Registro saugos nuostatos

LIETUVOS RESPUBLIKOS ŠVIETIMO, MOKSLO IR SPORTO MINISTRAS

ĮSAKYMAS

DĖL SPORTO REGISTRO INFORMACINės SISTEMos DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

SPORTO REGISTRO INFORMACINės SISTEMOS

DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Sporto registro informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos (toliau – ŠMSM) valdomos bei Nacionalinės sporto agentūros prie Lietuvos Respublikos švietimo, mokslo ir sporto ministerijos (toliau – NSA) tvarkomos Sporto registro informacinės sistemos (toliau – Registras) elektroninės informacijos saugos ir kibernetinio saugumo politiką (toliau – elektroninės informacijos saugos politika).
2. Registro elektroninės informacijos saugos politika įgyvendinama pagal švietimo, mokslo ir sporto ministro tvirtinamus Registro saugos politiką įgyvendinančius dokumentus: saugaus elektroninės informacijos tvarkymo taisykles, naudotojų administravimo taisykles, veiklos tęstinumo valdymo planą (toliau – saugos politiką įgyvendinantys dokumentai). Saugos nuostatuose vartojamos sąvokos atitinka 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas), Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas).
3. Registro elektroninės informacijos sauga – tai elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas.
4. Registro elektroninės informacijos saugos ir kibernetinio saugumo (toliau – elektroninės informacijos sauga) užtikrinimo tikslai:

4.1.    sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją;

4.2.    užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

4.3.    vykdyti elektroninės informacijos saugos ir kibernetinių incidentų (toliau – saugos incidentai) prevenciją.

5. Registro elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

5.1.    elektroninės informacijos tvarkymo ir jos naudojimo kontrolė;

5.2.    elektroninei informacijai tvarkyti naudojamos techninės ir programinės įrangos kontrolė;

5.3.    Registre tvarkomų asmens duomenų apsauga;

5.4.    Registro veikos tęstinumo užtikrinimas.

6. Registro elektroninės informacijos saugai užtikrinti kompleksiškai naudojamos organizacinės, techninės ir programinės priemonės.
7. Saugos nuostatų reikalavimai taikomi:

7.1.    Registro valdytojui – ŠMSM, A. Volano g. 2, Vilnius;

7.2.    Registro tvarkytojui – NSA, Goštauto g. 12-100, Vilnius;

7.3.    Registro tvarkytojo paskirtam saugos įgaliotiniui – darbuotojui, dirbančiam pagal darbo sutartį, koordinuojančiam ir prižiūrinčiam saugos politikos įgyvendinimą;

7.4.    Registro administratoriui – darbuotojui, dirbančiam pagal darbo sutartį, prižiūrinčiam Registro ir (ar) jos infrastuktūrą, užtikrinančiam jos veikimą ir elektroninės informacijos saugą, ar kitam asmeniui (asmenų grupei), kuriam Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka yra perduotos Registro ir (ar) jos infrastuktūros priežiūros funkcijos;

7.5.    Registro naudotojams – darbuotojams, dirbantiems pagal darbo sutartį, ar kitiems asmenims, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantiems ir (ar) tvarkantiems elektroninę informaciją;

7.6.    paslaugų, susijusių su Registru, teikėjams.

8. Už elektroninės informacijos saugą pagal kompetenciją atsako Registro valdytojas ir tvarkytojas.
9. Registro valdytojas atsako už Registro elektroninės informacijos saugos politikos formavimą, jos įgyvendinimo organizavimą ir priežiūrą, elektroninės informacijos ir duomenų tvarkymo bei duomenų teikimo duomenų gavėjams teisėtumą. Registro tvarkytojas atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.
10. Registro naudotojai, tvarkantys duomenis, informaciją, dokumentus ir (arba) jų kopijas, privalo įsipareigoti saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir nutraukus su duomenų, informacijos, dokumentų ir (arba) jų kopijų tvarkymu susijusią veiklą.
11. Paslaugų, susijusių su Registru, teikėjai privalo įsipareigoti saugoti duomenų ir informacijos paslaptį bei pasirašyti konfidencialumo pasižadėjimą. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir pasibaigus paslaugų teikimo laikui ar nutraukus šią veiklą.
12. Registro valdytojas atlieka Registro nuostatuose nustatytas funkcijas, o taip pat:

12.1.  tvirtina Saugos nuostatus, saugos politiką įgyvendinančius dokumentus, kitus dokumentus, susijusius su elektroninės informacijos sauga;

12.2.  prižiūri ir kontroliuoja, kad Registras būtų tvarkomos vadovaujantis Registro nuostatais, Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais duomenų saugą reglamentuojančiais teisės aktais;

12.3.  priima sprendimus dėl techninių ir programinių priemonių, būtinų elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

12.4.  tvirtina Registro rizikos įvertinimo ir rizikos valdymo priemonių planą ir informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą; esant poreikiui šie planai gali būti sujungti ir tvirtinamas bendras planas;

12.5.  koordinuoja Registro tvarkytojo darbą įgyvendinant elektroninės informacijos saugos reikalavimus;

12.6.  nagrinėja Registro tvarkytojo pasiūlymus dėl Registro elektroninės informacijos saugos priemonių tobulinimo ir priima dėl jų sprendimus;

12.7.  atlieka kitas Valstybės informacinių išteklių valdymo įstatyme, Kibernetinio saugumo įstatyme, Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, Registro nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

13. Registro tvarkytojas atlieka Registro nuostatuose nustatytas funkcijas, o taip pat:

13.1.  užtikrina elektroninės informacijos, esančios Registro duomenų bazėse, saugą;

13.2.  užtikrina saugią Registro sąveiką su kitomis informacinėmis sistemomis ir registrais;

13.3.  užtikrina tinkamą Saugos nuostatų, Registro saugos politiką įgyvendinančių dokumentų, kitų dokumentų, susijusių su elektroninės informacijos sauga, įgyvendinimą;

13.4.  rengia Registro rizikos įvertinimo ir rizikos valdymo priemonių planą ir informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą; esant poreikiui šie planai gali būti sujungti ir rengiamas bendras planas;

13.5. teikia siūlymus Registro valdytojui dėl Registro elektroninės informacijos saugos tobulinimo, Registro saugos dokumentų priėmimo, keitimo arba panaikinimo, Registro techninių ir programinių priemonių, būtinų Registro elektroninės informacijos saugai užtikrinti;

13.6.  atlieka Registro  techninę priežiūrą ir užtikrina nepertraukiamą Registro veikimą;

13.7.  skiria Registro saugos įgaliotinį bei Registro administratorių, paveda jiems atlikti funkcijas nustatytas Registro nuostatuose, Registro saugos politiką įgyvendinančiuose dokumentuose;

13.8.  vykdo kibernetinio saugumo organizavimo ir užtikrinimo funkcijas, nustatytas Kibernetinio saugumo įstatyme, Kibernetinio saugumo reikalavimų apraše ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose;

13.9.  atlieka kitas Valstybės informacinių išteklių valdymo įstatyme, Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, Registro nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

14. Registro tvarkytojo paskirtas saugos įgaliotinis atlieka šias funkcijas:

14.1. teikia Registro tvarkytojo vadovui pasiūlymus dėl:

14.1.1. Registro administratoriaus paskyrimo ir reikalavimų administratoriui nustatymo;

14.1.2. informacinių technologijų saugos atitikties vertinimo atlikimo;

14.1.3. saugos dokumentų priėmimo ir (ar) keitimo;

14.2. koordinuoja ir prižiūri Registro saugos politikos įgyvendinimą;

14.3.  supažindina su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir atsakomybe už juose nustatytų reikalavimų nesilaikymą Registro tvarkytojo naudotojus;

14.4. rengia Registro saugos dokumentus, teikia Registro valdytojui pasiūlymus dėl Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų priėmimo ir keitimo;

14.5. kasmet organizuoja saugos mokymus, reguliariai primena saugos problemas, teikia konsultacijas ir rekomendacijas (elektroniniu paštu, telefonu ir kt. būdais), prireikus rengia atmintines Registro tvarkytojo naudotojams;

14.6. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Registre, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis tokius incidentus ir neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės; 

14.7. informuoja Registro valdytoją ir kompetentingas institucijas apie neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią Registro saugą;

