LIETUVOS RESPUBLIKOS APLINKOS MINISTRAS

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS SAUGOMŲ TERITORIJŲ VALSTYBĖS KADASTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2021 m. birželio 14 d. Nr. D1-360

Vilnius

 

Vadovaudamasis Lietuvos Respublikos informacinių išteklių 43 straipsnio 2 dalimi ir  įgyvendindamas Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunktį, 11, 19 ir 26 punktus, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 5.3 papunktį, Lietuvos Respublikos saugomų teritorijų valstybės kadastro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2017 m. rugsėjo 27 d. nutarimu Nr. 766 „Dėl Lietuvos Respublikos saugomų teritorijų valstybės kadastro reorganizavimo ir Lietuvos Respublikos saugomų teritorijų valstybės kadastro nuostatų patvirtinimo“, 47 punktą:

1. T v i r t i n u Lietuvos Respublikos saugomų teritorijų valstybės kadastro duomenų saugos nuostatus (pridedama).

2. P a v e d u Valstybinei saugomų teritorijų tarnybai prie Aplinkos ministerijos:

2.1. paskirti Lietuvos Respublikos saugomų teritorijų valstybės kadastro saugos įgaliotinį;

2.2. per 2 mėnesius nuo šio įsakymo įsigaliojimo dienos parengti ir pateikti Aplinkos ministerijai Lietuvos Respublikos saugomų teritorijų valstybės kadastro saugaus elektroninės informacijos tvarkymo taisyklių, Lietuvos Respublikos saugomų teritorijų valstybės kadastro veiklos tęstinumo valdymo plano ir Lietuvos Respublikos saugomų teritorijų valstybės kadastro naudotojų administravimo taisyklių projektus.

 

 

 

Aplinkos ministras                                                                                        Simonas Gentvilas

 

 

 

 

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2021 m. birželio 9 d. raštu Nr. (4.1E)6K-476

 

 

PATVIRTINTA

Lietuvos Respublikos aplinkos ministro

2021 m. birželio 14 d. įsakymu

Nr. D1-360

 

 

LIETUVOS RESPUBLIKOS SAUGOMŲ TERITORIJŲ valstybės KADASTRO duomenų saugos nuostatai

 

I SKYRIUS

Bendrosios nuostatos

 

1. Lietuvos Respublikos saugomų teritorijų valstybės kadastro (toliau – Kadastras) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Kadastro veiklos elektroninės informacijos saugos (kibernetinio saugumo) valdymą, organizacinius ir techninius reikalavimus, reikalavimus su Kadastru dirbančiam personalui, Kadastro naudotojų supažindinimo su saugos dokumentais principus.

2. Kadastro tvarkytojo ir valdytojo funkcijos nustatytos Saugomų teritorijų valstybės kadastro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2017 m. rugsėjo 27 d. nutarimu Nr. 766 „Dėl Lietuvos Respublikos saugomų teritorijų valstybės kadastro reorganizavimo ir Lietuvos Respublikos saugomų teritorijų valstybės kadastro nuostatų patvirtinimo“ (toliau – Kadastro nuostatai).

3. Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos saugomų teritorijų įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Kadastro nuostatuose, Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir Saugos dokumentų turinio gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ bei 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas).

4. Saugos nuostatuose apibrėžtą Kadastro saugos politiką įgyvendinantys teisės aktai yra šie: aplinkos ministro tvirtinamos Kadastro saugaus elektroninės informacijos tvarkymo taisyklės, Kadastro veiklos tęstinumo valdymo planas ir Kadastro naudotojų administravimo taisyklės (toliau – Saugos dokumentai).

5. Kadastro valdytojas yra Aplinkos ministerija, Kadastro tvarkytojas – Valstybinė saugomų teritorijų tarnyba prie Aplinkos ministerijos. Kadastro elektroninė informacija saugoma Aplinkos ministerijos Duomenų centro tarnybinėse stotyse.

