valstybinės teritorijų planavimo ir statybos inspekcijos

prie aplinkos ministerijos viršininkas

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS STATYBOS LEIDIMŲ IR STATYBOS VALSTYBINĖS PRIEŽIŪROS INFORMACINĖS SISTEMOS „INFOSTATYBA“ SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ, ŠIOS INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANO IR NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ PATVIRTINIMO

2016 m. gegužės 19 d. Nr. 1V-59
Vilnius

Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7, 11 ir 19 punktais:

1. T v i r t i n u pridedamas Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ (toliau – IS „Infostatyba“) saugaus elektroninės informacijos tvarkymo taisykles, šios informacinės sistemos veiklos tęstinumo valdymo plano ir naudotojų administravimo taisykles.

2. P r i p a ž į s t u netekusiu galios Inspekcijos viršininko 2010 m. gegužės 19 d. įsakymą Nr. 1V-86 (su visais vėlesniais pakeitimais) „Dėl Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ saugaus elektroninės informacijos tvarkymo taisyklių, šios informacinės sistemos veiklos tęstinumo valdymo plano ir naudotojų administravimo taisyklių patvirtinimo“.

Viršininkė Laura Nalivaikienė

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerija

raštu 2016-05-06 Nr. 1D-2873

PATVIRTINTA

Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko 2016 m. gegužės 19 d.

įsakymu Nr. 1V-59

LIETUVOS RESPUBLIKOS STATYBOS LEIDIMŲ IR STATYBOS VALSTYBINĖS PRIEŽIŪROS INFORMACINĖS SISTEMOS „INFOSTATYBA“ SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I. BENDROSIOS NUOSTATOS

1. Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ (toliau – IS) saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės) nustato techninių ir kitų saugos priemonių aprašymą, saugų IS duomenų, dokumentų ir informacijos (toliau – elektroninė informacija) tvarkymą, reikalavimus, keliamus IS funkcionalumui reikalingoms paslaugoms ir jų teikėjams.

2. Taisyklėse vartojamos sąvokos atitinka Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ nuostatuose, patvirtintuose Lietuvos Respublikos aplinkos ministro 2013 m. rugsėjo 5 d. įsakymu Nr. D1-662, ir kituose teisės aktuose vartojamas sąvokas. Tvarkymo taisyklės taikomos: IS naudotojams, IS administratoriams, IS techniniams administratoriams ir IS saugos įgaliotiniams.

3. IS tvarkoma svarbi elektroninė informacija skirstoma į šias kategorijas:

3.1. IS administratoriaus ir IS techninio administratoriaus tvarkoma elektroninė informacija;

3.2. IS naudotojų tvarkoma elektroninė informacija.

4. Elektroninės informacijos, priskirtos antrai svarbos kategorijai, sąrašas:

4.1. IS administratorius, atsakingas už šios elektroninės informacijos tvarkymą:

4.1.1. IS klasifikatoriai ir šablonai;

4.1.2. IS naudotojų teisės;

4.1.3. IS naudotojų prieigos;

4.1.4. IS turinio valdymo sistemoje tvarkoma informacija;

4.1.5. IS naudotojams priskirtos funkcijos.

4.2. IS techninis administratorius, atsakingas už šios elektroninės informacijos tvarkymą:

4.2.1. elektroninės informacijos saugos incidentai;

4.2.2. IS pažeidžiamų vietų nustatymas;

4.2.3. saugos reikalavimų atitikties nustatymas ir stebėsena;

4.2.4. duomenų užklausos ir perdavimo laiku stebėsena;

4.2.5. kiti techniniai duomenys elektroninių paslaugų teikimo stebėsenai atlikti.

4.3. IS naudotojai, atsakingi už šios elektroninės informacijos tvarkymą:

4.3.1. prašymai statybą leidžiantiems dokumentams gauti;

4.3.2. prašymai su statyba susijusioms pažymoms gauti;

4.3.3. prašymai statybos užbaigimo dokumentams gauti;

4.3.4. su savavališka statyba / statybos sustabdymu susiję prašymai;

4.3.5. prašymai prisijungimo sąlygoms / specialiesiems reikalavimams gauti;

4.3.6. pranešimai apie statybos pradžią, rangovo ir pagrindinių statybos sričių vadovų pasamdymą ar paskyrimą;

4.3.7. statybos valstybinės priežiūros dokumentai.

II. techninių ir kitų saugos priemonių aprašymas

5. IS turi būti taikomos šios kompiuterinės įrangos saugos priemonės:

5.1. teisę prieiti prie IS tarnybinių stočių (serverių) kompiuterinės techninės įrangos ir dirbti su ja turi tik IS techninis administratorius, IS administratorius ir IS saugos įgaliotinis;

5.2. svarbiausios kompiuterinės įrangos gedimai turi būti registruojami, tai atlieka IS saugos įgaliotinis;

5.3. informacija apie IS įrašomus duomenis, apie IS įjungimą, išjungimą, sėkmingus nesėkmingus bandymus registruotis IS, visus IS naudotojų vykdomus veiksmus, kitus saugai svarbius įvykius turi būti analizuojama ne rečiau kaip kartą per savaitę; įvykių žurnaluose duomenys saugomi ne trumpiau nei metus.

6. IS turi būti taikomos šios sisteminės ir taikomosios programinės įrangos saugumo užtikrinimo priemonės:

6.1. naudojama legali sisteminė ir taikomoji programinė įranga. Legalios sisteminės ir taikomosios programinės įrangos sąrašą parengia IS saugos įgaliotinis, sąrašas privalo būti suderintas su IS valdytoju ir ne rečiau kaip kartą per metus peržiūrimas, esant reikalui atnaujinamas;

6.2. vidinių IS naudotojų darbo vietose gali būti naudojamos tik tarnybinėms reikmėms skirtos išorinės duomenų laikmenos, šios laikmenos negali būti naudojamos veiklai, nesusijusiai su teisėtu IS tvarkymu;

6.3. pagrindinėse IS tarnybinėse stotyse turi būti naudojamos vykdomo kodo kontrolės priemonės, automatiškai apribojančios ar informuojančios apie neautorizuoto programinio kodo vykdymą;

6.4. pagrindinėse IS tarnybinėse stotyse turi būti įjungtos ugniasienės, sukonfigūruotos praleisti tik su IS funkcionalumu ir administravimu susijusių duomenų srautą; ugniasienių dokumentacija turi būti saugoma kartu su IS dokumentacija;

6.5. IS tinkle turi būti įdiegtos ir veikti automatinės įsilaužimo aptikimo sistemos;

6.6. teisę dirbti su IS, atliekant paslaugų administravimo funkcijas, turi IS administratorius;

6.7. slaptažodžius, suteikiančius teisę dirbti su IS tarnybinėmis stotimis ir jų administravimo programine įranga, žino tik IS administratorius ir IS techninis administratorius;

6.8. prieigos teisė dirbti su IS taikomąja programine įranga nustatyta tvarka suteikiama IS tvarkytojų paskirtiems IS naudotojams IS valdytojo nustatyta tvarka:

6.8.1. IS naudotojais gali būti tik asmenys, patvirtinę savo tapatybę per elektroninių paslaugų portalą „Elektroniniai valdžios vartai“ ir pirmą kartą jungdamiesi prie IS pateikę sutikimą laikytis saugos dokumentuose nustatytų reikalavimų;

6.8.2. IS naudotojai turi turėti naudojimosi kompiuteriu įgūdžių, būti susipažinę su IS saugos nuostatais ir kitais IS saugos dokumentais

6.9. IS duomenys techninėmis, organizacinėmis, programinėmis priemonėmis apsaugomi nuo praradimo, iškraipymo, sunaikinimo, neteisėto panaudojimo;

6.10. taikomos programinės priemonės IS naudotojų tapatybei, jų veiksmams su IS nustatyti.

