Informacijos saugumo politika

I SKYRIUS
BENDROSIOS NUOSTATOS

1. Valstybės įmonės Žemės ūkio duomenų centro informacijos saugumo politika (toliau – Politika) yra pagrindinis dokumentas, nustatantis esminius valstybės įmonės Žemės ūkio duomenų centro (toliau – ŽŪDC) informacijos saugumo užtikrinimo ir valdymo principus.
2. Politikos tikslas – pateikti ŽŪDC vadovybės požiūrį į informacijos saugumo valdymą ir nustatyti informacijos saugumo tikslus bei principus.
3. Politika yra privaloma visiems ŽŪDC darbuotojams, kitiems fiziniams ir juridiniams asmenims bei jų atstovams, kuriems teisės aktų ir (arba) sutartinių santykių pagrindu yra suteikta prieiga prie ŽŪDC informacinių išteklių teisės aktuose ar sutartyse numatytoms funkcijoms (teisėms) atlikti.
4. Politika parengta vadovaujantis Lietuvos standarto LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai (tapatus ISO/IEC 27001:2013)“ (toliau – Lietuvos standartas LST ISO/IEC 27001:2013) reikalavimais.
5. Politikoje vartojamos sąvokos:
5.1. darbuotojas – ŽŪDC darbuotojas, dirbantis pagal darbo sutartį;
5.2. informacija – visa ŽŪDC gaunama, tvarkoma, kuriama, valdoma ir naudojama žodinė, rašytinė ir elektroninė informacija (dokumentai, ŽŪDC tvarkomų informacinių sistemų ir registrų / kadastrų, vidaus administravimo sistemų, duomenų bazių duomenys ir pan.);
5.3. informacijos saugos incidentas – vienas ar daugiau nepageidaujamų ar netikėtų įvykių, turinčių didelę tikimybę pakenkti ŽŪDC veiklai ir keliančių grėsmę informacijos saugumui;
5.4. informacijos saugos įvykis – įvykis, susijęs su informacija ar informacijos apdorojimo priemone, rodantis galimą Politikos ar kitų saugumo reikalavimų spragą ar apsaugos priemonių trikdį arba anksčiau nenumatytos situacijos, turinčios poveikį (teigiamą ar neigiamą) saugumui užtikrinti, atsiradimą;
5.5. informaciniai ištekliai – ŽŪDC veiklos procesai ir informacija, kurią valdo ir tvarko ŽŪDC, atlikdama teisės aktuose nustatytas funkcijas, ir informacinių technologijų priemonės, naudojamos informacijai tvarkyti;
5.6. informacinio ištekliaus savininkas – registro / kadastro, valstybės informacinės sistemos duomenų valdymo įgaliotinis arba ŽŪDC struktūrinio padalinio vadovas ar kitas darbuotojas, atsakingas už informacinį išteklį, valdomą ar tvarkomą informaciją ir informacinio ištekliaus informacijos saugą, prisiimantis riziką už informacinį išteklį;
5.7. informacijos saugumas – informacijos konfidencialumo, vientisumo ir prieinamumo išsaugojimas; taip pat informacijos saugumas apima tokias informacijos savybes kaip informacijos autentiškumas, atskaitingumas, neišsižadėjimas ir patikimumas;
5.8. informacijos saugumo valdymo sistema – rizikų valdymu pagrįsta ŽŪDC vadybos sistemos dalis, kuria siekiama sukurti, įgyvendinti, valdyti, stebėti, vertinti, prižiūrėti ir gerinti informacijos saugumą;
