LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRO

Į S A K Y M A S

 

DĖL LIETUVOS RESPUBLIKOS VIDAUS VANDENŲ LAIVŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO IR LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRO 2005 m. BIRŽELIO 6 d. ĮSAKYMO Nr. 3-260 „DĖL LIETUVOS RESPUBLIKOS VIDAUS VANDENŲ LAIVŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PRIPAŽINIMO NETEKUSIU GALIOS

 

2010 m. birželio 30 d. Nr. 3-411

Vilnius

 

Vadovaudamasis Lietuvos Respublikos valstybės registrų įstatymo (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488) 20 straipsnio 3 dalimi ir Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 6.1 ir 8 punktais:

1. T v i r t i n u  Lietuvos Respublikos vidaus vandenų laivų registro duomenų saugos nuostatus (pridedama).

2. P a v e d u:

2.1. Lietuvos saugios laivybos administracijos direktoriui E. Zacharevičiui ne vėliau kaip per 1 mėnesį nuo šio įsakymo įsigaliojimo dienos paskirti Lietuvos Respublikos  vidaus vandenų laivų registro duomenų saugos įgaliotinį;

2.2. Lietuvos Respublikos susisiekimo ministerijos Vandens ir geležinkelių transporto departamentui ne vėliau kaip per 6 mėnesius nuo šio įsakymo įsigaliojimo dienos teisės aktų nustatyta tvarka parengti ir pateikti Lietuvos Respublikos susisiekimo ministrui tvirtinti Lietuvos Respublikos vidaus vandenų laivų registro saugaus elektroninės informacijos tvarkymo taisykles, Lietuvos Respublikos vidaus vandenų laivų registro veiklos tęstinumo valdymo planą ir Lietuvos Respublikos vidaus vandenų laivų registro naudotojų administravimo taisykles.

3. P r i p a ž į s t u netekusiu galios Lietuvos Respublikos susisiekimo ministro 2005 m. birželio 6 d. įsakymą Nr. 3-260 „Dėl Lietuvos Respublikos vidaus vandenų laivų registro duomenų saugos nuostatų patvirtinimo“ (Žin., 2005, Nr. 72-2645).

 

 

Susisiekimo ministras                                                                Eligijus Masiulis

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2010 m. birželio 22 d. raštu Nr. 1D-5304

 

_________________

 


PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro

2010 m. birželio 30 d. įsakymu Nr. 3-411

 

LIETUVOS RESPUBLIKOS VIDAUS VANDENŲ LAIVŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Saugos nuostatai reglamentuoja duomenų saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui, dirbančiam su Registru, Registro naudotojų supažindinimo su saugos dokumentais principus.

2. Lietuvos Respublikos vidaus vandenų laivų registro duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotu būdu tvarkyti Lietuvos Respublikos vidaus vandenų laivų registro (toliau – Registras) duomenis.

3. Saugos nuostatai parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866).

4. Registro duomenų saugos tikslas – užtikrinti Registro duomenų konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. Registro duomenų saugumui užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, duomenų saugos suvokimo kėlimo ir saugos priemonių projektavimo ir diegimo principus.

5. Pagrindinės šiuose Saugos nuostatuose vartojamos sąvokos:

Duomenys – visi duomenys, kurie tvarkomi Registro priemonėmis: programos, elektroninės bylos ir kita informacija, kuri saugoma, perduodama ir sukuriama kompiuteriu.

Duomenų saugos incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie Registro galimybę, sutrikdyti ar pakeisti Registro veiklą, sunaikinti, sugadinti ar pakeisti duomenis, panaikinti ar apriboti galimybę naudotis duomenimis, sudaryti sąlygas neleistinai pasisavinti, paskleisti ar kitaip panaudoti duomenis.

Duomenų tvarkymas – visos su duomenimis atliekamos operacijos: rinkimas, užrašymas, klasifikavimas, grupavimas, kaupimas, saugojimas, keitimas, kopijavimas, sujungimas, atskleidimas, teikimas, naudojimas, naikinimas.

Registro administratorius – Registro tvarkymo įstaigos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, atliekantis Registro priežiūrą.

