I SKYRIUS
BENDROSIOS NUOSTATOS
 

1. Valstybės įmonės Žemės ūkio informacijos ir kaimo verslo centro išorinių naudotojų administravimo taisyklės (toliau – Taisyklės) – tai asmenų, kuriems yra suteikta prieiga prie valstybės įmonės Žemės ūkio informacijos ir kaimo verslo centro (toliau – ŽŪIKVC) informacinių išteklių bendradarbiavimo arba duomenų teikimo sutartyse ir teisės aktuose numatytoms funkcijoms atlikti (toliau – išoriniai naudotojai), prieigos teisių valdymą ir saugų informacijos tvarkymą reglamentuojantis dokumentas, nustatantis tvarką, mažinančią grėsmių ir nesankcionuotos prieigos galimybę.
2. Taisyklės apima prieigos prie ŽŪIKVC informacinių išteklių išoriniams naudotojams suteikimo, keitimo ar panaikinimo tvarką.
3. Taisyklėmis privaloma vadovautis visiems naudotojų administratoriams ir išoriniams naudotojams, nepriklausomai nuo jų vykdomų funkcijų ir naudojamų informacijos apdorojimo priemonių.
4. Taisyklėse vartojamos sąvokos:
4.1. administratorius – privilegijuotas teises turintis ŽŪIKVC darbuotojas, galintis administruoti ŽŪIKVC tvarkomas informacines sistemas ir registrus (toliau – IS ir registrai) techniniu ir programiniu lygmeniu ir atlikti kitas administratoriaus teisių reikalaujančias funkcijas;
4.2. duomenų valdymo įgaliotinis – ŽŪIKVC struktūrinio padalinio, atsakingo už ŽŪIKVC teisės aktuose nustatytų funkcijų atlikimą, vadovas, o jei tokio struktūrinio padalinio nėra, – darbuotojas, atsakingas už ŽŪIKVC teisės aktuose nustatytų funkcijų atlikimą;
4.3. elektroninė informacija – ŽŪIKVC administruojamose IS ir registruose tvarkomi duomenys, dokumentai ir informacija;
4.4. informacija – visa ŽŪIKVC gaunama, tvarkoma, kuriama, valdoma ir naudojama žodinė, rašytinė ir elektroninė informacija (dokumentai, ŽŪIKVC tvarkomų IS ir registrų, informacinių sistemų, vidaus administravimo sistemų, duomenų bazių duomenys ir pan.);
4.5. informacijos saugos specialistas – ŽŪIKVC darbuotojas, atsakingas už pasiūlymų teikimą generaliniam direktoriui Informacijos saugumo politikos formavimo proceso metu, jos įgyvendinimo kontrolę, informacijos klasifikavimą, kasmetinį (jei reikia – neeilinį) rizikos vertinimą, įskaitant kasmetinį informacijos saugumo priemonių testavimą, ŽŪIKVC darbuotojų mokymą, instruktavimą ir priežiūrą informacijos saugumo klausimais;
4.6. informacijos saugumas – informacijos konfidencialumo, vientisumo ir prieinamumo išsaugojimas; taip pat informacijos saugumas apima tokias informacijos savybes kaip informacijos autentiškumas, atskaitingumas, neišsižadėjimas ir patikimumas;
