LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRAS

 

ĮSAKYMAS

DĖL VALSTYBINĖS GELEŽINKELIO INSPEKCIJOS PRIE SUSISIEKIMO MINISTERIJOS TVARKOMŲ REGISTRŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2015 m. gruodžio 7 d. Nr. 3-495(1.5 E)

Vilnius

 

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7.1 papunkčiu ir 11, 12, 19, 26 punktais:

1Tvirtinu Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų registrų duomenų saugos nuostatus (pridedama).

2. Pavedu Valstybinei geležinkelio inspekcijai prie Susisiekimo ministerijos:

2.1. paskirti Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų Lietuvos Respublikos geležinkelių infrastruktūros registro, Lietuvos Respublikos geležinkelių riedmenų registro ir Traukinio mašinistų registro saugos įgaliotinį ir Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų Lietuvos Respublikos geležinkelių infrastruktūros registro, Lietuvos Respublikos geležinkelių riedmenų registro ir Traukinio mašinistų registro administratorių;

2.2. ne vėliau kaip per 6 mėnesius nuo šio įsakymo įsigaliojimo dienos teisės aktų nustatyta tvarka parengti ir pateikti Lietuvos Respublikos susisiekimo ministrui tvirtinti Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų Lietuvos Respublikos geležinkelių infrastruktūros registro, Lietuvos Respublikos geležinkelių riedmenų registro ir Traukinio mašinistų registro saugaus elektroninės informacijos tvarkymo taisykles, Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų Lietuvos Respublikos geležinkelių infrastruktūros registro, Lietuvos Respublikos geležinkelių riedmenų registro ir Traukinio mašinistų registro veiklos tęstinumo valdymo planą, Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų Lietuvos Respublikos geležinkelių infrastruktūros registro, Lietuvos Respublikos geležinkelių riedmenų registro ir Traukinio mašinistų registro naudotojų administravimo taisykles.

3Pripažįstu netekusiais galios:

3.1. Lietuvos Respublikos susisiekimo ministro 2005 m. birželio 10 d. įsakymą Nr. 3-265 „Dėl Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro duomenų saugos nuostatų patvirtinimo“ su visais pakeitimais ir papildymais;

3.2. Lietuvos Respublikos susisiekimo ministro 2006 m. balandžio 3 d. įsakymą Nr. 3-126 „Dėl Lietuvos Respublikos geležinkelių infrastruktūros registro duomenų saugos nuostatų patvirtinimo“ su visais pakeitimais ir papildymais;

3.3. Lietuvos Respublikos susisiekimo ministro 2011 m. birželio 3 d. įsakymą Nr. 3-335 „Dėl Traukinio mašinistų registro duomenų saugos nuostatų patvirtinimo“.

 

 

 

Susisiekimo ministras                                                                                            Rimantas Sinkevičius

 

 

 

 

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2015 m. gruodžio 2 d. raštu Nr. 1D-9402 

 

 

 

 


 

PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro

2015 m. gruodžio 7 d. įsakymu Nr. 3-495(1.5 E)

 

VALSTYBINĖS GELEŽINKELIO INSPEKCIJOS PRIE sUSISIEKIMO MINISTERIJOS TVARKOMŲ REGISTRŲ DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos tvarkomų registrų duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos (toliau – VGI) tvarkomų Lietuvos Respublikos geležinkelių infrastruktūros registro, Lietuvos Respublikos geležinkelių riedmenų registro ir Traukinio mašinistų registro (toliau – registrai) elektroninės informacijos saugos politiką.

2. Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, ir kituose teisės aktuose bei Lietuvos „Informacijos technologija. Saugumo metodai“ grupės standartuose.

3. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

3.1. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

3.2. registrų elektroninei informacijai tvarkyti naudojamos techninės ir programinės įrangos ir duomenų tvarkymo kontrolė;

3.3. fizinė elektroninės informacijos apdorojimo priemonių (patalpų, tarnybinių stočių, elektroninės informacijos perdavimo įrangos, programinės įrangos) apsauga;

3.4. registrų veiklos tęstinumo užtikrinimas;

3.5. registrų naudotojų mokymas;

3.6. asmens duomenų apsauga.

