LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRO

Į S A K Y M A S

DĖL TRAUKINIO MAŠINISTŲ REGISTRO VEIKLOS TĘSTINUMO VALDYMO PLANO, TRAUKINIO MAŠINISTŲ REGISTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ IR TRAUKINIO MAŠINISTŲ REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ PATVIRTINIMO

2012 m. liepos 9 d. Nr. 3-467

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 7 punktu ir atsižvelgdamas į Saugos dokumentų turinio gaires, patvirtintas Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070),

t v i r t i n u pridedamus:

1. Traukinio mašinistų registro veiklos tęstinumo valdymo planą;

2. Traukinio mašinistų registro naudotojų administravimo taisykles;

3. Traukinio mašinistų registro saugaus elektroninės informacijos tvarkymo taisykles.

Susisiekimo ministras Eligijus Masiulis

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2012 m. birželio 29 d. raštu Nr. 1D-4464(3)

PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro

2012 m. liepos 9 d. įsakymu Nr. 3-467

TRAUKINIO MAŠINISTŲ REGISTRO VEIKLOS TĘSTINUMO VALDYMO PLANAS

I. BENDROSIOS NUOSTATOS

1. Traukinio mašinistų registro veiklos tęstinumo valdymo plano (toliau – Valdymo planas) tikslas – nustatyti Traukinio mašinistų registro (toliau – registras) tvarkymo įstaigos, jos paskirtų tvarkyti registro duomenis fizinių asmenų – registro naudotojų, administratoriaus, saugos įgaliotinio – veiksmus, esant elektroninės informacijos saugos incidentui registro tvarkymo įstaigoje, kurio metu gali kilti pavojus registro duomenims, registro techninės, programinės įrangos funkcionavimui, registravimo dokumentams.

2. Valdymo planas parengtas vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866), ir Traukinio mašinistų registro duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos susisiekimo ministro 2011 m. birželio 3 d. įsakymu Nr. 3-335 (Žin., 2011, Nr. 70-3343).

3. Valdymo plane vartojamos sąvokos:

Registro administratorius – registro tvarkymo įstaigos vadovo įsakymu paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, kuris atsakingas už registro naudotojų registravimą, registro prieigos teisių suteikimą ir panaikinimą, atliekantis kitas jam priskirtas funkcijas, aprašytas registro veiklą reglamentuojančiuose dokumentuose.

Registro naudotojas – registro tvarkymo įstaigos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis registro ištekliais numatytoms funkcijoms atlikti.

Saugos įgaliotinis – registro tvarkymo įstaigos vadovo įsakymu paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, įgyvendinantis elektroninės informacijos saugos priemones registre.

4. Kitos Valdymo plane vartojamos sąvokos atitinka Valdymo plano 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

5. Už Valdymo plano įgyvendinimą atsakinga registro tvarkymo įstaiga ir jos paskirti asmenys – registro naudotojai, saugos įgaliotinis ir registro administratorius.

6. Už Valdymo plano įgyvendinimo organizavimą ir kontrolę registro tvarkymo įstaigoje atsakingas saugos įgaliotinis.

7. Registro tvarkymo įstaigos, saugos įgaliotinio, registro administratoriaus veiksmai elektroninės informacijos saugos incidento metu nurodyti Traukinio mašinistų registro veiklos tęstinumo detaliajame plane (toliau – planas) (1 priedas). Planas parengiamas kiekvienam registro tvarkymo įstaigos pastatui. Registro administratorius, saugos įgaliotinis, prireikus – ir registro naudotojai nedelsdami šalina elektroninės informacijos saugos incidento padarinius ir įgyvendina kitas plane numatytas funkcijas.

8. Elektroninės informacijos saugos incidento metu patirti registro tvarkymo įstaigos nuostoliai padengiami iš valstybės biudžeto ir kitų finansavimo šaltinių.

9. Kriterijai, pagal kuriuos nustatoma, kad registro veikla atkurta, yra:

9.1. nuolat atnaujinami registro duomenys;

9.2. išsaugomi atnaujinti registro duomenys;

9.3. nuolat teikiami atnaujinti registro duomenys kitiems registrams, informacinėms sistemoms ir kitiems registro duomenų gavėjams;

9.4. išregistruotų registro objektų duomenys automatiniu būdu perkeliami į registro duomenų bazės archyvą.

10. Šis Valdymo planas įsigalioja įvykus registro elektroninės informacijos saugos incidentui, kuris gali kelti pavojų registro duomenims, techninės, programinės įrangos funkcionavimui, registravimo dokumentams. Ar konkretus atvejis yra saugos incidentas, sprendžia Registro veiklos tęstinumo valdymo grupės (toliau – Veiklos tęstinumo valdymo grupė) vadovas, gavęs saugos įgaliotinio teikimą. Valdymo planas privalomas visiems registro naudotojams.

II. ORGANIZACINĖS NUOSTATOS

11. Veiklos tęstinumo valdymo grupę sudaro:

11.1. Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos (toliau – Inspekcija) viršininkas (Veiklos tęstinumo valdymo grupės vadovas);

11.2. Inspekcijos viršininko pavaduotojas, kuruojantis registro veiklą (Veiklos tęstinumo valdymo grupės vadovo pavaduotojas);

11.3. Inspekcijos Teisės skyriaus vedėjas (Veiklos tęstinumo valdymo grupės vadovo pavaduotojas);

11.4. Inspekcijos vyriausiasis buhalteris;

11.5. saugos įgaliotinis;

11.6. kiti Inspekcijos viršininko įsakymu paskirti specialistai arba pagal sutartį veikiantys asmenys.

12. Veiklos tęstinumo valdymo grupė atlieka šias funkcijas:

12.1. analizuoja elektroninės informacijos saugos incidentus ir priima sprendimus registro veiklos tęstinumo valdymo klausimais;

12.2. bendrauja su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

12.3. bendrauja su kitų valstybinių ir žinybinių registrų ir informacinių sistemų veiklos tęstinumo valdymo grupėmis;

12.4. bendrauja su teisėsaugos ir kitomis institucijomis, šių institucijų darbuotojais ir kitais suinteresuotais asmenimis;

12.5. kontroliuoja, kaip naudojami finansiniai ištekliai, reikalingi registro veiklai atkurti, įvykus elektroninės informacijos saugos incidentui;

12.6. organizuoja registro duomenų fizinę saugą, įvykus elektroninės informacijos saugos incidentui;

12.7. organizuoja logistiką (žmonių, daiktų, įrangos vežimo organizavimas ir jų vežimas), įvykus elektroninės informacijos saugos incidentui;

12.8. kitas Veiklos tęstinumo valdymo grupei pavestas funkcijas.

13. Registro veiklos atkūrimo grupę (toliau – Atkūrimo grupė) sudaro:

13.1. Inspekcijos viršininko pavaduotojas, nekuruojantis registro veiklos (Atkūrimo grupės vadovas);

13.2. Inspekcijos Informacinių technologijų skyriaus vedėjas (Atkūrimo grupės vadovo pavaduotojas);

13.3. registro administratorius;

13.4. Inspekcijos Informacinių technologijų skyriaus vyriausiasis specialistas;

13.5. kiti Inspekcijos viršininko įsakymu paskirti specialistai arba pagal sutartį veikiantys asmenys.

