LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRO

ĮSAKYMAS

 

DĖL TRAUKINIO MAŠINISTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2011 m. birželio 3 d. Nr. 3-335

Vilnius

 

Vadovaudamasis Lietuvos Respublikos valstybės registrų įstatymo (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488) 20 straipsnio 3 dalimi, Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6.1 ir 8 punktais ir atsižvelgdamas į Saugos dokumentų turinio gaires, patvirtintas Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070):

1. Tvirtinu Traukinio mašinistų registro duomenų saugos nuostatus (pridedama).

2. Pavedu Valstybinei geležinkelio inspekcijai prie Susisiekimo ministerijos:

2.1. paskirti Traukinio mašinistų registro duomenų saugos įgaliotinį;

2.2. ne vėliau kaip per 6 mėnesius nuo šio įsakymo įsigaliojimo dienos teisės aktų nustatyta tvarka parengti ir pateikti Lietuvos Respublikos susisiekimo ministrui tvirtinti Traukinio mašinistų registro saugaus elektroninės informacijos tvarkymo taisykles, Traukinio mašinistų registro veiklos tęstinumo valdymo planą, Traukinio mašinistų registro naudotojų administravimo taisykles.

 

 

 

Susisiekimo ministras                                                                Eligijus Masiulis

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2011 m. gegužės 26 d. raštu Nr. 1D-3746(6)


PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro

2011 m. birželio 3 d. įsakymu Nr. 3-335

 

TRAUKINIO MAŠINISTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Traukinio mašinistų registro (toliau – registras) duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – nustatyti organizacines, technines ir kitas priemones, suteikiančias galimybę saugiai rinkti, apdoroti, kaupti, saugoti registro duomenis, teikti juos suinteresuotiems asmenims.

2. Saugos nuostatai parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866).

3. Saugos nuostatai privalomi visiems registro naudotojams, saugos įgaliotiniui ir administratoriui.

4. Saugos nuostatai nustato registro saugos politiką (toliau – saugos politika). Saugos politiką įgyvendina Traukinio mašinistų registro saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės), Traukinio mašinistų registro veiklos tęstinumo valdymo planas (toliau – Valdymo planas), Traukinio mašinistų registro naudotojų administravimo taisyklės (toliau – Administravimo taisyklės), kiti teisės aktai, reglamentuojantys registro duomenų tvarkymo teisėtumą ir saugos valdymą.

5. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip apibrėžtos Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, Saugos dokumentų turinio gairėse, Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniuose saugos reikalavimuose ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006.

6. Registro elektroninės informacijos saugumo tikslas – užtikrinti registro elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą darbo vietų ir tinklo įrangos funkcionavimą. Registro duomenų saugumui užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo ir saugos priemonių projektavimo ir diegimo principus.

7. Pagrindinės registro elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

7.1. registro duomenims tvarkyti naudojamos techninės ir programinės įrangos bei duomenų tvarkymo kontrolė;

7.2. fizinė elektroninės informacijos apdorojimo priemonių (patalpų, tarnybinių stočių, elektroninės informacijos perdavimo įrangos, programinės įrangos) apsauga;

7.3. organizacinių saugaus darbo su duomenimis priemonių įgyvendinimas ir kontrolė (nustatomos registro tvarkymo įstaigos ir registro duomenų gavėjų teisės, įpareigojimai, atsakomybės ribos, detalios registro elektroninės informacijos tvarkymo ir administravimo taisyklės).

8. Vadovaujančioji registro tvarkymo įstaiga yra Lietuvos Respublikos susisiekimo ministerija (toliau – ministerija), Gedimino pr. 17, LT-01505 Vilnius. Ministerija yra ir registro duomenų valdytoja.

9. Registro tvarkymo įstaiga – Valstybinė geležinkelio inspekcija prie Susisiekimo ministerijos (toliau – Inspekcija), Pamėnkalnio g. 26, LT-01114 Vilnius.

