LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRAS

 

Į S A K Y M A S

DĖL LIETUVOS RESPUBLIKOS GELEŽINKELIŲ INFRASTRUKTŪROS REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2006 m. balandžio 3 d. Nr. 3-126

Vilnius

 

Įgyvendindamas Lietuvos Respublikos susisiekimo ministro 2004 m. gegužės 28 d. įsakymo Nr. 3-317 „Dėl Lietuvos Respublikos geležinkelių infrastruktūros registro įsteigimo ir jo nuostatų patvirtinimo“ (Žin., 2004, Nr. 90-3327; 2005, Nr. 36-1187) 5 punktą:

1. Tvirtinu Lietuvos Respublikos geležinkelių infrastruktūros registro duomenų saugos nuostatus (pridedama).

2. Pavedu Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininkui:

2.1. patvirtinti iki 2006 m. gegužės 1 d. darbo su geografinės informacinės sistemos duomenimis taisykles;

2.2. patvirtinti iki 2006 m. birželio 1 d. geografinės informacinės sistemos nenumatytų situacijų valdymo planą.

3. Nustatau, kad šio įsakymo 1 punkte nurodyti nuostatai įsigalioja nuo 2006 m. rugsėjo 1 d.

 

 

 

SUSISIEKIMO MINISTRAS                                                                                  PETRAS ČĖSNA


PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro

2006 m. balandžio 3 d. įsakymu Nr. 3-126

 

LIETUVOS RESPUBLIKOS GELEŽINKELIŲ INFRASTRUKTŪROS REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Lietuvos Respublikos geležinkelių infrastruktūros registro duomenų saugos nuostatų (toliau – saugos nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotu būdu tvarkyti Lietuvos Respublikos geležinkelių infrastruktūros registro (toliau – registras) duomenis.

2. Saugos nuostatai reglamentuoja registro duomenų bazės automatizuotą duomenų tvarkymą ir yra privalomi visiems registrą tvarkantiems valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis (toliau – vartotojas).

3. Registro duomenų bazę (toliau – GDB) sudaro kompiuterizuota geoinformacinė sistema „Infraregistras“ (toliau – GIS Infraregistras). GIS Infraregistras apima geoduomenų specifikavimą, duomenų bazės struktūros suformavimą, taikomuosius komponentus registro duomenims įvesti ir atnaujinti.

4. Lietuvos Respublikos susisiekimo ministerija yra vadovaujančioji registro tvarkymo įstaiga. Ji taip pat yra ir registro duomenų valdytoja.

5. Valstybinė geležinkelio inspekcija prie Susisiekimo ministerijos yra registro tvarkymo įstaiga (toliau – registro tvarkymo įstaiga) ir tvarko registrą Lietuvos Respublikos geležinkelių infrastruktūros registro nuostatų (toliau – registro nuostatai), patvirtintų Lietuvos Respublikos susisiekimo ministro 2004 m. gegužės 28 d. įsakymu Nr. 3-317 (Žin., 2004, Nr. 90-3327; 2005, Nr. 36-1187) nustatyta tvarka. Ji taip pat yra registro duomenų bazės tvarkymo įstaiga bei registro duomenų bazės valdytoja. Registro tvarkymo įstaigos būstinė – Šiauliai, P. Višinskio g. 34.

6. Šiuose saugos nuostatuose vartojamos sąvokos:

Geoduomenys geografinę (erdvinę) padėtį, formą, tarpusavio ryšius ir unikalumą apibūdinantys duomenys apie geoobjektą, saugomi skaitmenine forma.

Geoelementai geoduomenų bazėse naudojami grafinių elementų rinkiniai (pvz., taškai, linijos, poligonai) geoobjektams aprašyti ir realaus pasaulio grafiniam modeliui sukurti.

Geografinė informacinė sistema (geoinformacinė sistema, GIS) kompiuterinė techninių ir programinių priemonių ir geoduomenų visuma, skirta geoduomenims įvesti, saugoti, analizuoti bei sisteminti ir geoinformacijai pateikti vartotojui.

Geoinformacija informacija, gaunama sisteminant, analizuojant geoduomenis ir su jais susijusius duomenis.

Geokodai unikalūs raidiniai ar skaitiniai geoobjektų žymikliai.

GIS duomenų bazė (geoduomenų bazė, GDB) geoinformacinių sistemų principais organizuotų geoduomenų visuma. GIS duomenų bazėje sąlyginai išskiriamos grafinių duomenų ir atributinių (aprašomųjų, lentelių) duomenų bazės.

Tarnybinė stotis kompiuteris, valdantis tinkle esančius kitus kompiuterius pagal jų paraiškas (užklausas).

Darbo stotis tinkle esantis kompiuteris, kurį valdo tarnybinė stotis.

Kitos šiuose saugos nuostatuose vartojamos sąvokos paaiškintos registro nuostatuose.

 

II. REGISTRO DUOMENŲ BAZĖS APIBŪDINIMAS

 

7. GIS Infraregistro paskirtis:

7.1. operatyviai ir kokybiškai registruoti ir išregistruoti registro objektus bei tvarkyti registro duomenis;

7.2. įgyvendinti kitus, negu registro nuostatuose nustatytus, registro tvarkymo įstaigai pavestus uždavinius;

7.3. automatizuotai keistis reikiamais registro duomenimis su valstybės ir savivaldybės institucijomis ir įstaigomis, valstybės registrais, kadastrais bei susijusiomis informacinėmis sistemomis.

