LIETUVOS DARBO BIRŽOS
prie socialinės apsaugos ir darbo ministerijos
DIREKTORIUS

ĮSAKYMAS

DĖL lietuvos darbo biržos PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS DIREKTORIAUS 2010 M. RUGSĖJO 22 D. ĮSAKYMO NR. V-509 „Dėl Lietuvos darbo biržos informacinės sistemos duomenų saugos nuostatų patvirtinimo“ PAKEITIMO

2014 m. rugpjūčio 12 d. Nr. V-485

Vilnius

Vadovaudamasis Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimo Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ 2 punktu:

1. P a k e i č i u Lietuvos darbo biržos informacijos sistemos duomenų saugos nuostatus, patvirtintus Lietuvos darbo biržos prie Socialinės apsaugos ir darbo ministerijos direktoriaus 2010 m. rugsėjo 22 d. įsakymu Nr. V-509 „Dėl Lietuvos darbo biržos informacinės sistemos duomenų saugos nuostatų patvirtinimo“, ir išdėstau juos nauja redakcija (pridedama).

2. Į p a r e i g o j u Informacinių technologijų skyrių per 3 mėnesius nuo šio įsakymo įsigaliojimo dienos parengti, suderinti su Lietuvos Respublikos vidaus reikalų ministerija ir pateikti tvirtinimui Lietuvos darbo biržos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles, Lietuvos darbo biržos informacinės sistemos naudotojų administravimo taisykles ir Lietuvos darbo biržos informacinės sistemos veiklos tęstinumo valdymo planą.

3. P a v e d u šio įsakymo vykdymo kontrolę Lietuvos darbo biržos prie Socialinės apsaugos ir darbo ministerijos direktoriaus pavaduotojui pagal administravimo sritį.

Direktorius Vidas Šlekaitis

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2014-08-08 raštu Nr. 1D-5724 (52)

PATVIRTINTA

Lietuvos darbo biržos prie Socialinės apsaugos ir darbo ministerijos direktoriaus 2010 m. rugsėjo 22 d. įsakymu Nr. V-509

(Lietuvos darbo biržos prie Socialinės apsaugos ir darbo ministerijos direktoriaus 2014 m. rugpjūčio 12 d. įsakymo Nr. V-485 redakcija)

LIETUVOS darbo biržos informacinĖS sistemOS duomenų saugos nuostatai

I. Bendrosios nuostatos

1. Lietuvos darbo biržos informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos darbo biržos informacinės sistemos (toliau – LDB IS) duomenų saugos politiką, nustato organizacines, technines, programines, teisines ir kitas priemones, užtikrinančias saugų LDB IS duomenų tvarkymą.

2. Saugos nuostatuose vartojamos sąvokos:

2.1. LDB IS naudotojas (toliau – naudotojas) – LDB IS valdytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį (toliau abu kartu – darbuotojas), arba LDB IS tvarkytojo darbuotojas, pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją.

2.2. LDB IS administratorius (toliau – administratorius) – LDB IS valdytojo darbuotojas, prižiūrintis LDB IS, užtikrinantis jos veikimą ir elektroninės informacijos saugą, ar kitas asmuo (asmenų grupė), kuriam Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos informacinės sistemos ir (ar) jos infrastuktūros priežiūros funkcijos (toliau – paslaugų teikėjas).

2.3. LDB IS techninis administratorius (toliau – techninis administratorius) – LDB IS valdytojo darbuotojas, prižiūrintis LDB IS infrastruktūrą, užtikrinantis jos veikimą ir elektroninės informacijos saugą.

2.4. LDB IS saugos įgaliotinis (toliau – saugos įgaliotinis) – LDB IS valdytojo paskirtas darbuotojas, koordinuojantis ir prižiūrintis saugos politikos įgyvendinimą LDB IS.

2.5. LDB IS saugos atstovas (toliau – saugos atstovas) – LDB IS tvarkytojo darbuotojas, prižiūrintis saugos politikos įgyvendinimą LDB IS tvarkytojo struktūriniuose padaliniuose.

