LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRO

KELMĖS RAJONO SAVIVALDYBĖS ADMINISTRACIJOS

DIREKTORIUS

ĮSAKYMAS

DĖL KELMĖS RAJONO SAVIVALDYBĖS ADMINISTRACIJOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO, SAUGOS ĮGALIOTINIO, ADMINISTRATORIAUS SKYRIMO IR SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ RENGIMO

2015 m. rugpjūčio 7 d. Nr. A-793

Kelmė

Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7.1 papunkčiu ir 11, 12, 19, 26 punktais:

1. Tvirtinu Kelmės rajono savivaldybės administracijos informacinės sistemos duomenų saugos nuostatus (pridedama).

2. Skiriu:

2.1. Kelmės rajono savivaldybės administracijos Bendrojo priėmimo skyriaus vyriausiąjį kompiuterininką Andrių Meškauską Kelmės rajono savivaldybės administracijos informacinės sistemos naudotojų administratoriumi.

2.2. Kelmės rajono savivaldybės administracijos Bendrojo priėmimo skyriaus vyriausiąjį kompiuterininką Darijų Janušką Kelmės rajono savivaldybės administracijos informacinės sistemos saugos įgaliotiniu.

3. P a v e d u Bendrojo priėmimo skyriui ne vėliau kaip per 2 mėnesius nuo šio įsakymo įsigaliojimo dienos parengti ir pateikti Kelmės rajono savivaldybės administracijos direktoriui tvirtinti saugos politiką įgyvendinančių dokumentų projektus.

4. S k e l b i u šį įsakymą savivaldybės interneto tinklalapyje www.kelme.lt ir Teisės aktų registre.

Administracijos direktorė Irena Sirusienė

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2015 m. birželio 30 d. raštu Nr. 1D-5734

PATVIRTINTA

Kelmės rajono savivaldybės

administracijos direktoriaus

2015 m. rugpjūčio 7 d.

įsakymu Nr. A-793

KELMĖS RAJONO SAVIVALDYBĖS ADMINISTRACIJOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I. SKYRIUS

BENDROSIOS NUOSTATOS

1. Kelmės rajono savivaldybės administracijos informacinės sistemos (toliau – SAIS) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja SAIS informacijos saugos politiką bei sąlygų sudarymą saugiam elektroninės informacijos tvarkymui automatiniu būdu, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar neteisėto jos tvarkymo.

2. Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, ir kituose teisės aktuose bei Lietuvos „Informacijos technologija. Saugumo metodai“ grupės standartuose.

3. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

3.1. elektroninės informacijos prieinamumo užtikrinimas;

3.2. elektroninės informacijos vientisumo užtikrinimas;

3.3. veiklos tęstinumo užtikrinimas;

3.4. elektroninės informacijos konfidencialumo užtikrinimas;

3.5. informacijos saugumo vadybos sistemos, atitinkančios Lietuvos standarto
LST ISO/IEC 27001:2013 reikalavimus, įdiegimas;

3.6. asmens duomenų apsauga;

3.7. SAIS naudotojų mokymas.

4. Nuostatai nustato SAIS saugos politiką, kurią įgyvendina:

4.1. Saugaus elektroninės informacijos tvarkymo taisyklės;

4.2. SAIS veiklos tęstinumo valdymo planas;

4.3. SAIS naudotojų administravimo taisyklės.

5. Elektroninės informacijos saugumo užtikrinimo tikslai:

5.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti SAIS elektroninę informaciją;

5.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

6. SAIS valdytojas – Kelmės rajono savivaldybės administracija, Vytauto Didžiojo g. 58, Kelmė (toliau – Administracija), SAIS tvarkytojas – Administracijos Bendrojo priėmimo skyrius.