Registro naudotojas – Registro tvarkymo įstaigos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, taip pat kitas asmuo, turintis teisę naudotis Registro duomenimis numatytoms funkcijoms atlikti.

Saugos įgaliotinis Registro tvarkymo įstaigos valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, įgyvendinantis duomenų saugą.

Kitos Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos įstatymuose ir kituose teisės aktuose bei Lietuvos ir tarptautiniuose „Informacijos technologija. Saugumo metodai“ grupės standartuose, apibūdinančiuose saugų informacinės sistemos duomenų tvarkymą.

6. Saugos nuostatai privalomi visiems Registro naudotojams, saugos įgaliotiniui ir Registro administratoriui.

7. Vadovaujančioji Registro tvarkymo įstaiga yra Lietuvos Respublikos susisiekimo ministerija (toliau – Susisiekimo ministerija), Gedimino pr. 17, LT-01505 Vilnius. Susisiekimo ministerija yra ir Registre tvarkomų asmens duomenų valdytoja.

8. Registro tvarkymo įstaiga – Lietuvos saugios laivybos administracija (toliau – Administracija), J. Janonio g. 24, LT-92251 Klaipėda, Registro duomenis tvarko pagal Lietuvos Respublikos vidaus vandenų laivų registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2004 m. lapkričio 11 d. nutarimu Nr. 1435 (Žin., 2004, Nr. 166-6064), reikalavimus. Administracija yra Registre tvarkomų asmens duomenų tvarkytoja. Ji taip pat vykdo Registro duomenų bazės tvarkytojos funkcijas.

9. Saugos politiką apibrėžia Saugos nuostatai. Saugos nuostatus įgyvendina Lietuvos Respublikos vidaus vandenų laivų registro saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės), Lietuvos Respublikos vidaus vandenų laivų registro veiklos tęstinumo valdymo planas (toliau – Valdymo planas), Lietuvos Respublikos vidaus vandenų laivų registro naudotojų administravimo taisyklės (toliau – Administravimo taisyklės), kiti teisės aktai, reglamentuojantys Registro duomenų tvarkymo teisėtumą ir saugos valdymą.

10. Pagrindinės Registro duomenų saugumo užtikrinimo kryptys:

10.1. atliekamų veiksmų su Registro duomenimis automatinio stebėjimo ir įrašų kaupimo įgyvendinimas;

10.2. prieigos teisių prie Registro duomenų suteikimo ir duomenų naudotojo tapatumo identifikavimo įgyvendinimas;

10.3. Registro duomenų kopijavimo, archyve esančių duomenų saugos įgyvendinimas;

10.4. Registro duomenų saugos nuo žalingos programinės įrangos poveikio įgyvendinimas;

10.5. saugių Registrui tvarkyti skirtų patalpų ir kompiuterizuotų darbo vietų jose įrengimas;

10.6. Registro naudotojų kvalifikacijos tobulinimo sistemos įgyvendinimas;

10.7. Registro duomenų integralumo su kitais registrais ir informacinėmis sistemomis užtikrinimas;

10.8. Registro duomenų saugos priemonių nuo nesankcionuoto poveikio Registro programinei, techninei įrangai ir (ar) Registro programinės įrangos modifikavimo įgyvendinimas.

11. Susisiekimo ministro funkcijos ir atsakomybė:

11.1. vadovauja ir organizuoja Registro veiklą;

11.2. tvirtina saugos dokumentus;

11.3. prižiūri saugos dokumentų įgyvendinimą;

11.4. kontroliuoja, kad Registras būtų tvarkomas vadovaujantis Lietuvos Respublikos įstatymais ir kitais teisės aktais.

12. Administracijos direktoriaus funkcijos ir atsakomybė:

12.1. rūpinasi Registro duomenų sauga;

12.2. atsako už Registro saugos reikalavimų atitiktį Saugos nuostatams ir kitiems galiojantiems Lietuvos Respublikos teisės aktams;

12.3 skiria saugos įgaliotinį ir paveda jam organizuoti ir kontroliuoti saugos politiką reglamentuojančių teisės aktų įgyvendinimą Administracijoje;

12.4. paskiria Registro administratorių, jam paveda užtikrinti Registro tarnybinės stoties saugų funkcionavimą ir Registro naudotojų kompiuterinių darbo vietų programinės įrangos priežiūrą, kontrolę ir tinkamą veikimą, administruoja Registro duomenų bazę Saugos nuostatų ir kitų saugos politiką reglamentuojančių teisės aktų nustatyta tvarka;

12.5. nustato reikalavimus saugos įgaliotinio, Registro administratoriaus ir Registro naudotojų kvalifikacijai.