2.6. LDB IS – teisinių, organizacinių, techninių ir programinių priemonių visuma, skirta Lietuvos darbo biržos prie Socialinės apsaugos ir darbo ministerijos nuostatuose, patvirtintuose Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2006 m. lapkričio 13 d. įsakymu Nr. A1-306 „Dėl Lietuvos darbo biržos prie Socialinės apsaugos ir darbo ministerijos nuostatų patvirtinimo“, nustatytiems Lietuvos darbo biržos prie Socialinės apsaugos ir darbo ministerijos (toliau – Lietuvos darbo birža) uždaviniams ir funkcijoms įgyvendinti, naudojant informacines technologijas.

2.7. LDB IS duomenų saugos politiką įgyvendinantys dokumentai – Lietuvos darbo biržos direktoriaus patvirtinti dokumentai: Saugos nuostatai, LDB IS saugaus elektroninės informacijos tvarkymo taisyklės, LDB IS veiklos tęstinumo valdymo planas, LDB IS naudotojų administravimo taisyklės.

Kitos šiuose Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, (toliau – Saugos reikalavimų aprašas) ir kituose teisės aktuose vartojamas sąvokas.

3. LDB IS duomenų saugos tikslas – užtikrinti LDB IS tvarkomos elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą bei tinkamą LDB IS infrastruktūros veikimą.

4. LDB IS duomenų saugumo užtikrinimo prioritetinės kryptys:

4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų LDB IS duomenų saugai užtikrinti, įgyvendinimas ir kontrolė;

4.2. LDB IS veiklos tęstinumo užtikrinimas;

4.3. LDB IS naudotojų mokymas.

5. LDB IS valdytojas – Lietuvos darbo birža, buveinės adresas Geležinio Vilko g. 3A, LT-03131, Vilnius.

6. LDB IS tvarkytojai – Lietuvos darbo birža ir teritorinės darbo biržos, kurių pavadinimai ir adresai pateikti Saugos nuostatų priede.

7. LDB IS valdytojo funkcijos ir atsakomybė:

7.1. rengia ir tvirtina LDB IS duomenų saugos politiką įgyvendinančius teisės aktus;

7.2. kontroliuoja kaip laikomasi LDB IS duomenų saugos politiką įgyvendinančių dokumentų ir kitų teisės aktų, reglamentuojančių LDB IS duomenų tvarkymo teisėtumą ir saugos valdymą;

7.3. priima sprendimus dėl LDB IS techninių ir programinių priemonių, būtinų LDB IS duomenų saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

7.4. skiria saugos įgaliotinį ir administratorių;

7.5. atsako už LDB IS duomenų tvarkymo ir duomenų teikimo/gavimo teisėtumą ir saugą;

7.6. užtikrina LDB IS duomenų bazių techninę priežiūrą;

7.7. priima sprendimą dėl LDB IS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

7.8. vykdo kitas LDB IS duomenų saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose LDB IS duomenų tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas.

8. LDB IS tvarkytojų funkcijos ir atsakomybė:

8.1. pagal kompetenciją įgyvendina LDB IS duomenų saugos politiką įgyvendinančių dokumentų reikalavimus;

8.2. užtikrina LDB IS valdytojo priimtų įsakymų ir metodinių rekomendacijų tinkamą įgyvendinimą;

8.3. užtikrina, kad LDB IS duomenys būtų apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio neteisėto veiksmo su jais;

8.4. prižiūri, kaip laikomasi LDB IS duomenų saugos reikalavimų;

8.5. skiria saugos atstovą;

8.6. vykdo kitas LDB IS duomenų saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose LDB IS duomenų tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas.

9. Saugos įgaliotinio funkcijos ir atsakomybė:

9.1. rengia LDB IS saugos dokumentų projektus;

9.2. teikia LDB IS valdytojo vadovui pasiūlymus dėl:

9.2.1. administratoriaus paskyrimo ir reikalavimų administratoriui nustatymo;

9.2.2. saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;

9.2.3. informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

9.3. koordinuoja elektroninės informacijos saugos incidentų tyrimą, išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupė;

9.4. kasmet organizuoja kasmetinius ir prireikus neeilinius LDB IS rizikos vertinimus;

9.5. teikia administratoriui ir techniniam administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su LDB IS saugos politikos įgyvendinimu;

