VALSTYBINIO SOCIALINIO DRAUDIMO FONDO VALDYBOS

PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS

DIREKTORIUS

ĮSAKYMAS

DĖL Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos, Lietuvos Respublikos apdraustųjų valstybiniu socialiniu draudimu ir Valstybinio socialinio draudimo išmokų gavėjų registro bei Lietuvos Respublikos pensijų kaupimo sutarčių registro duomenų saugos nuostatų patvirtinimo

2018 m. vasario 5 d. Nr. V-58

Vilnius

1. T v i r t i n u Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos, Lietuvos Respublikos apdraustųjų valstybiniu socialiniu draudimu ir valstybinio socialinio draudimo išmokų gavėjų registro bei Lietuvos Respublikos pensijų kaupimo sutarčių registro duomenų saugos nuostatus (pridedama).

2. Į p a r e i g o j u:

2.1. Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos (toliau - Fondo valdybos) Teisės skyrių šį įsakymą pateikti Teisės aktų registrui;

2.2. Fondo valdybos Klientų aptarnavimo valdymo skyrių šį įsakymą paskelbti Fondo valdybos interneto svetainėje;

2.3. Fondo valdybos Komunikacijos skyrių šį įsakymą paskelbti Valstybinio socialinio draudimo fondo administravimo įstaigų intraneto svetainėje;

2.4. Fondo valdybos Informacinės sistemos eksploatavimo ir informacijos valdymo skyrių:

2.4.1. šį įsakymą išsiųsti Fondo valdybos direktoriaus pavaduotojams, Fondo valdybos administracijos padaliniams, Valstybinio socialinio draudimo fondo valdybos teritoriniams skyriams ir kitoms Valstybinio socialinio draudimo fondo administravimo įstaigoms;

2.4.2. Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos darbo reglamento (toliau – Reglamentas), patvirtinto Fondo valdybos direktoriaus 2013 m. liepos 12 d. įsakymu Nr. V-352 „Dėl Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos darbo reglamento patvirtinimo“, nustatyta tvarka su šiuo įsakymu Dokumentų valdymo sistemos (toliau – DVS) priemonėmis pasirašytinai supažindinti visus Fondo valdybos darbuotojus – DVS naudotojus ir Valstybinio socialinio draudimo fondo valdybos teritorinių skyrių bei kitų Valstybinio socialinio draudimo fondo administravimo įstaigų direktorius;

2.5. Fondo valdybos Personalo valdymo skyrių Reglamento nustatyta tvarka su šiuo įsakymu pasirašytinai supažindinti po šio įsakymo įsigaliojimo priimtus naujus Fondo valdybos darbuotojus, taip pat kitus Fondo valdybos darbuotojus, kurie neturi teisės ar techninės galimybės naudotis DVS.

2.6. Valstybinio socialinio draudimo fondo administravimo įstaigų vadovus užtikrinti jų vadovaujamos įstaigos darbuotojų – Informacinės sistemos naudotojų pasirašytiną supažindinimą su šiuo įsakymu.

Direktorius Mindaugas Sinkevičius

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2017-12-29 raštu Nr. 1D-6858

PATVIRTINTA

Valstybinio socialinio draudimo fondo

valdybos prie Socialinės apsaugos ir

darbo ministerijos direktoriaus

2018 m. vasario 5 d.

įsakymu Nr. V-58

VALSTYBINIO SOCIALINIO DRAUDIMO FONDO VALDYBOS PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS INFORMACINĖS SISTEMOS, LIETUVOS RESPUBLIKOS APDRAUSTŲJŲ VALSTYBINIU SOCIALINIU DRAUDIMU IR VALSTYBINIO SOCIALINIO DRAUDIMO IŠMOKŲ GAVĖJŲ REGISTRO BEI LIETUVOS RESPUBLIKOS PENSIJŲ KAUPIMO SUTARČIŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos, Lietuvos Respublikos apdraustųjų valstybiniu socialiniu draudimu ir valstybinio socialinio draudimo išmokų gavėjų registro bei Lietuvos Respublikos pensijų kaupimo sutarčių registro duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos (toliau – Fondo valdyba) valdomų Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos (toliau – Fondo valdybos IS), Lietuvos Respublikos apdraustųjų valstybiniu socialiniu draudimu ir valstybinio socialinio draudimo išmokų gavėjų registro bei Lietuvos Respublikos pensijų kaupimo sutarčių registro elektroninės informacijos saugos politiką.

