2.1. paskirti Lietuvos Respublikos civilinių orlaivių registro duomenų saugos įgaliotinį;

2.2. parengti ir pateikti Lietuvos Respublikos susisiekimo ministrui tvirtinti Lietuvos Respublikos civilinių orlaivių registro elektroninės informacijos saugaus tvarkymo taisykles, Lietuvos Respublikos civilinių orlaivių registro veiklos tęstinumo valdymo planą ir Lietuvos Respublikos civilinių orlaivių registro naudotojų administravimo taisykles.

Punkto pakeitimai:

Nr. 3-635, 2018-12-19, paskelbta TAR 2018-12-19, i. k. 2018-20771

1. Lietuvos Respublikos civilinių orlaivių registro duomenų saugos nuostatai (toliau – nuostatai) nustato organizacines, technines ir kitas priemones, suteikiančias galimybę saugiai rinkti, apdoroti, kaupti, saugoti ir tvarkyti Lietuvos Respublikos civilinių orlaivių registro (toliau – Registras) objektų – civilinių ir nekarinių valstybės orlaivių ir jų savininkų (naudotojų) duomenis, juos teikti kitiems registrams, informacinėms sistemoms, suinteresuotiems juridiniams ir fiziniams asmenims.

2. Šie nuostatai parengti vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866), ir Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160).

3. Šių nuostatų tikslas – užtikrinti Registro duomenų elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų ir tinklo įrangos funkcionavimą. Registro duomenų saugumui užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo ir saugos priemonių projektavimo ir diegimo principus.

4. Šiuose nuostatuose vartojamos sąvokos atitinka sąvokas, nustatytas šių nuostatų 2 punkte minimuose teisės aktuose ir kituose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 17799:2006 ir LST ISO/IEC 27001:2006.

5. Šie nuostatai privalomi visiems už Registro duomenų tvarkymą atsakingiems asmenims, saugos įgaliotiniui ir administratoriui.

6. Šie nuostatai nustato Registro saugos politiką (toliau – saugos politika), kuri įgyvendinama pagal Lietuvos Respublikos civilinių orlaivių registro elektroninės informacijos saugaus tvarkymo taisykles, Lietuvos Respublikos civilinių orlaivių registro veiklos tęstinumo valdymo planą, Lietuvos Respublikos civilinių orlaivių registro naudotojų administravimo taisykles, kitus teisės aktus, reglamentuojančius Registro duomenų tvarkymo teisėtumą ir saugos valdymą.

7. Saugos politika vykdoma šiomis prioritetinėmis kryptimis:

8. Registre tvarkomų asmens duomenų valdytoja (vadovaujančioji Registro tvarkymo įstaiga) yra Lietuvos Respublikos susisiekimo ministerija (toliau – Susisiekimo ministerija), kurios buveinės adresas – Gedimino pr. 17, Vilnius. Registre tvarkomų asmens duomenų tvarkytoja (Registro tvarkymo įstaiga) yra viešoji įstaiga Transporto kompetencijų agentūra (toliau – TKA), kurios buveinės adresas – I. Kanto g. 25, Kaunas. TKA Registro duomenis tvarko pagal Lietuvos Respublikos civilinių orlaivių registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2004 m. gruodžio 30 d. nutarimu Nr. 1680 „Dėl Lietuvos Respublikos civilinių orlaivių registro įsteigimo ir civilinių orlaivių registro nuostatų patvirtinimo“, reikalavimus.

Punkto pakeitimai:

Nr. 3-635, 2018-12-19, paskelbta TAR 2018-12-19, i. k. 2018-20771

9. Registras priskiriamas antrajai informacinių sistemų kategorijai pagal Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), 3.2.6 punktą.

10. Registro saugos priemonės parenkamos įvertinus galimus rizikos veiksnius Registro duomenų vientisumui ir prieinamumui.

11. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ standartus, kasmet organizuoja Registro rizikos vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį Registro rizikos vertinimą.

12. Registro rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgus į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausi rizikos veiksniai yra šie:

13. Atsižvelgdama į rizikos įvertinimo ataskaitą, Susisiekimo ministerija, jei prireikia, tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

14. Rizikos veiksnių Registro duomenims, techninei, programinei įrangai, registravimo dokumentams vertinti TKA naudojama penkiabalė rizikos veiksnių faktorių ir žalos vertinimo metodika:  

Punkto pakeitimai:

Nr. 3-635, 2018-12-19, paskelbta TAR 2018-12-19, i. k. 2018-20771

15. Siekiant užtikrinti šiuose nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose numatytą kontrolę, ne rečiau kaip kartą per metus organizuojamas informacinių technologijų saugos atitikties vertinimas, kurio metu:

16. Atlikus šių nuostatų 15 punkte nurodytą atitikties vertinimą, rengiamas pastebėtų trūkumų taisymo planas, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus Registro tvarkymo įstaigos vadovas.