9.6. pasirašytinai supažindina LDB IS valdytojo naudotojus, administratorių, techninį administratorių su LDB IS duomenų saugos politiką įgyvendinančiais dokumentais bei atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;

9.7. periodiškai inicijuoja LDB IS naudotojų supažindinimą informacijos saugos klausimais, informuoja juos apie informacijos saugos problematiką, siųsdamas priminimus ir konsultuodamas elektroniniu paštu ar per Lietuvos darbo biržos intraneto svetainę, organizuodamas teminius seminarus ir mokymus, rengdamas ir pateikdamas atmintines naujai priimtiems darbuotojams;

9.8. atsako už LDB IS duomenų saugos politikos įgyvendinimo organizavimą;

9.9. atsako už LDB IS saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams;

9.10. teikia LDB IS tvarkytojams metodinę ir informacinę medžiagą LDB IS saugos klausimais, apibendrina duomenų registravimo, keitimo, išregistravimo ir kitų su duomenimis atliekamų veiksmų praktiką ir teikia bendrą praktiką formuojančias rekomendacijas LDB IS tvarkytojams;

9.11. vykdo kitas LDB IS duomenų saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose LDB IS duomenų tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas.

10. Administratoriaus funkcijos ir atsakomybė:

10.1. atsako už LDB IS funkcionavimą, LDB IS naudotojų registravimą ir prieigos teisių nustatymą;

10.2. vertina LDB IS naudotojų pasirengimą dirbti su LDB IS;

10.3. rengia ir teikia pasiūlymus Informacinių technologijų skyriaus vedėjui LDB IS vystymo, techninio palaikymo, priežiūros ir duomenų saugos klausimais;

10.4. administruoja LDB IS duomenų bazes, kontroliuoja duomenų įvedimo teisingumą, nustato galimas sutrikimų priežastis;

10.5. vykdo saugos įgaliotinio nurodymus, susijusius su saugos politikos įgyvendinimu;

10.6. vykdo kitas LDB IS duomenų saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose LDB IS duomenų tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas ir LDB IS valdytojo pavedimus.

11. Techninio administratoriaus funkcijos ir atsakomybė:

11.1. atsako už LDB IS infrastruktūros (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų ir kitų komunikacijos priemonių) tinkamą funkcionavimą;

11.2. parengia ir diegia saugos priemones bei užtikrina jų atitiktį LDB IS duomenų saugos politiką įgyvendinančių dokumentų reikalavimams;

11.3. registruoja elektroninės informacijos saugos incidentus ir informuoja apie juos saugos įgaliotinį, teikia pasiūlymus Informacinių technologijų skyriaus vedėjui dėl minėtų incidentų pašalinimo;

11.4. atlieka informacinių technologijų saugos atitikties vertinimą;

11.5. informuoja saugos įgaliotinį apie LDB IS duomenų saugos politiką įgyvendinančių dokumentų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias LDB IS duomenų saugos užtikrinimo priemones, teikia jam pasiūlymus dėl LDB IS duomenų saugos gerinimo;

11.6. atlieka LDB IS duomenų saugos politiką įgyvendinančiuose dokumentuose priskirtas funkcijas ir LDB IS valdytojo ir saugos įgaliotinio nurodymus, susijusius su LDB IS duomenų sauga.

12. Saugos atstovo funkcijos ir atsakomybė:

12.1. įgyvendina informacinės saugos reikalavimus LDB IS tvarkytojo struktūriniuose padaliniuose, nurodytuose Saugos nuostatų priede;

12.2. pasirašytinai supažindina LDB IS tvarkytojo naudotojus su LDB IS duomenų saugos politiką įgyvendinančiais dokumentais bei atsakomybe už juose nurodytų reikalavimų nesilaikymą;

12.3. informuoja saugos įgaliotinį apie saugos dokumentų pažeidimus, nusikalstamos veikos požymius.

