PRIEŠGAISRINĖS APSAUGOS IR GELBĖJIMO DEPARTAMENTO

PRIE VIDAUS REIKALŲ MINISTERIJOS

DIREKTORIUS

Dėl GYVENTOJŲ PERSPĖJIMO IR INFORMAVIMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2016 m. sausio 27 d. Nr. 1-24

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7 punktu:

1. T v i r t i n u Gyventojų perspėjimo ir informavimo informacinės sistemos duomenų saugos nuostatus (pridedama);

2. P r i p a ž į s t u netekusiu galios Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos direktoriaus 2011 m. gruodžio 5 d. įsakymo Nr. 1-342 „Dėl Gyventojų perspėjimo ir informavimo informacinės sistemos nuostatų ir Gyventojų perspėjimo ir informavimo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ 1.2 papunktį;

3. P a v e d u Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos Civilinės saugos valdybos viršininkui Jūriui Targonskui kontroliuoti šio įsakymo vykdymą.

Direktorius

vidaus tarnybos generolas Remigijus Baniulis

SUDERINTA

Lietuvos Respublikos

vidaus reikalų ministerijos

Viešojo valdymo politikos

departamento

2016 m. sausio 13 d.

raštu Nr. 31D-18

PATVIRTINTA

Priešgaisrinės apsaugos ir gelbėjimo

departamento prie Vidaus reikalų

ministerijos direktoriaus

2016 m. sausio 27 d.

įsakymu Nr. 1-24

GYVENTOJŲ PERSPĖJIMO IR INFORMAVIMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Gyventojų perspėjimo ir informavimo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato principus ir reikalavimus, užtikrinančias saugų ir teisėtą Gyventojų perspėjimo ir informavimo informacinės sistemos (toliau – GPIIS) elektroninės informacijos tvarkymą.

2. Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, vartojamas 13 punkte išvardytuose teisės aktuose.

3. Saugos nuostatų tikslas – sudaryti sąlygas saugiai tvarkyti GPIIS elektroninę informaciją.

4. Saugos nuostatai yra privalomi GPIIS valdytojui, GPIIS tvarkytojams, GPIIS saugos įgaliotiniui (toliau – saugos įgaliotinis), GPIIS administratoriams (toliau – administratoriai), GPIIS naudotojams (toliau – naudotojai).

5. Priešgaisrinės apsaugos ir gelbėjimo departamentas prie Vidaus reikalų ministerijos (toliau – departamentas) (Švitrigailos g. 18, Vilnius) yra GPIIS valdytojas, kuris kartu atlieka ir GPIIS tvarkytojo funkcijas.

6. Kiti GPIIS tvarkytojai:

6.1. Bendrasis pagalbos centras (Petro Vileišio g. 20A, LT-10302 Vilnius);

6.2. apskričių priešgaisrinės gelbėjimo valdybos (toliau – APGV), kurių adresai pateikiami 1 lentelėje:

1 lentelė

Eil. Nr.	APGV	Adresas
1.	Vilniaus APGV	Pamėnkalnio g. 30, 01114 Vilnius
2.	Kauno APGV	Nemuno g. 2-1, 44296 Kaunas
3.	Klaipėdos APGV	Trilapio g. 12, 92191 Klaipėda
4.	Šiaulių APGV	J. Basanavičiaus g. 89, 76001 Šiauliai
5.	Panevėžio APGV	Ramygalos g. 14, 36231 Panevėžys
6.	Marijampolės APGV	Stoties g. 59, 68230 Marijampolė
7.	Tauragės APGV	Respublikos g. 1, 72252 Tauragė
8.	Telšių APGV	Žemaitės g. 22A, 87133 Telšiai
9.	Utenos APGV	Pramonės g. 2, 28216 Utena
10.	Alytaus APGV	Suvalkų g. 34, 62121 Alytus

6.3. savivaldybių administracijos, kurių adresai pateikiami 2 lentelėje:

