1.  Organizacinių ir techninių asmens duomenų saugumo priemonių Vyriausiojoje tarnybinės etikos komisijoje įgyvendinimo tvarkos aprašas (toliau – Aprašas) nustato organizacines ir technines asmens duomenų saugumo priemones ir jų taikymo tvarką Vyriausiojoje tarnybinės etikos komisijoje (toliau – Komisija, VTEK) tvarkant asmens duomenis automatiniu būdu ir neautomatiniu būdu susistemintose rinkmenose.

2.  Aprašas taikomas VTEK, kaip duomenų valdytojai tvarkančiai asmens duomenis, ir jos pasitelktiems paslaugų teikėjams, teikiantiems su asmens duomenų tvarkymu ir (ar) duomenų saugumo užtikrinimu susijusias paslaugas (toliau – Paslaugų teikėjai). Aprašo privalo laikytis visi Komisijos nariai, VTEK valstybės tarnautojai, pagal darbo sutartis dirbantys darbuotojai, praktiką atlikti priimti asmenys bei asmenys kitais pagrindais atliekantys funkcijas ar vykdantys veiklą VTEK (toliau visi šie asmenys – VTEK darbuotojai), kurie tvarko VTEK esančius asmens duomenis arba eidami savo pareigas su jais susipažįsta.

3.  Komisijai tvarkant asmens duomenis valstybės registruose ir informacinėse sistemose Aprašas taikomas tiek, kiek įgyvendinamų duomenų saugumo priemonių nereglamentuoja atitinkamo registro ar informacinės sistemos duomenų saugos nuostatai.

4.  Aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1–88) (toliau – BDAR) ir Valstybinės duomenų apsaugos inspekcijos 2018 m. spalio 31 d. Tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo gairėmis asmens duomenų valdytojams ir tvarkytojams.  

5.  Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos BDAR.

6.  VTEK siekia užtikrinti darbuotojų pareigų ir atsakomybės sričių atskyrimą, kad būtų sumažinta neteisėto ar netyčinio asmens duomenų pakeitimo, atskleidimo ar netinkamo panaudojimo rizika.

7.  Komisijos pirmininkas, VTEK padalinių vadovai yra atsakingi už tai, kad VTEK darbuotojai ir paslaugų tiekėjai vadovautųsi šiuo Aprašu.

8.  VTEK informacinių technologijų (toliau – IT) priežiūrą vykdantis asmuo, kuriuo gali būti VTEK darbuotojas arba išorės paslaugų teikėjas (toliau – IT saugos įgaliotinis), yra atsakingas už informacijos saugos valdymo palaikymą, darbo organizavimą, periodinį informacijos saugos rizikos vertinimą ir informacijos saugos koordinavimą bei kontrolę VTEK.

9.  VTEK darbuotojai  yra asmeniškai atsakingi už šių Aprašo nuostatų laikymąsi, tinkamą asmens duomenų tvarkymą ir saugumo priemonių užtikrinimą vadovaujantis šiame Apraše ir teisės aktuose įtvirtintais asmens duomenų tvarkymo reikalavimais.

10.  Jeigu įmanoma, VTEK užtikrina, kad prieiga prie visos VTEK informacijos, įskaitant asmens duomenis, nebūtų suteikiama vienam asmeniui, nekontroliuojant jo veiksmų.

11.     VTEK užtikrina, kad būtų registruojami naudotojų veiksmai, atliekami su asmens duomenimis.

12.     VTEK užtikrina, kad Paslaugų teikėjai būtų supažindinti su VTEK taikomais asmens duomenų saugumo reikalavimais ir raštu įsipareigotų jų laikytis. Asmens duomenų saugumo reikalavimai gali būti įtvirtinti sutartyje su Paslaugų teikėju arba pridedami kaip jos priedas. Paslaugų teikėjai turi laikytis šių principų:

13.     VTEK turi IT išteklių, naudojamų asmens duomenims tvarkyti, registrą (techninės, programinės ir tinklo įrangos). Už registro pildymą atsakingas VTEK IT saugos įgaliotinis arba Vyriausioji finansininkė. Registro forma pateikiama šio Aprašo priede Nr. 1.

14.     IT ištekliai reguliariai, kartą per 3 mėnesius, peržiūrimi ir prireikus atnaujinami. Už peržiūrą atsakingas IT saugos įgaliotinis.

15.     Darbo vietų kompiuteriai, programinė įranga, kompiuterių tinklai, spausdintuvai, interneto ryšys, elektroninio pašto sistema, kita kompiuterių įranga bei kitos VTEK darbuotojams suteiktos elektroninės darbo priemonės turi būti naudojamos tik darbuotojų tiesioginėms darbo funkcijoms atlikti.

