valstybinės teritorijų planavimo ir statybos inspekcijos

prie aplinkos ministerijos viršininkas

ĮSAKYMAS

DĖL VALSTYBINĖS TERITORIJŲ PLANAVIMO IR STATYBOS INSPEKCIJOS PRIE APLINKOS MINISTERIJOS VALDOMOS DOKUMENTŲ IR PROCESŲ VALDYMO SISTEMOS „AVILYS“ IR RIZIKOS VALDYMO INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ, VEIKLOS TĘSTINUMO VALDYMO PLANO IR NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ PATVIRTINIMO

2025 m. sausio 20 d. Nr. 1V-3

Vilnius

Vadovaudamasis Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos nuostatų, patvirtintų Lietuvos Respublikos aplinkos ministro 2003 m. liepos 9 d. įsakymu Nr. 349 „Dėl Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos nuostatų patvirtinimo“, 19.1, 19.15 papunkčiais, Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos (toliau – Inspekcija) viršininko 2023 m. balandžio 19 d. įsakymo Nr. 1V-43 „Dėl Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ 3 punktu:

1. T v i r t i n u pridedamus:

1.1. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir proceso valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;

1.2. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir proceso valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos veiklos tęstinumo valdymo planą;

1.3. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir proceso valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos naudotojų administravimo taisykles.

2. P r i p a ž į s t u netekusiu galios Inspekcijos viršininko 2019 m. lapkričio 28 d. įsakymą Nr. 1V-197 „Dėl Kai kurių Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių, Veiklos tęstinumo valdymo plano ir Naudotojų administravimo taisyklių patvirtinimo“ su visais pakeitimais ir papildymais.

3. N u s t a t a u, kad šis įsakymas įsigalioja 2025 m. sausio 22 d.

Viršininkas Albertas Stanislovaitis

PATVIRTINTA

Valstybinės teritorijų planavimo ir statybos

inspekcijos prie Aplinkos ministerijos viršininko

2025 m. sausio 20 d. įsakymu Nr. 1V-3

Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės) reglamentuoja tvarką, užtikrinančią saugų Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos (toliau – IS) techninės, programinės įrangos funkcionavimą, saugų IS elektroninės informacijos tvarkymą ir jos teikimą duomenų gavėjams pagal teisės aktų nustatytus reikalavimus.

2. Tvarkymo taisyklės taikomos IS valdytojui, IS tvarkytojams, IS naudotojams, IS administratoriams, IS techniniams administratoriams ir IS saugos įgaliotiniams.

3. Tvarkymo taisyklės parengtos vadovaujantis:

3.1. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;

3.2. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas);

3.3. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas);

3.4. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos duomenų saugos nuostatais (toliau – IS saugos nuostatai), patvirtintais 2023 m. balandžio 19 d. įsakymu Nr. 1V-43 „Dėl Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“;

3.5. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos rizikos valdymo informacinės sistemos nuostatais, patvirtintais 2024 m. spalio 2 d. įsakymu Nr. 1V-112 „Dėl Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos rizikos valdymo informacinės sistemos nuostatų patvirtinimo“;

3.6. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos dokumentų valdymo informacinės sistemos „Avilys“ nuostatais, patvirtintais 2009 m. vasario 11 d. įsakymu Nr. 1V-52 „Dėl Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos dokumentų valdymo informacinės sistemos „Avilys“ nuostatų patvirtinimo“.

4. Tvarkymo taisyklėse vartojamos sąvokos atitinka IS nuostatuose ir Tvarkymo taisyklių 3 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

5. IS tvarkoma informacija yra skirstoma į šias kategorijas:

5.1. IS administratoriaus ir IS techninio administratoriaus tvarkoma informacija;

5.2. IS naudotojų tvarkoma informacija.

6. Elektroninės informacijos, priskirtos Tvarkymo taisyklių 5 punkte nurodytoms kategorijoms, sąrašas:

6.1. IS administratoriaus tvarkoma informacija:

6.1.1. IS naudotojų ir IS paslaugų gavėjų teisės;

6.1.2. IS techninės ir programinės įrangos parametrai;

6.1.3. kiti IS duomenys, nurodyti IS nuostatuose;

6.1.4. registruoti elektroninės paslaugos, programinės įrangos saugos incidentai;

6.1.5. IS naudotojų ir IS paslaugų gavėjų veiksmų registravimo duomenys;

6.1.6. rezervinės kopijos.

6.2. IS naudotojų tvarkoma informacija - IS duomenys, nurodyti IS nuostatuose.

7. Dokumentų ir procesų valdymo sistema „Avilys“ ir Rizikos valdymo informacinė sistema priskiriamos vidutinės svarbos valstybės informacinei išteklių rūšiai.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠymAS

8. Saugiam IS elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, programinės įrangos, duomenų perdavimo tinklai, fizinės, techninės ir organizacinės duomenų ir informacijos saugumo priemonės. IS naudojamų svetainių saugos priemonės:

8.1. svetainės turi atitikti Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo reikalavimus bei Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo nuostatas;

8.2. svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio IS tvarkytojo kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;

8.3. turi būti pakeistos numatytos prisijungimo prie svetainių TVS ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) ir slaptažodžiai;

8.4. turi būti užtikrinama, kad prie svetainių TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;

8.5. svetainių sauga turi būti vertinama IS rizikos vertinimo, atliekamo IS saugos nuostatų II skyriuje nustatyta tvarka, metu.

9. Kompiuterinės įrangos saugos priemonės:

9.1. prieigos prie IS tarnybinių stočių (serverių) kontrolė užtikrinama suteikiant prieigos prie IS tarnybinių stočių teises tik IS techniniam administratoriui, IS administratoriui ir IS saugos įgaliotiniui;

9.2. kompiuterinės įrangos sujungimas klasteriniu režimu (angl. computer cluster), t. y. kompiuterinės įrangos dubliavimas ir šios kompiuterinės įrangos techninės būklės nuolatinė stebėsena;

9.3. IS naudotojų naudojamos techninės kompiuterinės įrangos priežiūra ir tvarkymas, kurį atlieka IS tvarkytojai;

9.4. kompiuterinės įrangos gedimų registravimas kompiuterinės įrangos gedimų žurnale.

10. IS sisteminės ir taikomosios programinės įrangos (toliau – IS programinė įranga) saugos priemonės:

10.1. naudojama legali IS programinė įranga;

10.2. IS programinę įrangą diegia tik asmenys, turintys teisę atlikti programinės įrangos diegimą;

10.3. IS programinė įranga prižiūrima laikantis gamintojo rekomendacijų;

10.4. IS naudojamos autorizuotos programinės įrangos sąrašo rengimas ir reguliarus atnaujinimas, už kurį atsakingas IS saugos įgaliotinis. Sąrašas privalo būti suderintas su IS valdytoju;

10.5. neautorizuotos programinės įrangos įdiegimo į IS naudotojų kompiuterius ribojimas bei nuolatinis naudojamos IS programinės įrangos stebėsenos vykdymas IS tvarkytojo prižiūrimose darbo vietose;

10.6. IS tvarkytojo prižiūrimose kompiuterinėse IS naudotojų darbo vietose naudojama pažeidžiamumų nustatymo programinė įranga ir centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, kurios yra automatiniu būdu atnaujinamos ne rečiau kaip kartą per 10 dienų;

10.7. ne rečiau kaip kartą per mėnesį įvertinami kibernetiniam saugumui užtikrinti naudojamų priemonių programiniai atnaujinimai, klaidų taisymai ir šie atnaujinimai diegiami;

10.8. prisijungimo duomenis, suteikiančius teisę administruoti IS tarnybines stotis, žino tik IS techninis administratorius;

10.9. prieigos teisė dirbti su IS programine įranga suteikiama IS naudotojams informacinių sistemų naudotojų administravimo taisyklėse (toliau – IS naudotojų administravimo taisyklės) nustatyta tvarka;

10.10. IS tvarkytojui pavaldiems IS naudotojams jų naudojamų kompiuterių operacinėse sistemose suteikiamos minimalios, tik tiesioginėms pareigoms vykdyti būtinos teisės;

10.11. IS naudotojų tapatybei, IS naudotojų veiksmams, atliekamiems IS, nustatyti taikomos programinės priemonės;

10.12. IS naudotojui 15 minučių neatliekant jokių veiksmų IS, jo sesija pasibaigia; toliau naudotis IS naudotojas gali tik pakartotinai prisijungęs;

10.13. IS techninio administratoriaus taikomos perspėjimo, kad IS tarnybinių stočių įrangoje iki nustatytos pavojingos ribos mažėja laisvos operatyvios atminties ar vietos standžiajame diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja, programinės priemonės.

11. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

11.1. IS naudotojai ir IS paslaugų gavėjai internetu jungiasi prie užkarda (angl. firewall) apsaugotų tarnybinių stočių, kuriose yra IS sistemos, naudodami unikalius atpažinties prisijungimo duomenis;

11.2. IS duomenų perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų užkarda. Užkardos įvykių žurnalai (angl. Logs) turi būti reguliariai analizuojami, o užkardos saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos;

11.3. viešaisiais ryšių tinklais perduodamos elektroninės informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą;

11.4. nuotolinis prisijungimas prie IS turi būti vykdomas taikant protokolą, skirtą duomenims šifruoti ir (arba) virtualųjį privatųjį tinklą (angl. virtual private network);

11.5. IS duomenų perdavimo tinkle turi būti įdiegtos ir veikti automatinės įsilaužimo (įsibrovimo) aptikimo ir prevencijos priemonės:

11.5.1. turi būti įdiegtos ir veikti automatizuotos įsibrovimo aptikimo sistemos, kurios stebėtų IS įeinantį ir išeinantį duomenų srautą ir vidinį srautą tarp svarbiausių tinklo paslaugų;

11.5.2. įvykus įtartinai veiklai, ji turi būti užfiksuojama audito įrašuose ir automatizuotai kuriamas pranešimas (esant techninėms galimybėms) IS techniniam administratoriui;

11.5.3. sukurtas pranešimas turi būti klasifikuojamas pagal užfiksuotą įvykį;

11.5.4. įsilaužimo atakų pėdsakai (angl. attack signature) turi būti gaunami iš aktualią informaciją teikiančių šaltinių – patikimų saugos programinės įrangos gamintojų. Įsilaužimo atakų pėdsakai turi būti atnaujinami ne vėliau kaip per 24 valandas nuo saugos programinės įrangos gamintojo naujausių įsilaužimo atakų pėdsakų pateikimo valandos arba ne vėliau kaip per 72 valandas nuo naujausių įsilaužimo atakų pėdsakų pateikimo valandos, jeigu IS tvarkytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio IS veiklai vertinimas (testavimas);

11.5.5. įsilaužimo aptikimo techninio sprendinio įgyvendinimas, konfigūracija ir kibernetinių incidentų aptikimo algoritmai (taisyklės) (kartu nurodant datas (įgyvendinimo, atnaujinimo ir pan.), atsakingus asmenis, taikymo periodus ir pan.) turi būti saugomi elektronine forma atskirai nuo IS techninės įrangos;

11.6. papildomos elektroninės informacijos perdavimo belaidžiais tinklais saugumo ir kontrolės užtikrinimo priemonės:

11.6.1. leidžiama naudoti tik su IS saugos įgaliotiniu suderintus belaidžio tinklo įrenginius ir belaidės prieigos taškus, atitinkančius techninius kibernetinio saugumo reikalavimus;

11.6.2. belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, IS tvarkytojo kontroliuojamoje zonoje;

11.6.3. vykdoma belaidžių įrenginių kontrolė, tikrinama, ar IS tvarkytojo eksploatuojami belaidžiai įrenginiai atitinka techninius kibernetinio saugumo reikalavimus;

11.6.4. naudojamos priemonės, kurios automatiškai apribotų neleistinus ar kibernetinio saugumo reikalavimų neatitinkančius belaidžius įrenginius;

11.6.5. naudojamos priemonės, kurios automatiškai apriboja neleidžiamus ar saugumo reikalavimų neatitinkančius belaidžius įrenginius arba apie tokių įrenginių aptikimą informuojamas IS saugos įgaliotinis;

11.6.6. prisijungiant prie belaidžio tinklo turi būti taikomas naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) arba TLS (angl. Transport Layer Security) protokolas;

11.6.7. draudžiama belaidėje sąsajoje naudoti SNMP (angl. Simple Network Management Protocol) protokolą bei kitus nebūtinus valdymo protokolus;

11.6.8. turi būti išjungti nenaudojami TCP (angl. Transmission Control Protocol) ar UDP (angl. User Datagram Protocol) prievadai;

11.7. elektroninis paštas naudojamas IS tvarkytojo patvirtintuose dokumentuose nustatyta tvarka.

12. Patalpų, kuriose yra IS tarnybinės stotys (toliau – patalpos) ir aplinkos saugumo užtikrinimo priemonės:

12.1. turi būti užtikrinamas išorės poveikio šaltinių – transporto priemonių keliamos vibracijos, eismo įvykių, radijo stočių, specialiųjų gamyklų, kitų išorės šaltinių minimalus poveikis patalpoms ir jose esančiai techninei ir programinei įrangai;

12.2. patalpose įrengta langų ir durų fizinė apsauga: prie langų pritvirtintos žaliuzės ir metalinės grotos, įrengtos rakinamos šarvuotos ir ugniai atsparios durys, veikianti durų ir langų signalizacija;

12.3. patalpos turi atitikti gaisrinės saugos reikalavimus, jose turi būti pirminių gaisro gesinimo priemonių, kurios kasmet turi būti patikrinamos;

12.4. patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos stebėjimo pulto;

12.5. patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

12.6. patekti į patalpas gali tik IS valdytojo ir tvarkytojo vadovo įgalioti asmenys, o kiti asmenys patekti į šias patalpas gali tik lydimi IS techninio administratoriaus ir užsiregistravę Patekimo į patalpas žurnale;

12.7. IS tarnybinių stočių techninė įranga įnešama į patalpas ar išnešama iš patalpų tik leidus IS techniniam administratoriui;

12.8. IS tarnybinių stočių techninė įranga apsaugoma nuo elektros srovės svyravimų. Naudojami specialūs maitinimo šaltiniai, nenutrūkstamo maitinimo šaltinis su automatine apsauga nuo įtampos svyravimų;

12.9. rezervinio nenutrūkstamo maitinimo šaltinis užtikrina IS tarnybinių stočių įrangos veikimą ne trumpiau nei 30 minučių pagrindinio nenutrūkstamo maitinimo šaltinio neveikimo atveju;

12.10. ryšių kabeliai apsaugoti nuo nesankcionuoto prisijungimo prie jų ir jų pažeidimo;

12.11. įgyvendintos gamintojo nustatytos IS tarnybinių stočių techninės įrangos darbo sąlygos;

12.12. patalpose palaikoma +22 (±5) ºC temperatūra ir 50 (±10) % santykinis oro drėgnumas.

13. IS darbo apskaitos ir kitos elektroninės informacijos saugos priemonės:

13.1. programiniu būdu registruojami IS naudotojų, IS paslaugų gavėjų veiksmai su IS duomenimis;

13.2. IS naudotojams suteikiamos prieigos prie IS teisės atlikti veiksmus tik su jiems priskirtais duomenimis;

13.3. IS tarnybinių stočių įvykių žurnaluose registruojami, ne mažiau kaip vienus metus saugomi ir ne rečiau kaip kartą per savaitę analizuojami duomenys, nurodant įvykio laiką ir IS naudotojo unikalius atpažinties prisijungimo duomenis, apie:

13.3.1. IS tarnybinių stočių ir IS įjungimą bei išjungimą;

13.3.2. sėkmingus ir nesėkmingus bandymus registruotis IS tarnybinėse stotyse ir IS;

13.3.3. bandymus prieiti prie IS informacinių išteklių;

13.3.4. kitus svarbius su IS tvarkomos elektroninės informacijos sauga susijusius įvykius.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

14. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo tvarka:

14.1. IS duomenis keisti, atnaujinti, įrašyti ir naikinti gali tik IS naudotojai, turintys teisę tai atlikti;

14.2. IS duomenys įrašomi, atnaujinami, keičiami ir naikinami vadovaujantis IS nuostatais ir IS saugos nuostatais.

15. IS naudotojų ir (arba) IS paslaugų gavėjų veiksmų registravimo tvarka:

15.1. IS naudotojų ir (arba) IS paslaugų gavėjų tapatybė ir visi veiksmai su IS duomenimis turi būti įrašomi automatiniu būdu IS duomenų bazės veiksmų žurnale (toliau – IS duomenų bazės veiksmų žurnalas), apsaugotame nuo neteisėto jame esančių duomenų ir informacijos panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;

15.2. IS duomenų bazės veiksmų žurnalo įrašo duomenų analizė atliekama esant poreikiui ir gali būti prieinami tik IS administratoriui.

16. Prarasti, iškraipyti ar sunaikinti IS duomenys turi būti atkuriami iš atsarginių IS duomenų kopijų. Atsarginės IS duomenų kopijos daromos ir saugomos, o IS duomenys atkuriami iš atsarginių IS duomenų kopijų tokia tvarka:

16.1. už atsarginių IS duomenų kopijų darymą, elektroninės informacijos atkūrimą ir atsarginių IS duomenų kopijų apsaugą yra atsakingas IS techninis administratorius, kurio funkcijos aprašytos IS naudotojų administravimo taisyklėse ir kituose teisės aktuose, reglamentuojančiuose IS darbą;

16.2. elektroninė informacija turi būti kopijuojama ir saugoma tokia apimtimi, kad IS duomenų praradimo atveju visišką IS funkcionalumą ir veiklą būtų galima atstatyti per 16 valandų;

16.3. IS duomenys atsarginėse kopijose turi būti šifruoti;

16.4. IS duomenų atsarginių kopijų darymas turi būti fiksuojamas Atsarginių kopijų darymo žurnale;

16.5. IS archyvinės duomenų kopijos į rezervinio kopijavimo biblioteką turi būti daromos vieną kartą per 24 valandas;

16.6. IS duomenų archyvinės kopijos turi būti saugomos užrakintoje nedegioje spintoje, esančioje kitoje patalpoje nei IS tarnybinių stočių įrenginys, kurio elektroninė informacija buvo nukopijuota;

16.7. IS duomenų atkūrimo bandymai turi būti vykdomi vieną kartą per metus;

16.8. IS duomenų atkūrimo bandymai turi būti vykdomi ne darbo valandomis, prieš tai visus IS naudotojus informavus elektroniniu paštu;

16.9. už išsamius ir (ar) dalinius IS duomenų atkūrimo bandymus yra atsakingi IS techninis administratorius ir IS saugos įgaliotinis. IS techninis administratorius su IS saugos įgaliotiniu turi parengti ir suderinti IS duomenų atkūrimo bandymų metodus ir užtikrinti atsarginių IS duomenų kopijų saugojimą ir atsarginių IS duomenų kopijų darymo kontrolę.