2. Šiuose nuostatuose vartojamos sąvokos:

2.1. IT sistemos administratorius – Fondo administravimo įstaigos valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, atsakingas už IT sistemos ar jos komponentų sisteminę priežiūrą ir veikimą.

2.2. Darbuotojas – Fondo administravimo įstaigos valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį.

2.3. Elektroninė informacija – IS tvarkomi duomenys, dokumentai ir informacija.

2.4. Fondo administravimo įstaigos – Fondo valdyba, Valstybinio socialinio draudimo fondo valdybos teritoriniai skyriai ir kitos Valstybinio socialinio draudimo fondo administravimo įstaigos.

2.5. IS – Fondo valdybos IS su joje veikiančiais Lietuvos Respublikos apdraustųjų valstybiniu socialiniu draudimu ir valstybinio socialinio draudimo išmokų gavėjų registru ir Lietuvos Respublikos pensijų kaupimo sutarčių registru.

2.6. IS naudotojas – darbuotojas, kuriam suteikta teisė naudotis IS.

2.7. Saugos įgaliotinis – Fondo valdybos direktoriaus įsakymu paskirtas Fondo valdybos darbuotojas, koordinuojantis ir prižiūrintis saugos politikos įgyvendinimą IS.

2.8. Saugos politiką įgyvendinantys dokumentai – Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, numatyti saugos politiką įgyvendinantys dokumentai, suderinti su Lietuvos Respublikos vidaus reikalų ministerija ir patvirtinti Fondo valdybos direktoriaus įsakymu:

2.8.1. Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos naudotojų prieigos teisių administravimo taisyklės, patvirtintos Fondo valdybos direktoriaus 2015 m. rugsėjo 4 d. įsakymu Nr. V-448 „Dėl Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos naudotojų prieigos teisių administravimo taisyklių patvirtinimo“;

2.8.2. Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos veiklos tęstinumo valdymo planas, patvirtintas Fondo valdybos direktoriaus 2015 m. gegužės 25 d. įsakymu Nr. V-256 „Dėl Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos veiklos tęstinumo valdymo plano patvirtinimo“;

2.8.3. Valstybino socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės, patvirtintos Fondo valdybos direktoriaus 2015 m. vasario 11 d. įsakymu Nr. V-81 „Dėl Valstybino socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių patvirtinimo“.

2.9. Teritorinis saugos įgaliotinis – Fondo administravimo įstaigos, išskyrus Fondo valdybą, direktoriaus įsakymu paskirtas tos įstaigos darbuotojas, įgyvendinantis elektroninės informacijos saugą toje Fondo administravimo įstaigoje.

2.10. Ugniasienė – techninė programinė įranga, paremta duomenų filtru, kuri analizuoja bei valdo per ją einantį duomenų srautą ir yra skirta vidinio tinklo saugumui užtikrinti.

Kitos Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos nuostatuose (toliau – Fondo valdybos IS nuostatai), patvirtintuose Fondo valdybos direktoriaus 2009 m. rugpjūčio 21 d. įsakymu Nr. V-486 „Dėl Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos nuostatų patvirtinimo“, apibrėžtas sąvokas.

3. IS elektroninės informacijos saugumo tikslai:

3.1. užtikrinti IS tvarkomos elektroninės informacijos konfidencialumą, prieinamumą ir vientisumą;

3.2. užtikrinti, kad IS tvarkoma elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, kitokio neteisėto jos tvarkymo;

3.3. užtikrinti IS atitiktį Lietuvos ir Europos Sąjungos informacinių technologijų (toliau – IT) saugos standartų reikalavimams.

