valstybinės teritorijų planavimo ir statybos inspekcijos

prie aplinkos ministerijos viršininkas

ĮSAKYMAS

dėl Kai kurių VALSTYBINĖS TERITORIJŲ PLANAVIMO IR STATYBOS INSPEKCIJOS PRIE aplinkos ministerijos valdomų VALSTYBĖS IR KITŲ iNFORMACINIŲ SISTEMŲ SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLių, VEIKLOS TĘSTINUMO VALDYMO PLANO ir NAUDOTOJŲ ADMINISTRAVIMO TAISYKLių patvirtinimo

2019 m. lapkričio 28 d. Nr. 1V-197

Vilnius

Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „ Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7 ir 11 punktais:

1. T v i r t i n u pridedamus:

1.1. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisykles;

1.2. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų veiklos tęstinumo valdymo planą;

1.3. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų naudotojų administravimo taisykles.

2. P r i p a ž į s t u netekusiais galios:

2.1. Inspekcijos viršininko 2016 m. gegužės 19 d. įsakymą Nr. 1V-59 „Dėl Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ saugaus elektroninės informacijos tvarkymo taisyklių, šios informacinės sistemos veiklos tęstinumo valdymo plano ir naudotojų administravimo taisyklių patvirtinimo“;

2.2. Inspekcijos viršininko 2015 m. gegužės 20 d. įsakymą Nr. 1V-106 „Dėl Lietuvos Respublikos teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, šios informacinės sistemos veiklos tęstinumo valdymo plano ir naudotojų administravimo taisyklių patvirtinimo“.

3. N u s t a t a u, kad šis įsakymas įsigalioja 2019 m. gruodžio 13 d.

L. e. viršininko pareigas Renata Planutienė

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2019 m. lapkričio 19 d. raštu Nr. (4.2. E) 6K-751

PATVIRTINTA

Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko 2019 m. lapkričio 28 d. įsakymu Nr. 1V-197

VALSTYBINĖS TERITORIJŲ PLANAVIMO IR STATYBOS INSPEKCIJOS PRIE APLINKOS MINISTERIJOS VALDOMŲ VALSTYBĖS IR KITŲ INFORMACINIŲ SISTEMŲ SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės) reglamentuoja tvarką, užtikrinančią saugų Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų techninės, programinės įrangos funkcionavimą, saugų informacinių sistemų elektroninės informacijos tvarkymą ir jos teikimą duomenų gavėjams pagal teisės aktų nustatytus reikalavimus.

2. Tvarkymo taisyklės taikomos tvarkant informacines sistemas, nurodytas Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų sąraše (Tvarkymo taisyklių priedas).

3. Tvarkymo taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 5 d. nutarimu Nr. 1209 „Dėl Lietuvos Respublikos vyriausybės 2018 m. rugpjūčio 13 d. nutarimo Nr. 818 „Dėl Nacionalinės kibernetinio saugumo strategijos patvirtinimo“ pakeitimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų nuostatais (toliau – IS nuostatai) ir Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų saugos nuostatais (toliau – IS saugos nuostatai), patvirtintais Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko 2019 m. birželio 27 d. įsakymu 1V-96 „Dėl kai kurių Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų saugos nuostatų patvirtinimo ir saugos įgaliotinio paskyrimo“.

4. Tvarkymo taisyklėse vartojamos sąvokos:

4.1. IS – Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdoma informacinė sistema.

4.2. IS valdytoja – Valstybinė teritorijų planavimo ir statybos inspekcija prie Aplinkos ministerijos.

4.3. IS pagrindinis tvarkytojas – Valstybinė teritorijų planavimo ir statybos inspekcija prie Aplinkos ministerijos.

4.4. IS tvarkytojas – IS nuostatuose aprašyti duomenų tvarkytojai.

4.5. IS naudotojas – fizinis asmuo IS veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis IS elektroninę informaciją.

4.6. IS administratorius – IS valdytojo viršininko įsakymu paskirtas asmuo, prižiūrintis IS, užtikrinantis jos veikimą ir IS elektroninės informacijos saugą.

4.7. IS techninis administratorius – IS valdytojo viršininko įsakymu paskirtas darbuotojas arba Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatyta tvarka IS valdytojo parinktas paslaugos teikėjas, atsakingas už IS techninės ir programinės įrangos priežiūrą.

4.8. IS saugos įgaliotinis – IS tvarkytojo vadovo įsakymu paskirtas asmuo, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis saugos politikos įgyvendinimą.

4.9. IS paslaugų gavėjas – fiziniai asmenys ir juridinių asmenų atstovai, naudojantys IS duomenis per IS elektronines paslaugas.

4.10. Kitos Tvarkymo taisyklėse vartojamos sąvokos atitinka IS nuostatuose ir Tvarkymo taisyklių 3 punkte nurodytuose teisės aktuose apibrėžtas sąvokas. Tvarkymo taisyklės taikomos: IS naudotojams, IS administratoriams, IS techniniams administratoriams ir IS saugos įgaliotiniams.

5. IS tvarkoma informacija yra skirstoma į šias kategorijas:

5.1. IS administratoriaus ir IS techninio administratoriaus tvarkoma informacija;

5.2. IS naudotojų tvarkoma informacija.

6. Elektroninės informacijos, priskirtos Tvarkymo taisyklių 5 punkte nurodytoms kategorijoms, sąrašas:

6.1. IS administratoriaus tvarkoma informacija:

6.1.1. IS naudotojų ir IS paslaugų gavėjų teisės;

6.1.2. IS techninės ir programinės įrangos parametrai;

6.1.3. kiti IS duomenys, nurodyti IS nuostatuose;

6.1.4. registruoti elektroninės paslaugos, programinės įrangos saugos incidentai;

6.1.5. IS naudotojų ir IS paslaugų gavėjų veiksmų registravimo duomenys;

6.1.6. rezervinės kopijos.

6.2. IS naudotojų tvarkoma informacija - IS duomenys, nurodyti IS nuostatuose.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠymAS

7. Saugiam IS elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, programinės įrangos, duomenų perdavimo tinklai, fizinės, techninės ir organizacinės duomenų ir informacijos saugumo priemonės.

8. IS naudojamų svetainių saugos priemonės:

8.1. svetainės turi atitikti Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo reikalavimus bei Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus;

8.2. svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio IS valdytojo kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;

8.3. turi būti pakeistos numatytos prisijungimo prie svetainių TVS ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) ir slaptažodžiai;

8.4. turi būti užtikrinama, kad prie svetainių TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;

8.5. svetainių sauga turi būti vertinama IS rizikos vertinimo, atliekamo IS saugos nuostatų II skyriuje nustatyta tvarka, metu.

9. Kompiuterinės įrangos saugos priemonės:

9.1. prieigos prie IS tarnybinių stočių (serverių) kontrolė užtikrinama suteikiant prieigos prie IS tarnybinių stočių teises tik IS techniniam administratoriui, IS administratoriui ir IS saugos įgaliotiniui;

9.2. kompiuterinės įrangos sujungimas klasteriniu režimu (angl. computer cluster), t. y. kompiuterinės įrangos dubliavimas ir šios kompiuterinės įrangos techninės būklės nuolatinė stebėsena;

9.3. IS naudotojų naudojamos techninės kompiuterinės įrangos priežiūra ir tvarkymas, kurį atlieka IS tvarkytojai;

9.4. kompiuterinės įrangos gedimų registravimas kompiuterinės įrangos gedimų žurnale.

10. IS sisteminės ir taikomosios programinės įrangos (toliau – IS programinė įranga) saugos priemonės:

10.1. naudojama legali IS programinė įranga;

10.2. IS programinės įrangos diegimą atlieka tik asmenys, turintys teisę atlikti programinės įrangos diegimą;

10.3. IS programinė įranga prižiūrima laikantis gamintojo rekomendacijų;

10.4. IS naudojamos autorizuotos programinės įrangos sąrašo rengimas ir reguliarus atnaujinimas, už kurį atsakingas IS saugos įgaliotinis. Sąrašas privalo būti suderintas su IS valdytoju;

10.5. neautorizuotos programinės įrangos įdiegimo į IS naudotojų kompiuterius ribojimas bei nuolatinis naudojamos IS programinės įrangos stebėsenos vykdymas IS pagrindinio tvarkytojo prižiūrimose darbo vietose;

10.6. IS pagrindinio tvarkytojo prižiūrimose kompiuterinėse IS naudotojų darbo vietose naudojama pažeidžiamumų nustatymo programinė įranga ir centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, kurios yra automatiniu būdu atnaujinamos ne rečiau kaip kartą per 10 dienų;

10.7. ne rečiau kaip kartą per mėnesį įvertinami kibernetiniam saugumui užtikrinti naudojamų priemonių programiniai atnaujinimai, klaidų taisymai ir šie atnaujinimai diegiami;

10.8. prisijungimo duomenis, suteikiančius teisę administruoti IS tarnybines stotis, žino tik IS techninis administratorius;

10.9. prieigos teisė dirbti su IS programine įranga suteikiama IS naudotojams Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų naudotojų administravimo taisyklėse (toliau – IS naudotojų administravimo taisyklės) nustatyta tvarka;

10.10. IS pagrindiniam tvarkytojui pavaldiems IS naudotojams jų naudojamų kompiuterių operacinėse sistemose suteikiamos minimalios, tik tiesioginėms pareigoms vykdyti būtinos teisės;

10.11. IS naudotojų tapatybei, IS naudotojų veiksmams, atliekamiems IS, nustatyti taikomos programinės priemonės;

10.12. IS naudotojui 15 minučių neatliekant jokių veiksmų IS, jo sesija pasibaigia; toliau naudotis IS naudotojas gali tik pakartotinai prisijungęs;

10.13. IS techninio administratoriaus taikomos perspėjimo, kad IS tarnybinių stočių įrangoje iki nustatytos pavojingos ribos mažėja laisvos operatyvios atminties ar vietos standžiajame diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja, programinės priemonės.

11. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

11.1. IS naudotojai ir IS paslaugų gavėjai internetu jungiasi prie užkarda (angl. firewall) apsaugotų tarnybinių stočių, kuriose yra IS sistemos, naudodami unikalius atpažinties prisijungimo duomenis;

11.2. IS duomenų perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų užkarda. Užkardos įvykių žurnalai (angl. Logs) turi būti reguliariai analizuojami, o užkardos saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos;

11.3. viešaisiais ryšių tinklais perduodamos elektroninės informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą;

11.4. nuotolinis prisijungimas prie IS turi būti vykdomas taikant protokolą, skirtą duomenims šifruoti ir (arba) virtualųjį privatųjį tinklą (angl. virtual private network);

11.5. IS duomenų perdavimo tinkle turi būti įdiegtos ir veikti automatinės įsilaužimo (įsibrovimo) aptikimo ir prevencijos priemonės:

11.5.1. turi būti įdiegtos ir veikti automatizuotos įsibrovimo aptikimo sistemos, kurios stebėtų IS įeinantį ir išeinantį duomenų srautą ir vidinį srautą tarp svarbiausių tinklo paslaugų;

11.5.2. įvykus įtartinai veiklai, ji turi būti užfiksuojama audito įrašuose ir automatizuotai kuriamas pranešimas (esant techninėms galimybėms) IS techniniam administratoriui;

11.5.3. sukurtas pranešimas turi būti klasifikuojamas pagal užfiksuotą įvykį;

11.5.4. įsilaužimo atakų pėdsakai (angl. attack signature) turi būti gaunami iš aktualią informaciją teikiančių šaltinių – patikimų saugos programinės įrangos gamintojų. Įsilaužimo atakų pėdsakai turi būti atnaujinami ne vėliau kaip per 24 valandas nuo saugos programinės įrangos gamintojo naujausių įsilaužimo atakų pėdsakų pateikimo valandos arba ne vėliau kaip per 72 valandas nuo naujausių įsilaužimo atakų pėdsakų pateikimo valandos, jeigu IS valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio IS veiklai vertinimas (testavimas);

11.5.5. įsilaužimo aptikimo techninio sprendinio įgyvendinimas, konfigūracija ir kibernetinių incidentų aptikimo algoritmai (taisyklės) (kartu nurodant datas (įgyvendinimo, atnaujinimo ir panašiai), atsakingus asmenis, taikymo periodus ir pan.) turi būti saugomi elektronine forma atskirai nuo IS techninės įrangos;

11.6. papildomos elektroninės informacijos perdavimo belaidžiais tinklais saugumo ir kontrolės užtikrinimo priemonės:

11.6.1. leidžiama naudoti tik su IS saugos įgaliotiniu suderintus belaidžio tinklo įrenginius ir belaidės prieigos taškus, atitinkančius techninius kibernetinio saugumo reikalavimus;

11.6.2. belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, IS pagrindinio tvarkytojo kontroliuojamoje zonoje;

11.6.3. vykdoma belaidžių įrenginių kontrolė, tikrinama, ar IS pagrindinio tvarkytojo eksploatuojami belaidžiai įrenginiai atitinka techninius kibernetinio saugumo reikalavimus;

11.6.4. naudojamos priemonės, kurios automatiškai apribotų neleistinus ar kibernetinio saugumo reikalavimų neatitinkančius belaidžius įrenginius;

11.6.5. naudojamos priemonės, kurios automatiškai apriboja neleidžiamus ar saugumo reikalavimų neatitinkančius belaidžius įrenginius arba apie tokių įrenginių aptikimą informuojamas IS saugos įgaliotinis;

11.6.6. prisijungiant prie belaidžio tinklo, turi būti taikomas naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) arba TLS (angl. Transport Layer Security) protokolas;

11.6.7. draudžiama belaidėje sąsajoje naudoti SNMP (angl. Simple Network Management Protocol) protokolą bei visus kitus nebūtinus valdymo protokolus;

11.6.8. turi būti išjungti nenaudojami TCP (angl. Transmission Control Protocol) ar UDP (angl. User Datagram Protocol) prievadai;

11.7. elektroninis paštas naudojamas IS pagrindinio tvarkytojo patvirtintuose dokumentuose nustatyta tvarka.

12. Patalpų, kuriose yra IS tarnybinės stotys (toliau – patalpos) ir aplinkos saugumo užtikrinimo priemonės:

12.1. turi būti užtikrinamas išorės poveikio šaltinių – transporto priemonių keliamos vibracijos, eismo įvykių, radijo stočių, specialiųjų gamyklų, kitų išorės šaltinių minimalus poveikis patalpoms ir jose esančiai techninei ir programinei įrangai;

12.2. patalpose įrengta langų ir durų fizinė apsauga: prie langų pritvirtintos žaliuzės ir metalinės grotos, įrengtos rakinamos šarvuotos ir ugniai atsparios durys, veikia durų ir langų signalizacija;

12.3. patalpos turi atitikti gaisrinės saugos reikalavimus, jose turi būti pirminių gaisro gesinimo priemonių, kurios kasmet turi būti patikrinamos;

12.4. patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos stebėjimo pulto;

12.5. patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

12.6. patekti į patalpas gali tik IS valdytojo viršininko įgalioti asmenys, o kiti asmenys patekti į šias patalpas gali tik lydimi IS techninio administratoriaus ir užsiregistravę Patekimo į patalpas žurnale;

12.7. IS tarnybinių stočių techninė įranga įnešama į patalpas ar išnešama iš patalpų tik leidus IS techniniam administratoriui;

12.8. IS tarnybinių stočių techninė įranga apsaugoma nuo elektros srovės svyravimų. Naudojami specialūs maitinimo šaltiniai, nenutrūkstamo maitinimo šaltinis su automatine apsauga nuo įtampos svyravimų;

12.9. rezervinio nenutrūkstamo maitinimo šaltinis užtikrina IS tarnybinių stočių įrangos veikimą ne trumpiau nei 10 minučių pagrindinio nenutrūkstamo maitinimo šaltinio neveikimo atveju;

12.10. ryšių kabeliai apsaugoti nuo nesankcionuoto prisijungimo prie jų ir jų pažeidimo;

12.11. įgyvendintos gamintojo nustatytos IS tarnybinių stočių techninės įrangos darbo sąlygos;

12.12. patalpose palaikoma +22 (±5) ºC temperatūra ir 50 (±10) % santykinis oro drėgnumas.

13. IS darbo apskaitos ir kitos elektroninės informacijos saugos priemonės:

13.1. programiniu būdu registruojami IS naudotojų, IS paslaugų gavėjų veiksmai su IS duomenimis;

13.2. IS naudotojams suteikiamos prieigos prie IS teisės atlikti veiksmus tik su jiems priskirtais duomenimis;

13.3. IS tarnybinių stočių įvykių žurnaluose registruojami, ne mažiau kaip vienerius metus saugomi ir ne rečiau kaip kartą per savaitę analizuojami duomenys, nurodant įvykio laiką ir IS naudotojo unikalius atpažinties prisijungimo duomenis, apie:

13.3.1. IS tarnybinių stočių ir IS įjungimą bei išjungimą;

13.3.2. sėkmingus ir nesėkmingus bandymus registruotis IS tarnybinėse stotyse ir IS;

13.3.3. bandymus prieiti prie IS informacinių išteklių;

13.3.4. kitus svarbius su IS tvarkomos elektroninės informacijos sauga susijusius įvykius.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

14. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo tvarka:

14.1. IS duomenis keisti, atnaujinti, įrašyti ir naikinti gali tik IS naudotojai, turintys teisę tai atlikti;

14.2. IS duomenys įrašomi, atnaujinami, keičiami ir naikinami vadovaujantis IS nuostatais ir IS saugos nuostatais.

15. IS naudotojų ir (arba) IS paslaugų gavėjų veiksmų registravimo tvarka:

15.1. IS naudotojų ir (arba) IS paslaugų gavėjų tapatybė ir veiksmai su IS duomenimis turi būti įrašomi automatiniu būdu IS duomenų bazės veiksmų žurnale (toliau – IS duomenų bazės veiksmų žurnalas), apsaugotame nuo neteisėto jame esančių duomenų ir informacijos panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;

15.2. IS duomenų bazės veiksmų žurnalo duomenys gali būti prieinami tik IS administratoriui.

16. Prarasti, iškraipyti ar sunaikinti IS duomenys turi būti atkuriami iš atsarginių IS duomenų kopijų. Atsarginės IS duomenų kopijos daromos ir saugomos, o IS duomenys atkuriami iš atsarginių IS duomenų kopijų tokia tvarka:

16.1. už atsarginių IS duomenų kopijų darymą, elektroninės informacijos atkūrimą ir atsarginių IS duomenų kopijų apsaugą yra atsakingas IS techninis administratorius, kurio funkcijos aprašytos IS naudotojų administravimo taisyklėse ir kituose teisės aktuose, reglamentuojančiuose IS darbą;

16.2. elektroninė informacija turi būti kopijuojama ir saugoma tokia apimtimi, kad IS duomenų praradimo atveju visišką IS funkcionalumą ir veiklą būtų galima atstatyti per 16 valandų;

16.3. IS duomenys atsarginėse kopijose turi būti užkoduoti;

16.4. IS duomenų atsarginių kopijų darymas turi būti fiksuojamas Atsarginių kopijų darymo žurnale;

16.5. IS archyvinės duomenų kopijos į rezervinio kopijavimo biblioteką turi būti daromos vieną kartą 24 valandas;

16.6. IS duomenų archyvinės kopijos turi būti saugomos užrakintoje nedegioje spintoje, esančioje kitoje patalpoje nei IS tarnybinių stočių įrenginys, kurio elektroninė informacija buvo nukopijuota;

16.7. IS duomenų atkūrimo bandymai turi būti vykdomi vieną kartą per metus;

16.8. IS duomenų atkūrimo bandymai turi būti vykdomi ne darbo valandomis ir prieš tai visus IS naudotojus informavus elektroniniu paštu;

16.9. už išsamius ir (ar) dalinius IS duomenų atkūrimo bandymus yra atsakingi IS techninis administratorius ir IS saugos įgaliotinis. IS techninis administratorius su IS saugos įgaliotiniu turi parengti ir suderinti IS duomenų atkūrimo bandymų metodus ir užtikrinti atsarginių IS duomenų kopijų saugojimą ir atsarginių IS duomenų kopijų darymo kontrolę.

