LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRO
2017 M. SAUSIO 9 D. ĮSAKYMO NR. 3-9 „DĖL NACIONALINĖS ELEKTRONINIŲ SIUNTŲ PRISTATYMO, NAUDOJANT PAŠTO TINKLĄ, INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ
PATVIRTINIMO“ PAKEITIMO
2020 m. gegužės 18 d. Nr. 3-328
Vilnius
P a k e i č i u Lietuvos Respublikos susisiekimo ministro 2017 m. sausio 9 d. įsakymą
Nr. 3-9 „Dėl Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos duomenų saugos nuostatų patvirtinimo“ ir jį išdėstau nauja redakcija:
„LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRAS
ĮSAKYMAS
DĖL NACIONALINĖS ELEKTRONINIŲ SIUNTŲ PRISTATYMO, NAUDOJANT PAŠTO TINKLĄ, INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 19 ir 26 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 6 punktu:
1. T v i r t i n u Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos duomenų saugos nuostatus (pridedama).
2. P a v e d u valstybės įmonei Registrų centrui:
2.1. paskirti Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos saugos įgaliotinį (-ius), administratorius ir asmenį ar padalinį, atsakingą už kibernetinio saugumo organizavimą ir užtikrinimą;
PATVIRTINTA
Lietuvos Respublikos susisiekimo ministro
2017 m. sausio 9 d. įsakymu Nr. 3-9
(Lietuvos Respublikos susisiekimo ministro
2020 m. gegužės 18 d. įsakymo Nr. 3-328 redakcija)
Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos (toliau – E. siuntų pristatymo sistema) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – saugos politika), organizacines, technines, programines ir teisines priemones, kurios užtikrina saugų E. siuntų pristatymo sistemos elektroninės informacijos tvarkymą.
2. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), apibrėžtas sąvokas.
3. E. siuntų pristatymo sistemos elektroninės informacijos saugos politika įgyvendinama pagal E. siuntų pristatymo sistemos valdytojo tvirtinamus E. siuntų pristatymo sistemos saugos politikos įgyvendinamuosius dokumentus (toliau – saugos politikos įgyvendinamieji dokumentai):
4. E. siuntų pristatymo sistemos elektroninės informacijos saugos ir kibernetinio saugumo (toliau – E. siuntų pristatymo sistemos elektroninės informacijos sauga) užtikrinimo tikslai – sudaryti sąlygas saugiai automatizuotomis priemonėmis tvarkyti E. siuntų pristatymo sistemos elektroninę informaciją, užtikrinti E. siuntų pristatymo sistemos elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą techninės, programinės ir ryšių įrangos funkcionavimą.
5. E. siuntų pristatymo sistemos elektroninės informacijos saugos prioritetinės kryptys:
5.1. E. siuntų pristatymo sistemos elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;
5.2. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų E. siuntų pristatymo sistemos elektroninės informacijos saugai užtikrinti, įgyvendinimas ir šių priemonių įgyvendinimo kontrolė;
6. Saugos nuostatai taikomi E. siuntų pristatymo sistemos naudotojams, E. siuntų pristatymo sistemos valdytojui, E. siuntų pristatymo sistemos tvarkytojui, E. siuntų pristatymo sistemos tvarkytojo valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis, E. siuntų pristatymo sistemos tvarkytojo (-ų) Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinkto (-ų) elektroninių siuntų fizinio pristatymo paslaugos teikėjo (-ų) darbuotojams ir E. siuntų pristatymo sistemos tvarkytojo įgaliotiems asmenims (toliau – darbuotojai).
