HERB21

LIETUVOS RESPUBLIKOS APLINKOS MINISTRAS

 

ĮSAKYMAS

DĖL VIENINGOS GAMINIŲ, PAKUOČIŲ IR ATLIEKŲ APSKAITOS INFORMACINĖS SISTEMOS SAUGOS NUOSTATŲ PATVIRTINIMO 

 

2024 m. spalio 17 d. Nr. D1-343

Vilnius 

 

 

Įgyvendindamas Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir saugos dokumentų turinio gairių aprašo patvirtinimo“ 7 punktu:

1.  T v i r t i n u Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos saugos nuostatus (pridedama).

2.  P a v e d u Aplinkos apsaugos departamentui prie Aplinkos ministerijos paskirti Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos saugos įgaliotinį.

 

 

 

Aplinkos ministras                                                                                                    Simonas Gentvilas

 

 

 

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2024 m. spalio 2 d. raštu Nr. (4.1 E) 6K-655

 

PATVIRTINTA

Lietuvos Respublikos aplinkos ministro

2024 m. spalio 17 d. įsakymu Nr. D1-343

 

VIENINGOS GAMINIŲ, PAKUOČIŲ IR ATLIEKŲ APSKAITOS INFORMACINĖS SISTEMOS SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos (toliau – GPAIS) saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja GPAIS elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui ir GPAIS naudotojų supažindinimo su saugos dokumentais principus.

2GPAIS duomenų saugos užtikrinimo tikslai:

2.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją;

2.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar neteisėto jos tvarkymo.

3GPAIS valdytoja – Lietuvos Respublikos aplinkos ministerija, buveinė – A. Jakšto g. 4, Vilniuje;

4GPAIS tvarkytojai – Aplinkos apsaugos agentūra (toliau – Agentūra), buveinė A. Juozapavičiaus g. 9, Vilniuje, ir Aplinkos apsaugos departamentas prie Aplinkos ministerijos (toliau – Departamentas), buveinė Smolensko g. 15, Vilniuje;

5GPAIS administratorius – GPAIS tvarkytojo darbuotojas, dirbantis pagal darbo sutartį arba GPAIS valdytojo pasitelktas paslaugų teikėjas, GPAIS infrastruktūros, kompiuterinės įrangos saugos ir priežiūros administratorius (toliau kartu ‒ darbuotojas);

6GPAIS naudotojai – GPAIS valdytojo ir GPAIS tvarkytojų valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, kurie jungiasi prie GPAIS ir teisės aktų nustatyta tvarka pagal kompetenciją naudoja ir (ar) tvarko elektroninę informaciją;

7GPAIS saugos įgaliotinis – GPAIS valdytojo paskirtas darbuotojas, įgyvendinantis GPAIS elektroninės informacijos saugą.

8Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos:

8.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme;

8.2. Lietuvos Respublikos kibernetinio saugumo įstatyme;

8.3. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679);

8.4. Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau ‒ Bendrųjų elektroninės informacijos saugos reikalavimų aprašas);

8.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

8.6. Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr.  V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau ‒ Informacinių technologijų saugos atitikties vertinimo metodika);

8.7. Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos aplinkos ministro 2013 m. gruodžio 20 d. įsakymu Nr. D1-976 „Dėl Vieningos gaminių, pakuočių ir atliekų apskaitos informacinės sistemos nuostatų patvirtinimo“ (toliau – GPAIS nuostatai);

8.8. kituose informacinių sistemų saugą reglamentuojančiuose teisės aktuose.

9Saugos nuostatų tikslai:

9.1. sudaryti sąlygas saugiai tvarkyti GPAIS elektroninę informaciją;

9.2. užtikrinti, kad GPAIS tvarkoma elektroninė informacija būtų apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo, nuo bet kokio kito neteisėto tvarkymo;

9.3. vykdyti GPAIS elektroninės informacijos saugos ir kibernetinių incidentų, asmens duomenų saugumo pažeidimų prevenciją, reaguoti į GPAIS elektroninės informacijos saugos ir kibernetinius incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai valdyti.

10GPAIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

10.1elektroninės informacijos konfidencialumo užtikrinimas;

10.2elektroninės informacijos vientisumo užtikrinimas;

10.3elektroninės informacijos prieinamumo užtikrinimas;

10.4asmens duomenų apsauga;

10.5veiklos tęstinumo užtikrinimas;

10.6prieigos prie GPAIS kontrolė;

10.7rizikos valdymas;

10.8GPAIS naudotojų ir administratorių mokymas elektroninės informacijos ir asmens duomenų saugos klausimais;

10.9organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų elektroninės informacijos saugai, įgyvendinimas ir kontrolė.

11Saugos nuostatai reglamentuoja sistemos automatizuotą duomenų apdorojimą ir privalomi visiems GPAIS naudotojams, GPAIS tvarkytojams, GPAIS valdytojai, GPAIS administratoriams ir GPAIS saugos įgaliotiniui.

12GPAIS valdytoja atsako už saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą, elektroninės informacijos tvarkymo teisėtumą ir atlieka šias funkcijas:

12.1plėtoja GPAIS duomenų apsaugos teisinę bazę ir organizuoja jos įgyvendinimą;

12.2užtikrina GPAIS pokyčių valdymo plano įgyvendinimą;

12.3koordinuoja visų GPAIS naudotojų, administratorių ir GPAIS saugos įgaliotinio darbą, metodiškai jiems vadovauja ir įstatymų nustatyta tvarka vykdo šio darbo priežiūrą;

12.4prižiūri, kaip laikomasi Saugos nuostatų reikalavimų;

12.5priima sprendimus, susijusius su GPAIS saugumo užtikrinimu, tikrina, kaip jie vykdomi;

12.6skiria arba paveda GPAIS tvarkytojams paskirti GPAIS saugos įgaliotinį ir GPAIS administratorių;

12.7atsako už elektroninės informacijos saugos politikos formavimą.

13GPAIS tvarkytojai atlieka šias funkcijas:

13.1tvarko GPAIS duomenis vadovaudamiesi GPAIS nuostatų 11.1 ir 11.2 papunkčiuose apibrėžtomis tvarkytojų funkcijomis;

13.2pagal kompetenciją vykdydami funkcijas, užtikrina tvarkomų duomenų saugą;

13.3pagal kompetenciją rengia ir tvirtina dokumentus, susijusius su GPAIS tvarkymu ir duomenų sauga savo įstaigoje, ir prižiūri, kaip jų laikomasi;

13.4Aplinkos ministerijos pavedimu Agentūra skiria GPAIS administratorių ir paveda jam atlikti Saugos nuostatuose numatytas funkcijas;

13.5Agentūra užtikrina nepertraukiamą GPAIS veiklą;

13.6atlieka kitas GPAIS nuostatuose ir informacinių sistemų tvarkymą reglamentuojančiuose teisės aktuose informacinės sistemos tvarkytojui nustatytas funkcijas.

14GPAIS administratorius, įgyvendindamas GPAIS elektroninės informacijos saugą, atlieka šias funkcijas:

14.1užtikrina GPAIS duomenų apsaugą ir elektroninės informacijos saugą, atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą;

14.2užtikrina GPAIS valdytojo priimtų teisės aktų ir rekomendacijų tinkamą įgyvendinimą;

14.3teikia pasiūlymus GPAIS valdytojai, kaip tobulinti GPAIS saugą.

