LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTRAS

ĮSAKYMAS

DĖL ŽUVININKYSTĖS tarnybos prie LIETUVOS RESPUBLIKOS žemės ūkio ministerijos administruojamOS Žuvininkystės duomenų informacinės sistemos ir žvejybos sektoriaus perleidžiamųjų teisių regIStro DUOMENŲ saugos nuostatŲ PATVIRTINIMO

2022 m. gegužės 19 d. Nr. 3D-348

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 8, 11 ir 19 punktais:

1. T v i r t i n u Žuvininkystės tarnybos prie Lietuvos Respublikos žemės ūkio ministerijos administruojamos Žuvininkystės duomenų informacinės sistemos ir Žvejybos sektoriaus perleidžiamųjų teisių registro duomenų saugos nuostatus (pridedama).

2. P a v e d u:

2.1. Žuvininkystės tarnybai prie Lietuvos Respublikos žemės ūkio ministerijos:

2.1.1. per 10 darbo dienų nuo šio įsakymo įsigaliojimo dienos paskirti administruojamos Žuvininkystės duomenų informacinės sistemos ir Žvejybos sektoriaus perleidžiamųjų teisių registro saugos įgaliotinį, duomenų valdymo įgaliotinį ir naudotojų administratorių;

2.1.2. paskirti kompetentingą asmenį ar padalinį, atsakingus už kibernetinio saugumo organizavimą ir užtikrinimą.

2.2. Saugos įgaliotiniui pateikti valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai rizikos vertinimo ir atitikties vertinimo rezultatus Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

3. N u s t a t a u, kad šio įsakymo vykdymą kontroliuoja žemės ūkio viceministras pagal administravimo sritį.

Žemės ūkio ministras Kęstutis Navickas

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2022-05-17 raštu Nr. (4.1 E) 6K-446

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2022 m. gegužės 19 d.

įsakymu Nr. 3D-348

ŽUVININKYSTĖS tarnybos prie LIETUVOS RESPUBLIKOS žemės ūkio ministerijos administruojamOS Žuvininkystės duomenų informacinės sistemos ir žvejybos sektoriaus perleidžiamųjų teisių regIStro saugos nuostatai

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Žuvininkystės tarnybos prie Lietuvos Respublikos žemės ūkio ministerijos administruojamos Žuvininkystės duomenų informacinės sistemos ir Žvejybos sektoriaus perleidžiamųjų teisių registro saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Žuvininkystės tarnybos prie Lietuvos Respublikos žemės ūkio ministerijos Žuvininkystės duomenų informacinės sistemos (toliau – ŽDIS) ir Žvejybos sektoriaus perleidžiamųjų teisių registro (toliau – PTR) saugos politiką.

2. Šiuose Saugos nuostatuose vartojamos sąvokos:

2.1. ŽDIS ir PTR administratorius – Žuvininkystės tarnybos prie Lietuvos Respublikos žemės ūkio ministerijos (toliau – Žuvininkystės tarnyba) paskirtas darbuotojas, turintis privilegijuotas teises ŽDIS ir PTR ir galintis administruoti ŽDIS ir PTR tiek techniniu, tiek programiniu lygmeniu bei atlikti kitas administratoriaus teisių reikalaujančias funkcijas.

2.2. ŽDIS ir PTR naudotojas – asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis ŽDIS ir PTR elektroninę informaciją.

2.3. ŽDIS ir PTR saugos įgaliotinis – Žuvininkystės tarnybos paskirtas darbuotojas, koordinuojantis ir prižiūrintis elektroninės informacijos saugos politikos įgyvendinimą ŽDIS ir PTR (toliau – Saugos įgaliotinis).

3. Tvarkant ŽDIS, PTR ir juose tvarkomus duomenis bei užtikrinant jų saugumą, yra vadovaujamasi Lietuvos Respublikos kibernetinio saugumo įstatymu, Lietuvos Respublikos valstybės informacinių išteklių įstatymu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, Žuvininkystės tarnybos prie Lietuvos Respublikos žemės ūkio ministerijos administruojamų informacinių sistemų ir registrų saugaus elektroninės informacijos tvarkymo taisyklėmis, Žuvininkystės tarnybos prie Lietuvos Respublikos žemės ūkio ministerijos administruojamų informacinių sistemų ir registrų naudotojų administravimo taisyklėmis ir Žuvininkystės tarnybos prie Lietuvos Respublikos žemės ūkio ministerijos administruojamų informacinių sistemų ir registrų veiklos tęstinumo valdymo planu, patvirtintais Lietuvos Respublikos žemės ūkio ministro 2022 m. kovo 22 d. įsakymu Nr. 3D-213 „Dėl Žuvininkystės tarnybos prie Lietuvos Respublikos žemės ūkio ministerijos saugos politikos įgyvendinimo dokumentų patvirtinimo“ (toliau – Saugos politiką reglamentuojantys dokumentai).