14. Atkūrimo grupė atlieka šias funkcijas:

14.1. prižiūri ir koordinuoja registro veiklos atkūrimą (Inspekcijos viršininko pavaduotojas, nekuruojantis registro veiklos, ir Inspekcijos Informacinių technologijų skyriaus vedėjas);

14.2. organizuoja registro tarnybinių stočių veikimo atkūrimą (Inspekcijos Informacinių technologijų skyriaus vedėjas ir registro administratorius);

14.3. organizuoja kompiuterių tinklo veikimo atkūrimą (Inspekcijos Informacinių technologijų skyriaus vedėjas ir Informacinių technologijų skyriaus vyriausiasis specialistas);

14.4. organizuoja registro duomenų atkūrimą (Inspekcijos Informacinių technologijų skyriaus vedėjas ir Informacinių technologijų skyriaus vyriausiasis specialistas);

14.5. organizuoja registro taikomųjų programų tinkamo veikimo atkūrimą (Inspekcijos Informacinių technologijų skyriaus vedėjas ir Informacinių technologijų skyriaus vyriausiasis specialistas);

14.6. organizuoja kompiuterių veikimo atkūrimą ir prijungimą prie kompiuterių tinklo (Inspekcijos Informacinių technologijų skyriaus vedėjas ir Informacinių technologijų skyriaus vyriausiasis specialistas);

14.7. kitas Atkūrimo grupei pavestas funkcijas (Inspekcijos Informacinių technologijų skyriaus vedėjas ir Informacinių technologijų skyriaus vyriausiasis specialistas).

15. Veiklos tęstinumo valdymo ir Atkūrimo grupės tarpusavyje bendrauja el. paštu ar telefonu. Ne rečiau negu kartą per metus organizuojamas šių dviejų grupių susitikimas, kuriame aptariama esama situacija ir suderinami galimi jos pagerinimo būdai.

16. Įvykus elektroninės informacijos saugos incidentui patalpose, kuriose yra saugoma registro techninė ir programinė įranga:

16.1. registro administratorius informuoja apie elektroninės informacijos saugos incidentą saugos įgaliotinį;

16.2. saugos įgaliotinis apie elektroninės informacijos saugos incidentą tuoj pat informuoja Veiklos tęstinumo valdymo grupės vadovą;

16.3. saugos įgaliotinis informaciją įrašo registro elektroninės informacijos saugos incidentų registravimo žurnale (2 priedas) ir vadovauja plane nurodytiems veiksmams;

16.4. registro administratorius atkuria registro techninės ir programinės įrangos veikimą, kompiuterių tinklo veiklą, registro duomenis, registro techninės, sisteminės ir taikomosios programinės įrangos funkcionavimą ir apie tai informuoja saugos įgaliotinį;

16.5. saugos įgaliotinis kartu su registro administratoriumi organizuoja žalos registro duomenims, registro techninei, programinei įrangai vertinimą, koordinuoja registro veiklai atkurti reikalingos techninės, sisteminės ir taikomosios programinės įrangos įsigijimą.

17. Atsarginėms patalpoms, naudojamoms registro veiklai atkurti elektroninės informacijos saugos incidento atveju, keliami šie reikalavimai:

17.1. Patekimas į patalpas turi būti registruojamas patekimo į patalpas žurnale.

17.2. Patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų.

17.3. Patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti įrengtos gaisro gesinimo priemonės.

17.4. Patalpose turi būti įrengtas rezervinis elektros energijos šaltinis registro techninei įrangai ir duomenų perdavimo tinklo mazgams, kuris užtikrintų įrangos veikimą ne trumpiau kaip 30 min., kai neveikia pagrindinis maitinimo šaltinis.

17.5. Ryšių kabeliai turi būti apsaugoti nuo nesankcionuoto prisijungimo.

17.6. Patalpose nuolat turi veikti oro temperatūros ir drėgmės reguliavimo įranga (oro kondicionavimo sistema).

18. Atsarginės laikmenos su programine įranga laikomos nedegioje spintoje.

19. Kompiuterinė įranga, duomenų perdavimo tinklo mazgai ir ryšio linijos yra dubliuojamos, o jų techninė būklė nuolat stebima.

20. Programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką.

21. Elektroninės informacijos saugos incidento metu sunaikintos ar sugadintos techninės, sisteminės ir taikomosios programinės įrangos, kurios prekių ar paslaugų pirkimo sutarties vertė neviršija 100 (vieno šimto) tūkstančių litų arba kurios darbų pirkimo sutarties vertė neviršija 500 (penkių šimtų) tūkstančių litų, pirkimas vykdomas Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos supaprastintų viešųjų pirkimų taisyklių nustatyta tvarka. Skubus prekių, paslaugų ar darbų pirkimas gali būti vykdomas apklausos būdu, vadovaujantis Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos supaprastintų viešųjų pirkimų taisyklių, patvirtintų Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininko 2008 m. gruodžio 24 d. įsakymu Nr. V-390, 99.1.4.1 punktu.

22. Elektroninės informacijos saugos incidento metu sunaikintos ar sugadintos techninės, sisteminės ir taikomosios programinės įrangos, kurios prekių ar paslaugų pirkimo sutarties vertė viršija 100 (vieną šimtą) tūkstančių litų arba kurios darbų pirkimo sutarties vertė viršija 500 (penkis šimtus) tūkstančių litų, pirkimas vykdomas Lietuvos Respublikos viešųjų pirkimų įstatymo (Žin., 1996, Nr. 84-2000; 2006, Nr. 4-102) 59 straipsnio 3 dalyje nustatyta tvarka.

III. APRAŠOMOSIOS NUOSTATOS

23. Informacija apie registro techninę ir programinę įrangą ir jos parametrus nurodyta registro projektinėje dokumentacijoje.

24. Registro administratorių pavaduojančio asmens minimalus kompetencijos ar žinių lygis negali būti žemesnis už registro administratoriui keliamų reikalavimų lygį.

25. Minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos registro tvarkymo įstaigos poreikius atitinkančiai veiklai užtikrinti elektroninės informacijos saugos incidento metu, specifikacija turi atitikti pagrindinę registro techninės ir programinės įrangos specifikaciją.

26. Pastato aukšto, kuriame yra registro įranga ir komunikacijos, patalpų brėžinius ir šiose patalpose esančios įrangos ir komunikacijų sąrašą (vadovaudamasis registro projektine dokumentacija) parengia ir saugo registro administratorius.

27. Kompiuterių tinklo fizinio ar loginio sujungimo schemas parengia ir saugo registro administratorius.

28. Duomenų teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartis saugo registro administratorius.

29. Programinės įrangos laikmenos ir laikmenos su atsarginėmis duomenų kopijomis saugomos užrakintoje nedegioje spintoje kitose patalpose, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. Atsarginės duomenų kopijos yra perkeliamos į saugojimo vietą kartą per savaitę.

