LOGOnespalv-maz2

LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTRAS

 

ĮSAKYMAS

DĖL ŽEMĖS ŪKIO MINISTRO 2016 M. LIEPOS 4 D. ĮSAKYMO NR. 3D-404 „DĖL VALSTYBINĖS AUGALININKYSTĖS TARNYBOS PRIE ŽEMĖS ŪKIO MINISTERIJOS INFORMACINĖS SISTEMOS NUOSTATŲ IR VALSTYBINĖS AUGALININKYSTĖS TARNYBOS PRIE ŽEMĖS ŪKIO MINISTERIJOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO “ PAKEITIMO

 

2022 m. kovo 28 d. Nr. 3D-222

Vilnius

 

 

Pakeičiu Valstybinės augalininkystės tarnybos prie Žemės ūkio ministerijos informacinės sistemos duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos žemės ūkio ministro 2016 m. liepos 4 d. įsakymu Nr. 3D-404 „Dėl Valstybinės augalininkystės tarnybos prie Žemės ūkio ministerijos informacinės sistemos nuostatų ir Valstybinės augalininkystės tarnybos prie Žemės ūkio ministerijos informacinės sistemos duomenų saugos nuostatų patvirtinimo“, ir juos išdėstau nauja redakcija (pridedama).

 

 

Žemės ūkio ministras                                                                                Kęstutis Navickas

 

 

 

 

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2022-03-24 raštu Nr.  (4.1 E) 6K-263

 

 

 

 

 

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2016 m. liepos 4 d. įsakymu Nr. 3D-404

(Lietuvos Respublikos žemės ūkio ministro

2022 m. kovo 28 d. įsakymo Nr. 3D-222 

redakcija)

 

 

VALSTYBINĖS AUGALININKYSTĖS TARNYBOS PRIE ŽEMĖS ŪKIO MINISTERIJOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Valstybinės augalininkystės tarnybos prie Žemės ūkio ministerijos (toliau – VAT) informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Valstybinės augalininkystės tarnybos prie Žemės ūkio ministerijos informacinės sistemos (toliau – VATIS) saugos politiką, nustato organizacines, technines, programines, teisines ir kitas priemones, kuriomis užtikrinamas saugus VATIS duomenų tvarkymas.

2. VATIS saugos politiką papildomai reglamentuoja šie dokumentai (toliau – Saugos politiką įgyvendinantys dokumentai):

2.1. VATIS saugaus elektroninės informacijos tvarkymo taisyklės;

2.2. VATIS naudotojų administravimo taisyklės;

2.3. VATIS veiklos tęstinumo valdymo planas.

3. Saugos nuostatų tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti VATIS duomenis, užtikrinti elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. VATIS duomenų saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo ir saugos priemonių projektavimo bei diegimo principus.

4. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo aprašo patvirtinimo“ (toliau – Saugos reikalavimų aprašas) ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, bei Lietuvos Respublikos standartuose
LST ISO/IEC 27002:2014 ir LST ISO/IEC 27001:2013.

5. Elektroninės informacijos saugos tikslai:

5.1. automatiniu būdu tvarkomos elektroninės informacijos saugumo užtikrinimas;

5.2. elektroninės informacijos patikimumo ir saugumo nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar neteisėto jos tvarkymo užtikrinimas.

6. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

6.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų VATIS duomenų saugai užtikrinti, įgyvendinimas ir kontrolė;

6.2. VATIS elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

6.3. VATIS veiklos tęstinumo užtikrinimas.

7.  Saugos nuostatai taikomi:

7.1. VATIS valdytojai – Lietuvos Respublikos žemės ūkio ministerijai, adresas: Vilnius, Gedimino pr. 19;

7.2. VATIS tvarkytojai – Valstybinei augalininkystės tarnybai prie Žemės ūkio ministerijos, adresas: Vilnius, Ozo g. 4A.

8. VATIS valdytojo funkcijos ir atsakomybė:

8.1. rengia ir tvirtina Saugos nuostatus, Saugos politiką įgyvendinančius dokumentus;

