LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRO

LIETUVOS RESPUBLIKOS

SUSISIEKIMO MINISTRO

Į S A K Y M A S

DĖL LIETUVOS RESPUBLIKOS GELEŽINKELIŲ RIEDMENŲ IR KONTEINERIŲ REGISTRO VEIKLOS TĘSTINUMO VALDYMO PLANO, LIETUVOS RESPUBLIKOS GELEŽINKELIŲ RIEDMENŲ IR KONTEINERIŲ REGISTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ IR LIETUVOS RESPUBLIKOS GELEŽINKELIŲ RIEDMENŲ IR KONTEINERIŲ REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ PATVIRTINIMO

2011 m. liepos 15 d. Nr. 3-423

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), 7 punktu,

t v i r t i n u pridedamus:

1. Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro veiklos tęstinumo valdymo planą.

2. Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro naudotojų administravimo taisykles.

3. Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro saugaus elektroninės informacijos tvarkymo taisykles.

Susisiekimo ministras Eligijus Masiulis

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2011 m. liepos 5 d. raštu Nr. 1D-4700(3)

_________________

PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro

2011 m. liepos 15 d. įsakymu Nr. 3-423

LIETUVOS RESPUBLIKOS GELEŽINKELIŲ RIEDMENŲ IR KONTEINERIŲ REGISTRO VEIKLOS TĘSTINUMO VALDYMO PLANAS

I. BENDROSIOS NUOSTATOS

1. Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro veiklos tęstinumo valdymo plano (toliau – Valdymo planas) tikslas – nustatyti Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro (toliau – registras) tvarkymo įstaigos, jos paskirtų tvarkyti registro duomenis fizinių asmenų – registro naudotojų, administratoriaus, saugos įgaliotinio – veiksmus, esant elektroninės informacijos saugos incidentui registro tvarkymo įstaigoje, kurio metu gali kilti pavojus registro duomenims, registro techninės, programinės įrangos funkcionavimui, registravimo dokumentams.

2. Valdymo planas parengtas vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866), ir Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos susisiekimo ministro 2010 m. rugpjūčio 12 d. įsakymu Nr. 3-490 (Žin., 2010, Nr. 97-5072) (toliau – Registro duomenų saugos nuostatai).

3. Valdymo plane vartojamos sąvokos:

Registro administratorius – registro tvarkymo įstaigos vadovo įsakymu paskirtas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, kuris yra atsakingas už registro naudotojų registravimą, registro prieigos teisių suteikimą ir panaikinimą, atliekantis kitas jam priskirtas funkcijas, aprašytas registro veiklą reglamentuojančiuose dokumentuose.

Saugos įgaliotinis – registro tvarkymo įstaigos vadovo įsakymu paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, įgyvendinantis elektroninės informacijos saugos priemones registre.

Registro naudotojas – registro tvarkymo įstaigos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintys teisę naudotis registro ištekliais numatytoms funkcijoms atlikti.

4. Už Valdymo plano įgyvendinimą atsakinga registro tvarkymo įstaiga ir jos paskirti asmenys – registro naudotojai, saugos įgaliotinis ir administratorius.

5. Už Valdymo plano įgyvendinimo organizavimą ir kontrolę registro tvarkymo įstaigose atsakingas saugos įgaliotinis.

6. Registro tvarkymo įstaigos, jos asmenų – saugos įgaliotinio, administratoriaus – veiksmai elektroninės informacijos saugos incidento metu nurodyti Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro veiklos tęstinumo detaliajame plane (toliau – planas), pateiktame Valdymo plano 1 priede. Registro administratorius, saugos įgaliotinis, prireikus – ir registro naudotojai nedelsdami šalina elektroninės informacijos saugos incidento padarinius ir įgyvendina kitas plane numatytas funkcijas.

7. Elektroninės informacijos saugos incidento metu patirti nuostoliai registro tvarkymo įstaigoje finansuojami iš valstybės biudžeto ir kitų finansavimo šaltinių.

8. Kriterijai, pagal kuriuos nustatoma, kad registro veikla atkurta, yra:

8.1. nuolat atnaujinami registro duomenys;

8.2. išsaugomi atnaujinti registro duomenys;

8.3. nuolat teikiami atnaujinti registro duomenys kitiems registrams, informacinėms sistemoms ir kitiems registro duomenų gavėjams;

8.4. išregistruotų registro objektų duomenys automatiniu būdu perkeliami į registro duomenų bazės archyvą.

9. Šis Valdymo planas įsigalioja įvykus registro elektroninės informacijos saugos incidentui, kuris gali kelti pavojų registro duomenims, techninės, programinės įrangos funkcionavimui, registravimo dokumentams. Ar konkretus atvejis yra saugos incidentas, sprendžia Registro veiklos tęstinumo valdymo grupės (toliau – Veiklos tęstinumo valdymo grupė) vadovas, gavęs saugos įgaliotinio teikimą. Valdymo planas privalomas visiems registro naudotojams.

II. ORGANIZACINĖS NUOSTATOS

10. Veiklos tęstinumo valdymo grupę sudaro:

10.1. Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos (toliau – Inspekcija) viršininkas (Veiklos tęstinumo valdymo grupės vadovas);

10.2. Inspekcijos viršininko pavaduotojas, kuruojantis registro veiklą (Veiklos tęstinumo valdymo grupės vadovo pavaduotojas);

10.3. Inspekcijos Informacinių technologijų skyriaus vedėjas (Veiklos tęstinumo valdymo grupės vadovo pavaduotojas);

10.4. Inspekcijos Informacinių technologijų skyriaus specialistas;

10.5. kiti Inspekcijos viršininko įsakymu paskirti asmenys.

11. Veiklos tęstinumo valdymo grupė atlieka šias funkcijas:

11.1. analizuoja elektroninės informacijos saugos incidentus ir priima sprendimus registro veiklos tęstinumo valdymo klausimais;

11.2. bendrauja su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

11.3. bendrauja su kitų valstybinių ir žinybinių registrų ir informacinių sistemų veiklos tęstinumo valdymo grupėmis;

11.4. bendrauja su teisėsaugos ir kitomis institucijomis, šių institucijų darbuotojais ir kitais suinteresuotais asmenimis;

11.5. kontroliuoja, kaip naudojami finansiniai ištekliai, reikalingi registro veiklai atkurti, įvykus elektroninės informacijos saugos incidentui;

11.6. organizuoja registro duomenų fizinę saugą, įvykus elektroninės informacijos saugos incidentui;

11.7. organizuoja logistiką (žmonių, daiktų, įrangos vežimo organizavimas ir jų vežimas), įvykus elektroninės informacijos saugos incidentui.

