LIETUVOS RESPUBLIKOS
VYRIAUSIOJO VALSTYBINIO DARBO INSPEKTORIAUS

ĮSAKYMAS

 

DĖL DARBO SĄLYGŲ DARBO VIETOSE NUOLATINĖS STEBĖSENOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2008 m. birželio 5 d. Nr. V-164

Vilnius

 

 

Vadovaudamasis Valstybės informacinių sistemų steigimo ir įteisinimo taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), 8 punktu ir Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 6 punktu:

1. Tvirtinu Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos (toliau – DSS IS) duomenų saugos nuostatus (pridedama).

2. Neskelbiama.

3. Neskelbiama.

4. Neskelbiama.

5. Neskelbiama.

 

 

 

LIETUVOS RESPUBLIKOS VYRIAUSIASIS

VALSTYBINIS DARBO INSPEKTORIUS                                  MINDAUGAS PLUKTAS

 

PATVIRTINTA

Lietuvos Respublikos vyriausiojo valstybinio

darbo inspektoriaus 2008 m. birželio 5 d.

įsakymu Nr. V-164

 

DARBO SĄLYGŲ DARBO VIETOSE NUOLATINĖS STEBĖSENOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos (toliau – DSS IS) duomenų saugos nuostatai (toliau – Nuostatai) reglamentuoja šios sistemos elektroninės informacijos ir duomenų (toliau – informacija) saugumo tikslus, svarbą, aprašo esamą būklę, nustato informacijos saugumo užtikrinimo prioritetines kryptis, pagrindinius keliamus saugos reikalavimus šiai sistemai, saugaus duomenų tvarkymo reikalavimus, DSS IS valdytojo ir tvarkytojo naudotojų (toliau – naudotojai) supažindinimo su saugos dokumentais gaires, atsakomybę už saugos dokumentų reikalavimų pažeidimus.

2. Šie Nuostatai yra privalomi visiems naudotojams, saugos įgaliotiniui ir administratoriui.

3. DSS IS duomenų saugos nuostatai parengti, vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. IV-172 (Žin., 2007, Nr. 53-2070).

4. Šiuose nuostatuose vartojamos sąvokos:

4.1. Duomenys – neapdoroti, atskiri faktai, skaičiai.

4.2. Grėsmė – potenciali nepageidaujamo incidento, galinčio sukelti žalos informacinei sistemai arba valstybės ar savivaldybės institucijai ar įstaigai, galimybė.

4.3. Rizika – įvykio tikimybės ir jo padarinių derinys.

4.4. Elektroninės informacijos saugos incidentas (toliau – incidentas) – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie informacinės sistemos galimybę, sutrikdyti ar pakeisti informacinės sistemos veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas neleistinai elektroninę informaciją pasisavinti, paskleisti ar kitaip panaudoti.

4.5. Informacija – apibendrinti duomenys (faktų interpretavimas); šiuose Nuostatuose yra naudojamas sutrumpinimas „informacija“, apibrėžtas 1 punkte.

4.6. Kitos naudojamos sąvokos atitinka sąvokas, apibrėžtas šiuose Nuostatuose nurodytuose teisės aktuose, Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2008 m. balandžio 17 d. įsakymu Nr. V-1 10 „Dėl darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos nuostatų patvirtinimo“ patvirtintuose DSS IS nuostatuose (Žin., 2008, Nr. 49-1836) (toliau – DSS IS nuostatai) ir Lietuvos standarte LST ISO/IEC 17799:2006.

5. DSS IS informacijos saugumo tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti informaciją.

6. DSS IS informacijos saugumo svarba yra siejama su galimomis informacijos ir ryšių pažeidžiamumo grėsmėmis, kurias gali sukelti gamtos, infrastruktūros, technologiniai, organizaciniai ir žmogiškieji (tyčiniai ir netyčiniai) veiksniai. Neįdiegus reikalingų saugumo priemonių yra galima informacijos vertybių ir asmens privatumo teisės pažeidžiamumo rizika ir gali būti padaryta materialinė ir nematerialinė žala.

7. Esamą būklę apibūdina 2007 m. rugpjūčio 24 d. Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus patvirtinta Valstybinės darbo inspekcijos informacinėse sistemose tvarkomos elektroninės informacijos saugos rizikos vertinimo ataskaita.