17. IS duomenų perkėlimo ir teikimo kitoms informacinėms sistemoms, registrams duomenų gavimo iš jų tvarka:

17.1. už IS naudotojų administravimą ir iš susijusių registrų ir kitų informacinių sistemų teikiamų duomenų atnaujinimą IS yra atsakingas IS administratorius;

17.2. duomenų mainai tarp IS ir susijusių registrų ir kitų informacinių sistemų turi būti vykdomi sudarytose duomenų teikimo sutartyse numatytais būdais, terminais ir numatytos apimties;

17.3. likviduojant IS, elektroninė informacija turi būti saugiai perduodama kitai valstybės informacinei sistemai ar registrui, sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

18. Duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neteisėti veiksmai) nustatymo tvarka:

18.1. IS administratorius ir IS techninis administratorius, užtikrindamas IS duomenų vientisumą, privalo naudoti visas įmanomas fizines, programines ir organizacines priemones, skirtas IS ir jame tvarkomiems duomenims apsaugoti nuo neteisėtų veiksmų;

18.2. IS naudotojas, įtaręs, kad su IS duomenimis buvo atlikti ar yra atliekami neteisėti veiksmai, privalo pranešti apie tai IS administratoriui. IS administratorius ir IS techninis administratorius, kilus įtarimams dėl neteisėtų veiksmų su IS duomenimis, pasinaudoję IS duomenų bazės veiksmų žurnalo įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su IS programine įranga ir (ar) duomenimis;

18.3. IS administratorius ir IS techninis administratorius, pastebėję įvykusį ar galimą asmens duomenų saugumo pažeidimą, apie tai praneša institucijos, kurioje jis dirba, nustatyta tvarka ir terminais;

18.4. IS saugos įgaliotinis, gavęs pranešimą apie įvykdytus ar vykdomus neteisėtus veiksmus su IS arba IS tvarkoma elektronine informacija, inicijuoja elektroninės informacijos saugos (kibernetinio) incidento valdymo procedūras, nustatytas šiuo viršininko įsakymu patvirtintame Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos veiklos tęstinumo valdymo plane.

19. IS programinės ir techninės įrangos keitimo ir atnaujinimo tvarka ir IS funkcijų pokyčių (toliau – IS pokyčiai) valdymo tvarka:

19.1. IS pokyčiai identifikuojami pagal pokyčio tipą: administraciniai, organizaciniai ar techniniai;

19.2. IS pokyčiai, atsižvelgiant į jų svarbą, aktualumą ir poreikį, skirstomi į šias kategorijas:

19.2.1. standartiniai IS pokyčiai, kurie nekelia rizikos kokybiškam elektroninių paslaugų teikimui arba visos informacinių technologijų infrastruktūros veikimui (pvz., naujos kompiuterinės darbo vietos parengimas IS naudotojui ar IS komponentų pakeitimas, standartinės programinės įrangos įdiegimas, atnaujinimas ar išdiegimas, saugumo spragų pataisų įdiegimas IS naudotojo kompiuterinėje darbo vietoje ir pan.);

19.2.2. skubūs IS pokyčiai, kurie skirti aukščiausio prioriteto sutrikimams arba problemoms šalinti ir reikalauja ypatingos įvertinimo, patvirtinimo ir atlikimo skubos, taip pat avariniai pokyčiai (pvz., veiklos atkūrimas likviduojant IS saugos ar kibernetinio incidento, stichinės nelaimės, avarijos ar kitų ekstremalių situacijų padarinius);

19.2.3. plėtros (vystymo) IS pokyčiai, kai kuriamos arba modernizuojamos informacinių technologijų paslaugos ir su tuo susiję veiksmai nėra visiškai aiškūs, o pokyčių atlikimas yra susijęs su tam tikra rizika elektroninių paslaugų teikimui arba visos informacinių technologijų infrastruktūros veikimui;

19.3. prioritetas turi būti skiriamas skubiems ir plėtros (vystymo) IS pokyčiams. IS pokyčių prioritetas nustatomas pokyčių įtakos vertinimo metu;

19.4. IS pokyčių įtakos vertinimo metu turi būti įvertinama pokyčių nauda, pagrįstumas, įgyvendinamumas, pokyčiams atlikti reikalingos sąnaudos, taip pat IS darbo sutrikdymo ar sustabdymo rizika, elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo pažeidimo rizika;

19.5. IS programinės ir techninės įrangos keitimo ir atnaujinimo tvarką ar IS pokyčius, atsižvelgdamas į konkretų atvejį, derina IS techninis administratorius arba jie aprašomi paslaugų, susijusių su IS programinės ir techninės įrangos keitimu ir atnaujinimu, teikimo sutartyse;

19.6. prieš atlikdamas IS pokyčius, kurių metu gali iškilti grėsmė IS duomenų ir IS konfidencialumui, vientisumui ar pasiekiamumui, IS techninis administratorius privalo planuojamus IS pokyčius ištestuoti;

19.7. numatomos IS veiklos atkūrimo procedūros nesėkmingų IS pokyčių atlikimo atvejais;

19.8. atlikęs vykdomų IS pokyčių testavimą ir raštu gavęs IS tvarkytojo vadovo arba jo paskirto asmens sutikimą, IS techninis administratorius gali pradėti įgyvendinti IS pokyčius;

19.9. planuodamas IS pokyčius, kurių metu galimi ilgesni kaip 4 val. IS veikimo sutrikimai darbo metu, IS techninis administratorius privalo ne vėliau kaip prieš dvi darbo dienas iki IS pokyčių vykdymo pradžios informuoti IS naudotojus ir (arba) IS paslaugų gavėjus apie tokių darbų pradžią ir galimus IS veikimo sutrikimus.

20. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (toliau – mobilieji įrenginiai), naudojamų IS naudotojų tarnybinėms ar darbo funkcijos vykdyti, naudojimo tvarka:

20.1. išnešti iš IS tvarkytojo patalpų mobilieji įrenginiai negali būti palikti be priežiūros viešose vietose; kelionės metu mobilieji įrenginiai turi būti saugomi;

20.2. iš IS tvarkytojo patalpų išnešamiems mobiliesiems įrenginiams turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimai ir pan.);

20.3. duomenys, perduodami tarp mobiliojo įrenginio ir IS, turi būti šifruojami;

20.4. turi būti užtikrinta kompiuterinių laikmenų apsauga, t. y. esant techninėms galimybėms turi būti šifruojami duomenys tiek mobiliųjų įrenginių laikmenose, tiek išorinėse kompiuterinėse laikmenose. Draudžiama saugoti neužšifruotuose mobiliųjų įrenginių laikmenose konfidencialią ir (arba) asmens duomenų informaciją;

20.5. prieš perduodant mobilųjį įrenginį IS naudotojui, jis turi būti patikrinamas antivirusine programine įranga;

20.6. mobiliojo įrenginio grąžinimas ir antivirusinės programos tikrinimo rezultatai turi būti dokumentuojami;

20.7. už mobiliųjų įrenginių ir jame tvarkomų ar saugomų duomenų saugą teisės aktų nustatyta tvarka atsako naudotojas, kuriam šis įrenginys yra skirtas.

IV SKYRIUS

REIKALAVIMAI, KELIAMI IS FUNKCIONUOTI

REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

21. IS valdytojas ar tvarkytojas, pirkdami paslaugas, darbus ar įrangą, susijusius su IS, jo projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose ir sutartyse su tiekėju turi nustatyti, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas užtikrintų atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams, tokia apimtimi, kiek tai susiję su pirkimo objektu ir prieiga prie IS, taip pat suteiktų pakankamas garantijas įgyvendinti tinkamas technines ir organizacines duomenų saugumo priemones pagal 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas).

22. Paslaugų teikėjų prieigos prie IS lygiai ir sąlygos:

22.1. IS techninis administratorius suteikia prieigos prie IS duomenų teisę (peržiūrėti IS duomenis, atlikti užklausas IS vykdyti veiksmus su IS duomenimis ir kt.), fizinę prieigą prie IS techninės ir programinės įrangos paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje nustatytomis sąlygomis ir tvarka paslaugų teikėjo funkcijoms atlikti;

22.2. IS techninis administratorius, suteikdamas prieigos prie IS duomenų teisę, paslaugų teikėjo įgaliotą fizinį asmenį pasirašytinai supažindina su IS nuostatais, IS saugos nuostatais ir kitais IS saugos politiką įgyvendinančiais dokumentais;

22.3. pasibaigus paslaugų teikimo sutarties galiojimui ar šią sutartį nutraukus, IS techninis administratorius nedelsdamas, bet ne vėliau kaip kitą darbo dieną, panaikina paslaugų teikėjo įgalioto fizinio asmens prieigos prie IS duomenų teisę ir apie tai jį informuoja.

23. Reikalavimai IS tarnybinių stočių patalpų, IS programinės įrangos, IS priežiūrai ir kitoms paslaugoms:

23.1. reikalavimai paslaugų teikėjams ir jų teikiamoms IS priežiūros paslaugoms nustatomi šių paslaugų teikimo sutartyse;

23.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja IS programinę įrangą, naudodamas:

23.2.1. įgyvendintas elektroninės informacijos saugos priemones, apsaugančias nuo neteisėto poveikio sisteminei, programinei įrangai ir patalpoms;

23.2.2. IS testinės duomenų bazės duomenis (IS programinei įrangai modifikuoti);

23.2.3. tik sertifikuotą IS programinę įrangą;

23.3. IS veiklą palaikančių sistemų (elektros energijos, šildymo, vėdinimo ir oro kondicionavimo bei kitų sistemų) kokybė, atsižvelgiant į šių sistemų veiklai keliamus reikalavimus, turi būti reguliariai tikrinama, siekiant tinkamo paslaugų teikimo ir galimo šių paslaugų teikimo sutrikimo bei avarijos pasekmių sumažinimo.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

24. IS sauga turi būti vertinama IS rizikos vertinimo ir (arba) informacinių technologijų saugos atitikties vertinimo, atliekamo IS saugos nuostatų II skyriuje nustatyta tvarka, metu. Kartu su IS rizikos įvertinimu ir (arba) informacinių technologijų saugos atitikties vertinimu turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos IS kibernetiniam saugumui, vertinimas.

