LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO

MINISTRAS

 

ĮSAKYMAS

Dėl Žemės ūkio ministro 2011 m. rugsėjo 30 d. įsakymo nr. 3D-727 „DĖL ŽEMDIRBIŲ MOKYMO IR KONSULTAVIMO INFORMACIjos SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ pakeitimo

 

2017 m. kovo 27 d. Nr. 3D-208

Vilnius

 

 

P a k e i č i u Lietuvos Respublikos žemės ūkio ministro 2011 m. rugsėjo 30 d. įsakymą Nr. 3D-727 „Dėl Žemdirbių mokymo ir konsultavimo informacijos sistemos duomenų saugos nuostatų patvirtinimo“ ir jį išdėstau nauja redakcija:

 

„LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTRAS

ĮSAKYMAS

 

dėl žemdirbių mokymo ir konsultavimo informacinės sistemos duomenų saugos nuostatų patvirtinimo

 

Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 3 dalimi ir 30 straipsniu, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7, 11 ir 19 punktais:

1T v i r t i n u Žemdirbių mokymo ir konsultavimo informacinės sistemos duomenų saugos nuostatus (pridedama).

 

2P a v e d u valstybės įmonei Žemės ūkio informacijos ir kaimo verslo centrui per 14 darbo dienų nuo šio įsakymo įsigaliojimo dienos paskirti Žemdirbių mokymo ir konsultavimo informacinės sistemos duomenų saugos įgaliotinį.“

 

 

 

Žemės ūkio ministras                                                                          Bronius Markauskas

 

 

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2016-07-20 raštu Nr. 1D-4483


 

PATVIRTINTA

Lietuvos Respublikos

žemės ūkio ministro

2011 m. rugsėjo 30 d.

įsakymu Nr. 3D-727

(Lietuvos Respublikos

žemės ūkio ministro

2017 m. kovo 27 d. įsakymo Nr. 3D-208

redakcija)

 

 

ŽEMDIRBIŲ MOKYMO IR KONSULTAVIMO INFORMACInės SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

 

BENDROSIOS NUOSTATOS

 

1Žemdirbių mokymo ir konsultavimo informacinės sistemos (toliau – ŽMIKIS) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja ŽMIKIS elektroninės informacijos saugos politiką.

2.  Šiuose Saugos nuostatuose vartojamos sąvokos:

2.1ŽMIKIS administratorius – ŽMIKIS tvarkytojo  paskirtas darbuotojas, prižiūrintis ŽMIKIS ir (ar) jos infrastruktūrą, užtikrinantis jos veikimą ir elektroninės informacijos saugą;

2.2ŽMIKIS naudotojas – valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis ŽMIKIS ištekliais numatytoms funkcijoms atlikti;

2.3ŽMIKIS naudotojų administratorius – ŽMIKIS tvarkytojo paskirtas darbuotojas, administruojantis ŽMIKIS naudotojų prieigos teisių valdymą ir atliekantis kitas teisės aktų nustatytas funkcijas;

2.4ŽMIKIS saugos įgaliotinis – ŽMIKIS tvarkytojo paskirtas darbuotojas, koordinuojantis ir prižiūrintis elektroninės informacijos saugos politikos įgyvendinimą ŽMIKIS;

2.5Kitos Saugos nuostatuose vartojamos sąvokos apibrėžtos Bendrųjų elektroninės informacijos saugos reikalavimų apraše (toliau Bendrųjų elektroninės informacijos saugos reikalavimų aprašas) ir Saugos dokumentų turinio gairių apraše (toliau Saugos dokumentų turinio gairių aprašas) ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių apraše (toliau Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas), patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, kituose teisės aktuose.

3.  ŽMIKIS tvarkomos elektroninės informacijos saugos užtikrinimo tikslas – sudaryti sąlygas saugiai automatizuotu būdu tvarkyti ir saugoti elektroninę informaciją ŽMIKIS, užtikrinti elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą.

4ŽMIKIS informacijos saugumui užtikrinti naudojamos organizacinės, techninės, programinės ir fizinės informacijos apsaugos priemonės.

