LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTRO

ĮSAKYMAS

 

DĖL ŽEMĖS ŪKIO MINISTRO 2006 m. GEGUŽĖS 31 d. ĮSAKYMO Nr. 3D-224 „DĖL LIETUVOS RESPUBLIKOS FITOSANITARINIO REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO

 

2011 m. gegužės 26 d. Nr. 3D-436

Vilnius

 

 

Pakeičiu Lietuvos Respublikos žemės ūkio ministro 2006 m. gegužės 31 d. įsakymą Nr. 3D-224 „Dėl Lietuvos Respublikos fitosanitarinio registro duomenų saugos nuostatų patvirtinimo“ (Žin., 2006, Nr. 63-2337) ir išdėstau jį nauja redakcija (pridedama):

 

„LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO

MINISTRAS

 

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS FITOSANITARINIO REGISTRO

DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 6.1, 8 punktais:

1. Tvirtinu Lietuvos Respublikos fitosanitarinio registro duomenų saugos nuostatus (pridedama).

2. Pavedu:

2.1. Žemės ir maisto ūkio departamentui ne vėliau kaip per keturis mėnesius nuo šio įsakymo įsigaliojimo dienos parengti ir pateikti Lietuvos Respublikos žemės ūkio ministrui tvirtinti saugos politiką įgyvendinančių dokumentų projektus.

2.2. valstybės įmonei Žemės ūkio informacijos ir kaimo verslo centrui paskirti Lietuvos Respublikos fitosanitarinio registro saugos įgaliotinį.“

 

 

 

Žemės ūkio ministras                                                           Kazys Starkevičius

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2011 m. gegužės 18 d. raštu Nr. 1D-3573 (3)

 

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2006 m. gegužės 31 d. įsakymu Nr. 3D-224

(Lietuvos Respublikos žemės ūkio ministro

2011 m. gegužės 26 d. įsakymo Nr. 3D-436 redakcija)

 

LIETUVOS RESPUBLIKOS
FITOSANITARINIO REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Lietuvos Respublikos fitosanitarinio registro (toliau – Registras) duomenų saugos nuostatai (toliau – saugos nuostatai) reglamentuoja Registro saugos politiką. Saugos politiką įgyvendina Registro saugaus elektroninės informacijos tvarkymo taisyklės, Registro veiklos tęstinumo valdymo planas, Registro naudotojų administravimo taisyklės, kurias tvirtina Registro valdytojas.

2. Saugos nuostatai parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. IV-384 (Žin., 2008, Nr. 127-4866), Lietuvos Respublikos standartais LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006.

3. Registro elektroninės informacijos saugumo tikslas – sudaryti sąlygas saugiai automatiniu būdu saugoti ir tvarkyti Registro duomenis, užtikrinti duomenų konfidencialumą, vientisumą ir prieinamumą ir tinkamą kompiuterizuotų darbo vietų ir tinklo įrangos funkcionavimą.

4. Elektroninės informacijos saugos politika vykdoma šiomis prioritetinėmis kryptimis:

4.1. prieigos prie Registro duomenų konfidencialumo, vientisumo, prieinamumo užtikrinimas;

4.2. veiklos tęstinumo užtikrinimas;

4.3. Registro naudotojų ir administratoriaus mokymas informacijos saugos klausimais.

5. Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, nustatytas šių nuostatų 2 punkte nurodytuose teisės aktuose ir kituose teisės aktuose.

6. Esama Registro elektroninės informacijos saugumo padėtis yra nustatoma periodinės rizikos analizės metu ir fiksuojama rizikos įvertinimo ataskaitoje.

7. Registro valdytojo, tvarkymo įstaigos ir tvarkytojo adresai:

7.1. Registro valdytoja yra Lietuvos Respublikos žemės ūkio ministerija, Gedimino pr. 19, LT-01103 Vilnius;

7.2. Registro tvarkymo įstaiga yra Valstybinė augalininkystės tarnyba prie Žemės ūkio ministerijos, Ozo g. 4A, LT-08200 Vilnius.

7.3. Registro tvarkytojas yra valstybės įmonė Žemės ūkio informacijos ir kaimo verslo centras, V. Kudirkos g. 18, LT-03105 Vilnius.

8. Registro valdytojo funkcijos ir atsakomybė:

8.1. priima įsakymus, susijusius su Registro saugumo užtikrinimu, tikrina, kaip jie vykdomi;

8.2. prižiūri, kaip laikomasi Registro duomenų saugos reikalavimų;

8.3. organizuoja Registro duomenų saugos bazės plėtojimą ir įgyvendinimą;

8.4. koordinuoja Registro tvarkymo įstaigos darbą, teisės aktų nustatyta tvarka atlieka Registro tvarkymo įstaigos priežiūrą.