17. IS duomenų perkėlimo ir teikimo kitoms informacinėms sistemoms, duomenų gavimo iš jų tvarka:

17.1. už IS naudotojų administravimą ir iš susijusių registrų ir kitų informacinių sistemų teikiamų duomenų atnaujinimą IS yra atsakingas IS administratorius;

17.2. duomenų mainai tarp IS ir susijusių registrų ir kitų informacinių sistemų turi būti vykdomi sudarytose duomenų teikimo sutartyse numatytais būdais, terminais ir numatytos apimties;

17.3. likviduojant IS, elektroninė informacija turi būti saugiai perduodama kitai valstybės informacinei sistemai, sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

18. Duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neteisėti veiksmai) nustatymo tvarka:

18.1. IS administratorius ir IS techninis administratorius, užtikrindamas IS duomenų vientisumą, privalo naudoti visas įmanomas fizines, programines ir organizacines priemones, skirtas IS ir jame tvarkomiems duomenims apsaugoti nuo neteisėtų veiksmų;

18.2. IS naudotojas įtaręs, kad su IS duomenimis buvo atlikti ar yra atliekami neteisėti veiksmai, privalo pranešti apie tai IS administratoriui. IS administratorius ir IS techninis administratorius, atsiradus įtarimams dėl neteisėtų veiksmų su IS duomenimis, pasinaudoję IS duomenų bazės veiksmų žurnalo įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su IS programine įranga ir (ar) duomenimis;

18.3. IS administratorius ir IS techninis administratorius, įtarę, kad su IS duomenimis vykdomi neteisėti veiksmai, privalo apie tai pranešti IS saugos įgaliotiniui;

18.4. IS saugos įgaliotinis, gavęs pranešimą apie įvykdytus ar vykdomus neteisėtus veiksmus su IS arba IS tvarkoma elektronine informacija, inicijuoja elektroninės informacijos saugos (kibernetinio) incidento valdymo procedūras, nustatytas Lietuvos erdvinės informacijos Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų veiklos tęstinumo valdymo plane.

19. IS programinės ir techninės įrangos keitimo ir atnaujinimo tvarka ir IS funkcijų pokyčių (toliau – IS pokyčiai) valdymo tvarka:

19.1. IS programinės ir techninės įrangos keitimo ir atnaujinimo tvarką ar IS pokyčius, atsižvelgdamas į konkretų atvejį, derina IS techninis administratorius arba jie aprašomi paslaugų, susijusių su IS programinės ir techninės įrangos keitimu ir atnaujinimu, teikimo sutartyse;

19.2. prieš atlikdamas IS pokyčius, kurių metu gali iškilti grėsmė IS duomenų ir IS konfidencialumui, vientisumui ar pasiekiamumui, IS techninis administratorius privalo planuojamus IS pokyčius ištestuoti;

19.3. įvertinamas IS pokyčių potencialus poveikis, įskaitant poveikį saugumui;

19.4. numatomos IS veiklos atkūrimo procedūros nesėkmingų IS pokyčių atlikimo atvejais;

19.5. atlikęs vykdomų IS pokyčių testavimą ir raštu gavęs IS valdytojo vadovo arba jo paskirto asmens sutikimą, IS techninis administratorius gali pradėti įgyvendinti IS pokyčius;

19.6. planuodamas IS pokyčius, kurių metu galimi ilgesni kaip 4 val. IS veikimo sutrikimai darbo metu, IS techninis administratorius privalo ne vėliau kaip prieš dvi darbo dienas iki IS pokyčių vykdymo pradžios informuoti IS naudotojus ir (arba) IS paslaugų gavėjus apie tokių darbų pradžią ir galimus IS veikimo sutrikimus.

20. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (toliau – mobilieji įrenginiai), naudojamų IS naudotojų tarnybinėms ar darbo funkcijos vykdyti, naudojimo tvarka:

20.1. išnešti iš IS pagrindinio tvarkytojo patalpų mobilieji įrenginiai negali būti palikti be priežiūros viešose vietose; kelionės metu mobilieji įrenginiai turi būti saugomi;

20.2. iš IS pagrindinio tvarkytojo patalpų išnešamiems mobiliesiems įrenginiams turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimai ir pan.);

20.3. duomenys, perduodami tarp mobiliojo įrenginio ir IS, turi būti šifruojami;

20.4. turi būti užtikrinta kompiuterinių laikmenų apsauga, t. y. esant techninėms galimybėms turi būti šifruojami duomenys tiek mobiliųjų įrenginių laikmenose, tiek išorinėse kompiuterinėse laikmenose. Draudžiama saugoti neužšifruotuose mobiliųjų įrenginių laikmenose konfidencialią ir (arba) asmens duomenų informaciją;

20.5. prieš perduodant mobilųjį įrenginį IS naudotojui, jis turi būti patikrinamas antivirusine programine įranga;

20.6. mobiliojo įrenginio grąžinimas ir antivirusinės programos tikrinimo rezultatai turi būti dokumentuojami;

20.7. už mobiliųjų įrenginių ir jame tvarkomų ar saugomų duomenų saugą teisės aktų nustatyta tvarka atsako naudotojas, kuriam šis įrenginys yra skirtas.

IV SKYRIUS

REIKALAVIMAI, KELIAMI INFORMACINĖMS SISTEMOMS FUNKCIONUOTI

REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

21. IS valdytojas, pirkdamas paslaugas, darbus ar įrangą, susijusius su IS, jo projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi nustatyti, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas užtikrina atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams.

22. Paslaugų teikėjų prieigos prie IS lygiai ir sąlygos:

22.1. IS techninis administratorius suteikia prieigos prie IS duomenų teisę (peržiūrėti IS duomenis, atlikti užklausas IS vykdyti veiksmus su IS duomenimis ir kt.), fizinę prieigą prie IS techninės ir programinės įrangos paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje nustatytomis sąlygomis ir tvarka paslaugų teikėjo funkcijoms atlikti;

22.2. IS techninis administratorius, suteikdamas prieigos prie IS duomenų teisę, paslaugų teikėjo įgaliotą fizinį asmenį pasirašytinai supažindina su IS nuostatais, IS saugos nuostatais ir kitais IS saugos politiką įgyvendinančiais dokumentais;

22.3. pasibaigus paslaugų teikimo sutarties galiojimui ar šią sutartį nutraukus, IS techninis administratorius nedelsdamas, bet ne vėliau kaip kitą darbo dieną, panaikina paslaugų teikėjo įgalioto fizinio asmens prieigos prie IS duomenų teisę ir apie tai jį informuoja.

23. Reikalavimai IS tarnybinių stočių patalpų, IS programinės įrangos, IS priežiūrai ir kitoms paslaugoms:

23.1. reikalavimai paslaugų teikėjams ir jų teikiamoms IS priežiūros paslaugoms nustatomi šių paslaugų teikimo sutartyse;

23.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja IS programinę įrangą, naudodamas:

23.2.1. įgyvendintas elektroninės informacijos saugos priemones, apsaugančias nuo neteisėto poveikio sisteminei, programinei įrangai ir patalpoms;

23.2.2. IS testinės duomenų bazės duomenis (IS programinei įrangai modifikuoti);

23.2.3. tik sertifikuotą IS programinę įrangą;

23.3. IS veiklą palaikančių sistemų (elektros energijos, šildymo, vėdinimo ir oro kondicionavimo bei kitų sistemų) kokybė, atsižvelgiant į šių sistemų veiklai keliamus reikalavimus, turi būti reguliariai tikrinama, siekiant tinkamo paslaugų teikimo ir galimo šių paslaugų teikimo sutrikimo bei avarijos pasekmių sumažinimo.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

24. IS sauga turi būti vertinama IS rizikos vertinimo ir (arba) informacinių technologijų saugos atitikties vertinimo, atliekamo IS saugos nuostatų II skyriuje nustatyta tvarka, metu. Kartu su IS rizikos įvertinimu ir (arba) informacinių technologijų saugos atitikties vertinimu turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos IS kibernetiniam saugumui, vertinimas.

25. IS informacinių technologijų saugos atitikties vertinimo metu turi būti atliekamas kibernetinių atakų imitavimas ir vykdomos kibernetinių incidentų imitavimo pratybos. Imituojant kibernetines atakas rekomenduojama vadovautis tarptautiniu mastu pripažintų organizacijų (pvz., EC-COUNCIL, ISACA, NIST ir kt.) rekomendacijomis ir gerąja praktika. Kibernetinių atakų imitavimas atliekamas šiais etapais:

25.1. planavimo etapas. Parengiamas kibernetinių atakų imitavimo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtys, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (arba) pilkosios dėžės (angl. Grey Box)), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (arba) techniniai įrankiai ir priemonės, nurodomi už plano vykdymą atsakingi asmenys ir jų kontaktai. Kibernetinių atakų imitavimo planas turi būti suderintas su IS pagrindinio tvarkytojo Informacinių sistemų valdymo skyriaus vedėju ir vykdomas tik gavus jo rašytinį pritarimą;

25.2. žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių serverių ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą ir konfigūracijas, taip pat kita sėkmingai kibernetinei atakai įvykdyti reikalinga informacija. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;

25.3. kibernetinių atakų imitavimo etapas. Atliekami kibernetinių atakų imitavimo plane numatyti testai. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;

25.4. ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti išdėstomi informacinių technologijų saugos vertinimo ataskaitoje. Kibernetinių atakų imitavimo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat informacinių sistemų valdytojos įstaigos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

26. IS naudotojai, IS saugos įgaliotinis, IS administratorius ir IS techninis administratorius, pažeidę šių Tvarkymo taisyklių ir kitų saugos politiką įgyvendinamųjų teisės aktų nuostatas, atsako teisės aktų nustatyta tvarka.