4. Elektroninės informacijos saugumo užtikrinimo tikslai:

4.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti registrų elektroninę informaciją;

4.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

5. Saugos nuostatai taikomi registrų valdytojai – Lietuvos Respublikos susisiekimo ministerijai (Gedimino pr. 17, Vilnius) ir registrų tvarkytojai – VGI (Pamėnkalnio g. 26, Vilnius), taip pat saugos įgaliotiniui, administratoriui ir naudotojams.

6. Registrų valdytojo funkcijos:

6.1. metodiškai vadovauti registrų tvarkytojui ir koordinuoti registrų funkcionavimą;

6.2. koordinuoti registrų tvarkytojo ir techninės bei programinės įrangos priežiūros funkcijas teikiančio paslaugų teikėjo darbą, nustatyta tvarka atlikti jų veiklos priežiūrą;

6.3. atlikti elektroninės informacijos saugos reikalavimų laikymosi priežiūrą;

6.4. nagrinėti registrų tvarkytojo pasiūlymus dėl registrų elektroninės informacijos saugos tobulinimo ir priimti dėl jų sprendimus;

6.5. priimti įsakymus dėl registrų elektroninės informacijos saugumo užtikrinimo;

6.6. užtikrinti veiksmingą ir spartų registrų pokyčių valdymo planavimą;

6.7. prireikus tvirtinti rizikos įvertinimo ir rizikos valdymo priemonių planą;

6.8. prireikus tvirtinti registrų informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą;

6.9.  atlikti kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.  

7. Registrų tvarkytojo funkcijos:

7.1. užtikrinti registrų nepertraukiamą veikimą;

7.2. užtikrinti registrų elektroninės informacijos saugą ir saugų jos perdavimą elektroninių ryšių tinklais;

7.3. užtikrinti registrų valdytojo priimtų teisės aktų ir rekomendacijų tinkamą įgyvendinimą;

7.4. ne rečiau kaip kartą per metus organizuoti saugos dokumentų persvarstymą (peržiūrėjimą);

7.5. organizuoti registrų naudotojams mokomuosius ir pažintinius kursus registrų elektroninės informacijos tvarkymo klausimais;

7.6. atlikti kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

8.   Už elektroninės informacijos saugą pagal kompetenciją atsako registrų valdytojas ir tvarkytojas. 

9. Registrų valdytojas atsako už saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.

10. Registrų tvarkytojas atsako už tai, kad būtų įgyvendinamos ir užtikrinamos reikiamos administracinės, techninės ir organizacinės saugos priemonės ir kad būtų laikomasi Saugos nuostatų ir saugos politikos įgyvendinamųjų dokumentų.

11. Registrų saugos įgaliotinio (toliau – saugos įgaliotinis), koordinuojančio ir prižiūrinčio registrų saugos politikos įgyvendinimą, funkcijos:

11.1. teikti registrų tvarkytojo vadovui pasiūlymus dėl:

11.1.1. administratorių paskyrimo ir reikalavimų administratoriams nustatymo;

11.1.2. informacinių technologijų saugos atitikties vertinimo pagal Informacinių technologijų saugos atitikties vertinimo metodiką, patvirtintą Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

11.2. teikti registrų valdytojo vadovui pasiūlymus dėl saugos dokumentų priėmimo, keitimo;

11.3. informuoti registrų valdytojo vadovą apie registrų saugos problemas;

11.4. koordinuoti registrų elektroninės informacijos saugos incidentų tyrimą ir bendradarbiauti su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

11.5. teikti administratoriui ir registrų naudotojams privalomus vykdyti nurodymus ir pavedimus dėl saugos politikos įgyvendinimo;

11.6.  organizuoti registrų rizikos ir informacinių technologijų saugos atitikties įvertinimą;

11.7. periodiškai organizuoti registrų naudotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoti juos apie elektroninės informacijos saugos problemas;

11.8. atlikti kitas Saugos nuostatuose, kituose teisės aktuose nustatytas ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, saugos įgaliotiniui priskirtas funkcijas.