4.7. informaciniai ištekliai – ŽŪIKVC veiklos procesai ir informacija, kurią valdo ir tvarko ŽŪIKVC, atlikdama teisės aktuose nustatytas funkcijas, ir informacinių technologijų priemonės, naudojamos informacijai tvarkyti;
4.8. konfidencialumas – elektroninės informacijos savybė – su IS ir registruose tvarkoma elektronine informacija gali susipažinti tik tą daryti įgalioti asmenys;
4.9. naudotojas – vidinis ir išorinis naudotojas;
4.10. naudotojų administratorius – privilegijuotas teises turintis ŽŪIKVC darbuotojas, galintis administruoti ŽŪIKVC tvarkomų IS ir registrų naudotojus ir jų teises, atlikti kitas naudotojų administratoriaus teisių reikalaujančias funkcijas;
4.11. prieiga prie ŽŪIKVC informacinių išteklių (toliau – prieiga) – ŽŪIKVC išorinio naudotojo galimybė pasinaudoti darbui reikalinga informacija;
4.12. prieinamumas – elektroninės informacijos savybė – elektroninė informacija gali būti tvarkoma reikiamu metu;
4.13. principas „būtina darbui“ – prieigos principas, reiškiantis, kad asmeniui gali būti suteikta prieigos teisė tik prie duomenų apimties, kurios reikia jo numatytoms funkcijoms atlikti;
4.14. tretieji asmenys – visi fiziniai ir juridiniai asmenys arba jų grupės (išskyrus išorinius naudotojus);
4.15. vientisumas – elektroninės informacijos savybė – elektroninė informacija nebuvo atsitiktinai ar neteisėtai pakeista ar sunaikinta.
5. Kitos Taisyklėse vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos įstatymuose, kituose teisės aktuose ir Lietuvos standarte LST ISO/IEC 27001:2013.
6. Prieinamumas prie ŽŪIKVC informacinių išteklių išoriniams naudotojams suteikiamas vadovaujantis šiais principais:
6.1. konfidencialumo – prieigą gali gauti tik tie išoriniai naudotojai, kuriems tokia teisė buvo suteikta pagal jų vykdomas pareigas, atliekamas funkcijas ir sutartinius arba teisės aktų pagrindu suteiktus įsipareigojimus;
6.2. vientisumo – ŽŪIKVC informaciniuose ištekliuose saugomus duomenis gali keisti (sukurti, ištrinti arba papildyti) tik tam teises turintys ŽŪIKVC naudotojai;
6.3. pasiekiamumo – išoriniai naudotojai savo veiksmais neturi sutrikdyti ŽŪIKVC informacinių išteklių veiklos;
6.4. stebėsenos – administratoriai yra atsakingi už nenutrūkstamą IS ir registrų veikimą ir IS ir registrų naudojamų techninių resursų priežiūrą;
6.5. atsekamumo – išorinių naudotojų veiksmai yra fiksuojami – taip užtikrinama jų atsakomybė už atliktus veiksmus.