30. Saugos įgaliotinis ir registro administratorius parengia, patvirtina ir saugo registro tvarkymo įstaigos darbuotojų sąrašą, kuriame nurodyti darbuotojų darbo telefonai, o Veiklos tęstinumo valdymo grupės narių ir Atkūrimo grupės narių – tarnybinių mobiliųjų ir namų telefonų numeriai bei gyvenamosios vietos adresai.

31. Registro veiklai atkurti elektroninės informacijos saugos incidento atveju naudojamasi duomenų centre, kuris yra geografiškai nutolęs nuo pagrindinės registro saugojimo patalpos, esančia rezervine technine įranga, dėl kurios nuomos sudaroma sutartis.

32. Elektroninės informacijos saugos incidentus tiria Elektroninės informacijos saugos incidentų tyrimo grupė, kurią sudaro Inspekcijos Informacinių technologijų skyriaus vedėjas (darbo grupės vadovas) ir du Inspekcijos Informacinių technologijų skyriaus specialistai. Kiekvienas elektroninės saugos incidentas turi būti ištirtas per 30 dienų, o su tyrimų rezultatais per 5 darbo dienas supažindinamas Inspekcijos viršininkas.

IV. VALDYMO PLANO VEIKSMINGUMO PATIKRINIMO NUOSTATOS

33. Plano veiksmingumo išbandymo data nustatoma kiekvienų metų sausio mėnesį. Nustatytą dieną imituojamas elektroninės informacijos saugos incidentas. Jo metu už elektroninės informacijos saugos incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus. Iš atsarginių registro duomenų kopijų atkuriami registro duomenys.

34. Pagal bandymų rezultatus saugos įgaliotinis parengia registro valdymo plano įvertinimo ataskaitą (toliau – ataskaita), kurioje yra apibendrinami atliktų bandymų rezultatai, akcentuojami pastebėti trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina registro tvarkymo įstaigos vadovas.

35. Saugos įgaliotinis nuolat kontroliuoja, kaip vykdomos ataskaitoje nurodytos prevencinės priemonės.

36. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami remiantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

_________________

Traukinio mašinistų registro veiklos tęstinumo valdymo

plano

1 priedas

TRAUKINIO MAŠINISTŲ REGISTRO VEIKLOS ATKŪRIMO DETALUSIS PLANAS

Nenumatytos situacijos rūšys	Veiksmai esant nenumatytai situacijai	Registro veiklos atkūrimo veiksmai	Registro veiklos atkūrimo veiksmų atsakingi vykdytojai
1. Oro sąlygos (smarkus lietus, labai smarki audra, viesulas, škvalas, kruša, žemės drebėjimas, smarkus speigas)	1.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	1.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	Saugos įgaliotinis, registro administratorius
		1.1.2. Pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas	Saugos įgaliotinis, registro administratorius
		1.1.3. Priemonių plano įgyvendinimas	Saugos įgaliotinis, registro administratorius, registro naudotojas
	1.2. Darbuotojų elektroninės informacijos saugos incidento pasekmei likviduoti paskyrimas	1.2.1. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis
		1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas	Saugos įgaliotinis
	1.3. Oro prognozės sekimas	1.3.1. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis
	1.4. Dirbantiems pavojaus vietoje rekomenduojamos elgsenos skelbimas	1.4.1. Elektroninės informacijos saugos incidento pasekmes likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis
		1.4.2. Darbuotojų informavimas apie elgseną nenumatytos situacijos vietoje	Saugos įgaliotinis
		1.4.3. Pirmosios pagalbos suteikimas nukentėjusiems darbuotojams	Saugos įgaliotinis
		1.4.4. Nukentėjusių darbuotojų gabenimo į gydymo įstaigą organizavimas	Saugos įgaliotinis
	1.5. Nenumatytos situacijos vietų ženklinimas	1.5.1. Darbuotojų informavimas 1.5.2. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis
2. Gaisras	2.1. Ugniagesių tarnybos informavimas	2.1.1. Įvykio vietos lokalizavimas, jei yra rekomendacija	Registro administratorius
		2.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija	Veiklos tęstinumo valdymo grupės vadovas
	2.2. Darbuotojų evakavimas (pagal ugniagesių tarnybos rekomendaciją)	2.2.1. Darbuotojų informavimas apie evakavimą, jei yra rekomendacija	Saugos įgaliotinis
	2.3. Darbas pavojaus zonoje	2.3.1. Darbuotojų informavimas apie saugų darbą pavojaus zonoje	Saugos įgaliotinis
	2.4. Komunikacijų, sukeliančių pavojų, išjungimas. Gaisro gesinimas ankstyvoje stadijoje, jei yra gauta teisėsaugos tarnybos (priešgaisrinės apsaugos ir gelbėjimo tarnybos) rekomendacija dirbti nenumatytos situacijos zonoje	2.4.1. Teisėsaugos tarnybos (priešgaisrinės apsaugos ir gelbėjimo tarnybos) nurodymų vykdymas	Veiklos tęstinumo valdymo grupės vadovas
3. Patalpų užgrobimas	3.1. Teisėsaugos tarnybos informavimas	3.1.1. Įvykio vietos lokalizavimas, jei yra teisėsaugos tarnybos rekomendacijos	Saugos įgaliotinis
		3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija	Saugos įgaliotinis
	3.2. Darbuotojų evakavimas, jei yra rekomendacija	3.2.1. Darbuotojų informavimas apie evakavimą	Saugos įgaliotinis
	3.3. Patalpų užrakinimas, jei yra galimybė	3.3.1. Teisėsaugos tarnybos nurodymų vykdymas	Saugos įgaliotinis
	3.4. Teisėsaugos tarnybos nurodymų vykdymas, jei yra rekomendacija	3.4.1. Darbuotojų informavimas apie nurodymų vykdymą	Saugos įgaliotinis
	3.5. Veiksmai išlaisvinus užgrobtas patalpas	3.5.1. Padarytos žalos įvertinimas	Saugos įgaliotinis
		3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas	Veiklos tęstinumo valdymo grupės vadovas
		3.5.3. Žalą likviduojančių darbuotojų instruktavimas	Veiklos tęstinumo valdymo grupės vadovas
4. Patalpų pažeidimas arba praradimas	4.1. Atitinkamos tarnybos informavimas apie nenumatytos situacijos pobūdį	4.1.1. Rekomendacijų iš suinteresuotos tarnybos gavimas apie galimybę dirbti nenumatytos situacijos zonoje	Saugos įgaliotinis
		4.1.2. Darbuotojų informavimas apie rekomendacijas	Saugos įgaliotinis
	4.2. Registro įrangos perkėlimas į atsargines patalpas	4.2.1. Darbuotojų informavimas apie darbą patalpose	Saugos įgaliotinis
5. Energijos tiekimo sutrikimai	5.1. Energijos tiekimo sutrikimo priežasčių nustatymas. Tarnybinės stoties, kitos techninės įrangos energijos maitinimo išjungimas	5.1.1. Sutrikimų pašalinimo organizavimas	Registro administratorius, saugos įgaliotinis
5. Energijos tiekimo sutrikimai	5.2. Kreipimasis į energijos tiekimo tarnybą dėl nenumatytos situacijos trukmės ir sutrikimo pašalinimo galimybių	5.1.1. Rekomendacijų iš energijos tiekimo tarnybos gavimas	Registro administratorius, saugos įgaliotinis
	5.3. Sutrikimų pašalinimas	5.3.1. Pavojaus sustabdymas, padarytos žalos likvidavimo priemonių plano sudarymas, įgyvendinimas	Registro administratorius, saugos įgaliotinis
		5.3.2. Padarytos žalos įvertinimas	Registro administratorius, saugos įgaliotinis
		5.4.3. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis
6. Vandentiekio ir šildymo sistemos sutrikimai	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.1. Atitinkamos tarnybos paklausimas dėl leidimo dirbti ir rekomendacijų gavimas	Registro administratorius, saugos įgaliotinis
		6.1.2. Darbuotojų informavimas apie rekomendacijas	Registro administratorius, saugos įgaliotinis
	6.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas	6.2.1. Padarytos žalos įvertinimas. Sutrikimo sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas	Registro administratorius, saugos įgaliotinis
		6.2.2. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis
7. Ryšio sutrikimai	7.1. Ryšio sutrikimo priežasčių nustatymas	7.1.1. Kreiptis į ryšio paslaugos teikėją	Registro administratorius, saugos įgaliotinis
	7.2. Ryšio tarnybų informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės	7.1.2. Nustatyti ir įgyvendinti priemones, kad sutrikimai nesikartotų
	7.3. Sutrikimo pašalinimas	7.1.3. Kreiptis į kitą ryšio paslaugos teikėją, jei sutrikimas nepašalintas
8. Tarnybinės stoties, komutacinės įrangos sugadinimas	8.1. Pranešimas teisėsaugos tarnybai, draudimo bendrovei apie įvykį	8.1.1. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų paskyrimas, instruktavimas, jų veiksmų nustatymas
	8.2. Elektroninės informacijos saugos incidento pasekmių šalinimas	8.2.1. Kreiptis į įrangos tiekėjus dėl įrangos remonto ar naujos įsigijimo	Registro administratorius
		8.2.2. Įsigytos įrangos paskyrimas Registro tvarkymo įstaigai	Registro administratorius, saugos įgaliotinis
			Registro administratorius, saugos įgaliotinis
9. Programinės įrangos sugadinimas, praradimas	9.1. Elektroninės informacijos saugos incidento pasekmių įvertinimas, priemonių nenumatytai situacijai sustabdyti ir padarytai žalai likviduoti sudarymas	9.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	Registro administratorius, saugos įgaliotinis
		9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas	Registro administratorius, saugos įgaliotinis
	9.2. Darbuotojų elektroninės informacijos saugos incidento pasekmėms likviduoti paskyrimas. Žalą likviduojančių darbuotojų instruktavimas, jų veiksmų koordinavimas	9.2.1. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis
		9.2.2. Kreiptis į teisėsaugos tarnybas dėl programinės įrangos sugadinimo ar praradimo, jei dėl sugadinimų nebegalima vykdyti Registro tvarkymo funkcijų, ir vykdyti jų nurodymus	Registro administratorius, saugos įgaliotinis, registro naudotojas
	9.3. Programinės įrangos kopijų periodinis gaminimas	9.3.1. Sugadintos ar prarastos programinės įrangos atkūrimo organizavimas
10. Dokumentų praradimas	10.1. Elektroninės informacijos saugos incidento pasekmių įvertinimas	10.1.1. Prarastų dokumentų atkūrimas	Registro administratorius
10. Dokumentų praradimas		10.1.2. Prarastų dokumentų atkūrimo kontrolė	Veiklos tęstinumo valdymo grupės vadovas
11. Darbuotojų praradimas	11.1. Elektroninės informacijos saugos incidento pasekmių įvertinimas	11.1.1. Trūkstamų darbuotojų paieška ir priėmimas į darbą	Veiklos tęstinumo valdymo grupės vadovas

