LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRAS
ĮSAKYMAS
DĖL VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO TVARKOMŲ ANTROS KATEGORIJOS INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2015 m. balandžio 9 d. Nr. 1R-96
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 19 ir 26 punktais:
1. Tvirtinu Valstybės įmonės Registrų centro tvarkomų antros kategorijos informacinių sistemų duomenų saugos nuostatus (pridedama).
2. Pavedu valstybės įmonei Registrų centrui:
2.1. paskirti Valstybės įmonės Registrų centro tvarkomų antros kategorijos informacinių sistemų duomenų saugos įgaliotinį;
2.2. paskirti Valstybės įmonės Registrų centro tvarkomų antros kategorijos informacinių sistemų antros kategorijos informacinių sistemų administratorius;
2.3. per 3 mėnesius nuo šio įsakymo įsigaliojimo Teisingumo ministerijai pateikti Valstybės įmonės Registrų centro tvarkomų antros kategorijos informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių, Valstybės įmonės Registrų centro tvarkomų antros kategorijos informacinių sistemų veiklos tęstinumo valdymo plano ir Valstybės įmonės Registrų centro tvarkomų antros kategorijos informacinių sistemų naudotojų administravimo taisyklių projektus.
3. Pripažįstu netekusiais galios:
3.1. Lietuvos Respublikos teisingumo ministro 2012 m. gegužės 30 d. įsakymą Nr. 1R-151 „Dėl Piniginių lėšų apribojimų informacinės sistemos saugos nuostatų patvirtinimo“;
3.2. Lietuvos Respublikos teisingumo ministro 2013 m. spalio 11 d. įsakymą Nr. 1R-232 „Dėl Juridinių asmenų dalyvių informacinės sistemos duomenų saugos nuostatų patvirtinimo“;
3.3. Lietuvos Respublikos teisingumo ministro 2014 m. balandžio 30 d. įsakymą Nr. 1R-150 „Dėl Licencijų informacinės sistemos duomenų saugos nuostatų patvirtinimo“;
PATVIRTINTA
Lietuvos Respublikos teisingumo ministro
2015 m. balandžio 9 d. įsakymu Nr. 1R-96
VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO TVARKOMŲ ANTROS KATEGORIJOS INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Valstybės įmonės Registrų centro tvarkomų antros kategorijos informacinių sistemų duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja valstybės įmonės Registrų centro tvarkomų Juridinių asmenų dalyvių, Licencijų, Piniginių lėšų apribojimų, Elektroninio dokumentų archyvo informacinių sistemų (toliau – informacinė sistema) duomenų saugos politiką, nustato organizacines, technines, programines, teisines ir kitas priemones, užtikrinančias saugų informacinės sistemos duomenų tvarkymą.
2. Saugos nuostatų tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti informacinės sistemos duomenis, užtikrinti elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. Informacinės sistemos duomenų saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo ir saugos priemonių projektavimo bei diegimo principus.
3. Saugos nuostatuose vartojamos sąvokos:
3.1. informacinės sistemos naudotojas – informacinės sistemos tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją;
3.2. informacinės sistemos administratorius – informacinės sistemos tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis informacinę sistemą ir infrastruktūrą, užtikrinantis šios sistemos veikimą ir elektroninės informacijos saugą;
3.3. informacinės sistemos saugos įgaliotinis – informacinės sistemos tvarkytojo paskirtas darbuotojas, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis saugos politikos įgyvendinimą informacinėje sistemoje;
3.4. informacinės sistemos duomenų saugos politiką įgyvendinantys dokumentai – Lietuvos Respublikos teisingumo ministro patvirtinti dokumentai: Informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės, Informacinės sistemos veiklos tęstinumo valdymo planas, Informacinės sistemos naudotojų administravimo taisyklės;
3.5. kitos šiuose Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (toliau – Valstybės informacinių išteklių valdymo įstatymas), Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas).
4. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:
4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų informacinės sistemos duomenų saugai užtikrinti, įgyvendinimas ir kontrolė;
5. Informacinės sistemos valdytojo ir tvarkytojo pavadinimai ir adresai:
5.1. informacinės sistemos valdytojas – Lietuvos Respublikos teisingumo ministerija, buveinės adresas Gedimino pr. 30, 01104 Vilnius;
6. Informacinės sistemos valdytojo funkcijos ir atsakomybė:
6.2. kontroliuoja, kaip laikomasi informacinės sistemos duomenų saugos politiką įgyvendinančių dokumentų ir kitų teisės aktų, reglamentuojančių informacinės sistemos duomenų tvarkymo teisėtumą ir saugos valdymą;
6.3. priima sprendimus dėl informacinės sistemos techninių ir programinių priemonių, būtinų informacinės sistemos duomenų saugai užtikrinti, įsigijimo, diegimo ir modernizavimo;
6.4. prižiūri, kaip laikomasi informacinės sistemos duomenų ir elektroninės informacijos saugos reikalavimų;
6.5. nagrinėja informacinės sistemos tvarkytojo pasiūlymus dėl informacinės sistemos saugos tobulinimo ir priima dėl jų sprendimus;
6.6. priima sprendimą atlikti informacinės sistemos informacinių technologijų saugos reikalavimų atitikties vertinimą;
6.7. vykdo kitas informacinės sistemos duomenų saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose informacinės sistemos duomenų tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas;
7. Informacinės sistemos tvarkytojo funkcijos:
7.1. teikia pasiūlymus informacinės sistemos valdytojui, kaip tobulinti informacinės sistemos saugą;
7.2. užtikrina tinkamą informacinės sistemos valdytojo priimtų teisės aktų ir rekomendacijų įgyvendinimą;
7.3. užtikrina nepertraukiamą informacinės sistemos veikimą ir elektroninės informacijos saugą, taip pat saugų elektroninės informacijos perdavimą kompiuterių tinklais (automatiniu būdu);
8. Informacinės sistemos tvarkytojo vadovas atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir informacinės sistemos duomenų saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.
9. Saugos įgaliotinio funkcijos ir atsakomybė:
9.2. teikia informacinės sistemos valdytojo vadovui pasiūlymus dėl:
9.3. teikia Registrų centro vadovui pasiūlymus dėl informacinės sistemos administratoriaus skyrimo ir reikalavimų jam nustatymo;
9.4. koordinuoja elektroninės informacijos saugos incidentų tyrimą, išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupė;
9.5. kasmet organizuoja kasmetinius ir prireikus neeilinius informacinės sistemos rizikos vertinimus;
9.6. teikia informacinės sistemos administratoriui privalomus vykdyti nurodymus ir pavedimus dėl informacinės sistemos saugos politikos įgyvendinimo;
9.7. supažindina informacinės sistemos naudotojus su informacinės sistemos duomenų saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą ir atsakomybę už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;
9.8. periodiškai inicijuoja darbuotojų supažindinimą su informacijos sauga, siųsdamas priminimus ir konsultuodamas elektroniniu paštu ar per Registrų centro intraneto svetainę;
9.10. atsako už informacinės sistemos saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams;
10. Informacinės sistemos priežiūrą atlieka administratoriai: kompiuterinių tinklų administratorius, tarnybinių stočių administratorius, duomenų bazių administratorius ir naudotojų administratorius. Pagal einamas pareigas ir prieigos prie informacinės sistemos lygį:
10.1. Kompiuterinių tinklų administratorius atlieka šias funkcijas:
10.2. Tarnybinių stočių administratorius atlieka šias funkcijas:
10.2.3. kuria ir administruoja tarnybinių stočių naudotojų registracijos į tarnybines stotis duomenis;
10.3. Duomenų bazių administratorius atlieka šias funkcijas:
11. Informacinės sistemos administratoriai, vykdydami informacinės sistemos priežiūrą, yra atsakingi už tinkamą Saugos nuostatuose nustatytų funkcijų vykdymą.
