LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRO

 

Į S A K Y M A S

DĖL LIETUVOS RESPUBLIKOS VIDAUS VANDENŲ LAIVŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2005 m. birželio 6 d. Nr. 3-260

Vilnius

 

Įgyvendindamas Lietuvos Respublikos Vyriausybės 2004 m. lapkričio 11 d. nutarimo Nr. 1435 „Dėl Lietuvos Respublikos vidaus vandenų laivų registro“ (Žin., 2004, Nr. 166-6064) 6.3 punkto reikalavimus:

1. Tvirtinu Lietuvos Respublikos vidaus vandenų laivų registro duomenų saugos nuostatus (pridedama).

2. Pavedu Valstybinei vidaus vandenų laivybos inspekcijai iki š. m. liepos 30 d. patvirtinti vidaus vandenų laivų registro informacinės sistemos nenumatytų situacijų valdymo planą ir darbo su vidaus vandenų laivų registro informacinės sistemos duomenimis taisykles bei paskirti saugos įgaliotinį.

 

 

FINANSŲ MINISTRAS

L. E. SUSISIEKIMO MINISTRO PAREIGAS                                       ZIGMANTAS BALČYTIS

______________

PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro

2005 m. birželio 6 d. įsakymu Nr. 3-260

 

LIETUVOS RESPUBLIKOS VIDAUS VANDENŲ LAIVŲ REGISTRO duomenų saugos nuostatai

 

I. Bendrosios nuostatos

 

1. Lietuvos Respublikos vidaus vandenų laivų registro (toliau – Registras) duomenų saugos nuostatų (toliau vadinama – Saugos nuostatai) tikslas – sudaryti tinkamas sąlygas automatizuotu būdu saugoti ir tvarkyti duomenis apie vidaus vandenų transporto priemones bei jų savininkus (valdytojus).

2. Vadovaujančioji Registro tvarkymo įstaiga – Lietuvos Respublikos susisiekimo ministerija, kuri yra ir Registre tvarkomų asmens duomenų valdytoja;

3. Registro tvarkymo įstaiga – Valstybinė vidaus vandenų laivybos inspekcija (toliau – Inspekcija), kuri yra ir Registre tvarkomų asmens duomenų tvarkytoja. Inspekcija Registrą tvarko pagal Lietuvos Respublikos vidaus vandenų laivų registro nuostatų (toliau – Registro nuostatai) (Žin., 2004, Nr. 166-6064) reikalavimus. Ji taip pat vykdo Registro duomenų bazės tvarkytojos funkcijas. Registro tvarkymo įstaigos būstinė – I. Kanto g. 13, Kaunas.

4. Registro duomenų bazę sudaro kompiuterizuota Registro informacinė sistema (toliau – Registro informacinė sistema).

5. Šiuose Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, vartojamas Registro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2004 m. lapkričio 11 d. nutarimu Nr. 1435 (Žin., 2004, Nr. 166-6064).

 

II. REGISTRO DUOMENŲ BAZĖS apibūdinimas

 

6. Saugos nuostatai reglamentuoja duomenų tvarkymą automatizuotu būdu ir yra privalomi visiems valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis (toliau – Vartotojas), Registro tvarkymo įstaigoje.

7. Registro informacinės sistemos apibūdinimas ir tvarkomų duomenų grupių aprašymas:

7.1. Registro informacinės sistemos paskirtis:

7.1.1. operatyviai ir kokybiškai rinkti, užrašyti, registruoti, kaupti, apdoroti, grupuoti, sisteminti, saugoti, naudoti ir teikti duomenis apie Registro objektus, Registro objektų savininkus (valdytojus), kurie neautomatizuotu būdu, tiesiogiai gaunami iš duomenų teikėjų;

7.1.2. įgyvendinti Registro tvarkymo įstaigai pavestus uždavinius – sutikrinti automatizuotu būdu gautus duomenis iš valstybės ir savivaldybės institucijų, valstybės registrų, kadastrų bei informacinių sistemų su Registro duomenimis;

7.1.3. automatizuotu būdu teikti sukauptus Registro duomenis pagal poreikį:

7.1.3.1. susijusiems registrams ir informacinėms sistemoms;

7.1.3.2. valstybės ir savivaldybių institucijoms, kurios atlieka valstybės priskirtas funkcijas, susijusias su Registro duomenimis, ar kurioms Registro duomenų reikia jų tiesioginėms funkcijoms atlikti įstatymų ir kitų teisės aktų nustatyta tvarka;

7.1.3.3. eismo įvykių tyrimo ir ekstremalių situacijų likvidavimo tarnyboms, kurioms būtina gauti Registro duomenis;

7.1.3.4. mokslinių tyrimų įstaigoms, atliekančioms transporto tyrimus;

7.1.3.5. Registro duomenų teikėjui, kurio duomenys įrašyti Registre, – jo paties įregistruotus duomenis;

7.1.3.6. įstatymų ir kitų teisės aktų nustatyta tvarka – draudimo įmonėms, bankams, kitiems fiziniams ir juridiniams asmenims, turintiems teisę gauti Registro duomenis, išskyrus tuos duomenis, kurių teikimą riboja Lietuvos Respublikos įstatymai, kiti teisės aktai ir šie Saugos nuostatai;

7.1.4. organizuoti Registro duomenų mainų saugumą, pasirašant duomenų teikimo ir gavimo sutartis.

7.2. Registro informacinės sistemos tvarkomų duomenų grupės aprašytos Registro nuostatuose. Registro informacinės sistemos elementuose kaupiami šie duomenys:

7.2.1. duomenys apie Registro objektų registraciją ir Registro duomenų teikėjus;

7.2.2. duomenys apie Registro duomenų teikėjams išduotus Lietuvos Respublikos vidaus vandenų laivų registravimo taisyklėse (toliau – Registravimo taisyklės) numatytus dokumentus;

7.2.3. bendrieji duomenys apie Registro objektus:

7.2.3.1. duomenys apie vidaus vandenų laivus;

7.2.3.2. papildomi duomenys, vidaus vandenų laivą laikinai įregistruojant Registre, jeigu sudaroma laivo nuomos be įgulos sutartis;

7.2.3.3. duomenys apie statomus vidaus vandenų laivus;

7.2.4. duomenys apie Registro objekto savininkus (valdytojus);

7.2.5. duomenys, susiję su registruoti pateiktais dokumentais, daiktinėmis teisėmis į Registro objektą ir suvaržymais.

