiama vertinant rizikos veiksnius, galinčius turėti įtakos Registro elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai:

19.1.  subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

19.2subjektyvūs tyčiniai (nesankcionuotas naudojimasis Registro elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kita);

19.3.  veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“3 punkte.

20.  Pagrindinės nuostatos dėl rizikos veiksnių vertinimo:

20.1.  Registro rizikos vertinimą inicijuoja Registro valdytoja ar ŽŪIKVC;

20.2.  Registro rizika nustatoma periodinio rizikos vertinimo metu;

20.3.  Registro rizikos vertinimas atliekamas ne rečiau kaip kartą per metus;

20.4.  Registro saugos įgaliotinis yra atsakingas už Registro rizikos vertinimo atlikimo organizavimą;

20.5.  Registro rizikos veiksniai vertinami taikant ŽŪIKVC patvirtintą rizikos vertinimo metodiką;

20.6.  Registro rizikos vertinimas atliekamas vadovaujantis:

20.6.1. Lietuvos Respublikos valstybės institucijų ir įstaigų informacinių sistemų duomenų saugą reglamentuojančių teisės aktų reikalavimais;

20.6.2. Lietuvos standartu LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir kitais Lietuvos ir tarptautiniais standartais, reglamentuojančiais rizikos vertinimą;

20.6.3. ŽŪIKVC patvirtinta Informacijos saugumo politika;

20.6.4. ŽŪIKVC patvirtintu Informacijos saugumo rizikos valdymo tvarkos aprašu;

20.7.  Rizikos valdymo procesą sudaro:

20.7.1. rizikos vertinimo konteksto nustatymas, rizikos vertinimas (informacinių išteklių inventorizacija ir jų įtakos veiklai vertinimas, rizikos analizė, rizikos įvertinimas), rizikos tvarkymas, rizikos stebėsena ir peržiūros;

20.7.2.   Registro valdytoja, atsižvelgdama į Registro rizikos vertinimo rezultatus, prireikus tvirtina Registro saugos įgaliotinio parengtą rizikos tvarkymo planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

21.  Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:

21.1.  liekamoji rizika turi būti sumažinta iki priimtino lygio;

21.2.  informacijos saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

21.3.  kur galima, turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

22.  Registro saugai užtikrinti naudojamos priemonės parengtos vadovaujantis:

22.1.  Lietuvos Respublikos kibernetinio saugumo įstatymu;

22.2.    Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais;

22.3.  Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, kuris nustato būtinas priemones pagal informacinei sistemai paskirtą saugos kategoriją;

22.4.  Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms;

22.5.  Vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“;

22.6.    kitų elektroninės informacijos apsaugą reglamentuojančių Lietuvos Respublikos teisės aktų reikalavimais, kurie nustato būtinas priemones pagal informacinei sistemai paskirtą kategoriją;

22.7.  Lietuvos standarte LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ pateikiamomis rekomendacijomis ir siūlymais.

 

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

23.     Programinės įrangos, skirtos apsaugoti Registrą nuo kenkėjiškos programinės įrangos, naudojimo nuostatos:

23.1.  Registrui funkcionuoti būtina programinė tarnybinių stočių ir Registro naudotojų kompiuteriuose esanti programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kt.) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Už tarnybinių stočių programinės įrangos konfigūravimą atsakingas Registro administratorius, o už kontrolę – Registro saugos įgaliotinis;

23.2.  Registrui funkcionuoti būtina serverių srities ir Registro naudotojų kompiuteriuose esanti programinė įranga turi būti atnaujinama ne vėliau kaip per 5 darbo dienas po programinės įrangos gamintojų pranešimo apie programinės įrangos atnaujinimą. Už serverių srities atnaujinimų atlikimą atsakingas Registro administratorius, o už kontrolę atsakingas – Registro saugos įgaliotinis;

23.3.  Registro naudotojų kompiuteriuose prieigos teisės turi būti apribojamos iki minimalių, būtinų darbo užduotims atlikti, teisių;

23.4.  Registro naudotojų kompiuteriai turi būti apsaugoti lokaliomis ugniasienėmis;

23.5.  Registro naudotojų kompiuteriuose turi būti naudojama antivirusinė programinė įranga, apsauganti nuo kenksmingų programų, įskaitant elektroninio pašto apsaugą. Antivirusinė programinė įranga periodiškai, ne rečiau kaip kartą per savaitę, turi būti automatiškai atnaujinama.

