LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRAS

 

 

 

ĮSAKYMAS

DĖL NACIONALINĖS ELEKTRONINIŲ SIUNTŲ PRISTATYMO, NAUDOJANT PAŠTO TINKLĄ, INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2017 m. sausio 9 d. Nr. 3-9

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 19 ir 26 punktais:

1. T v i r t i n u Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos duomenų saugos nuostatus (pridedama).

2. P a v e d u Informacinės visuomenės plėtros komitetui prie Susisiekimo ministerijos:

2.1. iki 2017 m. sausio 31 d. paskirti Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos saugos įgaliotinį ir administratorių;

2.2. iki 2017 m. birželio 30 d. parengti, nustatyta tvarka suderinti ir pateikti Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos valdytojui tvirtinti saugos politikos įgyvendinamųjų dokumentų projektus.

 

 

 

Susisiekimo ministras                                                              Rokas Masiulis

 

 

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2016 m. gruodžio 30 d. raštu Nr. 1D-7559


 

 

PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro 2017 m. sausio 9 d. įsakymu Nr.3-9

 

 

Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.    Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos (toliau – E. siuntų pristatymo sistema) elektroninės informacijos saugos politiką, organizacines, technines, programines ir teisines priemones, kurios užtikrina saugų E. siuntų pristatymo sistemos elektroninės informacijos tvarkymą.

2.    Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), apibrėžtas sąvokas.

3.    E. siuntų pristatymo sistemos elektroninės informacijos saugos politika įgyvendinama pagal E. siuntų pristatymo sistemos valdytojo tvirtinamus E. siuntų pristatymo sistemos saugos politikos įgyvendinamuosius dokumentus (toliau – saugos politikos įgyvendinamieji dokumentai):

3.1.         E. siuntų pristatymo sistemos saugaus elektroninės informacijos tvarkymo taisykles;

3.2.         E. siuntų pristatymo sistemos veiklos tęstinumo valdymo planą;

3.3.         E. siuntų pristatymo sistemos naudotojų administravimo taisykles.

4.    E. siuntų pristatymo sistemos elektroninės informacijos saugos užtikrinimo tikslai – sudaryti sąlygas saugiai automatiniu būdu tvarkyti E. siuntų pristatymo sistemos elektroninę informaciją, užtikrinti E. siuntų pristatymo sistemos elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą techninės, programinės ir ryšių įrangos funkcionavimą.

5.    E. siuntų pristatymo sistemos elektroninės informacijos saugos prioritetinės kryptys:

5.1.         E. siuntų pristatymo sistemos elektroninės informacijos konfidencialumo, vientisumo prieinamumo užtikrinimas;

5.2.         organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų E. siuntų pristatymo sistemos elektroninės informacijos saugai užtikrinti, įgyvendinimas ir šių priemonių įgyvendinimo kontrolė;

5.3.         teisėtas, saugus ir kokybiškas E. siuntų pristatymo sistemos duomenų tvarkymas;

5.4.         teisėtas ir saugus E. siuntų pristatymo sistemos asmens duomenų naudojimas;

5.5.         E. siuntų pristatymo sistemos veiklos tęstinumas.

6.    Saugos nuostatai taikomi E. siuntų pristatymo sistemos naudotojams, E. siuntų pristatymo sistemos valdytojui, E. siuntų pristatymo sistemos tvarkytojui, E. siuntų pristatymo sistemos tvarkytojo valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis, ir E. siuntų pristatymo sistemos tvarkytojo Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinkto operatoriaus, kuris teikia elektroninio pristatymo paslaugas ir E. siuntų pristatymo sistemos priežiūros paslaugas (toliau – E. siuntų pristatymo sistemos operatorius), darbuotojams ir E. siuntų pristatymo sistemos tvarkytojo įgaliotiems asmenims (toliau – darbuotojai).

