1

 

 

LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRAS

 

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRO 2007 M. SPALIO 4 D. ĮSAKYMO NR. 1R-389 „DĖL VĮ REGISTRŲ CENTRO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO, SAUGOS ĮGALIOTINIO IR SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ RENGĖJŲ PATVIRTINIMO“ PAKEITIMO

 

2015 m. gegužės 26 d. Nr. 1R-125

Vilnius

 

P a k e i č i u  Lietuvos Respublikos teisingumo ministro 2007 m. spalio 4 d. įsakymą Nr. 1R-389 „Dėl VĮ Registrų centro informacinės sistemos duomenų saugos nuostatų patvirtinimo, saugos įgaliotinio skyrimo ir saugos politiką įgyvendinančių dokumentų rengėjų patvirtinimo“ ir jį išdėstau nauja redakcija:

 

LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRAS

 

ĮSAKYMAS

DĖL VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO TVARKOMŲ REGISTRŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO IR SAUGOS ĮGALIOTINIO SKYRIMO

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11 ir 26 punktais:

1Tvirtinu Nekilnojamojo turto registro, Nekilnojamojo turto kadastro, Juridinių asmenų registro ir Adresų registro duomenų saugos nuostatus (pridedama).

2Pavedu valstybės įmonės Registrų centro direktoriui:

2.1. paskirti valstybės įmonės Registrų centro tvarkomų registrų saugos įgaliotinį ir administratorius;

2.2. per 3 mėnesius nuo Nekilnojamojo turto registro, Nekilnojamojo turto kadastro, Juridinių asmenų registro ir Adresų registro duomenų saugos nuostatų patvirtinimo dienos Teisingumo ministerijai pateikti Nekilnojamojo turto registro, Nekilnojamojo turto kadastro, Juridinių asmenų registro ir Adresų registro duomenų saugos politiką įgyvendinančių dokumentų –

 

Saugaus elektroninės informacijos tvarkymo taisyklių, veiklos tęstinumo valdymo plano ir Registro naudotojų administravimo taisyklių projektus.“

 

 

 

Teisingumo ministras                                                                                                Juozas Bernatonis

 

 

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2015 m. balandžio 15 d. raštu Nr. 1D-3764

 

 

PATVIRTINTA

Lietuvos Respublikos teisingumo ministro

2007 m. spalio 4 d. įsakymu Nr. 1R-389

(Lietuvos Respublikos teisingumo ministro

2015 m. gegužės 26 d. įsakymo Nr. 1R-125

redakcija)

 

NEKILNOJAMOJO TURTO REGISTRO, NEKILNOJAMOJO TURTO KADASTRO, JURIDINIŲ ASMENŲ REGISTRO IR ADRESŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Nekilnojamojo turto registro, Nekilnojamojo turto kadastro, Juridinių asmenų registro ir Adresų registro duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Nekilnojamojo turto registro, Nekilnojamojo turto kadastro, Juridinių asmenų registro ir Adresų registro (toliau – Registras) duomenų saugos politiką, nustato organizacines, technines, programines, teisines ir kitas priemones, užtikrinančias saugų Registro elektroninės informacijos tvarkymą.

2. Registro Saugos nuostatų tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti Registro elektroninę informaciją, užtikrinti elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterinių darbo vietų bei tinklo įrangos funkcionavimą. Registro elektroninės informacijos saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo ir saugos priemonių projektavimo bei diegimo principus.

3. Saugos nuostatuose vartojamos sąvokos:

3.1. Registro naudotojas – Registro tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją;

3.2. Registro administratorius – Registro tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis Registrą ir infrastruktūrą, užtikrinantis jo veikimą ir elektroninės informacijos saugą;

3.3. Registro saugos įgaliotinis – Registro tvarkytojo paskirtas darbuotojas, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis saugos politikos įgyvendinimą Registre;

3.4. Registro elektroninės informacijos saugos politiką įgyvendinantys dokumentai – Lietuvos Respublikos teisingumo ministro patvirtinti dokumentai: Registro saugaus elektroninės informacijos tvarkymo taisyklės, Registro veiklos tęstinumo valdymo planas, Registro naudotojų administravimo taisyklės.