14.8. informuoja už kibernetinio saugumo organizavimą ir užtikrinimą NSA atsakingą asmenį (toliau – už kibernetinį saugumą atsakingas asmuo) apie kibernetinio saugumo incidentus;

14.9. teikia Registro naudotojams ir Registro administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

14.10. pagal kompetenciją kitiems Registro valdytojo ir tvarkytojo darbuotojams duoda privalomus vykdyti nurodymus ir pavedimus, būtinus saugos politikai įgyvendinti;

14.11. atlieka pats arba organizuoja Registro saugos rizikos įvertinimo procedūras;

14.12. rengia ir ne rečiau kaip kartą per metus peržiūri autorizuotų nuotoliniam prisijungimui Registro naudotojų sąrašą;

14.13. ne rečiau kaip kartą per metus organizuoja kompiuterių tinklo užkardų sąrankos peržiūrą;

14.14. atlieka kitas Registro tvarkytojo vadovo ar jo įgalioto asmens pavestas, Saugos nuostatuose ir Registro saugos politiką įgyvendinančiuose dokumentuose jam nustatytas funkcijas.

15. Registro administratoriaus funkcijos:

15.1. atsako už nepertraukiamą Registro veikimą;

15.2. administruoja prieigos prie Registro teises;

15.3. stebi ir įvertina Registro  ir jo sudedamųjų dalių (tarnybinių stočių (programų, duomenų bazių valdymo sistemų), kompiuterių tinklo programinės ir duomenų perdavimo įrangos) sąrankos (kaip vienos visumos) veikimą, būklės rodiklius, nustato Registro pažeidžiamas vietas; ne rečiau kaip kartą per metus ir (ar) įdiegus Registro pokyčius patikrina (peržiūri) Registro sąranką ir Registro būsenos rodiklius;

15.4. tvarko Registro elektroninių duomenų archyvą ir elektroninių duomenų perkėlimo įrašų žurnalą;

15.5. dalyvauja atkuriant Registro elektroninius duomenis iš duomenų archyvo;

15.6. tvarko Registro techninę dokumentaciją ir eksploatavimo žurnalą;

15.7. pagal kompetenciją dalyvauja atliekant Registro saugos atitikties ir (ar) rizikos įvertinimo procedūras;

15.8. teikia pasiūlymus Registro saugos įgaliotiniui ir už kibernetinį saugumą atsakingam asmeniui dėl Registro saugos organizavimo, atlieka kitas Saugos nuostatuose ir kituose saugos dokumentuose nustatytas funkcijas;

15.9. pagal kompetenciją teikia Registro tvarkytojo vadovui pasiūlymus dėl Registro  palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir elektroninės informacijos saugos užtikrinimo;

15.10. registruoja elektroninės informacijos saugos incidentus ir informuoja apie juos Registras  saugos įgaliotinį, teikia pasiūlymus dėl minėtų incidentų pašalinimo;

15.11. įvertina Registro naudotojų pasirengimą dirbti su Registru, konsultuoja juos, kaip dirbti su Registru;

15.12. atlieka kitas Registro tvarkytojo vadovo, Registro saugos įgaliotinio pavestas, Saugos nuostatuose ir Registro saugos politiką įgyvendinančiuose dokumentuose jam nustatytas funkcijas.

16. Registro administratorius privalo vykdyti saugos įgaliotinio ir (ar) už kibernetinį saugumą atsakingo asmens nurodymus ir pavedimus dėl Registro elektroninės informacijos saugos ir (ar) kibernetinio saugumo užtikrinimo, pagal kompetenciją reaguoti į saugos ir (ar) kibernetinius incidentus, juos valdyti ir nuolat teikti saugos įgaliotiniui ir (ar) už kibernetinį saugumą atsakingam asmeniui informaciją apie saugą užtikrinančių pagrindinių Registro sudedamųjų dalių būklę.
17. Registro tvarkytojo paskirtas saugos įgaliotinis negali atlikti Registro  administratoriaus funkcijų.
18. Registro naudotojų funkcijos:

18.1. vadovaudamiesi Saugos nuostatais, Registro naudojimo instrukcijomis ir pareigybių aprašymais, naudoja Registrą;

18.2. tvarko Registro elektroninę informaciją ir naudojasi kitomis Registro teikiamomis galimybėmis pagal nustatytą funkcijoms atlikti reikalingą Registro prieigos teisių lygmenį, kuris apriboja naudojimosi elektronine informacija apimtį;

18.3. pagal kompetenciją rengia pasiūlymus dėl Registro kūrimo, palaikymo, priežiūros ir elektroninės informacijos saugos;

18.4. vykdo kitas šiuose Saugos nuostatuose ir Saugos politiką įgyvendinančiuose dokumentuose priskirtas funkcijas.