7. E. siuntų pristatymo sistemos valdytoja – Lietuvos Respublikos susisiekimo ministerija (Gedimino pr. 17, 01505 Vilnius), kuri vykdo Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2015 m. rugpjūčio 26 d. nutarimu Nr. 914 „Dėl Nacionalinės elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinės sistemos nuostatų patvirtinimo“ (toliau – E. siuntų pristatymo sistemos nuostatai), nustatytas funkcijas, taip pat:
7.2. tvirtina Saugos nuostatus, saugos politikos įgyvendinamuosius dokumentus, kitus dokumentus, susijusius su elektroninės informacijos sauga, ir jų pakeitimus;
7.3. prižiūri ir kontroliuoja, kad E. siuntų pristatymo sistema būtų tvarkoma vadovaujantis Lietuvos Respublikos įstatymais, E. siuntų pristatymo sistemos nuostatais, Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais;
7.4. prižiūri, kaip laikomasi teisės aktų, susijusių su E. siuntų pristatymo sistemos tvarkymu ir duomenų saugumu, reikalavimų;
7.5. nagrinėja E. siuntų pristatymo sistemos tvarkytojo pasiūlymus dėl E. siuntų pristatymo sistemos elektroninės informacijos saugos tobulinimo ir priima dėl jų sprendimus;
7.6. paveda E. siuntų pristatymo sistemos tvarkytojui skirti E. siuntų pristatymo sistemos saugos įgaliotinį (-ius), informacinės sistemos administratorius ir asmenį ar padalinį, atsakingą už kibernetinio saugumo organizavimą ir užtikrinimą (toliau – kibernetinio saugumo vadovas);
7.7. atsižvelgdama į rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti;
7.8. priima sprendimą dėl E. siuntų pristatymo sistemos informacinių technologijų saugos atitikties vertinimo atlikimo;
7.9. prireikus tvirtina E. siuntų pristatymo sistemos informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą;
8. E. siuntų pristatymo sistemos tvarkytoja – valstybės įmonė Registrų centras (Lvovo g. 25-101, 09320 Vilnius), kuri vykdo E. siuntų pristatymo sistemos nuostatuose nustatytas funkcijas, taip pat:
8.1. E. siuntų pristatymo sistemos valdytojo pavedimu skiria E. siuntų pristatymo sistemos saugos įgaliotinį (-ius), E. siuntų pristatymo sistemos administratorius ir kibernetinio saugumo vadovą;
8.2. rengia, nustatyta tvarka derina ir pateikia E. siuntų pristatymo sistemos valdytojui tvirtinti saugos politikos įgyvendinamųjų dokumentų projektus;
8.3. teikia pasiūlymus E. siuntų pristatymo sistemos valdytojui, kaip tobulinti E. siuntų pristatymo sistemos elektroninės informacijos saugą;
8.4. užtikrina E. siuntų pristatymo sistemos komponentų, už kurių tvarkymą yra atsakinga savo institucijoje, techninę priežiūrą ir nepertraukiamą E. siuntų pristatymo sistemos veiklą;
8.5. užtikrina E. siuntų pristatymo sistemos sąveiką su kitomis valstybės informacinėmis sistemomis ir (ar) registrais;
8.6. įgyvendina tinkamas organizacines ir technines priemones, kurios skirtos elektroninei informacijai apsaugoti nuo netyčinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jos;
8.7. pagal kompetenciją atsako už E. siuntų pristatymo sistemos elektroninės informacijos tvarkymo teisėtumą ir saugumą ir E. siuntų pristatymo sistemos saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams ir Saugos nuostatams;
9. Elektroninių siuntų fizinio pristatymo paslaugos teikėjas vykdo E. siuntų pristatymo sistemos nuostatuose nustatytas funkcijas, taip pat:
9.1. įgyvendina tinkamas organizacines ir technines priemones, kurios skirtos elektroninei informacijai apsaugoti nuo netyčinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jos;
10. E. siuntų pristatymo sistemos saugos įgaliotinis (-iai), koordinuodamas (-i) ir prižiūrėdamas (-i) E. siuntų pristatymo sistemos elektroninės informacijos saugą, atlieka šias funkcijas:
10.1. teikia E. siuntų pristatymo sistemos tvarkytojui pasiūlymus dėl:
10.1.1. E. siuntų pristatymo sistemos administratorių skyrimo ir reikalavimų administratoriams nustatymo;
10.1.2. Saugos nuostatų ir saugos politikos įgyvendinamųjų dokumentų priėmimo, keitimo ar panaikinimo;
10.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių E. siuntų pristatymo sistemoje, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų saugos incidentus, neteisėtas veikas, susijusias su elektroninės informacijos sauga, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;