25. IS informacinių technologijų saugos atitikties vertinimo metu turi būti atliekamas kibernetinių atakų imitavimas ir vykdomos kibernetinių incidentų imitavimo pratybos. Imituojant kibernetines atakas rekomenduojama vadovautis tarptautiniu mastu pripažintų organizacijų (pvz., EC-COUNCIL, ISACA, NIST ir kt.) rekomendacijomis ir gerąja praktika. Kibernetinių atakų imitavimas atliekamas šiais etapais:

25.1. planavimo etapas. Parengiamas kibernetinių atakų imitavimo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtys, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (arba) pilkosios dėžės (angl. Grey Box)), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (arba) techniniai įrankiai ir priemonės, nurodomi už plano vykdymą atsakingi asmenys ir jų kontaktai. Kibernetinių atakų imitavimo planas turi būti suderintas su IS tvarkytojo Informacinių sistemų valdymo skyriaus vedėju ir vykdomas tik gavus jo rašytinį pritarimą;

25.2. žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių serverių ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą ir konfigūracijas, taip pat kita sėkmingai kibernetinei atakai įvykdyti reikalinga informacija. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;

25.3. kibernetinių atakų imitavimo etapas. Atliekami kibernetinių atakų imitavimo plane numatyti testai. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;

25.4. ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti išdėstomi informacinių technologijų saugos vertinimo ataskaitoje. Kibernetinių atakų imitavimo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertinimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat IS nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

26. IS naudotojai, IS saugos įgaliotinis, IS administratorius ir IS techninis administratorius, pažeidę šių Tvarkymo taisyklių ir kitų saugos politiką įgyvendinamųjų teisės aktų nuostatas, atsako teisės aktų nustatyta tvarka.

________________________

PATVIRTINTA

Valstybinės teritorijų planavimo ir

statybos inspekcijos prie Aplinkos

ministerijos viršininko 2025 m. sausio 20 d.

įsakymu Nr. 1V-3

Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos veiklos tęstinumo valdymo plano (toliau – Valdymo planas) tikslas – nustatyti Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos (toliau – IS) administratoriaus, techninio administratoriaus, saugos įgaliotinio ir kitų asmenų veiksmus, esant elektroninės informacijos saugos (kibernetiniam) incidentui, kurio metu kyla pavojus IS duomenims, IS techninės, programinės įrangos funkcionavimui.

2. Valdymo planas parengtas vadovaujantis:

2.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR);

2.2. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;

2.3. Nacionaliniu kibernetinių incidentų valdymo planu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

2.4. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

2.5. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

2.6. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos duomenų saugos nuostatais, patvirtintais 2023 m. balandžio 19 d. įsakymu Nr. 1V-43 „Dėl Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“;

2.7. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos rizikos valdymo informacinės sistemos nuostatais, patvirtintais 2024 m. spalio 2 d. įsakymu Nr. 1V-112 „Dėl Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos rizikos valdymo informacinės sistemos nuostatų patvirtinimo“;

2.8. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos dokumentų valdymo informacinės sistemos „Avilys“ nuostatais, patvirtintais 2009 m. vasario 11 d. įsakymu Nr. 1V-52 „Dėl Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos dokumentų valdymo informacinės sistemos „Avilys“ nuostatų patvirtinimo“.

3. Valdymo plane vartojamos sąvokos atitinka Valdymo plano 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

4. Valdymo plano reikalavimai privalomi IS valdytojui, IS tvarkytojams, IS saugos įgaliotiniui, IS administratoriui, IS techniniam administratoriui, visiems IS naudotojams, naudojantiems IS įrangą tarnybos ir darbo funkcijoms atlikti. Valdymo planas taikomas kiekvienam pastatui, kuriame tvarkomi IS duomenys.

5. Valdymo planas įsigalioja ir turi būti įgyvendinamas įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, kurio metu gali kilti pavojus IS duomenims, IS techninės, programinės įrangos funkcionavimui.

6. IS saugos įgaliotinio, IS administratoriaus ir IS techninio administratoriaus veiksmai, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, yra nurodyti Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos veiklos atkūrimo detaliajame plane (1 priedas).

7. Elektroninės informacijos saugos (kibernetinio) incidento metu patirti nuostoliai padengiami iš valstybės biudžeto ir kitų finansavimo šaltinių.

8. Kriterijai, pagal kuriuos nustatoma, kad IS veikla atkurta:

8.1. IS duomenų išsaugojimas;

8.2. IS duomenų atnaujinimas;

8.3. nuolatinis IS duomenų teikimas fiziniams, juridiniams asmenims ir kitiems registrams ar informacinėms sistemoms teisės aktų nustatyta tvarka.

9. Neveikiant IS ar veikiant iš dalies, jo veikla turi būti atkurta ne vėliau kaip per 16 val.

10. IS prieinamumas turi būti užtikrintas ne mažiau kaip 90 procentų laiko darbo metu darbo dienomis.

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

11. IS tvarkytojas, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, atlieka šias funkcijas:

11.1. užtikrina IS elektroninės informacijos saugos (kibernetinio) incidento valdymą ir tyrimą; registruoja įvykusius saugos incidentus ir nedelsdamas į juos reaguoja, organizacinėmis, techninėmis ir programinėmis priemonėmis saugos incidentus valdo, tiria ir šalina;

11.2. informuoja Nacionalinį kibernetinio saugumo centrą prie Krašto apsaugos ministerijos (toliau – Centras) apie IS įvykusius kibernetinius saugos incidentus, nurodytus Nacionaliniame kibernetinių incidentų valdymo plane, ir taikytas kibernetinių saugos incidentų valdymo priemones Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo tvarkos apraše (3 priedas) numatyta tvarka;

11.3. teikia policijai informaciją, reikalingą saugos incidentams, turintiems nusikalstamos veikos požymių, užkardyti ir tirti policijos generalinio komisaro nustatyta tvarka ir sąlygomis;

11.4. kai kibernetinis saugumo incidentas yra susijęs su galimu asmens duomenų saugumo pažeidimu, praneša IS valdytojui BDAR, IS nuostatuose ir (ar) duomenų valdytojo kita nustatyta tvarka.

12. Elektroninės informacijos saugos (kibernetiniams) incidentams valdyti bei veiklos atkūrimui organizuoti IS tvarkytojo įstaigos vadovo įsakymu sudaroma: IS veiklos tęstinumo valdymo grupė (toliau – Valdymo grupė) ir IS veiklos atkūrimo grupė (toliau – Atkūrimo grupė).

13. Valdymo grupės tikslas – remiantis IS saugos įgaliotinio gautu tarnybiniu pranešimu apie elektroninės informacijos saugos (kibernetinį) incidentą, tirti elektroninės informacijos saugos (kibernetinius) incidentus, ieškoti priemonių ir būdų sukeltiems padariniams bei žalai likviduoti, užtikrinti IS veiklos tęstinumą.

14. Valdymo grupės sudėtis:

14.1. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos (toliau – VTPSI) viršininkas (Valdymo grupės vadovas);

14.2. VTPSI kancleris (Valdymo grupės vadovo pavaduotojas);

14.3. VTPSI Informacinių sistemų valdymo skyriaus vedėjas;

14.4. už IS išteklių valdymą atsakingas asmuo;

14.5. IS saugos įgaliotinis;

14.6. IS techninis administratorius.

15. Valdymo grupės funkcijos:

15.1. elektroninės informacijos saugos (kibernetinių) incidentų analizė ir sprendimų duomenų veiklos tęstinumo valdymo klausimais priėmimas;

15.2. bendravimas su susijusių registrų ir informacinių sistemų veiklos tęstinumo valdymo grupėmis;

15.3. bendravimas su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;

15.4. bendravimas ir bendradarbiavimas su IS paslaugų gavėjais;

15.5. finansinių ir kitų išteklių, reikalingų IS veiklai atkurti, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, naudojimo kontrolė;

15.6. IS fizinės duomenų saugos užtikrinimo kontrolė, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui;

15.7. logistikos organizavimas (žmonių, daiktų, įrangos gabenimas ir jo organizavimas);

15.8. IS veiklos atkūrimo priežiūra ir koordinavimas;

15.9. kitos Valdymo grupei pavestos funkcijos.

16. Atkūrimo grupės sudėtis:

16.1. VTPSI kancleris (Atkūrimo grupės vadovas);

16.2. IS saugos įgaliotinis;

16.3. VTPSI Informacinių sistemų valdymo skyriaus vedėjas (Atkūrimo grupės vadovo pavaduotojas);

16.4. už IS išteklių valdymą atsakingas asmuo;

16.5. IS techninis administratorius.

17. Atkūrimo grupės funkcijos:

17.1. IS tarnybinių stočių veikimo atkūrimo organizavimas;

17.2. kompiuterių tinklo veikimo atkūrimo organizavimas;

17.3. IS duomenų atkūrimo organizavimas;

17.4. IS taikomųjų programų tinkamo veikimo atkūrimo organizavimas;

17.5. darbo kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas;

17.6. kitos Atkūrimo grupei pavestos funkcijos.

18. Įvykus elektroninės informacijos saugos (kibernetiniam) incidentui:

18.1. IS naudotojai, IS administratorius ar IS techninis administratorius privalo nedelsdami žodžiu ar raštu pranešti IS saugos įgaliotiniui apie elektroninės informacijos saugos (kibernetinį) incidentą. IS naudotojai neturi teisės imtis kitų su incidentu susijusių veiksmų;

18.2. IS saugos įgaliotinis, gavęs pranešimą apie elektroninės informacijos saugos (kibernetinį) incidentą, nedelsdamas turi imtis veiksmų, reikalingų elektroninės informacijos saugos (kibernetiniam) incidentui stabdyti. Įvykis aprašomas, nurodant elektroninės informacijos saugos (kibernetinio) incidento vietą, laiką, pobūdį ir kitą su įvykiu susijusią informaciją;

18.3. IS saugos įgaliotinis nustato prioritetus kibernetiniams incidentams valdyti, tirti ir šalinti bei apie juos informuoja Centrą Valdymo plano 3 priede nustatyta tvarka;

18.4. IS saugos įgaliotinis apie elektroninės informacijos saugos (kibernetinį) incidentą nedelsdamas informuoja IS tvarkytojo vadovą;

18.5. IS saugos įgaliotinis įrašo informaciją apie elektroninės informacijos saugos (kibernetinį) incidentą į IS elektroninės informacijos saugos (kibernetinių) incidentų registravimo žurnalą (2 priedas), vadovauja IS veiklos atkūrimo detaliajame plane nurodytiems veiksmams;

18.6. IS techninis administratorius užtikrina, kad būtų atkurtas IS techninės ir programinės įrangos veikimas, kompiuterių tinklo veikla, IS duomenys, IS techninės, sisteminės ir taikomosios programinės įrangos funkcionavimas ir nedelsdamas apie atliktus veiksmus informuoja IS saugos įgaliotinį;

18.7. IS saugos įgaliotinis kartu su IS techniniu administratoriumi organizuoja žalos IS duomenims, IS techninei, programinei įrangai vertinimą, koordinuoja IS veiklai atkurti reikalingos techninės, sisteminės ir taikomosios programinės įrangos įsigijimą;

18.8. elektroninės informacijos saugumo (kibernetiniam) incidentui išplitus už IS tvarkytojo įstaigos ribų, IS techninis administratorius nedelsdamas informuoja su elektroninės informacijos saugos (kibernetiniu) incidentu susijusius paslaugų teikėjus ir (ar) kitas institucijas, atsižvelgia į jų rekomendacijas.