_________________

Traukinio mašinistų registro veiklos

tęstinumo valdymo plano

2 priedas

(Traukinio mašinistų registro elektroninės informacijos saugos incidentų registravimo žurnalo formos pavyzdys)

TRAUKINIO MAŠINISTŲ REGISTRO ELEKTRONINĖS INFORMACIJOS SAUGOS INCIDENTŲ REGISTRAVIMO ŽURNALAS

Pildymo pradžia 20__m. __________d.

Eil. Nr.	Elektroninės informacijos saugos incidentas
Eil. Nr.	Registro tvarkymo įstaigos pavadinimas	Požymio kodas	Įvykio aprašymas	Pradžia (metai, mėnuo, diena, valanda)	Pabaiga (metai, mėnuo, diena, valanda)	Pašalino (vardas, pavardė)	Saugos įgaliotinis (vardas, pavardė, parašas)
1.
2.
3.
4.
5.
6.

Elektroninės informacijos saugos incidento požymiai:

1. Oro sąlygos. 2. Gaisras. 3. Patalpų užgrobimas. 4. Patalpų pažeidimas arba praradimas. 5. Energijos tiekimo sutrikimai. 6. Vandentiekio ir šildymo sistemos sutrikimai. 7. Ryšio sutrikimai. 8. Tarnybinės stoties, komutacinės įrangos sugadinimas, praradimas. 9. Programinės įrangos sugadinimas, praradimas. 10. Duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas.

_________________

PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro

2012 m. liepos 9 d. įsakymu Nr. 3-467

TRAUKINIO MAŠINISTŲ REGISTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I. BENDROSIOS NUOSTATOS

1. Traukinio mašinistų registro naudotojų administravimo taisyklės (toliau – Taisyklės) nustato Traukinio mašinistų registro (toliau – registras) naudotojų įgaliojimus, teises, pareigas, supažindinimo su saugos dokumentais ir saugaus registro duomenų teikimo registro naudotojams kontrolės tvarką.

2. Taisyklės parengtos vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866), Traukinio mašinistų registro duomenų saugos nuostatais (toliau – Registro duomenų saugos nuostatai), patvirtintais Lietuvos Respublikos susisiekimo ministro 2011 m. birželio 3 d. įsakymu Nr. 3-335 (Žin., 2011, Nr. 70-3343), taip pat kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, duomenų tvarkytojų veiklą ir duomenų saugos valdymą.

3. Šiose Taisyklėse vartojamos sąvokos:

4. Kitos Taisyklėse vartojamos sąvokos atitinka Taisyklių 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

5. Taisyklės taikomos visiems registro naudotojams, registro administratoriui, saugos įgaliotiniui.

6. Registro naudotojams prieiga prie registro duomenų suteikiama vadovaujantis šiais prieinamumo prie duomenų principais:

6.1. Prieigos prie registro teisė suteikiama registro naudotojams tik tuo atveju, jei jiems pavesta tvarkyti registro duomenis arba jiems numatytoms funkcijoms vykdyti būtina naudotis registro duomenimis.

