LIETUVOS RESPUBLIKOS VYRIAUSIOJO VALSTYBINIO DARBO INSPEKTORIAUS

Į S A K Y M A S

 

DĖL VALSTYBINĖS DARBO INSPEKCIJOS VALDOMŲ INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2013 m. gruodžio 12 d. Nr. V-526

Vilnius

 

 

Vadovaudamasis Lietuvos Respublikos valstybinės darbo inspekcijos įstatymo (Žin., 2003, Nr. 102-4585) 8 straipsnio 2 dalies 6 punktu ir įgyvendindamas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimo Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, saugos dokumentų turinio gairių aprašo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (Žin., 2013, Nr. 86-4310) 2 punktą:

1. Tvirtinu Valstybinės darbo inspekcijos valdomų informacinių sistemų duomenų saugos nuostatus (pridedama).

2. Neskelbiama.

3. Neskelbiama.

4. Pripažįstu netekusiais galios:

4.1. 2004 m. rugpjūčio 9 d. Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus įsakymą Nr. 1-222 „Dėl duomenų saugos nuostatų patvirtinimo“;

4.2. 2008 m. birželio 5 d. Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus įsakymą Nr. V-164 „Dėl Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (Žin., 2008, Nr. 66-2522);

4.3. 2009 m. sausio 23 d. įsakymą Nr. V-31 „Dėl Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2008 m. birželio 5 d. įsakymo Nr. V-164 „Dėl Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo“ (Žin., 2009, Nr. 11-452);

4.4. 2010 m. spalio 12 d. įsakymą Nr. V-327 „Dėl Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2008 m. birželio 5 d. įsakymo Nr. V-164 „Dėl Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo“ (Žin., 2010, Nr. 123-6319);

4.5. 2010 m. birželio 30 d. įsakymą Nr. V-205 „Dėl Valstybinės darbo inspekcijos interneto svetainės duomenų saugos nuostatų patvirtinimo“ (Žin., 2010, Nr. 79-4148);

4.6. 2010 m. spalio 12 d. įsakymą Nr. V-328 „Dėl Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2010 m. birželio 30 d. įsakymo Nr. V-205 „Dėl Valstybinės darbo inspekcijos interneto svetainės duomenų saugos nuostatų patvirtinimo“ pakeitimo“ (Žin., 2010, Nr. 123-6320);

4.7. 2011 m. lapkričio 4 d. įsakymą Nr. V-269 „Dėl Darbuotojų saugos ir sveikatos klausimais atestavimo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (Žin., 2011, Nr. 133-6344).

5. Neskelbiama.

 

 

 

Lietuvos Respublikos

vyriausiasis valstybinis darbo inspektorius       Vilius Mačiulaitis


PATVIRTINTA

Lietuvos Respublikos vyriausiojo valstybinio

darbo inspektoriaus 2013 m. gruodžio 12 d.

įsakymu Nr. V-526

 

VALSTYBINĖS DARBO INSPEKCIJOS VALDOMŲ INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Valstybinės darbo inspekcijos valdomų informacinių sistemų duomenų saugos nuostatuose (toliau – Saugos nuostatai) išdėstoma Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos (toliau – VDI) valdomų valstybės ir kitų informacinių sistemų (toliau – VDI informacinės sistemos) elektroninės informacijos saugos politika.

2. Saugos nuostatai parengti ir juose vartojamos sąvokos, vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu (Žin., 2011, Nr. 163-7739), Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, saugos dokumentų turinio gairių aprašo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (Žin., 2013, Nr. 86-4310).

3. VDI informacinių sistemų elektroninės informacijos saugos politikos tikslai:

3.1. elektroninės informacijos konfidencialumo užtikrinimas,

3.2. elektroninės informacijos vientisumo užtikrinimas,

3.3. elektroninės informacijos prieinamumo užtikrinimas.

4. VDI informacinių sistemų elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

4.1. valdyti elektroninės informacijos saugos incidentus ir užtikrinti VDI informacinių sistemų veiklos tęstinumą;

4.2. analizuoti VDI informacinių sistemų pažeidžiamumą ir stiprinti VDI informacinių sistemų saugą;

4.3. saugiai valdyti VDI informacinių sistemų pokyčius.

5. VDI informacinių sistemų valdytojas ir tvarkytojas – Lietuvos Respublikos valstybinė darbo inspekcija prie Socialinės apsaugos ir darbo ministerijos, kurios buveinės adresas – Algirdo g. 19, 03607 Vilnius.