7. IS turi būti taikomos šios elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

7.1. IS naudotojai internetu jungiasi prie užkarda (angl. firewall) apsaugotų tarnybinių stočių, naudodamiesi unikaliais identifikaciniais prisijungimo duomenimis;

7.2. svarbiausia kompiuterinė įranga ir duomenų perdavimo tinklo mazgai turi turėti rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne mažiau kaip 30 min.;

7.3. svarbiausia kompiuterinė įranga, duomenų perdavimo tinklo mazgai ir ryšio linijos turi būti dubliuoti ir techninė būklė nuolat stebima;

7.4. IS duomenys, siunčiami per viešuosius tinklus, yra šifruojami.

8. Patalpoms, kuriose veikia IS tarnybinės stotys, turi būti taikomos šios patalpų ir aplinkos saugumo užtikrinimo priemonės:

8.1. užtikrinama, kad išorės poveikio šaltiniai – transporto priemonių keliama vibracija, eismo įvykiai, radijo stotys ir kiti išorės poveikio šaltiniai – darytų kuo mažesnį poveikį patalpoms ir jose esančiai techninei ir programinei įrangai;

8.2. įrengiama langų ir durų fizinė apsauga: prie langų pritvirtintos žaliuzės ir metalinės grotos, šarvuotos ir ugniai atsparios rakinamos durys, apsaugotos dviem skirtingos konstrukcijos spynomis;

8.3. patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti gaisro gesinimo priemonės ir atliekama gaisro gesinimo priemonių patikra;

8.4. patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybų;

8.5. patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų; asmenys, nesusiję su IS tvarkymu, patekti į šias patalpas gali tik lydimi IS techninio administratoriaus;

8.6. asmenys, prieš patekdami į tarnybinių stočių patalpas, turi būti registruojami;

8.7. techninė įranga apsaugoma nuo elektros srovės svyravimų, nuo neteisėtos prieigos, sugadinimo ar neteisėto poveikio. Naudojami tinklo įtampos filtrai, įtampos ribotuvai, stabilizatoriai, specialūs maitinimo šaltiniai, nenutrūkstamo maitinimo šaltinis su automatine apsauga nuo įtampos svyravimų. Techninė įranga įnešama į patalpas ir išnešama iš jų tik su IS administratoriaus ir IS techninio administratoriaus leidimu;

8.8. ryšių kabeliai saugomi nuo neteisėto prisijungimo prie jų ir pažeidimo;

8.9. turi būti sudarytos gamintojo nustatytos techninės įrangos darbo sąlygos;

8.10. patalpose palaikoma + 22 (± 5) °C temperatūra ir 50 (± 10) procentų santykinis oro drėgnumas.

9. Patalpų ir aplinkos, kurioje veikia IS naudotojų kompiuterinė techninė įranga, saugumo užtikrinimo priemones nustato IS tvarkymo įstaigos.

10. IS prieinamumas turi būti ne mažiau kaip 96 proc. laiko visą parą.

11. Maksimali IS neveikimo trukmė 12 valandų.

12. Turi būti naudojamos šios IS darbo apskaitos ir elektroninės informacijos saugos užtikrinimo priemonės:

12.1. programiniu būdu registruojami IS naudotojo veiksmai su IS duomenimis;

12.2. atitikties vertinimas turi būti atliekamas ne rečiau kaip kartą per metus;

12.3. IS naudotojams suteikiama prieigos teisė atlikti veiksmus tik su jiems priskirtų IS objektų duomenimis.

13. IS tarnybinių stočių įvykių žurnaluose turi būti registruojami ir ne mažiau kaip vienerius metus saugomi duomenys (nurodomas įvykio laikas ir naudotojo identifikatorius) apie:

13.1. prisijungimą prie IS sistemos ir atsijungimą;

13.2. sėkmingus ir nesėkmingus bandymus registruotis IS;

13.3. bandymus prieiti prie IS informacinių išteklių;

13.4. kitus svarbius su IS saugomos ir apdorojamos elektroninės informacijos sauga susijusius įvykius.

III. SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

14. IS duomenų įrašymo, atnaujinimo, keitimo ir naikinimo tvarka:

14.1. įrašyti, atnaujinti, keisti ir naikinti IS duomenis gali tik turintys tam teisę autorizuoti IS naudotojai;

14.2. IS turi įvestos elektroninės informacijos tikslumo, užbaigtumo ir patikimumo priemones;

14.3. IS saugomi ir apdorojami duomenys įrašomi, atnaujinami, keičiami ir naikinami vadovaujantis IS nuostatais, Lietuvos Respublikos statybos įstatymu, Lietuvos Respublikos teritorijų planavimo ir statybos valstybinės priežiūros įstatymu ir kitais teisės aktais, reglamentuojančiais su statyba susijusių dokumentų valdymą.

15. IS naudotojų duomenų tvarkymo veiksmų registravimo tvarka:

15.1. IS naudotojų tapatybė ir veiksmai su IS duomenimis fiksuojami programinėmis priemonėmis;

15.2. veiksmai su IS duomenimis įrašomi automatiniu būdu IS duomenų bazės veiksmų žurnale, apsaugotame nuo neteisėto jame esančių duomenų panaudojimo, pakeitimo, iškraipymo, sunaikinimo;

15.3. IS duomenų bazės veiksmų žurnalo duomenys prieinami atitinkamas teises turintiems IS naudotojams.

16. Atsarginių duomenų kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarka:

16.1. už IS duomenų atsarginių kopijų darymą yra atsakingas IS techninis administratorius;

16.2. atsarginės kopijos turi būti saugomos kitose patalpose nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota;

16.3. elektroninė informacija kopijose turi būti užšifruota;

16.4. atsarginės laikmenos su IS programinės įrangos kopijomis turi būti laikomos kitose patalpose nei yra IS tarnybinės stotys;

16.5. IS techninis administratorius periodiškai, bet ne rečiau kaip kartą per metus, atlieka atkūrimo iš atsarginių kopijų bandymus;

16.6. prarasti, iškraipyti, sunaikinti IS duomenys atkuriami iš IS atsarginių duomenų kopijų.

