LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRAS

 

ĮSAKYMAS

DĖL VALSTYBINĖS GELEŽINKELIO INSPEKCIJOS PRIE SUSISIEKIMO MINISTERIJOS TVARKOMŲ REGISTRŲ VEIKLOS TĘSTINUMO VALDYMO PLANO, NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ IR SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ PATVIRTINIMO

 

2016 m. balandžio 27 d. Nr. 3-142(1.5 E)

Vilnius

 

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 8 ir 12 punktais:

1.  Tvirtinu pridedamus:

1.1. Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų registrų veiklos tęstinumo valdymo planą;

1.2. Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų registrų naudotojų administravimo taisykles;

1.3. Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų registrų saugaus elektroninės informacijos tvarkymo taisykles.

2.  Pripažįstu netekusiais galios:

2.1. Lietuvos Respublikos susisiekimo ministro 2012 m. liepos 9 d. įsakymą Nr. 3-467 „Dėl Traukinio mašinistų registro veiklos tęstinumo valdymo plano, Traukinio mašinistų registro naudotojų administravimo taisyklių ir Traukinio mašinistų registro saugaus elektroninės informacijos tvarkymo taisyklių patvirtinimo“;

2.2. Lietuvos Respublikos susisiekimo ministro 2011 m. liepos 15 d. įsakymą Nr. 3-423 „Dėl Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro veiklos tęstinumo valdymo plano, Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro naudotojų administravimo taisyklių ir Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro saugaus elektroninės informacijos tvarkymo taisyklių patvirtinimo“;

2.3. Lietuvos Respublikos susisiekimo ministro 2011 m. liepos 15 d. įsakymą Nr. 3-424 „Dėl Lietuvos Respublikos geležinkelių infrastruktūros registro veiklos tęstinumo valdymo plano, Lietuvos Respublikos geležinkelių infrastruktūros registro naudotojų administravimo taisyklių ir Lietuvos Respublikos geležinkelių infrastruktūros registro saugaus elektroninės informacijos tvarkymo taisyklių patvirtinimo“.

 

 

Susisiekimo ministras                                                                                            Rimantas Sinkevičius

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2016 m. balandžio 21 d. raštu Nr. 1D-2470


 

PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro

2016 m.  balandžio 27 d. įsakymu

Nr. 3-142(1.5 E)  

 

 

VALSTYBINĖS GELEŽINKELIO INSPEKCIJOS PRIE SUSISIEKIMO MINISTERIJOS TVARKOMŲ REGISTRŲ veiklos tęstinumo valdymo planas

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų registrų veiklos tęstinumo valdymo plano (toliau – Valdymo planas) tikslas – nustatyti Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos (toliau – VGI) tvarkomų Lietuvos Respublikos geležinkelių riedmenų registro, Lietuvos Respublikos geležinkelių infrastruktūros registro ir Traukinio mašinistų registro (toliau – registrai) tvarkytojo, registrų naudotojų, administratoriaus, saugos įgaliotinio veiksmus, esant elektroninės informacijos saugos incidentui, kurio metu gali kilti pavojus registrų elektroninei informacijai, registrų techninės, programinės įrangos funkcionavimui.

2. Valdymo planas parengtas vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų registrų duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos susisiekimo ministro 2015 m. gruodžio 7 d. įsakymu Nr. 3-495(1.5 E)    „Dėl Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų registrų duomenų saugos nuostatų patvirtinimo“ (toliau – Saugos nuostatai).

3. Valdymo plane vartojamos sąvokos suprantamos taip, kaip apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 27001 ir LST ISO/IEC 27002.

4. Už Valdymo plano įgyvendinimą atsakingas registrų tvarkytojas ir jo paskirti registrų naudotojai, saugos įgaliotinis ir administratorius.

5. Už Valdymo plano įgyvendinimo organizavimą ir kontrolę atsakingas saugos įgaliotinis.

6. Registrų tvarkytojo ir jo paskirto saugos įgaliotinio bei administratoriaus veiksmai elektroninės informacijos saugos incidento metu nurodyti Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų registrų veiklos atkūrimo detaliajame plane (toliau – Veiklos atkūrimo detalusis planas), pateiktame Valdymo plano 1 priede. Administratorius, saugos įgaliotinis, prireikus – ir registrų naudotojai nedelsdami šalina elektroninės informacijos saugos incidento padarinius ir įgyvendina kitas Veiklos atkūrimo detaliajame plane numatytas funkcijas.

7. Elektroninės informacijos saugos incidento metu sunaikinta techninė, sisteminė ir taikomoji programinė įranga įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka,  o elektroninės informacijos saugos incidento metu patirti nuostoliai finansuojami iš valstybės biudžeto ir kitų finansavimo šaltinių.

8. Kriterijai, pagal kuriuos nustatoma, kad registrų veikla atkurta, yra:

8.1. nuolat atnaujinama registrų elektroninė informacija;

8.2. išsaugoma atnaujinta registrų elektroninė informacija;

8.3. nuolat teikiama atnaujinta registrų elektroninė informacija kitiems registrams, informacinėms sistemoms ir kitiems registrų elektroninės informacijos gavėjams;

8.4. išregistruotų registrų objektų elektroninė informacija automatiniu būdu perkeliama į registrų duomenų bazės archyvą.

9. Valdymo planas įsigalioja įvykus registrų elektroninės informacijos saugos incidentui, kuris gali kelti pavojų registrų elektroninei informacijai, techninės, programinės įrangos funkcionavimui. Ar konkretus atvejis yra saugos incidentas, sprendžia Registrų veiklos tęstinumo valdymo grupės (toliau – Veiklos tęstinumo valdymo grupė) vadovas, gavęs saugos įgaliotinio teikimą. Valdymo planas privalomas registrų tvarkytojui, registrų valdytojui, registrų naudotojams, saugos įgaliotiniui ir administratoriui.