4. ŽDIS ir PTR tvarkomos informacijos bei duomenų saugos tikslas – sudaryti sąlygas saugiai automatizuotu būdu rinkti, saugoti ir tvarkyti duomenis ŽDIS ir PTR, užtikrinti duomenų konfidencialumą, vientisumą ir prieinamumą.

5. Esama ŽDIS ir PTR duomenų saugos būklė nustatoma periodinio rizikos vertinimo metu.

6. Elektroninės ŽDIS ir PTR duomenų saugos užtikrinimo prioritetinės kryptys:

6.1. ŽDIS ir PTR duomenų konfidencialumo užtikrinimas;

6.2. ŽDIS ir PTR reikalaujamo prieinamumo lygio užtikrinimas;

6.3. prieigos prie ŽDIS ir PTR kontrolė;

6.4. ŽDIS ir PTR naudotojų bei ŽDIS ir PTR administratorių švietimas.

7. Saugos nuostatai taikomi:

7.1. ŽDIS ir PTR valdytojai – Lietuvos Respublikos žemės ūkio ministerijai;

7.2. ŽDIS ir PTR tvarkytojai – Žuvininkystės tarnybai;

7.3. ŽDIS ir PTR naudotojams;

7.4. ŽDIS ir PTR administratoriams;

7.5. Saugos įgaliotiniui.

8. ŽDIS ir PTR valdytojos funkcijos:

8.1. rengia ir priima teisės aktus, užtikrinančius ŽDIS ir PTR duomenų tvarkymo teisėtumą ir duomenų saugą, atlieka jų nuostatų laikymosi priežiūrą;

8.2. analizuoja gaunamus pasiūlymus dėl ŽDIS ir PTR duomenų saugos, juos apibendrina ir priima sprendimus dėl ŽDIS ir PTR tobulinimo;

8.3. vadovauja ŽDIS ir PTR tvarkytojos veiklai kuriant bei diegiant ŽDIS ir PTR, taip pat užtikrinant jų veiklą, tobulinimą ir duomenų saugą;

8.4. priima sprendimus dėl ŽDIS ir PTR rizikos veiksnių vertinimo atlikimo;

8.5. atlieka kitas Saugos nuostatų, Saugos politiką reglamentuojančių dokumentų, Lietuvos žemės ūkio ir maisto produktų rinkos informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos žemės ūkio ministro 2004 m. balandžio 8 d. įsakymu Nr. 3D-156 „Dėl Lietuvos žemės ūkio ir maisto produktų rinkos informacinės sistemos nuostatų patvirtinimo“ (toliau – LŽŪMPRIS nuostatai), ir kitų teisės aktų, reglamentuojančių saugos politiką, nustatytas funkcijas.

9. ŽDIS ir PTR tvarkytojos funkcijos:

9.1. užtikrina ŽDIS ir PTR prieinamumą;

9.2. užtikrina ŽDIS ir PTR atsarginį kopijavimą;

9.3. užtikrina ŽDIS ir PTR taikomai programinei įrangai, tarnybinėms stotims ir jose esantiems duomenims funkcionuoti būtinos informacinių technologijų infrastruktūros (toliau – serverių sritis) funkcionavimą;

9.4. rengia ir saugo serverių srities saugai užtikrinti būtiną dokumentaciją;

9.5. sudaro ŽDIS ir PTR duomenų teikimo ir gavimo sutartis;

9.6. užtikrina elektroninės informacijos saugą ŽDIS ir PTR;

9.7. skiria ŽDIS ir PTR duomenų valdymo įgaliotinį (-ius);

9.8. skiria ŽDIS ir PTR administratorių (-ius);

9.9. atlieka kitus Saugos nuostatų, Saugos politiką reglamentuojančių dokumentų, LŽŪMPRIS nuostatų ir kitų teisės aktų, reglamentuojančių saugos politiką, nustatytas funkcijas.

