VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS DIREKTORIAUS
ĮSAKYMAS
DĖL DUOMENŲ APSAUGOS PRIEMONIŲ APRAŠO FORMOS PATVIRTINIMO
2009 m. sausio 16 d. Nr. 1T-5 (1.12)
Vilnius
Įgyvendindamas Duomenų valdytojų pranešimo apie duomenų tvarkymą taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 2002 m. vasario 20 d. nutarimu Nr. 262 (Žin., 2002, Nr. 20-768; 2005, Nr.144-5249), 6 punktą bei Išankstinės patikros atlikimo taisyklių, patvirtintų Valstybinės duomenų apsaugos inspekcijos direktoriaus 2009 m. sausio 16 d. įsakymu Nr. 1T-4, 4.2 punktą:
2. Pripažįstu netekusiais galios:
2.1. Valstybinės duomenų apsaugos inspekcijos direktoriaus 2004 m. sausio 13 d. įsakymą Nr. 1T-7 „Dėl Reikalavimų duomenų apsaugos priemonių aprašui ir Duomenų apsaugos priemonių aprašo“ (Žin., 2004, Nr. 10-295).
2.2. Valstybinės duomenų apsaugos inspekcijos direktoriaus 2006 m. vasario 6 d. įsakymą Nr. 1T-9 „Dėl Valstybinės duomenų apsaugos inspekcijos direktoriaus 2004 m. sausio 13 d. įsakymo Nr. 1T-7 „Dėl Reikalavimų duomenų apsaugos priemonių aprašui ir Duomenų apsaugos priemonių aprašo“ pakeitimo“ (Žin., 2006, Nr. 18-652).
PATVIRTINTA
Valstybinės duomenų apsaugos inspekcijos direktoriaus 2009 m. sausio 16 d. įsakymu Nr. 1T-5 (1.12)
___________________________________________________________________________
(duomenų valdytojo (juridinio asmens) pavadinimas, duomenų valdytojo (fizinio asmens) vardas, pavardė)
___________________________________________________________________________
(juridinio asmens kodas ir buveinė arba fizinio asmens kodas, gyvenamoji ir duomenų tvarkymo vieta)
___________________________________________________________________________
(telefono ir telefakso numeriai, elektroninio pašto adresas)
Valstybinei duomenų apsaugos inspekcijai
A. Juozapavičiaus g. 6 / Slucko g. 2
LT-09310 Vilnius
DUOMENŲ
APSAUGOS PRIEMONIŲ APRAŠAS
______________ Nr. __________________
(data)
Pastaba. Asmens duomenų (toliau – duomenys) saugumo priemonės, kurios duomenų valdytojo ir (arba) duomenų tvarkytojo yra įdiegtos, numatomos įdiegti iki duomenų tvarkymo veiksmų pradžios, pažymimos langeliuose V (varnele), eilutėse įrašoma kita informacija. Esant poreikiui, pateiktų eilučių dydis bei skaičius gali būti didinamas.
