I SKYRIUS
BENDROSIOS NUOSTATOS
1. Kraujo donorų registro duomenų saugos nuostatai (toliau – saugos nuostatai) reglamentuoja Kraujo donorų registro (toliau – Registras) elektroninės informacijos saugos ir kibernetinio saugumo politiką (toliau – saugos politika).
2. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), vartojamas sąvokas.
3. Registro elektroninės informacijos saugumo ir kibernetinio saugumo (toliau – elektroninės informacijos sauga) tikslas – užtikrinti Registro elektroninės informacijos konfidencialumą, prieinamumą ir vientisumą ir sudaryti sąlygas saugiai automatiniu būdu tvarkyti Registro elektroninę informaciją.
4. Elektroninės informacijos saugos politika įgyvendinama pagal sveikatos apsaugos ministro tvirtinamus Registro saugos nuostatus ir saugos politiką įgyvendinančius dokumentus: Registro saugaus elektroninės informacijos tvarkymo taisykles, Registro naudotojų administravimo taisykles, Registro veiklos tęstinumo valdymo planą (toliau visi kartu – saugos dokumentai).
5. Registro elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
5.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų Registro elektroninei informacijai tvarkyti ir duomenų saugai užtikrinti, įgyvendinimas ir kontrolė;
5.2. Registre tvarkomų asmens duomenų apsauga;
5.3. Registro veikos tęstinumo užtikrinimas;
5.4. prieigos prie Registro elektroninės informacijos kontrolė;
5.5. Registro elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo lygio užtikrinimas.
6. Saugos nuostatų reikalavimai taikomi:
6.1. Registro valdytojai – Lietuvos Respublikos sveikatos apsaugos ministerijai, Vilniaus g. 33, LT-01506 Vilnius;
6.2. Registro tvarkytojams:
6.2.1. pagrindiniam Registro tvarkytojui – Higienos institutui, Studentų g. 45A, LT- 08107 Vilnius;
6.2.2. kitiems Registro tvarkytojams – kraujo donorystės įstaigoms, licencijuotoms vykdyti kraujo donorystės veiklą (toliau – KDĮ).
6.3. Registro saugos įgaliotiniui;
6.4. Registro administratoriui;
6.5. Registro naudotojams;
6.6. paslaugų, susijusių su Registro veikimu, teikėjams;
6.7. Registro duomenų valdymo įgaliotiniui;
6.8. asmeniui, atsakingam už kibernetinio saugumo organizavimą ir užtikrinimą Higienos institute tvarkomuose registruose ir informacinėse sistemose (toliau – kibernetinio saugumo vadovas).
7. Už elektroninės informacijos saugą pagal kompetenciją atsako Registro valdytojas ir tvarkytojai.
8. Registro valdytojo funkcijos:
8.1. pagal kompetenciją atsako už saugos politikos formavimą, jos įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą;
8.2. kontroliuoja, kaip laikomasi Registro saugos dokumentuose ir kituose elektroninės informacijos saugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų;
8.3. tvirtina su Lietuvos Respublikos krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką, suderintus Registro saugos dokumentus ir kitus teisės aktus, kuriuose reglamentuojamas Registro elektroninės informacijos tvarkymo teisėtumas ir sauga;
8.4. priima sprendimus dėl techninių ir programinių priemonių, būtinų elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
8.5. analizuoja Registro tvarkytojų pasiūlymus dėl Registro elektroninės informacijos saugos priemonių tobulinimo ir priima sprendimus dėl jų finansavimo;
8.6. paveda pagrindiniam Registro tvarkytojui paskirti Registro saugos įgaliotinį, Registro administratorių, Registro duomenų valdymo įgaliotinį ir kibernetinio saugumo vadovą;
8.7. atlieka kitas teisės aktuose, reglamentuojančiuose valstybės registrų ir informacinių sistemų saugą, nustatytas funkcijas.