12. Registro veiklos atkūrimo grupę (toliau – Atkūrimo grupė) sudaro:

12.1. Inspekcijos viršininko pavaduotojas, nekuruojantis registro veiklos (Atkūrimo grupės vadovas);

12.2. Inspekcijos Informacinių technologijų skyriaus vedėjas;

12.3. Inspekcijos viršininko įsakymu paskirtas Inspekcijos informacinių technologijų specialistas;

12.4. kiti Inspekcijos viršininko įsakymu paskirti asmenys.

13. Atkūrimo grupė atlieka šias funkcijas:

13.1. atkuria registro veiklą (vykdo Inspekcijos viršininko pavaduotojas, nekuruojantis registro veiklos, Inspekcijos Informacinių technologijų skyriaus vedėjas);

13.2. atkuria tarnybinės stoties administravimo veiklą (vykdo Inspekcijos Informacinių technologijų skyriaus vedėjas, Inspekcijos viršininko įsakymu paskirtas Inspekcijos informacinių technologijų specialistas);

13.3. atkuria kompiuterių tinklo veikimą (vykdo Inspekcijos Informacinių technologijų skyriaus vedėjas, Inspekcijos viršininko įsakymu paskirtas Inspekcijos informacinių technologijų specialistas);

13.4. atkuria registro duomenis (vykdo Inspekcijos Informacinių technologijų skyriaus vedėjas, Inspekcijos viršininko įsakymu paskirtas Inspekcijos informacinių technologijų specialistas);

13.5. atkuria taikomųjų programų tinkamą veikimą (vykdo Inspekcijos Informacinių technologijų skyriaus vedėjas, Inspekcijos viršininko įsakymu paskirtas Inspekcijos informacinių technologijų specialistas);

13.6. atkuria darbo kompiuterių veikimą ir sąveiką su kompiuterių tinklu (vykdo Inspekcijos Informacinių technologijų skyriaus vedėjas, Inspekcijos viršininko įsakymu paskirtas Inspekcijos informacinių technologijų specialistas).

14. Veiklos tęstinumo valdymo ir Atkūrimo grupės tarpusavyje bendrauja el. paštu ar telefonu. Ne rečiau negu kartą per metus organizuojamas šių dviejų grupių vadovų susitikimas, kuriame aptariama esama situacija ir suderinami galimi jos pagerinimo būdai.

15. Įvykus elektroninės informacijos saugos incidentui, susijusiam su tarnybinėje stotyje įdiegta registro funkcionavimą užtikrinančia programine įranga:

15.1. administratorius informuoja saugos įgaliotinį ir Veiklos tęstinumo valdymo grupės vadovą apie elektroninės informacijos saugos incidentą;

15.2. saugos įgaliotinis informaciją įrašo registro elektroninės informacijos saugos incidentų registravimo žurnale (2 priedas) ir vadovauja registro veiklos atkūrimo detaliajame plane (1 priedas) nurodytiems veiksmams;

15.3. registro administratorius atkuria registro tarnybinės stoties, kompiuterių tinklo veiklą, registro duomenis, registro techninės, sisteminės ir taikomosios programinės įrangos funkcionavimą ir apie tai informuoja Veiklos valdymo grupės vadovą ir saugos įgaliotinį;

15.4. saugos įgaliotinis organizuoja žalos registro duomenims, registro techninei, programinei įrangai vertinimą, koordinuoja registro veiklai atkurti reikalingos techninės, sisteminės ir taikomosios programinės įrangos įsigijimo procedūras.

16. Įvykus elektroninės informacijos saugos incidentui registro tvarkymo įstaigos patalpose, kuriose yra registro techninė, programinė įranga, registravimo dokumentai, Valdymo plane nustatytiems veiksmams vadovauja Veiklos tęstinumo valdymo grupės vadovas. Saugos įgaliotinis informaciją įrašo registro elektroninės informacijos saugos incidentų registravimo žurnale.

17. Nesant galimybių tęsti veiklą pagrindinėse registro patalpose, registro įranga per 1 dieną laikinai perkeliama į atsargines registro tvarkymo įstaigos patalpas.

18. Atsarginėms patalpoms, naudojamoms registro veiklai atkurti elektroninės informacijos saugos incidento atveju, keliami šie reikalavimai:

18.1. patekimas į patalpas turi būti registruojamas žurnale;

18.2. patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

18.3. patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti įrengtos gaisro gesinimo priemonės;

18.4. patalpose turi būti įrengtas rezervinis elektros energijos šaltinis registro kompiuterinei techninei įrangai ir duomenų perdavimo tinklo mazgams, užtikrinantis įrangos veikimą ne trumpiau kaip 30 min.;

18.5. ryšių kabeliai turi būti apsaugoti nuo nesankcionuoto prisijungimo;

18.6. patalpoje nuolat veikia oro temperatūros ir drėgmės reguliavimo įranga (oro kondicionavimo sistema).

19. Atsarginės laikmenos su programine įranga laikomos nedegioje spintoje.

20. Kompiuterinė įranga, duomenų perdavimo tinklo mazgai ir ryšio linijos yra dubliuojamos, o jų techninė būklė nuolat stebima.

21. Programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką.

22. Tarnybinių stočių įvykių žurnale registruojami ir 5 metus saugomi duomenys apie: įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis registre, bandymus prieiti prie informacijos išteklių, kitus svarbius įvykius, nurodant registro naudotojo identifikatorių ir įvykio laiką, o šią informaciją saugos įgaliotinis kartą per metus analizuoja.

23. Elektroninės informacijos saugos incidento metu sunaikinta techninė, sisteminė ir taikomoji programinė įranga įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo (Žin., 1996, Nr. 84-2000; 2006, Nr. 4-102) nustatyta tvarka, įsigijimo ištekliai padengiami valstybės biudžeto ir kitų šaltinių lėšomis.

24. Įvykus elektroninės informacijos saugos incidentui registro tvarkymo įstaigoje, registro veiklai naudojamoms atsarginėms patalpoms taikomi Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro saugaus elektroninės informacijos tvarkymo nurodyti reikalavimai.

III. APRAŠOMOSIOS NUOSTATOS

25. Informacija apie registro techninę ir programinę įrangą ir jos parametrus nurodyta registro projektinėje dokumentacijoje.