12. Informacinės sistemos duomenys tvarkomi ir jų sauga užtikrinama vadovaujantis:
12.3. Juridinių asmenų dalyvių informacinės sistemos nuostatais, patvirtintais Lietuvos Respublikos teisingumo ministro 2013 m. spalio 11 d. įsakymu Nr. 1R–231 „Dėl Juridinių asmenų dalyvių informacinės sistemos nuostatų patvirtinimo“;
12.4. Licencijų informacinės sistemos nuostatais, patvirtintais Lietuvos Respublikos teisingumo ministro 2014 m. balandžio 30 d. įsakymu Nr. 1R–148 „Dėl Licencijų informacinės sistemos nuostatų patvirtinimo“;
12.5. Piniginių lėšų apribojimų informacinės sistemos nuostatais, patvirtintais Lietuvos Respublikos teisingumo ministro 2012 m. balandžio 19 d. įsakymu Nr. 1R–126 „Dėl Piniginių lėšų apribojimų informacinės sistemos nuostatų patvirtinimo“;
12.6. Elektroninio dokumentų archyvo informacinės sistemos nuostatais, patvirtintais Lietuvos Respublikos teisingumo ministro 2014 m. gruodžio 18 d. įsakymu Nr. 1R–371 „Dėl Elektroninio dokumentų archyvo informacinės sistemos nuostatų patvirtinimo“;
12.8. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – IS klasifikavimo gairių aprašas);
12.9. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V–832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
12.10. Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai saugumo priemonėms);
12.11. Lietuvos standartais LST ISO/IEC 27001:2013 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002:2014 „Informacijos technologija. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“;
12.12. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V–156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
II skyrius
Elektroninės informacijos saugos valdymas
14. Informacinėje sistemoje tvarkoma elektroninė informacija priskirtina svarbios elektroninės informacijos kategorijai, vadovaujantis IS klasifikavimo gairių aprašo 4.2.4, 4.2.5 ir 4.2.7 papunkčių nuostatomis.
15. Informacinė sistema priskiriama antrai kategorijai, vadovaujantis IS klasifikavimo gairių aprašo 5.2 papunkčio nuostatomis, atsižvelgiant į informacinėje sistemoje apdorojamos elektroninės informacijos svarbos kategoriją.
16. Informacinės sistemos asmens duomenų tvarkymas automatiniu būdu priskirtinas antrajam saugumo lygiui, vadovaujantis Bendrųjų reikalavimų saugumo priemonėms 7.2 papunkčio nuostatomis.
17. Informacinės sistemos saugos įgaliotinis, vadovaudamasis Lietuvos Respublikos vidaus reikalų ministerijos išleistu metodiniu leidiniu „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, kasmet organizuoja informacinės sistemos rizikos vertinimą, o prireikus ir neeilinį šios rizikos vertinimą.
18. Informacinės sistemos rizikos vertinimas surašomas rizikos vertinimo ataskaitoje. Rizikos vertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Informacinės sistemos rizikos vertinimo ataskaita pateikiama informacinės sistemos valdytojo vadovui.
19. Svarbiausi rizikos veiksniai yra šie:
19.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų suvedimas ir teikimas, fizinės informacijos technologijų triktys, duomenų perdavimo tinklais triktys, programinės įrangos klaidos, netinkamas veikimas ir kita);
19.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacinės sistemos duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais trikdžiai, saugumo pažeidimai, vagystės ir kita);
19.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
20. Atsižvelgdamas į rizikos vertinimo ataskaitą, informacinės sistemos valdytojas prireikus tvirtina rizikos vertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
21. Informacinės sistemos saugos įgaliotinis ne rečiau kaip vieną kartą per metus organizuoja informacinių technologijų saugos atitikties vertinimą, kurio metu:
21.1. įvertinama, ar informacinės sistemos duomenų saugos politiką įgyvendinantys dokumentai atitinka realią informacijos saugos situaciją;
21.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų naudotojų kompiuterinių darbo vietų, visose tarnybinėse stotyse įdiegtos programos ir jų sąranga;
22. Atlikus informacinių technologijų saugos atitikties vertinimą, informacinės sistemos saugos įgaliotinis rengia ir teikia informacinės sistemos valdytojui vertinimo ataskaitą.