2 lentelė

Eil. Nr.	Savivaldybių administracija	Adresas
1.	Akmenės rajono savivaldybės administracija	L. Petravičiaus a. 2, 85132 Akmenė
2.	Alytaus miesto savivaldybės administracija	Rotušės a. 4, 62504 Alytus
3.	Alytaus rajono savivaldybės administracija	Pulko g. 21, 62133 Alytus
4.	Anykščių rajono savivaldybės administracija	J. Biliūno g. 23, 29111 Anykščiai
5.	Birštono savivaldybės administracija	Jaunimo g. 2, 59209 Birštonas
6.	Biržų rajono savivaldybės administracija	Vytauto g. 38, 41148 Biržai
7.	Druskininkų savivaldybės administracija	Vilniaus al. 18, 66119 Druskininkai
8.	Elektrėnų savivaldybės administracija	Elektrinės g. 8, 26108 Elektrėnai
9.	Ignalinos rajono savivaldybės administracija	Laisvės a. 70, 30122 Ignalina
10.	Jonavos rajono savivaldybės administracija	Žeimių g.13, 55158 Jonava
11.	Joniškio rajono savivaldybės administracija	Livonijos g. 4, 84166 Joniškis
12.	Jurbarko rajono savivaldybės administracija	Dariaus ir Girėno g. 96, 74187 Jurbarkas
13.	Kaišiadorių rajono savivaldybės administracija	Bažnyčios g. 4, 56121 Kaišiadorys
14.	Kalvarijos savivaldybės administracija	Laisvės g. 2, 69214 Kalvarija
15.	Kauno miesto savivaldybės administracija	Laisvės al. 96, 44251 Kaunas
16.	Kauno rajono savivaldybės administracija	Savanorių pr. 371, 49500 Kaunas
17.	Kazlų Rūdos savivaldybės administracija	Atgimimo g. 12, 69443 Kazlų Rūda
18.	Kėdainių rajono savivaldybės administracija	J. Basanavičiaus g. 36, 57288 Kėdainiai
19.	Kelmės rajono savivaldybės administracija	Vytauto Didžiojo g. 58, 86143 Kelmė
20.	Klaipėdos miesto savivaldybės administracija	Liepų g. 11, 91502 Klaipėda
21.	Klaipėdos rajono savivaldybės administracija	Klaipėdos g. 2, 96130 Gargždai
22.	Kretingos rajono savivaldybės administracija	Savanorių g. 29A, 97111 Kretinga
23.	Kupiškio rajono savivaldybės administracija	Vytauto g. 2, 40115 Kupiškis
24.	Lazdijų rajono savivaldybės administracija	Vilniaus g. 1, 67106 Lazdijai
25.	Marijampolės savivaldybės administracija	J. Basanavičiaus a. 1, 68307 Marijampolė
26.	Mažeikių rajono savivaldybės administracija	Laisvės g. 8/1, 89223 Mažeikiai
27.	Molėtų rajono savivaldybės administracija	Vilniaus g. 44, 33140 Molėtai
28.	Neringos savivaldybės administracija	Taikos g. 2, 93121 Neringa
29.	Pagėgių savivaldybės administracija	Vilniaus g. 9, 99288 Pagėgiai
30.	Pakruojo rajono savivaldybės administracija	Kęstučio g. 4, 83152 Pakruojis
31.	Palangos miesto savivaldybės administracija	Vytauto g. 73, 00134 Palanga
32.	Panevėžio miesto savivaldybės administracija	Laisvės a. 20, 35200 Panevėžys
33.	Panevėžio rajono savivaldybės administracija	Vasario 16-osios g. 27, 35185 Panevėžys
34.	Pasvalio rajono savivaldybės administracija	Vytauto Didžiojo a. 1, 39143 Pasvalys
35.	Plungės rajono savivaldybės administracija	Vytauto g. 12, 90123 Plungė
36.	Prienų rajono savivaldybės administracija	Laisvės a. 12, 59126 Prienai
37.	Radviliškio rajono savivaldybės administracija	Aušros a. 10, 82001 Radviliškis
38.	Raseinių rajono savivaldybės administracija	V. Kudirkos g. 5, 60150 Raseiniai
39.	Rietavo savivaldybės administracija	Laisvės a. 3, 90316 Rietavas
40.	Rokiškio rajono savivaldybės administracija	Respublikos g. 94, 42136 Rokiškis
41.	Skuodo rajono savivaldybės administracija	Vilniaus g. 13, 98112 Skuodas
42.	Šakių rajono savivaldybės administracija	Bažnyčios g. 4, 71120 Šakiai
43.	Šalčininkų rajono savivaldybės administracija	Vilniaus g. 49, 17116 Šalčininkai
44.	Šiaulių miesto savivaldybės administracija	Vasario 16-osios g. 62, 76295 Šiauliai
45.	Šiaulių rajono savivaldybės administracija	Vilniaus g. 263, 76337 Šiauliai
46.	Šilalės rajono savivaldybės administracija	J. Basanavičiaus g. 2/1, 75136 Šilalė
47.	Šilutės rajono savivaldybės administracija	Dariaus ir Girėno g. 1, 99133 Šilutė
48.	Širvintų rajono savivaldybės administracija	Vilniaus g. 61, 19120 Širvintos
49.	Švenčionių rajono savivaldybės administracija	Vilniaus g. 19, 18116 Švenčionys
50.	Tauragės rajono savivaldybės administracija	Respublikos g. 2, 72255 Tauragė
51.	Telšių rajono savivaldybės administracija	Žemaitės g. 14, 87133 Telšiai
52.	Trakų rajono savivaldybės administracija	Vytauto g. 33, 21106 Trakai
53.	Ukmergės rajono savivaldybės administracija	Kęstučio a. 3, 20114 Ukmergė
54.	Utenos rajono savivaldybės administracija	Utenio a. 4, 28503 Utena
55.	Varėnos rajono savivaldybės administracija	Vytauto g. 12, 65184 Varėna
56.	Vilkaviškio rajono savivaldybės administracija	S. Nėries g. 1, 70147 Vilkaviškis
57.	Vilniaus miesto savivaldybės administracija	Konstitucijos pr. 3, 09601 Vilnius
58.	Vilniaus rajono savivaldybės administracija	Rinktinės g. 50, 09318 Vilnius
59.	Visagino savivaldybės administracija	Parko g. 14, 31139 Visaginas
60.	Zarasų rajono savivaldybės administracija	Sėlių a. 22, 32110 Zarasai

