HERB21

LIETUVOS RESPUBLIKOS APLINKOS MINISTRAS

ĮSAKYMAS

DĖL ATLIEKŲ TVARKYTOJŲ VALSTYBĖS REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2014 m. lapkričio 4 d. Nr. D1-877

Vilnius

 

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 3 dalimi, Atliekų tvarkytojų valstybės registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2012 m. liepos 18 d. nutarimu Nr. 896 „Dėl atliekų tvarkytojų valstybės registro įsteigimo, atliekų tvarkytojų valstybės registro nuostatų patvirtinimo ir registro veiklos pradžios nustatymo“, 68 punktu ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7.1 papunkčiu ir 11, 19 ir 24 punktais:

1. Tvirtinu Atliekų tvarkytojų valstybės registro (toliau – Registras) duomenų saugos nuostatus (pridedama).

2. Pavedu:

2.1. Aplinkos ministerijos Atliekų departamentui per 3 mėnesius nuo šio įsakymo įsigaliojimo parengti ir pateikti tvirtinti:

2.1.1. Atliekų tvarkytojų valstybės registro duomenų saugaus elektroninės informacijos tvarkymo taisykles;

2.1.2. Atliekų tvarkytojų valstybės registro veiklos tęstinumo valdymo planą;

2.1.3. Atliekų tvarkytojų valstybės registro naudotojų administravimo taisykles;

2.2. Aplinkos ministerijos Informacinių technologijų skyriaus vedėjui – paskirti skyriaus darbuotoją, atsakingą už Registro techninės įrangos priežiūrą;

2.3. Aplinkos apsaugos agentūros direktoriui per 2 savaites nuo šio įsakymo įsigaliojimo paskirti:

2.3.1. Atliekų tvarkytojų valstybės registro saugos įgaliotinį;

2.3.2. Atliekų tvarkytojų valstybės registro administratorių (toliau – Registro administratorius);

2.3.3. Atliekų tvarkytojų valstybės registro techninį administratorių (toliau – Registro techninis administratorius).

3.  Įgalioju šio įsakymo 2.2.1 papunkčiu paskirtą Atliekų tvarkytojų valstybės registro saugos įgaliotinį teikti privalomus vykdyti nurodymus ir pavedimus Registro administratoriui, Registro techniniam administratoriui, Registro naudotojams ir kitiems Registro valdytojo ir Registro tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti.

 

 

 

Aplinkos ministras                                                  Kęstutis Trečiokas

 

 

 

PATVIRTINTA

Lietuvos Respublikos aplinkos

ministro 2014 m. lapkričio 4 d.

įsakymu Nr. D1-877

 

 

Atliekų tvarkytojų valstybės registro DUOMENŲ SAUGOS NUOSTATAI

 

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Atliekų tvarkytojų valstybės registro (toliau – Registras) duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Registro tvarkomų duomenų, dokumentų, informacijos ir (ar) jų kopijų (toliau – elektroninė informacija) saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui, Registro naudotojų supažindinimo su saugos dokumentais principus.

2. Saugos nuostatuose vartojamos sąvokos:

2.1. Registro administratorius – Aplinkos apsaugos agentūros (toliau – Agentūra) direktoriaus įsakymu paskirtas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis Registrą ir (ar) jo infrastuktūrą, užtikrinantis jo veikimą ir elektroninės informacijos saugą;

2.2. Registro techninis administratorius – Agentūros direktoriaus įsakymu paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, atliekantis registro programinės įrangos priežiūrą ir kitas jam priskirtas funkcijas;

2.3. Registro saugos įgaliotinis – Agentūros direktoriaus įsakymu paskirtas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis saugos politikos įgyvendinimą Registre (toliau – Saugos įgaliotinis);

2.4. Registro naudotojas – valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, paslaugų teikėjas ar kitas asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją;

2.5. kitos Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrieji reikalavimai), ir kituose teisės aktuose vartojamas sąvokas.

3. Elektroninės informacijos saugumo tikslas – užtikrinti elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą bei tinkamą Registro veikimą.