10. ŽDIS ir PTR duomenų valdymo įgaliotinis (-iai), įgyvendindamas (-i) elektroninės informacijos saugą ŽDIS ir PTR, atlieka šias funkcijas:

10.1. teikia ŽDIS ir PTR tvarkytojos direktoriui pasiūlymus dėl:

10.1.1. ŽDIS ir PTR administratoriaus (-ių) paskyrimo;

10.1.2. Saugos dokumentų priėmimo, keitimo ir panaikinimo;

10.1.3. ŽDIS ir PTR tvarkytojos informacinių technologijų saugos reikalavimų atitikties saugos vertinimo atlikimo;

10.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių ŽDIS ir / ar PTR, tyrimą;

10.3. teikia ŽDIS ir PTR administratoriui (-iams) privalomus vykdyti nurodymus ir pavedimus;

10.4. supažindina ŽDIS ir PTR tvarkytojos darbuotojus, ŽDIS ir PTR administratorių (-ius) ir ŽDIS ir PTR naudotojus su Saugos nuostatais;

10.5. atsako už Saugos dokumentų reikalavimų vykdymą;

10.6. atlieka kitas, ŽDIS ir PTR tvarkytojos direktoriaus pavestas ir šiais Saugos nuostatais priskirtas funkcijas.

11. ŽDIS ir PTR administratoriaus (-ių) funkcijos:

11.1. atsako už ŽDIS ir PTR serverių srities funkcionavimą ir prieigų prie ŽDIS ir PTR infrastruktūros išteklių teisių suteikimą;

11.2. atlieka ŽDIS ir PTR sudedamųjų dalių (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomų programų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) sąranką, kuri atitiktų Saugos dokumentų reikalavimus;

11.3. pagal kompetenciją teikia pasiūlymus dėl ŽDIS ir PTR palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

11.4. informuoja ŽDIS ir PTR duomenų valdymo įgaliotinį (-ius) apie elektroninės informacijos saugos incidentus ir teikia pasiūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;

11.5. atlieka ŽDIS ir PTR priežiūrą.

12. ŽDIS ir PTR naudotojų funkcijos:

12.1. rūpinasi ŽDIS, PTR tvarkomų duomenų saugumu;

12.2. tvarko ir naudoja ŽDIS ir PTR duomenis teisės aktų nustatyta tvarka;

12.3. atlieka kitas Saugos nuostatų, Saugos politiką reglamentuojančių dokumentų, LŽŪMPRIS nuostatų ir kitų teisės aktų, reglamentuojančių saugos politiką, nustatytas funkcijas.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

13. ŽDIS ir PTR elektroninė informacija, vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Aprašas), priskiriama antrajai kategorijai, remiantis Aprašo 8.1, 8.2 ir 12.2 papunkčiais.

14. Pagrindinės nuostatos dėl rizikos veiksnių vertinimo:

14.1. ŽDIS ir PTR rizikos vertinimą inicijuoja ŽDIS ir PTR valdytoja;

14.2. ŽDIS ir PTR informacinės saugos rizika nustatoma periodinio rizikos vertinimo metu;

14.3. ŽDIS ir PTR rizikos vertinimas yra atliekamas ne rečiau kaip kartą per metus;

14.4. Saugos įgaliotinis yra atsakingas už ŽDIS, PTR rizikos vertinimo atlikimo organizavimą;

14.5. ŽDIS ir PTR rizikos vertinimas išdėstomas rizikos įvertinimo ataskaitoje, kuri rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos ŽDIS ir PTR informacijos saugai. Svarbiausi rizikos veiksniai yra:

14.5.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacinių technologijų, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

14.5.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis ŽDIS ir/ar PTR duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kita);

14.5.3. nenugalimos jėgos (force majeure) aplinkybės.