7.4. automatizuotai teikti sukauptus registro duomenis registro duomenų naudotojams registro nuostatų nustatyta tvarka;

7.5. teikti raštvedybos automatizavimo ir elektroninio bendradarbiavimo tarp registro tvarkymo įstaigos vartotojų paslaugas;

7.6. automatizuoti registro tvarkymo įstaigos vykdomas funkcijas naudojant informacinių technologijų teikiamus pranašumus;

7.7. užtikrinti registro duomenų mainų saugumą. Siekiant įgyvendinti šį tikslą, būtina pasirašyti su duomenų naudotojais, susijusiais valstybės registrais ir informacinėmis sistemomis, duomenų teikimo ir keitimosi sutartis, kuriose būtų detaliai nurodyta šalių atsakomybė ir priemonės duomenų mainų saugumui užtikrinti.

 

8. GIS Infraregistras apibūdinamas ir registre tvarkomų geoduomenų grupės, nurodytos registro nuostatuose.

9. GIS Infraregistrą sudaro administravimo, duomenų mainų, duomenų filtravimo (paieškos), duomenų tvarkymo, veiklos, paraiškų ir dokumentų tvarkymo komponentai.

9.1. Administravimo komponentas skirtas:

9.1.1. stebėti ir testuoti GIS Infraregistrą;

9.1.2. užtikrinti registro geoduomenų ir jų mainų saugą;

9.1.3. konfigūruoti registro duomenis;

9.1.4. vykdyti registro duomenų rezervinį kopijavimą ir archyvavimą;

9.1.5. užtikrinti bendravimą tarp vartotojų;

9.1.6. optimizuoti GIS Infraregistro veiklą;

9.1.7. importuoti ir eksportuoti duomenis;

9.1.8. spręsti kritines situacijas;

9.1.9. prižiūrėti kompiuterinės technikos, tinklo ir geoinformacinės sistemos programinės įrangos, geoinformacinių duomenų bazių, geoduomenų ir geležinkelių infrastruktūros registravimo programinės įrangos funkcionavimą.

9.2. Duomenų mainų komponentas skirtas:

9.2.1. gauti bei teikti registro duomenis susijusiems valstybės registrams, informacinėms sistemoms;

9.2.2. gauti registro duomenis iš registro duomenų teikėjų ir teikti juos registro duomenų naudotojams;

9.2.3. kontroliuoti duomenų srautus tarp GIS Infraregistro vartotojų ir registro duomenų naudotojų;

9.2.4. viešai skelbti registro duomenis registro tvarkymo įstaigos interneto tinklalapyje.

9.3. Duomenų filtravimo (paieškos) komponentas skirtas:

9.3.1. filtruoti registro duomenis ir vykdyti jų paiešką;

9.3.2. peržiūrėti registro duomenis bet kokiu formatu;

9.3.3. rūšiuoti registro duomenis.

9.4. Duomenų tvarkymo komponentas susideda iš registracijos, kontrolės, registravimo procedūrų, loginės kontrolės bei išregistravimo elementų.

9.4.1. Registracijos elementas skirtas:

9.4.1.1. identifikuoti registro objektą, jo savininką, valdytoją;

9.4.1.2. priskirti unikalų identifikavimo kodą;

9.4.1.3. kontroliuoti, kad registravimo duomenys ir duomenys po jų pasikeitimo būtų teikiami laiku;

9.4.1.4. tikrinti dokumentų autentiškumą;

9.4.1.5. tvarkyti registro duomenis (registruoti, rinkti, užrašyti, kaupti, saugoti, keisti, atlikti logines ir (ar) aritmetines operacijas, naikinti ir kt.);

9.4.1.6. vykdyti registro duomenų ir dokumentų apskaitą.

9.4.2. Registravimo procedūrų elementas skirtas:

9.4.2.1. apskaityti registravimo procedūras, registracijos statusą, registre tvarkomus duomenis bei atsisakymą juos tvarkyti;

9.4.2.2. perkelti registro duomenis į registro duomenų bazės archyvą;

9.4.2.3. fiksuoti vykdomos operacijos tipą, atlikimo datą ir laiką.

9.4.3. Loginės kontrolės elementas skirtas:

9.4.3.1. atlikti loginę duomenų kontrolę;

9.4.3.2. sutikrinti registro duomenis su susijusių registrų ir informacinių sistemų duomenimis; patikrinti duomenų tikslumą.

9.4.4. Išregistravimo elementas skirtas išregistruoti objektą iš registro, prieš tai atliekant loginę kontrolę.

9.5. Veiklos komponentas skirtas:

9.5.1. registruoti registro duomenų teikėjus, registro duomenų naudotojus bei vartotojus;

9.5.2. apskaityti sutarčių su registro duomenų naudotojais bei susijusiais valstybės registrais ir informacinėmis sistemomis sudarymą;

9.5.3. apskaityti registravimo (išregistravimo), duomenų keitimo dokumentus.

