LIETUVOS RESPUBLIKOS APLINKOS MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS APLINKOS MINISTRO 2012 M. RUGSĖJO 11 D.
ĮSAKYMO NR. D1-730 „DĖL LIETUVOS RESPUBLIKOS UPIŲ, EŽERŲ IR TVENKINIŲ VALSTYBĖS KADASTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“
PAKEITIMO
2014 m. rugpjūčio 21 d. Nr. D1-681
Vilnius
P a k e i č i u Lietuvos Respublikos aplinkos ministro 2012 m. rugsėjo 11 d. įsakymą Nr. D1-730 „Dėl Lietuvos Respublikos upių, ežerų ir tvenkinių valstybės kadastro duomenų saugos nuostatų patvirtinimo“:
1. Pakeičiu preambulę ir ją išdėstau taip:
„Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 43 straipsnio 2 dalimi, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7, 11, 19 punktais:“.
2. Pakeičiu nurodytuoju įsakymu patvirtintus Lietuvos Respublikos upių, ežerų ir tvenkinių valstybės kadastro duomenų saugos nuostatus ir išdėstau juos nauja redakcija (pridedama).
3. Į g a l i o j u Aplinkos apsaugos agentūrą paskirti Lietuvos Respublikos upių, ežerų ir tvenkinių valstybės kadastro administratorių.
PATVIRTINTA
Lietuvos Respublikos aplinkos ministro
2012 m. rugsėjo 11 d. įsakymu Nr. D1-730
(Lietuvos Respublikos aplinkos ministro
2014 m. rugpjūčio 21 d. įsakymo Nr. D1-681 redakcija)
Lietuvos Respublikos
upių, ežerų ir tvenkinių kadastrO duomenų saugos nuostatai
I. Bendrosios nuostatos
1. Lietuvos Respublikos upių, ežerų ir tvenkinių kadastro (toliau – kadastras) duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas – sudaryti sąlygas saugiai automatizuotu būdu rinkti, apdoroti, kaupti, tvarkyti kadastro elektroninę informaciją, užtikrinant elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą bei tinkamą registro veikimą.
2. Saugos nuostatai reglamentuoja kadastro elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, kadastro naudotojų supažindinimo su saugos dokumentais principus, reikalavimus personalui.
3. Kadastro saugos politiką nustato Saugos nuostatai, kurių įgyvendinamieji dokumentai yra kadastro saugaus elektroninės informacijos tvarkymo taisyklės, kadastro veiklos tęstinumo valdymo planas ir kadastro naudotojų administravimo taisyklės (toliau – Saugos politiką įgyvendinantys dokumentai).
4. Informacijos saugumo užtikrinimo prioritetinės kryptys:
4.1. fizinė informacijos apdorojimo priemonių (elektroninės informacijos perdavimo įrangos, programinės įrangos) apsauga;
5. Kadastro valdytojo ir tvarkytojo pavadinimai ir adresai:
6. Kadastro valdytojo funkcijos, susijusios su kadastro sauga:
6.1. koordinuoja kadastro tvarkytojo darbą, metodiškai jam vadovauja ir įstatymų nustatyta tvarka atlieka šio darbo priežiūrą;
6.4. atsižvelgdamas į rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą;
6.5. atsako už kadastro saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.
7. Kadastro tvarkytojo funkcijos, susijusios su kadastro sauga:
8. Saugos įgaliotinio funkcijos, susijusios su kadastro sauga:
8.2. teikia kadastro valdytojo vadovui siūlymus dėl saugos dokumentų priėmimo, keitimo ar pripažinimo netekusiais galios, atlieka kadastro saugos reikalavimų atitikties vertinimą;
8.3. koordinuoja elektroninės informacijos saugos incidentų kadastre tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;
8.5. periodiškai inicijuoja kadastro naudotojų mokymą informacijos saugos klausimais, informuoja juos apie informacijos saugos problematiką;
8.6. atlieka kitas kadastro valdytojo ir tvarkytojo vadovų pavestas ir kituose teisės aktuose jam priskirtas funkcijas;
9. Administratorius atlieka šias funkcijas, susijusias su kadastro sauga:
9.1. įvertina kadastro naudotojų pasirengimą dirbti su informacine sistema ir suteikia kadastro naudotojams teisę naudotis informacinės sistemos galimybėmis paskirtoms funkcijoms atlikti;
9.3. administruoja kadastro komponentus (kompiuterius, operacines sistemas), nustato pažeidžiamų vietų ir saugos reikalavimų atitiktį;
9.4. atlieka kadastro naudotojų kompiuterinių darbo vietų programinės įrangos priežiūrą, kontrolę ir užtikrina tinkamą veikimą;
9.5. atlieka funkcijas, susijusias su saugumo reikalavimų atitikties nustatymu ir stebėsena, reagavimu į elektroninės informacijos saugos incidentus, vykdo saugos įgaliotinio nurodymus ir pavedimus, susijusius su kadastro saugos užtikrinimu ir nuolat teikti informaciją saugos įgaliotiniui apie saugą užtikrinančių pagrindinių komponentų būklę.