________________________

Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių

priedas

VALSTYBINĖS TERITORIJŲ PLANAVIMO IR STATYBOS INSPEKCIJOS PRIE APLINKOS MINISTERIJOS VALDOMŲ VALSTYBĖS IR KITŲ INFORMACINIŲ SISTEMŲ

SĄRAŠAS

Eil. Nr.	Informacinės sistemos pavadinimas
1.	Lietuvos Respublikos teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinė sistema
2.	Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinė sistema „Infostatyba"
3.	Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos dokumentų valdymo informacinės sistemos „Avilys“

PATVIRTINTA

Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko 2019 m. lapkričio 28 d. įsakymu Nr. 1V-197

VALSTYBINĖS TERITORIJŲ PLANAVIMO IR STATYBOS INSPEKCIJOS PRIE APLINKOS MINISTERIJOS VALDOMŲ VALSTYBĖS IR KITŲ INFORMACINIŲ SISTEMŲ VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų veiklos tęstinumo valdymo plano (toliau – Valdymo planas) tikslas – nustatyti Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų administratoriaus, techninio administratoriaus, saugos įgaliotinio ir kitų asmenų veiksmus, esant elektroninės informacijos saugos (kibernetiniam) incidentui, kurio metu iškyla pavojus IS duomenims, IS techninės, programinės įrangos funkcionavimui.

2. Valdymo planas taikomas tvarkant informacines sistemas, nurodytas Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių priede.

3. Valdymo planas parengtas vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Nacionaliniu kibernetinių incidentų valdymo planu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Nacionalinis kibernetinių incidentų valdymo planas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 5 d. nutarimu Nr. 1209 „Dėl Lietuvos Respublikos vyriausybės 2018 m. rugpjūčio 13 d. nutarimo Nr. 818 „Dėl Nacionalinės kibernetinio saugumo strategijos patvirtinimo“ pakeitimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo ir Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų duomenų saugos nuostatais (toliau – IS saugos nuostatai), patvirtintais Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko 2019 m. birželio 27 d. įsakymu Nr. 1V-96 „Dėl kai kurių Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų saugos nuostatų patvirtinimo ir saugos įgaliotinio paskyrimo“.

4. Valdymo plane vartojamos sąvokos:

4.1. IS – Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdoma informacinė sistema.

4.2. IS valdytoja – Valstybinė teritorijų planavimo ir statybos inspekcija prie Aplinkos ministerijos.

4.3. IS pagrindinis tvarkytojas – Valstybinė teritorijų planavimo ir statybos inspekcija prie Aplinkos ministerijos.

4.4. IS tvarkytojas – IS nuostatuose aprašyti duomenų tvarkytojai.

4.5. IS administratorius – IS valdytojo viršininko įsakymu paskirtas asmuo, prižiūrintis IS, užtikrinantis jos veikimą ir IS elektroninės informacijos saugą.

4.6. IS techninis administratorius – IS valdytojo viršininko įsakymu paskirtas darbuotojas arba Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatyta tvarka IS valdytojo parinktas paslaugos teikėjas, atsakingas už IS techninės ir programinės įrangos priežiūrą.

4.7. IS saugos įgaliotinis – IS tvarkytojo vadovo įsakymu paskirtas asmuo, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis saugos politikos įgyvendinimą.

4.8. IS naudotojas – fizinis asmuo informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis IS elektroninę informaciją.

4.9. Elektroninės informacijos saugos (kibernetinis) incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie IS galimybę, sutrikdyti ar pakeisti IS veiklą, sunaikinti ar pakeisti IS duomenis, panaikinti ar apriboti galimybę naudotis IS duomenimis, sudaryti sąlygas neteisėtai panaudoti ar pasisavinti IS duomenis.

4.10. Kitos Valdymo plane vartojamos sąvokos atitinka Valdymo plano 3 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

5. Valdymo plano reikalavimai privalomi IS valdytojui, IS tvarkytojui, IS saugos įgaliotiniui, IS administratoriui, IS techniniam administratoriui, visiems IS naudotojams, naudojantiems IS įrangą tarnybos ir darbo funkcijoms atlikti. Valdymo planas taikomas kiekvienam pastatui, kuriame tvarkomi IS duomenys.

6. Valdymo planas įsigalioja ir turi būti įgyvendinamas įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, kurio metu gali kilti pavojus IS duomenims, IS techninės, programinės įrangos funkcionavimui.

7. IS saugos įgaliotinio, IS administratoriaus ir IS techninio administratoriaus veiksmai, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, yra nurodyti Valstybinės teritorijų planavimo ir statybos inspekcijos prie aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų veiklos atkūrimo detaliajame plane (1 priedas).

8. Elektroninės informacijos saugos (kibernetinio) incidento metu patirti nuostoliai padengiami iš valstybės biudžeto ir kitų finansavimo šaltinių.

9. Kriterijai, pagal kuriuos nustatoma, kad IS veikla atkurta:

9.1. IS duomenų išsaugojimas;

9.2. IS duomenų atnaujinimas;

9.3. nuolatinis IS duomenų teikimas fiziniams, juridiniams asmenims ir kitoms informacinėms sistemoms teisės aktų nustatyta tvarka.

10. Neveikiant IS ar veikiant iš dalies, jo veikla turi būti atkurta per 16 val.

11. IS prieinamumas turi būti užtikrintas ne mažiau kaip 90 procentų laiko darbo metu darbo dienomis.

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

12. IS valdytojas, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, atlieka šias funkcijas:

12.1. užtikrina IS elektroninės informacijos saugos (kibernetinio) incidento valdymą ir tyrimą; registruoja įvykusius saugos incidentus ir nedelsdamas į juos reaguoja, organizacinėmis, techninėmis ir programinėmis priemonėmis saugos incidentus valdo, tiria ir šalina;

12.2. informuoja Nacionalinį kibernetinio saugumo centrą apie IS įvykusius kibernetinius saugos incidentus, nurodytus Nacionaliniame kibernetinių incidentų valdymo plane, ir taikytas kibernetinių saugos incidentų valdymo priemones Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo tvarkos apraše (3 priedas) numatyta tvarka;

12.3. teikia policijai informaciją, reikalingą saugos incidentams, turintiems nusikalstamos veikos požymių, užkardyti ir tirti, policijos generalinio komisaro nustatyta tvarka ir sąlygomis.

13. Elektroninės informacijos saugos (kibernetiniams) incidentams valdyti bei veiklos atkūrimui organizuoti IS valdytojo viršininko įsakymu sudaroma: IS veiklos tęstinumo valdymo grupė (toliau – Valdymo grupė) ir IS veiklos atkūrimo grupė (toliau – Atkūrimo grupė).

14. Valdymo grupės tikslas – pagal IS saugos įgaliotinio gautą tarnybinį pranešimą apie elektroninės informacijos saugos (kibernetinį) incidentą tirti elektroninės informacijos saugos (kibernetinius) incidentus, ieškoti priemonių ir būdų sukeltiems padariniams bei žalai likviduoti, užtikrinti IS veiklos tęstinumą.

15. Valdymo grupės sudėtis:

15.1. Inspekcijos viršininkas (Valdymo grupės vadovas);

15.2. Inspekcijos vyriausiasis patarėjas, kuruojantis Inspekcijos statybos ir teritorijų planavimo valstybinę priežiūrą (Valdymo grupės vadovo pavaduotojas);

15.3. Inspekcijos kancleris, kuruojantis Inspekcijos Informacinių sistemų valdymo skyrių;

15.4. Inspekcijos Informacinių sistemų valdymo skyriaus vedėjas;

15.5. už IS techninę įrangą materialiai atsakingas asmuo;

15.6. IS saugos įgaliotinis;

15.7 IS techninis administratorius.

16. Valdymo grupės funkcijos:

16.1. elektroninės informacijos saugos (kibernetinių) incidentų analizė ir sprendimų duomenų veiklos tęstinumo valdymo klausimais priėmimas;

16.2. bendravimas su susijusių informacinių sistemų veiklos tęstinumo valdymo grupėmis;

16.3. bendravimas su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;

16.4. bendravimas ir bendradarbiavimas su IS paslaugų gavėjais;

16.5. finansinių ir kitų išteklių, reikalingų IS veiklai atkurti, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, naudojimo kontrolė;

16.6. IS fizinės duomenų saugos užtikrinimo kontrolė, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui;

16.7. logistikos organizavimas (žmonių, daiktų, įrangos gabenimas ir jo organizavimas);

16.8. IS veiklos atkūrimo priežiūra ir koordinavimas;

16.9. kitos Valdymo grupei pavestos funkcijos.

17. IS veiklos atkūrimo grupės (toliau – Atkūrimo grupė) sudėtis:

17.1. Atkūrimo grupės vadovas ir jo pavaduotojas:

17.1.1. Inspekcijos kancleris, kuruojantis Inspekcijos Informacinių sistemų valdymo skyrių (Atkūrimo grupės vadovas);

17.1.2. Inspekcijos vyriausiasis patarėjas, kuruojantis Inspekcijos statybos ir teritorijų planavimo valstybinę priežiūrą (Atkūrimo grupės vadovo pavaduotojas);

17.2. IS saugos įgaliotinis;

17.3. Inspekcijos Informacinių sistemų valdymo skyriaus vedėjas;

17.4 už IS techninę įrangą materialiai atsakingas asmuo;

17.5. IS administratorius;

17.6 IS techninis administratorius.

18. Atkūrimo grupės funkcijos:

18.1. IS tarnybinių stočių veikimo atkūrimo organizavimas;

18.2. kompiuterių tinklo veikimo atkūrimo organizavimas;

18.3. IS duomenų atkūrimo organizavimas;

18.4. IS taikomųjų programų tinkamo veikimo atkūrimo organizavimas;

18.5. darbo kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas;

18.6. kitos Atkūrimo grupei pavestos funkcijos.