6. Techninės ir programinės įrangos priežiūros ir duomenų, informacijos, dokumentų ir (arba) jų kopijų tvarkymo funkcijos gali būti perduotos Lietuvos Respublikos viešųjų pirkimų įstatyme ar kituose teisės aktuose nustatyta tvarka parinktam (paskirtam) asmeniui ar asmenų grupei vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnio nuostatomis (toliau – Išteklių valdymo įstatymas).

7. Saugos nuostatai yra privalomi Kadastro valdytojui, Kadastro tvarkytojui bei jo: administratoriui, saugos įgaliotiniui ir Tarnybos valstybės tarnautojams arba darbuotojams, dirbantiems pagal darbo sutartis, turintys teisę naudotis Kadastro duomenimis numatytoms funkcijoms atlikti (toliau – vidiniai naudotojai).

8. Kadastro elektroninės informacijos saugumo užtikrinimo tikslai:

8.1. prieigos teisių prie Kadastro duomenų suteikimas ir duomenų naudotojų identifikavimas;

8.2. kompiuterinės technikos apsauga;

8.3. tinklo apsauga;

8.4. naudotojų autentifikavimas;

8.5. administracinės priemonės (duomenų gavėjų ir teikėjų, administratorių, Kadastro naudotojų teisių, įpareigojimų, atsakomybės ribų, detalių Kadastro elektroninės informacijos tvarkymo ir administravimo taisyklių nustatymas);

8.6. sudaryti sąlygas automatiniu būdu saugiai tvarkyti elektroninę informaciją;

8.7. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar neteisėto jos tvarkymo.

9. Kadastro valdytojo funkcijos, susijusios su sauga:

9.1. priima sprendimus dėl techninės įrangos, reikalingos saugos užtikrinimui;

9.2. priima sprendimus dėl tarnybinių stočių ir jose saugomos programinės įrangos saugos;

9.3. priima sprendimus dėl taikomosios programinės įrangos saugos;

9.4. priima sprendimus dėl elektroninės informacijos ir Kadastro geografinės informacinės sistemos saugos.

10. Kadastro tvarkytojo funkcijos, susijusios su sauga:

10.1. prižiūri Saugos dokumentų reikalavimų įgyvendinimą;

10.2. kontroliuoja, kad Kadastras būtų tvarkomas vadovaujantis šiuose Saugos nuostatuose nurodytais teisės aktais;

10.3. atsako už elektroninės informacijos tvarkymo Kadastre teisėtumą ir informacijos saugą;

10.4. atsako už Kadastro saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams;

10.5. paveda saugos įgaliotiniui organizuoti Saugos dokumentų įgyvendinimą;

10.6. skiria tvarkytojo administratorių (toliau administratorius) ir paveda jam užtikrinti saugų Kadastro naudotojų kompiuterizuotų darbo vietų funkcionavimą, administruoti Kadastro duomenų bazę Saugos dokumentų ir kitų teisės aktų nustatyta tvarka.

11. Saugos įgaliotinis, įgyvendindamas Kadastro elektroninės informacijos saugos politiką, atlieka šias funkcijas:

11.1. teikia Valstybinės saugomų teritorijų tarnybos prie Aplinkos ministerijos direktoriui pasiūlymus dėl:

11.1.1. administratoriaus paskyrimo;

11.1.2. saugos reikalavimų atitikties vertinimo atlikimo;

11.2. koordinuoja Kadastro duomenų saugos incidentų tyrimą;

11.3. prižiūri, kaip įgyvendinama Kadastro saugos politika;

11.4. teikia administratoriui privalomus vykdyti nurodymus ir pavedimus;

11.5. užtikrina, kad Kadastro naudotojai laikytųsi Saugos nuostatuose ir Saugos dokumentuose išdėstytų reikalavimų;

11.6. pasirašytinai supažindina administratorių, Kadastro naudotojus su Saugos nuostatais, Saugos dokumentais ir atsakomybe už juose išdėstytų reikalavimų nesilaikymą;

11.7. organizuoja administratoriaus, Kadastro naudotojų kvalifikacijos tobulinimą duomenų saugos klausimais, reguliariai jiems primena saugumo problemas (elektroniniu paštu, interneto svetainėje, atmintinėmis naujiems darbuotojams ir pan.);

11.8. atlieka kitas Saugos dokumentais pavestas ir Saugos nuostatais priskirtas funkcijas.