5.  ŽMIKIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

5.1.  ŽMIKIS elektroninės informacijos konfidencialumo užtikrinimas;

5.2.  ŽMIKIS elektroninės informacijos vientisumo užtikrinimas;

5.3.  ŽMIKIS elektroninės informacijos prieinamumo užtikrinimas;

5.4.  prieigos prie ŽMIKIS kontrolė;

5.5.  ŽMIKIS rizikos valdymas;

5.6.  ŽMIKIS veiklos tęstinumo užtikrinimas;

5.7.  ŽMIKIS naudotojų ir ŽMIKIS administratoriaus saugos mokymas.

6.  Saugos nuostatai taikomi:

6.1.  ŽMIKIS valdytojai – Lietuvos Respublikos žemės ūkio ministerijai (toliau – ŽMIKIS valdytoja), Gedimino pr. 19, 01103 Vilnius;

6.2.  ŽMIKIS tvarkytojui – valstybės įmonei Žemės ūkio informacijos ir kaimo verslo centrui, V. Kudirkos g. 18, LT-03105 Vilnius;

6.3.  ŽMIKIS naudotojams;

6.4.  ŽMIKIS administratoriui;

6.5.  ŽMIKIS naudotojų administratoriui;

6.6.  ŽMIKIS saugos įgaliotiniui.

7.  ŽMIKIS valdytojos funkcijos:

7.1.  rengti ir priimti teisės aktus, užtikrinančius ŽMIKIS duomenų tvarkymo teisėtumą ir ŽMIKIS elektroninės informacijos saugą, atlikti jų nuostatų laikymosi priežiūrą;

7.2.  nagrinėti ŽMIKIS tvarkytojo pasiūlymus dėl ŽMIKIS veiklos, elektroninės informacijos saugos, juos apibendrinti ir priimti sprendimus dėl ŽMIKIS tobulinimo;

7.3.  metodiškai vadovauti ŽMIKIS tvarkytojų veiklai kuriant ir diegiant ŽMIKIS, taip pat užtikrinant ŽMIKIS veikimą, tobulinimą ir elektroninės informacijos saugą, už kurią atsako;

7.4.  rengti ŽMIKIS biudžeto projektus;

7.5.  pavesti ŽMIKIS tvarkytojui skirti ŽMIKIS saugos įgaliotinį ir ŽMIKIS administratorių;

7.6.  priimti sprendimus dėl ŽMIKIS rizikos vertinimo rezultatų;

7.7.  atlikti kitas Saugos nuostatuose, ŽMIKIS nuostatuose ir kituose teisės aktuose pavestas funkcijas.

8.  ŽMIKIS tvarkytojo funkcijos:

8.1.  užtikrinti ŽMIKIS prieinamumą;

8.2.  užtikrinti ŽMIKIS duomenų atsarginių kopijų darymą;

8.3.  pagal kompetenciją užtikrinti ŽMIKIS veiklos tęstinumą;

8.4.  užtikrinti ŽMIKIS taikomajai programinei įrangai, tarnybinėms stotims ir juose esantiems duomenims funkcionuoti būtinos informacinių technologijų infrastruktūros (toliau – serverių sritis) saugą;

8.5.  priimti sprendimus dėl ŽMIKIS rizikos vertinimo rezultatų;

8.6.  rengti ir saugoti serverių srities saugai užtikrinti būtiną dokumentaciją;

8.7.  sudaryti ŽMIKIS duomenų gavimo ir teikimo sutartis ir užtikrinti duomenų gavimo ir teikimo saugą;

8.8.  sudaryti galimybes duomenų teikėjams teikti duomenis elektroniniu būdu;

8.9.  užtikrinti ŽMIKIS elektroninės informacijos saugą;

8.10.  skirti ŽMIKIS saugos įgaliotinį;

8.11.  skirti ŽMIKIS administratorių;

8.12.  skirti ŽMIKIS naudotojų administratorių;

8.13.  teikti pastabas ir pasiūlymus ŽMIKIS valdytojai ŽMIKIS veiklos klausimais;

8.14.  atlikti kitas Saugos nuostatuose, ŽMIKIS nuostatuose ir kituose teisės aktuose pavestas funkcijas.

