LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO

MINISTRAS

 

ĮSAKYMAS

DĖL ŽEMĖS ŪKIO MINISTRO 2012 M. GEGUŽĖS 17 D. ĮSAKYMO NR. 3D-349
DĖL ŽEMĖTVARKOS PLANAVIMO DOKUMENTŲ RENGIMO INFORMACINĖS SISTEMOS NUOSTATŲ IR ŽEMĖTVARKOS PLANAVIMO DOKUMENTŲ RENGIMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO

 

2016 m. balandžio 21 d. Nr. 3D-232

Vilnius

 

 

P a k e i č i u Žemėtvarkos planavimo dokumentų rengimo informacinės sistemos duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos žemės ūkio ministro 2012 m. gegužės 17 d. įsakymu Nr. 3D-349 „Dėl Žemėtvarkos planavimo dokumentų rengimo informacinės sistemos nuostatų ir Žemėtvarkos planavimo dokumentų rengimo informacinės sistemos duomenų saugos nuostatų patvirtinimo“, ir juos išdėstau nauja redakcija (pridedama).

 

 

 

Žemės ūkio ministrė                                                                                         Virginija Baltraitienė

 

 

 

SUDERINTA

Vidaus reikalų ministerijos

2016-04-12 raštu Nr. 1D-2262


 

PATVIRTINTA

Lietuvos Respublikos žemės ūkio

ministro 2012 m. gegužės 17 d.

įsakymu Nr. 3D-349

(Lietuvos Respublikos žemės ūkio

ministro 2016 m. balandžio 21 d.

įsakymo  Nr. 3D-232 redakcija)

 

ŽEMĖTVARKOS PLANAVIMO DOKUMENTŲ RENGIMO INFORMACINĖS SISTEMOS
DUOMENŲ SAUGOS NUOSTATAI

 

i SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Žemėtvarkos planavimo dokumentų rengimo informacinės sistemos duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją Žemėtvarkos planavimo dokumentų rengimo informacinėje sistemoje (toliau – ŽPDRIS).

2. Saugos nuostatai parengti vadovaujantis Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“.

3. Saugos nuostatuose vartojamos sąvokos:

3.1. ŽPDRIS administratorius – Nacionalinės žemės tarnybos prie Žemės ūkio ministerijos direktoriaus įsakymu paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, atsakingas už ŽPDRIS naudotojų registravimą, ŽPDRIS prieigos teisių suteikimą ir panaikinimą, ŽPDRIS posistemių priežiūrą ir atliekantis kitas Saugos nuostatais ir ŽPDRIS duomenų saugos politiką įgyvendinančiais teisės aktais jam priskirtas funkcijas;

3.2. ŽPDRIS saugos įgaliotinis – Nacionalinės žemės tarnybos prie Žemės ūkio ministerijos direktoriaus įsakymu paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis ŽPDRIS elektroninės informacijos saugos politikos įgyvendinimą ir įgyvendinantis šios informacijos saugą;

3.3. ŽPDRIS sisteminis administratorius – Nacionalinės žemės tarnybos prie Žemės ūkio ministerijos direktoriaus įsakymu paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis ŽPDRIS infrastruktūrą, užtikrinantis jos veikimą ir ŽPDRIS elektroninės informacijos saugą;

3.4. Kitos šiuose Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas šių Saugos nuostatų 2 punkte išvardytuose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“.

4. Saugos nuostatų reikalavimai taikomi tvarkant ŽPDRIS duomenis ir yra privalomi visiems ŽPDRIS naudotojams.

5. Saugos nuostatai reglamentuoja ŽPDRIS saugos politiką, kurią įgyvendina šie Lietuvos Respublikos žemės ūkio ministro patvirtinti teisės aktai (toliau – Saugos politiką įgyvendinantys teisės aktai):

5.1. ŽPDRIS saugaus elektroninės informacijos tvarkymo taisyklės;

5.2. ŽPDRIS naudotojų administravimo taisyklės;

5.3. ŽPDRIS veiklos tęstinumo valdymo planas.