17. Duomenų perkėlimo ir teikimo kitoms informacinėms sistemoms, duomenų gavimo iš jų tvarka:

17.1. už IS naudotojų administravimą ir iš valstybės registrų ir kitų susijusių informacinių sistemų teikiamų duomenų atnaujinimą yra atsakingas IS administratorius;

17.2. duomenų mainai tarp IS ir kitų informacinių sistemų vykdomi su šių informacinių sistemų valdytojais sudarytose duomenų teikimo sutartyse numatytais būdais ir terminais.

17.3. reorganizuojant arba likviduojant IS, elektroninė informacija turi būti saugiai perduota kitam IS valdytojui, valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka arba sunaikinama.

18. Duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:

18.1. IS administratorius, užtikrindamas IS duomenų vientisumą, privalo naudoti visas įmanomas technines, programines ir administracines priemones, skirtas IS ir jame saugomiems ir apdorojamiems duomenims nuo neteisėtų veiksmų apsaugoti;

18.2. IS naudotojas, įtaręs, kad su IS duomenimis buvo atlikti neteisėti veiksmai, privalo apie tai pranešti IS administratoriui. IS administratorius, kilus įtarimams dėl neteisėtų veiksmų su IS duomenimis, pasinaudodamas IS duomenų bazės veiksmų žurnalo įrašais (pagal poreikį – IS techninio administratoriaus pagalba), nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su IS programine įranga ir duomenimis;

18.3. IS administratorius, įtaręs, kad su IS duomenimis vykdomi neteisėti veiksmai, privalo apie tai pranešti Saugos įgaliotiniui;

18.4. Saugos įgaliotinis, gavęs pranešimą apie neteisėtus veiksmus su IS arba su IS tvarkomais duomenimis, inicijuoja elektroninės informacijos saugos incidento valdymo procedūras.

19. IS programinės ir techninės įrangos keitimo ir atnaujinimo tvarką, atsižvelgdamas į konkretų atvejį, derina IS administratorius ir IS techninis administratorius arba ji aprašoma paslaugų teikimo sutartyje.

20. IS informacinės sistemos pokyčių (toliau – pokyčiai) valdymo tvarka:

20.1. reikalingi pokyčiai turi buti identifikuojami IS techninio administratoriaus, IS administratoriaus arba IS saugos įgaliotinio;

20.2. pokyčių svarbumo apibrėžimas;

20.3. pokyčių įtakos veiklos tęstinumui ir duomenų saugumui pokyčių diegimo metu įvertinimas;

20.4. galimybės atstatyti buvusią duomenų versiją užtikrinimas;

20.5. pokyčių įgyvendinimas:

20.5.1. prieš atlikdamas IS pokyčius, kurių metu gali iškilti grėsmė elektroninės informacijos konfidencialumui, vientisumui ar pasiekiamumui, IS techninis administratorius ir IS administratorius privalo planuojamus IS pokyčius ištestuoti;

20.5.2. programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką;

20.5.3. atlikęs IS pokyčių testavimą ir gavęs IS valdytojo sutikimą, IS techninis administratorius gali pradėti įgyvendinti IS pokyčius;

20.5.4. planuodamas IS pokyčius, kurių metu galimi IS veikimo sutrikimai, IS administratorius privalo ne vėliau kaip prieš dvi darbo dienas iki IS pokyčių vykdymo pradžios informuoti IS naudotojus apie tokių darbų pradžią ir galimus Registro veikimo sutrikimus.

21. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių naudojimo tvarką nustato IS tvarkytojai. Nustatant šią tvarką turi būti laikomasi šių principų:

21.1. naudotojui draudžiama perleisti kitiems asmenims jam priskirtą kompiuterinę įrangą ar leisti naudotis duomenų perdavimo paslaugomis savo vardu kitam asmeniui, išskyrus tuos atvejus, kai tam yra objektyvios priežastys, numatytos saugos politiką reglamentuojančiuose dokumentuose;

21.2. naudotojai turi naudotis kompiuterių programomis, kurios teisėtai įsigytos (yra licenzijos, nemokamai įsigytoms nurodytas gavimo šaltinis), ir neturi teisės naudotis neturinčiomis licenzijų ar nelegaliai įsigytomis kompiuterių programomis;

21.3. naudotojai turi teisę naudoti institucijos viduje sukurtą programinę įrangą;

21.4. naudotojai turi saugoti jiems suteiktus kompiuterinių resursų slaptažodžius ir neatskleisti jų kitiems vartotojams ir pašaliniams asmenims.

IV. REIKALAVIMAI, KELIAMI IS FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

22. IS palaikymo ir vystymo paslaugų teikėjų (toliau – paslaugų teikėjas) prieigos prie IS lygiai ir sąlygos:

22.1. IS administratorius suteikia prieigos prie IS teisę (teisę matyti IS duomenis, atlikti veiksmus su IS duomenimis ir kita), o IS techninis administratorius suteikia fizinę prieigą prie techninės ir programinės įrangos paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje nurodytam laikotarpiui jo nustatytoms funkcijoms atlikti;

22.2. IS administratorius, suteikdamas prieigos prie IS duomenų teisę, paslaugų teikėjo įgaliotą fizinį asmenį supažindina su prieigos prie IS duomenų sąlygomis;

22.3. pasibaigus sutartyje nurodytam laikotarpiui, IS administratorius panaikina paslaugų teikėjo įgalioto fizinio asmens prieigos prie IS duomenų teisę ir apie tai jam praneša.

23. Reikalavimai informacinių sistemų paslaugų tiekėjų teikiamoms paslaugoms:

23.1. duomenų saugumo reikalavimai IS paslaugų teikėjams ir jų teikiamoms paslaugoms nustatomi šių paslaugų teikimo sutartyse;

23.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja IS taikomąją programinę įrangą, naudodamas:

23.2.1. elektroninės informacijos saugos priemones, apsaugančias nuo neteisėto poveikio sisteminei, programinei įrangai ir patalpoms;

23.2.2. reikalavimas, kad prieš diegiant pokyčius gamybinėje aplinkoje, jie privalo būti išbandyti su teistiniais duomenimis testinėje aplinkoje.

V. BAIGIAMOSIOS NUOSTATOS

24. Asmenys, pažeidę šias Tvarkymo taisykles, atsako teisės aktų nustatyta tvarka.

_________________

PATVIRTINTA

Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko 2016 m. gegužės 19 d. įsakymu Nr. 1V-59

Lietuvos Respublikos STATYBOS LEIDIMŲ IR STATYBOS VALSTYBINĖS PRIEŽIŪROS INFORMACINĖS SISTEMOS „iNFOSTATYBA“ VEIKLOS TĘSTINUMO VALDYMO PLANAS

I. BENDROSIOS NUOSTATOS

1. Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ (toliau – IS) veiklos tęstinumo valdymo planas (toliau – Valdymo planas) reglamentuoja IS veiklos tęstinumo užtikrinimą.