9.  ŽMIKIS saugos įgaliotinio funkcijos:

9.1.  teikti ŽMIKIS tvarkytojo vadovui pasiūlymus dėl:

9.1.1. ŽMIKIS administratoriaus paskyrimo ir reikalavimų nustatymo;

9.1.2. saugos dokumentų priėmimo, keitimo ir panaikinimo;

9.1.3. ŽMIKIS tvarkytojo informacinių technologijų saugos atitikties vertinimo atlikimo;

9.2.  koordinuoti įvykusių incidentų dėl ŽMIKIS elektroninės informacijos saugos tyrimą;

9.3.  teikti ŽMIKIS administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

9.4.  organizuoti ŽMIKIS naudotojų supažindinimą su ŽMIKIS saugos dokumentais, užtikrinti supažindinimo įrodomumą;

9.5.  koordinuoti ŽMIKIS saugos dokumentų reikalavimų vykdymą;

9.6.  organizuoti ir atlikti ŽMIKIS rizikos įvertinimą;

9.7.    atlikti kitas Saugos nuostatuose ir kituose saugos dokumentuose pavestas funkcijas.

10.   ŽMIKIS administratoriaus funkcijos:

10.1.  atsakyti už ŽMIKIS serverių srities funkcionavimą ir prieigų prie ŽMIKIS infrastruktūros išteklių teisių suteikimą;

10.2.  atlikti ŽMIKIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) sąranką, kuri atitiktų ŽMIKIS saugos dokumentų reikalavimus;

10.3.  pagal kompetenciją teikti pasiūlymus ŽMIKIS saugos įgaliotiniui dėl ŽMIKIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir ŽMIKIS elektroninės informacijos saugos užtikrinimo;

10.4.  informuoti ŽMIKIS saugos įgaliotinį apie incidentus dėl elektroninės informacijos saugos ir teikti pasiūlymus dėl tokių incidentų pašalinimo;

10.5.  vykdyti visus ŽMIKIS saugos įgaliotinio nurodymus ir pavedimus, susijusius su ŽMIKIS elektroninės informacijos saugos užtikrinimu;

10.6.  teikti ŽMIKIS saugos įgaliotiniui informaciją apie ŽMIKIS elektroninės informacijos saugą užtikrinančių komponentų būklę;

10.7.  atlikti kitas Saugos nuostatuose ir kituose saugos dokumentuose pavestas funkcijas.

11.   ŽMIKIS naudotojų administratoriaus funkcijos:

11.1.  atsakyti už prieigų prie ŽMIKIS suteikimą;

11.2.  atsakyti už ŽMIKIS teisių valdymą;

11.3.  vykdyti ŽMIKIS naudotojų prieigų ir teisių kontrolę;

11.4.  atlikti kitas Saugos nuostatuose ir kituose saugos dokumentuose pavestas funkcijas.

12.   ŽMIKIS naudotojo funkcijos:

12.1.  atsakyti už ŽMIKIS ir jame tvarkomų duomenų saugumą;

12.2.  tvarkyti ŽMIKIS elektroninę informaciją;

12.3.  neatskleisti, neperduoti tvarkomos ŽMIKIS elektroninės informacijos;

12.4.  atlikti kitas Saugos nuostatų, ŽMIKIS nuostatų ir kitų teisės aktų nustatytas funkcijas.

13.   Teisės aktai, kuriais vadovaujamasi tvarkant elektroninę informaciją ir užtikrinant jos saugą:

13.1.  Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

13.2.  Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

13.3.  Lietuvos Respublikos kibernetinio saugumo įstatymas;

13.4Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, saugos dokumentų turinio gairių aprašas ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės svarbos nustatymo gairių aprašas;

13.5.  Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;

13.6.  Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai);

13.7Organizaciniai ir techniniai kibernetinio saugumo reikalavimai, taikomi ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, patvirtinti Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“;

13.8.  Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“;

13.9.  Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

13.10.  Lietuvos standartai LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugumą;

13.11.  kiti teisės aktai, reglamentuojantys elektroninės informacijos saugą valstybės institucijose.

