1. Valstybinės geologijos informacinės sistemos (toliau – GEOLIS) ir Žemės gelmių registro (toliau – Registras) duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato principus ir taisykles, užtikrinančias saugų GEOLIS ir Registro elektroninės informacijos tvarkymą.

2. Saugos nuostatuose vartojamos sąvokos:

Elektroninės informacijos saugos incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie informacinės sistemos galimybę, sutrikdyti ar pakeisti informacinės sistemos veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas neleistinai elektroninę informaciją pasisavinti, paskleisti ar kitaip panaudoti.

Saugos įgaliotinis – Lietuvos geologijos tarnybos prie Aplinkos ministerijos (toliau – Tarnyba) direktoriaus paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, įgyvendinantis GEOLIS ir Registro elektroninės informacijos saugą.

Administratorius – Tarnybos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, atliekantis GEOLIS ir/arba Registro informacinės sistemos priežiūrą.

Naudotojas –Tarnybos darbuotojas, valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, tvarkantis GEOLIS ir/arba Registro duomenis arba turintis teisę naudotis GEOLIS ir/arba Registro ištekliais numatytoms funkcijoms atlikti.

Duomenų teikėjai – valstybės ar savivaldybės institucijos ar įstaigos, atsakingos už aplinkos apsaugą, fiziniai ir juridiniai asmenys bei šių asmenų grupės, veikiančios pagal jungtinės veiklos sutartis, kurie tiria žemės gelmes arba užsako žemės gelmių tyrimus, naudoja žemės gelmes, vykdo veiklą, dėl kurios teršiančios medžiagos gali patekti į geologinę aplinką.

Duomenų gavėjai – valstybės registrai ir informacinės sistemos, naudojančios duomenis pagal duomenų teikimo sutartis, valstybės ar savivaldybės institucijos ar įstaigos – jų tiesioginėms funkcijos atlikti, fiziniai ir juridiniai asmenys bei šių asmenų grupės, veikiančios pagal jungtinės veiklos sutartis, įstatymų ir kitų teisės aktų nustatyta tvarka turintys teisę juos gauti ir pateikę prašymus ar sudarę duomenų teikimo sutartį, kurioje nurodyti duomenų naudojimo tikslai, sąlygos ir tvarka.

Kitos Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos įstatymuose ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 17799:2006 ir LST ISO/IEC 27001:2006.

3. Saugos nuostatų tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti GEOLIS ir Registro elektroninę informaciją.

4. Saugos nuostatai yra privalomi visiems naudotojams.

5. Tarnybos direktoriaus tvirtinamos GEOLIS ir Registro saugaus elektroninės informacijos tvarkymo taisyklės, GEOLIS ir Registro veiklos tęstinumo valdymo planas, GEOLIS ir Registro naudotojų administravimo taisyklės yra saugos politiką įgyvendinantys teisės aktai, kurie įgyvendina GEOLIS ir Registro saugos politiką, kurią nustato Saugos nuostatai.

6. Saugos nuostatai parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45; 2007, Nr. 49-1891) (toliau – Reikalavimai), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. IV-172 (Žin., 2007, Nr. 53-2070), ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą.

7. Pagrindinės GEOLIS ir Registro elektroninės informacijos saugumo užtikrinimo kryptys:

8. GEOLIS ir Registro valdytojas, GEOLIS ir Registras tvarkytojas yra Lietuvos geologijos tarnyba prie Aplinkos ministerijos, S. Konarskio g. 35, Vilnius.

9. Tarnybos, kaip GEOLIS ir Registro valdytojo, vadovo funkcijos ir atsakomybė:

10. Tarnybos, kaip GEOLIS ir Registro tvarkytojo, vadovo funkcijos ir atsakomybė:

11. Saugos įgaliotinio, įgyvendinančio GEOLIS ir Registro elektroninės informacijos saugą, funkcijos ir atsakomybė:

12. Administratorių funkcijos ir atsakomybė:

13. GEOLIS ir Registro duomenų sauga užtikrinama vadovaujantis:

14. Registras priskiriamas antrai, GEOLIS – trečiai informacinės sistemos kategorijai pagal Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160).

15. GEOLIS duomenys yra vieši. GEOLIS duomenys teikiami duomenų gavėjams Lietuvos geologijos tarnyboje prie Aplinkos ministerijos saugomos geologinės informacijos teikimo ir naudojimo tvarkos aprašo, patvirtinto Tarnybos direktoriaus 2007 m. lapkričio 30 d. įsakymu Nr. 1-146 (Žin., 2007, Nr. 129-5253), nustatyta tvarka.

16. Registro duomenys yra vieši. Lietuvos geologijos tarnyba teikia Registro duomenis duomenų gavėjams, išskyrus duomenų teikimo apribojimus, nurodytus Žemės gelmių registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2002 m. balandžio 26 d. nutarimu Nr. 584 (Žin., 2002, Nr. 44-1676; 2006, Nr. 54-1961), 45 punkte.

17. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos metodines rekomendacijas, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuoja GEOLIS ir Registro rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. GEOLIS ir Registro rizikos veiksnių vertinimas atliekamas kokybiniu rizikos vertinimo metodu.

18. GEOLIS ir/arba Registro rizikos įvertinimas išdėstomas Rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos GEOLIS ir Registro informacijos saugai. Svarbiausi rizikos veiksniai yra šie:

19. Atsižvelgdama į rizikos įvertinimo ataskaitą, Tarnyba prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

20. Siekdamas užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose teisės aktuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja informacinių technologijų (toliau – IT) saugos atitikties vertinimą, kurio metu:

21. Atlikus informacinių sistemų (toliau – IS) saugos atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus Tarnybos direktorius.