8. Registro informacinę sistemą sudaro:

8.1. Centrinis registratorius, kurio funkcijos – tvarkyti Registro duomenis ir normatyvinius duomenis (klasifikatorius), įvesti (panaikinti) apribojimus Registro objektams, išduoti pažymas, teikti informaciją Registro duomenų gavėjams, formuoti ataskaitas ir nurašymo aktus, vykdyti loginę duomenų kontrolę. Ši dalis susideda iš:

8.1.1. Administravimo posistemės. Ši posistemė skirta Registro informacinei sistemai administruoti:

8.1.1.1. Registro informacinei sistemai stebėti ir testuoti;

8.1.1.2. duomenų ir duomenų mainų apsaugai užtikrinti;

8.1.1.3. duomenims konfigūruoti;

8.1.1.4. rezerviniams duomenims kopijuoti ir archyvuoti;

8.1.1.5. esamiems, naujiems Vartotojams bei jų grupėms kurti ir administruoti;

8.1.1.6. ryšiui su Registro informacinės sistemos išorine aplinka užtikrinti;

8.1.1.7. susidariusioms kritinėms situacijoms spręsti;

8.1.1.8. kompiuterinei technikai, tinklo ir sisteminei programinei įrangai, taikomųjų programų funkcionavimui prižiūrėti.

8.1.2. Filtravimo (paieškos) posistemės. Ši posistemė skirta sudaryti galimybę Vartotojui atlikti duomenų filtravimą ir paiešką pagal bet kurį iš objekto informacinių laukų. Posistemėje realizuotos tokios funkcijos:

8.1.2.1. duomenų peržiūra lentelėje;

8.1.2.2. duomenų filtravimas;

8.1.2.3. duomenų rūšiavimas.

8.1.3. Duomenų mainų posistemės. Ši posistemė vykdo:

8.1.3.1. duomenų gavimą iš susijusių registrų ir informacinių sistemų bei duomenų teikėjų;

8.1.3.2. duomenų teikimą susijusiems registrams, informacinėms sistemoms ir duomenų naudotojams;

8.1.3.3. duomenų srautų tarp Registro informacinės sistemos Vartotojų ir Registro informacinės sistemos išorės kontrolę.

8.1.4. Paraiškų tvarkymo posistemės. Ši posistemė skirta suformuoti prašymą įregistruoti vidaus vandenų transporto priemonę. Pagrindinė Centrinio registratoriaus funkcija – duomenų teikėjų pateiktų duomenų loginė kontrolė.

8.1.5. Duomenų apie vidaus vandenų transporto priemones tvarkymo posistemės, kuri skirta duomenims apie įregistruotas vidaus vandenų transporto priemones tvarkyti:

8.1.5.1. Registro objektų registracijos elementas vykdo unikalaus identifikavimo kodo loginį priskyrimą, tikrinimą ir kontrolę, Registro objekto duomenų ir dokumentų tvarkymą bei apskaitą;

8.1.5.2. Registro objektų kontrolės elementas vykdo objektų registravimo (išregistravimo) ir duomenų keitimo bei duomenų teikimo nustatytu laiku kontrolę, dokumentų autentiškumo ir teisingumo kontrolę;

8.1.5.3. techninių apžiūrų duomenų tvarkymo elementas registruoja duomenis apie galiojančias ir negaliojančias technines apžiūras, dokumentų bei jų dublikatų išdavimą ir veda jų apskaitą;

8.1.5.4. registravimo procedūrų elementas vykdo registracijos statuso, duomenų tvarkymo bei atsisakymo tvarkyti duomenis apskaitą;

8.1.5.5. vidaus vandenų transporto priemonių apribojimų elementas tvarko duomenis apie teisių į vidaus vandenų transporto priemones suvaržymus – registruoja vidaus vandenų transporto priemonėms taikomus apribojimus, apribojimų panaikinimus;

8.1.5.6. loginės kontrolės vykdymo elementas vykdo loginę duomenų kontrolę, sutikrina Registro informacinės sistemos duomenis su susijusių registrų ir informacinių sistemų duomenimis, patikrina duomenų logiškumą ir tikslumą;

8.1.5.7. dokumentų išdavimo elementas tvarko išduodamus vidaus vandenų transporto priemonių dokumentus, kurie numatyti vidaus vandenų transporto priemonių Registravimo taisyklėse, ir veda jų apskaitą;

8.1.5.8. valstybės rinkliavos apskaitos elementas atsakingas už objekto įregistravimo, išregistravimo, duomenų pakeitimo ir atitinkamų dokumentų bei jų dublikatų išdavimo apmokėjimo apskaitą;

8.1.5.9. ataskaitų formavimo elementas suformuoja atitinkamas ataskaitas, leidžia eksportuoti duomenis į kitus formatus;

8.1.5.10. Registro objektų išregistravimo elementas atsakingas už vidaus vandenų transporto priemonių išregistravimą, prieš tai atliekant loginę kontrolę.