6. ŽPDRIS duomenų saugos tikslas – užtikrinti ŽPDRIS duomenų vientisumą, prieinamumą ir konfidencialumą bei tinkamą ŽPDRIS infrastruktūros (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) veikimą.

7. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

7.1. elektroninės informacijos prieinamumo užtikrinimas;

7.2. elektroninės informacijos vientisumo užtikrinimas;

7.3. elektroninės informacijos konfidencialumo užtikrinimas;

7.4. veiklos tęstinumo užtikrinimas;

7.5. asmens duomenų apsauga;

7.6.  ŽPDRIS naudotojų mokymas;

7.7. administracinių, techninių ir kitų priemonių, skirtų ŽPDRIS duomenų saugai užtikrinti, įgyvendinimas ir kontrolė.

8. ŽPDRIS valdytoja yra Lietuvos Respublikos žemės ūkio ministerija, adresas: Gedimino pr. 19 (Levelio g. 6), LT-01103 Vilnius.

9. ŽPDRIS tvarkytoja yra Nacionalinė žemės tarnyba prie Žemės ūkio ministerijos (toliau – Nacionalinė žemės tarnyba), adresas: Gedimino pr. 19, LT-01103 Vilnius.

10. ŽPDRIS naudotojai yra Nacionalinės žemės tarnybos prie Žemės ūkio ministerijos, valstybės įmonės Valstybės žemės fondo, Lietuvos Respublikos aplinkos ministerijos, Lietuvos Respublikos kultūros ministerijos, savivaldybių ar kitų institucijų valstybės tarnautojai arba darbuotojai, dirbantys pagal darbo sutartis, kuriems suteikta teisė naudotis ŽPDRIS ištekliais.

11. ŽPDRIS valdytoja atsako už ŽPDRIS saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir ŽPDRIS duomenų tvarkymo teisėtumą bei atlieka šias funkcijas:

11.1. tvirtina ŽPDRIS saugaus elektroninės informacijos tvarkymo taisykles, ŽPDRIS veiklos tęstinumo valdymo planą, ŽPDRIS naudotojų administravimo taisykles ir kitus teisės aktus, kuriuose reglamentuojamas ŽPDRIS tvarkymo teisėtumas ir ŽPDRIS duomenų sauga (toliau visi kartu – ŽPDRIS saugos dokumentai);

11.2. ŽPDRIS valdytoja tvirtina priimtiną ŽPDRIS informacijos saugos rizikos lygį, priimtino ŽPDRIS informacijos saugos rizikos lygio peržiūros procedūrą, priimtino ŽPDRIS informacijos saugos rizikos lygio nustatymo dažnumą;

11.3. paveda ŽPDRIS tvarkytojai skirti ŽPDRIS saugos įgaliotinį, ŽPDRIS administratorių, ŽPDRIS sisteminį administratorių;

11.4. paveda saugos įgaliotiniui rengti arba atnaujinti ŽPDRIS saugos politikos įgyvendinimo dokumentus;

11.5. priima sprendimus dėl ŽPDRIS techninių ir programinių priemonių, būtinų ŽPDRIS duomenų saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

12. ŽPDRIS tvarkytoja atsako už ŽPDRIS duomenų saugos įgyvendinimą, reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir kituose ŽPDRIS saugos dokumentuose nustatyta tvarka bei:

12.1. rūpinasi ŽPDRIS duomenų saugumu, vykdo ŽPDRIS techninę priežiūrą, užtikrina nepertraukiamą ŽPDRIS veikimą;

12.2. pagal kompetenciją įgyvendina ŽPDRIS nuostatų, Saugos nuostatų, ŽPDRIS saugos dokumentų ir kitų elektroninės informacijos saugą reglamentuojančių teisės aktų reikalavimus;

12.3. užtikrina, kad naudotojai laikytųsi nuostatų, išvardytų Saugos nuostatuose ir ŽPDRIS saugos dokumentuose;

12.4. užtikrina, kad ŽPDRIS duomenys būtų apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio neteisėto veiksmo;

12.5. teikia pasiūlymus ŽPDRIS valdytojai dėl ŽPDRIS duomenų saugos tobulinimo, ŽPDRIS techninių ir programinių priemonių, būtinų ŽPDRIS duomenų saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo.