7. SAIS valdytojo funkcijos:

7.1. metodiškai vadovauti SAIS tvarkytojui;

7.2. koordinuoti SAIS tvarkytojo ir techninės bei programinės įrangos priežiūros funkcijas teikiančio paslaugų teikėjo darbą, nustatyta tvarka atlikti jų veiklos priežiūrą;

7.3. atlikti elektroninės informacijos saugos reikalavimų laikymosi priežiūrą;

7.4. nagrinėti SAIS tvarkytojo pasiūlymus dėl SAIS elektroninės informacijos saugos tobulinimo ir priimti dėl jų sprendimus;

7.5. priimti įsakymus dėl SAIS elektroninės informacijos saugumo užtikrinimo;

7.6. užtikrinti veiksmingą ir spartų SAIS pokyčių valdymo planavimą;

7.7. skirti SAIS administratorius (toliau – administratoriai) arba pavesti juos paskirti SAIS tvarkytojui;

7.8. prireikus tvirtinti rizikos įvertinimo ir rizikos valdymo priemonių planą;

7.9. prireikus tvirtinti SAIS informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą;

7.10. tvirtinti SAIS plėtros strategijas;

7.11. atlikti kitas SAIS Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas;

7.12. atsakyti už saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.

8. SAIS tvarkytojo funkcijos:

8.1. teikti siūlymus SAIS valdytojui dėl SAIS eksploatavimo, priežiūros ir plėtrai skirtų techninių, programinių priemonių įsigijimo, organizuoti jų įdiegimą ir modernizavimą, pagal kompetenciją atlikti SAIS techninės, programinės įrangos priežiūros ir tobulinimo darbus;

8.2. užtikrinti SAIS nepertraukiamą veikimą;

8.3. Lietuvos Respublikos įstatymų ir kitų teisės aktų nustatyta tvarka organizuoti SAIS tarpusavio sąveiką ir jos sąveiką su valstybės registrais;

8.4. užtikrinti saugaus tarnybinio elektroninio pašto (@kelme.lt) paslaugos teikimą valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis;

8.5. esant pagrįstam poreikiui suteikti Savivaldybės reguliavimo srities įstaigų interneto tinklalapiams prieglobą, užtikrinti jų saugą;

8.6. organizuoti SAIS naudotojams mokomuosius ir pažintinius kursus SAIS elektroninės informacijos tvarkymo klausimais;

8.7. rengti SAIS plėtros strategiją, duomenų tvarkymą ir saugą reglamentuojančių teisės aktų projektus;

8.8. tvarkyti SAIS registrus, informacines sistemas ir posistemes;

8.9. užtikrinti SAIS plėtros strategijos įgyvendinimą;

8.10. atsakyti už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatų ir saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.

9. SAIS saugos įgaliotinio funkcijos:

9.1. atsako už SAIS duomenų saugos įgyvendinimą;

9.2. organizuoja kasmetinį SAIS rizikos įvertinimą;

9.3. rengia SAIS rizikos įvertinimo ataskaitą;

9.4. koordinuoja incidentų, įvykusių SAIS duomenų saugos srityje, tyrimą;

9.5. teikia SAIS administratoriui teisėtus nurodymus ir pavedimus, kuriuos jis privalo vykdyti;

9.6. tvarko SAIS naudotojų supažindinimo su saugos politiką reguliuojančiais teisės aktais žurnalą, kuriame pildomos šios grafos: supažindinimo data, SAIS naudotojo vardas ir pavardė, pareigos, susipažinusio su saugos dokumentais asmens parašas.

9.7. teikia pasiūlymus tvarkytojo vadovui dėl:

9.7.1. SAIS administratoriaus skyrimo (juo negali būti pats SAIS saugos įgaliotinis);

9.7.2. SAIS informacijos saugos politiką įgyvendinančių teisės aktų ir kitų dokumentų priėmimo, keitimo ar panaikinimo;

9.7.3. SAIS saugos reikalavimų atitikties Bendriesiems elektroninės informacijos saugos valstybės institucijų ir įstaigų reikalavimams vertinimo atlikimo pagal Informacinių technologijų saugos atitikties vertinimo metodiką, patvirtintą Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156, ne rečiau kaip kartą per metus;

9.8. atlieka kitas Saugos nuostatuose, kituose teisės aktuose nustatytas ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, SAIS saugos įgaliotiniui priskirtas funkcijas.