|
1. Duomenų tvarkymo keliamos rizikos vertinimas
|
||
| 1.1. |
Atliktas rizikos vertinimas |
£ |
| 1.2. |
Sudaryta rizikos vertinimo ataskaita |
£ |
| 1.3. |
Dokumentuose, reglamentuojančiuose duomenų saugą, numatyta duomenų tvarkymo keliamos rizikos vertinimo atlikimo tvarka |
£ |
| 1.4. |
Dokumentuose, reglamentuojančiuose duomenų saugą, numatyta riziką vertinti periodiškai kartą per __________________ (įrašyti terminą) |
£ |
| 1.5. |
Numatoma atlikti įgyvendintų organizacinių ir techninių duomenų saugumo priemonių įvertinimo auditą kartą per ____________________ (įrašyti terminą) |
£ |
| 1.6. |
Įdiegtos, numatoma įdiegti (kas reikalinga, pabraukti) duomenų saugumo priemones atsižvelgiant į rizikos vertinimo rezultatus |
£ |
| 1.7. |
Paskirtas už duomenų apsaugą atsakingas asmuo, padalinys (kas reikalinga, pabraukti), kuris neatlieka, atlieka (kas reikalinga, pabraukti) administratoriaus funkcijas |
£ |
|
2. Duomenų saugą reglamentuojantys dokumentai
|
||
| 2.1. |
Yra rašytiniai dokumentai, reglamentuojantys duomenų saugą (išvardyti): _ ___________________________________________________________
|
£ |
| 2.2. |
Darbuotojai supažindinti su dokumentais, reglamentuojančiais duomenų saugą |
£ |
| 2.3. |
Dokumentai, reglamentuojantys duomenų saugą, periodiškai peržiūrimi, prireikus atnaujinami, kontroliuojamas jų vykdymas (kas reikalinga, pabraukti) |
£ |
|
3. Prieigos prie duomenų valdymas ir kontrolė
|
||
| 3.1. |
Prieigos prie kompiuterio, kompiuterių tinklo, duomenų bazės (kas reikalinga, pabraukti) suteikimo (panaikinimo) tvarka reglamentuota rašytiniame dokumente |
£ |
| 3.2. |
Prieiga prie duomenų suteikta tik tam asmeniui, kuriam duomenys yra reikalingi jo funkcijoms vykdyti |
£ |
| 3.3. |
Naudotojas, kuris jungiasi prie kompiuterio, kompiuterių tinklo, duomenų bazės (kas reikalinga, pabraukti), identifikuojamas unikaliai |
£ |
| 3.4. |
Prisijungimas prie kompiuterio, kompiuterių tinklo, duomenų bazės (kas reikalinga, pabraukti) apsaugotas slaptažodžiu, kitomis apsaugos priemonėmis (kas reikalinga, pabraukti). Kitos priemonės (išvardyti):_____________________________________ ___________________________________________________________
|
£ |
| 3.5. |
Naudotojų prisijungimo prie kompiuterio, kompiuterių tinklo, duomenų bazės (kas reikalinga, pabraukti) slaptažodžiai saugomi šifruoti |
£ |
| 3.6. |
Dokumentuose, reglamentuojančiuose duomenų saugą, numatytos slaptažodžių sudarymo ir naudojimo taisyklės |
£ |
| 3.6.1. |
Slaptažodis keičiamas kartą per __________________ (įrašyti terminą) |
£ |
| 3.6.2. |
Slaptažodis sudarytas ne mažiau kaip iš ___________ (įrašyti skaičių) simbolių |
£ |
| 3.6.3. |
Slaptažodis sudarytas iš raidžių, skaičių, specialiųjų simbolių (kas reikalinga, pabraukti) |
£ |
| 3.6.4. |
Naudotojai supažindinti su slaptažodžių sudarymo ir naudojimo taisyklėmis |
£ |
| 3.7. |
Užtikrintas slaptažodžių konfidencialumas |
£ |
| 3.8. |
Vidinis kompiuterių tinklas apsaugotas ugniasiene |
£ |
| 3.9. |
Tarnybinėse, darbo stotyse (kas reikalinga, pabraukti) naudojamos ir atnaujinamos antivirusinės programos |
£ |
| 3.10. |
Naudojama speciali tinklo stebėjimo įranga |
£ |
| 3.11. |
Nutolę padaliniai jungiasi prie vidinio kompiuterių tinklo Jungimosi apsaugos priemonės (išvardyti):_________________________ ___________________________________________________________