4. Elektroninės informacijos saugumą užtikrina Registro tvarkytojas, Registro naudotojai, Saugos įgaliotinis, Registro administratorius ir Registro techninis administratorius Registro techninės ir programinės įrangos bei kitų organizacinių priemonių pagalba.

5. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

5.1. fizinė informacijos apdorojimo priemonių (tarnybinių patalpų, elektroninės informacijos perdavimo įrangos, programinės įrangos) apsauga;

5.2. teisėtas, saugus, kokybiškas elektroninės informacijos tvarkymas ir naudojimas;

5.3. Registro saugos priemonių įgyvendinimas ir kontrolė;

5.4. Registro veiklos tęstinumas esant elektroninės informacijos saugos incidentams.

6. Registro valdytojas yra Aplinkos ministerija. Jos buveinė: A. Jakšto g. 4, LT-01105 Vilnius.

7. Registro tvarkytojas yra Agentūra. Jos buveinė: A. Juozapavičiaus g. 9, LT-09311 Vilnius.

8. Registro valdytojas atsako už Registro saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą bei atlieka šias funkcijas:

8.1. koordinuoja Registro tvarkytojo funkcijų vykdymą ir jam metodiškai vadovauja;

8.2. tvirtina Saugos nuostatus, Atliekų tvarkytojų valstybės registro saugaus elektroninės informacijos tvarkymo taisykles, Atliekų tvarkytojų valstybės registro veiklos tęstinumo valdymo planą, Atliekų tvarkytojų valstybės registro naudotojų administravimo taisykles (toliau – saugos politiką įgyvendinantys dokumentai);

8.3. prižiūri saugos politiką įgyvendinančių dokumentų parengimą ir įgyvendinimą;

8.4. nagrinėja Registro tvarkytojo apibendrintus pasiūlymus dėl Registro veiklos ir elektroninės informacijos saugos užtikrinimo;

8.5. atlieka kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

9. Registro tvarkytojas atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka bei atlieka šias funkcijas:

9.1. atsako už elektroninės informacijos saugą;

9.2. užtikrina tinkamą ir nepertraukiamą Registro veikimą, elektroninės informacijos saugą ir sąveiką su susijusiais registrais, kadastrais ir informacinėmis sistemomis;

9.3. organizuoja ir tinkamai įgyvendina Registro vystymą, modernizavimą, palaikymą ir (ar) paslaugų teikėjo viešuosius pirkimus;

9.4. organizuoja ir koordinuoja Registro naudotojų mokymą;

9.5. teikia apibendrintus pasiūlymus Registro valdytojui dėl Registro veiklos ir elektroninės informacijos saugos užtikrinimo;

9.6. rengia Saugos nuostatų įgyvendinančių dokumentų projektus, juos teikia Registro valdytojui;

9.7. tvarko elektroninę informaciją ir naudojasi Registro teikiamomis galimybėmis pagal nustatytą funkcijoms atlikti reikalingą Registro prieigos teisių lygmenį;

9.8. užtikrina tvarkomos elektroninės informacijos kokybę, teisingumą ir apsaugą;

9.9. teikia siūlymus Registro valdytojui dėl Registro eksploatavimui, priežiūrai ir plėtrai skirtų techninių, programinių priemonių įsigijimo, pagal kompetenciją atlieka Registro techninės, programinės įrangos priežiūros darbus;

9.10. atlieka kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas, susijusias su Registro elektroninės informacijos naudojimu ir sauga.

10. Saugos įgaliotinis, koordinuodamas ir prižiūrėdamas saugos politikos įgyvendinimą, Registre atlieka šias funkcijas:

10.1. teikia siūlymus Registro tvarkytojui dėl Registro informacinių technologijų saugos atitikties vertinimo (toliau – Atitikties vertinimas) atlikimo;

10.2. teikia siūlymus Registro tvarkytojo ir valdytojo vadovams dėl Registro saugos politiką įgyvendinančių dokumentų priėmimo, keitimo, Registro administratoriaus, techninių administratorių paskyrimo;