 

II SKYRIUS

 

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

14.  Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas) ŽMIKIS tvarkoma elektroninė informacija priskiriama prie svarbios elektroninės informacijos kategorijos, kadangi šios elektroninės informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti sunkių padarinių kelių institucijų veiklai, dėl šios elektroninės informacijos saugumo pažeidimo gali kilti grėsmė įvykti Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.2.4, 4.2.7 papunkčiuose nurodytiems procesams.

15.   Pagal ŽMIKIS tvarkomą svarbią elektroninę informaciją ŽMIKIS priskiriama prie antros kategorijos informacinės sistemos.

16.   Vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms dėl galimybės per išorinius duomenų perdavimo tinklus tvarkyti ŽMIKIS saugomus asmens duomenis ŽMIKIS priskiriama prie antrojo saugumo lygio.

17.   ŽMIKIS saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, kuri skelbiama Vidaus reikalų ministerijos interneto svetainėje (http://www.vrm.lt/Rizikos_analize.pdf), Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja ŽMIKIS rizikos įvertinimą. Prireikus ŽMIKIS saugos įgaliotinis gali organizuoti neeilinį ŽMIKIS rizikos įvertinimą. ŽMIKIS tvarkytojo rašytiniu pavedimu ŽMIKIS rizikos įvertinimą gali atlikti pats ŽMIKIS saugos įgaliotinis. ŽMIKIS rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama ŽMIKIS tvarkytojo vadovui. Rizikos įvertinimo ataskaita rengiama vertinant rizikos veiksnius, galinčius turėti įtakos ŽMIKIS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai:

17.1.  subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

17.2.  subjektyvūs tyčiniai (nesankcionuotas naudojimasis ŽMIKIS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kita);

17.3.  veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

18.   Pagrindinės nuostatos dėl rizikos veiksnių vertinimo:

18.1.  ŽMIKIS rizikos vertinimą inicijuoja ŽMIKIS valdytoja ar ŽMIKIS tvarkytojas;

18.2.  ŽMIKIS rizika nustatoma periodinio rizikos vertinimo metu;

18.3.  ŽMIKIS rizikos vertinimas atliekamas ne rečiau kaip kartą per metus;

18.4.  ŽMIKIS saugos įgaliotinis yra atsakingas už ŽMIKIS rizikos vertinimo atlikimo organizavimą;

18.5.  ŽMIKIS rizikos veiksniai vertinami taikant ŽMIKIS tvarkytojo patvirtintą Rizikos vertinimo metodiką.

19.   ŽMIKIS rizikos vertinimas atliekamas vadovaujantis:

19.1.  Lietuvos Respublikos valstybės institucijų ir įstaigų informacinių sistemų duomenų saugą reglamentuojančių teisės aktų reikalavimais;

19.2.  Lietuvos standartu LST ISO/IEC 27001:2013 ir kitais Lietuvos ir tarptautiniais standartais, reglamentuojančiais rizikos vertinimą;

19.3.  ŽMIKIS tvarkytojo patvirtinta Informacijos saugumo politika;

19.4.  ŽMIKIS tvarkytojo patvirtintu Informacijos saugumo rizikos valdymo tvarkos aprašu.

20.   Rizikos valdymo procesą sudaro:

20.1.  rizikos vertinimo konteksto nustatymas, rizikos vertinimas (informacinių išteklių inventorizacija ir jų įtakos ŽMIKIS tvarkytojo veiklai vertinimas, rizikos analizė, rizikos įvertinimas), rizikos tvarkymas ir rizikos stebėsena ir peržiūra;

20.2.  ŽMIKIS valdytoja, atsižvelgdama į ŽMIKIS rizikos vertinimo rezultatus, prireikus tvirtina ŽMIKIS saugos įgaliotinio parengtą rizikos tvarkymo planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti;

20.3.  Rizikos įvertinimo ataskaitos, Rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas ŽMIKIS valdytoja ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemą, kaip numatyta Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatuose.