17. Registro duomenų saugumui užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės Registro tvarkymo įstaigos vadovo nustatyta tvarka, kurios teisinį pagrindą sudaro šie dokumentai: Lietuvos Respublikos civilinių orlaivių registro elektroninės informacijos saugaus tvarkymo taisyklės, Lietuvos Respublikos civilinių orlaivių registro veiklos tęstinumo valdymo planas, Lietuvos Respublikos civilinių orlaivių registro naudotojų administravimo taisyklės, Saugaus darbo kompiuteriu (informacijai apsaugoti) instrukcija.

18. Registro tvarkymo įstaigos vadovas:

19. Saugos įgaliotinis:

20. Administratorius:

21. Registro tvarkymo įstaigos vadovas paskiria Registro naudotojus, jiems paveda tvarkyti Registro duomenis, užtikrina Registro duomenų saugą atitinkamų teisės aktų nustatyta tvarka.

22. Registro duomenų sauga užtikrinama vadovaujantis Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488), Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Lietuvos standartu LST ISO/IEC 17799:2005, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ standartais, šiais nuostatais, Lietuvos Respublikos civilinių orlaivių registro elektroninės informacijos saugaus tvarkymo taisyklėmis, Lietuvos Respublikos civilinių orlaivių registro veiklos tęstinumo valdymo planu, Lietuvos Respublikos civilinių orlaivių registro naudotojų administravimo taisyklėmis, kitais teisės aktais, reglamentuojančiais saugų Registro duomenų tvarkymą.

23. Registro naudotojų darbo su Registro duomenimis ir registravimo dokumentais tvarka nurodyta Lietuvos Respublikos civilinių orlaivių registro nuostatuose.

24. Registro duomenims apsaugoti nuo kenksmingos programinės įrangos TKA naudojama antivirusinė programinė priemonė.

Punkto pakeitimai:

Nr. 3-635, 2018-12-19, paskelbta TAR 2018-12-19, i. k. 2018-20771

25. Registro objektų duomenims saugiai rinkti, apdoroti, kaupti, saugoti, teikti kitiems registrams, informacinėms sistemoms, suinteresuotiems juridiniams ir fiziniams asmenims TKA naudojamos programinės ir techninės įrangos naudojimą ribojančios pagrindinės priemonės, kuriose:

Punkto pakeitimai:

Nr. 3-635, 2018-12-19, paskelbta TAR 2018-12-19, i. k. 2018-20771

26. Saugos įgaliotinis ir administratorius organizuoja Registro programinės, techninės įrangos naudojimą ribojančių priemonių įgyvendinimą.

27. Registro duomenys laikomi tik stacionariuose atitinkamų darbo vietų kompiuteriuose. Bet kokia prieiga prie Registro duomenų iš nešiojamųjų kompiuterių yra draudžiama. Kompiuteriuose esanti informacija apsaugota operacinės sistemos ir vartotojo vardu bei slaptažodžiu. Kompiuteriuose negali būti jokios svarbios informacijos, išskyrus Registro naudotojo naudojamus darbo dokumentus. Registro duomenys iš kompiuterio pasiekiami tik naudojant TKA vidaus tinklą.

Punkto pakeitimai:

Nr. 3-635, 2018-12-19, paskelbta TAR 2018-12-19, i. k. 2018-20771

28. Registrui administruoti naudojamas tarnybinių stočių operacines sistemas, techninę ir programinę įrangą, reikalingą Registro naudotojo funkcijoms vykdyti, diegia ir prižiūri tik administratorius.

29. Registro programinę įrangą diegia ar atnaujina tik administratorius arba įgalioti asmenys.

30. Už atsarginių Registro duomenų kopijų kūrimo periodiškumą ir saugojimą atsako administratorius. Registro duomenų kopijų saugojimo priemonės, būdai ir vieta, kopijų atkūrimo tvarka, naikinimo tvarka ir asmens, atsakingo už Registro duomenų kopijų kūrimą, saugojimą, atkūrimą, sunaikinimą, teisės ir pareigos išdėstytos Lietuvos Respublikos civilinių orlaivių registro elektroninės informacijos saugaus tvarkymo taisyklėse.

