1. Geležinkelių transporto valstybinės priežiūros informacinės sistemos (toliau – VGI IS) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja VGI IS saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui ir VGI IS naudotojų supažindinimo su saugos dokumentais principus.

2. Saugos nuostatų tikslas – sudaryti sąlygas saugiai, automatiniu būdu tvarkyti elektroninę informaciją VGI IS, užtikrinti elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą.

3. Saugos nuostatai parengti vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Saugos dokumentų turinio gairių aprašu (toliau – Saugos dokumentų turinio gairių aprašas), Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu (toliau – Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas), patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“.

Punkto pakeitimai:

Nr. 2BE-347, 2020-10-28, paskelbta TAR 2020-10-28, i. k. 2020-22373

4. Saugos nuostatuose vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Lietuvos Respublikos įstatymuose ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 27002:2014 ir LST ISO/IEC 27001:2013 vartojamas sąvokas.

5. Saugos nuostatų reikalavimai taikomi tvarkant VGI IS duomenis ir yra privalomi Lietuvos transporto saugos administracijos (toliau – Administracija) valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis, turintiems bet kokias VGI IS naudotojų teises.

Punkto pakeitimai:

Nr. 2BE-347, 2020-10-28, paskelbta TAR 2020-10-28, i. k. 2020-22373

6. Saugos nuostatai reglamentuoja VGI IS saugos politiką (toliau – Saugos politika), kurią įgyvendina šie VGI patvirtinti teisės aktai (toliau – Saugos dokumentai):

7. VGI IS elektroninės informacijos saugos tikslai yra šie:

8. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

9. VGI IS valdytojas ir tvarkytojas yra Administracija, adresas: Švitrigailos g. 42, 03209 Vilnius

Punkto pakeitimai:

Nr. 2BE-347, 2020-10-28, paskelbta TAR 2020-10-28, i. k. 2020-22373

10. Už VGI IS elektroninės informacijos tvarkymo teisėtumą, patikimumą, elektroninės informacijos teikimo VGI IS elektroninės informacijos gavėjams teisėtumą, patikimumą ir elektroninės informacijos saugą atsako VGI IS valdytojas.

11. VGI IS valdytojo ir tvarkytojo funkcijos ir atsakomybė:

12. Saugos įgaliotinis, įgyvendindamas Saugos politiką, atlieka šias funkcijas:

13. VGI IS administratorius, vykdantis VGI IS priežiūrą, atlieka šias funkcijas:

14. Teisės aktai, kuriais vadovaujamasi tvarkant VGI IS elektroninę informaciją ir užtikrinant jos saugumą:

Punkto pakeitimai:

Nr. 2BE-347, 2020-10-28, paskelbta TAR 2020-10-28, i. k. 2020-22373

15. VGI IS tvarkoma elektroninė informacija priskirtina svarbios elektroninės informacijos kategorijai, vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.2.4 ir 4.2.7 papunkčių nuostatomis.

16. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo 5.2 papunkčiu, VGI IS priskiriama antrai informacinių sistemų kategorijai.

Punkto pakeitimai:

Nr. 2BE-347, 2020-10-28, paskelbta TAR 2020-10-28, i. k. 2020-22373

17. Saugos įgaliotinis, vadovaudamasis Lietuvos Respublikos vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“ (http://www.vrm.lt/Rizikos_analize.pdf), Lietuvos standartu LST ISO/IEC 27005 „Informacijos technologija. Saugumo technika. Informacijos saugumo rizikos valdymas“, kasmet organizuoja VGI IS rizikos veiksnių vertinimą. Prireikus Saugos įgaliotinis gali organizuoti neeilinį VGI IS rizikos veiksnių vertinimą.

18. VGI IS rizikos įvertinimas pateikiamas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausieji rizikos veiksniai yra šie:

19. Rizikos veiksniai vertinami, nustatant jų galimą pasireiškimo dažnį (žemas – gali pasireikšti ne dažniau kaip 1 kartą per metus, vidutinis – gali pasireikšti ne dažniau kaip 1 kartą per 3 mėnesius, aukštas – gali pasireikšti dažniau nei 1 kartą per 3 mėnesius) ir įtakos VGI IS elektroninės informacijos saugai laipsnius:

20. Rizikos vertinimo metu atliekamos veiklos:

21. Rizikos valdymo priemonių planas, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti, tvirtinamas Administracijos direktoriaus.

