LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRAS
Į S A K Y M A S
DĖL LIETUVOS RESPUBLIKOS GELEŽINKELIŲ INFRASTRUKTŪROS REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2006 m. balandžio 3 d. Nr. 3-126
Vilnius
Įgyvendindamas Lietuvos Respublikos susisiekimo ministro 2004 m. gegužės 28 d. įsakymo Nr. 3-317 „Dėl Lietuvos Respublikos geležinkelių infrastruktūros registro įsteigimo ir jo nuostatų patvirtinimo“ (Žin., 2004, Nr. 90-3327; 2005, Nr. 36-1187) 5 punktą:
1. Tvirtinu Lietuvos Respublikos geležinkelių infrastruktūros registro duomenų saugos nuostatus (pridedama).
2. Pavedu Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininkui:
2.1. patvirtinti iki 2006 m. gegužės 1 d. darbo su geografinės informacinės sistemos duomenimis taisykles;
PATVIRTINTA
Lietuvos Respublikos susisiekimo ministro
2006 m. balandžio 3 d. įsakymu Nr. 3-126
LIETUVOS RESPUBLIKOS GELEŽINKELIŲ INFRASTRUKTŪROS REGISTRO DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos geležinkelių infrastruktūros registro duomenų saugos nuostatų (toliau – saugos nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotu būdu tvarkyti Lietuvos Respublikos geležinkelių infrastruktūros registro (toliau – registras) duomenis.
2. Saugos nuostatai reglamentuoja registro duomenų bazės automatizuotą duomenų tvarkymą ir yra privalomi visiems registrą tvarkantiems valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis (toliau – vartotojas).
3. Registro duomenų bazę (toliau – GDB) sudaro kompiuterizuota geoinformacinė sistema „Infraregistras“ (toliau – GIS Infraregistras). GIS Infraregistras apima geoduomenų specifikavimą, duomenų bazės struktūros suformavimą, taikomuosius komponentus registro duomenims įvesti ir atnaujinti.
4. Lietuvos Respublikos susisiekimo ministerija yra vadovaujančioji registro tvarkymo įstaiga. Ji taip pat yra ir registro duomenų valdytoja.
5. Valstybinė geležinkelio inspekcija prie Susisiekimo ministerijos yra registro tvarkymo įstaiga (toliau – registro tvarkymo įstaiga) ir tvarko registrą Lietuvos Respublikos geležinkelių infrastruktūros registro nuostatų (toliau – registro nuostatai), patvirtintų Lietuvos Respublikos susisiekimo ministro 2004 m. gegužės 28 d. įsakymu Nr. 3-317 (Žin., 2004, Nr. 90-3327; 2005, Nr. 36-1187) nustatyta tvarka. Ji taip pat yra registro duomenų bazės tvarkymo įstaiga bei registro duomenų bazės valdytoja. Registro tvarkymo įstaigos būstinė – Šiauliai, P. Višinskio g. 34.
6. Šiuose saugos nuostatuose vartojamos sąvokos:
Geoduomenys – geografinę (erdvinę) padėtį, formą, tarpusavio ryšius ir unikalumą apibūdinantys duomenys apie geoobjektą, saugomi skaitmenine forma.
Geoelementai – geoduomenų bazėse naudojami grafinių elementų rinkiniai (pvz., taškai, linijos, poligonai) geoobjektams aprašyti ir realaus pasaulio grafiniam modeliui sukurti.
Geografinė informacinė sistema (geoinformacinė sistema, GIS) – kompiuterinė techninių ir programinių priemonių ir geoduomenų visuma, skirta geoduomenims įvesti, saugoti, analizuoti bei sisteminti ir geoinformacijai pateikti vartotojui.
Geoinformacija – informacija, gaunama sisteminant, analizuojant geoduomenis ir su jais susijusius duomenis.
Geokodai – unikalūs raidiniai ar skaitiniai geoobjektų žymikliai.
GIS duomenų bazė (geoduomenų bazė, GDB) – geoinformacinių sistemų principais organizuotų geoduomenų visuma. GIS duomenų bazėje sąlyginai išskiriamos grafinių duomenų ir atributinių (aprašomųjų, lentelių) duomenų bazės.