9.6. Paraiškų ir dokumentų tvarkymo komponentas skirtas:

9.6.1. registruoti gautus dokumentus;

9.6.2. registruoti paraiškas, prašymus ir skundus;

9.6.3. registruoti dokumentus (siunčiamus ir vidaus);

9.6.4. kontroliuoti pavedimų ir sprendimų vykdymą;

9.6.5. formuoti pavedimus ir sprendimus;

9.6.6. apskaityti paraiškas.

10. Saugų registro duomenų GIS Infraregistre tvarkymą reglamentuoja:

10.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597);

10.2. Bendrieji duomenų saugos reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45) (toliau – Bendrieji duomenų saugos reikalavimai);

10.3. Lietuvos standartas LST ISO/IEC 17799:2004, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;

10.4. kiti teisės aktai, reglamentuojantys duomenų tvarkymo teisėtumą, GIS Infraregistro tvarkymo įstaigos veiklą bei duomenų saugos valdymą.

 

III. DUOMENŲ SAUGOS ORGANIZAVIMAS IR NENUMATYTŲ SITUACIJŲ VALDYMAS

 

11. Už duomenų tvarkymo teisėtumą ir registro duomenų saugą atsako GIS Infraregistro tvarkymo įstaiga.

12. GIS Infraregistro tvarkymo įstaiga skiria saugos įgaliotinį, kuris atsako už saugumo politikos įgyvendinimą ir kontrolę registro tvarkymo įstaigoje, vadovaudamasis šiais saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais.

13. Saugos įgaliotinis teikia siūlymus dėl atskirų GIS Infraregistro komponentų ar funkcijų administratorių (toliau – administratorius), kurie už paskirtų funkcijų vykdymą atsiskaito tiesiogiai saugos įgaliotiniui, paskyrimo.

14. Reikalavimai GIS Infraregistro vartotojams:

14.1. vartotojai privalo turėti pagrindinius darbo su kompiuteriais įgūdžius;

14.2. saugos įgaliotinis privalo išmanyti pagrindinius saugos politikos principus;

14.3. administratorius turi išmanyti darbą su kompiuteriniais tinklais bei mokėti užtikrinti jų saugumą, turėti žinių apie duomenų bazių administravimą ir priežiūrą bei mokėti jas taikyti.

15. GIS Infraregistro vartotojai, pastebėję saugumo politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti administratoriui ir saugos įgaliotiniui.

16. GIS Infraregistro vartotojų veiksmus esant nenumatytai situacijai reglamentuoja „Geoinformacinės sistemos Infraregistras“ nenumatytų situacijų valdymo planas (toliau – planas), kurį registro tvarkymo įstaigos vadovui teikia tvirtinti saugos įgaliotinis. Plano nuostatos pagrįstos šiais principais:

16.1. GIS Infraregistro vartotojų saugumas, gyvybės ir sveikatos apsauga. Numatomi būdai, kaip užtikrinti visų GIS Infraregistro vartotojų saugumą, gyvybės ir sveikatos apsaugą, kol trunka nenumatyta situacija ir likviduojami avarijos padariniai;

16.2. GIS Infraregistras veiklos atstatymas. Paskelbus apie avariją, organizuojamas GIS Infraregistro veiklos atstatymas, o sutrikus veiklai atstatymas organizuojamas tik pagal planą. Pirmiausia turi būti atkurtos pagrindinės GIS Ingraregistro funkcijos, kurios detalizuojamos registro apraše (specifikacijoje), o vėliau atstatomas įprastas darbo režimas;

16.3. GIS Infraregistro vartotojų mokymas. Vartotojai turi būti supažindinti su planu ir su teisės aktais, nustatančiais asmeninę kiekvieno vartotojo atsakomybę. Plano arba jo dalių vykdymas turi būti išbandytas praktiniuose mokymuose.

17. GIS Infraregistre tvarkomi duomenys yra skirstomi:

17.1. slapti duomenys, kurių tvarkymą, apsaugą ir naudojimą reglamentuoja Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymas (Žin., 1999, Nr. 105-3019, 2004, Nr. 4-29), Lietuvos Respublikos Vyriausybės 2001 m. lapkričio 9 d. nutarimas Nr. 1343 „Dėl Lietuvos Respublikoje esančių valstybinės reikšmės ir rizikos objektų sąrašo patvirtinimo“ (Žin., 2001, Nr. 95-3367) bei Lietuvos archyvų departamento prie Lietuvos Respublikos Vyriausybės generalinio direktoriaus 2000 m. rugpjūčio 30 d. įsakymas Nr. 19 „Dėl Lietuvos Respublikos įslaptintų dokumentų apskaitos, raštvedybos organizavimo, tvarkymo ir kontrolės taisyklių patvirtinimo“ (Žin., 2000, Nr. 76-2325). Šie duomenys, nurodyti saugos nuostatų 18 punkte, skirti naudotis ribotam vartotojų ir registro duomenų naudotojų skaičiui pagal kompetenciją. Geoduomenys ir šiame punkte nurodyti registro duomenys viešai neskelbtini. Registro duomenis tvarkančių vartotojų ir registro duomenų naudotojų sąrašai tvirtinami registro tvarkymo įstaigos vadovo įsakymu. Susijusių valstybės registrų ir informacinių sistemų tvarkymo įstaigoms, taip pat valstybės ir savivaldybių institucijoms bei įstaigoms jų tiesioginėms funkcijoms atlikti šie duomenys teikiami tik įstatymų ir kitų teisės aktų nustatyta tvarka;

