VALSTYBINĖS KELIŲ TRANSPORTO INSPEKCIJOS

PRIE SUSISIEKIMO MINISTERIJOS

VIRŠININKAS

ĮSAKYMAS

DĖL KELIŲ TRANSPORTO VEIKLOS VALSTYBĖS INFORMACINĖS SISTEMOS „KELTRA“ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2015 m. kovo 13 d. Nr. 2B-44

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7 ir 11 punktais:

1. T v i r t i n u Kelių transporto veiklos valstybės informacinės sistemos „Keltra“ duomenų saugos nuostatus (pridedama).

2. S k i r i u Informacinių technologijų skyriaus patarėją Gintarą Serbentą Kelių transporto veiklos valstybės informacinės sistemos „Keltra“ saugos įgaliotiniu.

3. P r i p a ž į s t u netekusiais galios:

3.1. Valstybinės kelių transporto inspekcijos prie Susisiekimo ministerijos viršininko 2011 m. birželio 2 d. įsakymą Nr. 2B-228 „Dėl Kelių transporto veiklos valstybės informacinės sistemos „Keltra“ duomenų saugos nuostatų patvirtinimo“;

3.2. Valstybinės kelių transporto inspekcijos prie Susisiekimo ministerijos viršininko 2014 m. gegužės 21 d. įsakymą Nr. 2B-103 „Dėl Valstybinės kelių transporto inspekcijos prie Susisiekimo ministerijos viršininko 2011 m. birželio 2 d. įsakymo Nr. 2B-228 „Dėl Kelių transporto veiklos valstybės informacinės sistemos „Keltra“ duomenų saugos nuostatų patvirtinimo“ pakeitimo“.

4. Šis įsakymas nustatyta tvarka skelbiamas Lietuvos Respublikos teisės aktų registre ir Valstybinės kelių transporto inspekcijos prie Susisiekimo ministerijos interneto svetainėje.

Inspekcijos viršininkas Vidmantas Žukauskas

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2015 m. sausio 20 d. raštu Nr. 1D-609 (52)

PATVIRTINTA

Valstybinės kelių transporto inspekcijos

prie Susisiekimo ministerijos viršininko

2015 m. kovo 13 d. įsakymu Nr. 2B-44

KELIŲ TRANSPORTO VEIKLOS VALSTYBĖS INFORMACINĖS SISTEMOS „KELTRA“ DUOMENŲ SAUGOS NUOSTATAI

I. bendroSIOS NUOSTATOS

1. Kelių transporto veiklos valstybės informacinės sistemos „Keltra“ duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Kelių transporto veiklos valstybės informacinės sistemos „Keltra“ (toliau – IS „Keltra“) elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui ir supažindinimo su saugos dokumentais principus.

2. Saugos nuostatų tikslas – sudaryti sąlygas tinkamam tarnybinių stočių, kompiuterių tinklo, kompiuterizuotų darbo vietų techninės ir programinės įrangos veikimui ir saugiam šios įrangos naudojimui, saugiu automatiniu būdu tvarkyti IS „Keltra“ elektroninę informaciją ir užtikrinti elektroninės informacijos konfidencialumą, prieinamumą ir vientisumą. IS „Keltra“ elektroninės informacijos saugą užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės.

3. Saugos nuostatuose vartojama sąvoka IS „Keltra“ naudotojas – Valstybinės kelių transporto inspekcijos prie Susisiekimo ministerijos (toliau – Inspekcija) valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją.

4. Kitos Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Saugos reikalavimų aprašas), ir aktualiuose Lietuvos standartuose LST ISO/IEC 27002, LST ISO/IEC 27001 vartojamas sąvokas.

5. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

5.1. elektroninės informacijos konfidencialumas;

5.2. elektroninės informacijos vientisumas;

5.3. elektroninės informacijos prieinamumas;

5.4. IS „Keltra“ veiklos tęstinumas;

5.5. asmens duomenų apsauga.

