PAKRUOJO RAJONO SAVIVALDYBĖS

ADMINISTRACIJOS DIREKTORIUS

 

ĮSAKYMAS

DĖL PAKRUOJO R. SAVIVALDYBĖS ADMINISTRACIJOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ PATVIRTINIMO

 

2019 m.                  d. Nr. AV-

Pakruojis

 

 

Vadovaudamasi Lietuvos Respublikos vietos savivaldos įstatymo 29 straipsnio 8 dalies 2 punktu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.2, 7.3 ir 7.4 papunkčiais,

t v i r t i n u  Pakruojo r. savivaldybės administracijos saugaus elektroninės informacijos tvarkymo taisykles (pridedama).

Šis įsakymas gali būti skundžiamas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.

 

 

 

 

Administracijos direktorė                                                                                                 Erika Kižienė

 

 

PATVIRTINTA

Pakruojo rajono savivaldybės

administracijos direktoriaus

2019 m. kovo    d. įsakymu Nr. AV-

 

PAKRUOJO R. SAVIVALDYBĖS ADMINISTRACIJOS

SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

 

I SKYRIUS

 BENDROSIOS NUOSTATOS

 

1.    Pakruojo savivaldybės administracijos saugaus elektroninės informacijos tvarkymo taisyklių (toliau – Taisyklės) tikslas – nustatyti tvarką, užtikrinančią saugų Pakruojo rajono savivaldybės (toliau – Savivaldybė) administracijos informacinių sistemų techninės, programinės įrangos funkcionavimą, saugų duomenų tvarkymą ir jų teikimą kitoms institucijoms pagal teisės aktų nustatytus reikalavimus.

2.    Taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716.

3.    Šios Taisyklės yra privalomos visiems Savivaldybės administracijos valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartį, naudojantiems kompiuterinę įrangą darbo užduotims atlikti.

4.    Šiose Taisyklėse vartojamos sąvokos:

Savivaldybės informacinės sistemos (toliau – Informacinės sistemos) –  informacinių technologijų pagrindu veikiančios sistemos, užtikrinančios kompiuterizuotą Savivaldybės administracijos duomenų, dokumentų ir kitos informacijos kūrimą, tvarkymą ir saugojimą, tenkinančios kitus Savivaldybės administracijos informacinius poreikius. Informacines sistemas sudaro techninė įranga (tarnybinės stotys, darbo vietų kompiuteriai, duomenų saugyklos, kompiuterių tinklo ir elektroninio ryšio priemonės, duomenų apsaugos priemonės), programinė įranga (operacinės sistemos, pagalbinės programos, taikomosios programinės įrangos), kompiuterizuotai tvarkoma Savivaldybės administracijos veiklos informacija (elektroniniai dokumentai, įvairūs duomenys, duomenų bazės) ir kita informacija.

Saugos įgaliotinis – Savivaldybės administracijos direktoriaus paskirtas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis saugos politikos įgyvendinimą Savivaldybės administracijos informacinėse sistemose.

Informacinių sistemų administratorius (toliau – Administratorius) –Savivaldybės administracijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, atliekantis informacinių sistemų priežiūrą.

Informacinių sistemų naudotojas (toliau – Naudotojas) – valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis informacinių sistemų ištekliais numatytoms funkcijoms atlikti.

Kitos Taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimus, Saugos dokumentų turinio gaires ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gaires, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, ir kituose Lietuvos Respublikos teisės aktuose vartojamas sąvokas.

5.    Už informacinių sistemų duomenų saugų tvarkymą atsakingi Naudotojai, Administratorius.

6.    Už Taisyklių įgyvendinimo organizavimą ir kontrolę atsakingas Saugos įgaliotinis.

 

II SKYRIUS

 TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

 

7.    Saugiam elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, programinės įrangos, fizinės, techninės ir organizacinės duomenų saugos priemonės.

