LIETUVOS RESPUBLIKOS ŠVIETIMO, MOKSLO IR SPORTO MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRO 2015 M. LIEPOS 2 D. ĮSAKYMO NR. V-710 „DĖL LIETUVOS AKADEMINĖS ELEKTRONINĖS BIBLIOTEKOS INFORMACINĖS SISTEMOS SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ PATVIRTINIMO“ PAKEITIMO
2019 m. spalio 14 d. Nr. V-1150
Vilnius
Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 43 straipsnio 2 dalimi, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 8 punktu,
pakeičiu Lietuvos Respublikos švietimo ir mokslo ministro 2015 m. liepos 2 d. įsakymą Nr. V-710 „Dėl Lietuvos akademinės elektroninės bibliotekos informacinės sistemos saugos politiką įgyvendinančių dokumentų patvirtinimo“:
1. pakeičiu nurodytuoju įsakymu patvirtintas Lietuvos akademinės elektroninės bibliotekos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles ir išdėstau jas nauja redakcija (pridedama);
2. pakeičiu nurodytuoju įsakymu patvirtintą Lietuvos akademinės elektroninės bibliotekos informacinės sistemos veiklos tęstinumo valdymo planą ir išdėstau jį nauja redakcija (pridedama);
3. pakeičiu nurodytuoju įsakymu patvirtintas Lietuvos akademinės elektroninės bibliotekos informacinės sistemos naudotojų administravimo taisykles ir išdėstau jas nauja redakcija (pridedama).
PATVIRTINTA
Lietuvos Respublikos švietimo ir mokslo ministro
2015 m. liepos 2 d. įsakymu Nr. V-710
(Lietuvos Respublikos švietimo, mokslo ir sporto ministro
2019 m. spalio 14 d. įsakymo Nr. V-1150
redakcija)
LIETUVOS AKADEMINĖS ELEKTRONINĖS BIBLIOTEKOS
INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS
TVARKYMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos akademinės elektroninės bibliotekos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) nustato tvarką, pagal kurią turi būti saugiai tvarkoma Lietuvos akademinės elektroninės bibliotekos informacinės sistemos (toliau – eLABa) elektroninė informacija.
3. Už Taisyklių įgyvendinimo organizavimą ir kontrolę atsako pagrindinio eLABa tvarkytojo eLABa saugos įgaliotinis bendrai ir eLABa naudojančių institucijų saugos įgaliotiniai subsidiariai.
4. Taisyklės parengtos, vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Lietuvos akademinės elektroninės bibliotekos informacinės sistemos nuostatais, (toliau – eLABa nuostatai) ir Lietuvos akademinės elektroninės bibliotekos informacinės sistemos duomenų saugos nuostatais (toliau – eLABa duomenų saugos nuostatai), patvirtintais Lietuvos Respublikos švietimo ir mokslo ministro 2006 m. liepos 14 d. įsakymu Nr. ISAK-1506 „Dėl Lietuvos akademinės elektroninės bibliotekos informacinės sistemos nuostatų ir Lietuvos akademinės elektroninės bibliotekos informacinės sistemos duomenų saugos nuostatų patvirtinimo“, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, ir kitais teisės aktais.
5. Taisyklėse vartojamos sąvokos suprantamos taip, kaip apibrėžtos Bendruosiuose elektroninės informacijos saugos reikalavimuose, Saugos dokumentų turinio gairių apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, eLABa nuostatuose, eLABa duomenų saugos nuostatuose ir kituose saugų duomenų tvarkymą reglamentuojančiuose teisės aktuose.
6. eLABa informacinėje sistemoje tvarkoma eLABa elektroninė informacija yra pateikta eLABa nuostatų 19 punkte.
7. eLABa pagal tvarkomą informaciją priskirta informacinės sistemos kategorijai, kuri nurodyta eLABa duomenų saugos nuostatų 19 punkte.
8. Už eLABa elektroninės informacijos tvarkymą atsakingi:
8.1. eLABa administratoriai – už informacijos, nurodytos eLABa nuostatų 19.2, 19.5, 19.7, 19.8, 19.9, 19.10 papunkčiuose;
8.2. vidiniai eLABa naudotojai (darbo vadovai, bibliotekininkai, institucijos padalinio registratoriai, institucijos registratoriai) – už informacijos, nurodytos eLABa nuostatų 19.1, 19.2, 19.3, 19.4, 19.6 papunkčiuose;
II SKYRIUS
TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS
9. Kompiuterinės įrangos saugos priemonės:
9.1. eLABa administratorių kompiuteriuose turi būti naudojama antivirusinė ir kita programinė įranga, skirta aptikti ir realiu metu stebėti ir šalinti kenksmingą programinę įrangą. Ši įranga turi būti nuolatos, bet ne rečiau kaip kartą per savaitę, atnaujinama ir automatiškai turi informuoti lokalaus darbo vietos administratorių apie tai, kurių eLABa posistemių, funkciškai savarankiškų sudedamųjų dalių uždelsta atsinaujinimo veikla;
9.2. turi būti operatyviai išbandomi ir įdiegiami eLABa administratorių darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai; eLABa lokalaus tinklo ir darbo vietų administratorius reguliariai, ne rečiau kaip kartą per mėnesį, turi įvertinti informaciją apie eLABa vidinių naudotojų darbo vietų kompiuterinėje įrangoje neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumo svarbos lygius;
9.3. eLABa administratorių kompiuterinėje įrangoje turi būti naudojama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga;
9.4. eLABa administratorių darbo vietose gali būti naudojamos tik tarnybinėms reikmėms skirtos išorinės duomenų laikmenos (pavyzdžiui, USB, CD / DVD ir kt.); šios laikmenos negali būti naudojamos veiklai, nesusijusiai su teisėtu eLABa tvarkymu;
10. Sisteminės ir taikomosios programinės įrangos saugos priemonės:
10.1. neatliekant jokių veiksmų su eLABa 30 minučių, eLABa taikomoji programinė įranga turi užsirakinti, kad toliau naudotis eLABa galima būtų, tik pakartotinai patvirtinus savo tapatybę;
10.2. techninių centrų eLABa tarnybinėse stotyse turi būti naudojama antivirusinė ir kita programinė įranga, skirta aptikti ir realiu metu stebėti ir šalinti kenksmingą programinę įrangą. Ši įranga turi būti nuolatos, bet ne rečiau kaip kartą per savaitę atnaujinama ir automatiškai turi informuoti eLABa sisteminį administratorių apie tai, kurių eLABa posistemių, funkciškai savarankiškų sudedamųjų dalių uždelsta atsinaujinimo veikla; eLABa komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu yra patvirtinama, kad šių komponentų rizika yra priimtina;
10.3. turi būti operatyviai išbandomi ir įdiegiami eLABa tarnybinių stočių įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai; techninių centrų eLABa administratoriai reguliariai, ne rečiau kaip kartą per savaitę, turi įvertinti informaciją apie eLABa posistemėms, funkciškai savarankiškoms sudedamosioms dalims neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumo svarbos lygius;
