LIETUVOS RESPUBLIKOS APLINKOS MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS SAUGOMŲ TERITORIJŲ VALSTYBĖS KADASTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2021 m. birželio 14 d. Nr. D1-360
Vilnius
Vadovaudamasis Lietuvos Respublikos informacinių išteklių 43 straipsnio 2 dalimi ir įgyvendindamas Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunktį, 11, 19 ir 26 punktus, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 5.3 papunktį, Lietuvos Respublikos saugomų teritorijų valstybės kadastro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2017 m. rugsėjo 27 d. nutarimu Nr. 766 „Dėl Lietuvos Respublikos saugomų teritorijų valstybės kadastro reorganizavimo ir Lietuvos Respublikos saugomų teritorijų valstybės kadastro nuostatų patvirtinimo“, 47 punktą:
1. T v i r t i n u Lietuvos Respublikos saugomų teritorijų valstybės kadastro duomenų saugos nuostatus (pridedama).
2. P a v e d u Valstybinei saugomų teritorijų tarnybai prie Aplinkos ministerijos:
2.2. per 2 mėnesius nuo šio įsakymo įsigaliojimo dienos parengti ir pateikti Aplinkos ministerijai Lietuvos Respublikos saugomų teritorijų valstybės kadastro saugaus elektroninės informacijos tvarkymo taisyklių, Lietuvos Respublikos saugomų teritorijų valstybės kadastro veiklos tęstinumo valdymo plano ir Lietuvos Respublikos saugomų teritorijų valstybės kadastro naudotojų administravimo taisyklių projektus.
PATVIRTINTA
Lietuvos Respublikos aplinkos ministro
2021 m. birželio 14 d. įsakymu
Nr. D1-360
LIETUVOS RESPUBLIKOS SAUGOMŲ TERITORIJŲ valstybės KADASTRO duomenų saugos nuostatai
I SKYRIUS
Bendrosios nuostatos
1. Lietuvos Respublikos saugomų teritorijų valstybės kadastro (toliau – Kadastras) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Kadastro veiklos elektroninės informacijos saugos (kibernetinio saugumo) valdymą, organizacinius ir techninius reikalavimus, reikalavimus su Kadastru dirbančiam personalui, Kadastro naudotojų supažindinimo su saugos dokumentais principus.
2. Kadastro tvarkytojo ir valdytojo funkcijos nustatytos Saugomų teritorijų valstybės kadastro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2017 m. rugsėjo 27 d. nutarimu Nr. 766 „Dėl Lietuvos Respublikos saugomų teritorijų valstybės kadastro reorganizavimo ir Lietuvos Respublikos saugomų teritorijų valstybės kadastro nuostatų patvirtinimo“ (toliau – Kadastro nuostatai).
3. Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos saugomų teritorijų įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Kadastro nuostatuose, Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir Saugos dokumentų turinio gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ bei 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas).
4. Saugos nuostatuose apibrėžtą Kadastro saugos politiką įgyvendinantys teisės aktai yra šie: aplinkos ministro tvirtinamos Kadastro saugaus elektroninės informacijos tvarkymo taisyklės, Kadastro veiklos tęstinumo valdymo planas ir Kadastro naudotojų administravimo taisyklės (toliau – Saugos dokumentai).
5. Kadastro valdytojas yra Aplinkos ministerija, Kadastro tvarkytojas – Valstybinė saugomų teritorijų tarnyba prie Aplinkos ministerijos. Kadastro elektroninė informacija saugoma Aplinkos ministerijos Duomenų centro tarnybinėse stotyse.
6. Techninės ir programinės įrangos priežiūros ir duomenų, informacijos, dokumentų ir (arba) jų kopijų tvarkymo funkcijos gali būti perduotos Lietuvos Respublikos viešųjų pirkimų įstatyme ar kituose teisės aktuose nustatyta tvarka parinktam (paskirtam) asmeniui ar asmenų grupei vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnio nuostatomis (toliau – Išteklių valdymo įstatymas).
7. Saugos nuostatai yra privalomi Kadastro valdytojui, Kadastro tvarkytojui bei jo: administratoriui, saugos įgaliotiniui ir Tarnybos valstybės tarnautojams arba darbuotojams, dirbantiems pagal darbo sutartis, turintys teisę naudotis Kadastro duomenimis numatytoms funkcijoms atlikti (toliau – vidiniai naudotojai).
