LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO

MINISTRAS

ĮSAKYMAS

DĖL PARAIŠKŲ PRIĖMIMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2015 m. vasario 24 d. Nr. 3D-116

Vilnius

Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7.1 papunkčiu bei 11 ir 19 punktais:

1. T v i r t i n u Paraiškų priėmimo informacinės sistemos duomenų saugos nuostatus (pridedama).

2. P a v e d u:

2.1. Veiklos administravimo ir turto valdymo departamento Informacinių sistemų skyriui ne vėliau kaip per 6 mėnesius nuo šio įsakymo įsigaliojimo dienos parengti Paraiškų priėmimo informacinės sistemos naudotojų administravimo taisyklių, Paraiškų priėmimo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių ir Paraiškų priėmimo informacinės sistemos veiklos tęstinumo valdymo plano projektus, juos suderinti ir pateikti tvirtinti;

2.2. valstybės įmonei Žemės ūkio informacijos ir kaimo verslo centrui per 14 darbo dienų nuo šio įsakymo įsigaliojimo dienos paskirti Paraiškų priėmimo informacinės sistemos duomenų saugos įgaliotinį;

2.3. šio įsakymo vykdymo kontrolę žemės ūkio viceministrui pagal administravimo sritį.

Žemės ūkio ministrė Virginija Baltraitienė

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2015-02-13 raštu Nr. 1D-1854

PATVIRTINTA

Lietuvos Respublikos

žemės ūkio ministro

2015 m. vasario 24 d.

įsakymu Nr. 3D-116

PARAIŠKŲ PRIĖMIMO INFORMACINĖS SISTEMOS

DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS
BENDROSIOS NUOSTATOS

1. Paraiškų priėmimo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Paraiškų priėmimo informacinės sistemos (toliau – PPIS) elektroninės informacijos saugos politiką.

2. Šiuose Saugos nuostatuose vartojamos sąvokos:

2.1. PPIS administratorius – PPIS tvarkytojo paskirtas darbuotojas, prižiūrintis PPIS infrastruktūrą ir atliekantis kitas jam priskirtas funkcijas.

2.2. PPIS duomenų valdymo įgaliotinis – PPIS tvarkytojo paskirtas struktūrinio padalinio, atsakingo už PPIS tvarkytojui teisės aktų nustatytų funkcijų atlikimą, vadovas.

2.3. PPIS naudotojas – valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis PPIS ištekliais numatytoms funkcijoms atlikti.

2.4. PPIS naudotojų administratorius – PPIS tvarkytojo paskirtas darbuotojas, administruojantis PPIS naudotojų prieigos teisių valdymą ir atliekantis kitas teisės aktų nustatytas funkcijas.

2.5. PPIS saugos įgaliotinis – PPIS tvarkytojo paskirtas darbuotojas, koordinuojantis ir prižiūrintis elektroninės informacijos saugos politikos įgyvendinimą PPIS.

2.6. Kitos Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas), Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas), kituose teisės aktuose ir Lietuvos standartuose LST ISO/IEC 27001:2009 ir LST ISO/IEC 27002:2013.

3. PPIS tvarkomos elektroninės informacijos saugos užtikrinimo tikslas – sudaryti sąlygas saugiai automatizuotu būdu tvarkyti ir saugoti elektroninę informaciją PPIS, užtikrinti elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą.

4. PPIS informacijos saugumui užtikrinti naudojamos organizacinės, techninės, programinės ir fizinės informacijos apsaugos priemonės.

5. PPIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

5.1. PPIS elektroninės informacijos konfidencialumo užtikrinimas;

5.2. PPIS elektroninės informacijos vientisumo užtikrinimas;

5.3. PPIS elektroninės informacijos prieinamumo užtikrinimas;

5.4. prieigos prie PPIS kontrolė;

5.5. PPIS rizikos valdymas;

5.6. PPIS veiklos tęstinumo užtikrinimas;

5.7. PPIS naudotojų ir PPIS administratoriaus saugos mokymas.

6. Saugos nuostatai taikomi:

6.1. PPIS valdytojai – Lietuvos Respublikos žemės ūkio ministerijai, Gedimino pr. 19, LT-01103 Vilnius;

6.2. PPIS tvarkytojui – valstybės įmonei Žemės ūkio informacijos ir kaimo verslo centrui, V. Kudirkos g. 18-1, LT-03105 Vilnius;