6.2. Registro tvarkymo įstaigos darbuotojams, registro naudotojams prieiga turi būti suteikiama tik prie tų duomenų ir tik tokios apimties, kuri reikalinga pareigybės aprašyme nurodytoms funkcijoms atlikti.

6.3. Kitiems registro naudotojams prieiga turi būti suteikiama tik prie tų duomenų ir tik tokia apimtimi, kuri nurodyta duomenų teikimo sutartyse.

6.4. Registre saugomus duomenis gali keisti (sukurti, papildyti ar panaikinti) tik tokius įgaliojimus turintys registro naudotojai.

6.5. Prieiga prie registre saugomų duomenų ir teisė juos keisti suteikiama tik atlikus registro naudotojo identifikaciją ir patvirtinus jo tapatybę.

II. REGISTRO NAUDOTOJŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS

7. Registro naudotojų įgaliojimai, teisės ir pareigos:

7.1. Registro naudotojai gali naudotis tik tomis registro funkcijomis ir registro tvarkomais duomenimis, prie kurių prieigą jiems suteikė registro administratorius.

7.2. Registro naudotojai privalo užtikrinti jų naudojamų registro tvarkomų duomenų konfidencialumą ir vientisumą, savo veiksmais netrikdyti registro duomenų prieinamumo.

7.3. Registro naudotojai turi teisę gauti informaciją apie jų naudojamų duomenų apsaugos lygį ir taikomas apsaugos priemones, teikti siūlymus dėl papildomų apsaugos priemonių taikymo.

8. Registro administratorius įgaliojimai, teisės ir pareigos:

8.1. registro administratorius yra įgaliotas ir turi teisę:

8.1.1. matyti visų registro naudotojų identifikavimo ir suteiktų teisių duomenis;

8.1.2. matyti registro naudotojų su registro tvarkomais duomenimis atliktus veiksmus;

8.1.3. atlikti užklausas registre pagal pasirinktus paieškos kriterijus;

8.1.4. pateikti paklausimus registro tvarkymo įstaigai dėl registro naudotojų duomenų patikslinimo;

8.1.5. fiziškai prieiti prie techninės ir sisteminės programinės įrangos;

8.1.6. vykdyti registro techninės priežiūros funkcijas.

8.2. Registro administratorius privalo:

8.2.1. registruoti naujus registro naudotojus (pagal registro tvarkymo įstaigos pateiktus duomenis);

8.2.2. tvarkyti esamų registro naudotojų duomenis (pagal registro tvarkymo įstaigos pateiktus duomenis);

8.2.3. registro klasifikatorių funkciniame modulyje tvarkyti registro vidinius klasifikatorius;

8.2.4. konsultuoti registro naudotojus dėl registro veikimo ir kitais su registru susijusiais klausimais;

8.2.5. užtikrinti nepertraukiamą registro techninės ir sisteminės programinės įrangos veikimą;

8.2.6. vykdyti kitas su registru susijusias funkcijas.

8.3. Registro administratoriaus veiksmai reglamentuoti Registro nuostatuose, Registro duomenų saugos nuostatuose ir registro saugos politiką įgyvendinančiuose teisės aktuose.

9. Registro naudotojas, norėdamas gauti prieigos prie registro duomenų teisę, registro tvarkymo įstaigos vadovui teikia prašymą, kuriame nurodo savo pareigas, vardą, pavardę, pagrindą, dėl ko būtina prieigos prie registro duomenų teisė, ir registro funkcijas, kuriomis naudosis. Registro tvarkymo įstaigos vadovas per 3 darbo dienas nuo prašymo gavimo dienos pritaria arba nepritaria prašymui. Registro tvarkymo įstaigos vadovui patvirtinus prašymą, jis pateikiamas per dokumentų valdymo sistemą registro administratoriui. Registro administratorius per 1 darbo dieną nuo šio prašymo gavimo dienos suteikia registro naudotojui prieigos prie registro duomenų teisę.

III. REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS TVARKA

10. Saugos įgaliotinis yra atsakingas už registro naudotojų supažindinimą su Registro duomenų saugos nuostatais, Traukinio mašinistų saugaus elektroninės informacijos tvarkymo taisyklėmis, Traukinio mašinistų registro veiklos tęstinumo valdymo planu, Taisyklėmis ir kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą. Supažindinimas su šiais dokumentais vykdomas saugos įgaliotiniui pravedant vienos valandos mokymus ir registro naudotojams savarankiškai studijuojant registro saugos politiką įgyvendinančius dokumentus. Registro naudotojų susipažinimas su šiais teisės aktais patvirtinamas registro naudotojo parašu registro tvarkymo įstaigos nustatytos formos žurnale.

11. Saugos įgaliotinis organizuoja mokymus ir seminarus duomenų saugos klausimais.

12. Mokymų ir seminarų metu saugos įgaliotinis supažindina registro administratorius ir registro naudotojus su Registro duomenų saugos nuostatais, saugos politiką įgyvendinančiais teisės aktais ir saugaus darbo su duomenimis principais.

13. Registro tvarkymo įstaiga sudaro galimybes registro naudotojams dalyvauti saugos įgaliotinio organizuojamuose kvalifikacijos tobulinimo ir mokymo renginiuose.

14. Pakartotinai su registro saugos dokumentais registro naudotojai supažindinami šių taisyklių 10 punkte nurodyta tvarka.

15. Saugos įgaliotinis informuoja registro naudotojus el. paštu ar kitu būdu apie priimtus naujus saugų duomenų tvarkymą reguliuojančius teisės aktus ir jų pakeitimus, registro naudotojams organizuojamus kvalifikacijos tobulinimo ir mokymo renginius, siunčia atmintines priimtiems naujiems registro naudotojams.

IV. SAUGAUS DUOMENŲ TEIKIMO REGISTRO NAUDOTOJAMS KONTROLĖS TVARKA

16. Registro administratorius yra atsakingas už registro naudotojų registravimą, išregistravimą, prieigos prie registro teisių suteikimą, sustabdymą, ribojimą ir prieigos prie registro teisių panaikinimą.

17. Registro administratorius registro naudotojams suteikia unikalius prisijungimo prie registro vardą ir laikiną slaptažodį, kurį išsiunčia registro naudotojui elektroniniu paštu.

18. Pirmo prisijungimo prie registro metu programinė įranga automatiškai inicijuoja slaptažodžio pakeitimą.

19. Registro naudotojų prisijungimo prie registro vardai ir slaptažodžiai saugomi registro naudotojų prisijungimo vardų ir slaptažodžių saugykloje.

20. Prieigą prie registro naudotojų prisijungimo vardų ir slaptažodžių saugyklos turi tik registro administratorius. Duomenys saugykloje yra šifruojami.