Tarnybinė stotis – kompiuteris, valdantis tinkle esančius kitus kompiuterius pagal jų paraiškas (užklausas).
Darbo stotis – tinkle esantis kompiuteris, kurį valdo tarnybinė stotis.
Kitos šiuose saugos nuostatuose vartojamos sąvokos paaiškintos registro nuostatuose.
II. REGISTRO DUOMENŲ BAZĖS APIBŪDINIMAS
7. GIS Infraregistro paskirtis:
7.1. operatyviai ir kokybiškai registruoti ir išregistruoti registro objektus bei tvarkyti registro duomenis;
7.2. įgyvendinti kitus, negu registro nuostatuose nustatytus, registro tvarkymo įstaigai pavestus uždavinius;
7.3. automatizuotai keistis reikiamais registro duomenimis su valstybės ir savivaldybės institucijomis ir įstaigomis, valstybės registrais, kadastrais bei susijusiomis informacinėmis sistemomis.
7.4. automatizuotai teikti sukauptus registro duomenis registro duomenų naudotojams registro nuostatų nustatyta tvarka;
7.5. teikti raštvedybos automatizavimo ir elektroninio bendradarbiavimo tarp registro tvarkymo įstaigos vartotojų paslaugas;
7.6. automatizuoti registro tvarkymo įstaigos vykdomas funkcijas naudojant informacinių technologijų teikiamus pranašumus;
7.7. užtikrinti registro duomenų mainų saugumą. Siekiant įgyvendinti šį tikslą, būtina pasirašyti su duomenų naudotojais, susijusiais valstybės registrais ir informacinėmis sistemomis, duomenų teikimo ir keitimosi sutartis, kuriose būtų detaliai nurodyta šalių atsakomybė ir priemonės duomenų mainų saugumui užtikrinti.
8. GIS Infraregistras apibūdinamas ir registre tvarkomų geoduomenų grupės, nurodytos registro nuostatuose.
9. GIS Infraregistrą sudaro administravimo, duomenų mainų, duomenų filtravimo (paieškos), duomenų tvarkymo, veiklos, paraiškų ir dokumentų tvarkymo komponentai.
9.1. Administravimo komponentas skirtas:
9.2. Duomenų mainų komponentas skirtas:
9.2.1. gauti bei teikti registro duomenis susijusiems valstybės registrams, informacinėms sistemoms;
9.2.2. gauti registro duomenis iš registro duomenų teikėjų ir teikti juos registro duomenų naudotojams;
9.3. Duomenų filtravimo (paieškos) komponentas skirtas:
9.4. Duomenų tvarkymo komponentas susideda iš registracijos, kontrolės, registravimo procedūrų, loginės kontrolės bei išregistravimo elementų.
9.4.1. Registracijos elementas skirtas:
9.4.1.5. tvarkyti registro duomenis (registruoti, rinkti, užrašyti, kaupti, saugoti, keisti, atlikti logines ir (ar) aritmetines operacijas, naikinti ir kt.);
9.4.2. Registravimo procedūrų elementas skirtas:
9.4.2.1. apskaityti registravimo procedūras, registracijos statusą, registre tvarkomus duomenis bei atsisakymą juos tvarkyti;
9.4.3. Loginės kontrolės elementas skirtas:
9.5. Veiklos komponentas skirtas:
9.5.2. apskaityti sutarčių su registro duomenų naudotojais bei susijusiais valstybės registrais ir informacinėmis sistemomis sudarymą;
9.6. Paraiškų ir dokumentų tvarkymo komponentas skirtas:
10. Saugų registro duomenų GIS Infraregistre tvarkymą reglamentuoja:
10.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597);
10.2. Bendrieji duomenų saugos reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45) (toliau – Bendrieji duomenų saugos reikalavimai);
10.3. Lietuvos standartas LST ISO/IEC 17799:2004, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;
III. DUOMENŲ SAUGOS ORGANIZAVIMAS IR NENUMATYTŲ SITUACIJŲ VALDYMAS
11. Už duomenų tvarkymo teisėtumą ir registro duomenų saugą atsako GIS Infraregistro tvarkymo įstaiga.
12. GIS Infraregistro tvarkymo įstaiga skiria saugos įgaliotinį, kuris atsako už saugumo politikos įgyvendinimą ir kontrolę registro tvarkymo įstaigoje, vadovaudamasis šiais saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais.