10.5. eLABa vidinių naudotojų ir administratorių darbo vietose bei tarnybinėse stotyse naudojama tik legali, pripažinta tinkama programinė įranga;
10.7. eLABa techninės ir programinės įrangos priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai;
10.8. eLABa sisteminis administratorius turi būti įspėjamas, kai pagrindinėje eLABa kompiuterinėje įrangoje sumažėja iki nustatytos pavojingos ribos laisvos kompiuterio atminties ar vietos diske, ilgai stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja;
10.9. eLABa turi turėti įvestos elektroninės informacijos tikslumo, užbaigtumo ir patikimumo tikrinimo priemones;
10.11. informacija apie į eLABa įrašomus duomenis, apie eLABa įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis į eLABa, visus eLABa naudotojų vykdomus veiksmus, kitus saugai svarbius įvykius, nurodant eLABa naudotojo identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką, turi būti saugoma ne trumpiau kaip 6 mėnesius. Šie duomenys turi būti saugomi ne toje pačioje informacinėje sistemoje, kurioje jie įrašomi, taip pat jie turi būti analizuojami ne rečiau kaip kartą per savaitę;
10.12. pagrindinėse eLABa tarnybinėse stotyse turi būti naudojamos vykdomo kodo kontrolės priemonės, automatiškai apribojančios ar informuojančios apie neautorizuoto programinio kodo vykdymą;
10.13. pagrindinėse eLABa tarnybinėse stotyse turi būti įjungtos ugniasienės, sukonfigūruotos praleisti tik su eLABa funkcionalumu ir administravimu susijusį duomenų srautą;
10.14. programinės įrangos bandymas atliekamas, naudojant atskirą testavimo aplinką, kurioje nėra saugomi asmens duomenys;
10.15. kiekvienas eLABa naudotojas turi būti informacinėje sistemoje unikaliai identifikuojamas eLABa naudotojo vardu. Asmens kodas negali būti naudojamas kaip eLABa naudotojo identifikatorius;
10.16. eLABa naudotojai ir eLABa administratoriai turi patvirtinti savo tapatybę slaptažodžiu arba kita tapatumo patvirtinimo priemone;
11. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:
11.1. eLABa tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių eLABa naudotojų kompiuterinę įrangą nuo kenksmingo kodo;
11.2. viešaisiais ryšių tinklais perduodamos eLABa elektroninės informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą, virtualų privatų tinklą (angl. virtual private network), skirtines linijas, saugų elektroninių ryšių tinklą ar kitas priemones;
11.3. duomenų perdavimo tinklo mazgai ir ryšio linijos turi būti dubliuoti ir jų techninė būklė nuolat stebima;
11.4. eLABa tinkle turi būti įdiegtos ir veikti automatinės įsilaužimo aptikimo sistemos. Įsilaužimo aptikimo konfigūracijos ir kibernetinių incidentų aptikimo taisyklės turi būti saugomos elektronine forma atskirai nuo valstybės informacinės infrastruktūros techninės įrangos (kartu nurodant įgyvendinimo, atnaujinimo ir datas, atsakingus asmenis, taikymo periodus);
12. Tarnybinių stočių patalpų ir aplinkos saugumo užtikrinimo priemonės:
12.2. eLABa tarnybinių stočių patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir (arba) apsaugos tarnybos stebėjimo pulto;
12.3. svarbiausia kompiuterinė įranga ir duomenų perdavimo tinklo mazgai turi turėti rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne mažiau kaip 30 min.;
12.5. visose patalpose, kuriose yra eLABa tarnybinių stočių techninė įranga, turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybų;
12.7. įrengta elektroninė patalpų perimetro kontrolės sistema. Tarnybinių stočių patalpos turi atskirą elektroninę perimetro kontrolės sistemą;
12.8. įrengta tam tikrų patalpų apsaugos signalizacija, kurios signalai, pasibaigus darbo dienai, taip pat poilsio ir švenčių dienomis persiunčiami patalpas saugančiai tarnybai;
12.9. eLABa sisteminiam administratoriui išduodama asmeninė magnetinė įėjimo kortelė, kurią įeidamas ir išeidamas pasižymi patikros punktuose;
12.10. visi eLABa sisteminio administratoriaus ir kitų darbuotojų įėjimų ir išėjimų į patalpas kartai fiksuojami ir laikomi elektronine forma ne trumpiau kaip 1 metus;
12.11. kiti darbuotojai, kuriems nėra išduota asmeninė magnetinė įėjimo kortelė, į patalpas gali patekti tik lydimi už atitinkamo techninio centro patalpų kontrolę atsakingo asmens;
12.12. įvykus apsaugos sistemos gedimui, pildomas įėjimo punkto žurnalas, nurodant patekimo priežastį, pradžią ir pabaigą;
12.15. lankytojai ir svečiai pasirašo įėjimo punkto žurnale. Už apsilankymą atsakingas darbuotojas patvirtina apsilankymo duomenis ir pasirašo įėjimo punkto žurnale;
12.16. po 22 val. ir ne darbo dienomis į atitinkamo techninio centro patalpas savarankiškai patekti gali tik eLABa sisteminis administratorius, eLABa saugos įgaliotinis ir kiti specialius leidimus turintys darbuotojai, kuriuos patvirtina atitinkamo techninio centro vadovas;
13. Belaidžio tinklo saugumas ir kontrolė informacinės sistemos tvarkytojų patalpose:
13.1. leidžiama naudoti tik su institucijos saugos įgaliotiniu suderintus belaidžio tinklo įrenginius (belaidės prieigos taškus), atitinkančius techninius kibernetinio saugumo reikalavimus;
13.2. tikrinami prieigai prie eLABa naudojami belaidžiai įrenginiai, eLABa tvarkytojo eLABa saugos įgaliotiniui arba atitinkamai savo institucijos saugos įgaliotiniui pranešama apie neleistinus ar techninių kibernetinio saugumo reikalavimų neatitinkančius belaidžius įrenginius;
13.3. suderinus su eLABa tvarkytojo eLABa saugos įgaliotiniu arba atitinkamai savo institucijos saugos įgaliotiniu, belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, kontroliuojamoje zonoje;
13.4. prisijungiant prie belaidžio tinklo, turi būti taikomas naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) / TLS (angl. Transport Layer Security) protokolas;
13.7. turi būti išjungti nenaudojami duomenų perdavimo TCP (angl. Transmission Control Protocol) / UDP (angl. User Datagram Protocol) protokolų naudojami prievadai;
13.8. turi būti išjungtas lygiarangis (angl. peer to peer) funkcionalumas, leidžiantis belaidžiais įrenginiais tarpusavyje palaikyti ryšį;
14. eLABa naudojamų svetainių, pasiekiamų iš viešųjų elektroninių ryšių tinklų, saugumas ir kontrolė:
14.1. svetainės, patvirtinančios nuotolinio prisijungimo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius;