12. Saugos įgaliotinis negali atlikti administratoriaus funkcijų.

13. Administratoriaus funkcijos:

13.1. suteikia teisę registrų tvarkytojo darbuotojams naudotis duomenimis priskirtoms funkcijoms atlikti;

13.2. atlieka registrų naudotojų teisių valdymą;

13.3. administruoja registrų komponentus (kompiuterius, operacines sistemas, duomenų bazių valdymo sistemas, taikomųjų programų sistemas, ugniasienes, informacijos perdavimo tinklus), nustato pažeidžiamas vietas ir saugos reikalavimų atitiktį, vykdo stebėseną;

13.4. teikia saugos įgaliotiniui informaciją apie registrų komponentų būklę;

13.5. registruoja saugos incidentus ir informuoja apie juos saugos įgaliotinį, teikia siūlymus dėl minėtų incidentų šalinimo;

13.6. ne rečiau kaip kartą per metus ir (arba) po registrų pokyčio patikrina registrų komponentų sąranką ir registrų būsenos rodiklius;

13.7. vykdo saugos įgaliotinio nurodymus ir pavedimus, susijusius su registrų saugos užtikrinimu.

14.  Teisės aktai, kuriais vadovaujamasi tvarkant elektroninę informaciją ir užtikrinant jos saugą:

14.1.  Lietuvos Respublikos kibernetinio saugumo įstatymas;

14.2.  Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

14.3.  Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

14.4.  Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

14.5.  Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Gairių aprašas);

14.6.  Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

14.7.  Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

14.8.  Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“;

14.9.  Lietuvos standartai LST ISO/IEC 27002 ir LST ISO/IEC 27001 bei kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugą; kiti teisės aktai, reglamentuojantys informacinių sistemų elektroninės informacijos tvarkymą ir saugą bei informacinių sistemų valdytojo ir tvarkytojo veiklą.

 

 

 

 

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

15. VGI tvarkomuose registruose elektroninė informacija priskiriama šioms elektroninės svarbos kategorijoms:

15.1. Lietuvos Respublikos geležinkelių riedmenų registre ir Traukinio mašinistų registre tvarkoma elektroninė informacija, vadovaujantis Gairių aprašo 4.2.3, 4.2.4 ir 4.2.7 papunkčių nuostatomis, priskiriama svarbios elektroninės informacijos kategorijai;

15.2. Lietuvos Respublikos geležinkelių infrastruktūros registre tvarkoma elektroninė informacija, vadovaujantis Gairių aprašo 4.3.1, 4.3.2 ir 4.3.4 papunkčių nuostatomis, priskiriama žinybinės svarbos elektroninės informacijos kategorijai.

16.  VGI tvarkomi registrai priskiriami šioms svarbos kategorijoms:

16.1. Lietuvos Respublikos geležinkelių riedmenų registras ir Traukinio mašinistų registras, vadovaujantis Gairių aprašo 5.2 papunkčio nuostatomis, priskiriami antrai kategorijai;

16.2. Lietuvos Respublikos geležinkelių infrastruktūros registras, vadovaujantis Gairių aprašo 5.3 papunkčio nuostatomis, priskiriamas trečiai kategorijai.

17. Vadovaujantis Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintų Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“, 11.3 papunkčiu ir 12 punktu VGI tvarkomuose registruose tvarkomi asmens duomenys priskiriami trečiajam saugumo lygiui.

18. Registrų saugos priemonės parenkamos įvertinus galimus rizikos veiksnius registrų elektroninės informacijos vientisumui ir prieinamumui.

19. Saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo technika“ standartus, kasmet organizuoja registrų rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį registrų rizikos įvertinimą. Registrų tvarkytojo vadovo rašytiniu pavedimu registrų rizikos įvertinimą gali atlikti pats saugos įgaliotinis.

20. Registrų rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama registrų valdytojo vadovui. Registrų rizikos įvertinimo ataskaita rengiama atsižvelgus į rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:

20.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

20.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis registru elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);

20.3.  veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

21. Rizikos vertinimo metu atliekamos veiklos:

21.1. registrus sudarančių informacinių išteklių inventorizacija;

21.2. įtakos registrų veiklai vertinimas;

21.3. grėsmių ir pažeidimų analizė;

21.4. liekamosios rizikos vertinimas.

22. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:

22.1. likutinė rizika turi būti sumažinta iki priimtino lygio;

22.2. informacijos saugos priemonės diegimo kaina turi atitikti saugomos informacijos vertę;

22.3. atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

23. Registrų valdytojas, atsižvelgdamas į registrų rizikos įvertinimo ataskaitą, prireikus tvirtina registrų rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis registrų rizikos valdymo priemonėms įgyvendinti.

24. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas registrų valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Atitikties stebėsenos sistemos nuostatai), nustatyta tvarka.

25. Siekiant užtikrinti saugos dokumentuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, ne rečiau kaip kartą per metus, jeigu teisės aktuose nenustatyta kitaip, organizuojamas informacinių technologijų saugos atitikties vertinimas, kurio metu:

25.1. įvertinama Saugos nuostatų, kitų saugos politikos įgyvendinamųjų teisės aktų ir esamos informacijos saugos atitiktis;

25.2. inventorizuojama registrų techninė ir programinė įranga;

25.3. tikrinama ne mažiau kaip 10 procentų registrų duomenis tvarkančių darbuotojų darbo vietų ir tarnybinių stočių programinė įranga ir jų sąranka;

25.4. patikrinama (įvertinama), ar registrų naudotojams suteiktos teisės atitinka vykdomas funkcijas;

25.5. įvertinama, ar pasirengta užtikrinti registrų veiklos tęstinumą įvykus saugos incidentui (nenumatytai situacijai).

26. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama registrų tvarkytojo vadovui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato registrų valdytojas.

27. Prireikus saugos įgaliotinis gali inicijuoti ir registrų tvarkytojo pavedimu atlikti neeilinį registrų rizikos įvertinimą.

28. Neeilinis registrų rizikos įvertinimas turi būti atliekamas:

28.1. įvykus registrų techninės ar programinės įrangos pokyčiams, kurie galėtų daryti įtaką registrų veikimui;

28.2. paaiškėjus naujoms tendencijoms informacinių technologijų saugos srityje, dėl kurių kiltų grėsmė registrų techninei, programinei įrangai ar registruose tvarkomiems duomenims;

28.3. po saugos incidento, kurio metu būtų sutrikdyta registrų veikla, sugadinta ar prarasta registrų elektroninė informacija.

29. Informacinių technologijų saugos atitikties vertinimo ataskaitas, pastebėtų trūkumų šalinimo plano kopijas registrų valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Atitikties stebėsenos sistemos nuostatų nustatyta tvarka.

 

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

30. Programinės įrangos, skirtos registrams apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

30.1. Turi būti naudojama ir ne rečiau kaip kartą per parą automatiškai atnaujinama programinė įranga, skirta apsaugai nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.).

30.2. Programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu.

30.3. Registrams funkcionuoti būtina programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės ir kita) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Programinės įrangos kontrolę atlieka administratorius.

30.4. Programinės įrangos testavimas turi būti atliekamas naudojant atskirą tam skirtą testavimo aplinką.

30.5. Programinė įranga turi informuoti administratorių apie pradelstą jos atsinaujinimo laiką.

31. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:

31.1. Registrų naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga, įtraukta į su registrų valdytoju suderintą leistinos programinės įrangos sąrašą. Leistinos programinės įrangos sąrašą turi parengti ir ne rečiau kaip kartą per metus peržiūrėti ir prireikus atnaujinti saugos įgaliotinis. Rasta nelegali programinė įranga nedelsiant pašalinama.

31.2. Registrų naudotojų kompiuterinėje įrangoje turi būti naudojama tik darbo (tarnybos) funkcijoms atlikti reikalinga programinė įranga.

31.3. Tarnybinių stočių ir registrų naudotojų darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai turi būti operatyviai išbandomi ir įdiegiami.