10.3. informuoja E. siuntų pristatymo sistemos tvarkytojo vadovą apie E. siuntų pristatymo sistemos saugos problemas;
10.4. teikia E. siuntų pristatymo sistemos administratoriams, darbuotojams privalomus vykdyti nurodymus ir pavedimus dėl saugos politikos įgyvendinimo;
10.6. supažindina E. siuntų pristatymo sistemos naudotojus ir darbuotojus su E. siuntų pristatymo sistemos saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą ir atsakomybę už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;
10.7. organizuoja darbuotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas;
11. Gali būti paskiriami kelių E. siuntų pristatymo sistemos posistemių, funkciškai savarankiškų sudedamųjų dalių saugos įgaliotinis ir E. siuntų pristatymo sistemos administratorius ar saugos įgaliotinis ir E. siuntų pristatymo sistemos administratorius tam tikroms saugos įgaliotinio ir E. siuntų pristatymo sistemos administratoriaus funkcijoms atlikti, tačiau turi būti užtikrintas tinkamas saugos įgaliotinio ir E. siuntų pristatymo sistemos administratoriaus funkcijų atlikimas. Šiais atvejais turi būti aiškiai nurodyta, kurio E. siuntų pristatymo sistemos posistemio, funkciškai savarankiškos sudedamosios dalies ar kurioms saugos įgaliotinio ir E. siuntų pristatymo sistemos administratoriaus funkcijoms atlikti paskiriamas konkretus saugos įgaliotinis ir administratorius, taip pat vienam iš saugos įgaliotinių ir E. siuntų pristatymo sistemos administratorių pavedama koordinuoti šių saugos įgaliotinių ir administratorių veiklą. Saugos įgaliotinis negali atlikti E. siuntų pristatymo sistemos administratoriaus funkcijų.
12. Kibernetinio saugumo vadovas atlieka šias funkcijas:
12.1. koordinuoja kibernetinių incidentų tyrimą, bendradarbiauja su kompetentingomis institucijomis, tiriančiomis kibernetinius incidentus;
13. E. siuntų pristatymo sistemos saugos įgaliotinis ir kibernetinio saugumo vadovas gali būti tas pats asmuo.
14. E. siuntų pristatymo sistemos administratoriai skirstomi į šias grupes:
14.1. koordinuojantysis administratorius, prižiūrintis E. siuntų pristatymo sistemos administratorių veiklą, siekdamas užtikrinti tinkamą E. siuntų pristatymo sistemos administratorių funkcijų vykdymą;
14.2. E. siuntų pristatymo sistemos naudotojų administratoriai, atliekantys funkcijas, susijusias su E. siuntų pristatymo sistemos naudotojų teisių valdymu;
14.3. E. siuntų pristatymo sistemos komponentų administratoriai, atliekantys funkcijas, susijusias su E. siuntų pristatymo sistemos komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazėmis ir jų valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo ir prevencijos sistemomis, elektroninės informacijos perdavimo tinklais, duomenų saugyklomis, bylų serveriais ir kita technine ir programine įranga, kurios pagrindu funkcionuoja E. siuntų pristatymo sistema ir užtikrinama joje tvarkomos elektroninės informacijos sauga ir kibernetinis saugumas, ir E. siuntų pristatymo sistemos komponentų sąranka);
15. E. siuntų pristatymo sistemos administratoriai yra atsakingi už tinkamą Saugos nuostatuose ir saugos politikos įgyvendinamuosiuose dokumentuose nustatytų funkcijų vykdymą.
16. E. siuntų pristatymo sistemos administratoriai privalo vykdyti visus E. siuntų pristatymo sistemos saugos įgaliotinio (-ių) ar kibernetinio saugumo vadovo nurodymus ir pavedimus dėl E. siuntų pristatymo sistemos elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo, pagal kompetenciją reaguoti į elektroninės informacijos saugos ir kibernetinius incidentus (toliau – saugos incidentai) ir nuolat teikti E. siuntų pristatymo sistemos saugos įgaliotiniui (-iams) informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.
17. Atlikdami E. siuntų pristatymo sistemos sąrankos pakeitimus, E. siuntų pristatymo sistemos komponentų administratoriai turi laikytis E. siuntų pristatymo sistemos pokyčių valdymo tvarkos, nustatytos E. siuntų pristatymo sistemos saugaus elektroninės informacijos tvarkymo taisyklėse.
18. E. siuntų pristatymo sistemos komponentų administratoriai E. siuntų pristatymo sistemos sąranką ir E. siuntų pristatymo sistemos būsenos rodiklius privalo tikrinti (peržiūrėti) reguliariai – ne rečiau kaip kartą per metus ir (arba) po E. siuntų pristatymo sistemos pokyčio.