4. IS elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

4.1. asmens duomenų apsauga;

4.2. IS veiklos tęstinumo užtikrinimas.

5. Fondo valdyba, kurios adresas yra Konstitucijos pr. 12-101, Vilnius, yra IS valdytoja ir tvarkytoja.

6. Fondo administravimo įstaigos – IS tvarkytojai:

6.1. Valstybinio socialinio draudimo fondo valdybos Vilniaus skyrius, adresu Laisvės pr. 28, Vilnius.

6.2. Valstybinio socialinio draudimo fondo valdybos Kauno skyrius, adresu A. Mickevičiaus g. 42, Kaunas.

6.3. Valstybinio socialinio draudimo fondo valdybos Klaipėdos skyrius, adresu Smiltelės g. 12A, Klaipėda.

6.4. Valstybino socialinio draudimo fondo valdybos Šiaulių skyrius, adresu Ežero g. 17, Šiauliai.

6.5. Valstybinio socialinio draudimo fondo valdybos Alytaus skyriaus, adresu Jotvingių g. 10-2, Alytus.

6.6. Valstybinio socialinio draudimo fondo valdybos Marijampolės skyrius, adresu A. Valaičio g. 2-1, Marijampolė.

6.7. Valstybinio socialinio draudimo fondo valdybos Panevėžio skyrius, adresu Vasario 16‑osios g. 60, Panevėžys.

6.8. Valstybinio socialinio draudimo fondo valdybos Mažeikių skyrius, adresu Vasario 16‑osios g. 4, Mažeikiai.

6.9. Valstybinio socialinio draudimo fondo valdybos Utenos skyrius, adresu Aušros g. 45, Utena.

6.10. Valstybinio socialinio draudimo fondo valdybos Šilalės skyrius, adresu Kovo 11‑osios g. 17, Šilalė.

6.11. Valstybinio socialinio draudimo fondo valdybos Užsienio išmokų tarnyba, adresu Kalvarijų g. 147, Vilnius.

6.12. Kiti IS tvarkytojai yra nurodyti Fondo valdybos IS nuostatuose.

7. IS valdytojas bei IS tvarkytojai vykdo Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme bei Fondo valdybos IS nuostatuose nurodytas funkcijas, turi šiuose įstatymuose ir teisės aktuose nurodytas teises ir pareigas.

8. Saugos įgaliotinis, koordinuodamas ir prižiūrėdamas saugos politikos įgyvendinimą, atlieka šias funkcijas:

8.1. teikia IS valdytojo vadovui pasiūlymus dėl administratoriaus paskyrimo ir reikalavimų administratoriui nustatymo.

8.2. teikia IS valdytojo vadovui pasiūlymus dėl IS saugos atitikties vertinimo atlikimo ir organizuoja Fondo valdybos informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimą.

8.3. teikia IS valdytojo vadovui pasiūlymus dėl Saugos dokumentų priėmimo, keitimo ar panaikinimo.

8.4. koordinuoja IS elektroninės informacijos saugos incidentų tyrimą ir bendradarbiauja su kompetentingoms institucijoms, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės.

8.5. teikia administratoriams ir IS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu.

8.6. organizuoja IS rizikos vertinimą.

8.7. atlieka kitas kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, priskirtas funkcijas.

8.8. periodiškai inicijuoja IS naudotojų mokymą informacijos saugumo klausimais.

9. Saugos įgaliotinis negali atlikti administratoriaus funkcijų.

10. Teritorinis saugos įgaliotinis, koordinuodamas ir prižiūrėdamas saugos politikos įgyvendinimą savo įstaigos ribose, atlieka šias funkcijas:

10.1. teikia IS tvarkytojo vadovui pasiūlymus dėl administratoriaus paskyrimo ir reikalavimų administratoriui nustatymo.

10.2. teikia administratoriams ir IS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu.

10.3. periodiškai inicijuoja IS naudotojų mokymą informacijos saugumo klausimais savo įstaigos ribose.

10.4. Vykdo kitas, pareigybės aprašyme išdėstytas, funkcijas.

11. IS administratoriai skiriami kelioms Fondo valdybos IS posistemėms, funkciškai savarankiškoms sudedamosioms dalims ar tam tikroms administratoriaus funkcijoms atlikti.