6.3. PPIS naudotojams;

6.4. PPIS administratoriui;

6.5. PPIS naudotojų administratoriui;

6.6. PPIS saugos įgaliotiniui.

7. PPIS valdytojos funkcijos:

7.1. rengti ir priimti teisės aktus, užtikrinančius PPIS duomenų tvarkymo teisėtumą ir PPIS elektroninės informacijos saugą, atlikti jų nuostatų laikymosi priežiūrą;

7.2. nagrinėti PPIS tvarkytojo pasiūlymus dėl PPIS veiklos, elektroninės informacijos saugos, juos apibendrinti ir priimti sprendimus dėl PPIS tobulinimo;

7.3. metodiškai vadovauti PPIS tvarkytojo veiklai, kuriant ir diegiant PPIS, taip pat užtikrinant jos veikimą, tobulinimą ir elektroninės informacijos saugą, už kurią atsako;

7.4. priimti sprendimus dėl PPIS rizikos vertinimo rezultatų;

7.5. atlikti kitas Saugos nuostatuose, Paraiškų priėmimo informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos žemės ūkio ministro 2013 m. vasario 28 d. įsakymu Nr. 3D-152 „Dėl Paraiškų priėmimo informacinės sistemos nuostatų patvirtinimo“ (toliau – PPIS nuostatai) ir kituose teisės aktuose pavestas funkcijas.

8. PPIS tvarkytojo funkcijos:

8.1. užtikrinti PPIS prieinamumą;

8.2. užtikrinti PPIS duomenų atsarginių kopijų darymą;

8.3. užtikrinti PPIS taikomajai programinei įrangai, tarnybinėms stotims ir jose esantiems duomenims funkcionuoti būtinos informacinių technologijų infrastruktūros (toliau – serverių sritis) saugą;

8.4. rengti ir saugoti serverių srities saugai užtikrinti būtiną dokumentaciją;

8.5. sudaryti PPIS duomenų gavimo ir teikimo sutartis;

8.6. užtikrinti PPIS elektroninės informacijos saugą;

8.7. skirti PPIS saugos įgaliotinį;

8.8. skirti PPIS administratorių;

8.9. skirti PPIS naudotojų administratorių;

8.10. atlikti kitas Saugos nuostatuose, PPIS nuostatuose ir kituose teisės aktuose pavestas funkcijas.

9. PPIS duomenų valdymo įgaliotinio funkcijos:

9.1. įgyvendinti PPIS plėtrą;

9.2. prižiūrėti, kaip kuriama ir tvarkoma PPIS, diegiama programinė įranga, panaudojamos investicijos;

9.3. rengti PPIS biudžeto projektus;

9.4. prižiūrėti, kad informacija, duomenys, dokumentai ir (arba) jų kopijos būtų teikiami, skelbiami ir (arba) perduodami pagal teisės aktuose nustatytus reikalavimus;

9.5. teikti PPIS tvarkytojo vadovui pasiūlymus dėl darbuotojų, kuriems pavesta tvarkyti duomenis, informaciją, dokumentus ir (arba) jų kopijas, teisių ir pareigų;

9.6. atlikti kitas teisės aktuose nustatytas funkcijas.

10. PPIS saugos įgaliotinio funkcijos:

10.1. teikti PPIS tvarkytojo vadovui pasiūlymus dėl:

10.1.1. PPIS administratoriaus paskyrimo ir reikalavimų nustatymo;

10.1.2. saugos dokumentų priėmimo, keitimo ir panaikinimo;

10.1.3. PPIS tvarkytojo informacinių technologijų saugos atitikties vertinimo atlikimo;

10.2. koordinuoti įvykusių incidentų dėl PPIS elektroninės informacijos saugos tyrimą;

10.3. teikti PPIS administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

10.4. organizuoti PPIS naudotojų supažindinimą su PPIS saugos dokumentais, užtikrinti supažindinimo įrodomumą;

10.5. koordinuoti PPIS saugos dokumentų reikalavimų vykdymą;

10.6. organizuoti PPIS rizikos įvertinimą;

10.7. atlikti kitas Saugos nuostatuose ir kituose teisės aktuose pavestas funkcijas.

11. PPIS administratoriaus funkcijos:

11.1. atsakyti už PPIS serverių srities funkcionavimą ir prieigų prie PPIS infrastruktūros išteklių teisių suteikimą;

11.2. atlikti PPIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) sąranką, kuri atitiktų PPIS saugos dokumentų reikalavimus;

11.3. pagal kompetenciją teikti pasiūlymus PPIS saugos įgaliotiniui dėl PPIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir PPIS elektroninės informacijos saugos užtikrinimo;

11.4. informuoti PPIS saugos įgaliotinį apie incidentus dėl elektroninės informacijos saugos ir teikti pasiūlymus dėl tokių incidentų pašalinimo;

11.5. vykdyti visus PPIS saugos įgaliotinio nurodymus ir pavedimus, susijusius su PPIS elektroninės informacijos saugos užtikrinimu;

11.6. teikti PPIS saugos įgaliotiniui informaciją apie PPIS elektroninės informacijos saugą užtikrinančių komponentų būklę;

11.7. atlikti PPIS priežiūrą.