13. Saugos įgaliotinio, įgyvendinančio Registro duomenų saugą, funkcijos ir atsakomybė:

13.1. teikia Administracijos direktoriui pasiūlymus dėl:

13.1.1. Registro administratoriaus paskyrimo;

13.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

13.1.3. Registro duomenų saugos reikalavimų atitikties vertinimo atlikimo;

13.2. koordinuoja duomenų saugos incidentų tyrimą;

13.3. pasirašytinai supažindina Registro administratorių, Registro naudotojus su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą;

13.4. organizuoja Registro administratoriaus ir Registro naudotojų kvalifikacijos tobulinimą duomenų saugos klausimais, reguliariai jiems primena Registro saugos problemas (elektroniniu paštu, atmintinės naujai priimtiems darbuotojams ir pan.);

13.5. atsako už Registro saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams;

13.6. teikia Registro administratoriui privalomus vykdyti nurodymus ir pavedimus;

13.7. atlieka kitas Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas bei kitus Administracijos direktoriaus nurodymus, susijusius su Registro sauga.

14. Registro administratoriaus funkcijos ir atsakomybė:

14.1. vykdo Registro funkcionavimą užtikrinančios techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą, Registro funkcionavimo užtikrinimą;

14.2. atlieka Registro naudotojų pasirengimo dirbti su Registru įvertinimą, jų registravimą ir prisijungimo vardų skyrimą, prieigos prie Registro infrastruktūros išteklių teisių nustatymą;

14.3. vykdo funkcijas, susijusias su Registro komponentais (kompiuteriais, tarnybinėmis stotimis, operacinėmis sistemomis, duomenų bazėmis, įsilaužimo aptikimo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, duomenų perdavimu), Registro komponentų sąrankos aprašymo dokumentacijos parengimo ir atnaujinimo organizavimu, pažeidžiamų vietų nustatymu ir saugos priemonių parinkimu bei jų atitiktimi Saugos nuostatų ir Saugos politiką įgyvendinančių dokumentų reikalavimams;

14.4. pagal kompetenciją rengia pasiūlymus dėl Registro palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir duomenų saugos užtikrinimo;

14.5. registruoja duomenų saugos incidentus, informuoja apie juos saugos įgaliotinį ir teikia pasiūlymus dėl minėtų incidentų pašalinimo;

14.6. užtikrina Registro duomenų konfidencialumą ir vientisumą;

14.7. atlieka kitas Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas bei kitus Administracijos direktoriaus ar saugos įgaliotinio nurodymus, susijusius su Registro sauga.

15. Registro naudotojai:

15.1. vadovaudamiesi Saugos nuostatais, Registro elektroninės informacijos tvarkymo taisyklėmis, Registro naudotojų administravimo taisyklėmis ir pareigybių aprašymais, naudojasi Registru;

15.2. užtikrina duomenų tvarkymo teisėtumą;

15.3. informuoja saugos įgaliotinį, Registro administratorių apie duomenų saugos incidentus, Registro darbo sutrikimus;

15.4. vykdo kitas Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas bei kitus Administracijos direktoriaus, saugos įgaliotinio ir Registro administratoriaus nurodymus, susijusius su Registro naudojimu ir Registro sauga.

16. Registro duomenų sauga užtikrinama vadovaujantis Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488), Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Saugos dokumentų turinio gairėmis, Lietuvos standartu LST ISO/IEC 17799:2005, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, Saugos nuostatais, Tvarkymo taisyklėmis, Valdymo planu, Administravimo taisyklėmis, kitais teisės aktais, reglamentuojančiais saugų Registro duomenų tvarkymą.