16.     Darbuotojams draudžiama darbo vietos kompiuteryje diegti ar šalinti programas arba kitaip modifikuoti darbo vietos kompiuteryje veikiančią sistemą.

17.     Darbo vietų kompiuteriuose draudžiama diegti nelicencijuotą programinę įrangą, programinę įrangą, kuri sudaro galimybes pasinaudoti šio kompiuterio ištekliais per tinklą.

18.     VTEK naudojama tik legali programinė įranga, kuri konfigūruojama ir atnaujinama laikantis jos gamintojo rekomendacijų.

19.     Serveriuose, duomenų bazėse, nešiojamuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose tvarkomi asmens duomenys, esant galimybei, yra šifruojami.

20.     Kiekvienas stacionarus kompiuteris turi turėti nuolatinę vietą. Draudžiama pernešti kompiuterį į kitą darbo vietą be IT saugos įgaliotinio ar Komisijos pirmininko leidimo ir žinios. Ši nuostata netaikoma nešiojamiesiems kompiuteriams.

21.     Nešiojamieji kompiuteriai, mobilieji telefonai ir kiti mobilieji įrenginiai (toliau – mobilieji įrenginiai), VTEK suteikti darbuotojams, gali būti naudojami ir prižiūrimi vadovaujantis gamintojo rekomendacijomis.

22.     Vartotojų autentifikavimas ir laiškų pasiėmimas iš pašto serverio prieinamas tik šifruotais protokolais (SSL, TLS, HTTPS). Visas įeinantis elektroninio pašto srautas tikrinamas patikima  antivirusine programa, kurios pavyzdžių bazė reguliariai (ne rečiau kaip kartą per savaitę)  automatiškai atnaujinama. Gaunami elektroniniai laiškai tikrinami nepageidaujamų elektroninių laiškų (angl. spam) filtru.

23.     Darbuotojo elektroninio pašto paskyra išjungiama atleidus darbuotoją. Išjungus elektroninio pašto paskyrą, duomenys yra saugomi 30 kalendorinių dienų nuo šios paskyros išjungimo dienos. Komisijos pirmininkas ar jo įgaliotas asmuo per 30 kalendorinių dienų gali prašyti prieigos prie pašto dėžutės, jei to reikia siekiant užtikrinti VTEK veiklos tęstinumą. Po 30 kalendorinių dienų nuo paskyros išjungimo ji naikinama, o pašto dėžutės duomenys ištrinami arba, esant objektyviai būtinybei, VTEK pirmininko nurodymu perduodami įgaliotam asmeniui saugoti ne ilgiau kaip trejus metus.

24.     Darbuotojams draudžiama VTEK suteiktą elektroninį paštą naudoti asmeniniam susirašinėjimui.

25.     Darbo tikslais naudojamuose mobiliuosiuose įrenginiuose turi būti naudojamos ne mažesnio saugumo lygio priemonės, nei SIM kortelė su PIN kodu arba ekrano užsklanda su slaptažodžiu. SIM kortelės ir ekrano užsklandos kodai turi būti skirtingi.

26.     Mobiliuose įrenginiuose turi būti įdiegta mobiliųjų įrenginių valdymo programinė įranga, leidžianti nuotoliniu būdu blokuoti įrenginį, ištrinti duomenis, apriboti nesankcionuotos programinės įrangos diegimą.

27.     Darbuotojams draudžiama leisti naudotis turimomis elektroninėmis darbo priemonėms tretiesiems asmenims (šeimos nariams ir kt.).

28.     Jeigu VTEK leidžiamas nuotolinis darbas, tokiu atveju privalo būti naudojamos bent šios saugumo priemonės:

29.     Asmens duomenis gali tvarkyti Komisijos pirmininkas ir nariai, VTEK darbuotojai, kurie yra įgalioti dirbti su asmens duomenimis ir kuriems jie yra būtini darbo funkcijų vykdymui.

30.     VTEK tvarkomas Aprašo 2 priede nustatytos formos prieigos prie VTEK informacinių sistemų / duomenų bazių, kuriose tvarkomi asmens duomenys, teisių sąrašas.

31.     Už naudotojų registravimą, išregistravimą, prieigos prie asmens duomenų teisių suteikimą ir panaikinimą yra atsakingas informacinės sistemos / duomenų bazės administratorius (-iai).

32.     Prieigos teisių prašymai turi būti registruojami elektroninėmis priemonėmis ar kitu būdu.

33.     Darbuotojams suteikiamos tik tokios prieigos teisės, kurios yra reikalingos darbo funkcijų atlikimui.

34.     Darbuotojams suteikiamos Aprašo 2 priede priskirtinos prieigos teisės. Tais atvejais, kai suteiktų prieigos teisių neužtenka,  prieigos teisės suteikiamos Aprašo 35-39 punktų nustatyta tvarka.