Punkto pakeitimai:

Nr. 2BE-347, 2020-10-28, paskelbta TAR 2020-10-28, i. k. 2020-22373

22. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:

23. Siekiant užtikrinti Saugos nuostatuose ir Saugos dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kartą per dvejus metus organizuojamas informacinių technologijų saugos atitikties vertinimas (toliau – Atitikties vertinimas), kurio metu:

24. Atlikus Atitikties vertinimą, rengiamas trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Administracijos direktorius.

Punkto pakeitimai:

Nr. 2BE-347, 2020-10-28, paskelbta TAR 2020-10-28, i. k. 2020-22373

25. Prireikus Saugos įgaliotinis gali inicijuoti ir Administracijos direktoriaus pavedimu atlikti neeilinį VGI IS rizikos įvertinimą.

Punkto pakeitimai:

Nr. 2BE-347, 2020-10-28, paskelbta TAR 2020-10-28, i. k. 2020-22373

26. Neeilinis VGI IS rizikos vertinimas turi būti atliekamas:

27. Priemonės ir metodai, kurie taikomi užtikrinant prieigą prie VGI IS, nurodant leistiną šios prieigos laiką ir būdą, nustatomi VGI IS naudotojų administravimo taisyklėse.

28. Visos VGI IS tarnybinės stotys ir naudotojų darbo vietos turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.). Apsaugai naudojama programinė įranga turi būti atnaujinama automatiškai ne rečiau kaip kartą per parą.

29. Programinės įrangos naudojimo nuostatos:

30. Prieigai prie VGI IS naudojami kompiuteriai gali būti naudojami ir kitoms VGI IS naudotojo ir VGI IS administratoriaus funkcijoms atlikti.

31. VGI IS naudotojų prieiga prie kitų valstybės institucijų, žinybų kompiuterių tinklų ar interneto turi būti apsaugota ugniasienėmis:

32. Naudojami tarnybinės stoties operacinės sistemos metodai, leidžiantys vienareikšmiškai atpažinti kompiuterių tinklui priklausančius kompiuterius.

33. Draudžiama neatpažintiems VGI IS naudotojams prisijungti prie kompiuterių tinklo iš kompiuterio, nepriklausančio šiam tinklui.

34. Draudžiama keisti kompiuterių išdėstymo vietas Administracijos patalpose be VGI IS administratoriaus leidimo.

Punkto pakeitimai:

Nr. 2BE-347, 2020-10-28, paskelbta TAR 2020-10-28, i. k. 2020-22373

35. Kompiuteriai naudojami tik tarnybinėms funkcijoms vykdyti.

36. Tarnybiniai nešiojamieji kompiuteriai ne Administracijos patalpose gali būti naudojami tik tarnybinėms funkcijoms vykdyti.

Punkto pakeitimai:

Nr. 2BE-347, 2020-10-28, paskelbta TAR 2020-10-28, i. k. 2020-22373

37. Iš nutolusių Administracijos darbo vietų prie VGI IS jungiamasi naudojant virtualų privatų tinklą.

Punkto pakeitimai:

Nr. 2BE-347, 2020-10-28, paskelbta TAR 2020-10-28, i. k. 2020-22373

38. Kompiuterius, turinčius prieigą prie VGI IS, naudojant nustatytoms funkcijoms vykdyti ne Administracijos patalpose, įdiegiamos papildomos saugos priemonės (kietojo disko duomenų šifravimas, rakinimo įrenginių naudojimas).

Punkto pakeitimai:

Nr. 2BE-347, 2020-10-28, paskelbta TAR 2020-10-28, i. k. 2020-22373

39. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojamas Saugus valstybės duomenų perdavimo tinklas.

Punkto pakeitimai:

Nr. 2BE-347, 2020-10-28, paskelbta TAR 2020-10-28, i. k. 2020-22373

40. Neteko galios nuo 2020-10-29

Punkto naikinimas:

Nr. 2BE-347, 2020-10-28, paskelbta TAR 2020-10-28, i. k. 2020-22373

41. Neteko galios nuo 2020-10-29

Punkto naikinimas:

Nr. 2BE-347, 2020-10-28, paskelbta TAR 2020-10-28, i. k. 2020-22373

42. Duomenys teikiami ir (ar) gaunami automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas.

43. Atsarginių kopijų darymas turi užtikrinti VGI IS veiklos tęstinumą:

44. Prisijungimo prie kompiuterių tinklo laikas ir trukmė nėra ribojami.

45. Kompiuterinė įranga turi rezervinį maitinimo šaltinį (UPS), užtikrinantį šios įrangos veikimą ne mažiau nei 30 min.

46. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo ir valdymo principus (informacijos konfidencialumo, vientisumo, pasiekiamumo, apsaugos)  ir priemones (administracines, organizacines, technines), tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais.

47. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

48. VGI IS administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis pagrindinius elektroninės informacijos saugos principus, darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. VGI IS administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.

49. Visi VGI IS naudotojai privalo turėti darbo kompiuteriu įgūdžių ir mokėti tvarkyti VGI IS duomenis.

50. Tvarkyti VGI IS duomenis gali tik VGI IS naudotojai, susipažinę su VGI IS nuostatais, Saugos nuostatais ir Saugos dokumentais bei raštu sutikę laikytis šių teisės aktų reikalavimų.

51. VGI IS naudotojai, pažeidę Saugos nuostatų ar Saugos dokumentų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

52. VGI IS naudotojų supažindinimą su Saugos nuostatais, Saugos dokumentais ir kitais saugos politiką įgyvendinančiais teisės aktais ir atsakomybe už reikalavimų, pateiktų šiuose teisės aktuose, nesilaikymą organizuoja Saugos įgaliotinis. Saugos įgaliotinis raštu informuoja VGI IS naudotojus apie Saugos nuostatų, Saugos dokumentų ar kitų saugos politiką įgyvendinančių teisės aktų pripažinimą netekusiais galios, keitimą ar priėmimą.

53. Saugos įgaliotinis organizuoja mokymus ir seminarus duomenų apsaugos klausimais.

54. Saugos įgaliotinis, ne rečiau kaip kartą per dvejus metus esamiems VGI IS naudotojams ir prieš pradedant naudotis VGI IS naujiems VGI IS naudotojams, inicijuoja VGI IS naudotojų mokymą informacijos saugos klausimais. VGI IS naudotojų mokymus informacijos saugos klausimais vykdo VGI IS administratorius arba kitas Saugos įgaliotinio paskirtas asmuo.

55. Mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugumo užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), VGI IS naudotojų ar VGI IS administratoriaus poreikius

56. Mokymų ir seminarų metu VGI IS naudotojai supažindinami su duomenų apsaugos politiką įgyvendinančiais teisės aktais, saugaus darbo su duomenimis principais.

57. Administracija sudaro galimybes VGI IS naudotojams dalyvauti Saugos įgaliotinio organizuojamuose kvalifikacijos tobulinimo ir mokymo renginiuose.

Punkto pakeitimai:

Nr. 2BE-347, 2020-10-28, paskelbta TAR 2020-10-28, i. k. 2020-22373

58. Už VGI IS naudotojų supažindinimą su Saugos nuostatais ir Saugos dokumentais bei atsakomybe už šių reikalavimų nesilaikymą yra atsakingas Saugos įgaliotinis.

59. VGI IS tvarkymo įstaigos atsakingi asmenys turi įgyvendinti Saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose saugų VGI IS duomenų tvarkymą, nustatytas organizacines, technines ir kitas priemones.

60. Saugos įgaliotinis ir VGI IS administratorius raštu įsipareigoja nepažeisti Saugos nuostatų ir kitų teisės aktų, reglamentuojančių VGI IS duomenų saugų tvarkymą, reikalavimų.

61. VGI IS naudotojai su Saugos nuostatais ir Saugos dokumentais bei atsakomybe už šių teisės aktų reikalavimų nesilaikymą supažindinami pasirašytinai.

62. Saugos įgaliotinis tvarko VGI IS naudotojų supažindinimo su Saugos politika žurnalą, kuriame pildomos šios grafos: supažindinimo data, VGI IS naudotojo vardas ir pavardė, pareigos, parašas.

63. Pakartotinai su Saugos nuostatais ir Saugos dokumentais VGI IS naudotojai supažindinami tik iš esmės pasikeitus VGI IS arba informacijos saugą reglamentuojantiems teisės aktams.

64. Saugos nuostatai ir Saugos dokumentai skelbiami vidiniame Administracijos tinklalapyje.

Punkto pakeitimai:

Nr. 2BE-347, 2020-10-28, paskelbta TAR 2020-10-28, i. k. 2020-22373

65. Saugos įgaliotinis informuoja VGI IS naudotojus elektroniniu paštu ar kitu būdu apie Saugos nuostatų pakeitimus ar kitų saugos politikos įgyvendinamųjų teisės aktų pakeitimus ar minėtų teisės aktų pripažinimą netekusiais galios.

66. Saugos nuostatai ir Saugos dokumentai turi būti peržiūrėti ne rečiau kaip kartą per kalendorinius metus, atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, technologiniams ar kitiems VGI IS pokyčiams.