19. E. siuntų pristatymo sistemos administratoriai pagal kompetenciją atsako už E. siuntų pristatymo sistemos priežiūrą, veikimo užtikrinimą, elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimą.
20. E. siuntų pristatymo sistemos naudotojai, pastebėję saugumo pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti E. siuntų pristatymo sistemos tvarkytojui jo interneto svetainėje nurodytais kontaktais.
21. E. siuntų pristatymo sistemos elektroninė informacija tvarkoma ir jos sauga užtikrinama vadovaujantis:
21.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679);
21.6. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
21.7. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio
13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
21.9. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Informacinių technologijų saugos atitikties vertinimo metodika);
21.10. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
II Skyrius
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
22. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 9.1, 9.3 ir 12.3 papunkčiais, E. siuntų pristatymo sistemoje tvarkoma elektroninė informacija yra priskiriama vidutinės svarbos informacijos kategorijai, o E. siuntų pristatymo sistema yra priskiriama trečiajai kategorijai.
23. E. siuntų pristatymo sistemos saugos priemonės parenkamos įvertinus galimus rizikos veiksnius E. siuntų pristatymo sistemos duomenų vientisumui, konfidencialumui ir prieinamumui. Pasirenkant saugos priemones, prioritetas teikiamas toms priemonėms, kurioms įdiegti reikia mažiausiai sąnaudų ir gaunamas didžiausias poveikis.
24. Pagrindiniai rizikos veiksniai, galintys turėti įtakos E. siuntų pristatymo sistemos elektroninės informacijos saugai:
24.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, ištrynimas, klaidingas teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
24.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis E. siuntų pristatymo sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);
24.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
25. E. siuntų pristatymo sistemos saugos įgaliotinis (-iai), atsižvelgdamas (-i) į metodinę priemonę „Rizikos analizės vadovas“, išleistą Lietuvos Respublikos vidaus reikalų ministerijos, ir Lietuvos Respublikos ir tarptautinius grupės „Informacinės technologijos. Saugumo metodai“ standartus, kasmet organizuoja E. siuntų pristatymo sistemos rizikos įvertinimą, prireikus ir neeilinį rizikos įvertinimą. Kartu su pagrindiniu E. siuntų pristatymo sistemos rizikos įvertinimu organizuojamas ir atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos E. siuntų pristatymo sistemos kibernetiniam saugumui, vertinimas. Prireikus E. siuntų pristatymo sistemos valdytojo ar tvarkytojo pavedimu E. siuntų pristatymo sistemos rizikos įvertinimui atlikti gali būti perkamos rizikos įvertinimo paslaugos.
26. Rizikos įvertinimo metu atliekamos veiklos:
27. E. siuntų pristatymo sistemos rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama E. siuntų pristatymo sistemos valdytojui. E. siuntų pristatymo sistemos rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus.
28. E. siuntų pristatymo sistemos valdytojas, atsižvelgdamas į E. siuntų pristatymo sistemos rizikos įvertinimo ataskaitą, prireikus tvirtina E. siuntų pristatymo sistemos rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis E. siuntų pristatymo sistemos rizikos valdymo priemonėms įgyvendinti.
29. E. siuntų pristatymo sistemos rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas E. siuntų pristatymo sistemos valdytojas ne vėliau kaip per penkias darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS) ARSIS nuostatų nustatyta tvarka.
30. Techninės, programinės ir organizacinės E. siuntų pristatymo sistemos elektroninės informacijos saugos priemonės pasirenkamos atsižvelgiant į E. siuntų pristatymo sistemos valdytojo ir tvarkytojo turimus išteklius, vadovaujantis šiais priemonių parinkimo principais:
31. Siekdamas (-i) užtikrinti Saugos nuostatuose ir saugos politikos įgyvendinamuosiuose dokumentuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, E. siuntų pristatymo sistemos saugos įgaliotinis (-iai) ne rečiau kaip kartą per dvejus metus organizuoja E. siuntų pristatymo sistemos informacinių technologijų saugos atitikties vertinimą.