8. Kadastro elektroninės informacijos saugumo užtikrinimo tikslai:
8.5. administracinės priemonės (duomenų gavėjų ir teikėjų, administratorių, Kadastro naudotojų teisių, įpareigojimų, atsakomybės ribų, detalių Kadastro elektroninės informacijos tvarkymo ir administravimo taisyklių nustatymas);
9. Kadastro valdytojo funkcijos, susijusios su sauga:
10. Kadastro tvarkytojo funkcijos, susijusios su sauga:
10.2. kontroliuoja, kad Kadastras būtų tvarkomas vadovaujantis šiuose Saugos nuostatuose nurodytais teisės aktais;
10.4. atsako už Kadastro saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams;
11. Saugos įgaliotinis, įgyvendindamas Kadastro elektroninės informacijos saugos politiką, atlieka šias funkcijas:
11.1. teikia Valstybinės saugomų teritorijų tarnybos prie Aplinkos ministerijos direktoriui pasiūlymus dėl:
11.5. užtikrina, kad Kadastro naudotojai laikytųsi Saugos nuostatuose ir Saugos dokumentuose išdėstytų reikalavimų;
11.6. pasirašytinai supažindina administratorių, Kadastro naudotojus su Saugos nuostatais, Saugos dokumentais ir atsakomybe už juose išdėstytų reikalavimų nesilaikymą;
11.7. organizuoja administratoriaus, Kadastro naudotojų kvalifikacijos tobulinimą duomenų saugos klausimais, reguliariai jiems primena saugumo problemas (elektroniniu paštu, interneto svetainėje, atmintinėmis naujiems darbuotojams ir pan.);
12. Administratorius atlieka šias funkcijas:
12.1. įvertina Kadastro naudotojų pasirengimą dirbti su informacine sistema ir suteikia jiems teisę naudotis informacinės sistemos galimybėmis paskirtoms funkcijoms atlikti;
12.3. administruoja Kadastrą sudarančius komponentus (kompiuterius, operacines sistemas), nustato pažeidžiamų vietų atitiktį saugos reikalavimams;
12.4. atlieka administratoriaus, Kadastro naudotojų kompiuterinių darbo vietų programinės įrangos priežiūrą, kontrolę ir užtikrina tinkamą veikimą;
13. Administratorius atsako už tai, kad tvarkant Kadastrą nebūtų pažeisti Saugos nuostatai ir Saugos dokumentai.
14. Saugų Kadastro duomenų tvarkymą reglamentuoja:
14.3. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas);
14.6. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas (toliau – Bendrasis elektroninės informacijos saugos reikalavimų aprašas), patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
14.7. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
14.8. Saugos dokumentų turinio gairių aprašas (toliau – Saugos dokumentų turinio gairių aprašas), patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
14.9. Informacinių technologijų saugos atitikties vertinimo metodika (toliau – Informacinių technologijų saugos atitikties vertinimo metodika), patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
14.10. Lietuvos standartai LST ISO/IEC 27001:2017 ir LST ISO/IEC 27002:2017, kiti Lietuvos ir tarptautiniai grupės „Informacijos technologija. Saugumo metodai“ standartai;
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
15. Vadovaujantis Saugos dokumentų turinio gairių aprašo 10 punktu, Kadastro tvarkoma elektroninė informacija priskirtina vidutinės svarbos informacijos kategorijai. Atsižvelgiant į Saugos dokumentų turinio gairių 12.3 papunktį, Kadastras pagal jame tvarkomos elektroninės informacijos svarbą yra priskiriamas trečiai kategorijai.
16. Saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas “, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet (ne vėliau kaip iki spalio 1 d.) organizuoja Kadastro rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį Kadastro rizikos įvertinimą. Kadastro valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį, rašytiniu pavedimu informacinių sistemų rizikos įvertinimą gali atlikti pats saugos įgaliotinis. Kadastro rizikos vertinimas įforminamas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos duomenų saugai. Pagrindiniai rizikos veiksniai yra šie:
16.1. subjektyvūs netyčiniai – veiksniai, atsirandantys dėl darbo organizavimo nesklandumų, vidaus tvarkos taisyklių pažeidimų, Kadastro administravimo, kontrolės ir priežiūros trūkumų, Kadastro naudotojų, Kadastro duomenų gavėjų ir teikėjų kontrolės trūkumo, Kadastro programinės įrangos klaidų, klaidingų Kadastro duomenų įvedimo, Kadastro naudotojų praradimo ir kaitos;
16.2. subjektyvūs tyčiniai – nesankcionuotas prisijungimas prie Kadastro, klaidingų duomenų įvedimas, operacinės sistemos ar jos vartotojo teisių ir taikomosios programinės įrangos pakeitimas, Kadastro naudotojų, Kadastro duomenų gavėjų ir teikėjų teisių viršijimas, bandymas atspėti slaptažodžius ar kitaip apeiti taikomas saugos priemones, piktnaudžiavimas siekiant patogumo (slaptažodžių išsaugojimas kompiuterių atmintyje ir pan.), vidaus tvarkos taisyklių pažeidimas, nesankcionuotas prisijungimas prie vietinio kompiuterių tinklo, Kadastro duomenų atskleidimas nesilaikant Kadastro nuostatų, kenksmingo kodo ir kitos programinės įrangos, galinčios pakenkti Kadastro saugai, naudojimas ar platinimas;
17. Atsižvelgdamas į rizikos įvertinimo ataskaitą, saugos įgaliotinis prireikus parengia rizikos įvertinimo ir rizikos valdymo priemonių planą, jame nurodo rizikos veiksnius šalinančias priemones, priemonių vykdymo terminus, vykdytojus. Rizikos įvertinimo ir rizikos valdymo priemonių planą tvirtina Kadastro tvarkytojas.
18. Rizikos veiksnių tikimybės ir žalos Kadastro duomenims vertinimo klasifikacija yra tokia:
19. Siekdamas užtikrinti Saugos nuostatuose ir Saugos dokumentuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, saugos įgaliotinis ne rečiau kaip kartą per dvejus metus (ne vėliau kaip iki spalio 1 d.) organizuoja Kadastro informacinių technologijų saugos reikalavimų atitikties vertinimą (toliau – auditas). Auditas atliekamas vadovaujantis Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo”. Jo metu:
19.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų administratoriaus, Kadastro naudotojų kompiuterizuotų darbo vietų;
19.4. patikrinama (įvertinama) administratoriui, Kadastro naudotojams suteiktų teisių atitiktis atliekamoms funkcijoms;
20. Atlikus auditą, rengiamas pastebėtų trūkumų šalinimo planas. Jį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Kadastro tvarkytojas.
21. Techninės, programinės ir organizacinės elektroninės informacijos saugos priemonės pasirenkamos taip, kad kuo mažesnėmis išlaidomis būtų užtikrintas Kadastro veiklos tęstinumas ir saugus administratoriaus, Kadastro naudotojų darbas.
22. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijos, informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijos ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikiami Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai, vadovaujantis Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
23. Aplinkos ministerijos duomenų centre sukauptų duomenų apsaugos techninės ir programinės priemonės:
23.1. patalpų įrengimas ir apsauga: įrengiama atskira tarnybinių stočių patalpa su įėjimo kontrolės sistema, signalizacija, užtikrinama bendra pastato apsauga;
23.2. kompiuterinės technikos apsauga: serveriai dubliuoja svarbiausias funkcijas, taikomos duomenų, saugomų magnetiniuose diskuose, specialiosios apsaugos priemonės (RAID), vykdomas nuotolinis serverių stebėjimas, įrengiamas įžeminimas, nepertraukiamo maitinimo šaltiniai, užtikrinamas serverinės kondicionavimas, sudaromos reikiamos eksploatavimo sąlygos;
23.5. pagrindiniai atsarginių kopijų darymo ir atkūrimo reikalavimai:
24. Kadastro tvarkytojo programinės įrangos, skirtos apsaugoti informacinę sistemą nuo kenksmingos programinės įrangos, naudojimo nuostatos ir jos atnaujinimo reikalavimai:
24.1. administratorius Kadastro naudotojų ir administratoriaus kompiuterizuotose darbo vietose įdiegia programinę įrangą, skirtą apsisaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimui skirtos programinės įrangos, nepageidaujamo elektroninio pašto ir pan.). Programinė įranga atnaujinama kiekvieną kartą, gavus pranešimą apie atnaujinimą. Ilgiausias leistinas neatnaujinimo laikas – 5 darbo dienos;