II SKYRIUS
IŠORINIŲ NAUDOTOJŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS
 

7. Išorinių naudotojų įgaliojimai, teisės ir pareigos, kaip naudotis ŽŪIKVC informaciniais ištekliais, yra nustatomi ŽŪIKVC informacijos saugumo politikos santraukoje, IS ir registrų nuostatuose, IS ir registrų duomenų saugos nuostatuose, IS ir registrų saugos politiką įgyvendinančiuose dokumentuose (toliau – saugos dokumentai): Taisyklėse, ŽŪIKVC saugaus elektroninės informacijos tvarkymo taisyklėse ir ŽŪIKVC veiklos tęstinumo valdymo plane.
8. Išoriniai naudotojai privalo:
8.1. užtikrinti ŽŪIKVC informacinių išteklių saugą ir tvarkyti duomenis, vadovaudamiesi teisės aktais ir duomenų teikimo sutartimis;
8.2. saugoti tvarkomų asmens duomenų paslaptį Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka;
8.3. naudoti tik tas prieigos prie duomenų teises, kurios buvo suteiktos.
9. Išorinis naudotojas, kuriam pasibaigė sutartiniai įsipareigojimai ir panaikintos atliekamos funkcijos, privalo apie tai pranešti ŽŪIKVC bendruoju informacijos telefonu (8 5) 266 0620 arba el. paštu [email protected].
10. Išoriniams naudotojams draudžiama:
10.1. suteiktą prisijungimo vardą ir slaptažodį perduoti kitiems asmenims net ir laikinai naudoti;
10.2. atskleisti ŽŪIKVC informacinių išteklių duomenis ir suteikti galimybę bet kokia forma su jais susipažinti tokios teisės neturintiems asmenims;
10.3. keistis prisijungimo vardais, slaptažodžiais, prisijungti prie ŽŪIKVC informacinių išteklių pasinaudojus kito naudotojo prisijungimo duomenimis;
10.4. prisijungimo duomenis laikyti bet kuriose laikmenose (pvz., užrašytus ant popieriaus darbo vietoje, elektroninėje laikmenoje ar tinklinėje duomenų saugykloje);
10.5. bandyti išvengti prisijungimo prie informacijos tapatybės nustatymo mechanizmų;
10.6. išnaudoti ŽŪIKVC informacinių išteklių pažeidžiamumą, įskaitant (bet neapsiribojant) prieigą prie duomenų, kurie neskirti išoriniam naudotojui prisijungti prie ŽŪIKVC informacinių išteklių;
10.7. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti ar sunaikinti duomenys;
10.8. atlikti bet kokius kitus neteisėtus duomenų tvarkymo veiksmus;
10.9. naudoti duomenis kitokiais nei IS ir registrų nuostatuose, kituose teisės aktuose ar duomenų teikimo sutartyse nurodytais tikslais.
11. Išorinis naudotojas, pastebėjęs neleistinus kitų išorinių naudotojų veiksmus, kurie neatitinka patvirtintų procedūrų aprašų, naudojimosi instrukcijų ar sutartyse prisiimtų įsipareigojimų, atsakomybių ir funkcijų, privalo pranešti ŽŪIKVC bendruoju informacijos telefonu (8 5) 266 0620 arba el. paštu [email protected].
12. Išorinis naudotojas, aptikęs prieigos prie IS ir registrų ar kitų ŽŪIKVC informacinių išteklių pažeidžiamumą, privalo pranešti apie tokį pažeidžiamumą ŽŪIKVC bendruoju informacijos telefonu (8 5) 266 0620 arba el. paštu [email protected].
 