13. ŽPDRIS saugos įgaliotinis įgyvendina ŽPDRIS duomenų saugą ir atsako už ŽPDRIS saugos dokumentų reikalavimų vykdymą bei atlieka šias funkcijas:

13.1. koordinuoja elektroninės informacijos saugos incidentų, įvykusių ŽPDRIS, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;

13.2. teikia ŽPDRIS administratoriui, ŽPDRIS sisteminiam administratoriui ir ŽPDRIS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

13.3. kasmet organizuoja ŽPDRIS rizikos įvertinimą ir rengia ŽPDRIS rizikos įvertinimo ataskaitą, o prireikus – ŽPDRIS rizikos įvertinimo ir rizikos valdymo priemonių planą;

13.4. prireikus organizuoja neeilinį ŽPDRIS rizikos vertinimą;

13.5. atlieka ŽPDRIS saugumo reikalavimų atitikties vertinimą ir rengia ŽPDRIS informacinių technologijų saugos atitikties vertinimo ataskaitą, o prireikus – ŽPDRIS trūkumų šalinimo planą;

13.6. periodiškai organizuoja ŽPDRIS naudotojų mokymus informacijos saugos klausimais;

13.7. teikia ŽPDRIS tvarkytojos vadovui pasiūlymus dėl:

13.7.1. ŽPDRIS administratoriaus ir ŽPDRIS sisteminio duomenų bazių administratoriaus paskyrimo ir reikalavimų jiems nustatymo;

13.7.2. Saugos nuostatų ir ŽPDRIS saugos dokumentų priėmimo, keitimo ar panaikinimo;

13.7.3. priimtino ŽPDRIS informacijos saugos rizikos lygio patvirtinimo;

13.8. atlieka kitas ŽPDRIS tvarkytojos vadovo bei šiais Saugos nuostatais ir kitais ŽPDRIS saugos dokumentais jam priskirtas funkcijas.

14. ŽPDRIS administratorius atsako už ŽPDRIS naudotojų registravimą, ŽPDRIS prieigos teisių suteikimą ir panaikinimą bei atlieka šias funkcijas:

14.1. vertina ŽPDRIS naudotojų pasirengimą dirbti su ŽPDRIS;

14.2. registruoja ŽPDRIS naudotojus;

14.3. sukuria, keičia ir panaikina ŽPDRIS naudotojų atitinkamas teises, jas administruoja;

14.4. vykdo ŽPDRIS konfigūravimą;

14.5. rengia pasiūlymus ŽPDRIS tvarkytojos vadovui dėl ŽPDRIS modulių funkcionavimo, modernizavimo, techninio palaikymo, priežiūros ir ŽPDRIS duomenų saugos;

14.6. parenka ŽPDRIS techninės ir programinės įrangos saugos priemones bei nustato jų atitiktį ŽPDRIS saugos dokumentų reikalavimams;

14.7. dalyvauja atliekant ŽPDRIS rizikos įvertinimą ir rengiant ŽPDRIS rizikos įvertinimo ataskaitą, o prireikus – ŽPDRIS rizikos įvertinimo ir rizikos valdymo priemonių planą;

14.8. reguliariai, ne rečiau kaip kartą per metus ir po ŽPDRIS pokyčio, patikrina (peržiūri) ŽPDRIS sąranką ir ŽPDRIS būsenos rodiklius;

14.9. atlieka saugos įgaliotinio pavestas bei šiais Saugos nuostatais ir ŽPDRIS saugos dokumentais jam priskirtas funkcijas.