22. Techninės, programinės ir organizacinės elektroninės informacijos saugos priemonės pasirenkamos taip, kad, patiriant kuo mažiau išlaidų, būtų užtikrintas GEOLIS ir Registro veiklos tęstinumas ir saugus naudotojų darbas.

23. GEOLIS ir/ar Registro naudotojams, duomenų gavėjams ir GEOLIS duomenų teikėjams tiesioginė prieiga prie duomenų suteikiama įgyvendinus vartotojų autentifikavimo priemones. Tiesioginė prieiga prie Registro duomenų užtikrinama ne mažiau kaip 96 proc. laiko visą parą.

24. Registro ir GEOLIS duomenys duomenų gavėjams gali būti perduodami automatiniu būdu naudojant TCP/IP protokolą realiame laike („On-line“ režimu) arba asinchroniniu režimu pagal duomenų teikimo sutartis, kuriose nustatomos perduodamų duomenų specifikacijos, kopijų skaičius, duomenų naudojimo tikslas, kitos duomenų perdavimo sąlygos ir tvarka.

25. GEOLIS duomenis duomenų teikėjai gali teikti „On-line“ režimu pagal atskiras sutartis, kuriose apibrėžiama teikiamų duomenų apimtis, vartotojų autentifikavimo priemonės, teikėjų atsakomybė ir kitos duomenų teikimo sąlygos.

26. GEOLIS ir Registro duomenų saugai užtikrinti yra taikomos tam tikros programinės įrangos naudojimo nuostatos:

27. Registro ir GEOLIS programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.

28. Kompiuterinis tinklas, prie kurio prijungtos Tarnybos tarnybinės stotys, naudotojų kompiuteriai nuo viešojo interneto turi būti atskirti tinklo užkarda (angl. Firewall).

29. Registro naudotojams draudžiama naudoti nešiojamuosius kompiuterius duomenų perdavimui kompiuterių tinklais ne savo darbo vietoje. GEOLIS naudotojams, savo tarnybinėms funkcijoms vykdyti naudojantiems nešiojamuosius kompiuterius ne savo darbo vietoje, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas vartotojo tapatybės patvirtinimas.

30. GEOLIS ir/ar Registro programinės, techninės įrangos saugos priemonių įgyvendinimą organizuoja administratoriai.

31. Už atsarginių GEOLIS ir Registro duomenų kopijų darymą ir saugojimą atsako atitinkamos sistemos administratorius. Duomenų kopijos turi būti daromos automatiškai kasdien. Registro ir GEOLIS duomenų kopijų saugojimo priemonės, būdai ir vieta, kopijų atkūrimo tvarka, naikinimo tvarka išdėstomi Saugaus elektroninės informacijos tvarkymo taisyklėse.

32. Konkrečios GEOLIS ir Registro duomenų tvarkymo, teikimo ir saugumo procedūros išdėstomos Saugaus elektroninės informacijos tvarkymo taisyklėse.

33. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais GEOLIS ir Registro duomenų tvarkymą, standartais bei kitais dokumentais ir būti susipažinęs su esminiais reikalavimais, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti, kaip įgyvendinama saugos politika.

34. Administratorius privalo turėti dokumentais patvirtintą informacinių technologijų specialisto kvalifikaciją, privalo išmanyti informacijos saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, taip pat administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais, taip pat kitomis vidaus ir darbo saugos taisyklėmis.

35. GEOLIS ir Registro naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius.

36. Tvarkyti GEOLIS ir/ar Registro duomenis gali tik GEOLIS ir/ar Registro naudotojai, susipažinę su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais.

37. GEOLIS ir Registro naudotojai, pastebėję saugos politikos pažeidimus, nusikalstamos veiklos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti saugos įgaliotiniui ir/arba administratoriams.

38. Esant elektroninės informacijos saugos incidentui, nenumatytai situacijai, saugos įgaliotinio, administratorių, GEOLIS ir Registro naudotojų veiksmus reglamentuoja GEOLIS ir Registro veiklos tęstinumo valdymo planas.

39. Saugos įgaliotinis kartą per metus organizuoja GEOLIS ir Registro naudotojų mokymus kvalifikacijos tobulinimo ir duomenų saugos klausimais, nuolat jiems primena saugumo problemas (elektroniniu paštu, per internetinę svetainę, atmintinėmis naujai priimtiems darbuotojams ir pan.).

40. Saugos nuostatai skelbiami Tarnybos tinklalapyje, kiti GEOLIS ir Registro saugos politiką įgyvendinantys teisės aktai skelbiami vidiniame Tarnybos tinklalapyje.

41. Registro ir GEOLIS naudotojai su šiais nuostatais ir kitais Saugos politiką reguliuojančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą supažindinami pasirašytinai.

42. Pakartotinai su saugos politiką reguliuojančiais teisės aktais darbuotojai supažindinami tik iš esmės pasikeitus Registro ar GEOLIS informacinėms sistemoms arba informacijos saugą reguliuojantiems teisės aktams.

43. Už GEOLIS ir Registro naudotojų supažindinimą su Saugos nuostatais ir dokumentais, įgyvendinančiais saugos politiką, atsako Saugos įgaliotinis.

44. Saugos įgaliotinis tvarko Registro ir GEOLIS naudotojų supažindinimo su Saugos politiką reguliuojančiais teisės aktais žurnalą, kuriame pildomos šios grafos: supažindinimo data, naudotojo vardas ir pavardė, pareigos, susipažinusio su Saugos dokumentais asmens parašas.

45. GEOLIS ir Registro naudotojai, pažeidę Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų nuostatas, atsako įstatymų nustatyta tvarka.