9. Pagrindinio Registro tvarkytojo funkcijos:
9.1. pagal kompetenciją atsako už Registro duomenų tvarkymo teisėtumą ir saugų Registro duomenų perdavimą kompiuterių tinklais (automatiniu būdu);
9.2. įgyvendina tinkamas organizacines ir technines priemones, skirtas elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;
9.3. teikia pasiūlymus Registro valdytojui dėl Registro elektroninės informacijos saugos tobulinimo, Registro saugos dokumentų, kitų teisės aktų, kuriuose reglamentuojamas Registro elektroninės informacijos tvarkymo teisėtumas ir sauga, priėmimo, keitimo arba panaikinimo, taip pat rengia šių dokumentų projektus;
9.4. užtikrina, kad Registro naudotojai, turintys teisę naudotis Registro elektronine informacija, laikytųsi reikalavimų, nustatytų Registro saugos dokumentuose;
9.5. atlieka Registro duomenų bazės techninę priežiūrą ir užtikrina nepertraukiamą Registro veikimą;
9.6. užtikrina saugią Registro sąveiką su kitomis informacinėmis sistemomis ir registrais;
9.7. teikia pasiūlymus Registro valdytojui dėl Registro techninių ir programinių priemonių, būtinų Registro elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo, organizuoja jų įdiegimą ir modernizavimą;
9.8. Registro valdytojo vadovo pavedimu skiria kibernetinio saugumo vadovą, Registro duomenų valdymo įgaliotinį, Registro saugos įgaliotinį ir Registro administratorių;
9.9. atlieka kitas Registro valdytojo pavestas ir Registro nuostatų, Registro saugos dokumentų bei kitų elektroninės informacijos saugos politiką įgyvendinančių teisės aktų jam priskirtas funkcijas.
10. Kitų Registro tvarkytojų funkcijos ir atsakomybė:
10.1. užtikrina Registro naudotojų laikymąsi Registro saugos dokumentuose nurodytų reikalavimų bei darbo vietose naudojamų administracinių, techninių ir programinių priemonių, užtikrinančių elektroninės informacijos saugą, diegimo koordinavimą ir priežiūrą;
10.2. paskiria asmenį, atsakingą už Registro duomenų tvarkymą, organizacinių ir techninių saugos reikalavimų laikymąsi ir bendradarbiavimą su pagrindiniu Registro tvarkytoju (toliau – Registro tvarkytojo įgaliotas asmuo);
10.3. atlieka kitas Registro valdytojo pavestas ir Registro nuostatų bei Registro saugos dokumentų priskirtas funkcijas.
11. Registro saugos įgaliotinio funkcijos ir atsakomybė:
11.1. koordinuoja ir prižiūri Registro elektroninės informacijos saugos politikos įgyvendinimą;
11.2. organizuoja Registro informacinių technologijų saugos atitikties vertinimą ir parengia saugos atitikties vertinimo ataskaitą;
11.3. organizuoja Registro rizikos įvertinimą ir parengia rizikos įvertinimo ataskaitą;
11.4. teikia pasiūlymus Registro valdytojui dėl Registro saugos dokumentų priėmimo, arba keitimo;
11.5. koordinuoja Registre įvykusių elektroninės informacijos saugos incidentų tyrimą;
11.6. teikia Registro administratoriui ir Registro naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos politikos įgyvendinimu;
11.7. turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus kitų Registro tvarkytojų darbuotojams, jeigu tai būtina saugos politikai įgyvendinti;
11.8. supažindina Registro administratorių ir Registro naudotojus su Registro saugos dokumentų reikalavimais ir atsakomybe už reikalavimų nesilaikymą, organizuoja Registro naudotojų mokymą elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;
11.9. atlieka kitas pagrindinio Registro tvarkytojo vadovo pavestas funkcijas.
