NEĮGALUMO IR DARBINGUMO NUSTATYMO TARNYBOS

PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS

DIREKTORIUS

 

ĮSAKYMAS

DĖL NEĮGALUMO IR DARBINGUMO NUSTATYMO TARNYBOS PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS DIREKTORIAUS 2008 M. BALANDŽIO 9 D. ĮSAKYMO NR. V-41 „DĖL NEĮGALUMO IR DARBINGUMO NUSTATYMO TARNYBOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ TVIRTINIMO IR SAUGOS ĮGALIOTINIO SKYRIMO“ PAKEITIMO

 

2018 m. spalio 30 d. Nr. V-141

Vilnius

 

 

1. Pakeičiu Neįgalumo ir darbingumo nustatymo tarnybos prie Socialinės apsaugos ir darbo ministerijos direktoriaus 2008 m. balandžio 9 d. įsakymo Nr. V-41 „Dėl Neįgalumo ir darbingumo nustatymo tarnybos informacinės sistemos duomenų saugos nuostatų tvirtinimo ir saugos įgaliotinio skyrimo“ 1.1 papunkčiu patvirtintus Neįgalumo ir darbingumo nustatymo tarnybos prie Socialinės apsaugos ir darbo ministerijos informacinės sistemos duomenų saugos nuostatus ir išdėstau juos nauja redakcija (pridedama).

2. Įpareigoju:

2.1. Teisės ir personalo skyrių paskelbti šį įsakymą Teisės aktų registre;

2.2. Metodikos ir informatikos skyrių pateikti šį įsakymą Registrų ir valstybės informacinių sistemų registrui.

 

 

 

Direktoriaus pavaduotoja,                                                                                   Vytautė Polujanskienė

laikinai vykdanti direktoriaus funkcijas

 

 

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos 2018-09-25 raštu Nr. (4.2) 6K-595

 

PATVIRTINTA

Neįgalumo ir darbingumo nustatymo tarnybos

prie Socialinės apsaugos ir darbo ministerijos direktoriaus

2018 m. spalio 30 d. įsakymu Nr. V-141

 

NEĮGALUMO IR DARBINGUMO NUSTATYMO TARNYBOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Neįgalumo ir darbingumo nustatymo tarnybos informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato saugų elektroninės informacijos tvarkymą užtikrinančius principus ir reikalavimus (toliau – Saugos politika) Neįgalumo ir darbingumo nustatymo tarnybos (toliau – NDNT) valdomoje NDNT informacinėje sistemoje (toliau – IS), jos posistemėse ir duomenų rinkmenose  atliekant NDNT pavestas funkcijas.

2. Saugos nuostatuose vartojamos sąvokos:

Administratorius – NDNT darbuotojas, atliekantis funkcijas, susijusias su informacinės sistemos naudotojų teisių valdymu, informacinės sistemos komponentais, šių informacinės sistemos komponentų sąranka, informacinės sistemos pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena, reagavimu į elektroninės informacijos saugos incidentus.

Elektroninė informacija – neįslaptinta informacija (arba duomenys), saugoma, perduodama ar kitaip apdorojama elektroniniu būdu IS, leidžiančiose tokią informaciją saugoti, perduoti ar kitaip apdoroti, arba valstybės ir žinybiniuose registruose ir sudaranti sąlygas sėkmingai atlikti NDNT funkcijas.

IS duomenų gavėjas – valstybės, savivaldybės arba tarptautinė institucija ar įstaiga, kuri Lietuvos Respublikos teisės aktų nustatyta tvarka turi teisę gauti duomenis savo atliekamoms priežiūros ir kontrolės funkcijoms atlikti. IS duomenų gavėjais gali būti ir kiti fiziniai ir juridiniai asmenys, Lietuvos Respublikos teisės aktų nustatyta tvarka turintys teisę gauti duomenis, pateikę prašymus ar sudarę duomenų teikimo sutartis.

IS duomenų teikėjas – valstybės, savivaldybės arba tarptautinė institucija ar įstaiga, taip pat kitas fizinis ar juridinis asmuo, Lietuvos Respublikos teisės aktų nustatyta tvarka turintis teikti duomenis IS ir sudaręs elektroninės informacijos (arba duomenų) teikimo sutartį, išskyrus, kai duomenis apie save teikia pats asmuo.