8. DSS IS informacijos saugumo užtikrinimo prioritetinės kryptys:

8.1. saugos dokumentų, atitinkančių teisės aktų reikalavimus, rengimas, derinimas ir tvirtinimas;

8.2. techninių saugaus darbo su informacija priemonių įdiegimas ir priežiūra;

8.3. saugaus darbo su informacija organizacinių priemonių įgyvendinimas ir kontrolė.

9. DSS Is valdytojas (toliau – Valdytojas) ir tvarkytojas yra Lietuvos Respublikos valstybinė darbo inspekcija prie Socialinės apsaugos ir darbo ministerijos (toliau – Valstybinė darbo inspekcija), adresas – Algirdo g. 19, LT-03607 Vilnius.

10. už DSS IS informacijos tvarkymo teisėtumą ir saugą atsako Valdytojas.

11. Valdytojo vadovas yra Lietuvos Respublikos vyriausiasis valstybinis darbo inspektorius, kurio pagrindines funkcijas reglamentuoja Lietuvos Respublikos valstybinės darbo inspekcijos įstatymas (Žin., 2003, Nr. 102-4585).

12. Valdytojas skiria DSS IS saugos įgaliotinį (toliau – saugos įgaliotinis), kuris įgyvendina informacijos saugą DSS IS ir atsako už saugos dokumentų reikalavimų vykdymą.

13. Saugos įgaliotinis atlieka šias funkcijas:

13.1. teikia Valdytojo vadovui pasiūlymus dėl:

13.1.1. DSS IS administratoriaus (toliau – administratorius) skyrimo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);

13.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

13.1.3. informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

13.2. koordinuoja informacijos saugos incidentų, įvykusių DSS IS, tyrimą, vadovaudamasis saugos incidentų tyrimo tvarka, numatyta Saugaus elektroninės informacijos tvarkymo taisyklėse;

13.3. teikia administratoriui privalomus vykdyti nurodymus ir pavedimus;

13.4. periodiškai inicijuoja naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai);

13.5. atlieka kitas Valdytojo vadovo pavestas ir šiais Nuostatais jam priskirtas funkcijas.

14. Administratorius vykdo DSS IS priežiūrą. Administratorius:

14.1. atlieka funkcijas, susijusias su naudotojų pasirengimo dirbti su DSS IS įvertinimu, jų teisėmis, DSS IS sudarančiais komponentais (t. y. kompiuteriai, operacinės sistemos, duomenų bazių valdymo sistemos, taikomųjų programų sistemos, ugniasienės, įsilaužimų aptikimo sistemos, duomenų perdavimo tinklai), šių komponentų sąranka, DSS IS pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu;

14.2. atlikdamas DSS IS funkcijų pakeitimus, turi laikytis Valdytojo nustatytos DSS IS pokyčių valdymo tvarkos;

14.3. turi teisę patikrinti (peržiūrėti) DSS IS sąranką ir DSS IS būsenos rodiklius.

15. Kai yra skiriami keli administratoriai (administratorių grupė), turi būti aiškiai išdėstomos kiekvieno administratoriaus funkcijos ir vienam iš jų turi būti pavedama koordinuoti bei prižiūrėti kitų administratorių veiklą.

16. Naudotojai DSS IS informaciją tvarkyti gali tik susipažinę su saugos dokumentais ir sutikę laikytis jų reikalavimų.

17. Naudotojai, pastebėję saugos dokumentų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias informacijos saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai administratoriui, kuris apie tokius pažeidimus privalo informuoti saugos įgaliotinį. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią DSS IS saugą (jos konfidencialumą, vientisumą ar prieinamumą), saugos įgaliotinis apie tai turi pranešti kompetentingoms institucijoms.

18. Teisės aktų, kuriais vadovaujamasi tvarkant duomenis ir užtikrinant jų saugumą, sąrašą sudaro šių Nuostatų 3, 19, 28 punktuose ir DSS IS nuostatuose išvardyti teisės aktai.

 

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

19. DSS IS pagal joje tvarkomos elektroninės informacijos svarbą yra priskiriama antrajai kategorijai, remiantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), 3.2.7 punktu.

20. DSS IS informacijos sauga šiuose Nuostatuose suprantama kaip organizacinių ir techninių priemonių visuma, skirta užtikrinti informacijos:

20.1. konfidencialumą, siekiant, kad su DSS IS tvarkoma informacija galėtų susipažinti tik tam įgalioti asmenys;

20.2. vientisumą, siekiant, kad informacija nebūtų atsitiktiniu ar neteisėtu būdu pakeista ar sunaikinta;

20.3. prieinamumą, siekiant, kad informacija galėtų būti tvarkoma reikiamu metu.

21. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“ (toliau – Rizikos analizės vadovas), Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuoja DSS IS rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą.

22. Saugaus elektroninės informacijos tvarkymo taisyklėse yra nustatomi rizikos vertinimo kriterijai, kuriais vadovaujantis sprendžiama – rizika priimtina (kai ji nedidelė arba kai su ja susijusios priežiūros išlaidos būtų nerentabilios) ar ne.

23. Valdytojas kartą per kalendorinius metus, jei teisės aktai nenustato kitaip, išleidžia įsakymą dėl DSS IS rizikos įvertinimo. Šiame įsakyme nurodomas pagrindas rizikos įvertinimui atlikti, skiriami asmenys (ar sudaroma darbo grupė arba kviečiamas išorinis vertintojas) rizikos įvertinimo ataskaitai parengti, nustatomas rizikos įvertinimo atlikimo terminas ir apimtis. Nustatant apimtį, būtina atsižvelgti į visus rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Apimtį turi sudaryti informacinės sistemos komponentės:

23.1. kompiuterinė įranga,

23.2. sisteminė ir taikomoji programinė įranga,

23.3. duomenų perdavimas tinklais,

23.4. patalpos ir aplinka,

23.5. informacinės sistemos darbo apskaita.

24. DSS IS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje, kuri rengiama atsižvelgiant į Saugaus elektroninės informacijos tvarkymo taisyklėse numatytus rizikos veiksnius, galinčius turėti įtaką informacijos saugai.

25. Atliekant rizikos vertinimą:

25.1. yra analizuojama faktinė esamos situacijos būklė ir kiekvienam rizikos veiksniui yra nustatoma, kokios saugos priemonės yra įdiegtos, kokių trūksta;

25.2. yra surašoma kita reikalinga informacija, numatyta Rizikos analizės vadove;

25.3. rengiama išvada su pasiūlymais dėl būtinų priemonių, kurios mažintų DSS IS riziką ir užtikrintų DSS IS veiklai reikalingos informacijos saugumą.

26. Rengėjų pasirašyta rizikos vertinimo ataskaita yra pateikiama Valdytojo vadovui – Lietuvos Respublikos vyriausiajam valstybiniam darbo inspektoriui, kuris prireikus, atsižvelgdamas į ataskaitoje numatytas būtinas priemones, tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą ir jame nustato techninių, administracinių ir (ar) kitų išteklių poreikį, aprūpinimą ir įdiegimą rizikos valdymo priemonėms įgyvendinti.

27. DSS IS saugos priemonės parenkamos, siekiant užtikrinti DSS IS veiklos tęstinumą, patiriant kuo mažiau išlaidų ir užtikrinant saugų DSS IS darbą.

28. Valdytojo vadovas, vadovaudamasis Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 patvirtinta informacinių technologijų saugos atitikties vertinimo metodika (Žin., 2004, Nr. 80-2855) (toliau – Informacinių technologijų atitikties vertinimo metodika) ir kitais teisės aktais, kartą per kalendorinius metus, jei teisės aktai nenustato kitaip, išleidžia įsakymą dėl DSS IS informacinių technologijų saugos atitikties vertinimo. Šiame įsakyme yra nustatoma vertinimo apimtis, skiriami asmenys (ar sudaroma darbo grupė arba kviečiamas išorinis vertintojas). Apimtyje numatomos tokios užduotys:

28.1. įvertinti saugos dokumentų ir realios informacijos saugos situacijos atitiktį;

28.2. inventorizuoti DSS IS techninę ir programinę įrangą;

28.3. patikrinti ne mažiau kaip 10 procentų atsitiktinai parinktų naudotojų kompiuterinių darbo vietų, taip pat visose tarnybinėse stotyse įdiegtas programas ir jų sąranką;

28.4. patikrinti (įvertinti) naudotojams suteiktų teisių ir vykdomų funkcijų atitiktį;

28.5. įvertinti pasirengimą užtikrinti DSS IS veiklos tęstinumą įvykus saugos incidentui.

29. Neeilinis DSS IS rizikos įvertinimas turi būti atliekamas:

29.1. įvykus dideliems pokyčiams DSS IS techninėje ir programinėje įrangoje;

29.2. įvykus dideliems organizaciniams pokyčiams Valstybinėje darbo inspekcijoje;

29.3. paaiškėjus naujoms tendencijoms informacinių technologijų saugos srityje;

29.4. po didelio masto saugos incidentų.

