HERB21

LIETUVOS RESPUBLIKOS APLINKOS MINISTRAS

ĮSAKYMAS

DĖL VIENINGOS GAMINIŲ, PAKUOČIŲ IR ATLIEKŲ APSKAITOS INFORMACINĖS SISTEMOS SAUGOS NUOSTATŲ PATVIRTINIMO

2024 m. spalio 17 d. Nr. D1-343

Vilnius

Įgyvendindamas Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir saugos dokumentų turinio gairių aprašo patvirtinimo“ 7 punktu:

1. T v i r t i n u Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos saugos nuostatus (pridedama).

2. P a v e d u Aplinkos apsaugos departamentui prie Aplinkos ministerijos paskirti Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos saugos įgaliotinį.

Aplinkos ministras Simonas Gentvilas

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2024 m. spalio 2 d. raštu Nr. (4.1 E) 6K-655

PATVIRTINTA

Lietuvos Respublikos aplinkos ministro

2024 m. spalio 17 d. įsakymu Nr. D1-343

VIENINGOS GAMINIŲ, PAKUOČIŲ IR ATLIEKŲ APSKAITOS INFORMACINĖS SISTEMOS SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos (toliau – GPAIS) saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja GPAIS elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui ir GPAIS naudotojų supažindinimo su saugos dokumentais principus.

2. GPAIS duomenų saugos užtikrinimo tikslai:

2.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją;

2.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar neteisėto jos tvarkymo.

3. GPAIS valdytoja – Lietuvos Respublikos aplinkos ministerija, buveinė – A. Jakšto g. 4, Vilniuje;

4. GPAIS tvarkytojai – Aplinkos apsaugos agentūra (toliau – Agentūra), buveinė A. Juozapavičiaus g. 9, Vilniuje, ir Aplinkos apsaugos departamentas prie Aplinkos ministerijos (toliau – Departamentas), buveinė Smolensko g. 15, Vilniuje;

5. GPAIS administratorius – GPAIS tvarkytojo darbuotojas, dirbantis pagal darbo sutartį arba GPAIS valdytojo pasitelktas paslaugų teikėjas, GPAIS infrastruktūros, kompiuterinės įrangos saugos ir priežiūros administratorius (toliau kartu ‒ darbuotojas);

6. GPAIS naudotojai – GPAIS valdytojo ir GPAIS tvarkytojų valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, kurie jungiasi prie GPAIS ir teisės aktų nustatyta tvarka pagal kompetenciją naudoja ir (ar) tvarko elektroninę informaciją;

7. GPAIS saugos įgaliotinis – GPAIS valdytojo paskirtas darbuotojas, įgyvendinantis GPAIS elektroninės informacijos saugą.

8. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos:

8.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme;

8.2. Lietuvos Respublikos kibernetinio saugumo įstatyme;

8.3. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679);

8.4. Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau ‒ Bendrųjų elektroninės informacijos saugos reikalavimų aprašas);

8.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

8.6. Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau ‒ Informacinių technologijų saugos atitikties vertinimo metodika);

8.7. Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos aplinkos ministro 2013 m. gruodžio 20 d. įsakymu Nr. D1-976 „Dėl Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos nuostatų patvirtinimo“ (toliau – GPAIS nuostatai);

8.8. kituose informacinių sistemų saugą reglamentuojančiuose teisės aktuose.

9. Saugos nuostatų tikslai:

9.1. sudaryti sąlygas saugiai tvarkyti GPAIS elektroninę informaciją;

9.2. užtikrinti, kad GPAIS tvarkoma elektroninė informacija būtų apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo, nuo bet kokio kito neteisėto tvarkymo;

9.3. vykdyti GPAIS elektroninės informacijos saugos ir kibernetinių incidentų, asmens duomenų saugumo pažeidimų prevenciją, reaguoti į GPAIS elektroninės informacijos saugos ir kibernetinius incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai valdyti.

10. GPAIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

10.1. elektroninės informacijos konfidencialumo užtikrinimas;

10.2. elektroninės informacijos vientisumo užtikrinimas;

10.3. elektroninės informacijos prieinamumo užtikrinimas;

10.4. asmens duomenų apsauga;

10.5. veiklos tęstinumo užtikrinimas;

10.6. prieigos prie GPAIS kontrolė;

10.7. rizikos valdymas;

10.8. GPAIS naudotojų ir administratorių mokymas elektroninės informacijos ir asmens duomenų saugos klausimais;

10.9. organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų elektroninės informacijos saugai, įgyvendinimas ir kontrolė.

11. Saugos nuostatai reglamentuoja sistemos automatizuotą duomenų apdorojimą ir privalomi visiems GPAIS naudotojams, GPAIS tvarkytojams, GPAIS valdytojai, GPAIS administratoriams ir GPAIS saugos įgaliotiniui.

12. GPAIS valdytoja atsako už saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą, elektroninės informacijos tvarkymo teisėtumą ir atlieka šias funkcijas:

12.1. plėtoja GPAIS duomenų apsaugos teisinę bazę ir organizuoja jos įgyvendinimą;

12.2. užtikrina GPAIS pokyčių valdymo plano įgyvendinimą;

12.3. koordinuoja visų GPAIS naudotojų, administratorių ir GPAIS saugos įgaliotinio darbą, metodiškai jiems vadovauja ir įstatymų nustatyta tvarka vykdo šio darbo priežiūrą;

12.4. prižiūri, kaip laikomasi Saugos nuostatų reikalavimų;

12.5. priima sprendimus, susijusius su GPAIS saugumo užtikrinimu, tikrina, kaip jie vykdomi;

12.6. skiria arba paveda GPAIS tvarkytojams paskirti GPAIS saugos įgaliotinį ir GPAIS administratorių;

12.7. atsako už elektroninės informacijos saugos politikos formavimą.

13. GPAIS tvarkytojai atlieka šias funkcijas:

13.1. tvarko GPAIS duomenis vadovaudamiesi GPAIS nuostatų 11.1 ir 11.2 papunkčiuose apibrėžtomis tvarkytojų funkcijomis;

13.2. pagal kompetenciją vykdydami funkcijas, užtikrina tvarkomų duomenų saugą;

13.3. pagal kompetenciją rengia ir tvirtina dokumentus, susijusius su GPAIS tvarkymu ir duomenų sauga savo įstaigoje, ir prižiūri, kaip jų laikomasi;

13.4. Aplinkos ministerijos pavedimu Agentūra skiria GPAIS administratorių ir paveda jam atlikti Saugos nuostatuose numatytas funkcijas;

13.5. Agentūra užtikrina nepertraukiamą GPAIS veiklą;

13.6. atlieka kitas GPAIS nuostatuose ir informacinių sistemų tvarkymą reglamentuojančiuose teisės aktuose informacinės sistemos tvarkytojui nustatytas funkcijas.

14. GPAIS administratorius, įgyvendindamas GPAIS elektroninės informacijos saugą, atlieka šias funkcijas:

14.1. užtikrina GPAIS duomenų apsaugą ir elektroninės informacijos saugą, atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą;

14.2. užtikrina GPAIS valdytojo priimtų teisės aktų ir rekomendacijų tinkamą įgyvendinimą;

14.3. teikia pasiūlymus GPAIS valdytojai, kaip tobulinti GPAIS saugą.

