LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO

ĮSAKYMAS

 

DĖL VALSTYBĖS JONIZUOJANČIOSIOS SPINDULIUOTĖS ŠALTINIŲ IR DARBUOTOJŲ APŠVITOS REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2009 m. birželio 23 d. Nr. V-509

Vilnius

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 6.1, 8 ir 15 punktais, valstybės jonizuojančiosios spinduliuotės šaltinių ir darbuotojų apšvitos registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 1999 m. gegužės 25 d. nutarimu Nr. 651 (Žin., 1999, Nr. 47-1483; 2007, Nr. 55-2140), 52 punktu ir atsižvelgdamas į Saugos dokumentų turinio gaires, patvirtintas Lietuvos Respublikos Vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070):

1. Tvirtinu valstybės jonizuojančiosios spinduliuotės šaltinių ir darbuotojų apšvitos registro duomenų saugos nuostatus (pridedama).

2. Pavedu Radiacinės saugos centro direktoriui Albinui Mastauskui:

2.1. paskirti valstybės jonizuojančiosios spinduliuotės šaltinių ir darbuotojų apšvitos registro saugos įgaliotinį ir administratorių;

2.2. iki 2009 m. lapkričio 30 d. parengti:

2.2.1. Valstybės jonizuojančiosios spinduliuotės šaltinių ir darbuotojų apšvitos registro saugaus elektroninės informacijos tvarkymo taisyklių projektą;

2.2.2. Valstybės jonizuojančiosios spinduliuotės šaltinių ir darbuotojų apšvitos registro veiklos tęstinumo valdymo plano projektą;

2.2.3. Valstybės jonizuojančiosios spinduliuotės šaltinių ir darbuotojų apšvitos registro naudotojų administravimo taisyklių projektą.

 

 

SVEIKATOS APSAUGOS MINISTRAS                                                 ALGIS ČAPLIKAS

 

_________________

PATVIRTINTA

Lietuvos Respublikos sveikatos

apsaugos ministro 2009 m. birželio 23 d.

įsakymu Nr. V-509

 

VALSTYBĖS JONIZUOJANČIOSIOS SPINDULIUOTĖS ŠALTINIŲ IR DARBUOTOJŲ APŠVITOS REGISTRO DUOMENŲ SAUGOS NUOSTATAI

 

I. BENDROSIOS NUOSTATOS

 

1. Valstybės jonizuojančiosios spinduliuotės šaltinių ir darbuotojų apšvitos registro duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotu būdu tvarkyti valstybės jonizuojančiosios spinduliuotės šaltinių ir darbuotojų apšvitos registro (toliau – Registras) duomenis.

2. Saugos nuostatai reglamentuoja elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui, dirbančiam su Registru, Registro naudotojų supažindinimo su saugos dokumentais principus.

3. Saugos nuostatuose vartojamos sąvokos:

administratorius – Registro tvarkymo įstaigos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, atliekantis informacinių technologijų taikomųjų sistemų, duomenų bazių, tarnybinių stočių, tinklo ir kitos kompiuterinės įrangos priežiūrą;

elektroninė informacija – visa informacija, kuri tvarkoma Registro priemonėmis. Tai programos, elektroninės bylos ir kita informacija, kuri saugoma, perduodama ir sukuriama kompiuteriu;

elektroninės informacijos saugos incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie Registro galimybę, sutrikdyti ar pakeisti Registro veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas neleistinai elektroninę informaciją pasisavinti, paskleisti ar kitaip panaudoti;

informacijos tvarkymas – visos su informacija atliekamos operacijos: rinkimas, užrašymas, klasifikavimas, grupavimas, kaupimas, saugojimas, keitimas, kopijavimas, sujungimas, atskleidimas, teikimas, naudojimas, naikinimas;

kompiuterinė įranga – kompiuteriai, tarnybinės stotys, jų dalys, išoriniai įrenginiai (monitoriai, skeneriai, spausdintuvai bei kopijavimo aparatai, klaviatūros, pelės, garso kolonėlės, ausinės, filmavimo kameros, fotoaparatai, projektoriai ir pan.), kompiuterinio tinklo įranga, kompiuterinės bei tinklinės įrangos montavimo spintos, nepertraukiamo elektros maitinimo šaltiniai ir pan.;

kompiuterių tinklas – tarnybinė stotis ir darbo vietų kompiuteriai, kompiuterine įranga (kabeliais ir kompiuterių tinklo aparatūra) sujungti į sistemą, siekiant užtikrinti vartotojams operatyvų pasikeitimą informacija, kolektyvinį kompiuterinės ir programinės įrangos naudojimą bei interneto paslaugas;

programinė įranga – programos, skirtos kompiuterinės įrangos valdymui bei vartotojo uždavinių sprendimui kompiuteriu (operacinės sistemos, programavimo sistemos, biuro programų paketai, antivirusinės, archyvavimo bei kitos taikomosios programos);