5.9. išorinis naudotojas – išorinių organizacijų atstovas, rangovų atstovas, kitas fizinis arba juridinis asmuo, dirbantis / veikiantis pagal informacijos arba paslaugų teikimo sutartį, kuriam sutarties ar galiojančių teisės aktų pagrindu yra suteikta prieiga prie informacijos, informacinių sistemų ir registrų / kadastrų, informacijos apdorojimo priemonių ir (arba) duomenų bazių sutartyje ar galiojančiuose teisės aktuose numatytoms funkcijoms atlikti;
5.10. konfidencialumas – informacijos savybė, reiškianti, kad su informacija gali susipažinti tik įgalioti asmenys;
5.11. konfidencialumo pasižadėjimas – naudotojų raštiškas pasižadėjimas neteikti tretiesiems asmenims informacijos, kurios atskleidimas gali pažeisti ŽŪDC interesus ir gali turėti įtakos ŽŪDC informacijos saugumui;
5.12. konfidencialumo sutartis – susitarimas tarp ŽŪDC ir darbuotojo, kuriuo šalys susitaria dėl konfidencialios informacijos apsaugos darbo sutarties galiojimo metu ir pasibaigus darbo sutarčiai;
5.13. naudotojas – vidinis ir išorinis naudotojas;
5.14. pasiekiamumas (prieinamumas) – informacijos savybė, reiškianti, kad informacija gali būti tvarkoma reikiamu metu;
5.15. suinteresuotos šalys – fiziniai ir juridiniai asmenys, nustatantys informacijos saugumo reikalavimus ar privalantys laikytis ŽŪDC nustatytų informacijos saugumo reikalavimų, t. y. Lietuvos Respublikos žemės ūkio ministerija, Lietuvos Respublikos aplinkos ministerija, esami ir potencialūs užsakovai, darbuotojai, tiekėjai, rangovai, ŽŪDC valdybos nariai, verslo subjektai, socialiniai partneriai, valstybės institucijos ir kitos įstaigos;
5.16. tretieji asmenys – visi fiziniai arba juridiniai asmenys arba jų grupės, neturintys teisės susipažinti su ŽŪDC informacija ar jos tvarkyti, išskyrus naudotojus;
5.17. už informacijos saugą atsakingas darbuotojas – informacijos saugos specialistas ir (arba) vadovybės atstovas saugai, atsakingas už pasiūlymų teikimą ŽŪDC generaliniam direktoriui Politikos formavimo proceso metu, jos įgyvendinimo kontrolę, informacijos klasifikavimą, kasmetinį (jei reikia – neeilinį) rizikos vertinimą, įskaitant kasmetinį informacijos saugumo priemonių testavimą, ŽŪDC darbuotojų mokymą, instruktavimą ir priežiūrą informacijos saugumo klausimais;
5.18. vidinis naudotojas – darbuotojas, kuriam yra suteikta prieiga prie informacijos, registrų / kadastrų, informacinių sistemų ir (arba) duomenų bazių darbo sutartyje, struktūrinio padalinio nuostatuose, pareigybės aprašyme / pareiginėje instrukcijoje ir kituose ŽŪDC teisės aktuose numatytoms funkcijoms atlikti;
5.19. vientisumas – informacijos savybė, reiškianti, kad informacija nebuvo atsitiktiniu ar neteisėtu būdu pakeista ar sunaikinta.
6. Kitos Politikoje vartojamos sąvokos atitinka sąvokas, vartojamas Lietuvos standarte LST ISO/IEC 27001:2013.