35.     Dėl prieigos teisių suteikimo darbuotojas rašo Aprašo 3 priede nustatytos formos prašymą.

36.     Prašymas dėl prieigos suteikimo pateikiamas Komisijos pirmininkui. Teikiamas prašymas dėl prieigos teisių turi būti suderintas su darbuotojo tiesioginiu vadovu, kuris prašymą vizuoja patvirtindamas, jog prieiga prie asmens duomenų yra reikalinga šiam darbuotojui pavestoms funkcijoms atlikti.

37.     Tiesioginis vadovas, derindamas prašymą ir nustatęs, kad prašyme nurodyta prieiga yra nereikalinga funkcijoms atlikti arba kad prašoma tokios prieigos, kurios sukūrimas gali daryti neigiamą įtaką asmens duomenų saugumui, priima sprendimą prašymo nevizuoti ir apie tai per 5 (penkias) darbo dienas nuo prašymo gavimo dienos informuoja prašymą pateikusį asmenį.

38.     Komisijos pirmininko patvirtintas prašymas dėl prieigos suteikimo perduodamas informacinės sistemos / duomenų bazės administratoriui, kuris suteikia naudotojui prieigos teises, sukuria naudotojo vardą ir slaptažodį.

39.     Prieiga prie asmens duomenų suteikiama tik asmenims, pasirašiusiems įsipareigojimą saugoti asmens duomenų paslaptį.

40.     Naudotojų paskyros yra asmeninės. Naudotojų identifikatoriai (prisijungimo vardai) yra unikalūs ir asmeniniai. Bendrų paskyrų naudojimas yra draudžiamas, išskyrus informacinių sistemų integracijos bei informacinių technologijų infrastruktūros priežiūros tikslais.

41.     Privilegijuotų (administratoriaus) prieigos teisių suteikimas ir naudojimas turi būti ribojamas ir kontroliuojamas. Privilegijuotos teisės yra suteikiamos esant tiesioginio darbuotojo vadovo, darbuotojo, atsakingo už asmens duomenų tvarkymą, bei darbuotojo, atsakingo už informacijos saugą, sutikimui. Sutikimai turi būti dokumentuojami arba leidimai turi būti suteikiami tokiu būdu, jog būtų galima įsitikinti, kad leidimas buvo duotas.

42.     Prieš suteikiant privilegijuotas teises, turi būti įvertinama darbuotojo esamų pareigų atskyrimo galimybė bei kylančios rizikos.

43.     Prieigos teisės turi būti peržiūrimos bent kartą per metus. Šią peržiūrą atlieka darbuotojų tiesioginiai vadovai ir darbuotojai, atsakingi už asmens duomenų tvarkymą.

44.     Privilegijuotų naudotojų teisės turi būti peržiūrimos bent du kartus per metus. Šią peržiūrą atlieka darbuotojai, atsakingi už asmens duomenų tvarkymą.

45.     Pasikeitus darbuotojo pareigoms, turi būti peržiūrimos ir, jei reikia, keičiamos prieigos prie asmens duomenų teisės.

46.     Atleidžiant darbuotoją iš darbo, nutraukiant sutartinius santykius su Paslaugų teikėju, prieigos teisės turi būti panaikintos ne vėliau nei iki paskutinės darbo arba paslaugų teikimo dienos VTEK pabaigos.

47.     Konfidencialumo įsipareigojimai lieka galioti darbuotojui ar Paslaugų teikėjui nutraukus santykius su VTEK.

48.     Slaptažodžiai turi būti sudaromi laikantis šių reikalavimų:

49.     Prieigų kontrolės sistema turi turėti galimybę aptikti ir neleisti naudoti slaptažodžių, kurie neatitinka nustatyto kompleksiškumo lygio.

50.     Po 3 nesėkmingų bandymų suvesti slaptažodį įrenginys yra blokuojamas pagal gamintojo saugumo reikalavimus.

51.     Pirminiai slaptažodžiai naudotojui turi būti perduodami konfidencialumą užtikrinančiu būdu, pavyzdžiui užrašant ir įteikiant darbuotojui į rankas uždaru pavidalu (užklijuotame voke ar pan.). Pirmo prisijungimo metu naudotojas privalo pasikeisti slaptažodį.

52.     Draudžiama palikti informaciją apie slaptažodžius lengvai pasiekiamoje fizinėje ar elektroninėje formoje, pavyzdžiui, užrašyti ant lapelio šalia kompiuterio, patalpinti bendrame serveryje ir panašiai. Draudžiamas automatinis slaptažodžių išsaugojimas.

53.     Visi informacinių sistemų gamintojų sukurti pirminiai slaptažodžiai turi būti pakeičiami pirmojo prisijungimo metu.