10. SAIS administratorius, vykdantis SAIS priežiūrą, atlieka šias funkcijas:

10.1. prižiūri SAIS sudarančius komponentus – duomenų bazių valdymo sistemas, ugniasienes, duomenų perdavimo tinklus;

10.2. nustato SAIS pažeidžiamas vietas, parenka saugos priemones ir tikrina jų atitikimą saugos nuostatų reikalavimams;

10.3. apie SAIS pažeidžiamas vietas informuoja SAIS saugos įgaliotinį;

10.4. suteikia SAIS naudotojams teisę dirbti su SAIS duomenimis;

10.5. vykdo kitas funkcijas, susijusias su SAIS atitikimo saugumo reikalavimams nustatymu.

11. SAIS administratorių skaičius nustatomas informacinės sistemos valdytojo, kai jis skiria administratorių (-us), arba informacinių sistemų tvarkytojo įsakyme dėl SAIS administratoriaus (-ių) skyrimo.

12. SAIS administratorius (-iai) privalo vykdyti visus SAIS saugos įgaliotinio nurodymus ir pavedimus dėl SAIS saugos užtikrinimo, pagal kompetenciją reaguoti į elektroninės informacijos saugos incidentus ir nuolat teikti SAIS saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.

13. Teisės aktai, kuriais vadovaujamasi tvarkant elektroninę informaciją ir užtikrinant jos saugą:

13.1. Lietuvos Respublikos kibernetinio saugumo įstatymas;

13.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

13.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

13.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

13.5. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

13.6. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

13.7. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

13.8. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“;

13.9. Lietuvos standartai LST ISO/IEC 27002:2014 ir LST ISO/IEC 27001:2013 bei kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugą; kiti teisės aktai, reglamentuojantys informacinių sistemų elektroninės informacijos tvarkymą ir saugą bei informacinių sistemų valdytojo ir tvarkytojo veiklą.

II. SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

14. SAIS tvarkoma 3 kategorijos pagal Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių apraše (toliau – Aprašas) reglamentuojamas valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų klasifikavimo nuostatas, elektroninė informacija.

15. Elektroninės informacijos priskyrimo žinybinės svarbos kategorijai kriterijai, jeigu dėl elektroninės informacijos saugumo pažeidimo kiltų grėsmė įvykti procesams, kurie:

15.1. gali padaryti žalą vieno ar kelių fizinių ar juridinių asmenų teisėtiems interesams, taip pat ir asmens duomenų apsaugai;

15.2. gali turėti neigiamų padarinių institucijos veiklai;

15.3. gali sukelti kitų neigiamų padarinių institucijai.

16. SAIS saugos įgaliotinis, vadovaudamasis Lietuvos standartu LST ISO/IEC 27005:2011 „Informacijos technologija. Saugumo technika. Informacijos saugumo rizikos valdymas“, Vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“, kasmet organizuoja SAIS rizikos veiksnių vertinimą. Prireikus SAIS saugos įgaliotinis gali organizuoti neeilinį SAIS rizikos veiksnių vertinimą.

17. SAIS rizikos įvertinimo ataskaita teikiama tvirtinti SAIS tvarkytojo vadovui.

18. SAIS rizikos įvertinimo rezultatai išdėstomi SAIS rizikos įvertinimo ataskaitoje, kuri pateikiama SAIS tvarkytojo vadovui. SAIS rizikos įvertinimo ataskaita rengiama įvertinant SAIS rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus SAIS rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji SAIS rizikos veiksniai yra šie:

18.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

18.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

18.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

19. SAIS rizikos vertinimo metu atliekamų darbų apimtis:

19.1. SAIS sudarančių vertybių inventorizacija;

19.2. neigiamos įtakos SAIS veiklai vertinimas;

19.3. grėsmių ir pažeidžiamumų analizė;

19.4. liekamosios SAIS rizikos vertinimas.

20. SAIS informacijos saugos priemonių parinkimo principai:

20.1. liekamoji SAIS rizika turi būti sumažinta iki priimtino lygio;

20.2. SAIS saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

20.3. atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos administracinės, techninės, programinės ar organizacinės elektroninės informacijos saugos užtikrinimo priemonės.

21. Atsižvelgdamas į SAIS rizikos įvertinimo ataskaitą, SAIS valdytojas prireikus tvirtina SAIS rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis SAIS rizikos valdymo priemonėms įgyvendinti.