Registro naudotojas – Registro tvarkymo įstaigos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, taip pat kitas asmuo, turintis teisę naudotis Registro ištekliais numatytoms funkcijoms atlikti;

saugos įgaliotinis – Registro tvarkymo įstaigos valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, įgyvendinantis elektroninės informacijos saugą Registre.

Kitos Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos įstatymuose ir kituose teisės aktuose bei Lietuvos ir tarptautiniuose „Informacijos technologija. Saugumo metodai“ grupės standartuose, apibūdinančiuose saugų informacinės sistemos duomenų tvarkymą.

4. Saugos nuostatai apibrėžia Registro saugos politiką, kurią įgyvendina Registro saugaus elektroninės informacijos tvarkymo taisyklės, Registro veiklos tęstinumo valdymo planas ir Registro naudotojų administravimo taisyklės (toliau – saugos politiką įgyvendinantys dokumentai). Saugos nuostatai kartu su saugos politiką įgyvendinančiais dokumentais sudaro saugos dokumentus.

5. Registro duomenų saugos tikslai:

5.1. informacijos patikimumo, vientisumo, konfidencialumo, prieinamumo ir saugumo užtikrinimas;

5.2. kompiuterizuotų darbo vietų reikiamo saugumo lygio įdiegimas ir palaikymas;

5.3. nuolatinis vietinio kompiuterių tinklo funkcionavimo užtikrinimas bei saugumo stebėsena;

5.4. tinkamo kompiuterinės, programinės ir komunikacinės įrangos funkcionavimo užtikrinimas;

5.5. saugaus darbo internete užtikrinimas;

5.6. kompiuterinio ryšio priimant ir perduodant informaciją elektroniniu paštu patikimumo ir saugumo užtikrinimas.

6. Informacijos saugumo užtikrinimo prioritetinės kryptys:

6.1. fizinė informacijos apdorojimo priemonių (patalpos, tarnybinės stotys, informacijos perdavimo įranga, programinė įranga) apsauga;

6.2. organizacinių saugaus darbo su informacija priemonių įgyvendinimas ir kontrolė.

7. Registro valdytoja ir vadovaujančioji Registro tvarkymo įstaiga – Lietuvos Respublikos sveikatos apsaugos ministerija (adresas: Vilniaus g. 33, LT-01506 Vilnius).

8. Lietuvos Respublikos sveikatos apsaugos ministerijos kaip Registro valdytojos funkcijos ir atsakomybė:

8.1. organizuoja Registro veiklą ir jai vadovauja;

8.2. tvirtina saugos dokumentus;

8.3. prižiūri saugos dokumentų reikalavimų įgyvendinimą;

8.4. kontroliuoja, kad Registras būtų tvarkomas vadovaujantis Lietuvos Respublikos įstatymais ir kitais teisės aktais;

8.5. užtikrina efektyvų ir spartų Registro funkcijų pokyčių (toliau – pokyčiai) valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas, įtakos vertinimą ir pokyčių prioritetų nustatymo procesus. Su tuo susijusios nuostatos numatomos Lietuvos Respublikos sveikatos apsaugos ministro tvirtinamose Registro saugaus elektroninės informacijos tvarkymo taisyklėse;

8.6. atsako už informacijos tvarkymo Registre teisėtumą ir informacijos saugą.

9. Registro tvarkymo įstaiga ir Registre tvarkomų asmens duomenų tvarkytojas yra Radiacinės saugos centras (adresas: Kalvarijų g. 153, LT-08221 Vilnius).