10. Registrų prieinamumas turi būti užtikrintas ne mažiau kaip 96 procentų laiko darbo metu darbo dienomis.

 

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

 

11. Veiklos tęstinumo valdymo grupę sudaro:

11.1. VGI viršininkas (Veiklos tęstinumo valdymo grupės vadovas);

11.2. VGI viršininko pavaduotojas, kuruojantis registrų veiklą (Veiklos tęstinumo valdymo grupės vadovo pavaduotojas);

11.3. VGI Administracinių paslaugų skyriaus vedėjas (Veiklos tęstinumo valdymo grupės vadovo pavaduotojas);

11.4. VGI Administracinių paslaugų skyriaus vyriausiasis specialistas (Veiklos tęstinumo valdymo grupės narys);

11.5. kiti VGI viršininko įsakymu paskirti asmenys.

12. Veiklos tęstinumo valdymo grupė atlieka šias funkcijas:

12.1. analizuoja elektroninės informacijos saugos incidentus ir priima sprendimus registrų veiklos tęstinumo valdymo klausimais;

12.2. bendrauja su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

12.3. bendrauja su kitų valstybinių ir žinybinių registrų ir informacinių sistemų veiklos tęstinumo valdymo grupėmis;

12.4. bendrauja su teisėsaugos ir kitomis institucijomis, šių institucijų darbuotojais ir kitais suinteresuotais asmenimis;

12.5. kontroliuoja, kaip naudojami finansiniai ištekliai, reikalingi registrų veiklai atkurti, įvykus elektroninės informacijos saugos incidentui;

12.6. organizuoja registrų elektroninės informacijos fizinę saugą, įvykus elektroninės informacijos saugos incidentui;

12.7. organizuoja žmonių, daiktų, įrangos vežimą, įvykus elektroninės informacijos saugos incidentui;

12.8. prižiūri ir koordinuoja registrų veiklos atkūrimą;

12.9. vykdo kitas Veiklos tęstinumo valdymo grupei pavestas funkcijas.

13. Registrų veiklos atkūrimo grupę (toliau – Atkūrimo grupė) sudaro:

13.1. VGI viršininko pavaduotojas, nekuruojantis registrų veiklos (Atkūrimo grupės vadovas);

13.2. VGI Administracinių paslaugų skyriaus vedėjas (Atkūrimo grupės vadovo pavaduotojas);

13.3. VGI viršininko įsakymu paskirtas VGI Administracinių paslaugų skyriaus vyriausiasis specialistas (Atkūrimo grupės narys);

13.4. kiti VGI viršininko įsakymu paskirti asmenys.

14. Atkūrimo grupė atlieka šias funkcijas:

14.1. atkuria registrų veiklą (vykdo VGI viršininko pavaduotojas, nekuruojantis registrų veiklos, VGI Administracinių paslaugų skyriaus vedėjas);

14.2. atkuria tarnybinės stoties veiklą (vykdo VGI Administracinių paslaugų skyriaus vedėjas, VGI viršininko įsakymu paskirtas VGI Administracinių paslaugų skyriaus vyriausiasis specialistas);

14.3. atkuria kompiuterių tinklo veiklą (vykdo VGI Administracinių paslaugų skyriaus vedėjas, VGI viršininko įsakymu paskirtas VGI Administracinių paslaugų skyriaus vyriausiasis specialistas);

14.4. atkuria registrų elektroninę informaciją (vykdo VGI Administracinių paslaugų skyriaus vedėjas, VGI viršininko įsakymu paskirtas VGI Administracinių paslaugų skyriaus vyriausiasis specialistas);

14.5. atkuria taikomųjų programų tinkamą veikimą (vykdo VGI Administracinių paslaugų skyriaus vedėjas, VGI viršininko įsakymu paskirtas VGI Administracinių paslaugų skyriaus vyriausiasis specialistas);

14.6. atkuria darbo kompiuterių veikimą ir sąveiką su kompiuterių tinklu (vykdo VGI Administracinių paslaugų skyriaus vedėjas, VGI viršininko įsakymu paskirtas VGI Administracinių paslaugų skyriaus vyriausiasis specialistas);

14.7. vykdo kitas Atkūrimo grupei pavestas funkcijas.

15. Veiklos tęstinumo valdymo ir Atkūrimo grupės tarpusavyje bendrauja el. paštu ar telefonu. Ne rečiau kaip kartą per metus organizuojamas šių dviejų grupių vadovų susitikimas, kuriame aptariama esama situacija ir suderinami galimi jos pagerinimo būdai.

16. Įvykus elektroninės informacijos saugos incidentui, susijusiam su tarnybinėje stotyje įdiegta registro funkcionavimą užtikrinančia programine įranga:

16.1. administratorius informuoja saugos įgaliotinį ir Veiklos tęstinumo valdymo grupės vadovą apie elektroninės informacijos saugos incidentą;

16.2. saugos įgaliotinis informaciją įrašo Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų registrų elektroninės informacijos saugos incidentų registravimo žurnale (toliau – elektroninės informacijos saugos incidentų registravimo žurnalas) (2 priedas) ir vadovauja veiklos atkūrimo detaliajame plane nurodytiems veiksmams;

16.3. administratorius atkuria registrų tarnybinės stoties, kompiuterių tinklo veiklą, registrų elektroninę informaciją, registrų techninės, sisteminės ir taikomosios programinės įrangos funkcionavimą ir apie tai informuoja Veiklos tęstinumo valdymo grupės vadovą ir saugos įgaliotinį;

16.4. saugos įgaliotinis organizuoja žalos registrų elektroninei informacijai, registrų techninei, programinei įrangai vertinimą, koordinuoja registrų veiklai atkurti reikalingos techninės, sisteminės ir taikomosios programinės įrangos įsigijimo procedūras.