26. Registro administratorių pavaduojančio asmens minimalus kompetencijos ar žinių lygis negali būti žemesnis už administratoriui keliamų reikalavimų lygį.

27. Minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos registro tvarkymo įstaigos poreikius atitinkančiai veiklai užtikrinti elektroninės informacijos saugos incidento metu, specifikacija turi atitikti pagrindinę registro techninės ir programinės įrangos specifikaciją.

28. Pastato aukšto, kuriame yra registro įranga ir komunikacijos, patalpų brėžinius ir šiose patalpose esančios įrangos ir komunikacijų sąrašą (vadovaudamasis registro projektine dokumentacija) parengia ir saugo administratorius.

29. Kompiuterių tinklo fizinio ar loginio sujungimo schemas parengia ir saugo administratorius.

30. Duomenų teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartis saugo saugos įgaliotinis.

31. Programinės įrangos laikmenos ir laikmenos su atsarginėmis duomenų kopijomis saugomos atsarginėse patalpose, naudojamose registro veiklai atkurti kilus elektroninės informacijos saugos incidentui. Atsarginės duomenų kopijos yra perkeliamos į saugojimo vietą kiekvieną darbo dieną.

32. Saugos įgaliotinis ir administratorius parengia ir saugo registro tvarkymo įstaigos darbuotojų sąrašą, kuriame nurodyti darbuotojų darbo telefonai, o Veiklos tęstinumo valdymo grupės narių – tarnybinių mobiliųjų ir namų telefonų numeriai ir gyvenamosios vietos adresai.

33. Registro tvarkymo įstaigos interneto svetainėje skelbiami registro duomenų tvarkymo teisėtumą ir saugos valdymą reglamentuojantys teisės aktai.

34. Atsarginės patalpos, naudojamos registro veiklai atkurti kilus elektroninės informacijos saugos incidentui, yra įrengtos Vilniuje, A. Jakšto g. 16-4.

IV. VALDYMO PLANO VEIKSMINGUMO PATIKRINIMO NUOSTATOS

35. Valdymo plano veiksmingumas tikrinamas kiekvienais metais sausio mėnesį. Nustatytą dieną imituojami elektroninės informacijos saugos incidentai, jų metu atsakingi pasekmių likvidavimo vykdytojai atlieka elektroninės informacijos saugos incidento veiksmus.

36. Pagal veiksmingumo tikrinimo rezultatus saugos įgaliotinis parengia registro rizikos įvertinimo ataskaitą (3 priedas) (toliau – ataskaita), kurioje yra apibendrinami veiksmingumo tikrinimo rezultatai, nurodomi pastebėti registro trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina Inspekcijos viršininkas.

37. Valdymo plano veiksmingumo patikrinimo metu pastebėti trūkumai šalinami remiantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