8.2. Teritorinis registratorius, kurio funkcijos – įregistruoti (išregistruoti) Registro objektus, išduoti Registravimo taisyklėse nurodytus dokumentus, įregistruoti technines apžiūras, atlikti Registro objektų paiešką ir peržiūrėti jų duomenis, keisti (koreguoti) Registro objektų duomenis. Ši dalis susideda iš:

8.2.1. Paraiškų tvarkymo posistemės. Ši posistemė skirta suformuoti prašymą įregistruoti vidaus vandenų transporto priemonę. Realizuojamos funkcijos:

8.2.1.1. naujos paraiškos sukūrimas ir pateikimas Centriniam registratoriui;

8.2.1.2. patikrintų paraiškų koregavimas arba sprendimo įregistruoti (atsisakymo įregistruoti) vidaus vandenų transporto priemonę priėmimas;

8.2.1.3. Registro objekto įregistravimas.

8.2.2. Duomenų apie vidaus vandenų transporto priemones tvarkymo posistemės, kuri skirta duomenims apie įregistruotas vidaus vandenų transporto priemones tvarkyti:

8.2.2.1. Registro objektų kontrolės elementas vykdo objektų registravimo (išregistravimo) ir duomenų keitimo bei duomenų teikimo nustatytu laiku kontrolę, dokumentų autentiškumo ir teisingumo kontrolę;

8.2.2.2. techninių apžiūrų duomenų tvarkymo elementas registruoja galiojančias ir negaliojančias technines apžiūras, dokumentų bei jų dublikatų išdavimą ir veda jų apskaitą;

8.2.2.3. valstybės rinkliavos apskaitos elementas atsakingas už objekto įregistravimo, išregistravimo, duomenų pakeitimo ir atitinkamų dokumentų bei jų dublikatų išdavimo apmokėjimo apskaitą;

8.2.2.4. Registro objektų išregistravimo elementas atsakingas už vidaus vandenų transporto priemonių išregistravimą, prieš tai atliekant loginę kontrolę.

9. Saugų Registro informacinės sistemos duomenų tvarkymą reglamentuoja:

9.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2000, Nr. 64-1924; 2003, Nr. 15-597);

9.2. Bendrieji duomenų saugos reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45) (toliau – Bendrieji duomenų saugos reikalavimai).

9.3. Lietuvos standartas LST ISO/IEC 17799:2004, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą.

9.4. Kiti teisės aktai, reglamentuojantys duomenų tvarkymo teisėtumą, Registro tvarkymo įstaigos veiklą bei duomenų saugos valdymą.

 

III. Duomenų Saugos organizavimas ir NENUMATYTŲ SITUACIJŲ Valdymas

 

10. Už duomenų tvarkymo teisėtumą ir duomenų saugą atsako Registro tvarkymo įstaiga.

11. Registro tvarkymo įstaiga skiria saugos įgaliotinį, kuris atsako už saugumo politikos įgyvendinimą ir kontrolę Registro tvarkymo įstaigoje.

12. Saugos įgaliotinis teikia siūlymus dėl atskirų Registro informacinės sistemos posistemių ar funkcijų administratorių (toliau – Administratorius), kurie už paskirtų funkcijų vykdymą atsiskaito tiesiogiai saugos įgaliotiniui, paskyrimo.

13. Saugos įgaliotinis privalo išmanyti pagrindinius saugos politikos principus.

14. Saugos įgaliotinis ir Administratoriai turi turėti atitinkamą kvalifikaciją (kvalifikacijos kėlimo kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL Vartotojo sertifikatas ar pan.) ir patirties (dirbant su tinkamomis operacinėmis sistemomis, taikomosiomis programomis ir pan.). Registro informacinės sistemos Vartotojai supažindinami su informacija apie duomenų saugumą.

15. Registro informacinės sistemos vartotojai, pastebėję saugumo politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti atitinkamos funkcijos Administratoriui ir saugos įgaliotiniui.

16. Vartotojai privalo turėti pagrindinius darbo kompiuteriais įgūdžius ir būti susipažinę su duomenų saugos nuostatais.

17. Administratorius turi išmanyti darbą su kompiuteriniais tinklais, mokėti užtikrinti jų saugumą bei mokėti administruoti ir prižiūrėti duomenų bazes.

18. Registro informacinės sistemos vartotojų veiksmus, esant nenumatytai situacijai, reglamentuoja vidaus vandenų laivų registro informacinės sistemos nenumatytų situacijų valdymo planas (toliau – Planas), kurį Registro tvarkymo įstaigos vadovui tvirtinti teikia saugos įgaliotinis.

 

IV. RIZIKOS ĮVERTINIMAS IR DETALI DARBO TVARKA

 

19. Konkrečios Registro informacinės sistemos duomenų tvarkymo ir saugumo procedūros išdėstomos darbo su vidaus vandenų laivų registro informacinės sistemos duomenimis taisyklėse (toliau – Taisyklės), kurias Registro informacinės sistemos tvarkymo įstaigos vadovui tvirtinti teikia saugos įgaliotinis.

 

V. RIZIKOS VEIKSNIAI IR GRĖSMĖS

 

20. Numatomi vidiniai Registro informacinės sistemos Rizikos veiksniai:

20.1. Atsitiktinės techninės avarijos. Sugedus vienai sudedamajai daliai, gali sutrikti visos Registro informacinės sistemos darbas. Tai taikoma Registro duomenų bazės dalims, tokioms kaip energijos šaltiniai, vietinis tinklas, duomenų teikimo įrenginiai.

20.2. Purvo, dulkių bei magnetinių laukų įtaka. Kompiuterinė ir kita įranga turi būti nuolat valoma bei taisoma. Duomenų laikmenos turi būti laikomos atokiau nuo elektros ar radiacijos šaltinių, nes yra jautrios magnetiniams laukams.

20.3. Darbuotojų praradimas. Registro informacinės sistemos aptarnaujančių valstybės tarnautojų ir darbuotojų netekimas dėl ligų, nelaimingų atsitikimų, socialinių veiksnių įtakos.

21. Numatomi išoriniai Registro informacinės sistemos Rizikos veiksniai.

21.1. Gaisras. Galimos šios gaisrų priežastys: nesaugus degių medžiagų laikymas, neatsparių ugniai medžiagų naudojimas pastato konstrukciniams ir apdailos elementams, priešgaisrinių įtaisų trūkumas, nepakankama įrangos apsauga nuo ugnies, galimas pavojus žaibuojant ir kt.