10. Susisiekimo ministras tvirtina Saugos nuostatus, Tvarkymo taisykles, Valdymo planą, Administravimo taisykles. Ministerija prižiūri, kaip rengiami ir įgyvendinami registro saugos politiką reglamentuojantys teisės aktai.

11. Inspekcijos viršininkas:

11.1. skiria saugos įgaliotinį;

11.2. paveda saugos įgaliotiniui organizuoti ir kontroliuoti saugos politiką reglamentuojančių teisės aktų įgyvendinimą Inspekcijoje;

11.3. skiria administratorių, paveda jam užtikrinti registro tarnybinių stočių saugų funkcionavimą, administruoti registro duomenų bazę Saugos nuostatų ir kitų saugos politiką reglamentuojančių teisės aktų nustatyta tvarka.

12. Saugos įgaliotinis, įgyvendindamas registro saugą, atlieka šias funkcijas:

12.1. teikia Inspekcijos viršininkui siūlymus dėl:

12.1.1. administratorių paskyrimo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);

12.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

12.1.3. registro saugos reikalavimų atitikties vertinimo atlikimo;

12.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių informacinėje sistemoje, tyrimą;

12.3. teikia administratoriui privalomus vykdyti nurodymus ir pavedimus;

12.4. informuoja apie registro saugos problemas;

12.5. atsako už saugos politikos įgyvendinimo organizavimą;

12.6. atlieka kitas Saugos nuostatuose, Tvarkymo taisyklėse, Valdymo plane nustatytas funkcijas ir vykdo kitus Inspekcijos viršininko nurodymus, susijusius su registro veikla.

13. Administratorius atlieka šias funkcijas:

13.1. suteikia teisę registro naudotojams naudotis duomenimis priskirtoms funkcijoms atlikti;

13.2. administruoja kompiuterių tinklą sudarančius komponentus (kompiuterius, operacines sistemas, duomenų bazių valdymo sistemas, taikomųjų programų sistemas, ugniasienes, informacijos perdavimo tinklus), nustato pažeidžiamų vietų ir saugos reikalavimų atitiktį;

13.3. registruoja saugos incidentus ir informuoja apie juos saugos įgaliotinį, teikia siūlymus dėl minėtų incidentų šalinimo;

13.4. užtikrina kompiuterių tinklo funkcionavimą;

13.5. užtikrina registro duomenų saugumą ir konfidencialumą.

14. Registro sauga užtikrinama vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Saugos dokumentų turinio gairėmis, Lietuvos standartu LST ISO/IEC 27002:2009, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, Saugos nuostatais, Tvarkymo taisyklėmis, Valdymo planu, Administravimo taisyklėmis ir kitais teisės aktais, reglamentuojančiais saugų registro duomenų tvarkymą.

 

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

15. Registras priskiriamas antrajai informacinių sistemų kategorijai, vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160; 2008, Nr. 127-4866).

16. Registro saugos priemonės parenkamos, įvertinus galimus rizikos veiksnius registro duomenų vientisumui ir prieinamumui.

17. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja registro rizikos vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį registro rizikos vertinimą.

18. Saugos įgaliotinis, atlikdamas registro saugos atitikties vertinimą, ne rečiau kaip kartą per metus kartu su administratoriumi:

18.1. įvertina šių Saugos nuostatų, kitų saugos politiką įgyvendinančių teisės aktų ir esamos informacijos saugos atitiktį;

18.2. inventorizuoja registro techninę ir programinę įrangą;

18.3. tikrina darbo vietose įdiegtas registro programas ir jų sąranką (būtina patikrinti 10 procentų darbo vietų);

18.4. patikrina (įvertina), ar registro naudotojams suteiktos teisės atitinka vykdomas funkcijas;

18.5. įvertina pasirengimą užtikrinti registro veiklos tęstinumą įvykus saugos incidentui (nenumatytai situacijai).

19. Atlikus 18 punkte nurodytą vertinimą, saugos įgaliotinis ir administratorius rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina susisiekimo ministras.

