LIETUVOS RESPUBLIKOS Ekonomikos ir inovacijų MINISTRAS

 

įsakymas

DĖL Lietuvos matavimo priemonių valstybės registro DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2022 m. kovo 25 d. Nr. 4-502

Vilnius

 

 

Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 3 dalimi ir 44 straipsnio 2 dalimi, įgyvendindama Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Aprašas), 7.1 papunktį, 11, 19 ir 26 punktus, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 6 punktą:

1. T v i r t i n u Lietuvos matavimo priemonių valstybės registro duomenų saugos nuostatus (toliau – Saugos nuostatai) (pridedama).

2. P a v e d u Lietuvos metrologijos inspekcijai:

2.1. per vieną mėnesį nuo Saugos nuostatų patvirtinimo dienos paskirti:

2.1.1. Lietuvos matavimo priemonių valstybės registro (toliau – Registras) saugos įgaliotinį, Registro administratorių ir Registro duomenų valdymo įgaliotinį;

2.1.2. asmenį ar Registro tvarkytojo padalinį, atsakingą už Registro kibernetinio saugumo organizavimą ir užtikrinimą;

2.1.3. asmenį, atsakingą už Registro duomenų ir informacijos, dokumentų ar jų kopijų pateikimą ir (ar) duomenų tvarkymą Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemoje ir Registrų ir valstybės informacinių sistemų registre;

2.2. per keturis mėnesius nuo Saugos nuostatų patvirtinimo dienos parengti, Apraše nustatyta tvarka suderinti ir pateikti Registro valdytojui tvirtinti saugos politikos įgyvendinamųjų dokumentų projektus:

2.2.1. Lietuvos matavimo priemonių valstybės registro saugaus elektroninės informacijos tvarkymo taisykles;

2.2.2. Lietuvos matavimo priemonių valstybės registro veiklos tęstinumo valdymo planą;

2.2.3. Lietuvos matavimo priemonių valstybės registro naudotojų administravimo taisykles.

3. P r i p a ž į s t u netekusiu galios Valstybinės metrologijos tarnybos direktoriaus 2006 m. spalio 27 d. įsakymą Nr. V-144 „Dėl Lietuvos matavimo priemonių registro duomenų saugos nuostatų patvirtinimo“.

 

Ekonomikos ir inovacijų ministrė                                                                  Aušrinė Armonaitė

 

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2021-12-27 raštu Nr. (4.1 E) 6K-1053

 

PATVIRTINTA

Lietuvos Respublikos ekonomikos ir

inovacijų ministro

2022 m. kovo 25 d. įsakymu Nr. 4-502

 

 

LIETUVOS MATAVIMO PRIEMONIŲ VALSTYBĖS REGISTRo

DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Lietuvos matavimo priemonių valstybės registro duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos matavimo priemonių valstybės registro (toliau – Registras) elektroninės informacijos saugos ir kibernetinio saugumo politiką (toliau – saugos politika).

2. Registro saugos užtikrinimo ir valdymo pagrindiniai dokumentai yra Registro saugos politiką nustatantys Saugos nuostatai ir saugos politikos įgyvendinamieji dokumentai: Registro saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės), Registro veiklos tęstinumo vykdymo planas (toliau – Valdymo planas), Registro naudotojų administravimo taisyklės (toliau – Administravimo taisyklės).

3. Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), Lietuvos standartuose LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos tvarkymo teisėtumą ir saugos valdymą valstybės institucijose.

4. Registro elektroninės informacijos saugumo ir kibernetinio saugumo užtikrinimo prioritetinės kryptys:

4.1. techninės ir programinės įrangos, naudojamos Registro elektroninei informacijai tvarkyti, priežiūra ir kontrolė;

4.2. prieigos prie Registro elektroninės informacijos kontrolė;

4.3. Registro elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo lygio užtikrinimas;

4.4. saugaus kompiuterinio ryšio, priimant ir perduodant informaciją elektroniniu paštu, užtikrinimas.