10. Radiacinės saugos centro kaip Registro tvarkymo įstaigos funkcijos ir atsakomybė:

10.1. Lietuvos Respublikos sveikatos apsaugos ministerijai pavedus, skiria saugos įgaliotinį ir paveda jam organizuoti ir kontroliuoti saugos dokumentų įgyvendinimą Radiacinės saugos centre;

10.2. skiria administratorių ir paveda jam užtikrinti Registro tarnybinės stoties ir Registro naudotojų kompiuterizuotų darbo vietų saugų funkcionavimą, administruoti Registro duomenų bazę saugos dokumentų ir kitų teisės aktų nustatyta tvarka;

10.3. atlieka duomenų bazių techninę priežiūrą ir užtikrina nepertraukiamą Registro veikimą;

10.4. atsako už Registro duomenų saugą.

11. Saugos įgaliotinis, įgyvendindamas Registro elektroninės informacijos saugą, atlieka šias funkcijas:

11.1. teikia Radiacinės saugos centro direktoriui pasiūlymus dėl:

11.1.1. administratoriaus paskyrimo;

11.1.2. saugos dokumentų priėmimo, keitimo ar panaikinimo;

11.1.3. Registro informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

11.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Registre, tyrimą;

11.3. teikia administratoriui privalomus vykdyti nurodymus ir pavedimus.

12. Administratorius atlieka funkcijas, susijusias su Registro naudotojų teisių priskyrimu, Registrą sudarančiais komponentais (kompiuteriais, operacine sistema, duomenų bazės valdymo sistema, taikomųjų programų sistemomis, ugniasiene, įsilaužimų aptikimo sistemomis, duomenų perdavimo tinklais), šių Registrą sudarančių komponentų sąranka, Registro pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu.

13. Atlikdamas Registro funkcijų pakeitimus, administratorius turi laikytis Registro valdytojo patvirtintos Registro pokyčių valdymo tvarkos.

14. Administratorius turi teisę patikrinti (peržiūrėti) Registro sąranką ir Registro būsenos rodiklius.

15. Registro duomenys tvarkomi ir Registro duomenų sauga užtikrinama, vadovaujantis:

15.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804);

15.2. Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488);

15.3. Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891);

15.4. Valstybės jonizuojančiosios spinduliuotės šaltinių ir darbuotojų apšvitos registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 1999 m. gegužės 25 d. nutarimu Nr. 651 (Žin., 1999, Nr. 47-1483; 2007, Nr. 55-2140);

15.5. Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos Vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070);

15.6. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos Vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160);

15.7. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos Vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);

15.8. Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos duomenų tvarkymą, ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, sistemos tvarkytojo veiklą bei duomenų saugos valdymą.

 

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

16. Vadovaujantis valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos Vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247, 3.2.6 punktu, Registras priskiriamas antrajai informacinių sistemų kategorijai.

17. Saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja Registro rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį Registro rizikos įvertinimą. Saugos įgaliotinį paskyrusio Radiacinės saugos centro direktoriaus rašytiniu pavedimu Registro rizikos įvertinimą gali atlikti pats saugos įgaliotinis.

18. Registro rizikos įvertinimas išdėstomas Registro rizikos įvertinimo ataskaitoje. Registro rizikos įvertinimo ataskaita rengiama atsižvelgiant į Registro rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausieji rizikos veiksniai, kurie gali pažeisti Registro duomenų ir parengtos pagal juos informacijos saugą, yra:

18.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kt.);

18.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Registro duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kt.);

18.3. nenugalima jėga (force majeure).

19. Atsižvelgdamas į rizikos įvertinimo ataskaitą, Lietuvos Respublikos sveikatos apsaugos ministras prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis Registro rizikos valdymo priemonėms įgyvendinti.

20. Siekiant užtikrinti saugos dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, teisės aktų nustatyta tvarka kasmet iki gruodžio 1 d. atliekamas Registro informacinių technologijų saugos reikalavimų atitikties vertinimas, kurio metu:

20.1. įvertinama realios informacijos saugos situacijos atitiktis saugos dokumentams;

20.2. inventorizuojama Registro techninė ir programinė įranga;

20.3. tikrinama ne mažiau kaip 10 proc. atsitiktinai parinktų Registro naudotojų kompiuterizuotų darbo vietų, Registro tarnybinėse stotyse įdiegtos programos ir jų sąranka;

20.4. patikrinama (įvertinama) Registro naudotojams suteiktų teisių atitiktis jų vykdomoms funkcijoms;

20.5. įvertinamas pasirengimas užtikrinti Registro veiklos tęstinumą įvykus elektroninės informacijos saugos incidentui.

