LIETUVOS RESPUBLIKOS EKONOMIKOS IR INOVACIJŲ MINISTRAS

 

įsakymas

DĖL DOKUMENTŲ RINKINIŲ PORTALO DUOMENŲ SAUGOS NUOSTATŲ patvirtinimo

 

2020 m. gegužės 26 d. Nr. 4-363

Vilnius

 

 

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 3 dalimi ir 44 straipsnio 2 dalimi, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 19 ir 26 punktais:

1. T v i r t i n u Dokumentų rinkinių portalo duomenų saugos nuostatus (pridedama).

2. P a v e d u Informacinės visuomenės plėtros komitetui:

2.1. per mėnesį nuo Dokumentų rinkinių portalo duomenų saugos nuostatų patvirtinimo dienos paskirti Dokumentų rinkinių portalo saugos įgaliotinį, administratorių ir duomenų valdymo įgaliotinį;

2.2. per 5 mėnesius nuo Dokumentų rinkinių portalo duomenų saugos nuostatų patvirtinimo dienos parengti, nustatyta tvarka suderinti ir pateikti Dokumentų rinkinių portalo valdytojui tvirtinti saugos politikos įgyvendinamųjų dokumentų projektus:

2.2.1. Dokumentų rinkinių portalo saugaus elektroninės informacijos tvarkymo taisykles;

2.2.2. Dokumentų rinkinių portalo veiklos tęstinumo valdymo planą;

2.2.3. Dokumentų rinkinių portalo naudotojų administravimo taisykles.

 

 

 

Energetikos ministras, laikinai einantis

ekonomikos ir inovacijų ministro pareigas                                                         Žygimantas Vaičiūnas

 

SUDERINTA 

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2020-05-19 Nr. (4.1 E) 6K-303

 

 

 

PATVIRTINTA

Lietuvos Respublikos ekonomikos ir

inovacijų ministro

2020 m. gegužės 26 d. įsakymu Nr. 4-363

 

Dokumentų rinkinių portalo DUOMENŲ SAUGOS NUOSTATAI

 

I Skyrius

bendrosios nuostatos

 

1.     Dokumentų rinkinių portalo duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Dokumentų rinkinių portalo (toliau – Portalas) elektroninės informacijos saugos  (kibernetinio saugumo) politiką (toliau – elektroninės informacijos saugos politika).  Elektroninės informacijos saugos politika įgyvendinama pagal ekonomikos ir inovacijų ministro tvirtinamus Portalo saugos politiką įgyvendinančius dokumentus: saugaus elektroninės informacijos tvarkymo taisykles, naudotojų administravimo taisykles, veiklos tęstinumo valdymo planą (toliau – saugos politiką įgyvendinantys dokumentai).

2.     Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“.

3.     Portalo elektroninės informacijos saugos (kibernetinio saugumo) (toliau – elektroninės informacijos sauga) užtikrinimo tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti Portalo elektroninę informaciją, užtikrinti Portalo elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą techninės, programinės ir ryšių įrangos funkcionavimą, vykdyti elektroninės informacijos saugos ir kibernetinių incidentų (toliau – saugos incidentai) prevenciją.

4.     Portalo elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų Portalo elektroninės informacijos saugai užtikrinti, įgyvendinimas ir šių priemonių įgyvendinimo kontrolė;

4.2.  teisėtas, saugus ir kokybiškas Portalo elektroninės informacijos tvarkymas;

4.3.  teisėtas ir saugus Portalo asmens duomenų tvarkymas;

4.4.  Portalo veiklos tęstinumo užtikrinimas.

5. Portalo elektroninės informacijos saugumo užtikrinimo tikslai:

5.1. Sudaryti sąlygas saugiai automatiniu būdu tvarkyti Portalo elektroninę informaciją.

5.2. Užtikrinti Portalo elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą techninės, programinės ir ryšių įrangos funkcionavimą.

5.3. Vykdyti saugos incidentų, asmens duomenų saugumo pažeidimų prevenciją, reaguoti į saugos incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai suvaldyti.