5. Registro elektroninės informacijos saugumo užtikrinimo tikslas – sudaryti sąlygas saugiai automatizuotu būdu saugoti ir tvarkyti Registro elektroninę informaciją, užtikrinti jos konfidencialumą, vientisumą ir prieinamumą.

6. Saugos nuostatai taikomi:

6.1. Registro valdytojai – Lietuvos Respublikos ekonomikos ir inovacijų ministerijai, Gedimino pr. 38, LT-01104, Vilnius;

6.2. Registro tvarkytojai – Lietuvos metrologijos inspekcijai, A. Goštauto g. 9, LT-01108, Vilnius;

6.3. Registro naudotojams;

6.4. Registro saugos įgaliotiniui;

6.5. Registro administratoriui;

6.6. Registro duomenų valdymo įgaliotiniui;

6.7. asmeniui ar Registro tvarkytojo padaliniui, atsakingam už Registro kibernetinio saugumo organizavimą ir užtikrinimą (toliau – Registro kibernetinio saugumo vadovas);

6.8. asmeniui, atsakingam už Registro duomenų ir informacijos, dokumentų ar jų kopijų pateikimą ir (ar) duomenų tvarkymą Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemoje ir Registrų ir valstybės informacinių sistemų registre.

7. Registro valdytojo funkcijos:

7.1. Pagal kompetenciją atsako už saugos politikos formavimą, jos įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.

7.2. Tvirtina su Lietuvos Respublikos krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką, suderintus Saugos nuostatus, Tvarkymo taisykles, Valdymo planą, Administravimo taisykles (toliau visi kartu – Registro saugos dokumentai) ir kitus teisės aktus, kuriuose reglamentuojamas Registro elektroninės informacijos tvarkymo teisėtumas ir sauga.

7.3. Kontroliuoja, kaip laikomasi Registro saugos dokumentuose ir kituose elektroninės informacijos saugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų.

7.4. Analizuoja Registro tvarkytojo pateiktus pasiūlymus dėl Registro veiklos tobulinimo, priima sprendimus dėl Registro techninių ir programinių priemonių, būtinų Registro elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo.

7.5. Paveda Registro tvarkytojui paskirti Registro saugos įgaliotinį, Registro administratorių, Registro duomenų valdymo įgaliotinį ir Registro kibernetinio saugumo vadovą, asmenį, atsakingą už Registro duomenų ir informacijos, dokumentų ar jų kopijų pateikimą ir (ar) duomenų tvarkymą Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemoje ir Registrų ir valstybės informacinių sistemų registre.

7.6. Atlieka kitas teisės aktuose, reglamentuojančiuose valstybės registrų ir informacinių sistemų saugą, nustatytas funkcijas.

8. Registro tvarkytojo funkcijos:

8.1. Pagal kompetenciją atsako už Registro elektroninės informacijos tvarkymo teisėtumą ir saugą.

8.2. Įgyvendina tinkamas organizacines ir technines priemones, skirtas elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

8.3. Pagal kompetenciją įgyvendina Registro saugos dokumentų ir kitų elektroninės informacijos saugos politiką įgyvendinančių teisės aktų reikalavimus.

8.4. Teikia pasiūlymus Registro valdytojui dėl Registro elektroninės informacijos saugos tobulinimo, Registro saugos dokumentų, kitų teisės aktų, kuriuose reglamentuojamas Registro elektroninės informacijos tvarkymo teisėtumas ir sauga, priėmimo, keitimo arba panaikinimo, taip pat rengia šių dokumentų projektus.

8.5. Užtikrina, kad Registro naudotojai, turintys teisę naudotis Registro elektronine informacija, laikytųsi reikalavimų, nustatytų Registro saugos dokumentuose.

8.6. Atlieka Registro duomenų bazės techninę priežiūrą ir užtikrina nepertraukiamą Registro veikimą.

8.7. Užtikrina saugią Registro sąveiką su kitomis informacinėmis sistemomis ir registrais.

8.8. Teikia pasiūlymus Registro valdytojui dėl Registro techninių ir programinių priemonių, būtinų Registro elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo, organizuoja jų įdiegimą ir modernizavimą.