17.2. riboto naudojimo duomenys, kurių naudojimą riboja kiti teisės aktai, taip pat teisės aktai, reglamentuojantys asmens duomenų, komercinės ir profesinės paslapties apsaugą. Šie duomenys yra skirti naudotis teisės aktų nustatyta tvarka visiems Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos darbuotojams pagal kompetenciją. Šie duomenys atskirais atvejais teisės aktų nustatyta tvarka gali būti skelbiami registro tvarkymo įstaigos tinklalapyje bei leidinyje „Valstybės žinios“. Duomenys tretiesiems asmenims teikiami tik užtikrinus duomenų saugą ir sudarius duomenų teikimo sutartis registro nuostatų ir kitų teisės aktų nustatyta tvarka;

17.3. vieši duomenys – visi kiti duomenys, nenurodyti 17.1 ir 17.2 punktuose, kurie teisės aktų nustatyta tvarka privalo būti skelbiami leidinyje „Valstybės žinios“ ir/arba registro tvarkymo įstaigos interneto tinklalapyje.

18. Slaptų duomenų, tvarkomų GIS Infraregistre, kategorijai priskiriami:

18.1. Lietuvos Respublikos skaitmeniniai ortofotografiniai žemėlapiai, topografiniai žemėlapiai, kuriuose nurodytos strateginių objektų charakteristikos;

18.2. valstybės sienos apsaugos objektų, esančių geležinkelio kelių ir jų įrenginių apsaugos zonoje, charakteristikos bei paskirtis;

18.3. geoinformacija ir duomenys apie strateginę reikšmę nacionaliniam saugumui turinčius objektus;

18.4. duomenys apie karinius objektus;

18.5. kiti slapti duomenys.

 

IV. RIZIKOS ĮVERTINIMAS IR DETALI DARBO TVARKA

 

19. Pagrindinės GIS Infraregistro rizikos mažinimo priemonės nustatomos rizikos ataskaitoje, kuri rengiama įvertinus nustatytus rizikos veiksnius.

20. Konkrečios GIS Infraregistro duomenų tvarkymo ir saugumo procedūros išdėstomos detaliose Darbo su geoinformacinės sistemos „Infraregistras“ duomenimis taisyklėse (toliau – taisyklės), kurias rengia ir registro tvarkymo įstaigos vadovui teikia tvirtinti saugos įgaliotinis vadovaudamasis saugos nuostatų VI skyriumi.

 

V. RIZIKOS VEIKSNIAI IR GRĖSMĖS

 

21. Nustatyti vidiniai GIS Infraregistro rizikos veiksniai:

21.1. atsitiktinės techninės avarijos. Sugedus vienai GIS Infraregistro sudedamajai daliai, gali sutrikti visos GIS Infraregistro darbas. Tai būdinga registro duomenų bazės dalims, energijos šaltiniams, vėsinimo įrangai, vietiniam kompiuteriniam tinklui, duomenų teikimo įrenginiams. Labiausiai gali pakenkti atsitiktiniai incidentai;

21.2. temperatūros ir drėgmės pokyčių poveikis. Kiekviename įtaise yra leistina darbo temperatūros svyravimų skalė. Tai turi būti nurodyta įrenginių techniniuose pasuose;

21.3. purvo, dulkių bei magnetinių laukų įtaka. Atsižvelgiant į tai, kad į kompiuterinę ir organizacinę techniką patenka purvas ar dulkės, šie įtaisai turi būti nuolat valomi bei taisomi. Duomenų laikmenos turi būti laikomos atokiau nuo elektros ar radiacijos šaltinių, nes yra jautrios magnetiniams laukams;

21.4. darbuotojų praradimas. GIS Infraregistro aptarnaujančių vartotojų netekimas dėl ligų, nelaimingų atsitikimų, socialinių veiksnių įtakos;

22. numatomi išoriniai GIS Infraregistro rizikos veiksniai:

22.1. gaisras. Galimos šios gaisrų priežastys: nesaugus degių medžiagų laikymas, neatsparių ugniai medžiagų naudojimas pastato konstrukciniams ir apdailos elementams, ugnies sekimo ir gesinimo įtaisų trūkumas, nepakankama aparatūros apsauga nuo ugnies, galimas pavojus žaibuojant ir kitos priežastys;

22.2. vandens poveikis. Vanduo į patalpas gali patekti dėl lietaus, potvynių, santechninės įrangos sutrikimų, šildymo įrangos gedimų, oro vėsinimo sistemų darbo sutrikimų, gaisrų gesinimo pasekmių;

22.3. elektros instaliacijos degimas. Jei kabeliai nepadengti ugniai atspariomis medžiagomis arba uždari, jie gali užsidegti, trūkinėti jungtys ir dėl to atsirasti nuodingosios dujos;

22.4. elektros energijos tiekimo nesklandumai. Gali atsirasti dėl nesklandumų elektros tiekimo tinkle, dėl iš anksto nepaskelbtų linijų taisymo darbų arba kabelių pažeidimų;

22.5. techninės ir programinės įrangos gedimas.