3.5. Kitos šiuose Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (toliau – Valstybės informacinių išteklių valdymo įstatymas), Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas).

4. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų Registro elektroninės informacijos saugai užtikrinti, įgyvendinimas ir kontrolė;

4.2. Registro elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

4.3. Registro veiklos tęstinumo užtikrinimas;

4.4. asmens duomenų apsauga;

4.5. Registro naudotojų mokymas.

5. Registro valdytojo ir Registro tvarkytojo pavadinimai ir adresai:

5.1. Registro valdytojas – Lietuvos Respublikos teisingumo ministerija, buveinės adresas Gedimino pr. 30, 01104 Vilnius;

5.2. Registro tvarkytojas – valstybės įmonė Registrų centras (toliau – Registrų centras), buveinės adresas Vinco Kudirkos g. 18-3, 03105 Vilnius.

6. Registro valdytojo funkcijos ir atsakomybė:

6.1. koordinuoja Registro tvarkytojo darbą, metodiškai jam vadovauja ir įstatymų nustatyta tvarka atlieka šio darbo priežiūrą;

6.2. organizuoja Registro elektroninės informacijos saugos teisinės bazės plėtojimą ir įgyvendinimą;

6.3. prižiūri, kaip laikomasi Registro elektroninės informacijos saugos reikalavimų;

6.4. priima įsakymus dėl Registro saugumo užtikrinimo, tikrina, kaip jie vykdomi;

6.5. užtikrina veiksmingą ir spartų Registro tobulinimo planavimą;

6.6. paveda Registro tvarkytojui skirti Registro saugos įgaliotinį ir administratorius;

6.7. atsižvelgdamas į rizikos vertinimo ataskaitą, prireikus tvirtina rizikos vertinimo ir rizikos valdymo priemonių planą;

6.8. atsižvelgdamas į informacinių technologijų saugos atitikties vertinimo ataskaitą, prireikus tvirtina trūkumų šalinimo planą;

6.9. atsako už Registro elektroninės informacijos saugos politikos (toliau – Registro saugos politika) formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą, tvirtina Saugaus elektroninės informacijos tvarkymo taisykles, Registro veiklos tęstinumo valdymo planą, Registro naudotojų administravimo taisykles (toliau – Registro saugos politiką įgyvendinantys dokumentai).

7. Registro tvarkytojo funkcijos ir atsakomybė:

7.1. užtikrina nepertraukiamą Registro veikimą, elektroninės informacijos, esančios Registre, saugą ir saugų elektroninės informacijos perdavimą kompiuterių tinklais (automatiniu būdu);

7.2. teikia pasiūlymus Registro valdytojui, kaip tobulinti Registro saugą;

7.3. užtikrina tinkamą Registro valdytojo priimtų teisės aktų ir rekomendacijų įgyvendinimą;

7.4. skiria Registro saugos įgaliotinį;

7.5. skiria Registro administratorius, vykdančius atskiras Registro administravimo funkcijas;

7.6. užtikrina Registro sąveiką su kitomis informacinėmis sistemomis ir registrais;

7.7. Registro tvarkytojo vadovas yra atsakingas už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir Registro saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.