III SKYRIUS
SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO IŠORINIAMS NAUDOTOJAMS KONTROLĖ
 

13. Prieigos kontrolė yra priemonių visuma, kuri nustato:
13.1. kokie išoriniai naudotojai gali naudotis ŽŪIKVC informaciniais ištekliais;
13.2. prie kokių ŽŪIKVC informacinių išteklių išoriniai naudotojai turi prieigą ir kokius veiksmus jie gali atlikti.
14. ŽŪIKVC įdiegtas principas „būtina darbui“. Išoriniai naudotojai turi teisę pasiekti tik tuos ŽŪIKVC informacinius išteklius, kurie jiems reikalingi pavestoms funkcijoms atlikti pagal patvirtintus procedūrų aprašus ir naudojimosi instrukcijas, IS ir registrų saugos dokumentus.
15. Loginė prieigų kontrolė nustato ne tik, kokie išoriniai naudotojai turi prieigos teisę prie konkrečių ŽŪIKVC informacinių išteklių, bet ir prieigos pobūdį. Loginė prieigų kontrolė IS ir registruose vykdoma pagal priskirtus prieigos vaidmenis.
16. Išorinis naudotojas, atlikęs neteisėtus ar galimai pavojingus veiksmus, gali sulaukti įspėjimo arba be perspėjimo jam gali būti užblokuota prieiga.
17. Išorinių naudotojų identifikavimas yra viena iš esminių informacijos saugumą užtikrinančių ŽŪIKVC kontrolės priemonių. Išorinių naudotojų identifikavimas, jų atliktų veiksmų istorijos saugojimas yra organizuotas ir griežtai kontroliuojamas procesas.
18. Elektroninės informacijos saugumui užtikrinti ŽŪIKVC naudojami saugūs identifikavimo metodai.
19. Pirmą kartą išoriniam naudotojui jungiantis prie ŽŪIKVC tvarkomų IS ir registrų naudojami ŽŪIKVC suteikti prisijungimo vardas ir laikinasis slaptažodis arba jungiamasi per Elektroninius valdžios vartus.
20. Išoriniam naudotojui pirmą kartą jungiantis prie ŽŪIKVC tvarkomų IS ir registrų privaloma pasikeisti ŽŪIKVC suteiktą laikinąjį slaptažodį.
20.1. Naudotojų administratoriai, kurdami naujus išorinius naudotojus, naudotojo vardą turi kurti pagal taisyklę „vardas.pavarde“. Jei naudotojas turi dvigubą vardą ir (arba) dvigubą pavardę, naudotojų administratoriai turi vartoti pirmąjį vardą ir pirmąją pavardę. Jei vardas ir pavardė kartojasi, turi vartoti skaičius arba simbolius.“
21. Prisijungti prie ŽŪIKVC tvarkomų IS ir registrų naudojamas prisijungimo slaptažodis turi būti:
21.1. žinomas tik pačiam išoriniam naudotojui;
21.2. sudarytas nenaudojant išorinio naudotojo asmens duomenų (vardo, pavardės, telefono numerio, gimimo datos ir pan.);
21.3. sudarytas iš ne mažiau kaip 8 simbolių:
21.3.1. iš didžiųjų ir mažųjų raidžių, skaitmenų ir specialiųjų simbolių;
21.4. keičiamas bent kartą per tris mėnesius;
21.5. unikalus ir jį galima pakartoti tik po 6 mėn.
22. Išoriniam naudotojui pakeitus darbo pobūdį, pasibaigus sutartiniams įsipareigojimams arba praradus atliekamas funkcijas, jo prieiga yra nedelsiant panaikinama arba prireikus apribojama.
23. Išoriniams naudotojams prisijungimo prie ŽŪIKVC informacinių išteklių vardas ir slaptažodis turi būti perduodamas asmeniškai. Jeigu nėra galimybės prisijungimo vardo ir slaptažodžio perduoti asmeniškai, turi būti naudojamas saugus jo siuntimas asmeniškai išoriniam naudotojui. Griežtai draudžiama perduoti prisijungimo vardą ir slaptažodį per kitus išorinius naudotojus ar trečiuosius asmenis.
24. Nustačius, kad slaptažodis pasidarė žinomas pašaliniams asmenims, arba turint įtarimų, kad slaptažodis buvo atskleistas, jis nedelsiant turi būti pakeistas.
25. Išorinis naudotojas, pamiršęs ar praradęs savo prisijungimo prie ŽŪIKVC informacinių išteklių vardą ir (arba) slaptažodį arba kitaip jų netekęs, turi nedelsdamas apie tai pranešti ŽŪIKVC bendruoju informacijos telefonu (8 5) 266 0620 arba el. paštu [email protected].