21.2. Vandens poveikis. Vanduo į patalpas gali patekti dėl lietaus, gaisrų gesinimo pasekmių.

21.3. Elektros instaliacijos degimas. Galimas kabelių užsidegimas, jungčių trūkinėjimas (jei kabeliai nepadengti ugniai atspariomis medžiagomis arba uždari) – dėl to gali atsirasti nuodingų dujų.

21.4. Elektros energijos tiekimo sutrikimai, kurie gali atsirasti dėl gedimų tiekimo tinkle, dėl iš anksto nepaskelbtų linijų taisymo darbų, kabelių pažeidimų.

21.5. Techninės ir programinės įrangos gedimas.

22. Išorinių ir vidinių rizikos veiksnių grėsmės:

22.1. ugnis gali išplisti po visą sistemą;

22.2. vanduo gali sukelti didelį pavojų energijos tiekimo šaltiniams bei kompiuterinei įrangai;

22.3. didelis duomenų pažeidimo poveikio laipsnis;

22.4. galimas atsarginių kopijų sugadinimas, ypač jei jos saugomos viename pastate;

22.5. sugadinta visa kompiuterinė ir komunikacinė bazė;

22.6. visiškai sugadinti duomenys;

22.7. neveikia kompiuterinė sistema.

23. Netyčinės subjektyvios aplinkybės ir priemonės joms išvengti:

23.1. veiksniai, kylantys dėl darbo organizavimo nesklandumų;

23.2. vidaus tvarkos taisyklių pažeidimai. Su Inspekcijos vidaus tvarkos taisyklėmis (toliau – Vidaus tvarkos taisyklės) privalo susipažinti ir jų laikytis kiekvienas valstybės tarnautojas ir darbuotojas.

23.3. Priežiūros trūkumas. Turi būti nuolatinė Registro informacinės sistemos priežiūra. Į saugomas patalpas valstybės tarnautojams ir darbuotojams bei kitiems asmenims be leidimo patekti draudžiama.

23.4. Resursų kontrolė. Draudžiama programinės įrangos arba kitos įrangos naudojimo teises suteikti neįgaliotam asmeniui, nes dėl to susilpnėja duomenų slaptumas ir gali sutrikti kompiuterių darbas. Visi resursai (papildoma įranga, atsargos, priedai, dalys ir kt.) įsigyjami ir naudojami tik pagal paskirtį, suderinus su duomenų saugos įgaliotiniu. Kiekvienas resursas turi turėti visus reikiamus techninę charakteristiką apibūdinančius dokumentus.

24. Netyčinių subjektyvių aplinkybių pasekmės: duomenų pažeidimo poveikio laipsnis nėra didelis. Dažnai padariniai nebus pavojingi – informacija pasiųsta kitam adresatui, netikslūs duomenys, pradingo dalis informacijos, prarasta informacija po paskutinio kopijavimo, sugadinta operacinė sistema.

25. Tyčinės subjektyvios aplinkybės:

25.1. Neteisėtas naudojimasis Registro informacine sistema:

25.1.1. klaidingų duomenų įvedimas;

25.1.2. teisių ar operacinės sistemos programinės įrangos pakeitimai ir t. t.;

25.1.3. Vartotojas viršija Vartotojo teises, bando atspėti kitų Vartotojų slaptažodžius;

25.1.4. piktnaudžiavimas dėl patogumo (neįslaptinama kodinės spynos teisinga kombinacija, trumpam pasitraukus iš darbo vietos, įrenginiai nėra saugomi ir pan.).

25.2. Fizinis įsibrovimas į Registro informacinę sistemą:

25.2.1. įsiterpimas į tinklus;

25.2.2. Vartotojo teisių pažeidimas;

25.2.3. duomenų atskleidimas;

25.2.4. pranešimų tėkmės analizė;

25.2.5. siuntimo aprašymo protokolai;

25.2.6. kompiuteriniai „virusai“.

26. Tyčinių subjektyvių aplinkybių pasekmės – duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti – duomenys netikslūs ar visiškai sugadinti; duomenų bazių įrašai suklastoti ir nekorektiški, sunku atrasti klaidas bei suklastotą informaciją; dėl vagystės prarasti ne tik duomenys iš duomenų bazių, bet ir visos atsarginės kopijos; neveikia kompiuterinės programos ir operacinė sistema; neveikia visa kompiuterinė sistema. Rizikos veiksniai ir laipsniai nurodyti lentelėje (1 priedas).

 

VI. PRIEMONĖS RIZIKOS VEIKSNIAMS IŠVENGTI

 

27. Taikomos šios priemonės Rizikos veiksniams išvengti:

27.1. infrastruktūrinės – patalpų įrengimas ir oro vėsinimas;

27.2. administracinės – darbo organizavimas (duomenų laikmenos), personalas (darbo aplinkos gerinimas, reikiamų darbo vietų užpildymas), netikėtų situacijų planavimas (atsarginių dalių įsigijimo planavimas);

27.3. techninės ir programinės – kompiuterinė ir programinė įranga (duomenų laikmenų priežiūra);

27.4. telekomunikacinės – techninė įranga (kabeliai).