8.9. Registro valdytojo vadovo pavedimu skiria Registro saugos įgaliotinį ir Registro administratorių, Registro duomenų valdymo įgaliotinį, Registro kibernetinio saugumo vadovą ir asmenį, atsakingą už Registro duomenų ir informacijos, dokumentų ar jų kopijų pateikimą ir (ar) duomenų tvarkymą Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemoje ir Registrų ir valstybės informacinių sistemų registre.

8.10. Atlieka kitas Registro valdytojo pavestas ir Registro nuostatų, Registro saugos dokumentų ir kitų elektroninės informacijos saugos politiką įgyvendinančių teisės aktų jam priskirtas funkcijas.

9. Registro naudotojo funkcijos:

9.1. Registro saugos dokumentų ir kitų informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudoja ir (ar) tvarko Registro elektroninę informaciją, reikalingą jo funkcijoms atlikti.

9.2. Pagal kompetenciją prireikus teikia pasiūlymus Registro saugos įgaliotiniui dėl Saugos nuostatų 37 ir 38 punktuose nurodytų mokymų organizavimo Registro naudotojams elektroninės informacijos saugos ir kibernetinio saugumo klausimais.

9.3 Atlieka kitas Registro saugos dokumentuose, kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, nustatytas ir jam priskirtas funkcijas.

10. Registro saugos įgaliotinio funkcijos:

10.1. Atsako už tinkamą Registro elektroninės informacijos saugos priemonių įgyvendinimą.

10.2. Teikia Registro tvarkytojo vadovui siūlymus dėl:

10.2.1. Registro administratoriaus paskyrimo ir reikalavimų Registro administratoriui nustatymo;

10.2.2. Registro informacinių technologijų saugos atitikties vertinimo atlikimo Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Informacinių technologijų saugos atitikties vertinimo metodika) nustatyta tvarka.

10.3. Teikia Registro valdytojui pasiūlymus dėl Registro saugos dokumentų ir kitų elektroninės informacijos saugos politiką įgyvendinančių teisės aktų priėmimo arba keitimo.

10.4. Koordinuoja Registre įvykusių elektroninės informacijos saugos incidentų tyrimą.

10.5. Organizuoja Registro rizikos įvertinimą ir parengia rizikos įvertinimo ataskaitą.

10.6. Teikia Registro administratoriui ir Registro naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu.

10.7. Turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus Registro tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti.

10.8. Supažindina Registro administratorių ir Registro naudotojus su Registro saugos dokumentų reikalavimais ir atsakomybe už Registro saugos dokumentų reikalavimų nesilaikymą, organizuoja Registro naudotojų mokymą elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas.

10.9. Atlieka kitas Registro tvarkytojo vadovo pavestas Registro saugos dokumentų ir kitų elektroninės informacijos saugos politiką įgyvendinančių teisės aktų jam priskirtas funkcijas.

11.  Registro kibernetinio saugumo vadovas atlieka šias funkcijas:

11.1. Koordinuoja kibernetinių incidentų tyrimą, bendradarbiauja su kompetentingomis institucijomis, tiriančiomis kibernetinius incidentus.

11.2. Atlieka kitas Registro saugos dokumentuose nurodytas ir kituose teisės aktuose, reglamentuojančiuose kibernetinio saugumą, jam priskirtas funkcijas.

12.  Registro saugos įgaliotinis ir Registro kibernetinio saugumo vadovas gali būti tas pats asmuo.

13. Registro administratoriaus funkcijos:

13.1. Atsako už Registro techninės ir programinės įrangos funkcionavimą.

13.2. Diegia ir prižiūri programinę įrangą, reikalingą Registro naudotojų funkcijoms atlikti.

13.3. Suteikia teisę Registro naudotojams naudotis elektronine informacija, reikalinga jų funkcijoms atlikti.

13.4. Užtikrina Registro komponentų (kompiuterių, tarnybinių stočių, operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimų aptikimo sistemų ir kt.) tinkamą veikimą ir priežiūrą, pagal kompetenciją nustato Registro pažeidžiamas vietas.