19. Įvykus elektroninės informacijos saugos (kibernetiniam) incidentui:

19.1. IS naudotojai, IS administratorius ar IS techninis administratorius privalo nedelsdami žodžiu ar raštu pranešti IS saugos įgaliotiniui apie elektroninės informacijos saugos (kibernetinį) incidentą. IS naudotojai neturi teisės imtis kitų su incidentu susijusių veiksmų;

19.2. IS saugos įgaliotinis, gavęs pranešimą apie elektroninės informacijos saugos (kibernetinį) incidentą, nedelsdamas turi imtis veiksmų, reikalingų elektroninės informacijos saugos (kibernetiniam) incidentui stabdyti. Įvykis aprašomas, nurodant elektroninės informacijos saugos (kibernetinio) incidento vietą, laiką, pobūdį ir kitą su įvykiu susijusią informaciją;

19.3. IS saugos įgaliotinis nustato prioritetus kibernetiniams incidentams valdyti, tirti ir šalinti bei apie juos informuoja Nacionalinį kibernetinio saugumo centrą Valdymo plano 3 priede nustatyta tvarka;

19.4. IS saugos įgaliotinis apie elektroninės informacijos saugos (kibernetinį) incidentą nedelsdamas informuoja IS valdytojos viršininką;

19.5. IS saugos įgaliotinis įrašo informaciją apie elektroninės informacijos saugos (kibernetinį) incidentą į Lietuvos erdvinės informacijos IS elektroninės informacijos saugos (kibernetinių) incidentų registravimo žurnalą (2 priedas), vadovauja Lietuvos erdvinės informacijos IS veiklos atkūrimo detaliajame plane nurodytiems veiksmams;

19.6. IS techninis administratorius užtikrina, kad būtų atkurtas IS techninės ir programinės įrangos veikimas, kompiuterių tinklo veikla, IS duomenys, IS techninės, sisteminės ir taikomosios programinės įrangos funkcionavimas ir nedelsdamas apie atliktus veiksmus informuoja IS saugos įgaliotinį;

19.7. IS saugos įgaliotinis kartu su IS techniniu administratoriumi organizuoja žalos IS duomenims, IS techninei, programinei įrangai vertinimą, koordinuoja IS veiklai atkurti reikalingos techninės, sisteminės ir taikomosios programinės įrangos įsigijimą;

19.8. elektroninės informacijos saugumo (kibernetiniam) incidentui išplitus už IS pagrindinio tvarkytojo įstaigos ribų, IS techninis administratorius nedelsdamas informuoja su elektroninės informacijos saugos (kibernetiniu) incidentu susijusius paslaugų teikėjus ir (ar) kitas institucijas, atsižvelgia į jų rekomendacijas.

20. Techninė, sisteminė ir taikomoji programinė įranga, reikalinga pakeisti elektroninės informacijos saugos (kibernetinio) incidento metu sunaikintą ar sugadintą įrangą, įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo, viešuosius pirkimus reglamentuojančių poįstatyminių teisės aktų (ar) ir IS valdytojo ar IS tvarkytojo patvirtintų dokumentų nustatyta tvarka.

21. Atsarginėms patalpoms, naudojamoms IS veiklai atkurti elektroninės informacijos saugos (kibernetinio) incidento atveju, keliami šie reikalavimai:

21.1. patekimas į atsargines patalpas turi būti registruojamas Patekimo į patalpas, kuriose yra tarnybinės stotys, žurnale;

21.2. atsarginės patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

21.3. atsarginės patalpos turi atitikti gaisrinės saugos reikalavimus ir jose turi būti pirminių gaisro gesinimo priemonių;

21.4. atsarginėse patalpose turi būti įrengtas rezervinis elektros energijos šaltinis IS techninei įrangai ir duomenų perdavimo tinklo mazgams, užtikrinantis nurodytos įrangos veikimą pagrindinio elektros energijos šaltinio neveikimo atveju ne trumpiau kaip 10 minučių;

21.5. ryšių kabeliai turi būti apsaugoti nuo nesankcionuoto prisijungimo;

21.6. patalpoje nuolat turi veikti oro temperatūros reguliavimo įranga (oro kondicionavimo sistema) bei palaikoma +22 (±5) ºC temperatūra.

22. Atsarginių patalpų, naudojamų IS veiklai atkurti kilus elektroninės informacijos (saugos) incidentui vieta – IS valdytojo buveinė.

23. Valdymo grupė ir Atkūrimo grupė tarpusavyje bendrauja el. paštu ir (ar) telefonu. Ne rečiau negu kartą per metus organizuojamas šių grupių susitikimas, kuriame aptariama esama situacija ir suderinami galimi jos gerinimo būdai.

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

24. Informacija apie IS techninę ir programinę įrangą ir jos parametrus nurodyta IS techninės ir programinės įrangos specifikacijoje.

25. Už IS techninės ir programinės įrangos priežiūrą yra atsakingas IS techninis administratorius.

26. IS administratorius parengia ir saugo:

26.1. dokumentą, kuriame nurodyti informacinių technologijų įrangos parametrai ir už šios įrangos priežiūrą atsakingas IS techninis administratorius, minimalus IS veiklai atkurti nesant IS techninio administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, reikiamos kompetencijos ar žinių lygis;

26.2. dokumentą, kuriame nurodyta minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos IS pagrindinio tvarkytojo poreikius atitinkančiai informacinės sistemos veiklai užtikrinti, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, specifikacija, kuri turi būti lygiavertė pagrindinei IS techninės ir programinės įrangos specifikacijai;

26.3. dokumentą, kuriame nurodytos kompiuterių tinklo fizinio ir loginio sujungimo schemos;

26.4. dokumentą, kuriame nurodytos duomenų teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigos;

26.5. dokumentą, kuriame nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis IS duomenų kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos.

27. Programinės įrangos laikmenos ir laikmenos su atsarginėmis IS duomenų kopijomis saugomos užrakintoje nedegioje spintoje, kitoje patalpoje, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. IS techninis administratorius kartą per savaitę atsargines IS duomenų kopijas perkelia į saugojimo vietą.

28. IS saugos įgaliotinis ir IS techninis administratorius parengia, patvirtina ir saugo Valdymo grupės ir Atkūrimo grupės narių sąrašą su kontaktiniais duomenimis, leidžiančiais pasiekti šiuos asmenis bet kuriuo metu. Valdymo grupės ir Atkūrimo grupės narių sąrašas turi būti atnaujinamas, pasikeitus jame nurodytai informacijai.

29. IS saugos įgaliotinis ne rečiau kaip kartą per mėnesį:

29.1. atlieka užfiksuotų kibernetinių incidentų analizę ir esant reikalui organizuoja pastebėtų neatitikčių saugumo reikalavimams šalinimą;

29.2. atlieka kibernetinių incidentų valdymo patirties vertinimą;

29.3. atlieka užkardų (angl. firewall) užfiksuotų įvykių analizę, organizuoja pastebėtų neatitikčių saugumo reikalavimams šalinimą;

29.4. įvertina kibernetiniam saugumui užtikrinti naudojamų priemonių programinius atnaujinimus, klaidų taisymus ir organizuoja atnaujinimų diegimą.

IV SKYRIUS

Valdymo PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

30. Valdymo plano veiksmingumas turi būti išbandomas kartą per dvejus metus. Valdymo plano veiksmingumo išbandymo metu imituojamas elektroninės informacijos saugos (kibernetinio) incidentas. Jo metu už elektroninės informacijos saugos (kibernetinio) incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus. Iš atsarginių IS duomenų kopijų atkuriami IS duomenys.

31. Kibernetinių incidentų imitavimo pratybos turi būti organizuojamos ne rečiau kaip kartą per metus. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, tobulinamas Valdymo planas.

32. Pagal bandymų rezultatus IS saugos įgaliotinis, IS techninis administratorius parengia IS įvertinimo ataskaitą (toliau – Ataskaita), kurioje yra apibendrinami atliktų bandymų rezultatai, apibrėžiami pastebėti trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina IS valdytojos viršininkas.

33. IS saugos įgaliotinis nuolat kontroliuoja Ataskaitoje nurodytų trūkumų šalinimo priemonių įgyvendinimą.

34. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami laikantis šių principų:

34.1. operatyvumo – kiek galima greičiau išspręsti ir pašalinti trūkumus. Atliekant trūkumų šalinimo veiklą, turi būti atsižvelgiama į trūkumų sudėtingumą ir apimtį. IS saugos įgaliotinis kartu su IS techniniu administratoriumi nusprendžia ir nustato, per kiek laiko turi būti atliktas konkretus trūkumų šalinimo veiksmas ir pašalinti trūkumai;

34.2. veiksmingumo – trūkumų šalinimas turi padaryti esminę įtaką IS veiklai. Trūkumų šalinimas laikomas veiksmingu, jei jo metu pavyko sumažinti konkretaus trūkumo neigiamą poveikį;

34.3. ekonomiškumo – siekis pašalinti visus trūkumus taupiai naudojant turimus išteklius.