17. Įvykus elektroninės informacijos saugos incidentui registrų tvarkytojo patalpose, kuriose yra registrų techninė, programinė įranga, registravimo dokumentai, Valdymo plane nustatytiems veiksmams vadovauja Veiklos tęstinumo valdymo grupės vadovas. Saugos įgaliotinis informaciją įrašo elektroninės informacijos saugos incidentų registravimo žurnale.

18. Atsarginių patalpų, naudojamų registrų veiklai atkurti kilus elektroninės informacijos saugos incidentui, adresas: Geležinio Vilko g. 18A, LT-08104 Vilnius.

19. Atsarginėms patalpoms, naudojamoms registrų veiklai atkurti elektroninės informacijos saugos incidento atveju, keliami šie reikalavimai:

19.1. patalpos turi būti apsaugotos nuo neteisėto asmenų patekimo į jas;

19.2. patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

19.3. patalpos turi atitikti priešgaisrinės saugos reikalavimus;

19.4. patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos;

19.5. patalpose turi būti įrengtas rezervinis elektros energijos šaltinis registro kompiuterinei techninei įrangai ir duomenų perdavimo tinklo mazgams, užtikrinantis įrangos veikimą ne trumpiau kaip 30 min.;

19.6. ryšių kabeliai turi būti apsaugoti nuo nesankcionuoto prisijungimo;

19.7. patalpoje turi nuolat veikti oro temperatūros ir drėgmės reguliavimo įranga (oro kondicionavimo sistema).

 

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

 

20. Informacija apie registrų techninę ir programinę įrangą ir jos parametrus nurodyta registrų projektinėje dokumentacijoje, už kurios saugojimą atsakingas administratorius.

21. Registrų administratorių pavaduojančio asmens minimalus kompetencijos ar žinių lygis negali būti žemesnis už administratoriui keliamų reikalavimų lygį.

22. Minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos registrų tvarkytojo poreikius atitinkančiai registrų veiklai užtikrinti elektroninės informacijos saugos incidento metu, specifikacija turi atitikti pagrindinę registrų techninės ir programinės įrangos specifikaciją.

23. Pastato aukšto, kuriame yra registrų įranga ir komunikacijos, patalpų brėžinius ir šiose patalpose esančios įrangos ir komunikacijų sąrašą (vadovaudamasis registrų projektine dokumentacija) parengia ir saugo administratorius.

24. Patalpų brėžiniuose pažymima:

24.1. tarnybinės stotys;

24.2. kompiuterių tinklo mazgai;

24.3. kompiuterių tinklo laidų įvadų vietos;

24.4. elektros įvadų pastate vietos.

25. Kompiuterių tinklo fizinio ar loginio sujungimo schemas parengia ir saugo administratorius.

26. Elektroninės informacijos teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartis saugo administratorius.

27. Programinės įrangos laikmenos ir laikmenos su atsarginėmis elektroninės informacijos kopijomis saugomos užrakintoje nedegioje spintoje, kitose patalpose, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. Atsarginės duomenų kopijos yra perkeliamos į saugojimo vietą kartą per mėnesį.

28. Saugos įgaliotinis ir administratorius parengia ir saugo VGI darbuotojų sąrašą, kuriame nurodyti darbuotojų darbo telefonai, o Veiklos tęstinumo valdymo grupės ir Atkūrimo grupės narių – tarnybinių mobiliųjų ir namų telefonų numeriai ir gyvenamosios vietos adresai.

29. VGI interneto svetainėje skelbiami registrų duomenų tvarkymo teisėtumą ir saugos valdymą reglamentuojantys teisės aktai.

 

IV SKYRIUS

VALDYMO PLANO VEIKSMINGUMO išbandymo NUOSTATOS

 

30. Valdymo plano veiksmingumas išbandomas kiekvienais metais sausio mėnesį. Nustatytą dieną imituojami registrų elektroninės informacijos saugos incidentai, jų metu atsakingi pasekmių likvidavimo vykdytojai atlieka elektroninės informacijos saugos incidento valdymo veiksmus.

31. Pagal veiksmingumo išbandymo rezultatus saugos įgaliotinis parengia Valdymo plano įvertinimo ataskaitą (toliau – ataskaita), kurioje nurodomi atliktų bandymų rezultatai, pastebėti trūkumai ir šių trūkumų šalinimo priemonės. Ataskaitą tvirtina VGI viršininkas.

32. Valdymo plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami remiantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

__________________


 

PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro

2016 m. balandžio 27 d. įsakymu Nr. 3-142(1.5 E)

 

VALSTYBINĖS GELEŽINKELIO INSPEKCIJOS PRIE sUSISIEKIMO MINISTERIJOS TVARKOMŲ registrų NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų registrų naudotojų administravimo taisyklės (toliau – Registrų naudotojų administravimo taisyklės) nustato Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos (toliau – VGI) tvarkomų Lietuvos Respublikos geležinkelių infrastruktūros registro, Lietuvos Respublikos geležinkelių riedmenų registro ir Traukinio mašinistų registro (toliau – registrai) naudotojų įgaliojimus, teises, pareigas, supažindinimo su saugos dokumentais ir saugaus registro duomenų teikimo registrų naudotojams kontrolės tvarką.