15. ŽDIS ir PTR valdytoja, atsižvelgdama į ŽDIS ir PTR rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

16. Siekdamas užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, Saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja ŽDIS ir PTR informacinių technologijų saugos atitikties vertinimą, kurio metu:

16.1. įvertinama Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų atitiktis realiai ŽDIS ir PTR duomenų saugos situacijai;

16.2. inventorizuojama ŽDIS ir PTR techninė ir programinė įranga;

16.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų ŽDIS ir PTR naudotojų kompiuterinių darbo vietų, visose tarnybinėse stotyse įdiegtos programos ir jų sąranka;

16.4. patikrinama ŽDIS ir PTR naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

16.5. įvertinamas pasirengimas užtikrinti ŽDIS ir PTR veiklos tęstinumą įvykus saugos incidentui;

16.6. rizikos įvertinimo ataskaitas, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas, informacinių technologijų saugos atitikties vertinimo ataskaitas, pastebėtų trūkumų šalinimo plano kopijas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

17. ŽDIS ir PTR valdytoja, atsižvelgdama į ŽDIS ir PTR informacinių technologijų saugos reikalavimų atitikties vertinimo rezultatus, prireikus tvirtina Saugos įgaliotinio parengtą pastebėtų trūkumų šalinimo planą, kuriame nurodomi atsakingi vykdytojai ir nustatomi numatytų priemonių įgyvendinimo terminai.

18. ŽDIS ir PTR saugai užtikrinti naudojamos priemonės, parengtos vadovaujantis:

18.1. elektroninės informacijos apsaugą reglamentuojančių teisės aktų reikalavimais, kurie nustato būtinas priemones pagal informacinei sistemai ir registrui paskirtą saugos kategoriją;

18.2. kitos ŽDIS ir PTR saugos priemonės parenkamos įvertinus galimus rizikos veiksnius ŽDIS ir PTR duomenų vientisumui, konfidencialumui ir prieinamumui.

III SKYRIUS

organizaciniai ir techniniai reikalavimai

19. Metodai ir priemonės, kurios taikomos užtikrinant prieigą prie ŽDIS ir PTR:

19.1. prieigos prie ŽDIS ir PTR teises suteikia ŽDIS administratorius. Pasikeitus ŽDIS ar PTR naudotojo pareigoms ar atliekamoms užduotims, suteikta prieiga turi būti nutraukiama. ŽDIS ir PTR naudotojams suteiktos prieigos teisės periodiškai, bet ne rečiau kaip kartą per metus, turi būti peržiūrimos, siekiant nustatyti ir pašalinti subjektus, kuriems prieigos teisės prie ŽDIS ir / ar PTR turi būti panaikintos ar pakeistos. Už periodinę ŽDIS ir PTR naudotojų teisių peržiūrą yra atsakingas Saugos įgaliotinis;

19.2. prieš suteikdamas prieigą naudotojui, ŽDIS ir / ar PTR administratorius privalo įsitikinti, kad ŽDIS ir / ar PTR naudotojas yra susipažinęs su informacijos saugos dokumentais bei žino savo atsakomybę tvarkant ar naudojant ŽDIS ir PTR duomenis;

19.3. kiekvienas ŽDIS ir PTR naudotojas sistemoje turi būti unikaliai atpažįstamas pagal jam suteiktą atpažinties kodą ir atitinkamą slaptažodį;

19.4. ŽDIS ir PTR naudotojų prieigai prie ŽDIS ir PTR naudojamas šifruotas HTTPS duomenų perdavimo protokolas bei interneto naršyklė.

20. Programinės įrangos, skirtos apsaugoti ŽDIS ir PTR nuo kenksmingos programinės įrangos, naudojimo nuostatos:

20.1. ŽDIS ir PTR funkcionuoti būtina programinė tarnybinių stočių ir ŽDIS bei PTR naudotojų kompiuteriuose esanti programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kt.) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Už tarnybinių stočių programinės įrangos kontrolę atsakingas Saugos įgaliotinis;

20.2. ŽDIS ir PTR veikimui būtina serverių srities ir ŽDIS bei PTR naudotojų kompiuteriuose esanti programinė įranga turi būti atnaujinama ne vėliau kaip per 7 dienas po programinės įrangos gamintojų pranešimo apie programinės įrangos atnaujinimą. Už atnaujinimų atlikimo kontrolę atsakingas Saugos įgaliotinis;

20.3. ŽDIS ir PTR naudotojų kompiuteriuose prieigos teisės prie ŽDIS ir PTR turi būti apribojamos iki minimalių, būtinų darbo užduotims atlikti teisių;

20.4. ŽDIS ir PTR naudotojų kompiuteriai turi būti apsaugoti ugniasienėmis;

20.5. ŽDIS ir PTR naudotojų kompiuteriuose turi būti naudojama antivirusinė programinė įranga, apsauganti nuo kenksmingų programų, įskaitant elektroninio pašto apsaugą. Antivirusinė programinė įranga turi būti periodiškai automatiškai atnaujinama.

