Suvestinė redakcija nuo 2023-01-19
Įsakymas paskelbtas:
LIETUVOS RESPUBLIKOS SEIMO
KANCLERIS
ĮSAKYMAS
DĖL TEISĖS AKTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2013 m. gruodžio 31 d. Nr. 400-ĮVK-397
Vilnius
Pakeistas teisės akto pavadinimas:
Nr. 400-ĮVK-184, 2020-08-26,
Vadovaudamasis Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 6.1 ir 8 punktais:
2. Skiriu Veiklos administravimo departamento patarėją Aušrą Steponavičiūtę Lietuvos Respublikos Teisės aktų registro saugos įgaliotine.
Punkto pakeitimai:
Nr. 400-ĮVK-225, 2017-08-08,
Nr. 400-ĮVK-20, 2023-01-19,
3. Įpareigoju Lietuvos Respublikos Seimo kanceliarijos valdomo Teisės aktų registro, informacinių sistemų ir (ar) jų sudedamųjų dalių administratorius ir Lietuvos Respublikos Seimo kanceliarijos valdomo Teisės aktų registro ir informacinių sistemų infrastruktūros administratorius, paskirtus 2021 m. birželio 8 d. Lietuvos Respublikos Seimo kanclerio 2021 m. birželio 8 d. įsakymu Nr. 400-ĮVK-125 „Dėl Lietuvos Respublikos Seimo kanceliarijos valdomo Teisės aktų registro, informacinių sistemų ir (ar) jų sudedamųjų dalių bei infrastruktūros administratorių paskyrimo“, pagal kompetenciją dalyvauti saugos politikos formavimo procese ir vadovautis informacinių sistemų saugos politikos dokumentais.
Papildyta punktu:
Nr. 400-ĮVK-20, 2023-01-19,
PATVIRTINTA
Lietuvos Respublikos Seimo kanclerio
2013 m. gruodžio 31 d. įsakymu
Nr. 400-ĮVK-397
(Lietuvos Respublikos Seimo kanclerio
2020 m. rugpjūčio 26 d. įsakymo
Nr. 400-ĮVK-184 redakcija )
TEISĖS AKTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Teisės aktų registro (toliau – TAR) duomenų saugos nuostatuose (toliau – Saugos nuostatai) nustatomas Lietuvos Respublikos Seimo kanceliarijos TAR tvarkomos elektroninės informacijos saugos valdymas, organizaciniai ir techniniai reikalavimai, reikalavimai personalui ir supažindinimo su saugos dokumentais principai.
2. Elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
3. Elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo tikslai:
3.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ir nuo bet kokio kito neteisėto tvarkymo;
4. Elektroninės informacijos saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės.
5. Saugos nuostatuose vartojamos sąvokos:
5.1. Seimo kanceliarijos techninės infrastruktūros administratorius – Seimo kanceliarijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis TAR infrastruktūrą ir užtikrinantis jos veikimą ir saugą.
5.2. Kitos Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), vartojamas sąvokas.
6. Saugos nuostatų reikalavimai taikomi:
7. TAR valdytojo ir tvarkytojo funkcijos, teisės ir pareigos nustatytos Teisės aktų registro nuostatuose, patvirtintuose Lietuvos Respublikos Seimo 2013 m. gruodžio 17 d. nutarimu Nr. XII‑694 „Dėl Teisės aktų registro nuostatų patvirtinimo“ (toliau – Teisės aktų registro nuostatai).