13. Saugos įgaliotinis teikia siūlymus dėl atskirų GIS Infraregistro komponentų ar funkcijų administratorių (toliau – administratorius), kurie už paskirtų funkcijų vykdymą atsiskaito tiesiogiai saugos įgaliotiniui, paskyrimo.
14. Reikalavimai GIS Infraregistro vartotojams:
15. GIS Infraregistro vartotojai, pastebėję saugumo politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti administratoriui ir saugos įgaliotiniui.
16. GIS Infraregistro vartotojų veiksmus esant nenumatytai situacijai reglamentuoja „Geoinformacinės sistemos Infraregistras“ nenumatytų situacijų valdymo planas (toliau – planas), kurį registro tvarkymo įstaigos vadovui teikia tvirtinti saugos įgaliotinis. Plano nuostatos pagrįstos šiais principais:
16.1. GIS Infraregistro vartotojų saugumas, gyvybės ir sveikatos apsauga. Numatomi būdai, kaip užtikrinti visų GIS Infraregistro vartotojų saugumą, gyvybės ir sveikatos apsaugą, kol trunka nenumatyta situacija ir likviduojami avarijos padariniai;
16.2. GIS Infraregistras veiklos atstatymas. Paskelbus apie avariją, organizuojamas GIS Infraregistro veiklos atstatymas, o sutrikus veiklai atstatymas organizuojamas tik pagal planą. Pirmiausia turi būti atkurtos pagrindinės GIS Ingraregistro funkcijos, kurios detalizuojamos registro apraše (specifikacijoje), o vėliau atstatomas įprastas darbo režimas;
17. GIS Infraregistre tvarkomi duomenys yra skirstomi:
17.1. slapti duomenys, kurių tvarkymą, apsaugą ir naudojimą reglamentuoja Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymas (Žin., 1999, Nr. 105-3019, 2004, Nr. 4-29), Lietuvos Respublikos Vyriausybės 2001 m. lapkričio 9 d. nutarimas Nr. 1343 „Dėl Lietuvos Respublikoje esančių valstybinės reikšmės ir rizikos objektų sąrašo patvirtinimo“ (Žin., 2001, Nr. 95-3367) bei Lietuvos archyvų departamento prie Lietuvos Respublikos Vyriausybės generalinio direktoriaus 2000 m. rugpjūčio 30 d. įsakymas Nr. 19 „Dėl Lietuvos Respublikos įslaptintų dokumentų apskaitos, raštvedybos organizavimo, tvarkymo ir kontrolės taisyklių patvirtinimo“ (Žin., 2000, Nr. 76-2325). Šie duomenys, nurodyti saugos nuostatų 18 punkte, skirti naudotis ribotam vartotojų ir registro duomenų naudotojų skaičiui pagal kompetenciją. Geoduomenys ir šiame punkte nurodyti registro duomenys viešai neskelbtini. Registro duomenis tvarkančių vartotojų ir registro duomenų naudotojų sąrašai tvirtinami registro tvarkymo įstaigos vadovo įsakymu. Susijusių valstybės registrų ir informacinių sistemų tvarkymo įstaigoms, taip pat valstybės ir savivaldybių institucijoms bei įstaigoms jų tiesioginėms funkcijoms atlikti šie duomenys teikiami tik įstatymų ir kitų teisės aktų nustatyta tvarka;
17.2. riboto naudojimo duomenys, kurių naudojimą riboja kiti teisės aktai, taip pat teisės aktai, reglamentuojantys asmens duomenų, komercinės ir profesinės paslapties apsaugą. Šie duomenys yra skirti naudotis teisės aktų nustatyta tvarka visiems Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos darbuotojams pagal kompetenciją. Šie duomenys atskirais atvejais teisės aktų nustatyta tvarka gali būti skelbiami registro tvarkymo įstaigos tinklalapyje bei leidinyje „Valstybės žinios“. Duomenys tretiesiems asmenims teikiami tik užtikrinus duomenų saugą ir sudarius duomenų teikimo sutartis registro nuostatų ir kitų teisės aktų nustatyta tvarka;
18. Slaptų duomenų, tvarkomų GIS Infraregistre, kategorijai priskiriami:
18.1. Lietuvos Respublikos skaitmeniniai ortofotografiniai žemėlapiai, topografiniai žemėlapiai, kuriuose nurodytos strateginių objektų charakteristikos;
18.2. valstybės sienos apsaugos objektų, esančių geležinkelio kelių ir jų įrenginių apsaugos zonoje, charakteristikos bei paskirtis;
IV. RIZIKOS ĮVERTINIMAS IR DETALI DARBO TVARKA
19. Pagrindinės GIS Infraregistro rizikos mažinimo priemonės nustatomos rizikos ataskaitoje, kuri rengiama įvertinus nustatytus rizikos veiksnius.
