1. Lietuvos Respublikos miškų valstybės kadastro duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos Respublikos miškų valstybės kadastro (toliau – Kadastras) elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, personalui keliamus reikalavimus, naudotojų supažindinimo su saugos dokumentais principus.

2. Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Lietuvos Respublikos miškų valstybės kadastro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2003 m. spalio 9 d. nutarimu Nr. 1255 „Dėl Lietuvos Respublikos miškų valstybės kadastro steigimo ir jo nuostatų patvirtinimo“ (toliau – Kadastro nuostatai), ir kituose teisės aktuose bei Lietuvos standarte LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“.

3. Kadastro elektroninės informacijos saugumo užtikrinimo tikslas – sudaryti sąlygas saugiai tvarkyti Kadastro elektroninę informaciją, užtikrinant jos konfidencialumą, prieinamumą ir vientisumą.

4. Kadastro elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

5. Kadastro valdytojas yra Lietuvos Respublikos aplinkos ministerija, A. Jakšto g. 4/9, Vilnius.

6. Kadastro valdytojas atsako už saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą bei atlieka šias funkcijas:

7. Kadastro tvarkytojas yra Valstybinė miškų tarnyba, Pramonės pr. 11A, Kaunas.

8. Kadastro tvarkytojas atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi šiuose Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka bei atlieka šias funkcijas:

9. Saugos įgaliotinis, koordinuodamas ir prižiūrėdamas saugos politikos įgyvendinimą Kadastre, atlieka šias funkcijas ir yra atsakingas už tinkamą jų vykdymą:

10. Administratorius atsako už Kadastro funkcionavimą ir atlieka šias funkcijas:

11. Tvarkant Kadastro elektroninę informaciją ir užtikrinant jos saugą vadovaujamasi:

12. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.2.3 ir 4.2.4 papunkčiais, Kadastro elektroninė informacija priskiriama svarbiai elektroninei informacijai, atsižvelgiant į tai, kad dėl elektroninės informacijos saugumo pažeidimo gali kilti grėsmė įvykti procesams, kurie:

13. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.1 papunkčiu, Kadastras priskiriamas pirmai (aukščiausioji kategorija) kategorijai.

14. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, kuri skelbiama Vidaus reikalų ministerijos interneto svetainėje (http://www.vrm.lt/Rizikos_analize.pdf), Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja Kadastro rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį Kadastro rizikos įvertinimą. Kadastro tvarkytojo rašytiniu pavedimu Kadastro rizikos įvertinimą gali atlikti pats saugos įgaliotinis.

15. Kadastro rizikos įvertinimo rezultatai išdėstomi Kadastro rizikos įvertinimo ataskaitoje, kuri pateikiama Kadastro tvarkytojo vadovui. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos Kadastro elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:

16. Kadastro valdytojas, atsižvelgdamas į Kadastro rizikos įvertinimo ataskaitą, prireikus tvirtina Kadastro rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

17. Atlikus Kadastro informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama Kadastro tvarkytojo vadovui, ir prireikus pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Kadastro tvarkytojo vadovas.

18. Elektroninės informacijos saugos incidentų, įvykusių Kadastre, tyrimo tvarka nustatoma Kadastro veiklos tęstinumo valdymo plane.

19. Techninės, programinės ir organizacinės elektroninės informacijos saugos priemonės pasirenkamos taip, kad su kuo mažesnėmis išlaidomis būtų užtikrintas Kadastro veiklos tęstinumas, Kadastro elektroninės informacijos konfidencialumas, vientisumas ir prieinamumas.

20. Kadastro tarnybinėse stotyse, administratoriaus, naudotojų kompiuterinėse darbo vietose įdiegiama antivirusinė programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir pan.). Antivirusinė programinė įranga atnaujinama pagal poreikį, bet ne rečiau kaip du kartus per dieną.

21. Kadastro tarnybinėse stotyse, administratoriaus, naudotojų kompiuterinėse darbo vietose nustatomas automatinis operacinės sistemos atnaujinimas atliekamas pagal techninės ir programinės įrangos gamintojo rekomendacijas.

22. Kadastro tarnybinėse stotyse, administratoriaus, naudotojų kompiuterinėse darbo vietose įdiegiama legali, autorizuota ir saugi (su naujausiais pataisymais) programinė įranga.

23. Kadastro tarnybinių stočių, administratoriaus, naudotojų kompiuterinių darbo vietų operacinių sistemų ir taikomųjų programų sąranka parenkama tokiu būdu, kad būtų užtikrintas didžiausias saugumo lygis (išjungiami nereikalingi darbui procesai ir reikmenys (angl. services), ribojamas arba išjungiamas priėjimas prie operacinės sistemos prievadų).

24. Kadastro tarnybinėse stotyse, administratoriaus, naudotojų kompiuterinėse darbo vietose turi būti naudojama tik su tarnybine veikla susijusi programinė įranga.