23. Atsižvelgdamas į informacinių technologijų saugos atitikties vertinimo ataskaitą, informacinės sistemos saugos įgaliotinis prireikus parengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato informacinės sistemos valdytojo vadovas.
24. Patvirtintų informacinės sistemos duomenų saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas informacinės sistemos valdytojas ne vėliau kaip per penkias darbo dienas nuo jų patvirtinimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V–740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Stebėsenos sistemos nuostatai), nustatyta tvarka.
25. Techninės, programinės ir organizacinės informacinės sistemos elektroninės informacijos saugos priemonės pasirenkamos atsižvelgiant į informacinės sistemos valdytojo turimus išteklius, vadovaujantis šiais priemonių parinkimo principais:
26. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano, saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas informacinės sistemos valdytojas ne vėliau kaip per penkias darbo dienas nuo minėtų dokumentų priėmimo pateikia Stebėsenos sistemos nuostatų nustatyta tvarka.
III skyrius
Organizaciniai ir techniniai reikalavimai
27. Programinės įrangos, skirtos informacinei sistemai apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
27.1. tarnybinėse stotyse ir kompiuterinėse darbo vietose su „Microsoft Windows“ operacine sistema privalo būti įdiegta centralizuotai valdoma apsaugai naudojama programinė įranga nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos ir kt.);
27.2. elektroninio pašto tarnybinės stotys turi būti apsaugotos nuo brukalų ir nepageidaujamo turinio elektroninių laiškų;
27.3. kompiuterinėse darbo vietose turi būti įdiegtos priemonės, leidžiančios riboti USB ir kito tipo laikmenų naudojimą;
27.4. apsaugai naudojama programinė įranga privalo atsinaujinti ne rečiau kaip kartą per 24 valandas;
27.5. apsaugai naudojama programinė įranga privalo automatiškai elektroniniu paštu informuoti atsakingus darbuotojus apie kompiuterines darbo vietas ir tarnybines stotis, kuriose apsaugos sistema netinkamai funkcionuoja, yra išjungta arba neatsinaujino per 24 valandas;
28. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:
29. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių ir kt.) pagrindinės naudojimo nuostatos:
29.1. kompiuteriniai tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti užkardomis, DOS ir DDOS atakų prevencijai skirta įranga ir įsilaužimų aptikimo ir prevencijos įranga;
29.2. visas duomenų srautas į internetą ir iš jo filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;
30. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:
30.1. nuotolinis prisijungimas prie informacinės sistemos galimas:
30.1.1. iš virtualių darbo vietų „PCoIP“ protokolu. Nutolusiame kompiuteryje įdiegiama speciali programinė įranga „Vmware view client“ ir jungiamasi per specializuotą tarnybinę stotį (securitysrv.kada.lt) naudojant HTTPS protokolą;
30.3. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojami saugūs ryšio kanalai. Informacijai perduoti gali būti naudojamas Saugus valstybinis duomenų perdavimo tinklas;
31. Nešiojamieji kompiuteriai, kuriuose saugomi su informacine sistema susiję duomenys, naudojami tik Registrų centro patalpose. Jie, kaip ir stacionarūs kompiuteriai, turi būti apsaugoti prisijungimo vardu ir slaptažodžiu.
32. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
32.1. atsarginės elektroninės informacijos kopijos (toliau – kopijos) daromos automatiškai, kiekvieną dieną;
32.3. laikmena, kurioje yra kopija, pažymima specialia ženklinimo etikete, kurioje nurodoma kopijavimo data, kopiją padariusio asmens duomenys (pareigos, vardas, pavardė), duomenų katalogai;
32.4. kiekvienos savaitės / mėnesio / metų paskutinės kopijos ženklinimo etiketėje papildomai nurodoma, kad tai yra savaitės / mėnesio / metų) kopija;
32.5. kopijas turi teisę daryti tik duomenų bazių administratorius, kurio pareigybės aprašyme nurodyta ši funkcija;
32.6. laikmenos, kuriose yra kopijos, saugomos atskirai nuo tarnybinių stočių. Už jų atidavimą saugoti atsako informacinės sistemos administratorius, vykdantis dokumentų kopijavimo funkciją;
32.7. atsarginės metų kopijos saugomos dešimt metų nuo jų sukūrimo dienos. Atsarginės mėnesio kopijos saugomos vienus metus nuo jų sukūrimo dienos. Atsarginės savaitės kopijos saugomos vieną mėnesį nuo jų sukūrimo dienos;
IV skyrius
REIKALAVIMAI PERSONALUI
33. Informacinės sistemos saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis informacinės sistemos duomenų saugos politiką įgyvendinančių dokumentų, standartų ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, būti susipažinęs su esminiais informacinės sistemos duomenų saugos reikalavimais, turėti atitinkamą kvalifikaciją įgyvendinti saugos politiką.
34. Informacinės sistemos saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos skyrimo praėję mažiau kaip vieni metai.
35. Informacinės sistemos administratoriai privalo išmanyti informacijos saugos principus, mokėti užtikrinti jų saugą, administruoti ir prižiūrėti duomenų bazes, turi būti susipažinę su informacinės sistemos duomenų saugos politiką įgyvendinančiais dokumentais, darbo saugos taisyklėmis. Informacinės sistemos administratoriai privalo sugebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, išmanyti elektroninės informacijos saugos užtikrinimo principus.
36. Informacinės sistemos naudotojai privalo turėti pagrindinių darbo su kompiuteriu įgūdžių, mokėti tvarkyti duomenis, turi būti susipažinę su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą; pasirašę pasižadėjimą saugoti asmens duomenų paslaptį; nuolat kelti savo kvalifikaciją kvalifikacijos kėlimo kursuose, saugaus darbo su duomenimis seminaruose; gilinti kompiuterines žinias ir būti susipažinę su informacinės sistemos duomenų saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, įgyvendinančiais informacinės sistemos duomenų saugos politiką.
37. Informacinės sistemos saugos įgaliotinis periodiškai, bet ne rečiau kaip kartą per dvejus metus, organizuoja mokymus informacinės sistemos naudotojams elektroninės informacijos saugos klausimais, įvairiais būdais primena apie saugumo problemas (pvz., pranešimai elektroniniu paštu, naujų darbuotojų instruktavimas ir pan.).
V SKYRIUS
INFORMACINĖS SISTEMOS naudotojų supažindinimo su saugos dokumentais principai
38. Naudoti informacinės sistemos duomenis gali tik tie asmenys, kurie yra susipažinę su Saugos nuostatais, informacinės sistemos duomenų saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, ir raštu sutikę laikytis šių teisės aktų reikalavimų.
39. Už informacinės sistemos naudotojų supažindinimą su Saugos nuostatais ir informacinės sistemos duomenų saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais bei atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą yra atsakingas informacinės sistemos saugos įgaliotinis.
40. Saugos nuostatai ir informacinės sistemos duomenų saugos politiką įgyvendinantys dokumentai skelbiami informacinės sistemos naudotojams pasiekiamoje interneto svetainėje.
41. Su Saugos nuostatais ir informacinės sistemos duomenų saugos politiką įgyvendinančiais dokumentais pakartotinai supažindinama elektroniniu paštu šiems dokumentams pasikeitus.
42. Informacinės sistemos naudotojai, informacinės sistemos administratoriai ir informacinės sistemos saugos įgaliotinis, pažeidę Saugos nuostatų, informacinės sistemos duomenų saugos politiką įgyvendinančių dokumentų ir saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.