31.4. Saugos administratorius reguliariai, ne rečiau kaip kartą per mėnesį turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumo svarbos lygius registrų posistemiuose, funkciškai savarankiškose sudedamosiose dalyse, vidinių registrų naudotojų darbo vietų kompiuterinėje įrangoje. Apie įvertinimo rezultatus saugos administratorius turi informuoti saugos įgaliotinį.

31.5.  Programinė įranga turi būti prižiūrima laikantis gamintojo rekomendacijų.

31.6. Programinę įrangą diegia, šalina ir konfigūruoja administratorius.

31.7.  Programinė įranga turi būti testuojama naudojant atskirą testavimo aplinką, kurioje esantys asmens duomenys turi būti naudojami vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“.

32. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių ir kitos) pagrindinės naudojimo nuostatos:

32.1. Kompiuterių tinklas turi būti atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienes, apsaugos nuo pagrindinių per tinklą vykdomų atakų, atkirtimo nuo paslaugos, dedikuoto atkirtimo nuo paslaugos įrangą ir kt.

32.2. Kompiuterių tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešajame ryšių tinkle naršančių vidinių registrų naudotojų kompiuterinę įrangą nuo kenksmingo kodo.

32.3.  Apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga, galinti iššifruoti įeinančių ir išeinančių duomenų srautų duomenis.

32.4. Naudojami tarnybinės stoties operacinės sistemos metodai, leidžiantys vienareikšmiškai atpažinti kompiuterių tinklui priklausančius kompiuterius.

32.5. Draudžiama neatpažintiems vartotojams prisijungti prie kompiuterių tinklo iš kompiuterio, nepriklausančio šiam tinklui.

33. Leistinos kompiuterių naudojimo ribos:

33.1.  Stacionariuosius kompiuterius leidžiama naudoti tik registrų tvarkytojo patalpose.

33.2. Draudžiama keisti stacionariųjų kompiuterių išdėstymo vietas registrų tvarkytojo patalpose be administratoriaus leidimo.

33.3. Stacionarieji kompiuteriai naudojami tik tarnybinėms funkcijoms vykdyti.

33.4. Tarnybiniai nešiojamieji kompiuteriai, turintys prieigą prie registrų, ne registrų tvarkytojo patalpose gali būti naudojami tik tarnybinėms funkcijoms vykdyti.

33.5. Tarnybiniams nešiojamiesiems kompiuteriams, turintiems prieigą prie registrų ir naudojamiems nustatytoms funkcijoms vykdyti, išnešamiems iš registrų tvarkytojo patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, papildomas tapatybės patvirtinimas, prisijungimo ribojimai, rakinimo įrenginių naudojimas).

33.6.  Iš stacionariųjų ir tarnybinių nešiojamųjų kompiuterių ar elektroninės informacijos laikmenų, kurie perduodami remonto, techninės priežiūros paslaugų teikėjui arba nurašomi, turi būti nebeatkuriamai pašalinta visa nevieša elektroninė informacija.

33.7. Iš nutolusių registrų tvarkytojo darbo vietų prie registrų jungiamasi naudojant virtualų privatų tinklą.

34. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

34.1. Prieiga prie registro yra ribojama ugniasienėmis pagal duomenų teikimo sutartyse numatytus kriterijus (IP adresus).

34.2. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojami saugūs ryšio kanalai. Informacijai perduoti gali būti naudojamas Saugus valstybės duomenų perdavimo tinklas (SVDPT).

34.3. Teikti ir (ar) gauti elektroninę informaciją automatiniu būdu galima tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas. Tam naudojami saugūs ryšio kanalai (VPN).

35. Saugi prieiga prie registrų elektroninės informacijos yra užtikrinama tokiomis priemonėmis:

35.1. Kontroliuojamas patekimas į registrų tvarkytojo patalpas, įrengiama signalizacija (nuo įsilaužimo ir gaisro).

35.2. Registrų naudotojai atpažįstami pagal vartotojų vardus ir slaptažodžius, kurių kontrolę atlieka kompiuterio ir tarnybinės stoties operacinės sistemos.

35.3. Prireikus (jei būtina registrų veiklai užtikrinti) galimas administratoriaus prisijungimas prie kompiuterių ir tarnybinių stočių operacinių sistemų valdymo ir konfigūravimo nuotoliniu būdu, naudojant virtualų privatų tinklą.