19. Teisės aktai, kuriais vadovaujantis tvarkoma Registro elektroninė informacija ir užtikrinama jos sauga:

19.1. Reglamentas;

19.2.  Valstybės informacinių išteklių valdymo įstatymas;

19.3.  Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

19.4.  Kibernetinio saugumo įstatymas;

19.5.  Bendrųjų saugos reikalavimų aprašas;

19.6. Kibernetinio saugumo reikalavimų aprašas;

19.7. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Atitikties vertinimo metodika);

19.8.    Lietuvos standartai LST ISO/IEC 27001:2017 ir LST ISO/IEC 27002:2017 bei Lietuvos ir tarptautiniai „Informacijos technologijos. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;

19.9.  Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms aprašas, patvirtintas Lietuvos Respublikos Vyriausybės  2003 m. balandžio 18 d.  nutarimu Nr. 480 „Dėl Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms aprašo patvirtinimo“ (toliau – Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms aprašas);

19.10. Registro nuostatai, Saugos nuostatai, Registro saugos politiką įgyvendinantys dokumentai ir kiti teisės aktai, reglamentuojantys elektroninės informacijos saugumo politiką, jos tvarkymo teisėtumą ir saugos valdymą valstybės institucijose.

II skyrius

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

20. Registro rizikos įvertinimas atliekamas vadovaujantis šiomis nuostatomis:

20.1. Registro rizikos įvertinimas atliekamas ne rečiau kaip kartą per metus, jeigu teisės aktuose nenustatyta kitaip;

20.2. neeilinis Registro  rizikos įvertinimas atliekamas padarius esminius Registro funkcinius pakeitimus arba kai atsiranda naujų informacinių technologijų saugos srities reikalavimų, arba po didelio masto saugos ir (ar) kibernetinių incidentų, kai nustatoma naujų rizikos formų;

20.3. rizikos veiksniams įvertinti naudojama kokybinė rizikos vertinimo sistema vadovaujantis metodika, pateikta Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos interneto svetainėje skelbiamame Rizikos analizės vadove, Lietuvos ir tarptautiniais „Informacinės technologijos. Saugumo metodai“ grupės standartais ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais.

21. Registro saugos įgaliotinis organizuoja Registro rizikos vertinimą, kuriam atlikti sutartiniais pagrindais gali būti samdomi tretieji asmenys.
22. Įdiegus Registro pokyčius (sistemos pakeitimai, konfigūracijų pakeitimai, programinės įrangos versijų naujinimas, papildymas naujomis taikomosiomis programomis, taikomųjų programų pašalinimas ir kt.) arba atlikus esminius organizacinius ar sisteminius pokyčius ir nustačius naujus rizikos veiksnius, gali būti organizuojamas neeilinis Registro rizikos vertinimas.
23. Registro rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri teikiama Registro valdytojo vadovui. Rizikos įvertinimo ataskaita rengiama įvertinus rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus.
24. Atsižvelgdamas į rizikos vertinimo ataskaitą, Registro valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
25. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano duomenis bei jų kopijas Registro saugos įgaliotinis ne vėliau kaip per 5 darbo dienas nuo šių dokumentų patvirtinimo pateikia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą (toliau – ARSIS).
26. Registro informacinių technologijų saugos atitikties vertinimas atliekamas Atitikties vertinimo metodikoje nustatyta tvarka.
27. Informacinių technologijų saugos atitikties vertinimo organizavimas:

27.1. siekiant užtikrinti Registro saugos dokumentuose nustatytų Registro elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų įgyvendinimo organizavimą ir kontrolę, ne rečiau kaip kartą per metus, jei teisės aktuose nenustatyta kitaip, organizuojamas informacinių technologijų saugos atitikties vertinimas;

27.2. informacinių technologijų saugos atitikties vertinimas atliekamas Atitikties vertinimo metodikoje nustatyta tvarka;

27.3. atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama Registro valdytojo ir Registro  tvarkytojo vadovams;

27.4. atlikus informacinių technologijų saugos atitikties vertinimą, prireikus rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus plano vykdytojus paskiria ir įgyvendinimo terminus nustato Registro valdytojo vadovas.