14.4registruoja GPAIS naudotojus ir suteikia jiems prieigos teises;

14.5panaikina GPAIS naudotųjų prieigos teises;

14.6daro atsargines GPAIS duomenų kopijas, atkuria duomenis iš kopijų ir periodiškai tikrina duomenų iš kopijų atkūrimo galimybes;

14.7dalyvauja atliekant GPAIS saugos reikalavimų atitikties vertinimą;

14.8dalyvauja nustatant GPAIS pažeidžiamas vietas – elektroninės informacijos saugą;

14.9vykdo GPAIS saugos įgaliotinio nurodymus ir pavedimus GPAIS saugos politikos įgyvendinimo klausimais ir jam atsiskaito už duomenų saugos organizavimą ir saugos priemonių įgyvendinimą;

14.10informuoja GPAIS saugos įgaliotinį apie saugos politiką įgyvendinančių dokumentų, patvirtintų Lietuvos Respublikos aplinkos ministro 2012 m. liepos 25 d. įsakymu Nr. D1-637 „Dėl Lietuvos Respublikos aplinkos ministerijos informacinių sistemų saugos elektroninės informacijos tvarkymo taisyklių, Lietuvos Respublikos aplinkos ministerijos informacinių sistemų veiklos tęstinumo valdymo plano ir Lietuvos Respublikos aplinkos ministerijos informacinių sistemų naudotojų administravimo taisyklių patvirtinimo“ (toliau – saugos politiką įgyvendinantys dokumentai) pažeidimus, nusikalstamos veikos požymius, elektroninės informacijos saugai svarbius įvykius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;

14.11dalyvauja atliekant GPAIS saugos reikalavimų atitikties vertinimą;

14.12dalyvauja nustatant GPAIS pažeidžiamas vietas – elektroninės informacijos saugą;

14.13teikia pasiūlymus GPAIS saugos įgaliotiniui, kaip tobulinti elektroninės informacijos saugą;

14.14raštu ar elektroninėmis ryšio priemonėmis informuoja GPAIS saugos įgaliotinį apie saugos politiką įgyvendinančių dokumentų pažeidimus, nusikalstamos veikos požymius, elektroninės informacijos saugai svarbius įvykius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones (nurodo savo pareigas, vardą, pavardę ir šiame papunktyje nurodytas aplinkybes);

14.15gavęs pranešimą apie vykdomus neteisėtus veiksmus su GPAIS tvarkoma elektronine informacija, inicijuoja elektroninės informacijos saugos incidento valdymo procedūras;

14.16teikia metodinę ir informacinę pagalbą GPAIS saugos klausimais GPAIS saugos įgaliotiniui;

14.17konsultuoja, teikia metodinę ir informacinę pagalbą GPAIS saugos klausimais.

15GPAIS saugos įgaliotinis, įgyvendindamas GPAIS elektroninės informacijos saugą, atlieka šias funkcijas:

15.1teikia GPAIS valdytojai pasiūlymus dėl saugos dokumentų tobulinimo, keitimo ar panaikinimo;

15.2tiria elektroninės informacijos saugos incidentus ir, jei incidentas turi asmens duomenų saugumo pažeidimo, kaip jis suprantamas Reglamente (ES) 2016/679, požymių, imasi priemonių, kad apie incidentą nedelsiant būtų informuota GPAIS valdytoja;

15.3teikia  administratoriui privalomus vykdyti nurodymus ir pavedimus;

15.4ne rečiau kaip vieną kartą per metus peržiūri GPAIS naudotojų sąrašą, patikrina, ar visi naudotojai aktyvūs, sudaro neaktyvių naudotojų sąrašą GPAIS administratoriui;

15.5supažindina GPAIS naudotojus ir GPAIS administratorius su Saugos nuostatais ir kitais saugos politiką reguliuojančiais teisės aktais, atsakomybe už šių reikalavimų nesilaikymą;

15.6periodiškai inicijuoja GPAIS naudotojų ir administratorių mokymą elektroninės informacijos saugos klausimais, informuoja juos apie informacijos saugos problemas (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujiems darbuotojams ir panašiai);

15.7koordinuodamas ir prižiūrėdamas, kaip GPAIS įgyvendinama saugos politika, atlieka Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir saugos politikos įgyvendinamuosiuose dokumentuose GPAIS saugos įgaliotiniui priskirtas funkcijas;

15.8užtikrina asmens duomenų tvarkymo reikalavimų įgyvendinimą;

15.9nustato elektroninės informacijos saugos incidentų registracijos ir tyrimo tvarką. Jei elektroninės informacijos saugos incidentas turi asmens duomenų saugumo pažeidimo, kaip jis suprantamas Reglamente (ES) 2016/679, požymių, nedelsdamas informuoja GPAIS valdytoją.