22. SAIS rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas informacinių sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

23. Siekiant užtikrinti saugos dokumentuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, ne rečiau kaip kartą per metus, jei teisės aktuose nenustatyta kitaip, SAIS valdytojo iniciatyva SAIS tvarkytojas organizuoja informacinių technologijų saugos atitikties vertinimą.

24. Atlikus SAIS informacinių technologijų saugos atitikties vertinimą, rengiama SAIS informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama SAIS tvarkytojo vadovui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato SAIS valdytojas.

25. SAIS informacinių technologijų saugos atitikties vertinimo ataskaitas, pastebėtų trūkumų šalinimo plano kopijas SAIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

III. SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

26. SAIS tarnybinių stočių apsauga nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.) užtikrinama programinėmis priemonėmis: antivirusinėmis programomis, ugniasienėmis (techninė ir programinė). Ilgiausias leistinas neatnaujinimo laikas – 5 darbo dienos.

27. Prieigos prie SAIS užtikrinimo metodai ir priemonės:

27.1. SAIS duomenys prieinami vidiniame Savivaldybės kompiuterių tinkle visą parą;

27.2. teisė dirbti su konkrečiais SAIS duomenimis suteikiama konkrečiam SAIS naudotojui arba SAIS naudotojų grupei;

28. Prieiga prie kompiuterių ir tarnybinių stočių operacinių sistemų valdymo ir konfigūravimo leidžiama tik administratoriui, atsakingam už kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, tarnybinių stočių) administravimą ir priežiūrą.

29. SAIS naudotojams, savo tarnybinėms ir darbo funkcijoms vykdyti naudojantiems nešiojamuosius ir stacionarius kompiuterius, IS duomenims perduoti kompiuterių tinklais ne savo darbo vietoje naudojamas kompiuterio įjungimo slaptažodis, papildomas SAIS naudotojo tapatybės patvirtinimas ir SAIS duomenų šifravimas.

30. SAIS naudotojų veiksmus esant nenumatytai situacijai reglamentuoja SAIS veiklos tęstinumo valdymo planas, kurį SAIS valdytojui teikia tvirtinti SAIS saugos įgaliotinis.

31. SAIS objektų duomenims saugiai tvarkyti SA turi naudoti programinės ir techninės įrangos saugos priemones, kuriose:

31.1. realizuota galimybė SAIS naudotojams naudoti tik legalią programinę įrangą; programinė įranga turi būti testuojama naudojant atskirą testavimo aplinką, kurioje esantys asmens duomenys turi būti naudojami vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“

31.2. realizuota SAIS naudotojams prieigos prie IS duomenų galimybė tik per registravimosi ir slaptažodžių sistemą;

31.3. realizuota prievolė SAIS naudotojams reguliariai keisti slaptažodžius;

31.4. realizuota galimybė identifikuoti SAIS naudotojus, fiksuoti ir kaupti jų veiksmus;

31.5. realizuota galimybė SAIS naudotojų užklausas į SAIS duomenų bazę fiksuoti programiniu būdu;

31.6. apribotas programinės įrangos, nesusijusios su SAIS naudotojų funkcijomis (žaidimai, bylų siuntimo, internetinių pokalbių programos ir kt.), naudojimas;

31.7. duomenys iš susijusių registrų IS gaunami programiniu būdu iš išrašų. Išrašus formuoja susijusių registrų ar SAIS administratoriai.

32. SAIS duomenys teikiami ir (ar) gaunami tik pagal duomenų teikimo sutartyse ar teisės aktuose nustatytas specifikacijas ir sąlygas.

33. SAIS tarnybinėje stotyje neturi veikti programinė įranga, nesusijusi su IS duomenų tvarkymu.

34. SAIS darbo vietose draudžiama naudoti programinę įrangą, nesusijusią su SAIS naudotojų tiesiogine veikla ir funkcijomis.

35. SAIS veiklos tęstinumui užtikrinti SAIS duomenys yra kopijuojami į rezervinių kopijų laikmenas ir laikmenos saugomos taip, kad kilus elektroninės informacijos saugos incidentui SAIS veiklą iš atsarginių kopijų būtų galima atkurti per 24 darbo valandas. Bylų mėnesinių kopijų laikmenos turi būti laikomos atskiroje patalpoje.