28. Registro informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas Registro saugos įgaliotinis ne vėliau kaip per 5 darbo dienas nuo šių dokumentų priėmimo pateikia ARSIS.
29. Registro informacinių technologijų saugos priemonės parenkamos įvertinus galimus rizikos elektroninės informacijos vientisumui, konfidencialumui ir prieinamumui veiksnius.
30. Elektroninės informacijos saugos ir kibernetinio saugumo būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis elektroninės informacijos saugos ir kibernetinio saugumo priemonėmis. Šios priemonės pasirenkamos atsižvelgiant į Registro valdytojo turimus išteklius, vadovaujantis šiais principais:

30.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

30.2. priemonės kaštai neturi viršyti žalos vertės;

30.3. atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos ir (ar) kibernetinio saugumo priemonės.

31. Ne rečiau kaip kartą per trejus metus Registro informacinių technologijų saugos reikalavimų atitikties vertinimą turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.
32. Registras priskiriamas mažos svarbos valstybės informacinių išteklių rūšiai.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

33. Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo reikalavimai:

33.1. Registro tarnybinėse stotyse ir Registro naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga;

33.2. Registro darbui turi būti naudojama tik legali ir patikrinta programinė įranga, įtraukta į leistinos programinės įrangos sąrašą, patvirtintą NSA vadovo įsakymu. Leistinos programinės įrangos sąrašą turi parengti ir pagal poreikį peržiūrėti bei prireikus atnaujinti Registro saugos įgaliotinis kartu su administratoriumi;

33.3. tarnybinių stočių ir Registro naudotojų kompiuterių operacinės sistemos kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;

33.4. Registro administratorius reguliariai, ne rečiau kaip kartą per mėnesį, turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir jų įtaką Registro pažeidžiamumui. Apie įvertinimo rezultatus Registro administratorius turi informuoti Registro  saugos įgaliotinį;

33.5. programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;

33.6. programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – Registro administratorius arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai.

34. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:

34.1. kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant užkardas, automatinę įsilaužimų aptikimo ir prevencijos įrangą, atkirtimo nuo paslaugos, dedikuoto atkirtimo nuo paslaugos įrangą;

34.2. kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuosiuose ryšių tinkluose naršančių vidinių informacinių sistemų naudotojų kompiuterinę įrangą nuo kenksmingo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

34.3. apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga.

35. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

35.1. prieiga prie Registro suteikiama tik registruotiems Registro naudotojams;

35.2. tiesioginė prieiga prie Registro elektroninės informacijos suteikiama įgyvendinus Registro  naudotojų autentifikavimo priemones – šie naudotojai savo tapatybę patvirtina slaptažodžiu ar kita autentifikavimo priemone;

35.3. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, naudojamas šifravimas, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas;

35.4. elektroninė informacija automatiniu būdu turi būti teikiama ir (ar) gaunama tik pagal Registro nuostatuose, duomenų teikimo sutartyse nustatytas sąlygas ir specifikacijas.

36. Saugos valdymo reikalavimai, keliami išorinei Registro svetainei:

36.1. svetainė turi atitikti Bendrųjų reikalavimų valstybės ir savivaldybių institucijų ir įstaigų interneto svetainėms ir mobiliosioms programoms apraše bei Kibernetinio saugumo reikalavimų apraše nurodytiems reikalavimams;

36.2. svetainės užkarda turi būti sukonfigūruota taip, kad prie turinio valdymo sistemos (toliau – TVS) būtų galima jungtis tik iš Registro tvarkytojo vidinio kompiuterių tinklo arba nustatytų kompiuterio adresų (angl. Internet Protocol);

36.3. turi būti užtikrinama, kad prie TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotuoju ryšiu.