19. Techninė, sisteminė ir taikomoji programinė įranga, reikalinga pakeisti elektroninės informacijos saugos (kibernetinio) incidento metu sunaikintą ar sugadintą įrangą, įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo, viešuosius pirkimus reglamentuojančių poįstatyminių teisės aktų (ar) ir IS valdytojo ar IS tvarkytojo patvirtintų dokumentų nustatyta tvarka.

20. Atsarginėms patalpoms, naudojamoms IS veiklai atkurti elektroninės informacijos saugos (kibernetinio) incidento atveju, keliami šie reikalavimai:

20.1. patekimas į atsargines patalpas turi būti registruojamas Patekimo į patalpas, kuriose yra tarnybinės stotys, žurnale;

20.2. atsarginės patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

20.3. atsarginės patalpos turi atitikti gaisrinės saugos reikalavimus ir jose turi būti pirminių gaisro gesinimo priemonių;

20.4. atsarginėse patalpose turi būti įrengtas rezervinis elektros energijos šaltinis IS techninei įrangai ir duomenų perdavimo tinklo mazgams, užtikrinantis nurodytos įrangos veikimą pagrindinio elektros energijos šaltinio neveikimo atveju ne trumpiau kaip 30 minučių;

20.5. ryšių kabeliai turi būti apsaugoti nuo nesankcionuoto prisijungimo;

20.6. patalpoje nuolat turi veikti oro temperatūros reguliavimo įranga (oro kondicionavimo sistema) bei palaikoma +22 (±5) ºC temperatūra.

21. Atsarginių patalpų, naudojamų IS veiklai atkurti kilus elektroninės informacijos (saugos) incidentui vieta – valstybinio duomenų centro atsarginės patalpos arba kita vieta, atitinkanti patalpoms keliamus reikalavimus.

22. Valdymo grupė ir Atkūrimo grupė tarpusavyje bendrauja el. paštu ir (ar) telefonu. Ne rečiau negu kartą per metus organizuojamas šių grupių susitikimas, kuriame aptariama esama situacija ir suderinami galimi jos gerinimo būdai.

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

23. Informacija apie IS techninę ir programinę įrangą ir jos parametrus nurodyta IS techninės ir programinės įrangos specifikacijoje.

24. Už IS techninės ir programinės įrangos priežiūrą yra atsakingas IS techninis administratorius.

25. IS administratorius parengia ir saugo:

25.1. dokumentą, kuriame nurodyti informacinių technologijų įrangos parametrai ir už šios įrangos priežiūrą atsakingas IS techninis administratorius, minimalus IS veiklai atkurti nesant IS techninio administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, reikiamos kompetencijos ar žinių lygis;

25.2. dokumentą, kuriame nurodyta minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos IS tvarkytojo poreikius atitinkančiai IS veiklai užtikrinti, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, specifikacija, kuri turi būti lygiavertė pagrindinei IS techninės ir programinės įrangos specifikacijai;

25.3. dokumentą, kuriame nurodytos kompiuterių tinklo fizinio ir loginio sujungimo schemos;

25.4. dokumentą, kuriame nurodytos duomenų teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigos;

25.5. dokumentą, kuriame nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis IS duomenų kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos.

26. Programinės įrangos laikmenos ir laikmenos su atsarginėmis IS duomenų kopijomis saugomos užrakintoje nedegioje spintoje, kitoje patalpoje, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. IS techninis administratorius kartą per savaitę atsargines IS duomenų kopijas perkelia į saugojimo vietą.

27. IS saugos įgaliotinis ir IS techninis administratorius parengia, patvirtina ir saugo Valdymo grupės ir Atkūrimo grupės narių sąrašą su kontaktiniais duomenimis, leidžiančiais pasiekti šiuos asmenis bet kuriuo metu. Valdymo grupės ir Atkūrimo grupės narių sąrašas turi būti atnaujinamas, pasikeitus jame nurodytai informacijai.

28. IS saugos įgaliotinis ne rečiau kaip kartą per mėnesį:

28.1. atlieka užfiksuotų kibernetinių incidentų analizę ir esant reikalui organizuoja pastebėtų neatitikčių saugumo reikalavimams šalinimą;

28.2. atlieka kibernetinių incidentų valdymo patirties vertinimą;

28.3. atlieka užkardų (angl. firewall) užfiksuotų įvykių analizę, organizuoja pastebėtų neatitikčių saugumo reikalavimams šalinimą;

28.4. įvertina kibernetiniam saugumui užtikrinti naudojamų priemonių programinius atnaujinimus, klaidų taisymus ir organizuoja atnaujinimų diegimą.

IV SKYRIUS

Valdymo PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

29. Valdymo plano veiksmingumas turi būti išbandomas kartą per dvejus metus. Valdymo plano veiksmingumo išbandymo metu imituojamas elektroninės informacijos saugos (kibernetinio) incidentas. Jo metu už elektroninės informacijos saugos (kibernetinio) incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus. Iš atsarginių IS duomenų kopijų atkuriami IS duomenys.

30. Kibernetinių incidentų imitavimo pratybos turi būti organizuojamos ne rečiau kaip kartą per metus. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, tobulinamas Valdymo planas.

31. Pagal bandymų rezultatus IS saugos įgaliotinis, IS techninis administratorius parengia IS įvertinimo ataskaitą (toliau – Ataskaita), kurioje yra apibendrinami atliktų bandymų rezultatai, apibrėžiami pastebėti trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina IS tvarkytojo įstaigos vadovas. IS veiklos tęstinumo valdymo plano išbandymo ataskaitų kopijos ne vėliau kaip per 5 darbo dienas nuo šių dokumentų priėmimo pateikiamos Centrui.

32. IS saugos įgaliotinis nuolat kontroliuoja Ataskaitoje nurodytų trūkumų šalinimo priemonių įgyvendinimą.

33. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami laikantis šių principų:

33.1. operatyvumo – kaip galima greičiau išspręsti ir pašalinti trūkumus. Atliekant trūkumų šalinimo veiklą, turi būti atsižvelgiama į trūkumų sudėtingumą ir apimtį. IS saugos įgaliotinis kartu su IS techniniu administratoriumi nusprendžia ir nustato, per kiek laiko turi būti atliktas konkretus trūkumų šalinimo veiksmas ir pašalinti trūkumai;

33.2. veiksmingumo – trūkumų šalinimas turi padaryti esminę teigiamą įtaką IS veiklai. Trūkumų šalinimas laikomas veiksmingu, jei jo metu pavyko sumažinti konkretaus trūkumo neigiamą poveikį;

33.3. ekonomiškumo – siekis pašalinti visus trūkumus taupiai naudojant turimus išteklius.