13.5. Dalyvauja vykdant saugumo reikalavimų įgyvendinimo stebėseną.

13.6. Pagal kompetenciją Registro tvarkytojo vadovui teikia pasiūlymus dėl Registro palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo.

13.7. Informuoja Registro saugos įgaliotinį apie elektroninės informacijos saugos incidentus ar kibernetinius incidentus (toliau – saugos incidentai) ir teikia pasiūlymus dėl elektroninės informacijos saugos incidentų pašalinimo.

13.8. Atsako už Registro duomenų bazės atsarginių kopijų darymą.

13.9. Atlieka kitas Registro tvarkytojo vadovo, saugos įgaliotinio pavestas ir Registro saugos dokumentų ir kitų elektroninės informacijos saugos politiką įgyvendinančių teisės aktų jam priskirtas funkcijas.

14. Registro duomenų valdymo įgaliotinio funkcijos:

14.1. Atlieka funkcijas, nustatytas Valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 2 dalyje, ir kitas Registro saugos dokumentuose, kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, nustatytas ir jam priskirtas funkcijas.

14.2. Prireikus pagal kompetenciją teikia pasiūlymus Registro saugos įgaliotiniui dėl Saugos nuostatų 37 ir 38 punktuose nurodytų mokymų organizavimo Registro naudotojams elektroninės informacijos saugos ir kibernetinio saugumo klausimais.

15. Teisės aktai, kuriais vadovaujamasi, tvarkant Registro elektroninę informaciją ir užtikrinant jos saugumą:

15.1.  Valstybės informacinių išteklių valdymo įstatymas;

15.2. Lietuvos Respublikos dokumentų ir archyvų įstatymas;

15.3.  Kibernetinio saugumo įstatymas;

15.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

15.5. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

15.6. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas);

15.7.  Kibernetinio saugumo aprašas;

15.8Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu
Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

15.9. Informacinių technologijų saugos atitikties vertinimo metodika;

15.10. Lietuvos standartai LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, kiti Lietuvos ir tarptautiniai grupės „Informacijos technologija. Saugumo metodai“ standartai, nustatantys saugų elektroninės informacijos tvarkymą;

15.11. Registro nuostatai;

15.12. kiti teisės aktai, reglamentuojantys elektroninės informacijos saugumo politiką, jos tvarkymo teisėtumą ir saugos valdymą valstybės institucijose.

 

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

16. Vadovaujantis Klasifikavimo gairių aprašo reikalavimais:

16.1. Registre tvarkoma elektroninė informacija pagal svarbą, remiantis Klasifikavimo gairių aprašo 9.1 ir 9.2 papunkčiais, priskiriama vidutinės svarbos elektroninės informacijos kategorijai;

16.2. pagal Registre tvarkomos elektroninės informacijos svarbą, remiantis Klasifikavimo gairių aprašo 12.3 papunkčiu, Registras priskiriamas trečios kategorijos informacinėms sistemoms.

17. Registro saugos įgaliotinis, vadovaudamasis Lietuvos Respublikos vidaus reikalų ministerijos metodine priemone „Rizikos analizės vadovas“, kasmet organizuoja Registro rizikos įvertinimą. Pasikeitus Registro duomenų bazės struktūrai (sistemos pakeitimai, papildymas naujomis taikomosiomis programomis, taikomųjų programų šalinimas) ar nustačius naujų rizikos veiksnių, gali būti organizuojamas neeilinis Registro duomenų saugos rizikos įvertinimas.

18. Registro rizikos vertinimo metu įvertinami rizikos veiksniai, galintys turėti įtakos Registro elektroninės informacijos saugai, jų galima žala, pasireiškimo tikimybė, rizikos laipsnis ir galimi rizikos valdymo būdai. Kartu su pagrindiniu informacinės sistemos rizikos vertinimu organizuojamas ir atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos informacinės sistemos kibernetiniam saugumui, vertinimas. Svarbiausieji rizikos veiksniai nurodyti Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 36 punkte.