21.   ŽMIKIS saugos užtikrinimo priemonės parenkamos vadovaujantis:

21.1.  Lietuvos Respublikos kibernetinio saugumo įstatymu;

21.2.  Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais;

21.3Organizaciniais ir techniniais kibernetinio saugumo reikalavimais, taikomais ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams;

21.4.  Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, kuris nustato būtinas priemones pagal informacinei sistemai paskirtą saugos kategoriją;

21.5.  Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms;

21.6.  Vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“;

21.7.  kitų elektroninės informacijos apsaugą reglamentuojančių Lietuvos Respublikos teisės aktų reikalavimais, kurie nustato būtinas priemones pagal informacinei sistemai paskirtą kategoriją;

21.8.  Lietuvos standarte LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ pateikiamomis rekomendacijomis ir siūlymais.

22.   Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:

22.1.  likutinė rizika turi būti sumažinta iki priimtino lygio;

22.2.  elektroninės informacijos saugos priemonės diegimo kaina turi būti proporcinga saugomos elektroninės informacijos vertei;

22.3.  turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

III SKYRIUS

 

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

23.   Programinės įrangos, skirtos apsaugoti ŽMIKIS nuo kenkėjiškos programinės įrangos, naudojimo nuostatos:

23.1.  ŽMIKIS funkcionuoti būtina programinė tarnybinių stočių ir ŽMIKIS naudotojų kompiuteriuose esanti programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kt.) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Už tarnybinių stočių programinės įrangos konfigūravimą atsakingas ŽMIKIS administratorius, o už kontrolę – ŽMIKIS saugos įgaliotinis;

23.2.  ŽMIKIS funkcionuoti būtina serverių srities ir ŽMIKIS naudotojų kompiuteriuose esanti programinė įranga turi būti atnaujinama ne vėliau kaip per 5 darbo dienas po programinės įrangos gamintojų pranešimo apie programinės įrangos atnaujinimą. Už serverių srities atnaujinimų atlikimą atsakingas ŽMIKIS administratorius, o už kontrolę – ŽMIKIS saugos įgaliotinis;

23.3.  ŽMIKIS naudotojų kompiuteriuose prieigos teisės turi būti apribojamos iki minimalių, būtinų darbo užduotims atlikti, teisių;

23.4.  ŽMIKIS naudotojų kompiuteriai turi būti apsaugoti lokaliomis ugniasienėmis;

23.5.  ŽMIKIS naudotojų kompiuteriuose turi būti naudojama antivirusinė programinė įranga, apsauganti nuo kenksmingų programų, įskaitant elektroninio pašto apsaugą. Antivirusinė programinė įranga periodiškai, ne rečiau kaip kartą per savaitę, turi būti automatiškai atnaujinama.

24.   Programinės įrangos naudojimo ribojimo nuostatos:

24.1.  ŽMIKIS tarnybinėse stotyse turi veikti tik legali programinė įranga;

24.2.  periodiškai, bet ne rečiau kaip kartą per metus, turi būti atliekamas ŽMIKIS rizikos įvertinimas ir informacinių technologijų saugos atitikties vertinimas, kuriuos inicijuoja ŽMIKIS saugos įgaliotinis.

25.   Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotojų serverių ir kitos) naudojimo nuostatos:

25.1.  ŽMIKIS naudotojų elektroninės informacijos perdavimo tinklo ir užkardų priežiūra vykdoma pagal ŽMIKIS tvarkytojo patvirtintą Kompiuterinio tinklo konfigūravimo ir stebėsenos tvarkos aprašą;

25.2.  tinklo ir užkardų konfigūracija peržiūrima ne rečiau kaip kartą per metus. Peržiūrą inicijuoja ŽMIKIS saugos įgaliotinis, o ją vykdo ŽMIKIS administratorius;

25.3.  visas duomenų srautas į internetą ir iš jo filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

25.4.  naudojamos turinio filtravimo sistemos;

25.5.  naudojamos taikomųjų programų kontrolės sistemos;

25.6.  apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga, galinti iššifruoti įeinančių ir išeinančių duomenų srautų duomenis.