__________________________

Valstybinės teritorijų planavimo ir

statybos inspekcijos prie Aplinkos

ministerijos valdomos dokumentų ir

procesų valdymo sistemos „Avilys“

ir Rizikos valdymo informacinės

sistemos veiklos tęstinumo

valdymo plano

1 priedas

Pavojaus rūšys	Pirmaeiliai veiksmai	Informacinės sistemos (toliau – IS) veiklos atkūrimo veiksmai	Už IS veiklos atkūrimą atsakingi asmenys	Terminas
1. Oro sąlygos (smarkus lietus, labai smarki audra, viesulas, škvalas, kruša, žemės drebėjimas, smarkus speigas)	1.1. Elektroninės informacijos saugos incidento pasekmių įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	1.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	IS saugos įgaliotinis, IS techninis administratorius	1 diena po incidento nustatymo
		1.1.2. Pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas	IS saugos įgaliotinis, IS techninis administratorius	2 dienos po incidento nustatymo
		1.1.3. Priemonių plano įgyvendinimas	IS saugos įgaliotinis, IS techninis administratorius	Atsižvelgiant į sutrikimų šalinimo darbų pobūdį
	1.2. Darbuotojų elektroninės informacijos saugos incidento pasekmėms likviduoti paskyrimas	1.2.1. Žalą likviduojančių darbuotojų instruktavimas	Valdymo grupė	Nedelsiant po padarytos žalos likvidavimo priemonių plano sudarymo ir paskelbimo
		1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas	Valdymo grupė	Nedelsiant po darbuotojų instruktavimo
	1.3. Pavojaus vietų ženklinimas	1.3.1. Darbuotojų informavimas 1.3.2. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis	1 val. po incidento nustatymo
	1.3. Pavojaus vietų ženklinimas		IS saugos įgaliotinis	1 val. po incidento nustatymo
2. Gaisras	2.1. Priešgaisrinės gelbėjimo tarnybos informavimas	2.1.1. Įvykio vietos lokalizavimas, jei gauta rekomendacija	IS saugos įgaliotinis	Nedelsiant po rekomendacijos
	2.1. Priešgaisrinės gelbėjimo tarnybos informavimas	2.1.2. Galimybių evakuoti darbuotojus paieška, jei yra rekomenduojama tai padaryti	IS saugos įgaliotinis	Nedelsiant po rekomendacijos
	2.2. Darbuotojų evakavimas (pagal priešgaisrinės gelbėjimo tarnybos rekomendaciją)	2.2.1. Darbuotojų informavimas apie evakavimą, jei yra rekomendacija	IS saugos įgaliotinis	Nedelsiant po rekomendacijos
	2.3. Komunikacijų, sukeliančių pavojų, išjungimas, gaisro gesinimas ankstyvoje stadijoje, jei yra rekomendacija dirbti pavojaus zonoje	2.3.1. Priešgaisrinės gelbėjimo tarnybos nurodymų vykdymas	IS saugos įgaliotinis	Nedelsiant po nurodymų
3. Patalpų užgrobimas	3.1. Teisėsaugos institucijų informavimas	3.1.1. Įvykio vietos lokalizavimas, jei yra teisėsaugos institucijos rekomendacijos	IS saugos įgaliotinis	Nedelsiant po rekomendacijos
	3.1. Teisėsaugos institucijų informavimas	3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei gauta rekomendacija	IS saugos įgaliotinis	Nedelsiant po rekomendacijos
	3.2. Darbuotojų evakavimas, jei yra teisėsaugos institucijos rekomendacija	3.2.1. Darbuotojų informavimas apie evakavimą	IS saugos įgaliotinis	Nedelsiant po rekomendacijos
	3.3. Patalpų užrakinimas, jei yra galimybė	3.3.1. Teisėsaugos institucijos nurodymų vykdymas	IS saugos įgaliotinis	Nedelsiant po nurodymų
	3.4. Teisėsaugos institucijos nurodymų vykdymas	3.4.1. Darbuotojų informavimas apie nurodymų vykdymą	IS saugos įgaliotinis	Nedelsiant po nurodymų
	3.5. Veiksmai išlaisvinus užgrobtas patalpas	3.5.1. Padarytos žalos įvertinimas	Valdymo grupė	1 diena po incidento nustatymo
		3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas	Veiklos atkūrimo grupė	2 dienos po incidento nustatymo
		3.5.3. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis	1 diena po incidento nustatymo
4. Patalpai padaryta žala arba patalpos praradimas	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.1. Suinteresuotos tarnybos rekomendacijų dėl galimybės dirbti pavojaus zonoje gavimas	IS saugos įgaliotinis	1 val. po incidento nustatymo
	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.2. Darbuotojų informavimas apie rekomendacijas	IS saugos įgaliotinis	Nedelsiant po rekomendacijų
	4.2. IS įrangos perkėlimas į atsargines patalpas	4.2.1. Darbuotojų informavimas apie darbą patalpose	IS saugos įgaliotinis	5 darbo dienos po incidento nustatymo
5. Energijos tiekimo sutrikimai	5.1. Energijos tiekimo sutrikimo priežasčių nustatymas, tarnybinių stočių, kitos techninės įrangos energijos maitinimo išjungimas	5.1.1. Sutrikimų šalinimo organizavimas	Atkūrimo grupė	Nedelsiant po incidento nustatymo
	5.2. Kreipimasis į energijos tiekimo įmonę dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių	5.2.1. Rekomendacijų iš energijos tiekimo įmonės gavimas	Valdymo grupė, Atkūrimo grupė	1 val. po incidento nustatymo
	5.3. Sutrikimų pašalinimas	5.3.1. Pavojaus sustabdymas, padarytos žalos likvidavimo priemonių plano sudarymas ir įgyvendinimas	IS techninis administratorius, IS saugos įgaliotinis	Atsižvelgiant į sutrikimų šalinimo darbų pobūdį
		5.3.2. Padarytos žalos įvertinimas	Valdymo grupė	1 diena po incidento nustatymo
		5.3.3. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis	Nedelsiant po padarytos žalos likvidavimo priemonių plano sudarymo
6. Vandentiekio ir šildymo sistemos sutrikimai	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.1. Vandentiekio ar šildymo paslaugų teikėjų paklausimas dėl leidimo dirbti ir rekomendacijų gavimas	IS saugos įgaliotinis	Nedelsiant po incidento nustatymo
	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.2. Darbuotojų informavimas apie rekomendacijas	IS saugos įgaliotinis	Nedelsiant po rekomendacijų
	6.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas	6.2.1. Padarytos žalos įvertinimas, sutrikimo sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas	Valdymo grupė, Atkūrimo grupė	Atsižvelgiant į sutrikimų šalinimo darbų pobūdį
		6.2.2. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis	Nedelsiant po padarytos žalos likvidavimo priemonių plano sudarymo
7. Ryšio sutrikimai	7.1. Ryšio sutrikimo priežasčių nustatymas	7.1.1. Kreiptis į ryšio paslaugos teikėją	IS techninis administratorius, IS saugos įgaliotinis	Nedelsiant po incidento nustatymo
	7.2. Ryšio paslaugų teikėjo informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės	7.2.1. Nustatyti ir įgyvendinti priemones, apsaugančias nuo ryšio sutrikimų pasikartojimo	IS saugos įgaliotinis	5 darbo dienos po incidento nustatymo
	7.3. Sutrikimo pašalinimas	7.3.1. Kreiptis į kitą ryšio paslaugos teikėją, jei sutrikimas nepašalintas	IS saugos įgaliotinis	1 diena po incidento nustatymo
8. Tarnybinės stoties, komutacinės įrangos sugadinimas, praradimas	8.1. Pranešti teisėsaugos institucijai, draudimo bendrovei apie įvykį	8.1.1. Darbuotojų elektroninės informacijos saugos incidento pasekmėms likviduoti paskyrimas, instruktavimas, jų veiksmų nustatymas	IS saugos įgaliotinis	1 diena po incidento nustatymo
	8.2. Elektroninės informacijos saugos incidento pasekmių šalinimas	8.2.1. Kreiptis į įrangos tiekėjus dėl įrangos remonto ar naujos įrangos įsigijimo	IS administratorius	3 darbo dienos po incidento nustatymo
		8.2.2. Įsigytos įrangos diegimas	IS techninis administratorius, IS saugos įgaliotinis	3 darbo dienos po incidento nustatymo
9. Programinės įrangos sugadinimas, praradimas 2.	9.1. Elektroninės informacijos saugos (kibernetinių) incidento pasekmių įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	9.1.1. Elektroninės informacijos saugos (kibernetinio) incidento metu padarytos žalos įvertinimas	Valdymo grupė, Atkūrimo grupė	1 diena po incidento nustatymo
		9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas	Valdymo grupė, Atkūrimo grupė	Atsižvelgiant į sutrikimų šalinimo darbų kiekį
	9.2. Darbuotojų elektroninės informacijos saugos (kibernetinio) incidento pasekmėms likviduoti paskyrimas, žalą likviduojančių darbuotojų instruktavimas, jų veiksmų koordinavimas	9.2.1. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis	Nedelsiant po incidento likvidavimo priemonių plano sudarymo
		9.2.2. Kreipimasis į teisėsaugos institucijas dėl programinės įrangos sugadinimo ar praradimo ir jų nurodymų vykdymas	IS techninis administratorius, IS saugos įgaliotinis	1 diena po incidento nustatymo
10. Duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas	10.1. Duomenų apsaugos pareigūno ir kitų įstaigoje numatytų asmenų informavimas, elektroninės informacijos saugos (kibernetinio) incidento pasekmių įvertinimas	10.1.1. Prarastų, iškraipytų ar sunaikintų IS duomenų atkūrimas	Atkūrimo grupė	1 diena po incidento nustatymo
		10.1.2. Prarastų, iškraipytų ar sunaikintų IS duomenų atkūrimo kontrolė	Valdymo grupė	1 diena po incidento nustatymo
11. Darbuotojų praradimas	11.1. Elektroninės informacijos saugos incidento pasekmių įvertinimas	11.1.1. Trūkstamų darbuotojų paieška ir priėmimas į darbą	Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos (toliau – VTPSI) Informacinių sistemų valdymo skyriaus vedėjas, VTPSI kancleris	60 dienų po incidento

__________________________

Valstybinės teritorijų planavimo ir

statybos inspekcijos prie Aplinkos

ministerijos valdomos dokumentų

ir procesų valdymo sistemos „Avilys“

ir Rizikos valdymo informacinės sistemos

veiklos tęstinumo valdymo plano

2 priedas

(Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos elektroninės informacijos saugos (kibernetinių) incidentų registravimo žurnalo forma)

Pildymo pradžia 20___m.___________________d.

Eil. Nr.	Elektroninės informacijos saugos incidentas
Eil. Nr.	Įstaigos pavadinimas	Pavojaus rūšies numeris	Įvykio aprašymas	Pradžia (metai, mėnuo, diena, valanda)	Pabaiga (metai, mėnuo, diena, valanda)	Incidentą pašalino (vardas, pavardė ir pareigos)	Informacinės sistemos saugos įgaliotinis (vardas, pavardė, parašas)
1.
2.
3.
4.
5.

Elektroninės informacijos saugos incidento pavojaus rūšis:

1 - oro sąlygos; 2 - gaisras; 3 - patalpų užgrobimas; 4 - patalpai padaryta žala arba patalpos praradimas; 5 - energijos tiekimo sutrikimai; 6 - vandentiekio ir šildymo sistemos sutrikimai; 7 - ryšio sutrikimai; 8 - tarnybinės stoties, komutacinės įrangos sugadinimas, praradimas; 9 - programinės įrangos sugadinimas, praradimas; 10 - duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas; 11 - darbuotojų praradimas.