36. Prisijungimo prie kompiuterių tinklo laikas ir trukmė nėra ribojami.

37. Kompiuterinė įranga turi rezervinį maitinimo šaltinį (UPS), užtikrinantį šios įrangos veikimą ne mažiau nei 30 min.

 

IV SKYRIUS

REIKALAVIMAI PERSONALUI

 

38. Registrų naudotojų, administratoriaus ir saugos įgaliotinio kvalifikaciniai reikalavimai:

38.1. Registrų naudotojų, administratoriaus, saugos įgaliotinio kvalifikacija turi atitikti bendruosius ir specialiuosius reikalavimus, nustatytus jų pareigybių aprašymuose.

38.2. Registrų naudotojai privalo turėti darbo kompiuteriu, taikomosiomis programomis įgūdžių.

38.3. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis.

38.4.  Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrenginio, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo administracinės nuobaudos paskyrimo praėję mažiau kaip vieneri metai.

38.5. Administratorius pagal kompetenciją privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, darbą su kompiuterių tinklais, gebėti užtikrinti jų saugą, išmanyti informacinių sistemų komponentų administravimo ir priežiūros pagrindus, būti susipažinęs su saugos dokumentais ir sutikęs laikytis jų reikalavimų.

38.6. Registrų naudotojai turi būti įgiję darbo kompiuteriu įgūdžių, mokėti tvarkyti registrų elektroninę informaciją registrų nuostatuose nurodyta tvarka, išmanyti saugos politiką reglamentuojančius teisės aktus.

38.7. Registrų naudotojai turi būti pasirašytinai susipažinę su Saugos nuostatais ir kitais saugos politikos įgyvendinamaisiais teisės aktais.

39. Registrų naudotojų ir administratoriaus mokymo planavimo, organizavimo ir vykdymo tvarka, mokymo dažnumo reikalavimai:

39.1. Registrų naudotojams ir administratoriui turi būti periodiškai, bet ne rečiau kaip kartą per metus organizuojami mokymai elektroninės informacijos saugos klausimais, įvairiais būdais primenama apie elektroninės informacijos saugos problemas (pvz., priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems registrų naudotojams ir administratoriui ir pan.);

39.2. Mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugumo užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), registrų naudotojų ar administratoriaus poreikius.

39.3.  Už mokymų organizavimą atsakingas saugos įgaliotinis.

 

V SKYRIUS

registrŲ naudotojų supažindinimo su saugos dokumentais principai

 

40. Registrų naudotojų supažindinimą su Saugos nuostatais ir kitais registrų saugos politikos įgyvendinamaisiais teisės aktais ir atsakomybe už šių reikalavimų nesilaikymą organizuoja saugos įgaliotinis. Saugos įgaliotinis raštu informuoja registrų naudotojus apie Saugos nuostatų pakeitimus ar kitų saugos politikos įgyvendinamųjų teisės aktų pripažinimą netekusiais galios, keitimą ar priėmimą.

41. Pakartotinai su Saugos nuostatais ir saugos politikos įgyvendinamaisiais teisės aktais registrų naudotojai supažindinami tik iš esmės pasikeitus šiems teisės aktams.

 

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

42. Saugos nuostatai ir kiti saugos politikos įgyvendinamieji teisės aktai skelbiami registrų tvarkytojo interneto svetainėje.

43. Registrų valdytojas saugos dokumentus gali keisti savo arba saugos įgaliotinio iniciatyva. Keičiami saugos dokumentai turi būti derinami su Lietuvos Respublikos vidaus reikalų ministerija. Keičiami saugos dokumentai gali būti nederinami su Lietuvos Respublikos vidaus reikalų ministerija tais atvejais, kai atliekami tik redakciniai ar nedideli nustatyto teisinio reguliavimo esmės ar saugos politikos nekeičiantys pakeitimai arba taisoma teisės technika.

44. Registrų tvarkytojas saugos dokumentus turi persvarstyti (peržiūrėti) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems registrų tvarkytojo pokyčiams.

_____________