13. Saugos atstovas LDB IS saugos klausimais yra atskaitingas saugos įgaliotiniui;

14. LDB IS duomenys tvarkomi ir jų sauga užtikrinama vadovaujantis:

14.1. Valstybės informacinių išteklių valdymo įstatymu;

14.2. Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

14.3. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – IS klasifikavimo gairių aprašas);

14.4. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

14.5. Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“;

14.6. Lietuvos standartais LST ISO/IEC 27001:2006, LST ISO/IEC 27002:2009, taip pat kitais Lietuvos ir tarptautiniais grupės „Informacijos technologija. Saugumo metodai“ standartais;

14.7. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

14.8. kitais teisės aktais, kuriais reglamentuojamas elektroninės informacijos tvarkymo teisėtumas, LDB IS valdytojo ir tvarkytojo veikla ir elektroninės informacijos saugos valdymas.

15. Saugos nuostatai privalomi visiems LDB IS naudotojams, saugos įgaliotiniui, saugos atstovui, LDB IS administratoriui, LDB IS techniniam administratoriui.

II. Elektroninės informacijos saugos valdymas

16. Pagal IS klasifikavimo gairių aprašo 4.2 papunktį, LDB IS tvarkoma elektroninė informacija priskiriama svarbios elektroninės informacijos kategorijai, nes:

16.1. LDB IS saugoma šioms institucijoms svarbi informacija:

16.1.1. Lietuvos Respublikos socialinės apsaugos ir darbo ministerijai;

16.1.2. Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos;

16.1.3. Valstybinėms ligonių kasoms prie Sveikatos apsaugos ministerijos;

16.1.4. Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos finansų ministerijos;

16.1.5. Lietuvos statistikos departamentui;

16.1.6. Valstybiniam studijų fondui;

16.1.7. Finansinių nusikaltimų tyrimo tarnybai prie Vidaus reikalų ministerijos;

16.1.8. Kalėjimų departamentui prie Lietuvos Respublikos teisingumo ministerijos;

16.1.9. Muitinės kriminalinei tarnybai;

16.1.10. Policijos departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos;

16.1.11. Lietuvos Respublikos generalinei prokuratūrai;

16.1.12. Vadovybės apsaugos departamentui prie Vidaus reikalų ministerijos;

16.1.13. Valstybės sienos apsaugos tarnybai prie Lietuvos Respublikos vidaus reikalų ministerijos;

16.1.14. kitoms institucijoms bei įstaigoms, su kuriomis pasirašytos duomenų teikimo sutartys.

16.2. LDB IS saugoma informacija sudaro svarbius valstybės informacinius išteklius;

16.3. LDB IS saugomos informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti sunkių padarinių Saugos nuostatų 16.1 papunktyje nurodytų institucijų veiklai;

16.4. dėl LDB IS saugomos elektroninės informacijos saugumo pažeidimo gali kilti grėsmė įvykti procesams, kurie:

16.4.1. gali turėti neigiamų padarinių gyventojų sveikatos apsaugai;

16.4.2. gali sutrikdyti kelių institucijų veiklą ar viešųjų paslaugų teikimą daugiau kaip vienai dienai;

16.4.3. kelioms institucijoms gali sukelti finansinius nuostolius, didesnius nei 1 000 000 litų, bet ne didesnius nei 5 000 000 litų;

16.4.4. gali sukelti kitų sunkių padarinių kelioms institucijoms ar jų reguliavimo sričiai priskirtai ūkio šakai.

17. Pagal IS klasifikavimo gairių aprašo 5 punktą, LDB IS pagal apdorojamos informacijos svarbos kategoriją priskiriama antrai kategorijai, nes:

17.1. LDB IS yra valstybės informacinė sistema;

17.2. LDB IS tvarkoma svarbi elektroninė informacija.

18. LDB IS tvarkoma informacija automatiškai skirstoma į grupes ir viešinama LDB IS programinėmis priemonėmis. LDB IS naudotojai, IS administratoriai, techniniai administratoriai, saugos įgaliotinis, saugos atstovai neturi teisės viešai skelbti LDB IS tvarkomos informacijos ir duomenų, jei tai nenumatyta teisės aktuose.

19. LDB IS valdytojo vadovo įsakymu sudaryta darbo grupė, vadovaudamasi Lietuvos Respublikos vidaus reikalų ministerijos išleistu metodiniu leidiniu „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, kasmet atlieka LDB IS rizikos vertinimą, o prireikus ir neeilinį šios rizikos vertinimą.