23. Išorinių ir vidinių rizikos veiksnių grėsmės:

23.1. ugnis gali išplisti po visą sistemą;

23.2. vanduo gali sukelti didelį pavojų energijos tiekimo šaltiniams bei techninei įrangai;

23.3. didelis registro duomenų pažeidimo poveikio laipsnis;

23.4. galimas atsarginių kopijų sugadinimas, ypač jei jos saugomos viename pastate;

23.5. sugadinta visa techninė kompiuterinė ir komunikacinė bazė;

23.6. visiškai sugadinti registro duomenys;

23.7. neveikia kompiuterinė sistema.

24. Netyčinės subjektyvios aplinkybės ir priemonės joms išvengti:

24.1. veiksniai, kylantys dėl darbo organizavimo nesklandumų. Siekiant jų išvengti turi būti imamasi Saugos nuostatų 29.6 punkte nustatytų administracinių ir mokomųjų priemonių;

24.2. vidaus taisyklių pažeidimai. Siekiant jų išvengti kiekvienas darbuotojas privalo susipažinti su registro tvarkymo įstaigos vidaus darbo tvarkos taisyklėmis ir jas vykdyti;

24.3. priežiūros trūkumas. Siekiant to išvengti GIS Infraregistrą turi nuolat prižiūrėti atsakingi asmenys; į saugomas patalpas vartotojams ar kitiems asmenims turi būti draudžiama patekti be leidimo;

24.4. resursų kontrolės trūkumas. Siekiant to išvengti turi būti imamasi šių priemonių:

24.4.1. draudžiama programinės įrangos arba organizacinės technikos naudojimo teises suteikti neįgaliotam asmeniui, nes dėl to neužtikrinamas registro duomenų slaptumas ir gali sutrikti kompiuterių darbas;

24.4.2. bet kokio tipo resursai (papildoma įranga, atsargos, priedai, dalys ir kt.) turi būti įsigyjami ir naudojami tik pagal paskirtį, ir tai turi stebėti duomenų saugos įgaliotinis; prie šių resursų (papildomos įrangos, atsargų, priedų, dalių ir kt.) turi būti pridėtas pilnas techninių dokumentų komplektas;

24.4.3. draudžiama naudoti nelegalius produktus registro duomenims tvarkyti.

25. Netyčinių subjektyvių aplinkybių pasekmės: registro duomenų pažeidimo poveikio laipsnis nėra didelis. Galimi padariniai nebus pavojingi, jei registro duomenys pasiųsti kitam adresatui, registro duomenys netikslūs, pradingo dalis registro duomenų, prarasti registro duomenys po paskutinio kopijavimo, sugadinta operacinė sistema. Išimtiniais atvejais gali būti, kad virusas pateko į kompiuterių tinklą (jei vietinis kompiuterių tinklas yra didelis), komponentai susieti vienas su kitu per išorinį tinklą – sugadinti visi registro duomenys ir nėra atsarginių jų kopijų.

26. Tyčinės subjektyvios aplinkybės:

26.1. neteisėtas naudojimasis GIS Infraregistru:

26.1.1. klaidingų duomenų įvedimas;

26.1.2. vartotojų teisių ar operacinės sistemos programinės įrangos pakeitimai ir t. t.;

26.1.3. vartotojas viršija vartotojo teises, bando atspėti kitų vartotojų slaptažodžius;

26.1.4. piktnaudžiavimas dėl patogumo (neįslaptinama kodinės spynos teisinga kombinacija, trumpam pasitraukus iš darbo vietos įrenginiai nėra saugomi ir pan.).

26.2. fizinis įsibrovimas į GIS Infraregistrą:

26.2.1. įsiterpimas į kompiuterių tinklus;

26.2.2. vartotojo teisių pažeidimas;

26.2.3. registro duomenų atskleidimas;

26.2.4. siuntimo aprašymo protokolų pažeidimas;

26.2.5. naudojimasis telekomunikacinėmis priemonėmis;

26.2.6. naudojimasis fakso aparatu;

26.2.7. kompiuteriniai virusai.

27. Tyčinių subjektyvių aplinkybių pasekmės: duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti, jeigu registro duomenys ne visi ir netikslūs ar visiškai sugadinti, registro geoduomenų bazių įrašai suklastoti ir nekorektiški, sunku atrasti klaidas bei suklastotą informaciją, dėl vagystės prarasti ne tik duomenys iš geoduomenų bazių, bet ir visos atsarginės kopijos, neveikia kompiuterinės programos ir operacinė sistema, neveikia visa kompiuterinė sistema.

28. Rizikos veiksniai ir laipsniai nurodyti saugos nuostatų priede.

 

VI. DUOMENŲ SAUGOS PRIEMONĖS

 

29. Duomenų sauga turi būti pasiekiama užtikrinant patalpų, tarnybinės ir darbo stočių, kompiuterinio tinklo, duomenų laikmenų, programinės įrangos apsaugą bei vykdant administracines ir mokomąsias priemones.