8.2. kontroliuoja, kaip laikomasi Saugos nuostatų, Saugos politiką įgyvendinančių dokumentų ir kitų teisės aktų, reglamentuojančių elektroninės informacijos tvarkymo teisėtumą ir saugos valdymą;

8.3. prižiūri, kaip laikomasi VATIS elektroninės informacijos saugos reikalavimų;

8.4. nagrinėja VATIS tvarkytojų pasiūlymus dėl VATIS saugos tobulinimo ir priima dėl jų sprendimus;

8.5. priima sprendimą atlikti VATIS informacinių technologijų saugos reikalavimų atitikties vertinimą;

8.6. atsako už VATIS elektroninės informacijos saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą;

8.7. vykdo kitas VATIS nuostatuose, Saugos nuostatuose, Saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas.

9. VATIS tvarkytojo funkcijos ir atsakomybė:

9.1. VATIS valdytojo pavedimu skiria VATIS saugos įgaliotinį ir VATIS administratorių (-ius) (toliau – VATIS administratorius);

9.2. užtikrina nenutrūkstamą VATIS veikimą ir elektroninės informacijos, esančios duomenų bazėse, saugą;

9.3. VATIS duomenų gavėjų sutarčių dėl duomenų teikimo nustatyta tvarka teikia VATIS duomenis duomenų gavėjams bei užtikrina duomenų saugą, iki duomenys pasiekia duomenų gavėją sutartyse numatytomis sąlygomis ir tvarka;

9.4. užtikrina VATIS tvarkomų duomenų saugą;

9.5. atsako už VATIS reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir Saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka;

9.6. atlieka kitas VATIS nuostatuose, Saugos nuostatuose, Saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas.

10. VATIS saugos įgaliotinio funkcijos ir atsakomybė:

10.1. teikia VATIS tvarkytojo vadovui pasiūlymus, nurodytus Saugos reikalavimų apraše;

10.2. kasmet organizuoja VATIS rizikos vertinimą (prireikus ir neeilinius VATIS rizikos vertinimus);

10.3. periodiškai informacinės dokumentų valdymo sistemos priemonėmis supažindina VATIS administratorių ir VATIS naudotojus su Saugos nuostatais, Saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant VATIS elektroninę informaciją, užtikrinant jos saugumą, informuoja apie jų pakeitimus ir atsakomybę už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;

10.4. periodiškai, bet ne rečiau kaip kartą per dvejus metus, organizuoja VATIS naudotojų mokymus elektroninės informacijos saugos klausimais, įvairiais būdais primena apie saugumo problemas (pvz., pranešimai elektroniniu paštu ir pan.);

10.5. peržiūri Saugos nuostatus ir Saugos politiką įgyvendinančius dokumentus ne rečiau kaip kartą per kalendorinius metus;

10.6. atsako už tinkamą Saugos nuostatuose ir Saugos politiką įgyvendinančiuose dokumentuose nustatytų funkcijų vykdymą;

10.7. atsako už VATIS saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams;

10.8. vykdo kitas Saugos nuostatuose, Saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas.

11. VATIS administratoriaus funkcijos ir atsakomybė:

11.1. užtikrina VATIS techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą;

11.2. pagal kompetenciją vykdo VATIS sudedamųjų dalių (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų), esančių VAT patalpose, administravimą, pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą bei jų atitiktį VATIS saugos politiką įgyvendinančių duomenų reikalavimams;

11.3. pagal kompetenciją rengia pasiūlymus dėl VATIS kūrimo, palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir duomenų saugos užtikrinimo;

11.4. imasi veiksmų, kurie sumažintų ar iš viso pašalintų kilusio elektroninės informacijos saugos incidento sukeltas neigiamas pasekmes;

11.5. užtikrina VATIS sąveiką su kitomis informacinėmis sistemomis ir registrais;

11.6. pagal kompetenciją daro atsargines VATIS duomenų kopijas, tikrina šių kopijų atkuriamumą;

