1. Darbuotojų saugos ir sveikatos klausimais atestavimo informacinės sistemos (toliau – DSSAS) duomenų saugos nuostatų (toliau – Nuostatai) tikslas – apibrėžti DSSAS duomenų saugos politiką ir užtikrinti, kad DSSAS duomenys būtų apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo ir kitokio neteisėto tvarkymo.

2. DSSAS saugumo svarba yra siejama su galimomis informacijos ir ryšių pažeidžiamumo grėsmėmis, kurias gali sukelti gamtos, infrastruktūros, technologiniai, organizaciniai ir žmogiškieji (tyčiniai ir netyčiniai) veiksniai. Neįdiegus reikalingų saugumo priemonių yra galima informacijos pažeidžiamumo rizika ir gali būti padaryta materialinė ir nematerialinė žala.

3. Nuostatai parengti, vadovaujantis:

4. Nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Nuostatuose, išvardintuose ir kituose teisės aktuose.

5. DSSAS valdytojas ir tvarkytojas – Valstybinė darbo inspekcija (toliau – VDI), kurios adresas – Algirdo g. 19, Vilnius.

6. Ši informacinė sistema kuriama, įgyvendinant Lietuvos Respublikos socialinės apsaugos ir darbo ministro ir Lietuvos Respublikos sveikatos apsaugos ministro 2011 m. birželio 17 d. įsakymu Nr. A1-287/V-611 patvirtintus Mokymo ir atestavimo darbuotojų saugos ir sveikatos klausimais bendruosius nuostatus (Žin., 2011, Nr. 76-3683).

7. Tvarkant DSSAS duomenis ir užtikrinant jų saugumą, vadovaujamasi DSSAS nuostatais, patvirtintais Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2011 m. spalio 7 d. įsakymu Nr. V-235 (Žin., 2011, Nr. 123-5858), ir juose nurodytais teisės aktais.

8. DSSAS saugumo užtikrinimo prioritetinės kryptys:

9. VDI vadovas yra atsakingas už tinkamą Nuostatuose nustatytų funkcijų vykdymą.

10. Saugos įgaliotinis, įgyvendindamas DSSAS elektroninės informacijos saugą, atlieka šias funkcijas:

11. Saugos įgaliotinis, įgyvendindamas DSSAS saugą, yra atsakingas už tinkamą Nuostatuose jam nustatytų funkcijų vykdymą.

12. Administratorius (arba administratorių grupė) atlieka šias funkcijas:

13. Administratorius, vykdydamas DSSAS priežiūrą, yra atsakingas už tinkamą Nuostatuose jam nustatytų funkcijų vykdymą.

14. DSSAS techniniai saugos reikalavimai nustatomi pagal Techninius reikalavimus, taikomus trečiajai informacinių sistemų kategorijai (pagal tvarkomos informacijos svarbą), kuriai priskiriama ši informacinė sistema pagal DSSAS nuostatus, patvirtintus Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2011 m. spalio 7 d. įsakymu Nr. V-235.

15. DSSAS saugos priemonės nustatomos DSSAS saugaus elektroninės informacijos tvarkymo taisyklėse ir atnaujinamos, įvertinus rizikos veiksnius, galinčius turėti įtakos DSSAS saugai. Saugos priemonių parinkimo principas: užtikrinti DSSAS veiksmingumą ir saugą, patiriant kuo mažiau išlaidų.

16. Rizikos veiksniai vertinami, nustatant jų įtakos informacinei sistemai saugai laipsnius:

17. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja DSSAS rizikos įvertinimą. Saugos įgaliotinio teikimu DSSAS valdytojas išleidžia įsakymą dėl rizikos įvertinimo, kuriame nurodo vertinimo apimtį, terminus ir atsakingus asmenis. Nustatant apimtį, būtina atsižvelgti į visus rizikos veiksnius, galinčius turėti įtakos informacijos saugai. DSSAS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai.

18. Svarbiausieji rizikos veiksniai yra šie:

19. Atsižvelgiant į rizikos įvertinimo ataskaitą, prireikus yra rengiamas rizikos įvertinimo ir rizikos valdymo priemonių planas, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti. Šį planą tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato DSSAS valdytojo vadovas.