24.2. administratoriaus, Kadastro naudotojų kompiuterizuotose darbo vietose turi būti naudojama tik su tarnybine veikla susijusi programinė įranga. Administratorius periodiškai, ne rečiau kaip kas 4 mėnesius, tikrina, ar nenaudojama nelegali programinė įranga; rasta nelegali programinė įranga turi būti nedelsiant pašalinta;
25. Kadastro tvarkytojo programinės įrangos, įdiegtos kompiuteriuose, naudojimo nuostatos:
25.1. kompiuteriai, naudojami Kadastro duomenims tvarkyti, aprūpinami antivirusinėmis programomis, kurios periodiškai atnaujinamos;
25.2. administratoriaus, Kadastro naudotojų kompiuterizuotose darbo vietose įdiegiama legali ir saugi operacinė sistema (su atnaujinimais) bei programinė įranga;
25.3. tarnybinių stočių ir vidinių Kadastro naudotojų kompiuterių operacinės sistemos, kibernetiniam saugumui užtikrinti naudojamos priemonės ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;
25.4. administratorius reguliariai, ne rečiau kaip kartą per savaitę, turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumo svarbos lygius Kadastro posistemiuose, funkciniu požiūriu savarankiškose sudedamosiose dalyse, vidinių Kadastro naudotojų kompiuteriuose. Apie įvertinimo rezultatus jis informuoja saugos įgaliotinį ir kibernetinio saugumo vadovą;
25.5. programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;
25.6. programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai –administratorius arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai;
25.8. Kadastro programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų, kurių sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org.
26. Kompiuterių tinklo filtravimo įrangos pagrindinės naudojimo nuostatos:
26.1. tinklo ir užkardų konfigūracija peržiūrima ne rečiau kaip kartą per metus. Peržiūrą inicijuoja saugos įgaliotinis, o ją vykdo administratorius;
26.2. kompiuterių tinklas, prie kurio prijungti administratoriaus, Kadastro naudotojų kompiuteriai, nuo viešojo interneto turi būti atskirti tinklo užkarda (angl. Firewall);
27. Leistinos nešiojamųjų kompiuterių naudojimo ribos. Administratorius, Kadastro naudotojai naudoja nešiojamuosius kompiuterius duomenims perduoti kompiuterių tinklais tik darbo vietoje. Nešiojamuosiuose kompiuteriuose esanti informacija turi būti apsaugota operacinės sistemos ir naudotojo vardu bei slaptažodžiu. Nešiojamuosiuose kompiuteriuose negali būti jokios svarbios informacijos, išskyrus Kadastro naudotojo naudojamus darbo dokumentus. Kadastro duomenys iš nešiojamojo kompiuterio pasiekiami tik naudojant Tarnybos vidaus tinklą.
28. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:
28.1. duomenys perduodami automatiškai TCP/IP protokolu realiuoju laiku arba asinchroniniu režimu tik pagal Kadastro nuostatuose ir duomenų teikimo ir gavimo sutartyse nustatytas perduodamų duomenų specifikacijas, perdavimo sąlygas ir tvarką;
28.2. už duomenų teikimo ir gavimo sutartyse nurodomų saugos reikalavimų nustatymą ir įgyvendinimo organizavimą atsakingas saugos įgaliotinis;
28.4. Kadastro duomenų saugai užtikrinti nustatomi prieinamumo prie duomenų principai ir kontrolės priemonės (vartotojų registravimas, teisių suteikimas, išregistravimas, vartotojų tapatybės nustatymas, specialios tapatybės nustatymo priemonės, elektroninis parašas ir kita);
28.5. prisijungimo prie serverių kontrolei naudojami IP adresai bei vartotojų unikalūs vardai su slaptažodžiais;
28.6. administratoriui, Kadastro naudotojams tiesioginė prieiga prie Kadastro duomenų suteikiama, nustatant naudotojų registracijos vardus ir slaptažodžius;
28.7. Kadastro duomenų gavėjams autorizacija bei autentifikacija jungiantis prie sistemos išorinio portalo vykdoma naudojantis Valstybės informacinių išteklių sąveikumo platforma vartotojų autentifikavimo sistemos paslauga arba naudotojams suteikto naudotojo vardo ir slaptažodžio pagalba;
29. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
29.1. atsarginių Kadastro duomenų kopijų darymas ir atkūrimas turi būti atliekamas laikantis Lietuvos Respublikos teisės aktų reikalavimų;
30. Saugiam darbui su duomenimis užtikrinti nustatomos šios techninės, programinės ir fizinės saugos priemonės:
30.1. kompiuterinės darbo vietos prijungiamos prie atskiros elektros energijos tiekimo tinklo atšakos;
30.5. techninė įranga turi turėti funkciją ne mažiau kaip 10 minučių veikti dingus išoriniam elektros energijos tiekimui;
31. Darbuotojams griežtai draudžiama kopijuoti, keisti, naikinti ar perduoti duomenis asmeniniais tikslais ar kitoms su tiesioginėmis pareigomis nesusijusioms funkcijoms atlikti.