12. Administratorius atlieka šias funkcijas:

12.1. įvertina Kadastro naudotojų pasirengimą dirbti su informacine sistema ir suteikia jiems teisę naudotis informacinės sistemos galimybėmis paskirtoms funkcijoms atlikti;

12.2. rengia pasiūlymus Kadastro kūrimo, palaikymo, priežiūros ir duomenų saugos klausimais;

12.3. administruoja Kadastrą sudarančius komponentus (kompiuterius, operacines sistemas), nustato pažeidžiamų vietų atitiktį saugos reikalavimams;

12.4. atlieka administratoriaus, Kadastro naudotojų kompiuterinių darbo vietų programinės įrangos priežiūrą, kontrolę ir užtikrina tinkamą veikimą;

12.5. registruoja ir informuoja saugos įgaliotinį apie elektroninės informacijos saugos incidentus bei teikia pasiūlymus.

13. Administratorius atsako už tai, kad tvarkant Kadastrą nebūtų pažeisti Saugos nuostatai ir Saugos dokumentai.

14. Saugų Kadastro duomenų tvarkymą reglamentuoja:

14.1. Bendrasis duomenų apsaugos reglamentas;

14.2. Kibernetinio saugumo įstatymas;

14.3. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas);

14.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

14.5. Valstybės informacinių išteklių valdymo įstatymas;

14.6. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas (toliau – Bendrasis elektroninės informacijos saugos reikalavimų aprašas), patvirtintas  Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

14.7. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

14.8. Saugos dokumentų turinio gairių aprašas (toliau – Saugos dokumentų turinio gairių aprašas), patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

14.9. Informacinių technologijų saugos atitikties vertinimo metodika (toliau – Informacinių technologijų saugos atitikties vertinimo metodika), patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr.  V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

14.10. Lietuvos standartai LST ISO/IEC 27001:2017 ir LST ISO/IEC 27002:2017, kiti Lietuvos ir tarptautiniai grupės „Informacijos technologija. Saugumo metodai“ standartai;

14.11. Kadastro nuostatai;

14.12. Saugos nuostatai;

14.13. kiti teisės aktai, reglamentuojantys Kadastro duomenų tvarkymo teisėtumą bei duomenų saugos valdymą.

 

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

15. Vadovaujantis Saugos dokumentų turinio gairių aprašo 10 punktu, Kadastro tvarkoma elektroninė informacija priskirtina vidutinės svarbos informacijos kategorijai. Atsižvelgiant į Saugos dokumentų turinio gairių 12.3 papunktį, Kadastras pagal jame tvarkomos elektroninės informacijos svarbą yra priskiriamas trečiai  kategorijai.

16. Saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas “, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet (ne vėliau kaip iki spalio 1 d.) organizuoja Kadastro rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį Kadastro rizikos įvertinimą. Kadastro valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį, rašytiniu pavedimu informacinių sistemų rizikos įvertinimą gali atlikti pats saugos įgaliotinis. Kadastro rizikos vertinimas įforminamas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos duomenų saugai. Pagrindiniai rizikos veiksniai yra šie:

16.1. subjektyvūs netyčiniai – veiksniai, atsirandantys dėl darbo organizavimo nesklandumų, vidaus tvarkos taisyklių pažeidimų, Kadastro administravimo, kontrolės ir priežiūros trūkumų, Kadastro naudotojų, Kadastro duomenų gavėjų ir teikėjų kontrolės trūkumo, Kadastro programinės įrangos klaidų, klaidingų Kadastro duomenų įvedimo, Kadastro naudotojų praradimo ir kaitos;