20. Neeilinis DSSAS rizikos įvertinimas turi būti atliekamas: įvykus dideliems pokyčiams DSSAS techninėje ir programinėje įrangoje; įvykus dideliems organizaciniams pokyčiams VDI; paaiškėjus naujoms tendencijoms informacinių technologijų saugos srityje; po didelio masto saugos incidentų.

21. DSSAS valdytojo vadovas, vadovaudamasis Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 patvirtinta Informacinių technologijų saugos atitikties vertinimo metodika (Žin., 2004, Nr. 80-2855) ir kitais teisės aktais, ne rečiau kaip kartą per dvejus kalendorinius metus, jei teisės aktai nenustato kitaip, išleidžia įsakymą dėl DSSAS informacinių technologijų saugos atitikties vertinimo. Šiame įsakyme yra nustatoma vertinimo apimtis, terminai ir atsakingieji asmenys.

22. Informacinių technologijų saugos atitikties vertinimo apimtis nustatoma, pagal galimai didžiausią riziką pasirenkant tokias vertinimo kryptis (vieną, kelias ar visas):

23. Atlikus DSSAS informacinių technologijų saugos atitikties vertinimą, saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina DSSAS valdytojo vadovas.

24. Naudotojų administravimo taisyklėse turi būti nustatyti metodai, kurie taikomi užtikrinant prieigą prie DSSAS, nurodant leistiną šios prieigos laiką ir būdą, ir atitinkamos priemonės.

25. DSSAS tarnybinė stotis turi būti apsaugota nuo kenksmingos programinės įrangos. Apsaugai naudojama programinė įranga turi atsinaujinti automatiškai ne rečiau kaip kartą per dieną.

26. Turi būti įdiegtos priemonės, perspėjančios administratorių, kai pagrindinėje DSSAS kompiuterinėje įrangoje sumažėja iki nustatytos pavojingos ribos laisvos kompiuterio atminties ar vietos diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja.

27. DSSAS turi turėti elektroninės informacijos tikslumo, užbaigtumo ir patikimumo tikrinimo priemones.

28. DSSAS turi būti registruojami ir nustatytą laiką saugomi duomenys apie DSSAS įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis informacinėje sistemoje, kitus saugai svarbius įvykius, nurodant naudotojo identifikatorių ir įvykio laiką; ši informacija turi būti reguliariai analizuojama.

29. Patekimas į DSSAS tarnybinių stočių patalpas turi būti kontroliuojamas.

30. Rezervinis maitinimo šaltinis turi užtikrinti DSSAS pagrindinės kompiuterinės įrangos veikimą ne mažiau nei 10 min.

31. Tarnybinių stočių patalpose turi būti įrengta oro kondicionavimo sistema.

32. Turi būti numatytos atsarginės patalpos, į kurias galima būtų laikinai perkelti DSSAS įrangą, nesant galimybių tęsti veiklą pagrindinėse patalpose; DSSAS veiklos tęstinumo valdymo planas turi užtikrinti DSSAS veiklos atnaujinimą per 8 val.

33. DSSAS tvarkymui bei administravimui neturi būti naudojama neteisėta programinė įranga. Naudoti programinę įrangą, nesusijusią su VDI veikla ar naudotojo atliekamomis funkcijomis (žaidimų, bylų siuntimo, internetinių pokalbių programų), neleidžiama.

34. Prieiga prie DSSAS apsaugoma duomenų perdavimo tinklo užkardomis.

35. Stacionarių darbo vietų kompiuterius leidžiama naudoti tik VDI patalpose. Nešiojamiesiems kompiuteriams taikomos papildomos saugos priemonės (rakinimo įrenginiai, prisijungimo ribojimai ir kt.).