20. LDB IS rizikos įvertinimas įforminamas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. LDB IS rizikos įvertinimo ataskaita pateikiama LDB IS valdytojo vadovui.

21. Svarbiausieji rizikos veiksniai yra šie:

21.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų suvedimas ir teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

21.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis LDB IS duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

21.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

22. Atsižvelgdamas į rizikos įvertinimo ataskaitą, LDB IS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

23. Saugos įgaliotinis ne rečiau kaip vieną kartą per metus organizuoja informacinių technologijų saugos atitikties vertinimą, kurio metu:

23.1. įvertinama LDB IS duomenų saugos politiką įgyvendinančių dokumentų ir realios informacijos saugos situacijos atitiktis;

23.2. inventorizuojama LDB IS techninė ir programinė įranga;

23.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų LDB IS naudotojų kompiuterinių darbo vietų, visose tarnybinėse stotyse įdiegtos programos ir jų sąranga;

23.4. įvertinama LDB IS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

23.5. įvertinamas pasirengimas užtikrinti LDB IS veiklos tęstinumą įvykus saugos incidentui.

24. Atlikęs informacinių technologijų saugos atitikties vertinimą, techninis administratorius rengia ir teikia LDB IS valdytojo vadovui vertinimo ataskaitą.

25. Atsižvelgdamas į informacinių technologijų saugos atitikties vertinimo ataskaitą, saugos įgaliotinis prireikus rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato LDB IS valdytojo vadovas.

26. Patvirtintų LDB IS duomenų saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas LDB IS valdytojas ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

27. Techninės, programinės ir organizacinės LDB IS elektroninės informacijos saugos priemonės pasirenkamos atsižvelgiant į Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ nustatytus reikalavimus antram automatiniu būdu tvarkomų asmens duomenų saugumo lygiui ir į LDB IS valdytojo turimus resursus, vadovaujantis šiais priemonių parinkimo principais:

27.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

27.2. informacijos saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

27.3. kur galima, turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

III. Organizaciniai ir techniniai reikalavimai

28. LDB IS tarnybinės stotys ir kompiuterizuotos darbo vietos, skirtos tvarkyti LDB IS duomenis, turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai) jose įdiegtomis antivirusinės programinės įrangos priemonėmis.

29. Antivirusinės programinės įrangos priemonės tarnybinėms stotims ir visoms kompiuterizuotoms darbo vietoms yra atnaujinamos automatiniu būdu ne rečiau kaip kartą per parą, antivirusinės programinės įrangos priemonių valdymas yra centralizuotas.

30. LDB IS tarnybinėse stotyse ir kompiuterizuotose darbo vietose gali būti naudojama tik legali programinė įranga.

31. LDB IS tarnybinėse stotyse gali veikti tik su LDB IS duomenų tvarkymu, LDB IS naudotojų ir pačios įrangos administravimu susijusi programinė įranga.

32. LDB IS naudotojų kompiuterinės darbo vietos ir LDB IS tarnybinės stotys negali būti naudojamos kitoms, su LDB IS naudotojų funkcijomis nesusijusioms, funkcijoms vykdyti.

33. LDB IS naudotojų kompiuteriuose ir tarnybinėse stotyse negali būti naudojama programinė įranga, nesusijusi su LDB IS naudotojų funkcijų vykdymu (žaidimai, bylų siuntimo, internetinių pokalbių programos, srautinio duomenų perdavimo paslaugos internete ir kt.).

34. LDB IS naudotojams draudžiama patiems diegti bet kokią programinę įrangą. Programinę įrangą, reikalingą LDB IS naudotojo funkcijoms vykdyti, diegia ir prižiūri techninis administratorius arba paslaugų teikėjas.

35. LDB IS duomenų perdavimo tinklai atskirti nuo viešųjų elektroninių ryšių tinklų ugniasiene.

36. Duomenų perdavimo tinklo ugniasienėje sukurti srauto filtrai, leidžiantys nustatyti ir sustabdyti galimus tyčinius arba netyčinius LDB IS duomenų perdavimo tinklo trikdžius.