14.3. turi būti įgyvendinti svetainės kriptografijos reikalavimai:
14.3.1. svetainės administravimo darbai turi būti atliekami per šifruotą ryšio kanalą, šifruojant ne trumpesniu kaip 256 bitų raktu;
14.3.2. šifruojant naudojami skaitmeniniai sertifikatai privalo būti išduoti patikimų sertifikavimo tarnybų; sertifikato raktas turi būti ne trumpesnis kaip 1024 bitų;
14.4. draudžiama tarnybinėje stotyje saugoti sesijos duomenis (identifikatorių), pasibaigus susijungimo sesijai;
14.6. tarnybinė stotis, kurioje yra svetainė, neturi rodyti svetainės naudotojui klaidų pranešimų apie svetainės programinį kodą ar tarnybinę stotį;
14.7. tarnybinė stotis, kurioje yra svetainė, turi leisti tik svetainės funkcionalumui užtikrinti reikalingus HTTP metodus;
15. Technologinio pažeidžiamumo valdymas:
15.1. ne rečiau kaip kartą į metus pagrindinio eLABa tvarkytojo eLABa saugos įgaliotinis organizuoja grėsmių ir pažeidžiamumų, galinčių turėti įtakos eLABa kibernetiniam saugumui, vertinimą kartu su rizikos vertinimu ir (arba) informacinių technologijų saugos atitikties vertinimu;
15.2. pažeidžiamumų nustatymo planas parengiamas eLABa rizikos vertinimo pradžioje, nustatant rizikos vertinimo apimtį. Pažeidžiamumų nustatymo planas turi apimti pažeidžiamumų nustatymo būdą (ar bus atliekamas savo jėgomis, ar perkamos išorinių paslaugų teikėjų paslaugos) ir apimtį, pažeidžiamumo nustatymo dalyvius, jų teises ir pareigas;
15.3. technologinių pažeidžiamumų įvertinimas turi būti atliekamas pagal viešai žinomą ir pripažintą atvirą ar komercinę pažeidžiamumų įvertinimo metodiką (angl. penetration testing methodology);
15.4. technologinių pažeidžiamumų įvertinimo būdus, metodus ir priemones, įskaitant naudojamą pažeidžiamumų nustatymo programinę įrangą, paslaugų teikėjas turi suderinti su pagrindinio eLABa tvarkytojo eLABa saugos įgaliotiniu prieš pradedant eLABa technologinių pažeidžiamumų įvertinimą;
15.5. atliekant technologinių pažeidžiamumų įvertinimą savo jėgomis, naudojama speciali pažeidžiamumų nustatymo programinė įranga „Nessus“;
15.6. technologinių pažeidžiamumų testavimo rezultatai klasifikuojami, suteikiant pažeidžiamumui kritiškumo balą, atsižvelgiant į jo įtaką, išnaudojimo sudėtingumą ir tikimybę. Kritiškumo balas suteikiamas priklausomai nuo naudojamo pažeidžiamumų testavimo būdo ir naudojamos metodikos: atliekant pažeidžiamumų testavimą su specialia programine įranga, pažeidžiamumai vertinami vadovaujantis CVSS (angl. Common Vulnerability Scoring System) metodika, o rankiniu būdu – 5 balų skalėje, kad būtų galima susieti su rizikos vertinimo kriterijais, naudojamais Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemoje (ARSIS). Bendro rizikos vertinimo metu, vertinant grėsmių tikimybes, atsižvelgiama į technologinio pažeidžiamumų įvertinimo rezultatus;
15.7. atlikus įvertinimą rengiama detali atlikto technologinio pažeidžiamumų testavimo rezultatų ataskaita techniniams specialistams;
15.8. ataskaitoje technologinio pažeidžiamumų testavimo rezultatai pateikiami tokioje struktūroje:
15.8.3. testo objektai, taikiniai (IP adresai, prievadų numeriai, atakuoti URL parametrai, atakuotų žiniatinklio formų parametrai ir kt.);
15.8.5. testo / atakos turinys, parašas, naudoto kenksmingo programinio kodo išeities tekstas, žiniatinklio užklausų parametrų reikšmės ir kt.;
15.8.7. testo ar testavimo įrankio išdavos (angl. output) ir pažeidžiamumo buvimo/nebuvimo įrodymai;
16. Kitos priemonės, naudojamos eLABa elektroninės informacijos saugai užtikrinti:
16.1. turi būti registruojami duomenų bazių struktūros ir tarnybinių stočių operacinės sistemos pakeitimai;
16.2. baigęs darbą, eLABa naudotojas turi užtikrinti, kad su eLABa elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungti nuo eLABa, uždaryti programinę įrangą, įjungti ekrano užsklandą su slaptažodžiu;
III SKYRIUS
SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
17. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo užtikrinimo tvarka:
17.1. tvarkomus duomenis įvesti, atnaujinti, šalinti gali eLABa naudotojas pagal jam priskirtą vaidmenį sistemoje, nurodytą Taisyklių 8 punkte;
17.2. pateikiamų į eLABa dokumentų aprašų informacijos (metaduomenų) prieiga tvarkymui priklauso nuo eLABa naudotojo vaidmens sistemoje, jo santykio su dokumentu ir dokumento būsenos dokumento apdorojimo procese;
17.3. eLABa tvarkytojai ir duomenų valdytojai gali tvarkyti tik savo institucijai priklausančius duomenis (dokumentų, klasifikatorių ir naudotojų duomenis), išskyrus sutartus bendro duomenų valdymo ar tvarkymo atvejus;
17.4. prieiga prie visateksčio elektroninio dokumento reglamentuojama teisiniais dokumentais, užtikrinančiais jo savininko intelektinės nuosavybės apsaugą;
17.5. duomenys į eLABa duomenų bazes gali būti įvesti, atnaujinami, naikinami, tik turint teisėtą pagrindą;
18. Informacinės sistemos eLABa naudotojų veiksmų registravimo tvarka:
18.1. elektroniniuose žurnaluose automatiškai registruojami eLABa naudotojo veiksmai su eLABa duomenimis;
19. Atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka:
19.1. eLABa duomenų bazių ir archyvų valdymas organizuojamas, atsižvelgiant į eLABa nuostatų 40 punkto reikalavimus;
19.2. visa eLABa duomenų kopija daroma ne rečiau kaip kartą per savaitę, pokyčių (inkrementinė kopija) – ne rečiau kaip kartą per parą;
19.3. visos duomenų kopijos saugomos ne trumpiau kaip vieną mėnesį, pokyčių – ne trumpiau kaip vieną savaitę;
19.6. duomenis atkurti iš atsarginės kopijos turi teisę eLABa sisteminis administratorius, prieš tai įsitikinęs, kad toks atkūrimas nesugadins esamų duomenų;
19.7. apie duomenų atkūrimą eLABa sisteminis administratorius privalo informuoti pagrindinį eLABa saugos įgaliotinį;
20. eLABa elektroninės informacijos neteisėto duomenų kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:
20.1. eLABa naudotojai, pastebėję neteisėto duomenų kopijavimo, keitimo, naikinimo, perdavimo ar kitus saugos dokumentų reikalavimų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai eLABa lokalaus tinklo ir darbo vietų administratoriui;
20.2. eLABa lokalaus tinklo ir darbo vietų administratorius jam prieinamomis programinėmis priemonėmis patikrina gautą pranešimą apie pažeidimą ir, faktui pasitvirtinus, jei to nepadarė kitas eLABa administratorius, registruoja incidentą pažeidimų žurnale adresu http://darbai.labt.lt/redmine bei imasi visų įmanomų prevencinių priemonių. Jei priemonės nepakankamos, informuoja eLABa sisteminį administratorių;
21. Programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:
21.2. eLABa programinės ir techninės įrangos keitimo ir atnaujinimo tvarką su trečia šalimi, kuriai Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos informacinės sistemos ir (ar) jos infrastruktūros priežiūros funkcijos (toliau – paslaugų teikėjas), atsižvelgiant į konkretų atvejį, derina eLABa sisteminis ir taikomosios programinės įrangos administratoriai arba ji aprašoma paslaugų, susijusių su eLABa programinės ir techninės įrangos keitimu ir atnaujinimu, teikimo sutartyse ir sistemos priežiūros reglamentuose;
21.3. migravimą prie naujos operacinės sistemos versijos inicijuoja eLABa sisteminis administratorius, darbus suderinęs su eLABa administruojančios institucijos pagrindiniu administratoriumi ir taikomosios programinės įrangos administratoriumi;
22. eLABa pokyčių valdymo tvarka:
22.1. eLABa valdytojas užtikrina informacinės sistemos pokyčių (toliau – pokyčiai) valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas pagal pokyčio tipą (administracinis, organizacinis ar techninis), įtakos vertinimą (svarbumas ir skubumas) ir pokyčių prioritetų nustatymo procesus;
22.2. eLABa duomenų valdymo įgaliotinis, vadovaudamasis eLABa plėtros planu, kitais valdytojo planavimo dokumentais:
22.2.1. vykdo eLABa pokyčių valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas pagal pokyčio tipą (administracinis, organizacinis ar techninis);
22.2.2. siūlo eLABa valdytojui pokyčio įtakos vertinimą (svarbumas ir skubumas) ir pokyčių prioritetą;
22.2.3. įgyvendina eLABa ar funkciškai savarankiškos jos sudedamosios dalies (toliau – posistemė) plėtrą;
22.2.4. tiesiogiai prižiūri, kaip kuriama ir tvarkoma eLABa sistema, jos posistemės ar funkciškai savarankiška sudedamoji dalis, diegiama programinė įranga, panaudojamos investicijos;
22.3. pokyčiai identifikuojami, nustačius eLABa naudotojų, administratorių ir kitų vaidmenų poreikius, apibendrinus kylančias priežiūros problemas ir kitais gerosios praktikos įvardijamais atvejais;
22.4. pokyčius turi teisę inicijuoti eLABa duomenų valdymo įgaliotinis, pagrindinis eLABa saugos įgaliotinis ar eLABa taikomosios programinės įrangos administratorius, o įgyvendinti – eLABa sisteminis ar taikomosios programinės įrangos administratoriai pagal kompetenciją;
22.5. visi potencialūs pokyčiai registruojami pokyčių registre, įvertinus ir valdytojui patvirtinus įtakos vertinimą ir prioritetą;
22.6. kibernetiniam saugumui užtikrinti naudojamų priemonių diegimas ir šių priemonių parametrų keitimas laikomas pokyčiu ir atliekamas nustatyta pokyčių valdymo tvarka;
22.7. eLABa programinės įrangos pokyčiai atliekami, tik įvertinus pokyčio poreikį, pokyčio apimtį ir suderinus sistemos modernizavimo mastą;
22.8. eLABa sistemos funkcijų ir galimybių sąrankos aprašai turi būti nuolat atnaujinami ir rodyti esamą informacinės sistemos sąrankos būklę;
22.9. pokyčiai įgyvendinami eLABa valdytojo patvirtintu eiliškumu, atsižvelgiant į sutartą skubumą ar svarbumą;
22.10. visi diegiami pokyčiai, galintys sutrikdyti ar sustabdyti informacinės sistemos darbą, turi būti suderinti su eLABa duomenų valdymo ir saugos įgaliotiniais ir vykdomi, tik gavus jų raštišką pritarimą;
22.11. prieš atlikdamas eLABa pokyčius, kurių metu gali iškilti grėsmė duomenų ir eLABa konfidencialumui, vientisumui ar pasiekiamumui, eLABa taikomosios programinės įrangos administratorius privalo įsitikinti, kad planuojami eLABa pokyčiai išbandyti bandomojoje aplinkoje;
22.12. programinės įrangos testavimas atliekamas, naudojant atskirą tam skirtą testavimo aplinką, kurioje nėra konfidencialių ir asmens duomenų ir kuri atskirta nuo eksploatuojamos informacinės sistemos;
22.13. atlikus vykdomų eLABa pokyčių testavimą, eLABa taikomosios programinės įrangos administratorius gali pradėti įgyvendinti eLABa pokyčius, tik suderinęs su pagrindiniu eLABa administratoriumi;
22.14. planuodamas eLABa pokyčius, kurių metu galimi eLABa veikimo sutrikimai, eLABa taikomosios programinės įrangos administratorius privalo ne vėliau kaip prieš dvi darbo dienas iki eLABa pokyčių vykdymo pradžios elektroniniu paštu informuoti visus eLABa administratorius ir elektroniniu būdu interneto svetainėje www.elaba.lt informuoti eLABa naudotojus apie tokių darbų pradžią ir galimus eLABa veikimo sutrikimus.
23. eLABa sisteminių ir taikomosios programinės įrangos administratorių pareigoms atlikti skirtų nešiojamųjų kompiuterių naudojimo tvarka:
23.1. nešiojamieji kompiuteriai turi būti saugomi ir negali būti palikti be priežiūros viešose vietose;
24. Elektroninio pašto naudojimo reikalavimai nustatyti Lietuvos mokslo ir studijų institucijų kompiuterių tinklo LITNET naudojimo taisyklėse, patvirtintose Lietuvos Respublikos švietimo ir mokslo ministro 2011 m. liepos 18 d. įsakymu Nr. V-1348 „Dėl Lietuvos mokslo ir studijų institucijų kompiuterių tinklo LITNET paslaugų teikimo tvarkos aprašo ir Lietuvos mokslo ir studijų institucijų kompiuterių tinklo LITNET naudojimo taisyklių patvirtinimo“.
IV SKYRIUS
REIKALAVIMAI, KELIAMI eLABa FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS
25. Prireikus eLABa funkcionuoti reikalingoms paslaugoms praplėsti gali būti pritraukiami išorės tiekėjai, teisės aktų nustatyta tvarka sudarant su jais atitinkamas paslaugų teikimo sutartis.
26. Perkant paslaugas, darbus ar įrangą, susijusius su eLABa infrastruktūra, jos projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, pirkimo dokumentuose turi būti iš anksto nustatyta, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas užtikrina atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, reikalavimams.
27. eLABa sisteminis administratorius atsako už programinių, techninių ir kitų prieigos prie eLABa resursų organizavimą, suteikimą ir panaikinimą techninės ir (ar) programinės paslaugos teikėjui.
28. eLABa sisteminis administratorius suteikia paslaugos teikėjui tik tokią prieigą prie eLABa resursų, kuri yra būtina norint atlikti arba vykdyti sutartyje nustatytus įsipareigojimus, kurie neprieštarauja įstatymų ir kitų teisės aktų reikalavimams.
