DĖL GEOREFERENCINIO PAGRINDO KADASTRO duomenų ir KADASTRO INFORMACIJOS saugos nuostatų PATVIRTINIMO
2014 m. gegužės 6 d. Nr. 1P-(1.3)-169 Vilnius |
Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 3 dalimi, Georeferencinio pagrindo kadastro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2013 m. kovo 13 d. nutarimu Nr. 215 „Dėl Georeferencinio pagrindo kadastro steigimo, jo nuostatų patvirtinimo ir veikimo pradžios nustatymo“, 69 punktu ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7.1 papunkčiu ir 11 ir 19 punktais:
1. T v i r t i n u Georeferencinio pagrindo kadastro duomenų ir kadastro informacijos saugos nuostatus (pridedama).
2. S k i r i u Nacionalinės žemės tarnybos prie Žemės ūkio ministerijos Rizikų valdymo ir veiklos kokybės užtikrinimo skyriaus vyriausiąją specialistę Juditą Jablonskytę Georeferencinio pagrindo kadastro saugos įgaliotiniu ir pavedu jai per 5 mėnesius nuo šio įsakymo įsigaliojimo parengti ir pateikti tvirtinti:
3. P a v e d u valstybės įmonės Distancinių tyrimų ir geoinformatikos centro „GIS-Centras“ direktoriui Evaldui Rožanskui per 2 mėnesius nuo šio įsakymo įsigaliojimo paskirti Georeferencinio pagrindo kadastro duomenų valdymo įgaliotinį.
PATVIRTINTA
Nacionalinės žemės tarnybos prie
Žemės ūkio ministerijos direktoriaus
2014 m. gegužės 6 d. įsakymu
Nr. 1P-(1.3.)-169
GEOREFERENCINIO PAGRINDO KADASTRO DUOMENŲ IR KADASTRO INFORMACIJOS SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Georeferencinio pagrindo kadastro duomenų ir kadastro informacijos saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Georeferencinio pagrindo kadastro (toliau – Kadastras) duomenų ir Kadastro informacijos saugos politiką.
2. Kadastre tvarkomų Kadastro duomenų ir Kadastro informacijos saugumo
tikslas – sudaryti sąlygas saugiai automatizuotu būdu saugoti ir tvarkyti Kadastro duomenis ir Kadastro informaciją, užtikrinti jų konfidencialumą, vientisumą ir prieinamumą bei tinkamą Kadastro infrastruktūros (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) veikimą.
3. Saugos nuostatai parengti vadovaujantis:
3.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;
3.2. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;
3.3. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Technininių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimų“
(toliau – Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai);
3.4. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Informacinių technologijų saugos atitikties vertinimo metodika).
4. Saugos nuostatuose vartojamos sąvokos:
Kadastro valdytojas – Nacionalinė žemės tarnyba prie Žemės ūkio ministerijos, kurios buveinės adresas: Gedimino pr. 19, LT-01103 Vilnius;
Kadastro tvarkytojas – valstybės įmonė Distancinių tyrimų ir geoinformatikos centras ,,GIS-Centras“, kurios buveinės adresas: Sėlių g. 66, LT-08109 Vilnius;
Administratorius – Kadastro tvarkytojo vadovo paskirtas darbuotojas, atliekantis Kadastro priežiūrą, užtikrinantis jo veikimą ir Kadastro duomenų ir Kadastro informacijos saugą;
Saugos įgaliotinis – Kadastro valdytojo vadovo įsakymu paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis saugos politikos įgyvendinimą Kadastre;
Kadastro naudotojas – Kadastro valdytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, arba Kadastro tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją.
Kitos Saugos nuostatuose vartojamos sąvokos atitinka Saugos nuostatų 3 punkte nurodytuose teisės aktuose bei Lietuvos standartuose LST ISO/IEC 27001:2013 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir LST ISO/IEC 27002:2014 „Informacijos technologija. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ vartojamas sąvokas.
5. Saugos nuostatų reikalavimai taikomi tvarkant Kadastro duomenis ir Kadastro informaciją ir yra privalomi Kadastro valdytojui, Kadastro tvarkytojui, administratoriui, saugos įgaliotiniui ir Kadastro naudotojams.
6. Kadastro duomenų saugos tikslas – užtikrinti Kadastro duomenų ir Kadastro informacijos vientisumą, prieinamumą ir konfidencialumą bei tinkamą Kadastro infrastruktūros (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) veikimą.
7. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:
7.1. elektroninės informacijos prieinamumo, vientisumo ir konfidencialumo užtikrinimas;
7.2. veiklos tęstinumo užtikrinimas;
7.3. asmens duomenų apsauga;
7.4. administracinių, techninių ir kitų priemonių, skirtų Kadastro duomenų ir Kadastro informacijos saugai užtikrinti, įgyvendinimas ir kontrolė;
7.5. Kadastro naudotojų mokymas.
8. Kadastro valdytojas atsako už Kadastro saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir Kadastro duomenų ir Kadastro informacijos tvarkymo teisėtumą bei atlieka šias funkcijas:
8.1. tvirtina Kadastro duomenų ir Kadastro informacijos saugos politiką įgyvendinančius teisės aktus (toliau – Kadastro saugos dokumentai):
8.1.1. Kadastro saugaus elektroninės informacijos tvarkymo taisykles;
8.1.2. Kadastro naudotojų administravimo taisykles;
8.1.3. Kadastro veiklos tęstinumo valdymo planą;
8.1.4. Kadastro rizikos įvertinimo ataskaitą;
8.1.5. Kadastro rizikos įvertinimo ir rizikos valdymo priemonių planą;
8.1.6. Kadastro trūkumų šalinimo planą;
8.1.7. Saugos nuostatus;
8.2. kontroliuoja, kaip laikomasi Georeferencinio pagrindo kadastro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. kovo 13 d. nutarimu Nr. 215 „Dėl Georeferencinio pagrindo kadastro steigimo, jo nuostatų patvirtinimo ir veikimo pradžios nustatymo“ (toliau – Kadastro nuostatai), Kadastro saugos dokumentuose ir kituose elektroninės informacijos saugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų;
8.3. skiria saugos įgaliotinį;
8.4. analizuoja Kadastro tvarkytojo pateiktus pasiūlymus, juos apibendrina ir priima sprendimus dėl Kadastro techninės ir programinės įrangos, būtinos Kadastro duomenų ir Kadastro informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
8.5. priima sprendimą dėl Kadastro informacinių technologijų saugos atitikties vertinimo atlikimo;
8.6. atlieka kitas Kadastro nuostatais, šiais Saugos nuostatais, kitais Kadastro saugos dokumentais ir elektroninės informacijos saugą reglamentuojančiais teisės aktais jam priskirtas funkcijas.
9. Kadastro tvarkytojas atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir kituose Kadastro saugos dokumentuose nustatyta tvarka bei atlieka šias funkcijas:
9.1. pagal kompetenciją įgyvendina Kadastro nuostatų, šių Saugos nuostatų, kitų Kadastro saugos dokumentų ir elektroninės informacijos saugą reglamentuojančių teisės aktų reikalavimus;
9.2. užtikrina, kad Kadastro duomenys ir Kadastro informacija būtų apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo;
9.3. Kadastro valdytojo vadovo pavedimu skiria duomenų valdymo įgaliotinį;
9.4. saugos įgaliotinio teikimu skiria administratorių;
9.5. užtikrina Kadastro techninę priežiūrą, nepertraukiamą Kadastro veikimą, Kadastro duomenų ir Kadastro informacijos saugą ir saugų Kadastro duomenų perdavimą kompiuterių tinklais;
9.6. teikia pasiūlymus Kadastro valdytojui dėl Kadastro techninių ir programinių priemonių, būtinų Kadastro duomenų ir Kadastro informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
9.7. atlieka kitas Kadastro nuostatais, šiais Saugos nuostatais, kitais Kadastro saugos dokumentais ir elektroninės informacijos saugą reglamentuojančiais teisės aktais jam priskirtas funkcijas.