10.3. koordinuoja elektroninės informacijos saugos incidentų (toliau – Registro saugos incidentas), įvykusių Registre, tyrimą ir bendradarbiauja su kompetentingoms institucijoms, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;

10.4. kasmet organizuoja Registro rizikos įvertinimą;

10.5. kontroliuoja, kaip įgyvendinami Saugos nuostatai;

10.6. teisės aktų nustatyta tvarka atlieka Atitikties vertinimą. Jei Atitikties vertinimui atlikti būtina užsisakyti vertinimo paslaugas, teikia pasiūlymus Registro tvarkytojo vadovui dėl minėtų paslaugų užsakymo;

10.7. atsako už Registro saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams;

10.8. teikia privalomus vykdyti nurodymus ir pavedimus Registro administratoriui, Registro techniniam administratoriui, Registro naudotojams ir kitiems Registro valdytojo ir Registro tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti;

10.9. atlieka kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas ir vykdo su Registro sauga susijusius Registro valdytojo ar Registro tvarkytojo pavedimus.

11. Registro administratorius:

11.1. administruoja Registro funkcinės sistemos komponentus, rengia ir atnaujina šių komponentų aprašymo dokumentaciją;

11.2. valdo Registro naudotojų prieigos teises ir vykdo jų prieigos prie Registro duomenų teisių suteikimo, tapatumo identifikavimo, jų veiksmų automatinio stebėjimo administravimą;

11.3. konsultuoja Registro naudotojus dėl darbo su Registru;

11.4. rengia ir teikia Saugos įgaliotiniui pasiūlymus dėl Registro komponentų, nurodytų Saugos nuostatų 13.3 papunktyje, atnaujinimo, įsigijimo, įdiegimo ir elektroninės informacijos saugos užtikrinimo;

11.5. atnaujina Registro duomenų bazėje naudojamus klasifikatorius;

11.6. reaguoja į Registro saugos incidentus ir apie tai informuoja Saugos įgaliotinį;

11.7. tvarkydamas elektroninę informaciją, atsako už jos saugą;

11.8. atlieka kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas ir vykdo su Registro sauga susijusius Registro valdytojo, Registro tvarkytojo ar Saugos įgaliotinio nurodymus ir pavedimus.

12. Registro techninės įrangos priežiūrai Aplinkos ministerijos Informacinių technologijų skyriaus vedėjas paskiria darbuotoją, kuris:

12.1. vykdo nuolatinę išorinės techninės įrangos apžiūrą;

12.2. atlieka išorinės techninės tinklo ugniasienės priežiūrą ir atlieka joje reikiamus pakeitimus pagal Agentūros raštiškus prašymus;

12.3. pastebėjus duomenų saugos incidentus, apie juos informuoja saugos įgaliotinį;

12.4. užtikrina elektros, duomenų perdavimo bei vėsinimo paslaugų tiekimą ir fizinę prieigą prie Registro techninės įrangos;

12.5. atlieka kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas ir vykdo su Registro sauga susijusius Saugos įgaliotinio nurodymus ir pavedimus, kaip nustatyta Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 176, 24 punkte.

13. Registro techninis administratorius:

13.1. užtikrina Registro tarnybinės stoties techninės ir programinės įrangos priežiūrą ir tinkamą funkcionavimą;

13.2. tvarkydamas elektroninę informaciją, atsako už jos saugą;

13.3. valdo Registro komponentus (tarnybinių stočių operacines sistemas, duomenų bazių valdymo sistemas, ugniasienes, įsilaužimų aptikimo sistemas, elektroninės informacijos perdavimo terpę), jų sąranką (konfigūraciją), nustato galimas sutrikimų priežastis, valdo, diegia atnaujinimus į Registro tarnybinės stoties operacinę sistemą, nustato tinkamas sąrankas nuo įsilaužimų, nustato galimas funkcionavimo sutrikimų priežastis;

13.4. atsako už Saugos nuostatų 13.3 papunktyje nurodytų komponentų pažeidžiamų vietų nustatymą, saugumo reikalavimų atitikties nustatymą ir stebėseną;

13.5. atsako už Saugos nuostatų saugumo reikalavimų atitikties nustatymą ir stebėseną;