6.     Portalo valdytoja – Lietuvos Respublikos ekonomikos ir inovacijų ministerija (Gedimino pr. 38, LT-01104 Vilnius).

7.     Portalo tvarkytojas – Informacinės visuomenės plėtros komitetas (Konstitucijos pr. 15-89, LT-09319 Vilnius).

8.     Portalo valdytojas atlieka Dokumentų rinkinių portalo nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2020 m. sausio 15 d. nutarimu Nr. 24 „Dėl Dokumentų rinkinių steigimo ir jo nuostatų patvirtinimo“ (toliau – Portalo nuostatai), nustatytas funkcijas, taip pat:

8.1. tvirtina Saugos nuostatus, saugos politiką įgyvendinančius dokumentus (toliau – saugos dokumentai) ir kitus su Portalo elektroninės informacijos sauga susijusius teisės aktus;

8.2. koordinuoja Portalo tvarkytojo darbą įgyvendinant elektroninės informacijos saugos reikalavimus;

8.3. prižiūri ir kontroliuoja, kaip laikomasi teisės aktų, susijusių su Portalo tvarkymu ir duomenų saugumu, reikalavimų;

8.4. nagrinėja Portalo tvarkytojo pasiūlymus dėl elektroninės informacijos saugos politikos tobulinimo ir priima dėl jų sprendimus;

8.5. atsako už elektroninės informacijos saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą;

8.6. priima sprendimą dėl Portalo elektroninės informacijos saugos priemonių finansavimo.

9. Portalo tvarkytojas atlieka Portalo nuostatuose nustatytas funkcijas, taip pat:

9.1. atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi saugos dokumentuose nustatyta tvarka;

9.2. atlieka Portalo duomenų bazės techninę priežiūrą ir užtikrina nepertraukiamą Portalo veiklą;

9.3. įgyvendina tinkamas organizacines ir technines priemones, kurios skirtos elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

9.4. užtikrina, kad Portalo naudotojai, turintys teisę naudotis Portalo duomenimis numatytoms funkcijoms atlikti, laikytųsi saugos dokumentuose nustatytų reikalavimų;

9.5. organizuoja techninių, programinių priemonių, kurios skirtos Portalui eksploatuoti, prižiūrėti ir plėtoti, įsigijimą, jų įdiegimą ir modernizavimą, Portalo techninės, programinės įrangos priežiūrą ir tobulinimą;

9.6. atsako už Portalo elektroninės informacijos saugumą ir Portalo saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams ir Saugos nuostatams;

9.7. teikia Portalo valdytojui pasiūlymus dėl Portalo elektroninės informacijos saugos politikos tobulinimo;

9.8. užtikrina, kad Portalas būtų tvarkomas vadovaujantis Lietuvos Respublikos įstatymais, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas), saugos dokumentais ir kitais su Portalo tvarkymu susijusiais teisės aktais.

10.        Portalo saugos įgaliotinis, koordinuodamas ir prižiūrėdamas elektroninės informacijos saugos politikos įgyvendinimą, atlieka Bendrųjų elektroninės informacijos saugos reikalavimų apraše nustatytas funkcijas.

11.   Portalo administratorius, įgyvendindamas Portalo saugos reikalavimus, atlieka Bendrųjų elektroninės informacijos saugos reikalavimų apraše nustatytas funkcijas.

12.   Tvarkant Portalo elektroninę informaciją ir užtikrinant jos saugą, vadovaujamasi šiais teisės aktais:

12.1.     Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

12.2.     Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

12.3.     Lietuvos Respublikos kibernetinio saugumo įstatymu;

12.4.     Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

12.5.     Portalo nuostatais;

12.6.     Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Informacinių technologijų saugos atitikties vertinimo metodika);

12.7.     Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

12.8.     Lietuvos Respublikos vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais grupės „Informacijos technologija. Saugumo metodai“ standartais, reglamentuojančiais saugų duomenų tvarkymą;

12.9.     Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašu;