21. Programinės įrangos naudojimo ribojimo nuostatos:

21.1. ŽDIS ir PTR tarnybinėse stotyse neturi veikti programinė įranga be Saugos įgaliotinio leidimo.

22. Kompiuterių tinklo filtravimo įrangos naudojimo nuostatos:

22.1. ŽDIS ir PTR naudotojų elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacijų tinklų naudojant užkardą;

22.2. konfigūruojant ŽDIS ir PTR naudotojų elektroninės informacijos perdavimo tinklo užkardas turi būti naudojami tik organizacijos veiklai būtini tinklo protokolai ir užkardų prievadai;

22.3. už ŽDIS ir PTR serverių srities tinklo užkardų administravimą, priežiūrą, operacinės sistemos atnaujinimą ir saugią užkardų konfigūraciją atsakingas Saugos įgaliotinis.

23. Leistinos kompiuterių naudojimo ribos:

23.1. iš stacionarių ir nešiojamų kompiuterių, kurie perduodami remontui ar techninei priežiūrai, turi būti pašalinta visa riboto naudojimo ŽDIS ir PTR elektroninė informacija;

23.2. ŽDIS ir PTR naudotojų naudojamiems stacionariems ir nešiojamiems kompiuteriams privaloma naudoti papildomas saugos priemones, kuriomis patvirtinama kompiuterio naudotojo tapatybė bei šifruojami riboto naudojimo duomenys.

24. Metodai, kurie leidžiami užtikrinant saugų ŽDIS ir PTR elektroninės informacijos teikimą ir (ar) gavimą:

24.1. ŽDIS ir PTR duomenys perduodami automatiniu būdu TCP/IP protokolu realiuoju laiku arba pagal ŽDIS ir PTR duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka;

24.2. už duomenų teikimo ir gavimo sutartyse nurodomų saugos reikalavimų nustatymą, suformulavimą ir įgyvendinimo organizavimą atsakingas Saugos įgaliotinis.

25. Už atsarginių ŽDIS ir PTR duomenų kopijų darymą ir atkūrimą ir už ŽDIS bei PTR taikomosios programinės įrangos kopijų darymą yra atsakingas Saugos įgaliotinis. Atsarginės kopijos yra šifruojamos. Saugos įgaliotinis užtikrina, kad būtų reguliariai atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai.

IV SKYRIUS

Reikalavimai personalui

26. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Saugos nuostatais, Saugos politiką reglamentuojančiais dokumentais bei kitais teisės aktais, reglamentuojančiais saugų duomenų tvarkymą, sugebėti prižiūrėti, kaip yra įgyvendinama ŽDIS ir PTR saugos politika.

27. ŽDIS ir PTR administratorius (-iai) privalo išmanyti ŽDIS ir PTR informacijos saugos politikos principus, turi būti susipažinęs (-ę) su šiais Saugos nuostatais ir kitais su informacinių sistemų sauga susijusiais dokumentais.

28. ŽDIS ir PTR naudotojai turi turėti naudojimosi kompiuteriu įgūdžių, būti susipažinę su šiais Saugos nuostatais ir kitais su informacinių sistemų sauga susijusiais dokumentais.

29. ŽDIS ir PTR naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių ar netinkamai veikiančių ŽDIS ir PTR duomenų saugos užtikrinimo priemonių, privalo nedelsdami apie tai pranešti ŽDIS ir PTR administratoriui (-iams).

30. ŽDIS ir PTR administratorius (-iai) apie Saugos nuostatuose nurodytus pažeidimus informuoja Saugos įgaliotinį. Įtaręs neteisėtą veiklą, pažeidžiančią ar neišvengiamai pažeisiančią ŽDIS ir / ar PTR saugą (konfidencialumą, vientisumą ar prieinamumą), Saugos įgaliotinis turi apie tai pranešti Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos bei ŽDIS ir PTR valdytojai.

31. Visi ŽDIS ir PTR tvarkytojos išorės naudotojai privalo būti supažindinti su Saugos nuostatais, savo pareigomis ir atsakomybe, susijusia su ŽDIS ir PTR sauga.

32. Už ŽDIS ir PTR naudotojų supažindinimą su Saugos nuostatais, informacijos saugos mokymą ir reguliarų žinių atnaujinimą atsakingas Saugos įgaliotinis.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

33. Asmenys, pažeidę šių Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų nuostatas, atsako teisės aktų nustatyta tvarka.

__________________________