17. Saugos nuostatai ir kiti saugos politiką įgyvendinantys teisės aktai persvarstomi ir prireikus keičiami po rizikos analizės ar informacinių technologijų saugos atitikties vertinimo atlikimo arba Administracijoje įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams, tačiau ne rečiau kaip kartą per metus. Saugos dokumentai turi būti tikslinami ir derinami su Lietuvos Respublikos vidaus reikalų ministerija.

 

II. REGISTRO ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

18. Vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160; 2008, 127-4866), Registras priskiriamas antrajai informacinių sistemų kategorijai.

19. Registro saugos priemonės parenkamos įvertinus galimus rizikos veiksnius Registro duomenų vientisumui, konfidencialumui ir prieinamumui.

20. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja Registro rizikos vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį Registro rizikos įvertinimą. Registro rizikos veiksnių vertinimui taikoma kokybinė rizikos vertinimo metodika.

21. Registro rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaitą rengia saugos įgaliotinis, atsižvelgęs į rizikos veiksnius, galinčius turėti įtakos duomenų saugai. Svarbiausi rizikos veiksniai yra šie:

21.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacinių technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kt.);

21.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Registru Registro duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kt.);

21.3. nenugalima jėga (darbuotojų praradimas, audros, gaisrai, vandens poveikis, elektros instaliacijos gedimas ir kt.).

22. Lietuvos Respublikos susisiekimo ministras, atsižvelgdamas į rizikos įvertinimo ataskaitą, prireikus tvirtina saugos įgaliotinio parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

23. Rizikos veiksniai vertinami nustatant jų įtakos Registro duomenų saugai laipsnius:

23.1. N – nereikšmingas laipsnis. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – informacija pasiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, prarasta informacija po paskutinio kopijavimo, sugadinta operacinė sistema;

23.2. R – reikšmingas laipsnis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar visiškai sugadinti; duomenų bazių įrašai suklastoti ir nekorektiški, sunku rasti klaidas ir suklastotą informaciją; neveikia kompiuterinės programos ir operacinė sistema;

23.3. K – kritinis laipsnis. Duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti – duomenys visiškai sugadinti; dėl vagystės, gaisro ar užliejimo prarasti ne tik duomenys iš duomenų bazių, bet ir atsarginės kopijos; neveikia visa informacinė sistema.

24. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kasmet organizuojamas Registro informacinių technologijų saugos atitikties vertinimas, kurio metu:

24.1. įvertinama, ar Saugos nuostatai ir kiti saugos politiką įgyvendinantys teisės aktai atitinka realią Registro duomenų saugos situacijai;

24.2. inventorizuojama Registro techninė ir programinė įranga;

24.3. tikrinama visose Administracijos tarnybinėse stotyse, Registro administratorių bei ne mažiau kaip 10 % atsitiktinai pasirinktų Registro naudotojų kompiuterinėse darbo vietose įdiegta programinė įranga ir jos sąranka (konfigūracija);

24.4. patikrinama (įvertinama) Registro naudotojams suteiktų teisių tvarkyti Registrą atitiktis atliekamoms funkcijoms, prireikus Registro naudotojų teisės praplečiamos ar apribojamos;

24.5. įvertinamas pasirengimas užtikrinti Registro veiklos tęstinumą įvykus saugos incidentui;

24.6. analizuojami rizikos veiksniai, galimos jų pašalinimo arba neigiamo poveikio sumažinimo priemonės ir Saugos nuostatuose reglamentuota tvarka koreguojama Registro rizikos įvertinimo ataskaita.

25. Techninės, programinės ir organizacinės elektroninės informacijos saugos priemonės pasirenkamos, kad būtų užtikrintas Registro veiklos tęstinumas patiriant kuo mažiau išlaidų ir saugus Registro naudotojų darbas.

26. Atlikus Saugos nuostatų 24 punkte nurodytą atitikties vertinimą, saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus Lietuvos Respublikos susisiekimo ministras.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

27. Prieigos prie Registro užtikrinimo metodai ir priemonės:

27.1. teisė dirbti su konkrečiais duomenimis suteikiama konkrečiam Registro naudotojui arba Registro naudotojų grupei;

27.2. pasibaigus valstybės tarnybos (darbo) santykiams, Registro naudotojo teisė naudotis Registru turi būti panaikinta. Registro naudotojui teisė dirbti su konkrečiais duomenimis turi būti ribojama ar sustabdoma, kai vyksta Registro naudotojo veiklos tyrimas;

27.3. Registro naudotojas turi imtis priemonių, kad su Registro duomenimis negalėtų susipažinti pašaliniai asmenys.

28. Registro priežiūrą vykdo Registro administratorius, kuriam suteiktas atskiras tam skirtas administratoriaus identifikatorius.