29. Su paslaugų teikėju turi būti suderinta paslaugos teikimo tvarka, į kurią įtraukti prieigos reikalavimai bei jų suteikimo sąlygos.
30. Pasibaigus sutarties su paslaugos teikėjais galiojimo terminui ar atsiradus kitoms sutartyje ar saugos politiką įgyvendinančiuose dokumentuose įvardytoms sąlygoms, eLABa sisteminis administratorius nedelsdamas privalo panaikinti suteiktą prieigą.
31. Reikalavimai, keliami teikėjų patalpoms, įrangai, informacinės sistemos priežiūrai, duomenų perdavimui tinklais ir kitoms paslaugoms, nurodomi eLABa taikomosios programinės įrangos paslaugų teikimo sutartyse.
PATVIRTINTA
Lietuvos Respublikos švietimo ir mokslo ministro
2015 m. liepos 2 d. įsakymu Nr. V-710
(Lietuvos Respublikos švietimo, mokslo ir sporto ministro
2019 m. spalio 14 d. įsakymo Nr. V-1150
redakcija)
LIETUVOS AKADEMINĖS ELEKTRONINĖS BIBLIOTEKOS
INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos akademinės elektroninės bibliotekos informacinės sistemos veiklos tęstinumo valdymo plano tikslas – nustatyti Lietuvos akademinės elektroninės bibliotekos informacinės sistemos (toliau – eLABa) valdytojo, tvarkytojų, duomenų valdymo ir saugos įgaliotinių, administratorių, naudotojų ir kitų asmenų įgaliojimus ir veiksmus, siekiant apsisaugoti nuo elektroninių informacijos saugos ir kibernetinių incidentų (toliau – saugos incidentų) keliamų grėsmių arba likviduoti jų sukeltus padarinius eLABa duomenims bei eLABa techninės ir programinės įrangos funkcionavimui.
2. Lietuvos akademinės elektroninės bibliotekos informacinės sistemos veiklos tęstinumo valdymo planas (toliau – Planas) parengtas vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Lietuvos akademinės elektroninės bibliotekos informacinės sistemos nuostatais ir Lietuvos akademinės elektroninės bibliotekos informacinės sistemos duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos švietimo ir mokslo ministro 2006 m. liepos 14 d. įsakymu Nr. ISAK-1506 „Dėl Lietuvos akademinės elektroninės bibliotekos informacinės sistemos nuostatų ir Lietuvos akademinės elektroninės bibliotekos informacinės sistemos duomenų saugos nuostatų patvirtinimo“, ir kitais teisės aktais.
3. Planas įsigalioja nustačius vidutinio ar didesnio poveikio saugos incidentą, vadovaujantis Nacionalinio kibernetinių incidentų valdymo plane, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, nurodytais kriterijais.
4. Kibernetinius incidentus pavojingo incidento kategorijai turi teisę priskirti tik Nacionalinis kibernetinio saugumo centras.
5. Nustačius, kad incidentas priskirtinas nereikšmingų saugos incidentų kategorijai, šis sprendžiamas vadovaujantis Lietuvos akademinės elektroninės bibliotekos elektroninės informacijos ir kibernetinių saugos incidentų valdymo tvarka, numatyta Plano 2 priede.
6. Plane vartojamos sąvokos:
6.1. Konsorciumo informacinių sistemų priežiūros darbo grupės (toliau – KISP grupės) – funkcinės tarnybos, skirtos eLABa eksploatacijos techninei priežiūrai vykdyti. Į jų funkcijas įtraukiama eLABa techninės ir programinės įrangos darbo stebėsena, eksploatacinių problemų sprendimas, galimų sutrikimų prevencija, institucijų administratorių konsultavimas, bendrųjų eLABa klasifikatorių tvarkymas. eLABa eksploatacijai užtikrinti yra sukurti 2 techniniai centrai (po vieną Vilniaus universitete ir Kauno technologijų universitete), savo darbų sritį ir atsakomybę pasiskirstę eLABa posistemėmis;
7. Planas yra parengtas Vilniaus universiteto Informacinių technologijų paslaugų centrui (toliau – ITPC), esančiam Saulėtekio al. 9, Vilniuje, ir Kauno technologijos universiteto Informacinių technologijų departamentui (toliau – ITD), esančiam Studentų g. 48A, Kaune.
8. Šiuo Planu nustatomi šie informacinės sistemos veiklos tęstinumo tikslai:
8.1. per metus informacinės sistemos prieinamumas turi būti užtikrintas ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis;
9. Įvykus ekstremalioms situacijoms, šio Plano nuostatos galioja tiek, kiek neprieštarauja nuostatoms, reglamentuojamoms Lietuvos Respublikos civilinės saugos įstatyme ir ekstremaliųjų situacijų valdymo planuose.
10. Sprendimą dėl šio Plano aktyvavimo ir eLABa veiklos tęstinumą organizuojančios veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) sukvietimo priima eLABa duomenų valdymo įgaliotinis.
11. eLABa naudotojai, pastebėję eLABa veiklos sutrikimus, neveikiančias ar netinkamai veikiančias duomenų saugos užtikrinimo priemones, turi nedelsdami apie tai pranešti savo darbo vietos administratoriui arba darbo vietą administruojančiai tarnybai.
12. Darbo vietos administratorius, priėmęs pranešimą apie saugos incidentą, patikrina aplinkybes ir registruoja pranešimą saugos incidentų žurnale adresu http://darbai.labt.lt/redmine bei nedelsdamas telefonu praneša pagrindiniam eLABa administratoriui.
13. eLABa duomenų valdymo įgaliotinis:
13.1. įvertinęs saugos incidentą pagal vertinimo kriterijus priskiriant kategorijoms, numatytus Plano 3 priede, priima sprendimą dėl tolesnių veiksmų atkuriant veiklos tęstinumą;
14. eLABa saugos įgaliotinis:
14.2. bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, saugos ir kibernetinius incidentus ir neteisėtas veiklas;
15. Plano nuostatų vykdymas privalomas eLABa valdytojui ir visiems eLABa tvarkytojams, visiems eLABa naudotojams, eLABa administratoriams, konsorciumo institucijų eLABa duomenų bei saugos įgaliotiniams.
16. eLABa saugos įgaliotinių, eLABa administratorių ir kitų eLABa naudotojų veiksmai bei funkcijos, įvykus eLABa saugos incidentui, nurodyti Lietuvos akademinės elektroninės bibliotekos informacinės sistemos veiklos atkūrimo detaliajame plane (1 priedas) ir Lietuvos akademinės elektroninės bibliotekos saugos ir kibernetinių incidentų valdymo tvarkos apraše (2 priedas).
17. eLABa veiklai atkurti reikalingų finansinių ir kitokių išteklių poreikį, vadovaudamasis konsorciumo valdybos ir visuotinio susirinkimo nutarimais, nustato eLABa duomenų valdymo įgaliotinis, o reikiamus išteklius skiria eLABa valdytojas Lietuvos Respublikos švietimo, mokslo ir sporto ministerija ir eLABa vartotojai.