31. Registro objektų duomenis saugiai rinkti, apdoroti, sisteminti, kaupti, saugoti ir teikti kitiems registrams, informacinėms sistemoms, suinteresuotiems juridiniams ir fiziniams asmenims, kitiems duomenų vartotojams gali asmenys, susipažinę su Lietuvos Respublikos civilinių orlaivių registro nuostatais, registrų ir informacinių sistemų saugumo politiką reglamentuojančiais teisės aktais.

32. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis atitinkamais reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais Registro duomenų tvarkymą, standartais ir kitais dokumentais ir būti susipažinęs su esminiais reikalavimais, gebėti prižiūrėti, kaip įgyvendinama saugos politika.

33. Administratorius privalo išmanyti informacijos saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, taip pat administruoti, prižiūrėti registrų ir informacinių sistemų duomenų bazes, būti susipažinęs su šiais nuostatais ir saugos politiką įgyvendinančiais teisės aktais, taip pat kitomis vidaus ir darbo saugos taisyklėmis.

34. Registro naudotojai turi turėti atitinkamą kvalifikaciją (informacinių technologijų vartotojų kvalifikacijos kursai, pradinis saugaus darbo su duomenimis mokymas, Europos kompiuterio vartotojo pažymėjimas (ECDL) ar kt.) ir patirties dirbant su atitinkamomis operacinėmis sistemomis, taikomosiomis programomis ir kt.

35. Tvarkyti Registro duomenis gali tik Registro naudotojai, pasirašytinai susipažinę su saugos politiką įgyvendinančiais teisės aktais.

36. Registro naudotojams 1 kartą per metus pateikiamos darbo su Registru instrukcijos. Už instrukcijų pateikimą atsakingas saugos įgaliotinis.

37. Registro naudotojai privalo rūpintis tvarkomų duomenų saugumu.

38. Esant elektroninės informacijos saugos incidentui, nenumatytai situacijai, saugos įgaliotinio, administratoriaus, Registro naudotojų veiksmus reglamentuoja Registro veiklos tęstinumo valdymo planas.

39. Saugos įgaliotinis periodiškai inicijuoja Registro naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problemas (priminimai elektroniniu paštu, pagal poreikį organizuojami susitikimai su Registro naudotojais, atmintinės naujai priimtiems darbuotojams).

40. Registro naudotojų supažindinimą pasirašytinai su šiais nuostatais ar jų pakeitimais ir kitais saugos politiką reglamentuojančiais dokumentais organizuoja saugos įgaliotinis.

41. Saugos įgaliotinis reguliariai įvairiais būdais informuoja Registro naudotojus apie informacijos saugos problemas.

42. Šie nuostatai skelbiami TKA interneto svetainėje. Kiti Registro saugos politiką įgyvendinantys teisės aktai skelbiami TKA vidaus tinklalapyje.

Punkto pakeitimai:

Nr. 3-635, 2018-12-19, paskelbta TAR 2018-12-19, i. k. 2018-20771

43. Šie nuostatai ir kiti saugos politiką reglamentuojantys teisės aktai iš esmės peržiūrimi ir prireikus keičiami ne rečiau kaip kartą per metus. Saugos dokumentai turi būti peržiūrimi po rizikos analizės ar informacinių technologijų saugos atitikties vertinimo atlikimo arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Prireikus saugos dokumentai turi būti tikslinami ir derinami su Lietuvos Respublikos vidaus reikalų ministerija.

44. TKA privalo įgyvendinti šiuose nuostatuose ir kituose teisės aktuose, reglamentuojančiuose Registro duomenų saugų tvarkymą, nustatytas organizacines, technines ir kitas priemones.

Punkto pakeitimai:

Nr. 3-635, 2018-12-19, paskelbta TAR 2018-12-19, i. k. 2018-20771

45. Duomenys apie Registro naudotojų, administratoriaus atliktus veiksmus su Registro duomenimis saugomi neterminuotai.

46. Registro naudotojai raštu įsipareigoja nepažeisti šių nuostatų ir kitų teisės aktų, reglamentuojančių Registro duomenų saugų tvarkymą.

47. Registro naudotojai, pažeidę šių nuostatų ar kitų saugos politiką įgyvendinančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.