2. Valdymo plane vartojamos sąvokos atitinka Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ nuostatuose, patvirtintuose Lietuvos Respublikos aplinkos ministro 2013 m. rugsėjo 5 d. įsakymu Nr. D1-662, ir kituose teisės aktuose vartojamas sąvokas.

3. Šis Valdymo planas turi būti vykdomas įvykus IS elektroninės informacijos (toliau – Elektroninė informacija) saugos incidentui.

4. Įvykus Elektroninės informacijos saugos incidentui patalpose, kuriose yra saugoma IS techninė ir programinė įranga:

4.1. IS techninis administratorius arba IS naudotojai nedelsdami informuoja apie Elektroninės informacijos saugos incidentą IS saugos įgaliotinį ir Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos (toliau – Inspekcija) Informacinių technologijų skyriaus vedėją;

4.2. Inspekcijos Informacinių technologijų skyriaus vedėjas apie Elektroninės informacijos saugos incidentą nedelsdamas informuoja Inspekcijos viršininką;

4.3. IS saugos įgaliotinis informaciją apie saugos incidentą įrašo į Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ elektroninės informacijos saugos incidentų registravimo žurnalą (Valdymo plano 1 priedas), vykdo Valdymo bei Atkūrimo grupės pavestas funkcijas, atlieka Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ veiklos atkūrimo detaliajame plane (2 priedas) numatytus veiksmus;

4.4. IS techninis administratorius atkuria IS techninės ir programinės įrangos veikimą, kompiuterių tinklo veiklą, IS duomenis, IS techninės, sisteminės ir taikomosios programinės įrangos funkcionavimą ir nedelsdamas informuoja IS saugos įgaliotinį ir Inspekcijos Informacinių technologijų skyriaus vedėją;

4.5. IS saugos įgaliotinis kartu su IS techniniu administratoriumi organizuoja žalos IS duomenims, IS techninei, programinei įrangai vertinimą, koordinuoja IS veiklai atkurti reikalingos techninės, sisteminės ir taikomosios programinės įrangos įsigijimą.

5. Neveikiant IS ar IS veikiant iš dalies, jo veikla turi būti atkurta per 12 val.

6. IS prieinamumas turi būti užtikrintas ne mažiau kaip 96 proc. vienos paros laiko.

7. Valdymo planas privalomas IS tvarkytojams, IS valdytojui, saugos įgaliotiniui, administratoriui (administratoriams) ir IS naudotojams.

8. Elektroninės informacijos saugos incidento metu patirti nuostoliai padengiami iš valstybės biudžeto ir kitų finansavimo šaltinių.

9. Kriterijai, pagal kuriuos nustatoma, kad IS veikla atkurta:

9.1. IS duomenų atnaujinimas;

9.2. IS duomenų išsaugojimas;

9.3. nuolatinis IS duomenų teikimas fiziniams, juridiniams asmenims ir kitoms informacinėms sistemoms teisės aktų nustatyta tvarka.

II. ORGANIZACINĖS NUOSTATOS

10. IS veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) sudėtis:

10.1. Inspekcijos viršininkas (Valdymo grupės vadovas);

10.2. Inspekcijos viršininko pavaduotojas, kuruojantis Inspekcijos Statybos valstybinės priežiūros skyrių (Valdymo grupės vadovo pavaduotojas);

10.3. pavaduotojas, kuruojantis Inspekcijos Informacinių technologijų skyrių;

10.4. Inspekcijos Informacinių technologijų skyriaus vedėjas;

10.5. už IS techninę įrangą materialiai atsakingas asmuo;

10.6. IS saugos įgaliotinis;

10.7. IS techninis administratorius.

11. Valdymo grupės funkcijos:

11.1. situacijos analizė ir sprendimų IS veiklos tęstinumo valdymo klausimais priėmimas;

11.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

11.3. bendravimas su susijusių informacinių sistemų veiklos tęstinumo valdymo grupėmis;

11.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;

11.5. finansinių išteklių, reikalingų IS veiklai atkurti, įvykus Elektroninės informacijos saugos incidentui, naudojimo kontrolė;

11.6. Elektroninės informacijos fizinės duomenų saugos užtikrinimo kontrolė, įvykus Elektroninės informacijos saugos incidentams;

11.7. logistika (žmonių, daiktų, įrangos gabenimo organizavimas ir jų gabenimas);

11.8. IS veiklos atkūrimo priežiūra ir koordinavimas;

11.9. kitos Valdymo grupei pavestos funkcijos.

12. IS veiklos atkūrimo grupės (toliau – Atkūrimo grupė) sudėtis:

12.1. Inspekcijos viršiniko pavaduotojai (Atkūrimo grupės vadovas ir jo pavaduotojas):

12.1.1. Inspekcijos viršininko pavaduotojas kuruojantis Inspekcijos Statybos valstybinės priežiūros skyrių (Atkūrimo grupės vadovo pavaduotojas);

12.1.2. Inspekcijos viršininko pavaduotojas, kuruojantis Inspekcijos Informacinių technologijų skyrių (Atkūrimo grupės vadovo pavaduotojas);

12.2. IS saugos įgaliotinis;

12.3. Inspekcijos Informacinių technologijų skyriaus vedėjas;

12.4. už IS techninę įrangą materialiai atsakingas asmuo;

12.5. IS administratorius;

12.6. IS techninis administratorius.

13. Atkūrimo grupės funkcijos:

13.1. IS tarnybinių stočių veikimo atkūrimo organizavimas;

13.2. kompiuterių tinklo veikimo atkūrimo organizavimas;

13.3. Elektroninės informacijos atkūrimo organizavimas;

13.4. taikomųjų programų tinkamo veikimo atkūrimo organizavimas;

13.5. darbo kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas;

13.6. kitos Atkūrimo grupei pavestos funkcijos.

14. IS veiklos atkūrimo detalusis planas, kuriame nurodyti veiksmų vykdymo eiliškumas, atsakingi vykdytojai, pateiktas Valdymo plano 2 priede.

15. Atsarginėms patalpoms, naudojamoms IS veiklai atkurti Elektroninės informacijos saugos incidento atveju, keliami šie reikalavimai:

15.1. patekimas į patalpas turi būti registruojamas žurnale;

15.2. patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

15.3. patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti įrengtos gaisro gesinimo priemonės;

15.4. patalpose turi būti įrengtas rezervinis elektros energijos šaltinis IS kompiuterinei techninei įrangai ir duomenų perdavimo tinklo mazgams, užtikrinantis įrangos veikimą ne trumpiau kaip 30 min.;

15.5. ryšių kabeliai turi būti apsaugoti nuo neteisėto prisijungimo;

15.6. patalpoje nuolat veikia oro temperatūros ir drėgmės reguliavimo įranga (oro kondicionavimo sistema).

16. Atsarginių patalpų, naudojamų IS veiklai atkurti Elektroninės informacijos saugos incidento atveju, adresas ir būdai, kaip iki jų nuvykti, yra pateikti Valdymo plano 3 priede.