19. Registro rizikos veiksniams vertinti naudojama penkiabalė rizikos vertinimo sistema, pagal kurią, nustačius rizikos veiksnių tikimybę ir poveikį, apskaičiuojamas rizikos laipsnis:

19.1. nereikšminga rizikos veiksnių tikimybė, žala – 1 balas;

19.2. maža rizikos veiksnių tikimybė, žala – 2 balai;

19.3. vidutinė rizikos veiksnių tikimybė, žala – 3 balai;

19.4. didelė rizikos veiksnių tikimybė, žala – 4 balai;

19.5. labai didelė rizikos veiksnių tikimybė, žala – 5 balai.

20. Kuo didesnė rizikos veiksnio tikimybė ir jo poveikis, tuo rizikos laipsnis aukštesnis. Rizikos veiksniams, kuriems nustatytas aukštas rizikos laipsnis, būtina skirti daugiausia dėmesio, parenkant ir įgyvendinant tinkamas rizikos mažinimo priemones.

21. Registro rizikos įvertinimo rezultatai pateikiami rizikos įvertinimo ataskaitoje. Registro valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numato techninių, administracinių ir kitų išteklių poreikį rizikos valdymo priemonėms įgyvendinti. Planas pateikiamas Registro tvarkytojo vadovui.

22. Elektroninės informacijos saugos priemonių parinkimo principai:

22.1. Liekamoji rizika turi būti sumažinta iki priimtino lygio.

22.2. Saugos priemonės diegimo kaina turi būti adekvati saugomos elektroninės informacijos vertei.

22.3. Kur galima, turi būti įdiegiamos prevencinės informacijos saugos priemonės.

22.4. Registro veiklos tęstinumo ir elektroninės informacijos sauga užtikrinama taip, kad būtų patiriama kuo mažiau išlaidų.

23. Siekiant įvertinti Registro saugos dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kartą per metus organizuojamas informacinių technologijų saugos atitikties vertinimas.

24. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama Registro valdytojo ar tvarkytojo, jeigu jis paskyrė Registro saugos įgaliotinį, vadovui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato Registro valdytojo vadovas. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas Registro tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai).

 

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

25. Programinės įrangos, skirtos Registrui nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai) apsaugoti, naudojimo nuostatos ir atnaujinimo reikalavimai:

25.1. Registro tarnybinėse stotyse ir kompiuterizuotose darbo vietose turi būti įdiegta centralizuotai valdoma programinė įranga, skirta Registrui nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.) apsaugoti, kuri turi atsinaujinti automatiniu būdu ne rečiau kaip kartą per 24 valandas.

25.2. Apsaugai naudojama programinė įranga privalo automatiškai informuoti Registro administratorių apie kompiuterizuotas darbo vietas ir tarnybines stotis, kuriose apsaugos sistema netinkamai funkcionuoja, yra išjungta arba neatsinaujino per 24 valandas.

25.3. Programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu.

25.4. Elektroninės informacijos apsaugai naudojama programinė įranga turi turėti apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti kenkimo programų apsaugas.

26. Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo nuostatos:

26.1. Naudojama tik legali programinė įranga.

26.2. Programinė įranga atnaujinama laikantis gamintojo reikalavimų.

26.3. Programinės įrangos diegimą, šalinimą ir konfigūravimą gali atlikti tik Registro administratorius.

26.4. Turi būti įdiegta galimybė fiksuoti ir kaupti informaciją apie asmenų, kurie naudojosi prieiga prie Registro elektroninės informacijos, atliktus veiksmus.

27. Kompiuterių tinklo filtravimo įrangos pagrindinės naudojimo nuostatos:

27.1. tinklo segmentavimas;

27.2. tinklo adresų transliavimas (NAT (angl. Network Address Translation) / PAT (angl. Port Address Translation);

27.3. pagrindinė Registro duomenų pateikimo prieiga yra duomenų perdavimas šifruotu virtualaus privataus tinklo (VPN) duomenų perdavimo kanalu arba panaudojant saugų HTTPS (angl. Hypertext Transfer Protocol Secure) duomenų perdavimo protokolą.

