LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTRAS
ĮSAKYMAS
DĖL TOPOGRAFIJOS IR INŽINERINĖS INFRASTRUKTŪROS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATų patvirtinimo
2019 m. gruodžio 18 d. Nr. 3D-706
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 19 ir 26 punktais:
1. T v i r t i n u Topografijos ir inžinerinės infrastruktūros informacinės sistemos duomenų saugos nuostatus (pridedama).
2. P a v e d u:
2.1. VĮ Distancinių tyrimų ir geoinformatikos centro „GIS-Centras“ direktoriui per 5 darbo dienas nuo šio įsakymo įsigaliojimo dienos paskirti:
2.2. Topografijos ir inžinerinės infrastruktūros informacinės sistemos saugos įgaliotiniui per šešis mėnesius nuo šio įsakymo įsigaliojimo dienos parengti ir pateikti žemės ūkio ministrui tvirtinti:
2.2.1. Topografijos ir inžinerinės infrastruktūros informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių projektą;
2.2.2. Topografijos ir inžinerinės infrastruktūros informacinės sistemos veiklos tęstinumo valdymo plano projektą;
Patvirtinta
Lietuvos Respublikos žemės ūkio ministro 2019 m. gruodžio 18 d.
įsakymu Nr. 3D-706
TOPOGRAFIJOS IR INŽINERINĖS INFRASTRUKTŪROS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BendroSIOS NUOSTATOS
1. Topografijos ir inžinerinės infrastruktūros informacinės sistemos saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Topografijos ir inžinerinės infrastruktūros informacinės sistemos (toliau – TIIIS) elektroninės informacijos saugos politiką, nustato administracines, technines ir kitas priemones, užtikrinančias saugų ir teisėtą TIIIS duomenų tvarkymą.
2. Saugos nuostatuose vartojamos sąvokos:
2.1. TIIIS elektroninė informacija – Topografijos ir inžinerinės infrastruktūros informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos žemės ūkio ministro ir Lietuvos Respublikos aplinkos ministro 2018 m. rugsėjo 6 d. įsakymu Nr. 3D-637/D1-804 „Dėl Topografijos ir inžinerinės infrastruktūros informacinės sistemos nuostatų patvirtinimo“ (toliau – TIIIS nuostatai), 18.1–18.8 papunkčiuose nurodyta informacija bei kiti duomenys, reikalingi TIIIS paslaugoms veikti.
2.2. TIIIS naudotojas (toliau – naudotojas) – TIIIS pagrindinio tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, ar kitas asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis TIIIS elektroninę informaciją.
2.3. TIIIS naudotojų kompiuterizuotų darbo vietų ir vietinio kompiuterių tinklo administratorius (toliau – NKT administratorius) – TIIIS pagrindinio tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, atsakingas už naudotojų kompiuterių prijungimą prie tinklo, naudotojų darbo vietų sukūrimą ir tvarkymą, kurio pareigybės aprašyme nurodytos šios funkcijos.
2.4. TIIIS saugos įgaliotinis (toliau – saugos įgaliotinis) – TIIIS pagrindinio tvarkytojo vadovo paskirtas darbuotojas, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis TIIIS saugos politikos įgyvendinimą, atsakingas už TIIIS kibernetinio saugumo organizavimą ir užtikrinimą.
2.5. TIIIS serverių administratorius – TIIIS pagrindinio tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, atsakingas už darbo serverių veikimo palaikymą ir priežiūrą, kurio pareigybės aprašyme nurodytos šios funkcijos. Gali būti keli serverių administratoriai, atsakingi už skirtingų darbo serverių veikimo palaikymą ir priežiūrą.
3. Kitos Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir Saugos dokumentų turinio gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Saugos reikalavimai), TIIIS nuostatuose, Lietuvos ir tarptautiniuose grupės standartuose „Informacijos technologija. Saugumo metodai“ ir kituose Saugos nuostatų 14 punkte nurodytuose teisės aktuose.
4. TIIIS elektroninės informacijos saugos užtikrinimo tikslas – garantuoti TIIIS tvarkomos elektroninės informacijos konfidencialumą, nuoseklumą, prieinamumą ir tinkamą techninės, programinės ir ryšių įrangos funkcionavimą.
5. TIIIS elektroninės informacijos sauga užtikrinama periodiškai vertinant TIIIS elektroninės informacijos saugumo riziką ir pateikiami rizikos vertinimo ataskaitoje. Atsižvelgiant į rizikos vertinimo ataskaitą, rengiamas rizikos veiksnių valdymo planas.
6. TIIIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
6.1. tinkamo kompiuterizuotų darbo vietų programinės ir techninės įrangos ir nutolusių įrenginių, naudojančių TIIIS, funkcionavimo užtikrinimas;
6.2. priemonių ir veiklos procesų, nurodytų TIIIS elektroninės informacijos saugos politikos įgyvendinamuosiuose teisės aktuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, įgyvendinimas;
6.3. naudotojų, NKT administratoriaus ir serverių administratoriaus (toliau abu kartu – administratoriai) saugos supratimo didinimas, mokymai elektroninės informacijos saugumo klausimais;
7. Saugos nuostatai, TIIIS saugaus elektroninės informacijos tvarkymo taisyklės, TIIIS veiklos tęstinumo valdymo planas, TIIIS naudotojų administravimo taisyklės (toliau kartu – TIIIS saugos dokumentai) privalomi:
7.2. TIIIS pagrindiniam tvarkytojui – VĮ Distancinių tyrimų ir geoinformatikos centrui „GIS-Centras“ (toliau – GIS-Centras), Sėlių g. 66, Vilnius;
7.8. TIIIS duomenų teikėjams - inžinerinius tinklus, valstybinės reikšmės kelius ir geležinkelių infrastruktūrą valdančioms institucijoms ir įmonėms ar juridiniams asmenims, Valstybinei teritorijų planavimo ir statybos inspekcijai prie Aplinkos ministerijos, VĮ Registrų centrui, Informacinės visuomenės plėtros komitetui prie Susisiekimo ministerijos, VĮ Distancinių tyrimų ir geoinformatikos centrui „GIS-Centras“, fiziniams ir juridiniams asmenims.
8. TIIIS valdytojas atsako už saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir TIIIS elektroninės informacijos tvarkymo teisėtumą bei atlieka šias funkcijas:
8.1. tvirtina teisės aktus, susijusius su TIIIS duomenų tvarkymu ir sauga, prižiūri, kaip jų laikomasi;
8.3. priima sprendimus dėl TIIIS techninių ir programinių priemonių, būtinų TIIIS elektroninės informacijos bei asmens duomenų saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
9. TIIIS pagrindinis tvarkytojas atsako už TIIIS elektroninės informacijos saugos įgyvendinimą, reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir kituose TIIIS saugos dokumentuose nustatyta tvarka bei:
9.1. pagal kompetenciją įgyvendina TIIIS nuostatų, TIIIS saugos dokumentų ir kitų elektroninės informacijos bei asmens duomenų saugą reglamentuojančių teisės aktų reikalavimus;
9.2. užtikrina, kad TIIIS elektroninė informacija būtų apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio neteisėto veiksmo;
9.3. užtikrina TIIIS techninę priežiūrą, nepertraukiamą TIIIS veikimą, TIIIS elektroninės informacijos saugą ir saugų TIIIS elektroninės informacijos perdavimą kompiuterių tinklais;
9.4. teikia pasiūlymus TIIIS valdytojui dėl TIIIS elektroninės informacijos saugos tobulinimo, TIIIS techninių ir programinių priemonių, būtinų TIIIS elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
10. Saugos įgaliotinis koordinuoja ir prižiūri TIIIS saugos politikos įgyvendinimą, atsako už TIIIS saugos dokumentų reikalavimų vykdymą bei atlieka šias funkcijas:
10.2. ne rečiau kaip vieną kartą per dvejus metus organizuoja TIIIS rizikos veiksnių įvertinimą, nurodytą Saugos nuostatų 17 punkte;
10.3. teikia TIIIS pagrindiniam tvarkytojui pasiūlymus dėl administratorių skyrimo (saugos įgaliotinis negali atlikti administratoriaus funkcijų) ir reikalavimų administratoriams nustatymo;
10.4. koordinuoja elektroninės informacijos saugos incidentų, įvykusių TIIIS, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;
10.5. teikia administratoriams ir TIIIS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;
10.6. supažindina administratorius, TIIIS naudotojus ir TIIIS naudojančius asmenis su TIIIS saugos dokumentais ir atsakomybe, kylančia dėl jų pažeidimo;
10.7. užtikrina tinkamą saugos dokumentuose nustatytų reikalavimų įgyvendinimo ir saugos politikos laikymosi kontrolę;