17. Valdymo grupė ir Atkūrimo grupė tarpusavyje bendrauja el. paštu ar telefonu. Pagal poreikį vyksta vadovų susitikimai, kuriuose aptariama esama situacija ir suderinami galimi jos pagerinimo būdai.

III. APRAŠOMOSIOS NUOSTATOS

18. Informacija apie IS techninę ir programinę įrangą ir jos parametrus nurodyta IS programinės įrangos reikalavimų specifikacijoje bei IS infrastruktūros techninėje dokumentacijoje, kurią parengė viešųjų pirkimų būdu atrinktas IS kūrimo ir diegimo paslaugų teikėjas. Šią dokumentaciją saugo IS kūrimo ir diegimo paslaugų teikėjas ir IS valdymo įstaiga.

19. IS techninį administratorių pavaduojančio asmens kompetencijos ar žinių lygis negali būti žemesnis už IS techniniam administratoriui keliamų reikalavimų lygį.

20. Minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos institucijų poreikius atitinkančiai IS veiklai užtikrinti įvykus Elektroninės informacijos saugos incidentui, specifikacija turi būti analogiška pagrindinei IS techninės ir programinės įrangos specifikacijai, kurią parengė viešųjų pirkimų būdu atrinktas IS kūrimo ir diegimo paslaugų teikėjas. Šią dokumentaciją saugo IS kūrimo ir diegimo paslaugų teikėjas ir IS valdytojas.

21. Kiekvieno pastato, kuriame yra IS įranga, aukšto patalpų brėžinius ir šiose patalpose esančios įrangos bei komunikacijų sąrašą vadovaudamasis IS projektine dokumentacija parengia ir saugo IS administratorius.

22. Kompiuterių tinklo fizinio ir loginio sujungimo schemas parengia ir saugo IS techninis administratorius.

23. Elektroninės informacijos teikimo bei kompiuterinės, techninės ir programinės įrangos priežiūros sutarčių kopijas saugo IS administratorius.

24. Programinės įrangos laikmenos ir laikmenos su atsarginėmis duomenų kopijomis saugomos atsarginėse patalpose, naudojamose IS veiklai atkurti Elektroninės informacijos saugos incidento atveju. IS techninis administratorius kiekvieną darbo dieną atsargines duomenų kopijas perkelia į saugojimo vietą.

25. IS saugos įgaliotinis ir IS administratorius parengia, teikia tvirtinti Inspekcijos viršininkui ir saugo Valdymo grupės ir Atkūrimo grupės narių sąrašą su kontaktiniais duomenimis, taip pat atsako kad 18 – 24 punktuose minimi dokumentai yra tinkamai parengti ir saugomi.

IV. PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

26. Nauja Valdymo plano veiksmingumo išbandymo data nustatoma atliekant einamųjų metų plano veiksmingumo išbandymą. Nustatytą dieną imituojamas Elektroninės informacijos saugos incidentas. Jo metu už Elektroninės informacijos saugos incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus. Atsarginėje IS stotyje iš atsarginių Elektroninės informacijos kopijų atkuriama Elektroninė informacija.

27. Pagal bandymų rezultatus IS saugos įgaliotinis parengia Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ rizikos įvertinimo ataskaitą (Valdymo plano 4 priedas) (toliau – Ataskaita), kurioje yra apibendrinami atliktų bandymų rezultatai, akcentuojami pastebėti IS trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina Inspekcijos viršininkas.

28. IS saugos įgaliotinis patvirtintos Ataskaitos kopiją el. paštu siunčia IS tvarkytojams, nuolat kontroliuoja Ataskaitoje nurodytų prevencinių priemonių įgyvendinimą.

29. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami remiantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

______________________

Lietuvos Resupublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ veiklos tęstinumo valdymo plano

1 priedas

(Elektroninės informacijos saugos incidentų registravimo žurnalo formos pavyzdys)

LIETUVOS RESPUBLIKOS STATYBOS LEIDIMŲ IR STATYBOS VALSTYBINĖS PRIEŽIŪROS INFORMACINĖS SISTEMOS „INFOSTATYBA“ Elektroninės informacijos saugos incidentų REGISTRAVIMO ŽURNALAS

Pildymo pradžia 20___m. __________ d.

Eil. Nr.	Elektroninės informacijos saugos incidentas
Eil. Nr.	Registro tvarkytojo pavadinimas	Požymio kodas	Įvykio aprašymas	Pradžia (metai, mėnuo, diena, valanda)	Pabaiga (metai, mėnuo, diena, valanda)	Pašalino (vardas, pavardė)	Saugos įgaliotinis (vardas, pavardė, parašas)
1.
2.
3.
4.
5.
6.

Elektroninės informacijos saugos incidento situacijos požymiai:

1. oro sąlygos; 2. gaisras; 3. patalpų užgrobimas; 4. patalpai padaryta žala arba patalpos praradimas; 5. energijos tiekimo sutrikimai; 6. vandentiekio ir šildymo sistemos sutrikimai; 7. ryšio sutrikimai; 8. tarnybinės stoties, komutacinės įrangos sugadinimas, praradimas; 9. programinės įrangos sugadinimas, praradimas; 10. duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas; 11. darbuotojų praradimas.

_________________

Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ veiklos tęstinumo valdymo plano

2 priedas

LIETUVOS RESPUBLIKOS STATYBOS LEIDIMŲ IR STATYBOS VALSTYBINĖS PRIEŽIŪROS INFORMACINĖS SISTEMOS „INFOSTATYBA“ VEIKLOS ATKŪRIMO DETALUSIS PLANAS