7.    E. siuntų pristatymo sistemos valdytojas  – Lietuvos Respublikos susisiekimo ministerija (Gedimino pr. 17, 01505 Vilnius), kuri vykdo E. siuntų pristatymo sistemos nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2015 m. rugpjūčio 26 d. nutarimu Nr. 914 „Dėl Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos nuostatų patvirtinimo“ (toliau – E. siuntų pristatymo sistemos nuostatai), nustatytas funkcijas, taip pat:

7.1.         organizuoja E. siuntų pristatymo sistemos veiklą ir jai vadovauja;

7.2.         tvirtina Saugos nuostatus, saugos politikos įgyvendinamuosius dokumentus, kitus dokumentus, susijusius su elektroninės informacijos sauga, ir jų pakeitimus;

7.3.         prižiūri ir kontroliuoja, kad E. siuntų pristatymo sistema būtų tvarkoma vadovaujantis Lietuvos Respublikos įstatymais, E. siuntų pristatymo sistemos nuostatais, Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais;

7.4.         prižiūri, kaip laikomasi teisės aktų, susijusių su E. siuntų pristatymo sistemos tvarkymu ir duomenų saugumu, reikalavimų;

7.5.         priima sprendimą dėl E. siuntų pristatymo sistemos informacinių technologijų atitikties saugos reikalavimams vertinimo atlikimo;

7.6.         vykdo kitas Saugos nuostatų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nustatytas funkcijas.

8.    E. siuntų pristatymo sistemos tvarkytojas – Informacinės visuomenės plėtros komitetas prie Susisiekimo ministerijos (Gedimino pr. 7, 01103 Vilnius), kuris vykdo E. siuntų pristatymo sistemos nuostatuose nustatytas funkcijas, taip pat:

8.1.         E. siuntų pristatymo sistemos valdytojo pavedimu skiria E. siuntų pristatymo sistemos saugos įgaliotinį ir E. siuntų pristatymo sistemos administratorių; jeigu E. siuntų pristatymo sistemos administratoriaus funkcijos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos E. siuntų pristatymo sistemos operatoriui, E. siuntų pristatymo sistemos tvarkytojas paskiria darbuotoją, kontroliuojantį E. siuntų pristatymo sistemos operatoriaus darbą;

8.2.         rengia, nustatyta tvarka derina ir pateikia E. siuntų pristatymo sistemos valdytojui tvirtinti saugos politikos įgyvendinamųjų dokumentų projektus;

8.3.         teikia pasiūlymus E. siuntų pristatymo sistemos valdytojui, kaip tobulinti E. siuntų pristatymo sistemos elektroninės informacijos saugą;

8.4.         užtikrina E. siuntų pristatymo sistemos duomenų bazės techninę priežiūrą ir nepertraukiamą E. siuntų pristatymo sistemos veiklą;

8.5.         įgyvendina tinkamas organizacines ir technines priemones, kurios skirtos elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

8.6.         pagal kompetenciją atsako už E. siuntų pristatymo sistemos elektroninės informacijos tvarkymo teisėtumą ir saugumą ir E. siuntų pristatymo sistemos saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams ir Saugos nuostatams;

8.7.         pagal kompetenciją vykdo kitas Saugos nuostatų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nustatytas funkcijas.

9.    E. siuntų pristatymo sistemos saugos įgaliotinis, įgyvendindamas E. siuntų pristatymo sistemos elektroninės informacijos saugą, atlieka šias funkcijas:

9.1.         teikia E. siuntų pristatymo sistemos tvarkytojui pasiūlymus dėl:

9.1.1.   E. siuntų pristatymo sistemos administratoriaus skyrimo;

9.1.2.   saugos politikos įgyvendinamųjų dokumentų priėmimo, keitimo ar panaikinimo;

9.1.3.   saugos reikalavimų atitikties vertinimo atlikimo;

9.2.         koordinuoja elektroninės informacijos saugos incidentų, įvykusių E. siuntų pristatymo sistemoje, tyrimą;

9.3.         teikia E. siuntų pristatymo sistemos administratoriui privalomus vykdyti nurodymus ir pavedimus dėl saugos politikos įgyvendinimo;

9.4.         konsultuoja darbuotojus saugaus elektroninės informacijos tvarkymo klausimais;

9.5.         organizuoja darbuotojų mokymą elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;

9.6.         organizuoja E. siuntų pristatymo sistemos rizikos vertinimą;

9.7.         atsako už saugos politikos įgyvendinimą ir saugos politikos įgyvendinamųjų dokumentų reikalavimų vykdymą;

9.8.    atlieka kitas saugos politikos įgyvendinamuosiuose dokumentuose nurodytas ir kituose saugos reikalavimus nustatančiuose teisės aktuose jam priskirtas funkcijas.