9. Registro tvarkymo įstaigos funkcijos ir atsakomybė:

9.1. užtikrina naudotojų kompiuterinės įrangos bei jos funkcionavimui būtinos informacinių technologijų infrastruktūros klientų srities saugą;

9.2. užtikrina Registro duomenų saugą ir saugų duomenų perdavimą kompiuterių tinklais;

9.3. atsako už naudotojams teikiamų Registro duomenų teisėtumą ir saugą;

9.4. atlieka kitas Registro valdytojo pavestas ir saugos nuostatų priskirtas funkcijas.

10. Registro tvarkytojo funkcijos ir atsakomybė:

10.1. užtikrina Registro duomenų saugą ir saugų duomenų perdavimą kompiuterių tinklais, rezervinį kopijavimą;

10.2. užtikrina Registro duomenų pasiekiamumą Registro naudotojams;

10.3. vykdo Registro palaikymo darbus;

10.4. užtikrina Registro taikomosios programinės įrangos, tarnybinių stočių, tarnybinėse stotyse esančių duomenų bei tarnybinių stočių funkcionavimui būtinos informacinių technologijų infrastruktūros serverių srities saugą;

10.5. užtikrina Registro valdytojo priimtų teisės aktų tinkamą įgyvendinimą;

10.6. atlieka kitas Registro valdytojo pavestas ir saugos nuostatų priskirtas funkcijas.

11. Saugos įgaliotinio, įgyvendinančio Registro elektroninės informacijos saugą, funkcijos ir atsakomybė:

11.1. teikia Registro tvarkytojo vadovui pasiūlymus dėl:

11.1.1 administratoriaus paskyrimo;

11.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

11.1.3. informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

11.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Registre, tyrimą;

11.3. informuoja Registro tvarkytojo darbuotojus, administratorių, naudotojus informacijos saugos klausimais;

11.4. atsako už saugos dokumentų reikalavimų vykdymą;

11.5. atlieka kitas Registro valdytojo vadovo pavestas ir šiais saugos nuostatais jam priskirtas funkcijas.

12. Administratoriaus funkcijos ir atsakomybė:

12.1. atsako už Registro funkcionavimą ir prieigų prie Registro infrastruktūros išteklių teisių suteikimo;

12.2. atlieka Registrą sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) sąranką, kuri atitiktų saugos dokumentų reikalavimus;

12.3. informuoja saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia pasiūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;

12.4. pagal kompetenciją teikia pasiūlymus saugos įgaliotiniui dėl Registro palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo.

13. Teisės aktai, kuriais vadovaujantis tvarkomi Registro duomenys ir užtikrinamas jų saugumas:

13.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

13.2. Lietuvos Respublikos fitosanitarinio registro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2001 m. balandžio 10 d. nutarimu Nr. 402 (Žin., 2001, Nr. 32-1074; 2010, Nr. 84-4418);

13.3. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai;

13.4. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160; 2008, Nr. 127-4866);

13.5. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniai saugos reikalavimai;

13.6. Saugos dokumentų turinio gairės;

13.7. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (Žin., 2008, Nr. 135-5298);

13.8. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855);

13.9. Lietuvos standartai LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2006 ir kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys saugų informacinių sistemų duomenų tvarkymą.

 

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

14. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, Registras priskiriamas antrosios kategorijos informacinėms sistemoms.

15. Registro rizikos veiksnių vertinimą teisės aktų, reglamentuojančių duomenų saugą, nustatyta tvarka kasmet organizuoja saugos įgaliotinis. Prireikus saugos įgaliotinis gali organizuoti neeilinį Registro rizikos veiksnių vertinimą.

16. Registro informacinės saugos rizika nustatoma kasmetinio rizikos vertinimo metu. Rizikos vertinimas atliekamas ne rečiau kaip kartą per metus.

17. Registro rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausi rizikos veiksniai:

17.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

17.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Registru duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kita);

17.3. nenugalima jėga (angl. force majeure).

18. Registro valdytojas, atsižvelgdamas į rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

19. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:

19.1. likutinė rizika turi būti sumažinta iki priimtino lygio;

19.2. informacinės saugos priemonės diegimo kainos adekvatumas saugomos informacijos vertei;

19.3. esant galimybei, turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacinės saugos priemonės.