8. TAR saugos įgaliotinio funkcijos ir atsakomybė:
8.1. teikia TAR valdytojui pasiūlymus dėl:
8.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių TAR, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis tokius incidentus ir neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;
8.3. informuoja TAR valdytoją ir kompetentingas institucijas apie neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią TAR saugą;
8.4. informuoja už kibernetinio saugumo organizavimą ir užtikrinimą Seimo kanceliarijoje atsakingą asmenį (toliau – už kibernetinį saugumą atsakingas asmuo) apie kibernetinio saugumo incidentus;
8.5. teikia TAR naudotojams, TAR administratoriui ir Seimo kanceliarijos techninės infrastruktūros administratoriams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;
8.6. pagal kompetenciją kitiems TAR valdytojo ir TAR tvarkytojo darbuotojams duoda privalomus vykdyti nurodymus ir pavedimus, būtinus saugos politikai įgyvendinti;
8.8. rengia ir ne rečiau kaip kartą per metus peržiūri autorizuotų nuotoliniam prisijungimui TAR naudotojų sąrašą;
8.10. dalyvauja organizuojant TAR naudotojų, TAR administratoriaus ir Seimo kanceliarijos techninės infrastruktūros administratorių mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas;
9. TAR administratoriaus funkcijos ir atsakomybė:
9.3. kartu su Seimo kanceliarijos techninės infrastruktūros administratoriais stebi ir įvertina TAR ir TAR sudedamųjų dalių (tarnybinių stočių (aplikacijų, duomenų bazių valdymo sistemų), kompiuterių tinklo programinės ir duomenų perdavimo įrangos) sąrankos (kaip vienos visumos) veikimą, būklės rodiklius, nustato TAR pažeidžiamas vietas; ne rečiau kaip kartą per metus ir (ar) įdiegus TAR pokyčius patikrina (peržiūri) TAR sąranką ir TAR būsenos rodiklius;
9.8. teikia pasiūlymus TAR saugos įgaliotiniui ir už kibernetinį saugumą atsakingam asmeniui dėl TAR saugos organizavimo, atlieka kitas Saugos nuostatuose ir kituose saugos dokumentuose nustatytas funkcijas;
10. TAR administratorius privalo vykdyti visus saugos įgaliotinio ir (ar) už kibernetinį saugumą atsakingo asmens nurodymus ir pavedimus dėl TAR elektroninės informacijos saugos ir (ar) kibernetinio saugumo užtikrinimo, pagal kompetenciją reaguoti į saugos ir (ar) kibernetinius incidentus, juos valdyti ir nuolat teikti saugos įgaliotiniui ir (ar) už kibernetinį saugumą atsakingam asmeniui informaciją apie saugą užtikrinančių pagrindinių TAR sudedamųjų dalių būklę.
11. Saugų TAR elektroninės informacijos tvarkymą reglamentuoja:
11.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas; Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
11.5. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas);
11.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas);
11.7. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techninių saugos reikalavimų aprašas);
11.8. Lietuvos standartai LST ISO/IEC 27001:2013, kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugą; kiti teisės aktai, reglamentuojantys informacinių sistemų elektroninės informacijos tvarkymą, elektroninės informacijos saugą, kibernetinį saugumą bei informacinių sistemų valdytojo ir tvarkytojo veiklą.
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
12. Vadovaujantis Klasifikavimo gairių aprašo 7.2, 7.3 ir 7.6 papunkčių nuostatomis, TAR tvarkoma elektroninė informacija priskirtina ypatingos svarbos elektroninės informacijos kategorijai. Atsižvelgiant į tai ir vadovaujantis Klasifikavimo gairių aprašo 12.1 papunkčio nuostata, TAR priskiriama pirmajai informacinių sistemų kategorijai.
13. TAR rizikos įvertinimas atliekamas taip:
13.1. TAR rizikos įvertinimas atliekamas ne rečiau kaip kartą per metus, jeigu teisės aktuose nenustatyta kitaip;
13.2. neeilinis TAR rizikos įvertinimas atliekamas padarius esminius TAR funkcinius pakeitimus arba kai įvyksta esminių Seimo kanceliarijos organizacinių pokyčių, arba kai atsiranda naujų informacinių technologijų saugos srities reikalavimų, arba po didelio masto saugos ir (ar) kibernetinių incidentų, kai nustatoma naujų rizikos formų;
13.3. atliekant TAR rizikos įvertinimą vadovaujamasi Lietuvos Respublikos vidaus reikalų ministerijos metodine priemone „Rizikos analizės vadovas“, Saugos nuostatų 11.8 papunktyje nurodytais standartais, geriausiomis praktikomis (COBIT ar kitomis) ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais.