10.8. inicijuoja administratoriaus ir TIIIS naudotojų mokymą TIIIS elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie TIIIS elektroninės informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinių priimtiems naujiems TIIIS naudotojams rengimas ir pan.);
10.9. teikia TIIIS valdytojui pasiūlymus dėl TIIIS saugos dokumentų priėmimo, keitimo ar panaikinimo; TIIIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;
10.10. kasmet organizuoja TIIIS rizikos įvertinimą ir rengia TIIIS rizikos įvertinimo ataskaitą, o prireikus – TIIIS rizikos įvertinimo ir rizikos valdymo priemonių planą;
11. TIIIS serverių administratorius atlieka šias funkcijas:
11.3. diegia programinės įrangos atnaujinimus į serverius ir duomenų bazes, pagal poreikį nustato automatinio atnaujinimo procedūras;
11.4. ne rečiau kaip kartą per metus tikrina atsarginių elektroninės informacijos kopijų atitiktį originalams;
11.5. seka pranešimus apie serverių operacinių sistemų ir duomenų bazių valdymo sistemų klaidas ir imasi visų būtinų priemonių galimiems gedimams išvengti;
12. NKT administratorius atlieka šias funkcijas:
12.1. šalina TIIIS naudotojų kompiuterizuotose darbo vietose kylančius ir vietinio kompiuterinio tinklo gedimus. Kai NKT administratorius tokių gedimų pašalinti negali, kreipiasi į garantinę priežiūrą teikiantį subjektą ar inicijuoja reikalingos įrangos ar remonto paslaugų pirkimo procedūras;
12.2. perduodamas TIIIS naudotojo kompiuterį tretiesiems asmenims taisyti, jame esančius naudotojų duomenis perkelia į kitą laikmeną ir sukuria laikiną operacinės sistemos paskyrą su laikinu prisijungimo vardu ir slaptažodžiu;
13. Be Saugos nuostatų 11 ir 12 punktuose nustatytų funkcijų administratoriai atlieka šias funkcijas:
13.2. užtikrina visų prisijungimo vardų, slaptažodžių apsaugą ir imasi reikalingų organizacinių bei techninių priemonių, skirtų naudotojų duomenims, kitiems duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio neteisėto tvarkymo;
13.3. atlieka būtinus techninės ir programinės įrangos priežiūros, diegimo ir atnaujinimo darbus, smulkius techninės įrangos modernizavimo darbus, jei tokią galimybę numatė techninės įrangos gamintojas;
14. Tvarkant TIIIS elektroninę informaciją ir užtikrinant jos saugą, vadovaujamasi:
14.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1);
14.6. Lietuvos standartais LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų elektroninės informacijos tvarkymą;
14.7. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
14.8. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai);
14.9. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
15. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Aprašas), 9.1 ir 9.2 papunkčiais, TIIIS tvarkoma elektroninė informacija priskiriama prie vidutinės svarbos informacijos kategorijos.
16. Vadovaujantis Aprašo 12.3 papunkčiu, TIIIS pagal joje tvarkomos elektroninės informacijos svarbą priskiriama prie trečiosios informacinių sistemų kategorijos.
17. Saugos įgaliotinis, vadovaudamasis Lietuvos Respublikos vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“, Lietuvos ir tarptautinės grupės „Informacijos technologija. Saugumo technika“ standartais, ne rečiau kaip kartą per dvejus metus organizuoja TIIIS rizikos veiksnių įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį TIIIS rizikos veiksnių įvertinimą. TIIIS rizikos veiksnių vertinimas atliekamas kokybiniu rizikos vertinimo metodu.
18. TIIIS rizikos veiksnių įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje. Rizikos analizės ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai. Svarbiausieji rizikos veiksniai yra šie:
18.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
18.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis TIIIS duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);
19. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas TIIIS valdytoja ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.