16.2. subjektyvūs tyčiniai – nesankcionuotas prisijungimas prie Kadastro, klaidingų duomenų įvedimas, operacinės sistemos ar jos vartotojo teisių ir taikomosios programinės įrangos pakeitimas, Kadastro naudotojų, Kadastro duomenų gavėjų ir teikėjų teisių viršijimas, bandymas atspėti slaptažodžius ar kitaip apeiti taikomas saugos priemones, piktnaudžiavimas siekiant patogumo (slaptažodžių išsaugojimas kompiuterių atmintyje ir pan.), vidaus tvarkos taisyklių pažeidimas, nesankcionuotas prisijungimas prie vietinio kompiuterių tinklo, Kadastro duomenų atskleidimas nesilaikant Kadastro nuostatų, kenksmingo kodo ir kitos programinės įrangos, galinčios pakenkti Kadastro saugai, naudojimas ar platinimas;

16.3. nenugalima jėga (force majeure).

17. Atsižvelgdamas į rizikos įvertinimo ataskaitą, saugos įgaliotinis prireikus parengia rizikos įvertinimo ir rizikos valdymo priemonių planą, jame nurodo rizikos veiksnius šalinančias priemones, priemonių vykdymo terminus, vykdytojus. Rizikos įvertinimo ir rizikos valdymo priemonių planą tvirtina Kadastro tvarkytojas.

18. Rizikos veiksnių tikimybės ir žalos Kadastro duomenims vertinimo klasifikacija yra tokia:

18.1. nereikšminga rizikos veiksnių tikimybė, žala – 1 balas;

18.2. maža rizikos veiksnių tikimybė, žala – 2 balai;

18.3. vidutinė rizikos veiksnių tikimybė, žala – 3 balai;

18.4. didelė rizikos veiksnių tikimybė, žala – 4 balai;

18.5. labai didelė rizikos veiksnių tikimybė, žala – 5 balai.

19. Siekdamas užtikrinti Saugos nuostatuose ir Saugos dokumentuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, saugos įgaliotinis ne rečiau kaip kartą per dvejus metus (ne vėliau kaip iki spalio 1 d.) organizuoja Kadastro informacinių technologijų saugos reikalavimų atitikties vertinimą (toliau – auditas). Auditas atliekamas vadovaujantis Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo”. Jo metu:

19.1. įvertinama realios informacijos saugos situacijos atitiktis Saugos dokumentams;

19.2. inventorizuojama Kadastro techninė ir programinė įranga;

19.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų administratoriaus, Kadastro naudotojų kompiuterizuotų darbo vietų;

19.4. patikrinama (įvertinama) administratoriui, Kadastro naudotojams suteiktų teisių atitiktis atliekamoms funkcijoms;

19.5. įvertinamas pasirengimas užtikrinti Kadastro veiklos tęstinumą įvykus saugos incidentui;

19.6. analizuojami rizikos veiksniai, galimos jų pašalinimo arba neigiamo poveikio sumažinimo priemonės ir Saugos nuostatuose nustatyta tvarka koreguojama rizikos įvertinimo ataskaita.

20. Atlikus auditą, rengiamas pastebėtų trūkumų šalinimo planas. Jį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Kadastro tvarkytojas.

21. Techninės, programinės ir organizacinės elektroninės informacijos saugos priemonės pasirenkamos taip, kad kuo mažesnėmis išlaidomis būtų užtikrintas Kadastro veiklos tęstinumas ir saugus administratoriaus, Kadastro naudotojų darbas.

22. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijos, informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijos ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikiami Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai, vadovaujantis Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

 

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

23. Aplinkos ministerijos duomenų centre sukauptų duomenų apsaugos techninės ir programinės priemonės:

23.1. patalpų įrengimas ir apsauga: įrengiama atskira tarnybinių stočių patalpa su įėjimo kontrolės sistema, signalizacija, užtikrinama bendra pastato apsauga;

23.2. kompiuterinės technikos apsauga: serveriai dubliuoja svarbiausias funkcijas, taikomos duomenų, saugomų magnetiniuose diskuose, specialiosios apsaugos priemonės (RAID), vykdomas nuotolinis serverių stebėjimas, įrengiamas įžeminimas, nepertraukiamo maitinimo šaltiniai, užtikrinamas serverinės kondicionavimas, sudaromos reikiamos eksploatavimo sąlygos;

23.3. programinės įrangos apsauga;

23.4. vidaus tinklo apsauga;

23.5. pagrindiniai atsarginių kopijų darymo ir atkūrimo reikalavimai:

23.5.1. duomenų saugumui užtikrinti daromos centrinių duomenų bazių atsarginės duomenų kopijos;

23.5.2. atsarginės kopijos daromos magnetinėse laikmenose – magnetinėse juostose;

23.5.3. atsarginės kopijos magnetinėse juostose daromos reguliariai;

23.6. atsarginės metinės kopijos saugomos 5 (penkis) metus.