26.   Leistinos ŽMIKIS naudotojų kompiuterių naudojimo ribos:

26.1.  stacionarūs ir nešiojamieji ŽMIKIS naudotojų kompiuteriai privalo būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai atlikti. Iš kompiuterių, kurie perduodami remontui ar techninei priežiūrai atlikti, turi būti pašalinta visa ŽMIKIS apriboto naudojimo elektroninė informacija;

26.2.  visiems ŽMIKIS naudotojų naudojamiems kompiuteriams privaloma naudoti papildomas saugos priemones, kuriomis patvirtinama kompiuterio ŽMIKIS naudotojo tapatybė bei šifruojami duomenys.

27.   Metodai, kuriais galima užtikrinti saugų ŽMIKIS elektroninės informacijos teikimą ir (ar) gavimą:

27.1. ŽMIKIS duomenys perduodami automatiškai automatiniu būdu TCP/IP protokolu realiu laiku arba asinchroniniu režimu pagal ŽMIKIS duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka;

27.2. už duomenų teikimo ir gavimo sutartyse nurodomų saugos reikalavimų nustatymą, identifikavimą, suformulavimą ir įgyvendinimo organizavimą atsakingas ŽMIKIS saugos įgaliotinis;

27.3. ŽMIKIS perdavimas šifruotais ryšio kanalais;

27.4. duomenims registruoti naudojamas saugus HTTPS protokolas;

27.5. saugaus valstybinio duomenų perdavimo tinklo (SVDPT) naudojimas.

28.   Pagrindiniai atsarginių ŽMIKIS duomenų kopijų darymo ir atkūrimo reikalavimai:

28.1.  atsarginių ŽMIKIS duomenų kopijų darymas ir atkūrimas turi būti atliekamas laikantis Lietuvos Respublikos teisės aktų nustatytų reikalavimų;

28.2.  atsarginės ŽMIKIS duomenų kopijos turi būti daromos periodiškai (visų duomenų kopija – vieną kartą per savaitę) pagal ŽMIKIS tvarkytojo patvirtintą Svarbiausių veiklos duomenų ir kitos informacijos atsarginių kopijų administravimo tvarkos aprašą;

28.3.  atsarginių kopijų laikmenos yra pažymimos taip, kad jas būtų galima atpažinti;

28.4.  ŽMIKIS duomenų atkūrimas iš atsarginių duomenų kopijų turi būti periodiškai išbandomas pagal ŽMIKIS tvarkytojo patvirtintą Svarbiausių veiklos duomenų ir kitos informacijos atsarginių kopijų administravimo tvarkos aprašą. Bandymų eiga ir rezultatai pateikiami ŽMIKIS saugos įgaliotiniui;

28.5.  už atsarginių ŽMIKIS duomenų kopijų darymą ir atkūrimą ir už ŽMIKIS taikomosios programinės įrangos (aplikacijų) kopijų inicijavimą atsakingas ŽMIKIS saugos įgaliotinis, o už vykdymą – ŽMIKIS administratorius;

28.6.  atsarginės ŽMIKIS duomenų kopijos turi būti saugomos užrakintoje nedegioje spintoje, kitose patalpose arba kitame pastate, nei yra įrašymo įrenginys.

 

IV SKYRIUS

 

REIKALAVIMAI PERSONALUI

 

29.   ŽMIKIS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis saugos dokumentais bei kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą, standartais ir kitais dokumentais, sugebėti prižiūrėti, kaip įgyvendinama ŽMIKIS elektroninės informacijos saugumo politika, tobulinti kvalifikaciją elektroninės informacijos saugos srityje.

30.   ŽMIKIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

31.   ŽMIKIS administratorius privalo išmanyti ŽMIKIS elektroninės informacijos saugumo politikos principus, mokėti užtikrinti jų saugą, mokėti dirbti su duomenų perdavimo tinklais, užtikrinti jų saugą, taip pat administruoti ir prižiūrėti informacines sistemas, turi būti susipažinęs su šiais Saugos nuostatais ir kitais su elektroninės informacijos sauga susijusiais dokumentais, darbo saugos taisyklėmis.