18. Laikoma, kad eLABa veikla yra atkurta, kai galima atlikti visus veiksmus Paieškos portale, Metaduomenų posistemėje, Komplektavimo posistemėje, Naudotojų administravimo posistemėje, El. objektų ilgalaikio saugojimo posistemėje, Dokumentų sutapties nustatymo posistemėje, Statistikos ir ataskaitų formavimo posistemėje ir Administravimo posistemėje.
II SKYRIUS
ORGANIZACINĖS NUOSTATOS
PIRMASIS SKIRSNIS
eLABa VEIKLOS TĘSTINUMO VALDYMO GRUPĖ
19. eLABa veiklos tęstinumą organizuoja eLABa veiklos tęstinumo valdymo grupė (toliau – Valdymo grupė).
20. Valdymo grupės sudėtis:
21. Valdymo grupės vadovą jam negalint atvykti, atostogų metu ar išvykus pavaduoja pagal pareigas pavaduojantis asmuo.
22. Valdymo grupė atlieka šias funkcijas:
22.1. analizuoja didelio poveikio ir pavojingų eLABa saugos incidentų atsiradimo priežastis, pasekmes bei šių priežasčių šalinimo būdus;
22.2. analizuoja situaciją ir paprasta balsų dauguma priima sprendimus eLABa veiklos tęstinumo valdymo klausimais;
22.3. koordinuoja, kaip atliekami Plano 1 priede (Lietuvos akademinės bibliotekos informacinės sistemos veiklos atkūrimo detalusis planas) numatyti veiksmai;
22.4. prireikus, bendrauja su eLABa susijusių informacinių sistemų veiklos tęstinumo valdymo grupėmis;
22.5. prireikus, bendrauja su teisėsaugos ir kitomis institucijomis, konsorciumo nariais ir kitomis interesų grupėmis;
22.6. įvykus didelio poveikio ir pavojingiems eLABa saugos incidentams, įvertina finansinių ir kitų išteklių, reikalingų eLABa veiklai atkurti, poreikį ir kontroliuoja, kaip jie naudojami;
23. Valdymo grupė komunikuoja ne rečiau kaip kartą per 4 valandas didelio poveikio saugos incidento atveju ir ne rečiau kaip kartą per dvidešimt keturias valandas – vidutinio poveikio incidento atveju. Detalusis planas pateikiamas Plano 1 priede.
24. Su viešosios informacijos rengėjų ir skleidėjų atstovais bendrauja Valdymo grupės vadovas arba Konsorciumo valdybos pirmininkas.
25. Valdymo grupė organizuoja susirinkimą mažiausiai kartą per metus arba įvykus esminiams pokyčiams.
26. Kiti Valdymo grupės komunikavimo atvejai aprašomi Lietuvos akademinės elektroninės bibliotekos informacinės sistemos veiklos atkūrimo detaliajame plane (1 priedas).
27. Saugos incidento sprendimo metu eLABa Valdymo grupės nariai bendrauja mobiliojo ryšio telefonais, elektroniniu paštu ir pagal galimybes kitomis sutartomis ryšio priemonėmis. Visi Valdymo grupės nariai turi kitų narių mobiliojo ryšio telefonų numerius, elektroninio pašto adresus ir kitų sutartų ryšio priemonių identifikatorius (pagal galimybes).
ANTRASIS SKIRSNIS
eLABa VEIKLOS ATKŪRIMO GRUPĖ
28. Įvykus didelio poveikio ir pavojingiems incidentams eLABa paslaugas atkuria informacinės sistemos veiklos atkūrimo grupė (toliau – Atkūrimo grupė). Įvykus nereikšmingo ir vidutinio poveikio incidentams – eLABa paslaugas atkuria KISP grupė.
29. Atkūrimo grupės sudėtis:
29.2. Atkūrimo grupės vadovo pavaduotojas – kito techninio centro, nei tas, kuriame įvyko incidentas, vadovas;
30. Atkūrimo grupė atlieka šias funkcijas:
31. Techninių centrų Atkūrimo grupių vardinę sudėtį ir kontaktinę informaciją tvirtina techninių centrų vadovai.
32. Atkūrimo grupė renkasi techninio centro, kuriame įvyko saugos incidentas, vadovo, KISP grupės vadovo, duomenų valdymo įgaliotinio arba eLABa saugos įgaliotinio sprendimu.
33. Apie atkūrimo eigą Valdymo grupę informuoja Atkūrimo grupės vadovas arba pavaduojantis asmuo. Informuojama arba įvykdžius sutartą veiklą, arba jei nesutarta kitaip – toliau nustatytais terminais:
33.1. apie didelio poveikio incidentų valdymo būklę – ne vėliau kaip per keturias valandas nuo jų nustatymo ir ne rečiau kaip kas keturias valandas pateikiant atnaujintą informaciją, iki incidentas suvaldomas ar pasibaigia;
33.2. apie vidutinio poveikio incidentų valdymo būklę – ne vėliau kaip per dvidešimt keturias valandas nuo jų nustatymo ir ne rečiau kaip kas dvidešimt keturias valandas pateikiant atnaujintą informaciją, iki incidentas suvaldomas ar pasibaigia;
36. Kiti Atkūrimo grupės komunikavimo atvejai aprašomi Plano 1 priede (Lietuvos akademinės bibliotekos informacinės sistemos veiklos atkūrimo detalusis planas).
37. Saugos incidento metu eLABa Atkūrimo grupės nariai bendrauja mobiliojo ryšio telefonais, elektroniniu paštu ir pagal galimybes kitomis sutartomis ryšio priemonėmis. Visi Atkūrimo grupės nariai turi kitų narių mobiliojo ryšio telefonų numerius, elektroninio pašto adresus ir kitų sutartų ryšio priemonių identifikatorius (pagal galimybes). Prireikus Valdymo ir Atkūrimo grupės rengia bendrus susirinkimus.
TREČIASIS SKIRSNIS
REIKALAVIMAI, KELIAMI ATSARGINĖMS PATALPOMS, NAUDOJAMOMS INFORMACINĖS SISTEMOS VEIKLAI ATKURTI, ĮVYKUS ELEKTRONINĖS INFORMACIJOS SAUGOS INCIDENTUI, ATSARGINIŲ PATALPŲ ADRESAI IR BŪDAI, KAIP IKI JŲ NUVYKTI
38. Šalinant saugos incidento padarinius, eLABa veiklai atkurti prireikus gali būti naudojamos atsarginės patalpos.