IS valdytojas – NDNT, kuri yra ir asmens duomenų valdytojas.

IS naudotojas – valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis IS ištekliais numatytoms funkcijoms atlikti.

IS tvarkytojas – NDNT, kuri yra ir asmens duomenų tvarkytojas.

Saugus valstybinis duomenų perdavimo tinklas (SVDPT) – elektroninių ryšių tinklas, atskirtas ir apsaugotas nuo viešųjų elektroninių ryšių tinklų (interneto) bei neteikiamas viešai, skirtas visoms Lietuvos Respublikos valstybės ir savivaldybių institucijoms, įstaigoms ir įmonėms bei kitiems juridiniams asmenims, bendradarbiauti tarpusavyje ir su Europos Sąjungos institucijomis, užtikrinant šio tinklo naudotojų tapatybės nustatymą ir šiuo tinklu perduodamų duomenų ir informacijos konfidencialumą, vientisumą ir prieinamumą.

3. Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarime Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180, kituose teisės aktuose ir Lietuvos standartais LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai.“ ir.

4. IS duomenų saugos tikslai:

4.1. informacijos patikimumo, vientisumo, konfidencialumo, prieinamumo ir saugumo užtikrinimas;

4.2. kompiuterizuotų darbo vietų tinkamo saugumo lygio įdiegimas ir palaikymas;

4.3. nuolatinis vietinio kompiuterių tinklo funkcionavimo užtikrinimas bei saugumo stebėsena;

4.4. tinkamo kompiuterinės, programinės ir tinklo įrangos funkcionavimo ir saugumo užtikrinimas.

5. IS duomenų saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos lygio kėlimo, saugos priemonių projektavimo ir diegimo principus.

6. Informacijos saugumo užtikrinimo prioritetinės kryptys:

6.1. IS perduodamų duomenų konfidencialumo užtikrinimas;

6.2. IS perduodamų duomenų vientisumo užtikrinimas;

6.3. IS duomenų prieinamumo užtikrinimas;

6.4. IS veiklos tęstinumo užtikrinimas.

7. Už NDNT valdomų IS elektroninės informacijos tvarkymo teisėtumą ir elektroninės informacijos saugą atsako IS valdytojas – NDNT (adresas – Švitrigailos g. 11E, Vilnius).

8. IS valdytojas vykdo šias funkcijas:

8.1. užtikrina valdomų IS elektroninės informacijos saugumą, vientisumą, konfidencialumą, prieinamumą, tinkamą kompiuterių bei komunikacinės įrangos funkcionavimą NDNT ir valdomų IS duomenų teikimą IS duomenų gavėjams;

8.2. vadovaudamasis saugos nuostatais, skiria IS saugos įgaliotinį (toliau – saugos įgaliotinis), administratorių, esant poreikiui sudaro elektroninės informacijos saugos darbo grupes;

8.3. tvirtina saugos politiką įgyvendinančius dokumentus.

9. IS tvarkytojo funkcijos ir atsakomybė:

9.1. užtikrina IS veikimui ir duomenų mainams būtinos techninės ir programinės įrangos įdiegimą, nepertraukiamą funkcionavimą, tinkamą priežiūrą bei atnaujinimą;

9.2. organizacinėmis, techninėmis, teisinėmis ir metodinėmis priemonėmis užtikrina saugų IS duomenų tvarkymą;

9.3. organizuoja IS veikimui, priežiūrai ir plėtrai reikalingų funkcinių, techninių, programinių priemonių įsigijimą, įdiegimą, modernizavimą;

9.4. užtikrina, kad IS būtų administruojama saugiai ir laikantis šių Saugos nuostatų, IS nuostatų, Lietuvos Respublikos įstatymų bei kitų teisės aktų;

9.5. gauna ir teikia IS duomenis valstybės institucijoms bei įstaigoms, kitiems duomenų gavėjams Lietuvos Respublikos įstatymų, kitų teisės aktų, reglamentuojančių duomenų teikimą, ir šių Saugos nuostatų nustatyta tvarka;

9.6. skiria darbuotojus, atsakingus už IS sklandų veikimą, priežiūrą, atnaujinimą;

9.7. skiria ir administruoja IS naudotojus, organizuoja jų mokymą;

9.8. vykdo kitas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu,  kitais įstatymais ir teisės aktais bei NDNT direktoriaus įsakymais nustatytas funkcijas.