32. Atlikęs (-ę) E. siuntų pristatymo sistemos informacinių technologijų saugos atitikties vertinimą, E. siuntų pristatymo sistemos saugos įgaliotinis (-iai) rengia informacinių technologijų saugos atitikties vertinimo ataskaitą, kuri pateikiama E. siuntų pristatymo sistemos valdytojo ar tvarkytojo, jeigu jis paskyrė E. siuntų pristatymo sistemos saugos įgaliotinį (-ius), vadovui, ir pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir nustatytų trūkumų šalinimo įgyvendinimo terminus nustato E. siuntų pristatymo sistemos valdytojas.
33. Informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas E. siuntų pristatymo sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti ARSIS nuostatų nustatyta tvarka.
34. Neeilinis E. siuntų pristatymo sistemos rizikos įvertinimas turi būti atliekamas:
34.1. įvykus esminiams E. siuntų pristatymo sistemos techninės ar programinės įrangos pokyčiams, kurie galėtų turėti įtakos E. siuntų pristatymo sistemos veikimui;
34.2. paaiškėjus naujoms tendencijoms informacinių technologijų saugos srityje, dėl kurių kiltų grėsmė E. siuntų pristatymo sistemos techninei, programinei įrangai ar E. siuntų pristatymo sistemoje laikomiems duomenims;
35. Pokyčiai, galintys sutrikdyti ar sustabdyti E. siuntų pristatymo sistemos darbą, turi būti suderinti su E. siuntų pristatymo sistemos valdytojo vadovu ar jo įgaliotu asmeniu.
III skyrius
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
37. Nustatomi šie E. siuntų pristatymo sistemoje naudojamos programinės įrangos reikalavimai:
37.1. E. siuntų pristatymo sistemoje naudojama programinė įranga turi atitikti programinės įrangos saugos gerąją praktiką, kuriant programinę įrangą taikomą saugos gerąją praktiką, programinės įrangos kūrimo struktūras, standartus.
37.2. Specifiniai saugos reikalavimai turi būti apibrėžti pradiniuose programinės įrangos kūrimo etapuose.
37.4. Programinės įrangos kūrimo, testavimo ir verifikacijos etapai turi vykti atsižvelgiant į pagrindinius saugos reikalavimus.
37.5. Prieš pradedant naudoti programinę įrangą, turi būti atliktas šios programinės įrangos pažeidžiamumo, pritaikomumo ir infrastruktūros atsparumo skverbimuisi įvertinimas. Programinė įranga negali būti patvirtinta, kol nėra pasiektas reikiamas saugumo lygis.
38. Programinės įrangos, skirtos E. siuntų pristatymo sistemai ir kompiuterinėms darbo vietoms (toliau – KDV) apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos:
38.2. E. siuntų pristatymo sistemos tarnybinėse stotyse ir visose KDV, kuriose dirbama su E. siuntų pristatymo sistemos duomenimis, privalo būti naudojama ir reguliariai ne rečiau kaip kartą per parą automatiškai atnaujinama programinė įranga, skirta apsaugai nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos ir kt.).
38.3. Darbuotojų kompiuteriuose naudojama įranga, skirta KDV nuo kenksmingos programinės įrangos apsaugoti, turi apsaugoti ir elektroninio pašto programinę įrangą nuo nepageidaujamo pašto ar kenksmingų programų patekimo į KDV.
38.4. Atsiradus požymių, kad KDV yra kenksmingų programų, turi būti patikrinami visi KDV standieji diskai, naudojama programinė įranga, skirta E. siuntų pristatymo sistemai ir KDV apsaugoti nuo kenksmingos programinės įrangos.
38.5. KDV esančios programinės įrangos, skirtos E. siuntų pristatymo sistemai ir KDV apsaugoti nuo kenksmingos programinės įrangos, nustatymai turi būti parinkti pagal rekomenduojamus tokios programinės įrangos gamintojų reikalavimus arba pagal vidinio kompiuterių tinklo administratoriaus rekomendacijas.
39. Leistinos kompiuterių (ypač nešiojamųjų) naudojimo ribos ir metodai, kuriais leidžiama užtikrinti saugų E. siuntų pristatymo sistemos duomenų teikimą ir (ar) gavimą:
39.1. Prie E. siuntų pristatymo sistemos prisijungiama nuotoliniu būdu naudojant interneto naršyklę (HTTPS (angl. Hypertext Transfer Protocol Secure) protokolą).