12. Registro administratoriaus funkcijos ir atsakomybė:
12.1. atsako už Registro techninės ir programinės įrangos funkcionavimą;
12.2. diegia ir prižiūri programinę įrangą, reikalingą pagrindinio Registro tvarkytojo funkcijoms vykdyti;
12.3. suteikia teisę Registro naudotojams naudotis elektronine informacija, reikalinga jų funkcijoms atlikti;
12.4. užtikrina Registro komponentų (tarnybinių stočių, operacinių sistemų, taikomųjų programų, duomenų bazės valdymo sistemų, ugniasienių, įsilaužimo aptikimo sistemų ir kt.) tinkamą veikimą ir priežiūrą, pagal kompetenciją nustato pažeidžiamas Registro vietas;
12.5. dalyvauja vykdant saugumo reikalavimų įgyvendinimo stebėseną;
12.6. pagal kompetenciją teikia pagrindinio Registro tvarkytojo vadovui pasiūlymus dėl Registro palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;
12.7. informuoja Registro saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia pasiūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;
12.8. atsako už Registro duomenų bazės atsarginių kopijų darymą;
12.9. atlieka kitas pagrindinio Registro tvarkytojo vadovo, Registro saugos įgaliotinio pavestas ir Registro saugos dokumentų jam priskirtas funkcijas.
13. Kibernetinio saugumo vadovas atlieka šias funkcijas:
13.1. koordinuoja kibernetinių incidentų tyrimą, bendradarbiauja su kompetentingomis institucijomis, tiriančiomis kibernetinius incidentus;
13.2. atlieka kitas Registro saugos dokumentuose nurodytas ir kituose teisės aktuose, reglamentuojančiuose kibernetinį saugumą, jam priskirtas funkcijas.
14. Registro duomenų valdymo įgaliotinio funkcijos:
14.1. atlieka funkcijas, nustatytas Valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 2 dalyje, ir kitas Registro saugos dokumentuose, kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, nustatytas ir jam priskirtas funkcijas;
14.2. prireikus pagal kompetenciją teikia pasiūlymus Registro saugos įgaliotiniui dėl saugos nuostatų 45 ir 46 punktuose nurodytų mokymų organizavimo Registro naudotojams elektroninės informacijos saugos ir kibernetinio saugumo klausimais.
15. Registro naudotojo funkcijos:
15.1. Registro saugos dokumentų nustatyta tvarka pagal kompetenciją tvarko Registro elektroninę informaciją, reikalingą jo funkcijoms atlikti;
15.2. pagal kompetenciją prireikus teikia pasiūlymus Registro saugos įgaliotiniui dėl saugos nuostatų 45 ir 46 punktuose nurodytų mokymų organizavimo Registro naudotojams elektroninės informacijos saugos ir kibernetinio saugumo klausimais;
15.3 atlieka kitas Registro saugos dokumentuose, kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, nustatytas ir jam priskirtas funkcijas.
16. Teisės aktai, kuriais vadovaujamasi tvarkant Registro elektroninę informaciją ir užtikrinant jos saugumą:
16.1. Valstybės informacinių išteklių valdymo įstatymas;
16.2. Kibernetinio saugumo įstatymas;
16.3. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;
16.4. Kibernetinio saugumo reikalavimų aprašas;
16.5. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas ir Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinti Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Saugos atitikties vertinimo metodika);
16.6. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
16.7. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas);
16.8. Registro nuostatai;
16.9. kiti teisės aktai, reglamentuojantys elektroninės informacijos saugumo politiką, jos tvarkymo teisėtumą ir saugos valdymą valstybės institucijose.
II skyrius
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
17. Vadovaujantis Klasifikavimo gairių aprašo reikalavimais:
17.1. Registre tvarkoma elektroninė informacija pagal svarbą priskiriama vidutinės svarbos informacijos kategorijai;
17.2. pagal Registre tvarkomos elektroninės informacijos svarbą Registras priskiriamas trečios kategorijos informacinėms sistemoms.
18. Registro saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos (toliau – Kibernetinio saugumo centras) interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja Registro rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį Registro rizikos įvertinimą.