15. ŽPDRIS sisteminis administratorius atsako už ŽPDRIS infrastruktūros funkcionavimą ir ŽPDRIS saugumą bei atlieka šias funkcijas:

15.1. nustato ŽPDRIS pažeidžiamas vietas ir informuoja apie jas ŽPDRIS saugos įgaliotinį;

15.2. registruoja elektroninės informacijos saugos incidentus ŽPDRIS elektroninės informacijos saugos incidentų registravimo žurnale;

15.3. stebi ŽPDRIS veiklą, sutrikus ją atkuria;

15.4. vykdo ŽPDRIS infrastruktūros (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) priežiūrą;

15.5. rengia pasiūlymus ŽPDRIS tvarkytojos vadovui dėl ŽPDRIS kūrimo, modernizavimo, techninio palaikymo, priežiūros ir ŽPDRIS duomenų saugos;

15.6. kontroliuoja, kad tvarkant ŽPDRIS ir ŽPDRIS duomenis nebūtų pažeisti Saugos nuostatų reikalavimai;

15.7. atlieka saugos įgaliotinio pavestas bei šiais Saugos nuostatais ir ŽPDRIS saugos dokumentais jam priskirtas funkcijas.

16. Teisės aktai, kuriais vadovaujamasi tvarkant ŽPDRIS elektroninę informaciją ir užtikrinant jos saugumą:

16.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

16.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

16.3. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716;

16.4. Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymas Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“;

16.5. Lietuvos standartas LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;

16.6. Lietuvos standartas LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“;

16.7. Saugos nuostatai ir kiti ŽPDRIS saugos dokumentai.

 

 

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

17. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas), 4.3 papunkčiu, ŽPDRIS duomenys priskiriami prie žinybinės svarbos elektroninės informacijos kategorijos, kadangi dėl elektroninės informacijos saugumo pažeidimo gali kilti grėsmė įvykti procesams, kurie:

17.1. gali padaryti žalos vieno ar kelių fizinių ar juridinių asmenų teisėtiems interesams;

17.2. gali turėti neigiamų padarinių ŽPDRIS valdytojo ar ŽPDRIS tvarkytojo veiklai.

18. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.3 papunkčiu, ŽPDRIS yra priskiriama trečios kategorijos informacinėms sistemoms, kadangi ŽPDRIS apdorojama žinybinės svarbos elektroninė informacija.

19. Saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacinės technologijos. Saugumo metodai“ grupės standartus, ne rečiau kaip vieną kartą per metus atlieka ŽPDRIS rizikos įvertinimą, kurio metu išanalizuojami rizikos veiksniai, galimos jų pašalinimo arba neigiamo poveikio sumažinimo priemonės. Prireikus saugos įgaliotinis gali atlikti neeilinį ŽPDRIS rizikos įvertinimą.

20. Atlikęs ŽPDRIS rizikos įvertinimą, saugos įgaliotinis parengia ŽPDRIS rizikos įvertinimo ataskaitą, kuri pateikiama ŽPDRIS tvarkytojos vadovui. ŽPDRIS rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos duomenų saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus ir rizikos priimtinumo kriterijus. Pagrindiniai rizikos veiksniai, kurie gali turėti įtakos ŽPDRIS duomenų saugai, yra:

20.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

20.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

20.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

21. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:

21.1. likutinė rizika turi būti sumažinta iki priimtino lygio;

21.2. informacijos saugos priemonės diegimo kainos adekvatumas saugomos informacijos vertei;

21.3. turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

22. Atsižvelgdamas į ŽPDRIS rizikos įvertinimo ataskaitą, saugos įgaliotinis prireikus, t. y. jeigu ŽPDRIS rizikos įvertinimo ataskaitoje nustatyti rizikos veiksniai yra nepriimtini, parengia ŽPDRIS rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti. ŽPDRIS rizikos įvertinimo ir rizikos valdymo priemonių planas teikiamas tvirtinti ŽPDRIS valdytojos vadovui.