_________________

Lietuvos Respublikos geležinkelių riedmenų ir

konteinerių registro veiklos tęstinumo valdymo plano

1 priedas

LIETUVOS RESPUBLIKOS GELEŽINKELIŲ RIEDMENŲ IR KONTEINERIŲ REGISTRO VEIKLOS ATKŪRIMO DETALUSIS PLANAS

Nenumatytos situacijos rūšys	Veiksmai esant nenumatytai situacijai	Registro veiklos atkūrimo veiksmai	Registro veiklos atkūrimo veiksmų atsakingi vykdytojai
1. Oro sąlygos (smarkus lietus, labai smarki audra, viesulas, škvalas, kruša, žemės drebėjimas, smarkus speigas)	1.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	1.1.1. Nenumatytos situacijos metu padarytos žalos įvertinimas	Veiklos tęstinumo valdymo grupės vadovas
		1.1.2. Pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas	Saugos įgaliotinis
		1.1.3. Priemonių plano įgyvendinimas	Administratorius, registro naudotojai
	1.2. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų paskyrimas	1.2.1. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis
		1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas	Administratorius
	1.3. Oro prognozės sekimas	1.3.1. Žalą likviduojančių darbuotojų instruktavimas	Administratorius
	1.4. Dirbantiems pavojaus vietoje rekomenduojamos elgsenos skelbimas	1.4.1. Elektroninės informacijos saugos incidento pasekmes likviduojančių darbuotojų instruktavimas	Administratorius
		1.4.2. Darbuotojų informavimas apie elgseną nenumatytos situacijos vietoje	Administratorius
		1.4.3. Pirmosios pagalbos suteikimas nukentėjusiems darbuotojams	Administratorius
		1.4.4. Nukentėjusių darbuotojų gabenimo į gydymo įstaigą organizavimas	Saugos įgaliotinis
	1.5. Nenumatytos situacijos vietų ženklinimas	1.5.1. Darbuotojų informavimas 1.5.2. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis
2. Gaisras	2.1. Ugniagesių tarnybos informavimas	2.1.1. Įvykio vietos lokalizavimas, jei yra rekomendacija	Administratorius
	2.1. Ugniagesių tarnybos informavimas	2.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija	Veiklos tęstinumo valdymo grupės vadovas
	2.2. Darbuotojų evakavimas (pagal ugniagesių tarnybos rekomendaciją)	2.2.1. Darbuotojų informavimas apie evakavimą, jei yra rekomendacija	Saugos įgaliotinis
	2.3. Darbas nenumatytos situacijos zonoje	2.3.1. Darbuotojų informavimas apie saugų darbą pavojaus zonoje	Saugos įgaliotinis
	2.4. Komunikacijų, sukeliančių pavojų, išjungimas. Gaisro gesinimas ankstyvoje stadijoje, jei yra gauta teisėsaugos tarnybos (priešgaisrinės apsaugos ir gelbėjimo tarnybos) rekomendacija dirbti nenumatytos situacijos zonoje	2.4.1. Teisėsaugos tarnybos nurodymų vykdymas	Veiklos tęstinumo valdymo grupės vadovas
3. Patalpų užgrobimas	3.1.Teisėsaugos tarnybos informavimas	3.1.1. Neįleidimas į patalpas jokių asmenų, jei yra teisėsaugos tarnybos rekomendacijos	Administratorius
	3.1.Teisėsaugos tarnybos informavimas	3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija	Veiklos tęstinumo valdymo grupės vadovas
	3.2. Darbuotojų evakavimas, jei yra rekomendacija	3.2.1. Darbuotojų informavimas apie evakavimą	Saugos įgaliotinis
	3.3. Patalpų užrakinimas, jei yra galimybė	3.3.1. Teisėsaugos tarnybos nurodymų vykdymas	Veiklos tęstinumo valdymo grupės vadovas
	3.4. Teisėsaugos tarnybos nurodymų vykdymas, jei yra rekomendacija	3.4.1. Darbuotojų informavimas apie nurodymų vykdymą	Saugos įgaliotinis
	3.5. Veiksmai išlaisvinus užgrobtas patalpas	3.5.1. Padarytos žalos įvertinimas	Saugos įgaliotinis
		3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas	Veiklos tęstinumo valdymo grupės vadovas
		3.5.3. Žalą likviduojančių darbuotojų instruktavimas	Veiklos tęstinumo valdymo grupės vadovas
4. Patalpų pažeidimas arba praradimas	4.1. Atitinkamos tarnybos informavimas apie nenumatytos situacijos pobūdį	4.1.1. Rekomendacijų iš suinteresuotos tarnybos gavimas apie galimybę dirbti nenumatytos situacijos zonoje	Saugos įgaliotinis
		4.1.2. Darbuotojų informavimas apie rekomendacijas	Saugos įgaliotinis
	4.2. Registro įrangos perkėlimas į atsargines patalpas	4.2.1. Darbuotojų informavimas apie darbą patalpose	Administratorius
5. Energijos tiekimo sutrikimai	5.1. Energijos tiekimo sutrikimo priežasčių nustatymas. Tarnybinės stoties, kitos techninės įrangos energijos maitinimo išjungimas	Sutrikimų pašalinimo organizavimas	Veiklos tęstinumo valdymo grupės vadovas
	5.2. Kreipimasis į energijos tiekimo tarnybą dėl nenumatytos situacijos trukmės ir sutrikimo pašalinimo galimybių	Rekomendacijų iš energijos tiekimo tarnybos gavimas	Veiklos tęstinumo valdymo grupės vadovas
	5.3. Sutrikimų pašalinimas	5.3.1. Nenumatytos situacijos sustabdymas, padarytos žalos likvidavimo priemonių plano sudarymas, įgyvendinimas	Saugos įgaliotinis
		5.3.2. Padarytos žalos įvertinimas	Saugos įgaliotinis
		5.3.3. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis
6. Vandentiekio ir šildymo sistemos sutrikimai	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.1. Atitinkamos tarnybos paklausimas dėl leidimo dirbti ir rekomendacijų gavimas	Veiklos tęstinumo valdymo grupės vadovas
	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.2. Darbuotojų informavimas apie rekomendacijas	Saugos įgaliotinis
	6.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas	6.2.1. Padarytos žalos įvertinimas. Sutrikimo sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas	Saugos įgaliotinis
		6.2.2. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis
7. Ryšio sutrikimai	7.1. Ryšio sutrikimo priežasčių nustatymas	7.1.1. Kreipimasis į ryšio paslaugos teikėją	Veiklos tęstinumo valdymo grupės vadovas
	7.2. Ryšio tarnybų informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės	7.1.2. Priemonių nustatymas ir įgyvendinimas, kad sutrikimai nesikartotų
	7.3. Sutrikimo pašalinimas	7.1.3. Kreipimasis į kitą ryšio paslaugos teikėją, jei sutrikimas nepašalintas
8. Tarnybinės stoties, komutacinės įrangos sugadinimas	8.1. Pranešti teisėsaugos tarnybai, draudimo bendrovei apie įvykį	8.1.1. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų paskyrimas, instruktavimas, jų veiksmų nustatymas
	8.2. Nenumatytos situacijos pasekmės šalinimas	8.2.1. Kreipimasis į įrangos tiekėjus dėl įrangos remonto ar naujos įsigijimo
	8.2. Nenumatytos situacijos pasekmės šalinimas	8.2.2. Įsigytos įrangos paskyrimas registro tvarkymo įstaigai
9. Programinės įrangos sugadinimas, praradimas	9.1. Nenumatytos situacijos pasekmės įvertinimas, priemonių nenumatytai situacijai sustabdyti ir padarytai žalai likviduoti sudarymas	9.1.1. Nenumatytos situacijos metu padarytos žalos įvertinimas	Administratorius
		9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas	Administratorius
	9.2. Elektroninės informacijos saugos incidento pasekmę likviduojančių darbuotojų paskyrimas. Žalą likviduojančių darbuotojų instruktavimas, jų veiksmų koordinavimas	9.2.1. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis
		9.2.2. Kreipimasis į teisėsaugos tarnybas dėl programinės įrangos sugadinimo ar praradimo, jei dėl sugadinimų nebegalima vykdyti registro tvarkymo funkcijų, ir vykdyti jų nurodymus	Veiklos tęstinumo valdymo grupės vadovas
	9.3. Programinės įrangos kopijų periodinis gaminimas	9.3.1. Sugadintos ar prarastos programinės įrangos atkūrimo organizavimas	Veiklos tęstinumo valdymo grupės vadovas
10. Dokumentų praradimas	10.1. Registro archyvo praradimas	10.1.1. Prarastų dokumentų atkūrimas	Veiklos tęstinumo valdymo grupės vadovas

_________________

Lietuvos Respublikos geležinkelių riedmenų ir

konteinerių registro veiklos tęstinumo valdymo plano

2 priedas

(Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro elektroninės informacijos saugos incidentų registravimo žurnalo formos pavyzdys)

LIETUVOS RESPUBLIKOS GELEŽINKELIŲ RIEDMENŲ IR KONTEINERIŲ REGISTRO ELEKTRONINĖS INFORMACIJOS SAUGOS INCIDENTŲ REGISTRAVIMO ŽURNALAS

Pildymo pradžia 20__ m. __________ d.

Eil. Nr.	Elektroninės informacijos saugos incidentas
Eil. Nr.	registro tvarkymo įstaigos pavadinimas	požymio kodas	įvykio aprašymas	pradžia (metai, mėnuo, diena, valanda)	pabaiga (metai, mėnuo, diena, valanda)	pašalino (vardas, pavardė)	saugos įgaliotinis (vardas, pavardė, parašas)
1.
2.
3.
4.
5.
6.

Elektroninės informacijos saugos incidento požymiai:

1. Oro sąlygos. 2. Gaisras. 3. Patalpų užgrobimas. 4. Patalpų pažeidimas arba praradimas. 5. Energijos tiekimo sutrikimai. 6. Vandentiekio ir šildymo sistemos sutrikimai. 7. Ryšio sutrikimai. 8. Tarnybinės stoties, komutacinės įrangos sugadinimas, praradimas. 9. Programinės įrangos sugadinimas, praradimas. 10. Duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas.