14.4. registruoja GPAIS naudotojus ir suteikia jiems prieigos teises;

14.5. panaikina GPAIS naudotųjų prieigos teises;

14.6. daro atsargines GPAIS duomenų kopijas, atkuria duomenis iš kopijų ir periodiškai tikrina duomenų iš kopijų atkūrimo galimybes;

14.7. dalyvauja atliekant GPAIS saugos reikalavimų atitikties vertinimą;

14.8. dalyvauja nustatant GPAIS pažeidžiamas vietas – elektroninės informacijos saugą;

14.9. vykdo GPAIS saugos įgaliotinio nurodymus ir pavedimus GPAIS saugos politikos įgyvendinimo klausimais ir jam atsiskaito už duomenų saugos organizavimą ir saugos priemonių įgyvendinimą;

14.10. informuoja GPAIS saugos įgaliotinį apie saugos politiką įgyvendinančių dokumentų, patvirtintų Lietuvos Respublikos aplinkos ministro 2012 m. liepos 25 d. įsakymu Nr. D1-637 „Dėl Lietuvos Respublikos aplinkos ministerijos informacinių sistemų saugos elektroninės informacijos tvarkymo taisyklių, Lietuvos Respublikos aplinkos ministerijos informacinių sistemų veiklos tęstinumo valdymo plano ir Lietuvos Respublikos aplinkos ministerijos informacinių sistemų naudotojų administravimo taisyklių patvirtinimo“ (toliau – saugos politiką įgyvendinantys dokumentai) pažeidimus, nusikalstamos veikos požymius, elektroninės informacijos saugai svarbius įvykius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;

14.11. dalyvauja atliekant GPAIS saugos reikalavimų atitikties vertinimą;

14.12. dalyvauja nustatant GPAIS pažeidžiamas vietas – elektroninės informacijos saugą;

14.13. teikia pasiūlymus GPAIS saugos įgaliotiniui, kaip tobulinti elektroninės informacijos saugą;

14.14. raštu ar elektroninėmis ryšio priemonėmis informuoja GPAIS saugos įgaliotinį apie saugos politiką įgyvendinančių dokumentų pažeidimus, nusikalstamos veikos požymius, elektroninės informacijos saugai svarbius įvykius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones (nurodo savo pareigas, vardą, pavardę ir šiame papunktyje nurodytas aplinkybes);

14.15. gavęs pranešimą apie vykdomus neteisėtus veiksmus su GPAIS tvarkoma elektronine informacija, inicijuoja elektroninės informacijos saugos incidento valdymo procedūras;

14.16. teikia metodinę ir informacinę pagalbą GPAIS saugos klausimais GPAIS saugos įgaliotiniui;

14.17. konsultuoja, teikia metodinę ir informacinę pagalbą GPAIS saugos klausimais.

15. GPAIS saugos įgaliotinis, įgyvendindamas GPAIS elektroninės informacijos saugą, atlieka šias funkcijas:

15.1. teikia GPAIS valdytojai pasiūlymus dėl saugos dokumentų tobulinimo, keitimo ar panaikinimo;

15.2. tiria elektroninės informacijos saugos incidentus ir, jei incidentas turi asmens duomenų saugumo pažeidimo, kaip jis suprantamas Reglamente (ES) 2016/679, požymių, imasi priemonių, kad apie incidentą nedelsiant būtų informuota GPAIS valdytoja;

15.3. teikia administratoriui privalomus vykdyti nurodymus ir pavedimus;

15.4. ne rečiau kaip vieną kartą per metus peržiūri GPAIS naudotojų sąrašą, patikrina, ar visi naudotojai aktyvūs, sudaro neaktyvių naudotojų sąrašą GPAIS administratoriui;

15.5. supažindina GPAIS naudotojus ir GPAIS administratorius su Saugos nuostatais ir kitais saugos politiką reguliuojančiais teisės aktais, atsakomybe už šių reikalavimų nesilaikymą;

15.6. periodiškai inicijuoja GPAIS naudotojų ir administratorių mokymą elektroninės informacijos saugos klausimais, informuoja juos apie informacijos saugos problemas (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujiems darbuotojams ir panašiai);

15.7. koordinuodamas ir prižiūrėdamas, kaip GPAIS įgyvendinama saugos politika, atlieka Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir saugos politikos įgyvendinamuosiuose dokumentuose GPAIS saugos įgaliotiniui priskirtas funkcijas;

15.8. užtikrina asmens duomenų tvarkymo reikalavimų įgyvendinimą;

15.9. nustato elektroninės informacijos saugos incidentų registracijos ir tyrimo tvarką. Jei elektroninės informacijos saugos incidentas turi asmens duomenų saugumo pažeidimo, kaip jis suprantamas Reglamente (ES) 2016/679, požymių, nedelsdamas informuoja GPAIS valdytoją.