16 Saugų GPAIS duomenų tvarkymą reglamentuoja:

16.1Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

16.2Valstybės informacinių išteklių valdymo įstatymas;

16.32016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

16.4Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

16.5Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;

16.6Informacinių technologijų saugos atitikties vertinimo metodika;

16.7Lietuvos standartai LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai (tapatus ISO/IEC 27001)“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai (tapatus ISO/IEC 27002)“;

16.8.    kiti teisės aktai, reglamentuojantys duomenų tvarkymo teisėtumą, sistemos tvarkytojo veiklą ir duomenų saugos valdymą.

 

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

17.  GPAIS priskirtinas svarbių valstybės informacinių išteklių rūšiai. Nustatytas 2 (aukštas) konfidencialumo, vientisumo ir pasiekiamumo pažeidimo poveikio lygis įvertinus poveikį viešosios ir administracinės paslaugos teikimui.

18.  GPAIS saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos 2005 m. išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet savo įstaigoje organizuoja GPAIS rizikos įvertinimą. Prireikus GPAIS saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. GPAIS saugos įgaliotinis apie GPAIS rizikos įvertinimo rezultatus informuoja GPAIS valdytoją. GPAIS rizikos vertinimo rezultatai išdėstomi rizikos vertinimo ataskaitoje, kuri pateikiama GPAIS valdytojai. Rizikos vertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai, galimą jų žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:

18.1.  Ž – žemas. Duomenų pažeidimo poveikio laipsnis nedidelis, padariniai nebus pavojingi – informacija išsiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, kurią galima greitai atkurti iš atsarginių kopijų, prarasta informacija po paskutinio kopijavimo. Neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterizuotose darbo vietose;

18.2.  V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar sugadinti, bet juos įmanoma atkurti iš atsarginių kopijų. Duomenų bazių įrašai pakeisti, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse;

18.3.  A – aukštas. Duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti – duomenys visiškai sugadinti, dėl vagystės, gaisro ar užliejimo prarasti duomenys GPAIS duomenų bazėse.

19Atsižvelgdama į rizikos vertinimo ataskaitą, GPAIS valdytoja prireikus tvirtina rizikos vertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

20Elektroninės informacijos saugos ir kibernetinio saugumo gerinimo priemonės turi atitikti teisės aktų reikalavimus, parinktos atsižvelgiant į rizikos vertinimo rezultatus ir vadovaujantis šiais principais:

20.1liekamoji rizika turi būti sumažinta iki priimtino lygio;

20.2priemonės diegimo kaina turi būti adekvati tvarkomos elektroninės informacijos vertei;

20.3atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos ir kibernetinio saugumo priemonės.

21Siekiant įgyvendinti saugos politikos įgyvendinamuosiuose dokumentuose nustatytus elektroninės informacijos saugos reikalavimus ir užtikrinti jų kontrolę, ne rečiau kaip kartą per dvejus metus organizuojamas informacinių technologijų saugos atitikties vertinimas.

22Informacinių technologijų saugos atitikties vertinimo metu turi būti:

22.1įvertinama Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimų ir faktinės saugos atitiktis, inventorizuojama GPAIS techninė ir programinė įranga;

22.2patikrinama ir įvertinama GPAIS administratoriams ir GPAIS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

22.3įvertinamas pasirengimas užtikrinti GPAIS veiklos tęstinumą įvykus saugos incidentui.

23Atlikus Saugos nuostatų 22 punkte nurodytą vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kuriame, atsižvelgiant į kibernetinių atakų imitavimo metu nustatytus trūkumus, GPAIS valdytojai teikiami pasiūlymai dėl kibernetinį saugumą reglamentuojančių teisės aktų ar kitų GPAIS valdytojo patvirtintų dokumentų pakeitimo, kibernetinio saugumo būklės gerinimo ir papildomų kibernetinio saugumo priemonių įsigijimo. Pastebėtų trūkumų šalinimo planą tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato GPAIS valdytoja.

24GPAIS rizikos vertinimo ataskaitos, rizikos vertinimo ir rizikos valdymo priemonių plano, informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas GPAIS valdytoja ne vėliau kaip per 5 (penkias) darbo dienas nuo minėtų dokumentų priėmimo pateikia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą (toliau – ARSIS) Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai), nustatyta tvarka.

25GPAIS saugos politikos įgyvendinamųjų dokumentų ir jų pakeitimų kopijas GPAIS valdytoja ne vėliau kaip per 5 (penkias) darbo dienas nuo jų patvirtinimo pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

 

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

26GPAIS tarnybinės stotys (virtualios mašinos) turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, šnipinėti skirtos programinės įrangos ir pan.). Apsaugai naudojama programinė įranga turi atsinaujinti automatiškai ne rečiau kaip kartą per parą.

27GPAIS naudotojų ir administratorių prieiga prie GPAIS valdoma naudojant unikalius identifikatorius ir slaptažodžius.

28GPAIS naudotojų ir administratorių darbo vietose turi būti naudojama programinė įranga, skirta apsaugoti GPAIS naudotojų darbo vietas nuo kenksmingos programinės įrangos (virusų, šnipinėti skirtos programinės įrangos ir pan.). Ši programinė įranga turi būti atnaujinama ne rečiau kaip vieną kartą per savaitę.

29GPAIS naudotojų ir administratorių darbo vietose kompiuterinė ir programinė įranga gali būti naudojami ir kitoms GPAIS naudotojo ir administratoriaus funkcijoms atlikti, jei nenumatyta kitaip.

30GPAIS elektroninė informacija perduodama naudojant saugias ryšio linijas, aprašytas GPAIS elektroninės informacijos tvarkymo taisyklėse, patvirtintose saugos politiką įgyvendinančiuose dokumentuose.

31GPAIS duomenys automatiniu būdu perduodami tik pagal duomenų teikimo sutartyse nustatytas technines specifikacijas ir sąlygas.

32GPAIS kompiuterinės įrangos ir mobiliųjų įrenginių apsauga nuo kenksmingos programinės įrangos (virusų, šnipinėti skirtos programinės įrangos, nepageidaujamo elektroninio pašto ir pan.) užtikrinama programinėmis ir organizacinėmis priemonėmis.

33Atsarginių duomenų kopijų darymas turi užtikrinti GPAIS duomenų bazės ir informacinės sistemos veiklos tęstinumą. Atsarginės duomenų kopijos daromos ir duomenys iš atsarginių duomenų kopijų atkuriami laikantis elektroninės informacijos atsarginio kopijavimo ir atkūrimo iš atsarginių duomenų kopijų reikalavimų. Pagrindiniai elektroninės informacijos atsarginio kopijavimo ir atkūrimo reikalavimai:

33.1atsarginės duomenų kopijos daromos periodiškai automatiniu būdu. Visų atsarginių duomenų kopija daroma ne rečiau kaip kartą per 24 valandas;

33.2elektroninė informacija atsarginėse duomenų kopijose turi būti užšifruota;

33.3prarasta, iškraipyta ar sunaikinta GPAIS elektroninė informacija atkuriama iš atsarginių duomenų kopijų;

33.4GPAIS elektroninė informacija turi būti kopijuojama ir saugoma taip, kad praradus elektroninę informaciją visišką GPAIS funkcionalumą ir veiklą būtų galima atnaujinti per 16 valandų;

33.5atsarginės duomenų kopijos turi būti pažymėtos, kad jas būtų galima atpažinti;

33.6padarius atsarginių duomenų kopiją, GPAIS administratorius turi patikrinti sistemos sukurtus duomenų kopijavimo protokolus;

33.7už atsarginių duomenų kopijų darymą, saugojimą ir elektroninės informacijos iš atsarginių duomenų kopijų atkūrimą atsakingas GPAIS administratorius. Už atsarginių duomenų kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių duomenų kopijų kontrolę atsakingas GPAIS saugos įgaliotinis.