24. Kadastro tvarkytojo programinės įrangos, skirtos apsaugoti informacinę sistemą nuo kenksmingos programinės įrangos, naudojimo nuostatos ir jos atnaujinimo reikalavimai:

24.1. administratorius Kadastro naudotojų ir administratoriaus kompiuterizuotose darbo vietose įdiegia programinę įrangą, skirtą apsisaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimui skirtos programinės įrangos, nepageidaujamo elektroninio pašto ir pan.). Programinė įranga atnaujinama kiekvieną kartą, gavus pranešimą apie atnaujinimą. Ilgiausias leistinas neatnaujinimo laikas – 5 darbo dienos;

24.2. administratoriaus, Kadastro naudotojų kompiuterizuotose darbo vietose turi būti naudojama tik su tarnybine veikla susijusi programinė įranga. Administratorius periodiškai, ne rečiau kaip kas 4 mėnesius, tikrina, ar nenaudojama nelegali programinė įranga; rasta nelegali programinė įranga turi būti nedelsiant pašalinta;

24.3. administratoriaus, Kadastro naudotojų kompiuterizuotose darbo vietose sukuriamos kompiuterių naudotojų paskyros apsaugomos tam tikro ilgio slaptažodžiais. Slaptažodžių sudarymo reikalavimai yra nustatyti Kadastro naudotojų administravimo taisyklėse.

25. Kadastro tvarkytojo programinės įrangos, įdiegtos kompiuteriuose, naudojimo nuostatos:

25.1. kompiuteriai, naudojami Kadastro duomenims tvarkyti, aprūpinami antivirusinėmis programomis, kurios periodiškai atnaujinamos;

25.2. administratoriaus, Kadastro naudotojų kompiuterizuotose darbo vietose įdiegiama legali ir saugi operacinė sistema (su atnaujinimais) bei programinė įranga;

25.3. tarnybinių stočių ir vidinių Kadastro naudotojų kompiuterių operacinės sistemos, kibernetiniam saugumui užtikrinti naudojamos priemonės ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;

25.4. administratorius reguliariai, ne rečiau kaip kartą per savaitę, turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumo svarbos lygius Kadastro posistemiuose, funkciniu požiūriu savarankiškose sudedamosiose dalyse, vidinių Kadastro naudotojų kompiuteriuose. Apie įvertinimo rezultatus jis informuoja saugos įgaliotinį ir kibernetinio saugumo vadovą;

25.5. programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;

25.6. programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai –administratorius arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai;

25.7. programinė įranga turi būti testuojama naudojant atskirą testavimo aplinką;

25.8. Kadastro programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų, kurių sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org.

26. Kompiuterių tinklo filtravimo įrangos pagrindinės naudojimo nuostatos:

26.1. tinklo ir užkardų konfigūracija peržiūrima ne rečiau kaip kartą per metus. Peržiūrą inicijuoja saugos įgaliotinis, o ją vykdo administratorius;

26.2. kompiuterių tinklas, prie kurio prijungti administratoriaus, Kadastro naudotojų kompiuteriai, nuo viešojo interneto turi būti atskirti tinklo užkarda (angl. Firewall);

26.3. kompiuterių tinklų perimetro apsaugai ir kitai informacijai, susijusiai su elektroninės informacijos nutekinimu, naudojami filtrai.