10. Saugos įgaliotinis organizuoja ir kontroliuoja šių saugos nuostatų įgyvendinimą ir atlieka šias funkcijas:

10.1. teikia IS valdytojui pasiūlymus dėl:

10.1.1. IS administratorių skyrimo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);

10.1.2. saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;

10.1.3. IS saugos reikalavimų atitikties vertinimo atlikimo;

10.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių IS, tyrimą (išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės);

10.3. duoda administratoriams privalomus vykdyti nurodymus;

10.4. teisės aktų nustatyta tvarka atlieka IT saugos atitikties vertinimą. Jei vertinimui atlikti būtina įsigyti vertinimo paslaugas, teikia IS valdytojui pasiūlymus dėl minėtų paslaugų įsigijimo;

10.5. atlieka kitas IS valdytojo vadovo ar jo įgalioto asmens pavestas ir šiais saugos nuostatais jam priskirtas funkcijas.

11. Administratoriaus funkcijos ir atsakomybė:

11.1. atsako už IS funkcionavimą, naudotojų registravimą ir registravimosi vardų skyrimą, prieigos teisių nustatymą;

11.2. įvertina naudotojų pasirengimą dirbti su IS;

11.3. IS valdytojo vadovui rengia pasiūlymus dėl IS kūrimo, palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir duomenų saugos užtikrinimo;

11.4. administruoja IS ar jos komponentus (duomenų bazių valdymo sistemas, taikomųjų programų sistemas), rengia ir atnaujina IS aprašymo dokumentaciją, nustato pažeidžiamas vietas, parenka ir diegia saugos priemones bei užtikrina jų atitiktį saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimams;

11.5. registruoja elektroninės informacijos saugos incidentus ir informuoja apie juos saugos įgaliotinį, teikia pasiūlymus dėl minėtų incidentų pašalinimo;

11.6. tvarkydamas IS elektroninę informaciją neatskleidžia, neperduoda tvarkomos informacijos nė vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija tiek NDNT, tiek už jos ribų;

11.7. jei IS tvarkomi asmens duomenys, saugo jų konfidencialumą;

11.8. neperduoda neįgaliotiems asmenimis slaptažodžių, naudotojo tapatybės kodų ar kitos informacijos, leidžiančios naudojantis programinėmis ir techninėmis priemonėmis sužinoti asmens duomenis ar kitą tvarkomą elektroninę informaciją, ir nesudaro kitų sąlygų susipažinti su IS tvarkoma elektronine informacija;

11.9. atsako už IS funkcionavimą užtikrinančios techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą, funkcionavimo užtikrinimą ir jų naudotojų registravimą ir registravimosi vardų skyrimą bei šalinimą, prieigos prie IS infrastruktūros išteklių teisių nustatymą;

11.10. atsako už priskirtų IS komponentų (kompiuterių, tarnybinių stočių, operacinių sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) administravimą, IS komponentų sąrankos aprašymo dokumentacijos parengimą ir atnaujinimą, pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą bei jų atitiktį saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimams;

11.11. atlieka kitas šiuose saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose priskirtas funkcijas ir kitus IS valdytojo ar saugos įgaliotinio nurodymus, susijusius su IS sauga.

12. Teisės aktai, kuriais vadovaujamasi tvarkant IS, joje tvarkomus duomenis ir užtikrinant jų saugumą:

12.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

12.2. Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimas Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;

12.3. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir Valstybės informacinių sistemų elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

12.4. Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimas Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“;

12.5. Lietuvos Respublikos kibernetinio saugumo įstatymas.

12.6. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. Įsakymu Nr. IV-156;

12.7. Lietuvos standartai LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai.“

12.8. Informacinių išteklių valdymo įstatymas;

12.9. Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymas Nr. IV-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

12.10. EUROPOS PARLAMENTO IR TARYBOS REGLAMENTAS (ES) 2016/679 2016 m. balandžio 27 d. dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

12.11. šie Saugos nuostatai ir kiti teisės aktai, kuriais reglamentuojamas elektroninės informacijos tvarkymo teisėtumas, IS valdytojo veikla ir elektroninės informacijos saugos valdymas.