39.2. Prieigą prie E. siuntų pristatymo sistemos pagal kompetenciją suteikia, apriboja ir panaikina E. siuntų pristatymo sistemos komponentų ir naudotojų administratoriai.
39.4. Prisijungimo prie kompiuterių tinklo laikas ir trukmė nėra ribojami, E. siuntų pristatymo sistema pasiekiama visą parą.
39.5. Tiesioginė prieiga prie E. siuntų pristatymo sistemos duomenų suteikiama įgyvendinus E. siuntų pristatymo sistemos naudotojų ir darbuotojų autentifikavimo priemones – E. siuntų pristatymo sistemos naudotojai ir darbuotojai tapatybę patvirtina slaptažodžiu. Slaptažodžiai sudaromi, keičiami ir jų galiojimo trukmė nustatoma vadovaujantis E. siuntų pristatymo sistemos naudotojų administravimo taisyklėmis.
39.6. Stacionarius kompiuterius leidžiama naudoti tik E. siuntų pristatymo sistemos valdytojo ir tvarkytojo patalpose.
39.8. Darbuotojai, darbinėms funkcijoms atlikti naudojantys nešiojamuosius kompiuterius, išnešdami juos iš E. siuntų pristatymo sistemos valdytojo ir tvarkytojo patalpų, norėdami E. siuntų pristatymo sistemos duomenis perduoti kompiuterių tinklais ne savo darbo vietoje, turi naudoti duomenų šifravimą, papildomą darbuotojo tapatybės patvirtinimą, rakinimo įrenginį. Nešiojamojo kompiuterio pagrindinės įvesties ir išvesties sistema (BIOS) turi būti apsaugota slaptažodžiu ir nurodytas standusis diskas kaip pirminis paleidimo įrenginys. Iš išorės prie E. siuntų pristatymo sistemos duomenų bazės prisijungimas ribojamas. Nešiojamuosiuose kompiuteriuose ar išorinėse kompiuterinėse laikmenose esantys duomenys turi būti šifruojami. Darbuotojai privalo naudotis visomis saugumo priemonėmis, kad apsaugotų kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo.
40. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:
40.1. Kompiuterių tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis ir įsilaužimų aptikimo ir prevencijos įranga.
40.2. Visas duomenų srautas į internetą ir iš jo yra filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos.
40.4. Pagrindinė E. siuntų pristatymo sistemos duomenų pateikimo prieiga yra duomenų perdavimas šifruotu virtualaus privataus tinklo (VPN) duomenų perdavimo kanalu arba naudojant saugų HTTPS (angl. Hypertext Transfer Protocol Secure) duomenų perdavimo protokolą.
40.5. Turi būti naudojama programinė įranga, leidžianti atlikti E. siuntų pristatymo sistemai naudojamų kompiuterių tinklų monitoringą ir užtikrinanti šių tinklų saugos prevencines priemones.
41. Programinės įrangos, įdiegtos KDV ir tarnybinėse stotyse, naudojimo nuostatos:
41.2. Darbuotojams draudžiama diegti ir naudoti bet kokią programinę įrangą, keisti sistemos, kompiuterio ar programinės įrangos sistemų nustatymus. Programinę įrangą, reikalingą E. siuntų pristatymo sistemos naudotojo funkcijoms atlikti, KDV diegia, atnaujina, kontroliuoja ir prižiūri tik E. siuntų pristatymo sistemos komponentų administratorius. Kiti asmenys (paslaugų teikėjų specialistai) gali diegti programinę įrangą tik prižiūrint E. siuntų pristatymo sistemos komponentų administratoriui.
41.3. Diegti ir naudoti programinę įrangą, nesusijusią su E. siuntų pristatymo sistemos valdytojo ar tvarkytojo veikla ar darbuotojo atliekamomis funkcijomis (žaidimų, bylų siuntimo, internetinių pokalbių programas ir kt.), draudžiama.
42. Darbuotojai turi vadovautis švaraus stalo politika:
42.3. Baigus darbą nepalikti ant stalo dokumentų ir duomenų laikmenų, sudėti juos į stalčius, spintas ar lentynas.
42.4. Dokumentų, kuriuose pateikiama ypač svarbi informacija, arba dokumentų, kuriuose yra asmens duomenų, spausdinimą inicijavęs asmuo iš spausdintuvų juos turi išimti nedelsdamas.