_________________

Lietuvos Respublikos geležinkelių riedmenų ir

konteinerių registro veiklos tęstinumo valdymo plano

3 priedas

(Rizikos ataskaitos formos pavyzdys)

RIZIKOS ATASKAITA

20___ m. _________ pusmetis

Rizikos veiksniai	Prevencinės priemonės rizikos veiksmams išvengti
Rizikos veiksniai	apibūdinimas	vykdymo terminas	atsakingas vykdytojas
1. Oro sąlygos
2. Gaisras
3. Patalpų užgrobimas
4. Patalpų pažeidimas arba praradimas
5. Energijos tiekimo sutrikimai
6. Vandentiekio ir šildymo sistemos sutrikimai
7. Ryšio sutrikimai
8. Tarnybinės stoties ar komutacinės įrangos sugadinimas, praradimas
9. Programinės įrangos sugadinimas, praradimas
10. Duomenų pakeitimas, praradimas. Dokumentų praradimas
11. Duomenų, gaunamų iš Juridinių asmenų registro, neatsisiuntimas interneto ryšiais
12. Darbuotojų praradimas

Viršininkas

___________

(vardas, pavardė)

__________

(parašas)

_________________

PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro

2011 m. liepos 15 d. įsakymu Nr. 3-423

LIETUVOS RESPUBLIKOS GELEŽINKELIŲ RIEDMENŲ IR KONTEINERIŲ REGISTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I. BENDROSIOS NUOSTATOS

1. Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro (toliau – registras) naudotojų administravimo taisyklės (toliau – Registro naudotojų administravimo taisyklės) nustato registro naudotojų įgaliojimus, teises, pareigas, supažindinimo su saugos dokumentais ir saugaus registro duomenų teikimo registro naudotojams kontrolės tvarką.

2. Registro naudotojų administravimo taisyklės parengtos vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866), Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos susisiekimo ministro 2010 m. rugpjūčio 12 d. įsakymu Nr. 3-490 (Žin., 2010, Nr. 97-5072) (toliau – Registro duomenų saugos nuostatai), taip pat kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, duomenų tvarkytojų veiklą ir duomenų saugos valdymą.

3. Registro naudotojų administravimo taisyklėse vartojamos sąvokos:

Registro administratorius – registro tvarkymo įstaigos vadovo įsakymu paskirtas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, kuris yra atsakingas už registro naudotojų registravimą, registro prieigos teisių suteikimą ir panaikinimą, atlieka kitas jam priskirtas funkcijas, aprašytas registro veiklą reglamentuojančiuose dokumentuose.

Registro naudotojas – registro tvarkymo įstaigos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis registro ištekliais numatytoms funkcijoms atlikti.

4. Kitos Registro naudotojų administravimo taisyklėse vartojamos sąvokos suprantamos taip, kaip apibrėžtos Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, Saugos dokumentų turinio gairėse, Registro duomenų saugos nuostatuose ir kituose saugų duomenų tvarkymą reglamentuojančiuose teisės aktuose.

5. Registro naudotojų administravimo taisyklės taikomos visiems registro naudotojams, registro administratoriui ir saugos įgaliotiniui.

6. Prieinamumo prie registro duomenų principas – prieigos prie registro teisė suteikiama registro naudotojui tik tuo atveju, jei jam pavesta tvarkyti registro duomenis arba jam numatytoms funkcijoms vykdyti būtina naudotis registro duomenimis.

7. Registro tvarkymo įstaiga atsako už tai, kad Registro naudotojų administravimo taisyklių 9 punkte minimame prašyme nurodytam naudotojui yra būtinos prašyme nurodytos apimties prieigos teisės.

II. REGISTRO NAUDOTOJŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS

8. Registro naudotojų įgaliojimai, teisės ir pareigos:

8.1. Registro naudotojai gali naudotis tik tais registro ištekliais, prie kurių prieigos teisę jiems suteikė registro administratorius.

8.2. Registro naudotojai privalo užtikrinti jų naudojamų registro saugomų ir apdorojamų duomenų konfidencialumą ir vientisumą, savo veiksmais netrikdyti duomenų prieinamumo.

8.3. Registro naudotojai turi teisę gauti informaciją apie jų naudojamų duomenų apsaugos lygį ir taikomas apsaugos priemones, rekomenduoti papildomas apsaugos priemones.

8.4. Kiti registro naudotojų įgaliojimai, teisės ir pareigos nustatyti Registro duomenų saugos nuostatuose.

9. Registro naudotojas, norėdamas gauti prieigos prie registro duomenų teisę, registro tvarkymo įstaigos vadovui teikia prašymą, kuriame nurodo savo pareigas, vardą, pavardę, pagrindą, dėl ko būtina prieigos prie registro duomenų teisė ir registro funkcijas, kuriomis naudosis. Registro tvarkymo įstaigos vadovas per 3 darbo dienas nuo prašymo gavimo dienos pritaria arba nepritaria prašymui. Registro tvarkymo įstaigos vadovui patvirtinus prašymą, jis pateikiamas per dokumentų valdymo sistemą registro administratoriui. Registro administratorius per 1 darbo dieną nuo šio prašymo gavimo dienos suteikia registro naudotojui prieigos prie registro duomenų teisę.

III. REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU REGISTRO DUOMENŲ SAUGOS NUOSTATAIS IR REGISTRO SAUGOS DOKUMENTAIS TVARKA

10. Saugos įgaliotinis yra atsakingas už registro naudotojų supažindinimą su Registro duomenų saugos nuostatais, Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro saugaus elektroninės informacijos tvarkymo taisyklėmis, Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro veiklos tęstinumo valdymo planu, Registro naudotojų administravimo taisyklėmis ir kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą. Registro naudotojų susipažinimas su šiais teisės aktais patvirtinamas registro naudotojo parašu registro tvarkymo įstaigos nustatytos formos žurnale.

11. Saugos įgaliotinis organizuoja mokymus ir seminarus duomenų saugos klausimais.

12. Mokymų ir seminarų metu saugos įgaliotinis supažindina administratorių ir registro naudotojus su Registro duomenų saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir saugaus darbo su duomenimis principais.

13. Registro tvarkymo įstaiga sudaro galimybes administratoriui ir registro naudotojams dalyvauti saugos įgaliotinio organizuojamuose kvalifikacijos tobulinimo ir mokymo renginiuose.