20. Konkrečios GIS Infraregistro duomenų tvarkymo ir saugumo procedūros išdėstomos detaliose Darbo su geoinformacinės sistemos „Infraregistras“ duomenimis taisyklėse (toliau – taisyklės), kurias rengia ir registro tvarkymo įstaigos vadovui teikia tvirtinti saugos įgaliotinis vadovaudamasis saugos nuostatų VI skyriumi.
V. RIZIKOS VEIKSNIAI IR GRĖSMĖS
21. Nustatyti vidiniai GIS Infraregistro rizikos veiksniai:
21.1. atsitiktinės techninės avarijos. Sugedus vienai GIS Infraregistro sudedamajai daliai, gali sutrikti visos GIS Infraregistro darbas. Tai būdinga registro duomenų bazės dalims, energijos šaltiniams, vėsinimo įrangai, vietiniam kompiuteriniam tinklui, duomenų teikimo įrenginiams. Labiausiai gali pakenkti atsitiktiniai incidentai;
21.2. temperatūros ir drėgmės pokyčių poveikis. Kiekviename įtaise yra leistina darbo temperatūros svyravimų skalė. Tai turi būti nurodyta įrenginių techniniuose pasuose;
21.3. purvo, dulkių bei magnetinių laukų įtaka. Atsižvelgiant į tai, kad į kompiuterinę ir organizacinę techniką patenka purvas ar dulkės, šie įtaisai turi būti nuolat valomi bei taisomi. Duomenų laikmenos turi būti laikomos atokiau nuo elektros ar radiacijos šaltinių, nes yra jautrios magnetiniams laukams;
22. numatomi išoriniai GIS Infraregistro rizikos veiksniai:
22.1. gaisras. Galimos šios gaisrų priežastys: nesaugus degių medžiagų laikymas, neatsparių ugniai medžiagų naudojimas pastato konstrukciniams ir apdailos elementams, ugnies sekimo ir gesinimo įtaisų trūkumas, nepakankama aparatūros apsauga nuo ugnies, galimas pavojus žaibuojant ir kitos priežastys;
22.2. vandens poveikis. Vanduo į patalpas gali patekti dėl lietaus, potvynių, santechninės įrangos sutrikimų, šildymo įrangos gedimų, oro vėsinimo sistemų darbo sutrikimų, gaisrų gesinimo pasekmių;
22.3. elektros instaliacijos degimas. Jei kabeliai nepadengti ugniai atspariomis medžiagomis arba uždari, jie gali užsidegti, trūkinėti jungtys ir dėl to atsirasti nuodingosios dujos;
22.4. elektros energijos tiekimo nesklandumai. Gali atsirasti dėl nesklandumų elektros tiekimo tinkle, dėl iš anksto nepaskelbtų linijų taisymo darbų arba kabelių pažeidimų;
23. Išorinių ir vidinių rizikos veiksnių grėsmės:
24. Netyčinės subjektyvios aplinkybės ir priemonės joms išvengti:
24.1. veiksniai, kylantys dėl darbo organizavimo nesklandumų. Siekiant jų išvengti turi būti imamasi Saugos nuostatų 29.6 punkte nustatytų administracinių ir mokomųjų priemonių;
24.2. vidaus taisyklių pažeidimai. Siekiant jų išvengti kiekvienas darbuotojas privalo susipažinti su registro tvarkymo įstaigos vidaus darbo tvarkos taisyklėmis ir jas vykdyti;
24.3. priežiūros trūkumas. Siekiant to išvengti GIS Infraregistrą turi nuolat prižiūrėti atsakingi asmenys; į saugomas patalpas vartotojams ar kitiems asmenims turi būti draudžiama patekti be leidimo;
24.4. resursų kontrolės trūkumas. Siekiant to išvengti turi būti imamasi šių priemonių:
24.4.1. draudžiama programinės įrangos arba organizacinės technikos naudojimo teises suteikti neįgaliotam asmeniui, nes dėl to neužtikrinamas registro duomenų slaptumas ir gali sutrikti kompiuterių darbas;
