LIETUVOS RESPUBLIKOS ŠVIETIMO, MOKSLO IR SPORTO MINISTRAS
ĮSAKYMAS
DĖL SPORTO REGISTRO INFORMACINės SISTEMos DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2024 m. rugpjūčio 23 d. Nr. V-904
Vilnius
Vadovaudamasi Lietuvos Respublikos kibernetinio saugumo įstatymo 11 straipsnio 1 dalies 5 punktu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 12, 19 ir 26 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 5.3 papunkčiu:
2. Pavedu Nacionalinei sporto agentūrai prie Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos (toliau – NSA):
2.1. per vieną mėnesį nuo šio įsakymo įsigaliojimo dienos paskirti Sporto registro informacinės sistemos saugos įgaliotinį ir administratorių;
3. Skiriu NSA atsakinga už Sporto registrui reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi.
PATVIRTINTA
Lietuvos Respublikos švietimo, mokslo ir sporto ministro
2024 m. rugpjūčio 23 d.
įsakymu Nr. V-904
SPORTO REGISTRO INFORMACINės SISTEMos
DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Sporto registro informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos (toliau – ŠMSM) valdomos bei Nacionalinės sporto agentūros prie Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos (toliau – NSA) tvarkomos Sporto registro informacinės sistemos (toliau – Registras) elektroninės informacijos saugos ir kibernetinio saugumo politiką (toliau – elektroninės informacijos saugos politika).
2. Registro elektroninės informacijos saugos politika įgyvendinama pagal švietimo, mokslo ir sporto ministro tvirtinamus Registro saugos politiką įgyvendinančius dokumentus: saugaus elektroninės informacijos tvarkymo taisykles, naudotojų administravimo taisykles, veiklos tęstinumo valdymo planą (toliau – saugos politiką įgyvendinantys dokumentai). Saugos nuostatuose vartojamos sąvokos atitinka 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas), Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas).
3. Registro elektroninės informacijos sauga – tai elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas.
4. Registro elektroninės informacijos saugos ir kibernetinio saugumo (toliau – elektroninės informacijos sauga) užtikrinimo tikslai:
4.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo, taip pat nuo bet kokio kito neteisėto tvarkymo;
5. Registro elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
6. Registro elektroninės informacijos saugai užtikrinti kompleksiškai naudojamos organizacinės, techninės ir programinės priemonės.
7. Saugos nuostatų reikalavimai taikomi:
7.3. Registro tvarkytojo paskirtam saugos įgaliotiniui – darbuotojui, dirbančiam pagal darbo sutartį, koordinuojančiam ir prižiūrinčiam saugos politikos įgyvendinimą;
7.4. Registro administratoriui – darbuotojui, dirbančiam pagal darbo sutartį, prižiūrinčiam Registro ir (ar) jos infrastuktūrą, užtikrinančiam jos veikimą ir elektroninės informacijos saugą, ar kitam asmeniui (asmenų grupei), kuriam Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka yra perduotos Registro ir (ar) jos infrastuktūros priežiūros funkcijos;
7.5. Registro naudotojams – darbuotojams, dirbantiems pagal darbo sutartį, ar kitiems asmenims, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantiems ir (ar) tvarkantiems elektroninę informaciją;
9. Registro valdytojas atsako už Registro elektroninės informacijos saugos politikos formavimą, jos įgyvendinimo organizavimą ir priežiūrą, elektroninės informacijos ir duomenų tvarkymo bei duomenų teikimo duomenų gavėjams teisėtumą. Registro tvarkytojas atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.
10. Registro naudotojai, tvarkantys duomenis, informaciją, dokumentus ir (arba) jų kopijas, privalo įsipareigoti saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir nutraukus su duomenų, informacijos, dokumentų ir (arba) jų kopijų tvarkymu susijusią veiklą.
11. Paslaugų, susijusių su Registru, teikėjai privalo įsipareigoti saugoti duomenų ir informacijos paslaptį bei pasirašyti konfidencialumo pasižadėjimą. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir pasibaigus paslaugų teikimo laikui ar nutraukus šią veiklą.