8. Registro saugos įgaliotinio funkcijos ir atsakomybė:

8.1. teikia Registro tvarkytojo vadovui pasiūlymus dėl:

8.1.1. Registro administratorių skyrimo;

8.1.2. informacinių technologijų saugos atitikties vertinimo atlikimo Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 43 punkte nurodytoje metodikoje nustatyta tvarka;

8.2. teikia Registro valdytojo vadovui pasiūlymus dėl saugos dokumentų priėmimo, keitimo;

8.3. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Registre, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

8.4. teikia administratoriams, Registro naudotojams ir kitiems Registro tvarkytojo darbuotojams privalomus vykdyti nurodymus ir pavedimus dėl Registro saugos politikos įgyvendinimo;

8.5. organizuoja Registro rizikos vertinimą;

8.6. periodiškai organizuoja Registro naudotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas;

8.7. atlieka kitas Registro valdytojo ir tvarkytojo vadovų pavestas ir kituose teisės aktuose jam priskirtas funkcijas;

8.8. Registro saugos įgaliotinis, įgyvendindamas elektroninės informacijos saugą, yra atsakingas už tinkamą Saugos nuostatuose nustatytų funkcijų vykdymą.

9.  Registro priežiūrą atlieka administratoriai: kompiuterinių tinklų administratorius, tarnybinių stočių administratorius, duomenų bazių administratorius ir Registro naudotojų administratorius. Pagal atliekamų funkcijų pobūdį ir prieigos prie Registro lygį:

9.1.    Kompiuterinių tinklų administratorius atlieka šias funkcijas:

9.1.1. užtikrina kompiuterinių tinklų veikimą;

9.1.2. projektuoja kompiuterinius tinklus;

9.1.3. diegia, konfigūruoja ir prižiūri kompiuterinių tinklų aktyviąją įrangą;

9.1.4. užtikrina kompiuterinių tinklų saugumą.

9.2. Tarnybinių stočių administratorius atlieka šias funkcijas:

9.2.1. užtikrina tarnybinių stočių veikimą;

9.2.2. konfigūruoja tarnybinių stočių tinklo prieigą;

9.2.3. kuria ir administruoja tarnybinių stočių naudotojų registracijos į tarnybines stotis duomenis;

9.2.4. kuria ir atkuria tarnybinių stočių atsargines kopijas;

9.2.5. stebi ir analizuoja tarnybinių stočių veiklą;

9.2.6. diegia ir konfigūruoja tarnybinių stočių programinę įrangą;

9.2.7. diegia tarnybinių stočių programinės įrangos atnaujinimus;

9.2.8. užtikrina tarnybinių stočių saugą.

9.3. Duomenų bazių administratorius atlieka šias funkcijas:

9.3.1. užtikrina duomenų bazių veikimą;

9.3.2. tvarko duomenų bazių programinę įrangą;

9.3.3. konfigūruoja duomenų bazių kompiuterinio tinklo aplinką;

9.3.4. kuria ir administruoja duomenų bazių naudotojų registracijos į duomenų bazes duomenis;

9.3.5. kuria ir atkuria duomenų bazių atsargines kopijas;

9.3.6. stebi duomenų bazes ir optimizuoja jų funkcionavimą.

9.4. Registro naudotojų administratorius atlieka šias funkcijas:

9.4.1. administruoja Registro naudotojų duomenis;

9.4.2. tvarko Registro naudotojų klasifikatorius;

9.4.3. analizuoja Registro naudotojų veiksmų registracijos žurnalų įrašus.

9.5. Administratorius, vykdydamas Registro priežiūrą, yra atsakingas už tinkamą Saugos nuostatuose nustatytų funkcijų vykdymą.

10. Saugų Registro elektroninės informacijos tvarkymą reglamentuoja:

10.1. Lietuvos Respublikos nekilnojamojo turto registro įstatymas;

10.2. Lietuvos Respublikos nekilnojamojo turto kadastro įstatymas;

10.3. Lietuvos Respublikos juridinių asmenų registro įstatymas;

10.4. Lietuvos Respublikos adresų registro įstatymas;

10.5. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

10.6. Valstybės informacinių išteklių valdymo įstatymas;

10.7. Lietuvos Respublikos kibernetinio saugumo įstatymas;

10.8. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

10.9. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas);

10.10. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

10.11. Lietuvos standartai LST ISO/IEC 27001:2013 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002:2014 „Informacijos technologija. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“;

10.12. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“;

10.13. kiti teisės aktai, reglamentuojantys Registro saugos politiką ir duomenų tvarkymo teisėtumą, valstybės informacinių sistemų tvarkytojų veiklą ir duomenų saugos valdymą.