30. Atlikus DSS IS informacinių technologijų saugos atitikties vertinimą, saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina Valdytojo vadovas.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

31. Metodai ir priemonės, kurie taikomi užtikrinant prieigą prie informacinės sistemos:

31.1. Prieigos prie DSS IS laikas neribojamas.

31.2. Prieigos prie DSS IS pagrindinės nuostatos:

31.2.1. Teisė dirbti su konkrečia informacija suteikiama konkrečiam naudotojui arba naudotojų grupei, vadovaujantis principu – „būtina darbui“ ir „būtina žinoti“.

31.2.2. DSS IS valdymo funkcijos atliekamos, naudojant atskirą tam skirtą administratoriaus identifikatorių, kuriuo galima būtų uždrausti atlikti naudotojo funkcijas.

31.2.3. Kiekvienas naudotojas DSS IS yra unikaliai identifikuojamas – naudotojas turi patvirtinti savo tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone.

31.2.4. Administratorius registruoja ir išregistruoja naudotojus, suteikia jiems teises dirbti su duomenimis, vadovaujantis Naudotojų administravimo taisyklėmis ir Saugaus darbo su DSS IS duomenimis taisyklėmis.

31.2.5. DSS IS yra registruojami ir nustatytą laiką saugomi duomenys apie DSS IS įjungimą, išjungimą, veiksmus, sėkmingus ir nesėkmingus bandymus prisijungti prie DSS IS, kitus saugai svarbius įvykius, nurodant naudotojo identifikatorių ir įvykio laiką; ši informacija turi būti reguliariai analizuojama.

31.2.6. Naudotojui teisė dirbti su konkrečia informacija ribojama ar sustabdoma, kai naudotojas atostogauja, vykdomas naudotojo veiklos tyrimas ir pan., naudotojo teisė dirbti DSS IS panaikinama, pasibaigus jo tarnybos (darbo) santykiams.

32. Programinės įrangos, skirtos apsaugoti informacinę sistemą nuo kenksmingos programinės įrangos, naudojimo nuostatos ir jos atnaujinimo reikalavimai:

32.1. Kenksmingų programų kontrolė turi būti grindžiama kenksmingų programų atpažinimo ir sistemos atitaisymo programine įranga, saugumo supratimu, tinkama sistemos prieiga ir valdymo priemonių keitimu, atsižvelgiant į rekomendacijas, nustatytas Lietuvos standarte LST ISO/IEC 17799 „informacijos technologija. Saugumo metodai. informacijos saugumo valdymo praktikos kodeksas (tapatus ISO/IEC 17799:2005)“.

32.2. Programinė įranga, skirta apsaugoti DSS IS nuo virusų, turi būti atnaujinama nuolat, ilgiausias leistinas neatnaujinimo laikas – 1 para; ugniasienė ir kita programinė įranga, skirta apsaugoti DSS IS nuo kenksmingos programinės įrangos, atnaujinama 1 kartą per mėnesį.

33. Programinės įrangos naudojimo nuostatos, ribojančios programinės įrangos, nesusijusios su DSS IS veikla ar naudotojo funkcijomis, naudojimą:

33.1. Naudotojų kompiuterinėse darbo vietose naudojama tik legali ir saugi programinė įranga.

33.2. Naudotojams kompiuterinėse darbo vietose draudžiama patiems, be administratoriaus leidimo diegti bet kokias programas.

33.3. Baigus darbą DSS IS, turi būti imamasi priemonių, kad su informacija negalėtų susipažinti pašaliniai asmenys.

33.4. Naudotojui neatliekant jokių veiksmų administratoriaus nustatytą laiką, DSS IS turi užsirakinti, kad toliau naudotis šia sistema galima būtų tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus.

34. Kompiuterių tinklo filtravimo įrangos pagrindinės naudojimo nuostatos:

34.1. DSS IS vidinis tinklas turi būti atskirtas nuo išorinio tinklo ugniasiene, tokiu būdu dirbant DSS IS apribojamas naršymas ir apsaugoma DSS IS nuo žalingo pobūdžio interneto turinio, taip pat nuo kenksmingų programų.

34.2. Administratorius yra atsakingas už kompiuterių tinklo filtravimo įrangos administravimą ir priežiūrą.

35. Leistinos kompiuterių naudojimo ribos:

35.1. Kiekvienas kompiuteris yra priskiriamas atsakingam naudotojui; tokį priskyrimo sąrašą sudaro administratorius.

35.2. Draudžiama keisti savo kompiuterio konfigūraciją bei dalis, taip pat stacionarių kompiuterių išdėstymo vietas (išskyrus kambario viduje) be administratoriaus leidimo.