6. IS „Keltra“ valdytojas ir tvarkytojas yra Inspekcija (adresas: Švitrigailos g. 42, LT-03209 Vilnius, Lietuva).

7. IS „Keltra“ valdytojo ir tvarkytojo funkcijos, teisės ir pareigos nurodytos Kelių transporto veiklos valstybės informacinės sistemos „Keltra“ nuostatuose, patvirtintuose Valstybinės kelių transporto inspekcijos prie Susisiekimo ministerijos viršininko 2011 m. gegužės 17 d. įsakymu Nr. 2B-195 „Dėl Kelių transporto veiklos valstybės informacinės sistemos „Keltra“ nuostatų patvirtinimo“.

8. IS „Keltra“ saugos įgaliotinio funkcijos ir atsakomybė:

8.1. teikia IS „Keltra“ valdytojui pasiūlymus dėl:

8.1.1. IS „Keltra“ administratoriaus (-ių) paskyrimo ir reikalavimų administratoriui (-iams) nustatymo;

8.1.2. informacinių technologijų saugos atitikties vertinimo atlikimo Saugos reikalavimų aprašo 43 punkte nurodytoje metodikoje nustatyta tvarka;

8.1.3. saugos dokumentų priėmimo ir (ar) keitimo;

8.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių IS „Keltra“, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis
elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su
elektroninės informacijos saugos incidentais, išskyrus atvejus, kai šią funkciją atlieka elektroninės
informacijos saugos darbo grupės;

8.3. informuoja IS „Keltra“ valdytoją ir kompetentingas institucijas apie neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią IS „Keltra“ saugą;

8.4. teikia IS „Keltra“ naudotojams ir IS „Keltra“ administratoriui (-iams) privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

8.5. pagal kompetenciją kitiems IS „Keltra“ valdytojo ir IS „Keltra“ tvarkytojo valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartis, duoda privalomus vykdyti nurodymus ir pavedimus, būtinus saugos politikai įgyvendinti;

8.6. organizuoja IS „Keltra“ saugos rizikos įvertinimą;

8.7. organizuoja IS „Keltra“ naudotojų ir IS „Keltra“ administratoriaus (-ių) mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas;

8.8. atlieka kituose teisės aktuose jam priskirtas kitas funkcijas;

8.9. įgyvendindamas elektroninės informacijos saugą, negali atlikti IS „Keltra“ administratoriaus funkcijų ir yra atsakingas už tinkamą Saugos nuostatuose nustatytų funkcijų vykdymą.

9. IS „Keltra“ administratoriaus funkcijos ir atsakomybė:

9.1. organizuoja pradinį IS „Keltra“ konfigūravimą;

9.2. registruoja IS „Keltra“ naudotojus IS „Keltra“ testavimo ir (ar) darbinėje aplinkoje, jiems suteikia prisijungimo vardus ir slaptažodžius (autentifikavimo duomenis), teises ir leidžiamus veiksmus IS „Keltra“ (autorizavimo duomenis);

9.3. tvarko IS „Keltra“ klasifikatorių ir IS „Keltra“ veikimo parametrų įrašus;

9.4. atsako už nepertraukiamą IS „Keltra“ veikimą;

9.5. koordinuoja IS „Keltra“ komponentų administratorių veiklą;

9.6. koordinuoja IS „Keltra“ komponentų veikimą ir kontroliuoja IS „Keltra“ veikimą;

9.7. dalyvauja valdant IS „Keltra“ pokyčius, pagal kompetenciją juos įgyvendina;

9.8. dalyvauja atkuriant IS „Keltra“ elektroninius duomenis iš duomenų atsarginių kopijų;

9.9. perkelia elektroninius duomenis į IS „Keltra“ duomenų archyvą ir tvarko elektroninių duomenų perkėlimo įrašų žurnalą;

9.10. naikina elektroninius duomenis IS „Keltra“ duomenų archyvuose ir tvarko elektroninių duomenų naikinimo įrašų žurnalą;

9.11. tvarko IS „Keltra“ eksploatacijos žurnalą;

9.12. moko IS „Keltra“ naudotojus, juos konsultuoja;

9.13. vykdo saugos įgaliotinio nurodymus ir pavedimus, susijusius su IS „Keltra“ saugos užtikrinimu;

9.14. nuolat teikia informaciją saugos įgaliotiniui dėl IS „Keltra“ saugos užtikrinimo;

9.15. atlieka kitas IS „Keltra“ valdytojo pavestas funkcijas.