12. IT sistemos administratoriai skirstomi į šias grupes:

12.1. IS naudotojų administratorius, kuris administruoja IS naudotojų tapatybės ir prieigos teisių valdymo sistemą, per kurią IS naudotojams yra suteikiamos prieigos teisės prie kitų taikomųjų sistemų.

12.2. IS komponentų administratoriai, kurie atlieka funkcijas, susijusias su IS komponentais, jų sąranka:

12.2.1. kompiuterinių tinklų administratorius atlieka šias funkcijas:

12.2.1.1. užtikrina kompiuterinių tinklų veikimą;

12.2.1.2. projektuoja kompiuterinius tinklus;

12.2.1.3. diegia, konfigūruoja ir prižiūri kompiuterinių tinklų aktyviąją įrangą;

12.2.1.4. vykdo duomenų šifravimo įrenginių priežiūrą;

12.2.1.5. užtikrina duomenų, perduodamų tarp pagrindinio ir rezervinio duomenų centrų, konfidencialumą ir vientisumą;

12.2.1.6. vykdo tarnybinių stočių, susijusių tinklo priežiūros įrenginiais, priežiūrą, administravimą, saugią eksploataciją, užtikrindamas informacijos saugą jose;

12.2.1.7. archyvuoja valdomų ir administruojamų sistemų programas bei juose esančius duomenis;

12.2.1.8. atlieka valdomų programų ir juose esančių duomenų atstatymo darbus;

12.2.1.9. užtikrina kompiuterinių tinklų saugumą.

12.2.2. virtualių kompiuterizuotų darbo vietų administratorius atlieka šias funkcijas:

12.2.2.1. užtikrina virtualių kompiuterizuotų darbo vietų veikimą;

12.2.2.2. ruošia tipinių kompiuterizuotų darbo vietų šablonus ir naudoja juos kompiuterizuotų darbo vietų atnaujinimui;

12.2.2.3. diegia kompiuterizuotų darbo vietų sisteminę programinę įrangą, atlieka įdiegtos įrangos testavimus ir užtikrina jos stabilų veikimą;

12.2.2.4. diegia kompiuterizuotų darbo vietų IS taikomųjų sistemų aplinkas ir konfigūruoja jas pagal darbo vietų parengimo instrukcijas;

12.2.2.5. atstato kompiuterizuotų darbo vietų programinės įrangos darbingumą bei padeda naudotojams sutvarkyti kompiuterio darbo aplinką;

12.2.2.6. vykdo kompiuterizuotų darbo vietų antivirusinę profilaktiką.

12.2.3. elektroninio pašto ir antivirusinės programos administratorius atlieka šias funkcijas:

12.2.3.1. užtikrina elektroninio pašto veikimą;

12.2.3.2. užtikrina elektroninio pašto ir internetinio srauto turinio valdymo veikimo patikimumą ir korektiškumą;

12.2.3.3. konfigūruoja darbo vietų ir tarnybinių stočių antivirusinę apsaugos sistemą;

12.2.3.4. užtikrina vidinio komunikavimo sistemos veikimą.

12.2.4. tarnybinių stočių administratorius atlieka šias funkcijas:

12.2.4.1. užtikrina taikomųjų programų tarnybinių stočių veikimą;

12.2.4.2. diegia ir konfigūruoja tarnybinių stočių programinę įrangą;

12.2.4.3. diegia tarnybinių stočių programinės įrangos atnaujinimus;

12.2.4.4. konfigūruoja tarnybinių stočių tinklo prieigą;

12.2.4.5. kuria ir administruoja tarnybinių stočių naudotojų registracijos į tarnybines stotis duomenis;

12.2.4.6. stebi ir analizuoja tarnybinių stočių veiklą;

12.2.4.7. atstato taikomųjų programų tarnybinių stočių darbingumą ir informaciją, esančią taikomųjų programų tarnybinėse stotyse pagal išsaugotą tikslią kopiją ar jos dalį;

12.2.4.8. užtikrina tarnybinių stočių saugą;

12.2.5. duomenų bazių administratorius atlieka šias funkcijas:

12.2.5.1. užtikrina duomenų bazių veikimą;

12.2.5.2. tvarko duomenų bazių programinę įrangą;