21. Slaptažodį registro naudotojai turi teisę savarankiškai pasikeisti prisijungę prie registro.

22. Registro naudotojo slaptažodžiui yra keliami šie reikalavimai:

22.1. slaptažodis formuojamas iš ne mažiau kaip 8 simbolių;

22.2. slaptažodis turi būti sudaromas naudojant raidžių, skaičių ir specialiųjų simbolių kombinacijas;

22.3. slaptažodžiams neturi būti naudojama asmeninio pobūdžio informacija;

22.4. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

22.5. keičiant slaptažodį turi būti neleista pasirinkti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;

22.6. registro naudotojas, pirmą kartą gavęs registro administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie registro, nedelsdamas slaptažodį pakeisti ir jį įsiminti;

22.7. draudžiama slaptažodžius atskleisti tretiesiems asmenims;

22.8. registro naudotojas, įtaręs, kad tretieji asmenys sužinojo slaptažodį, privalo nedelsdamas jį pakeisti;

22.9. registro naudotojas neturi teisės užrašyto slaptažodžio palikti matomoje vietoje.

23. Registro administratoriaus slaptažodžiams yra keliami šie reikalavimai:

23.1. registro administratoriaus slaptažodis turi būti iš ne trumpesnės kaip 10 simbolių kombinacijos, sudarytos iš didžiųjų, mažųjų raidžių, skaitmenų ir specialiųjų simbolių;

23.2. registro administratoriaus slaptažodis turi būti keičiamas ne rečiau kaip kas 1 mėnesį.

24. Registro administratorius, iš registro tvarkymo įstaigos gavęs rašytinį prašymą sustabdyti registro naudotojo prieigos teises, nedelsdamas sustabdo nurodyto registro naudotojo prieigą prie registro.

25. Registro naudotojui teisė dirbti su konkrečia elektronine informacija yra ribojama ar sustabdoma, kai registro naudotojas atostogauja, vyksta registro naudotojo veiklos tyrimas ir pan.

26. Kai registro naudotojas perkeliamas į kitas pareigas, jam suteiktos registro naudotojo teisės pakeičiamos atsižvelgiant į jo pareigybės aprašyme nurodytas funkcijas.

27. Registro naudotojui teisė naudotis registru panaikinama:

27.1. pasibaigus tarnybos ar darbo santykiams;

27.2. netekus teisės naudotis registro duomenimis;

27.3. nustačius neteisėtą registro naudotojo registro duomenų naudojimą.

27.4. nustačius registro naudotoją neteisėtu prisijungimu prie registro ir neteisėtu duomenų atskleidimu.

28. Registro naudotojai prisijungti prie registro gali tik su registro administratoriaus suteiktais unikaliais vardais ir slaptažodžiais ir tik registruotu kompiuterių tinklo išoriniu IP adresu.

29. Išoriniai registro naudotojai jungiasi prie registro per Viešojo administravimo institucijų informacinių sistemų interoperabilumo sistemą (VAIISIS) naudodami VAIISIS tapatybės nustatymo priemones.

V. BAIGIAMOSIOS NUOSTATOS

30. Registro naudotojai, registro administratorius ir saugos įgaliotinis, pažeidę Taisyklių ir kitų saugos politiką įgyvendinančių teisės aktų nuostatas, atsako teisės aktų nustatyta tvarka.

_________________

PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro

2012 m. liepos 9 d. įsakymu Nr. 3-467

TRAUKINIO MAŠINISTŲ REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS

TVARKYMO TAISYKLĖS

I. BENDROSIOS NUOSTATOS

1. Traukinio mašinistų registro saugaus elektroninės informacijos tvarkymo taisyklių (toliau – Taisyklės) tikslas – nustatyti Traukinio mašinistų registro (toliau – registras) tvarkymo įstaigos, jos paskirtų tvarkyti registro duomenis fizinių asmenų – registro naudotojo, administratoriaus, saugos įgaliotinio – veiksmus, užtikrinančius saugų registro techninės ir programinės įrangos funkcionavimą, registro duomenų tvarkymą ir teikimą duomenų gavėjams.

3. Taisyklėse vartojamos sąvokos suprantamos taip, kaip apibrėžtos Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, Saugos dokumentų turinio gairėse ir kituose saugų duomenų tvarkymą reglamentuojančiuose teisės aktuose.

4. Už registro duomenų tvarkymo teisėtumą ir saugą atsako registro valdytojas.

5. Už Taisyklių įgyvendinimo organizavimą ir kontrolę atsakingas saugos įgaliotinis.

6. Registre saugoma informacija yra skirstoma į šias kategorijas:

6.1. registro administratoriaus tvarkoma informacija;

6.2. registro naudotojų tvarkoma informacija.

7. Registro elektroninės informacijos, priskirtos atskiroms kategorijoms, sąrašas:

7.1. registro elektroninė informacija, už kurios tvarkymą atsakingas registro administratorius:

7.1.1. registro klasifikatorius;

7.1.2. registro naudotojų teisės;

7.1.3. registro naudotojų unikalus identifikatorius;

7.1.4. registro duomenų užklausų inicijavimo ir teikimo duomenys:

7.1.4.1. registro duomenų užklausos laikas;

7.1.4.2. registro duomenų perdavimo laikas;

7.1.5. kiti techniniai duomenys, reikalingi registro duomenų teikimo stebėjimui atlikti.

8. Registro elektroninė informacija, už kurios tvarkymą atsakingi registro naudotojai:

8.1. registro duomenų teikėjų duomenys;

8.2. registre tvarkomų traukinio mašinistų pažymėjimų duomenys;

8.3. registro duomenų įrašymo ir keitimo duomenys;

8.4. registro duomenys apie pagrindinius reikalavimus, taikomus išduodant pažymėjimą ir reguliariai atliekamų registro objektų periodinių patikrinimų rezultatus;

8.5. registro duomenys apie traukinio mašinistų mokymo centrus;

8.6. registro duomenys apie registro objektui mokymo centro išduotą pažymą apie išklausytus mokymus.

II. TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

9. Kompiuterinės įrangos saugos priemonės:

9.1. Prieigos prie registro tarnybinių stočių kontrolė užtikrinama suteikiant prieigos teises tik registro administratoriui, veiksmai, skirti registro duomenų apsaugai užtikrinti, aprašyti Registro duomenų saugos nuostatuose.

9.2. Registro naudotojų naudojamos techninės kompiuterinės įrangos priežiūrą ir tvarkymą atlieka registro administratorius.

9.3. Registro naudotojams gali būti suteikiama teisė naudoti kompiuterius tiesioginėms pareigoms atlikti ne registro tvarkymo įstaigos patalpose tik pateikus su tiesioginiu vadovu suderintą prašymą saugos įgaliotiniui.

9.4. Už registro naudotojų naudojamos techninės kompiuterinės įrangos apsaugą yra atsakingi registro naudotojai.

10. Sisteminės ir taikomosios programinės įrangos saugos priemonės:

10.1. Naudojama legali ir įteisinta registro sisteminė ir taikomoji programinė įranga.

10.2. Teisę dirbti su registro sistemine programine įranga turi tik registro administratorius, jo nesant – registro administratorių pavaduojantis asmuo.

10.3. Slaptažodžiai, suteikiantys teisę dirbti su registro sistemine programine įranga, žinomi tik registro administratoriui, jo nesant – registro administratorių pavaduojančiam asmeniui.