13.6. rengia ir atnaujina Registro komponentų sąrankos aprašymo dokumentaciją;

13.7. užtikrina ugniasienės, įsilaužimų aptikimo sistemų, jų sąrankų (konfigūracija), operacinės, duomenų bazės ir kitos programinės įrangos atnaujinimą bei reikiamų atnaujinimų įsigijimų organizavimą;

13.8. reaguoja į Registro saugos incidentus ir apie tai informuoja Saugos įgaliotinį;

13.9. vykdo Saugos įgaliotinio nurodymus ir pavedimus, susijusius su Registro saugos užtikrinimu ir nuolat teikia Saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę;

13.10. teikia Saugos įgaliotiniui pasiūlymus dėl Registro komponentų, nurodytų Saugos nuostatų 13.3 papunktyje, atnaujinimo, įsigijimo, įdiegimo ir elektroninės informacijos saugos užtikrinimo;

13.11. reguliariai (ne rečiau kaip kartą per metus ir (arba) po Registro pokyčio) tikrina (peržiūri) Registro sąranką ir Registro būsenos rodiklius;

13.12. atlieka kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas ir vykdo su Registro sauga susijusius Registro valdytojo, Registro tvarkytojo ar Saugos įgaliotinio nurodymus ir pavedimus.

14. Tvarkant elektroninę informaciją ir užtikrinant jos saugumą, vadovaujamasi:

14.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

14.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

14.3. Lietuvos Respublikos atliekų tvarkymo įstatymu;

14.4. Atliekų tvarkytojų valstybės registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2012 m. liepos 18 d. nutarimu Nr. 896 „Dėl Atliekų tvarkytojų valstybės registro įsteigimo, atliekų tvarkytojų valstybės registro nuostatų patvirtinimo ir registro veiklos pradžios nustatymo“;

14.5. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ patvirtintais aprašais:

14.5.1. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

14.5.2. Saugos dokumentų turinio gairių aprašu;

14.5.3. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu (toliau – Gairės);

14.6. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

14.7. Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ (toliau – Reikalavimai duomenų saugumo priemonėms);

14.8. Lietuvos standartais LST ISO/IEC 27001:2006, LST ISO/IEC 27002:2009, taip pat kitais Lietuvos ir tarptautiniais grupės „Informacijos technologija. Saugumo metodai“ standartais;

14.9. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

14.10. kitais teisės aktais, kurie reglamentuoja elektroninės informacijos tvarkymą ir saugumo užtikrinimą.

 

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

15. Vadovaujantis Gairių 4.2.4 ir 4.2.7 papunkčiais, elektroninė informacija priskiriama svarbios elektroninės informacijos kategorijai.

16. Vadovaujantis Gairių 5.2 papunkčiu, Registras pagal elektroninės informacijos svarbos kategoriją priskiriamas antrai kategorijai.

17. Vadovaujantis Reikalavimais duomenų saugumo priemonėms, dėl galimybės per išorinius duomenų perdavimo tinklus tvarkyti Registre saugomus asmens duomenis Registras priskiriamas antram saugumo lygiui.

18. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, kuri skelbiama Vidaus reikalų ministerijos interneto svetainėje (http://www.vrm.lt/Rizikos_analize.pdf), Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja Registro rizikos įvertinimą. Prireikus Saugos įgaliotinis gali organizuoti neeilinį Registro rizikos įvertinimą. Registro tvarkytojo vadovo rašytiniu pavedimu Registro rizikos įvertinimą gali atlikti pats Saugos įgaliotinis.

19. Registro rizikos įvertinimo rezultatai išdėstomi Registro tvarkytojo vadovo tvirtinamoje rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai, į kuriuos atsižvelgiant rengiama rizikos įvertinimo ataskaita, nustatyti Bendrųjų reikalavimų 36 punkte.