|
£ |
| 3.12. |
Naudotojai darbo vietose patys neturi teisės diegti, šalinti programų |
£ |
| 3.13. |
Nustatytas leistinų nepavykusių bandymų prisijungti prie duomenų bazės skaičius |
£ |
| 3.14. |
Fiksuojami prisijungimo prie duomenų bazės įrašai: prisijungimo identifikatorius, data, laikas, trukmė, jungimosi rezultatas (sėkmingas, nesėkmingas), bylos, prie kurių buvo jungtasi, atlikti veiksmai su asmens duomenimis (įvedimas, peržiūra, keitimas, naikinimas ir kiti duomenų tvarkymo veiksmai) (kas reikalinga, pabraukti). Įrašai saugomi _________________ (įrašyti terminą) |
£ |
| 3.15. |
Peržiūrimi prisijungimai prie duomenų bazės kartą per (įrašyti terminą) |
£ |
| 3.16. |
Duomenų valdytojas peržiūri prisijungimo prie duomenų bazės ataskaitas |
£ |
| 3.17. |
Fiksuojami prisijungimo prie kompiuterio, kompiuterių tinklo (kas reikalinga, pabraukti) įrašai: prisijungimo identifikatorius, prisijungimo (atsijungimo) data, laikas, jungimosi rezultatas (sėkmingas, nesėkmingas) (kas reikalinga, pabraukti) |
£ |
| 3.18. |
Kitos priemonės (išvardyti):_____________________________________ ___________________________________________________________ |
|
|
4. Fizinė sauga
|
||
| 4.1. |
Tarnybinės stotys yra atskirose patalpose |
£ |
| 4.2. |
Patalpos, kuriose yra tarnybinės stotys, rakinamos |
£ |
| 4.3. |
Patalpose, kuriose yra tarnybinės stotys, naudojamos stebėjimo, signalizacijos sistemos |
£ |
| 4.4. |
Patalpose, kuriose yra tarnybinės stotys, įrengti dūmų, karščio davikliai |
£ |
| 4.5. |
Veikia fizinė, elektroninė (kas reikalinga, pabraukti) asmenų įėjimo (patekimo) į patalpas kontrolės sistema |
£ |
| 4.6. |
Įėjimas (patekimas) į patalpas, kuriose yra tarnybinės stotys, registruojamas |
£ |
| 4.7. |
Užtikrintas patalpų, kuriose saugomi duomenys, saugumas. Apribojamas neįgaliotų asmenų patekimas į atitinkamas patalpas, užtikrinamas tik įgaliotų asmenų patekimas į atitinkamas patalpas (kas reikalinga, pabraukti) |
£ |
| 4.8. |
Patalpose, kuriose yra tarnybinės stotys, yra ugnies gesintuvai, ugniai atsparūs audeklai (kas reikalinga, pabraukti) |
£ |
| 4.9. |
Kitos priemonės (išvardyti):_____________________________________ ___________________________________________________________
|
|
|
5. Duomenų gavimo (teikimo) saugumas
|
||
| 5.1. |
Duomenys gaunami, teikiami (kas reikalinga, pabraukti) išorinėje duomenų laikmenoje: |
£ |
| 5.1.1. |
Išorinėje duomenų laikmenoje duomenys šifruojami, nešifruojami (kas reikalinga, pabraukti) |
£ |
| 5.1.2. |
Naudojamos kitos duomenų saugos priemonės, užtikrinančios, kad duomenys išorinėje duomenų laikmenoje bus perduodami saugiai ir nebus galimybės tretiesiems asmenims jais pasinaudoti. Kitos priemonės (išvardyti):_____________________________________ ___________________________________________________________
|
£ |
| 5.2. |
Duomenys gaunami, teikiami (kas reikalinga, pabraukti) faksu: bendra telefono linija, specialiai tam skirta fakso linija (kas reikalinga, pabraukti) |
£ |
| 5.3. |
Duomenys gaunami, teikiami (kas reikalinga, pabraukti) elektroniniu paštu: |
£ |
| 5.3.1. |
Elektroninis laiškas šifruojamas, nešifruojamas (kas reikalinga, pabraukti) |
£ |
| 5.3.2. |
Elektroninis parašas naudojamas, nenaudojamas (kas reikalinga, pabraukti) |
£ |
| 5.3.3. |
Perduodami duomenys apsaugoti, neapsaugoti (kas reikalinga, pabraukti) slaptažodžiu |
