Vadovaudamasis Asmens duomenų valdytojų valstybės registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimu Nr. 262 „Dėl Asmens duomenų valdytojų valstybės registro reorganizavimo, šio registro nuostatų ir asmens duomenų valdytojų pranešimo apie duomenų tvarkymą tvarkos patvirtinimo“ (Žin., 2002, Nr. 20-768) 13.12 punktu:

1. Tvirtinu pridedamus:

2. Pripažįstu netekusiu galios Valstybinės duomenų apsaugos inspekcijos viršininko 2001 m. liepos 13 d. įsakymą Nr. 01-10-39 „Dėl Reikalavimų duomenų apsaugos priemonių aprašui ir Duomenų apsaugos priemonių aprašo formos patvirtinimo“ (Žin., 2001, Nr. 63-2312).

Inspekcijos direktorė                                                                                Ona Jakštaitė

1. Duomenų apsaugos priemonių aprašą (toliau – aprašas) sudaro galimų duomenų tvarkymo pažeidimų rizikos veiksnių ir naudojamų organizacinių ir techninių duomenų apsaugos priemonių sąrašas. Duomenų apsaugos priemonės turi būti susietos su rizikos veiksniais ir atitikti saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką.

2. Aprašo formoje pateiktas rizikos veiksnių sąrašas nėra baigtinis ir gali būti papildytas kitais rizikos veiksniais bei jiems išvengti naudojamomis organizacinėmis ir techninėmis duomenų apsaugos priemonėmis.

3. Aprašo formoje gali būti įrašomos ne tik naudojamos, bet ir diegiamos bei numatomos įdiegti organizacinės ir techninės duomenų apsaugos priemonės. Prie pastarųjų pažymimas numatomas įdiegimo laikas.

4. Aprašus užpildo duomenų tvarkytojai ir teikia savo duomenų valdytojui.

5. Duomenų valdytojai teikia duomenų tvarkytojų ir savo aprašus kartu su kitais registravimo duomenimis, nustatytais Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimu Nr. 262 „Dėl Asmens duomenų valdytojų valstybės registro reorganizavimo, šio registro nuostatų ir asmens duomenų valdytojų pranešimo apie duomenų tvarkymą tvarkos patvirtinimo“ (Žin., 2002, Nr. 20-768) patvirtintų Asmens duomenų valdytojų valstybės registro nuostatų 13 punkte.

6. Duomenų apsaugos priemonių aprašas teikiamas Asmens duomenų valdytojų valstybės registro tvarkymo įstaigai – Valstybinei duomenų apsaugos inspekcijai.

7. Pasikeitusius aprašo duomenis duomenų valdytojas privalo pateikti Valstybinei duomenų apsaugos inspekcijai kasmet iki sausio 31 dienos.

______________

DUOMENŲ APSAUGOS PRIEMONIŲ APRAŠAS

Neteisėta fizinė prieiga prie kompiuterinės įrangos:

 patalpos rakinamos   patalpų stebėjimo ir signalizacijos sistema   veikia asmenų įėjimo į patalpas kontrolės sistema (fizinė arba elektroninė)   įėjimas į patalpas registruojamas žurnale   kitos priemonės__________________________________________________________________________

__________________________________________________________________________

Neteisėti programinės įrangos vartotojai:

 nustatyta vartotojų prisijungimo tvarka   valdoma vartotojų teisė naudotis programine įranga   vartotojų prisijungimas registruojamas žurnaluose   kitos priemonės __________________

Neteisėtas vartotojų prisijungimas prie tinklo:

 vidinis tinklas apsaugotas ugnies sienomis   nutolę įstaigos padaliniai prie vidinio tinklo jungiasi saugiai (VPN, skirtinėmis linijomis ir pan.)   kontroliuojamas darbuotojų prisijungimas prie vidinio tinklo   kontroliuojamas trečiųjų šalių vartotojų prisijungimas   užšifruojama tinklu siunčiama konfidenciali informacija   kitos priemonės_________________________________________________

Neteisėtas saugomų laikmenų naudojimas:

 patvirtinta atsarginių kopijų saugojimo tvarka   atsarginės kopijos saugomos tam skirtose patalpose   duomenys atsarginėse kopijose saugomi užšifruoti   laikmenų saugojimas registruojamas žurnale   kitos priemonės _________________________________________________________________

Vagystė:

 informacija laikmenose apsaugota nuo galimo jos neteisėto panaudojimo   apribota fizinė prieiga prie tarnybinių stočių   darbo stotyse duomenys nesaugomi   apribota programinė prieiga prie duomenų   kitos priemonės _____________________________________________________________

Duomenų perdavimo tinklo piktavališkas panaudojimas:

 veikia duomenų perdavimo tinklo valdymo programos   įslaptinamas vartotojo adresas  nustatyti griežti tinklo maršrutai   įdiegta speciali tinklo informacijos sekimo aparatūra   tikrinamas pašalinių įrenginių prisijungimas   stebima duomenų perdavimo tinklo būklė   kitos priemonės____