54.     Informacinio turto privilegijuotų (administratoriaus) paskyrų slaptažodžiai turi būti keičiami rankiniu būdu, ne rečiau kaip vieną kartą per metus. Po tokių slaptažodžių pakeitimo apie tai informuojamas Komisijos pirmininkas ar kitas jo įgaliotas asmuo.

55.     Privilegijuotiems vartotojams (pvz., sistemų administratoriams) prisijungimui prie asmens duomenų tvarkymo sistemų turi būti taikomas dviejų veiksnių autentifikavimas. Kitų darbuotojų prisijungimui prie asmens duomenų tvarkymo sistemų, kai įmanoma, dviejų veiksnių autentifikavimas taikomas, kai į tokias sistemas jungiamasi ne iš vidinio kompiuterių tinklo.

56.     Darbuotojas yra atsakingas už jo slaptažodžių konfidencialumą. Draudžiama atskleisti naudojamus slaptažodžius kitiems darbuotojams ar kitiems neįgaliotiems asmenims.

57.     Slaptažodžiai turi būti nedelsiant pakeičiami, jei įtariama, kad slaptažodžių saugumas yra pažeistas (slaptažodis tapo prieinamas neįgaliotiems asmenims ar kt.).

58.     Techninėmis priemonėmis turi būti užtikrinta, kad tinklu perduodami ar automatiniu būdu saugomi slaptažodžiai būtų šifruoti.

59.     Turi būti registruojami sėkmingi ir nesėkmingi naudotojų bandymai prisijungti prie paskyrų, turi būti ribojamas kelių iš eilės nesėkmingų prisijungimų skaičius, blokuojant naudotojo paskyrą.

60.     Techninėmis priemonėmis turi būti užtikrinama, jog nenaudojant kompiuterio daugiau nei 15 minučių, automatiškai aktyvuojama ekrano užsklanda. Norint toliau naudotis kompiuteriu, turi būti privaloma įvesti naudotojo slaptažodį.

61.     Jei darbuotojas Komisijos pirmininko sutikimu naudoja darbui nuosavas elektronines darbo priemones, būtina užtikrinti, kad nuosavuose įrenginiuose bus įdiegtos tokios pačios apsaugos priemonės, kokios yra įdiegiamos VTEK įrenginiuose. Neužtikrinus tinkamos apsaugos, nuosavus įrenginius naudoti darbui draudžiama.

62.     Naudojant darbui nuosavus įrenginius, darbuotojas privalo darbo tikslais sukurti ir šio Aprašo reikalavimus atitinkančiu slaptažodžiu apsaugoti atskirą paskyrą ir / arba naudoti kitas priemones, kurios padėtų atskirti duomenis, tvarkomus vykdant darbo funkcijas, nuo duomenų, tvarkomų asmeniniais tikslais.

63.     Jei darbuotojas Komisijos pirmininko sutikimu naudoja darbui nuosavus įrenginius, VTEK turi teisę motyvuotai paprašyti darbuotojo nedelsiant sudaryti galimybę VTEK darbuotojams ar Paslaugų teikėjams susipažinti su darbuotojo nuosavuose įrenginiuose esančiais duomenimis.

64.     VTEK turi teisę darbuotojui priklausančiuose nuosavuose įrenginiuose esančius asmens duomenis, susijusius su darbuotojo darbo funkcijų vykdymu, savo nuožiūra naudoti ir / arba tokius duomenis ištrinti.

65.     Kai darbuotojas baigia tarnybą VTEK arba nutraukia sutartį su VTEK, jis privalo VTEK atstovo akivaizdoje ištrinti visus su darbu VTEK susijusius asmens duomenis iš nuosavų įrenginių ir išorinių laikmenų. Darbuotojas taip pat turi sudaryti galimybę VTEK atstovui peržiūrėti darbo tikslams naudotus įrenginius ir įsitikinti, jog su darbu VTEK susiję asmens duomenys yra tinkamai ištrinti.

66.     VTEK užtikrina patekimo į patalpas kontrolę ir apsaugą, kuri apima apsaugos (judesio) signalizaciją ir kitas priemones.

67.     Pašaliniai asmenys į VTEK tarnybines patalpas gali patekti tik lydimi VTEK darbuotojų.

68.     Ne darbo metu VTEK patalpose nesant VTEK darbuotojų, įjungiama signalizacija. Signalizaciją įjungia paskutinis iš patalpų išeinantis VTEK darbuotojas.

69.     Tarnybinėms stotims, kompiuterizuotoms darbo vietoms ir tinklo komutatoriams užtikrinamas atsarginis elektros tiekimas naudojant centrinį nepertraukiamo maitinimo šaltinį. 