29.1. Patalpų apsaugos priemonės:

29.1.1. oro vėsinimo ir temperatūros reguliavimo įranga;

29.1.2. priešgaisrinės durys;

29.1.3. priešgaisrinė signalizacija;

29.1.4. ugnies gesintuvai;

29.1.5. paskirstymo centrai ir paskirstymo linijos;

29.1.6. specialios paskirties lentelės, nurodančios patalpų paskirtį;

29.1.7. langų apsaugos įranga;

29.1.8. įėjimo į patalpas kontrolės ir identifikavimo įranga;

29.1.9. signalizacijos sistema;

29.1.10. atsarginiai išėjimai;

29.1.11. dokumentų saugyklos;

29.1.12. serverio ir registro duomenų bazių kopijų saugyklos;

29.1.13. registro duomenų kopijų saugyklos.

29.2. Tarnybinės stoties (serverio) apsaugos priemonės:

29.2.1. slaptažodžiai, leidžiantys dirbti su serveriais ir žinomi tik GIS Infraregistras administratoriui;

29.2.2. asmeninės serverio administratoriaus atsakomybės už informacijos serveryje konfidencialumą nustatymas;

29.2.3. įžeminimo įrenginiai;

29.2.4. kelių lygių automatinių srovės reguliavimo saugiklių ir srovės jungikliai;

29.2.5. nepertraukiamo elektros maitinimo šaltiniai;

29.2.6. serverio administravimo įranga;

29.2.7. nuolatinio duomenų kopijavimo įranga;

29.2.8. duomenų kopijų saugojimo įranga;

29.2.9. duomenų atstatymo įranga;

29.2.10. teisių naudotis serverio kietuoju disku ribojimas;

29.2.11. didžiausio saugomų serveryje registro duomenų kiekio ribos nustatymas;

29.2.12. registro duomenų įvedimo įrenginių blokavimas;

29.2.13. įsiregistravimo į serverį ribojimas bei įsiregistravimo bylų nuolatinis stebėjimas, atkreipiant dėmesį į klaidingus slaptažodžio įvedimus, teisingą vartotojo identifikavimo kodą, bandymus pažeisti teisių ribojimus, ryšio nutrūkimus, tinklo perkrovą.

29.3. Programinės įrangos apsaugos priemonės:

29.3.1. draudžiama naudoti ir platinti nelegalias programas;

29.3.2. rinkos tyrimai, įsigyjant naują programinę įrangą;

29.3.3. programinės įrangos tiekėjų registravimo pažymėjimų ir siūlomos įrangos sertifikatų tikrinimas;

29.3.4. įrangos testavimas;

29.3.5. naujos programinės įrangos, kaip tinkančios darbui, raštiškas patvirtinimas;

29.3.6. programinės įrangos instaliacija, padarius atsargines originalių registro duomenų kopijas;

29.3.7. bylų, susijusių su ištrinama programine įranga, pašalinimas;

29.3.8. pranešimų tėkmės analizė.

29.4. Duomenų laikmenų apsaugos priemonės:

29.4.1. nereikalingos informacijos ištrynimas prieš duomenų kopijavimą;

29.4.2. virusų aptikimo, duomenų tikrinimo ir kodavimo programų prieš ir po registro duomenų persiuntimo naudojimas;

29.4.3. įranga diskelių nuskaitymo įrenginiams blokuoti;

29.4.4. duomenų laikmenų sunaikinimas;

29.4.5. duomenų laikmenų inventorizacija ir registracija;

29.4.6. duomenų laikmenų saugojimo vietos nustatymas.

29.5. Kompiuterinio tinklo apsaugos priemonės:

29.5.1. tikslus linijų išdėstymas, techninių duomenų, pastabų, vartotojų, įsijungusių į sistemą, pavojaus zonų, naudojamų apsaugos priemonių registravimas ir apskaita;

29.5.2. elektros energijos bei telekomunikacijų vidinių tinklų jungimas tiesiogiai prie išorinių linijų;

29.5.3. izoliuoto vidinio tinklo įrengimas ir prijungimas prie išorinio tik prireikus (pvz., siunčiant duomenis);

29.5.4. GIS Infraregistro apsaugojimas nuo perkrovų elektros energijos perdavimo linijomis, vidiniame energijos skirstytuve bei energijos šaltinių lizduose;

29.5.5. elektros tiekimo išjungimo įtaisas;

29.5.6. elektros energijos tiekimo šaltinis. Nutrūkus pagrindiniam energijos tiekimui, turi būti numatytas automatinis elektros energijos tiekimo šaltinio atsijungimas;

29.5.7. vietinė kompiuterinio tinklo slaptažodžių sistema, nustatanti vartotojo teises tinkle;

29.5.8. tinklo aparatinės ir programinės įrangos įrengimo planavimas;

29.5.9. tik pačių būtiniausių tinklo paslaugų teikimas;

29.5.10. tinklo vartotojų nustatymas ir prieigos teisių suteikimas;

29.5.11. tinkle vykstančių procesų stebėjimas ir jų įrašų kaupimas;

29.5.12. informacijos atsarginių kopijų kūrimas ir saugojimas;

29.5.13. kabelių pasirinkimas ir planavimas;

29.5.14. tinklo įrenginių ir programinės įrangos optimalus pasirinkimas;

29.5.15. tinklo adresų, vartotojų identifikavimo kodų paskirstymas;

29.5.16. tinklo dalių paskirstymas;

29.5.17. nuotolinė vidinio tinklo administravimo sistema, leidžianti diagnozuoti gedimus tinkle ir stebėti sistemos apkrovimą, kompiuterių darbą;

29.5.18. išoriška linijų, išskirstymo jungčių būklės patikra;

29.5.19. vartotojas vidinio tinklo duomenis pasiekia tik per „užkardą“ (angl. – firewall).