12.10. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

12.11. Valstybės informacinių sistemų rizikos vertinimo atlikimo Informacinės visuomenės plėtros komitete prie Susisiekimo ministerijos taisyklėmis, patvirtintomis Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2016 m. sausio 26 d. įsakymu Nr. T-5 „Dėl Valstybės informacinių sistemų rizikos vertinimo atlikimo Informacinės visuomenės plėtros komitete prie Susisiekimo ministerijos taisyklių patvirtinimo“;

12.12.   Portalo saugos dokumentais ir kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą ir Portalo duomenų tvarkymo teisėtumą bei duomenų saugumo valdymą.

 

II Skyrius

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

13.   Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 9.1, 9.3 ir 12.3 papunkčiais, Portale tvarkoma elektroninė informacija yra priskiriama vidutinės svarbos informacijos kategorijai, o Portalas yra priskiriamas trečiajai kategorijai.

14.   Pagrindiniai rizikos veiksniai, galintys turėti įtakos Portalo elektroninės informacijos saugumui, yra:

14.1.     subjektyvūs netyčiniai (Portalo tvarkymo klaidos ir pasirinkimai, ištrynimas, klaidingas teikimas, fiziniai informacinių technologijų sutrikimai, perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

14.2.     subjektyvūs tyčiniai (nesankcionuotas naudojimasis Portalo elektronine informacija, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

14.3.     atsitiktinės subjektyvios aplinkybės (darbuotojų praradimas, gaisrai, vandens poveikis, elektros instaliacijos gedimas ir kita);

14.4.     nenugalima jėga (force majeure).

15.   Portalo saugos įgaliotinis, atsižvelgdamas į  Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja Portalo IS rizikos įvertinimą ir parengia rizikos įvertinimo ataskaitą; prireikus jis gali organizuoti neeilinį rizikos įvertinimą.

16.   Portalo tvarkytojas, atsižvelgdamas į Portalo rizikos įvertinimo ataskaitą, prireikus rengia ir tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

17.   Siekdamas užtikrinti saugos dokumentuose nustatytų reikalavimų įgyvendinimo organizavimą ir įgyvendinimo kontrolę Portalo saugos įgaliotinis ne rečiau kaip kartą per dvejus metus organizuoja Portalo informacinių technologijų saugos reikalavimų atitikties vertinimą, kurio metu:

17.1.     įvertinama faktinės Portalo elektroninės informacijos saugos situacijos atitiktis saugos dokumentų, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo ir kitų su elektroninės informacijos sauga susijusių teisės aktų reikalavimams;

17.2.     patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų Portalo naudotojų kompiuterizuotų darbo vietų ir visų tarnybinių stočių įdiegta programinė įranga ir jos sąranka;

17.3.     patikrinama (įvertinama) Portalo naudotojams ir administratoriams suteiktų teisių atitiktis atliekamoms funkcijoms;

17.4.     įvertinamas pasirengimas užtikrinti Portalo veiklos tęstinumą įvykus saugos incidentui.

18.        Atlikęs Portalo informacinių technologijų saugos atitikties vertinimą, Portalo saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus skiria ir nustatytų trūkumų šalinimo įgyvendinimo terminus nustato Portalo tvarkytojas.

19.        Portalo elektroninės informacijos saugumo priemonės turi būti parenkamos atsižvelgiant į Saugos nuostatų 13 punkte išvardytus rizikos veiksnius, galinčius turėti įtakos Portalo elektroninės informacijos saugumui.

20.   Parenkamos tokios saugos priemonės, kad būtų užtikrintas Portalo veiklos tęstinumas, patiriama kuo mažiau išlaidų ir užtikrinamas saugus ir nenutrūkstamas Portalo veikimas.

 

III skyrius

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

21.   Programinės įrangos, skirtos Portalui apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

21.1.     Portalo tarnybinėse stotyse ir kompiuterizuotose darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą (virusus, šnipinėjimo programinę įrangą ir kt.), kurios turi būti reguliariai atnaujinamos automatiniu būdu ne rečiau kaip kartą per parą.