12. PPIS naudotojų administratoriaus funkcijos:

12.1. atsakyti už prieigų prie PPIS suteikimą;

12.2. atsakyti už PPIS teisių valdymą;

12.3. vykdyti PPIS naudotojų prieigų ir teisių kontrolę.

13. PPIS naudotojų funkcijos:

13.1. rūpintis PPIS ir joje tvarkomų duomenų saugumu;

13.2. tvarkyti ir naudoti PPIS elektroninę informaciją;

13.3. neatskleisti, neperduoti tvarkomos PPIS elektroninės informacijos;

13.4. atlikti kitas duomenų saugos nuostatų, PPIS nuostatų ir kitų teisės aktų nustatytas funkcijas.

14. Teisės aktai, kuriais vadovaujamasi tvarkant elektroninę informaciją ir užtikrinant jos saugą:

14.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

14.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

14.3. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas;

14.4. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas;

14.5. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

14.6. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms);

14.7. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

14.8. Lietuvos standartai LST ISO/IEC 27002:2009 ir LST ISO/IEC 27001:2013 ir kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugumą;

14.9. kiti teisės aktai, reglamentuojantys elektroninės informacijos apsaugą valstybės institucijose.

II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

15. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, PPIS tvarkoma elektroninė informacija priskiriama svarbios elektroninės informacijos kategorijai, kadangi šios elektroninės informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti sunkių padarinių kelių institucijų veiklai, dėl šios elektroninės informacijos saugumo pažeidimo gali kilti grėsmė įvykti Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.2.4, 4.2.7 papunkčiuose nurodytiems procesams.

16. Pagal PPIS tvarkomą svarbią elektroninę informaciją PPIS priskiriama antros kategorijos informacinėms sistemoms.

17. Vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms dėl galimybės per išorinius duomenų perdavimo tinklus tvarkyti PPIS saugomus asmens duomenis PPIS priskiriamas antrasis saugumo lygis.

18. PPIS rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama PPIS tvarkytojo vadovui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos PPIS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai:

18.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kt.);

18.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis PPIS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kt.);

18.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

19. Pagrindinės nuostatos dėl rizikos veiksnių vertinimo:

19.1. PPIS rizikos vertinimą inicijuoja PPIS valdytoja ar PPIS tvarkytojas;

19.2. PPIS rizika nustatoma periodinio rizikos vertinimo metu;

19.3. PPIS rizikos vertinimas atliekamas ne rečiau kaip kartą per metus;

19.4. PPIS saugos įgaliotinis yra atsakingas už PPIS rizikos vertinimo atlikimo organizavimą;

19.5. PPIS rizikos veiksniai vertinami taikant PPIS tvarkytojo patvirtintą rizikos vertinimo metodiką;

19.6. PPIS rizikos vertinimas atliekamas vadovaujantis:

19.6.1. Lietuvos Respublikos valstybės institucijų ir įstaigų informacinių sistemų duomenų saugą reglamentuojančių teisės aktų reikalavimais;

19.6.2. Lietuvos standartu LST ISO/IEC 27001:2013 ir kitais Lietuvos ir tarptautiniais standartais, reglamentuojančiais rizikos vertinimą;

19.6.3. PPIS tvarkytojo patvirtinta Informacijos saugumo valdymo sistemos politika;

19.6.4. PPIS tvarkytojo patvirtintu Informacijos saugumo rizikos valdymo tvarkos aprašu.

19.7. Rizikos valdymo procesą sudaro:

19.7.1. rizikos vertinimo konteksto nustatymas, rizikos vertinimas (informacinių išteklių inventorizacija ir jų įtakos VĮ Žemės ūkio ir kaimo verslo centro veiklai vertinimas, rizikos analizė, rizikos įvertinimas), rizikos tvarkymas ir rizikos stebėsena ir peržiūra.