37. LDB IS duomenų tinklų apsaugai naudojama įsilaužimų prevencijos sistema – tinklo saugumo prietaisas, įrengiamas LDB IS duomenų tinklų prieigose ir skirtas aptikti tinklų ir (arba) sistemų kenksmingą veiklą, fiksuoti informaciją apie šią veiklą, bandyti blokuoti / sustabdyti šią veiklą ir apie tai pranešti techniniam administratoriui.

38. LDB IS tarnybinės stotys turi veikti specialiai tam pritaikytose patalpose.

39. LDB IS naudotojų kompiuteriai, išskyrus nešiojamuosius kompiuterius, turi būti naudojami jų darbo vietose.

40. LDB IS tarnybinės stotys prie interneto jungiamos per užkardas (angl. Firewall), kurios prie LDB IS tarnybinių stočių leidžia prisijungti tik iš registruotų IP adresų. Už užkardų administravimą, saugos priemonių diegimą ir techninį palaikymą atsakingas techninis administratorius arba paslaugų teikėjas.

41. Nešiojamuose kompiuteriuose esanti informacija turi būti apsaugota operacinės sistemos ir vartotojo vardu bei slaptažodžiu. Nešiojamuose kompiuteriuose negali būti jokios svarbios informacijos, išskyrus LDB IS naudotojo darbo dokumentus.

42. Teisę diegti ir valdyti programinę įrangą nešiojamuose kompiuteriuose turi tik techninis administratorius.

43. Metodai, kuriais gali būti užtikrinamas saugus LDB IS duomenų teikimas ir (ar) gavimas:

43.1. LDB IS duomenys perduodami automatiniu būdu, koduotu kanalu TCP/IP protokolu, prieiga prie duomenų ribojama pagal IP adresą;

43.2. LDB IS duomenys perduodami realiu laiku arba asinchroniniu režimu pagal LDB IS duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka;

43.3. LDB IS duomenys automatiniu būdu teikiami XML formatu.

44. Už duomenų teikimo ir gavimo sutartyse nurodomų saugos reikalavimų nustatymą, suformulavimą ir įgyvendinimo organizavimą atsakingas administratorius.

45. Už elektroninės informacijos atsarginių kopijų darymą, jų saugojimą ir atstatymą yra atsakingas techninis administratorius arba paslaugų teikėjas.

46. Elektroninės informacijos atsarginės kopijos yra daromos kartą per parą automatizuotai ir saugomos paskutinių 14 dienų atsarginės kopijos.

47. Turi būti daroma atsarginių kopijų kokybės patikra, kartą per pusmetį išbandant atstatymą iš duomenų kopijos į testinę aplinką.

IV. REIKALAVIMAI PERSONALUI

48. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis LDB IS duomenų saugos politiką įgyvendinančiais dokumentais, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais duomenų tvarkymą, standartais bei kitais dokumentais ir būti susipažinęs su esminiais LDB IS duomenų saugos reikalavimais, turėti atitinkamą kvalifikaciją įgyvendinti saugos politiką, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirtį.

49. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.

50. Administratorius privalo išmanyti informacijos saugos principus, mokėti užtikrinti jų saugą, administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su LDB IS duomenų saugos politiką įgyvendinančiais dokumentais, darbo saugos taisyklėmis.

51. Techninis administratorius privalo sugebėti užtikrinti LDB IS techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų diagnostiką ir šalinimą, išmanyti elektroninės informacijos saugos užtikrinimo principus ir turi būti susipažinęs su LDB IS duomenų saugos politiką įgyvendinančiais dokumentais.

52. LDB IS naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, mokėti tvarkyti duomenis LDB IS nuostatų nustatyta tvarka ir būti susipažinę su LDB IS duomenų saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, įgyvendinančiais duomenų saugos politiką.

53. LDB IS naudotojų mokymai elektroninės informacijos saugos temomis vykdomi pagal poreikį, bet ne rečiau kaip kartą per trejus metus.