14. Saugos įgaliotinis informuoja registro naudotojus el. paštu apie priimtus saugų duomenų tvarkymą reguliuojančius teisės aktus ir jų pakeitimus, registro naudotojams organizuojamus kvalifikacijos tobulinimo ir mokymo renginius, siunčia atmintines priimtiems naujiems registro naudotojams.

IV. SAUGAUS DUOMENŲ TEIKIMO REGISTRO NAUDOTOJAMS KONTROLĖS TVARKA

15. Registro administratorius yra atsakingas už registro naudotojų registravimą, išregistravimą, prieigos prie registro teisių suteikimą, sustabdymą, sustabdymo panaikinimą ir prieigos prie registro teisių panaikinimą.

16. Registro administratorius registro naudotojams suteikia unikalų prisijungimo prie registro vardą ir laikinąjį slaptažodį, kurį išsiunčia registro naudotojui elektroniniu paštu. Slaptažodį registro naudotojai turi teisę savarankiškai pasikeisti prisijungę prie registro.

17. Pirmo prisijungimo prie registro metu programinė įranga automatiškai inicijuoja slaptažodžio pakeitimą.

18. Prisijungimo prie registro skirtų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai yra šie:

18.1. Registro naudotojų prisijungimo prie registro vardai ir slaptažodžiai saugomi registro naudotojų prisijungimo vardų ir slaptažodžių byloje.

18.2. Visiems registro naudotojams turi būti nustatomas slaptažodis, kuris formuojamas iš ne mažiau kaip 8 simbolių.

18.3. Slaptažodis turi būti sudaromas naudojant raidžių, skaičių ir specialiųjų simbolių kombinacijas.

18.4. Registro naudotojai privalo naudotojo slaptažodį keisti ne rečiau kaip kas 3 mėnesius.

18.5. Keičiant slaptažodį negalima nustatyti slaptažodžio iš buvusių 6 paskutinių slaptažodžių.

18.6. Draudžiama slaptažodžius atskleisti tretiesiems asmenims.

19. Registro naudotojų prieigos teisė naudotis registru privalo būti panaikinama:

19.1. gavus registro tvarkymo įstaigos vadovo įsakymą dėl registro naudotojo perkėlimo ar atleidimo;

19.2. registro naudotojui netekus teisės naudotis registro duomenimis;

19.3. nustačius registro naudotojo neteisėtą registro duomenų naudojimą;

19.4. nustačius registro naudotojo neteisėtą prisijungimą prie registro ir neteisėtą duomenų atskleidimą.

20. Baigus darbą su registru, turi būti atsijungiama nuo registro, įjungiama ekrano užsklanda su slaptažodžiu.

21. Prisijungimai ir (ar) bandymai prisijungti prie registro automatiniu būdu įrašomi registro duomenų bazės veiksmų žurnale, kuriame registruojama prisijungimo ir (ar) bandymo prisijungti data, prisijungimo trukmė.

22. Prieigos prie registro teisių suteikimo, sustabdymo, sustabdymo panaikinimo ir prieigos teisių panaikinimo tvarka:

22.1. Registro administratorius, iš registro tvarkymo įstaigos per dokumentų valdymo sistemą gavęs registro tvarkymo įstaigos vadovo įsakymą apie registro naudotojo atostogas, pirmąją registro naudotojo atostogų dieną sustabdo registro naudotojo prieigos teises. Registro administratorius prieigos prie registro teisių sustabdymą panaikina pirmąją registro naudotojo darbo dieną po atostogų.

22.2. Registro administratorius, iš registro tvarkymo įstaigos per dokumentų valdymo sistemą gavęs registro tvarkymo įstaigos vadovo įsakymą apie registro naudotojo veiklos tyrimą, pirmąją registro naudotojo veiklos tyrimo dieną sustabdo registro naudotojo prieigos teises. Registro administratorius registro naudotojų prieigos prie registro teisių sustabdymą panaikina, per dokumentų valdymo sistemą gavęs registro tvarkymo įstaigos vadovo įsakymą dėl registro naudotojo veiklos tyrimo pabaigos.

22.3. Kai registro naudotojas perkeliamas į kitas pareigas, jam suteiktos registro naudotojo teisės pakeičiamos pagal jo pareigybės aprašyme nurodytas funkcijas. Šiuo atveju registro naudotojas registro tvarkymo įstaigos vadovui turi pateikti prašymą Registro naudotojų administravimo taisyklių 9 punkte nustatyta tvarka. Registro administratorius, per dokumentų valdymo sistemą gavęs registro tvarkymo įstaigos vadovo patvirtiną prašymą, per 1 darbo dieną suteikia naujas prieigos teises.

22.4. Registro naudotojui teisė naudotis registru panaikinama Registro naudotojų administravimo taisyklių 19 punkte nustatytais atvejais. Registro administratorius, per dokumentų valdymo sistemą gavęs registro tvarkymo įstaigos vadovo įsakymą dėl registro naudotojo perkėlimo į kitas pareigas, atleidimo, registro naudotojo prieigos teisės panaikinimo, per 3 darbo dienas panaikina registro naudotojo prieigos teises.

23. Prisijungti prie registro galima tik naudojant registro administratoriaus suteiktą unikalų vardą ir slaptažodį ir tik registruotu kompiuterių tinklo išoriniu IP adresu.

24. Registro naudotojų prieigos prie registro ir teisės dirbti su konkrečia elektronine informacija suteikimo, sustabdymo, sustabdymo panaikinimo ir prieigos teisės panaikinimo veiksmai registruojami registro tvarkymo įstaigos nustatytos formos žurnale.

_________________

PATVIRTINTA

Lietuvos Respublikos susisiekimo ministro 2011 m. liepos 15 d. įsakymu Nr. 3-423

LIETUVOS RESPUBLIKOS GELEŽINKELIŲ RIEDMENŲ IR KONTEINERIŲ REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I. BENDROSIOS NUOSTATOS

1. Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro saugaus elektroninės informacijos tvarkymo taisyklių (toliau – Tvarkymo taisyklės) tikslas – nustatyti Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro (toliau – registras) tvarkymo įstaigos, jos paskirtų tvarkyti registro duomenis fizinių asmenų – registro naudotojo, administratoriaus, saugos įgaliotinio – veiksmus, užtikrinančius saugų registro techninės ir programinės įrangos funkcionavimą, registro duomenų tvarkymą ir teikimą duomenų gavėjams.

