1. Potencialiai pavojingų įrenginių valstybės registro duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – apibrėžti saugų Potencialiai pavojingų įrenginių valstybės registro (toliau – Registras) duomenų tvarkymą automatiniu būdu.

2. Saugos nuostatai reglamentuoja Registro elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui, dirbančiam su Registru, Registro naudotojų supažindinimo su saugos dokumentais principus.

3. Saugos nuostatai yra privalomi visiems Registro naudotojams (toliau – naudotojai), įskaitant Registro saugos įgaliotinį (toliau – saugos įgaliotinis) ir Registro administratorių (toliau – administratorius).

4. Saugos nuostatuose vartojamos sąvokos atitinka Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir kituose teisės aktuose bei Lietuvos ir tarptautiniuose „Informacijos technologija. Saugumo metodai“ grupės standartuose, apibūdinančiuose saugų elektroninės informacijos tvarkymą, vartojamas sąvokas.

5. Saugos nuostatai nustato Registro duomenų saugos politiką (toliau vadinama – Saugos politika).

6. Registro duomenų saugos tikslai:

7. Duomenų saugos užtikrinimo prioritetinės kryptys:

8. Registro vadovaujančioji ir tvarkymo įstaiga yra Lietuvos Respublikos valstybinė darbo inspekcija, adresas – Algirdo g. 19, LT- 03607 Vilnius (toliau – Registro tvarkymo įstaiga).

9. Už Registro duomenų saugą ir duomenų tvarkymo teisėtumą atsako Registro tvarkymo įstaiga.

10. Saugos įgaliotinis, įgyvendindamas Registro elektroninės informacijos saugą, atlieka šias funkcijas:

11. Administratorius:

12. Administratorius turi teisę patikrinti (peržiūrėti) Registro sąranką ir Registro būsenos rodiklius.

13. Tvarkant Registro duomenis ir užtikrinant jų saugą vadovaujamasi šiais teisės aktais:

14. Registras pagal jame tvarkomos elektroninės informacijos svarbą yra priskiriamas antrajai kategorijai, vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247.

15. Registro informacijos sauga šiuose Saugos nuostatuose suprantama kaip administracinių techninių ir programinių priemonių visuma, skirta užtikrinti duomenų:

16. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja Registro rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. Registro tvarkymo įstaiga kartą per kalendorinius metus, jei teisės aktai nenustato kitaip, išleidžia įsakymą dėl Registro rizikos įvertinimo. Šiame įsakyme nurodomas pagrindas rizikos įvertinimui atlikti, skiriami asmenys (ar sudaroma darbo grupė arba kviečiamas išorinis vertintojas) rizikos įvertinimo ataskaitai parengti, nustatomas rizikos įvertinimo atlikimo terminas ir apimtis. Nustatant apimtį, būtina atsižvelgti į visus rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Rizikos veiksnių Registro duomenims, techninei, programinei įrangai, registravimo dokumentams, patalpoms tikėtinumui vertinti naudojama penkiabalė rizikos veiksnių tikėtinumo ir žalos vertinimo metodika:

17. Saugos priemonės parenkamos, siekiant užtikrinti Registro veiklos tęstinumą, patiriant kuo mažiau išlaidų ir užtikrinant saugų Registro darbą.

18. Registro rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje, kuri rengiama atsižvelgiant į Saugaus elektroninės informacijos tvarkymo taisyklėse numatytus rizikos veiksnius, galinčius turėti įtaką informacijos saugai. Rengėjų pasirašyta rizikos vertinimo ataskaita yra pateikiama Registro tvarkymo įstaigos vadovui – Lietuvos Respublikos vyriausiajam valstybiniam darbo inspektoriui, kuris prireikus, atsižvelgdamas į ataskaitoje numatytas būtinas priemones, tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą ir jame nustato techninių, administracinių ir (ar) kitų išteklių poreikį, aprūpinimą ir įdiegimą rizikos valdymo priemonėms įgyvendinti.

19. Saugos įgaliotinis, siekdamas užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimą ir saugos politikos laikymosi kontrolę, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo ir kitų teisės aktų nustatyta tvarka organizuoja Registro informacinių technologijų saugos atitikties vertinimą.

Punkto pakeitimai:

Nr. V-322, 2012-11-02, Žin., 2012, Nr. 129-6531 (2012-11-08), i. k. 1122231ISAK000V-322

20. Atlikus Registro informacinių technologijų saugos atitikties vertinimą, saugos įgaliotinis parengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Registro tvarkymo įstaigos vadovas.