29. Registro darbui turi būti naudojama tik legali programinė įranga, kuri prižiūrima laikantis visų gamintojų rekomendacijų.

30. Registro tarnybinėse stotyse neturi veikti programinė įranga, nesusijusi su Registro duomenų tvarkymu, Registro naudotojų ir pačios įrangos administravimu.

31. Registro tarnybinėse stotyse privalo būti naudojama programinė įranga, skirta kovai su kenksminga programine įranga, atnaujinama automatiniu būdu ne rečiau kaip kas trys dienos.

32. Tarnybinės stoties įvykių žurnale (angl. event log) registruojami ir savaitę saugomi duomenys apie: įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis Registre, bandymus prieiti prie duomenų, kitus svarbius saugai įvykius, nurodant Registro naudotojo identifikatorių ir įvykio laiką. Žurnale saugoma informacija kas savaitę analizuojama.

33. Registro programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.

34. Registro objektų duomenims saugiai rinkti, apdoroti, kaupti, saugoti, teikti suinteresuotiems juridiniams ir fiziniams asmenims Registro tvarkymo įstaigoje turi būti naudojamos programinės ir techninės įrangos naudojimą ribojančios pagrindinės priemonės, kuriose:

34.1. realizuota galimybė Registro naudotojams naudoti tik galiojančią programinę įrangą;

34.2. realizuota Registro naudotojų prieigos prie Registro duomenų galimybė tik per registravimosi ir slaptažodžių sistemą;

34.3. realizuota galimybė Registro naudotojams ne rečiau kaip kartą per 3 mėnesius atnaujinti slaptažodžius;

34.4. Registro naudotojų prieigos valdymas apibrėžtas Administravimo taisyklėse;

34.5. Registro naudotojas, baigęs darbą, turi imtis priemonių, kad su duomenimis negalėtų susipažinti pašaliniai asmenys: atsijungti nuo Registro, įjungti ekrano užsklandą su slaptažodžiu, dokumentus padėti į pašaliniams asmenims neprieinamą vietą;

34.6. naudojama Registro administravimo programinės įrangos ugniasienė;

34.7. realizuota galimybė nustatyti prieigos prie Registro duomenų autorius, fiksuoti jų atliktus veiksmus ir juos kaupti.

35. Saugos įgaliotinis, Registro administratorius Administracijoje turi organizuoti Registro programinės, techninės įrangos naudojimą ribojančių priemonių įgyvendinimą – periodiškai, ne rečiau kaip kartą per pusmetį, patikrinti, ar nenaudojama nelegali programinė įranga; rasta nelegali programinė įranga turi būti nedelsiant pašalinta.

36. Administracijoje internetinio tinklo apsaugos sistema susideda iš ugniasienės, šifravimo paslaugos ir šifruoto kanalo (VPN). Ugniasienėje konfigūruojami internetiniai adresai ir prieigos, kurie gali praeiti pro ją. Atlikus patikrinimą, duomenys šifruojami ir siunčiami adresatui, t. y. vyksta apsikeitimas, persiuntimas.

37. Registro naudotojų, savo tarnybinėms funkcijoms vykdyti naudojančių nešiojamuosius kompiuterius Registro duomenims perduoti kompiuterių tinklais ne savo darbo vietoje, kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas Registro naudotojo tapatybės patvirtinimas ir Registro duomenų šifravimas. Registro duomenys nešiojamuosiuose kompiuteriuose nesaugomi, juose įdiegta tik Registro naudotojo darbo vieta, kad saugiu internetiniu tinklu prisijungtų prie centrinės Registro duomenų bazės.

38. Registro duomenų gavimo automatiniu būdu iš kitų informacinių sistemų ir registrų tvarka nustatyta duomenų teikimo sutartyse.