7. Pagrindinės GPIIS elektroninės informacijos saugos užtikrinimo kryptys:

7.1. fizinė elektroninės informacijos apdorojimo priemonių (GPIIS patalpos, tarnybinės stotys, elektroninės informacijos perdavimo įranga, programinė įranga) apsauga;

7.2. organizacinių saugaus darbo su elektronine informacija priemonių įgyvendinimas ir kontrolė (departamento ir kitų GPIIS tvarkytojų teisių, įpareigojimų, atsakomybės ribų nustatymas; GPIIS elektroninės informacijos saugojimo, tvarkymo ir administravimo tvarkos nustatymas).

8. GPIIS valdytojo funkcijos ir atsakomybė:

8.1. rengia ir priima teisės aktus, susijusius su GPIIS duomenų sauga;

8.2. atsako už GPIIS duomenų saugą ir GPIIS duomenų tvarkymo teisėtumą, atlieka GPIIS duomenų saugos reikalavimų laikymosi priežiūrą;

8.3. departamento direktoriaus įsakymu skiria duomenų valdymo įgaliotinį, saugos įgaliotinį, nustato administratorių skaičių ir priskiria administratoriams 12 punkte nustatytas funkcijas;

8.4. rengia ir įgyvendina GPIIS techninių ir programinių priemonių kūrimo ir plėtros planus, investicinius projektus.

9. GPIIS tvarkytojo funkcijos ir atsakomybė:

9.1. atsako už GPIIS duomenų saugos priemonių įgyvendinimo atitiktį Saugos nuostatams ir saugos politiką įgyvendinantiems dokumentams;

9.2. užtikrina, kad naudotojai laikytųsi reikalavimų, išvardytų Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose;

9.3. GPIIS tvarkytojo vadovo įsakymu skiria administratorius.

10. Duomenų valdymo įgaliotinio funkcijos vykdomos, kaip yra nustatyta Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme.

11. Saugos įgaliotinis, koordinuodamas ir prižiūrėdamas saugos politikos įgyvendinimą GPIIS, atlieka šias funkcijas:

11.1. teikia departamento direktoriui pasiūlymus dėl:

11.1.1. administratorių paskyrimo ir reikalavimų administratoriams nustatymo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);

11.1.2. GPIIS informacinių technologijų (toliau – IT) saugos atitikties vertinimo atlikimo vidaus reikalų ministro nustatyta tvarka;

11.1.3. saugos dokumentų priėmimo, keitimo;

11.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių GPIIS, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

11.3. teikia administratoriams ir naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu. Turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems GPIIS tvarkytojo darbuotojams, jei tai būtina saugos politikai įgyvendinti;

11.4. organizuoja rizikos įvertinimą;

11.5. periodiškai organizuoja administratorių, naudotojų mokymą elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos problemas;

11.6. organizuoja administratorių, naudotojų supažindinimą su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;

11.7. organizuoja GPIIS IT saugos atitikties vertinimą;

11.8. atlieka kitas teisės aktuose nustatytas ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), jam priskirtas funkcijas.

12. Administratoriai:

12.1. atlieka funkcijas, susijusias su naudotojų teisių valdymu;

12.2. atlieka GPIIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, elektroninės informacijos perdavimo tinklų, bylų serverių ir kitų) administravimą, šių GPIIS komponentų sąrankos ir GPIIS būsenos rodiklių kontrolę, GPIIS pažeidžiamų vietų ir saugumo reikalavimų atitikties nustatymą ir stebėseną;

12.3. reaguoja į elektroninės informacijos saugos incidentus;

12.4. rengia ir teikia departamento direktoriui pasiūlymus dėl GPIIS tobulinimo, palaikymo, priežiūros ir elektroninės informacijos saugos;

12.5. vykdo visus saugos įgaliotinio nurodymus ir pavedimus, susijusius su GPIIS duomenų saugos užtikrinimu, nuolat teikia saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.

13. Elektroninės informacijos sauga GPIIS užtikrinama vadovaujantis:

13.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

13.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

13.3. Lietuvos Respublikos kibernetinės saugos įstatymu;

13.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

13.5. Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

13.6. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas);

13.7. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. IV-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai elektroninės informacijos saugos reikalavimai);

13.8. Lietuvos standartais LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos elektroninės informacijos tvarkymą;

13.9. Gyventojų perspėjimo ir informavimo informacinės sistemos nuostatais, patvirtintais Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos direktoriaus 2011 m. gruodžio 5 d. įsakymu Nr. 1-342 „Dėl Gyventojų perspėjimo ir informavimo informacinės sistemos nuostatų ir Gyventojų perspėjimo ir informavimo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – GPIIS nuostatai);

13.10. Saugos nuostatais ir kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, GPIIS valdytojo ir GPIIS tvarkytojų veiklą, elektroninės informacijos saugos valdymą.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

14. Duomenų konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti neigiamą įtaką vienos institucijos veiklai, padaryti žalą vieno ar kelių fizinių ar juridinių asmenų teisėtiems interesams. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.3 papunkčiu, 4.3.1 ir 4.3.2 papunkčiais, GPIIS tvarkoma elektroninė informacija yra priskiriama žinybinės svarbos elektroninei informacijai.

15. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.3 papunkčiu, GPIIS priskiriama trečiai kategorijai.

16. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuoja GPIIS rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. Departamento direktoriaus rašytiniu pavedimu GPIIS rizikos įvertinimą atlieka saugos įgaliotinis. GPIIS rizikos veiksnių vertinimas atliekamas kokybiniu rizikos vertinimo metodu.

17. GPIIS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje, kuri pateikiama departamento direktoriui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos GPIIS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Pagrindiniai rizikos veiksniai yra šie:

17.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės IT sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

17.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis GPIIS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, IT duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

17.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos
15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte;

17.4. atsitiktinės subjektyvios aplinkybės (darbuotojų praradimas, audros, gaisrai, vandens poveikis, elektros instaliacijos gedimas ir kita).

18. Atsižvelgdamas į rizikos įvertinimo ataskaitą, departamento direktorius prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti. Rizikos įvertinimo ataskaita, rizikos įvertinimo ir rizikos valdymo priemonių planas pateikiami Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Bendrųjų elektroninės informacijos saugos reikalavimų apraše nustatyta tvarka.

19. Siekdamas užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, saugos įgaliotinis ne rečiau kaip kartą per 2 metus organizuoja IT saugos atitikties vertinimą, kurio metu:

19.1. įvertinama Saugos nuostatų, saugos politiką įgyvendinančių dokumentų ir realios duomenų saugos situacijos atitiktis;

19.2. inventorizuojama techninė ir programinė GPIIS įranga;

19.3. tikrinama visose GPIIS tarnybinėse stotyse, administratorių ir ne mažiau kaip 10 procentų naudotojų kompiuterizuotose darbo vietose įdiegta programinė įranga ir jos sąranka;

19.4. peržiūrima administratoriams, naudotojams suteiktų teisių atitiktis jų atliekamoms funkcijoms;

19.5. įvertinamas pasirengimas užtikrinti GPIIS veiklos tęstinumą įvykus saugos incidentui.

20. Atlikus 19 punkte nurodytą IT saugos atitikties vertinimą, rengiama IT saugos atitikties vertinimo ataskaita, kuri pateikiama departamento direktoriui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato departamento direktorius. IT saugos atitikties vertinimo ataskaita, pastebėtų trūkumų šalinimo planas pateikiami Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Bendrųjų elektroninės informacijos saugos reikalavimų apraše nustatyta tvarka.

21. Kad būtų užtikrintas GPIIS veiklos tęstinumas, patiriant kuo mažiau išlaidų, saugus naudotojų darbas, parenkamos atitinkamos techninės, programinės ir organizacinės elektroninės informacijos saugos priemonės.

22. Pagrindiniai GPIIS elektroninės informacijos saugos priemonių parinkimo principai yra šie:

22.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

22.2. informacijos saugos priemonių diegimo kaina turi atitikti saugomos informacijos vertę;

22.3. įdiegiamos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos priemonės.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

23. Programinės įrangos, skirtos GPIIS apsaugoti nuo kenksmingosios programinės įrangos (virusų, šnipinėjimo programinės įrangos ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

23.1. visose GPIIS tarnybinėse stotyse, administratorių, naudotojų kompiuterizuotose darbo vietose įdiegiamos centralizuotai valdomos ir atnaujinamos kenksmingosios programinės įrangos aptikimo, stebėjimo realiu laiku priemonės;

23.2. kenksmingosios programinės įrangos aptikimo priemonės automatiškai atnaujinamos ne rečiau kaip kartą per 24 valandas;

23.3. kenksmingosios programinės įrangos aptikimo priemonės automatiškai informuoja administratorius apie tai, kuriems GPIIS posistemiams, funkciškai savarankiškoms sudedamosioms dalims yra pradelstas kenksmingosios programinės įrangos aptikimo priemonių atsinaujinimo laikas, šios priemonės netinkamai funkcionuoja arba išjungtos;

23.4. kenksmingosios programinės įrangos aptikimo priemonių konfigūracija apsaugota slaptažodžiu;

23.5. GPIIS komponentai be kenksmingosios programinės įrangos aptikimo priemonių gali būti eksploatuojami, jei rizikos įvertinimo metu yra patvirtinama, kad šių komponentų rizika yra priimtina.

24. Programinės įrangos, įdiegtos tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:

24.1. visose GPIIS tarnybinėse stotyse, administratorių, naudotojų kompiuterizuotose darbo vietose įdiegiama tik legali programinė įranga;

24.2. visose GPIIS tarnybinėse stotyse, administratorių, naudotojų kompiuterizuotose darbo vietose naudojama tik darbo funkcijoms atlikti reikalinga programinė įranga. Saugos įgaliotinis rengia, su departamento direktoriumi suderina ir ne rečiau kaip kartą per metus peržiūri, prireikus atnaujina leistinos programinės įrangos sąrašą;

24.3. operatyviai ištestuojami ir įdiegiami visų GPIIS tarnybinių stočių, administratorių, naudotojų darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai. Administratoriai reguliariai, ne rečiau kaip kartą per savaitę, įvertina informaciją apie GPIIS posistemiuose, funkciškai savarankiškose dalyse, administratorių, naudotojų darbo vietų kompiuterinėje įrangoje neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius su tuo saugos pažeidžiamumų svarbos lygius;

24.4. programinės įrangos diegimą, konfigūravimą ir šalinimą visose GPIIS tarnybinėse stotyse, administratorių ir naudotojų kompiuterizuotose darbo vietose atlieka tik administratorius arba kvalifikuoti paslaugų teikėjai dalyvaujant administratoriui. Kai GPIIS tvarkytojas neturi galimybės paskirti administratoriaus, programinės įrangos diegimą, konfigūravimą ir šalinimą atlieka GPIIS tvarkytojo kvalifikuotas atsakingas darbuotojas arba kvalifikuoti paslaugų teikėjai dalyvaujant GPIIS tvarkytojo kvalifikuotam atsakingam darbuotojui.

25. Kompiuterių tinklų filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:

25.1. kompiuterių tinklai, prie kurių prijungtos GPIIS tarnybinės stotys, nuo viešųjų ryšio tinklų ir lokalių kompiuterių tinklų atskirti užkardomis (angl. firewall) ir perkelti į demilitarizuotą zoną;

25.2. kompiuterių tinklai, prie kurių prijungtos administratorių ir naudotojų kompiuterizuotos darbo vietos, nuo viešojo interneto atskirti užkardomis ir įgaliotu serveriu (angl. proxy);

25.3. naudojama paslaugos trikdymo (angl. Denial of Service) ir paskirstytųjų paslaugos trikdymo (angl. Distributed Denial of Service) atakų prevencijai skirta įranga;

25.4. visas GPIIS duomenų srautas į viešuosius ryšio tinklus ir iš viešųjų ryšio tinklų filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingosios programinės įrangos;

25.5. GPIIS programinė įranga turi apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scriptingn), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų. Pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project) interneto svetainėje www.owasp.org.

26. Stacionarūs ir nešiojamieji kompiuteriai naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai. Stacionarius kompiuterius leidžiama naudoti tik GPIIS valdytojo ir GPIIS tvarkytojų patalpose. Nešiojamiesiems kompiuteriams, kurie naudojami nustatytoms funkcijoms vykdyti ne GPIIS valdytojo ar GPIIS tvarkytojų patalpose, taikomos papildomos saugos priemonės:

26.1. elektroninė informacija kompiuteryje šifruojama;

26.2. tapatybė papildomai patvirtinama naudojant biometrinius parametrus;

26.3. naudojami rakinimo įrenginiai.

27. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

27.1. susijusiems registrams ir valstybės informacinėms sistemoms GPIIS duomenys perduodami, GPIIS duomenų gavėjams GPIIS duomenys teikiami ir (ar) gaunami, kaip yra nustatyta GPIIS nuostatuose;

27.2. GPIIS elektroninė informacija automatiniu būdu teikiama ir (ar) gaunama tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas;

27.3. viešaisiais ryšių tinklais perduodamos GPIIS elektroninės informacijos konfidencialumas užtikrinamas naudojant šifravimą, virtualų privatų tinklą (angl. virtual private network), skirtines linijas, saugų valstybinį duomenų perdavimo tinklą ir kitas priemones;

27.4. prieiga prie GPIIS ribojama užkardomis;

27.5. GPIIS duomenys teikiami:

27.5.1. naudotojams duomenų perdavimo kanalu, naudojant saugaus hipertekstų persiuntimo protokolą (angl. Hyper Text Transfer Protocol Secure), kai jungiamasi prie GPIIS tekstinių pranešimų transliavimo (angl. Cell Broadcast) infrastruktūros portalo;

27.5.2. GPIIS paslaugos gavėjams vienkrypčiu viešojo judriojo telefono ryšio operatoriaus tinklo tekstinių pranešimų transliavimo kanalu, kuriuo pranešimai perduodami į paslaugos gavėjų judriojo telefono ryšio telefonus.

28. Atsarginių kopijų darymo ir atkūrimo reikalavimai:

28.1. elektroninės informacijos saugai užtikrinti daromos ir saugomos elektroninės informacijos atsarginės kopijos;

28.2. atsarginės kopijos daromos kiekvienos darbo dienos pabaigoje (toliau – dienos atsarginės kopijos), kiekvienos savaitės pabaigoje (toliau – savaitės atsarginės kopijos), kiekvieno mėnesio pabaigoje (toliau – mėnesio atsarginės kopijos) ir kiekvienų metų pabaigoje (toliau – metų atsarginės kopijos);

28.3. nurodoma kiekvienos atsarginės kopijos data ir laikas;

28.4. užtikrinta atsarginių kopijų kokybė;

28.5. metų atsarginės kopijos saugomos 5 metus nuo jų padarymo dienos;

28.6. mėnesio atsarginės kopijos saugomos vienus metus nuo jų padarymo dienos;

28.7. savaitės atsarginės kopijos saugomos savaitę nuo jų padarymo dienos;

28.8. dienos atsarginės kopijos saugomos savaitę nuo jų padarymo dienos;

28.9. atsarginės kopijos daromos automatiškai;

28.10. vieną kartą per 6 mėnesius atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

28.11. administratoriai atsako už atsarginių GPIIS elektroninės informacijos kopijų darymą ir saugojimą. Kopijų, iš kurių būtų galima atkurti GPIIS elektroninę informaciją, darymo ir saugojimo tvarka išsamiai aprašyta Gyventojų perspėjimo ir informavimo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse, patvirtintose Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos direktoriaus 2012 m. rugsėjo 26 d. įsakymu Nr. 1-294 „Dėl Gyventojų perspėjimo ir informavimo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Gyventojų perspėjimo ir informavimo informacinės sistemos naudotojų administravimo taisyklių ir Gyventojų perspėjimo ir informavimo informacinės sistemos veiklos tęstinumo valdymo plano patvirtinimo“ (toliau – GPIIS saugaus elektroninės informacijos tvarkymo taisyklės).

29. GPIIS tarnybinės stotys ir aparatinė įranga yra specialiai įrengtose patalpose. Šių patalpų reikalavimai aprašyti GPIIS saugaus elektroninės informacijos tvarkymo taisyklėse.

30. Naudotojų ir administratorių veiksmų fiksavimas ir kaupimas, išsami prisijungimo prie GPIIS, darbo ir atsijungimo nuo GPIIS tvarka pateikta GPIIS saugaus elektroninės informacijos tvarkymo taisyklėse.

31. Gyventojų perspėjimo ir informavimo informacinės sistemos veiklos tęstinumo valdymo plane, patvirtintame Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos direktoriaus 2012 m. rugsėjo 26 d. įsakymu Nr. 1-294 „Dėl Gyventojų perspėjimo ir informavimo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Gyventojų perspėjimo ir informavimo informacinės sistemos naudotojų administravimo taisyklių ir Gyventojų perspėjimo ir informavimo informacinės sistemos veiklos tęstinumo valdymo plano patvirtinimo“, aprašomas veiksmų planas, užtikrinantis GPIIS veiklos atnaujinimą ne ilgiau nei per 16 valandų.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

32. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Techninių elektroninės informacijos saugos reikalavimų, Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis.

33. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

34. Administratoriai privalo išmanyti informacijos saugos principus, darbą su kompiuteriais ir kita IT įranga, mokėti užtikrinti kompiuterių ir kitos IT įrangos saugą, taip pat administruoti ir prižiūrėti sisteminę ir taikomąją programinę įrangą, duomenų bazes, būti susipažinę su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais, kitomis vidaus ir darbo saugos taisyklėmis.

35. Naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, mokėti tvarkyti GPIIS duomenis GPIIS nuostatų nustatyta tvarka ir būti susipažinę su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais.

36. Saugos įgaliotinis elektroniniu paštu ir per GPIIS interneto svetainę informuoja naudotojus ir administratorius apie elektroninės informacijos saugos problemas.

37. Naudotojų ir administratorių mokymų kvalifikacijos tobulinimo ir duomenų saugos klausimais planavimo, organizavimo ir vykdymo tvarka išsamiai aprašyta Gyventojų perspėjimo ir informavimo informacinės sistemos naudotojų administravimo taisyklėse, patvirtintose Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos direktoriaus 2012 m. rugsėjo 26 d. įsakymu Nr. 1-294 „Dėl Gyventojų perspėjimo ir informavimo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Gyventojų perspėjimo ir informavimo informacinės sistemos naudotojų administravimo taisyklių ir Gyventojų perspėjimo ir informavimo informacinės sistemos veiklos tęstinumo valdymo plano patvirtinimo (toliau – Gyventojų perspėjimo ir informavimo informacinės sistemos naudotojų administravimo taisyklės).

V SKYRIUS

NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

38. Naudotojai turi būti susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais, atsakomybe už šių dokumentų nuostatų pažeidimus ir sutikę laikytis šių dokumentų reikalavimų.

39. Už naudotojų supažindinimą su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais atsako saugos įgaliotinis. Turi būti užtikrintas susipažinimo įrodomumas.

40. Išsami naudotojų supažindinimo su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais, naudotojų registravimo ir administravimo tvarka aprašyta Gyventojų perspėjimo ir informavimo informacinės sistemos naudotojų administravimo taisyklėse.

41. Saugos nuostatai ir saugos politiką įgyvendinantys dokumentai skelbiami GPIIS tinklalapyje.

42. Naudotojai privalo saugoti duomenų ir informacijos paslaptį, įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą.

43. Naudotojai, pažeidę Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų nuostatas, atsako įstatymų nustatyta tvarka.

__________________________