15. TAR rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri teikiama TAR valdytojo vadovui. Rizikos įvertinimo ataskaita rengiama įvertinus įtakos elektroninės informacijos saugai galinčius turėti rizikos veiksnius, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus.
16. Atsižvelgdamas į rizikos įvertinimo ataskaitą, TAR valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
17. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano duomenis bei jų kopijas TAR administratorius ne vėliau kaip per 5 darbo dienas nuo šių dokumentų patvirtinimo pateikia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą (toliau – ARSIS).
18. Siekiant užtikrinti saugos dokumentuose nustatytų elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų įgyvendinimo organizavimą ir kontrolę, TAR informacinių technologijų saugos atitikties ir saugos atitikties nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus, jeigu teisės aktuose nenustatyta kitaip.
19. TAR saugos atitikties vertinimas atliekamas Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka. Atlikus informacinių technologijų saugos atitikties vertinimą, saugos įgaliotinis rengia ir teikia TAR valdytojo vadovui informacinių technologijų saugos vertinimo ataskaitą. Atsižvelgdamas į TAR saugos atitikties vertinimo ataskaitą, saugos įgaliotinis prireikus parengia pastebėtų trūkumų šalinimo planą. Šį planą tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato TAR valdytojo vadovas.
20. TAR saugos atitikties vertinimo metu turi būti atliekamas kibernetinių atakų imitavimas ir vykdomos kibernetinių incidentų imitavimo pratybos. Imituojant kibernetines atakas rekomenduojama vadovautis tarptautiniu mastu pripažintų organizacijų (pvz., EC-COUNCIL, ISACA, NIST ir kt.) rekomendacijomis ir gerąja praktika. Kibernetinių atakų imitavimo rezultatai turi būti išdėstomi TAR saugos vertinimo ataskaitoje, kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir pateikiamos rekomendacijos jam pašalinti.
21. TAR saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas TAR administratorius ne vėliau kaip per 5 darbo dienas nuo šių dokumentų priėmimo pateikia ARSIS.
22. TAR saugos priemonės parenkamos įvertinus galimus rizikos elektroninės informacijos vientisumui, konfidencialumui ir prieinamumui veiksnius.
23. Elektroninės informacijos saugos ir kibernetinio saugumo būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis elektroninės informacijos saugos ir kibernetinio saugumo priemonėmis, kurios pasirenkamos atsižvelgiant į TAR valdytojo turimus išteklius, vadovaujantis šiais principais:
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
25. Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo nuostatos:
25.1. TAR tarnybinėse stotyse ir TAR naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga;
25.2. TAR naudotojų kompiuteriuose gali būti naudojama programinė įranga, nurodyta Programinės įrangos, diegiamos į Lietuvos Respublikos Seimo kanceliarijos patikėjimo teise ar kitais teisėtais pagrindais valdomus kompiuterius, sąraše, patvirtintame Seimo kanclerio 2018 m. gruodžio 7 d. įsakymu Nr. 400-ĮVK-386 „Dėl Programinės įrangos, diegiamos į Lietuvos Respublikos Seimo kanceliarijos patikėjimo teise ar kitais teisėtais pagrindais valdomus kompiuterius, sąrašo patvirtinimo“;
25.3. tarnybinių stočių ir TAR naudotojų kompiuterių operacinės sistemos, kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;
25.4. Seimo kanceliarijos techninės infrastruktūros administratoriai reguliariai, ne rečiau kaip kartą per savaitę, turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus bei jų įtaką TAR pažeidžiamumui ir apie įvertinimo rezultatus informuoti TAR saugos įgaliotinį;
25.5. programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;
26. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:
26.1. kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant užkardas, automatinę įsilaužimų aptikimo ir prevencijos įrangą, atkirtimo nuo paslaugos bei dedikuoto atkirtimo nuo paslaugos įrangą;
26.2. kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuose ryšių tinkluose naršančių vidinių informacinių sistemų naudotojų kompiuterinę įrangą nuo kenksmingo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;
27. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:
27.1. elektroninė informacija teikiama (daugkartinio teikimo atveju ir vienkartinio teikimo atveju) Teisės aktų registro nuostatuose nustatyta tvarka;