10. Saugos įgaliotinis koordinuodamas ir prižiūrėdamas saugos politikos įgyvendinimą Kadastre atlieka šias funkcijas:
10.1. rengia Kadastro saugos dokumentų projektus (išskyrus Kadastro trūkumų šalinimo planą ir Kadastro rizikos įvertinimo ataskaitą);
10.2. teikia Kadastro valdytojo vadovui pasiūlymus dėl Kadastro saugos dokumentų priėmimo, keitimo; Kadastro informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;
10.3. koordinuoja elektroninės informacijos saugos incidentų (toliau – Kadastro saugos incidentas), įvykusių Kadastre, tyrimą ir bendradarbiauja su kompetentingoms institucijoms, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;
10.4. kasmet organizuoja Kadastro rizikos įvertinimą;
10.5. teikia Kadastro tvarkytojui pasiūlymus dėl administratoriaus skyrimo ir reikalavimų administratoriui nustatymo;
10.6. teikia administratoriui ir Kadastro naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;
10.7. periodiškai organizuoja administratoriaus ir Kadastro naudotojų mokymus Kadastro duomenų ir Kadastro informacijos saugos klausimais, įvairiais būdais informuoja juos apie Kadastro duomenų ir Kadastro informacijos saugos problematiką (priminimai elektroniniu paštu, atmintinės darbuotojams ir pan.);
10.8. pasirašytinai supažindina administratorių ir Kadastro naudotojus su Kadastro saugos dokumentais ir atsakomybe, kylančia dėl jų pažeidimo;
10.9. atlieka kitas Kadastro valdytojo vadovo pavestas, šiais Saugos nuostatais, kitais Kadastro saugos dokumentais ir elektroninės informacijos saugą reglamentuojančiais teisės aktais jam priskirtas funkcijas.
11. Administratorius atsako už Kadastro infrastruktūros funkcionavimą ir Kadastro duomenų ir Kadastro informacijos saugą bei atlieka šias funkcijas:
11.1. vertina Kadastro naudotojų pasirengimą dirbti su Kadastru;
11.2. suteikia, pakeičia, panaikina prieigos teises Kadastro naudotojams;
11.3. atlieka Kadastro infrastruktūros (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) ir Kadastrą sudarančių sistemų ir posistemių priežiūrą;
11.4. atlieka Kadastro informacinių technologijų saugos reikalavimų atitikties vertinimą ir rengia Kadastro informacinių technologijų saugos atitikties vertinimo ataskaitą;
11.5. rengia pasiūlymus dėl Kadastro duomenų ir Kadastro informacijos saugos, Kadastro modernizavimo ir teikia juos saugos įgaliotiniui;
11.6. informuoja saugos įgaliotinį apie Kadastro saugos incidentus, neveikiančias arba netinkamai veikiančias Kadastro duomenų ir Kadastro informacijos saugos užtikrinimo priemones ir teikia pasiūlymus dėl jų pašalinimo;
11.7. rengia Kadastro trūkumų šalinimo planą;
11.8. rengia Kadastro rizikos įvertinimo ataskaitą;
11.9. užtikrina Kadastro veikimą;
11.10. nustato rizikos veiksnius, galinčius pažeisti Kadastro duomenų ir Kadastro informacijos saugą;
11.11. parenka Kadastro techninės ir programinės įrangos saugos priemones bei nustato jų atitiktį Kadastro saugos dokumentų reikalavimams;
11.12. reguliariai, ne rečiau kaip kartą per metus ir (arba) po Kadastro pokyčio, patikrina (peržiūri) Kadastro sąranką ir Kadastro būsenos rodiklius;
11.13. atlieka kitas saugos įgaliotinio pavestas, šiais Saugos nuostatais, kitais Kadastro saugos dokumentais ir elektroninės informacijos saugą reglamentuojančiais teisės aktais jam priskirtas funkcijas.
12. Kadastro duomenų ir Kadastro informacijos sauga užtikrinama vadovaujantis šiais teisės aktais:
12.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;
12.2. Kadastro nuostatais;
12.3. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716;
12.4. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais;
12.5. Lietuvos standartu LST ISO/IEC 27001:2013 „Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir LST ISO/IEC 27002:2014 „Informacijos technologija. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“;
12.6. Kadastro saugaus elektroninės informacijos tvarkymo taisyklėmis;
12.7. Kadastro naudotojų administravimo taisyklėmis;
12.8. Kadastro veiklos tęstinumo valdymo planu;
12.9. Kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugumo politiką, duomenų tvarkymo teisėtumą.
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
13. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.3.1 ir 4.3.2 papunkčiais, Kadastro duomenys ir Kadastro informacija priskiriami žinybinės svarbos elektroninės informacijos kategorijai, atsižvelgiant į tai, kad dėl elektroninės informacijos saugumo pažeidimo gali kilti grėsmė įvykti procesams, kurie:
13.1. gali padaryti žalą vieno ar kelių fizinių ar juridinių asmenų teisėtiems interesams, taip pat ir asmens duomenų apsaugai;
13.2. gali turėti neigiamų padarinių Kadastro tvarkytojo veiklai;
13.3. Kadastro tvarkytojui gali sukelti finansinius nuostolius, ne didesnius nei 1 000 000 litų;
13.4. gali sukelti kitų neigiamų padarinių Kadastro tvarkytojui.
14. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.3 papunkčiu, Kadastras yra priskiriamas trečios kategorijos informacinėms sistemoms dėl Kadastre apdorojamos žinybinės svarbos elektroninės informacijos.
15. Saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip vieną kartą per metus organizuoja Kadastro rizikos įvertinimą ir išanalizuoja rizikos veiksnius, galimas jų pašalinimo arba neigiamo poveikio sumažinimo priemones. Prireikus saugos įgaliotinis organizuoja neeilinį Kadastro rizikos įvertinimą. Kadastro valdytojo vadovo rašytiniu pavedimu Kadastro rizikos įvertinimą gali atlikti pats saugos įgaliotinis.
16. Kadastro duomenų ir Kadastro informacijos saugos priemonės parenkamos įvertinus galimus rizikos veiksnius Kadastro duomenų ir Kadastro informacijos vientisumui, konfidencialumui ir prieinamumui.
17. Kadastro rizikos įvertinimas išdėstomas Kadastro rizikos įvertinimo ataskaitoje. Kadastro rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos Kadastro duomenų ir Kadastro informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus ir rizikos priimtinumo kriterijus. Pagrindiniai rizikos veiksniai, kurie gali turėti įtakos Kadastro duomenų ir Kadastro informacijos saugai, yra:
17.1. subjektyvūs netyčiniai (Kadastro duomenų ir Kadastro informacijos tvarkymo klaidos ir apsirikimai, Kadastro duomenų ir Kadastro informacijos ištrynimas, klaidingas Kadastro duomenų ir Kadastro informacijos teikimas Kadastro naudotojams, fiziniai informacinių technologijų sutrikimai, Kadastro duomenų ir Kadastro informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
17.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Kadastru Kadastro duomenims ir Kadastro informacijai gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);
17.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
18. Atsižvelgdamas į Kadastro rizikos įvertinimo ataskaitą, saugos įgaliotinis prireikus parengia Kadastro rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos veiksnių valdymo priemonėms įgyvendinti. Kadastro rizikos įvertinimo ataskaita, Kadastro rizikos įvertinimo ir rizikos valdymo priemonių planas teikiami tvirtinti Kadastro valdytojo vadovui.
19. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:
19.1. likutinė rizika turi būti sumažinta iki priimtino lygio;
19.2. elektroninės informacijos saugos priemonės diegimo kaina adekvati saugomos elektroninės informacijos vertei;
19.3. turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos priemonės.
20. Saugos įgaliotinis, vadovaudamasis Informacinių technologijų saugos atitikties vertinimo metodika, ne rečiau kaip kartą per dvejus metus organizuoja Kadastro informacinių technologijų saugos atitikties vertinimą.
Administratorius, atlikęs Kadastro informacinių technologijų saugos atitikties vertinimą, rengia Kadastro informacinių technologijų saugos atitikties vertinimo ataskaitą, kuri pateikiama Kadastro valdytojo vadovui, ir, jeigu atlikus Kadastro informacinių technologijų saugos atitikties vertinimą buvo pastebėti Kadastro duomenų ir Kadastro informacijos saugos trūkumai, rengia Kadastro trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Kadastro valdytojo vadovas.
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
21. Priemonės ir metodai, kurie taikomi užtikrinant prieigą prie Kadastro, nurodant leistiną šios prieigos laiką ir būdą, nustatomi Kadastro naudotojų administravimo taisyklėse.
22. Taikomi šie Kadastro programinės įrangos, skirtos apsaugoti Kadastrą nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.), naudojimo reikalavimai:
22.1. Kadastro tarnybinių stočių, Kadastro naudotojų kompiuterių operacinių sistemų ir taikomųjų programų struktūra sudaroma tokiu būdu, kad būtų užtikrintas didžiausias saugumo lygis (išjungiami nereikalingi darbui procesai ir reikmenys (angl. services), ribojamas priėjimas prie operacinės sistemos prievadų);
22.2. Kadastro tarnybinėse stotyse, Kadastro naudotojų kompiuteriuose privalo būti naudojama ir reguliariai, ne rečiau kaip kartą per parą, automatiškai atnaujinama programinė įranga, skirta apsaugai nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.);
22.3. Kadastro tarnybinėse stotyse turi veikti programinė įranga, susijusi tik su Kadastro funkcine sistema;
22.4. Kadastro programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims, t. y. asmenims, nenurodytiems Kadastro naudotojų administravimo taisyklėse;
22.5. Kadastrui funkcionuoti būtina programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kita) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Programinės įrangos kontrolę atlieka administratorius;
22.6. Kadastrui funkcionuoti būtina programinė įranga turi būti atnaujinama ne vėliau kaip per 5 darbo dienas nuo programinės įrangos gamintojų pranešimo apie programinės įrangos atnaujinimą gavimą dienos. Programinės įrangos atnaujinimą atlieka administratorius;