8.    Prieiga prie informacinių sistemų suteikiama tik autorizuotiems Naudotojams. Kiekvienas Naudotojas informacinėje sistemoje turi patvirtinti savo tapatybę vardu ir slaptažodžiu. Slaptažodžiai negali būti atskleidžiami kitiems asmenims.

9.    Prieiga Naudotojams suteikiama tik prie tų išteklių, kurie yra būtini tiesioginėms pareigoms vykdyti.

10.  Naudojama legali sisteminė ir taikomoji programinė įranga.

11.  Programinės įrangos diegimą atlieka tik Administratoriai ar kiti įgalioti asmenys.

12.  Naudojamos antivirusinės programos naudotojų kompiuteriuose, programinės ugniasienės naudotojų kompiuteriuose ir tinklo tarnybinėse stotyse apsaugai nuo virusų, šnipinėjimui skirtos programinės įrangos, nepageidaujamo elektroninio pašto ir pan.

13.  Siekiant apsaugoti nuo žalingos programinės įrangos, ne rečiau kaip kartą per mėnesį turi būti atliekamas nuolatinis naudotojų ir tarnybinių stočių operacinių sistemų atnaujinimas.

14.  Antivirusinių programų duomenų bazės turi būti atnaujinamos periodiškai – ne rečiau kaip kartą per dieną, jei atnaujinimą pateikia antivirusinės programos gamintojas.

15.  Ne rečiau kaip kartą per metus Administratorius atlieka patikrinimą, siekdamas nustatyti, ar informacinėje sistemoje naudojama legali programinė įranga. Patikrinimą inicijuoja Saugos įgaliotinis.

16.  Informacinės sistemos elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacijų tinklų naudojant ugniasienę.

17.  Už tinklo ugniasienių administravimą, priežiūrą, operacinės sistemos atnaujinimą ir saugią ugniasienių konfigūraciją atsako Administratorius.

18.  Saugiam elektroninės informacijos teikimui ir (ar) gavimui iš kitų valstybės institucijų užtikrinti naudojamas Saugus valstybės duomenų perdavimo tinklas (toliau – SVDPT).

19.  Naudotojams kompiuterių operacinėse sistemose turi būti suteikiamos teisės, kurios būtinos tiesioginėms pareigoms vykdyti.

20.  Duomenys nuo jų praradimo, iškraipymo, sunaikinimo, neteisėto panaudojimo galimybių apsaugomi techninėmis, organizacinėmis, programinėmis priemonėmis

21.  Fizinė prieiga prie informacinių sistemų tarnybinių stočių suteikiama tik informacinių technologijų darbuotojams.

22.  Techninė įranga apsaugoma nuo elektros srovės svyravimų, nuo neteisėtos prieigos prie techninės įrangos, jos sugadinimo ar neteisėto poveikio jai. Naudojami specialūs maitinimo šaltiniai, nenutrūkstamo maitinimo šaltinis su automatine apsauga nuo įtampos svyravimų.

23.  Patalpa, kurioje veikia tarnybinės stotys, turi atitikti priešgaisrinės saugos reikalavimus.

24.  Tarnybinių stočių patalpoje turi būti įrengta oro kondicionavimo sistema.

 

III SKYRIUS

 SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

 

25.  Informacinių sistemų duomenų keitimą, atnaujinimą ir naujų duomenų įvedimą turi teisę atlikti tik Naudotojai, turintys teisę tai atlikti.

26.     Naudotojų tapatybė ir veiksmai su informacinių sistemų duomenimis fiksuojami programinėmis priemonėmis.

27.     Už informacinių sistemų duomenų atsarginių duomenų kopijų darymą, saugojimą ir duomenų atkūrimą iš atsarginių duomenų kopijų atsako Administratorius.

28.  Atsarginės duomenų kopijos daromos periodiškai, bet ne rečiau kaip kartą per mėnesį, o kopijos tarnybinėse stotyse – automatiniu būdu į išorinius informacijos kaupiklius.