16. Saugų GPAIS duomenų tvarkymą reglamentuoja:

16.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

16.2. Valstybės informacinių išteklių valdymo įstatymas;

16.3. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

16.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

16.5. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;

16.6. Informacinių technologijų saugos atitikties vertinimo metodika;

16.7. Lietuvos standartai LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai (tapatus ISO/IEC 27001)“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai (tapatus ISO/IEC 27002)“;

16.8. kiti teisės aktai, reglamentuojantys duomenų tvarkymo teisėtumą, sistemos tvarkytojo veiklą ir duomenų saugos valdymą.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

17. GPAIS priskirtinas svarbių valstybės informacinių išteklių rūšiai. Nustatytas 2 (aukštas) konfidencialumo, vientisumo ir pasiekiamumo pažeidimo poveikio lygis įvertinus poveikį viešosios ir administracinės paslaugos teikimui.

18. GPAIS saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos 2005 m. išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet savo įstaigoje organizuoja GPAIS rizikos įvertinimą. Prireikus GPAIS saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. GPAIS saugos įgaliotinis apie GPAIS rizikos įvertinimo rezultatus informuoja GPAIS valdytoją. GPAIS rizikos vertinimo rezultatai išdėstomi rizikos vertinimo ataskaitoje, kuri pateikiama GPAIS valdytojai. Rizikos vertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai, galimą jų žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:

18.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nedidelis, padariniai nebus pavojingi – informacija išsiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, kurią galima greitai atkurti iš atsarginių kopijų, prarasta informacija po paskutinio kopijavimo. Neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterizuotose darbo vietose;

18.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar sugadinti, bet juos įmanoma atkurti iš atsarginių kopijų. Duomenų bazių įrašai pakeisti, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse;

18.3. A – aukštas. Duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti – duomenys visiškai sugadinti, dėl vagystės, gaisro ar užliejimo prarasti duomenys GPAIS duomenų bazėse.

19. Atsižvelgdama į rizikos vertinimo ataskaitą, GPAIS valdytoja prireikus tvirtina rizikos vertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

20. Elektroninės informacijos saugos ir kibernetinio saugumo gerinimo priemonės turi atitikti teisės aktų reikalavimus, parinktos atsižvelgiant į rizikos vertinimo rezultatus ir vadovaujantis šiais principais:

20.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

20.2. priemonės diegimo kaina turi būti adekvati tvarkomos elektroninės informacijos vertei;

20.3. atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos ir kibernetinio saugumo priemonės.

21. Siekiant įgyvendinti saugos politikos įgyvendinamuosiuose dokumentuose nustatytus elektroninės informacijos saugos reikalavimus ir užtikrinti jų kontrolę, ne rečiau kaip kartą per dvejus metus organizuojamas informacinių technologijų saugos atitikties vertinimas.

22. Informacinių technologijų saugos atitikties vertinimo metu turi būti:

22.1. įvertinama Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimų ir faktinės saugos atitiktis, inventorizuojama GPAIS techninė ir programinė įranga;

22.2. patikrinama ir įvertinama GPAIS administratoriams ir GPAIS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

22.3. įvertinamas pasirengimas užtikrinti GPAIS veiklos tęstinumą įvykus saugos incidentui.