II SKYRIUS
INFORMACIJOS SAUGUMO VALDYMO SISTEMOS TIKSLAI, APIMTIS IR VADOVYBĖS ĮSIPAREIGOJIMAI

7. Informacija yra viena vertingiausių ŽŪDC turto dalių, todėl jos praradimas, neteisėtas pakeitimas, atskleidimas ar informacijos apdorojimo nutraukimas gali sukelti ŽŪDC veiklos sutrikimų, padaryti žalos ŽŪDC, kitiems fiziniams ir juridiniams asmenims. Atsižvelgiant į tai, ŽŪDC yra keliami ir nustatomi reikalavimai informacijos saugumui.
8. ŽŪDC informacijos saugumo reikalavimų įgyvendinimas užtikrinamas ir valdomas nuosekliai planuojant, įgyvendinant, vertinant ir tobulinant informacijos saugumo valdymo sistemą (toliau – ISVS), vadovaujantis Lietuvos standarto LST ISO/IEC 27001:2013 ir Lietuvos Respublikos teisės aktų reikalavimais. Su informacijos saugumu susijusių aktualių teisės aktų sąrašas yra žinomas ŽŪDC darbuotojams, periodiškai atnaujinamas ir prieinamas darbuotojams bei suinteresuotoms šalims.
9. ISVS tikslai:
9.1. apsaugoti visą informaciją nuo visų galimų grėsmių: išorinių, vidinių, tyčinių ar atsitiktinių, galinčių turėti įtakos ŽŪDC vykdomai veiklai ir įvaizdžiui;
9.2. įgyvendinti Lietuvos Respublikos teisės aktuose ir Lietuvos standarte LST ISO/IEC 27001:2013 reglamentuotų informacijos saugumo reikalavimų laikymąsi;
9.3. užtikrinti reikiamų informacijos saugumo valdymo priemonių įgyvendinimą;
9.4. išvengti incidentų, susijusių su informacijos saugumo pažeidimais, galinčiais sutrikdyti ŽŪDC veiklą, arba sumažinti tokių incidentų galimą poveikį.
10. Siekdama ISVS tikslų ŽŪDC vadovybė įsipareigoja:
10.1. skirti reikiamą dėmesį bei resursus nustatytų ISVS tikslų įgyvendinimui;
10.2. nuolatos tobulinti / gerinti ISVS periodiškai peržiūrint ISVS tikslus;
10.3. paskirti už informacijos saugą atsakingą darbuotoją / darbuotojus, kuris / kurie būtų atsakingas / atsakingi už Politikos ir joje iškeltų tikslų įgyvendinimą ir priežiūrą;
10.4. užtikrinti reikiamą darbuotojų kompetenciją ir kvalifikaciją informacijos saugumo srityje;
10.5. numatyti atsakomybę už informacijos saugumo reikalavimų nesilaikymą.
11. ISVS taikoma ŽŪDC sertifikavimo srityje:
11.1. visuose ŽŪDC veiklos procesuose ir visiems struktūriniams padaliniams;
11.2. visai informacijai (nepriklausomai nuo jos formos ir saugojimo būdo);
11.3. vidiniams ir išoriniams naudotojams;
11.4. išorinių paslaugų teikėjų teikiamoms paslaugoms.
12. ŽŪDC ISVS sertifikavimo sritis apima geografinės (GIS), topografijos ir inžinerinės infrastruktūros (TIIIS) informacijos sistemų ir erdvinių duomenų kūrimą ir tvarkymą bei Lietuvos Respublikos globalinės padėties nustatymo sistemos (toliau – LitPOS) tvarkymą, taip pat kitas sritis, kurios sertifikuojamos / sertifikuotos Lietuvos standarte LST ISO/IEC 27001:2013 nustatyta tvarka.
13. Įgyvendinant ISVS yra siekiama tokių informacijos saugumo tikslų:
13.1. užtikrinti ir valdyti informacijos saugumą, atsižvelgiant į ŽŪDC veiklos (strateginius) tikslus;
13.2. užtikrinti ir valdyti atitikimą išoriniams ir vidiniams informacijos saugumo reikalavimams, atliekant periodinį atitikties vertinimą ir šalinant nustatytus trūkumus;
13.3. užtikrinti informacijos saugumo pažeidimų sprendimą, jų priežasčių nustatymą ir pašalinimą, įgyvendinant informacijos saugos incidentų valdymo procesą;
13.4. užtikrinti tinkamą informacijos saugumo ir apdorojimo priemonių parinkimą ir įgyvendinimą, atliekant kasmetinį rizikos vertinimą ir įgyvendinant rizikos valdymo planą;
13.5. užtikrinti taikomų informacijos saugumo priemonių veiksmingumą;
13.6. užtikrinti veiklos tęstinumo valdymo / atstatymo planų tinkamumą, atliekant jų periodinius peržiūrą ir testavimą.
14. Informacijos saugumo tikslų įgyvendinimas matuojamas kokybės rodiklių matavimo proceso metu. Informacijos saugumo tikslų įgyvendinimo rezultatai gaunami, vertinant ISVS ir priemonių veiksmingumą, o aptariami ISVS vadovybinės vertinamosios analizės metu.