10.  E. siuntų pristatymo sistemos administratorius:

10.1.       suteikia darbuotojams teisę naudotis elektronine informacija, reikalinga jiems priskirtoms funkcijoms atlikti;

10.2.       informuoja E. siuntų pristatymo sistemos saugos įgaliotinį apie elektroninės informacijos saugos incidentus;

10.3.       teikia E. siuntų pristatymo sistemos tvarkytojui pasiūlymus dėl elektroninės informacijos saugos organizavimo;

10.4.       atsako už tai, kad tvarkant E. siuntų pristatymo sistemą nebūtų pažeisti Saugos nuostatų reikalavimai;

10.5.       užtikrina E. siuntų pristatymo sistemos kompiuterinės ir programinės įrangos administravimą ir priežiūrą, kokybišką ir patikimą jos veikimą;

10.6.       kontroliuoja ir prižiūri programinės ir kompiuterinės įrangos diegimo procesus;

10.7.       kontroliuoja E. siuntų pristatymo sistemos duomenų bazės atsarginių kopijų darymą, tinkamumą ir saugojimą.

11.  E. siuntų pristatymo sistemos administratorius turi teisę patikrinti (peržiūrėti) E. siuntų pristatymo sistemos sąranką ir E. siuntų pristatymo sistemos būsenos rodiklius.

12.  E. siuntų pristatymo sistemos elektroninė informacija tvarkoma ir jos sauga užtikrinama vadovaujantis:

12.1.       Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

12.2.       Lietuvos Respublikos kibernetinio saugumo įstatymu;

12.3.       Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

12.4.       Lietuvos Respublikos informacinės visuomenės paslaugų įstatymu;

12.5.       Lietuvos standartais LST ISO/IEC 27001, LST ISO/IEC 27002, kitais Lietuvos Respublikos ir tarptautiniais grupės „Informacinės technologijos. Saugumo metodai“ standartais, kuriuose apibūdinamas saugus duomenų tvarkymas;

12.6.       Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

12.7.       Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai asmens duomenų saugumo priemonėms);

12.8.       E. siuntų pristatymo sistemos nuostatais;

12.9.       Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Informacinių technologijų saugos atitikties vertinimo metodika);

12.10.     Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

12.11.     metodine priemone „Rizikos analizės vadovas“, išleista Lietuvos Respublikos vidaus reikalų ministerijos;

12.12.     Saugos nuostatais.

 

II Skyrius
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

13.  Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 9.1, 9.3 ir 12.3 papunkčiais, E. siuntų pristatymo sistemoje tvarkoma elektroninė informacija yra priskiriama vidutinės svarbos informacijos kategorijai, o E. siuntų pristatymo sistema yra priskiriama trečiajai kategorijai.

14.  E. siuntų pristatymo sistemos asmens duomenų tvarkymas automatiniu būdu priskirtinas antrajam saugumo lygiui vadovaujantis Bendrųjų reikalavimų asmens duomenų saugumo priemonėms 11.3 papunkčio nuostata.

15.  Pagrindiniai rizikos veiksniai, galintys turėti įtakos E. siuntų pristatymo sistemos elektroninės informacijos saugai:

15.1.       subjektyvūs netyčiniai (E. siuntų pristatymo sistemos tvarkymo klaidos ir apsirikimai, ištrynimas, klaidingas teikimas, fiziniai informacinių technologijų sutrikimai, perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

15.2.       subjektyvūs tyčiniai (nesankcionuotas naudojimasis E. siuntų pristatymo sistemos elektronine informacija, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

15.3.       atsitiktinės subjektyvios aplinkybės (darbuotojų praradimas, gaisrai, vandens poveikis, elektros instaliacijos gedimas ir kita);

15.4.       aplinkybės, kilusios dėl nenugalimos jėgos (force majeure).

16.  E. siuntų pristatymo sistemos saugos įgaliotinis, atsižvelgdamas į metodinę priemonę „Rizikos analizės vadovas“, išleistą Lietuvos Respublikos vidaus reikalų ministerijos, ir Lietuvos Respublikos ir tarptautinius grupės „Informacinės technologijos. Saugumo metodai“ standartus, kasmet organizuoja E. siuntų pristatymo sistemos rizikos įvertinimą ir parengia rizikos įvertinimo ataskaitą, prireikus jis gali organizuoti neeilinį rizikos įvertinimą.

17.  E. siuntų pristatymo sistemos valdytojas, atsižvelgdamas į E. siuntų pristatymo sistemos rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

18.  E. siuntų pristatymo sistemos elektroninės informacijos saugos priemonės turi būti parenkamos atsižvelgiant į Saugos nuostatų 15 punkte nurodytus rizikos veiksnius, galinčius turėti įtakos E. siuntų pristatymo sistemos elektroninės informacijos saugai.