20. Atsižvelgdamas į rizikos įvertinimo ataskaitą, GIS-Centro direktorius tvirtina rizikos veiksnių valdymo planą, kuriame numatomas techninių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
21. Siekdamas užtikrinti TIIIS nuostatuose ir kituose TIIIS saugos dokumentuose (toliau visi kartu – saugos dokumentai) nustatytų reikalavimų laikymosi kontrolę, saugos įgaliotinis ne rečiau kaip kartą per dvejus metus organizuoja GIS-Centro informacinių technologijų saugos atitikties vertinimą, kurio metu:
21.1. įvertinama realios elektroninės informacijos saugos situacijos GIS-Centre atitiktis saugos dokumentuose nustatytiems reikalavimams;
21.3. tikrinama TIIIS serveriuose, administratorių ir naudotojų kompiuterinėse darbo vietose įdiegta programinė įranga ir jos sąranka;
21.4. peržiūrima TIIIS administratoriams ir naudotojams suteiktų teisių atitiktis jų atliekamoms funkcijoms;
22. Atlikus GIS-Centro informacinių technologijų saugos atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas. Trūkumų šalinimo planas tvirtinamas GIS-Centro direktoriaus įsakymu, paskiriant už trūkumų šalinimą atsakingus vykdytojus ir nustatant terminus trūkumams pašalinti.
23. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:
23.2. elektroninės informacijos saugos priemonės diegimo kainos adekvatumas saugomos elektroninės informacijos vertei;
III SKYRIUS
TIIIS ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
25. Kiekvienas TIIIS naudotojas yra unikaliai identifikuojamas – naudotojas savo tapatybę patvirtina slaptažodžiu ar kita autentifikavimo priemone. Slaptažodis turi būti sudarytas iš ne mažiau kaip 8 simbolių: iš raidžių, skaičių ir specialiųjų simbolių. Slaptažodis turi būti keičiamas kas 60 dienų. Jei naudojamos techninės arba programinės tapatybės nustatymo priemonės, TIIIS naudotojas atsako už šių priemonių saugojimą.
26. Prieiga TIIIS naudotojams suteikiama prie išteklių, būtinų tiesioginėms pareigoms vykdyti. Prieigos prie TIIIS laikas ir trukmė neribojami.
27. Naujam darbuotojui pradėjus dirbti GIS-Centre, jo tiesioginis vadovas raštu arba elektroniniu paštu prašo TIIIS serverių administratorių sukurti naudotojo paskyrą. Nauja naudotojo paskyra sukuriama įregistruojant ją centralizuotoje tinklo infrastuktūros duomenų bazėje ir suteikiant naudotojui prisijungimo vardą ir slaptažodį.
28. Pasibaigus darbo santykiams tarp darbuotojo ir GIS-Centro, darbuotojo tiesioginis vadovas raštu arba elektroniniu paštu informuoja apie tai GIS-Centro Informacinių technologijų skyrių. TIIIS serverių administratorius 30 dienų sustabdo TIIIS naudotojo prieigos teises prie GIS-Centro informacinių technologijų išteklių (kompiuteris, spausdintuvas, vietinis kompiuterių tinklas, elektroninis paštas, internetas, informacinės sistemos ir t. t.), o pasibaigus šiam terminui, TIIIS serverių administratorius naikina visas TIIIS naudotojo prieigos teises.
29. Ne GIS-Centro darbuotojams prieigos suteikimo procedūrą inicijuoja GIS-Centro padalinio, atsakingo už su TIIIS kūrimu, tobulinimu arba joje saugomų duomenų apdorojimu susijusio projekto vykdymą, vadovas. Prieiga nutraukiama iš karto pasibaigus projektui arba ne GIS-Centro darbuotojui nustojus dirbti projekte.
30. Programinė įranga, skirta apsaugoti TIIIS nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.), yra:
31. Apsaugai nuo kenksmingos programinės įrangos bei naudojamos techninės ir programinės įrangos sutrikimų užtikrinti naudojamas nuolatinis TIIIS naudotojų kompiuterių ir serverių operacinių sistemų ir taikomųjų programų atnaujinimas, atliekamas pagal techninės ir programinės įrangos gamintojo rekomendacijas.
32. TIIIS naudotojų kompiuterių apsaugos priemonės valdomos (ugniasienių įjungimas ir konfigūravimas, antivirusinių programų atnaujinimas, operacinių sistemų atnaujinimas) centralizuotai.
33. Operacinės sistemos ir kita TIIIS naudotojų kompiuteriuose naudojama programinė įranga turi būti atnaujintos ne vėliau kaip per savaitę, jei programinės įrangos gamintojas pateikia atnaujinimus.
34. Antivirusinių programų ir ugniasienių duomenų bazės turi būti atnaujinamos ne rečiau kaip kartą per dieną.
37. Siekiant nustatyti, ar TIIIS naudotojai naudoja legalią ir autorizuotą programinę įrangą, ne rečiau kaip kartą per metus atliekamas programinės įrangos auditas, kurį organizuoja saugos įgaliotinis. Audito rezultatai pateikiami GIS-Centro direktoriui.