Programinės įrangos klaidos:

 naudojama sertifikuota programinė įranga   programinė įranga atnaujinama laikantis nustatytos tvarkos   pakeista programinė įranga testuojama atskiroje tarnybinėje stotyje ar stotyse   kitos priemonės   

__________________________________________________________________________

Piktavališkos programos:

 tarnybinėse stotyse įdiegtos elektroninio pašto sistemų antivirusinės programos   antivirusinės programos įdiegtos darbo stotyse   darbuotojai supažindinti su tvarka, kaip elgtis piktavališkų programų antplūdžio atveju   kitos priemonės_____________________________________________________

Laikmenų sunaikinimas:

 programinė įranga neleidžia vartotojams visiškai ištrinti duomenis   veikia atsarginės tarnybinės stotys su duomenų laikmenomis   duomenų laikmenų sunaikinimą apsaugo programos   numatyta ir patikrinama duomenų atstatymo iš atsarginių laikmenų procedūra   kitos priemonės

__________________________________________________________________________

Neteisėtos programinės įrangos naudojimas:

 naudojama tik teisėta programinė įranga   nuolat atliekama darbo stotyse naudojamos programinės įrangos kontrolė   darbuotojams nesuteiktos teisės patiems diegti programinę įrangą   darbo stotys valdomos centralizuotai   kitos priemonės _______________________________________

Vartotojų klaidos:

 darbuotojai mokomi dirbti su programine įranga   darbuotojams paruoštos tikslios ir išsamios darbo instrukcijos   programinė įranga atspari darbuotojų klaidoms   kitos priemonės

__________________________________________________________________________

Duomenų perdavimo tinklo įrangos gedimai:

 įranga prižiūrima pagal gamintojo rekomendacijas   priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai   didžiausią įtaką veiklai turinti (toliau – svarbiausia) kompiuterinė įranga dubliuota   svarbiausios ryšio linijos dubliuotos   veikia duomenų perdavimo tinklo valdymo programos   stebima duomenų perdavimo tinklo būklė   kitos priemonės _______________________________

Kompiuterių techninės įrangos gedimai:

 įranga prižiūrima pagal gamintojo rekomendacijas  priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai  svarbiausia kompiuterinė įranga dubliuota  svarbiausios kompiuterinės įrangos techninė būklė nuolat stebima  kitos priemonės _______________________________________________

Užliejimas vandeniu:

 tinkamai suplanuotos ir įrengtos svarbiausios kompiuterinės įrangos laikymo patalpos   įrengta vandens nutekėjimo sistema   svarbiausia kompiuterinė įranga dubliuota kitoje patalpoje   kitos priemonės

Ugnis:

 patalpose įrengti ugnies gesintuvai  pastato patalpose įrengti dūmų ir karščio davikliai  įrengtos ugnies plitimą stabdančios pertvaros  atsarginės laikmenos su duomenimis ir programomis laikomos nedegiose spintose  rūkymui skirtos specialios patalpos  kitos priemonės______________________

Temperatūros ir drėgmės svyravimai:

 tarnybinių stočių patalpose įrengta kondicionavimo sistema   tarnybinių stočių patalpose įrengta dubliuota kondicionavimo sistema   nuolat stebimi temperatūros ir drėgmės svyravimai   kondicionavimo įranga prižiūrima pagal gamintojo reikalavimus   kitos priemonės

__________________________________________________________________________

Elektromagnetinis spinduliavimas:

 svarbiausios kompiuterinės įrangos laikymo patalpose įrengti ekranai nuo spinduliavimo   periodiškai tikrinamas elektromagnetinio spinduliavimo lygis   kitos priemonės___________________

__________________________________________________________________________

Stichinė nelaimė:

 parengtas veiklos atkūrimo planas   yra avarijai likviduoti reikalingi susitarimai su trečiosiomis šalimis   darbuotojai apmokyti veikti stichinių nelaimių atveju   kitos priemonės

__________________________________________________________________________

Elektros srovės tiekimo sutrikimai:

 dubliuoti elektros įvadai, skirti svarbiausiai kompiuterinei įrangai   nenutrūkstančio maitinimo šaltiniai (UPS), skirti svarbiausiai kompiuterinei įrangai   vietiniai elektros generatoriai   stebima elektros srovės tiekimo būklė   kitos priemonės _______________________________________________

Maitinimo ir ryšio linijų gedimai:

 kabeliai nutiesti po žeme   kabeliai yra izoliaciniuose vamzdžiuose   elektros ir duomenų kabeliai saugiai atskirti   tarptinkliniams ryšiams naudojami tik optiniai kabeliai   periodiškai tikrinama kabelių būklė   kitos priemonės _____________________________________________________

Kiti rizikos veiksniai ir priemonės: ____________________________________________

__________________________________________________________________________

Užpildė___________________________________________________________________

                                       (vardas, pavardė, parašas, telefono numeris, el. pašto adresas)

______________