2. Registrų naudotojų administravimo taisyklės parengtos vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų registrų duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos susisiekimo ministro 2015 m.  gruodžio 7 d. įsakymu  Nr. 3-495(1.5 E) „Dėl Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų registrų duomenų saugos nuostatų patvirtinimo“ (toliau – Saugos nuostatai).

3. Registrų naudotojų administravimo taisyklėse vartojamos sąvokos suprantamos taip, kaip apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 27001 ir LST ISO/IEC 27002.

4. Registrų naudotojų administravimo taisyklės taikomos visiems registrų naudotojams, administratoriui ir saugos įgaliotiniui.

5. Registrų naudotojams prieiga prie elektroninės informacijos suteikiama vadovaujantis šiais principais:

5.1. VGI darbuotojams, registrų naudotojams prieiga turi būti suteikiama tik prie tos elektroninės informacijos ir tokia apimtimi, kuri reikalinga pareigybės aprašyme nurodytoms funkcijoms atlikti;

5.2. kitiems registrų naudotojams prieiga turi būti suteikiama tik prie tų duomenų ir tik tokia apimtimi, kuri nurodyta elektroninės informacijos teikimo sutartyse;

5.3. registrų saugomą elektroninę informaciją gali keisti (sukurti, papildyti ar panaikinti) tik tokius įgaliojimus turintys registrų naudotojai;

5.4. prieiga prie registrų saugomos elektroninės informacijos ir teisė ją keisti suteikiama tik identifikavus registrų naudotoją ir patvirtinus jo tapatybę. 

 

II SKYRIUS

REGISTRŲ NAUDOTOJŲ ir administratorių ĮGALIOJIMAI, TEISĖS IR PAREIGOS

 

6. Registrų naudotojų įgaliojimai, teisės ir pareigos:

6.1. Registrų naudotojai gali naudotis tik tomis registrų funkcijomis ir tik ta registrų elektronine informacija, prie kurių prieigos teisę jiems suteikė administratorius.

6.2. Registrų naudotojai privalo užtikrinti jų naudojamos registruose saugomos ir apdorojamos elektroninės informacijos konfidencialumą ir vientisumą, savo veiksmais netrikdyti duomenų prieinamumo.

6.3. Registrų naudotojai turi teisę gauti informaciją apie jų naudojamos elektroninės informacijos apsaugos lygį ir taikomas apsaugos priemones, rekomenduoti papildomas apsaugos priemones.

6.4. Kiti registrų naudotojų įgaliojimai, teisės ir pareigos nustatyti Saugos nuostatuose.

7. Administratoriaus įgaliojimai, teisės ir pareigos:

7.1. matyti visų registrų naudotojų identifikavimo ir suteiktų teisių duomenis;

7.2. matyti registrų naudotojų atliktus veiksmus su registrų tvarkoma elektronine informacija;

7.3. atlikti užklausas registruose pagal pasirinktus paieškos kriterijus;

7.4. pateikti paklausimus VGI dėl registrų naudotojų duomenų patikslinimo;

7.5. registruoti naujus registrų naudotojus pagal pateiktus duomenis;

7.6. tvarkyti esamų registrų naudotojų duomenis;

7.7. tvarkyti registrų vidinius klasifikatorius;

7.8. konsultuoti registrų naudotojus dėl registrų veikimo ir kitais su registrais susijusiais klausimais;

7.9. fiziškai prieiti prie registrų techninės ir sisteminės programinės įrangos;

7.10. vykdyti registrų techninės priežiūros funkcijas;

7.11. užtikrinti nepertraukiamą registrų techninės ir sisteminės programinės įrangos veikimą;

7.12. vykdyti kitas su registrais susijusias funkcijas.

 

III SKYRIUS

SAUGAUS elektroninės informacijos TEIKIMO REGISTRŲ NAUDOTOJAMS KONTROLĖS TVARKA

 

8. Administratorius yra atsakingas už registrų naudotojų registravimą, išregistravimą, prieigos prie registrų teisių suteikimą, sustabdymą, sustabdymo panaikinimą ir prieigos prie registrų teisių panaikinimą.

9. Administratorius registrų naudotojams suteikia unikalų prisijungimo prie registrų vardą ir laikinąjį slaptažodį, kurį išsiunčia registrų naudotojui elektroniniu paštu. Slaptažodį registrų naudotojai turi teisę savarankiškai pasikeisti prisijungę prie registrų.

10. Pirmojo prisijungimo prie registrų metu programinė įranga automatiškai inicijuoja slaptažodžio pakeitimą.

11. Prisijungimo prie registrų skirtų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai yra šie:

11.1. registrų naudotojų prisijungimo prie registrų vardai ir slaptažodžiai saugomi registrų naudotojų prisijungimo vardų ir slaptažodžių byloje;

11.2. registrų naudotojams turi būti nustatomas slaptažodis, kuris formuojamas iš ne mažiau kaip 8 simbolių;

11.3. slaptažodis turi būti sudaromas naudojant raidžių, skaičių ir specialiųjų simbolių kombinacijas;

11.4. registrų naudotojai privalo naudotojo slaptažodį keisti ne rečiau kaip kas 2 mėnesius;

11.5. keičiant slaptažodį negalima nustatyti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;

11.6. draudžiama slaptažodžius atskleisti tretiesiems asmenims;

11.7. slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija;

11.8. registrų dalys, atliekančios nutolusio prisijungimo autentifikavimą, turi drausti automatiškai išsaugoti slaptažodžius;

11.9. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius – 3 kartai, neteisingai įvedus slaptažodį trečiąjį kartą, registrų naudotojas blokuojamas neribotam laikotarpiui.