10. IS „Keltra“ komponento administratoriaus funkcijos ir atsakomybė:

10.1. prireikus registruoja IS „Keltra“ naudotojus IS „Keltra“ testinėje ir (ar) darbinėje aplinkoje, jiems suteikia prisijungimo vardus ir slaptažodžius (autentifikavimo duomenis), teises ir leidžiamus veiksmus IS „Keltra“ (autorizavimo duomenis);

10.2. prireikus tvarko IS „Keltra“ klasifikatorių ir IS „Keltra“ veikimo parametrų įrašus;

10.3. moko naujus IS „Keltra“ komponento naudotojus, juos konsultuoja;

10.4. įvertina IS „Keltra“ komponento sudedamųjų dalių (kompiuterizuotų darbo vietų, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, Inspekcijos teritorinio kompiuterių tinklo programinės ir duomenų perdavimo įrangos) būklę, stebi IS „Keltra“ komponento sudedamųjų dalių sąrankos (kaip vienos visumos) veikimą, būklės rodiklius, nustato IS „Keltra“ komponento pažeidžiamas vietas;

10.5. atsako už nuolatinį IS „Keltra“ komponento veikimą;

10.6. sprendžia iškilusias problemas ir apie jas informuoja IS „Keltra“ administratorių, saugos įgaliotinį ir Informacinių technologijų skyriaus vedėją;

10.7. dalyvauja svarstant IS „Keltra“ komponento pokyčius, vykdant šių pokyčių įgyvendinimą;

10.8. teikia pasiūlymų IS „Keltra“ saugos įgaliotiniui dėl IS „Keltra“ saugos organizavimo, atlieka kitas Saugos nuostatų ir kitų informacinių sistemų saugą reglamentuojančių teisės aktų nustatytas funkcijas;

10.9. tvarko IS „Keltra“ komponento eksploatacijos žurnalą;

10.10. atlieka kitas IS „Keltra“ valdytojo, IS „Keltra“ saugos įgaliotinio ir IS „Keltra“ administratoriaus pavestas funkcijas.

11. Saugų IS „Keltra“ duomenų tvarkymą reglamentuoja:

11.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

11.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

11.3. Saugos reikalavimų aprašas;

11.4. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas, patvirtintas Lietuvos Respublikos
Vyriausybės 2013 m. liepos 24 nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos
reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Gairių aprašas);

11.5. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

11.6. aktualūs Lietuvos standartai LST ISO/IEC 27002 ir LST ISO/IEC 27001, Lietuvos ir tarptautiniai standartai, nustatantys saugų elektroninės informacijos tvarkymą;

11.7. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“;

11.8. kiti teisės aktai, reglamentuojantys elektroninės informacijos saugą.

II. Elektroninės informacijos SAUGOS VALDYMAS

12. Vadovaujantis Gairių aprašo 4.2.3, 4.2.4 ir 4.2.7 punktų nuostatomis, IS „Keltra“ tvarkoma elektroninė informacija priskirtina svarbios elektroninės informacijos kategorijai. Atsižvelgiant į elektroninės informacijos svarbos kategoriją ir vadovaujantis Gairių aprašo 5.2 punkto nuostata, IS „Keltra“ priskiriama antrajai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų kategorijai.

13. Vadovaujantis Saugos nuostatų 11.7 punkte nurodyto teisės akto 11.3 punkto nuostatomis, IS „Keltra“ asmens duomenų tvarkymas automatiniu būdu priskiriamas trečiajam saugumo lygiui.