III SKYRIUS
INFORMACIJOS SAUGUMO VALDYMO ORGANIZAVIMAS

15. ŽŪDC informacijos saugumo valdymą organizuoja:
15.1. ŽŪDC generalinis direktorius;
15.2. Informacinių technologijų priežiūros ir projektų komitetas (jeigu jis yra sudaromas) (toliau – Komitetas);
15.3. informacijos saugos specialistas ir vadovybės atstovas saugai;
15.4. informacinių išteklių savininkai;
15.5. informacinių išteklių saugos įgaliotiniai ir administratoriai.
16. ŽŪDC generalinio direktoriaus atsakomybė informacijos saugumo srityje:
16.1. formuoti ir tvirtinti Politiką, ją reglamentuojančius ir su ja susijusius ŽŪDC teisės aktus;
16.2. tvirtinti informacijos saugumo tikslus ir užtikrinti jų atitikimą ŽŪDC veiklos tikslams ir informacijos saugumo reikalavimams;
16.3. tvirtinti informacijos saugumo rizikos vertinimo metodiką ir rezultatus;
16.4. užtikrinti informacijos saugumui įgyvendinti reikalingų išteklių skyrimą;
16.5. paskirstyti atsakomybę už informacijos saugumą;
16.6. skatinti nustatytų informacijos saugumo reikalavimų laikymąsi;
16.7. užtikrinti nuolatinį ISVS tobulinimą.
17. Komitetas gali būti sudaromas ŽŪDC generalinio direktoriaus sprendimu. Komitetas nagrinėja ir svarsto klausimus, susijusius su informacinių išteklių sauga, informacinių technologijų naudojimu ŽŪDC, informacijos saugos incidentais ir rizikos vertinimu. Komiteto darbo principai numatomi Komiteto darbo reglamente.
18. Už informacijos saugą atsakingo darbuotojo pareigos ir atsakomybė nustatoma pareigybės aprašyme / pareiginėje instrukcijoje ir kituose teisės aktuose.
19. Informacinių išteklių savininkų funkcijos ir atsakomybė informacijos saugumo srityje nustatyta Lietuvos Respublikos teisės aktuose ir ŽŪDC teisės aktuose.
20. ŽŪDC struktūrinių padalinių funkcijos ir atsakomybė informacijos saugumo srityje nustatyta šių padalinių nuostatuose ir kituose ŽŪDC teisės aktuose.
21. Naudotojai, dirbantys su ŽŪDC informacija, privalo:
21.1. laikytis Politikos, susijusių išorinių ir ŽŪDC teisės aktų, kitų dokumentų (pvz., sutarčių) reglamentuojančių / nustatančių informacijos saugumą, reikalavimų;
21.2. įsipareigoti laikytis konfidencialumo reikalavimų: pasirašyti konfidencialumo pasižadėjimą arba konfidencialumo sutartį (taikoma tik darbuotojams);
21.3. saugoti jiems patikėtus informacinius išteklius, patikėtą ŽŪDC informaciją, techninę ir programinę įrangą;
21.4. informacinius išteklius naudoti tik su darbo / sutartiniais santykiais susijusiais tikslais ir tik suteiktų įgaliojimų ribose, išskyrus jeigu kitaip reglamentuota susijusiuose ŽŪDC teisės aktuose;
21.5. nedelsdami pranešti apie pastebėtus galimus ar įvykusius informacijos saugos įvykius ir incidentus informacijos saugos specialistui ir (arba) bendruoju informacijos telefonu (8 5) 266 0620 arba el. paštu pagalba@zudc.lt;
21.6. laikytis šios Politikos ir susijusių teisės aktų ir dokumentų reikalavimų.