28. Leistinos kompiuterių naudojimo ribos:

28.1. Kompiuteriai, kuriuose saugomi su Registru susiję duomenys, turi būti apsaugoti prisijungimo vardu ir slaptažodžiu.

28.2. Nešiojamieji kompiuteriai, kuriuose yra prieiga prie Registro, gali būti išnešami iš įstaigos, kuriai priskirta Registro naudotojo darbo vieta, patalpų tik vadovaujantis įstaigos vadovo įsakymu patvirtintu nešiojamųjų kompiuterių naudojimo tvarkos aprašu. Šifruojami nešiojamuosiuose kompiuteriuose esantys duomenys.

28.3. Registro duomenų naudotojai privalo naudotis visomis saugumo priemonėmis, siekdami apsaugoti kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo.

28.4. Kai nešiojamieji kompiuteriai nenaudojami, jie turi būti saugomi nuo vagystės ar duomenų laikmenų pažeidimo apsaugotoje vietoje.

28.5. Registro tvarkytojo stacionarų kompiuterį prijungti prie Registro kompiuterių tinklo gali tik Registro administratorius.

29. Metodai, kuriais užtikrinamas saugus Registro elektroninės informacijos teikimas ir (ar) gavimas:

29.1. Prieiga prie Registro ribojama užkardomis.

29.2. Teikti ir (ar) gauti elektroninę informaciją automatiniu būdu galima tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas – naudojami saugūs ryšio kanalai (VPN).

29.3. Prieigos prie Registro elektroninės informacijos teises gali suteikti tik Registro administratorius. Registro naudotojams suteikiamos tik jų funkcijoms atlikti būtinos teisės.

29.4. Prieiga prie Registro elektroninės informacijos leidžiama tik per registracijos slaptažodžių sistemą. Prieigos prie Registro elektroninės informacijos valdymas apibrėžtas Registro naudotojų administravimo taisyklėse.

29.5. Pasibaigus Registro naudotojo darbo ar tarnybos santykiams, teisė naudotis Registro elektronine informacija turi būti panaikinta. Registro naudotojui prieiga prie Registro turi būti ribojama ar sustabdoma, kai vyksta Registro naudotojo veiklos tyrimas, naudotojas yra ilgalaikėse atostogose arba keičiasi jo atliekamos ir (ar) pareigybės aprašyme nurodytos funkcijos.

30. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

30.1. Atsarginės elektroninės informacijos kopijos (toliau – kopijos) daromos automatiškai, kiekvieną dieną.

30.2. Elektroninė informacija kopijose turi būti šifruota.

30.3. Kopijas turi teisę tvarkyti Registro administratorius ir techninės bei programinės įrangos priežiūros paslaugų teikėjai.

30.4. Laikmenos, kuriose saugomos kopijos, saugomos atskirai nuo tarnybinių stočių.

30.5. Atsarginės kopijos saugomos 3 savaites nuo jų sukūrimo dienos.

30.6. Atkurti elektroninę informaciją iš kopijų turi teisę tik Registro administratorius.

 

IV SKYRIUS

REIKALAVIMAI PERSONALUI

 

31. Registro saugos įgaliotinis turi išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Registro saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą.

32. Registro kibernetinio saugumo vadovas turi išmanyti kibernetinio saugumo užtikrinimo principus, tobulinti kvalifikaciją kibernetinio saugumo srityje ir savo darbe vadovautis Registro saugos dokumentais, Kibernetinio saugumo aprašu, Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais, reglamentuojančiais kibernetinį saugumą.

33. Registro saugos įgaliotiniu ir Registro kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą, taip pat galiojančią administracinę nuobaudą už Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 20 punkte nurodytus atvejus. 

34. Registro administratorius privalo išmanyti darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugą, administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su Registro nuostatais, Registro saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą.

35. Registro naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti Registro duomenis Registro nuostatų nustatyta tvarka, būti susipažinę su Registro saugos dokumentais.