27. Leistinos nešiojamųjų kompiuterių  naudojimo ribos. Administratorius, Kadastro naudotojai naudoja nešiojamuosius kompiuterius duomenims perduoti kompiuterių tinklais tik darbo vietoje. Nešiojamuosiuose kompiuteriuose esanti informacija turi būti apsaugota operacinės sistemos ir naudotojo vardu bei slaptažodžiu. Nešiojamuosiuose kompiuteriuose negali būti jokios svarbios informacijos, išskyrus Kadastro naudotojo naudojamus darbo dokumentus. Kadastro duomenys iš nešiojamojo kompiuterio pasiekiami tik naudojant Tarnybos vidaus tinklą.

28. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

28.1. duomenys perduodami automatiškai TCP/IP protokolu realiuoju laiku arba asinchroniniu režimu tik pagal Kadastro nuostatuose ir duomenų teikimo ir gavimo sutartyse nustatytas perduodamų duomenų specifikacijas, perdavimo sąlygas ir tvarką;

28.2. už duomenų teikimo ir gavimo sutartyse nurodomų saugos reikalavimų nustatymą ir įgyvendinimo organizavimą atsakingas saugos įgaliotinis;

28.3. duomenims registruoti Kadastro svetainėje naudojamas saugus HTTPS protokolas;

28.4. Kadastro duomenų saugai užtikrinti nustatomi prieinamumo prie duomenų principai ir kontrolės priemonės (vartotojų registravimas, teisių suteikimas, išregistravimas, vartotojų tapatybės nustatymas, specialios tapatybės nustatymo priemonės, elektroninis parašas ir kita);

28.5. prisijungimo prie serverių kontrolei naudojami IP adresai bei vartotojų unikalūs vardai su slaptažodžiais;

28.6. administratoriui, Kadastro naudotojams tiesioginė prieiga prie Kadastro duomenų suteikiama, nustatant naudotojų registracijos vardus ir slaptažodžius;

28.7. Kadastro duomenų gavėjams autorizacija bei autentifikacija jungiantis prie sistemos išorinio portalo vykdoma naudojantis Valstybės informacinių išteklių sąveikumo platforma vartotojų autentifikavimo sistemos paslauga arba naudotojams suteikto naudotojo vardo ir slaptažodžio pagalba;

28.8. pasibaigus valstybės tarnybos (darbo) santykiams, Kadastro naudotojo teisė naudotis Kadastro duomenimis turi būti panaikinta.

29. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

29.1. atsarginių Kadastro duomenų kopijų darymas ir atkūrimas turi būti atliekamas laikantis Lietuvos Respublikos teisės aktų reikalavimų;

29.2. darbuotojams sugadinus, netinkamai pakeitus ar ištrynus Kadastro duomenis, kurių nėra duomenų atsarginėje kopijoje, prarasti duomenys atkuriami iš turimų Kadastro tvarkytojo duomenų šaltinių.

30. Saugiam darbui su duomenimis užtikrinti nustatomos šios techninės, programinės ir fizinės saugos priemonės:

30.1. kompiuterinės darbo vietos prijungiamos prie atskiros elektros energijos tiekimo tinklo atšakos;

30.2. buitiniai prietaisai jungiami prie atskiros elektros energijos tiekimo tinklo atšakos;

30.3. sistemoje turi būti naudojami suderinamos architektūros kompiuteriai;

30.4. techninė įranga turi turėti parametrų gerinimo ir plėtimo galimybę;

30.5. techninė įranga turi turėti funkciją ne mažiau kaip 10 minučių veikti dingus išoriniam elektros energijos tiekimui;

30.6. turi būti numatyta apsauga nuo nesankcionuoto kompiuterių ir programinės įrangos panaudojimo;

30.7. prie techninių priemonių taip pat priskiriamas patalpų įrengimas, atitinkantis saugumo reikalavimus, fizinio priėjimo prie informacinių sistemų įrangos ribojimas, patalpų ir klaviatūros rakinimas, apsauginių spintų įrengimas, kabelių, komunikacinės įrangos specialiosios apsaugos įrengimas.

31. Darbuotojams griežtai draudžiama kopijuoti, keisti, naikinti ar perduoti duomenis asmeniniais tikslais ar kitoms su tiesioginėmis pareigomis nesusijusioms funkcijoms atlikti.