20. Atsižvelgdamas į rizikos įvertinimo ataskaitą, Registro tvarkytojo vadovas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą. Jame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

21. Ne rečiau kaip kartą per metus Saugos įgaliotinis atlieka atitikties vertinimą. Jo metu:

21.1. įvertinama Registro saugos politiką įgyvendinančių dokumentų ir realios elektroninės informacijos saugos situacijos atitiktis;

21.2. inventorizuojama Registro techninė ir programinė įranga;

21.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų Registro naudotojų kompiuterinių darbo vietų, visose Registro tarnybinėse stotyse įdiegtos programos ir jų sąranka;

21.4. patikrinama (įvertinama) Registro naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

21.5. įvertinamas pasirengimas užtikrinti Registro veiklos tęstinumą įvykus informacijos saugos incidentui.

22. Atlikus Atitikties vertinimą, Saugos įgaliotinis rengia Atitikties vertinimo ataskaitą, kurią tvirtina Registro tvarkytojo vadovas. Jeigu, atlikus Atitikties vertinimą, buvo pastebėti elektroninės informacijos saugos trūkumai, Saugos įgaliotinis rengia Registro trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Registro tvarkytojo vadovas.

23. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano, atitikties vertinimo ataskaitos, Registro trūkumų šalinimo plano kopijas Registro tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

24. Techninės, programinės ir organizacinės informacijos saugos priemonės pasirenkamos siekiant užtikrinti saugų Registro tvarkytojų darbą ir Registro veiklos tęstinumą, patiriant kuo mažiau išlaidų.

25. Kompiuterių tinklas, prie kurio prijungtos Registro tarnybinės stotys, administratorių ir naudotojų darbo stotys, nuo viešojo interneto ir lokalaus kompiuterių tinklo yra atskirtas užkarda (angl. firewall).

 

 

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

26. Kompiuterizuotos darbo vietos, skirtos tvarkyti elektroninę informaciją, turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai), jose turi būti įdiegta antivirusinė programinė įranga, kuri atnaujinama ne rečiau, kaip kartą per savaitę, priemonėmis.

27. Kompiuterizuotos darbo vietos, skirtos tvarkyti elektroninei informacijai, turi būti naudojamos tik tam skirtose patalpose. Keičiant kompiuterizuotos darbo vietos paskirtį, visa joje saugoma konfidenciali informacija turi būti sunaikinta.

28. Registro tarnybinėse stotyse ir kompiuterizuotose darbo vietose gali būti naudojama tik legali programinė įranga.

29. Registro tarnybinėse stotyse turi būti naudojama programinė įranga, skirta kovoti su kenksminga programine įranga, atnaujinama automatiniu būdu ne rečiau kartą per parą.

30. Registrui funkcionuoti būtina programinė tarnybinių stočių ir Registro naudotojų kompiuteriuose esanti programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kt.) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų. Už tarnybinių stočių programinės įrangos kontrolę atsako Registro techninis administratorius.

31. Registro tarnybinėse stotyse turi veikti tik su elektroninės informacijos tvarkymu, Registro naudotojų ir pačios įrangos administravimu susijusi programinė įranga.

32. Registro tarnybinių stočių infrastruktūra turi būti pajungta prie interneto naudojant ugniasienes. Ugniasienių sąranka turi būti nustatyta taip, kad jos praleistų tiktai Registro veikimui reikalingą elektroninės informacijos srautą.

33. Elektroninės informacijos mainai tarp Registro ir tvarkytojų vyksta šifruotu būdu, naudojant SSL/TLS technologiją.

34. Už elektroninės informacijos atsarginių kopijų darymą, jų saugojimą ir atstatymą yra atsakingas Registro techninis administratorius, elektroninės informacijos atsarginių kopijų darymas fiksuojamas elektroniniame žurnale.

35. Elektroninės informacijos atsarginės kopijos yra daromos kartą per parą. Mėnesį laiko saugomos paskutinių 7 dienų kasdienės atsarginės kopijos ir pilna savaitės kopija. Esant galimybei, šios kopijos saugomos atskirose patalpose arba atskirame pastate.

36. Registro techninis administratorius periodiškai, bet ne rečiau kaip kartą per metus, atlieka informacijos atkūrimo iš informacijos atsarginių kopijų bandymus.