12.2.5.3. administruoja duomenų apsikeitimą tarp Fondo valdybos duomenų bazių;

12.2.5.4. administruoja duomenų apsikeitimą iš Fondo valdybos duomenų bazių į Fondo valdybos nutolusias (rezervines) duomenų bazes;

12.2.5.5. kuria ir administruoja duomenų bazių naudotojų registracijos į duomenų bazes duomenis;

12.2.5.6. diegia būtinus duomenų bazių programinės įrangos atnaujinimus;

12.2.5.7. kuria ir atkuria atsargines elektroninės informacijos kopijas;

12.2.5.8. stebi duomenų bazes ir optimizuoja jų funkcionavimą.

13. Saugų IS duomenų tvarkymą reglamentuoja:

13.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

13.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

13.3. Bendrieji reikalavimai organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ (toliau - Bendrieji reikalavimai organizacinėms ir techninėms asmens duomenų saugumo priemonėms);

13.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

13.5. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. spalio 4 d. nutarimu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

13.6. Lietuvos ir tarptautinis standartas LST EN ISO/IEC 27002:2017.

II SKYRIUS

Elektroninės informacijos saugos valdymas

14. Fondo valdybos IS, Lietuvos Respublikos apdraustųjų valstybiniu socialiniu draudimu ir valstybinio socialinio draudimo išmokų gavėjų registre bei Lietuvos Respublikos pensijų kaupimo sutarčių registre tvarkoma elektroninė informacija priskiriama ypatingos svarbos elektroninės informacijos kategorijai, vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, (toliau – Klasifikavimo gairės), 7.1−7.3 ir 7.5−7.6 papunkčiuose nurodytais kriterijais:

14.1. gali sukelti pavojų žmogaus gyvybei arba kitaip pažeisti daugiau nei pusės valstybės gyventojų kitas teises ir teisėtus interesus;

14.2. gali lemti, kad nebus atliekama (-os) kuri nors (kurios nors) gyvybiškai svarbi (-ios) valstybės funkcija (-os) visos valstybės mastu;

14.3. gali padaryti didesnius kaip 3 000 000 eurų finansinius nuostolius vienai ar kelioms institucijoms;

14.4. gali sukelti pavojų valstybės suverenitetui, teritorijos vientisumui ir konstitucinei santvarkai ar viešajam saugumui daugiau nei 5 apskrityse;

14.5. gali sukelti tarptautinių sutarčių ir įsipareigojimų pažeidimą, kurio padarinių šalinimo nuostoliai būtų didesni kaip 3 000 000 eurų.

15. Pagal IS tvarkomos informacijos svarbą, vadovaujantis Klasifikavimo gairių 12.1 papunkčiu, Fondo valdybos IS, Lietuvos Respublikos apdraustųjų valstybiniu socialiniu draudimu ir valstybinio socialinio draudimo išmokų gavėjų registras ir Lietuvos Respublikos pensijų kaupimo sutarčių registras priskiriami pirmajai kategorijai.

16. Fondo valdybos IS, Lietuvos Respublikos apdraustųjų valstybiniu socialiniu draudimu ir valstybinio socialinio draudimo išmokų gavėjų registras ir Lietuvos Respublikos pensijų kaupimo sutarčių registras priskiriami trečiajam asmens duomenų saugumo lygiui. Atsižvelgiant į IS saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką, nustatytą Bendruosiuose reikalavimuose organizacinėms ir techninėms asmens duomenų saugumo priemonėms, ypatingi asmens duomenys tvarkomi automatiniu būdu ir prie jų prieiga yra per išorinius duomenų perdavimo tinklus.

17. Saugos įgaliotinis atlieka IS rizikos analizę ir parengia rizikos analizės ataskaitą, atsižvelgiant į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinį standartą LST ISO/IEC 27001 bei į IS taikomųjų sistemų kritiškumą. Rizikos analizės ataskaita rengiama, atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai. Svarbiausi rizikos veiksniai yra šie:

17.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

17.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis IS duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);

17.3. nenugalima jėga (force majeure).