_____________

Valstybinės teritorijų planavimo ir statybos

inspekcijos prie Aplinkos ministerijos

valdomos dokumentų ir procesų valdymo

sistemos „Avilys“ ir Rizikos valdymo

informacinės sistemos veiklos tęstinumo

valdymo plano

3 priedas

KIBERNETINIŲ INCIDENTŲ VALDYMO IR NACIONALINIO KIBERNETINIO SAUGUMO CENTRO PRIE KRAŠTO APSAUGOS MINISTERIJOS INFORMAVIMO TVARKOS APRAŠAS

1. Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos informavimo tvarkos aprašas reglamentuoja kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos (toliau – Centras) informavimą apie šiuo Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos viršininko įsakymu patvirtinto Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos veiklos tęstinumo valdymo plano (toliau – Valdymo planas) 1 punkte nurodytose informacinėse sistemose (toliau – IS) įvykusius kibernetinius incidentus tvarką.

2. Centras informuojamas apie IS įvykusius:

2.1. didelio poveikio kibernetinius incidentus – nedelsiant, bet ne vėliau kaip per 1 valandą nuo jų nustatymo;

2.2. vidutinio poveikio kibernetinius incidentus – ne vėliau kaip per 4 valandas nuo jų nustatymo;

2.3. nereikšmingo poveikio kibernetinius incidentus – periodiškai kiekvieno kalendorinio mėnesio pirmą darbo dieną.

3. Centras informuojamas apie didelio ar vidutinio poveikio kibernetinius incidentus kibernetinio saugumo subjekto pranešimu, kuriame nurodoma:

3.1. kibernetinio incidento grupė (grupės) ir poveikio kategorija, nustatyta pagal Valdymo plano 4 priede pateiktus kriterijus;

3.2. trumpas kibernetinio incidento apibūdinimas;

3.3. tikslus laikas, kada kibernetinis incidentas įvyko ir buvo nustatytas;

3.4. kibernetinio incidento šalinimo tvarka (nurodoma ar tai prioritetas, ar ne);

3.5. tikslus laikas, kada bus teikiama kibernetinio incidento tyrimo ataskaita.

4. Informuojant apie nereikšmingą kibernetinį incidentą pateikiama informacija apie kiekvienos grupės incidentų, įvykusių nuo paskutinio pranešimo pateikimo dienos, skaičių.

5. Centrui pateikiama incidento tyrimo ataskaita:

5.1. didelės reikšmės kibernetinio incidento valdymo būklę – ne vėliau kaip per 4 valandas nuo jo nustatymo ir ne rečiau kaip kas 4 valandas atnaujintą informaciją, iki kol kibernetinis incidentas suvaldomas ar pasibaigia;

5.2. vidutinės reikšmės kibernetinio incidento valdymo būklę – ne vėliau kaip per 24 valandas nuo jo nustatymo ir ne rečiau kaip kas 24 valandas atnaujintą informaciją, iki kol kibernetinis incidentas suvaldomas ar pasibaigia;

5.3. didelio ar vidutinio poveikio kibernetinių incidentų suvaldymą ar pasibaigimą – ne vėliau kaip per 4 valandas nuo jų suvaldymo ar pasibaigimo.

6. Didelės ir vidutinės reikšmės kibernetinio incidento tyrimo ataskaitoje nurodoma žinoma informacija:

6.1. kibernetinio incidento grupė (grupės) ir poveikio kategorija;

6.2. IS komponento, kuriame nustatytas kibernetinis incidentas, tipas (registras, informacinė sistema, posistemė, elektroninių ryšių tinklas, tarnybinė stotis ir panašiai);

6.3. kibernetinio incidento veikimo trukmė;

6.4. kibernetinio incidento šaltinis;

6.5. kibernetinio incidento požymiai;

6.6. kibernetinio incidento veikimo metodas;

6.7. galimos kibernetinio incidento pasekmės;

6.8. kibernetinio incidento poveikio pasireiškimo (galimo išplitimo) mastas;

6.9. kibernetinio incidento būsena (aktyvus, pasyvus);

6.10. priemonės, kuriomis kibernetinis incidentas nustatytas;

6.11. galimos kibernetinio incidento valdymo priemonės;

6.12. tikslus laikas, kada bus teikiama pakartotinė kibernetinio incidento tyrimo ataskaita.

7. Apie didelės ir vidutinės reikšmės kibernetinio incidento sustabdymą ir pašalinimą Centrui pranešama ne vėliau kaip per 8 valandas nuo kibernetinio incidento sustabdymo ir pašalinimo.

8. Apie kibernetinius incidentus Centras informuojamas naudojantis Kibernetinio saugumo informaciniu tinklu, o nesant galimybės – Centro nurodytais kontaktais (tel. 1843, el. p. cert@nksc.lt).

9. Kriterijai, kuriais vadovaujantis kibernetiniai incidentai priskiriami konkrečiai kategorijai, nustatyti Valdymo plano 4 priede.

__________________________

Valstybinės teritorijų planavimo ir statybos

inspekcijos prie Aplinkos ministerijos

valdomos dokumentų ir procesų valdymo

sistemos „Avilys“ ir Rizikos valdymo

informacinės sistemos veiklos tęstinumo

valdymo plano

4 priedas

KIBERNETINIŲ INCIDENTŲ KATEGORIJŲ SĄRAŠAS

Eil. Nr.	Kibernetinis incidentas
Eil. Nr.	Grupė	Apibūdinimas	Kategorija
1.	Kenkimo programinė įranga (angl. Malicious Software)	Kenkimo programinė įranga, kai darbo ar tarnybinės stotys aktyviai kontroliuojamos įsibrovėlių (pavyzdžiui, užpakalinės durys (angl. back door). Modernios kenkimo programinės įrangos (angl. advanced persistent threat, APT) aptikimas informacinėse sistemose (toliau – IS). Kenkimo programinė įranga, trikdanti IS kibernetinio saugumo priemonių darbą.	Didelės reikšmės kibernetinis incidentas (toliau – D)
		Kenkimo programinė įranga, kurios neaptinka IS darbo stotyje veikianti antivirusinė programinė įranga. IS veikianti kenkimo programinė įranga, kurią aptinka antivirusinė programinė įranga per reguliarų patikrinimą.	Vidutinės reikšmės kibernetinis incidentas (toliau – V)
		IS laikmenose ar darbo ir tarnybinėse stotyse veikianti kenkimo programinė įranga, kurią iš karto aptinka antivirusinė programinė įranga. Socialinės inžinerijos metodų naudojimas (manipuliavimas IS naudotojų emocijomis ir psichologija, pastabumo stoka, technologijų neišmanymu), kai bandoma įtikinti IS naudotoją atlikti grėsmę IS keliančius veiksmus, tačiau IS naudotojas atpažįsta grėsmę ir neatlieka kenkimo programinę įrangą aktyvinančių veiksmų.	Nereikšmingas kibernetinis incidentas (toliau – N)
2.	Įsilaužimas	Vykdoma vidinė IS žvalgyba ar kita įtartina veikla (prievadų skenavimas, slaptažodžių parinkimas, kita), aptikta IS (neskaitant kenkimo programinės įrangos), sukėlusi IS veiklos sutrikimus. Piktybiniai veiksmai prieš IS kibernetinio saugumo priemones.	D
2.	Įsilaužimas	Vykdoma vidinė IS žvalgyba ar kita įtartina veikla (prievadų skenavimas, slaptažodžių parinkimas, kita), aptikta IS infrastruktūroje.	V
3.	IS perimetro žvalgyba	Vykdoma aktyvi (slaptažodžių parinkimas, bandymai išnaudoti pažeidžiamumus, kita) IS perimetro žvalgyba ar įtartina veikla (neskaitant kenksmingos programinės įrangos), mėginama paveikti IS kibernetinio saugumo priemones.	V
3.	IS perimetro žvalgyba	Vykdoma IS perimetro priemonių žvalgyba (nebandant įsilaužti).	N
4.	IS trikdymas	Veiksmas, ilgiau nei 4 valandoms sutrikdęs IS veiklą.	D
4.	IS trikdymas	Veiksmas, kuriuo trikdoma (angl. Denial of Service, DoS) IS veikla.	V
5.	Neteisėta veika	Vagystė, apgavystė ir panašūs kriminalinio pobūdžio kibernetiniai incidentai.	V
6.	Vientisumo pažeidimas	IS ar jo dalies pažeidimas, sutrikdantis IS teikiamų paslaugų nepertraukiamą teikimą, galintis turėti įtakos tvarkomų duomenų ir teikiamų paslaugų patikimumui, iškreipti turinį ir mažinti IS paslaugų gavėjų pasitikėjimą jais.	V

__________________________

PATVIRTINTA

Valstybinės teritorijų planavimo ir statybos

inspekcijos prie Aplinkos ministerijos viršininko

2025 m. sausio 20 d. įsakymu Nr. 1V-3

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) nustato Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomų dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos (toliau – IS) naudotojų, administratorių įgaliojimus, teises ir pareigas bei saugaus duomenų ir informacijos teikimo IS paslaugų gavėjams kontrolės tvarką.

2. Administravimo taisyklės parengtos vadovaujantis:

2.1. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;

2.2. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

2.3. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

2.4. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos duomenų saugos nuostatais, patvirtintais 2023 m. balandžio 19 d. įsakymu Nr. 1V-43 „Dėl Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos valdomos dokumentų ir procesų valdymo sistemos „Avilys“ ir Rizikos valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“;

2.5. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos rizikos valdymo informacinės sistemos nuostatais, patvirtintais 2024 m. spalio 2 d. įsakymu Nr. 1V-112 „Dėl Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos rizikos valdymo informacinės sistemos nuostatų patvirtinimo“;

2.6. Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos dokumentų valdymo informacinės sistemos „Avilys“ nuostatais, patvirtintais 2009 m. vasario 11 d. įsakymu Nr. 1V-52 „Dėl Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos dokumentų valdymo informacinės sistemos „Avilys“ nuostatų patvirtinimo“.

3. Administravimo taisyklėse vartojamos sąvokos atitinka Administravimo taisyklių 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

4. Administravimo taisyklės taikomos visiems IS naudotojams, IS administratoriui, IS saugos įgaliotiniui, kurių prieigos prie IS duomenų teisės paremtos IS duomenų saugumo, stabilumo, operatyvumo principais.