19.  Parenkamos tokios saugos priemonės, kad būtų užtikrintas E. siuntų pristatymo sistemos veiklos tęstinumas, patiriama kuo mažiau išlaidų ir užtikrinamas saugus E. siuntų pristatymo sistemos darbas.

20.  Siekdamas užtikrinti Saugos nuostatuose ir saugos politikos įgyvendinamuosiuose dokumentuose nustatytų reikalavimų įgyvendinimo organizavimą ir įgyvendinimo kontrolę,
E. siuntų pristatymo sistemos saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja E. siuntų pristatymo sistemos informacinių technologijų saugos reikalavimų atitikties vertinimą.

21.  Atlikęs E. siuntų pristatymo sistemos informacinių technologijų saugos reikalavimų atitikties vertinimą, E. siuntų pristatymo sistemos saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir nustatytų trūkumų šalinimo įgyvendinimo terminus nustato E. siuntų pristatymo sistemos valdytojas.

 

III skyrius
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

22.  Programinės įrangos, įdiegtos tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:

22.1.       E. siuntų pristatymo sistemos darbui gali būti naudojama tik legali programinė įranga;

22.2.       programinė įranga atnaujinama laikantis gamintojo reikalavimų.

23.  Leistinos kompiuterių (ypač nešiojamųjų) naudojimo ribos:

23.1.       prie E. siuntų pristatymo sistemos prisijungiama nuotoliniu būdu naudojant interneto naršyklę (HTTPS protokolą);

23.2.       prieigą prie E. siuntų pristatymo sistemos suteikia, apriboja ir panaikina administratorius;

23.3.       teisė dirbti su konkrečia elektronine informacija suteikiama konkrečiam darbuotojui;

23.4.       prisijungimo prie kompiuterių tinklo laikas ir trukmė nėra ribojami, E. siuntų pristatymo sistema pasiekiama visą parą;

23.5.       darbuotojų prieiga prie E. siuntų pristatymo sistemos elektroninės informacijos leidžiama tik per registravimosi ir slaptažodžių sistemą.

24.  darbuotojų prieigos valdymas apibrėžtas E. siuntų pristatymo sistemos naudotojų administravimo taisyklėse.

25.  Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:

25.1.       kompiuterių tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis ir įsilaužimų aptikimo ir prevencijos įranga;

25.2.       visas duomenų srautas į internetą ir iš jo yra filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

25.3.       naudojamos turinio filtravimo sistemos.

26.  Programinės įrangos, skirtos E. siuntų pristatymo sistemą apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

26.1.       E. siuntų pristatymo sistemos tarnybinėse stotyse naudojama antivirusinė programinė įranga, kuri yra reguliariai atnaujinama automatiniu būdu ne rečiau kaip kartą per parą;

26.2.       kenksmingosios programinės įrangos aptikimo priemonės veikia nuolat realiu laiku.

27.  E. siuntų pristatymo sistemai administruoti naudojamas operacines sistemas, techninę ir programinę įrangą, kurių reikia E. siuntų pristatymo sistemos funkcijoms vykdyti, diegia ir prižiūri E. siuntų pristatymo sistemos operatorius, kontroliuojamas E. siuntų pristatymo sistemos administratoriaus, arba, jeigu administratoriaus funkcijos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos E. siuntų pristatymo sistemos operatoriui, E. siuntų pristatymo sistemos tvarkytojo paskirto darbuotojo, kontroliuojančio E. siuntų pristatymo sistemos operatoriaus  darbą.

28.  E. siuntų pristatymo sistemos operatoriaus įsipareigojimai dėl E. siuntų pristatymo sistemos elektroninės informacijos saugos užtikrinimo ir atsakomybė išdėstyti E. siuntų pristatymo sistemos tvarkytojo ir E. siuntų pristatymo sistemos operatoriaus sudarytoje sutartyje.

29.  Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

29.1.       prieiga prie E. siuntų pristatymo sistemos užtikrinama ne mažiau kaip 96 proc. laiko visą parą darbo ir poilsio dienomis;

29.2.       E. siuntų pristatymo sistemos elektroninė informacija perduodama automatiniu būdu arba asinchroniniu režimu pagal duomenų teikimo sutartis, kuriose nustatytos elektroninės informacijos perdavimo sąlygos ir tvarka;

29.3.       E. siuntų pristatymo sistemos elektroninės informacijos perdavimui naudojamas Saugus valstybinis duomenų perdavimo tinklas arba kitas šifruotas perdavimo kanalas, užtikrinantis saugų informacijos perdavimą.