11.7. nuolat teikia VATIS saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių sudedamųjų dalių būklę, saugos politikos pažeidimus, nusikalstamos veikos požymius;

11.8. vykdo VATIS saugos įgaliotinio nurodymus ir pavedimus, susijusius su VATIS saugos politikos įgyvendinimu;

11.9. registruoja VAT paslaugas teikiančius VATIS naudotojus;

11.10. pagal kompetenciją atsako už techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą;

11.11. vykdo kitas Saugos nuostatuose, Saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos tvarkymo teisėtumą ir saugos valdymą, administratoriui priskirtas funkcijas.

12. VATIS naudotojai, pastebėję saugumo pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti VATIS saugos įgaliotiniui.

13. Saugos nuostatai privalomi VATIS naudotojams, VATIS saugos įgaliotiniui, VATIS administratoriui.

14.  Tvarkant VATIS elektroninę informaciją ir užtikrinant jos saugą, vadovaujamasi šiais teisės aktais:

14.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) su visais pakeitimais;

14.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

14.3. Valstybės informacinių išteklių valdymo įstatymu;

14.4.   Lietuvos Respublikos kibernetinio saugumo įstatymu;

14.5. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

14.6. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

14.7. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio
13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

14.8. Valstybinės augalininkystės tarnybos prie Žemės ūkio ministerijos informacinės sistemos nuostatais, patvirtintais Lietuvos Respublikos žemės ūkio ministro 2016 m. liepos 4 d. įsakymu Nr. 3D-404 „Dėl Valstybinės augalininkystės tarnybos prie Žemės ūkio ministerijos informacinės sistemos nuostatų ir Valstybinės augalininkystės tarnybos prie Žemės ūkio ministerijos informacinės sistemos duomenų saugos nuostatų patvirtinimo“;

14.9. Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatais, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai);

14.10. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu ir Informacinių technologijų saugos atitikties vertinimo metodika, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

14.11. Lietuvos standartais LST ISO/IEC 27001 ir LST ISO/IEC 27002 bei kitais Lietuvos ir tarptautiniais „Informacinės technologijos. Saugumo metodai“ grupės standartais, apibūdinančiais saugų elektroninės informacijos tvarkymą;

14.12. kitais teisės aktais, reglamentuojančiais elektroninės informacijos tvarkymo teisėtumą, VATIS valdytojo ir tvarkytojo veiklą ir elektroninės informacijos saugos valdymą.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

15. VATIS tvarkoma elektroninė informacija, įvertinus informacijos konfidencialumo, vientisumo ir (ar) prieinamumo galimo praradimo neigiamą poveikį, priskiriama vidutinės svarbos informacijos kategorijai, vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Informacinių sistemų klasifikavimo gairių aprašas), 9.1 ir 9.3 papunkčiais.

16. VATIS pagal joje tvarkomos elektroninės informacijos svarbą, vadovaujantis Informacinių sistemų klasifikavimo gairių aprašo 12.3 papunkčiu, yra priskiriama trečiajai informacinių sistemų kategorijai.

17. VATIS saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“ bei vadovaudamasis Lietuvos ir tarptautiniais „Informacinės technologijos. Saugumo metodai“ grupės standartais, apibūdinančiais saugų elektroninės informacijos tvarkymą, kasmet organizuoja VATIS rizikos vertinimą, o prireikus organizuoja ir neeilinį rizikos vertinimą.

18. Rizikos vertinimo metu atliekamos veiklos:

18.1. VATIS sudarančių informacinių išteklių inventorizacija;

18.2. įtakos VATIS veiklai vertinimas;

18.3. grėsmių ir pažeidimų analizė;

18.4. liekamosios rizikos vertinimas.

19. VATIS tvarkytojo rašytiniu pavedimu VATIS rizikos įvertinimą gali atlikti VATIS saugos įgaliotinis.

20. Po VATIS rizikos vertinimo rengiama VATIS rizikos vertinimo ataskaita. Rizikos vertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Parengta VATIS rizikos vertinimo ataskaita pateikiama VATIS tvarkytojo vadovui.