28. Infrastruktūrinės priemonės Registro informacinės sistemos apsaugai:

28.1. patalpų įrengimas:

28.1.1. pasirenkant ir įvertinant vietą pastate, atsižvelgta į šalia esančių transporto keliamų vibracijų, autoįvykių poveikį, galimybę įsilaužėliams pasprukti nepastebėtiems, arti esančius radijo siųstuvus, vandens telkinius, elektrines ar specialiąsias gamyklas;

28.1.2. specialiosios paskirties patalpos nepažymėtos lentelėmis, nurodančiomis jų paskirtį;

28.1.3. įrengtos šarvuotos ir atsparios ugniai durys;

28.1.4. vykdoma įėjimo į patalpas kontrolė;

28.1.5. darbuotojams išeinant iš patalpų, privaloma uždaryti langus, duris bei įjungti signalizaciją;

28.1.6. langų ir durų apsauga nuleidžiamomis žaliuzėmis, tarnybinės stoties patalpa – be langų;

28.1.7. nenaudojamų įėjimų rakinimas;

28.1.8. atsarginių išėjimų apsauga nuo pašalinių asmenų;

28.1.9. valstybės tarnautojų ir darbuotojų informavimas apie saugos priemones bei supažindinimas su Vidaus tvarkos taisyklėmis;

28.1.10. patekimo į patalpas apsaugos ir kontrolės sistema;

28.1.11. tarnybinės stoties bei duomenų bazių kopijų saugyklos įrengimas patalpose su riboto priėjimo galimybe.

28.2. Priešgaisrinė apsauga:

28.2.1. priešgaisrinė signalizacija;

28.2.2. priešgaisrinės apsaugos tarnybos nustatytų normų laikymasis;

28.2.3. mažų ugnies židinių gesinimas rankiniais gesintuvais, gesintuvų nuolatinė patikra;

28.2.4. apsauginių perskyrų kokybės patikra, specialiai apsauganti kabelius;

28.2.5. personalo informavimas apie priemones, kurių reikia imtis kilus gaisrui.

29. Techninės ir programinės priemonės Registro informacinės sistemos apsaugai:

29.1. Techninės įrangos išdėstymas:

29.1.1. draudžiama statyti techninę įrangą šalia šildytuvų, prieš tiesioginius saulės spindulius, taip pat šalia langų, durų, nes juos gali pastebėti pašaliniai;

29.1.2. įrenginių, saugančių duomenis (t. y. tarnybinės stoties administravimo įranga, spausdintuvai, faksas, kopijavimo įranga), laikymas riboto priėjimo patalpose.

29.2. Tarnybinės stoties apsauga:

29.2.1. slaptažodžiai, leidžiantys dirbti su tarnybine stotimi, žinomi tik Administratoriui;

29.2.2. asmeninė tarnybinės stoties Administratoriaus atsakomybė už informacijos tarnybinėje stotyje konfidencialumą;

29.2.3. įžeminimas;

29.2.4. nepertraukiamo elektros maitinimo šaltinis prie tarnybinės stoties, automatiškai po tam tikro laiko išjungiantis kompiuterius;

29.2.5. nuolatinis tarnybinės stoties administravimas;

29.2.6. nuolatinis duomenų kopijavimas pagal nustatytas tarnybinės stoties informacijos kopijavimo taisykles;

29.2.7. duomenų kopijos saugomos nedegiose metalinėse spintose atskirose patalpose;

29.2.8. turi būti užtikrintas duomenų atstatymas, įvykus techniniams gedimams duomenų įvedimo metu.

29.3. Vietiniai tinklai ir jų priežiūra:

29.3.1. atsižvelgiant į tiesimo vietą, aplinkos sąlygas, galimą mechaninį poveikį, specialią dangą, apsaugančią nuo ugnies, stiprių elektrinių laukų, numatytos jungčių į elektros tinklą vietos. Dėl didėjančių poreikių ateityje, tiesiamas kabelis iš karto turi turėti papildomo pajėgumo arba ateityje šalia jo gali būti nutiestas antrasis, iš anksto tam palikus vietos;

29.3.2. elektros energijos bei telekomunikacijų vidinių tinklų jungimas tiesiogiai prie išorinių linijų;

29.3.3. išorinė apsauga nuo žaibo sukeltų perkrovų;

29.3.4. elektros energijos palaikymo šaltinis, leidžiantis sėkmingai baigti darbą ir prasidėjus ilgiems elektros tiekimo nesklandumams;

29.3.5. pagrindiniai komutaciniai mazgai išdėstyti atskirose su riboto priėjimo galimybe patalpose;

29.3.6. prisijungti prie vietinio tinklo naudojama slaptažodžių sistema, pagal kurią nustatomos Vartotojo teisės tinkle. Slaptažodžiai reguliariai keičiami. Vartotojas, laiku nepakeitęs slaptažodžio, netenka galimybės prisijungti prie vietinio tinklo;

29.3.7. duomenų naudotojai vidinio tinklo duomenis pasiekia tik per „ugniasienę“ (ang. – firewall);

29.3.8. naudojama nuotolinė vidinio tinklo administravimo sistema, leidžianti diagnozuoti gedimus tinkle ir stebėti sistemos apkrovimą, kompiuterių darbą;

29.3.9. vietinio tinklo kabeliai nutiesti atskirai nuo elektros srovės kabelių.

30. Administracinės priemonės Registro informacinės sistemos apsaugai:

30.1. Darbo organizavimas:

30.1.1. duomenų ir duomenų laikmenų saugojimas;

30.1.2. duomenų bazės archyvų priežiūra;

30.1.3. saugus duomenų laikmenų transportavimas;

30.1.4. saugus duomenų teikimas duomenų naudotojams;

30.1.5. saugus duomenų apsikeitimas tarp Vartotojų;

30.1.6. slaptažodžių naudojimas. Slaptažodžius suteikia tik tarnybinių stočių ir duomenų Administratoriai. Slaptažodžių keitimą užtikrina naudojamos programinės priemonės;

30.1.7. Vartotojų ir Administratoriaus teisių paskirstymas;

30.1.8. resursų (papildomos įrangos, atsargos, priedai, dalys ir kt.) kontrolė;

30.1.9. techninės ir programinės įrangos įsigijimas bei priežiūra;

30.1.10. Registro informacinės sistemos taisymo ir testavimo darbai;

30.1.11. duomenų konfidencialumo užtikrinimas tarp Vartotojų;

30.1.12. apsauga nuo kompiuterinių „virusų“;

30.1.13. duomenų bazės auditas ir testavimas;

30.1.14. Registro informacinės sistemos Vartotojų instrukcijų sukūrimas;

30.1.15. konfigūracijos aprašymo atnaujinimas, keičiantis Registro informacinės sistemos elementams;

30.1.16. paskirtas Administratorius, atsakingas už Registro informacinės sistemos kasdienį darbą bei duomenų saugos garantavimą;

30.1.17. papildomų Registro informacinės sistemos Administratorių paskyrimas, atsakingų už skirtingas funkcijas ir galinčių, esant reikalui, pakeisti Administratorių;

30.1.18. Administratorius nuolat tikrina sistemos darbą, atlieka reikiamus pakeitimus bei tvarko Registro informacinės sistemos pakeitimų dokumentus.