70.     VTEK patalpose įrengta priešgaisrinė signalizacija, įspėjimo apie gaisrą sistema, ir ugnies gesintuvai (CO2).

71.     Tarnybinių stočių patalpoje tinkamas aplinkos drėgnumas ir patalpų temperatūra užtikrinami naudojant kondicionavimo sistemą.

72.     Dokumentai, kuriuose yra asmens duomenų, saugomi rakinamose spintose, seifuose arba rakinamose patalpose, į kurias pašaliniai asmenys neįleidžiami.

73.     Fizinės saugos priemonių patikrinimas atliekamas ne rečiau kaip kartą per metus arba kitais teisės aktų nustatytais terminais.

74.     VTEK priklausanti įranga yra laikoma VTEK patalpose, išskyrus:

75.     VTEK naudojama komunalinių paslaugų įranga (elektros skydinė, vandens tiekimo įranga, šildymo ir kondicionavimo įranga) turi būti tinkamai prižiūrima, užtikrinant jos nepertraukiamą veikimą. Tuo tikslu, atsiradus komunalinių paslaugų įrangos gedimams ar iškilus kitokioms su šiomis paslaugomis susijusioms problemoms, apie tai nedelsiant informuojamas VTEK administracinių patalpų valdytojas.

76.     VTEK naudojami elektros maitinimo ir telekomunikacijų kabeliai turi būti prižiūrimi ir apsaugoti (prisijungimas prie jų turi būti autorizuotas, kabelių mazgai turi būti paslėpti) nuo slapto prisijungimo, trukdžių ir pažeidimų.

77.     VTEK naudojama įranga turi būti techniškai prižiūrima, atliekant reguliarius jos patikrinimus pagal įrangos gamintojo pateiktas specifikacijas, o įrangos priežiūrą gali atlikti tik tinkamą kompetenciją turintys specialistai.

78.     Stacionariai VTEK įrangai, kuri yra ne VTEK patalpose, turi būti užtikrinama ne žemesnio lygio sauga kaip ir įrangai, kuri yra VTEK patalpose.

79.     Įrangos, kuri yra laikoma Paslaugų teikėjų patalpose, saugumas turi būti užtikrinamas įtraukiant informacijos saugos reikalavimus į sutartį su Paslaugų teikėju. Paslaugų teikėjo atsakomybė ir įsipareigojimai įtvirtinami sutartyje vadovaujantis BDAR nuostatomis.

80.     Nebenaudotina stacionari įranga turi būti saugiai sunaikinama, užtikrinant, kad joje esantys asmens duomenys yra sunaikinti ir negali būti atkurti.

81.     Keičiant darbuotojo elektronines darbo priemones, informacija iš darbuotojo turėtų elektroninių darbo priemonių turi būti perkeliama į naują priemonę, o turėta įranga paruošiama pakartotiniam naudojimui.

82.     Nebenaudotinos elektroninės darbo priemonės gali būti parduodamos, atiduodamos labdarai, atiduodamos sunaikinimui prieš tai įsitikinus, jog įrenginiuose buvę asmens duomenys yra sunaikinti ir negali būti atkurti.

83.     Nešiojamos įrangos (elektroninių darbo priemonių) negalima palikti be priežiūros ne VTEK patalpose, išskyrus atvejus, kai nešiojama įranga paliekama saugioje ir ne visiems prieinamoje bei matomoje vietoje, pavyzdžiui, mašinos bagažinėje, užrakintame susitikimų kambaryje. Skrydžio metu įrangą privaloma laikyti rankiniame bagaže.

84.     Darbuotojai turi laikytis Švaraus stalo ir Švaraus ekrano politikos.

85.     Švaraus stalo politika reiškia, kad:

86.     Švaraus ekrano politika reiškia, kad:

87.     VTEK naudojama ugniasienė, antivirusinė, programinės įrangos kontrolės ir kita programinė įranga, skirta realiu metu stebėti, aptikti, blokuoti ir šalinti nesankcionuotą ar kenksmingą programinę įrangą. Ši įranga turi nuolat, bet ne rečiau kaip kartą per savaitę, automatiškai pasitikrinti dėl atnaujinimų gamintojo svetainėje ir informuoti administratorių apie reikšmingus įvykius. Darbuotojams draudžiama savarankiškai keisti programinės įrangos atnaujinimų nustatymus.

88.     Jei suteikiama galimybė prie VTEK tvarkomų asmens duomenų jungtis nuotoliniu būdu, turi būti jungiamasi naudojant virtualų privatų tinklą (VPN).

89.     Darbuotojams draudžiama leisti kitiems asmenims naudotis jiems darbo vietoje priskirta kompiuterine įranga ar savo prieigos vardu (prisijungimo vardu ir slaptažodžiu), išsinešti stacionarią kompiuterinę įrangą iš VTEK patalpų.