19. Registro rizikos vertinimo metu įvertinami rizikos veiksniai, galintys turėti įtakos Registro elektroninės informacijos saugai, jų galima žala, pasireiškimo tikimybė, rizikos laipsnis ir galimi rizikos valdymo būdai. Kartu su Registro rizikos vertinimu gali būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos Registro kibernetiniam saugumui, vertinimas. Svarbiausieji rizikos veiksniai nurodyti Bendrųjų elektroninės informacijos saugos reikalavimų apraše.
20. Registro rizikos veiksniams vertinti naudojama penkiabalė rizikos vertinimo sistema, pagal kurią, nustačius rizikos veiksnių tikimybę ir poveikį, apskaičiuojamas rizikos laipsnis:
20.1. nereikšminga rizikos veiksnių tikimybė, žala – 1 balas;
20.2. maža rizikos veiksnių tikimybė, žala – 2 balai;
20.3. vidutinė rizikos veiksnių tikimybė, žala – 3 balai;
20.4. didelė rizikos veiksnių tikimybė, žala – 4 balai;
20.5. labai didelė rizikos veiksnių tikimybė, žala – 5 balai.
21. Registro rizikos įvertinimo rezultatai pateikiami rizikos įvertinimo ataskaitoje, kurią tvirtina pagrindinio Registro tvarkytojo vadovas. Prireikus tvirtinamas rizikos įvertinimo ir rizikos valdymo priemonių planas, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
22. Patvirtintos rizikos įvertinimo ataskaitos ir rizikos valdymo priemonių plano, jei toks buvo parengtas, kopijas pagrindinis Registro tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS).
23. Elektroninės informacijos saugos priemonių parinkimo principai:
23.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;
23.2. saugos priemonės diegimo kaina turi būti adekvati saugomos elektroninės informacijos vertei;
23.3. kur galima, turi būti įdiegiamos prevencinės elektroninės informacijos saugos priemonės;
23.4. parenkamos tokios saugos priemonės, kad būtų užtikrintas Registro veiklos tęstinumas ir saugus Registro darbas, patiriant kuo mažiau išlaidų.
24. Siekiant įvertinti saugos dokumentuose išdėstytų reikalavimų įgyvendinimo kontrolę, vadovaujantis Saugos atitikties vertinimo metodika kartą per metus organizuojamas Registro informacinių technologijų saugos atitikties vertinimas naudojantis ARSIS.
25. Atlikus Registro informacinių technologijų saugos atitikties vertinimą, rengiama Registro informacinių technologijų saugos atitikties vertinimo ataskaita, prireikus – pastebėtų trūkumų šalinimo planas, kuriuos tvirtina pagrindinis Registro tvarkytojas.
26. Informacinių technologijų saugos atitikties vertinimo ataskaitos kopiją, pastebėtų trūkumų šalinimo plano kopiją pagrindinis Registro tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo turi pateikti ARSIS.
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
27. Programinės įrangos, skirtos Registrą apsaugoti nuo kenksmingosios programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir atnaujinimo reikalavimai:
27.1. Registro tarnybinėse stotyse ir Registro tvarkytojų kompiuterizuotose darbo vietose turi būti naudojamos kenksmingosios programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingąją programinę įrangą ir atsinaujinančios automatiniu būdu;
27.2. programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu;
27.3. elektroninės informacijos apsaugai naudojama programinė įranga turi turėti apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti kenkimo programų apsaugas.
28. Programinės įrangos, įdiegtos tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:
28.1. naudojama tik legali, Registro funkcijoms vykdyti būtina programinė įranga;
28.2. programinė įranga atnaujinama laikantis gamintojo reikalavimų;
28.3. programinės įrangos diegimą, šalinimą ir konfigūravimą atlieka tik Registro administratorius arba Registro tvarkytojo įgaliotas asmuo;
28.4. turi būti įdiegta galimybė fiksuoti ir kaupti informaciją apie asmenų, kurie naudojosi prieiga prie Registro elektroninės informacijos, atliktus veiksmus.