30.  Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

30.1.       E. siuntų pristatymo sistemos duomenų bazė yra kopijuojama ir saugoma taip, kad įvykus nenumatytai situacijai E. siuntų pristatymo sistemos veikla būtų visiškai atkurta per 12 valandų;

30.2.       atsarginės elektroninės informacijos kopijos saugomos kitoje patalpoje nei E. siuntų pristatymo sistemos duomenų bazė.

 

IV skyrius
REIKALAVIMAI PERSONALUI

 

31.  E. siuntų pristatymo sistemos saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Informacinių technologijų saugos atitikties vertinimo metodika, kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais  saugų elektroninės informacijos tvarkymą, kelti kvalifikaciją kvalifikacijos kėlimo kursuose, saugaus darbo su duomenimis seminaruose.

32.  E. siuntų pristatymo sistemos saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimus elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.

33.  E. siuntų pristatymo sistemos administratoriumi skiriamas darbuotojas, išmanantis darbą su E. siuntų pristatymo sistemos taikomąja programine įranga ir gebantis atlikti funkcijas, susijusias su darbuotojų teisių valdymu.

34.  E. siuntų pristatymo sistemos administratorius ir darbuotojas, kontroliuojantis E. siuntų pristatymo sistemos operatoriaus darbą, jeigu pastarasis paskiriamas, turi būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais ir kontroliuoti E. siuntų pristatymo sistemos operatorių, administruojantį ir prižiūrintį E. siuntų pristatymo sistemos techninę ir programinę įrangą.

35.  Darbuotojai privalo turėti darbo kompiuteriu įgūdžių, būti susipažinę su Saugos nuostatais ir saugos politikos įgyvendinamaisiais dokumentais.

36.  E. siuntų pristatymo sistemos saugos įgaliotinis periodiškai inicijuoja darbuotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai) informuoja juos apie elektroninės informacijos saugos problemas.

 

V skyrius
E. siuntų pristatymo sistemos DARBUOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

37.  Tvarkyti E. siuntų pristatymo sistemos duomenis gali tik įgalioti darbuotojai, kurie yra susipažinę su saugos politikos įgyvendinančiais dokumentais ir programinėmis priemonėmis sutikę laikytis saugos politikos įgyvendinamuosiuose dokumentuose nustatytų reikalavimų.

38.  E. siuntų pristatymo sistemos administratorių su Saugos nuostatais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina E. siuntų pristatymo sistemos saugos įgaliotinis per 10 darbo dienų nuo E. siuntų pristatymo sistemos administratoriaus  paskyrimo, o su saugos politikos įgyvendinamaisiais dokumentais – per 10 darbo dienų nuo šių dokumentų patvirtinimo.

39.  Darbuotojų supažindinimas su saugos politikos įgyvendinamaisiais dokumentais ir atsakomybe už saugos politikos įgyvendinamuosiuose dokumentuose nustatytų reikalavimų nesilaikymą ir informacija apie saugos politikos įgyvendinamųjų dokumentų priėmimą, pakeitimą ar pripažinimą netekusiais galios užtikrinamas programinėmis E. siuntų pristatymo sistemos priemonėmis arba pasirašytinai.

 

VI skyrius
BAIGIAMOSIOS NUOSTATOS

 

40.  E. siuntų pristatymo sistemos saugos įgaliotinis organizuoja saugos politikos įgyvendinamųjų dokumentų svarstymą (peržiūrą) ne rečiau kaip kartą per metus. Saugos politikos įgyvendinamieji dokumentai yra svarstomi (peržiūrimi) atlikus rizikos analizę ar informacinių technologijų saugos reikalavimų atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.

41.  E. siuntų pristatymo sistemos rizikos įvertinimo ataskaitas, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas, saugos politikos įgyvendinamųjų dokumentų ir jų pakeitimų kopijas, saugos atitikties vertinimo ataskaitas, pastebėtų trūkumų šalinimo plano kopijas E. siuntų pristatymo sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

42.  E. siuntų pristatymo sistemos saugos įgaliotinis, E. siuntų pristatymo sistemos administratorius ir darbuotojai, pažeidę Saugos nuostatų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų, nustatančių atsakomybę už saugų elektroninės informacijos tvarkymą, nustatyta tvarka.

_______________