14. IS „Keltra“ rizikos įvertinimas (toliau – rizikos įvertinimas) atliekamas vadovaujantis šiomis nuostatomis:

14.1. įvertinimas atliekamas ne rečiau kaip kartą per vienus metus, jeigu teisės aktai nenustato kitaip;

14.2. neeilinis rizikos įvertinimas atliekamas padarius esminius IS „Keltra“ funkcinius pakeitimus arba kai įvyksta dideli Inspekcijos organizaciniai pokyčiai, arba kai atsiranda naujų informacinių technologijų saugos srities reikalavimų, arba po didelio masto saugos incidentų, kai nustatoma naujų rizikos formų;

14.3. atliekant rizikos įvertinimą, vadovaujamasi Lietuvos Respublikos vidaus reikalų ministerijos metodine priemone „Rizikos analizės vadovas“, Saugos nuostatų 11.6 punkte nurodytais standartais, geriausiomis praktikomis (COBIT ar kitomis) ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais;

14.4. taikoma detali rizikos analizės strategija, kokybiniai rizikos analizės metodai;

14.5. įvertinami svarbiausi saugos rizikos veiksniai: subjektyvūs netyčiniai vidiniai ir išoriniai, subjektyvūs tyčiniai vidiniai ir išoriniai, nenugalima jėga (force majeure).

15. Rizikos įvertinimas atliekamas vadovaujantis šiais kriterijais:

15.1. organizacijos valdymo ir veiklos sutrikdymas;

15.2. asmens duomenų saugumas;

15.3. teisės aktų reikalavimų nesilaikymas;

15.4. finansiniai nuostoliai;

15.5. tarptautiniai santykiai;

15.6. viešosios paslaugos;

15.7. reputacija.

16. Rizikos įvertinimas apima:

16.1. vertinamų informacinių išteklių sąrašo sudarymą bei pagrindinių informacinių išteklių savybių nustatymą (informacinių išteklių įtaka, priklausomybė, vieta, už jų saugų tvarkymą atsakingi asmenys ir kt.);

16.2. potencialių grėsmių sąrašo sudarymą;

16.3. galimų grėsmių priskyrimą kiekvienam informaciniam ištekliui;

16.4. potencialaus įvykio kiekvienai informacinio ištekliaus ir grėsmės porai tikimybės nustatymą;

16.5. rizikos priimtinumo nustatymą;

16.6. liekamosios rizikos apskaičiavimą;

16.7. rekomendacijų rizikos mažinimui patiekimą.

17. Rizikos įvertinimą atlieka saugos įgaliotinis arba sutartiniais pagrindais gali būti samdomi tretieji asmenys.

18. Pagrindinės IS „Keltra“ saugos rizikos mažinimo priemonės pateikiamos IS „Keltra“ rizikos įvertinimo ataskaitoje, kurią iki IS „Keltra“ valdytojo nurodytos datos rengia IS „Keltra“ saugos įgaliotinis. IS „Keltra“ saugos įgaliotinis dalyvauja rengiant IS „Keltra“ rizikos įvertinimo ataskaitą, jei rizikos įvertinimą atlieka trečioji šalis.

19. IS „Keltra“ valdytojas, atsižvelgęs į rizikos įvertinimo ataskaitą, prireikus tvirtina IS „Keltra“ saugos rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų priemonių poreikis saugos rizikos valdymo priemonėms įgyvendinti.

20. Už IS „Keltra“ saugos rizikos vertinimo organizavimą ir atlikimą atsakingas IS „Keltra“ saugos įgaliotinis.

21. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę, IS „Keltra“ informacinių technologijų saugos atitikties vertinimas atliekamas ne rečiau kaip kartą per vienus metus, jei teisės aktai nenustato kitaip:

21.1. IS „Keltra“ informacinių technologijų saugos atitikties vertinimą atlieka IS „Keltra“ valdytojo sudaryta darbo grupė; prireikus IS „Keltra“ informacinių technologijų saugos atitikties vertinimą pagal sutartį gali atlikti tretieji asmenys;

21.2. IS „Keltra“ informacinių technologijų saugos atitikties vertinimo metu tikrinama, kaip IS „Keltra“ veikimas atitinka Saugos nuostatų, kitų elektroninės informacijos saugą reglamentuojančių teisės aktų ir dokumentų reikalavimus;