24.4.2. bet kokio tipo resursai (papildoma įranga, atsargos, priedai, dalys ir kt.) turi būti įsigyjami ir naudojami tik pagal paskirtį, ir tai turi stebėti duomenų saugos įgaliotinis; prie šių resursų (papildomos įrangos, atsargų, priedų, dalių ir kt.) turi būti pridėtas pilnas techninių dokumentų komplektas;
25. Netyčinių subjektyvių aplinkybių pasekmės: registro duomenų pažeidimo poveikio laipsnis nėra didelis. Galimi padariniai nebus pavojingi, jei registro duomenys pasiųsti kitam adresatui, registro duomenys netikslūs, pradingo dalis registro duomenų, prarasti registro duomenys po paskutinio kopijavimo, sugadinta operacinė sistema. Išimtiniais atvejais gali būti, kad virusas pateko į kompiuterių tinklą (jei vietinis kompiuterių tinklas yra didelis), komponentai susieti vienas su kitu per išorinį tinklą – sugadinti visi registro duomenys ir nėra atsarginių jų kopijų.
26. Tyčinės subjektyvios aplinkybės:
26.1. neteisėtas naudojimasis GIS Infraregistru:
26.2. fizinis įsibrovimas į GIS Infraregistrą:
27. Tyčinių subjektyvių aplinkybių pasekmės: duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti, jeigu registro duomenys ne visi ir netikslūs ar visiškai sugadinti, registro geoduomenų bazių įrašai suklastoti ir nekorektiški, sunku atrasti klaidas bei suklastotą informaciją, dėl vagystės prarasti ne tik duomenys iš geoduomenų bazių, bet ir visos atsarginės kopijos, neveikia kompiuterinės programos ir operacinė sistema, neveikia visa kompiuterinė sistema.
VI. DUOMENŲ SAUGOS PRIEMONĖS
29. Duomenų sauga turi būti pasiekiama užtikrinant patalpų, tarnybinės ir darbo stočių, kompiuterinio tinklo, duomenų laikmenų, programinės įrangos apsaugą bei vykdant administracines ir mokomąsias priemones.
29.1. Patalpų apsaugos priemonės:
29.2. Tarnybinės stoties (serverio) apsaugos priemonės:
29.2.1. slaptažodžiai, leidžiantys dirbti su serveriais ir žinomi tik GIS Infraregistras administratoriui;
29.2.2. asmeninės serverio administratoriaus atsakomybės už informacijos serveryje konfidencialumą nustatymas;
29.3. Programinės įrangos apsaugos priemonės:
29.3.3. programinės įrangos tiekėjų registravimo pažymėjimų ir siūlomos įrangos sertifikatų tikrinimas;
29.4. Duomenų laikmenų apsaugos priemonės:
29.4.2. virusų aptikimo, duomenų tikrinimo ir kodavimo programų prieš ir po registro duomenų persiuntimo naudojimas;
29.5. Kompiuterinio tinklo apsaugos priemonės:
29.5.1. tikslus linijų išdėstymas, techninių duomenų, pastabų, vartotojų, įsijungusių į sistemą, pavojaus zonų, naudojamų apsaugos priemonių registravimas ir apskaita;
29.5.2. elektros energijos bei telekomunikacijų vidinių tinklų jungimas tiesiogiai prie išorinių linijų;
29.5.3. izoliuoto vidinio tinklo įrengimas ir prijungimas prie išorinio tik prireikus (pvz., siunčiant duomenis);
29.5.4. GIS Infraregistro apsaugojimas nuo perkrovų elektros energijos perdavimo linijomis, vidiniame energijos skirstytuve bei energijos šaltinių lizduose;