12. Papildomi reikalavimai registrų administratoriaus prisijungimo slaptažodžiui:

12.1. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

12.2. slaptažodį turi sudaryti ne mažiau kaip 12 simbolių;

12.3. keičiant slaptažodį registrų programinė įranga neleidžia sudaryti slaptažodžio iš buvusių 3 paskutinių slaptažodžių.

13. Registrų naudotojų prieigos teisė naudotis registrais privalo būti panaikinama:

13.1. gavus VGI viršininko įsakymą dėl registrų naudotojo perkėlimo ar atleidimo;

13.2. registrų naudotojui netekus teisės naudotis registrų duomenimis;

13.3. nustačius, kad registrų naudotojas neteisėtai naudojo registrų elektroninę informaciją;

13.4. nustačius, kad registrų naudotojas neteisėtai prisijungė prie registrų ir neteisėtai atskleidė elektroninę informaciją.

14. Baigus darbą su registrais, turi būti atsijungiama nuo registrų, įjungiama ekrano užsklanda su slaptažodžiu.

15. Prieigos prie registrų teisių suteikimo, sustabdymo, sustabdymo panaikinimo ir prieigos teisių panaikinimo tvarka:

15.1. Administratorius, gavęs VGI viršininko įsakymą apie registrų naudotojo veiklos tyrimą, pirmąją registrų naudotojo veiklos tyrimo dieną sustabdo registrų naudotojo prieigos teises. Administratorius registrų naudotojų prieigos prie registrų teisių sustabdymą panaikina, gavęs VGI viršininko įsakymą dėl registrų naudotojo veiklos tyrimo pabaigos.

15.2. Jeigu registrų naudotojas perkeliamas į kitas pareigas, jam suteiktos registrų naudotojo teisės pakeičiamos pagal jo pareigybės aprašyme nurodytas funkcijas. Administratorius, per dokumentų valdymo sistemą gavęs susipažinti VGI viršininko įsakymą, suteikia naujas prieigos teises.

15.3. Registrų naudotojui teisė naudotis registrais panaikinama Registrų naudotojų administravimo taisyklių 13 punkte nustatytais atvejais. Administratorius, per dokumentų valdymo sistemą gavęs VGI viršininko įsakymą dėl registrų naudotojo perkėlimo į kitas pareigas, atleidimo, registrų naudotojo prieigos teisės panaikinimo, per 3 darbo dienas panaikina registrų naudotojo prieigos teises.

16. Išoriniai registrų naudotojai prie registrų jungiasi per Valstybės informacinių išteklių sąveikumo platformos (toliau – VIISP) naudodami VIISP tapatybės nustatymo priemones.

____________


 

PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro

2016 m. balandžio 27 d. įsakymu Nr. 3-142(1.5 E)

 

 

 

 

VALSTYBINĖS GELEŽINKELIO INSPEKCIJOS PRIE SUSISIEKIMO MINISTERIJOS TVARKOMŲ REGISTRŲ SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų registrų saugaus elektroninės informacijos tvarkymo taisyklių (toliau – Tvarkymo taisyklės) tikslas – nustatyti Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos (toliau – VGI) tvarkomų Lietuvos Respublikos geležinkelių riedmenų registro, Lietuvos Respublikos geležinkelių infrastruktūros registro ir Traukinio mašinistų registro (toliau – registrai) tvarkytojo, registrų naudotojų, administratoriaus, saugos įgaliotinio veiksmus, užtikrinančius saugų registrų techninės ir programinės įrangos funkcionavimą, registrų duomenų tvarkymą ir teikimą duomenų gavėjams.

2. Tvarkymo taisyklės parengtos vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų registrų duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos susisiekimo ministro 2015 m. gruodžio 7 d. įsakymu Nr. 3-495(1.5 E)    „Dėl Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų registrų duomenų saugos nuostatų patvirtinimo“ (toliau – Saugos nuostatai).

3. Tvarkymo taisyklėse vartojamos sąvokos suprantamos taip, kaip apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 27001 ir LST ISO/IEC 27002.

4. Už registrų elektroninės informacijos tvarkymo teisėtumą atsako registrų valdytojas. Už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatų ir saugos politikos įgyvendinamųjų dokumentų nustatyta tvarka atsako registrų tvarkytojas.

5. Už Tvarkymo taisyklių įgyvendinimo organizavimą ir kontrolę atsakingas saugos įgaliotinis.

6. Registruose saugoma elektroninė informacija yra skirstoma į šias kategorijas:

6.1. informacija, už kurios tvarkymą atsakingas administratorius:

6.1.1. registrų klasifikatoriai;

6.1.2. registrų naudotojų unikalūs identifikavimo kodai;

6.1.3. registrų naudotojų prieigos prie registro teisės;

6.1.4. registrų paslaugų inicijavimo ir teikimo duomenys;

6.1.5. registrų paslaugų teikimą aprašantys duomenys;

6.1.6. registrų paslaugų teikimo stebėsenos duomenys;

6.2. informacija, už kurios tvarkymą atsakingi registrų naudotojai, – duomenys, nurodyti:

6.2.1. Lietuvos Respublikos geležinkelių riedmenų registro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2004 m. lapkričio 22 d. nutarimu Nr. 1468 „Dėl Lietuvos Respublikos geležinkelių riedmenų registro įsteigimo ir jo nuostatų patvirtinimo“;

6.2.2. Lietuvos Respublikos geležinkelių infrastruktūros registro nuostatuose, patvirtintuose Lietuvos Respublikos susisiekimo ministro 2004 m. gegužės 28 d. įsakymu Nr. 3-317 „Dėl Lietuvos Respublikos geležinkelių infrastruktūros registro įsteigimo ir jo nuostatų patvirtinimo“;

6.2.3. Traukinio mašinistų registro nuostatuose, patvirtintuose Lietuvos Respublikos susisiekimo ministro 2010 m. liepos 7 d. įsakymu Nr. 3-423 „Dėl Traukinio mašinistų registro įsteigimo, jo nuostatų patvirtinimo ir veiklos pradžios nustatymo“.