18. Rizikos analizė atliekama informacijos saugumo valdymo veiklas automatizuojančia programine įranga OptiSecure.

19. Atsižvelgiant į IS rizikos analizės ataskaitą, saugos įgaliotinis parengia rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomi techninių, administracinių ir kitų išteklių poreikiai rizikos valdymo priemonėms įgyvendinti.

20. Siekiant užtikrinti Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimų įgyvendinimą ir kontrolę, Saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja IS saugos atitikties vertinimą.

21. Atitikties vertinimą, atsižvelgiant į metodiką, patvirtintą Vidaus reikalų ministro, atlieka nepriklausomi ekspertai ne rečiau kaip kartą per trejus metus.

22. IS elektroninės informacijos saugos priemonių parinkimo principai:

22.1. rizikos lygiai sumažinti iki priimtino lygio;

22.2. atitiktis techniniams ir organizaciniams reikalavimams;

22.3. prevencinės saugumo priemonės diegiamos, atsižvelgiant į IS saugumo tikslus bei saugumo užtikrinimo prioritetines kryptis;

22.4. diegiamos saugos priemonės adekvačios IS tvarkomos elektroninės informacijos vertei.

III SKYRIUS

organizaciniai ir techniniai reikalavimai

23. Užtikrinant IS apsaugą nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai), yra naudojama ir nuolatos atnaujinama antivirusinė programinė įranga, centralizuotai įdiegta visose kompiuterizuotose darbo vietose, ir ugniasienės.

24. Kompiuterizuotuose darbo vietose operacinių sistemų atnaujinimai diegiami centralizuotai ir nuolatos.

25. Tarnybinėse stotyse saugumo atnaujinimai diegiami ne vėliau kaip per tris darbo dienas po to, kai gamintojas šiuos atnaujinimus patalpina savo internetiniame portale, kiti atnaujinimai tarnybinėse stotyse diegiami esant poreikiui.

26. Taikomųjų programinių įrangų atnaujinimai diegiami pagal gamintojų rekomendacijas.

27. IS naudojama legali programinė įranga.

28. Kompiuterizuotose darbo vietose programinę įrangą diegia Fondo administravimo įstaigų administratoriai, IS naudotojams ši funkcija yra uždrausta.

29. Leistinos (laisvai platinamos) programinės įrangos, kuri gali būti naudojama kompiuterizuotose darbo vietose ir tarnybinėse stotyse, sąrašą tvirtina Fondo valdybos direktorius.

30. Saugos įgaliotinis inicijuoja leistinos (laisvai platinamos) programinės įrangos sąrašo keitimą, atsiradus naujos arba jau nebenaudojamos programinės įrangos poreikiui.

31. Leistinos (laisvai platinamos) programinės įrangos sąrašas peržiūrimas ne rečiau kaip kartą per metus.

32. Prieiga išoriniams naudotojams prie IS kompiuterinio tinklo resursų nustatoma vadovaujantis sutartimis su Fondo valdyba.

33. Fondo valdybos duomenų centrui taikomas trijų lygių tinklo saugumas: išorė/aplikacijos/duomenų bazės, kiekvieną iš lygių yra atskiriant ugniasienėmis.

34. Konfigūruojant ugniasienes vadovaujamasi principu „draudžiama viskas, išskyrus...“ – leidžiami tik būtini veiklai prisijungimai prie Fondo valdybos kompiuterinio tinklo.

35. Prieš atliekant ugniasienių konfigūravimo parametrų rinkinio pakeitimą, yra padaroma parametrų rinkinio kopija.

36. Nešiojamų kompiuterių naudojimas ir juose esančios elektroninės informacijos sauga reglamentuojama Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos mobilių įrenginių naudojimo tvarkos apraše, patvirtintame Fondo valdybos direktoriaus 2016 m. lapkričio 15 d. įsakymu Nr. V-597 „Dėl Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos mobilių įrenginių naudojimo tvarkos aprašo patvirtinimo“.