__________________________

Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų veiklos tęstinumo valdymo plano

1 priedas

VALSTYBINĖS TERITORIJŲ PLANAVIMO IR STATYBOS INSPEKCIJOS PRIE APLINKOS MINISTERIJOS VALDOMŲ VALSTYBĖS IR KITŲ INFORMACINIŲ SISTEMŲ VEIKLOS ATKŪRIMO DETALUSIS PLANAS

Pavojaus rūšys	Pirmaeiliai veiksmai	Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų veiklos atkūrimo veiksmai	Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų veiklos atkūrimą atsakingi asmenys
1. Oro sąlygos (smarkus lietus, labai smarki audra, viesulas, škvalas, kruša, žemės drebėjimas, smarkus speigas)	1.1. Elektroninės informacijos saugos incidento pasekmių įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	1.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	IS saugos įgaliotinis, IS techninis administratorius Aplinkos ministerijos informacinių sistemų (toliau – AM) saugos įgaliotinis
		1.1.2. Pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas	IS saugos įgaliotinis, IS techninis administratorius, AM saugos įgaliotinis
		1.1.3. Priemonių plano įgyvendinimas	IS saugos įgaliotinis, IS techninis administratorius, AM saugos įgaliotinis
	1.2. Darbuotojų elektroninės informacijos saugos incidento pasekmėms likviduoti paskyrimas	1.2.1. Žalą likviduojančių darbuotojų instruktavimas	Valdymo grupė, AM saugos įgaliotinis
		1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas	Valdymo grupė, AM saugos įgaliotinis
	1.3. Pavojaus vietų ženklinimas	1.5.1. Darbuotojų informavimas 1.5.2. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis, AM saugos įgaliotinis
	1.3. Pavojaus vietų ženklinimas		IS saugos įgaliotinis, AM saugos įgaliotinis
2. Gaisras	2.1. Priešgaisrinės gelbėjimo tarnybos informavimas	2.1.1. Įvykio vietos lokalizavimas, jei gauta rekomendacija	IS saugos įgaliotinis, AM saugos įgaliotinis
	2.1. Priešgaisrinės gelbėjimo tarnybos informavimas	2.1.2. Galimybių evakuoti darbuotojus paieška, jei yra rekomenduojama tai padaryti	IS saugos įgaliotinis, AM saugos įgaliotinis
	2.2. Darbuotojų evakavimas (pagal priešgaisrinės gelbėjimo tarnybos rekomendaciją)	2.2.1. Darbuotojų informavimas apie evakavimą, jei yra rekomendacija	IS saugos įgaliotinis, AM saugos įgaliotinis
	2.3. Komunikacijų, sukeliančių pavojų, išjungimas, gaisro gesinimas ankstyvoje stadijoje, jei yra rekomendacija dirbti pavojaus zonoje	2.3.1. Priešgaisrinės gelbėjimo tarnybos nurodymų vykdymas	IS saugos įgaliotinis, AM saugos įgaliotinis
3. Patalpų užgrobimas	3.1. Teisėsaugos institucijų informavimas	3.1.1. Įvykio vietos lokalizavimas, jei yra teisėsaugos institucijos rekomendacijos	IS saugos įgaliotinis, AM saugos įgaliotinis
	3.1. Teisėsaugos institucijų informavimas	3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei gauta rekomendacija	IS saugos įgaliotinis, AM saugos įgaliotinis
	3.2. Darbuotojų evakavimas, jei yra teisėsaugos institucijos rekomendacija	3.2.1. Darbuotojų informavimas apie evakavimą	IS saugos įgaliotinis, AM saugos įgaliotinis
	3.3. Patalpų užrakinimas, jei yra galimybė	3.3.1. Teisėsaugos institucijos nurodymų vykdymas	IS saugos įgaliotinis, AM saugos įgaliotinis
	3.4. Teisėsaugos institucijos nurodymų vykdymas	3.4.1. Darbuotojų informavimas apie nurodymų vykdymą	IS saugos įgaliotinis, AM saugos įgaliotinis
	3.5. Veiksmai išlaisvinus užgrobtas patalpas	3.5.1. Padarytos žalos įvertinimas	Valdymo grupė, AM saugos įgaliotinis
		3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas	Veiklos atkūrimo grupė
		3.5.3. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis, AM saugos įgaliotinis
4. Patalpai padaryta žala arba patalpos praradimas	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.1. Suinteresuotos tarnybos rekomendacijų dėl galimybės dirbti pavojaus zonoje gavimas	IS saugos įgaliotinis
	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.2. Darbuotojų informavimas apie rekomendacijas	IS saugos įgaliotinis
	4.2. IS įrangos perkėlimas į atsargines patalpas	4.2.1. Darbuotojų informavimas apie darbą patalpose	IS saugos įgaliotinis
5. Energijos tiekimo sutrikimai	5.1. Energijos tiekimo sutrikimo priežasčių nustatymas, tarnybinių stočių, kitos techninės įrangos energijos maitinimo išjungimas	5.1.1. Sutrikimų šalinimo organizavimas	Veiklos atkūrimo grupė
	5.2. Kreipimasis į energijos tiekimo įmonę dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių	5.2.1. Rekomendacijų iš energijos tiekimo įmonės gavimas	Valdymo grupė, veiklos atkūrimo grupė
	5.3. Sutrikimų pašalinimas	5.3.1. Pavojaus sustabdymas, padarytos žalos likvidavimo priemonių plano sudarymas ir įgyvendinimas	IS techninis administratorius, IS saugos įgaliotinis, AM saugos įgaliotinis
		5.3.2. Padarytos žalos įvertinimas	Valdymo grupė
		5.3.3. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis, AM saugos įgaliotinis
6. Vandentiekio ir šildymo sistemos sutrikimai	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.1. Vandentiekio ar šildymo paslaugų teikėjų paklausimas dėl leidimo dirbti ir rekomendacijų gavimas	IS saugos įgaliotinis, AM saugos įgaliotinis
	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.2. Darbuotojų informavimas apie rekomendacijas	IS saugos įgaliotinis, AM saugos įgaliotinis
	6.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas	6.2.1. Padarytos žalos įvertinimas, sutrikimo sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas	Valdymo grupė, veiklos atkūrimo grupė
		6.2.2. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis, AM saugos įgaliotinis
7. Ryšio sutrikimai	7.1. Ryšio sutrikimo priežasčių nustatymas	7.1.1. Kreiptis į ryšio paslaugos teikėją	IS techninis administratorius, IS saugos įgaliotinis, AM IS saugos įgaliotinis
	7.2. Ryšio paslaugų teikėjo informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės	7.2.1. Nustatyti ir įgyvendinti priemones, apsaugančias nuo ryšio sutrikimų pasikartojimo	IS saugos įgaliotinis, AM saugos įgaliotinis
	7.3. Sutrikimo pašalinimas	7.3.1. Kreiptis į kitą ryšio paslaugos teikėją, jei sutrikimas nepašalintas	IS saugos įgaliotinis, AM saugos įgaliotinis
8. Tarnybinės stoties, komutacinės įrangos sugadinimas, praradimas	8.1. Pranešti teisėsaugos institucijai, draudimo bendrovei apie įvykį	8.1. Darbuotojų elektroninės informacijos saugos incidento pasekmėms likviduoti paskyrimas, instruktavimas, jų veiksmų nustatymas	IS saugos įgaliotinis
	8.2. Elektroninės informacijos saugos incidento pasekmių šalinimas	8.2.1. Kreiptis į įrangos tiekėjus dėl įrangos remonto ar naujos įrangos įsigijimo	IS administratorius
		8.2.2. Įsigytos įrangos diegimas	IS techninis administratorius, IS saugos įgaliotinis AM saugos įgaliotinis
9. Programinės įrangos sugadinimas, praradimas	9.1. Elektroninės informacijos saugos (kibernetinių) incidento pasekmių įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	9.1.1. Elektroninės informacijos saugos (kibernetinio) incidento metu padarytos žalos įvertinimas	Veiklos grupė, veiklos atkūrimo grupė
		9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas	Veiklos grupė, veiklos atkūrimo grupė
	9.2. Darbuotojų elektroninės informacijos saugos (kibernetinio) incidento pasekmėms likviduoti paskyrimas, žalą likviduojančių darbuotojų instruktavimas, jų veiksmų koordinavimas	9.2.1. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis
2.		9.2.2. Kreipimasis į teisėsaugos institucijas dėl programinės įrangos sugadinimo ar praradimo ir jų nurodymų vykdymas	IS techninis administratorius, IS saugos įgaliotinis
10. Duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas	10.1. Elektroninės informacijos saugos (kibernetinio) incidento pasekmių įvertinimas	10.1.1. Prarastų, iškraipytų ar sunaikintų IS duomenų atkūrimas	Veiklos grupė
		10.1.2. Prarastų, iškraipytų ar sunaikintų IS duomenų atkūrimo kontrolė	Veiklos grupė
11. Darbuotojų praradimas	11.1. Elektroninės informacijos saugos incidento pasekmių įvertinimas	11.1.1. Trūkstamų darbuotojų paieška ir priėmimas į darbą	Informacinių sistemų valdymo skyriaus vedėjas, Inspekcijos kancleris, kuruojantis Informacinių sistemų valdymo skyrių

__________________________

Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų veiklos tęstinumo valdymo plano

2 priedas

(Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų elektroninės informacijos saugos (kibernetinių) incidentų registravimo žurnalo forma)

VALSTYBINĖS TERITORIJŲ PLANAVIMO IR STATYBOS INSPEKCIJOS PRIE APLINKOS MINISTERIJOS VALDOMŲ VALSTYBĖS IR KITŲ INFORMACINIŲ SISTEMŲ ELEKTRONINĖS INFORMACIJOS SAUGOS (kibernetinių) INCIDENTŲ REGISTRAVIMO ŽURNALAS

Pildymo pradžia 20___m.___________________d.

Eil. Nr.	Elektroninės informacijos saugos incidentas
Eil. Nr.	Įstaigos pavadinimas	Pavojaus rūšies numeris	Įvykio aprašymas	Pradžia (metai, mėnuo, diena, valanda)	Pabaiga (metai, mėnuo, diena, valanda)	Incidentą pašalino (vardas, pavardė ir pareigos)	Lietuvos erdvinės informacijos IS saugos įgaliotinis (vardas, pavardė, parašas)
1.
2.
3.
4.
5.

Elektroninės informacijos saugos incidento pavojaus rūšis:

1 - oro sąlygos; 2 - gaisras; 3 - patalpų užgrobimas; 4 - patalpai padaryta žala arba patalpos praradimas; 5 - energijos tiekimo sutrikimai; 6 - vandentiekio ir šildymo sistemos sutrikimai; 7 - ryšio sutrikimai; 8 - tarnybinės stoties, komutacinės įrangos sugadinimas, praradimas; 9 - programinės įrangos sugadinimas, praradimas; 10 - duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas; 11 - darbuotojų praradimas.

Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų veiklos tęstinumo valdymo plano

3 priedas

KIBERNETINIŲ INCIDENTŲ VALDYMO IR NACIONALINIO KIBERNETINIO SAUGUMO CENTRO INFORMAVIMO TVARKOS APRAŠAS

1. Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo tvarkos aprašas reglamentuoja kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo apie Portale įvykusius kibernetinius incidentus tvarką.

2. Nacionalinis kibernetinio saugumo centras (toliau – Centras) informuojamas apie IS įvykusius:

2.1. didelio poveikio kibernetinius incidentus – nedelsiant, bet ne vėliau kaip per 1 valandą nuo jų nustatymo;

2.2. vidutinio poveikio kibernetinius incidentus – ne vėliau kaip per 4 valandas nuo jų nustatymo;

2.3. nereikšmingo poveikio kibernetinius incidentus – periodiškai kiekvieno kalendorinio mėnesio pirmą darbo dieną.

3. Centras informuojamas apie didelio ar vidutinio poveikio kibernetinius incidentus kibernetinio saugumo subjekto pranešimu, kuriame nurodoma:

3.1. kibernetinio incidento grupė (grupės) ir poveikio kategorija, nustatyta pagal Nacionalinio kibernetinio kibernetinių incidentų Valdymo plano 4 priede pateiktus kriterijus;

3.2. trumpas kibernetinio incidento apibūdinimas;

3.3. tikslus laikas, kada kibernetinis incidentas įvyko ir buvo nustatytas;

3.4. kibernetinio incidento šalinimo tvarka (nurodoma ar tai prioritetas, ar ne);

3.5. tikslus laikas, kada bus teikiama kibernetinio incidento tyrimo ataskaita.

4. Informuojant apie nereikšmingą kibernetinį incidentą pateikiama informacija apie kiekvienos grupės incidentų, įvykusių nuo paskutinio pranešimo pateikimo dienos, skaičių.

5. Centrui pateikiama incidento tyrimo ataskaita:

5.1. didelės reikšmės kibernetinio incidento valdymo būklę – ne vėliau kaip per 4 valandas nuo jo nustatymo ir ne rečiau kaip kas keturias valandas atnaujintą informaciją, iki kibernetinis incidentas suvaldomas ar pasibaigia;

5.2. vidutinės reikšmės kibernetinio incidento valdymo būklę – ne vėliau kaip per 24 valandas nuo jo nustatymo ir ne rečiau kaip kas dvidešimt keturias valandas atnaujintą informaciją, iki kibernetinis incidentas suvaldomas ar pasibaigia;

5.3. didelio ar vidutinio poveikio kibernetinių incidentų suvaldymą ar pasibaigimą – ne vėliau kaip per 4 valandas nuo jų suvaldymo ar pasibaigimo.

6. Didelės ir vidutinės reikšmės kibernetinio incidento incidento tyrimo ataskaitoje nurodoma žinoma informacija:

6.1. kibernetinio incidento grupė (grupės) ir poveikio kategorija;

6.2. IS komponento, kuriame nustatytas kibernetinis incidentas, tipas (informacinė sistema, posistemė, elektroninių ryšių tinklas, tarnybinė stotis ir panašiai);

6.3. kibernetinio incidento veikimo trukmė;

6.4. kibernetinio incidento šaltinis;

6.5. kibernetinio incidento požymiai;

6.6. kibernetinio incidento veikimo metodas;

6.7. galimos kibernetinio incidento pasekmės;

6.8. kibernetinio incidento poveikio pasireiškimo (galimo išplitimo) mastas;

6.9. kibernetinio incidento būsena (aktyvus, pasyvus);

6.10. priemonės, kuriomis kibernetinis incidentas nustatytas;

6.11. galimos kibernetinio incidento valdymo priemonės;

6.12. tikslus laikas, kada bus teikiama pakartotinė kibernetinio incidento tyrimo ataskaita.

7. Apie didelės ir vidutinės reikšmės kibernetinio incidento sustabdymą ir pašalinimą Centrui pranešama ne vėliau kaip per 8 valandas nuo kibernetinio incidento sustabdymo ir pašalinimo.

8. Apie kibernetinius incidentus Centras informuojamas naudojantis Kibernetinio saugumo informaciniu tinklu, o nesant galimybės – Centro nurodytais kontaktais (tel. +370 706 82 250, el. p. cert@nksc.lt).

9. Kriterijai, kuriais vadovaujantis kibernetiniai incidentai priskiriami konkrečiai kategorijai, nustatyti Valdymo plano 4 priede.

__________________________

Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų veiklos tęstinumo valdymo plano

4 priedas

KIBERNETINIŲ INCIDENTŲ KATEGORIJŲ SĄRAŠAS

Eil. Nr.	Kibernetinis incidentas
Eil. Nr.	Grupė	Apibūdinimas	Kategorija
1.	Kenkimo programinė įranga (angl. Malicious Software)	Kenkimo programinė įranga, kai darbo ar tarnybinės stotys aktyviai kontroliuojamos įsibrovėlių (pavyzdžiui, užpakalinės durys (angl. back door). Modernios kenkimo programinės įrangos (angl. advanced persistent threat, APT) aptikimas Portale. Kenkimo programinė įranga, trikdanti IS kibernetinio saugumo priemonių darbą.	D¹
		Kenkimo programinė įranga, kurios neaptinka IS darbo stotyje veikianti antivirusinė programinė įranga. Portale veikianti kenkimo programinė įranga, kurią aptinka antivirusinė programinė įranga per reguliarų patikrinimą.	V²
		IS laikmenose ar darbo ir tarnybinėse stotyse veikianti kenkimo programinė įranga, kurią iš karto aptinka antivirusinė programinė įranga. Socialinės inžinerijos metodų naudojimas (manipuliavimas informacinės sistemos naudotojų emocijomis ir psichologija, pastabumo stoka, technologijų neišmanymu), kai bandoma įtikinti IS naudotoją atlikti grėsmę informacinei sistemai keliančius veiksmus, tačiau IS naudotojas atpažįsta grėsmę ir neatlieka kenkimo programinę įrangą aktyvinančių veiksmų.	N³
2.	Įsilaužimas	Vykdoma vidinė IS žvalgyba ar kita įtartina veikla (prievadų skenavimas, slaptažodžių parinkimas, kita), aptikta Portale (neskaitant kenkimo programinės įrangos), sukėlusi IS veiklos sutrikimus. Piktybiniai veiksmai prieš IS kibernetinio saugumo priemones.	D
2.	Įsilaužimas	Vykdoma vidinė IS žvalgyba ar kita įtartina veikla (prievadų skenavimas, slaptažodžių parinkimas, kita), aptikta IS infrastruktūroje.	V
3.	IS perimetro žvalgyba	Vykdoma aktyvi (slaptažodžių parinkimas, bandymai išnaudoti pažeidžiamumus, kita) IS perimetro žvalgyba ar įtartina veikla (neskaitant kenksmingos programinės įrangos), mėginama paveikti IS kibernetinio saugumo priemones.	V
3.	IS perimetro žvalgyba	Vykdoma IS perimetro priemonių žvalgyba (nebandant įsilaužti).	N
4.	IS trikdymas	Veiksmas, ilgiau nei 4 valandoms sutrikdęs IS veiklą.	D
4.	IS trikdymas	Veiksmas, kuriuo trikdoma (angl. Denial of Service, DoS) IS veikla.	V
5.	Neteisėta veika	Vagystė, apgavystė ir panašūs kriminalinio pobūdžio kibernetiniai incidentai.	V
6.	Vientisumo pažeidimas	IS ar jo dalies pažeidimas, sutrikdantis IS teikiamų paslaugų nepertraukiamą teikimą, galintis turėti įtakos tvarkomų duomenų ir teikiamų paslaugų patikimumui, iškreipti turinį ir mažinti IS paslaugų gavėjų pasitikėjimą jais.	V

¹Didelės reikšmės kibernetinis incidentas.

² Vidutinės reikšmės kibernetinis incidentas.

³ Nereikšmingas kibernetinis incidentas.

__________________________

PATVIRTINTA

Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko 2019 m. lapkričio 28 d. įsakymu Nr. 1V-197

VALSTYBINĖS TERITORIJŲ PLANAVIMO IR STATYBOS INSPEKCIJOS PRIE APLINKOS MINISTERIJOS VALDOMŲ VALSTYBĖS IR KITŲ INFORMACINIŲ SISTEMŲ NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) nustato Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų naudotojų, administratorių įgaliojimus, teises ir pareigas bei saugaus duomenų ir informacijos teikimo IS paslaugų gavėjams kontrolės tvarką.

2. Administravimo taisyklės taikomos tvarkant informacines sistemas, nurodytas Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių priede.

3. Administravimo taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 5 d. nutarimu Nr. 1209 „Dėl Lietuvos Respublikos vyriausybės 2018 m. rugpjūčio 13 d. nutarimo Nr. 818 „Dėl Nacionalinės kibernetinio saugumo strategijos patvirtinimo“ pakeitimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Lietuvos erdvinės informacijos IS nuostatais (toliau – IS nuostatai) ir Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų duomenų saugos nuostatais (toliau – IS saugos nuostatai), patvirtintais Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko 2019 m. birželio 27 d. įsakymu Nr. 1V-96 „Dėl kai kurių Valstybinės teritorijų planavimo ir statybos inspekcijos prie aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų saugos nuostatų patvirtinimo ir saugos įgaliotinio paskyrimo“.

4. Administravimo taisyklėse vartojamos sąvokos:

4.1. IS – Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdoma informacinė sistema.

4.2. IS valdytoja – Valstybinė teritorijų planavimo ir statybos inspekcija prie aplinkos ministerijos.

4.3. IS pagrindinis tvarkytojas – Valstybinė teritorijų planavimo ir statybos inspekcija prie Aplinkos ministerijos.

4.4. IS tvarkytojas – IS nuostatuose aprašyti duomenų tvarkytojai.

4.5. IS naudotojas – fizinis asmuo informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis IS elektroninę informaciją.