23. Saugos įgaliotinis ne rečiau kaip kartą per dvejus metus organizuoja ŽPDRIS informacinių technologijų saugos reikalavimų atitikties vertinimą.

Atlikus ŽPDRIS informacinių technologijų saugos atitikties vertinimą, saugos įgaliotinis rengia ŽPDRIS informacinių technologijų saugos atitikties vertinimo ataskaitą, kuri pateikiama susipažinti ŽPDRIS tvarkytojos vadovui.

Jeigu atlikus ŽPDRIS informacinių technologijų saugos atitikties vertinimą buvo nustatyta informacinių technologijų saugos neatitikčių Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), nuostatoms, saugos įgaliotinis parengia ŽPDRIS pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus už numatytų priemonių įgyvendinimą vykdytojus paskiria ir numatytų priemonių įgyvendinimo terminus nustato ŽPDRIS valdytojos vadovas.

24. ŽPDRIS rizikos įvertinimo ataskaitos, ŽPDRIS rizikos įvertinimo ir rizikos valdymo priemonių plano, ŽPDRIS informacinių technologijų saugos atitikties vertinimo ataskaitos ir ŽPDRIS trūkumų šalinimo plano kopijas ŽPDRIS valdytoja ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatai), nustatyta tvarka.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

25. Priemonės ir metodai, kurie taikomi užtikrinant prieigą prie ŽPDRIS, nurodant leistiną šios prieigos laiką ir būdą, nustatomi ŽPDRIS naudotojų administravimo taisyklėse.

26. ŽPDRIS duomenų saugai yra taikomos šios programinės įrangos naudojimo nuostatos:

26.1. ŽPDRIS tarnybinėse stotyse, ŽPDRIS naudotojų kompiuteriuose diegiama tik legali ir saugi programinė įranga;

26.2. ŽPDRIS tarnybinėse stotyse, ŽPDRIS naudotojų kompiuteriuose operacinių sistemų ir taikomųjų programų struktūra sudaroma tokiu būdu, kad būtų užtikrintas didžiausias saugumo lygis (išjungiami nereikalingi darbui reikmenys (angl. services), ribojama prieiga prie operacinės sistemos prievadų);

26.3. ŽPDRIS tarnybinėse stotyse, ŽPDRIS naudotojų kompiuteriuose privalo būti naudojama reguliariai ne rečiau kaip kartą per parą automatiškai atnaujinama programinė įranga, skirta apsaugai nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.);

26.4. ŽPDRIS tarnybinėse stotyse turi veikti programinė įranga, susijusi tik su ŽPDRIS duomenų tvarkymu, ŽPDRIS naudotojų, ŽPDRIS duomenų gavėjų ir pačios įrangos administravimu;

26.5. ŽPDRIS tvarkytojos ir naudotojų kompiuteriuose turi veikti programinė įranga, susijusi tik su ŽPDRIS tvarkytojos ir naudotojų atliekamomis funkcijomis;

26.6. ŽPDRIS programinis kodas turi būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.

26.7. ŽPDRIS funkcionuoti būtina programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kita) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Programinės įrangos konfigūravimą atlieka ŽPDRIS sisteminis administratorius;

26.8. ŽPDRIS funkcionuoti būtina programinė įranga turi būti atnaujinama ne vėliau kaip per 5 darbo dienas nuo programinės įrangos gamintojų pranešimo apie programinės įrangos atnaujinimą gavimo dienos. Programinės įrangos atnaujinimą atlieka ŽPDRIS sisteminis administratorius;

26.9. Programinės įrangos testavimas turi būti atliekamas naudojant atskirą tam skirtą testavimo aplinką. Programinės įrangos testavimą atlieka ŽPDRIS sisteminis administratorius.