32.   ŽMIKIS administratorius privalo sugebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų diagnostiką ir šalinimą, išmanyti elektroninės informacijos saugos užtikrinimo principus.

33.   ŽMIKIS naudotojai privalo išmanyti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą ir kitus teisės aktus, reglamentuojančius asmens duomenų saugą, turi turėti naudojimosi kompiuteriu įgūdžių, būti susipažinę su šiais Saugos nuostatais ir kitais susijusiais saugos dokumentais.

34.   ŽMIKIS naudotojai, pastebėję informacijos saugumo politikos pažeidimų, nusikalstamos veikos požymių ar netinkamai veikiančių ŽMIKIS elektroninės informacijos saugos užtikrinimo priemonių, nedelsdami privalo apie tai pranešti ŽMIKIS tvarkytojui.

35.   ŽMIKIS administratorius apie Saugos nuostatų 17 punkte ir jo papunkčiuose nurodytus pažeidimus informuoja ŽMIKIS saugos įgaliotinį. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeidžiančią ŽMIKIS elektroninę informaciją (jos konfidencialumą, vientisumą ar prieinamumą), ŽMIKIS saugos įgaliotinis apie tai turi pranešti ŽMIKIS tvarkytojo vadovui ir kompetentingoms institucijoms.

36.   ŽMIKIS naudotojų administratorius turi būti gerai susipažinęs su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų saugą, žinoti visus sutartinius įsipareigojimus ir teisės aktus, susijusius su ŽMIKIS naudotojų administravimu.

37.   ŽMIKIS naudotojų administratorius turi žinoti ŽMIKIS vaidmenis ir jų suteikimo principus.

38.   ŽMIKIS naudotojų informacijos saugos mokymai ir žinių atnaujinimas atliekamas kasmet, laisvai pasirenkama forma. Už tai atsakingas ŽMIKIS saugos įgaliotinis.

 

V SKYRIUS

 

ŽMIKIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

39.   Už ŽMIKIS naudotojų supažindinimą su saugos dokumentais bei teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, jo įrodomumą ir atsakomybę už jų reikalavimų nesilaikymą, yra atsakingas ŽMIKIS saugos įgaliotinis.

40.   Saugos dokumentai yra viešai skelbiami ŽMIKIS tvarkytojo interneto svetainėje.

41.   ŽMIKIS tvarkytojo patvirtinta Informacijos saugumo politikos santrauka ir Išorinių naudotojų administravimo taisyklės yra viešai skelbiamos ŽMIKIS tvarkytojo interneto svetainėje ir yra privalomos visiems ŽMIKIS naudotojams, dirbantiems su ŽMIKIS.

42.   Pirmą kartą prisijungęs prie ŽMIKIS naudotojas privalo susipažinti su Informacijos saugumo politikos santrauka, Išorinių naudotojų administravimo taisyklėmis, ŽMIKIS nuostatais, Saugos nuostatais ir kitais saugos dokumentais.

43.   Pasikeitus šių saugos nuostatų 42 punkte nurodytiems dokumentams, ŽMIKIS naudotojas privalo su jais pakartotinai susipažinti.

 

VI SKYRIUS

 

BAIGIAMOSIOS NUOSTATOS

 

44.   Saugos nuostatai privalomi ŽMIKIS valdytojos ir ŽMIKIS tvarkytojo darbuotojams, ŽMIKIS naudotojams, kurie tvarko ŽMIKIS elektroninę informaciją.

45.   Asmenys, pažeidę šiuos Saugos nuostatus, atsako teisės aktų nustatyta tvarka.

46.   Saugos nuostatų ir kitos su ŽMIKIS elektroninės informacijos sauga susijusios dokumentacijos priežiūrą ar keitimą inicijuoja ŽMIKIS tvarkytojas.

________________________