 

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

13. IS paskirtis – kaupti, apdoroti ir saugoti NDNT veiklai vykdyti reikalingus duomenis.

14. Atitinkamos IS objektai išvardijami jos nuostatuose, kuriuos tvirtina IS valdytojas.

15. Vadovaujantis elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, 9. punktu, informacinėje sistemoje tvarkoma elektroninė informacija priskiriama vidutinės svarbos informacijos kategorijai. Elektroninės informacijos priskyrimo vidutinės svarbos informacijos kategorijai kriterijai:

15.1. gali pažeisti daugiau nei 1 procento, bet ne daugiau nei 5 procentų valstybės gyventojų teises ir teisėtus interesus;

15.2. gali sukelti pavojų viešajam saugumui daugiau nei vienoje vienos apskrities savivaldybėje.

16. Vadovaujantis elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, 12.3. papunkčiu, informacinė sistema priskiriama trečiosios kategorijos informacinėms sistemoms – informacinėje sistemoje tvarkoma vidutinės svarbos elektroninė informacija..

17. IS sauga turi būti įgyvendinama siekiant išsaugoti IS elektroninės informacijos savybes. Pirmiausia turi būti diegiamos priemonės, skirtos išsaugoti toms elektroninės informacijos savybėms, kurių praradimas turėtų didžiausią įtaką IS darbui.

18. Pasirenkant saugos priemones prioritetas teikiamas toms priemonėms, kurių diegimas reikalauja mažiausia sąnaudų ir duoda didžiausią efektą.

19. Prioritetinis IS elektroninės informacijos (arba duomenų) pateikimo būdas yra informacinių technologijų ir elektroninių ryšių priemonės. Siektinas elektroninės informacijos pasiekiamumo lygis darbo dienomis darbo laiku – 90 procentų.

20. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas", Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo technika" standartus, kasmet organizuoja visų IS rizikos vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį IS rizikos vertinimą. IS valdytojo rašytiniu pavedimu IS rizikos vertinimą gali atlikti pats saugos įgaliotinis, dalyvaujant IS duomenų valdytojams.

21. IS rizikos vertinimo metu atliekamos šios veiklos:

21.1. IS sudarančių išteklių inventorizacija;

21.2. rizikos veiksnių IS vertinimas;

21.3. išliekančios rizikos vertinimas.

22. IS rizikos vertinimo rezultatai išdėstomi rizikos vertinimo ataskaitoje. Rizikos vertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai. Kartu su pagrindiniu informacinės sistemos rizikos vertinimu organizuojamas ir atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos informacinėms sistemos kibernetiniam saugumui, vertinimas.

23. Svarbiausieji IS rizikos veiksniai:

23.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veiksmas ir kita);

23.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis IS duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);

23.3. nenugalima jėga (force majeure).

24. Atsižvelgdamas į rizikos vertinimo ataskaitą, IS valdytojo vadovas prireikus tvirtina IS rizikos vertinimo ataskaitą ir IS rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis IS rizikos valdymo priemonėms įgyvendinti.

25. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijos, informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijos ne vėliau kaip per 5 darbo dienas nuo jų priėmimo turi būti pateikiamos Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

26. Teisės aktų nustatyta tvarka atliekant informacinių technologijų saugos atitikties vertinimą, būtina:

26.1. įvertinti saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimų ir realios informacijos saugos situacijos atitiktį;

26.2. inventorizuoti IS techninę ir programinę įrangą;

26.3. patikrinti ne mažiau kaip 10 procentų atsitiktinai parinktų IS naudotojų kompiuterinių darbo vietų visose tarnybinėse stotyse įdiegtas programas ir jų sąranką;

26.4. patikrinti (įvertinti) IS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktį;

26.5. įvertinti pasirengimą užtikrinti IS veiklos tęstinumą įvykus saugos incidentui.

27. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:

27.1. likutinė rizika turi būti sumažinta iki priimtino lygio;

27.2. informacijos saugos priemonės diegimo kainos adekvatumas saugomos informacijos vertei;

27.3. turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

28. Atlikus šių saugos nuostatų 25 punkte nurodytus vertinimus, parengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato IS valdytojo vadovas.

 

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

29. Elektroninės informacijos saugai užtikrinti yra taikomos šios bendrosios programinės įrangos naudojimo nuostatos:

29.1. tarnybinėse stotyse, administratorių, NDNT valstybės tarnautojų ar darbuotojų kompiuterinėse darbo vietose turi būti naudojama tik legali ir saugi programinė įranga, kuri yra įtraukta į NDNT naudojamos programinės įrangos sąrašus;

29.2. antivirusinės sistemos virusų parašų bazės automatinio atnaujinimo ir kompiuterių operacinių sistemų kritinių pataisų diegimo terminai netaikomi toms darbo vietoms, kurios yra laikinai nenaudojamos. Pradėjus naudoti, visos pataisos įdiegiamos per 3 darbo dienas.

30. IS duomenų saugai užtikrinti tarnybinėse stotyse taikomos šios programinės įrangos naudojimo nuostatos:

30.1. operacinių sistemų ir taikomųjų programų sąranka parenkama taip, kad būtų užtikrintas didžiausias saugumo lygis, sustabdomi nereikalingi darbui procesai;

30.2. ribojama arba blokuojama prieiga prie operacinės sistemos prievadų;

30.3. programinę įrangą atnaujina ir kontroliuoja administratoriai (pagal atliekamas funkcijas). Paslaugų teikėjai programinę įrangą gali atnaujinti tik dalyvaujant administratoriui.

31. Administratorių kompiuterinėse darbo vietose taikomos šios programinės įrangos naudojimo nuostatos:

31.1. įdiegiama programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.). Antivirusinės sistemos virusų parašų bazė atnaujinama automatiškai. Ilgiausias leistinas neatnaujinimo laikas – 5 darbo dienos. Kompiuterio operacinės sistemos kritinės pataisos diegiamos ne vėliau kaip per 5 darbo dienas nuo jų išleidimo;

31.2. programinę įrangą atnaujina ir kontroliuoja administratoriai bei kompiuterines darbo vietas prižiūrintis Metodikos ir informatikos skyriaus darbuotojai. Operatyvinę veiklą vykdančių subjektų kompiuterines darbo vietas prižiūri, programinę įrangą atnaujina ir kontroliuoja IS valdytojo paskirti darbuotojai.

32. Duomenų saugai užtikrinti IS naudotojų, NDNT darbuotojų darbo vietose taikomos šios programinės įrangos naudojimo nuostatos:

32.1. įdiegiama programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.). Antivirusinės sistemos virusų parašų bazė atnaujinama automatiškai. Ilgiausias leistinas neatnaujinimo laikas – 5 darbo dienos. Kompiuterio operacinės sistemos kritinės pataisos diegiamos automatiškai. Programinę įrangą atnaujina ir kontroliuoja administratoriai bei kompiuterines darbo vietas prižiūrintys NDNT Metodikos ir informatikos skyriaus darbuotojai;

32.2. IS naudotojų paskyros turi būti apribotų teisių, kurios neleidžia įdiegti papildomos programinės įrangos bei keisti sistemos, kompiuterio ar programinės įrangos sisteminių nustatymų. Programinę įrangą diegia NDNT Metodikos ir informatikos skyriaus darbuotojai. Taip pat diegimą gali vykdyti IS valdytojo paskirti asmenys.

33. IS tarnybinės stotys ir administravimui naudojami kompiuteriai negali turėti tiesioginio ryšio su internetu (nepertraukiamos sesijos), jei toks ryšys nėra būtinas IS funkcionuoti.

34. Už IS funkcionavimą užtikrinančios techninės ir programinės įrangos administravimą ir priežiūrą yra atsakingi NDNT Metodikos ir informatikos skyriaus darbuotojai, kuriems priskirtos atitinkamos administratoriaus funkcijos.

