PAKRUOJO RAJONO SAVIVALDYBĖS
ADMINISTRACIJOS DIREKTORIUS
ĮSAKYMAS
DĖL INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2019 m. gegužės d. Nr. AV
Pakruojis
Vadovaudamasi Lietuvos Respublikos vietos savivaldos įstatymo 29 straipsnio 8 dalies 2 punktu, 18 straipsnio 1 dalimi, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1, 11, 19 ir 26 punktais:
1. T v i r t i n u Informacinių sistemų duomenų saugos nuostatus (pridedama).
2. S k i r i u informacinių sistemų saugos įgaliotiniu Pakruojo rajono savivaldybės administracijos direktoriaus pavaduotoją Gintarą Šurną.
3. P a v e d u:
3.1. Pakruojo rajono savivaldybės administracijos (toliau – administracija) Teisės ir civilinės metrikacijos skyriaus Informacinių technologijų poskyrio vedėjui supažindinti su įsakymu administracijos padalinių vadovus, specialistus, pavaldžius administracijos direktoriui;
3.3. administracijos padalinių vedėjams supažindinti su informacinių sistemų duomenų saugos nuostatais savo padalinių darbuotojus, dirbančius su administracijos informacinėmis sistemomis.
4. P r i p a ž į s t u netekusiu galios Pakruojo rajono savivaldybės administracijos direktoriaus 2012 m. birželio 5 d. įsakymą Nr. A-387 „Dėl Pakruojo rajono savivaldybės administracijos informacinės sistemos duomenų saugos nuostatų patvirtinimo“.
Šis įsakymas gali būti skundžiamas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.
Administracijos direktorė Ilona Gelažnikienė
PATVIRTINTA
Pakruojo rajono savivaldybės
administracijos direktoriaus
2019 m. gegužės d. įsakymu Nr. AV-
INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Informacinių sistemų duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Informacinių sistemų (toliau – IS) duomenų saugos politiką, nustato organizacines, technines, programines, teisines ir kitas priemones, užtikrinančias saugų IS duomenų tvarkymą. Nuostatai taikomi Pakruojo rajono savivaldybės administracijai, įmonės kodas 288733050, Kęstučio g. 4, Pakruojis.
2. Saugos nuostatuose vartojamos sąvokos:
2.1. IS naudotojas (toliau – naudotojas) – IS valdytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį (toliau abu kartu – darbuotojas), arba IS tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis Informacinių sistemų ištekliais numatytoms funkcijoms atlikti;
2.2. IS administratorius (toliau – administratorius) – IS valdytojo darbuotojas, prižiūrintis IS ir jos infrastruktūrą, užtikrinantis jos veikimą ir elektroninės informacijos saugą, ar kitas asmuo (asmenų grupė), kuriam Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos informacinės sistemos ir (ar) jos infrastuktūros priežiūros funkcijos (toliau – paslaugų teikėjas);
2.3. IS saugos įgaliotinis (toliau – saugos įgaliotinis) – IS valdytojo paskirtas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, įgyvendinantis elektroninės informacijos saugą Pakruojo rajono savivaldybės administracijos Informacinėse sistemose;
2.4. IS – informacinių technologijų pagrindu veikiančios sistemos, užtikrinančios kompiuterizuotą Pakruojo rajono savivaldybės administracijos duomenų, dokumentų ir kitos informacijos kūrimą, tvarkymą ir saugojimą, tenkinančios kitus Savivaldybės administracijos informacinius poreikius. Informacines sistemas sudaro techninė įranga (tarnybinės stotys, darbo vietų kompiuteriai, duomenų saugyklos, kompiuterių tinklo ir elektroninio ryšio priemonės, duomenų apsaugos priemonės), programinė įranga (operacinės sistemos, pagalbinės programos, taikomosios programinės įrangos), kompiuterizuotai tvarkoma Savivaldybės administracijos veiklos informacija (elektroniniai dokumentai, įvairūs duomenys, duomenų bazės) ir kita informacija.
Kitos šiuose Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše (toliau – Saugos reikalavimų aprašas), patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, ir kituose teisės aktuose vartojamas sąvokas.
3. IS duomenų saugos tikslas – užtikrinti IS tvarkomos elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą bei tinkamą IS infrastruktūros veikimą.