10. Saugų kadastro duomenų tvarkymą reglamentuoja:
10.2. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrieji reikalavimai);
10.3. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;
10.4. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai saugos reikalavimai);
10.5. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Turinio gairės);
10.6. Lietuvos standartai LST ISO/IEC 27002:2014 ir LST ISO/IEC 27001:2013, kiti Lietuvos ir tarptautiniai grupės „Informacijos technologija. Saugumo metodai“ standartai;
10.7. Lietuvos Respublikos upių, ežerų ir tvenkinių kadastro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2000 m. rugsėjo 19 d. nutarimu Nr. 1114 „Dėl Lietuvos Respublikos upių, ežerų ir tvenkinių kadastro steigimo ir jo nuostatų patvirtinimo“ (toliau – kadastro nuostatai);
10.8. Valstybės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymas Nr. 1T-71 (1.12) „Dėl bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“;
II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
11. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.2.3 ir 4.2.4 papunkčių nuostatomis, kadastre tvarkoma informacija priskirtina svarbios elektroninės informacijos kategorijai.
12. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.2 papunkčio nuostatomis, kadastras priskiriamas antrai informacinių sistemų kategorijai.
13. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo metodai“ standartus, kasmet organizuoja kadastro rizikos vertinimą. Prireikus Saugos įgaliotinis gali organizuoti neeilinį kadastro rizikos vertinimą.
14. Kadastro rizikos vertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos kadastro duomenų saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus.
Pagrindiniai rizikos veiksniai yra:
14.1. subjektyvūs netyčiniai – veiksniai, atsirandantys dėl darbo organizavimo nesklandumų, vidaus tvarkos taisyklių pažeidimų, kadastro administravimo, kontrolės ir priežiūros trūkumų, kadastro naudotojų, kadastro duomenų gavėjų ir teikėjų kontrolės trūkumo, kadastro programinės įrangos klaidų, klaidingų kadastro duomenų įvedimo, darbuotojų praradimo ir kaitos;
14.2. subjektyvūs tyčiniai – nesankcionuotas prisijungimas prie kadastro, klaidingų duomenų įvedimas, operacinės sistemos, operacinės sistemos naudotojo teisių ir taikomosios programinės įrangos pakeitimas, kadastro naudotojų, kadastro duomenų gavėjų ir teikėjų teisių viršijimas, bandymas atspėti slaptažodžius ar kitaip pažeisti taikomas saugos priemones, piktnaudžiavimas siekiant patogumo (slaptažodžių išsaugojimas kompiuterių atmintyje ir pan.), vidaus tvarkos taisyklių pažeidimas, nesankcionuotas prisijungimas prie vietinio kompiuterių tinklo, kadastro duomenų atskleidimas nesilaikant kadastro nuostatų, kenksmingo kodo ir kitos programinės įrangos, galinčios pakenkti kadastro saugai, naudojimas ar platinimas;
15. Kadastro rizikos veiksniai vertinami nustatant jų įtakos kadastro saugai laipsnius:
15.1. žemas. Duomenų pažeidimo poveikio laipsnis nedidelis, padariniai nebus pavojingi – įvesti netikslūs duomenys, dingo dalis informacijos, kurią galima greitai atstatyti iš atsarginių kopijų, prarasta informacija po paskutinio kopijavimo. Neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterizuotose darbo vietose;
15.2. vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar sugadinti, bet juos įmanoma atstatyti iš atsarginių kopijų. Duomenų bazių įrašai pakeisti, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse;
16. kadastro rizikos vertinimo metu atliekami darbai:
17. Atsižvelgdamas į rizikos įvertinimo ataskaitą, kadastro valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
18. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai:
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
19. Programinės įrangos, skirtos informacinei sistemai apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
19.1. tarnybinėse stotyse ir kompiuterizuotose darbo vietose su „Microsoft Windows“ operacine sistema privalo būti įdiegta centralizuotai valdoma apsauga nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos ir kt.);