 

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

 

7. Kompiuterinės įrangos saugos priemonės yra šios:

7.1. prieigos teisę prie registrų tarnybinių stočių turi tik administratorius;

7.2. svarbiausios kompiuterinės įrangos sujungimas dubliavimo būdu, šios kompiuterinės įrangos techninės būklės stebėsena;

7.3. registrų naudotojų naudojamos techninės kompiuterinės įrangos priežiūra ir tvarkymas, kurį atlieka administratorius.

8. Registrų sisteminės ir taikomosios programinės įrangos saugos užtikrinimo priemonės yra šios:

8.1. naudojama legali ir įteisinta registrų sisteminė ir taikomoji programinė įranga;

8.2. teisę dirbti su registrų administravimo programine įranga turi tik administratorius, jo nesant – administratorių pavaduojantis asmuo;

8.3. slaptažodžiai, suteikiantys teisę dirbti su registrų administravimo programine įranga, žinomi tik administratoriui, jo nesant – administratorių pavaduojančiam asmeniui;

8.4. programinis kodas apsaugomas nuo neteisėtos prieigos prie jo; programiniam kodui apsaugoti taikomos tos pačios saugos priemonės kaip ir registrų duomenims; naudojamos programinės priemonės – tinklo užkardos;

8.5. prieigos teisė dirbti su registrų taikomąja programine įranga suteikiama registrų tvarkytojo registrų naudotojams;

8.6. registrų elektroninė informacija nuo jos praradimo, iškraipymo, sunaikinimo, nesankcionuoto naudojimo galimybių apsaugoma techninėmis, organizacinėmis, programinėmis priemonėmis;

8.7. registrų elektroninė informacija, esanti išorinėse duomenų laikmenose ir elektroniniame pašte, po jų panaudojimo perkeliama į archyvą ir (ar) duomenų bazę ir yra ištrinama;

8.8. registrų naudotojams suteikiami vardai ir slaptažodžiai pagal Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų registrų naudotojų administravimo taisyklių reikalavimus;

8.9. registrų naudotojų veiksmai su registrų elektronine informacija ar bandymai juos atlikti registruojami programiniu būdu Tvarkymo taisyklių 13 punkte nustatyta tvarka;

8.10. registrų naudotojui neatliekant jokių veiksmų, registrai turi užsirakinti, kad toliau naudotis registrais būtų galima tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus. Registrai užsirakina ne ilgiau kaip po 15 minučių.

9. Elektroninės informacijos perdavimo tinklais saugos užtikrinimo priemonės yra šios:

9.1. registrų naudotojai internetu jungiasi prie tinklo užkarda apsaugotų tarnybinių stočių, naudodamiesi unikaliais identifikaciniais prisijungimo duomenimis;

9.2. perduodama registrų informacija, susijusi su asmens duomenimis, per išorinius duomenų perdavimo tinklus turi būti apsaugota slaptažodžiais;

9.3. saugiam elektroninės informacijos teikimui ir (ar) gavimui iš kitų valstybės institucijų užtikrinti naudojamas Saugus valstybinis duomenų perdavimo tinklas;

9.4. registro naudotojų kompiuterių tinklai turi atitikti Saugaus valstybinio duomenų perdavimo tinklo saugos organizavimo, valdymo ir Saugaus valstybinio duomenų perdavimo tinklo naudotojų prijungimo reikalavimus, nustatytus Lietuvos Respublikos vidaus reikalų ministro 2007 m. birželio 5 d. įsakyme Nr. 1V-210 „Dėl Saugaus valstybinio duomenų perdavimo tinklo elektroninės informacijos saugos reikalavimų patvirtinimo“.

10. Patalpų ir aplinkos saugumo užtikrinimo priemonės:

10.1. Patekti į registrų tarnybinių stočių patalpas gali tik saugos įgaliotinis ir administratorius.

10.2. Patalpose įrengta langų ir durų fizinė apsauga (langai su žaliuzėmis, rakinamos durys, durų ir langų signalizacija).

10.3. Patalpos atitinka priešgaisrinės saugos reikalavimus, jose yra gaisro gesinimo priemonės. Periodiškai atliekama gaisro gesinimo priemonių patikra.

10.4. Patalpos atskirtos nuo bendrojo naudojimo patalpų. Asmenys, nesusiję su registrų tvarkymu, patekti į šias patalpas gali tik lydimi administratoriaus.

10.5. Techninė įranga apsaugota nuo elektros srovės svyravimų, nuo neteisėtos prieigos prie techninės įrangos, jos sugadinimo ar neteisėto poveikio jai. Naudojamas nepertraukiamo maitinimo šaltinis su automatine apsauga nuo įtampos svyravimų.

10.6. Ryšių kabeliai apsaugoti nuo neteisėto prisijungimo ir pažeidimo.

10.7. Įgyvendintos gamintojo nustatytos techninės įrangos darbo sąlygos.

10.8. Užtikrintas išorės poveikio šaltinių – transporto priemonių keliamos vibracijos, eismo įvykių, radijo stočių, specialiųjų gamyklų, kitų išorės šaltinių minimalus poveikis patalpoms ir jose esančiai techninei ir programinei įrangai.