21.3. tikrinamas įdiegtos antivirusinės ir apsaugos nuo nepageidaujamos programinės įrangos filtravimo sistemų naudojimas, centralizuotas jų valdymas ir atnaujinimas;

21.4. tikrinamas programinės įrangos, programinės įrangos sertifikatų ir licencijų naudojimas;

21.5. tikrinamas IS „Keltra“ naudotojų kompiuterizuotų darbo vietų (ne mažiau kaip 10 procentų) naudojimas;

21.6. tikrinamas tarnybinių stočių ir komunikacinės įrangos naudojimas;

21.7. tikrinama, kaip daromos duomenų bazių atsarginės kopijos ir archyvai;

21.8. tikrinamas pasirengimas atkurti IS „Keltra“ veiklą duomenų saugos incidento atveju;

21.9. tikrinama, kaip IS „Keltra“ naudotojams suteiktos teisės IS „Keltra“ atitinka naudotojų atliekamas funkcijas.

22. Įvertinusi IS „Keltra“ informacinių technologijų saugos atitiktį, darbo grupė parengia informacinių technologijų saugos atitikties vertinimo ataskaitą ir, jei reikia, pastebėtų trūkumų šalinimo planą, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus IS „Keltra“ valdytojas.

23. Elektroninės informacijos saugos priemonėms parinkti taikomi šie principai:

23.1. parenkamos priemonės, kurios leidžia užtikrinti patalpų saugą;

23.2. parenkamos priemonės, kurios leidžia užtikrinti kompiuterinės ir programinės įrangos veikimo saugą;

23.3. parenkamos priemonės, kurios leidžia užtikrinti kompiuterių tinklų veikimo saugą;

23.4. parenkamos priemonės, kurios leidžia užtikrinti IS „Keltra“ naudotojų mokymą ir informavimą apie elektroninių duomenų tvarkymo saugą.

24. Elektroninės informacijos saugos priemonės turi garantuoti:

24.1. elektroninių duomenų saugą jų registravimo ir perdavimo ryšio kanalais, saugojimo, apdorojimo, teikimo ir naudojimo metu;

24.2. elektroninių duomenų saugą nuo nesankcionuoto ar neteisėto naudojimo, kaupimo, keitimo, perdavimo, skelbimo ir sunaikinimo ar kitokio pažeidimo.

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

25. Programinės įrangos, skirtos IS „Keltra“ apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

25.1. tarnybinėse stotyse ir kompiuterizuotose darbo vietose privalo būti įdiegta centralizuotai valdoma apsauga nuo kenksmingos programinės įrangos;

25.2. tarnybinės stotys ir kompiuterizuotos darbo vietos turi būti apsaugotos nuo brukalų ir nepageidaujamo turinio laiškų;

25.3. kompiuterizuotose darbo vietose turi būti įdiegtos priemonės, ribojančios USB ir kitų laikmenų naudojimą;

25.4. apsaugai nuo kenksmingos programinės įrangos naudojama programinė įranga privalo atsinaujinti ne rečiau kaip kartą per 24 valandas;

25.5. apsaugos nuo kenksmingos programinės įrangos sistema privalo automatiškai elektroniniu paštu informuoti atsakingus darbuotojus apie kompiuterizuotas darbo vietas ir tarnybines stotis, kuriose apsaugos nuo kenksmingos programinės įrangos sistema netinkamai funkcionuoja, yra išjungta arba neatsinaujino per 24 valandas.

26. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:

26.1. IS „Keltra“ veikti naudojama tik legali programinė įranga;

26.2. IS „Keltra“ naudotojų kompiuterizuotose darbo vietose draudžiama naudoti programinę įrangą, nesusijusią su tiesiogine jų veikla ir funkcijomis;

26.3. programinė įranga yra nuolat atnaujinama laikantis gamintojo reikalavimų;

26.4. programinę įrangą diegia, šalina ir konfigūruoja tik atitinkami administratoriai;

26.5. kompiuterizuotos darbo vietos, programinė įranga, jos sertifikatai ir licencijos kasmet turi būti inventorizuojami.

27. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) programinės įrangos naudojimo nuostatos:

27.1. IS „Keltra“ naudojami kompiuterių tinklai nuo kitų kompiuterių tinklų privalo būti atskirti tinklo užkardomis;

27.2. IS „Keltra“ naudojamame kompiuterių tinkle turi būti įdiegtos ir veikti automatinės įsilaužimo aptikimo sistemos;

27.3. viešuoju kompiuterių tinklu gaunamas duomenų srautas privalo būti filtruojamas;

27.4. turi būti naudojama programinė įranga, leidžianti atlikti IS „Keltra“ naudojamų kompiuterių tinklų monitoringą bei užtikrinanti šių tinklų saugos prevencines priemones;

27.5. už saugų Inspekcijos teritorinio kompiuterių tinklo veikimą atsako šio tinklo administratorius.

28. Kompiuterizuotų darbo vietų, kuriose veikia IS „Keltra“, saugaus naudojimo nuostatos ir reikalavimai:

28.1. kompiuterizuota darbo vieta privalo būti naudojama tik su IS „Keltra“ ir su kitomis Inspekcijoje naudojamomis informacinėmis sistemomis pagal naudotojo kompetenciją susijusioms funkcijoms vykdyti;

28.2. stacionariuosiuose ir nešiojamuosiuose kompiuteriuose IS „Keltra“ įjungimo metu turi būti naudojamas IS „Keltra“ naudotojo identifikavimas; kompiuterizuotų darbo vietų įjungimo metu turi būti naudojamas įjungimo (angl. power on) slaptažodis;

28.3. IS „Keltra“ naudotojo, atliekančio kontrolę keliuose ar vežėjų įmonėse, nešiojamajam kompiuteriui prieiga prie IS „Keltra“ suteikiama specialiu tuneliu (VPN), praleidžiančiu tik tam tikru būdu šifruotus duomenų paketus; nešiojamieji kompiuteriai prieigai prie IS „Keltra“ parengiami IS „Keltra“ valdytojo nurodymu.

29. Saugaus elektroninės informacijos teikimo ir gavimo metodai:

29.1. duomenys IS „Keltra“ perduodami naudojant TCP/IP protokolą realiu laiku („On-line“ režimu);

29.2. iš duomenų gavėjų elektroniniai duomenys gaunami pagal asmens duomenų teikimo sutartyse ar duomenų teikimo sutartyse numatytas elektroninių duomenų perdavimo technologijas, jų šifravimo mechanizmus, specifikacijas ir kitas sąlygas; duomenų gavėjų prieigą prie IS „Keltra“ kontroliuoja Inspekcijos teritorinio kompiuterių tinklo užkarda.

30. Nustatomi šie pagrindiniai atsarginių elektroninių duomenų kopijų darymo ir atkūrimo reikalavimai:

30.1. turi būti sudaromi IS „Keltra“ elektroninių duomenų, kurių kopijos daromos, sąrašai;

30.2. elektroninių duomenų atsarginės kopijos ir archyvai turi būti daromi ir duomenys iš jų atkuriami vadovaujantis IS „Keltra“ valdytojo patvirtinta tvarka;

30.3. elektroninių duomenų atsarginės kopijos turi būti daromos automatiškai kiekvieną dieną nuo tarnybinių stočių patalpų nutolusiose patalpose esančiame elektroninių duomenų kopijų darymo įrenginyje;

30.4. elektroniniai duomenys į duomenų archyvą perkeliami, pasibaigus duomenų saugojimo IS „Keltra“ laikui;

30.5. elektroninių duomenų atsarginėms kopijoms daryti turi būti naudojama speciali programinė įranga;

30.6. už elektroninių duomenų atsarginių kopijų darymą yra atsakingi tarnybinių stočių ir IS „Keltra“ administratoriai pagal kompetenciją; už elektroninių duomenų archyvų darymą ir elektroninių duomenų naikinimą – IS „Keltra“ administratorius (-iai).