IV. SKYRIUS

REIKALAVIMAI PERSONALUI

36. SAIS naudotojų, administratorių ir saugos įgaliotinio kvalifikaciniai reikalavimai:

36.1. visi SAIS naudotojai privalo turėti darbo kompiuteriu, taikomosiomis programomis įgūdžių;

36.2. SAIS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis;

36.3. administratorius (-iai) pagal kompetenciją privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, darbą su kompiuterių tinklais, gebėti užtikrinti jų saugą, išmanyti informacinių sistemų komponentų administravimo ir priežiūros pagrindus, būti susipažinę su saugos dokumentais ir sutikęs laikytis jų reikalavimų.

37. SAIS naudotojų ir administratorių mokymo planavimo, organizavimo ir vykdymo tvarka, mokymo dažnumo reikalavimai:

37.1. SAIS naudotojams, administratoriams turi būti periodiškai, bet ne rečiau kaip kartą per metus, organizuojami mokymai elektroninės informacijos saugos klausimais, įvairiais būdais primenama apie elektroninės informacijos saugos problemas (pvz., priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems SAIS naudotojams, administratoriams ir pan.);

37.2. mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugumo užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), SAIS naudotojų ar administratorių poreikius;

37.3. mokymai turi būti vykdomi pagal SAIS tvarkytojo patvirtintą mokymų planą. Mokymai gali būti vykdomi tiesioginiu (pvz., paskaitos, seminarai, konferencijos ir kt. teminiai renginiai) ar nuotoliniu būdu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.). Mokymus gali vykdyti SAIS saugos įgaliotinis ar kitas SAIS valdytojo ar SAIS tvarkytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis elektroninės informacijos saugos užtikrinimo principus, arba elektroninės informacijos saugos mokymų paslaugų teikėjas;

37.4. Už mokymų organizavimą atsakingas SAIS saugos įgaliotinis.

V. SKYRIUS

INFORMACINIŲ SISTEMŲ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

38. SAIS naudotojų supažindinimą su saugos dokumentais ir atsakomybe už saugos dokumentų nuostatų pažeidimus organizuoja SAIS saugos įgaliotinis. SAIS naudotojai atsako už SAIS tvarkomos elektroninės informacijos saugumą pagal savo kompetenciją.

39. SAIS naudotojų supažindinimo su saugos dokumentais būdai turi būti pasirenkami atsižvelgiant į informacinių sistemų specifiką. Vidinius SAIS naudotojus su saugos dokumentais supažindina SAIS saugos įgaliotinis. Kiti SAIS naudotojai su saugos dokumentais supažindinami elektroniniu būdu informacinėje sistemoje.

40. SAIS naudotojai pirmojo prisijungimo prie informacinės sistemos metu turi patvirtinti, kad susipažino su saugos dokumentais ir sutinka laikytis jų reikalavimų. SAISnaudotojų patvirtinimai saugomi elektroniniuose įvykių žurnaluose siekiant užtikrinti susipažinimo su saugos dokumentais įrodomumą.

41. Pakartotinai su saugos dokumentais SAIS naudotojai supažindinami tik pasikeitus informacinėms sistemoms arba elektroninės informacijos saugą reglamentuojantiems teisės aktams.

VI. SKYRIUS

BAIGIAMOSIOS NUOSTATOS

42. SAIS valdytojas saugos dokumentus gali keisti savo arba SAIS saugos įgaliotinio iniciatyva. Keičiami saugos dokumentai turi būti derinami su Lietuvos Respublikos vidaus reikalų ministerija. Keičiami saugos dokumentai gali būti nederinami su Lietuvos Respublikos vidaus reikalų ministerija tais atvejais, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar saugos politikos nekeičiantys pakeitimai arba taisoma teisės technika.

43. SAIS tvarkytojas saugos dokumentus turi persvarstyti (peržiūrėti) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus SAIS rizikos įvertinimą ar SAIS informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems informacinių sistemų tvarkytojo pokyčiams.

––––––––––––––––––––––––––––

SUDERINTA

Vidaus reikalų ministerijos

2015 m. birželio 30 d. raštu Nr. 1D-5734