24.  Programinės įrangos naudojimo ribojimo nuostatos:

24.1.  Registro tarnybinėse stotyse turi veikti tik legali programinė įranga;

24.2.  periodiškai, bet ne rečiau kaip kartą per metus, turi būti atliekamas Registro tarnybinėse stotyse naudojamos programinės įrangos auditas, kurį inicijuoja Registro saugos įgaliotinis.

25.  Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių ir kitos) naudojimo nuostatos:

25.1visas duomenų srautas į internetą ir iš jo filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

25.2naudojamos turinio filtravimo sistemos;

25.3naudojamos taikomųjų programų kontrolės sistemos;

25.4.  apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga, galinti iššifruoti įeinančių ir išeinančių duomenų srautų duomenis.

25.5.  konfigūruojant Registrą, naudotojų elektroninės informacijos perdavimo tinklo priežiūra vykdoma pagal ŽŪIKVC patvirtintą kompiuterinio tinklo konfigūravimo ir stebėsenos tvarkos aprašą, o užkardų priežiūra atliekama pagal ŽŪIKVC patvirtintą Užkardų konfigūracijos ir stebėsenos tvarkos aprašą;

25.6.  tinklo ir užkardų konfigūracija peržiūrima ne rečiau kaip kartą per metus. Peržiūrą inicijuoja Registro saugos įgaliotinis, o ją vykdo Registro administratorius.

26.  Leistinos Registro naudotojų kompiuterių naudojimo ribos:

26.1.  stacionarūs ir nešiojamieji Registro naudotojų kompiuteriai privalo būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai atlikti. Iš kompiuterių, kurie perduodami remontuoti ar techniškai patikrinti, turi būti pašalinta visa Registro elektroninė informacija;

26.2.  visiems Registro naudotojų naudojamiems kompiuteriams privaloma naudoti papildomas saugos priemones, kuriomis patvirtinama kompiuterio naudotojo tapatybė ir šifruojami duomenys.

27.  Metodai, kuriais galima užtikrinti saugų Registro elektroninės informacijos teikimą ir (ar) gavimą:

27.1.  duomenų perdavimas šifruotais ryšio kanalais;

27.2.  duomenų registravimui naudojamas saugus HTTPS protokolas;

27.3.  saugaus valstybinio duomenų perdavimo tinklo (SVDPT) naudojimas;

27.4.  Registro duomenys perduodami automatiškai TCP/IP protokolu realiuoju laiku arba asinchroniniu režimu pagal Registro duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka;

27.5.  už duomenų teikimo ir gavimo sutartyse nurodomų saugos reikalavimų nustatymą, suformulavimą ir įgyvendinimo organizavimą atsakingas Registro saugos įgaliotinis.

28.  Pagrindiniai atsarginių Registro duomenų kopijų darymo ir atkūrimo reikalavimai:

28.1.  atsarginių Registro duomenų kopijų darymas ir atkūrimas turi būti atliekamas laikantis Lietuvos Respublikos teisės aktų nustatytų reikalavimų;

28.2.  atsarginės Registro duomenų kopijos turi būti daromos periodiškai pagal ŽŪIKVC patvirtintą Svarbiausios veiklos atsarginių kopijų administravimo tvarkos aprašą;

28.3.  atsarginių kopijų laikmenos yra pažymimos taip, kad jas būtų galima atpažinti;

28.4.  Registro duomenų atkūrimas iš atsarginių duomenų kopijų turi būti periodiškai išbandomas pagal ŽŪIKVC patvirtintą Svarbiausios veiklos atsarginių kopijų administravimo tvarkos aprašą. Bandymų eiga ir rezultatai pateikiami Registro saugos įgaliotiniui;

28.5.  už atsarginių Registro duomenų kopijų darymą, atkūrimą ir už Registro taikomosios programinės įrangos (aplikacijų) kopijų inicijavimą atsakingas Registro saugos įgaliotinis, o už vykdymą – Registro administratorius;

28.6atsarginės Registro duomenų kopijos turi būti saugomos užrakintoje nedegioje spintoje, kitose patalpose arba kitame pastate, nei yra įrašymo įrenginys.