29. Registro programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.
30. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:
30.1. Registro elektroninės informacijos perdavimo tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis, DoS (angl. Denial of Service) ir DDoS (angl. Distributed Denial of Service) atakų prevencijai skirta įranga bei įsilaužimų aptikimo ir prevencijos įranga;
30.2. visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingosios programinės įrangos;
30.3. pagrindinė Registro duomenų pateikimo prieiga yra duomenų perdavimas šifruotu virtualaus privataus tinklo (VPN) duomenų perdavimo kanalu arba panaudojant saugų HTTPS (angl. Hypertext Transfer Protocol Secure) duomenų perdavimo protokolą.
31. Leistinos kompiuterių naudojimo ribos:
31.1. stacionarieji ir nešiojamieji Registro naudotojų kompiuteriai turi būti naudojami tik tiesioginėms pareigoms atlikti. Iš perduodamų remontuoti ar techninei priežiūrai atlikti kompiuterių turi būti pašalinti visi Registro duomenys ir Registro informacija;
31.2. nešiojamieji kompiuteriai Registro duomenims registruoti, kaupti ir naudoti gali būti naudojami tik KDĮ mobiliuosiuose punktuose, jais gali dirbti tik įgalioti asmenys;
31.3. nešiojamuosiuose kompiuteriuose turi būti naudojamas įjungimo slaptažodis, jie turi būti atskirti nuo viešojo interneto tinklo užkarda;
31.4. Registro naudotojai privalo naudotis visomis saugumo priemonėmis apsaugodami kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo, nenaudojami nešiojamieji kompiuteriai turi būti saugomi saugioje vietoje.
32. Metodai, kuriais užtikrinamas saugus Registro elektroninės informacijos teikimas ir (ar) gavimas:
32.1. perduodama Registro elektroninė informacija yra šifruojama naudojant saugų SSL (angl. Secure Sockets Layer) protokolą;
32.2. Registro elektroninė informacija perduodama automatiniu būdu naudojant TCP/IP (angl. Transmission Control Protocol / Internet Protocol), HTTPS (angl. Hypertext Transfer Protocol Secure) protokolus realiuoju laiku; iš susijusių registrų elektroninė informacija gaunama tik pagal duomenų teikimo sutartyse nustatytas sąlygas ir tvarką;
32.3. prieiga prie Registro elektroninės informacijos leidžiama tik per registracijos slaptažodžių sistemą. Prieigos prie Registro elektroninės informacijos valdymas apibrėžtas Registro naudotojų administravimo taisyklėse;
32.4. prieigos prie Registro elektroninės informacijos teises gali suteikti tik Registro administratorius. Registro naudotojams suteikiamos tik jų funkcijoms atlikti būtinos teisės.
33. Pagrindinio Registro tvarkytojo naudotojų kompiuterizuotos darbo vietos turi būti valdomos naudojant centralizuoto valdymo priemones (pvz., katalogų tarnybą „Active direktory“).
34. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
34.1. atsarginės elektroninės informacijos kopijos (toliau – kopijos) turi būti daromos automatiniu būdu ne rečiau kaip kas 24 valandas;
34.2. kopijos turi būti saugomos kitoje patalpoje nei yra Registro tarnybinės stotys;
34.3. elektroninė informacija kopijose turi būti šifruojama;
34.4. kopijas turi teisę tvarkyti Registro administratorius arba techninės bei programinės įrangos priežiūros paslaugų teikėjai.
35. Turi būti užtikrintas saugos incidentų, įvykusių Registre, registravimas, valdymas ir tyrimas Kibernetinių saugumo reikalavimų aprašo ir Registro veiklos tęstinumo valdymo plano nustatyta tvarka:
35.1. registruojami Registre įvykę saugos incidentai ir nedelsiant į juos reaguojama, techninėmis ir programinėmis priemonėmis pagal kompetenciją saugos incidentai valdomi, tiriami ir šalinami bei atkuriama Registro veikla;
35.2. Kibernetinio saugumo centrui ir kitoms atsakingoms institucijoms pagal kompetenciją pranešama apie įvykusius saugos incidentus, jų vertinimą ir suvaldymą.