10.9. Patalpose įrengti įsilaužimo davikliai, prijungti prie signalizacijos ir apsaugos tarnybos.

10.10. Techninė įranga įnešama ir išnešama iš patalpų leidus administratoriui.

10.11. Patalpose palaikoma + 22 (± 5)° C temperatūra ir 50 (± 10) procentų santykinis oro drėgnumas.

11. Kitos registrų elektroninės informacijos saugos priemonės:

11.1. Registrų naudotojams suteikiama prieigos prie registrų teisė atlikti veiksmus tik su jiems priskirtais duomenimis.

11.2. Atsarginės laikmenos su programine įranga laikomos nedegioje spintoje.

11.3. Kompiuterinė įranga, duomenų perdavimo tinklo mazgai ir ryšio linijos yra dubliuojamos, o jų techninė būklė nuolat stebima.

11.4. Programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką.

 

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

 

12. Registrų elektroninės informacijos keitimo, atnaujinimo, įrašymo ir naikinimo tvarka:

12.1. Registrų elektroninę informaciją keisti, atnaujinti, įrašyti ir naikinti gali tik autorizuoti registrų naudotojai, turintys teisę tai atlikti.

12.2. Registrų naudotojui teisė naudotis registrais suteikiama tik jam pasirašius pasižadėjimą saugoti konfidencialią informaciją apie asmens duomenis.

12.3. Registrų elektroninė informacija įrašoma, atnaujinama, keičiama ir naikinama vadovaujantis Tvarkymo taisyklių 6.2.1–6.2.3 papunkčiuose nurodytais Registrų nuostatais ir Saugos nuostatais.

13. Registrų naudotojų veiksmų registravimo tvarka:

13.1. Registrų naudotojų tapatybė ir veiksmai su registrų elektronine informacija fiksuojami programinėmis priemonėmis.

13.2. Registrų naudotojų veiksmai, prisijungimai ir (ar) bandymai prisijungti prie registrų įrašomi automatiniu būdu registrų duomenų bazės veiksmų žurnaluose, kuriuose registruojama prisijungimo ir (ar) bandymo prisijungti data, laikas, trukmė, sėkmingi ir nesėkmingi bandymai registruotis registruose, bylos, prie kurių buvo jungtasi, ir veiksmai su registrų duomenimis (įvedimas, peržiūra, keitimas, naikinimas ir kt.). Žurnalai turi būti apsaugoti nuo neteisėto juose esančių duomenų panaudojimo, pakeitimo, iškraipymo, sunaikinimo, kurie saugomi ne trumpiau kaip 1 metus.

13.3. Registrų duomenų bazės veiksmų elektroniniai žurnalai peržiūrimi kartą per 1 mėnesį; peržiūros ataskaitos teikiamos duomenų valdytojui.

13.4. Teikiamų asmens duomenų paieškos užklausoje nurodomas asmens duomenų naudojimo tikslas (-ai).

13.5. Registrų duomenų bazės veiksmų žurnalų duomenys prieinami administratoriui ir atitinkamas teises turintiems registrų naudotojams.

13.6. Registruose įrašomi duomenys apie registrų tarnybinių stočių, registrų taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis registrų tarnybinėse stotyse, registrų taikomojoje programinėje įrangoje, visus registrų naudotojų vykdomus veiksmus, kitus elektroninės informacijos saugai svarbius įvykius, nurodant registrų naudotojo identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką. Šie duomenys saugomi ne registruose ir ne trumpiau kaip 1 metus ir analizuojami administratoriaus ne rečiau kaip kartą per savaitę.

14. Atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo tvarka:

14.1. Už registrų elektroninės informacijos atsarginių kopijų darymą yra atsakingas administratorius.

14.2. Atsarginės elektroninės informacijos kopijų serveryje turi būti kopijuojama ir saugoma tiek elektroninės informacijos, kad jos praradimo atveju visišką registrų funkcionalumą ir veiklą būtų galima atkurti per 12 valandų.

14.3. Elektroninės informacijos saugykloje realiu laiku yra dubliuojama visa registrų elektroninė informacija.

14.4. Registrų elektroninės informacijos kopijos į rezervinio kopijavimo juostų biblioteką daromos vieną kartą per savaitę.

14.5. Atsarginės elektroninės informacijos kopijos negali būti saugomos patalpose, kuriose yra registrų serveris.

14.6. Patalpos, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti rakinamos, įrengta signalizacijos ir patalpų elektroninės kontrolės sistema.

14.7.  Patekti į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, gali tik saugos įgaliotinis ir administratorius, o kiti asmenys į šias patalpas gali pateikti tik lydimi saugos įgaliotinio ir administratoriaus.

14.8. Išsamūs registrų elektroninės informacijos atkūrimo bandymai vykdomi vieną kartą per metus.

14.9. Išsamūs registrų elektroninės informacijos atkūrimo bandymai vykdomi ne darbo valandomis ir prieš tai informavus visus registrų naudotojus.

14.10. Už išsamius registrų elektroninės informacijos atkūrimo bandymus yra atsakingi administratorius ir saugos įgaliotinis. Administratorius su saugos įgaliotiniu suderina visiško elektroninės informacijos atkūrimo bandymų metodus.

15. Prarasta, iškraipyta, sunaikinta registro elektroninė informacija atkuriama iš registrų atsarginių elektroninės informacijos kopijų.

16. Elektroninės informacijos šifravimo tvarka:

16.1. Saugoma elektroninė informacija atsarginėse kopijose, archyvuose ir (ar) išorinėse duomenų laikmenose turi būti šifruojama.

16.2. Elektroniniu paštu perduodami ypatingi asmens duomenys turi būti šifruojami.

17. Apie pastebėtus saugos incidentus – Tvarkymo taisyklių reikalavimų pažeidimus, registrų darbo sutrikimus, neįprastą registrų veikimą – registrų naudotojas privalo informuoti saugos įgaliotinį.