IV SKYRIUS
IŠORINIŲ NAUDOTOJŲ PRIEIGOS SUTEIKIMAS IR PANAIKINIMAS, TEISIŲ PAKEITIMAS
 

26. Dėl prieigos suteikimo asmuo parašo prašymą ir jį pateikia ŽŪIKVC. Prašyme jis nurodo ŽŪIKVC tvarkomą IS ar registrą, ar kitą ŽŪIKVC informacinį išteklių, prie kurio turi būti suteikta prieiga, vardą, pavardę, el. pašto adresą, kontaktinį telefoną, įmonės, įstaigos ar organizacijos (toliau kartu – įstaiga) pavadinimą ir pareigas. Jeigu reikia, nurodomas aptarnaujamas regionas.
27. Duomenų valdymo įgaliotinis, išnagrinėjęs prašymą ir nustatęs, kad prašyme nurodyta prieiga yra nereikalinga funkcijoms atlikti arba kad prašoma tokios prieigos, kurios sukūrimas gali daryti neigiamą įtaką ŽŪIKVC veiklai ar informacijos saugumui, priima sprendimą prašymo netenkinti ir apie tai per 5 (penkias) darbo dienas nuo prašymo gavimo dienos informuoja išorinį naudotoją, nurodydamas atsisakymo suteikti prieigą motyvus.
28. Duomenų valdymo įgaliotinis, išnagrinėjęs prašymą ir priėmęs sprendimą jį patenkinti, įpareigoja naudotojų administratorių suteikti prašyme nurodytam išoriniam naudotojui prisijungimo prie ŽŪIKVC informacinių išteklių vardą ir laikinąjį slaptažodį. Informacija apie sukurtą prieigą išoriniam naudotojui išsiunčiama asmeniškai el. paštu.
281. Prieigą prie ŽŪIKVC informacinių išteklių gali turėti tik asmenys, pasirašytinai įpareigoti saugoti asmens duomenų paslaptį (asmenys, pasirašę Konfidencialumo pasižadėjimą) (priedas) (išskyrus atvejus, kai yra peržiūrimi savo paties asmens duomenys). Asmens duomenų paslaptis saugoma įstatymuose numatyta tvarka per visą asmens duomenų teisinės apsaugos laiką nepriklausomai nuo susiklostančių darbo santykių.
29. Suteikus prieigą, išoriniam naudotojui pateikiamos nuorodos, kur jis privalo susipažinti su ŽŪIKVC informacijos saugumo politikos santrauka, IS ir registrų duomenų saugos nuostatais, saugos dokumentais ir kitais ŽŪIKVC informacijos saugumą reglamentuojančiais dokumentais.
30. ŽŪIKVC informacijos saugumo politikos santrauka skelbiama ŽŪIKVC interneto svetainėje (adresu – http://www.vic.lt/?mid=594). Ji yra prieinama ir privaloma visiems išoriniams naudotojams.
31. Išoriniam naudotojui pakeitus darbo pobūdį, pasibaigus sutartiniams įsipareigojimams arba panaikinus atliekamas funkcijas, jo prieiga yra nedelsiant panaikinama.
32. Du kartus per metus (kas 6 mėnesius) naudotojų administratorius suformuoja išorinių naudotojų, kurie nebuvo nė vieno karto prisijungę prie IS ir registrų, sąrašus ir užklausia išorinių naudotojų įstaigos, ar šie išoriniai naudotojai dar atlieka funkcijas.
33. Gavęs atsakymą iš išorinių naudotojų įstaigos, kad naudotojai funkcijų neatlieka, naudotojų administratorius panaikina neaktyvias prieigas.
34. Bendradarbiavimo ir duomenų teikimo sutartyse nurodytiems asmenims prieigos sukuriamos ir panaikinamos pagal šių sutarčių prieduose esančią informaciją.

V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
 

35. Taisyklės įsigalioja nuo jų patvirtinimo ŽŪIKVC generalinio direktoriaus įsakymu dienos.
36. Taisyklės yra taikomos ir privalomos naudotojų administratoriams ir išoriniams naudotojams. Už jų laikymąsi kiekvienas naudotojų administratorius ir išorinis naudotojas atsako asmeniškai.
37. Nesilaikant Taisyklių reikalavimų gali būti skiriamos drausminės nuobaudos Lietuvos Respublikos teisės aktų nustatyta tvarka.
38. Taisyklės gali būti keičiamas priklausomai nuo atsiradusių poreikių ir pasikeitusių teisės aktų, reglamentuojančių IS ir registrų administravimo sritį.
39. Taisyklės turi būti peržiūrimos įvykus pokyčiams, galintiems turėti įtakos informacijos saugumui, bet ne rečiau kaip kartą per metus. Už peržiūrą ir pakeitimus atsakingas ŽŪIKVC informacijos saugos specialistas.
40. Su Taisyklėmis supažindinami visi ŽŪIKVC struktūrinių padalinių vadovai ir naudotojų administratoriai. Už naudotojų administratorių supažindinimą su Taisyklėmis atsakingi struktūrinių padalinių vadovai.
41. Už išorinių naudotojų supažindinimą su Taisyklėmis atsakingi naudotojų administratoriai.