6. VDI informacinių sistemų valdytojas ir tvarkytojas atlieka funkcijas, apibrėžtas VDI informacinių sistemų nuostatuose, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme ir kituose teisės aktuose, Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose.

7. VDI informacinių sistemų valdytojas sudaro VDI elektroninės informacijos saugos darbo grupę, skiria VDI informacinių sistemų saugos įgaliotinį ir VDI informacinių sistemų administratorius.

8. VDI elektroninės informacijos saugos darbo grupės funkcijos:

8.1. koordinuoti VDI saugos politikos įgyvendinimą, elektroninės informacijos saugos priemonių ir metodų taikymą VDI ir jos valdomose informacinėse sistemose,

8.2. analizuoti ir koordinuoti VDI informacinėse sistemose įvykusių elektroninės informacijos saugos incidentų tyrimą, bendradarbiauti su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais,

8.3. tvarkyti saugos dokumentaciją.

9. VDI elektroninės informacijos saugos darbo grupei vadovauja VDI vadovaujantis asmuo, kuris yra atsakingas už VDI informacinių sistemų kūrimo, plėtros ir (ar) priežiūros koordinavimą. Į VDI elektroninės informacijos saugos darbo grupės sudėtį gali būti įtraukiami: VDI informacinių sistemų duomenų valdymo įgaliotinis, VDI informacinių sistemų saugos įgaliotinis, VDI informacinių sistemų administratorius.

10. VDI informacinių sistemų saugos įgaliotiniu gali būti skiriamas VDI informacinių sistemų duomenų valdymo įgaliotinis, kurio funkcijas ir skyrimą nustato Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas.

11. VDI informacinių sistemų saugos įgaliotinis negali atlikti VDI informacinių sistemų administratoriaus funkcijų.

12. VDI informacinių sistemų saugos įgaliotinis, koordinuodamas ir prižiūrėdamas saugos politikos įgyvendinimą VDI informacinėse sistemose, atlieka šias funkcijas:

12.1. teikia VDI informacinių sistemų valdytojo vadovui pasiūlymus dėl:

12.1.1. VDI informacinių sistemų administratorių paskyrimo ir reikalavimų jiems nustatymo,

12.1.2. informacinių technologijų saugos atitikties vertinimo atlikimo teisės aktų nustatyta tvarka,

12.1.3. VDI informacinių sistemų saugos dokumentų priėmimo, keitimo;

12.2. teikia VDI informacinių sistemų administratoriams ir naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

12.3. organizuoja rizikos įvertinimą;

12.4. atlieka kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas ir informacinių sistemų saugos įgaliotiniui teisės aktų priskirtas funkcijas.

13. VDI informacinių sistemų saugos įgaliotinis, atlikdamas funkcijas, turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems VDI informacinių sistemų valdytojo ir tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti.

14. VDI informacinių sistemų saugos įgaliotinis periodiškai organizuoja VDI informacinių sistemų naudotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas.

15. VDI informacinių sistemų administratoriai yra skiriami pagal jiems pavedamas funkcijas:

15.1. VDI informacinių sistemų administratorius – koordinatorius, kurio pagrindinės funkcijos:

15.1.1. koordinuoti VDI informacinių sistemų administratorių veiklą;

15.1.2. kontroliuoti paslaugų teikėjų, kai jiems pavedama vykdyti VDI informacinių sistemų administravimo funkcijas, darbą;

15.1.3. patikrinti (peržiūrėti) VDI informacinių sistemų sąranką ir VDI informacinių sistemų būsenos rodiklius reguliariai, ne rečiau kaip kartą per metus ir po VDI informacinių sistemų pokyčio;

15.1.4. nuolat teikti VDI informacinių sistemų saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę;

15.1.5. organizuoti VDI informacinių sistemų administratoriui teisės aktais priskirtų funkcijų vykdymą.

15.2. VDI informacinių sistemų administratorius – prieigos valdytojas, kurio pagrindinė funkcija – VDI informacinių sistemų naudotojų teisių ir prieigos prie duomenų valdymas.

15.3. VDI informacinių sistemų administratorius – komponentų valdytojas, kurio pagrindinė funkcija apima VDI informacinių sistemų komponentų (kompiuteriai, operacinės sistemos, duomenų bazių valdymo sistemos, taikomųjų programų sistemos, ugniasienės, įsilaužimų aptikimo sistemos, elektroninės informacijos perdavimas tinklais, bylų serveriai ir kt.) sąranką.