2. Tvarkymo taisyklės parengtos vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), Saugos dokumentų turinio gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro duomenų saugos nuostatais (toliau – Registro duomenų saugos nuostatai), patvirtintais Lietuvos Respublikos susisiekimo ministro 2010 m. rugpjūčio 12 d. įsakymu Nr. 3-490 (Žin., 2010, Nr. 97-5072).

3. Tvarkymo taisyklėse vartojamos sąvokos suprantamos taip, kaip apibrėžtos Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, Saugos dokumentų turinio gairėse ir kituose saugų duomenų tvarkymą reglamentuojančiuose teisės aktuose.

4. Už registro duomenų tvarkymo teisėtumą ir saugą atsako vadovaujančioji registro tvarkymo įstaiga.

5. Už Tvarkymo taisyklių įgyvendinimo organizavimą ir kontrolę atsakingas saugos įgaliotinis.

6. Registre saugoma informacija yra skirstoma į šias kategorijas:

6.1. informacija, už kurios tvarkymą atsakingas administratorius:

6.1.1. registro klasifikatoriai;

6.1.2. registro naudotojų unikalūs identifikavimo kodai;

6.1.3. registro naudotojų prieigos prie registro teisės;

6.2. informacija, už kurios tvarkymą atsakingi registro naudotojai, – duomenys, nurodyti Lietuvos Respublikos geležinkelių riedmenų ir konteinerių registro nuostatų (toliau – Registro nuostatai), patvirtintų Lietuvos Respublikos Vyriausybės 2004 m. lapkričio 22 d. nutarimu Nr. 1468 (Žin., 2004, Nr. 170-6256), 14–20 punktuose.

II. TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

7. Kompiuterinės įrangos saugos priemonės yra šios:

7.1. Prieigos teisę prie registro tarnybinių stočių turi tik administratorius.

7.2. Už registro naudotojų naudojamos techninės kompiuterinės įrangos saugą yra atsakingi registro naudotojai.

8. Registro techninės, sisteminės ir taikomosios programinės įrangos saugos užtikrinimo priemonės yra šios:

8.1. Naudojama legali ir įteisinta registro sisteminė ir taikomoji programinė įranga.

8.2. Teisę dirbti su registro administravimo programine įranga turi tik administratorius, jo nesant – administratorių pavaduojantis asmuo.

8.3. Slaptažodžiai, suteikiantys teisę dirbti su registro administravimo programine įranga, žinomi tik administratoriui, jo nesant – administratorių pavaduojančiam asmeniui.

8.4. Programinis kodas apsaugomas nuo neteisėtos prieigos prie jo. Programiniam kodui apsaugoti taikomos tos pačios saugos priemonės kaip ir registro duomenims. Naudojamos programinės priemonės – tinklo užkardos.

8.5. Prieigos teisė dirbti su registro taikomąja programine įranga suteikiama registro tvarkymo įstaigos registro naudotojams.

8.6. Registro duomenys nuo jų praradimo, iškraipymo, sunaikinimo, nesankcionuoto naudojimo galimybių apsaugomi techninėmis, organizacinėmis, programinėmis priemonėmis.

8.7. Registro naudotojams suteikiami vardai ir slaptažodžiai:

8.7.1. neatskleidžiami kitiems asmenims ir yra apsaugomi nuo nesankcionuoto jų panaudojimo galimybių;

8.7.2. formuojami iš ne mažiau kaip 8 simbolių;

8.7.3. keičiami ne rečiau kaip kartą per 3 mėnesius.

8.8. Registro naudotojų veiksmai su registro duomenimis ar bandymai juos atlikti registruojami programiniu būdu.

8.9. Registro naudotojui neatliekant jokių veiksmų, registras turi užsirakinti, kad toliau naudotis registru būtų galima tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus.

9. Duomenų perdavimo tinklais saugos užtikrinimo priemonės yra šios:

9.1. Registro naudotojai internetu jungiasi prie tinklo užkarda apsaugotų tarnybinių stočių, naudodamiesi unikaliais identifikaciniais prisijungimo duomenimis.

9.2. Registro duomenys, siunčiami per viešuosius tinklus, yra šifruojami.

10. Registro saugos užtikrinimo priemonės patalpoms, kuriose yra administravimo programinė įranga, yra šios:

10.1. Patekti į registro tarnybinių stočių patalpas gali tik saugos įgaliotinis ir administratorius.

10.2. Patalpose įrengta langų ir durų fizinė apsauga (langai su žaliuzėmis, rakinamos durys, durų ir langų signalizacija).

10.3. Patalpos atitinka priešgaisrinės saugos reikalavimus, jose yra gaisro gesinimo priemonės. Gaisro gesinimo priemonių patikra vykdoma kartą per mėnesį.

10.4. Patalpos atskirtos nuo bendrojo naudojimo patalpų. Asmenys, nesusiję su registro tvarkymu, patekti į šias patalpas gali tik lydimi administratoriaus.

10.5. Techninė įranga apsaugota nuo elektros srovės svyravimų, nuo neteisėtos prieigos prie techninės įrangos, jos sugadinimo ar neteisėto poveikio jai. Naudojamas nepertraukiamo maitinimo šaltinis su automatine apsauga nuo įtampos svyravimų.

10.6. Ryšių kabeliai apsaugoti nuo neteisėto prisijungimo ir pažeidimo.

10.7. Įgyvendintos gamintojo nustatytos techninės įrangos darbo sąlygos.

III. SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

11. Registro naudotojai registro duomenis registre įrašo šia tvarka:

11.1. Registre įrašyti duomenys ir duomenų pasikeitimai turi atitikti registravimo dokumentuose nurodytus duomenis.

11.2. Registro objektų registravimo ir duomenų pakeitimo dokumentai saugomi registro tvarkymo įstaigos archyve.

11.3. Išregistruoto registro objekto duomenys tą pačią darbo dieną automatiniu būdu perkeliami į registro duomenų bazės archyvą.

11.4. Registro duomenys įrašomi, atnaujinami, keičiami ir naikinami vadovaujantis Registro nuostatais ir Registro duomenų saugos nuostatais.

12. Registro naudotojų veiksmų registravimo tvarka:

12.1. Registro naudotojų tapatybė ir veiksmai su registro duomenimis fiksuojami programinėmis priemonėmis.

12.2. Registro naudotojų veiksmai įrašomi automatiniu būdu registro duomenų bazės veiksmų žurnale, apsaugotame nuo neteisėto jame esančių duomenų panaudojimo, pakeitimo, iškraipymo, sunaikinimo.

12.3. Registro duomenų bazės veiksmų žurnalo duomenys prieinami atitinkamas teises turintiems registro administratoriams.