31. Darbo vietos priežiūra:

31.1. darbo vieta privalo būti tvarkinga, ir priešgaisrinės saugos taisyklės turi atitikti Priešgaisrinės tarnybos keliamus reikalavimus;

31.2. sisteminga saugos priemonių patikra;

31.3. draudžiama rūkyti patalpose, kuriose yra kompiuterinė technika.

32. Informacija Vartotojams:

32.1. Vartotojų veiksmų priežiūra, supažindinimas su Registro informacinės sistemos pakitimais;

32.2. standartinių gedimų analizė ir apibendrinimas;

32.3. naudojimosi kompiuterine technika instrukcijos sukūrimas;

32.4. registruojamas techninių priemonių išdavimas ir susigrąžinimas (perleidimas), pasikeitus Vartotojui;

32.5. įėjimų į sustiprinto saugumo reikalaujančias patalpas kontrolė.

33. Teisių suteikimas ir priežiūra:

33.1. apibrėžtos teisės, suteiktinos konkrečiam valstybės tarnautojui ar darbuotojui pagal užimamas pareigas, supažindinant vartotojus su duomenų saugos nuostatais pasirašytinai;

33.2. naudojimosi suteiktomis teisėmis patikrinimas;

33.3. tinklo administravimo, sisteminių teisių paskirstymas ribojant Vartotojo teises;

33.4. teises suteikia Administratorius. Visi paskirstymai įteisinami atitinkamais dokumentais, apibrėžtos kiekvieno Vartotojo funkcijos ir slaptažodis;

33.5. reguliarus ir profilaktinis Vartotojų veiksmų ir įsiregistravimo ataskaitų tikrinimas;

33.6. identifikavimo sistemos, kontroliuojančios Vartotojų įsiregistravimą, įdiegimas.

34. Slaptažodžių vartojimas:

34.1. slaptažodžiai negali sietis su vardais ar gimimo datomis, slaptažodis sudarytas ne mažiau kaip iš 6 simbolių;

34.2. gamintojo slaptažodžiai pakeičiami individualiais;

34.3. slaptažodžiai negali būti užprogramuoti specialiais klavišais;

34.4. slaptažodį turi žinoti tiktai Vartotojas, užrašytas slaptažodis laikomas užklijuotuose vokuose ir naudotinas tiktai nenumatytais atvejais;

34.5. galimybė pakeisti individualų slaptažodį kiekvienam Vartotojui;

34.6. vienkartinio slaptažodžio suteikimas, įregistruojant naujus Vartotojus;

34.7. užkoduotų slaptažodžių siuntimas tinklu.

35. Raktų naudojimas:

35.1. atsarginių raktų saugus laikymas;

35.2. atleidžiant valstybės tarnautojus ir darbuotojus ar pasikeitus pareigoms raktai grąžinami.

36. Duomenų laikmenų apsauga:

36.1. duomenų laikmenos turi būti registruojamos, saugiai laikomos, o siunčiant – pašalinami nereikalingi duomenys;

36.2. numatyti priemones, apsaugančias duomenis nuo pašalinių asmenų;

36.3. nustatyti duomenų laikmenų saugojimo vietą.

37. Programinės įrangos apsauga:

37.1. galimybių Vartotojams platinti nelegalias programas ribojimas techninėmis priemonėmis;

37.2. rinkos tyrimai, įsigyjant naują programinę įrangą (didėjant poreikiams);

37.3. programinės įrangos tiekėjų registravimo pažymėjimų ir siūlomos įrangos sertifikatų tikrinimas;

37.4. įrangos testavimas. Atlikus programinės įrangos testavimą, nustatoma pageidaujama konfigūracija, kuri nulemia darbo patogumą, mažą klaidų skaičių ir saugumą;

37.5. programinės įrangos instaliacija, padarius atsargines originalių duomenų kopijas;

37.6. bylų, susijusių su ištrinama programine įranga, pašalinimas, išinstaliavimo metu.

38. Tinklo saugos strategija:

38.1. išoriška linijų, išskirstymo jungčių būklės patikra;

38.2. ryšio skirstytojų dokumentai, nurodantys jų paskirtį, laikomi saugiai. Pažymėtos naudojamos, nebenaudojamos jungtys, neįvardijant specifinių funkcijų. Visa papildoma informacija pateikiama papildomuose dokumentuose;

38.3. duomenų gavėjo vidinio tinklo duomenys pasiekiami tik per „ugniasienę“ (angl. – firewall). „Ugniasienės“ konfigūracijos: filtrų naudojimas (informacija filtruojama ir kompiuteris pagal taisykles arba atmeta, arba priima gaunamus duomenis). „Ugniasienės“ veikla turi būti nuolat tikrinama, kad būtų nustatytos galimos silpnosios pusės.

39. Lygiateisių mazgų tinklo saugos strategija:

39.1. lygiateisių mazgų tinklo struktūros nustatymas;

39.2. paskirstyta atsakomybė;

39.3. teisių suteikimo apribojimai;

39.4. standartinių Vartotojų vardų sukūrimas, teisių į katalogus ir spausdintuvus suteikimas, slaptažodžių valdymas, Vartotojų pareigos, mokymai.