27.2. siekiant užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą naudojamas šifravimas, saugus elektroninių ryšių tinklas ar kitos priemonės, taikomos saugiam elektroninės informacijos perdavimui;
28. Saugos valdymo reikalavimai, keliami išorinei TAR svetainei:
28.1. svetainė turi atitikti Techninių saugos reikalavimų aprašo ir Kibernetinio saugumo reikalavimų aprašo nuostatas;
28.2. svetainės užkarda turi būti sukonfigūruota taip, kad prie turinio valdymo sistemos (toliau – TVS) būtų galima jungtis tik iš TAR tvarkytojo vidinio kompiuterių tinklo arba nustatytų kompiuterio adresų (angl. Internet Protocol);
29. Programinės įrangos, skirtos TAR apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
29.1. tarnybinėse stotyse ir TAR naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingos programinės įrangos aptikimo, stebėjimo realiu laiku priemonės;
29.2. TAR komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti eksploatuojami tik tuo atveju, jeigu rizikos vertinimo metu patvirtinama, kad šių komponentų rizika yra priimtina;
29.3. kenksmingos programinės įrangos aptikimo priemonės turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas. Seimo kanceliarijos techninės infrastruktūros administratoriai turi būti automatiškai elektroniniu paštu informuojami apie tai, kurių TAR posistemių, funkciškai savarankiškų sudedamųjų dalių, TAR naudotojų kompiuterių ir (ar) kitų TAR sudedamųjų dalių yra pradelstas kenksmingos programinės įrangos aptikimo priemonių atsinaujinimo laikas ir kurių kenksmingos programinės įrangos aptikimo priemonės netinkamai funkcionuoja arba yra išjungtos.
30. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
30.1. atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objetive) ir priimtiną TAR neveikimo laikotarpį (angl. recovery time objective);
30.2. atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokios apimties, kad TAR veiklos sutrikimo, elektroninės informacijos saugos ir (ar) kibernetinio incidento ar elektroninės informacijos vientisumo praradimo atvejais TAR neveikimo laikotarpis nebūtų ilgesnis, negu taikoma pirmajai informacinių sistemų klasifikavimo pagal informacijos svarbą kategorijai, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus;
30.3. atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, ne rečiau kaip Seimo kanclerio įsakymu tvirtiname atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkos apraše (toliau – Atsarginių kopijų aprašas) nurodytais terminais;
30.4. atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje kitose patalpose, negu yra TAR tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate. Atsarginių elektroninės informacijos kopijų žymėjimo tvarka ir saugojimo terminai nustatomi Atsarginių kopijų apraše;
30.6. periodiškai, bet ne rečiau kaip kartą per metus, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;
31. TAR tarnybinės stotys ir duomenų perdavimo tinklo mazgai turi turėti rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne trumpiau kaip 30 minučių.
32. TAR elektroninės informacijos saugos priemonės turi užtikrinti ir kitus Techninių saugos reikalavimų aprašo 5 ir 8 punktuose bei Kibernetinio saugumo reikalavimų apraše nustatytus reikalavimus.
33. TAR funkcionalumo atkūrimo ir prieinamumo reikalavimai:
34. Perkant paslaugas, darbus ar įrangą, susijusius su TAR priežiūra, modernizavimu, modifikavimu ir (ar) kibernetinio saugumo užtikrinimu, TAR tvarkytojas iš anksto pirkimo dokumentuose turi nustatyti, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas užtikrina atitiktį Techninių saugos reikalavimų apraše ir Kibernetinio saugumo reikalavimų apraše nustatytiems reikalavimams.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
35. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų saugos reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą ir kibernetinį saugumą, privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje.
36. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ar privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
37. TAR administratorius privalo išmanyti pagrindinius elektroninės informacijos saugos ir saugaus darbo su duomenų perdavimo tinklais principus, atsižvelgiant į atliekamas funkcijas turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą bei saugą, stebėti techninės ir programinės įrangos veikimą, atlikti jos profilaktinę priežiūrą, sutrikimų bei saugos incidentų diagnostiką ir šalinimą, turėti sisteminių programinių priemonių (Windows, Unix, Oracle) administravimo ir priežiūros patirties.