18. Elektroninės informacijos perkėlimo ir teikimo kitiems registrams ir informacinėms sistemoms ir elektroninės informacijos gavimo iš jų tvarka:

18.1. Už elektroninės informacijos, teikiamos iš susijusių registrų, atnaujinimą registruose yra atsakingas administratorius.

18.2. Elektroninės informacijos mainai tarp registrų ir kitų registrų bei informacinių sistemų vykdomi su šių registrų ir informacinių sistemų valdytojais sudarytose elektroninės informacijos teikimo sutartyse numatytais būdais, terminais ir numatytos apimties.

18.3. Reorganizuojant ar likviduojant registrus, jų elektroninė informacija turi būti saugiai perduota kitiems registrų valdytojams, valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka arba sunaikinama.

19. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:

19.1. Siekiant užtikrinti registrų elektroninės informacijos vientisumą, registrų naudotojų tapatybei nustatyti ir prieigai kontroliuoti naudojama prisijungimo vardų, slaptažodžių ir prieigos teisių sistema.

19.2. Registrų naudotojas, įtaręs, kad su registrų elektronine informacija buvo atlikti neteisėti veiksmai, apie tai privalo pranešti administratoriui. Administratorius, atsiradus įtarimams dėl neteisėtų veiksmų su registrų elektronine informacija, pasinaudojęs registrų elektroninės informacijos bazės veiksmų žurnalo įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su registrų programine įranga ir elektronine informacija.

19.3. Administratorius, įtaręs, kad su registrų elektronine informacija vykdomi neteisėti veiksmai, privalo apie tai pranešti saugos įgaliotiniui.

19.4. Saugos įgaliotinis, gavęs pranešimą apie vykdomus neteisėtus veiksmus su registrais arba su registruose tvarkoma elektronine informacija, inicijuoja elektroninės informacijos saugos incidento valdymo procedūras.

20. Registrų programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:

20.1. Registrų programinės ir techninės įrangos keitimo ir atnaujinimo tvarką priklausomai nuo konkretaus atvejo derina administratorius arba ji aprašoma paslaugų, susijusių su registrų programinės ir techninės įrangos keitimu ir atnaujinimu, teikimo sutartyse.

20.2. Prieš atlikdamas registrų programinės ir techninės įrangos keitimą, kurio metu gali iškilti grėsmė elektroninės informacijos ir registrų konfidencialumui, vientisumui ar pasiekiamumui, administratorius privalo išbandyti planuojamus registrų pokyčius.

20.3. Atlikęs registrų programinės ir techninės įrangos pokyčių bandymus ir gavęs rašytinį VGI viršininko sutikimą, administratorius gali pradėti keisti registrų programinę ir techninę įrangą.

20.4. Planuodamas registrų programinės ir techninės įrangos keitimą, kurio metu galimi registrų veikimo sutrikimai, administratorius privalo ne vėliau kaip prieš dvi darbo dienas iki registrų programinės ir techninės įrangos keitimo pradžios elektroniniu paštu informuoti registrų naudotojus apie tokių darbų pradžią ir galimus registrų veikimo sutrikimus.

21. Pokyčių valdymo planavimas apima pokyčių identifikavimą, suskirstymą į kategorijas pagal pokyčio tipą, įtakos vertinimą ir pokyčių prioritetų nustatymo procesus.

22. Pokyčiai, galintys sutrikdyti ar sustabdyti registrų darbą, turi būti suderinti su VGI viršininku ir vykdomi tik gavus rašytinį pritarimą.

23. Registrų pokyčius inicijuoja saugos įgaliotinis ar administratorius, o įgyvendina administratorius.

 

IV SKYRIUS

REIKALAVIMAI, KELIAMI REGISTRAMS FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

 

24. Paslaugų teikėjų prieigos prie registrų lygiai ir sąlygos:

24.1. Administratorius yra atsakingas už programinių, techninių ir kitų prieigos prie registrų resursų organizavimą, jų suteikimą registrų techninės ir (ar) programinės priežiūros paslaugų (toliau – priežiūros paslaugos) teikėjui ir panaikinimą.

24.2. Administratorius, suteikdamas prieigos prie registrų elektroninės informacijos teisę, paslaugų teikėjo įgaliotą fizinį asmenį supažindina su prieigos prie registrų elektroninės informacijos sąlygomis.

24.3. Administratorius suteikia registrų priežiūros paslaugų teikėjui tik tokią prieigos prie registrų programinių, techninių ir kitų resursų teisę, kokia yra būtina norint atlikti arba vykdyti registrų priežiūros paslaugas.

24.4. Pasibaigus sutartyje nurodytam laikotarpiui, administratorius panaikina paslaugų teikėjo įgalioto fizinio asmens prieigos prie registrų elektroninės informacijos teisę ir apie tai jį informuoja.

25. Reikalavimai, keliami patalpoms, įrangai, informacinių sistemų priežiūrai, duomenų perdavimui tinklais ir kitoms paslaugoms:

25.1. Reikalavimai priežiūros paslaugų teikėjams ir jų teikiamoms priežiūros paslaugoms nustatomi šių paslaugų teikimo sutartyse.

25.2. Paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja registrų taikomąją programinę įrangą naudodamas:

25.2.1. įgyvendintas elektroninės informacijos saugos nuo nesankcionuoto poveikio sisteminei, taikomajai programinei įrangai, duomenų saugai ir patalpoms priemones;

25.2.2. registrų testinės duomenų bazės duomenis (registrų taikomajai programinei įrangai modifikuoti);

25.2.3. tik sertifikuotą sisteminę programinę įrangą.