21. Atlikus Registro informacinių technologijų saugos reikalavimų atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus Lietuvos Respublikos sveikatos apsaugos ministras.

22. Kompiuterinė įranga ir duomenų perdavimo tinklo mazgai turi turėti rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne mažiau kaip 30 min.

23. Registro elektroninės informacijos saugos priemonės parenkamos vadovaujantis konfidencialumo, vientisumo ir prieinamumo principais.

 

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

24. Prieigos prie Registro užtikrinimo metodai ir priemonės:

24.1. teisė dirbti su konkrečia elektronine informacija suteikiama konkrečiam Registro naudotojui arba Registro naudotojų grupei;

24.2. pasibaigus valstybės tarnybos (darbo) santykiams, Registro naudotojo teisė naudotis Registru turi būti panaikinta. Registro naudotojui teisė dirbti su konkrečia elektronine informacija turi būti ribojama ar sustabdoma, kai vyksta Registro naudotojo veiklos tyrimas;

24.3. Registro naudotojas turi imtis priemonių, kad su Registro duomenimis negalėtų susipažinti pašaliniai asmenys.

25. Reikalavimai naudojamai programinei įrangai, skirtai apsaugoti Registrą nuo kenkimo programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.):

25.1. kenkimo programų paieškos technologijos (scan engine) turi būti ne senesnės nei 3 mėnesių. Minėtos technologijos atnaujinamos nuolat automatiniu būdu, atnaujinimai privalo būti įdiegti per 7 paras;

25.2. kenkimo programų aprašų bazė (virus database) turi būti ne senesnė nei 1 mėnesio. Minėta aprašų bazė atnaujinama nuolat automatiniu būdu, atnaujinimai privalo būti įdiegti per 7 paras;

25.3. privalo nuolat ieškoti ir blokuoti kenkimo programas, veikiančias sisteminiuose kataloguose esančiose rinkmenose (įskaitant suspaustas rinkmenas);

25.4. privalo ieškoti ir blokuoti kenkimo programas visuose kompiuterių tinklo kompiuteriuose ir tarnybinėse stotyse esančiose rinkmenose (įskaitant suspaustas bei įkrovos rinkmenas);

25.5. turi turėti apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų (tamper protection);

25.6. turi turėti metodus ir technologijas kompiuterio darbo metu ieškoti neatpažintų kenkimo programų ir jas blokuoti (bloodhound protection).

26. Programinės įrangos, ribojančios programinės įrangos, nesusijusios su Registro veikla ar Registro naudotojų funkcijomis, naudojimo reikalavimai:

26.1. Registro naudotojams leidžiama naudoti tik legalią programinę įrangą;

26.2. periodiškai, ne rečiau kaip kartą per 3 mėnesius, turi būti tikrinama, ar nenaudojama nelegali programinė įranga; rasta nelegali programinė įranga turi būti nedelsiant pašalinta;

26.3. Registro objektų duomenims saugiai rinkti, apdoroti, kaupti, saugoti, naikinti ir teikti Radiacinės saugos centre turi būti naudojamos šios programinės ir techninės įrangos naudojimą ribojančios pagrindinės priemonės:

26.3.1. Registro naudotojų prieiga prie Registro duomenų leidžiama tik per registravimosi ir slaptažodžių sistemą. Registro naudotojas privalo pasikeisti slaptažodį pirmo prisijungimo metu ir ne rečiau kaip kartą per 3 mėnesius. Administratorius savo tapatybę turi patvirtinti slaptažodžiu, kuriam keliami aukštesni reikalavimai negu Registro naudotojų slaptažodžiams;

26.3.2. Registro naudotojų prieigos valdymas apibrėžtas Registro naudotojų administravimo taisyklėse;

26.3.3. Registro naudotojas, baigęs darbą, turi imtis priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungti nuo Registro, įjungti ekrano užsklandą su slaptažodžiu, dokumentus padėti į pašaliniams asmenims neprieinamą vietą;

26.3.4. naudojama Registro administravimo programinės įrangos ugniasienė;

26.3.5. įdiegta galimybė nustatyti asmenis, kurie naudojosi prieiga prie Registro duomenų, fiksuoti jų atliktus veiksmus ir juos kaupti;

26.3.6. įdiegta galimybė visas užklausas į Registro duomenų bazę fiksuoti programiniu būdu.