19.2. antivirusinės programinės įrangos kenksmingo kodo aprašai turi būti atnaujinami ne rečiau kaip kartą per 24 valandas;
20. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:
20.1. kadastro naudotojų kompiuterizuotose darbo vietose įdiegiama legali ir saugi operacinė sistema (su naujausiais pataisymais) bei programinė įranga;
20.2. Apsaugai nuo kenksmingo kodo užtikrinti turi būti nuolat vykdomas kadastro naudotojų kompiuterių ir serverių operacinių sistemų ir taikomųjų programų atnaujinimas. Operacinės sistemos ir taikomosios programos atnaujinamos vadovaujantis gamintojo rekomendacijomis;
20.3. kadastro naudotojų kompiuterizuotose darbo vietose turi būti naudojama tik su tarnybine veikla susijusi programinė įranga;
21. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:
21.1. Kompiuterių tinklas, prie kurio prijungti kadastro naudotojų kompiuteriai, nuo viešojo interneto turi būti atskirtas ugniasienėmis;
21.2. visas kadastro duomenų srautas į ir iš interneto yra filtruojamas naudojant apsaugą nuo virusų ir kitos kenkėjiškos programinės įrangos;
22. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:
22.1. kadastro duomenų perdavimo duomenų gavėjams būdai, sąlygos ir tvarka nurodyti kadastro nuostatų VI ir VII skyriuose;
23. Kadastro naudotojams draudžiama naudoti nešiojamuosius kompiuterius duomenims perduoti kompiuterių tinklais ne savo darbo vietoje. Nešiojamuosiuose kompiuteriuose esanti informacija turi būti apsaugota operacinės sistemos ir naudotojo vardu bei slaptažodžiu.
24. Kadastro naudotojams tiesioginė prieiga prie kadastro duomenų suteikiama nustatant kadastro naudotojų registracijos vardus ir slaptažodžius.
25. Pasibaigus valstybės tarnybos (darbo) santykiams, kadastro naudotojo teisė naudotis kadastro duomenimis turi būti panaikinta.
26. Pagrindiniai atsarginių elektroninės informacijos kopijavimo ir atkūrimo reikalavimai:
26.1. daromos atsarginės elektroninės informacijos kopijos, kurios turi būti laikomos atskiroje patalpoje ir saugomos užrakintoje nedegioje spintoje. Atsarginės duomenų kopijos turi būti daromos ne rečiau kaip kartą per savaitę;
26.2. atkūrimas iš atsarginių kopijų privalo būti išbandomas ne rečiau kaip kartą per metus. Duomenų atkūrimo išbandymą organizuoja administratorius. Reikalavimai kadastro funkcionalumo atstatymui ir prieinamumui:
26.2.1. turi būti užtikrintas pagrindinių informacinės sistemos funkcijų atkūrimas per 8 valandas nuo veiklos sutrikimo;
IV. REIKALAVIMAI PERSONALUI
27. Visi kadastro naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti kadastro duomenis, būti susipažinę su Saugos nuostatais ir saugos politikos įgyvendinimą reglamentuojančiais teisės aktais.
28. Kadastro naudotojai, pažeidę Saugos nuostatų ar kitų saugos politiką įgyvendinančių teisės aktų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.
29. Kadastro saugos įgaliotinis privalo turėti universitetinį informacinių technologijų ar teisės srities išsilavinimą, išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais. kadastro saugos įgaliotinis privalo sugebėti prižiūrėti kaip įgyvendinama saugos politika.
30. Kadastro administratorius privalo turėti informacinių technologijų srities išsilavinimą, išmanyti darbą su kompiuterių tinklais, duomenų bazėmis ir mokėti užtikrinti jų saugumą. Kadastro administratorius privalo mokėti administruoti ir prižiūrėti duomenų bazes, būti susipažinęs su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais. Administratorius privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje, jam turi būti rengiami duomenų saugos mokymai.
V. KADASTRO NAUDOTOJŲ SUPAŽINDINIMO
SU SAUGOS DOKUMENTAIS PRINCIPAI
32. Saugos nuostatai ir saugos politiką įgyvendinantys dokumentai skelbiami Aplinkos ministerijos intraneto svetainėje.
33. Saugos įgaliotinis supažindina kadastro naudotojus su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir atsakomybe už reikalavimų nesilaikymą, informuoja apie minėtų teisės aktų pakeitimus.