35. Visi veiksmai, atliekami IS administratorių, turi būti audituojami.

36. Auditui atlikti turi būti fiksuojama ši informacija:

36.1. IS elementų įjungimas / išjungimas ar perkrovimas;

36.2. IS naudotojų, IS administratoriaus prisijungimas (ir nesėkmingi bandymai prisijungti) / atsijungimas;

36.3. IS naudotojų / IS naudotojų grupių / IS administratorių teisių naudotis sistemos / tinklo ištekliais pakeitimai;

36.4. audito funkcijos įjungimas / išjungimas;

36.5. audito įrašų trynimas, kūrimas ar keitimas;

36.6. sistemos / tinklo parametrų, laiko ir (ar) datos pakeitimai.

37. Audituojamų įrašų laiko žymos turi būti sinchronizuotos ne mažiau kaip vienos sekundės tikslumu.

38. Kiekviename audito duomenų įraše turi būti fiksuojama:

38.1. įvykio data ir tikslus laikas;

38.2. įvykio rūšis / pobūdis;

38.3. IS naudotojo / IS administratoriaus ir (arba) IS įrenginio, susijusio su įvykiu, duomenys;

38.4. įvykio rezultatas.

39. Priemonės, naudojamos IS sąsajoje su viešųjų elektroninių ryšių tinklu, turi būti nustatytos taip, kad fiksuotų visus įvykius, susijusius su įeinančiais ir išeinančiais duomenų srautais.

40. Draudžiama audito duomenis trinti, keisti, kol nesibaigęs audito duomenų saugojimo terminas.

41. Pagrindiniai atsarginių kopijų darymo ir atkūrimo reikalavimai:

41.1. duomenų saugai užtikrinti daromos pagrindinės duomenų bazės atsarginės duomenų kopijos;

41.2. atsarginės kopijos daromos reguliariai, kiekvieną darbo dieną;

41.3. sukurtai atsarginei kopijai nurodoma kopijavimo data;

41.4. atsargines dokumentų kopijas turi teisę daryti tik administratorius (-iai),) pagal kompetenciją;

41.5. darant (padarius) atsargines kopijas, būtina užtikrinti kopijų kokybę;

41.6. atsarginės kopijos turi būti daromos automatiškai. Jas atkurti turi teisę tik administratorius;

41.7. periodiškai (ne rečiau 1 kartą per metus) atliekami elektroninės informacijos atkūrimo iš informacinės sistemos duomenų atsarginių kopijų bandymai;

41.8. kopijų, iš kurių būtų galima atkurti IS duomenis, darymo ir saugojimo tvarka turi būti detaliai aprašyta IS saugaus elektroninės informacijos tvarkymo taisyklėse.

42. Nešiojamuose kompiuteriuose IS programinė įranga nediegiama ir duomenys lokaliai nesaugomi, o IS programine įranga naudojamasi per interneto naršyklę.

43. IS programiniai kodai privalo būti apsaugoti nuo atskleidimo neturintiems teisės su jais susipažinti asmenims.

44. IS telekomunikacinio tinklo apsaugos priemonės:

44.1. tinklo segmentavimas;

44.2. prieigos kontrolės sąrašas;

44.3. pagrindinė IS duomenų pateikimo prieiga yra duomenų perdavimas duomenų perdavimo kanalu, panaudojant saugų HTTPS protokolą. Kaip papildoma priemonė, ribojanti prisijungimą prie IS, yra interneto protokolo (IP) adresų filtravimas;

44.4. tinklo adresų transliavimas.

45. IS duomenys, perduodami ne per IS tvarkytojui priklausančias duomenų perdavimo linijas, privalo būti šifruojami.

46.  NDNT IS tvarkomi ypatingi asmens duomenys (sveikatos, darbingumo ir neįgalumo lygio, specialiųjų poreikių). Siekiant užtikrinti šiū duomenų saugų tvarkymą bei teikimą, taip pat ir duomenų gavimą iš kitų institucijų, NDNT naudojasi SVDPT. NDNT IS naudotojų kompiuterių tinklai turi tenkinti SVDPT saugos organizavimo, valdymo ir SVDPT naudotojų prijungimo reikalavimus, nustatytus Lietuvos Respublikos vidaus reikalų ministro 2007 m. birželio 5 d. įsakyme Nr. 1V-210 „Dėl Saugaus valstybinio duomenų perdavimo tinklo elektroninės informacijos saugos reikalavimų patvirtinimo“, taip pat nustatytus kituose teisės aktuose, susijusiuose su informacinių sistemų sauga.