13. Registro duomenų bazės veiksmų žurnalo įrašai suteikia galimybę nustatyti nesankcionuoto poveikio šaltinį, laiką, ketinimus ar veiksmus registro programinei įrangai ir duomenims.

14. Atsarginių duomenų kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarka:

14.1. Už registro duomenų atsarginių kopijų darymą yra atsakingas administratorius.

14.2. Atsarginių duomenų kopijų serveryje turi būti kopijuojama ir saugoma tiek duomenų, kad duomenų praradimo atveju visišką registro funkcionalumą ir veiklą būtų galima atkurti per 8 valandas.

14.3. Duomenų saugykloje realiu laiku yra dubliuojami visi registro duomenys.

14.4. Registro duomenų kopijos į rezervinio kopijavimo juostų biblioteką daromos vieną kartą per savaitę.

14.5. Išsamūs registro duomenų atkūrimo bandymai vykdomi vieną kartą per metus.

14.6. Išsamūs registro duomenų atkūrimo bandymai vykdomi ne darbo valandomis ir prieš tai informavus visus registro naudotojus.

14.7. Už išsamius registro duomenų atkūrimo bandymus yra atsakingi registro administratorius ir saugos įgaliotinis. Registro administratorius su saugos įgaliotiniu suderina visiško duomenų atkūrimo bandymų metodus.

15. Prarasti, iškraipyti, sunaikinti registro duomenys atkuriami iš registro atsarginių duomenų kopijų.

16. Apie pastebėtus saugos incidentus – Tvarkymo taisyklių reikalavimų pažeidimus, registro darbo sutrikimus, neįprastą registro veikimą – registro naudotojas privalo informuoti saugos įgaliotinį.

17. Duomenų perkėlimo ir teikimo kitiems registrams ir informacinėms sistemoms ir duomenų gavimo iš jų tvarka:

17.1. Už duomenų, teikiamų iš susijusių registrų, atnaujinimą registre yra atsakingas administratorius.

17.2. Duomenų mainai tarp registro ir kitų registrų bei informacinių sistemų vykdomi su šių registrų ir informacinių sistemų valdytojais sudarytose duomenų teikimo sutartyse numatytais būdais, terminais ir numatytos apimties.

18. Duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:

18.1. Siekiant užtikrinti registro duomenų vientisumą, registro naudotojų tapatybei nustatyti ir prieigai kontroliuoti naudojama prisijungimo vardų, slaptažodžių ir prieigos teisių sistema.

18.2. Registro naudotojas, įtaręs, kad su registro duomenimis buvo atlikti neteisėti veiksmai, privalo pranešti apie tai administratoriui. Administratorius, atsiradus įtarimams dėl neteisėtų veiksmų su registro duomenimis, pasinaudojęs registro duomenų bazės veiksmų žurnalo įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su registro programine įranga ir duomenimis.

18.3. Registro administratorius, įtaręs, kad su registro duomenimis vykdomi neteisėti veiksmai, privalo apie tai pranešti saugos įgaliotiniui.

18.4. Saugos įgaliotinis, gavęs pranešimą apie vykdomus neteisėtus veiksmus su registru arba su registre tvarkomais duomenimis, inicijuoja elektroninės informacijos saugos incidento valdymo procedūras.

19. Registro programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:

19.1. Registro programinės ir techninės įrangos keitimo ir atnaujinimo tvarką priklausomai nuo konkretaus atvejo derina registro administratorius ir sisteminis administratorius arba ji aprašoma paslaugų, susijusių su registro programinės ir techninės įrangos keitimu ir atnaujinimu, teikimo sutartyse.

19.2. Prieš atlikdamas registro programinės ir techninės įrangos keitimą, kurio metu gali iškilti grėsmė duomenų ir registro konfidencialumui, vientisumui ar pasiekiamumui, registro sisteminis administratorius privalo išbandyti planuojamus registro pokyčius.

19.3. Atlikęs registro programinės ir techninės įrangos pokyčių bandymus ir gavęs raštišką registro tvarkymo įstaigos vadovo sutikimą, registro sisteminis administratorius gali pradėti keisti registro programinę ir techninę įrangą.

19.4. Planuodamas registro programinės ir techninės įrangos keitimą, kurio metu galimi registro veikimo sutrikimai, registro sisteminis administratorius privalo ne vėliau kaip prieš dvi darbo dienas iki registro programinės ir techninės įrangos keitimo pradžios elektroniniu paštu informuoti registro naudotojus apie tokių darbų pradžią ir galimus registro veikimo sutrikimus.

IV. REIKALAVIMAI, KELIAMI REGISTRUI FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

20. Administratorius yra atsakingas už programinių, techninių ir kitų prieigos prie registro resursų organizavimą, suteikimą ir panaikinimą registro techninės ir (ar) programinės priežiūros paslaugų (toliau – priežiūros paslaugos) teikėjui.

21. Administratorius suteikia registro priežiūros teises paslaugų teikėjui tik tokia prieiga prie registro programinių, techninių ir kitų resursų, kokia yra būtina norint atlikti arba vykdyti registro priežiūros paslaugas.

22. Reikalavimai, keliami patalpoms, įrangai, informacinių sistemų priežiūrai, duomenų perdavimui tinklais ir kitoms paslaugoms:

22.1. reikalavimai priežiūros paslaugų teikėjams ir jų teikiamoms priežiūros paslaugoms nustatomi šių paslaugų teikimo sutartyse;

22.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja registro taikomąją programinę įrangą naudodamas:

22.2.1. įgyvendintas elektroninės informacijos saugos nuo nesankcionuoto poveikio sisteminei, taikomajai programinei įrangai, duomenų saugai ir patalpoms priemones;

22.2.2. registro testinės duomenų bazės duomenis (registro taikomajai programinei įrangai modifikuoti);

22.3. tik sertifikuotą sisteminę programinę įrangą.

23. Administratorius privalo supažindinti registro paslaugų teikėją su suteiktos prieigos prie registro saugos reikalavimais ir sąlygomis.

24. Pasibaigus sutarties su registro priežiūros paslaugų teikėju galiojimo terminui ar atsiradus kitoms Registro nuostatuose, Registro duomenų saugos nuostatuose ar registro saugos politiką įgyvendinančiuose dokumentuose įvardytoms sąlygoms, administratorius privalo per 1 darbo dieną panaikinti registro priežiūros paslaugų teikėjui prieigą prie registro resursų.

_________________