20. Registro rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgus į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausi rizikos veiksniai yra šie:

20.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

20.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis registro duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, duomenų vagystės ir kita);

20.3. nenugalima jėga (force majeure).

21. Susisiekimo ministras, atsižvelgdamas į rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

22. Saugi prieiga prie registro duomenų yra užtikrinama tokiomis priemonėmis:

22.1. kontroliuojamas patekimas į Inspekcijos patalpas, įrengiama signalizacija (nuo įsilaužimo ir gaisro);

22.2. registro naudotojai atpažįstami pagal vartotojų vardus ir slaptažodžius, kurių kontrolę atlieka kompiuterio ir tarnybinės stoties operacinės sistemos;

22.3. prisijungimo prie sistemos slaptažodis keičiamas ne rečiau kaip kas 3 mėnesius;

22.4. slaptažodį sudaro 6 ir daugiau simbolių;

22.5. prireikus (jei būtina registro veiklai užtikrinti) galimas administratoriaus prisijungimas prie kompiuterių ir tarnybinių stočių operacinių sistemų valdymo ir konfigūravimo nuotoliniu būdu, naudojant virtualų privatų tinklą.

23. Prisijungimo prie kompiuterių tinklo laikas ir trukmė nėra ribojami.

24. Kompiuterinė įranga ir duomenų perdavimo tinklai turi rezervinį maitinimo šaltinį (UPS), užtikrinantį šios įrangos veikimą ne mažiau nei 30 min.

25. Registras turi būti prieinamas ne mažiau kaip 96 proc. paros laiko.

26. Visos registro tarnybinės stotys ir naudotojų darbo vietos turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.). Apsaugai naudojama programinė įranga turi atsinaujinti automatiškai ne rečiau kaip kas trys dienos.

27. Registro duomenys perduodami pagal registro duomenų teikimo sutartis, kuriose turi būti nurodyti duomenų naudojimo tikslai ir sąlygos, duomenų teikimo ar gavimo būdai ir laikas, nustatytos perduodamų duomenų specifikacijos ir kitos duomenų perdavimo sąlygos.

28. Registro duomenys, perduodami ne per Saugų valstybinį duomenų perdavimo tinklą, turi būti šifruojami.

29. Registro tarnybinėse stotyse privalo būti naudojama programinė įranga, skirta kenksmingai programinei įrangai aptikti, ir ji turi būti atnaujinama automatiškai ne rečiau kaip kas trys dienos.

30. Kompiuterinės įrangos gedimai registruojami žurnale.

31. Kompiuterinėse darbo vietose naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, kurios yra nuolat atnaujinamos.

32. Registro naudotojams draudžiama diegti bet kokią programinę įrangą. Programinę įrangą, reikalingą naudotojo funkcijoms vykdyti, diegia ir prižiūri administratorius.

33. Draudžiama naudoti programinę įrangą, nesusijusią su įstaigos veikla.

34. Neteisėtų programų diegimo paieška atliekama bent kartą per 6 mėnesius.

35. Naudojami tarnybinės stoties operacinės sistemos metodai, leidžiantys vienareikšmiškai atpažinti kompiuterių tinklui priklausančius kompiuterius.

36. Draudžiama ne registro naudotojams prisijungti prie registro.

37. Tarnybinėse stotyse esančios informacijos atsarginės duomenų kopijos turi būti daromos automatiškai kiekvieną darbo dieną.

38. Atkurti informaciją iš atsarginių duomenų kopijų turi būti įmanoma 6 mėnesius nuo kopijų padarymo.

39. Tarnybinių stočių patalpose įrengta oro kondicionavimo įranga.

40. Draudžiama keisti kompiuterių išdėstymo vietas Inspekcijos patalpose be administratoriaus leidimo.

41. Kompiuteriai naudojami tik tarnybinėms funkcijoms vykdyti.

42. Tarnybiniai nešiojamieji kompiuteriai ne Inspekcijos patalpose gali būti naudojami tik tarnybinėms funkcijoms vykdyti.