Elektroninės informacijos incidentas	Pirmaeiliai veiksmai	Veiklos atkūrimo veiksmai	Veiklos atkūrimo veiksmų vykdytojai
1. Pavojingų gamtinių reiškinių sukeltas incidentas	1.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	1.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	IS saugos įgaliotinis, IS techninis administratorius, Aplinkos ministerijos informacinių sistemų (toliau – AM) saugos įgaliotinis
		1.1.2. Pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas	IS saugos įgaliotinis, IS techninis administratorius, AM saugos įgaliotinis
		1.1.3. Priemonių plano įgyvendinimas	IS saugos įgaliotinis, IS techninis administratorius, AM saugos įgaliotinis
	1.2. Darbuotojų elektroninės informacijos saugos incidento pasekmei likviduoti paskyrimas	1.2.1. Žalą likviduojančių darbuotojų instruktavimas	Valdymo grupė, AM saugos įgaliotinis
		1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas	Valdymo grupė, AM saugos įgaliotinis
	1.3. Oro prognozės sekimas	1.3.1. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis, AM saugos įgaliotinis
	1.4. Dirbantiems pavojaus vietoje rekomendacijų teikimas	1.4.1. Elektroninės informacijos saugos incidento pasekmes likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis, AM saugos įgaliotinis
		1.4.2. Darbuotojų informavimas apie elgseną pavojaus vietoje	IS saugos įgaliotinis, AM IS saugos įgaliotinis
		1.4.3. Pirmosios pagalbos suteikimo organizavimas nukentėjusiems darbuotojams	IS saugos įgaliotinis, AM saugos įgaliotinis
		1.4.4. Nukentėjusių darbuotojų gabenimo į gydymo įstaigą organizavimas	IS saugos įgaliotinis, AM saugos įgaliotinis
	1.5. Pavojaus vietų ženklinimas	1.5.1. Darbuotojų informavimas	IS saugos įgaliotinis, AM saugos įgaliotinis
	1.5. Pavojaus vietų ženklinimas	1.5.2. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis, AM saugos įgaliotinis
2. Gaisro sukeltas incidentas	2.1. Ugniagesių tarnybos informavimas	2.1.1. Įvykio vietos lokalizavimas, jei yra rekomendacija	IS saugos įgaliotinis, IS techninis administratorius, AM saugos įgaliotinis
	2.1. Ugniagesių tarnybos informavimas	2.1.2. Galimybių evakuoti darbuotojus paieška, jei yra rekomenduojama tai padaryti	IS saugos įgaliotinis, AM saugos įgaliotinis
	2.2. Darbuotojų evakavimas (pagal ugniagesių tarnybos rekomendaciją)	2.2.1. Darbuotojų informavimas apie evakavimą, jei yra rekomendacija	IS saugos įgaliotinis, AM saugos įgaliotinis
	2.3. Darbas pavojaus zonoje	2.3.1 Darbuotojų informavimas apie saugų darbą pavojaus zonoje	IS saugos įgaliotinis, AM saugos įgaliotinis
	2.4. Komunikacijų, sukeliančių pavojų, išjungimas. Gaisro gesinimas ankstyvoje stadijoje, jei yra rekomendacija dirbti pavojaus zonoje	2.4.1 Teisėsaugos tarnybos nurodymų vykdymas	IS saugos įgaliotinis, AM saugos įgaliotinis
3. Patalpų užgrobimo sukeltas incidentas	3.1.Teisėsaugos tarnybos informavimas	3.1.1. Įvykio vietos lokalizavimas, jei yra teisėsaugos tarnybos rekomendacijos	IS saugos įgaliotinis, AM saugos įgaliotinis
3. Patalpų užgrobimo sukeltas incidentas	3.1.Teisėsaugos tarnybos informavimas	3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija	IS saugos įgaliotinis, AM saugos įgaliotinis
	3.2. Darbuotojų evakavimas, jei yra rekomendacija	3.2.1. Darbuotojų informavimas apie evakavimą	IS saugos įgaliotinis, AM saugos įgaliotinis
	3.3. Patalpų užrakinimas, jei yra galimybė	3.3.1. Teisėsaugos tarnybos nurodymų vykdymas	IS saugos įgaliotinis, AM saugos įgaliotinis
	3.3. Patalpų užrakinimas, jei yra galimybė	3.3.1. Teisėsaugos tarnybos nurodymų vykdymas	IS saugos įgaliotinis, AM saugos įgaliotinis
	3.4. Teisėsaugos tarnybos nurodymų vykdymas, jei yra rekomendacijų	3.4.1. Darbuotojų informavimas apie nurodymų vykdymą	IS saugos įgaliotinis, AM saugos įgaliotinis
	3.5. Veiksmai išlaisvinus užgrobtas patalpas	3.5.1. Padarytos žalos įvertinimas	Valdymo grupė, AM saugos įgaliotinis
		3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas	Veiklos atkūrimo grupė
		3.5.3. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis, AM saugos įgaliotinis
4. Patalpos pažeidimo arba praradimo sukeltas incidentas	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.1. Suinteresuotos tarnybos rekomendacijų dėl galimybės dirbti pavojaus zonoje gavimas	IS saugos įgaliotinis
4. Patalpos pažeidimo arba praradimo sukeltas incidentas		4.1.2. Darbuotojų informavimas apie rekomendacijas	IS saugos įgaliotinis
		4.1.2. Darbuotojų informavimas apie rekomendacijas	IS saugos įgaliotinis
5. Energijos tiekimo sutrikimo sukeltas incidentas	5.1. Energijos tiekimo sutrikimo priežasčių nustatymas. Tarnybinės stoties, kitos techninės įrangos energijos maitinimo išjungimas	5.1.1. Sutrikimų šalinimo organizavimas	Veiklos atkūrimo grupė
	5.2. Kreipimasis į energijos tiekimo tarnybą dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių	5.2.1. Rekomendacijų iš energijos tiekimo tarnybos gavimas	Valdymo grupė, veiklos atkūrimo grupė
	5.3. Sutrikimų pašalinimas	5.3.1. Pavojaus sustabdymas, padarytos žalos likvidavimo priemonių plano sudarymas ir įgyvendinimas	IS techninis administratorius, IS saugos įgaliotinis, AM saugos įgaliotinis
		5.3.2. Padarytos žalos įvertinimas	Valdymo grupė
		5.4.3. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis, AM saugos įgaliotinis
6. Vandentiekio ir šildymo sistemos sutrikimų sukeltas incidentas	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.1. Atitinkamos tarnybos paklausimas dėl leidimo dirbti ir rekomendacijų gavimas	IS saugos įgaliotinis, AM saugos įgaliotinis
	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.2. Darbuotojų informavimas apie rekomendacijas	IS saugos įgaliotinis, AM saugos įgaliotinis
	6.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas	6.2.1. Padarytos žalos įvertinimas. Sutrikimo sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas	Valdymo grupė, veiklos atkūrimo grupė
		6.2.2. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis, AM saugos įgaliotinis
7. Ryšio sutrikimai ir panašiai	7.1. Ryšio sutrikimo priežasčių nustatymas	7.1.1. Kreipimasis į ryšio paslaugos teikėją	IS techninis administratorius, IS saugos įgaliotinis, AM IS saugos įgaliotinis
7. Ryšio sutrikimai ir panašiai	7.2. Ryšio tarnybų informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės	7.2.1. Nustatymas ir įgyvendinimas priemonių, kad sutrikimai nesikartotų	IS saugos įgaliotinis, AM saugos įgaliotinis
	7.3. Sutrikimo pašalinimas	7.3.1. Kreipimasis į kitą ryšio paslaugos teikėją, jei sutrikimas nepašalintas	IS saugos įgaliotinis, AM saugos įgaliotinis
8. Tarnybinės stoties, komutacinės įrangos sugadinimas	8.1. Pranešti teisėsaugos tarnybai, draudimo bendrovei apie įvykį	8.1. Darbuotojų elektroninės informacijos saugos incidento pasekmei likviduoti paskyrimas, instruktavimas, jų veiksmų nustatymas	IS saugos įgaliotinis
	8.2. Elektroninės informacijos saugos incidento pasekmių šalinimas	8.2.1. Kreipimasis į įrangos tiekėjus dėl įrangos remonto ar naujos įsigijimo	IS administratorius
		8.2.2. Įsigytos įrangos diegimas	IS techninis administratorius, IS saugos įgaliotinis AM saugos įgaliotinis
		8.2.2. Įsigytos įrangos diegimas
9. Programinės įrangos sugadinimas, praradimas	9.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas	9.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	Veiklos grupė, veiklos atkūrimo grupė
		9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas	Veiklos grupė, veiklos atkūrimo grupė
	9.2. Darbuotojų elektroninės informacijos saugos incidento pasekmei likviduoti paskyrimas. Žalą likviduojančių darbuotojų instruktavimas, jų veiksmų koordinavimas	9.2.1. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis
		9.2.2. Kreipimasis į teisėsaugos tarnybas dėl programinės įrangos sugadinimo ar praradimo ir jų nurodymų vykdymas	IS techninis administratorius, IS saugos įgaliotinis
	9.3. Programinės įrangos kopijų periodinis gaminimas	9.3.1 Sugadintos ar prarastos programinės įrangos atkūrimo organizavimas	IS techninis administratorius, IS saugos įgaliotinis
10. Dokumentų praradimas	10.1. Elektroninės informacijos saugos incidento pasekmių įvertinimas	10.1. Prarastų dokumentų atkūrimas	Veiklos grupė
10. Dokumentų praradimas		10.2. Prarastų dokumentų atkūrimo kontrolė	Veiklos grupė
11. Darbuotojų praradimas	11.1. Elektroninės informacijos saugos incidento pasekmių įvertinimas	11.1.1. Trūkstamų darbuotojų paieška ir priėmimas į darbą	Informacinių technologijų skyriaus vedėjas, Inspekcijos viršininko pavaduotojas, kuruojantis Informacinių technologijų skyrių