 

IV SKYRIUS

REIKALAVIMAI PERSONALUI

 

47. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos saugos reikalavimais ir Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą, standartais ir kitais dokumentais, turėti atitinkamą kvalifikaciją, sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

48. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

49. IS administratorius privalo išmanyti elektroninės informacijos saugos principus, administruoti ir prižiūrėti duomenų bazes ir priskirtas IS posistemes, taip pat mokėti užtikrinti jų saugumą, turi būti susipažinęs su šiais saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais.

50. IS duomenų tvarkytojai privalo:

50.1. išklausyti pradinį saugaus darbo su duomenimis mokymą arba susipažinti su šio mokymo medžiaga;

50.2. mokėti dirbti su „Windows“ operacine sistema, biuro taikomosiomis programomis arba turėti Europos kompiuterio naudotojo pažymėjimą;

50.3. mokėti tvarkyti IS elektroninę informaciją atitinkamos IS naudojimo instrukcijos ir IS nuostatų nustatyta tvarka ir būti susipažinę su šiais saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais.

51. Tvarkytojai ar IS naudotojai, pastebėję elektroninės informacijos saugos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti saugos įgaliotiniui ir (arba) IS administratoriui.

52. Esant elektroninės informacijos saugos incidentui, nenumatytai situacijai, saugos įgaliotinio, administratoriaus, IS tvarkytojų, IS naudotojų veiksmus reglamentuoja IS veiklos tęstinumo valdymo planas, kurį tvirtina IS valdytojas.

53. Saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja administratorių, IS tvarkytojų ir kitų IS naudotojų mokymus duomenų saugos ir kibernetinio saugumo klausimais, nuolat jiems primena elektroninės informacijos saugos reikalavimus (elektroniniu paštu, per interneto svetainę, atmintinėmis naujai priimtiems NDNT darbuotojams ir pan.).

54. IS valdytojas užtikrina tinkamą saugos įgaliotinio, administratorių, IS naudotojų kvalifikacijos tobulinimą.

 

V SKYRIUS

INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

55. IS elektroninę informaciją gali tvarkyti tik IS naudotojai, kurie yra susipažinę su šiais saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais ir raštiškai sutikę laikytis jų reikalavimų.

56. IS duomenų teikėjai ar gavėjai šių saugos nuostatų ir kitų saugos politiką įgyvendinančių dokumentų kopijas gauna sutarties dėl elektroninės informacijos arba duomenų teikimo pasirašymo metu, jei minėti dokumentai nėra paskelbti IS valdytojo. Kitais atvejais sutartyje pateikiama nuorodą į IS valdytojo tinklalapį.

57. Šie saugos nuostatai ir kiti elektroninės informacijos saugos reglamentavimo dokumentai skelbiami IS valdytojo tinklalapyje.

58. Už IS naudotojų supažindinimą su šiais saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais atsako saugos įgaliotinis.

 

VI SKYRIUS.

BAIGIAMOSIOS NUOSTATOS

 

59. IS valdytojas, IS tvarkytojas, IS saugos įgaliotinis, administratorius ir IS naudotojai, pažeidę šių Saugos nuostatų ir kitų saugos politiką įgyvendinančių dokumentų nuostatas, atsako teisės aktų nustatyta tvarka.

60. Saugos dokumentai turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) po rizikos analizės ar informacinių technologijų saugos atitikties vertinimo atlikimo arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Prireikus saugos dokumentai turi būti tikslinami ir derinami su Nacionaliniu kibernetinio saugumo centru prie Krašto apsaugos ministerijos.

61. IS duomenų gavimo automatiniu būdu iš kitų informacinių sistemų tvarka nustatoma duomenų teikimo sutartyse.

___________