£ |
| 5.4. |
Duomenys gaunami, teikiami (kas reikalinga, pabraukti) specialiai tam skirtomis elektroninių ryšių linijomis: duomenų šifravimas naudojamas, nenaudojamas (kas reikalinga, pabraukti) |
£ |
| 5.5. |
Duomenys gaunami, teikiami (kas reikalinga, pabraukti) interneto tinklu: |
£ |
| 5.5.1. |
Duomenų perdavimo kanalai šifruojami, nešifruojami (kas reikalinga, pabraukti) |
£ |
| 5.5.2. |
Prisijungimas leidžiamas tik iš sutartų, bet kokių (kas reikalinga, pabraukti) IP adresų |
£ |
| 5.5.3. |
Naudotojai identifikuojami pagal naudotojo vardą, slaptažodį (kas reikalinga, pabraukti) |
£ |
| 5.5.4. |
Naudotojų identifikacija patvirtinama pagal atskirus, bendrus (kas reikalinga, pabraukti) sertifikatus |
£ |
| 5.5.5. |
Elektroniniame žurnale registruojami gavėjo sėkmingi, nesėkmingi (kas reikalinga, pabraukti) bandymai prisijungti |
£ |
| 5.5.6. |
Duomenų šifravimas naudojamas, nenaudojamas (kas reikalinga, pabraukti) |
£ |
| 5.6. |
Teikiamų duomenų paieškos užklausoje suformuluotas duomenų paieškos tikslas (-ai) |
£ |
| 5.7. |
Kitos priemonės (išvardyti):_____________________________________ ___________________________________________________________
|
|
|
6. Duomenų atsarginės kopijos ir archyvavimas
|
||
| 6.1. |
Dokumentuose, reglamentuojančiuose duomenų saugą numatyta duomenų atsarginių kopijų darymo, saugojimo, šių veiksmų kontrolės tvarka (kas reikalinga, pabraukti) |
£ |
| 6.2. |
Dokumentuose, reglamentuojančiuose duomenų saugą numatyta duomenų archyvavimo tvarka |
£ |
| 6.3. |
Duomenų kopijų darymas fiksuojamas |
£ |
| 6.4. |
Duomenų kopijos saugomos tam skirtoje patalpoje, nedegioje spintoje (kas reikalinga, pabraukti) |
£ |
| 6.5. |
Fizinė prieiga prie duomenų kopijų, archyvų (kas reikalinga, pabraukti) yra apsaugota (kontroliuojama) |
£ |
| 6.6. |
Atsarginės kopijos, archyvai saugomi kitame pastate, tame pačiame pastate, tačiau kitoje patalpoje (kas reikalinga, pabraukti) negu aktyvioji (veikianti) duomenų bazė |
£ |
| 6.7. |
Duomenys atsarginėse kopijose, archyvuose (kas reikalinga, pabraukti) saugomi užšifruoti, apsaugoti slaptažodžių (kas reikalinga, pabraukti) |
£ |
| 6.8. |
Dokumentuose, reglamentuojančiuose duomenų saugą numatyta duomenų atkūrimo avarinio praradimo atvejų tvarka |
£ |
| 6.9. |
Duomenų atkūrimo tvarka dėl avarinio duomenų praradimo yra patikrinama atliekant praktinius bandymus |
£ |
| 6.10. |
Registruojama, kada ir kas vykdė duomenų atkūrimo veiksmus dėl avarinio duomenų praradimo |
£ |
| 6.11. |
Kitos priemonės (išvardyti):_____________________________________ ___________________________________________________________ |
|
|
7. Kompiuterinės įrangos naudojimas ir priežiūra
|
||
| 7.1. |
Darbui su duomenimis naudojama sertifikuota programinė įranga |
£ |
| 7.2. |
Darbui su duomenimis naudojama programinė įranga, apsaugota nuo naudotojų klaidų |
£ |
| 7.3. |
Darbui su duomenimis naudojama programinė įranga, apsaugota nuo visiško duomenų sunaikinimo |
£ |
| 7.4. |
Veiksmai su duomenimis atliekami tik pagal suteiktas teises |
£ |
| 7.5. |
Kompiuterinė įranga prižiūrima ir eksploatuojama pagal gamintojo rekomendacijas |
£ |
| 7.6. |
Kompiuterinės įrangos priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai |
£ |
| 7.7. |
Svarbiausia kompiuterinė įranga dubliuojama |
£ |
| 7.8. |