90.     Kompiuterinėse darbo vietose antivirusinė programinė įranga turi automatiškai pradėti skenuoti į kompiuterį įdėtą išorinę duomenų laikmeną. Darbo vietų kompiuteriuose gali būti naudojamos tik darbo reikmėms skirtos išorinės duomenų laikmenos. Darbuotojams draudžiama asmeniniais tikslais asmens duomenis išsinešti už VTEK ribų išorinėse laikmenose (CD / DVD, USB, kt.).

91.     VTEK atsarginės automatiniu būdu tvarkomų asmens duomenų kopijos daromos reguliariai. Kas savaitę daroma pilna kopija, kasdien – pridedamoji kopija. Atsarginių kopijų tikslas – užtikrinti asmens duomenų prieinamumą ir vientisumą.

92.     Atsarginių kopijų darymo procesas turi būti stebimas, siekiant užtikrinti užbaigtumą ir išsamumą.

93.     Atsarginės kopijos turi būti reguliariai testuojamos, siekiant užtikrinti, kad jos galėtų būti patikimai naudojamos ekstremalioje situacijoje.

94.     Atsarginės kopijos turi būti šifruojamos ir saugiai laikomos visiškai atjungus (angl. offline) nuo kompiuterinių tinklų.

95.     Atsarginių kopijų laikmenoms privalo būti užtikrintas tinkamas fizinis aplinkos, patalpų saugos lygis, priklausantis nuo saugomų duomenų.

96.     Atsarginės kopijos turi būti saugiai laikomos skirtingose vietose, kurios turi būti geografiškai nutolusios viena nuo kitos.

97.     Informacinėse sistemose turi būti įdiegta įsibrovimo (įsilaužimo) aptikimo ir prevencijos sistema.

98.     Informacijos saugos įvykiai informacinėse sistemose turi būti registruojami. Siekiant užtikrinti, kad visi informacinių sistemų nesklandumai būtų nustatyti, yra naudojami įvykių, veiksmų ir klaidų registravimo žurnalai, įtraukiant įvykių datą, laiką ir įvykio informaciją. Prisijungimai prie informacinių sistemų (kas ir kada jungėsi, kokius pakeitimus ar kitus veiksmus atliko) protokoluojami pagal konkrečios sistemos funkcines galimybes ir saugomi 6 mėnesius.

99.     Įvykių žurnaluose yra asmens duomenų, todėl jiems yra taikomos atitinkamos organizacinės ir techninės saugumo priemonės.

100.   Tarnybinių stočių saugumo įvykių žurnalai turi būti reguliariai peržiūrimi bent kartą per mėnesį.

101.   Privilegijuotiems naudotojams (administratoriams) draudžiama trinti ar išjungti savo veiklos audito įrašų įrašymo funkciją.

102.   Visų VTEK naudojamų informacijos apdorojimo sistemų laikrodžiai privalo būti sinchronizuoti pagal tikslų laiko šaltinį. Tarnybinėse stotyse ir kompiuteriuose laikas sinchronizuojamas nustatytais laiko intervalais siunčiant užklausas į tinklo laiko protokolo (angl. Network Time Protocol) serverius.

103.   Serverių operacinės sistemos ir įdiegtos programinės įrangos atnaujinimas vykdomas ne darbo metu numatytomis techninio aptarnavimo valandomis, prieš tai informavus VTEK darbuotojus. Prieš serverių atnaujinimą būtina išsaugoti rezervinę serveriuose saugomos informacijos kopiją.

104.   Darbo vietų kompiuterių operacinių sistemų atnaujinimas atliekamas centralizuotai ir, jei techniškai įmanoma, automatiškai, prieš tai apie keitimo poveikį darbui informavus darbuotojus.

105.   Darbo vietų kompiuteriai privalo būti reguliariai perkraunami, kad įsigaliotų įdiegti atnaujinimai.

106.   Atnaujinimai diegiami tik atlikus išsamų bei sėkmingą testavimą dėl pakeitimo poveikio operacinei sistemai, naudotojo sąsajai ir kitoms įdiegtoms informacinėms sistemoms.

107.   Reguliariai, ne rečiau kaip kartą per metus, turi būti atliekamas VTEK IT infrastruktūros techninio pažeidžiamumo vertinimas.

108.   Techninio pažeidžiamumo vertinimo metu nustatyti trūkumai, priklausomai nuo kritiškumo, turi būti šalinami nedelsiant arba sudaromas trūkumų šalimo priemonių planas, numatomi trūkumų šalinimo terminai, paskiriami atsakingi asmenys ir biudžetas.