38. GIS-Centro duomenų perdavimo tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų ugniasienėmis.
39. Konfigūruojant GIS-Centro duomenų perdavimo tinklo ugniasienes, laikomasi šių principų:
39.1. turi būti leidžiami tik būtini veiklai prisijungimai prie GIS-Centro duomenų perdavimo tinklo;
40. Už GIS-Centro duomenų perdavimo tinklo ugniasienių priežiūrą, ugniasienės valdymo sistemos priežiūrą ir tinkamą ugniasienių sąranką yra atsakingas TIIIS serverių administratorius.
42. Atsarginės TIIIS elektroninės informacijos kopijos turi būti laikomos atskiroje patalpoje ir saugomos užrakintoje nedegioje spintoje. Atsarginės TIIIS elektroninės informacijos kopijos turi būti daromos periodiškai TIIIS pagrindinio tvarkytojo nustatyta tvarka. GIS-Centro veiklai ypač svarbios TIIIS elektroninės informacijos kopijos turi būti daromos kiekvieną dieną.
IV SKYRIUS
REIKALAVIMAI TIIIS PERSONALUI
44. Saugos įgaliotinis privalo išmanyti informacinės sistemos administravimą, gerai žinoti elektroninės informacijos saugos principus ir jų užtikrinimo metodus, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, TIIIS saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų informacijos tvarkymą informacinėje sistemoje, ir sugebėti prižiūrėti saugos politikos įgyvendinimą.
45. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą dėl padaryto nusikaltimo elektroninių duomenų ir informacinių sistemų saugumui arba nepasibaigusį laidavimo terminą, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
46. Administratoriai turi:
46.1. turėti TIIIS ir TIIIS elektroninei informacijai tvarkyti naudojamų sisteminių programinių priemonių administravimo patirties;
46.2. išmanyti pagrindinius elektroninės informacijos saugos principus, darbą su duomenų perdavimo tinklais, operacinėmis sistemomis;
47. Saugos įgaliotinis ir administratoriai turi nuolat tobulinti kvalifikaciją elektroninės informacijos saugos, kibernetinio saugumo bei asmens duomenų apsaugos srityse. Saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja administratorių ir TIIIS naudotojų mokymą informacijos saugos, kibernetinio saugumo bei asmens duomenų saugumo klausimais, įvairiais būdais informuoja apie informacijos saugos problemas (pvz., priminimai elektroniniu paštu, teminių seminarų organizavimas, atmintinės ir pan.).
48. TIIIS naudotojai privalo turėti atitinkamą kvalifikaciją (informacinių technologijų naudotojų kvalifikacijos kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL (Europos kompiuterio naudotojo pažymėjimas) naudotojo sertifikatas ar pan.) ir praktinius įgūdžius dirbant su atitinkamomis operacinėmis sistemomis, taikomosiomis programomis.
49. TIIIS naudotojams turi būti nuolat rengiami elektroninės informacijos saugos bei asmens duomenų saugos mokymai, įvairiais būdais primenama apie elektroninės saugos problemas (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.). Saugos mokymai organizuojami ne rečiau kaip kartą per 2 metus. Mokymus organizuoja ir jų efektyvumą vertina saugos įgaliotinis.
V SKYRIUS
TIIIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
50. Už TIIIS naudotojų ir administratorių supažindinimą su saugos dokumentais atsakingas saugos įgaliotinis.
51. TIIIS naudotojai ir administratoriai su saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą.
52. Saugos įgaliotinis elektroniniu paštu ar kitais būdais informuoja TIIIS naudotojus ir administratorius apie saugos dokumentų pakeitimus.
VI SKYRIUS
Baigiamosios nuostatos
54. Saugos nuostatai ir kiti TIIIS saugos dokumentai turi būti peržiūrėti ne rečiau kaip kartą per metus po TIIIS rizikos įvertinimo ir informacinių technologijų saugos atitikties vertinimo, įvykus TIIIS valdytojo esminiams organizaciniams ar kitiems pokyčiams. Prireikus Saugos nuostatai ir kiti TIIIS saugos dokumentai turi būti tikslinami.
55. Saugos įgaliotinis, administratoriai, TIIIS naudotojai privalo saugoti ir neatskleisti TIIIS elektroninės informacijos. Įsipareigojimas saugoti ir neatskleisti TIIIS elektroninės informacijos galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą.