VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS DIREKTORIAUS
Į S A K Y M A S
DĖL REIKALAVIMŲ DUOMENŲ APSAUGOS PRIEMONIŲ APRAŠUI IR DUOMENŲ APSAUGOS PRIEMONIŲ APRAŠO
2004 m. sausio 13 d. Nr. 1T-7
Vilnius
Vadovaudamasis Asmens duomenų valdytojų valstybės registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimu Nr. 262 „Dėl Asmens duomenų valdytojų valstybės registro reorganizavimo, šio registro nuostatų ir asmens duomenų valdytojų pranešimo apie duomenų tvarkymą tvarkos patvirtinimo“ (Žin., 2002, Nr. 20-768) 13.12 punktu:
1. Tvirtinu pridedamus:
2. Pripažįstu netekusiu galios Valstybinės duomenų apsaugos inspekcijos viršininko 2001 m. liepos 13 d. įsakymą Nr. 01-10-39 „Dėl Reikalavimų duomenų apsaugos priemonių aprašui ir Duomenų apsaugos priemonių aprašo formos patvirtinimo“ (Žin., 2001, Nr. 63-2312).
PATVIRTINTA
Valstybinės duomenų apsaugos inspekcijos direktoriaus 2004 m. sausio 13 d.
įsakymu Nr. 1T-7
REIKALAVIMAI DUOMENŲ APSAUGOS PRIEMONIŲ APRAŠUI
1. Duomenų apsaugos priemonių aprašą (toliau – aprašas) sudaro galimų duomenų tvarkymo pažeidimų rizikos veiksnių ir naudojamų organizacinių ir techninių duomenų apsaugos priemonių sąrašas. Duomenų apsaugos priemonės turi būti susietos su rizikos veiksniais ir atitikti saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką.
2. Aprašo formoje pateiktas rizikos veiksnių sąrašas nėra baigtinis ir gali būti papildytas kitais rizikos veiksniais bei jiems išvengti naudojamomis organizacinėmis ir techninėmis duomenų apsaugos priemonėmis.
3. Aprašo formoje gali būti įrašomos ne tik naudojamos, bet ir diegiamos bei numatomos įdiegti organizacinės ir techninės duomenų apsaugos priemonės. Prie pastarųjų pažymimas numatomas įdiegimo laikas.
5. Duomenų valdytojai teikia duomenų tvarkytojų ir savo aprašus kartu su kitais registravimo duomenimis, nustatytais Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimu Nr. 262 „Dėl Asmens duomenų valdytojų valstybės registro reorganizavimo, šio registro nuostatų ir asmens duomenų valdytojų pranešimo apie duomenų tvarkymą tvarkos patvirtinimo“ (Žin., 2002, Nr. 20-768) patvirtintų Asmens duomenų valdytojų valstybės registro nuostatų 13 punkte.
6. Duomenų apsaugos priemonių aprašas teikiamas Asmens duomenų valdytojų valstybės registro tvarkymo įstaigai – Valstybinei duomenų apsaugos inspekcijai.
PATVIRTINTA
Valstybinės duomenų apsaugos inspekcijos
direktoriaus 2004 m. sausio 13 d.
įsakymu Nr. 1T-7
Pranešimo apie duomenų tvarkymą
priedas
Duomenų valdytojas..........................................................................
(pavadinimas arba vardas, pavardė)
Duomenų tvarkytojas........................................................................
(pavadinimas arba vardas, pavardė)
Neteisėta fizinė prieiga prie kompiuterinės įrangos:
patalpos rakinamos patalpų stebėjimo ir signalizacijos sistema veikia asmenų įėjimo į patalpas kontrolės sistema (fizinė arba elektroninė) įėjimas į patalpas registruojamas žurnale kitos priemonės__________________________________________________________________________
__________________________________________________________________________
Neteisėti programinės įrangos vartotojai:
nustatyta vartotojų prisijungimo tvarka valdoma vartotojų teisė naudotis programine įranga vartotojų prisijungimas registruojamas žurnaluose kitos priemonės __________________
Neteisėtas vartotojų prisijungimas prie tinklo:
vidinis tinklas apsaugotas ugnies sienomis nutolę įstaigos padaliniai prie vidinio tinklo jungiasi saugiai (VPN, skirtinėmis linijomis ir pan.) kontroliuojamas darbuotojų prisijungimas prie vidinio tinklo kontroliuojamas trečiųjų šalių vartotojų prisijungimas užšifruojama tinklu siunčiama konfidenciali informacija kitos priemonės_________________________________________________
Neteisėtas saugomų laikmenų naudojimas:
patvirtinta atsarginių kopijų saugojimo tvarka atsarginės kopijos saugomos tam skirtose patalpose duomenys atsarginėse kopijose saugomi užšifruoti laikmenų saugojimas registruojamas žurnale kitos priemonės _________________________________________________________________
Vagystė:
informacija laikmenose apsaugota nuo galimo jos neteisėto panaudojimo apribota fizinė prieiga prie tarnybinių stočių darbo stotyse duomenys nesaugomi apribota programinė prieiga prie duomenų kitos priemonės _____________________________________________________________
Duomenų perdavimo tinklo piktavališkas panaudojimas:
veikia duomenų perdavimo tinklo valdymo programos įslaptinamas vartotojo adresas nustatyti griežti tinklo maršrutai įdiegta speciali tinklo informacijos sekimo aparatūra tikrinamas pašalinių įrenginių prisijungimas stebima duomenų perdavimo tinklo būklė kitos priemonės____
Programinės įrangos klaidos:
naudojama sertifikuota programinė įranga programinė įranga atnaujinama laikantis nustatytos tvarkos pakeista programinė įranga testuojama atskiroje tarnybinėje stotyje ar stotyse kitos priemonės
__________________________________________________________________________
Piktavališkos programos:
tarnybinėse stotyse įdiegtos elektroninio pašto sistemų antivirusinės programos antivirusinės programos įdiegtos darbo stotyse darbuotojai supažindinti su tvarka, kaip elgtis piktavališkų programų antplūdžio atveju kitos priemonės_____________________________________________________
Laikmenų sunaikinimas:
programinė įranga neleidžia vartotojams visiškai ištrinti duomenis veikia atsarginės tarnybinės stotys su duomenų laikmenomis duomenų laikmenų sunaikinimą apsaugo programos numatyta ir patikrinama duomenų atstatymo iš atsarginių laikmenų procedūra kitos priemonės
__________________________________________________________________________
Neteisėtos programinės įrangos naudojimas:
naudojama tik teisėta programinė įranga nuolat atliekama darbo stotyse naudojamos programinės įrangos kontrolė darbuotojams nesuteiktos teisės patiems diegti programinę įrangą darbo stotys valdomos centralizuotai kitos priemonės _______________________________________
Vartotojų klaidos:
darbuotojai mokomi dirbti su programine įranga darbuotojams paruoštos tikslios ir išsamios darbo instrukcijos programinė įranga atspari darbuotojų klaidoms kitos priemonės
__________________________________________________________________________
Duomenų perdavimo tinklo įrangos gedimai:
įranga prižiūrima pagal gamintojo rekomendacijas priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai didžiausią įtaką veiklai turinti (toliau – svarbiausia) kompiuterinė įranga dubliuota svarbiausios ryšio linijos dubliuotos veikia duomenų perdavimo tinklo valdymo programos stebima duomenų perdavimo tinklo būklė kitos priemonės _______________________________
Kompiuterių techninės įrangos gedimai:
įranga prižiūrima pagal gamintojo rekomendacijas priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai svarbiausia kompiuterinė įranga dubliuota svarbiausios kompiuterinės įrangos techninė būklė nuolat stebima kitos priemonės _______________________________________________
Užliejimas vandeniu:
tinkamai suplanuotos ir įrengtos svarbiausios kompiuterinės įrangos laikymo patalpos įrengta vandens nutekėjimo sistema svarbiausia kompiuterinė įranga dubliuota kitoje patalpoje kitos priemonės
Ugnis:
patalpose įrengti ugnies gesintuvai pastato patalpose įrengti dūmų ir karščio davikliai įrengtos ugnies plitimą stabdančios pertvaros atsarginės laikmenos su duomenimis ir programomis laikomos nedegiose spintose rūkymui skirtos specialios patalpos kitos priemonės______________________
Temperatūros ir drėgmės svyravimai:
tarnybinių stočių patalpose įrengta kondicionavimo sistema tarnybinių stočių patalpose įrengta dubliuota kondicionavimo sistema nuolat stebimi temperatūros ir drėgmės svyravimai kondicionavimo įranga prižiūrima pagal gamintojo reikalavimus kitos priemonės
__________________________________________________________________________
Elektromagnetinis spinduliavimas:
svarbiausios kompiuterinės įrangos laikymo patalpose įrengti ekranai nuo spinduliavimo periodiškai tikrinamas elektromagnetinio spinduliavimo lygis kitos priemonės___________________
__________________________________________________________________________
Stichinė nelaimė:
parengtas veiklos atkūrimo planas yra avarijai likviduoti reikalingi susitarimai su trečiosiomis šalimis darbuotojai apmokyti veikti stichinių nelaimių atveju kitos priemonės
__________________________________________________________________________
Elektros srovės tiekimo sutrikimai:
dubliuoti elektros įvadai, skirti svarbiausiai kompiuterinei įrangai nenutrūkstančio maitinimo šaltiniai (UPS), skirti svarbiausiai kompiuterinei įrangai vietiniai elektros generatoriai stebima elektros srovės tiekimo būklė kitos priemonės _______________________________________________
Maitinimo ir ryšio linijų gedimai:
kabeliai nutiesti po žeme kabeliai yra izoliaciniuose vamzdžiuose elektros ir duomenų kabeliai saugiai atskirti tarptinkliniams ryšiams naudojami tik optiniai kabeliai periodiškai tikrinama kabelių būklė kitos priemonės _____________________________________________________
Kiti rizikos veiksniai ir priemonės: ____________________________________________
__________________________________________________________________________