10.4. Prieigos teisė dirbti su registro taikomąja programine įranga suteikiama tik registro naudotojams.

10.5. Registro duomenys nuo jų praradimo, iškraipymo, sunaikinimo, nesankcionuoto naudojimo galimybių apsaugomi registro techninėmis, organizacinėmis, programinėmis priemonėmis.

10.6. Registro naudotojų veiksmai su registro duomenimis ar bandymai juos atlikti registruojami programinėmis priemonėmis.

10.7. Registro naudotojui neatliekant jokių veiksmų 2 min., registras turi užsirakinti, kad toliau naudotis registru būtų galima tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus.

11. Duomenų perdavimo tinklais saugumo užtikrinimo priemonės:

11.1. Registro naudotojai internetu jungiasi prie tinklo užkarda apsaugotų tarnybinių stočių, naudodamiesi unikaliais identifikaciniais prisijungimo duomenimis.

11.2. Registro duomenys, siunčiami per viešuosius tinklus, yra šifruojami.

12. Patalpų, kuriose veikia registro tarnybinės stotys, ir aplinkos saugumo užtikrinimo priemonės:

12.1. Patekti į registro tarnybinių stočių patalpas gali tik registro administratorius, o asmenys, nesusiję su registro tvarkymu, patekti į šias patalpas gali tik lydimi registro administratoriaus ir užregistravus juos tarnybinių stočių pateikimo žurnale.

12.2. Registro patalpose įrengta langų ir durų fizinė apsauga (langai su žaliuzėmis, rakinamos durys, durų ir langų signalizacija).

12.3. Registro patalpos atitinka priešgaisrinės saugos reikalavimus, jose yra gaisro gesinimo priemonės. Gaisro gesinimo priemonių patikra vykdoma kartą per mėnesį.

12.4. Registro patalpose įrengti įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybų.

12.5. Registro patalpos atskirtos nuo bendrojo naudojimo patalpų.

12.6. Techninė įranga įnešama į patalpas (išnešama iš patalpų) tik leidus registro administratoriui.

12.7. Registro techninė įranga apsaugoma nuo elektros srovės svyravimų, nuo neteisėtos prieigos prie techninės įrangos, jos sugadinimo ar neteisėto poveikio jai. Naudojami nepertraukiamo maitinimo šaltiniai su automatine apsauga nuo įtampos svyravimų.

12.8. Ryšių kabeliai apsaugoti nuo pažeidimų ir neteisėto prisijungimo.

12.9. Laikomasi gamintojo nustatytos techninės įrangos darbo sąlygų.

12.10. Patalpose palaikoma + 22 (± 5) C temperatūra ir 50 (± 10) proc. santykinis oro drėgnumas.

13. Registro darbo apskaitos ir kitos elektroninės informacijos saugos priemonės:

13.1. Programiniu būdu registruojami registro naudotojų veiksmai su registro duomenimis.

13.2. Registro naudotojams suteikiama prieigos prie registro teisė atlikti veiksmus tik su jiems priskirtais duomenimis.

13.3. Registro tarnybinių stočių įvykių žurnaluose turi būti registruojami ir ne mažiau kaip vienerius metus saugomi duomenys, nurodant įvykio laiką ir naudotojo identifikatorių, apie:

13.3.1. registro įjungimą ir išjungimą;

13.3.2. sėkmingus ir nesėkmingus bandymus registruotis registre;

13.3.3. bandymus prieiti prie registro informacinių išteklių;

13.3.4. kitus svarbius su registro tvarkomos elektroninės informacijos sauga susijusius įvykius.

III. SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

14. Registro duomenų keitimo, atnaujinimo, įrašymo ir naikinimo tvarka:

14.1. Registro duomenis keisti, atnaujinti, įrašyti ir naikinti gali tik registro naudotojai, turintys teisę tai atlikti.

14.2. Registro naudotojui teisė naudotis registru suteikiama tik jam pasirašius pasižadėjimą (priedas) saugoti konfidencialią informaciją apie asmens duomenis.

14.3. Registro duomenys įrašomi, atnaujinami, keičiami ir naikinami vadovaujantis registro nuostatais ir Registro duomenų saugos nuostatais.

15. Registro naudotojų veiksmų registravimo tvarka:

15.1. Registro naudotojų tapatybė ir veiksmai su registro duomenimis fiksuojami programinėmis priemonėmis.

15.2. Registro naudotojų tapatybė ir veiksmai su registro duomenimis įrašomi automatiniu būdu registro duomenų bazės veiksmų žurnale, apsaugotame nuo neteisėto jame esančių duomenų panaudojimo, pakeitimo, iškraipymo ar sunaikinimo.

15.3. Registro duomenų bazės veiksmų žurnalo duomenys prieinami registro administratoriui ir atitinkamas teises turintiems registro naudotojams.

16. Atsarginių duomenų kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarka:

16.1. Už registro duomenų atsarginių kopijų darymą yra atsakingas registro administratorius.

16.2. Registro administratoriaus funkcijos aprašytos Registro duomenų saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose registro darbą.

16.3. Prarasti, iškraipyti ar sunaikinti registro duomenys atkuriami iš registro duomenų atsarginių kopijų.

16.4. Duomenys turi būti kopijuojami ir saugomi taip, kad duomenų praradimo atveju visišką registro funkcionalumą ir veiklą būtų galima atnaujinti per 1 valandą.

16.5. Registro duomenų saugykloje realiu laiku yra dubliuojami visi registro duomenys.

16.6. Registro duomenų kopijos į rezervinio kopijavimo juostų biblioteką daromos vieną kartą per savaitę.

16.7. Visiški registro duomenų atkūrimo bandymai vykdomi vieną kartą per metus.

16.8. Visiški registro duomenų atkūrimo bandymai vykdomi ne darbo valandomis. Jeigu registras ar jo dalies veikimas sustabdomas atkūrimo bandymams vykdyti, tuomet prieš tai informuojami visi registro naudotojai.

16.9. Už visiškus registro duomenų atkūrimo bandymus yra atsakingi registro administratorius ir saugos įgaliotinis. Registro administratorius su saugos įgaliotiniu suderina visiško duomenų atkūrimo bandymų metodus.

17. Duomenų perkėlimo ir teikimo kitiems registrams ir informacinėms sistemoms bei duomenų gavimo iš jų tvarka:

17.1. Už duomenų, teikiamų iš susijusių registrų ir kitų informacinių sistemų, atnaujinimą registre yra atsakingas registro administratorius.

17.2. Duomenų mainai tarp registro ir kitų ne registro tvarkymo įstaigos tvarkomų registrų bei informacinių sistemų vykdomi su šių registrų ir informacinių sistemų valdytojais sudarytose duomenų teikimo sutartyse numatyta tvarka.

17.3. Reorganizuojant arba likviduojant registrą, jo elektroninė informacija turi būti saugiai perduota registro valdytojui, valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982) nustatyta tvarka arba sunaikinama.

18. Duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:

18.1. Siekiant užtikrinti registro duomenų vientisumą, registro naudotojų tapatybei nustatyti ir prieigai kontroliuoti naudojama prisijungimo vardų, slaptažodžių ir teisių sistema.