29.6. Administracinės ir mokomosios priemonės:

29.6.1. asmens, atsakingo už GIS Infraregistro kaupiamų asmens duomenų apsaugą, skyrimas registro tvarkymo įstaigos vadovo įsakymu;

29.6.2. vartotojų informavimas apie atsakingų asmenų (tinklo administratoriaus, duomenų bazių administratorių) paskyrimą (pasikeitimą);

29.6.3. pareiga naujam vartotojui gauti vietinio tinklo ir registro duomenų bazės identifikatorių ir slaptažodį;

29.6.4. vartotojų atsakomybės už registro duomenų apsaugą nustatymas darbuotojų pareigybės aprašymuose, darbo su GIS Infraregistru instrukcijose;

29.6.5. plane išvardytos priemonės, būtinos registro duomenų ir kompiuterinės technikos saugumui užtikrinti;

29.6.6. pareiga vartotojams kelti savo kvalifikaciją kursuose pagal kompetenciją.

30. Apsaugos priemonės nuo kompiuterinių virusų:

30.1. atsarginis diskelis su operacine sistema;

30.2. diskelyje turi būti redaktorius, atsarginių kopijų kūrimo programa;

30.3. pažeistų bylų atkūrimas iš atsarginių kopijų archyvo.

31. Nešiojamųjų kompiuterių apsaugos priemonės:

31.1. įsiregistravimo slaptažodžiai;

31.2. energijos taupymo režimo stebėjimas;

31.3. energijos rezervų stebėjimas;

31.4. duomenų kodavimo programos;

31.5. slaptų duomenų kietajame diske kodavimas.

32. Konkrečios 29–31 punktuose nurodytos saugos priemonės ir saugumo reikalavimai detalizuojami Darbo su geoinformacine sistema „Infraregistras“ duomenimis taisyklėse.

33. Teikiant registro duomenis registro duomenų naudotojams, susijusiems registrams ir informacinėms sistemoms, turi būti:

33.1. naudojama tik naujausia elektroninio pašto programinės įrangos versija;

33.2. suderintos duomenų siuntimo/priėmimo sistemos;

33.3. naudojamas duomenų kodavimas;

33.4. vartotojas turi nuspręsti, ar naudotis pranešimų kodavimo ar skaitmeninio parašo apsauga;

33.5. trumpalaikių slaptažodžių naudojimas tinklams, kuriuose nėra vykdomas kodavimas;

33.6. programų saugumas (pirmiausia programa turi būti išbandyta atskirtu nuo tinklo kompiuteriu);

33.7. bylų, kuriose saugomas WWW tiekėjų sukurtas vartotojo profilis, priežiūra;

33.8. teisių į vartotojo kietąjį diską ribojimas;

33.9. duomenų apie saugos trūkumus kaupimas.

34. Šiame skyriuje nurodytos duomenų saugos priemonės turi garantuoti duomenų apsaugą:

34.1. duomenų rinkimo, perdavimo ryšio kanalais, saugojimo, apdorojimo, teikimo ir naudojimo metu;

34.2. nuo nesankcionuoto ar neteisėto naudojimo, kaupimo, keitimo, perdavimo, skelbimo, sunaikinimo;

34.3. nuo jų pažeidimo dėl rizikos veiksnių;

34.4. nuo netyčinių vidinių ir išorinių subjektyvių veiksnių (duomenų tvarkymo klaidos ir apsirikimai, failų ištrynimas, fiziniai sutrikimai: dėl elektros, dėl duomenis gadinančių kompiuterio arba serverio virusų);

34.5. nuo tyčinių subjektyvių veiksnių (neteisėtas įsibrovimas į sistemą iš išorės, piktybinis teisės aktų pažeidimas, vagystė ir kita);

34.6. nuo nenugalimos jėgos (netikėti atsitiktiniai veiksniai – žaibas, gaisras, potvynis ar kitoks užliejimas, uraganas ir kita).

 

VII. VARTOTOJŲ ATSAKOMYBĖ

 

35. Vartotojai privalo rūpintis GIS Infraregistru bei jame tvarkomų duomenų saugumu.

36. Tvarkyti GIS Infraregistro duomenis gali tik GIS Infraregistro vartotojai, susipažinę su šiais saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei raštiškai sutikę laikytis šių teisės aktų reikalavimų.

37. Saugos įgaliotinis organizuoja pasirašytinai GIS Infraregistro vartotojų supažindinimą su saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei teisės aktais, reglamentuojančiais atsakomybę už saugos nuostatų ir kitų saugumo politiką reglamentuojančių teisės aktų reikalavimų nesilaikymą.

38. GIS Infraregistro vartotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugumo problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).