 

II skyrius

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

11. Registre tvarkoma elektroninė informacija priskirtina ypatingos svarbos elektroninės informacijos kategorijai, vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.1.2 ir 4.1.5 papunkčių nuostatomis.

12. Registras priskiriamas pirmajai kategorijai, vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.1 papunkčio nuostatomis, atsižvelgiant į pagrindiniame valstybės registre apdorojamos elektroninės informacijos svarbos kategoriją.

13. Registro asmens duomenų tvarkymas automatiniu būdu priskirtinas antrajam saugumo lygiui, vadovaujantis Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms 7.2 papunkčio nuostatomis.

14. Registro saugos įgaliotinis, vadovaudamasis Lietuvos Respublikos vidaus reikalų ministerijos metodine priemone „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, kasmet organizuoja Registro rizikos veiksnių vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį Registro rizikos veiksnių vertinimą.

15. Registro rizikos veiksnių vertinimas surašomas rizikos vertinimo ataskaitoje, kuri pateikiama Registro valdytojo ir tvarkytojo vadovams. Registro rizikos veiksnių vertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:

15.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fizinės elektroninės informacijos technologijų triktys, elektroninės informacijos perdavimo tinklais triktys, programinės įrangos klaidos, netinkamas veikimas ir kita);

15.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Registru elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais trikdžiai, saugumo pažeidimai, vagystės ir kita);

15.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

16. Registro rizikos veiksniai vertinami nustatant jų įtakos Registro elektroninės informacijos saugai laipsnius:

16.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – informacija išsiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, kurią galima greitai atkurti iš turimų atsarginių kopijų, prarasta informacija po paskutinio kopijavimo. Neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterinėse darbo vietose;

16.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar sugadinti, bet juos įmanoma atkurti iš turimų atsarginių kopijų. Duomenų bazių įrašai pakeisti, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse;

16.3. A – aukštas. Duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti – duomenys visiškai sugadinti, dėl vagystės, gaisro ar užliejimo prarasti ne tik duomenys iš duomenų bazių, bet ir atsarginės kopijos, neveikia visas Registras.

17. Registro rizikos veiksnių vertinimo metu atliekami darbai:

17.1. Registrą sudarančių informacinių išteklių inventorizacija;

17.2. įtakos Registro veiklai vertinimas;

17.3. grėsmės ir pažeidimų analizė;

17.4. liekamosios rizikos vertinimas.

18. Registro valdytojas, atsižvelgdamas į Registro rizikos veiksnių vertinimo ataskaitą, prireikus tvirtina Registro rizikos vertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis Registro rizikos valdymo priemonėms įgyvendinti.

19. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:

19.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

19.2. informacijos saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

19.3. kur galima, turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

20. Siekiant užtikrinti Saugos nuostatuose ir kituose Registro saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, ne rečiau kaip kartą per metus organizuojamas informacinių technologijų saugos atitikties vertinimas, vadovaujantis Lietuvos Respublikos vidaus reikalų ministro patvirtinta metodika.

21. Registro informacinių technologijų saugos atitikties vertinimą ne rečiau kaip kartą per trejus metus turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.

22. Rizikos vertinimo ataskaitos, rizikos vertinimo ir rizikos valdymo priemonių plano, informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas Registro valdytojas ne vėliau kaip per penkias darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

23. Patvirtintų Registro saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas Registro valdytojas ne vėliau kaip per penkias darbo dienas nuo jų patvirtinimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų  nustatyta tvarka.