19.7.2. PPIS valdytoja, atsižvelgdama į PPIS rizikos vertinimo rezultatus, prireikus tvirtina PPIS saugos įgaliotinio parengtą rizikos tvarkymo planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

20. PPIS saugai užtikrinti naudojamos priemonės parengtos vadovaujantis:

20.1. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, kuris nustato būtinas priemones pagal informacinei sistemai paskirtą saugos kategoriją;

20.2. Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms;

20.3. Kitų elektroninės informacijos apsaugą reglamentuojančių Lietuvos Respublikos teisės aktų reikalavimais, kurie nustato būtinas priemones pagal informacinei sistemai paskirtą kategoriją;

20.4. Lietuvos standarte LST ISO/IEC 27001:2013 pateikiamomis rekomendacijomis ir siūlymais.

III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

21. Programinės įrangos, skirtos apsaugoti PPIS nuo kenkėjiškos programinės įrangos, naudojimo nuostatos:

21.1. PPIS funkcionuoti būtina programinė tarnybinių stočių ir PPIS naudotojų kompiuteriuose esanti programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kt.) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Už tarnybinių stočių programinės įrangos konfigūravimą atsakingas PPIS administratorius, o už kontrolę atsakingas PPIS saugos įgaliotinis;

21.2. PPIS funkcionuoti būtina serverių srities ir PPIS naudotojų kompiuteriuose esanti programinė įranga turi būti atnaujinama ne vėliau kaip per 5 darbo dienas po programinės įrangos gamintojų pranešimo apie programinės įrangos atnaujinimą. Už atnaujinimų atlikimą atsakingas PPIS administratorius, o už kontrolę atsakingas PPIS saugos įgaliotinis;

21.3. PPIS naudotojų kompiuteriuose prieigos teisės turi būti apribojamos iki minimalių, būtinų darbo užduotims atlikti teisių;

21.4. PPIS naudotojų kompiuteriai turi būti apsaugoti lokaliomis ugniasienėmis;

21.5. PPIS naudotojų kompiuteriuose turi būti naudojama antivirusinė programinė įranga, apsauganti nuo kenksmingų programų, įskaitant elektroninio pašto apsaugą. Antivirusinė programinė įranga periodiškai, ne rečiau kaip kartą per savaitę, turi būti automatiškai atnaujinama.

22. Programinės įrangos naudojimo ribojimo nuostatos:

22.1. PPIS tarnybinėse stotyse turi veikti tik legali programinė įranga;

22.2. periodiškai, bet ne rečiau kaip kartą per metus, turi būti atliekamas PPIS tarnybinėse stotyse naudojamos programinės įrangos auditas, kurį inicijuoja PPIS saugos įgaliotinis.

23. Kompiuterių tinklo filtravimo įrangos naudojimo nuostatos:

23.1. konfigūruojant PPIS naudotojų elektroninės informacijos perdavimo tinklo užkardas turi būti naudojami tik PPIS tvarkytojo veiklai būtini tinklo protokolai ir užkardų prievadai;

23.2. už PPIS serverių srities tinklo užkardų administravimą, priežiūrą, operacinės sistemos atnaujinimą ir saugią užkardų konfigūraciją atsakingas PPIS administratorius;

23.3. PPIS serverių srities tinklo užkardų konfigūracijos aprašymas (užkardos taisyklės) saugomas PPIS saugos įgaliotinio. Užkardų konfigūracija peržiūrima ne rečiau kaip kartą per metus. Peržiūrą inicijuoja PPIS saugos įgaliotinis, o vykdo PPIS administratorius.

24. Leistinos kompiuterių naudojimo ribos:

24.1. stacionarūs ir nešiojamieji PPIS naudotojų kompiuteriai privalo būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai atlikti. Iš kompiuterių, kurie perduodami remontui ar techniniam aptarnavimui, turi būti pašalinta visa riboto naudojimo PPIS elektroninė informacija;

24.2. visiems PPIS naudotojų naudojamiems kompiuteriams privaloma naudoti papildomas saugos priemones, kuriomis patvirtinama kompiuterio naudotojo tapatybė ir šifruojami riboto naudojimo duomenys.

25. Metodas, kuriuo galima užtikrinanti saugų PPIS elektroninės informacijos teikimą ir (ar) gavimą, kai PPIS duomenys perduodami automatiniu būdu TCP/IP protokolu realiuoju laiku arba asinchroniniu režimu pagal PPIS duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka. Už duomenų teikimo ir gavimo sutartyse nurodomų saugos reikalavimų nustatymą, suformulavimą ir įgyvendinimo organizavimą atsakingas PPIS saugos įgaliotinis.