37. Prarasta, iškraipyta, sunaikinta elektroninė informacija atkuriama iš informacijos atsarginių kopijų.

38. Stacionarūs ir nešiojamieji Registro naudotojų kompiuteriai turi būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai; iš kompiuterių, kurie perduoti remontui ar techninei priežiūrai, turi būti pašalinta visa riboto naudojimo elektroninė informacija.

39. Metodai, kuriais gali būti užtikrinamas saugus Registro duomenų teikimas ir (ar) gavimas:

39.1. Registro duomenys perduodami automatiniu būdu (naudojant TCP/IP protokolą) realiu laiku arba asinchroniniu režimu pagal Registro duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka;

39.2. už duomenų teikimo ir gavimo sutartyse nurodomų saugos reikalavimų nustatymą, suformulavimą ir įgyvendinimo organizavimą atsakingas Saugos įgaliotinis.

 

IV SKYRIUS

REIKALAVIMAI PERSONALUI

 

40. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Saugos nuostatų 15 punkte nurodytais teisės aktais, saugos politiką įgyvendinančiais dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais.

41. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jo paskyrimo praėję mažiau kaip vieneri metai.

42. Registro administratorius privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, administruoti ir prižiūrėti jam priskirtus Registro komponentus, posistemius ir modulius, sugebėti užtikrinti jų saugumą, turi būti susipažinęs su saugos politiką įgyvendinančiais dokumentais.

43. Registro techninis administratorius privalo išmanyti darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugumą, sugebėti užtikrinti ir stebėti komponentų, nurodytų Saugos nuostatų 13.3 papunktyje, techninės ir programinės įrangos nepertraukiamą veikimą, atlikti komponentų, nurodytų Saugos nuostatų 14.3 papunktyje, techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų diagnostiką ir šalinimą, išmanyti elektroninės informacijos saugos užtikrinimo principus, turi būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais, saugos politiką įgyvendinančiais dokumentais.

44. Registro naudotojai privalo būti susipažinę su Registro posistemių aprašymais, mokėti dirbti su uždaro arba atviro kodo operacine sistema ir biuro taikomosiomis programomis, mokėti tvarkyti informaciją atitinkamos Registro naudojimo instrukcijos ir Saugos nuostatų nustatyta tvarka, būti susipažinę su saugos politiką įgyvendinančiais dokumentais.

45. Saugos įgaliotinis Registro administratoriams, Registro techniniams administratoriams ir Registro naudotojams periodiškai, bet ne rečiau kaip kartą per metus, organizuoja mokymus elektroninės informacijos saugos klausimais, įvairiais būdais primena apie saugumo problemas (pvz., pranešimai elektroniniu paštu, naujų darbuotojų instruktavimas ir pan.).

46. Saugos įgaliotinis organizuoja saugos politiką įgyvendinančių dokumentų peržiūrą ne rečiau kaip kartą per metus. Saugos politiką įgyvendinantys dokumentai turi būti peržiūrimi atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.

 

V SKYRIUS

REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

47. Tvarkyti ir gauti elektroninę informaciją gali Registro naudotojai, patvirtinę savo tapatybę per Elektroninių paslaugų portalą „Elektroniniai valdžios vartai“ ir pirmą kartą jungdamiesi prie Registro patvirtinę, kad susipažino ir sutinka laikytis saugos politiką įgyvendinančiuose dokumentuose ir kituose saugų elektroninės informacijos tvarkymą reglamentuojančiuose teisės aktuose nustatytų reikalavimų. Šiems reikalavimams pasikeitus, Saugos įgaliotinis elektroniniu paštu apie tai informuoja Registro naudotojus.

48. Saugos politiką įgyvendinantys dokumentai skelbiami Registro naudotojams pasiekiamame tinklalapyje.

49. Pakartotinis supažindinimas su pasikeitusiais saugos politiką įgyvendinančiais dokumentais yra vykdomas siunčiant informaciją elektroniniu paštu.

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

50. Registro naudotojai, pažeidę saugos politiką įgyvendinančių dokumentų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

 

____________________________