 

IV SKYRIUS

REIKALAVIMAI PERSONALUI

 

29.  Registro saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, standartais ir kitais dokumentais, sugebėti prižiūrėti, kaip įgyvendinama Registro elektroninės informacijos saugumo politika, tobulinti kvalifikaciją elektroninės informacijos saugos srityje.

30.  Registro saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.

31.  Registro administratorius privalo išmanyti Registro elektroninės informacijos saugumo politikos principus, mokėti užtikrinti jų saugą, mokėti dirbti su duomenų perdavimo tinklais, užtikrinti jų saugą, taip pat administruoti ir prižiūrėti informacines sistemas, turi būti susipažinęs su šiais Saugos nuostatais ir kitais su elektroninės informacijos sauga susijusiais dokumentais, darbo saugos taisyklėmis

32.  Registro naudotojai privalo išmanyti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą ir kitus teisės aktus, reglamentuojančius asmens duomenų saugą, turi turėti naudojimosi kompiuteriu įgūdžių, būti susipažinę su šiais Saugos nuostatais ir kitais susijusiais saugos dokumentais.

33.  Registro naudotojai, pastebėję informacijos saugumo politikos pažeidimų, nusikalstamos veikos požymių ar netinkamai veikiančių Registro elektroninės informacijos saugos užtikrinimo priemonių, nedelsdami privalo apie tai pranešti ŽŪIKVC.

34.  Registro administratorius apie Saugos nuostatų 33 punkte nurodytus pažeidimus informuoja Registro saugos įgaliotinį. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią Registro elektroninę informaciją (jos konfidencialumą, vientisumą ar prieinamumą), Registro saugos įgaliotinis apie tai turi pranešti ŽŪIKVC vadovui ir kompetentingoms institucijoms.

35.  Registro naudotojų administratorius turi išmanyti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą ir kitus teisės aktus, reglamentuojančius asmens duomenų saugą, žinoti visus sutartinius įsipareigojimus ir teisės aktus, susijusius su Registro naudotojų administravimu.

36.  Registro administratorius privalo sugebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų diagnostiką ir šalinimą, išmanyti elektroninės informacijos saugos užtikrinimo principus.

 

V SKYRIUS

REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

37.  Registro naudotojų supažindinimą su saugos dokumentais bei teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, jo įrodomumą ir atsakomybę už jų reikalavimų nesilaikymą yra atsakingas Registro saugos įgaliotinis.

38.  Registro naudotojų informacijos saugos mokymai ir žinių atnaujinimas atliekamas kasmet. Už tai atsakingas Registro saugos įgaliotinis.

39.  Saugos dokumentai yra viešai skelbiami ŽŪIKVC interneto svetainėje.

40.  ŽŪIKVC patvirtinta Informacijos saugumo politika yra viešai skelbiama ŽŪIKVC interneto svetainėje ir yra privaloma visiems naudotojams, dirbantiems su Registru.

41.  Pirmą kartą prisijungęs prie Registro naudotojas privalo susipažinti su Informacijos saugumo politika, Registro nuostatais, Saugos nuostatais ir kitais saugos dokumentais.

42.  Pasikeitus šių Saugos nuostatų 41 punkte nurodytiems dokumentams, naudotojas privalo su jais pakartotinai susipažinti.

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

43.  Saugos nuostatai privalomi Registro valdytojos ir Registro tvarkytojų darbuotojams, kurie tvarko Registro informaciją.

44.  Asmenys, pažeidę šiuos Saugos nuostatus, atsako įstatymų nustatyta tvarka.

45.  Saugos nuostatų ir kitos su Registro elektroninės informacijos sauga susijusios dokumentacijos peržiūrą ar keitimą inicijuoja ŽŪIKVC.