29.5.6. elektros energijos tiekimo šaltinis. Nutrūkus pagrindiniam energijos tiekimui, turi būti numatytas automatinis elektros energijos tiekimo šaltinio atsijungimas;
29.5.17. nuotolinė vidinio tinklo administravimo sistema, leidžianti diagnozuoti gedimus tinkle ir stebėti sistemos apkrovimą, kompiuterių darbą;
29.6. Administracinės ir mokomosios priemonės:
29.6.1. asmens, atsakingo už GIS Infraregistro kaupiamų asmens duomenų apsaugą, skyrimas registro tvarkymo įstaigos vadovo įsakymu;
29.6.2. vartotojų informavimas apie atsakingų asmenų (tinklo administratoriaus, duomenų bazių administratorių) paskyrimą (pasikeitimą);
29.6.3. pareiga naujam vartotojui gauti vietinio tinklo ir registro duomenų bazės identifikatorių ir slaptažodį;
29.6.4. vartotojų atsakomybės už registro duomenų apsaugą nustatymas darbuotojų pareigybės aprašymuose, darbo su GIS Infraregistru instrukcijose;
29.6.5. plane išvardytos priemonės, būtinos registro duomenų ir kompiuterinės technikos saugumui užtikrinti;
30. Apsaugos priemonės nuo kompiuterinių virusų:
31. Nešiojamųjų kompiuterių apsaugos priemonės:
32. Konkrečios 29–31 punktuose nurodytos saugos priemonės ir saugumo reikalavimai detalizuojami Darbo su geoinformacine sistema „Infraregistras“ duomenimis taisyklėse.
33. Teikiant registro duomenis registro duomenų naudotojams, susijusiems registrams ir informacinėms sistemoms, turi būti:
34. Šiame skyriuje nurodytos duomenų saugos priemonės turi garantuoti duomenų apsaugą:
34.2. nuo nesankcionuoto ar neteisėto naudojimo, kaupimo, keitimo, perdavimo, skelbimo, sunaikinimo;
34.4. nuo netyčinių vidinių ir išorinių subjektyvių veiksnių (duomenų tvarkymo klaidos ir apsirikimai, failų ištrynimas, fiziniai sutrikimai: dėl elektros, dėl duomenis gadinančių kompiuterio arba serverio virusų);
34.5. nuo tyčinių subjektyvių veiksnių (neteisėtas įsibrovimas į sistemą iš išorės, piktybinis teisės aktų pažeidimas, vagystė ir kita);
VII. VARTOTOJŲ ATSAKOMYBĖ
36. Tvarkyti GIS Infraregistro duomenis gali tik GIS Infraregistro vartotojai, susipažinę su šiais saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei raštiškai sutikę laikytis šių teisės aktų reikalavimų.
37. Saugos įgaliotinis organizuoja pasirašytinai GIS Infraregistro vartotojų supažindinimą su saugos nuostatais ir kitais saugumo politiką reglamentuojančiais teisės aktais bei teisės aktais, reglamentuojančiais atsakomybę už saugos nuostatų ir kitų saugumo politiką reglamentuojančių teisės aktų reikalavimų nesilaikymą.
38. GIS Infraregistro vartotojams turi būti nuolat rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugumo problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujai priimtiems darbuotojams ir pan.).
VIII. SAUGOS NUOSTATŲ ATNAUJINIMO TVARKA
40. Saugos įgaliotinis, siekdamas užtikrinti GIS Infraregistro ir jame tvarkomų registro duomenų saugą, teikia siūlymus registro tvarkymo įstaigos vadovui dėl saugos nuostatų keitimo ar kitų saugumo politiką reglamentuojančių teisės aktų priėmimo, keitimo ar panaikinimo.