4.6. IS administratorius - IS valdytojo viršininko įsakymu paskirtas asmuo, prižiūrintis IS, užtikrinantis jos veikimą ir IS elektroninės informacijos saugą.

4.8. IS saugos įgaliotinis – IS tvarkytojo vadovo įsakymu paskirtas asmuo, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis saugos politikos įgyvendinimą.

4.9. IS paslaugų gavėjas – fiziniai asmenys ir juridinių asmenų atstovai, naudojantys IS duomenis per IS elektronines paslaugas.

4.10. Kitos Administravimo taisyklėse vartojamos sąvokos atitinka Administravimo taisyklių 3 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

5. Administravimo taisyklės taikomos visiems IS naudotojams, IS administratoriui, IS saugos įgaliotiniui, kurių prieigos prie IS duomenų teisės paremtos IS duomenų saugumo, stabilumo, operatyvumo principais.

6. IS naudotojams prieiga prie IS duomenų suteikiama vadovaujantis šiais principais:

6.1. IS naudotojams prieiga turi būti suteikiama tik prie tų IS duomenų ir tik tokia apimtimi, kuri reikalinga IS naudotojo pareigybės aprašyme nurodytoms funkcijoms atlikti;

6.2. IS duomenis gali keisti (sukurti, papildyti ar panaikinti) tik tokią teisę turintys IS naudotojai;

6.3. prieiga prie IS duomenų ir teisė ją keisti suteikiama tik atlikus IS naudotojo atpažinimą.

II SKYRIUS

IS NAUDOTOJŲ ir IS administratoriAUS

įgaliojimai, TEISĖS IR PAREIGOS

7. IS naudotojai turi teisę:

7.1. naudotis tik tomis IS funkcijomis bei IS duomenimis, prie kurių prieigą jiems suteikė IS administratorius;

7.2. gauti informaciją apie jų naudojamų IS duomenų apsaugos lygį bei taikomas apsaugos priemones, teikti siūlymus dėl papildomų apsaugos priemonių;

7.3. kreiptis į IS administratorių ar IS saugos įgaliotinį dėl neveikiančio ar netinkamai veikiančio IS;

7.4. IS naudotojai turi teisę atlikti kitus veiksmus, numatytus IS saugos politikos įgyvendinamuosiuose teisės aktuose.

8. IS naudotojai privalo:

8.1. naudoti IS duomenis tik tarnybinėms arba darbo funkcijoms atlikti;

8.2. nedelsiant pranešti IS administratoriui apie IS saugos politiką įgyvendinamųjų teisės aktų pažeidimus, veiksmus, turinčius nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų ir informacijos saugos užtikrinimo priemones;

8.3. užtikrinti jų naudojamų IS duomenų konfidencialumą bei vientisumą, savo veiksmais netrikdyti IS duomenų prieinamumo;

8.4. baigus darbą ar pasitraukiant iš darbo vietos, imtis priemonių, kad su IS duomenimis negalėtų susipažinti pašaliniai asmenys: atsijungti nuo IS, įjungti ekrano užsklandą su slaptažodžiu, dokumentus ar jų kopijas darbo vietoje padėti į pašaliniams asmenims neprieinamą vietą;

8.5. raštu susipažinti ir laikytis IS saugos nuostatų, IS saugaus elektroninės informacijos tvarkymo taisyklių, IS veiklos tęstinumo valdymo plano ir šių Administravimo taisyklių reikalavimų;

8.6. pranešti IS administratoriui apie slaptažodžio užblokavimą ar užmiršimą;

8.7. IS naudotojai privalo vykdyti kitas pareigas, nustatytas IS saugos politikos įgyvendinamuosiuose teisės aktuose.

9. IS naudotojui draudžiama:

9.1. leisti prisijungti prie IS ne IS naudotojui ar kitais nei Administravimo taisyklėse nurodytais būdais;

9.2. be priežiūros palikti kompiuterį neužrakintu ekranu;

9.3. platinti IS esančią informaciją, išskyrus viešą turinio informaciją.

10. IS administratorius turi teisę:

10.1. matyti visų IS naudotojų atpažinties ir suteiktų teisių duomenis;

10.2. matyti IS naudotojų su IS duomenimis atliktus veiksmus;

10.3. atlikti užklausas IS pagal pasirinktus paieškos kriterijus.

11. IS techninis administratorius turi teisę:

11.1. fiziškai prieiti prie techninės ir sisteminės programinės įrangos;

11.2. vykdyti IS techninės priežiūros funkcijas.

12. IS administratorius privalo:

12.1. registruoti naujus IS naudotojus;

12.2. tvarkyti esamų IS naudotojų duomenis;

12.3. periodiškai tikrinti, ar nėra nepatvirtintų IS administratoriaus paskyrų;

12.4. tikrinti, ar nėra nepatvirtintų IS naudotojų paskyrų; apie nepatvirtintas IS naudotojų paskyras pranešti IS saugos įgaliotiniui;

12.5. konsultuoti IS naudotojus dėl IS veikimo ir kitais su IS susijusiais klausimais.

13. IS techninis administratorius privalo:

13.1. pagal kompetenciją užtikrinti nepertraukiamą IS techninės ir sisteminės programinės įrangos veikimą;

13.2. dalyvauti atliekant IS rizikos veiksnių įvertinimą, rengiant IS rizikos veiksnių įvertinimo ataskaitą ir rizikos veiksnių įvertinimo ir rizikos veiksnių valdymo priemonių planą;

13.3. atlikti IS taikomų saugumo reikalavimų atitikties vertinimą.

14. IS administratoriui draudžiama suteikti ne IS naudotojams prieigos teises prie IS duomenų, išskyrus viešąją turinio informaciją.

15. IS administratoriaus, IS techninio administratoriaus, IS saugos įgaliotinio funkcijos reglamentuotos IS saugos nuostatuose ir kituose IS saugos politiką įgyvendinamuosiuose teisės aktuose.

III SKYRIUS

SAUGAUS elektroninės informacijos TEIKIMO IS NAUDOTOJAMS KONTROLĖS TVARKA

16. IS administratorius yra atsakingas už IS naudotojų registravimą, išregistravimą, prieigos prie IS teisių suteikimą ir panaikinimą.

17. IS naudotojams suteikiamas unikalus prisijungimo prie IS vardas ir atsitiktinu būdu sugeneruotas slaptažodis su galimybe jį pasikeisti. Prieigas prie IS tarnybinių stočių IS naudotojams suteikia IS administratorius.

18. IS paslaugų gavėjams informacija teikiama IS nuostatuose nustatyta tvarka.

19. Slaptažodžiai negali būti saugomi ar perduodami atviru tekstu. Saugos įgaliotinio sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo ir tik tuo atveju, nėra techninių galimybių IS naudotojui perduoti slaptažodžio šifruotu kanalu ar saugiu elektroninių ryšių tinklu.

20. IS dalys, patvirtinančios IS naudotojo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius.

21. IS naudotojai prisijungti prie IS tarnybinių stočių gali tik su IS administratoriaus suteiktais unikaliais vardais ir slaptažodžiais.

22. IS naudotojų prisijungimo prie IS vardai ir slaptažodžiai saugomi atitinkamos IS duomenų bazėje.

23. Prieigą prie duomenų bazės turi tik IS administratorius. Duomenys duomenų bazėje yra šifruojami.

24. Slaptažodį IS naudotojai, prisijungę prie IS, turi teisę pasikeisti savarankiškai.

25. IS naudotojo slaptažodžiui yra keliami šie reikalavimai:

25.1. slaptažodis turi būti iš ne trumpesnės kaip 12 simbolių kombinacijos, sudarytos iš didžiųjų ir mažųjų raidžių, skaitmenų ir specialiųjų simbolių;

25.2. slaptažodžiams neturi būti naudojama asmeninio pobūdžio informacija;

25.3. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

25.4. keičiant slaptažodį neleidžiama pasirinkti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;

25.5. IS naudotojas, pirmą kartą gavęs IS administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie IS ir nedelsdamas slaptažodį pakeisti;

25.6. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius – 5 kartai. IS naudotojui 5 kartus neteisingai įvedus slaptažodį, IS sistema užsirakina ir IS naudotojui 15 minučių neleidžiama prisijungti;

25.7. IS naudotojas privalo saugoti slaptažodį ir jo neatskleisti;

25.8. IS naudotojas, įtaręs, kad kiti asmenys sužinojo slaptažodį, privalo nedelsdamas jį pakeisti.

26. IS administratoriaus ir IS techninio administratoriaus slaptažodis:

26.1. turi būti ne trumpesnis kaip 12 simbolių, sudarytas iš didžiųjų ir mažųjų raidžių, skaitmenų ir specialiųjų simbolių;

26.2. turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

26.3. keičiant neleidžiama pasirinkti slaptažodžio iš buvusių 6 paskutinių slaptažodžių.

27. IS administratorius, iš IS valdytojo ar IS tvarkytojo gavęs rašytinį prašymą apriboti IS naudotojo prieigos teises, nedelsdamas apriboja nurodyto IS naudotojo prieigą prie IS.

28. Laikotarpiu, kai IS naudotojas nevykdo IS funkcijų, teisė dirbti su atitinkama IS elektronine informacija jam yra sustabdoma.

29. Pasibaigus darbo santykiams, IS naudotojui panaikinama IS naudotojo paskyra.

30. Leistinas nuotolinio informacinės sistemos naudotojų prisijungimo prie informacinės sistemos būdas yra virtualaus kompiuterių tinklo (angl. Virtual Private Network) paslauga.

IV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

31. IS naudotojai, IS administratorius, IS techninis administratorius ir IS saugos įgaliotinis, pažeidę šių Administravimo taisyklių ir kitų saugos politiką įgyvendinamųjų teisės aktų nuostatas, atsako teisės aktų nustatyta tvarka.

________________________