22.7. Programinės įrangos testavimas turi būti atliekamas naudojant atskirą tam skirtą testavimo aplinką.
23. Programinės įrangos naudojimo ribojimo nuostatos:
23.1. Kadastro tarnybinėse stotyse ir Kadastro naudotojų kompiuteriuose diegiama tik legali ir saugi programinė įranga;
23.2. Kadastro naudotojams leidžiama naudoti tik legalią programinę įrangą. Periodiškai, ne rečiau kaip kartą per 6 mėnesius, turi būti tikrinama, ar nenaudojama nelegali programinė įranga. Rasta nelegali programinė įranga turi būti nedelsiant pašalinta. Programinės įrangos naudojimo kontrolę atlieka administratorius;
23.3. Kadastro naudotojų kompiuteriuose draudžiama naudoti programinę įrangą, nesusijusią su jų tiesiogine veikla ir funkcijomis;
23.4. turi būti naudojama Kadastro administravimo programinės įrangos ugniasienė;
23.5. Kadastro naudotojų veiksmai registruojami elektroniniame Kadastro naudotojų veiksmų žurnale.
25. Stacionarieji ir nešiojamieji Kadastro naudotojų kompiuteriai privalo būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai atlikti. Iš kompiuterių, kurie perduodami remontuoti ar techninei priežiūrai atlikti, turi būti pašalinti visi Kadastro duomenys ir Kadastro informacija.
26. Kompiuteriuose, turinčiuose prieigą prie Kadastro ir naudojamuose nustatytoms funkcijoms vykdyti ne Kadastro valdytojo ar Kadastro tvarkytojo patalpose, turi būti įdiegiamos papildomos saugos priemonės (duomenų šifravimas, prisijungimo ribojimai).
27. Prieiga prie Kadastro duomenų ir Kadastro informacijos Kadastro naudotojams suteikiama pagal Kadastro naudotojų administravimo taisyklėse nustatytą tvarką ir sąlygas.
28. Kompiuterių tinklas, prie kurio prijungtos Kadastro tarnybinės stotys, nuo viešojo interneto turi būti atskirtas tinklo užkarda (angl. firewall). Už šios tinklo užkardos priežiūrą atsako administratorius.
29. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojamas Saugus valstybinis duomenų perdavimo tinklas (toliau – SVDPT).
30. Kadastro naudotojų kompiuterių tinklai turi tenkinti SVDPT saugos organizavimo, valdymo ir SVDPT naudotojų prijungimo reikalavimus, nustatytus Saugaus valstybinio duomenų perdavimo tinklo elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2007 m. birželio 5 d. įsakymu Nr. 1V-210 „Dėl Saugaus valstybinio duomenų perdavimo tinklo elektroninės informacijos saugos reikalavimų patvirtinimo“.
31. Kadastro duomenys ir Kadastro informacija perduodami arba duomenys iš susijusių valstybės registrų ir informacinių sistemų gaunami elektroninių ryšių tinklais pagal duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka.
32. Atsitiktinai ar neteisėtai prarasti, pakeisti ar sunaikinti Kadastro duomenys ir Kadastro informacija atkuriami iš atsarginių Kadastro duomenų ir Kadastro informacijos kopijų. Kadastro duomenys ir Kadastro informacija yra periodiškai ne rečiau kaip kas 24 valandas kopijuojami į atsarginių kopijų laikmenas ir šios laikmenos saugomos taip, kad įvykus elektroninės informacijos saugos incidentui visiškas Kadastro funkcionalumas ir veikla būtų atkurti per 16 valandų. Kadastro duomenų ir Kadastro informacijos kopijos saugomos užrakintoje nedegioje spintoje, esančioje kitose patalpose nei yra Kadastro tarnybinių stočių įrenginys, kurio elektroninė informacija buvo nukopijuota. Už atsarginių Kadastro duomenų ir Kadastro informacijos kopijų darymą ir saugojimą atsako administratorius. Atsarginių Kadastro duomenų ir Kadastro informacijos kopijų, iš kurių būtų galima atstatyti Kadastro duomenis ir Kadastro informaciją, darymo ir saugojimo tvarka nustatoma Kadastro saugaus elektroninės informacijos tvarkymo taisyklėse.