109.   Darbuotojams draudžiama darbo vietų kompiuteriuose savo nuožiūra diegti programinę įrangą.

110.   Esant poreikiui darbo vietos kompiuteryje įdiegti nestandartinę programinę įrangą, darbuotojas turi kreiptis į IT saugos įgaliotinį, kuris, įvertinęs su konkrečia programine įranga susijusią riziką, suteiks leidimą ją įdiegti (įdiegs) arba pasiūlys naudoti alternatyvų sprendimą.

111.   Nestandartinė programinė įranga gali būti diegiama tik atlikus išsamų bei sėkmingą jos poveikio operacinei sistemai, naudotojo sąsajai, kitoms informacinėms sistemoms testavimą.

112.   Kiekvienas naujas prie tinklo prijungiamas informacijos apdorojimo įrenginys turi atitikti šiuos minimalius saugumo reikalavimus:

113.   Prieiga prie IT sistemos turi būti atliekama tik iš patvirtintų įrenginių ir terminalų, naudojant tam skirtas technologijas, pvz., MAC adresų filtravimą arba tinklo prieigos kontrolę.

114.   Perduodant asmens duomenis elektroniniu būdu, turi būti naudojami saugūs informacijos perdavimo kanalai ir laikmenos:

115.   Asmens duomenys gali būti perduodami ir popierinėje formoje, užtikrinant, jog ji yra perduodama tiesiogiai klientui, naudojantis patvirtintomis informacijos perdavimo paslaugomis: asmeniškai; registruotu laišku; per kurjerius.

116.   Kitų elektroninės informacijos apsikeitimo platformų naudojimas galimas tik įsitikinus jų patikimumu.

117.   Sutartyse su trečiosiomis šalimis turi būti numatomi tinkami apsikeitimo asmens duomenimis būdai ir su tuo susiję saugumo reikalavimai.

118.   Asmeninės elektroninio pašto dėžutės, socialinių tinklų platformų naudojimas susirašinėjimui darbo tikslais yra draudžiamas.

119.   Su trečiosiomis šalimis privaloma pasirašyti konfidencialumo susitarimus arba atitinkamas nuostatas įtraukti į sutartis. Su VTEK darbuotojais, tvarkančiais asmens duomenis ar galinčiais su jais susipažinti, pasirašomi konfidencialumo pasižadėjimai.

120.   Už konfidencialumo užtikrinimo procesų koordinavimą bei priežiūrą yra atsakingas Komisijos pirmininkas ar kitas jo įgaliotas asmuo.

121.   Naujų informacinių sistemų ar funkcionalumų kūrimas turi vykti saugioje, nuo eksploatavimo atskirtoje aplinkoje.

122.   Visi pakeitimai ir pakeitimų prašymai turi būti registruojami, fiksuojant jų statusų pakeitimus, statusų pakeitimo autorius bei laiką.

123.   Prieš vykdant informacinių sistemų pakeitimus turi būti užtikrinama, kad pakeitimai yra apsvarstyti, ištestuoti bei patvirtinti, kad jie būtų įdiegti tinkamai ir nesukeltų neigiamo poveikio darbui ar informacinėms sistemoms.

124.   Visi pakeitimai turi būti diegiami iš anksto numatytu ir suderintu laiku, siekiant kuo mažiau trukdyti VTEK veiklai.

125.   Apie pakeitimų, kurie gali turėti įtakos informacinių sistemų ar jų naudotojų darbui, diegimą turi būti informuojami naudotojai.

126.   Prieš diegiant pakeitimą turi būti įsitikinama, jog susidarius nenumatytoms aplinkybėms, bus galima atstatyti iki pakeitimo buvusius funkcionalumus ir užtikrinti VTEK veiklos tęstinumą.

127.   Už tinkamą pakeitimo diegimą atsakingas IT saugos įgaliotinis.

128.   Prieš priimant sukurtą informacinę sistemą turi būti atliekamas sistemos priėmimo testavimas.

129.   Priėmimo testavimo metu yra testuojamas informacijos saugos atitikimas reikalavimams bei informacinės sistemos atitikimas specifikacijai.

130.   Už diegiamos sistemos saugumo testavimo procesus atsakingas IT saugos įgaliotinis.

131.   Atliekant testavimą, neturi būti naudojami asmens duomenys. Jeigu tokie duomenys yra būtini testavimo atlikimui, turi būti užtikrinama, jog jie yra pakeičiami, užmaskuojami, o atlikus testavimą ištrinami iš testavimo aplinkos.

132.   Šifravimo priemonių tikslas – užtikrinti tinkamą ir efektyvų šifravimo priemonių panaudojimą, kad būtų apsaugotas informacijos konfidencialumas, vientisumas ir prieinamumas.