37. Užtikrinant saugų elektroninės informacijos teikimą ir gavimą, IS tvarkomi duomenys teikiami ir gaunami automatiniu būdu pagal asmens duomenų teikimo sutartyse nustatytas asmens duomenų teikimo sąlygas, vadovaujantis Asmens duomenų teikimo automatiniu būdu pagal sutartis tvarkos aprašu, patvirtintu Fondo valdybos direktoriaus 2010 m. lapkričio 19 d. įsakymu Nr. V-495 „Dėl Asmens duomenų teikimo automatiniu būdu pagal sutartis tvarkos aprašo patvirtinimo“.

38. Elektroninės informacijos atsarginių kopijų darymo ir atkūrimo reikalavimai išdėstyti Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos kopijavimo tvarkos apraše, patvirtintame Fondo valdybos direktoriaus 2016 m. lapkričio 15 d. įsakymu Nr. V-598 „Dėl Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos kopijavimo tvarkos aprašo patvirtinimo“. Vadovaujantis Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos kopijavimo tvarkos aprašu kiekvienam taikomosios sistemos programinės įrangos infrastruktūros elementui/komponentui yra parengiamas kopijavimo aprašas, kuriame nurodomas taikomosios sistemos programinės įrangos infrastruktūros elemento/komponento kopijavimo dažnis, kopijavimo tipas, saugoma kopijų vieta, saugojimo terminas ir kita reikalinga informacija taikomosios sistemos programinės įrangos infrastruktūros elemento/komponento kopijų darymui.

39. Atsarginės elektroninės informacijos kopijos replikuojamos į kitą duomenų centrą.

IV SKYRIUS

Reikalavimai personalui

40. Saugos įgaliotiniu, Teritoriniu saugos įgaliotiniu ir administratoriumi negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.

41. Saugos įgaliotinis ir Teritorinis saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus bei tobulinti kvalifikaciją elektroninės informacijos saugos srityje. Kiti saugos įgaliotinio kvalifikaciniai reikalavimai yra nurodyti pareigybės aprašyme.

42. Administratoriai privalo išmanyti elektroninės informacijos saugos principus, atliekant duomenų perdavimą tinklais, duomenų bazių administravimą, tarnybinių stočių, tinklo ar kitos kompiuterinės įrangos priežiūrą. Kiti administratorių kvalifikaciniai reikalavimai yra nurodyti jų pareigybių aprašymuose.

43. IS naudotojai privalo užtikrinti tvarkomos elektroninės informacijos konfidencialumą.

44. Saugos įgaliotinis periodiškai inicijuoja IS naudotojų mokymą (ne rečiau kaip kartą per trejus metus) informacijos saugumo klausimais, informuoja juos apie informacijos saugos reikalavimus ir problematiką vienu iš šių būdų:

44.1. elektroniniu paštu;

44.2. teminiuose seminaruose;

44.3. įvairaus pobūdžio atmintinėse.

45. Teritorinis saugos įgaliotinis periodiškai inicijuoja IS naudotojų mokymą savo įstaigos ribose.

V SKYRIUS

IS naudotojų supažindinimo su saugos dokumentais principai

46. IS naudotojai pasirašytinai yra supažindinami su saugos dokumentais ir jų pakeitimais prieš jiems suteikiant prieigą prie IS, taip pat pakeitus Saugos dokumentus.

47. Supažindinimo pagrindiniai reikalavimai ir būdai yra nustatyti Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos naudotojų administravimo taisyklėse, patvirtintose Fondo valdybos direktoriaus 2015 m. rugsėjo 4 d. įsakymu Nr. V-448 “Dėl Valstybinio socialinio draudimo fondo valdybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos naudotojų administravimo taisyklių patvirtinimo”.

VI SKYRIUS

ATSAKOMYBĖ

48. IS naudotojai neturi teisės perduoti (bet kokiomis priemonėmis sudaryti sąlygas gauti) elektroninės informacijos, kuri, vadovaujantis norminiais teisės aktais, yra laikoma konfidencialia ar viešai neskelbtina informacija, kitiems asmenims, neturintiems teisės jos gauti. IS naudotojai privalo užtikrinti tokios informacijos konfidencialumą ir perėję dirbti į kitas pareigas ar pasibaigus valstybės tarnybos (darbo) santykiams.

IS naudotojai, pažeidę Saugos nuostatų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako įstatymų nustatyta tvarka.

_____________________________