27. Kompiuterių tinklas, prie kurio prijungtos ŽPDRIS tarnybinės stotys, nuo viešojo interneto turi būti atskirtas tinklo užkarda (angl. firewall). Už šios įrangos administravimą ir priežiūrą atsako ŽPDRIS tvarkytojos paskirtas ŽPDRIS sisteminis administratorius.

28. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojamas Saugus valstybinis duomenų perdavimo tinklas (toliau – SVDPT).

29. ŽPDRIS naudotojų veiksmai registruojami elektroniniame duomenų keitimo žurnale.

30. Kompiuteriuose, turinčiuose prieigą prie ŽPDRIS ir naudojamuose nustatytoms funkcijoms vykdyti ne institucijos patalpose, turi būti įdiegiamos papildomos saugos priemonės (duomenų šifravimas, prisijungimo ribojimai).

31. ŽPDRIS naudotojų kompiuterių tinklai turi tenkinti SVDPT saugos organizavimo, valdymo ir SVDPT naudotojų prijungimo reikalavimus, nustatytus Saugaus valstybinio duomenų perdavimo tinklo elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2007 m. birželio 5 d. įsakymu Nr. 1V-210 „Dėl Saugaus valstybinio duomenų perdavimo tinklo elektroninės informacijos saugos reikalavimų patvirtinimo“.

32. ŽPDRIS duomenys teikiami ir (ar) gaunami automatiniu būdu tik pagal ŽPDRIS duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas.

33. Asmens duomenys, perduodami duomenų perdavimo linijomis, turi būti šifruojami. Duomenų šifravimą privalo užtikrinti ŽPDRIS tvarkytoja.

34. ŽPDRIS naudotojams, savo tarnybinėms ar darbo funkcijoms vykdyti naudojantiems nešiojamuosius kompiuterius, ŽPDRIS duomenims perduoti kompiuterių tinklais ne savo darbo vietoje turi būti naudojamas kompiuterio įjungimo slaptažodis ir papildomas ŽPDRIS naudotojo tapatybės patvirtinimas.

35. ŽPDRIS veiklos tęstinumui užtikrinti ŽPDRIS duomenys yra periodiškai ne rečiau kaip kas 24 valandas kopijuojami į rezervinių kopijų laikmenas ir laikmenos saugomos taip, kad įvykus saugos incidentui visiškas ŽPDRIS funkcionalumas ir veikla būtų atkurta per 16 valandų. ŽPDRIS sisteminis administratorius ne rečiau kaip kartą per metus atlieka rezervinių kopijų tinkamumo ir saugojimo kontrolę bei ne rečiau kaip kartą per 5 metus atlieka vienkartinio įrašymo laikmenose saugomų duomenų perrašymą į naujas laikmenas. Rezervinės kopijos saugomos kitose patalpose, nei yra ŽPDRIS tarnybinių stočių įrenginys, kurio elektroninė informacija buvo nukopijuota.

Rezervinių kopijų, iš kurių būtų galima atkurti ŽPDRIS duomenis, darymo ir saugojimo tvarka nustatoma ŽPDRIS saugaus elektroninės informacijos tvarkymo taisyklėse.

IV SKYRIUS

rEIKALAVIMAI PERSONALUI

 

36. Saugos įgaliotinis privalo išmanyti ŽPDRIS duomenų saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, šiais Saugos nuostatais, ŽPDRIS saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų informacijos tvarkymą informacinėje sistemoje, ir sugebėti prižiūrėti saugos politikos įgyvendinimą.

37. ŽPDRIS administratorius ir ŽPDRIS sisteminis administratorius privalo išmanyti Saugos nuostatus ir saugos politikos įgyvendinimo teisės aktus, pagrindinius saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugumą, turėti sisteminių programinių priemonių bei duomenų bazių administravimo ir priežiūros patirties.