36. Užtikrinant saugų elektroninės informacijos teikimą, naudojamas Saugus valstybės duomenų perdavimo tinklas.

37. DSSAS duomenų tvarkymo veiksmus (įrašymą ir redagavimą) gali atlikti tik DSSAS valdytojo paskirti naudotojai.

38. DSSAS atsarginės kopijos turi būti daromos kiekvieną darbo dieną. Kopijų darymas turi būti fiksuojamas žurnale. Atsarginės kopijos turi būti 4 rūšių: dienos, savaitės, mėnesio ir metų. Turi būti saugoma ne mažiau kaip po 3 paskutiniąsias kiekvienos rūšies kopijas. Kopijos (įskaitant laikmenas su programine įranga) turi būti saugomos užrakintoje nedegioje spintoje, kitose patalpose, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate. Patekimas į patalpas, kuriose laikomos kopijos, turi būti registruojamas žurnale. Administratorius atsako už atsarginių kopijų darymą ir saugojimą ir organizuoja priemonių, neleidžiančių panaudoti kopijų neteisėtam elektroninės informacijos atkūrimui, diegimą. Elektroninės informacijos atkūrimo iš kopijų bandymus administratorius privalo atlikti ne rečiau kaip kartą per pusmetį.

39. Slaptažodis turi būti keičiamas ne rečiau kaip kas 6 mėnesius. Slaptažodis turi būti sudarytas ne mažiau kaip iš 6 simbolių, susidedančių iš raidžių, skaičių ir specialiųjų simbolių. Keičiant slaptažodį, DSSAS neturi leisti nustatyti slaptažodį iš buvusių 3 paskutinių slaptažodžių. Slaptažodžiams neturi būti naudojama asmeninio pobūdžio informacija. Pirmojo prisijungimo prie DSSAS metu turi būti reikalaujama, kad naudotojas pakeistų slaptažodį. Turi būti draudžiama slaptažodžius atskleisti tretiesiems asmenims.

40. VDI darbuotojai, pastebėję saugos dokumentų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai administratoriui. Administratorius apie tokius pažeidimus informuoja saugos įgaliotinį. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią DSSAS saugą (jos konfidencialumą, vientisumą ar prieinamumą), saugos įgaliotinis apie tai turi pranešti kompetentingoms institucijoms.

41. Pokyčių valdymo tvarka yra nustatoma DSSAS saugaus elektroninės informacijos tvarkymo taisyklėse.

42. Asmens duomenys yra tvarkomi, vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (Žin., 1996, Nr. 63-1479; 2011, Nr. 65-3046) reikalavimais. Turi būti įgyvendintos organizacinės ir techninės duomenų saugumo priemonės, skirtos antrajam automatiniu būdu tvarkomų asmens duomenų saugumo lygiui, vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) (Žin., 2010, Nr. 122-6246).

43. Kvalifikaciniai reikalavimai DSSAS dirbančiam personalui:

44. Saugos įgaliotinis periodiškai organizuoja VDI darbuotojų – naudotojų mokymus informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir pan.).

45. Saugos įgaliotinis pasirašytinai supažindina administratorių ir kitus naudotojus su Nuostatais ir kitais saugos dokumentais; pakartotinai supažindinama tik iš esmės pasikeitus DSSAS saugą reguliuojantiems teisės aktams. Su teisės aktais, išvardintais Nuostatuose ir kituose saugos dokumentuose, administratorius, saugos įgaliotinis ir kiti naudotojai susipažįsta savarankiškai ir jais turi vadovautis, tvarkydami DSSAS.

46. Saugos įgaliotinio supažindinimą su saugos dokumentais pasirašytinai organizuoja DSSAS valdytojo vadovas.

47. Saugos dokumentai turi būti peržiūrimi ne rečiau kaip kartą per metus ir prireikus po rizikos analizės ar informacinių technologijų saugos atitikties vertinimo atlikimo, taip pat įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams VDI. Prireikus saugos dokumentai turi būti tikslinami ir derinami su Vidaus reikalų ministerija.

48. Saugos įgaliotinis, administratorius, naudotojai ir kiti asmenys, pažeidę Nuostatų ir kitų DSSAS saugos politiką įgyvendinančių dokumentų reikalavimus bei DSSAS informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako įstatymų nustatyta tvarka.

SUDERINTA

Lietuvos Respublikos

vidaus reikalų ministerijos

2011-10-28 raštu Nr. 1D-7431