34Kompiuterių tinklo filtravimo įrangos naudojimo nuostatos:

34.1GPAIS administratoriaus elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacijų tinklų naudojant užkardą;

34.2konfigūruojant tinklo užkardas, turi būti laikomasi principo „draudžiama pagal nutylėjimą“, t. y. turi būti naudojami tik būtini organizacijos veiklai tinklo protokolai ir užkardų prievadai;

34.3GPAIS duomenų mainai vykdomi GPAIS integracijų moduliais (per vidinę ir išorinę sistemas).

35GPAIS tarnybinių stočių srities tinklo užkardų konfigūracijos aprašymą (užkardos taisykles) saugo GPAIS administratorius. Užkardų konfigūracija peržiūrima ne rečiau kaip kartą per metus. Peržiūrą inicijuoja GPAIS administratorius.

36GPAIS vidiniu portalu leidžiama naudotis ne tik Aplinkos ministerijos, Agentūros ar Departamento patalpose. Norint prisijungti prie GPAIS vidinio portalo ne institucijos patalpose (ne iš saugių institucijos tinklų) naudotojas būtinai turi jungtis prie saugiojo tinklo įrankio (angl. VPN) ir tik tada prie GPAIS vidinio portalo. Taip užtikrinamas šifravimas ir papildomas tapatybės patvirtinimas.

 

IV SKYRIUS

REIKALAVIMAI PERSONALUI

 

37Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje ir savo darbe vadovautis saugos politikos įgyvendinamaisiais dokumentais, Informacinių technologijų saugos atitikties vertinimo metodika, Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais ir dokumentais, reglamentuojančiais informacinių sistemų duomenų tvarkymą, sugebėti prižiūrėti informacinių sistemų saugos politikos įgyvendinimą.

38Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą, susijusį su elektroninių duomenų ir informacinių sistemų saugumu, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą, savavališką prisijungimą prie tinklo, galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, žymėjimo, priežiūros ir naudojimo taisyklių pažeidimą, jeigu nuo jos skyrimo praėję mažiau kaip vieni metai.

39Administratoriai privalo turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, išmanyti elektroninės informacijos saugos politikos principus, pagal priskirtas funkcijas administruoti GPAIS naudotojus, būti susipažinusiems su saugos politikos įgyvendinamaisiais dokumentais.

40Prireikus gali būti organizuojami mokymai GPAIS administratoriui. Už šių mokymų organizavimą atsakingas saugos įgaliotinis. GPAIS saugos įgaliotinis pagal poreikį mokymus organizuoja kartą per metus: paruošia mokymų planą ir medžiagą, iš anksto informuoja apie mokymų datą ir laiką, praveda mokymus.

 

 

V SKYRIUS

INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

41Tvarkyti GPAIS duomenis gali tik asmenys, kurie yra susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir sutikę laikytis šių teisės aktų reikalavimų.

42.  Už GPAIS naudotojų supažindinimą su Saugos nuostatais įgyvendinančiais dokumentais ir kitais teisės aktais, su atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą yra atsakingas GPAIS saugos įgaliotinis.

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

43Už Saugos nuostatų pažeidimus GPAIS valdytoja, GPAIS tvarkytojai, GPAIS saugos įgaliotinis, GPAIS administratorius, GPAIS naudotojai atsako Lietuvos Respublikos teisės aktų, reglamentuojančių duomenų saugą, nustatyta tvarka.

 

_________________________