40. Personalas:

40.1. bendrų instruktažų organizavimas:

40.1.1. priimant naujus valstybės tarnautojus ir darbuotojus, pradedant naudoti naujas programas ar esant dideliems Registro informacinės sistemos pakitimams;

40.1.2. pagal Vidaus tvarkos taisykles;

40.1.3. supažindinant Vartotojus su apsauga turi būti aptariama:

40.1.3.1. apsaugos supratimas;

40.1.3.2. priemonės, susijusios su Vartotojais;

40.1.3.3. priemonės, siejamos su technine ir programine įranga;

40.1.3.4. priemonės, aptikus kompiuterinį „virusą“;

40.1.3.5. naudojimasis slaptažodžiais;

40.1.3.6. duomenų saugojimas;

40.1.3.7. asmens duomenų priežiūra;

40.1.3.8. priemonės pavojaus atveju;

40.1.3.9. priemonės, neleidžiančios atskleisti viešai neskelbtinos arba slaptos informacijos;

40.1.3.10. apsaugos priemonių naudojimas.

41. Reikiamų darbo vietų užpildymas:

41.1. pavaduojančio Vartotojo numatymas, Vartotojui planuotai ar neplanuotai neatvykus į darbą;

41.2. prieš atleidžiant Vartotoją, užimsiantis jo vietą asmuo turi būti informuojamas apie būsimąsias pagrindines funkcijas;

41.3. parengtos bendros Registro tvarkymo įstaigos Vidaus tvarkos taisyklės, nustatančios Vartotojo veiksmus išeinant iš darbo;

41.4. naujų Vartotojų supažindinimas su apsaugos sistema, priemonėmis ir jų naudojimu.

42. Registro informacinės sistemos Administratorius:

42.1. Administratorius turi teisę naudotis visomis Registro informacinės sistemos galimybėmis, todėl nustatomos jo teisės;

42.2. Administratorius savarankiškai atlieka kasdieninius Registro informacinės sistemos valdymo darbus, aptinka ir panaikina smulkius gedimus, rūpinasi duomenų saugojimu.

43. Lygiateisių mazgų tinklų saugos funkcijų taisyklingas naudojimas:

43.1. naudojant lygiateisių mazgų tinklą Windows XP terpėse, kiekvienas Vartotojas rūpinasi savo tvarkomų, teikiamų ir naudojamų duomenų apsauga.

44. Netikėtų situacijų planavimas.

44.1. „Pavojaus“ situacija:

44.1.1. aprašomi veiksmai pavojaus atveju, apibūdintos visos priemonės, kurių būtų imtasi pavojaus atveju (įspėjimas, šalinimo priemonės, grandžių atkūrimo planas).

44.2. Vartotojų, atsakingų už pavojaus situacijos nustatymą, numatytų veiksmų įgyvendinimą, paskyrimas;

44.3. skirtingų (alternatyvių) veiksmų planų kūrimas skirtingiems pavojaus scenarijams, kuriuos tvirtina Registro tvarkymo įstaigos vadovas.

45. Atsarginių dalių įsigijimo planavimas.

46. Kompiuteriniai „virusai“:

46.1. atsarginis diskelis su operacine sistema, iš kurio, kilus nesklandumams, pradedamas darbas;

46.2. diskelyje turi būti redaktorius, atsarginių kopijų kūrimo programa;

46.3. panaikinus „virusą“, pažeistos bylos atkuriamos iš atsarginių kopijų archyvo.

47. Duomenų saugumas:

47.1. išsaugotų duomenų dokumentų tvarkymas:

47.1.1. įrašymo data;

47.1.2. struktūra;

47.1.3. saugojimo įrenginiai;

47.1.4. programinė įranga;

47.1.5. naudoti parametrai;

47.1.6. laikmenos, kuriose laikomi operaciniai ir išsaugoti duomenys;

47.1.7. duomenų saugos tvarka duomenų kopijavimo, visiško, diferencinio ir duomenų perrašymo iš dalies atvejais.

48. Tarnybinės stoties operacinės sistemos „Windows Server 2003“ priežiūra:

48.1. mažinant tarnybinės stoties apkrovimą, duomenų įrašymas į kelis kietuosius diskus;

48.2. paleidžiamojo diskelio naudojimas;

49. Darbo stočių operacinės sistemos „Windows XP“ priežiūra:

49.1. paleidžiamojo diskelio naudojimas;

49.2. siekiant sumažinti tarnybinės stoties apkrovas, užtikrinti saugumą, duomenys taip pat turi būti rašomi į kelis kietuosius diskus, įmontuotus tarnybinėje stotyje. Tam naudojama speciali atsarginių kopijų kūrimo programa.

50. Visi saugojimo parametrų nustatymai turi būti atlikti mechaniniu įvedimu. Patogiausia pasižymėti atliktus pakitimus arba naudoti specialią programą (galvučių, sektorių ir cilindrų skaičius kietajame diske), registruojančią visus duomenis.

51. Nešiojamųjų kompiuterių apsauga. Naudoti įsiregistravimo slaptažodį, energijos taupymo režimą ir energijos rezervų stebėjimą, duomenų kodavimo programas, nepalikti slaptų duomenų kietajame diske.

52. Programinės įrangos apsauga:

52.1. nuolatinė Registro informacinės sistemos priežiūra. Registro informacinės sistemos priežiūrą atlieka Administratorius. Paprastiems darbams atlikti Administratorius turi turėti ir naudoti paprasto Vartotojo įsiregistravimo vardą bei slaptažodį;

52.2. saugūs įsiregistravimai:

52.2.1. įsiregistravimo programa naudojama ribojant nesėkmingų bandymų skaičių;

52.2.2. ilgą laiką nenaudojamų įsiregistravimų blokavimas, ištrynimas;

52.2.3. įsiregistravimo vardų sukūrimas ribotam laikui.