43. Užtikrinant saugų elektroninės informacijos teikimą kitoms valstybės institucijoms ir (ar) gavimą iš jų, naudojamas šifruotas virtualus privatus tinklas (VPN) arba Saugus valstybinis duomenų perdavimo tinklas (toliau – SVDPT). Elektronine informacija keičiamasi per saugųjį HTTP (angl. Hypertext Transfer Protocol Secure) duomenų perdavimo protokolą (HTTPS) žiniatinklio paslaugų metodu (XML formatu) arba duomenų bazių užklausomis. Duomenys teikiami ir (ar) gaunami automatizuotomis priemonėmis tik pagal duomenų teikimo sutartyje nustatytas specifikacijas, duomenų perdavimo sąlygas ir tvarką.
44. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:
44.1. E. siuntų pristatymo sistemos veikimas turi būti užtikrintas ne mažiau kaip 96 proc. laiko visą parą darbo ir poilsio dienomis.
44.2. E. siuntų pristatymo sistemos elektroninė informacija perduodama automatiniu būdu arba asinchroniniu režimu pagal duomenų teikimo sutartis, kuriose nustatytos elektroninės informacijos perdavimo sąlygos ir tvarka.
45. Pagrindiniai atsarginių elektroninės informacijos kopijų (toliau – atsarginės kopijos) darymo ir atkūrimo reikalavimai:
45.1. E. siuntų pristatymo sistemos komponentų atsarginis kopijavimas ir saugojimas vykdomas taip, kad E. siuntų pristatymo sistemos veiklą būtų įmanoma visiškai atkurti per 16 valandų.
45.3. E. siuntų pristatymo sistemos atsarginės kopijos turi būti daromos automatiškai kartą per parą.
45.4. Periodiškai (ne rečiau kaip kartą per metus) turi būti testuojama galimybė atkurti duomenis iš atsarginių kopijų. Testavimo eiga ir rezultatai įforminami kopijų darymo žurnale.
45.5. Už atsarginių kopijų darymą ir saugojimą, elektroninės informacijos atkūrimą iš atsarginių kopijų yra atsakingas E. siuntų pristatymo sistemos komponentų administratorius, vykdantis E. siuntų pristatymo sistemos priežiūrą.
45.6. Elektroninė informacija atsarginėse kopijose turi būti šifruota (šifravimo raktai turi būti saugomi atskirai nuo atsarginių kopijų).
46. E. siuntų pristatymo sistemos atsarginių kopijų saugojimo priemonės, būdai ir vieta, atsarginių kopijų atkūrimo ir naikinimo tvarka išdėstomi E. siuntų pristatymo sistemos saugaus elektroninės informacijos tvarkymo taisyklėse.
47. Nustatomi duomenų naikinimo ir šalinimo reikalavimai:
47.1. Prieš pašalinant bet kokią duomenų laikmeną, turi būti sunaikinti visi joje esantys duomenys, naudojant tam skirtą programinę įrangą, kuri palaiko patikimus duomenų naikinimo algoritmus. Jeigu to padaryti neįmanoma (pvz., DVD laikmenos), duomenų laikmenos turi būti fiziškai sunaikintos be galimybės atkurti.
47.2. Prieš šalinant laikmenas, turi būti atlikti visų šalinamų laikmenų daugybiniai programinės įrangos perrašymai.
IV skyrius
REIKALAVIMAI PERSONALUI
48. E. siuntų pristatymo sistemos saugos įgaliotinis (-iai) privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Informacinių technologijų saugos atitikties vertinimo metodika, Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais, standartų ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reglamentuojančiomis elektroninės informacijos saugą, būti susipažinęs su esminiais E. siuntų pristatymo sistemos duomenų saugos reikalavimais. E. siuntų pristatymo sistemos saugos įgaliotinis (-iai) privalo sugebėti prižiūrėti, kaip įgyvendinama saugos politika. E. siuntų pristatymo sistemos saugos įgaliotinis (-iai) privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje.
49. Kibernetinio saugumo vadovas privalo išmanyti kibernetinio saugumo užtikrinimo principus, tobulinti kvalifikaciją kibernetinio saugumo srityje ir savo darbe vadovautis Saugos nuostatais ir saugos politikos įgyvendinamaisiais dokumentais, Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais, reglamentuojančiais kibernetinį saugumą.