32. Už Kadastro duomenų nutekėjimą / praradimą dėl Kadastro tvarkytojo darbuotojo tyčinių veiksmų / kaltės atvejais atsako pats darbuotojas. Administratoriaus ir saugos įgaliotinio veiksmus, įvykus duomenų nutekėjimui, reglamentuoja Kadastro veiklos tęstinumo valdymo planas.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
34. Saugos įgaliotinis privalo išmanyti informacinių sistemų administravimą, elektroninės informacijos saugos principus ir saugos užtikrinimo metodus, sugebėti prižiūrėti, kaip įgyvendinama saugos politika. Saugos įgaliotinis savo darbe turi vadovautis Bendrojo elektroninės informacijos saugos reikalavimų aprašo, Informacinių technologijų saugos atitikties vertinimo metodikos reikalavimais, kitais teisės aktais, reglamentuojančiais Kadastro duomenų tvarkymą, standartais ir kitais dokumentais.
35. Administratorius privalo išmanyti informacijos saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su Saugos nuostatais ir Saugos dokumentais, taip pat kitomis vidaus ir darbo saugos taisyklėmis.
36. Saugos įgaliotiniu ir kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą, susijusį su elektroninių duomenų ir informacinių sistemų saugumu, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą, savavališką prisijungimą prie tinklo, galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, žymėjimo, priežiūros ir naudojimo taisyklių pažeidimą, jeigu nuo jos skyrimo praėję mažiau kaip vieneri metai.
37. Kadastro vidiniai naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, mokėti tvarkyti Kadastro duomenis Kadastro nuostatų nustatyta tvarka ir būti pasirašytinai susipažinę su Saugos nuostatais ir Saugos dokumentais.
38. Kadastro naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti saugos įgaliotiniui arba administratoriui.
39. Įvykus elektroninės informacijos saugos incidentui, susidarius nenumatytai situacijai, saugos įgaliotinio, administratoriaus, Kadastro naudotojų veiksmus reglamentuoja Kadastro veiklos tęstinumo valdymo planas.
40. Saugos įgaliotinis kartą per metus inicijuoja administratoriaus, Kadastro naudotojų mokymus kvalifikacijos tobulinimo, duomenų saugos, kibernetinio saugumo klausimais, nuolat jiems primena saugumo problemas (elektroniniu paštu, interneto svetainėje, atmintinėmis naujiems darbuotojams ir pan.) bei informuoja apie kibernetinio saugumo grėsmes.
V SKYRIUS
INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
41. Naudoti Kadastro duomenis gali tik asmenys, susipažinę su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant Kadastro duomenis, užtikrinant jų saugą, taip pat su atsakomybe už saugos dokumentų nuostatų pažeidimus, ir sutikę laikytis saugos dokumentuose nustatytų reikalavimų.
42. Saugos nuostatai ir Saugos dokumentai skelbiami Valstybinės saugomų teritorijų tarnybos prie Aplinkos ministerijos interneto svetainėje.
43. Saugos įgaliotinis pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą, supažindina administratorių, Kadastro naudotojus su Saugos nuostatais, Saugos dokumentais ir atsakomybe už juose numatytų reikalavimų nesilaikymą. Pakartotinis supažindinimas vykdomas pasikeitus minėtiems dokumentams ir teisės aktams.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
44. Saugos įgaliotinis organizuoja saugos dokumentų persvarstymą ne rečiau kaip kartą per metus. Saugos dokumentai turi būti persvarstomi atlikus rizikos analizę ar auditą arba Valstybinėje saugomų teritorijų tarnyboje prie Aplinkos ministerijos įvykus esminiams organizaciniams, sisteminiams ar kitokiems pokyčiams.