32. Už Kadastro duomenų nutekėjimą / praradimą dėl Kadastro tvarkytojo darbuotojo tyčinių veiksmų / kaltės atvejais atsako pats darbuotojas. Administratoriaus ir saugos įgaliotinio veiksmus, įvykus duomenų nutekėjimui, reglamentuoja Kadastro veiklos tęstinumo valdymo planas.

33. Kadastro svetainės saugos reikalavimai yra išdėstomi Kadastro saugaus elektroninės informacijos tvarkymo taisyklėse.

 

IV SKYRIUS

REIKALAVIMAI PERSONALUI

 

34. Saugos įgaliotinis privalo išmanyti informacinių sistemų administravimą, elektroninės informacijos saugos principus ir saugos užtikrinimo metodus, sugebėti prižiūrėti, kaip įgyvendinama saugos politika. Saugos įgaliotinis savo darbe turi vadovautis Bendrojo elektroninės informacijos saugos reikalavimų aprašo, Informacinių technologijų saugos atitikties vertinimo metodikos reikalavimais, kitais teisės aktais, reglamentuojančiais Kadastro duomenų tvarkymą, standartais ir kitais dokumentais.

35. Administratorius privalo išmanyti informacijos saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su Saugos nuostatais ir Saugos dokumentais, taip pat kitomis vidaus ir darbo saugos taisyklėmis.

36. Saugos įgaliotiniu ir kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą, susijusį su elektroninių duomenų ir informacinių sistemų saugumu, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą, savavališką prisijungimą prie tinklo, galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, žymėjimo, priežiūros ir naudojimo taisyklių pažeidimą, jeigu nuo jos skyrimo praėję mažiau kaip vieneri metai.

37. Kadastro vidiniai naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, mokėti tvarkyti Kadastro duomenis Kadastro nuostatų nustatyta tvarka ir būti pasirašytinai susipažinę su Saugos nuostatais ir Saugos dokumentais.

38. Kadastro naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti saugos įgaliotiniui arba administratoriui.

39. Įvykus elektroninės informacijos saugos incidentui, susidarius nenumatytai situacijai, saugos įgaliotinio, administratoriaus, Kadastro naudotojų veiksmus reglamentuoja Kadastro veiklos tęstinumo valdymo planas.

40. Saugos įgaliotinis kartą per metus inicijuoja administratoriaus, Kadastro naudotojų mokymus kvalifikacijos tobulinimo, duomenų saugos, kibernetinio saugumo klausimais, nuolat jiems primena saugumo problemas (elektroniniu paštu, interneto svetainėje, atmintinėmis naujiems darbuotojams ir pan.) bei informuoja apie kibernetinio saugumo grėsmes.

 

V SKYRIUS

INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

41. Naudoti Kadastro duomenis gali tik asmenys, susipažinę su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant Kadastro duomenis, užtikrinant jų saugą, taip pat su atsakomybe už saugos dokumentų nuostatų pažeidimus, ir sutikę laikytis saugos dokumentuose nustatytų reikalavimų.

42. Saugos nuostatai ir Saugos dokumentai skelbiami Valstybinės saugomų teritorijų tarnybos prie Aplinkos ministerijos interneto svetainėje.

43. Saugos įgaliotinis pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą, supažindina administratorių, Kadastro naudotojus su Saugos nuostatais, Saugos dokumentais ir atsakomybe už juose numatytų reikalavimų nesilaikymą. Pakartotinis supažindinimas vykdomas pasikeitus minėtiems dokumentams ir teisės aktams.

 

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

44. Saugos įgaliotinis organizuoja saugos dokumentų persvarstymą ne rečiau kaip kartą per metus. Saugos dokumentai turi būti persvarstomi atlikus rizikos analizę ar auditą arba Valstybinėje saugomų teritorijų tarnyboje prie Aplinkos ministerijos įvykus esminiams organizaciniams, sisteminiams ar kitokiems pokyčiams.

___________________________