50. E. siuntų pristatymo sistemos saugos įgaliotiniu ir kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimus elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
51. E. siuntų pristatymo sistemos administratorius atsižvelgiant į vykdomas funkcijas atitinkamai turi turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą bei saugą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų bei saugos incidentų diagnostiką ir šalinimą.
52. E. siuntų pristatymo sistemos naudotojai turi būti susipažinę su Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais.
53. Darbuotojai privalo rūpintis tvarkomų duomenų saugumu: vadovaudamiesi saugos politikos įgyvendinamaisiais dokumentais, nuolat rūpintis E. siuntų pristatymo sistemos sauga, o pastebėję pažeidimų, neveikiančias duomenų saugos užtikrinimo priemones, nusikalstamos veikos požymių privalo nedelsdami apie tai pranešti informacinių technologijų pagalbos tarnybai.
54. Darbuotojai privalo turėti darbo kompiuteriu įgūdžių, būti susipažinę su Saugos nuostatais ir saugos politikos įgyvendinamaisiais dokumentais.
55. E. siuntų pristatymo sistemos saugos įgaliotinis (-iai) periodiškai (ne rečiau kaip kartą per 12 mėnesių) inicijuoja darbuotojų mokymą elektroninės informacijos saugos ir kibernetinio saugumo klausimais, įvairiais būdais (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai) informuoja juos apie elektroninės informacijos saugos problemas ir, jei žinoma, galimas taikytinas prevencines ar kitas reagavimo priemones.
V skyrius
E. siuntų pristatymo sistemos NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
56. Tvarkyti E. siuntų pristatymo sistemos duomenis gali tik įgalioti darbuotojai, kurie yra pasirašytinai susipažinę su Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais, pasirašę pasižadėjimą saugoti asmens duomenų paslaptį ir susipažinę su atsakomybe už Reglamento (ES) 2016/679, saugos dokumentų nuostatų pažeidimus. Ši pareiga galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo, sutartiniams ar kitiems santykiams.
57. E. siuntų pristatymo sistemos administratorius su Saugos nuostatais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą, supažindina E. siuntų pristatymo sistemos saugos įgaliotinis (-iai) per 10 darbo dienų nuo E. siuntų pristatymo sistemos administratorių paskyrimo, o su saugos politikos įgyvendinamaisiais dokumentais – per 10 darbo dienų nuo šių dokumentų patvirtinimo.
58. E. siuntų pristatymo sistemos saugos įgaliotinis atsakingas už tai, kad E. siuntų pristatymo sistemos naudotojai būtų informuoti apie Saugos nuostatų ir saugos politikos įgyvendinamųjų dokumentų priėmimą, pakeitimą ar pripažinimą netekusiais galios. E. siuntų pristatymo sistemos naudotojų supažindinimas užtikrinamas programinėmis E. siuntų pristatymo sistemos priemonėmis (elektroniniu būdu).
59. Darbuotojų supažindinimas su Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais ir atsakomybe už Saugos nuostatų, saugos politikos įgyvendinamuosiuose dokumentuose nustatytų reikalavimų nesilaikymą ir informacija apie Saugos nuostatų, saugos politikos įgyvendinamųjų dokumentų priėmimą, pakeitimą ar pripažinimą netekusiais galios užtikrinamas pasirašytinai.
VI skyrius
BAIGIAMOSIOS NUOSTATOS
60. E. siuntų pristatymo sistemos saugos įgaliotinis (-iai) organizuoja saugos politikos įgyvendinamųjų dokumentų svarstymą (peržiūrą) ne rečiau kaip kartą per metus. Saugos politikos įgyvendinamieji dokumentai yra svarstomi (peržiūrimi) atlikus rizikos analizę ar informacinių technologijų saugos reikalavimų atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.
61. E. siuntų pristatymo sistemos saugos įgaliotinis (-iai), kibernetinio saugumo vadovas, E. siuntų pristatymo sistemos administratorius ir darbuotojai, pažeidę Saugos nuostatų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų, nustatančių atsakomybę už saugų elektroninės informacijos tvarkymą, nustatyta tvarka.