21. Svarbiausi rizikos veiksniai yra šie:

21.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų suvedimas ir teikimas, fizinės informacijos technologijų triktys, duomenų perdavimo tinklais triktys, programinės įrangos klaidos, netinkamas veikimas ir kita);

21.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis VATIS duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais trikdžiai, saugumo pažeidimai, vagystės ir kita);

21.3. nenugalimos jėgos (force majeure) aplinkybės, kaip jas reglamentuoja Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punktas, bet jomis neapsiribojant;

22. Atsižvelgdamas į rizikos vertinimo ataskaitą, VATIS saugos įgaliotinis prireikus parengia rizikos vertinimo ir rizikos valdymo priemonių planą, kurį tvirtina VATIS valdytojas. Rizikos vertinimo ir rizikos valdymo priemonių plane numatomas techninių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

23. Rizikos vertinimo ataskaitos, rizikos vertinimo ir rizikos valdymo priemonių plano kopijas VATIS saugos įgaliotinis ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

24. VATIS saugos įgaliotinis ne rečiau kaip vieną kartą per metus organizuoja informacinių technologijų saugos atitikties vertinimą, kurio metu:

24.1. įvertinama, ar VATIS duomenų Saugos politiką įgyvendinantys dokumentai atitinka realią informacijos saugos situaciją;

24.2. inventorizuojama VATIS techninė ir programinė įranga;

24.3. patikrinamos atsitiktinai parinktos VATIS naudotojų kompiuterizuotos darbo vietos;

24.4. patikrinama visose tarnybinėse stotyse įdiegtos programos ir jų sąranga;

24.5. įvertinama naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

24.6. įvertinamas pasirengimas užtikrinti VATIS veiklos tęstinumą įvykus elektroninės informacijos saugos incidentui.

25. Atlikus informacinių technologijų saugos atitikties vertinimą, VATIS saugos įgaliotinis rengia ir teikia VATIS tvarkytojo vadovui vertinimo ataskaitą.

26. Atsižvelgdamas į informacinių technologijų saugos atitikties vertinimo ataskaitą, VATIS saugos įgaliotinis prireikus parengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato VATIS valdytojas.

27. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas VATIS saugos įgaliotinis ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

28. Techninės, programinės ir organizacinės VATIS elektroninės informacijos saugos priemonės pasirenkamos atsižvelgiant į VATIS valdytojo ir tvarkytojo turimus išteklius, vadovaujantis šiais priemonių parinkimo principais:

28.1. saugos priemonės turi būti valdomos centralizuotai;

28.2. liekamoji rizika turi būti sumažinta iki priimtino lygio;

28.3. informacijos saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

28.4. kur galima, turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

29. Saugos nuostatų, Saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas VATIS saugos įgaliotinis ne vėliau kaip per 5 (penkias) darbo dienas nuo jų patvirtinimo dienos pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

 

 

 

 

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

30. Programinės įrangos, skirtos VATIS apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

30.1. tarnybinėse stotyse ir kompiuterinėse darbo vietose privalo būti įdiegta centralizuotai valdoma apsaugai naudojama programinė įranga nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos ir kt.);

30.2. apsaugai naudojama antivirusinė duomenų bazė turi atsinaujinti ne rečiau kaip kas 2 paras;

30.3. apsaugai naudojama programinė įranga turi automatiškai informuoti atsakingus darbuotojus apie kompiuterines darbo vietas ir tarnybines stotis, kuriose buvo pradelstas kenksmingos programinės įrangos aptikimo priemonių atsinaujinimo laikas;

30.4. programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu.

31. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimas:

31.1. naudojama tik legali programinė įranga;

31.2. programinė įranga atnaujinama laikantis gamintojo reikalavimų;

31.3. VATIS saugos įgaliotinis periodiškai, bet ne rečiau kaip kartą per kalendorinius metus, peržiūri ir, suderinęs su VATIS tvarkytoju, patvirtina leistinos programinės įrangos sąrašą (standartinės ir papildomos programinės įrangos);

31.4. VATIS naudotojų kompiuterinėse darbo vietose ir tarnybinėse stotyse negali būti naudojama programinė įranga, nesusijusi su VATIS naudotojų funkcijų vykdymu;

31.5. programinę įrangą gali diegti tik VATIS administratorius, VATIS naudotojams draudžiama savavališkai diegti bet kokią programinę įrangą;

31.6. turi būti įdiegta prieigos prie VATIS elektroninės informacijos perregistravimo, teisių suteikimo ir slaptažodžių sistema;

31.7. turi būti įgyvendinta prievolė reguliariai keisti slaptažodžius.

32. Kompiuterių tinklo filtravimo įranga:

32.1. tinklo segmentavimas;

32.2. tinklo adresų transliavimas (NAT / PAT);

32.3. pagrindinė VATIS duomenų pateikimo prieiga yra duomenų perdavimas šifruotu virtualaus privataus tinklo (VPN) duomenų perdavimo kanalu arba panaudojant saugų HTTPS (angl. Hypertext Transfer Protocol Secure) duomenų perdavimo protokolą.

33. Leistinos kompiuterių naudojimo ribos:

33.1. kompiuteriai, kuriuose saugomi su VATIS susiję duomenys, turi būti apsaugoti prisijungimo vardu ir slaptažodžiu;

33.2. nešiojamieji kompiuteriai, kuriuose yra prieiga prie VATIS, gali būti išnešami iš įstaigos, kuriai priskirta VATIS naudotojo darbo vieta, patalpų tik vadovaujantis VAT direktoriaus įsakymu patvirtintu nešiojamųjų kompiuterių naudojimo tvarkos aprašu.

34. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

34.1. prieiga prie VATIS ribojama užkardomis;

34.2. teikti ir (ar) gauti elektroninę informaciją automatiniu būdu galima tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas – naudojami saugūs ryšio kanalai (VPN).

35. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

35.1. atsarginės elektroninės informacijos kopijos (toliau – kopijos) daromos automatiškai, kiekvieną dieną;

35.2. elektroninė informacija kopijose turi būti šifruota;

35.3. kopijas turi teisę tvarkyti VATIS administratoriai ir techninės bei programinės įrangos priežiūros paslaugų teikėjai, kaip nustatyta Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje;

35.4. laikmenos, kuriose yra kopijos, saugomos atskirai nuo tarnybinių stočių;

35.5. atsarginės metų kopijos saugomos trejus metus nuo jų sukūrimo dienos;

35.6. atkurti elektroninę informaciją iš kopijų turi teisę tik VATIS administratoriai.

 

IV SKYRIUS

REIKALAVIMAI PERSONALUI

 

36. VATIS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Saugos nuostatais, Saugos politiką įgyvendinančiais dokumentais, Lietuvos ir tarptautiniais „Informacinės technologijos. Saugumo metodai“ grupės standartais, apibūdinančiais saugų elektroninės informacijos tvarkymą, ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais elektroninės informacijos saugą, būti susipažinęs su esminiais VATIS duomenų saugos reikalavimais, turėti atitinkamą kvalifikaciją įgyvendinti saugos politiką.

37. VATIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos skyrimo praėję mažiau kaip vieni metai.

38. VATIS administratorius privalo išmanyti elektroninės informacijos saugos principus, mokėti užtikrinti jos saugą, administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su Saugos nuostatais, Saugos politiką įgyvendinančiais dokumentais, darbo saugos taisyklėmis. VATIS administratorius privalo sugebėti užtikrinti techninės ir programinės įrangos nenutrūkstamą funkcionavimą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, išmanyti elektroninės informacijos saugos užtikrinimo principus.

39. VATIS naudotojai privalo turėti pagrindinių darbo su kompiuteriu įgūdžių, mokėti tvarkyti duomenis, turi būti susipažinę su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą. Tvarkyti VATIS duomenis gali tik VATIS naudotojai, pasirašę pasižadėjimą saugoti asmens duomenų paslaptį ir susipažinę su VATIS nuostatais, Saugos nuostatais, Saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, reglamentuojančiais saugų VATIS duomenų tvarkymą.