26. Pagrindiniai atsarginių PPIS duomenų kopijų darymo ir atkūrimo reikalavimai:

26.1. atsarginių PPIS duomenų kopijų darymas ir atkūrimas turi būti atliekamas laikantis Lietuvos Respublikos teisės aktų nustatytų reikalavimų;

26.2. atsarginės PPIS duomenų kopijos turi būti daromos periodiškai (visų duomenų kopija – vieną kartą per savaitę);

26.3. atsarginių kopijų laikmenos yra pažymimos taip, kad jas būtų galima atpažinti;

26.4. PPIS duomenų atkūrimas iš atsarginių duomenų kopijų turi būti periodiškai (ne rečiau kaip du kartus per metus) išbandomas. Bandymų eiga ir rezultatai pateikiami PPIS saugos įgaliotiniui;

26.5. už atsarginių PPIS duomenų kopijų darymą, atkūrimą ir už PPIS taikomosios programinės įrangos (aplikacijų) kopijų iniciavimą atsakingas PPIS saugos įgaliotinis, o vykdymą – PPIS administratorius;

26.6. atsarginės PPIS duomenų kopijos turi būti saugomos kitose patalpose arba kitame pastate, nei yra įrenginys.

IV SKYRIUS
REIKALAVIMAI PERSONALUI

27. PPIS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, standartais ir kitais dokumentais, sugebėti prižiūrėti, kaip įgyvendinama PPIS saugos politika, tobulinti kvalifikaciją elektroninės informacijos saugos srityje.

28. PPIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

29. PPIS administratorius privalo išmanyti PPIS elektroninės Informacijos saugumo politikos principus, darbą su duomenų perdavimo tinklais, užtikrinti jų saugą, taip pat administruoti ir prižiūrėti informacines sistemas, turi būti susipažinęs su šiais Saugos nuostatais ir kitais su elektroninės informacijos sauga susijusiais dokumentais.

30. PPIS naudotojai privalo išmanyti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą ir kitus teisės aktus, reglamentuojančius asmens duomenų saugą, turi turėti naudojimosi kompiuteriu įgūdžių, būti susipažinę su šiais Saugos nuostatais ir kitais susijusiais saugos dokumentais.

31. PPIS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių ar netinkamai veikiančių PPIS elektroninės informacijos saugos užtikrinimo priemonių, nedelsdami privalo apie tai pranešti PPIS administratoriui.

32. PPIS administratorius apie Saugos nuostatų 18 punkte nurodytus pažeidimus informuoja PPIS saugos įgaliotinį. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią PPIS elektroninės informacijos saugą (jos konfidencialumą, vientisumą ar prieinamumą), PPIS saugos įgaliotinis apie tai turi pranešti PPIS tvarkytojo vadovui ir kompetentingoms institucijoms.

33. PPIS naudotojų administratorius turi būti gerai susipažinęs su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų saugą, žinoti visus sutartinius įsipareigojimus ir teisės aktus, susijusius su PPIS naudotojų administravimu.

34. PPIS naudotojų administratorius turi žinoti PPIS vaidmenis ir jų suteikimo principus.

35. PPIS naudotojų informacijos saugos mokymai ir žinių atnaujinimas atliekamas kasmet. Už tai atsakingas PPIS saugos įgaliotinis.

V SKYRIUS

PARAIŠKŲ PRIĖMIMO INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

36. Už PPIS naudotojų supažindinimą su PPIS saugos dokumentais, teisės aktais, nurodytais Saugos nuostatų 14 punkte, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, atsakomybę už saugos dokumentų nuostatų pažeidimus, informaciją apie saugos mokymą ir žinių atnaujinimą, yra atsakingas PPIS saugos įgaliotinis.

37. Saugos dokumentai yra viešai skelbiami PPIS tvarkytojo interneto svetainėje.

38. PPIS tvarkytojo patvirtinta Informacijos saugumo politika yra viešai skelbiama PPIS tvarkytojo interneto svetainėje ir yra privaloma visiems naudotojams, dirbantiems su PPIS.

39. Pirmą kartą prisijungęs prie PPIS naudotojas privalo susipažinti su Informacijos saugumo politika, PPIS nuostatais, Saugos nuostatais ir kitais saugos dokumentais.

40. Pasikeitus šių Saugos nuostatų 39 punkte nurodytiems dokumentams, naudotojas privalo su jais pakartotinai susipažinti.

VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS

41. Saugos nuostatai privalomi PPIS valdytojos ir PPIS tvarkytojo darbuotojams, kurie tvarko PPIS elektroninę informaciją.

42. Asmenys, pažeidę Saugos nuostatus, atsako įstatymų nustatyta tvarka.

43. Saugos nuostatų ir kitos su PPIS elektroninės informacijos sauga susijusios dokumentacijos peržiūrą ar keitimą inicijuoja PPIS tvarkytojas.

__________________________