33. Kadastro duomenų ir Kadastro informacijos atkūrimo iš atsarginių kopijų testavimas atliekamas ne rečiau kaip kartą per metus.
IV. REIKALAVIMAI PERSONALUI
34. Saugos įgaliotinis privalo išmanyti Kadastro duomenų ir Kadastro informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendruoju elektroninės informacijos saugos reikalavimų aprašu, Kadastro saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų informacijos tvarkymą informacinėse sistemose, ir sugebėti prižiūrėti Kadastro saugos politikos įgyvendinimą.
35. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
36. Administratorius turi išmanyti darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugumą, būti susipažinęs su Kadastro saugos dokumentais bei raštu sutikęs laikytis juose nustatytų reikalavimų. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais, mokėti tvarkyti Kadastro duomenis ir Kadastro informaciją.
37. Kadastro naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti Kadastro duomenis ir Kadastro informaciją, būti susipažinę su Kadastro saugos dokumentais bei raštu sutikę laikytis juose nustatytų reikalavimų.
38. Saugos įgaliotinis ir administratorius turi nuolat tobulinti kvalifikaciją duomenų saugos srityje. Saugos įgaliotinis ne rečiau kaip kartą per dvejus metus organizuoja Kadastro naudotojų mokymus informacijos saugos klausimais.
39. Kadastro naudotojai privalo rūpintis Kadastro ir jame tvarkomų duomenų ir informacijos saugumu.
40. Kadastro naudotojai, pastebėję Kadastro saugos dokumentų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai administratoriui ir saugos įgaliotiniui.
41. Jeigu saugos įgaliotinis nebuvo informuotas apie Saugos nuostatų 40 punkte nurodytus pažeidimus, administratorius informuoja saugos įgaliotinį apie šiuos pažeidimus. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią Kadastro saugą (jos konfidencialumą, vientisumą ar prieinamumą), saugos įgaliotinis apie tai turi pranešti Kadastro valdytojo vadovui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais.
42. Kadastro naudotojų veiksmus, įvykus elektroninės informacijos saugos incidentui, reglamentuoja bei elektroninės informacijos saugos incidentų tyrimo tvarką nustato Kadastro valdytojas.
V. KADASTRO NAUDOTOJŲ IR ADMINISTRATORIAUS SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
43. Administratorių ir Kadastro naudotojus su Kadastro saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina saugos įgaliotinis per 20 darbo dienų nuo šių dokumentų patvirtinimo. Saugos įgaliotinis tvarko Kadastro naudotojų supažindinimo su Kadastro saugos dokumentais žurnalą, kuriame pildomos šios skiltys: supažindinimo data, Kadastro naudotojo vardas ir pavardė, pareigos, parašas.
44. Saugos įgaliotinis informuoja administratorių ir Kadastro naudotojus apie Saugos nuostatų ar kitų Kadastro saugos dokumentų pakeitimus. Informacija apie pasikeitimus saugos politiką reguliuojančiuose teisės aktuose siunčiama elektroniniu būdu. Pakartotinai su Saugos nuostatais ir Kadastro saugos dokumentais Kadastro naudotojai pasirašytinai supažindinami pasikeitus Kadastro saugos dokumentams.
45. Saugos įgaliotinis įvairiais būdais informuoja administratorių ir Kadastro naudotojus apie informacijos saugos problematiką (priminimai elektroniniu paštu, atmintinės darbuotojams ir pan.).
VI. BAIGIAMOSIOS NUOSTATOS
46. Saugos nuostatai ir kiti Kadastro saugos dokumentai turi būti peržiūrėti ne rečiau kaip kartą per kalendorinius metus, atlikus Kadastro rizikos įvertinimą ir Kadastro informacinių technologijų saugos atitikties vertinimą, įvykus organizaciniams, technologiniams ar kitiems Kadastro pokyčiams.
47. Saugos įgaliotinis, administratorius ir Kadastro naudotojai privalo saugoti Kadastro duomenų ir Kadastro informacijos paslaptį, įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą.
48. Saugos įgaliotinis, administratorius ir Kadastro naudotojai, pažeidę Saugos nuostatų reikalavimus, traukiami tarnybinėn ar drausminėn atsakomybėn Lietuvos Respublikos valstybės tarnybos įstatymo, Lietuvos Respublikos darbo kodekso ir kitų teisės aktų nustatyta tvarka.
__________________________