18.2. Registro naudotojas, įtaręs, kad su registro duomenimis buvo atlikti neteisėti veiksmai, privalo pranešti apie tai registro administratoriui. Registro administratorius, atsiradus įtarimams dėl neteisėtų veiksmų su registro duomenimis, pasinaudojęs registro duomenų bazės veiksmų žurnalo įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su registro programine įranga ir (ar) duomenimis.

18.3. Registro administratorius, įtaręs, kad su registro duomenimis vykdomi neteisėti veiksmai, privalo apie tai pranešti saugos įgaliotiniui.

18.4. Saugos įgaliotinis, gavęs pranešimą apie vykdomus neteisėtus veiksmus su registru arba su registre tvarkomais duomenimis, inicijuoja elektroninės informacijos saugos incidento valdymo procedūras.

18.5. Apie pastebėtus saugos incidentus – Taisyklių reikalavimų pažeidimus, registro darbo sutrikimus, neįprastą registro veikimą – registro naudotojas privalo informuoti saugos įgaliotinį.

19. Registro programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:

19.1. Registro programinės ir techninės įrangos keitimo ir atnaujinimo tvarką, priklausomai nuo konkretaus atvejo, tvarko registro administratorius arba ji aprašoma paslaugų, susijusių su registro programinės ir techninės įrangos keitimu ir atnaujinimu, teikimo sutartyse.

19.2. Prieš atlikdamas registro programinės ir techninės įrangos keitimą, kurio metu gali iškilti grėsmė duomenų ir registro konfidencialumui, vientisumui ar pasiekiamumui, registro administratorius privalo išbandyti planuojamus registro pokyčius.

19.3. Atlikęs registro programinės ir techninės įrangos pokyčių bandymus ir gavęs rašytinį registro tvarkymo įstaigos vadovo sutikimą, registro administratorius gali pradėti įgyvendinti registro programinės ir techninės įrangos keitimą.

19.4. Planuodamas registro programinės ir techninės įrangos keitimą, kurio metu galimi registro veikimo sutrikimai, registro administratorius privalo ne vėliau kaip prieš dvi darbo dienas iki registro programinės ir techninės įrangos keitimo vykdymo pradžios elektroniniu paštu informuoti registro naudotojus apie tokių darbų pradžią ir galimus registro veikimo sutrikimus.

IV. REIKALAVIMAI, KELIAMI REGISTRUI FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

20. Paslaugų teikėjų prieigos prie registro lygiai ir sąlygos:

20.1. Paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja registro taikomąją programinę įrangą, naudodamas:

20.1.1. įgyvendintas elektroninės informacijos saugos nuo nesankcionuoto poveikio sisteminei, taikomajai programinei įrangai, duomenų saugai ir patalpoms priemones;

20.1.2. tik sertifikuotą sisteminę programinę įrangą.

20.2. Registro administratorius suteikia prieigos prie registro duomenų teisę (peržiūrėti registro duomenis, atlikti užklausas registre, vykdyti veiksmus su registro duomenimis ir kt.), fizinę prieigą prie techninės ir programinės įrangos paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje nurodytam laikotarpiui jam nustatytoms funkcijoms atlikti.

20.3. Registro administratorius, suteikdamas prieigos prie registro programinių, techninių ir kitų registro resursų teisę, paslaugų teikėjo įgaliotą fizinį asmenį supažindina su Registro duomenų saugos nuostatais ir registro saugos politiką įgyvendinančiais dokumentais.

20.4. Pasibaigus paslaugų teikimo sutartyje nurodytam laikotarpiui, registro administratorius panaikina paslaugų teikėjo įgalioto fizinio asmens prieigos prie registro programinių, techninių ir kitų registro resursų teisę ir apie tai jį informuoja.

21. Reikalavimai, keliami registro patalpoms, registro įrangai, registro informacinių sistemų priežiūrai, yra pateikti Registro duomenų saugos nuostatuose.

_________________

Traukinio mašinistų registro saugaus

elektroninės informacijos tvarkymo taisyklių

priedas

(Pasižadėjimo saugoti konfidencialią informaciją apie asmens duomenis formos pavyzdys)

VALSTYBINĖ GELEŽINKELIO INSPEKCIJA PRIE SUSISIEKIMO MINISTERIJOS

PASIŽADĖJIMAS

SAUGOTI KONFIDENCIALIĄ INFORMACIJĄ APIE ASMENS DUOMENIS

____________ Nr. _______________

(data) (registracijos numeris)

_________________

(sudarymo vieta)

Aš suprantu:

• kad savo darbe tvarkysiu asmens duomenis, kurie visuomenės ir atskirų asmenų interesais gali būti atskleisti ar perduoti tik teisės aktų nustatyta tvarka įgaliotiems asmenims ir institucijoms;

• kad draudžiama perduoti neįgaliotiems asmenimis įstaigos viduje ar už jos ribų slaptažodžius ir kitus duomenis, leidžiančius naudojant programines ir technines priemones sužinoti asmens duomenis ar kitaip sudaryti sąlygas susipažinti su asmens duomenimis;

• kad netinkamas asmens duomenų tvarkymas gali užtraukti atsakomybę pagal Lietuvos Respublikos įstatymus.

Aš pasižadu:

• saugoti asmens duomenų paslaptį;

• tvarkyti asmens duomenis, vadovaudamasis Lietuvos Respublikos įstatymais ir kitais teisės aktais, taip pat pareigybės aprašymu ir taisyklėmis, reglamentuojančiomis man patikėtas asmens duomenų tvarkymo funkcijas;

• neatskleisti, neperduoti tvarkomos informacijos nė vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija tiek įstaigos viduje, tiek už jos ribų;

• pranešti savo vadovui ir Traukinio mašinistų registro administratoriui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę asmens duomenų saugumui.

Aš žinau:

• kad už šio pasižadėjimo nesilaikymą ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804) pažeidimą turėsiu atsakyti pagal Lietuvos Respublikos įstatymus;

• kad asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo, taip pat kitų asmenų veiksmų ar neveikimo, turi teisę reikalauti atlyginti jam padarytą turtinę ir neturtinę žalą (pagal Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 54 straipsnio 1 dalį);

• kad šis pasižadėjimas galios visą mano darbo šioje įstaigoje laiką, pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams (pagal Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 30 straipsnio 6 dalį).

Aš esu susipažinęs (-usi) su:

Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Lietuvos Respublikos darbo kodeksu (Žin., 2002, Nr. 64-2569), Lietuvos Respublikos valstybės tarnybos įstatymu (Žin., 1999, Nr. 66-2130; 2002, Nr. 45-1708), Traukinio mašinistų registro duomenų saugos nuostatais ir kitais Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos veiklą reglamentuojančiais teisės aktais.

______________

(pareigų pavadinimas)

____________

(parašas)

_______________

(vardas ir pavardė)

___________

(data)

Šis pasižadėjimas buvo pasirašytas dalyvaujant:

______________

(vadovo pareigų pavadinimas)

____________

(parašas)

_______________

(vardas ir pavardė)

___________

(data)

_________________