IV SKYRIUS
INFORMACIJOS SAUGUMO RIZIKOS VALDYMAS

22. Informacijos saugumo valdymas ŽŪDC yra pagrįstas rizikos valdymu.
23. ŽŪDC informacijos saugumo rizika vertinama ne rečiau kaip vieną kartą per metus pagal informacijos saugumo rizikos vertinimo metodiką. Atsižvelgiant į informacijos saugumo rizikos vertinimo rezultatus parenkamos tinkamos, keliamai rizikai proporcingos, informacijos saugumo valdymo priemonės.
24. Informacijai apsaugoti yra taikomos fizinės, administracinės ir techninės apsaugos priemonės, aprašytos ŽŪDC teisės aktuose.

V SKYRIUS
PAGRINDINIAI INFORMACIJOS SAUGUMO UŽTIKRINIMO VALDYMO REIKALAVIMAI

25. Įgyvendinant ISVS tikslus ir siekiant užtikrinti informacinių išteklių saugą yra nustatomi šie pagrindiniai bendrieji reikalavimai:
25.1. informacijos saugumo užtikrinimo reikalavimai, nustatyti Politikoje ir kituose informacijos saugumą reglamentuojančiuose ŽŪDC teisės aktuose, taikomi visiems ŽŪDC informaciniams ištekliams, nepriklausomai nuo to, kur jie yra, kokioje formoje saugomi, kokios technologijos naudojamos jiems apdoroti ir kokie darbuotojai juos tvarko bei apdoroja;
25.2. visi informaciniai ištekliai turi būti identifikuoti, žinomi ir paskirti informacinių išteklių savininkai. ŽŪDC informacinių išteklių sąrašą sudaro ir periodiškai atnaujina informacijos saugos specialistas. Informacinių išteklių savininkai yra atsakingi už priskirtų informacinių išteklių saugą;
25.3. informaciniai ištekliai turi būti apsaugoti nuo neautorizuotos fizinės prieigos, sugadinimo ar kitokio pakenkimo;
25.4. ŽŪDC informaciniai ištekliai turi būti apsaugoti nuo galimų rizikų;
25.5. suteikiant prieigą prie ŽŪDC informacinių išteklių trečiosioms šalims, sutartyse privalo būti įtraukiami konfidencialumo reikalavimai ir informacijos saugumo reikalavimai bei numatyta atsakomybė už šių reikalavimų nevykdymą. Pasibaigus sutartiniams santykiams visa trečiosios šalies turima ŽŪDC informacija, kuri svarbi ŽŪDC tolesnei veiklai, turi būti perduota ŽŪDC;
25.6. kandidatai į pareigas ŽŪDC turi būti patikrinti taip kaip numatyta Lietuvos Respublikos darbo kodekse ir kituose teisės aktuose. Darbuotojų pareigos, įsipareigojimai ir atsakomybė turi būti apibrėžti ir dokumentuoti. Atleidžiamas iš ŽŪDC darbuotojas turi grąžinti visą jam darbo reikmėms suteiktą ŽŪDC turtą ir informaciją, kaip nustatyta ŽŪDC teisės aktuose;
25.7. turi būti periodiškai organizuojami vidinių naudotojų mokymai informacijos saugumo klausimais. Esant poreikiui turi būti organizuojami ir išorinių naudotojų mokymai;
25.8. prieiga prie informacinių išteklių valdoma atsižvelgiant į veiklos ir informacijos saugumo reikalavimus, prieigos teisės naudotojams suteikiamos autorizuotai ŽŪDC teisės aktuose nustatyta tvarka;
25.9. naudotojams turi būti suteikiama prieiga ŽŪDC teisės aktuose nustatyta tvarka tik prie tų tinklų ir tinklo paslaugų, kuriais (kuriomis) naudotis jiems buvo konkrečiai suteikta teisė;
25.10. informacinių sistemų kūrimas, vystymas ir valdymas turi būti vykdomas atsižvelgiant į veiklos ir informacijos saugumo reikalavimus. Sutartyse su paslaugų teikėjais turi būti numatyti visi reikiami saugumo reikalavimai ir įpareigojimai nustatyti teisės aktuose, reglamentuojančiuose informacinių sistemų kūrimą.