IV. REIKALAVIMAI PERSONALUI

31. IS „Keltra“ naudotojai turi turėti ne prastesnius darbo su kompiuteriu įgūdžius, nei numatyta jų pareigybių aprašymuose.

32. Saugos įgaliotinis privalo išmanyti šiuolaikinių informacinių technologijų panaudojimo ypatumus, žinoti elektroninės informacijos saugos principus bei saugos užtikrinimo metodus, žinoti kitus su informacinių sistemų saugiu veikimu susijusius teisės aktus, turėti darbo organizavimo gabumų.

33. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą, arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

34. IS „Keltra“ administratorius (-iai) privalo gerai žinoti kompiuterizuotos veiklos procesus, elektroninės informacijos saugos užtikrinimo metodus ir principus, būti susipažinęs (-ę) su naudojamų duomenų bazių organizavimo principais, gebėti jas administruoti, žinoti tarnybinių stočių veikimo principus.

35. IS „Keltra“ naudotojai turi būti išmokyti dirbti su IS „Keltra“. Mokymai gali būti centralizuoti, kai juos organizuoja ir veda IS „Keltra“ administratorius (-iai), arba individualūs, kai juos organizuoja ir veda IS „Keltra“ tvarkytojo paskirtas asmuo.

36. Elektroninės informacijos saugos mokymai IS „Keltra“ administratoriui (-iams) ir IS „Keltra“ naudotojams turi būti rengiami ne rečiau kaip vieną kartą per metus.

V. IS „KELTRA“ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

37. IS „Keltra“ naudotojai ir IS „Keltra“ administratorius (-iai) privalo būti susipažinę su Saugos nuostatais bei kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais (toliau – saugos dokumentai); turi būti fiksuojami faktiniai susipažinimo įrodymai.

38. IS „Keltra“ naudotojų ir IS „Keltra“ administratoriaus (-ių) supažindinimą su Saugos nuostatais, kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais (toliau – saugos dokumentai) atlieka saugos įgaliotinis:

38.1. rašytine forma (raštu, elektroniniu paštu, dokumentų valdymo sistema ar kitomis rašytinėmis priemonėmis) supažindina IS „Keltra“ tvarkytojus, IS „Keltra“ naudotojus ir IS „Keltra“ administratorių (-ius) su saugos dokumentais, jų pakeitimais ir (ar) negaliojimu;

38.2. supažindinimą su saugos dokumentais atlieka per 5 darbo dienas nuo teisės akto ar dokumento, reglamentuojančio elektroninės informacijos saugą, įsigaliojimo datos;

38.3. IS „Keltra“ naudotojų susipažinimo su saugos dokumentais faktą registruoja Inspekcijos informacinių sistemų naudotojų susipažinimo su saugos dokumentais žurnale, kuris tvarkomas vadovaujantis Inspekcijos viršininko patvirtintu dokumentacijos planu;

38.4. po susipažinimo su saugos dokumentais fakto užregistravimo Inspekcijos informacinių sistemų naudotojų susipažinimo su saugos dokumentais žurnale datos telefonu, elektroniniu paštu ar susitikimo metu gali patikrinti saugos dokumentų supratimo žinias; gali organizuoti saugos dokumentų žinių patikrinimo egzaminą.

39. Pakartotinai IS „Keltra“ naudotojai ir IS „Keltra“ administratorius (-iai) su saugos dokumentais supažindinami iš esmės pasikeitus saugos dokumentams ir (arba) padažnėjus elektroninės informacijos saugos incidentų.

40. IS „Keltra“ naudotojai ir IS „Keltra“ administratorius (-iai) nuolat turi būti informuojami apie saugos problemas (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.).

VI. BAIGIAMOSIOS NUOSTATOS

41. Saugos įgaliotinis, IS „Keltra“ tvarkytojas, IS „Keltra“ naudotojai, IS „Keltra“ administratorius (-iai), pažeidę Saugos nuostatų ar kitų saugos politiką reglamentuojančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.

______________