39. Atsarginės patalpos atitinka eLABa saugaus elektroninės informacijos tvarkymo taisyklėse nurodytus reikalavimus.
40. Atsarginėms patalpoms, naudojamoms eLABa veiklai atkurti incidento šalinimo metu, keliami šie reikalavimai:
40.3. patalpos privalo atitikti priešgaisrinės saugos reikalavimus, jose turi būti gaisro gesinimo priemonės;
40.6. patalpose turi būti patikimas elektros energijos tiekimas per nenutrūkstamo maitinimo šaltinius;
41. Atsarginių patalpų adresai:
41.1. Vilniaus universiteto ITPC pastatui, esančiam Saulėtekio al. 9, Vilniuje, atsarginės patalpos yra numatytos Kauno technologijos universiteto ITD pastate, esančiame Studentų g. 48A, Kaune;
42. Nuvykimo į atsargines patalpas organizaciniai principai ir būdai:
42.1. Valdymo grupės užsakymus darbuotojams ir technikai pervežti:
42.1.1. iš Vilniaus universiteto ITPC patalpų į atsargines organizuoja Vilniaus universiteto Turto valdymo ir paslaugų centro Paslaugų skyrius;
42.2. Veiklos tęstinumo Valdymo ir Atkūrimo grupių nariai, gavę nurodymą vykti į atsargines patalpas, vyksta:
42.3. iš Vilniaus universiteto ITPC į Kauno technologijos universiteto ITD Vilniaus universiteto organizuojamu transportu;
42.4. iš Kauno technologijos universiteto ITD į Vilniaus universiteto ITPC Kauno technologijos universiteto organizuojamu transportu;
42.6. vykstant iš Vilniaus universiteto ITPC į Kauno technologijos universiteto ITD, Vilniaus universiteto rektoriaus numatyta tvarka apmokamos būtinosios transporto išlaidos;
KETVIRTASIS SKIRSNIS
KIBERNETINIŲ INCIDENTŲ TYRIMAS IR ANALIZĖ
43. eLABa kibernetinių incidentų, kuriuos sprendžiant buvo priimtas sprendimas aktyvinti Planą, tyrimas ir analizė, tiek, kiek to nereglamentuoja Nacionalinis kibernetinių incidentų valdymo planas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, atliekami Plano 2 priede nustatyta tvarka.
44. eLABa tvarkytojas, kurio ryšių ir informacinėje sistemoje tirtas kibernetinis incidentas, išanalizavęs ir įvertinęs visą informaciją, susijusią su eLABa kibernetiniu incidentu, atliktus veiksmus ir panaudotas priemones:
44.1. ne vėliau kaip per trisdešimt darbo dienų po eLABa kibernetinio incidento suvaldymo ar pasibaigimo pateikia eLABa kibernetinio incidento analizės rezultatus Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos ir kibernetinio saugumo informaciniame tinkle paskelbia susistemintą ir aktualią neįslaptintą informaciją apie eLABa kibernetinio incidento nustatymą ir suvaldymą;
44.3. įvertina ryšių ir informacinės sistemos riziką ir atitiktį Vyriausybės nustatytiems organizaciniams ir techniniams eLABa kibernetinio saugumo reikalavimams;
45. eLABa tvarkytojai Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos pateikia kibernetinio incidento tyrimo ataskaitą apie:
45.1. didelio poveikio kibernetinių incidentų valdymo būklę – ne vėliau kaip per keturias valandas nuo jų nustatymo ir ne rečiau kaip kas keturias valandas atnaujintą informaciją, iki kibernetinis incidentas suvaldomas ar pasibaigia;
45.2. vidutinio poveikio kibernetinių incidentų valdymo būklę – ne vėliau kaip per dvidešimt keturias valandas nuo jų nustatymo ir ne rečiau kaip kas dvidešimt keturias valandas atnaujintą informaciją, iki kibernetinis incidentas suvaldomas ar pasibaigia;
46. Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos teikiant didelio ar vidutinio poveikio kibernetinio incidento tyrimo ataskaitą nurodoma eLABa tvarkytojui žinoma informacija:
46.1. kibernetinio incidento grupė (grupės), pogrupis (pogrupiai) ir poveikio kategorija, nustatyta pagal Nacionaliniame kibernetinių incidentų valdymo plane, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Nacionalinės kibernetinio saugumo strategijos patvirtinimo“, nustatytus kriterijus;
46.2. ryšių ir informacinės sistemos, kurioje nustatytas kibernetinis incidentas, tipas (informacinė sistema);
III SKYRIUS
APRAŠOMOSIOS NUOSTATOS
47. Plano ir susijusių dokumentų saugojimo ir atnaujinimo nuostatos:
47.1. skaitmeninės Plano, duomenų centro projektinės dokumentacijos ir įsigytos įrangos pirkimo sutarčių kopijos saugomos Vilniaus universiteto ir Kauno technologijos universiteto dokumentų valdymo sistemose, o taip pat elektroninėje laikmenoje kartu su Planu ir atsarginėmis kopijomis;
47.2. informacinės sistemos veiklai užtikrinti reikiamos informacinių technologijų įrangos ir jos parametrų konfigūracijos sąrašai yra administruojami pagrindinio eLABa administratoriaus, saugomi elektroninėse laikmenose ir konfigūracijos valdymo sistemos priemonėmis bei yra nuolat atnaujinami pasikeitimo atveju;
47.3. informacinės sistemos tvarkymui naudojamų patalpų brėžiniai, šiose patalpose esančios elektros įvado, kondicionavimo ir gesinimo įrangos išdėstymo, taip pat archyvinių įrenginių bei kamieninio kompiuterių tinklo fizinio ir loginio sujungimo schemos saugomos kartu su duomenų centro projektine dokumentacija tam skirtoje eLABa tvarkytojo patalpoje;
47.4. duomenų saugyklų infrastruktūros schemos, tarnybinių stočių paskirties ir aplikacijų diegimo schema, kompiuterių tinklo schema, kompiuterinės technikos ir sisteminės programinės įrangos sąrašai ir techniniai parametrai pateikti eLABa techniniame aprašyme (specifikacijoje) ir diegimo dokumentacijoje;
47.5. eLABa programinės įrangos laikmenos, reikalingos atkūrimui, saugomos eLABa tvarkytojo taikomosios programinės įrangos administratorių, programinės įrangos kodui ir jo versionavimui skirtame serveryje, o eLABa duomenų atsarginės kopijos – duomenų saugyklose;
47.6. Valdymo ir Atkūrimo grupių narių sąrašas su kontaktiniais duomenimis, leidžiančiais pasiekti šiuos asmenis bet kuriuo metu (mobiliųjų arba namų telefonų numeriai ir gyvenamųjų vietų adresai), pateikiami šių grupių nariams elektroninėje laikmenoje ir saugomi kartu su Planu;
47.7. Kontaktinius Valdymo ir Atkūrimo grupių darbuotojų duomenis atnaujina eLABa tvarkytojo IT pagalbos skyrius;
47.8. pagrindinę Plano kopiją tvarko ir saugo pagrindinis eLABa informacinės sistemos administratorius, atsargines elektronines kopijas saugo KISP grupės vadovai, pagrindinio eLABa tvarkytojo IT pagalbos vadovas ir eLABa saugos įgaliotinis;
48. Nesant kurio nors eLABa sistemos administratoriaus, eLABa veiklą atkuria pavaduojantys administratoriai ir specialistai, išmanantys, kaip nustatyti:
49. Reikiamos kompetencijos ir žinių lygio aprašus bei darbo instrukcijas rengia, nuolat atnaujina ir saugo eLABa sisteminiai administratoriai.
50. Valdymo ir Atkūrimo grupių narių sąrašas su kontaktiniais duomenimis, leidžiančiais pasiekti šiuos asmenis bet kuriuo metu (mobiliųjų arba namų telefonų numeriai ir gyvenamųjų vietų adresai), pateikiami šių grupių nariams ir saugomi kartu su Planu.
51. Asmenys, susipažindami su Plano 49 punkte nurodytais dokumentais, neturi teisės jų atskleisti ir privalo neaptarinėti su nesusijusiais asmenimis.