26. ISVS apima šiuos dokumentus:
26.1. Politiką;
26.2. Politiką reglamentuojančius ir susijusius ŽŪDC teisės aktus, reglamentuojančius informacijos saugumą;
26.3. pagal Lietuvos standartą LST ISO/IEC 27001:2013 ir ŽŪDC teisės aktus reikalaujamus įrašus.
27. ISVS dokumentai ir įrašai tvarkomi vadovaujantis ŽŪDC nustatyta dokumentų ir įrašų valdymo tvarka.
28. Visa ŽŪDC informacija (įskaitant dokumentus ir įrašus) skirstoma į informacijos klases, atsižvelgiant į reikalavimus jos saugumui.
29. Siekiant užtikrinti greitą, efektyvų ir organizuotą atsaką į informacijos saugos incidentus, informacijos saugos įvykiai ir incidentai registruojami, analizuojami ir sprendžiami, vadovaujantis incidentų valdymą reglamentuojančių informacinių išteklių valdytojų ir ŽŪDC teisės aktų nustatyta tvarka. Veiklos tęstinumo valdymas turi užtikrinti, kad informacijos saugos incidentų pasekmės turėtų kuo mažesnę įtaką ŽŪDC veiklai.
30. Siekiant užtikrinti ISVS ir informacijos saugumo efektyvumą, atliekamas ISVS ir informacijos saugumo veiksmingumo matavimas, vadovaujantis ŽŪDC teisės aktais.
31. ISVS vidaus auditas atliekamas periodiškai, ne rečiau kaip kartą per metus patikrinant ir įvertinant ISVS atitiktį Lietuvos standarto LST ISO/IEC 27001:2013 reikalavimams ir informacijos saugumo reikalavimams.
32. Vadovybinė vertinamoji analizė yra skirta ISVS tinkamumui, adekvatumui ir efektyvumui įvertinti. Vadovybinės ISVS vertinamosios analizės posėdžio metu taip pat priimami sprendimai dėl ISVS tobulinimo galimybių ir ISVS pakeitimų.Vadovybinę ISVS vertinamąją analizę ne rečiau kaip kartą per metus inicijuoja informacijos saugos specialistas.
33. Neatitiktys ir korekciniai veiksmai valdomi ŽŪDC teisės aktuose nustatyta tvarka.
34. ISVS tinkamumas, adekvatumas ir efektyvumas yra nuolat tobulinami, atliekant rizikos vertinimą, veiksmingumo matavimą, vidaus auditą, vadovybinę ISVS vertinamąją analizę, numatant ir įgyvendinant korekcinius veiksmus.

VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS

35. Politikos reikalavimų turi laikytis visi darbuotojai. Už Politikos reikalavimų laikymąsi kiekvienas darbuotojas atsako asmeniškai.
36. Už informacijos saugumo pažeidimus darbuotojai atsako Lietuvos Respublikos įstatymų ir ŽŪDC teisės aktų nustatyta tvarka.
37. Su informacijos saugumu susiję ŽŪDC teisės aktai rengiami vadovaujantis Politikoje išdėstytomis nuostatomis.
38. Politika turi būti peržiūrima įvykus pokyčiams, galintiems turėti įtakos informacijos saugumui, bet ne rečiau kaip kartą per metus. Už Politikos peržiūrą atsako už informacijos saugą atsakingas darbuotojas.
39. Su Politika ir jos pakeitimais supažindinami visi darbuotojai per dokumentų valdymo sistemą arba kitomis priemonėmis. Kiti naudotojai supažindinami su Politika ar Politikos santrauka, kuri yra skelbiama ŽŪDC interneto svetainėje www.zudc.lt, ir pagal poreikį kitais ISVS dokumentais.
40. Politika įsigalioja nuo jos patvirtinimo ŽŪDC generalinio direktoriaus įsakymu dienos.