40. VATIS naudotojams gali būti suteikiamos tik tokios prieigos teisės, kurios būtinos jų darbo funkcijų vykdymui. VATIS naudotojams negali būti suteikiamos administratoriaus teisės.

41. Kiekvienas VATIS naudotojas VATIS identifikuojamas unikaliai (asmens kodas negali būti naudojamas kaip naudotojo identifikatorius). Draudžiama naudoti bendras paskyras, išskyrus, jei tai būtina VAT veiklos procesams užtikrinti ir nėra kitų galimybių. Bendrų paskyrų naudojimas turi būti suderintas su VATIS saugos įgaliotiniu ir įvertinta tokių bendrų paskyrų naudojimo rizika bei numatytos rizikos mažinimo priemonės.

42. VATIS naudotojai privalo nedelsdami pranešti apie VATIS ar jos posistemių veiklos sutrikimus, esamus arba įtariamus, elektroninės informacijos saugos incidentus, Saugos nuostatuose ir Saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų pažeidimus, neveikiančias arba netinkamai veikiančias saugos priemones, kitų VATIS naudotojų ar asmenų neteisėtus veiksmus ar nusikalstamos veikos požymius turinčius atvejus ar kitus įtartinus atvejus savo vadovui ir VATIS saugos įgaliotiniui ar VATIS administratoriui.

 

V SKYRIUS

INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

43. Naudoti VATIS duomenis gali tik tie asmenys, kurie yra susipažinę su Saugos nuostatais, Saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant VATIS elektroninę informaciją, bei atsakomybe už šių teisės aktų reikalavimų nesilaikymą.

44. Už VATIS naudotojų supažindinimą su Saugos nuostatais, Saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant VATIS elektroninę informaciją, bei atsakomybe už šiuose teisės aktuose nustatytų reikalavimų nesilaikymą yra atsakingas VATIS saugos įgaliotinis.

45. Saugos nuostatai ir VATIS Saugos politiką įgyvendinantys dokumentai bei jų pakeitimai skelbiami VAT interneto svetainėje.

46. Su Saugos nuostatais, Saugos politiką įgyvendinančiais dokumentais, jų pakeitimais ir kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą, supažindinimas vykdomas informacinės dokumentų valdymo sistemos priemonėmis, užtikrinant susipažinimo įrodomumą. Pakartotinai supažindinama tik iš esmės pasikeitus VATIS arba informacijos saugą reglamentuojantiems teisės aktams.

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

47. VATIS valdytojas, VATIS tvarkytojas, VATIS naudotojai, VATIS saugos įgaliotinis, VATIS administratorius, pažeidę Saugos nuostatų, Saugos politiką įgyvendinančių dokumentų ir kitų teisės aktų, reglamentuojančių saugų elektroninės informacijos tvarkymą, nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

48. Saugos nuostatai, Saugos politiką įgyvendinantys dokumentai peržiūrimi (persvarstomi) ir, jei reikia, atnaujinami ne rečiau kaip kartą per metus, taip pat įvykus esminiams organizaciniams, sisteminiams ar kitiems VAT pokyčiams arba įvykus elektroninės informacijos saugos elektroninės informacijos saugos incidentams.

49. Saugos nuostatai, Saugos politiką įgyvendinantys dokumentai derinami su Nacionaliniu kibernetinio saugumo centru. Keičiami Saugos nuostatai, Saugos politiką įgyvendinantys dokumentai gali būti nederinami su Nacionaliniu kibernetinio saugumo centru tais atvejais, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar elektroninės informacijos saugos politikos ir kibernetinio saugumo politikos nekeičiantys pakeitimai. Tokiais atvejais Nacionaliniam kibernetinio saugumo centrui turi būti pateiktos šių dokumentų kopijos.

______________