52.3. slaptažodžiai. Slaptažodžiai, naudojami informacijos apsaugai, tikrinami įsijungus į Registro informacinę sistemą arba prieš įsijungiant. Slaptažodžiu turi būti apsaugotas programinės įrangos naudojimas, automatiškas darbo duomenų kopijavimas, duomenų kodavimas;

52.4. Administratoriaus ir Vartotojų identifikavimas.

53. Duomenų laikmenų priežiūra:

53.1. nereikalingos informacijos ištrynimas prieš duomenų kopijavimą;

53.2. kompiuterinių „virusų“ aptikimo, duomenų tikrinimo ir kodavimo programų prieš ir po duomenų persiuntimo naudojimas.

54. Telekomunikacinės priemonės:

54.1. tarnybinės stoties administravimas;

54.2. teisių naudotis tarnybinės stoties kietuoju disku ribojimas;

54.3. įvedimo įrenginių blokavimas.

55. Kabelių tiesimas:

55.1. pasirenkamas kabelio tipas atsižvelgiant į atstumą bei duomenų persiuntimo spartą;

55.2. techniniuose dokumentuose turi būti išsamiai aprašomi šie duomenys:

55.2.1. kabelio tipas;

55.2.2. išskirstytojų vietos;

55.2.3. tikslus kabelio išdėstymas patalpose;

55.2.4. linijų išmatavimai;

55.2.5. Vartotojai;

55.2.6. jungties taškų techniniai rodikliai;

55.2.7. rizikos veiksniai;

55.3. kabeliai turi būti tiesiami taip, kad būtų prieinami tiktai Vartotojams bei apsaugoti nuo tiesioginių mechaninių pažeidimų.

56. Tinklo valdymas:

56.1. kabelių pasirinkimas ir planavimas;

56.2. įrenginių ir programinės įrangos pasirinkimas;

56.3. tinklo adresų, Vartotojų identifikavimo kodų paskirstymas;

56.4. tinklo dalių paskirstymas;

56.5. slaptažodžio suteikimas kiekvienam vietinio tinklo Vartotojui, kuris saugomas užklijuotame voke;

56.6. nuolatinė tinklo patikra.

57. Duomenų teikimas:

57.1. naudojama tik naujausia elektroninio pašto programinės įrangos versija;

57.2. suderintos duomenų siuntimo (priėmimo) sistemos, naudojamas duomenų kodavimas;

57.3. informacijos kodavimas:

57.3.1. Vartotojas turi nuspręsti, ar naudotis pranešimų kodavimo ar skaitmeninio parašo apsauga.

58. Duomenų saugos priemonės turi garantuoti:

58.1. duomenų apsaugą jos rinkimo, perdavimo ryšio kanalais, saugojimo, apdorojimo, teikimo ir naudojimo metu;

58.2. duomenų apsaugą nuo nesankcionuoto ar neteisėto naudojimo, kaupimo, keitimo, perdavimo, skelbimo, sunaikinimo;

58.3. duomenų apsaugą nuo jų pažeidimo dėl rizikos veiksnių;

58.4. netyčinių vidinių ir išorinių subjektyvių veiksnių (duomenų tvarkymo klaidos ir apsirikimai, failų ištrynimas, fiziniai sutrikimai: dėl elektros, dėl duomenis gadinančių kompiuterio arba tarnybinės stoties „virusų“);

58.5. tyčinių subjektyvių veiksnių (neteisėtas įsibrovimas į sistemą iš išorės, piktybinis teisės aktų pažeidimas, vagystė ir kita);

58.6. nenugalimos jėgos (netikėti atsitiktiniai veiksniai – žaibas, gaisras, potvynis ar kitoks užliejimas, uraganas ir kita).

 

VII. REGISTRO INFORMACINĖS SISTEMOS Vartotojų atsakomybė

 

59. Registro informacinės sistemos Vartotojai privalo rūpintis Registro informacine sistema bei joje tvarkomų duomenų saugumu.

60. Tvarkyti Registro informacinės sistemos duomenis gali tik Registro informacinės sistemos Vartotojai, susipažinę su šiais nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei raštiškai sutikę laikytis šių teisės aktų reikalavimų.

61. Registro informacinės sistemos Vartotojų supažindinimą su nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei atsakomybę už šių reikalavimų nesilaikymą pasirašytinai organizuoja saugos įgaliotinis.

62. Registro informacinės sistemos Vartotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugumo problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems valstybės tarnautojams, darbuotojams ir pan.).

63. Registro informacinės sistemos Vartotojai, pažeidę šių nuostatų ar kitų saugumo politiką reglamentuojančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

 

VIII. NUOSTATŲ ATNAUJINIMO TVARKA

 

64. Saugos įgaliotinis, siekdamas užtikrinti Registro informacinės sistemos ir joje tvarkomų duomenų saugumą, teikia siūlymus Registro informacinės sistemos tvarkytojo vadovui dėl nuostatų keitimo ar kitų saugumo politiką reglamentuojančių teisės aktų priėmimo, keitimo ar panaikinimo.

 

IX. Baigiamosios nuostatos

 

65. Siekiant užtikrinti nuostatuose ir kituose saugumo politiką reglamentuojančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, saugos įgaliotinis kasmet organizuoja auditą, kurio metu:

65.1. įvertinama nuostatų ir kitų saugumo politiką reglamentuojančių teisės aktų atitiktis realiai duomenų saugos situacijai;

65.2. inventorizuojama Registro informacinės sistemos tvarkytojo techninė ir programinė įranga;

65.3. tikrinamos ne mažiau kaip 10% Registro informacinės sistemos Vartotojų kompiuterinių darbo vietų ir visuose paslaugų kompiuteriuose įdiegtos programos ir jų konfigūracija;

65.4. peržiūrima Registro informacinės sistemos Vartotojams suteiktų teisių atitiktis vykdomoms funkcijoms;

65.5. įvertinamas pasiruošimas Registro informacinės sistemos veiklos atstatymui nenumatytose situacijose.

66. Atlikus auditą rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Registro informacinės sistemos tvarkytojo vadovas.

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2005-06-03 raštu Nr. 1D-3879-(13)

______________