38. TAR naudotojai turi būti susipažinę su Saugos nuostatais, saugos politikos įgyvendinimo dokumentais, pagal kompetenciją – ir su kitais teisės aktais bei standartais, reglamentuojančiais elektroninės informacijos saugą.
39. TAR naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti TAR administratoriui ir (ar) TAR saugos įgaliotiniui.
40. TAR naudotojai privalo:
40.1. turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti saugiai tvarkyti elektroninę informaciją;
40.2. nuolat kelti kvalifikaciją saugaus elektroninės informacijos tvarkymo kursuose, mokymuose, seminaruose;
41. TAR naudotojams draudžiama:
41.1. atskleisti kitiems asmenims prisijungimo prie TAR vardą, slaptažodį ar kitaip sudaryti sąlygas jais pasinaudoti;
41.2. naudoti TAR duomenis kitokiais negu šios sistemos nuostatuose nurodytais ir savo pareigybės aprašyme nustatytų funkcijų atlikimo tikslais;
41.3. sudaryti sąlygas pasinaudoti dirbti su TAR naudojama technine ir programine įranga teisės neturintiems asmenims (paliekant darbo vietą būtina užrakinti darbalaukį arba išjungti darbo stotį);
41.4. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti, sunaikinti ar atskleisti TAR duomenys, taip pat neatlikti būtinų veiksmų, kurie apsaugo informacinės sistemos duomenis;
42. TAR naudotojams ne rečiau kaip kartą per kalendorinius metus TAR saugos įgaliotinis turi surengti mokymus elektroninės informacijos saugos ir kibernetinio saugumo klausimais, įvairiais būdais priminti apie saugos problemas (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.).
V SKYRIUS
TAR NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
44. Tvarkyti TAR elektroninę informaciją gali tik su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant TAR elektroninę informaciją bei užtikrinant jos saugą, susipažinę ir saugos dokumentuose nustatytų reikalavimų sutikę laikytis TAR naudotojai.
45. TAR naudotojų ir administratorių supažindinimą su Saugos nuostatais ir TAR saugos politikos įgyvendinimo dokumentais bei su atsakomybe už šių dokumentų reikalavimų nesilaikymą pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą, atlieka TAR saugos įgaliotinis.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
47. TAR saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos veiksnių analizę ar TAR saugos atitikties vertinimą, įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams, ne rečiau kaip kartą per kalendorinius metus.
48. TAR naudotojai, TAR administratorius ir TAR saugos įgaliotinis atsako už TAR tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą pagal savo kompetenciją. TAR naudotojai, TAR administratorius ir TAR saugos įgaliotinis, pažeidę saugos dokumentų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.
Pakeitimai:
1.
Lietuvos Respublikos Seimo kanceliarija, [email protected];[email protected], Įsakymas
Nr. 400-ĮVK-225, 2017-08-08,
Dėl Seimo kanclerio 2013 m. gruodžio 31 d. įsakymo Nr. 400-ĮVK-397 „Dėl Lietuvos Respublikos Teisės aktų registro duomenų saugos nuostatų patvirtinimo“ pakeitimo
2.
Lietuvos Respublikos Seimo kanceliarija, [email protected];[email protected], Įsakymas
Nr. 400-ĮVK-184, 2020-08-26,
Dėl Seimo kanclerio 2013 m. gruodžio 31 d. įsakymo Nr. 400-ĮVK-397 „Dėl Lietuvos Respublikos Teisės aktų registro duomenų saugos nuostatų patvirtinimo“ pakeitimo
3.
Lietuvos Respublikos Seimo kanceliarija, [email protected];[email protected], Įsakymas
Nr. 400-ĮVK-20, 2023-01-19,
Dėl Seimo kanclerio 2013 m. gruodžio 31 d. įsakymo Nr. 400-ĮVK-397 „Dėl Lietuvos Respublikos Teisės aktų registro duomenų saugos nuostatų patvirtinimo“ pakeitimo