23. Atlikus Saugos nuostatų 22 punkte nurodytą vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kuriame, atsižvelgiant į kibernetinių atakų imitavimo metu nustatytus trūkumus, GPAIS valdytojai teikiami pasiūlymai dėl kibernetinį saugumą reglamentuojančių teisės aktų ar kitų GPAIS valdytojo patvirtintų dokumentų pakeitimo, kibernetinio saugumo būklės gerinimo ir papildomų kibernetinio saugumo priemonių įsigijimo. Pastebėtų trūkumų šalinimo planą tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato GPAIS valdytoja.

24. GPAIS rizikos vertinimo ataskaitos, rizikos vertinimo ir rizikos valdymo priemonių plano, informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas GPAIS valdytoja ne vėliau kaip per 5 (penkias) darbo dienas nuo minėtų dokumentų priėmimo pateikia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą (toliau – ARSIS) Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai), nustatyta tvarka.

25. GPAIS saugos politikos įgyvendinamųjų dokumentų ir jų pakeitimų kopijas GPAIS valdytoja ne vėliau kaip per 5 (penkias) darbo dienas nuo jų patvirtinimo pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

26. GPAIS tarnybinės stotys (virtualios mašinos) turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, šnipinėti skirtos programinės įrangos ir pan.). Apsaugai naudojama programinė įranga turi atsinaujinti automatiškai ne rečiau kaip kartą per parą.

27. GPAIS naudotojų ir administratorių prieiga prie GPAIS valdoma naudojant unikalius identifikatorius ir slaptažodžius.

28. GPAIS naudotojų ir administratorių darbo vietose turi būti naudojama programinė įranga, skirta apsaugoti GPAIS naudotojų darbo vietas nuo kenksmingos programinės įrangos (virusų, šnipinėti skirtos programinės įrangos ir pan.). Ši programinė įranga turi būti atnaujinama ne rečiau kaip vieną kartą per savaitę.

29. GPAIS naudotojų ir administratorių darbo vietose kompiuterinė ir programinė įranga gali būti naudojami ir kitoms GPAIS naudotojo ir administratoriaus funkcijoms atlikti, jei nenumatyta kitaip.

30. GPAIS elektroninė informacija perduodama naudojant saugias ryšio linijas, aprašytas GPAIS elektroninės informacijos tvarkymo taisyklėse, patvirtintose saugos politiką įgyvendinančiuose dokumentuose.

31. GPAIS duomenys automatiniu būdu perduodami tik pagal duomenų teikimo sutartyse nustatytas technines specifikacijas ir sąlygas.

32. GPAIS kompiuterinės įrangos ir mobiliųjų įrenginių apsauga nuo kenksmingos programinės įrangos (virusų, šnipinėti skirtos programinės įrangos, nepageidaujamo elektroninio pašto ir pan.) užtikrinama programinėmis ir organizacinėmis priemonėmis.

33. Atsarginių duomenų kopijų darymas turi užtikrinti GPAIS duomenų bazės ir informacinės sistemos veiklos tęstinumą. Atsarginės duomenų kopijos daromos ir duomenys iš atsarginių duomenų kopijų atkuriami laikantis elektroninės informacijos atsarginio kopijavimo ir atkūrimo iš atsarginių duomenų kopijų reikalavimų. Pagrindiniai elektroninės informacijos atsarginio kopijavimo ir atkūrimo reikalavimai:

33.1. atsarginės duomenų kopijos daromos periodiškai automatiniu būdu. Visų atsarginių duomenų kopija daroma ne rečiau kaip kartą per 24 valandas;

33.2. elektroninė informacija atsarginėse duomenų kopijose turi būti užšifruota;

33.3. prarasta, iškraipyta ar sunaikinta GPAIS elektroninė informacija atkuriama iš atsarginių duomenų kopijų;

33.4. GPAIS elektroninė informacija turi būti kopijuojama ir saugoma taip, kad praradus elektroninę informaciją visišką GPAIS funkcionalumą ir veiklą būtų galima atnaujinti per 16 valandų;

33.5. atsarginės duomenų kopijos turi būti pažymėtos, kad jas būtų galima atpažinti;

33.6. padarius atsarginių duomenų kopiją, GPAIS administratorius turi patikrinti sistemos sukurtus duomenų kopijavimo protokolus;

33.7. už atsarginių duomenų kopijų darymą, saugojimą ir elektroninės informacijos iš atsarginių duomenų kopijų atkūrimą atsakingas GPAIS administratorius. Už atsarginių duomenų kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių duomenų kopijų kontrolę atsakingas GPAIS saugos įgaliotinis.