________________________________

Lietuvos Resupublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ veiklos tęstinumo valdymo plano

3 priedas

ATSARGINIŲ PATALPŲ, NAUDOJAMŲ LIETUVOS RESPUBLIKOS STATYBOS LEIDIMŲ IR STATYBOS VALSTYBINĖS PRIEŽIŪROS INFORMACINĖS SISTEMOS „INFOSTATYBA“ VEIKLAI ATKURTI ELEKTRONINĖS INFORMACIJOS SAUGOS INCIDENTO ATVEJU, ADRESAS IR BŪDAI, KAIP IKI JŲ NUVYKTI

1. Atsarginių patalpų adresas: A. Jakšto g. 4/9 Vilnius, Lietuva

2. Atsarginių patalpų vieta žemėlapyje:

Lietuvos Resupublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ veiklos tęstinumo valdymo plano

4 priedas

(Rizikos ataskaitos formos pavyzdys)

TVIRTINU

LIETUVOS RESPUBLIKOS STATYBOS LEIDIMŲ IR STATYBOS VALSTYBINĖS PRIEŽIŪROS INFORMACINĖS SISTEMOS „INFOSTATYBA“ RIZIKOS įvertinimo ATASKAITA

20____ m. ____ pusmetis

Rizikos veiksniai	Registro tvarkymo įstaigos pavadinimas	Prevencinės priemonės rizikos veiksmams išvengti
Rizikos veiksniai	Registro tvarkymo įstaigos pavadinimas	pavadinimas	vykdymo terminas	atsakingas vykdytojas
1. Oro sąlygos
2. Gaisras
3. Patalpų užgrobimas
4. Patalpai padaryta žala arba patalpos praradimas
5. Energijos tiekimo sutrikimai
6. Vandentiekio ir šildymo sistemos sutrikimai
7. Ryšio sutrikimai
8. Tarnybinės stoties ar komutacinės įrangos sugadinimas, praradimas
9. Programinės įrangos sugadinimas, praradimas
10. Dokumentų praradimas
11. Darbuotojų praradimas

Registro saugos įgaliotinis ___________________ _________________________________ _______________

(vardas, pavardė) (parašas)

_________________

PATVIRTINTA

Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko 2016 m. gegužės 19 d. įsakymu Nr. 1V-59

Lietuvos Respublikos STATYBOS LEIDIMŲ IR STATYBOS VALSTYBINĖS PRIEŽIŪROS INFORMACINĖS SISTEMOS „iNFOSTATYBA“ NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I. Bendrosios nuostatos

1. Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ naudotojų administravimo taisyklės (toliau – Taisyklės) nustato Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ (toliau – IS) naudotojų įgaliojimus, teises ir pareigas, saugaus IS duomenų, dokumentų ir informacijos (toliau – elektroninė informacija) teikimo IS naudotojams kontrolės tvarką.

3. Šios Taisyklės taikomos visiems IS naudotojams, IS administratoriams, IS techniniams administratoriams ir IS saugos įgaliotiniams, kurių prieigos prie IS tvarkomos elektroninės informacijos teisės paremtos saugumo, stabilumo, operatyvumo principais. Prieiga prie IS tvarkomos elektroninės informacijos naudotojams suteikiama vadovaujantis principais:

3.1. IS priežiūra atliekantis IS administratorius prisijungęs prie savo paskyros, negali atlikti IS naudotojų funkcijų;

3.2. IS naudotojai negali turėti IS administratoriaus teisių;

3.3. visi IS naudotojai turi savo unikalų naudotojo vardą.

II. IS NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS

4. IS naudotojų įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją:

4.1. IS naudotojai gali naudotis tik tomis IS funkcijomis ir elektronine informacija, prie kurios prieigą jiems suteikė IS administratorius;

4.2. IS naudotojų įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją nustatyti IS nuostatuose, IS saugos nuostatuose, Lietuvos Respublikos statybos įstatyme, Lietuvos Respublikos teritorijų planavimo ir statybos valstybinės priežiūros įstatyme ir kituose teisės aktuose;

4.3. IS naudotojai privalo užtikrinti jų naudojamos elektroninės informacijos konfidencialumą bei vientisumą, savo veiksmais netrikdyti elektroninės informacijos prieinamumo;

4.4. IS naudotojai turi teisę gauti informaciją apie jų naudojamos elektroninės informacijos apsaugos lygį bei taikomas apsaugos priemones, rekomenduoti papildomas apsaugos priemones;

4.5. IS naudotojams draudžiama savavališkai keisti bei ardyti techninę įrangą ar jos sudėtines dalis, jungti prie vidaus duomenų perdavimo tinklo kitą techninę įrangą be IS administratoriaus leidimo.

5. IS techninio administratoriaus įgaliojimai, teisės ir pareigos:

5.1. IS techninis administratorius turi galimybę fiziškai prieiti prie techninės ir sisteminės programinės įrangos ir atlikti IS techninės priežiūros funkcijas;

5.2. IS techninis administratorius privalo pagal kompetenciją užtikrinti nepertraukiamą IS techninės ir sisteminės programinės įrangos veikimą;

5.3. IS techninio administratoriaus įgaliojimai aprašyti Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ duomenų saugos nuostatuose, patvirtintuose Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko įsakymu.