36. Perkant paslaugas, darbus ar įrangą, susijusius su Registru, jo projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, elektroninės informacijos perdavimo tinklais, taip pat kitus, suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, pirkimo dokumentuose turi būti nustatyta, kad asmuo, atliekantis Registro techninės ir programinės įrangos priežiūros ir duomenų, informacijos ir dokumentų ir (arba) jų kopijų tvarkymo funkcijas, negali turėti neišnykusio ar nepanaikinto teistumo už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat negali turėti paskirtos administracinės nuobaudos už Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 20 punkte nurodytus atvejus, jeigu nuo jos paskyrimo yra praėję mažiau kaip vieni metai, taip pat privalo laikytis Registro saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį nustatytiems Kibernetinio saugumo reikalavimų aprašo reikalavimams.
37. Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant šią sutartį, išskyrus tiek, kiek būtina sutarčiai vykdyti.
IV skyrius
REIKALAVIMAI PERSONALUI
38. Registro saugos įgaliotinis turi išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.
39. Kibernetinio saugumo vadovas turi išmanyti kibernetinio saugumo užtikrinimo principus, tobulinti kvalifikaciją kibernetinio saugumo srityje ir savo darbe vadovautis Registro saugos dokumentais, Kibernetinio saugumo reikalavimų aprašu, Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais, reglamentuojančiais kibernetinį saugumą.
40. Registro saugos įgaliotiniu ir kibernetinio saugumo vadovu negali būti skiriami asmenys, turintys neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 20 punkte nurodytus atvejus, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai. Registro saugos įgaliotinis ir kibernetinio saugumo vadovas, pažeidęs saugos nuostatų ar kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.
41. Registro administratorius privalo išmanyti darbą su duomenų perdavimo tinklais, gebėti administruoti ir prižiūrėti Registro duomenų bazę.
42. Registro naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti Registro duomenis Registro nuostatų nustatyta tvarka, būti susipažinę su Registro saugos dokumentais.
43. Registro naudotojai ir paslaugų, susijusių su Registru, teikėjai turi raštu pasirašytinai įsipareigoti saugoti asmens duomenų paslaptį. Įsipareigojimas saugoti asmens duomenų paslaptį galioja ir pasibaigus darbo santykiams, per visą asmens duomenų teisinės apsaugos laiką.
44. Registro naudotojai, pastebėję saugos reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones Registre, privalo nedelsdami pranešti apie tai Registro administratoriui ar Registro saugos įgaliotiniui.
45. Kibernetinio saugumo vadovas arba Registro saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja Registro naudotojų mokymą elektroninės informacijos saugos ir kibernetinio saugumo klausimais, prireikus įvairiais būdais – pranešimais elektroniniu paštu, naujų darbuotojų instruktavimu, atmintinių rengimu, teminių seminarų organizavimu ir kitais informavimo būdais – primena apie saugumo problemas.
46. Registro naudotojų mokymai elektroninės informacijos saugos ir kibernetinio saugumo klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), Registro naudotojų, Registro duomenų valdymo įgaliotinio ir Registro administratoriaus poreikius.
V SKYRIUS
REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU
SAUGOS DOKUMENTAIS PRINCIPAI
47. Tvarkyti Registro duomenis ir gauti informaciją gali tik Registro naudotojai, susipažinę su Registro saugos dokumentais ir raštu pasirašę pasižadėjimus saugoti asmens duomenų paslaptį. Pasikeitus Registro saugos dokumentams, Registro naudotojai su jais supažindinami pakartotinai.
48. Už Registro naudotojų supažindinimą su Registro saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą atsakingi Registro saugos įgaliotinis bei kitų Registro tvarkytojų vadovų paskirti atsakingi asmenys.
49. Registro naudotojai, pažeidę Registro saugos dokumentų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.
______________________