12. Registro valdytojas atlieka Registro nuostatuose nustatytas funkcijas, o taip pat:
12.1. tvirtina Saugos nuostatus, saugos politiką įgyvendinančius dokumentus, kitus dokumentus, susijusius su elektroninės informacijos sauga;
12.2. prižiūri ir kontroliuoja, kad Registras būtų tvarkomos vadovaujantis Registro nuostatais, Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais duomenų saugą reglamentuojančiais teisės aktais;
12.3. priima sprendimus dėl techninių ir programinių priemonių, būtinų elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
12.4. tvirtina Registro rizikos įvertinimo ir rizikos valdymo priemonių planą ir informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą; esant poreikiui šie planai gali būti sujungti ir tvirtinamas bendras planas;
12.5. koordinuoja Registro tvarkytojo darbą įgyvendinant elektroninės informacijos saugos reikalavimus;
12.6. nagrinėja Registro tvarkytojo pasiūlymus dėl Registro elektroninės informacijos saugos priemonių tobulinimo ir priima dėl jų sprendimus;
13. Registro tvarkytojas atlieka Registro nuostatuose nustatytas funkcijas, o taip pat:
13.3. užtikrina tinkamą Saugos nuostatų, Registro saugos politiką įgyvendinančių dokumentų, kitų dokumentų, susijusių su elektroninės informacijos sauga, įgyvendinimą;
13.4. rengia Registro rizikos įvertinimo ir rizikos valdymo priemonių planą ir informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą; esant poreikiui šie planai gali būti sujungti ir rengiamas bendras planas;
13.5. teikia siūlymus Registro valdytojui dėl Registro elektroninės informacijos saugos tobulinimo, Registro saugos dokumentų priėmimo, keitimo arba panaikinimo, Registro techninių ir programinių priemonių, būtinų Registro elektroninės informacijos saugai užtikrinti;
13.7. skiria Registro saugos įgaliotinį bei Registro administratorių, paveda jiems atlikti funkcijas nustatytas Registro nuostatuose, Registro saugos politiką įgyvendinančiuose dokumentuose;
13.8. vykdo kibernetinio saugumo organizavimo ir užtikrinimo funkcijas, nustatytas Kibernetinio saugumo įstatyme, Kibernetinio saugumo reikalavimų apraše ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose;
14. Registro tvarkytojo paskirtas saugos įgaliotinis atlieka šias funkcijas:
14.1. teikia Registro tvarkytojo vadovui pasiūlymus dėl:
14.3. supažindina su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir atsakomybe už juose nustatytų reikalavimų nesilaikymą Registro tvarkytojo naudotojus;
14.4. rengia Registro saugos dokumentus, teikia Registro valdytojui pasiūlymus dėl Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų priėmimo ir keitimo;
14.5. kasmet organizuoja saugos mokymus, reguliariai primena saugos problemas, teikia konsultacijas ir rekomendacijas (elektroniniu paštu, telefonu ir kt. būdais), prireikus rengia atmintines Registro tvarkytojo naudotojams;
14.6. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Registre, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis tokius incidentus ir neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;
14.7. informuoja Registro valdytoją ir kompetentingas institucijas apie neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią Registro saugą;
14.8. informuoja už kibernetinio saugumo organizavimą ir užtikrinimą NSA atsakingą asmenį (toliau – už kibernetinį saugumą atsakingas asmuo) apie kibernetinio saugumo incidentus;
14.9. teikia Registro naudotojams ir Registro administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;
14.10. pagal kompetenciją kitiems Registro valdytojo ir tvarkytojo darbuotojams duoda privalomus vykdyti nurodymus ir pavedimus, būtinus saugos politikai įgyvendinti;
14.12. rengia ir ne rečiau kaip kartą per metus peržiūri autorizuotų nuotoliniam prisijungimui Registro naudotojų sąrašą;
15. Registro administratoriaus funkcijos:
15.3. stebi ir įvertina Registro ir jo sudedamųjų dalių (tarnybinių stočių (programų, duomenų bazių valdymo sistemų), kompiuterių tinklo programinės ir duomenų perdavimo įrangos) sąrankos (kaip vienos visumos) veikimą, būklės rodiklius, nustato Registro pažeidžiamas vietas; ne rečiau kaip kartą per metus ir (ar) įdiegus Registro pokyčius patikrina (peržiūri) Registro sąranką ir Registro būsenos rodiklius;
15.7. pagal kompetenciją dalyvauja atliekant Registro saugos atitikties ir (ar) rizikos įvertinimo procedūras;
15.8. teikia pasiūlymus Registro saugos įgaliotiniui ir už kibernetinį saugumą atsakingam asmeniui dėl Registro saugos organizavimo, atlieka kitas Saugos nuostatuose ir kituose saugos dokumentuose nustatytas funkcijas;
15.9. pagal kompetenciją teikia Registro tvarkytojo vadovui pasiūlymus dėl Registro palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;
15.10. registruoja elektroninės informacijos saugos incidentus ir informuoja apie juos Registras saugos įgaliotinį, teikia pasiūlymus dėl minėtų incidentų pašalinimo;
15.11. įvertina Registro naudotojų pasirengimą dirbti su Registru, konsultuoja juos, kaip dirbti su Registru;
16. Registro administratorius privalo vykdyti saugos įgaliotinio ir (ar) už kibernetinį saugumą atsakingo asmens nurodymus ir pavedimus dėl Registro elektroninės informacijos saugos ir (ar) kibernetinio saugumo užtikrinimo, pagal kompetenciją reaguoti į saugos ir (ar) kibernetinius incidentus, juos valdyti ir nuolat teikti saugos įgaliotiniui ir (ar) už kibernetinį saugumą atsakingam asmeniui informaciją apie saugą užtikrinančių pagrindinių Registro sudedamųjų dalių būklę.
17. Registro tvarkytojo paskirtas saugos įgaliotinis negali atlikti Registro administratoriaus funkcijų.
18. Registro naudotojų funkcijos:
18.1. vadovaudamiesi Saugos nuostatais, Registro naudojimo instrukcijomis ir pareigybių aprašymais, naudoja Registrą;
18.2. tvarko Registro elektroninę informaciją ir naudojasi kitomis Registro teikiamomis galimybėmis pagal nustatytą funkcijoms atlikti reikalingą Registro prieigos teisių lygmenį, kuris apriboja naudojimosi elektronine informacija apimtį;
18.3. pagal kompetenciją rengia pasiūlymus dėl Registro kūrimo, palaikymo, priežiūros ir elektroninės informacijos saugos;
19. Teisės aktai, kuriais vadovaujantis tvarkoma Registro elektroninė informacija ir užtikrinama jos sauga:
19.7. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Atitikties vertinimo metodika);
19.8. Lietuvos standartai LST ISO/IEC 27001:2017 ir LST ISO/IEC 27002:2017 bei Lietuvos ir tarptautiniai „Informacijos technologijos. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;
19.9. Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2003 m. balandžio 18 d. nutarimu Nr. 480 „Dėl Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms aprašo patvirtinimo“ (toliau – Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms aprašas);
II skyrius
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
20. Registro rizikos įvertinimas atliekamas vadovaujantis šiomis nuostatomis:
20.1. Registro rizikos įvertinimas atliekamas ne rečiau kaip kartą per metus, jeigu teisės aktuose nenustatyta kitaip;
20.2. neeilinis Registro rizikos įvertinimas atliekamas padarius esminius Registro funkcinius pakeitimus arba kai atsiranda naujų informacinių technologijų saugos srities reikalavimų, arba po didelio masto saugos ir (ar) kibernetinių incidentų, kai nustatoma naujų rizikos formų;
20.3. rizikos veiksniams įvertinti naudojama kokybinė rizikos vertinimo sistema vadovaujantis metodika, pateikta Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos interneto svetainėje skelbiamame Rizikos analizės vadove, Lietuvos ir tarptautiniais „Informacinės technologijos. Saugumo metodai“ grupės standartais ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais.
21. Registro saugos įgaliotinis organizuoja Registro rizikos vertinimą, kuriam atlikti sutartiniais pagrindais gali būti samdomi tretieji asmenys.
22. Įdiegus Registro pokyčius (sistemos pakeitimai, konfigūracijų pakeitimai, programinės įrangos versijų naujinimas, papildymas naujomis taikomosiomis programomis, taikomųjų programų pašalinimas ir kt.) arba atlikus esminius organizacinius ar sisteminius pokyčius ir nustačius naujus rizikos veiksnius, gali būti organizuojamas neeilinis Registro rizikos vertinimas.
23. Registro rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri teikiama Registro valdytojo vadovui. Rizikos įvertinimo ataskaita rengiama įvertinus rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus.
24. Atsižvelgdamas į rizikos vertinimo ataskaitą, Registro valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
25. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano duomenis bei jų kopijas Registro saugos įgaliotinis ne vėliau kaip per 5 darbo dienas nuo šių dokumentų patvirtinimo pateikia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą (toliau – ARSIS).
26. Registro informacinių technologijų saugos atitikties vertinimas atliekamas Atitikties vertinimo metodikoje nustatyta tvarka.
27. Informacinių technologijų saugos atitikties vertinimo organizavimas:
27.1. siekiant užtikrinti Registro saugos dokumentuose nustatytų Registro elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų įgyvendinimo organizavimą ir kontrolę, ne rečiau kaip kartą per metus, jei teisės aktuose nenustatyta kitaip, organizuojamas informacinių technologijų saugos atitikties vertinimas;
27.2. informacinių technologijų saugos atitikties vertinimas atliekamas Atitikties vertinimo metodikoje nustatyta tvarka;
27.3. atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama Registro valdytojo ir Registro tvarkytojo vadovams;
28. Registro informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas Registro saugos įgaliotinis ne vėliau kaip per 5 darbo dienas nuo šių dokumentų priėmimo pateikia ARSIS.
29. Registro informacinių technologijų saugos priemonės parenkamos įvertinus galimus rizikos elektroninės informacijos vientisumui, konfidencialumui ir prieinamumui veiksnius.
30. Elektroninės informacijos saugos ir kibernetinio saugumo būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis elektroninės informacijos saugos ir kibernetinio saugumo priemonėmis. Šios priemonės pasirenkamos atsižvelgiant į Registro valdytojo turimus išteklius, vadovaujantis šiais principais:
31. Ne rečiau kaip kartą per trejus metus Registro informacinių technologijų saugos reikalavimų atitikties vertinimą turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
33. Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo reikalavimai:
33.1. Registro tarnybinėse stotyse ir Registro naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga;
33.2. Registro darbui turi būti naudojama tik legali ir patikrinta programinė įranga, įtraukta į leistinos programinės įrangos sąrašą, patvirtintą NSA vadovo įsakymu. Leistinos programinės įrangos sąrašą turi parengti ir pagal poreikį peržiūrėti bei prireikus atnaujinti Registro saugos įgaliotinis kartu su administratoriumi;
33.3. tarnybinių stočių ir Registro naudotojų kompiuterių operacinės sistemos kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;
33.4. Registro administratorius reguliariai, ne rečiau kaip kartą per mėnesį, turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir jų įtaką Registro pažeidžiamumui. Apie įvertinimo rezultatus Registro administratorius turi informuoti Registro saugos įgaliotinį;
33.5. programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;
34. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:
34.1. kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant užkardas, automatinę įsilaužimų aptikimo ir prevencijos įrangą, atkirtimo nuo paslaugos, dedikuoto atkirtimo nuo paslaugos įrangą;
34.2. kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuosiuose ryšių tinkluose naršančių vidinių informacinių sistemų naudotojų kompiuterinę įrangą nuo kenksmingo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;
35. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:
35.2. tiesioginė prieiga prie Registro elektroninės informacijos suteikiama įgyvendinus Registro naudotojų autentifikavimo priemones – šie naudotojai savo tapatybę patvirtina slaptažodžiu ar kita autentifikavimo priemone;
35.3. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, naudojamas šifravimas, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas;
36. Saugos valdymo reikalavimai, keliami išorinei Registro svetainei:
36.1. svetainė turi atitikti Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms apraše bei Kibernetinio saugumo reikalavimų apraše nurodytiems reikalavimams;
36.2. svetainės užkarda turi būti sukonfigūruota taip, kad prie turinio valdymo sistemos (toliau – TVS) būtų galima jungtis tik iš Registro tvarkytojo vidinio kompiuterių tinklo arba nustatytų kompiuterio adresų (angl. Internet Protocol);
37. Programinės įrangos, skirtos Registrui apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
37.1. tarnybinėse stotyse ir Registro naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingos programinės įrangos aptikimo, stebėjimo realiuoju laiku priemonės;
37.2. Registro komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti naudojami, jeigu rizikos vertinimo metu patvirtinama, kad šių komponentų rizika yra priimtina;
37.3. Registro administratorius turi būti automatiškai informuojamas apie tai, kurių Registro naudotojų kompiuterių ar Registrą aptarnaujančios infrastruktūros serverių kenksmingos programinės įrangos aptikimo priemonių atsinaujinimas pradelstas nepriimtinai, kenksmingos programinės įrangos aptikimo priemonės netinkamai funkcionuoja arba yra išjungtos;
37.4. Registro administratorius turi būti automatiškai elektroniniu paštu informuojamas apie tai, kurių Registro posistemių, funkciškai savarankiškų Registro sudedamųjų dalių ir (ar) kitų Registro sudedamųjų dalių kenksmingos programinės įrangos aptikimo priemonių atsinaujinimo laikas yra pradelstas, kenksmingos programinės įrangos aptikimo priemonės netinkamai funkcionuoja arba yra išjungtos.
38. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
38.1. atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną Registro neveikimo laikotarpį (angl. recovery time objective);
38.3. atsarginių elektroninės informacijos kopijų darymo tvarka ir saugojimo terminai nustatomi Registro tvarkytojo vadovo įsakymu tvirtinamame atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkos apraše (toliau – Atsarginių kopijų aprašas); apie sutrikusias atsarginių kopijų darymo procedūras informuojamas Registro saugos įgaliotinis;
38.4. atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau kaip Atsarginių kopijų apraše nurodytais terminais;
38.5. atsarginės elektroninės informacijos kopijos turi būti tvarkomos taip, kad net ir praradus pagrindinį Registro duomenų centrą būtų užtikrinami priimtini atkūrimo taško (angl. recovery point objective, RPO) ir atkūrimo laiko (angl. recovery time objective, RTO) reikalavimai, siekiant maksimaliai sumažinti prastovos laiką ir duomenų praradimo riziką;
38.7. periodiškai, bet ne rečiau kaip kartą per metus, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;
39. Registro tarnybinės stotys ir duomenų perdavimo tinklo mazgai turi turėti rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne trumpiau kaip 30 minučių.
40. Registro naudotojams, kuriems atliekant tiesiogines pareigas būtina prisijungti iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie Registro galimybė:
40.1. techninis nuotolinio prisijungimo sprendimas turi užtikrinti elektroninės informacijos šifravimą naudojantis virtualiu privačiu tinklu (angl. virtual private network – VPN);
41. Registro funkcionalumo atkūrimo ir prieinamumo reikalavimai:
42. Perkant paslaugas, darbus ar įrangą, susijusius su Registro priežiūra, modernizavimu, modifikavimu ir (ar) kibernetinio saugumo užtikrinimu, Registro tvarkytojo pirkimo dokumentuose iš anksto turi būti nustatyta, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas privalo laikytis Registro saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį nustatytiems elektroninės informacijos saugos reikalavimams.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
43. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų saugos reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą ir kibernetinį saugumą, privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje.
44. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėjo mažiau kaip vieni metai.
45. Registro administratorius privalo išmanyti pagrindinius elektroninės informacijos saugos ir saugaus darbo su duomenų perdavimo tinklais principus, atsižvelgiant į atliekamas funkcijas atitinkamai turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą bei saugą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų bei saugos incidentų diagnostiką ir šalinimą, turėti sisteminių programinių priemonių (Windows, Unix, Oracle) administravimo ir priežiūros patirties.
46. Registro naudotojai turi būti susipažinę su Saugos nuostatais, saugos politikos įgyvendinimo dokumentais, pagal kompetenciją – ir su kitais teisės aktais bei standartais, reglamentuojančiais elektroninės informacijos saugą.
47. Registro naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti Registro administratoriui ir (ar) Registro saugos įgaliotiniui.
48. Registro naudotojai privalo:
48.1. turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti saugiai tvarkyti elektroninę informaciją;
48.2. nuolat kelti kvalifikaciją saugaus elektroninės informacijos tvarkymo kursuose, mokymuose, seminaruose;
49. Registro naudotojams draudžiama:
49.1. atskleisti kitiems asmenims prisijungimo prie Registro vardą, slaptažodį ar kitaip sudaryti sąlygas jais pasinaudoti;
49.2. naudoti Registro duomenis kitokiais, negu jų nuostatuose nurodytais, ir savo pareigybės aprašyme nustatytų funkcijų atlikimo tikslais;
49.3. sudaryti sąlygas pasinaudoti darbui su Registro naudojama technine ir programine įranga tokios teisės neturintiems asmenims (paliekant darbo vietą būtina užrakinti darbalaukį arba išjungti darbo stotį);
49.4. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti, sunaikinti ar atskleisti Registro duomenys, taip pat neatlikti būtinų veiksmų, apsaugančių informacinės sistemos duomenis;
50. Registro naudotojams ne rečiau kaip kartą per kalendorinius metus Registro saugos įgaliotinis turi surengti mokymus elektroninės informacijos saugos ir kibernetinio saugumo klausimais, įvairiais būdais priminti apie saugos problemas (pvz., siųsti priminimus elektroniniu paštu, rengti teminius seminarus, atmintines ir pan.).
51. Mokymai Registro naudotojams turi būti organizuojami periodiškai, bet ne rečiau kaip kartą per metus. Už mokymų organizavimą atsakingas saugos įgaliotinis.
V SKYRIUS
REGISTRO NAUDOTOJŲ IR ADMINISTRATORIAUS SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
53. Tvarkyti Registro elektroninę informaciją gali tik su Saugos nuostatais, saugos politikos įgyvendinimo dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant Registro elektroninę informaciją, užtikrinant jos saugą, susipažinę ir sutikę laikytis saugos dokumentuose nustatytų reikalavimų Registro naudotojai.
54. Registro naudotojų ir administratoriaus supažindinimą su Saugos nuostatais ir Registro saugos politikos įgyvendinimo dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą, atlieka Registro saugos įgaliotinis.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
56. Saugos įgaliotinis organizuoja Registro saugos dokumentų peržiūrą ne rečiau kaip kartą per metus. Saugos dokumentai turi būti peržiūrimi atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.
57. Registro Saugos nuostatų privalo laikytis Registro naudotojai, Registro administratorius, Registro saugos įgaliotinis ir Registro duomenų tvarkytojai.
58. Registro naudotojai, Registro administratorius ir Registro saugos įgaliotinis pagal savo kompetenciją atsako už Registro tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą. Registro naudotojai, Registro administratorius ir Registro saugos įgaliotinis, pažeidę saugos dokumentų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.