21. Prieigos prie Registro užtikrinimo metodai ir priemonės:

22. Reikalavimai naudojamai programinei įrangai, skirtai apsaugoti Registrą nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir pan.):

23. Programinės įrangos naudojimo nuostatos, ribojančios programinės įrangos, nesusijusios su Registro tvarkymo įstaigos veikla ar naudotojo funkcijomis (žaidimai, bylų siuntimo, internetinių pokalbių programos ir kt.), naudojimą:

24. Leistinos nešiojamųjų kompiuterių naudojimo ribos:

25. Viešaisiais telekomunikaciniais tinklais perduodamos elektroninės informacijos konfidencialumo užtikrinimui naudojamas Saugus valstybinis duomenų perdavimo kompiuterinis tinklas.

26. Metodai, kurie leidžiami užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą (nurodant nuotolinio prisijungimo prie Registro būdą, protokolą, duomenų keitimosi formatus, šifravimo, duomenų kopijų skaičiaus reikalavimus, reikalavimą teikti ir (ar) gauti duomenis automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas ir t. t.):

27. Registro fizinę saugą užtikrina šios saugos priemonės: įėjimo kontrolės sistema, stebėjimas vaizdo kamera, priešgaisrinė signalizacija ir kt.

28. Registrui administruoti naudojamas operacines sistemas, techninę ir programinę įrangą, reikalingą naudotojų funkcijoms vykdyti, diegia ir prižiūri tik Registro tvarkymo įstaigos vadovo įgaliotieji asmenys.

29. Registro programinės įrangos diegimas ir atnaujinimas gali būti atliekamas tik dalyvaujant administratoriui.

30. Registro programinės įrangos testavimas turi būti atliekamas, naudojant atskirą tam skirtą testavimo aplinką.

31. Prarasti, iškraipyti, sunaikinti Registro duomenys atkuriami iš Registro atsarginių duomenų kopijų. Registro duomenys turi būti kopijuojami ir saugomi taip, kad duomenų praradimo atveju visišką Registro funkcionalumą ir veiklą būtų galima atkurti per 1 valandą. Registro atsarginių duomenų kopijos daromos automatiniu būdu kiekvieną darbo dieną, esant aktyviai Registro duomenų bazei. Kopijos įrašomos į keičiamus informacijos kaupiklius (kompaktinius diskus ar magnetines juostas) ir saugomos seife, prieinamame tik administratoriui. Kopijų, iš kurių būtų galima atstatyti Registro duomenis, darymo ir saugojimo tvarka detaliai aprašyta Registro saugaus elektroninės informacijos tvarkymo taisyklėse.

32. Saugos įgaliotiniu gali būti skiriamas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, kuris geba įgyvendinti elektroninės informacijos saugą. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis šiais Saugos nuostatais, Informacinių technologijų saugos atitikties vertinimo metodika, kitais Lietuvos Respublikos teisės aktais, reglamentuojančiais Registro tvarkymą, turėti kvalifikaciją sugebėti prižiūrėti, kaip įgyvendinama saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

33. Administratoriumi gali būti skiriamas darbuotojas, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.

34. Administratoriaus ir saugos įgaliotinio pareigos yra nesuderinamos, negali būti skiriamas tas pats vienas asmuo, kuris kartu atliktų duomenų saugos ir administravimo funkcijas.

35. Naudotojai privalo turėti pagrindinius darbo kompiuteriu įgūdžius, būti susipažinę su saugos dokumentais.

36. Naudotojai, pastebėję saugos dokumentų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai administratoriui, kuris apie tokius pažeidimus privalo informuoti saugos įgaliotinį. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią Registro saugą (jos konfidencialumą, vientisumą ar prieinamumą), saugos įgaliotinis apie tai turi pranešti kompetentingoms institucijoms.

37. Saugos įgaliotinis periodiškai inicijuoja naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai).

38. Įvykus elektroninės informacijos saugos incidentui, saugos įgaliotinio, administratoriaus ir naudotojų veiksmus reglamentuoja Registro veiklos tęstinumo valdymo planas.

39. Tvarkyti Registro duomenis gali tik įgalioti naudotojai, susipažinę su saugos dokumentais ir raštu sutikę laikytis saugos dokumentuose nustatytų reikalavimų.

40. Registro tvarkymo įstaigos naudotojų supažindinimą su saugos dokumentais ir atsakomybe už saugos dokumentuose nustatytų reikalavimų nesilaikymą pasirašytinai organizuoja saugos įgaliotinis ir įgyvendina kartu su teritorinių skyrių vedėjais. Išorinių naudotojų supažindinimo forma ir tvarka nustatoma duomenų teikimo sutartyje.

41. Saugos įgaliotinis organizuoja saugos dokumentų peržiūrėjimą ne rečiau kaip kartą per metus. Saugos dokumentai turi būti peržiūrimi po rizikos analizės ar informacinių technologijų saugos atitikties vertinimo atlikimo arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams institucijoje.

42. Saugos įgaliotinis, administratorius ir kiti naudotojai, pažeidę šių Saugos nuostatų ir kitų saugų informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako įstatymų nustatyta tvarka.