6. IS administratoriaus įgaliojimai, teisės ir pareigos:

6.1. IS administratorius turi teisę/įgaliojimus:

6.1.1. matyti visų IS objektų duomenis;

6.1.2. matyti IS naudotojų veiksmų auditą;

6.1.3. atlikti užklausas IS pagal pasirinktus paieškos kriterijus;

6.1.4. pateikti paklausimus IS tvarkytojams dėl IS naudotojo duomenų patikslinimo.

6.2. IS administratorius privalo:

6.2.1. registruoti naujus IS naudotojus (pagal IS tvarkytojų pateiktus prašymus);

6.2.2. tvarkyti esamų IS naudotojų duomenis (pagal IS tvarkytojų pateiktus duomenis);

6.2.3. atnaujinti elektroninę informaciją pagal duomenis, gautus iš Adresų registro;

6.2.4. IS klasifikatorių posistemėje tvarkyti IS vidinius ir valstybinės reikšmės klasifikatorius;

6.2.5. konsultuoti IS naudotojus dėl IS veikimo ir kitais su IS susijusiais klausimais;

6.2.6. vykdyti kitas funkcijas.

6.3. IS administratoriaus veiksmai reglamentuoti IS nuostatuose, IS duomenų saugos nuostatuose, kituose Lietuvos Respublikos teisės aktuose ir IS administravimo vadovuose.

III. SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO INFORMACINĖS SISTEMOS NAUDOTOJAMS KONTROLĖS TVARKA

7. IS administratorius atsakingas už IS naudotojų registravimą, išregistravimą, prieigos prie IS teisių suteikimą ir panaikinimą.

8. Pirminis prisijungimas prie IS vykdomas per elektroninių paslaugų portalą „Elektroninės valdžios vartai“, kad būtų patvirtinta IS naudotojo autentifikacija:

8.1. jungiantis per banką (elektronine bankininkyste gali naudotis naudotojai, sudarę elektroninės bankininkystės sutartis ir turintys banko išduotą kodų kortelę arba generatorių);

8.2. naudojant elektroninį parašą (Skaitmeninio sertifikavimo centro išduotas sertifikatas, VĮ Registrų centro Sertifikatų centro išduotas sertifikatas, telekomunikacijų paslaugų teikėjų mobiliųjų telefonų SIM kortelėse esantys sertifikatai);

8.3. jungiantis su Lietuvos Respublikos asmens tapatybės kortele (šis būdas galimas tik turint naujo pavyzdžio asmens tapatybės kortelę, išduotą nuo 2009 m. sausio mėn., su kontaktine ir nekontaktine elektroninėmis laikmenomis);

8.4. jungiantis su valstybės tarnautojo pažymėjimu (šis būdas galimas tik turint valstybės tarnautojo pažymėjimą su kontaktine ir nekontaktine elektroninėmis laikmenomis);

8.5. jungiantis su Europos Sąjungos šalių asmens tapatybės kortele (ši kortelė turi turėti kontaktinę ir nekontaktinę elektronines laikmenas).

9. IS naudotojas, pirmą kartą prisijungęs prie IS per elektroninių paslaugų portalą „Elektroninės valdžios vartai“, gauna unikalų vardą ir slaptažodį, kurį pirmą kartą prisijungus būtina pakeisti.

10. Autentifikavusis per „Elektroninės valdžios vartus“, visas reikalingas teises darbui su IS, IS naudotojui, suteikia IS administratorius. Norint gauti teises darbui su IS reikia pridėti elektroniniu parašu pasirašytą atsakingo vadovo (IS tvarkytojo) įgaliojimą, patvirtinantį prašomas teises.

11. IS slaptažodžiui yra keliami šie reikalavimai:

11.1. slaptažodis turi būti sudarytas iš raidžių, skaičių;

11.2. slaptažodžiui sudaryti neturi būti naudojama asmeninio pobūdžio informacija;

11.3. draudžiama slaptažodžius atskleisti tretiesiems asmenims;

11.4. informacinės sistemos dalys, atliekančios nutolusio prisijungimo autentikavimą, turi drausti automatiškai išsaugoti slaptažodžius;

11.5 mėginti įvesti teisingą slaptažodį leidžiama 5 kartus, slaptažodį neteisingai įvedus didžiausią leistiną skaičių, informacinė sistema turi užsirakinti ir neleisti informacinės sistemos naudotojui identifikuotis 15 minučių;

11.6. slaptažodis negali būti saugomas ar perduodamas atviru tekstu ar užšifruojamas nepatikimais algoritmais; saugos įgaliotinio sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo, jei IS naudotojas neturi galimybių iššifruoti gauto užšifruoto slaptažodžio;

11.7. papildomi reikalavimai IS naudotojo slaptažodžiams:

11.7.1. slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius;

11.7.2. slaptažodį turi sudaryti ne mažiau kaip 8 simboliai;

11.7.3. keičiant slaptažodį informacinė sistema neturi leisti sudaryti slaptažodžio iš buvusių 2 paskutinių slaptažodžių;

11.7.4. pirmojo prisijungimo prie informacinės sistemos metu iš IS naudotojo turi būti reikalaujama, kad jis pakeistų slaptažodį;

11.8. papildomi reikalavimai IS administratorių ir IS techninių administratorių slaptažodžiams:

11.8.1. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

11.8.2. slaptažodį turi sudaryti ne mažiau kaip 12 simbolių;

11.8.3. keičiant slaptažodį informacinės sistemos taikomoji programinė įranga neturi leisti sudaryti slaptažodžio iš buvusių 3 paskutinių slaptažodžių.

12. IS naudotojui teisė dirbti su konkrečia elektronine informacija turi būti sustabdoma, kai IS naudotojas nesinaudoja informacine sistema ilgiau kaip 3 mėnesius, kai įstatymų nustatytais atvejais vidinis IS naudotojas nušalinamas nuo darbo (pareigų); pasibaigus tarnybos (darbo) santykiams, vidinio IS naudotojo teisė naudotis informacine sistema turi būti panaikinta nedelsiant.

13. IS valdytojui raštu gavus prašymą iš IS tvarkytojo sustabdyti/apriboti/praplėsti IS naudotojo (-ų) prieigos teises, pasirašytą IS tvarkytojo vadovo ar jo įgalioto asmens, IS administratorius sustabdo/apriboja/praplėčia nurodyto (-ų) IS naudotojo (-ų) prieigos teises per 2 darbo dienas arba per IS tvarkytojo rašte nurodytą terminą.

IV. BAIGIAMOSIOS NUOSTATOS

14. Kaip laikomasi šių Taisyklių, tikrinama kartą per metus pasirinkus kontrolinę naudotojų grupę. Patikrinimus organizuoja Saugos įgaliotinis.

15. Asmenys, pažeidę šių Taisyklių ir kitų elektroninės informacijos saugos politiką įgyvendinančių teisės aktų nuostatas, atsako teisės aktų nustatyta tvarka.

_________________________