27. Nešiojamuosiuose kompiuteriuose esanti informacija apsaugota operacinės sistemos ir vartotojo vardu bei slaptažodžiu. Nešiojamuosiuose kompiuteriuose negali būti jokios svarbios informacijos, išskyrus naudotojo naudojamus darbo dokumentus. Registro duomenys iš nešiojamojo kompiuterio pasiekiami tik naudojant Radiacinės saugos centro vidaus tinklą. Nešiojamieji kompiuteriai negali būti naudojami Registrui tvarkyti ne Radiacinės saugos centro patalpose.

28. Viešaisiais telekomunikaciniais tinklais perduodamos elektroninės informacijos konfidencialumas užtikrinamas naudojant virtualų privatų tinklą arba šifravimą.

29. Registro duomenų gavimo automatiniu būdu iš kitų informacinių sistemų tvarka nustatyta duomenų teikimo sutartyse.

30. Registro fizinę saugą Radiacinės saugos centre užtikrina šios saugos priemonės: signalizacija, įėjimo kontrolės sistema, apsauginės žaliuzės, stebėjimas vaizdo kamera ir kt.

31. Registrui administruoti naudojamas tarnybinių stočių operacines sistemas, techninę ir programinę įrangą, reikalingą Registro naudotojo funkcijoms vykdyti, diegia ir prižiūri tik administratorius.

32. Registro programinės įrangos diegimą ar atnaujinimą turi atlikti tik administratorius ar įgalioti asmenys.

33. Registro programinės įrangos testavimas turi būti atliekamas naudojant atskirą tam skirtą testavimo aplinką.

34. Registro duomenų atsarginių kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarka, kopijuojamų duomenų imtis, atsarginių duomenų kopijų darymo būdai ir dažnumas bei asmens, atsakingo už atsarginių duomenų kopijų darymą, duomenų atkūrimą ir atsarginių duomenų apsaugą, funkcijos, teisės ir pareigos bei atsarginių duomenų kopijų saugojimo tvarka nustatyta Registro saugaus elektroninės informacijos tvarkymo taisyklėse.

 

IV. REIKALAVIMAI PERSONALUI

 

35. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos Vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais.

36. Administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.

37. Registro naudotojai privalo turėti pagrindinius darbo kompiuteriu įgūdžius, būti susipažinę su saugos dokumentais.

38. Registro naudotojai, pastebėję saugos dokumentų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai administratoriui arba saugos įgaliotiniui.

39. Saugos įgaliotinis periodiškai inicijuoja Registro naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai).

40. Įvykus elektroninės informacijos saugos incidentui, saugos įgaliotinio, administratoriaus ir Registro naudotojų veiksmus reglamentuoja Registro veiklos tęstinumo valdymo planas.

 

V. REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

41. Tvarkyti Registro duomenis gali tik įgalioti Registro naudotojai, susipažinę su saugos dokumentais ir raštu sutikę laikytis saugos dokumentuose nustatytų reikalavimų.

42. Registro naudotojų supažindinimą su saugos dokumentais ir atsakomybe už saugos dokumentuose nustatytų reikalavimų nesilaikymą pasirašytinai organizuoja saugos įgaliotinis.

43. Saugos įgaliotinis raštu informuoja Registro naudotojus apie saugos dokumentų priėmimą, pakeitimą ar pripažinimą netekusiais galios.

 

VI. BAIGIAMOSIOS NUOSTATOS

 

44. Saugos įgaliotinis organizuoja saugos dokumentų peržiūrėjimą ne rečiau kaip kartą per metus. Saugos dokumentai turi būti peržiūrimi po rizikos analizės ar informacinių technologijų saugos atitikties vertinimo atlikimo arba Radiacinės saugos centre įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.

45. Saugos įgaliotinis, administratorius ir Registro naudotojai, pažeidę šių Saugos nuostatų ir kitų saugų informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako įstatymų nustatyta tvarka.

 

SUDERINTA

Lietuvos Respublikos Vidaus reikalų ministerijos

2009 m. gegužės 5 d. raštu Nr. 1D-3361(13)

 

_________________