4. IS duomenų saugumo užtikrinimo prioritetinės kryptys:
4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų IS duomenų saugai užtikrinti, įgyvendinimas ir kontrolė;
4.2. IS veiklos tęstinumo užtikrinimas;
4.3. IS naudotojų mokymas;
5. IS valdytojas – Pakruojo rajono savivaldybės administracija;
6. IS tvarkytojas – Pakruojo rajono savivaldybės administracijos valstybės tarnautojas ar darbuotojas, turintis teisę naudotis IS ištekliais numatytoms funkcijoms atlikti.
7. Pakruojo rajono savivaldybės administracija yra asmens duomenų valdytojas ir asmens duomenų tvarkytojas, kuris privalo vadovautis Lietuvos Respublikos asmens duomenų teisinės apsaugos teisės aktais, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo.
8. IS valdytojo funkcijos ir atsakomybė:
8.1. rengia ir tvirtina IS duomenų saugos politiką įgyvendinančius teisės aktus;
8.2. kontroliuoja, kaip laikomasi IS duomenų saugos politiką įgyvendinančių dokumentų ir kitų teisės aktų, reglamentuojančių IS duomenų tvarkymo teisėtumą ir saugos valdymą;
8.3. priima sprendimus dėl IS techninių ir programinių priemonių, būtinų IS duomenų saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
8.4. skiria IS saugos įgaliotinį;
8.5. atsako už IS duomenų tvarkymo ir duomenų teikimo (gavimo) teisėtumą ir saugą;
8.6. užtikrina IS duomenų bazių techninę priežiūrą;
8.7. priima sprendimą dėl IS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;
8.8. vykdo kitas IS duomenų saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose IS duomenų tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas.
9. IS tvarkytojo funkcijos ir atsakomybė:
9.1. pagal kompetenciją įgyvendina IS duomenų saugos politiką įgyvendinančių dokumentų reikalavimus;
9.2. užtikrina IS valdytojo priimtų įsakymų ir metodinių rekomendacijų tinkamą įgyvendinimą;
9.3. užtikrina, kad IS duomenys būtų apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio neteisėto veiksmo su jais;
9.4. prižiūri, kaip laikomasi IS duomenų saugos reikalavimų;
9.5. vykdo kitas IS duomenų saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose IS duomenų tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas.
10. Saugos įgaliotinio funkcijos ir atsakomybė:
10.1. teikia IS valdytojo vadovui pasiūlymus dėl:
10.1.1. administratoriaus paskyrimo ir reikalavimų administratoriui nustatymo;
10.1.2. saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;
10.1.3. informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;
10.2. koordinuoja elektroninės informacijos saugos incidentų tyrimą, išskyrus atvejus, kai šią funkciją atlieka direktoriaus įsakymu sudaryta informacijos saugos darbo grupė;
10.3. kasmet organizuoja kasmetinius ir prireikus neeilinius IS rizikos vertinimus;
10.4. teikia administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su IS saugos politikos įgyvendinimu;
10.5. pasirašytinai supažindina IS naudotojus, administratorių su IS duomenų saugos politiką įgyvendinančiais dokumentais bei atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;
10.6. periodiškai inicijuoja IS naudotojų supažindinimą informacijos saugos klausimais, informuoja juos apie informacijos saugos problematiką, siųsdamas priminimus ir konsultuodamas elektroniniu paštu ar per dokumentų valdymo sistemą, organizuodamas teminius seminarus ir mokymus, rengdamas ir pateikdamas atmintines naujai priimtiems darbuotojams;
10.7. atsako už IS duomenų saugos politikos įgyvendinimo organizavimą;
10.8. atsako už IS saugos reikalavimų atitiktį galiojantiems Lietuvos Respublikos teisės aktams;
10.9. teikia IS tvarkytojams metodinę ir informacinę medžiagą IS saugos klausimais, apibendrina duomenų registravimo, keitimo, išregistravimo ir kitų su duomenimis atliekamų veiksmų praktiką ir teikia bendrą praktiką formuojančias rekomendacijas IS tvarkytojams;
10.10. vykdo kitas IS duomenų saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose IS duomenų tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas.
11. Administratoriaus funkcijos ir atsakomybė:
11.1. atsako už IS funkcionavimą, IS naudotojų registravimą ir prieigos teisių nustatymą, infrastruktūros (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų ir kitų komunikacijos priemonių) tinkamą funkcionavimą;
11.2. vertina IS naudotojų pasirengimą dirbti su IS;
11.3. rengia ir teikia pasiūlymus IS vystymo, techninio palaikymo, priežiūros ir duomenų saugos klausimais;
11.4. administruoja IS duomenų bazes, kontroliuoja duomenų įvedimo teisingumą, nustato galimas sutrikimų priežastis;
11.5. registruoja elektroninės informacijos saugos incidentus ir informuoja apie juos saugos įgaliotinį;
11.6. parengia ir diegia saugos priemones bei užtikrina jų atitiktį IS duomenų saugos politiką įgyvendinančių dokumentų reikalavimams;
11.7. vykdo saugos įgaliotinio nurodymus atliekant informacinių technologijų saugos atitikties vertinimą;
11.8. informuoja saugos įgaliotinį apie IS duomenų saugos politiką įgyvendinančių dokumentų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias IS duomenų saugos užtikrinimo priemones, teikia jam pasiūlymus dėl IS duomenų saugos gerinimo;
11.9. vykdo saugos įgaliotinio nurodymus, susijusius su saugos politikos įgyvendinimu;
11.10. vykdo kitas IS duomenų saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose IS duomenų tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas ir IS valdytojo pavedimus.
11.11. atlieka IS duomenų saugos politiką įgyvendinančiuose dokumentuose priskirtas funkcijas ir IS valdytojo ir saugos įgaliotinio nurodymus, susijusius su IS duomenų sauga.
12. IS duomenys tvarkomi ir jų sauga užtikrinama vadovaujantis:
12.1. Lietuvos Respublikos Valstybės informacinių išteklių valdymo įstatymu;
12.2. kitais Lietuvos Respublikoje galiojančiais asmens duomenų teisinės apsaugos aktais;
12.3. Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;
12.4. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu (toliau – IS klasifikavimo gairių aprašas), patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;
12.5. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
12.6. Lietuvos ir tarptautiniais grupės „Informacijos technologija. Saugumo metodai“ standartais;
12.7. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
12.8. kitais teisės aktais, kuriais reglamentuojamas elektroninės informacijos bei asmens duomenų tvarkymo teisėtumas, IS valdytojo ir tvarkytojo veikla ir elektroninės informacijos saugos valdymas.
13. Saugos nuostatai privalomi visiems IS naudotojams, saugos įgaliotiniui, IS administratoriui.
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
14. Pagal IS klasifikavimo gairių aprašo 10 punktą IS tvarkoma informacija priskiriama mažiausios svarbos informacijos kategorijai, kuri nepatenka į aprašo 6.1- 6.3 papunkčiuose nurodytas kategorijas.
15. Pagal IS klasifikavimo gairių aprašo 12.4 punktą, IS apdorojamos informacijos svarba priskiriama ketvirtai kategorijai, kuriose tvarkoma mažiausios svarbos informacija.
16. IS naudotojams, IS administratoriams, techniniams administratoriams, saugos įgaliotiniui draudžiama viešai skelbti IS tvarkomos informacijos ir duomenų, išskyrus atvejus, kai informacijos (duomenų) skelbimas numatytas teisės aktuose.
17. IS saugos įgaliotinis arba Pakruojo rajono savivaldybės administracijos direktoriaus įsakymu sudaryta darbo grupė, vadovaudamasi Lietuvos Respublikos vidaus reikalų ministerijos išleistu metodiniu leidiniu „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, kasmet atlieka IS rizikos vertinimą, o prireikus ir neeilinį šios rizikos vertinimą.
18. IS rizikos įvertinimas įforminamas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. IS rizikos įvertinimo ataskaita pateikiama IS valdytojui.
19. Svarbiausi rizikos veiksniai yra šie:
19.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų suvedimas ir teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
19.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis IS duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
19.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
20. Atsižvelgdamas į rizikos įvertinimui sukurtos darbo grupės arba saugos įgaliotinio paruoštą rizikos įvertinimo ataskaitą, IS valdytojas prireikus tvirtina rizikos valdymo priemonių planą, kuriame numatomas techninių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
21. Saugos įgaliotinis ne rečiau kaip vieną kartą per metus organizuoja informacinių technologijų saugos atitikties vertinimą, kurio metu:
21.1. įvertinama IS duomenų saugos politiką įgyvendinančių dokumentų ir realios informacijos saugos situacijos atitiktis;
21.2. inventorizuojama IS techninė ir programinė įranga;
21.3. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų IS naudotojų kompiuterinių darbo vietų, visose tarnybinėse stotyse įdiegtos programos ir jų sąranga;
21.4. įvertinama IS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;
21.5. įvertinamas pasirengimas užtikrinti IS veiklos tęstinumą įvykus saugos incidentui.
22. Atlikęs informacinių technologijų saugos atitikties vertinimą, saugos įgaliotinis rengia ir teikia IS valdytojo vadovui vertinimo ataskaitą.
23. Atsižvelgdamas į informacinių technologijų saugos atitikties vertinimo ataskaitą, saugos įgaliotinis prireikus rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato IS valdytojo vadovas.
24. Techninės, programinės ir organizacinės IS elektroninės informacijos saugos priemonės pasirenkamos atsižvelgiant į tvarkomų asmens duomenų saugumo atitikimą galiojantiems Lietuvos Respublikoje teisės aktams ir į IS valdytojo turimus resursus, vadovaujantis šiais priemonių parinkimo principais:
24.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;
24.2. informacijos saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;
24.3. kur galima, turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.
25. Rizikos įvertinimo ataskaitas, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas, informacinių technologijų saugos atitikties vertinimo ataskaitas, pastebėtų trūkumų šalinimo plano kopijas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo saugos įgaliotinis pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (ARSIS).
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
26. IS tarnybinės stotys ir kompiuterizuotos darbo vietos, skirtos tvarkyti IS duomenis, turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai) jose įdiegtomis antivirusinės programinės įrangos priemonėmis.
27. Antivirusinės programinės įrangos priemonės tarnybinėms stotims ir visoms kompiuterizuotoms darbo vietoms yra atnaujinamos automatiniu būdu ne rečiau kaip kartą per parą, antivirusinės programinės įrangos priemonių valdymas yra centralizuotas.
28. IS tarnybinėse stotyse ir kompiuterizuotose darbo vietose gali būti naudojama tik legali programinė įranga.
29. IS tarnybinėse stotyse gali veikti tik su IS duomenų tvarkymu, IS naudotojų ir pačios įrangos administravimu susijusi programinė įranga.
30. IS naudotojų kompiuterinės darbo vietos ir IS tarnybinės stotys negali būti naudojamos kitoms, su IS naudotojų funkcijomis nesusijusioms, funkcijoms vykdyti.
31. IS naudotojų kompiuteriuose ir tarnybinėse stotyse negali būti naudojama programinė įranga, nesusijusi su IS naudotojų funkcijų vykdymu (žaidimai, bylų siuntimo, srautinio duomenų perdavimo paslaugos internete ir kt.).
32. IS naudotojams draudžiama patiems diegti bet kokią programinę įrangą. Programinę įrangą, reikalingą IS naudotojo funkcijoms vykdyti, diegia ir prižiūri administratorius arba paslaugų teikėjas.
33. IS duomenų perdavimo tinklai atskirti nuo viešųjų elektroninių ryšių tinklų ugniasiene.
34. Duomenų perdavimo tinklo ugniasienėje sukurti srauto filtrai, leidžiantys nustatyti ir sustabdyti galimus tyčinius arba netyčinius IS duomenų perdavimo tinklo trikdžius.
35. IS duomenų tinklų apsaugai naudojama įsilaužimų prevencijos sistema – tinklo saugumo prietaisas, įrengiamas IS duomenų tinklų prieigose ir skirtas aptikti tinklų ir (arba) sistemų kenksmingą veiklą, fiksuoti informaciją apie šią veiklą, bandyti blokuoti (sustabdyti) šią veiklą ir apie tai pranešti administratoriui.
36. IS tarnybinės stotys turi veikti specialiai tam pritaikytose patalpose.
37. IS naudotojų kompiuteriai, išskyrus nešiojamuosius kompiuterius, turi būti naudojami jų darbo vietose.
38. IS tarnybinės stotys prie interneto jungiamos per užkardas (angl. firewall), kurios prie IS tarnybinių stočių leidžia prisijungti tik iš registruotų IP adresų. Už užkardų administravimą, saugos priemonių diegimą ir techninį palaikymą atsakingas administratorius arba paslaugų teikėjas.
39. Nešiojamuose kompiuteriuose esanti informacija turi būti apsaugota operacinės sistemos ir vartotojo vardu bei slaptažodžiu. Nešiojamuose kompiuteriuose negali būti jokios svarbios informacijos, išskyrus IS naudotojo darbo dokumentus.
40. Teisę diegti ir valdyti programinę įrangą nešiojamuose kompiuteriuose turi tik administratorius.
41. Metodai, kuriais gali būti užtikrinamas saugus IS duomenų teikimas ir (ar) gavimas:
41.1. IS duomenys perduodami automatiniu būdu, koduotu kanalu TCP/IP protokolu, prieiga prie duomenų ribojama pagal IP adresą;
41.2. IS duomenys perduodami realiu laiku arba asinchroniniu režimu pagal IS duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka;
42. Už duomenų teikimo ir gavimo sutartyse nurodomų saugos reikalavimų nustatymą, suformulavimą ir įgyvendinimo organizavimą atsakingas administratorius.
43. Už elektroninės informacijos atsarginių kopijų darymą, jų saugojimą ir atstatymą yra atsakingas administratorius arba paslaugų teikėjas.
44. Elektroninės informacijos atsarginės kopijos yra daromos kartą per parą automatizuotai ir saugomos paskutinių 14 dienų atsarginės kopijos.
45. Turi būti daroma atsarginių kopijų kokybės patikra, kartą per pusmetį išbandant atstatymą iš duomenų kopijos į tęstinę aplinką.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
46. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis IS duomenų saugos politiką įgyvendinančiais dokumentais, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais duomenų tvarkymą, standartais bei kitais dokumentais ir būti susipažinęs su esminiais IS duomenų saugos reikalavimais, turėti atitinkamą kvalifikaciją įgyvendinti saugos politiką, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.
47. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą galiojančią administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą.
48. Administratorius privalo išmanyti informacijos saugos principus, mokėti užtikrinti jų saugą, administruoti ir prižiūrėti duomenų bazes, sugebėti užtikrinti IS techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų diagnostiką ir šalinimą, išmanyti elektroninės informacijos saugos užtikrinimo principus, turi būti susipažinęs su IS duomenų saugos politiką įgyvendinančiais dokumentais, darbo saugos taisyklėmis.
49. IS naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, mokėti tvarkyti duomenis IS nuostatų nustatyta tvarka ir būti susipažinę su IS duomenų saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, įgyvendinančiais duomenų saugos politiką.
50. IS naudotojų mokymai elektroninės informacijos saugos temomis vykdomi pagal poreikį, bet ne rečiau kaip kartą per trejus metus.
51. Tvarkyti elektroninę informaciją gali naudotojai, susipažinę su atsakomybe už saugos dokumentų nuostatų pažeidimus. Saugos įgaliotinis atsakingas už elektroninės informacijos saugos mokymų organizavimą.
V SKYRIUS
IS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
52. Tvarkyti IS elektroninę informaciją gali tik IS naudotojai, susipažinę su Saugos nuostatais, kitais saugos dokumentais ir sutikę laikytis jų reikalavimų.
53. Saugos įgaliotinis pasirašytinai supažindina IS valdytojo IS naudotojus su IS duomenų saugos politiką įgyvendinančiais dokumentais.
54. Saugos įgaliotinis informuoja naudotojus apie IS duomenų saugos politiką įgyvendinančių dokumentų pakeitimus.
55. Naudotojų supažindinimas su IS duomenų saugos politiką įgyvendinančiais dokumentais ar jų pakeitimais turi būti vykdomas šiais atvejais:
56. prieš suteikiant naudotojams prieigą prie IS;
57. pakeitus IS duomenų saugos politiką įgyvendinančius dokumentus;
58. periodiškai, mokymų elektroninės informacijos saugos temomis metu, bet ne rečiau kaip kartą per trejus metus.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
59. IS saugos dokumentai gali būti keičiami. Saugos dokumentų pakeitimai turi būti derinami ir tvirtinami teisės aktų nustatyta tvarka.
60. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems IS valdytojo veiklos pokyčiams. Saugos dokumentų peržiūros rezultatai įrašomi į rizikos vertinimo ataskaitą.
61. IS naudotojai, administratoriai, saugos įgaliotinis, pažeidę IS duomenų saugos politiką įgyvendinančių dokumentų reikalavimus, atsako teisės aktų nustatyta tvarka.
________________________