LIETUVOS RESPUBLIKOS
VYRIAUSIOJO VALSTYBINIO DARBO INSPEKTORIAUS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS VYRIAUSIOJO VALSTYBINIO DARBO INSPEKTORIAUS 2008 M. BIRŽELIO 5 D. ĮSAKYMO NR. V-164 „DĖL DARBO SĄLYGŲ DARBO VIETOSE NUOLATINĖS STEBĖSENOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO
2009 m. sausio 23 d. Nr. V-31
Vilnius
Vadovaudamasis Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866) patvirtintais Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais,
1. Pakeičiu Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2008 m. birželio 5 d. įsakymu Nr. V-164 „Dėl Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (Žin., 2008, Nr. 66-2522) patvirtintus Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos (toliau – DSS IS) duomenų saugos nuostatus:
1.1. išdėstau 31.2.2 punktą taip: „31.2.2. „DSS IS priežiūros funkcijos atliekamos, naudojant atskirą tam skirtą administratoriaus identifikatorių, kuriuo galima būtų uždrausti atlikti naudotojo funkcijas; “;
1.2. išdėstau 31.2.5 punktą taip: „31.2.5. DSS IS tarnybinių stočių įvykių žurnaluose (angl. event log) turi būti registruojami ir nustatytą laiką saugomi duomenys apie DSS IS įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis DSS IS, bandymus prieiti prie DSS IS išteklių, kitus saugai svarbius įvykius, nurodant naudotojo identifikatorių ir įvykio laiką; ši informacija turi būti reguliariai analizuojama;
1.3. papildau 32.1 punktą jo pradžioje nauju sakiniu: „Kompiuterinėse darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, kurios turi būti reguliariai atnaujinamos.“;
1.4. išdėstau 35.3 punktą taip: „35.3. Nešiojamieji kompiuteriai, skirti DSS IS elektroninės informacijos tvarkymui, negali būti išnešami iš Valstybinės darbo inspekcijos patalpų, išskyrus jei yra būtina tarnybinėms funkcijoms vykdyti ir yra gautas Valdytojo vadovo ar jo įgalioto asmens leidimas, nurodant kompiuterio naudojimo tikslą ir laikotarpį, kuriam duodamas leidimas. Tokiems kompiuteriams administratorius įdiegia papildomas saugos priemones (šifravimas, papildomas tapatybės patvirtinimas, prisijungimo ribojimai, rakinimo įrenginių naudojimas ir pan.).“;
1.5. papildau 36.1 punktą jo pabaigoje nauju sakiniu: „Informacinės sistemos elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacinių tinklų naudojant užkardą ar kitas priemones.“;
1.6. išdėstau 37 punktą taip: „37. Pagrindiniai elektroninės informacijos atsarginių kopijų darymo ir atkūrimo reikalavimai:“;
1.7. išdėstau 37.1 punktą taip: „37.1. Kopijų darymas turi būti fiksuojamas žurnale. Atsarginės kopijos turi būti 4 rūšių: dienos, savaitės, mėnesio ir metų. Turi būti saugoma ne mažiau kaip po 3 paskutiniąsias kiekvienos rūšies kopijas.“;
1.8. išdėstau 37.2 punktą taip: „37.2. Elektroninė informacija kopijose turi būti užšifruota arba turi būti imtasi kitų priemonių, neleidžiančių panaudoti kopijų neteisėtam elektroninės informacijos atkūrimui.“;
1.9. išdėstau 37.3 punktą taip: „37.3. Periodiškai turi būti atliekami elektroninės informacijos atkūrimo iš kopijų bandymai.“;
1.10. išdėstau 37.5 punktą taip: „37.5. Naudotojui turi būti sudaryta galimybė tęsti savo funkcijų įgyvendinimą. Turi būti užtikrintas informacinės sistemos prieinamumas ne mažiau kaip 96 proc. laiko visą parą. Veiklos tęstinumo valdymo planas turi užtikrinti DSS IS veiklos atkūrimą. Turi būti parengtas veiksmų planas, užtikrinantis DSS IS veiklos atnaujinimą per 1 valandą.“;
1.11. išdėstau 37.6 punktą taip: „37.6. Numatomos atsarginės patalpos, į kurias būtų galima laikinai perkelti DSS IS įrangą, nesant galimybių tęsti veiklą pagrindinėse patalpose. Atsarginės patalpos turėtų tenkinti pagrindinėms patalpoms keliamus reikalavimus. Veiklos tęstinumo valdymo planas turi užtikrinti DSS IS veiklos atnaujinimą atsarginėse patalpose per tokį laikotarpį, kad nebūtų nusižengta institucijos įsipareigojimams, susijusiems su informacinės sistemos veikla.“;
1.12. papildau 38.1 punktą jo pabaigoje nauju sakiniu: „Visose patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybų. Patekimas prie darbo vietų turi būti kontroliuojamas.“;
1.13. papildau nauju punktu „38.6. Informacinė sistema turi perspėti administratorių, kai pagrindinėje DSS IS kompiuterinėje įrangoje sumažėja iki nustatytos pavojingos ribos laisvos kompiuterio atminties ar vietos diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja“;