35.3. Nešiojamieji kompiuteriai, jei juose yra prisijungimo prie DSS IS galimybė nesant savo darbo vietos patalpose, negali būti išnešami iš patalpų, kuriose įrengta naudotojo darbo vieta, išskyrus jei yra būtina tarnybinėms funkcijoms vykdyti ir yra gautas Valdytojo vadovo ar jo įgalioto asmens leidimas, raštu patvirtinant naudotojo asmeninę atsakomybę už informacijos saugą ir nurodant kompiuterio naudojimo tikslą ir laikotarpį, kuriam kompiuteris išnešamas. Tokiu atveju (duomenų perdavimui kompiuterių tinklais ne savo darbo vietoje) šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas naudotojo tapatybės patvirtinimas ir, esant galimybei, DSS IS duomenų šifravimas.

36. Metodai, kurie leidžiami užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą:

36.1. Duomenys teikiami, naudojant Saugų valstybinį duomenų perdavimo tinklą.

36.2. Viešaisiais telekomunikaciniais tinklais perduodamos informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą, skirtines linijas, saugų valstybinį duomenų perdavimo tinklą ir (ar) kitas priemones.

36.3. Duomenų siuntėjas ir gavėjas turi būti identifikuojami ir nustatomas jų tapatumas.

36.4. Turi būti numatyta tinklo keitimo (plėtimo) tvarka ir jos laikomasi.

36.5. Administratorius užtikrina, kad prieiga trečiajai šaliai nebūtų suteikta, kol nėra pasirašyta duomenų teikimo sutartis, kurioje numatyti naudotojų prieigos terminai, sąlygos ir saugos reikalavimai, ir kol nėra įgyvendintos būtinos DSS IS saugos priemonės.

36.6. Administratorius dalyvauja, sudarant duomenų teikimo (įskaitant gavimą) sutartis ir jose nustatant duomenų teikimo sąlygas.

36.7. Saugos įgaliotinis kontroliuoja DSS IS prieigos teisių suteikimo teisėtumą ir teikia pasiūlymus Valdytojo vadovui ar jo įgaliotam asmeniui dėl DSS IS prieigos suteikimo ar panaikinimo.

37. Pagrindiniai atsarginių duomenų kopijų darymo ir atkūrimo reikalavimai:

37.1. Kopijų darymas turi būti fiksuojamas. Atsarginės kopijos turi būti 4 rūšių: dienos, savaitės, mėnesio ir metų. Turi būti saugoma ne mažiau kaip po 3 paskutiniąsias kiekvienos rūšies kopijas.

37.2. Duomenys kopijose turi būti užšifruoti arba turi būti imtasi kitų priemonių, neleidžiančių panaudoti kopijas neteisėtam duomenų atkūrimui.

37.3. Periodiškai turi būti atliekami duomenų atkūrimo iš kopijų bandymai.

37.4. Administratorius atsako už atsarginių kopijų darymą ir saugojimą, laikantis šių Nuostatų reikalavimų, Saugaus elektroninės informacijos tvarkymo taisyklių bei Veiklos tęstinumo valdymo plano.

37.5. Naudotojui turi būti sudaryta galimybė tęsti savo funkcijų įgyvendinimą. Veiklos tęstinumo valdymo planas turi užtikrinti DSS IS veiklos atkūrimą. Turi būti parengtas veiksmų planas, užtikrinantis DSS IS veiklos atnaujinimą per 8 valandas.

37.6. Numatomos atsarginės patalpos, į kurias būtų galima laikinai perkelti DSS IS įrangą, nesant galimybių tęsti veiklą pagrindinėse patalpose. Veiklos tęstinumo valdymo planas turi užtikrinti DSS IS veiklos atnaujinimą atsarginėse patalpose per galimai trumpiausią laikotarpį.

38. Kiti reikalavimai:

38.1. Turi būti įdiegtos patalpų ir aplinkos saugumo užtikrinimo priemonės.

38.2. Turi būti naudojamas stabilus elektros srovės perdavimo tinklas.

38.3. Kompiuterinė ir ryšių įranga turi būti tinkamai įrengiama bei prižiūrima.

38.4. informacijos (įskaitant kopijas) ir programinės įrangos saugojimo laikmenos turi būti tinkamai saugomos, naudojamos ir prižiūrimos.