21.2.     Programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu.

21.3.     Kenksmingosios programinės įrangos aptikimo priemonės turi veikti nuolat realiu laiku.

22.   Programinės įrangos, įdiegtos tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:

22.1.     Portalo veikimui gali būti naudojama tik legali ir patikrinta programinė įranga.

22.2.     Programinė įranga atnaujinama laikantis gamintojo reikalavimų.

22.3.     Programinę įrangą diegia, šalina ir konfigūruoja Portalo administratorius.

23.   Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:

23.1.     Kompiuterių tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis ir įsilaužimų aptikimo ir prevencijos įranga.

23.2.     Visas duomenų srautas į internetą ir iš jo yra filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos.

23.3.     Naudojamos turinio filtravimo sistemos.

24.   Pagrindinės kompiuterių (ypač nešiojamųjų) naudojimo nuostatos:

24.1.     Prie Portalo prisijungiama nuotoliniu būdu naudojant interneto naršyklę (HTTPS protokolą).

24.2.     Prieigą prie Portalo suteikia, apriboja ir panaikina Portalo administratorius.

24.3. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių papildomos saugos priemonės nurodytos Portalo saugaus elektroninės informacijos tvarkymo taisyklėse.

25.   Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

25.1.     Tiesioginė prieiga prie Portalo elektroninės informacijos suteikiama įgyvendinus Portalo naudotojų administravimo taisyklėse nurodytas Portalo naudotojų autentifikavimo priemones.

25.2.     Per metus turi būti užtikrintas Portalo prieinamumas ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis.

25.3.     Portalo elektroninė informacija perduodama automatiniu būdu arba asinchroniniu režimu pagal duomenų teikimo sutartis, kuriose nustatytos perduodamos elektroninės informacijos specifikacijos, kopijų skaičius ir kitos elektroninės informacijos perdavimo sąlygos ir tvarka.

25.4.     Portalo elektroninė informacija, perduodama ne per Portalo tvarkytojams priklausančias duomenų perdavimo linijas, privalo būti šifruojama.

25.5.     Portalo elektroninei informacijai perduoti naudojamas Saugus valstybinis duomenų perdavimo tinklas arba kitas šifruotas perdavimo kanalas, užtikrinantis saugų informacijos perdavimą.

26.   Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

26.1.  Portalo duomenų bazė yra kopijuojama ir saugoma taip, kad įvykus nenumatytai situacijai Portalo veikla būtų visiškai atkurta per 16 valandų.

26.2. Bandymą atkurti Portalo elektroninę informaciją bent kartą per metus atlieka Portalo administratoriai. Šio bandymo metu Portalo elektroninė informacija atkuriama taip, kaip ji būtų atkuriama tuo atveju, jei būtų netikėtai prarasti duomenys. 

26.3.  Atsarginės elektroninės informacijos kopijos saugomos kitoje patalpoje, nei Portalo duomenų bazė.

 

IV skyrius

REIKALAVIMAI PERSONALUI

 

27.   Portalo saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo nuostatomis, Informacinių technologijų saugos atitikties vertinimo metodika, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, tobulinti kvalifikaciją kvalifikacijos kėlimo kursuose, saugaus darbo su duomenimis seminaruose.

28. Portalo saugos įgaliotinis privalo išmanyti kibernetinio saugumo užtikrinimo principus, tobulinti kvalifikaciją kibernetinio saugumo srityje, savo darbe vadovautis Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais kibernetinį saugumą.

29.   Portalo saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninės informacijos ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo veikimui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

30.   Portalo administratoriumi skiriamas darbuotojas, išmanantis darbą su Portalo taikomąja programine įranga ir gebantis atlikti funkcijas, susijusias su Portalo naudotojų teisių valdymu.

31.   Portalo administratorius turi būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais ir kontroliuoti paslaugų teikėjus, administruojančius ir prižiūrinčius Portalo techninę ir programinę įrangą.