15.4. VDI informacinių sistemų administratorius – stebėtojas, kurio pagrindinė funkcija apima VDI informacinių sistemų pažeidžiamų vietų nustatymą, saugumo reikalavimų atitikties nustatymą ir stebėseną, reagavimą į elektroninės informacijos saugos incidentus.

16. VDI informacinių sistemų valdytojo sprendimu nustatomas administratorių skaičius, atitinkamai paskirstant jiems 15 punkte numatytas funkcijas ir numatant pakeičiamumą.

17. VDI informacinių sistemų administratoriumi negali būti skiriamas VDI informacinių sistemų duomenų valdymo įgaliotinis ir VDI informacinių sistemų saugos įgaliotinis.

18. VDI informacinių sistemų administratoriai privalo vykdyti visus VDI informacinių sistemų saugos įgaliotinio nurodymus ir pavedimus, susijusius su VDI informacinių sistemų saugos užtikrinimu.

19. VDI informacinių sistemų administratoriai, atlikdami VDI informacinių sistemų sąrankos pakeitimus, turi laikytis VDI informacinių sistemų valdytojo nustatytos VDI informacinių sistemų pokyčių valdymo tvarkos.

20. Tvarkant VDI informacinių sistemų elektroninę informaciją ir užtikrinant jos saugumą, vadovaujamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804), kitais įstatymais ir teisės aktais, tarp jų VDI informacinių sistemų nuostatais ir juose išvardintais dokumentais, taip pat Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais – VDI informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėmis, VDI informacinių sistemų veiklos tęstinumo valdymo planu, VDI informacinių sistemų naudotojų administravimo taisyklėmis ir kitais.

21. Kai yra užsakomos VDI informacinės sistemos kūrimo, diegimo, priežiūros ar kitos paslaugos, suteikiant paslaugų teikėjui teisę tvarkyti duomenis, sutartyje su paslaugos teikėju turi būti aiškiai apibrėžti duomenų tvarkymo įgaliojimai ir sąlygos dėl saugos užtikrinimo. Jeigu paslaugų teikėjui yra perduodamos VDI informacinės sistemos administratoriaus tam tikros funkcijos, šio paslaugų teikėjo darbą privalo kontroliuoti VDI informacinių sistemų administratorius – koordinatorius ir VDI informacinių sistemų administratorius – prieigos valdytojas.

 

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

22. VDI informacinėse sistemose tvarkoma elektroninė informacija pagal svarbą yra skirstoma, vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 3 straipsniu ir Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 patvirtinto Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo (toliau – Klasifikavimo aprašas) 4 punktu, taip:

22.1. Žinybinės svarbos elektroninės informacijos kategorijai priskiriama Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinė sistema ir Darbuotojų saugos ir sveikatos klausimais atestavimo informacinė sistema, kurios atitinka Klasifikavimo aprašo 4.3.1 ir 4.3.4 kriterijus.

22.2. Kitos elektroninės informacijos kategorijai pagal svarbą priskiriama Valstybinės darbo inspekcijos interneto svetainė ir kitos Valstybinės darbo inspekcijos valdomos informacinės sistemos.

23. VDI yra tvarkomos informacinės sistemos, kurios skirstomos pagal kategorijas, vadovaujantis Klasifikavimo aprašo 5 punktu, taip:

23.1. Trečiai kategorijai priskiriama Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinė sistema ir Darbuotojų saugos ir sveikatos klausimais atestavimo informacinė sistema, joms pritaikant kriterijų – valstybės informacinė sistema, kurioje apdorojama žinybinės svarbos informacija.

23.2. Ketvirtai kategorijai, pritaikant Klasifikavimo aprašo 5.4 punkte numatytą kriterijų, priskiriamos kitos informacinės sistemos, kuriose apdorojama VDI vidaus administravimo informacija.

24. VDI informacinių sistemų saugos įgaliotinis, vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, 35–38 punktais ir atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“ (http://www.vrm.lt/Rizikos_analize.pdf), Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja visų VDI informacinių sistemų rizikos įvertinimą. Prireikus VDI informacinių sistemų saugos įgaliotinis gali organizuoti neeilinį VDI informacinių sistemų rizikos įvertinimą. VDI informacinių sistemų valdytojo rašytiniu pavedimu VDI informacinių sistemų rizikos įvertinimą gali atlikti pats VDI informacinių sistemų saugos įgaliotinis.