 

III skyrius

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

24. Programinės įrangos, skirtos Registrui apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

24.1. tarnybinėse stotyse ir kompiuterinėse darbo vietose su „Microsoft Windows“ operacine sistema privalo būti įdiegta centralizuotai valdoma apsauga nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos ir kt.);

24.2. elektroninio pašto tarnybinės stotys turi būti apsaugotos nuo brukalų ir nepageidaujamo turinio elektroninių laiškų;

24.3. kompiuterinėse darbo vietose turi būti įdiegtos priemonės, leidžiančios riboti USB ir kito tipo laikmenų naudojimą;

24.4. apsaugai naudojama programinė įranga privalo atsinaujinti ne rečiau kaip kartą per 24 valandas;

24.5. apsaugos sistema privalo automatiškai elektroniniu paštu informuoti atsakingus darbuotojus apie kompiuterines darbo vietas ir tarnybines stotis, kuriose apsaugos sistema netinkamai funkcionuoja, yra išjungta arba neatsinaujino per 24 valandas;

24.6. programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu.

25. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:

25.1. naudojama tik legali programinė įranga;

25.2. programinė įranga nuolatos atnaujinama laikantis gamintojo reikalavimų;

25.3. programinės įrangos diegimą, šalinimą ir konfigūravimą atlieka tik administratoriai.

26. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių ir kt.) pagrindinės naudojimo nuostatos:

26.1. Registro tvarkytojo kompiuteriniai tinklai atskirti nuo viešųjų telekomunikacijų tinklų (interneto) užkardomis, DOS ir DDOS atakų prevencijai skirta įranga ir įsilaužimų aptikimo ir prevencijos įranga;

26.2. visas Registro elektroninės informacijos srautas į internetą ir iš jo filtruojamas naudojant apsaugą nuo virusų ir kitos kenkėjiškos programinės įrangos;

26.3. naudojamos turinio filtravimo sistemos;

26.4. naudojamos taikomųjų programų kontrolės sistemos.

27. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą: 

27.1. nuotolinis prisijungimas prie Registro galimas:

27.1.1. iš virtualių darbo vietų „PCoIP“ protokolu. Nutolusiame kompiuteryje įdiegiama speciali programinė įranga „Vmware view client“ ir jungiamasi per specializuotą tarnybinę stotį (securitysrv.kada.lt) naudojant HTTPS protokolą;

27.1.2. naudojantis „IPSec“ protokolų rinkiniu ir jungiantis kaip „IPSec“ programiniam klientui;

27.1.3. naudojant šifruotą komandinės eilutės protokolą SSH. Šia galimybe gali būti pasinaudota tik Registro administravimo tikslais.

27.2. prieiga prie Registro ribojama užkardomis;

27.3. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojami saugūs ryšio kanalai. Informacijai perduoti gali būti naudojamas saugus valstybės duomenų perdavimo tinklas;

27.4. teikti ir (ar) gauti elektroninę informaciją automatiniu būdu galima tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas – naudojami saugūs ryšio kanalai (VPN).

28. Nešiojamieji kompiuteriai naudojami laikantis Registrų centro direktoriaus 2008 m. birželio 20 d. įsakyme Nr. v-148 „Dėl nešiojamų įrenginių saugumo patvirtinimo tvarkos ir duomenų rezervinio kopijavimo ir laikmenų saugojimo tvarkos patvirtinimo“ nustatytos tvarkos.

29. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

29.1. atsarginės elektroninės informacijos kopijos (toliau – kopijos) daromos automatiškai, kiekvieną dieną;

29.2. elektroninė informacija kopijose turi būti šifruota;

29.3. laikmena, kurioje yra kopija, pažymima specialia ženklinimo etikete, kurioje nurodoma kopijavimo data, kopiją padariusio asmens duomenys (pareigos, vardas, pavardė), duomenų katalogai;

29.4. kiekvienos savaitės / mėnesio / metų paskutinės kopijos ženklinimo etiketėje papildomai nurodoma, kad tai yra savaitės / mėnesio / metų kopija;