32.   Portalo naudotojai privalo turėti darbo kompiuteriu įgūdžių, būti susipažinę su saugos dokumentais. Asmenys, kuriems yra suteikiama teisė tvarkyti asmens duomenis, privalo laikytis Reglamente (ES) 2016/679 bei Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme nustatytų asmens duomenų tvarkymo principų ir reikalavimų.

33.   Portalo techninę priežiūrą vykdančių įmonių atsakingi darbuotojai turi atitikti paslaugų Portalo vystymo ar priežiūros paslaugų pirkimo dokumentuose numatytus kvalifikacinius reikalavimus bei vykdyti paslaugų teikimo sutartyse numatytas veiklas. Kai perkamos Portalo vystymo ar priežiūros paslaugos yra susijusios su prieigos prie Portalo bei jame apdorojamos elektroninės informacijos suteikimu, taikomi šie principai:

33.1.     Portalo techninę priežiūrą vykdančių įmonių darbuotojams prieiga suteikiama pagal Portalo naudotojų administravimo taisykles. Portalo techninę priežiūrą vykdančių įmonių darbuotojai yra atsakingi už tinkamą Portalo saugos įgaliotinio informavimą apie pasikeitimus jų įmonėje, kurie gali turėti įtakos Portalo techninę priežiūrą vykdančių įmonių darbuotojų prieigos prie Portalo panaikinimui ar keitimui (pvz., nedelsiant pranešti apie tai, kad prieigą prie Portalo turintis darbuotojas nutraukia darbo santykius su Portalo techninę priežiūrą vykdančia įmone);

33.2.     neleidžiamas Portalo techninę priežiūrą vykdančių įmonių darbuotojų prieigos prie Portalo suteikimas grupinių paskyrų pagrindu;

33.3.     prieš Portalo techninę priežiūrą vykdančių įmonių darbuotojams suteikiant prieigą prie Portalo, atitinkami darbuotojai turi pasirašyti konfidencialumo pasižadėjimus ir papildomai turi būti formalizuojami susitarimai tarp IVPK IS tvarkytojo ir IVPK IS techninę priežiūrą teikiančių įmonių.

34.   Portalo saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja Portalo naudotojų mokymą elektroninės informacijos saugos, kibernetinio saugumo ir asmens duomenų apsaugos klausimais, įvairiais būdais (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai) informuoja juos apie elektroninės informacijos saugos ir asmens duomenų apsaugos problemas.

 

V skyrius

PORTALO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

35.   Tvarkyti Portalo duomenis gali tik tie Portalo naudotojai, kurie yra susipažinę su saugos dokumentais ir sutikę laikytis juose nustatytų reikalavimų.

36.   Portalo administratorių su Saugos nuostatais ir kitais saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina Portalo saugos įgaliotinis per 10 darbo dienų nuo administratoriaus paskyrimo.

37.   Portalo naudotojų supažindinimas su saugos dokumentais, atsakomybe už juose nustatytų reikalavimų nesilaikymą ir informacija apie saugos dokumentų priėmimą, pakeitimą ar pripažinimą netekusiais galios užtikrinamas programinėmis Portalo priemonėmis.

 

VI skyrius

BAIGIAMOSIOS NUOSTATOS

 

38.   Portalo saugos dokumentai turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per kalendorinius metus. Jie taip pat turi būti persvarstomi (peržiūrimi) atlikus rizikos veiksnių analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Saugos įgaliotinis atsakingas, kad Portalo naudotojai būtų informuoti apie saugos dokumentų pakeitimą ir (ar) pripažinimą netekusiais galios.

39. Portalo valdytojas rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano, saugos dokumentų ir jų pakeitimų, saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi būti pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos  reikalavimams stebėsenos sistemai.

40. Portalo saugos įgaliotinis, Portalo duomenų valdymo įgaliotinis, Portalo administratorius ir Portalo naudotojai, pažeidę Saugos nuostatų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako įstatymų nustatyta tvarka.

 

_______________