5. IS naudotojams prieiga prie IS duomenų suteikiama vadovaujantis šiais principais:

5.1. IS naudotojams prieiga turi būti suteikiama tik prie tų IS duomenų ir tik tokia apimtimi, kuri reikalinga IS naudotojo pareigybės aprašyme nurodytoms funkcijoms atlikti;

5.2. IS duomenis gali keisti (sukurti, papildyti ar panaikinti) tik tokią teisę turintys IS naudotojai;

5.3. prieiga prie IS duomenų ir teisė ją keisti suteikiama tik atlikus IS naudotojo atpažinimą.

II SKYRIUS

IS NAUDOTOJŲ ir IS administratoriAUS

įgaliojimai, TEISĖS IR PAREIGOS

6. IS naudotojai turi teisę:

6.1. naudotis tik tomis IS funkcijomis bei IS duomenimis, prie kurių prieigą jiems suteikė IS administratorius;

6.2. gauti informaciją apie jų naudojamų IS duomenų apsaugos lygį bei taikomas apsaugos priemones, teikti siūlymus dėl papildomų apsaugos priemonių;

6.3. kreiptis į IS administratorių ar IS saugos įgaliotinį dėl neveikiančios ar netinkamai veikiančios IS;

6.4. IS naudotojai turi teisę atlikti kitus veiksmus, numatytus IS saugos politikos įgyvendinamuosiuose teisės aktuose.

7. IS naudotojai privalo:

7.1. naudoti IS duomenis tik tarnybinėms arba darbo funkcijoms atlikti;

7.2. nedelsiant pranešti IS administratoriui ir IS saugos įgaliotiniui apie IS saugos politiką įgyvendinamųjų teisės aktų pažeidimus, veiksmus, turinčius nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų ir informacijos saugos užtikrinimo priemones, o apie pastebėtus galimus asmens duomenų saugumo pažeidimus pranešti Asmens duomenų tvarkymo Valstybinėje teritorijų planavimo ir statybos inspekcijoje prie Aplinkos ministerijos taisyklių, patvirtintų 2022 m. lapkričio 29 d. įsakymu Nr. 1V-171, nustatyta tvarka;

7.3. užtikrinti jų naudojamų IS duomenų konfidencialumą bei vientisumą, savo veiksmais netrikdyti IS duomenų prieinamumo;

7.4. baigus darbą ar pasitraukiant iš darbo vietos, imtis priemonių, kad su IS duomenimis negalėtų susipažinti pašaliniai asmenys: atsijungti nuo IS, įjungti ekrano užsklandą su slaptažodžiu, dokumentus ar jų kopijas darbo vietoje padėti į pašaliniams asmenims neprieinamą vietą;

7.5. raštu susipažinti ir laikytis IS saugos nuostatų, IS saugaus elektroninės informacijos tvarkymo taisyklių, IS veiklos tęstinumo valdymo plano ir šių Administravimo taisyklių reikalavimų;

7.6. pranešti IS administratoriui apie slaptažodžio užblokavimą ar užmiršimą;

7.7. IS naudotojai privalo vykdyti kitas pareigas, nustatytas IS saugos politikos įgyvendinamuosiuose teisės aktuose.

8. IS naudotojui draudžiama:

8.1. leisti prisijungti prie IS ne IS naudotojui ar kitais nei Administravimo taisyklėse nurodytais būdais;

8.2. be priežiūros palikti kompiuterį neužrakintu ekranu;

8.3. platinti IS esančią informaciją, išskyrus viešo turinio informaciją;

8.4. IS naudotojams negali būti suteikiamos administratoriaus teisės.

9. IS administratorius turi teisę:

9.1. matyti visų IS naudotojų atpažinties ir suteiktų teisių duomenis;

9.2. matyti IS naudotojų su IS duomenimis atliktus veiksmus;

9.3. atlikti užklausas IS pagal pasirinktus paieškos kriterijus.

10. IS techninis administratorius turi teisę:

10.1. fiziškai prieiti prie techninės ir sisteminės programinės įrangos;

10.2. vykdyti IS techninės priežiūros funkcijas.

11. IS administratorius privalo:

11.1. registruoti naujus IS naudotojus;

11.2. tvarkyti esamų IS naudotojų duomenis;

11.3. periodiškai tikrinti, ar nėra nepatvirtintų IS administratoriaus paskyrų;

11.4. tikrinti, ar nėra nepatvirtintų IS naudotojų paskyrų; apie nepatvirtintas IS naudotojų paskyras pranešti IS saugos įgaliotiniui;

11.5. konsultuoti IS naudotojus dėl IS veikimo ir kitais su IS susijusiais klausimais;

11.6. IS priežiūros funkcijas atlikti naudojant atskirą tam skirtą paskyrą, kuri negali būti naudojama kasdienėms IS naudotojo funkcijoms atlikti.

12. IS techninis administratorius privalo:

12.1. pagal kompetenciją užtikrinti nepertraukiamą IS techninės ir sisteminės programinės įrangos veikimą;

12.2. dalyvauti atliekant IS rizikos veiksnių įvertinimą, rengiant IS rizikos veiksnių įvertinimo ataskaitą ir rizikos veiksnių įvertinimo ir rizikos veiksnių valdymo priemonių planą;

12.3. atlikti IS taikomų saugumo reikalavimų atitikties vertinimą.

13. IS administratoriui draudžiama suteikti ne IS naudotojams prieigos teises prie IS duomenų, išskyrus viešąją turinio informaciją.

14. IS administratoriaus, IS techninio administratoriaus, IS saugos įgaliotinio funkcijos reglamentuotos IS saugos nuostatuose ir kituose IS saugos politiką įgyvendinamuosiuose teisės aktuose.

III SKYRIUS

SAUGAUS elektroninės informacijos TEIKIMO IS NAUDOTOJAMS KONTROLĖS TVARKA

15. IS administratorius yra atsakingas už IS naudotojų registravimą, išregistravimą, prieigos prie IS teisių suteikimą ir panaikinimą.

16. IS naudotojams suteikiamas unikalus prisijungimo prie IS vardas ir atsitiktiniu būdu sugeneruotas slaptažodis su galimybe jį pasikeisti. Prieigas prie IS tarnybinių stočių IS naudotojams suteikia IS administratorius.

17. IS paslaugų gavėjams informacija teikiama IS nuostatuose nustatyta tvarka.

18. Slaptažodžiai negali būti saugomi ar perduodami atviru tekstu. Saugos įgaliotinio sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo ir tik tuo atveju, kai nėra techninių galimybių IS naudotojui perduoti slaptažodžio šifruotu kanalu ar saugiu elektroninių ryšių tinklu.

19. IS dalys, patvirtinančios IS naudotojo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius.

20. IS naudotojai prisijungti prie IS tarnybinių stočių gali tik su IS administratoriaus suteiktais unikaliais vardais ir slaptažodžiais.

21. IS naudotojų prisijungimo prie IS vardai ir slaptažodžiai saugomi atitinkamos IS duomenų bazėje.

22. Prieigą prie duomenų bazės turi tik IS administratorius. Duomenys duomenų bazėje yra šifruojami.

23. Slaptažodį IS naudotojai, prisijungę prie IS, turi teisę pasikeisti savarankiškai.

24. IS naudotojo slaptažodžiui yra keliami šie reikalavimai:

24.1. slaptažodį turi sudaryti ne trumpesnė kaip 8 simbolių kombinacija, sudaryta iš didžiųjų ir mažųjų raidžių, skaitmenų ir specialiųjų simbolių;

24.2. slaptažodžiams neturi būti naudojama asmeninio pobūdžio informacija;

24.3. slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius;

24.4. keičiant slaptažodį neleidžiama pasirinkti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;

24.5. IS naudotojas, pirmą kartą gavęs IS administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie IS ir nedelsdamas slaptažodį pakeisti;

24.6. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius – 5 kartai. IS naudotojui 5 kartus neteisingai įvedus slaptažodį, IS sistema užsirakina ir IS naudotojui 15 minučių neleidžiama prisijungti;

24.7. IS naudotojas privalo saugoti slaptažodį ir jo neatskleisti kitiems asmenims;

24.8. IS naudotojas, įtaręs, kad kiti asmenys sužinojo slaptažodį, privalo nedelsdamas jį pakeisti.

25. IS administratoriaus ir IS techninio administratoriaus slaptažodis:

25.1. turi būti ne trumpesnis kaip 12 simbolių, sudarytas iš didžiųjų ir mažųjų raidžių, skaitmenų ir specialiųjų simbolių arba slaptažodį turi sudaryti ne mažiau kaip 8 simboliai, jeigu naudojamos dviejų veiksnių tapatumo patvirtinimo priemonės;

25.2. turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

25.3. keičiant slaptažodį neleidžiama pasirinkti slaptažodžio iš buvusių 6 paskutinių slaptažodžių.

26. IS administratorius, iš IS valdytojo ar IS tvarkytojo gavęs rašytinį prašymą apriboti IS naudotojo prieigos teises, nedelsdamas apriboja nurodyto IS naudotojo prieigą prie IS.

27. Laikotarpiu, kai IS naudotojas nevykdo IS funkcijų, teisė dirbti su atitinkama IS elektronine informacija jam yra sustabdoma.

28. Pasibaigus darbo santykiams, IS naudotojui panaikinama IS naudotojo paskyra.

29. IS administratoriaus ir IS techninio administratoriaus teisė dirbti su IS turi būti sustabdoma, kai administratorius nesinaudoja IS ilgiau kaip 2 mėnesius (jeigu IS dalys palaiko tokį funkcionalumą).

30. Leistinas nuotolinio IS naudotojų prisijungimo prie IS būdas yra virtualus privatus kompiuterių tinklas (angl. Virtual Private Network).

IV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

31. IS naudotojai, IS administratorius, IS techninis administratorius ir IS saugos įgaliotinis, pažeidę šių Administravimo taisyklių ir kitų saugos politiką įgyvendinamųjų teisės aktų nuostatas, atsako teisės aktų nustatyta tvarka.

____________________