20. Siekiant užtikrinti saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja informacinių technologijų saugos atitikties vertinimą, kurio metu:

20.1. įvertinama saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų atitiktis esamai Registro duomenų saugos situacijai;

20.2. inventorizuojama Registro techninė ir programinė įranga;

20.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų Registro naudotojų kompiuterinėse darbo vietose, visose tarnybinėse stotyse įdiegtos programos ir jų sąranka;

20.4. patikrinama Registro naudotojams suteiktų teisių atitiktis vykdomoms funkcijoms;

20.5. įvertinamas pasirengimas užtikrinti Registro veiklos tęstinumą įvykus elektroninės informacijos saugos incidentui.

21. Registro valdytojo vadovas, atsižvelgdamas į informacinių technologijų saugos reikalavimų atitikties vertinimo rezultatus, prireikus tvirtina saugos įgaliotinio parengtą pastebėtų trūkumų šalinimo planą, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytų priemonių įgyvendinimo terminai.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

22. Metodai ir priemonės, kurie taikomi užtikrinant prieigą prie Registro, nurodant leistiną šios prieigos laiką ir būdą, nustatomi ir reguliuojami Registro naudotojų administravimo taisyklėse, kurias tvirtina Registro valdytojas.

23. Visos Registro tarnybinės stotys ir naudotojų darbo vietos turi būti apsaugotos nuo kenksmingos programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto, virusų ir pan. Apsaugai naudojama programinė įranga turi būti atnaujinama automatiškai ne rečiau kaip kartą per 5 darbo dienas.

24. Draudžiama naudoti programinę įrangą, nesusijusią su Registro tvarkytojo ir naudotojo atliekamomis funkcijomis (žaidimų, bylų siuntimo, internetinių pokalbių programų ir kt.).

25. Prieiga prie kitų valstybės institucijų arba žinybų kompiuterių tinklų ar interneto turi būti apsaugota užkardomis. Interneto turinys turi būti kontroliuojamas, nepraleidžiant nepageidaujamos informacijos.

26. Turi būti įdiegiamos papildomos saugos priemonės (duomenų šifravimas, prisijungimo ribojimai), rakinimo įrenginių naudojimas ir pan.) į nešiojamuosius kompiuterius, kurie turi prieigą prie Registro ir kurie naudojami Lietuvos Respublikos fitosanitarinio registro nuostatuose, Saugos nuostatuose nurodytoms funkcijoms atlikti ne Registro tvarkymo įstaigos patalpose.

27. Turi būti naudojamas Saugus valstybės duomenų perdavimo tinklas užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą. Duomenys teikiami ir (ar) gaunami automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas.

28. Periodiškai (priklausomai nuo konkretaus posistemio) turi būti daromos Registro atsarginės duomenų kopijos, kurios turi būti laikomos atskiroje patalpoje ir saugomos užrakintoje nedegioje spintoje.

29. Ne mažiau kaip 96 proc. laiko visą parą turi būti užtikrintas Registro prieinamumas.

 

IV. REIKALAVIMAI PERSONALUI

 

30. Saugos įgaliotinis privalo turėti atitinkamą kvalifikaciją (kvalifikacijos tobulinimo kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL vartotojo sertifikatas ar pan.), išmanyti informacijos saugos užtikrinimo principus ir saugos užtikrinimo metodus.

31. Administratorius privalo išmanyti informacijos saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugą, taip pat administruoti ir prižiūrėti informacines sistemas, turi būti susipažinęs su šiais saugos nuostatais ir kitais susijusiais saugos dokumentais.

32. Naudotojai turi turėti pagrindinių darbo kompiuteriu įgūdžių, būti susipažinę su saugos nuostatais ir kitais susijusiais saugos dokumentais.

33. Registro naudotojams kasmet rengiami informacijos saugos mokymai, įvairiais būdais primenama apie saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.). Mokymus organizuoja ir jų efektyvumą vertina saugos įgaliotinis.

34. Saugos įgaliotinis pasirašytinai supažindina naudotojus su šiais nuostatais ir kitais duomenų saugą reglamentuojančiais teisės aktais ir informuoja apie šių teisės aktų pakeitimus.

 

V. BAIGIAMOSIOS NUOSTATOS

 

35. Asmenys, pažeidę šių saugos nuostatų ir kitų duomenų saugos politiką įgyvendinančių teisės aktų nuostatas, atsako įstatymų nustatyta tvarka.

 

_________________