133.   Administratorius atsakingas už šifravimo priemonių parinkimą, šifravimo raktų tvarkymą ir kontrolę.

134.   Šifravimo priemonės turi būti taikomos, perduodant padidinto konfidencialumo informaciją elektroniniu paštu, keičiamose laikmenose, duomenų teikimo sutartyse numatytais būdais, dirbant nuotoliniu būdu. Darbuotojas, ketinantis perduoti ar tvarkyti padidinto konfidencialumo informaciją šiame punkte numatytais būdais, privalo kreiptis į IS administratorius, kad šie parinktų tinkamas šifravimo priemones.

135.   Saugaus elektroninės informacijos teikimo ir (arba) gavimo užtikrinimui duomenys turi būti teikiami šifruotais duomenų perdavimo kanalais, naudojant specialius protokolus.

136.   Visi šifravimo raktai turi būti apsaugoti nuo modifikacijų, praradimų, neautorizuoto panaudojimo ir atskleidimo.

137.   Techninė įranga, naudojama raktų generavimui, saugojimui ir archyvavimui, turi būti fiziškai apsaugota.

138.   Šifravimo raktai turi būti generuojami tokiu būdu, kuris nebūtų praktiškai nuspėjamas, o sugeneruoti raktai būtų sunkiai atspėjami. Šiam tikslui turi būti naudojami atsitiktinių ar pseudo-atsitiktinių skaičių generatoriai.

139.   Šifravimo raktai neturi būti saugomi kompiuterio atmintyje, jei kompiuteris leidžia kelių naudotojų darbą vienu metu, nebent raktai yra šifruoti.

140.   Nešifruoti šifravimo raktai turi būti apsaugoti nuo atskleidimo tretiesiems asmenims.

141.   Šifravimo raktai negali būti siunčiami ir saugomi toje pačioje laikmenoje, kaip ir šifruota informacija.

142.   Pasibaigus naudojimo laikotarpiui šifravimo raktai turi būti sunaikinti be galimybės atstatyti.

143.   Sutartyse su tiekėjais, kuriems yra suteikiama prieiga prie VTEK informacijos ir (ar) IT išteklių, turi būti įtraukti informacijos saugumo reikalavimai, susiję su veiklos ir techniniais reikalavimais, įskaitant ir nuostatas dėl konfidencialumo užtikrinimo. Tiekėjams prieiga prie VTEK IT išteklių gali būti suteikiama tik tokios apimties, kiek tai būtina sutarčiai įgyvendinti ir nedelsiant panaikinama, pasibaigus sutartiniams santykiams.

144.   Sutartyse iš tiekėjų turi būti reikalaujama pasibaigus paslaugų teikimui grąžinti visą įstaigos turtą ir gautą informaciją arba sunaikinti ją.

145.   Tiekėjų teikiamos paslaugos turi būti stebimos ir pagal poreikį turi būti atliekamas tiekėjų paslaugų įvertinimas, atsižvelgiant į sutartyse nustatytų informacijos saugumo reikalavimų laikymąsi.

146.   Tiekėjai, kuriems suteikiama prieiga prie VTEK tvarkomų asmens duomenų, laikomi asmens duomenų tvarkytojais ir tokia prieiga gali būti suteikiama tik VTEK ir tiekėjui pasirašius sutartį, reglamentuojančią VTEK, kaip duomenų valdytojo, ir tiekėjo, kaip duomenų tvarkytojo, santykius. Duomenų tvarkytojas turi pateikti dokumentais pagrįstus įrodymus dėl atitikties jam keliamiems reikalavimams.

147.   Sutartyje turi būti įtvirtinta pareiga duomenų tvarkytojui nedelsiant pranešti VTEK apie nustatytus asmens duomenų saugumo pažeidimus, Komisijos teisė tikrinti, kaip duomenų tvarkytojas laikosi nustatytų asmens duomenų tvarkymo ir apsaugos reikalavimų, kitos duomenų valdytojo ir duomenų tvarkytojo pareigos, kaip reikalaujama pagal Reglamento 28 straipsnį.

148.   Organizacinių ir techninių saugumo priemonių efektyvumas reguliariai (ne rečiau kaip kartą per dvejus metus) peržiūrimas. Nustatyti trūkumai, priklausomai nuo kritiškumo, yra šalinami nedelsiant arba sudaromas trūkumų šalimo priemonių planas, paskiriami atsakingi asmenys ir biudžetas.

149.   Aprašas peržiūrimas ir prireikus atnaujinamas ne rečiau kaip kartą per metus.

150.   VTEK darbuotojai su Aprašu supažindinami pasirašytinai arba per dokumentų valdymo sistemą.

151.   Darbuotojams, tvarkantiems asmens duomenis, periodiškai (ne rečiau kaip kartą per metus) organizuojami asmens duomenų apsaugos ir saugumo mokymai.