36. Registro elektroninę informaciją tvarkyti ir teikti Registro nuostatuose nurodytiems Registro duomenų gavėjams gali asmenys, turintys pagrindinius darbo kompiuteriu įgūdžius, mokantys tvarkyti Registro duomenis Registro nuostatuose, Registro funkcinėje sistemos specifikacijoje, Registro naudojimo ir administravimo instrukcijoje nurodyta tvarka ir susipažinę su Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų reikalavimais.

37. Registro saugos įgaliotinis ne rečiau kaip kartą per metus inicijuoja Registro naudotojų mokymą elektroninės informacijos saugos ir kibernetinio saugumo klausimais, prireikus įvairiais būdais – pranešimais elektroniniu paštu, naujų darbuotojų instruktavimu, atmintinių rengimu, teminių seminarų organizavimu ir kitais informavimo būdais – primena apie saugumo problemas. Mokymo ir informavimo būdai pasirenkami atsižvelgiant į informacinės sistemos specifiką.

38. Mokymai elektroninės informacijos saugos ir kibernetinio saugumo klausimais planuojami ir mokymo būdai parenkami atsižvelgiant į prioritetines elektroninės informacijos saugos užtikrinimo kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), Registro saugos įgaliotinio, Registro naudotojų, Registro kibernetinio saugumo vadovo, Registro duomenų valdymo įgaliotinio ir Registro administratoriaus poreikius.

 

V SKYRIUS

REGISTRO NAUDOTOJŲ SUPAŽINDINIMAS SU Registro SAUGOS

DOKUMENTAIS ir REGISTRO NAUDOTOJŲ ATSAKOMYBĖ

 

 

39. Tvarkyti Registro duomenis gali tik Registro naudotojai, susipažinę su Registro saugos dokumentais ir sutikę laikytis jų reikalavimų.

40. Už Registro naudotojų supažindinimą su Registro saugos dokumentais ir kitais elektroninės informacijos saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už jų reikalavimų nesilaikymą yra atsakingas Registro saugos įgaliotinis.

41. Supažindinimo būdai pasirenkami atsižvelgiant į informacinės sistemos specifiką, tačiau turi būti užtikrintas susipažinimo įrodomumas.

42. Pasikeitus Registro saugos dokumentams, Registro naudotojai su jais supažindinami pakartotinai.

43. Registro naudotojai, pažeidę Saugos nuostatų ir kitų saugų elektroninės informacijos tvarkymą reguliuojančių teisės aktų nuostatas, atsako elektroninės informacijos saugaus tvarkymo reikalavimų pažeidimus reglamentuojančių teisės aktų nustatyta tvarka.

44. Saugos nuostatai skelbiami Registro tvarkytojo interneto svetainėje.

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

45. Saugos nuostatų ir kitos su Registro elektroninės informacijos sauga susijusios dokumentacijos peržiūrą ar keitimą inicijuoja Registro tvarkytoja. Saugos dokumentai turi būti derinami su Nacionaliniu kibernetinio saugumo centru prie Krašto apsaugos ministerijos. Keičiami Saugos dokumentai gali būti nederinami su Nacionaliniu kibernetinio saugumo centru tais atvejais, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar elektroninės informacijos saugos politikos ir kibernetinio saugumo politikos nekeičiantys pakeitimai arba pakeitimai, susiję su teisės technika. Nacionaliniam kibernetinio saugumo centrui turi būti pateiktos keičiamų Registro saugos dokumentų kopijos.

46. Saugos nuostatai ir saugos politiką įgyvendinantys teisės aktai turi būti peržiūrėti ne rečiau kaip kartą per kalendorinius metus atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, technologiniams ar kitiems Registro pokyčiams, taip pat po įvykusio kibernetinio incidento.

47.  Apie patvirtintus Saugos nuostatus, Registro saugos dokumentus ir jų pakeitimus informuojama, Registro duomenys, informacija ir dokumentai teikiami ir tvarkomi Registrų ir valstybės informacinių sistemų registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2012 m. spalio 16 d. nutarimu Nr. 1263 „Dėl Registrų sąrašo reorganizavimo į Registrų ir valstybės informacinių sistemų registrą ir Registrų ir valstybės informacinių sistemų registro nuostatų patvirtinimo“, ir Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

 

________________