IX. BAIGIAMOSIOS NUOSTATOS
42. Siekiant užtikrinti saugos nuostatuose ir kituose saugumo politiką reglamentuojančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, saugos įgaliotinis kasmet organizuoja auditą, kurio metu:
42.1. įvertinama saugos nuostatų ir kitų saugumo politiką reglamentuojančių teisės aktų atitiktis realiai duomenų saugos situacijai;
42.3. tikrinamos ne mažiau kaip 50 procentų GIS Infraregistro vartotojų kompiuterinių darbo vietų ir visuose paslaugų kompiuteriuose įdiegta geoduomenų ir geležinkelių infrastruktūros registravimo programinė įranga ir jos konfigūracija;
43. Atlikus auditą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato registro tvarkymo įstaigos padalinio vadovas. Prireikus, remdamasi audito išvadomis, registro tvarkymo įstaiga rengia ir teikia Lietuvos Respublikos susisiekimo ministerijai pasiūlymus dėl saugos nuostatų pakeitimo.
Lietuvos Respublikos geležinkelių
infrastruktūros registro duomenų saugos
nuostatų priedas
Rizikos veiksniai ir laipsniai
Rizikos veiksniai |
Rizikos laipsniai |
Atsitiktiniai objektyvūs veiksniai |
|
Vidiniai rizikos veiksniai: |
|
darbuotojų praradimas |
Reikšmingas |
atsitiktinės techninės avarijos |
Reikšmingas ar kritinis |
temperatūros ir drėgmės poveikis |
Reikšmingas |
purvo, dulkių, magnetinių laukų poveikis |
Reikšmingas |
Išoriniai rizikos veiksniai: |
|
audros, gaisrai |
Kritinis |
vandens poveikis |
Reikšmingas |
elektros instaliacijos degimas |
Reikšmingas ar kritinis |
elektros energijos tiekimo sutrikimas |
Reikšmingas |
Netyčiniai subjektyvūs veiksniai |
|
Kylantys dėl darbo organizavimo nesklandumų: |
|
vidaus taisyklių pažeidimai |
Reikšmingas |
priežiūros trūkumas |
Reikšmingas |
resursų kontrolė |
Reikšmingas |
netinkamai paskirstytos vartotojų teisės |
Reikšmingas |
programinės įrangos testai |
Kritinis |
netinkama duomenų laikmenų priežiūra |
Kritinis |
nepakankamas linijų pajėgumas ir apsauga |
Reikšmingas |
kompiuterių integravimas į tinklą |
Kritinis |
Windows apsaugos trūkumai |
Reikšmingas |
nepakankamas fakso medžiagų tiekimas |
Nereikšmingas |
Susiję su techninės ir programinės įrangos gedimu: |
|
elektros energijos tiekimo gedimas |
Kritinis |
kitų GIS Infraregistro grandžių veiklos nesklandumai |
Reikšmingas |
prisijungimas prie GIS Infraregistro |
Reikšmingas ar kritinis |
programinės įrangos klaidos |
Reikšmingas |
registro duomenų netekimas |
Kritinis |
fakso pranešimų siuntimas |
Nereikšmingas |
Kylantys dėl darbuotojų klaidų: |
|
netinkamas GIS Infraregistro naudojimas |
Reikšmingas |
įsijungimas į tinklą |
Reikšmingas |
registro duomenų laikmenos |
Reikšmingas ar kritinis |
klaidos transportuojant informaciją |
Reikšmingas |
duomenų pažeidimas dėl vartotojo klaidos |
Reikšmingas ar kritinis |
teisių suteikimas |
Reikšmingas |
operacijos su slaptažodžiais |
Reikšmingas |
Tyčiniai subjektyvūs veiksniai: |
|
neteisėtai naudojimasis GIS Infraregistru |
Kritinis |
fizinis įsibrovimas į GIS Infraregistrą |
Kritinis |
įsiterpimas į tinklus |
Kritinis |
vartotojo teisių pažeidimas |
Reikšmingas ar kritinis |
registro duomenų atskleidimas |
Reikšmingas ar kritinis |
siuntimo aprašymo protokolų pažeidimas |
Reikšmingas |
naudojimasis telekomunikacinėmis priemonėmis |
Nereikšmingas |
naudojimasis fakso aparatu |
Nereikšmingas |
kompiuteriniai virusai |
Reikšmingas ar kritinis |