37. Programinės įrangos, skirtos Registrui apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

37.1. tarnybinėse stotyse ir Registro naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingos programinės įrangos aptikimo, stebėjimo realiuoju laiku priemonės;

37.2. Registro komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti naudojami, jeigu rizikos vertinimo metu patvirtinama, kad šių komponentų rizika yra priimtina;

37.3. Registro  administratorius turi būti automatiškai informuojamas apie tai, kurių Registro  naudotojų kompiuterių ar Registrą  aptarnaujančios infrastruktūros serverių kenksmingos programinės įrangos aptikimo priemonių atsinaujinimas pradelstas nepriimtinai, kenksmingos programinės įrangos aptikimo priemonės netinkamai funkcionuoja arba yra išjungtos;

37.4. Registro administratorius turi būti automatiškai elektroniniu paštu informuojamas apie tai, kurių Registro posistemių, funkciškai savarankiškų Registro sudedamųjų dalių ir (ar) kitų Registro sudedamųjų dalių kenksmingos programinės įrangos aptikimo priemonių atsinaujinimo laikas yra pradelstas, kenksmingos programinės įrangos aptikimo priemonės netinkamai funkcionuoja arba yra išjungtos.

38. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

38.1. atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną Registro neveikimo laikotarpį (angl. recovery time objective);

38.2. Registro elektroninės informacijos kopijos saugomos kitoje patalpoje nei tarnybinės stotys;

38.3. atsarginių elektroninės informacijos kopijų darymo tvarka ir saugojimo terminai nustatomi Registro tvarkytojo vadovo įsakymu tvirtinamame atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkos apraše (toliau – Atsarginių kopijų aprašas); apie sutrikusias atsarginių kopijų darymo procedūras informuojamas Registro saugos įgaliotinis;

38.4. atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau kaip Atsarginių kopijų apraše nurodytais terminais;

38.5. atsarginės elektroninės informacijos kopijos turi būti tvarkomos taip, kad net ir praradus pagrindinį Registro duomenų centrą būtų užtikrinami priimtini atkūrimo taško (angl. recovery point objective, RPO) ir atkūrimo laiko (angl. recovery time objective, RTO) reikalavimai, siekiant maksimaliai sumažinti prastovos laiką ir duomenų praradimo riziką;

38.6. atsarginių elektroninės informacijos kopijų darymas turi būti fiksuojamas;

38.7. periodiškai, bet ne rečiau kaip kartą per metus, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

38.8. patekimas į patalpas, kuriose veikia Registro įranga ir saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas.

39. Registro tarnybinės stotys ir duomenų perdavimo tinklo mazgai turi turėti rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne trumpiau kaip 30 minučių.
40. Registro naudotojams, kuriems atliekant tiesiogines pareigas būtina prisijungti iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie Registro galimybė:

40.1.  techninis nuotolinio prisijungimo sprendimas turi užtikrinti elektroninės informacijos šifravimą naudojantis virtualiu privačiu tinklu (angl. virtual private network – VPN);

40.2.  prie Registro prisijungiama nuotoliniu būdu naudojant interneto naršyklę (HTTPS protokolą).

41. Registro funkcionalumo atkūrimo ir prieinamumo reikalavimai:

41.1. pagrindinės Registro  funkcijos turi būti atkurtos per 12 valandų nuo veiklos sutrikimo;

41.2. turi būti užtikrintas galimas ne didesnis kaip 4 valandų darbo laiko duomenų praradimas;

41.3. turi būti užtikrintas ne mažesnis kaip 96 procentų laiko visą parą Registro  prieinamumas.