25. VDI informacinių sistemų rizikos įvertinimo rezultatai išdėstomi VDI informacinių sistemų rizikos įvertinimo ataskaitoje, kuri pateikiama VDI informacinės sistemos valdytojo vadovui. VDI informacinių sistemų rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai yra šie:

25.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

25.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

25.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 (Žin., 1996, Nr. 68-1652), 3 punkte.

26. Atsižvelgdamas į VDI informacinių sistemų rizikos įvertinimo ataskaitą, VDI informacinių sistemų valdytojas prireikus tvirtina VDI informacinių sistemų rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

27. VDI informacinių sistemų rizikos įvertinimo ataskaitos, VDI informacinių sistemų rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas VDI informacinių sistemų valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų (Žin., 2012, Nr. 123-6204) nustatyta tvarka.

28. Elektroninės informacijos saugos priemonės nustatomos VDI informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse ir parenkamos bei atnaujinamos, įvertinus rizikos veiksnius, galinčius turėti įtaką elektroninės informacijos saugai. Saugos priemonių parinkimo principas – užtikrinti VDI informacinių sistemų veiksmingumą ir elektroninės informacijos saugą pagal Saugos nuostatų 3 punkte apibrėžtus tikslus ir Saugos nuostatų III skyriuje nustatytus reikalavimus, siekiant patirti kuo mažiau išlaidų.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

29. Programinės įrangos, skirtos apsaugoti VDI informacines sistemas nuo kenksmingos programinės įrangos naudojimo nuostatos ir jos atnaujinimo reikalavimai:

29.1. turi būti naudojama naujausia (kasdien atnaujinama) programinė įranga, skirta apsaugai nuo kenksmingos programinės įrangos.

30. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:

30.1. turi būti operatyviai įdiegiami operacinės sistemos ir naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;

30.2. turi būti naudojama tik legali programinė įranga;

30.3. VDI serveriuose neturi veikti programinė įranga, nesusijusi su VDI informacinių sistemų administravimu ir duomenų tvarkymu.

31. Kompiuterių tinklo filtravimo įrangos pagrindinės naudojimo nuostatos:

31.1. VDI informacinių sistemų elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacinių tinklų, naudojant užkardą;

31.2. Viešaisiais telekomunikaciniais tinklais perduodamos VDI informacinių sistemų elektroninės informacijos konfidencialumas turi būti užtikrinamas, naudojant Saugų valstybinį duomenų perdavimo tinklą ir kitas būtinas priemones.

32. Leistinos kompiuterių naudojimo ribos:

32.1. VDI informacinių sistemų naudotojams tarnybinėms funkcijoms vykdyti naudojantiems nešiojamus kompiuterius duomenų perdavimui kompiuterių tinklais ne savo darbo vietoje, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis ir VDI informacinės sistemos naudotojo tapatybės patvirtinimas;

32.2. nešiojamuose kompiuteriuose, jeigu jie naudojami ne VDI vidiniame duomenų perdavimo tinkle, esantys asmens duomenys turi būti šifruojami tokiomis priemonėmis, kurios atitiktų duomenų tvarkymo keliamą riziką.

33. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir gavimą:

33.1. kiekvienas VDI informacinės sistemos naudotojas turi būti unikaliai identifikuojamas;

33.2. VDI informacinėse sistemose turi būti registruojami ir nustatytą laiką saugomi duomenys apie VDI informacinės sistemos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis, kitus saugai svarbius įvykius, nurodant VDI informacinės sistemos naudotojo identifikatorių ir įvykio laiką; ši informacija turi būti reguliariai analizuojama ir kontroliuojama.

34. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

34.1. reguliariai turi būti daromos atsarginės elektroninės informacijos kopijos ir kopijų darymas turi būti fiksuojamas žurnale;

34.2. elektroninės informacijos ir programinės įrangos atsarginės kopijos turi būti saugomos atskiroje patalpoje, užrakintoje nedegioje spintoje ir turi būti imtasi tinkamų priemonių, neleidžiančių panaudoti kopijų neteisėtam elektroninės informacijos atkūrimui;

34.3. periodiškai turi būti atliekami elektroninės informacijos atkūrimo iš kopijų bandymai.