29.5. kopijas turi teisę daryti tik duomenų bazių administratorius, kurio pareigybės aprašyme nurodyta ši funkcija;

29.6. laikmenos, kuriose yra kopijos, saugomos Registro tvarkytojo patalpose, atskirai nuo tarnybinių stočių. Už jų atidavimą saugoti atsako administratorius, atliekantis dokumentų kopijavimo funkciją;

29.7. atsarginės metų kopijos saugomos dešimt metų nuo jų sukūrimo dienos. Atsarginės mėnesio kopijos saugomos vienus metus nuo jų sukūrimo dienos. Atsarginės savaitės kopijos saugomos vieną mėnesį nuo jų sukūrimo dienos;

29.8. atkurti elektroninę informaciją iš kopijų turi teisę tik duomenų bazių administratorius;

29.9. bandomieji elektroninės informacijos atkūrimai iš mėnesio atsarginių kopijų vykdomi kartą per mėnesį, o vieną kartą per metus daromas metų kopijos atkūrimas.

30. Užtikrinant techninius saugos reikalavimus, kurie keliami ypač svarbios elektroninės informacijos prieinamumui, turi būti numatyta rezervinė pagrindinė kompiuterinė ir programinė įranga bei infrastruktūra.

 

IV skyrius

REIKALAVIMAI PERSONALUI

 

31. Registro saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą. Registro saugos įgaliotinis privalo sugebėti prižiūrėti, kaip įgyvendinama Registro saugos politika. Saugos įgaliotinis privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje.

32. Registro saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau nei vieni metai.

33. Registro administratoriumi gali būti skiriamas darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. Registro administratorius privalo mokėti administruoti ir prižiūrėti duomenų bazes, būti susipažinęs su Saugos nuostatais ir Registro saugos politiką įgyvendinančiais teisės aktais.

34. Registro administratoriai privalo išmanyti informacijos saugos principus, mokėti užtikrinti jų saugą, administruoti ir prižiūrėti duomenų bazes, turi būti susipažinę su Registro saugos politiką įgyvendinančiais dokumentais, darbo saugos taisyklėmis. Administratoriai privalo gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, išmanyti elektroninės informacijos saugos užtikrinimo principus.

35. Registro naudotojai privalo turėti pagrindinių darbo su kompiuteriu įgūdžių, mokėti tvarkyti duomenis, turi būti susipažinę su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą; pasirašę pasižadėjimą saugoti asmens duomenų paslaptį; nuolat kelti savo kvalifikaciją kvalifikacijos kėlimo kursuose, saugaus darbo su duomenimis seminaruose; gilinti kompiuterines žinias ir būti susipažinę su Registro saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, įgyvendinančiais Registro saugos politiką.

36. Registro saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja Registro naudotojų mokymą informacijos saugos klausimais, įvairiais būdais primena apie saugumo problemas (pvz., pranešimai elektroniniu paštu, naujų darbuotojų instruktavimas ir pan.).

37. Registro naudotojai, Registro administratoriai ir Registro saugos įgaliotinis, pažeidę Saugos nuostatų, Registro saugos politiką įgyvendinančių dokumentų ir saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

 

V skyrius

REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

38. Naudoti Registro elektroninę informaciją gali tik tie asmenys, kurie yra susipažinę su Saugos nuostatais, Registro saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą ir raštu yra sutikę laikytis šių teisės aktų reikalavimų.

39. Už Registro naudotojų supažindinimą su Saugos nuostatais ir Registro saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais bei atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą yra atsakingas saugos įgaliotinis.

40. Saugos nuostatai ir Registro saugos politiką įgyvendinantys dokumentai skelbiami Registro naudotojams pasiekiamoje interneto svetainėje.

41. Su Saugos nuostatais ir Registro saugos politiką įgyvendinančiais dokumentais pakartotinai supažindinama elektroniniu paštu šiems dokumentams pasikeitus.

 

_____________________