25. Vidinį Kadastro tvarkytojo tinklą (LAN) turi apsaugoti ugniasienė.

26. Naudotojams draudžiama naudoti nešiojamuosius kompiuterius elektroninės informacijos perdavimui kompiuterių tinklais ne savo darbo vietoje. Naudotojams, savo tarnybinėms funkcijoms vykdyti naudojantiems nešiojamus kompiuterius ne savo darbo vietoje, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis.

27. Duomenų teikimo sutartis sudariusiems duomenų gavėjams duomenys teikiami pagal šiose sutartyse nustatytas specifikacijas, duomenų perdavimo sąlygas ir tvarką.

28. Kadastro duomenis duomenų teikėjai gali teikti tiesiogiai prisijungę prie tinklo (angl. Online), naudojant vartotojų autentifikavimo priemones, arba pagal sudarytas sutartis, kuriose nustatytos duomenų teikimo sąlygos.

29. Kadastro programinis kodas saugomas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.

30. Už atsarginių Kadastro duomenų kopijų darymo organizavimą atsakingas sistemos administratorius. Pagrindiniai Kadastro duomenų kopijų darymo ir atkūrimo reikalavimai:

31. Kadastro programinės, techninės įrangos saugos priemonių įgyvendinimą organizuoja Kadastro administratorius.

32. Konkrečios Kadastro duomenų tvarkymo, teikimo ir saugumo procedūros išdėstomos Saugaus elektroninės informacijos tvarkymo taisyklėse.

33. Saugos įgaliotinis, administratorius ir naudotojai privalo saugoti duomenų ir informacijos paslaptį, įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą.

34. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis šių Saugos nuostatų 11 punkte nurodytų, kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai. 

35. Administratorius privalo turėti universitetinį informacinių technologijų išsilavinimą, išmanyti elektroninės informacijos saugos principus, darbą su kompiuterių tinklais, mokėti užtikrinti jų saugumą, taip pat administruoti ir prižiūrėti Kadastrą, turi būti susipažinęs su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais, taip pat kitomis vidaus ir darbo saugos taisyklėmis.

36. Naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, mokėti tvarkyti Kadastro duomenis Kadastro nuostatų nustatyta tvarka ir būti susipažinę su Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatomis.

37. Tvarkyti Kadastro duomenis gali tik naudotojai, susipažinę su Saugos nuostatais ir saugos politiką įgyvendinančiais teisės aktais ir sutikę laikytis jų reikalavimų.

38. Naudotojams turi būti nuolat rengiami elektroninės informacijos saugos mokymai, įvairiais būdais primenama apie elektroninės saugos problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.). Saugos mokymai organizuojami ne rečiau kaip kartą per dvejus metus. Mokymus organizuoja ir jų efektyvumą vertina saugos įgaliotinis.

39. Kiti personalui taikomi kvalifikaciniai reikalavimai nustatomi pareigybės aprašymuose.

40. Naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai administratoriui arba saugos įgaliotiniui.

41. Jeigu saugos įgaliotinis nebuvo informuotas apie Saugos nuostatų 40 punkte nurodytus pažeidimus, administratorius apie šiuos pažeidimus informuoja saugos įgaliotinį. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią Kadastro saugą, išskyrus neesminius pažeidimus, saugos įgaliotinis apie tai turi pranešti Kadastro valdytojo vadovui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais.

42. Saugos nuostatai ir saugos politiką įgyvendinantys teisės aktai skelbiami vidiniame Kadastro tvarkytojo tinkle.

43. Naudotojai skirstomi į dvi kategorijas: lokalaus tinklo naudotojai (Kadastro tvarkytojo buveinėje) ir nutolę naudotojai (Kadastro tvarkytojo teritoriniuose padaliniuose). Lokalaus tinklo naudotojai su šiais nuostatais ir saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą supažindinami pasirašytinai. Nutolę naudotojai su šiais nuostatais ir saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą supažindinami elektroniniu paštu ar kitais elektroninių ryšių tinklais.

44. Pakartotinai pasirašytinai ar elektroniniu paštu ar kitais elektroninių ryšių tinklais su Saugos nuostatais, saugos politiką įgyvendinančiais teisės aktais ir atsakomybe už jų reikalavimų nesilaikymą naudotojai supažindinami pasikeitus šių teisės aktų nuostatoms.

45. Naudotojų supažindinimą su saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą organizuoja saugos įgaliotinis.

46. Saugos įgaliotinis tvarko naudotojų supažindinimo su Saugos politiką reguliuojančiais teisės aktais žurnalą, kuriame pildomos šios grafos: supažindinimo data, naudotojo vardas ir pavardė, pareigos, susipažinusio su Saugos dokumentais asmens parašas.

47. Saugos įgaliotinis, administratorius ir naudotojai, pažeidę Saugos nuostatų ir saugos politiką įgyvendinančių teisės aktų, kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

_________________________