54. Saugos įgaliotinis atsakingas už elektroninės informacijos saugos mokymų organizavimą.

V. LDB IS naudotojų supažindinimo su saugos dokumentais principai

55. Tvarkyti LDB IS elektroninę informaciją gali tik LDB IS naudotojai, susipažinę su Saugos nuostatais.

56. Saugos įgaliotinis pasirašytinai supažindina LDB IS valdytojo LDB IS naudotojus su LDB IS duomenų saugos politiką įgyvendinančiais dokumentais.

57. LDB IS tvarkytojų LDB IS naudotojus su LDB IS duomenų saugos politiką įgyvendinančiais dokumentais pasirašytinai supažindina LDB IS tvarkytojo paskirtas saugos atstovas.

58. Saugos įgaliotinis elektroniniu paštu informuoja naudotojus apie LDB IS duomenų saugos politiką įgyvendinančių dokumentų pakeitimus.

59. Naudotojų supažindinimas su LDB IS duomenų saugos politiką įgyvendinančiais dokumentais ar jų pakeitimais turi būti vykdomas šiais atvejais:

59.1. prieš suteikiant naudotojams prieigą prie LDB IS;

59.2. pakeitus LDB IS duomenų saugos politiką įgyvendinančius dokumentus;

59.3. periodiškai mokymų elektroninės informacijos saugos temomis metu, bet ne rečiau kaip kartą per trejus metus.

VI. BAIGIAMOSIOS NUOSTATOS

60. LDB IS naudotojai, administratoriai, techniniai administratoriai, saugos įgaliotinis, saugos atstovai pažeidę LDB IS duomenų saugos politiką įgyvendinančių dokumentų reikalavimus, atsako teisės aktų nustatyta tvarka.