34. Kompiuterių tinklo filtravimo įrangos naudojimo nuostatos:

34.1. GPAIS administratoriaus elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacijų tinklų naudojant užkardą;

34.2. konfigūruojant tinklo užkardas, turi būti laikomasi principo „draudžiama pagal nutylėjimą“, t. y. turi būti naudojami tik būtini organizacijos veiklai tinklo protokolai ir užkardų prievadai;

34.3. GPAIS duomenų mainai vykdomi GPAIS integracijų moduliais (per vidinę ir išorinę sistemas).

35. GPAIS tarnybinių stočių srities tinklo užkardų konfigūracijos aprašymą (užkardos taisykles) saugo GPAIS administratorius. Užkardų konfigūracija peržiūrima ne rečiau kaip kartą per metus. Peržiūrą inicijuoja GPAIS administratorius.

36. GPAIS vidiniu portalu leidžiama naudotis ne tik Aplinkos ministerijos, Agentūros ar Departamento patalpose. Norint prisijungti prie GPAIS vidinio portalo ne institucijos patalpose (ne iš saugių institucijos tinklų) naudotojas būtinai turi jungtis prie saugiojo tinklo įrankio (angl. VPN) ir tik tada prie GPAIS vidinio portalo. Taip užtikrinamas šifravimas ir papildomas tapatybės patvirtinimas.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

37. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje ir savo darbe vadovautis saugos politikos įgyvendinamaisiais dokumentais, Informacinių technologijų saugos atitikties vertinimo metodika, Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais ir dokumentais, reglamentuojančiais informacinių sistemų duomenų tvarkymą, sugebėti prižiūrėti informacinių sistemų saugos politikos įgyvendinimą.

38. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą, susijusį su elektroninių duomenų ir informacinių sistemų saugumu, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą, savavališką prisijungimą prie tinklo, galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, žymėjimo, priežiūros ir naudojimo taisyklių pažeidimą, jeigu nuo jos skyrimo praėję mažiau kaip vieni metai.

39. Administratoriai privalo turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, išmanyti elektroninės informacijos saugos politikos principus, pagal priskirtas funkcijas administruoti GPAIS naudotojus, būti susipažinusiems su saugos politikos įgyvendinamaisiais dokumentais.

40. Prireikus gali būti organizuojami mokymai GPAIS administratoriui. Už šių mokymų organizavimą atsakingas saugos įgaliotinis. GPAIS saugos įgaliotinis pagal poreikį mokymus organizuoja kartą per metus: paruošia mokymų planą ir medžiagą, iš anksto informuoja apie mokymų datą ir laiką, praveda mokymus.

V SKYRIUS

INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

41. Tvarkyti GPAIS duomenis gali tik asmenys, kurie yra susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir sutikę laikytis šių teisės aktų reikalavimų.

42. Už GPAIS naudotojų supažindinimą su Saugos nuostatais įgyvendinančiais dokumentais ir kitais teisės aktais, su atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą yra atsakingas GPAIS saugos įgaliotinis.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

43. Už Saugos nuostatų pažeidimus GPAIS valdytoja, GPAIS tvarkytojai, GPAIS saugos įgaliotinis, GPAIS administratorius, GPAIS naudotojai atsako Lietuvos Respublikos teisės aktų, reglamentuojančių duomenų saugą, nustatyta tvarka.

_________________________