39. GIS Infraregistro vartotojai, pažeidę šių saugos nuostatų ar kitų saugumo politiką reglamentuojančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

 

VIII. SAUGOS NUOSTATŲ ATNAUJINIMO TVARKA

 

40. Saugos įgaliotinis, siekdamas užtikrinti GIS Infraregistro ir jame tvarkomų registro duomenų saugą, teikia siūlymus registro tvarkymo įstaigos vadovui dėl saugos nuostatų keitimo ar kitų saugumo politiką reglamentuojančių teisės aktų priėmimo, keitimo ar panaikinimo.

41. Saugos nuostatai ir kiti saugumo politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus atliekant šių saugos nuostatų IX skyriuje nurodytą auditą.

 

IX. BAIGIAMOSIOS NUOSTATOS

 

42. Siekiant užtikrinti saugos nuostatuose ir kituose saugumo politiką reglamentuojančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, saugos įgaliotinis kasmet organizuoja auditą, kurio metu:

42.1. įvertinama saugos nuostatų ir kitų saugumo politiką reglamentuojančių teisės aktų atitiktis realiai duomenų saugos situacijai;

42.2. inventorizuojama registro tvarkymo įstaigos techninė ir programinė įranga;

42.3. tikrinamos ne mažiau kaip 50 procentų GIS Infraregistro vartotojų kompiuterinių darbo vietų ir visuose paslaugų kompiuteriuose įdiegta geoduomenų ir geležinkelių infrastruktūros registravimo programinė įranga ir jos konfigūracija;

42.4. peržiūrima GIS Infraregistro vartotojams suteiktų teisių atitiktis vykdomoms funkcijoms;

42.5. įvertinamas pasirengimas GIS Infraregistro veiklos atstatymui nenumatytose situacijose.

43. Atlikus auditą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato registro tvarkymo įstaigos padalinio vadovas. Prireikus, remdamasi audito išvadomis, registro tvarkymo įstaiga rengia ir teikia Lietuvos Respublikos susisiekimo ministerijai pasiūlymus dėl saugos nuostatų pakeitimo.

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2005-05-27 raštu Nr. 1D-3696-(13)

______________


Lietuvos Respublikos geležinkelių

infrastruktūros registro duomenų saugos

nuostatų priedas

 

Rizikos veiksniai ir laipsniai

 

Rizikos veiksniai

Rizikos laipsniai

Atsitiktiniai objektyvūs veiksniai

 

Vidiniai rizikos veiksniai:

 

darbuotojų praradimas

Reikšmingas

atsitiktinės techninės avarijos

Reikšmingas ar kritinis

temperatūros ir drėgmės poveikis

Reikšmingas

purvo, dulkių, magnetinių laukų poveikis

Reikšmingas

Išoriniai rizikos veiksniai:

 

audros, gaisrai

Kritinis

vandens poveikis

Reikšmingas

elektros instaliacijos degimas

Reikšmingas ar kritinis

elektros energijos tiekimo sutrikimas

Reikšmingas

Netyčiniai subjektyvūs veiksniai

 

Kylantys dėl darbo organizavimo nesklandumų:

vidaus taisyklių pažeidimai

Reikšmingas

priežiūros trūkumas

Reikšmingas

resursų kontrolė

Reikšmingas

netinkamai paskirstytos vartotojų teisės

Reikšmingas

programinės įrangos testai

Kritinis

netinkama duomenų laikmenų priežiūra

Kritinis

nepakankamas linijų pajėgumas ir apsauga

Reikšmingas

kompiuterių integravimas į tinklą

Kritinis

Windows apsaugos trūkumai

Reikšmingas

nepakankamas fakso medžiagų tiekimas

Nereikšmingas

Susiję su techninės ir programinės įrangos gedimu:

elektros energijos tiekimo gedimas

Kritinis

kitų GIS Infraregistro grandžių veiklos nesklandumai

Reikšmingas

prisijungimas prie GIS Infraregistro

Reikšmingas ar kritinis

programinės įrangos klaidos

Reikšmingas

registro duomenų netekimas

Kritinis

fakso pranešimų siuntimas

Nereikšmingas

Kylantys dėl darbuotojų klaidų:

netinkamas GIS Infraregistro naudojimas

Reikšmingas

įsijungimas į tinklą

Reikšmingas

registro duomenų laikmenos

Reikšmingas ar kritinis

klaidos transportuojant informaciją

Reikšmingas

duomenų pažeidimas dėl vartotojo klaidos

Reikšmingas ar kritinis

teisių suteikimas

Reikšmingas

operacijos su slaptažodžiais

Reikšmingas

Tyčiniai subjektyvūs veiksniai:

 

neteisėtai naudojimasis GIS Infraregistru

Kritinis

fizinis įsibrovimas į GIS Infraregistrą

Kritinis

įsiterpimas į tinklus

Kritinis

vartotojo teisių pažeidimas

Reikšmingas ar kritinis

registro duomenų atskleidimas

Reikšmingas ar kritinis

siuntimo aprašymo protokolų pažeidimas

Reikšmingas

naudojimasis telekomunikacinėmis priemonėmis

Nereikšmingas

naudojimasis fakso aparatu

Nereikšmingas

kompiuteriniai virusai

Reikšmingas ar kritinis

 

______________