________________________

Lietuvos darbo biržos informacinės sistemos duomenų saugos nuostatų

priedas

LDB IS DUOMENŲ TVARKYTOJŲ IR JŲ STRUKTŪRINIŲ PADALINIŲ SĄRAŠAS

Eil. Nr.	PAVADINIMAS	ADRESAS
1.	LIETUVOS DARBO BIRŽA PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS	Geležinio Vilko g. 3A, LT-03131, Vilnius
2.	ALYTAUS TERITORINĖ DARBO BIRŽA	Vilniaus g. 21, LT-62112 Alytus
2.1.	Alytaus skyrius	Vilniaus g. 21, LT-62112 Alytus
2.2.	Druskininkų skyrius	Vilniaus al. 30, LT-66119 Druskininkai
2.3.	Lazdijų skyrius	Kauno g. 6A, LT-67128 Lazdijai
2.4.	Varėnos skyrius	Dzūkų g. 16, LT-65173 Varėna
3.	KAUNO TERITORINĖ DARBO BIRŽA	E. Ožeškienės g. 37, LT-44254 Kaunas
3.1.	Kauno miesto skyrius	E. Ožeškienės g. 37, LT-44254 Kaunas
3.2.	Kauno rajono skyrius	E. Ožeškienės g. 37, LT-44254 Kaunas
3.3.	Jonavos skyrius	Chemikų g. 138A, LT-55218, Jonava
3.4.	Kaišiadorių skyrius	Girelės g. 45A, LT-56159 Kaišiadorys
3.5.	Kėdainių skyrius	J. Basanavičiaus g. 18, LT-57180, Kėdainiai
3.6.	Prienų skyrius	Kauno g. 1A, LT-59147 Prienai
3.7.	Raseinių skyrius	Tiesos g. 9, LT-60170 Raseiniai
4.	KLAIPĖDOS TERITORINĖ DARBO BIRŽA	Naikupės g. 27A, LT-93202 Klaipėda
4.1.	Klaipėdos skyrius	Naikupės g. 27A, LT-93202 Klaipėda
4.2.	Gargždų skyrius	Žemaitės g. 64A, LT-96125 Gargždai
4.3.	Palangos skyrius	Vytauto g. 87, LT-00134 Palanga
4.4.	Kretingos skyrius	V. Nagevičiaus g. 8, LT-97109 Kretinga
4.5.	Skuodo skyrius	Gedimino g. 2, LT-98116 Skuodas
4.6.	Šilutės skyrius	S. Dariaus ir S. Girėno g. 10, LT-99132 Šilutė
5.	MARIJAMPOLĖS TERITORINĖ DARBO BIRŽA	Valaičio g. 2, LT-68176 Marijampolė
5.1.	Marijampolės skyrius	Valaičio g. 2, LT-68176 Marijampolė
5.2.	Šakių skyrius	Gimnazijos g. 7, LT-71115 Šakiai
5.3.	Vilkaviškio skyrius	S. Daukanto g. 17A, LT-70124 Vilkaviškis
6.	PANEVĖŽIO TERITORINĖ DARBO BIRŽA	Savanorių a. 13, LT-35201 Panevėžys
6.1.	Panevėžio skyrius	Savanorių a. 13, LT-35201 Panevėžys
6.2.	Biržų skyrius	J. Basanavičiaus g. 4B, LT-41138 Biržai
6.3.	Kupiškio skyrius	Vytauto g. 6A, LT-40115 Kupiškis
6.4.	Pasvalio skyrius	Taikos g. 18A, LT-39143, Pasvalys
6.5.	Rokiškio skyrius	Respublikos g. 113, LT-42150 Rokiškis
7.	ŠIAULIŲ TERITORINĖ DARBO BIRŽA	Trakų g 39, LT-76351 Šiauliai
7.1.	Šiaulių skyrius	Tilžės g. 152, LT-76351 Šiauliai
7.2.	Akmenės skyrius	Taikos g. 1, LT-85122 Naujoji Akmenė
7.3.	Joniškio skyrius	Livonijos g. 19A, LT-84124 Joniškis
7.4.	Kelmės skyrius	Žemaitės g. 24, LT-86159 Kelmė
7.5.	Pakruojo skyrius	Vytauto Didžiojo g. 94, LT-83162 Pakruojis
7.6.	Radviliškio skyrius	A. Povyliaus g. 2, LT-82001 Radviliškis
8.	TAURAGĖS TERITORINĖ DARBO BIRŽA	Stoties g. 9, LT-72253 Tauragė
8.1.	Jurbarko skyrius	Dariaus ir Girėno g. 81A, LT-4185 Jurbarkas
8.2.	Šilalės skyrius	Dariaus ir Girėno g. 6, LT-75135 Šilalė
8.3.	Tauragės skyrius	Stoties g. 9, LT-72253 Tauragė
9.	TELŠIŲ TERITORINĖ DARBO BIRŽA	S. Daukanto g. 64, LT-87104 Telšiai
9.1.	Mažeikių skyrius	Ventos g. 27, LT-89112 Mažeikiai
9.2.	Plungės skyrius	A. Jucio g. 9, LT-90123 Plungė
9.3.	Telšių skyrius	S. Daukanto g. 64, LT-87104 Telšiai
10.	UTENOS TERITORINĖ DARBO BIRŽA	Lauko g. 19A, LT-28203 Utena
10.1.	Anykščių skyrius	Kęstučio g. 17, LT-29130 Anykščiai
10.2.	Ignalinos skyrius	Atgimimo g. 24, LT-30113 Ignalina
10.3.	Visagino skyrius	Tarybų g. 25, LT-31202 Visaginas
10.4.	Molėtų skyrius	Dariaus ir Girėno g. 4, LT-33102 Molėtai
10.5.	Utenos skyrius	J. Basanavičiaus g. 90, LT-28212 Utena
10.6.	Zarasų skyrius	Sėlių g. 14, LT-32109 Zarasai
11.	VILNIAUS TERITORINĖ DARBO BIRŽA	S.Žukausko g. 15, J.Kubiliaus g. 2, LT- 08232 Vilnius
11.1.	Vilniaus miesto skyrius	J. Kubiliaus g. 2, LT-08232 Vilnius
11.2.	Vilniaus rajono skyrius	Aguonų g. 10, LT-03213 Vilnius
11.3.	Šalčininkų skyrius	Architekto g. 4, LT-17116 Šalčininkai
11.4.	Širvintų skyrius	Plento g. 41, LT-19125 Širvintos
11.5.	Švenčionių skyrius	Vilniaus g. 22, LT-18123 Švenčionys
11.6.	Trakų skyrius	V. Kudirkos g. 12A, LT-21105 Trakai
11.7.	Ukmergės skyrius	Vytauto g. 75, LT-20122 Ukmergė

___________________