35. VDI informacinių sistemų saugos priemonės, pokyčių valdymo tvarka, programinės ir techninės įrangos keitimo ir atnaujinimo tvarka, nešiojamų kompiuterių ir kitų mobiliųjų įrenginių naudojimo tvarka aprašoma VDI informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse.

36. Prieigos prie elektroninės informacijos principai, VDI informacinių sistemų naudotojų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai išdėstomi VDI informacinių sistemų naudotojų administravimo taisyklėse.

37. VDI informacinėms sistemoms yra pritaikomi ir kiti organizaciniai ir techniniai reikalavimai, atitinkantys:

37.1. Bendruosius elektroninės informacijos saugos reikalavimus, patvirtintus Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716;

37.2. Techninius valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus, patvirtintus Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 (Žin., 2013, Nr. 106-5251);

37.3. Bendruosius reikalavimus organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintus Valstybinės duomenų apsaugos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) (Žin., 2008, Nr. 135-5298).

 

IV. REIKALAVIMAI PERSONALUI

 

38. VDI informacinių sistemų saugos įgaliotiniu gali būti skiriamas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, kuris išmano elektroninės informacijos saugos užtikrinimo principus.

39. VDI informacinių sistemų saugos įgaliotinis privalo savo darbe vadovautis Saugos nuostatais ir kitais VDI informacinių sistemų saugos politiką įgyvendinančiais dokumentais, Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais elektroninės informacijos saugą.

40. VDI informacinių sistemų saugos įgaliotinis privalo nuolat tobulinti savo kvalifikaciją elektroninės informacijos saugos srityje.

41. Reikalavimai VDI informacinių sistemų administratoriams yra formuluojami pareigybių aprašymuose, atsižvelgiant į jiems pavedamas funkcijas pagal Saugos nuostatus, kitus teisės aktus ir VDI informacinių sistemų saugos politiką įgyvendinančius dokumentus.

42. VDI informacinių sistemų administratorių paskyrimas derinamas su VDI informacinių sistemų saugos įgaliotiniu, kuris teikia VDI informacinių sistemų valdytojui pasiūlymus dėl VDI informacinių sistemų administratoriaus (administratorių) paskyrimo ir reikalavimų jiems nustatymo.

43. VDI informacinių sistemų administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, kuris išmano darbą su kompiuteriais ir jų tinklais, duomenų bazių administravimą ir geba užtikrinti elektroninės informacijos saugumą.

44. VDI informacinių sistemų saugos įgaliotiniu ir VDI informacinių sistemų administratoriumi negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.

45. VDI informacinių sistemų naudotojai privalo turėti darbo kompiuteriu įgūdžių. Prieš pradedant dirbti VDI informacinės sistemos aplinkoje, jie turi būti išmokyti dirbti su VDI informacinės sistemos programine ir technine įranga. Apmokymą organizuoja VDI padalinys, atsakingas už žmogiškųjų išteklių valdymą kartu su padaliniu, į kurį priimamas darbuotojas, prireikus pasitelkiant padalinį, atsakingą už informacinių technologijų taikymą VDI informacinėse sistemose.

46. VDI informacinių sistemų naudotojų mokymas planuojamas ir vykdomas, vadovaujantis Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus nustatyta mokymų ir kvalifikacijos tobulinimo tvarka. Prireikus VDI informacinių sistemų saugos įgaliotinis gali organizuoti VDI informacinių sistemų naudotojams papildomus mokymus, neįtrauktus į VDI metinius mokymo planus. VDI informacinių sistemų naudotojai duomenų tvarkymo ir saugos klausimais turi būti mokomi ne rečiau kaip kartą per 2 metus.

 

V. INFORMACINIŲ SISTEMŲ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

47. Tvarkyti VDI informacinių sistemų duomenis gali tik VDI informacinių sistemų naudotojai, susipažinę su saugos dokumentais ir sutikę laikytis jų reikalavimų.

48. VDI informacinių sistemų naudotojų supažindinimą su saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą organizuoja VDI informacinių sistemų saugos įgaliotinis. Įsakymuose, kuriais tvirtinami VDI informacinių sistemų saugos dokumentai ir jų pakeitimai, nustatomas susipažinimo būdas „pasirašytinai“ ir supažindinimas su dokumentais vykdomas Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus nustatyta tvarka. Pakartotinai su saugos dokumentais VDI informacinių sistemų naudotojai supažindinami prireikus, bet ne rečiau kaip kartą per 5 metus.

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2013-12-05 raštu Nr. 1D-10856(52)

 

_________________