43. Kompiuteriai, jei juose yra prisijungimo prie registro duomenų galimybė, iš Inspekcijos patalpų gali būti išnešami tik gavus Inspekcijos viršininko ar jo įgalioto asmens rašytinį leidimą, patvirtinantį naudotojo asmeninę atsakomybę už informacijos saugą ir nurodantį kompiuterio naudojimo tikslą ir laikotarpį, kuriam kompiuteris išnešamas.

44. Iš nutolusių Inspekcijos darbo vietų prie registro jungiamasi naudojant virtualų privatų tinklą.

 

IV. REIKALAVIMAI PERSONALUI

 

45. Tvarkyti registro duomenis gali asmenys, susipažinę su registro nuostatais, registrų ir informacinių sistemų saugos politiką reglamentuojančiais teisės aktais.

46. Saugos įgaliotinis turi išmanyti elektroninės informacijos saugos principus, saugos užtikrinimo metodus ir Lietuvos Respublikos teisės aktus, susijusius su duomenų saugos politika.

47. Administratorius turi išmanyti pagrindinius elektroninės informacijos saugos principus, darbą su duomenų perdavimo tinklais, užtikrinti jų saugą, išmanyti duomenų bazių administravimo ir priežiūros pagrindus.

48. Registro naudotojai turi būti įgiję darbo kompiuteriu įgūdžių, mokėti tvarkyti registro duomenis registro nuostatuose nurodyta tvarka, išmanyti registrų ir informacinių sistemų saugos politiką reglamentuojančius teisės aktus.

49. Registro naudotojai turi būti pasirašytinai susipažinę su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais.

50. Registro naudotojų supažindinimą su Saugos nuostatais ir kitais registro saugos politiką įgyvendinančiais teisės aktais ir atsakomybe už šių reikalavimų nesilaikymą organizuoja saugos įgaliotinis. Saugos įgaliotinis raštu informuoja registro naudotojus apie Saugos nuostatų pakeitimus ar kitų saugos politiką įgyvendinančių teisės aktų pripažinimą netekusiais galios keitimą ar priėmimą.

51. Registro naudotojai privalo rūpintis tvarkomų duomenų saugumu.

52. Saugos įgaliotinis periodiškai inicijuoja registro naudotojų mokymą informacijos saugos klausimais, informuoja juos apie informacijos saugos problemas (priminimai elektroniniu paštu, pagal poreikį organizuojami susitikimai su registro tvarkymo įstaigos atsakingais asmenimis, atmintinės naujai priimtiems darbuotojams).

 

V. REGISTRO NAUDOTOJŲ SUSIPAŽINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

53. Saugos įgaliotinis registro naudotojus pasirašytinai supažindina su šiais Saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais.

54. Registro naudotojai privalo rūpintis registre tvarkomos informacijos sauga.

55. Tvarkyti registro duomenis gali tik registro naudotojai, susipažinę su saugos dokumentais ir raštu sutikę laikytis jų reikalavimų.

56. Registro naudotojai, pažeidę Saugos nuostatų ir kitų saugų informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako įstatymų nustatyta tvarka.

 

VI. BAIGIAMOSIOS NUOSTATOS

 

57. Registro tvarkymo įstaigos atsakingi asmenys turi įgyvendinti Saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose saugų registro duomenų tvarkymą, nustatytas organizacines, technines ir kitas priemones.

58. Saugos įgaliotinis ir administratorius raštu įsipareigoja nepažeisti Saugos nuostatų ir kitų teisės aktų, reglamentuojančių registro duomenų saugų tvarkymą, reikalavimų.

59. Saugos įgaliotinis, administratorius ir registro naudotojai, pažeidę Saugos nuostatų, kitų teisės aktų, reglamentuojančių registro duomenų saugų tvarkymą, reikalavimus, atsako įstatymų ir kitų teisės aktų nustatyta tvarka.

_________________