39. Prarasti, iškraipyti, sunaikinti Registro duomenys atkuriami iš Registro atsarginių duomenų kopijų. Registro atsarginių duomenų kopijos daromos automatiniu būdu kiekvieną darbo dieną esant aktyviai Registro duomenų bazei. Kopijos įrašomos į keičiamus informacijos kaupiklius (kietuosius diskus) ir saugomos seife, prieinamame tik Registro administratoriui, jo nesant – Registro administratorių pavaduojančiam asmeniui. Prireikus jas atkurti turi teisę tik Registro administratorius ar jį pavaduojantis asmuo. Kopijų, iš kurių būtų galima atkurti Registro duomenis, darymo ir saugojimo tvarka detaliai aprašyta Tvarkymo taisyklėse.

40. Registro fizinę saugą Administracijoje užtikrina šios saugos priemonės: signalizacija, įėjimo kontrolės sistema, belangė nepažymėta jokiomis informacinėmis lentelėmis patalpa ir kt.

41. Atlikus Registro pakeitimus, prieš juos įdiegiant Registre, testavimo darbai atliekami Registro testavimo aplinkoje.

 

IV. REIKALAVIMAI PERSONALUI

 

42. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Saugos nuostatais, informacinių technologijų saugos atitikties vertinimo metodika, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą, standartais ir kitais dokumentais, sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

43. Registro administratorius privalo išmanyti pagrindinius saugos politikos principus, darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugumą, turėti sisteminių programinių priemonių („Windows“) administravimo bei priežiūros patirties, turi būti susipažinęs su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais, taip pat kitomis vidaus ir darbo saugos taisyklėmis.

44. Registro duomenų naudotojai turi:

44.1. turėti darbo kompiuteriu įgūdžių;

44.2. mokėti tvarkyti Registro duomenis Registro nuostatuose nustatyta tvarka;

44.3. išmanyti registrų ir informacinių sistemų saugos politiką reglamentuojančius teisės aktus.

45. Registro naudotojai privalo rūpintis tvarkomų duomenų sauga.

46. Esant duomenų saugos incidentui, nenumatytai situacijai, saugos įgaliotinio, Registro administratorių, Registro naudotojų veiksmus reglamentuoja Valdymo planas.

47. Saugos įgaliotinis ne rečiau kaip kartą per metus inicijuoja Registro naudotojų mokymą duomenų saugos klausimais, įvairiais būdais informuoja juos apie duomenų saugos problematiką (priminimai elektroniniu paštu, teminių seminarų organizavimas, atmintinių naujai priimtiems darbuotojams rengimas).

 

V. REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

48. Tvarkyti Registro duomenis gali tik įgalioti Registro naudotojai, susipažinę su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais bei raštu sutikę laikytis šių teisės aktų reikalavimų.

49. Registro naudotojų supažindinimą su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais ir atsakomybe už šių reikalavimų nesilaikymą organizuoja saugos įgaliotinis. Saugos įgaliotinis informuoja Registro naudotojus apie Saugos nuostatų pakeitimus ar kitų saugos politiką įgyvendinančių teisės aktų pripažinimą netekusiais galios, keitimą ar priėmimą.

50. Registro naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veiklos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti Registro saugos įgaliotiniui ir/arba Registro administratoriui.

 

VI. BAIGIAMOSIOS NUOSTATOS

 

51. Administracija privalo įgyvendinti Saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose Registro duomenų saugų tvarkymą, nustatytas organizacines, technines ir kitas priemones.

52. Saugos įgaliotinis, Registro administratorius ir Registro naudotojai raštu įsipareigoja nepažeisti šių Saugos nuostatų ir kitų teisės aktų, reglamentuojančių Registro duomenų saugų tvarkymą.

53. Duomenys apie Registro administratoriaus ir Registro naudotojų atliktus veiksmus su Registro duomenimis saugomi neterminuotai.

54. Saugos įgaliotinis, Registro administratorius, Registro naudotojai, pažeidę šių Saugos nuostatų, kitų teisės aktų, reglamentuojančių Registro duomenų saugų tvarkymą, reikalavimus, atsako įstatymų ir kitų teisės aktų nustatyta tvarka.

 

_________________