Svarbiausios kompiuterinės įrangos būklė nuolat stebima |
£ |
| 7.9. |
Kitos priemonės (išvardyti):_____________________________________ ___________________________________________________________
|
|
|
8. Veiklos tęstinumo valdymas
|
||
| 8.1. |
Parengtas veiklos tęstinumo valdymo planas |
£ |
| 8.2. |
Sudarytos sutartys su trečiaisiais asmenimis dėl avarijos padarinių likvidavimo |
£ |
| 8.3. |
Veiklos tęstinumo valdymo plano veiksmingumas išbandomas praktinio mokymo metu |
£ |
| 8.4. |
Kitos priemonės (išvardyti):_____________________________________ ___________________________________________________________
|
|
|
9. Duomenų sunaikinimas
|
||
| 9.1. |
Dokumentuose, reglamentuojančiuose duomenų saugą, numatyta duomenų sunaikinimo tvarka |
£ |
| 9.2. |
Registruojamas duomenų sunaikinimas: kokiu pagrindu, kada, kas, kaip sunaikino (kas reikalinga, pabraukti) |
£ |
| 9.3. |
Kitos priemonės (išvardyti):_____________________________________ ___________________________________________________________
|
|
|
10. Kiti rizikos veiksniai ir priemonės
|
||
| 10.1. |
Naudojami rezerviniai elektros įvadai |
£ |
| 10.2. |
Naudojami nenutrūkstančio maitinimo šaltiniai (UPS) svarbiausiai kompiuterinei įrangai |
£ |
| 10.3. |
Naudojami vietiniai elektros generatoriai |
£ |
| 10.4. |
Duomenų teikimui, gavimui naudojama rezervinė interneto linija |
£ |
| 10.5. |
Dokumentuose, reglamentuojančiuose duomenų saugą, numatyti saugumo pažeidimų valdymas ir reagavimo į šiuos pažeidimus veiksmai |
£ |
| 10.6. |
Užtikrintas išorinių duomenų laikmenų kuriose gaunami ir teikiami duomenys, registravimas, kontrolė, duomenų sunaikinimas po jų panaudojimo (kas reikalinga, pabraukti) |
£ |
| 10.7. |
Nešiojamuose kompiuteriuose, jeigu jie naudojami ne duomenų valdytojo vidiniame duomenų perdavimo tinkle, naudojamos tokios duomenų saugumo priemonės, kurios atitinka duomenų tvarkymo keliamą riziką. Naudojamos priemonės (išvardyti):________________________________ ___________________________________________________________
|
£ |
| 10.8. |
Aktyviosiose duomenų bazėse saugomi duomenys šifruojami |
£ |
| 10.9. |
Informacinių sistemų testavimas vykdomas su nuasmenintais duomenimis |
£ |
| 10.10. |
Informacinių sistemų testavimas būtinais atvejais vykdomas su realių asmenų duomenimis naudojant organizacines ir technines duomenų saugumo priemones. Naudojamos priemonės (išvardyti):________________________________ ___________________________________________________________
|
£ |
| 10.11. |
Naudojamos organizacinės ir techninės duomenų saugumo priemonės, kurių pagalba kontroliuojami duomenų bazę, tarnybinę stotį, kompiuterių tinklą (kas reikalinga, pabraukti) administruojančių asmenų veiksmai. Naudojamos priemonės (išvardyti):________________________________ ___________________________________________________________
|
£ |
| 10.12. |
Atsakingi darbuotojai apmokyti tvarkyti duomenis |
£ |
| 10.13. |
Kitos priemonės (išvardyti):_____________________________________ ___________________________________________________________
|
|
Patvirtinu, kad visa pranešime pateikta informacija yra tiksli ir teisinga, ir įsipareigoju užtikrinti, kad duomenys būtų tvarkomi tiksliai, sąžiningai ir teisėtai.
_____________________ ___________ ____________________
(pareigų pavadinimas) (parašas) (vardas, pavardė)
A.V.