42. Perkant paslaugas, darbus ar įrangą, susijusius su Registro priežiūra, modernizavimu, modifikavimu ir (ar) kibernetinio saugumo užtikrinimu, Registro tvarkytojo pirkimo dokumentuose iš anksto turi būti nustatyta, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas privalo laikytis Registro saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį nustatytiems elektroninės informacijos saugos reikalavimams.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

43. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų saugos reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą ir kibernetinį saugumą, privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje.
44. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėjo mažiau kaip vieni metai.
45. Registro administratorius privalo išmanyti pagrindinius elektroninės informacijos saugos ir saugaus darbo su duomenų perdavimo tinklais principus, atsižvelgiant į atliekamas funkcijas atitinkamai turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą bei saugą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų bei saugos incidentų diagnostiką ir šalinimą, turėti sisteminių programinių priemonių (Windows, Unix, Oracle) administravimo ir priežiūros patirties.
46. Registro naudotojai turi būti susipažinę su Saugos nuostatais, saugos politikos įgyvendinimo dokumentais, pagal kompetenciją – ir su kitais teisės aktais bei standartais, reglamentuojančiais elektroninės informacijos saugą.
47. Registro naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti Registro administratoriui ir (ar) Registro saugos įgaliotiniui.
48. Registro naudotojai privalo:

48.1. turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti saugiai tvarkyti elektroninę informaciją;

48.2. nuolat kelti kvalifikaciją saugaus elektroninės informacijos tvarkymo kursuose, mokymuose, seminaruose;

48.3. praradę arba kitaip netekę savo prisijungimo prie Registro vardo ar slaptažodžio, nedelsdami elektroniniu paštu arba telefonu apie tai informuoti Registro administratorių.

49. Registro naudotojams draudžiama:

49.1. atskleisti kitiems asmenims prisijungimo prie Registro vardą, slaptažodį ar kitaip sudaryti sąlygas jais pasinaudoti;

49.2. naudoti Registro duomenis kitokiais, negu jų nuostatuose nurodytais, ir savo pareigybės aprašyme nustatytų funkcijų atlikimo tikslais;

49.3. sudaryti sąlygas pasinaudoti darbui su Registro naudojama technine ir programine įranga tokios teisės neturintiems asmenims (paliekant darbo vietą būtina užrakinti darbalaukį arba išjungti darbo stotį);

49.4. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti, sunaikinti ar atskleisti Registro  duomenys, taip pat neatlikti būtinų veiksmų, apsaugančių informacinės sistemos duomenis;

49.5. atlikti bet kokius kitus neteisėtus Registro duomenų tvarkymo veiksmus.

50. Registro naudotojams ne rečiau kaip kartą per kalendorinius metus Registro saugos įgaliotinis turi surengti mokymus elektroninės informacijos saugos ir kibernetinio saugumo klausimais, įvairiais būdais priminti apie saugos problemas (pvz., siųsti priminimus elektroniniu paštu, rengti teminius seminarus, atmintines ir pan.).
51. Mokymai Registro naudotojams turi būti organizuojami periodiškai, bet ne rečiau kaip kartą per metus. Už mokymų organizavimą atsakingas saugos įgaliotinis.
52. Mokymai Registro saugos įgaliotiniui ir administratoriui turi būti organizuojami pagal poreikį.

V SKYRIUS

REGISTRO NAUDOTOJŲ IR ADMINISTRATORIAUS SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

53. Tvarkyti Registro elektroninę informaciją gali tik su Saugos nuostatais, saugos politikos įgyvendinimo dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant Registro elektroninę informaciją, užtikrinant jos saugą, susipažinę ir sutikę laikytis saugos dokumentuose nustatytų reikalavimų Registro naudotojai.
54. Registro naudotojų ir administratoriaus supažindinimą su Saugos nuostatais ir Registro saugos politikos įgyvendinimo dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą, atlieka Registro saugos įgaliotinis.
55. Registro naudotojai ir administratorius pakartotinai su saugos dokumentais supažindinami iš esmės pasikeitus saugos dokumentams ir (arba) padažnėjus elektroninės informacijos saugos incidentų.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

56. Saugos įgaliotinis organizuoja Registro saugos dokumentų peržiūrą ne rečiau kaip kartą per metus. Saugos dokumentai turi būti peržiūrimi atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.
57. Registro Saugos nuostatų privalo laikytis Registro naudotojai, Registro administratorius, Registro saugos įgaliotinis ir Registro duomenų tvarkytojai.
58. Registro naudotojai, Registro administratorius ir Registro saugos įgaliotinis pagal savo kompetenciją atsako už Registro tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą. Registro naudotojai, Registro administratorius ir Registro saugos įgaliotinis, pažeidę saugos dokumentų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

_____________