38.5. Taikomoji programinė įranga (įskaitant jos pakeitimus) iki diegimo turi būti išbandoma bandomojoje aplinkoje, kurioje nėra konfidencialių duomenų ir kuri atskirta nuo eksploatuojamos DSS IS. Taikomoji programinė įranga turi būti prižiūrima.

38.6. Saugaus elektroninės informacijos tvarkymo taisyklėse gali būti numatomi papildomi DSS IS saugos reikalavimai, atitinkantys Lietuvos Respublikos teisės aktus, valstybės institucijų rekomendacijas ir Lietuvos standartus.

 

IV. REIKALAVIMAI PERSONALUI

 

39. Kvalifikaciniai reikalavimai DSS IS dirbančiam personalui:

39.1. Saugos įgaliotiniu gali būti skiriamas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, kuris geba įgyvendinti informacijos saugą informacinėse sistemose. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis šiais Nuostatais, informacinių technologijų saugos atitikties vertinimo metodika, kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais DSS IS informacijos tvarkymą, turėti kvalifikaciją sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

39.2. Administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, kuris geba atlikti informacinės sistemos priežiūrą. Administratorius privalo išmanyti darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugumą. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.

39.3. Naudotojai privalo turėti darbo kompiuteriu įgūdžių. Jie turi būti išmokyti dirbti su DSS IS programine ir technine įranga.

40. Naudotojų mokymo, mokymų dažnumo reikalavimai ir asmuo, atsakingas už šių mokymų organizavimą. Saugos įgaliotinis kartą per kalendorinius metus organizuoja naudotojų mokymus informacijos tvarkymo ir duomenų saugos klausimais.

 

V. NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

41. Saugos įgaliotinis supažindina naudotojus su šiais Nuostatais ir kitais saugos dokumentais bei DSS IS nuostatais. Supažindinimas gali būti atliekamas naudotojų mokymų, kuriuos organizuoja DSS IS saugos įgaliotinis, metu. Susipažinimo faktas fiksuojamas žurnale, kurį saugo DSS IS saugos įgaliotinis. Su teisės aktais, išvardytais DSS IS nuostatuose, šiuose Nuostatuose ir saugos dokumentuose, naudotojas privalo susipažinti savarankiškai ir jais vadovautis, tvarkant informaciją, siekiant užtikrinti informacijos saugumą.

42. Saugos įgaliotinio ir administratoriaus supažindinimą su saugos dokumentais pasirašytinai organizuoja Valdytojo vadovas ar jo įgaliotas asmuo.

 

VI. BAIGIAMOSIOS NUOSTATOS

 

43. Saugos dokumentai turi būti peržiūrimi ne rečiau kaip kartą per metus ir visada po rizikos analizės ar informacinių technologijų saugos atitikties vertinimo atlikimo, taip pat įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams Valstybinėje darbo inspekcijoje. Prireikus saugos dokumentai turi būti tikslinami ir derinami su Vidaus reikalų ministerija.

44. Valdytojas užtikrina efektyvų ir spartų DSS IS funkcijų pokyčių (toliau – pokyčiai) valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas, įtakos vertinimą ir pokyčių prioritetų nustatymo procesus. Pokyčių valdymo tvarka yra nustatoma Saugaus elektroninės informacijos tvarkymo taisyklėse, vadovaujantis šiais pokyčių valdymo principais:

44.1. Asmuo, inicijuojantis pokytį, be Valdytojo vadovo rašytinio leidimo negali pokyčio pats įgyvendinti (siekiama, kad asmuo, planuojantis pokyčius, jų pats neįgyvendintų).

44.2. Funkcijos, susijusios su DSS IS plėtimu, turi būti aiškiai atskirtos nuo administravimo (eksploatavimo) funkcijų.

44.3. DSS IS sąrankos dokumentacija turi būti nuolat naujinama ir ji turi rodyti esamą DSS IS sąrankos būklę.

44.4. Pokyčiai, galintys turėti neigiamą įtaką DSS IS duomenų konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių duomenų ir kuri atskirta nuo eksploatuojamos DSS IS.

45. Saugos įgaliotinis, administratorius, naudotojai ir kiti asmenys, pažeidę šių Nuostatų ir kitų DSS IS saugos politiką įgyvendinančių dokumentų reikalavimus bei DSS IS informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako įstatymų nustatyta tvarka.

 

_________________