38. ŽPDRIS naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti ŽPDRIS duomenis, būti susipažinę su Saugos nuostatais ir ŽPDRIS saugos dokumentais bei raštu sutikę laikytis juose nustatytų reikalavimų.

39. Saugos įgaliotinis, ŽPDRIS administratorius ir ŽPDRIS sisteminis administratorius turi nuolat tobulinti kvalifikaciją duomenų saugos srityje. Saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja ŽPDRIS naudotojų mokymą informacijos saugos klausimais, įvairiais būdais primena apie informacijos saugos problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų organizavimas, atmintinės ir panašiai).

40. ŽPDRIS naudotojai privalo rūpintis naudojamų ŽPDRIS duomenų saugumu.

41. ŽPDRIS naudotojai, pastebėję ŽPDRIS saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias ŽPDRIS saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti ŽPDRIS saugos įgaliotiniui ir ŽPDRIS sisteminiam administratoriui.

42. Jeigu saugos įgaliotinis nebuvo informuotas apie Saugos nuostatų 41 punkte nurodytus pažeidimus, ŽPDRIS sisteminis administratorius informuoja saugos įgaliotinį apie šiuos pažeidimus. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią ŽPDRIS saugą (jos konfidencialumą, vientisumą ar prieinamumą), saugos įgaliotinis apie tai turi pranešti ŽPDRIS valdytojo ir tvarkytojo vadovui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais.

 

V SKYRIUS

ŽPDRIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS POLITIKA PRINCIPAI

 

43. Už ŽPDRIS naudotojų supažindinimą su Saugos nuostatais ir ŽPDRIS saugos dokumentais bei atsakomybe už šių reikalavimų nesilaikymą yra atsakingas ŽPDRIS saugos įgaliotinis.

44. ŽPDRIS naudotojai raštu sutinka su Saugos nuostatais ir Saugos politikos įgyvendinimo teisės aktais bei atsakomybe už šių teisės aktų reikalavimų nesilaikymą. ŽPDRIS saugos įgaliotinis tvarko ŽPDRIS naudotojų supažindinimo su saugos politika žurnalą, kuriame pildomos šios skiltys: supažindinimo data, ŽPDRIS naudotojo vardas ir pavardė, pareigos, parašas.

45. Saugos įgaliotinis informuoja ŽPDRIS administratorių, ŽPDRIS sisteminį administratorių ir ŽPDRIS naudotojus apie Saugos nuostatų ar kitų Saugos politiką įgyvendinančių teisės aktų pakeitimus. Informacija apie pasikeitimus saugos politiką reglamentuojančiuose teisės aktuose siunčiama elektroniniu būdu. Pakartotinai su Saugos nuostatais ir Saugos politikos įgyvendinimo teisės aktais ŽPDRIS naudotojai supažindinami tik iš esmės pasikeitus ŽPDRIS arba teisės aktams, kuriais reglamentuojama saugos politika.

46. Saugos nuostatai ir Saugos politikos įgyvendinimo teisės aktai skelbiami vidiniame Nacionalinės žemės tarnybos tinklalapyje.

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

47. Saugos nuostatai ir ŽPDRIS saugos dokumentai turi būti iš naujo svarstomi (peržiūrimi) ne rečiau kaip kartą per metus po ŽPDRIS rizikos įvertinimo ar ŽPDRIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo arba įvykus ŽPDRIS valdytojos esminiams organizaciniams ar kitiems pokyčiams. Prireikus Saugos nuostatai ir ŽPDRIS saugos dokumentai turi būti tikslinami.

48. Saugos įgaliotinis, ŽPDRIS administratorius, ŽPDRIS sisteminis administratorius, ŽPDRIS naudotojai ir kiti asmenys, pažeidę Saugos nuostatus ir ŽPDRIS saugos dokumentus, atsako įstatymų ir kitų teisės aktų nustatyta tvarka.

___________________