29.  Prarasti, iškraipyti ar sunaikinti informacinių sistemų duomenys atkuriami iš atsarginių duomenų kopijų.                    

30.  Duomenų atstatymas iš atsarginių kopijų turi būti periodiškai išbandomas – ne rečiau kaip kartą per metus.

31.  Atstatymų išbandymą inicijuoja Saugos įgaliotinis.

32.  Duomenų perkėlimo ir teikimo kitoms informacinėms sistemoms bei duomenų gavimo iš jų tvarka nustatoma atskiromis sutartimis.

33.  Programinės ir techninės įrangos keitimo ir atnaujinimo tvarką, priklausomai nuo konkretaus atvejo, derina Administratorius.

34.  Operacinių sistemų ir taikomosios programinės įrangos keitimai turi būti valdomi: planuojami ir ištestuojami, numatomos atstatomosios procedūros nesėkmingų keitimų atvejams, įvertinamas keitimų poveikis saugumui.

35.  Už operacinių sistemų ir taikomosios programinės įrangos keitimų valdymą atsakingas Administratorius.

36.  Administratorius, užtikrindamas informacinių sistemų duomenų vientisumą, privalo naudoti visas įmanomas fizines, programines ir organizacines priemones, skirtas informacinei sistemai ir joje tvarkomiems duomenims apsaugoti nuo neteisėtų veiksmų.

37.  Naudotojas, įtaręs, kad su informacinių sistemų duomenimis buvo atlikti neteisėti veiksmai, privalo pranešti apie tai Administratoriui. Administratorius, įtaręs, kad su informacinių sistemų duomenimis vykdomi neteisėti veiksmai, privalo apie tai pranešti Saugos įgaliotiniui. Saugos įgaliotinis, gavęs pranešimą apie vykdomus neteisėtus veiksmus su informacinėmis sistemomis arba su informacinių sistemų tvarkomais duomenimis, inicijuoja elektroninės informacijos saugos incidento valdymo procedūras.

 

IV SKYRIUS

 REIKALAVIMAI, KELIAMI INFORMACINIŲ SISTEMŲ FUNKCIONAVIMUI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

 

38.  Administratorius suteikia prieigos prie informacinių sistemų duomenų teisę (peržiūrėti duomenis, atlikti užklausas, vykdyti veiksmus su duomenimis ir kt.) bei fizinę prieigą prie techninės ir programinės įrangos paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje nurodytam laikotarpiui jam nustatytoms funkcijoms atlikti.

39.  Administratorius, suteikdamas prieigos prie informacinių sistemų duomenų teisę, paslaugų teikėjo įgaliotą fizinį asmenį supažindina su prieigos prie informacinių sistemų duomenų sąlygomis.

40.  Pasibaigus sutartyje nurodytam laikotarpiui, Administratorius panaikina paslaugų teikėjo įgalioto fizinio asmens prieigos prie informacinių sistemų duomenų teisę ir apie tai jį informuoja.

41.  Reikalavimai informacinėms sistemoms, reikalingoms paslaugų teikėjams ir jų projektavimo, aptarnavimo ir priežiūros teikiamoms paslaugoms funkcionuoti, nustatomi šių paslaugų teikimo sutartyse.

42.  Paslaugų teikimo sutartyse turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja programinę įrangą naudodamas:

42.1.  įgyvendintas elektroninės informacijos saugos priemones nuo sankcionuoto poveikio sistemoms, programinei įrangai ir patalpoms;

42.2.  sertifikuotą sisteminę programinę įrangą.

 

V SKYRIUS

 BAIGIAMOSIOS NUOSTATOS

 

43. Naudotojas privalo kuo greičiau informuoti Saugos įgaliotinį ar Administratorių apie pastebėtus saugumo incidentus: šių Taisyklių reikalavimų pažeidimus, informacinės sistemos veiklos sutrikimus arba neįprastą sistemos veikimą.

44. Naudotojai, pažeidę šių Taisyklių ir kitų saugos politiką įgyvendinančių teisės aktų nuostatas, atsako teisės aktų nustatyta tvarka.

_______________________________