IV SKYRIUS
PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS
54. Pagal Valdymo ir Atkūrimo grupių sumodeliuotą scenarijų simuliuojant sutarto poveikio saugos incidentą išbandymo metu aptariamas Plano veiksmingumas.
56. Plano išbandymo scenarijus suderinamas su Valdymo grupe ir kitais suinteresuotais asmenimis pagal poreikį.
59. Plano veiksmingumo išbandyme dalyvauja Atkūrimo grupės nariai, eLABa saugos įgaliotinis ir Valdymo grupės nariai pagal poreikį.
60. Nustatytą dieną imituojamos nenumatytos situacijos, kurių metu atsakingi eLABa sisteminiai ir taikomosios programinės įrangos administratoriai atlieka būtinus tokiose situacijose veiksmus.
61. Prireikus, į Plano veiksmingumo išbandymą gali būti pakviesti kiti darbuotojai, rangovų arba kitų organizacijų atstovai.
62. Plano veiksmingumo išbandymo metu Atkūrimo grupė išanalizuoja galimą (sumodeliuotą) saugos incidentą, parengia Plano veiksmingumo išbandymo ataskaitą (Plano 5 priedas).
63. Įvykus Plano išbandymui, Valdymo grupė numato papildomas prevencines ir rizikos valdymo priemones.
64. Visa informacija, gauta Plano veiksmingumo išbandymo metu, perduodama eLABa saugos įgaliotiniui ir eLABa duomenų valdymo įgaliotiniui.
65. Už Plano veiksmingumo išbandymo metu pastebėtų trūkumų šalinimą atsakingas Atkūrimo grupės vadovas ir eLABa sistemos administratorius.
66. Išbandžius Planą, atsižvelgiant į gautus rezultatus ir (arba) įvertinus rizikos veiksnius, atliekamas Plano atnaujinimas.
PATVIRTINTA
Lietuvos Respublikos švietimo ir mokslo ministro
2015 m. liepos 2 d. įsakymu Nr. V-710
(Lietuvos Respublikos švietimo, mokslo ir sporto ministro
2019 m. spalio 14 d. įsakymo Nr. V-1150
redakcija)
LIETUVOS AKADEMINĖS ELEKTRONINĖS BIBLIOTEKOS
INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos akademinės elektroninės bibliotekos informacinės sistemos naudotojų administravimo taisyklės (toliau – Naudotojų administravimo taisyklės) reglamentuoja Lietuvos akademinės elektroninės bibliotekos informacinės sistemos (toliau – eLABa) naudotojų įgaliojimus, teises, pareigas, jų supažindinimo su saugos dokumentais tvarką ir saugaus sistemoje tvarkomų duomenų teikimo sistemos naudotojams kontrolės tvarką.
2. Naudotojų administravimo taisyklės taikomos visiems eLABa naudotojams ir eLABa administratoriams.
3. eLABa naudotojai ir eLABa administratoriai turi turėti tik tiek priėjimo prie duomenų teisių, kiek tai būtina jų tiesioginei veiklai vykdyti.
4. Naudotojų administravimo taisyklės parengtos, vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 5 d. nutarimu Nr. 1209 „Dėl Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimo Nr. 818 „Dėl nacionalinės kibernetinio saugumo strategijos patvirtinimo“ pakeitimo“, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Lietuvos akademinės elektroninės bibliotekos informacinės sistemos nuostatais ir Lietuvos akademinės elektroninės bibliotekos informacinės sistemos duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos švietimo ir mokslo ministro 2006 m. liepos 14 d. įsakymu Nr. ISAK-1506 „Dėl Lietuvos akademinės elektroninės bibliotekos informacinės sistemos nuostatų ir Lietuvos akademinės elektroninės bibliotekos informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – Duomenų saugos nuostatai), ir kitais teisės aktais.
5. Naudotojų administravimo taisyklėse vartojamos sąvokos ir sutrumpinimai:
5.1. Metaduomenys – duomenys apie duomenis. Struktūrizuotas eLABa saugomo el. objekto savybių aprašymas naudojant tam tikrus bibliografinio aprašo formatus (MARC21, Dublin Core; TEI Header 5 ir kt.);
5.2. elektroninių tezių ir disertacijų duomenų bazė (toliau – ETD) – duomenų bazė, skirta kaupti Lietuvos mokslo ir studijų institucijų tvirtinamus studijų baigiamuosius darbus, daktaro disertacijas ir jų santraukas ir tvarkyti jų metaduomenis;
5.3. mokslo ir studijų institucijų publikacijų duomenų bazė (toliau – PDB) – duomenų bazė, skirta kaupti Lietuvos mokslo ir studijų institucijų dėstytojų, mokslo darbuotojų ir studentų paskelbtas publikacijas ir tvarkyti jų metaduomenis;
5.4. elektroninių dokumentų sutapties nustatymo sistema (toliau - ESAS) – eLABa posistemė, skirta dokumentų panašumui nustatyti ir plagiato kontrolės funkcijai vykdyti;
II SKYRIUS
eLABa NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS
6. eLABa naudotojai gali naudotis tik tomis eLABa funkcijomis ir eLABa tvarkomais duomenimis, prie kurių prieigą jiems suteikė eLABa naudotojų teisių administratorius.
7. eLABa naudotojai turi teisę rinkti, tvarkyti, perduoti, įkelti, saugoti, naikinti ar kitaip naudoti elektroninę informaciją tik atlikdami savo tiesiogines funkcijas.
9. eLABa naudotojai privalo:
9.4. nesijungti prie eLABa, naudojantis kitam eLABa naudotojui suteiktais prisijungimo vardais ir slaptažodžiais;
9.7. taikyti saugos politiką įgyvendinančiuose dokumentuose numatytas elektroninės informacijos tvarkymo programines priemones;
10. eLABa naudotojai skirstomi į autorius, darbo vadovus, valdytojo ir tvarkytojų atsakingus asmenis, bibliotekininkus, padalinių registratorius, registratorius.
11. Autoriams suteikiama teisė:
11.2. peržiūrėti savo ETD ir (ar) PDB dokumentus bei jų metaduomenis, kurie į sistemą buvo įkelti kitų eLABa naudotojų;
12. Darbo vadovams suteikiama teisė:
13. Tvarkytojų atsakingiems asmenims suteikiama teisė peržiūrėti jiems priskirtus ETD dokumentus bei dokumentų tikrinimo ESAS rezultatus.
14. Bibliotekininkams suteikiama teisė:
14.2. peržiūrėti visus savo institucijos autorių dokumentus ir jų metaduomenis, kurie buvo pateikti į sistemą kitų institucijų;
14.3. įvesti, redaguoti ir tvirtinti specifinius savo institucijai metaduomenis dokumentams, pateiktiems į sistemą kitų institucijų;
15. Institucijų padalinių registratoriams suteikiama teisė:
16. Institucijų registratoriams suteikiama teisė:
16.2. įvesti, redaguoti ir tvirtinti specifinius savo institucijos metaduomenis, savo institucijos autorių dokumentus;
18. eLABa administratorių prieigos prie informacinių sistemų lygiai:
18.1. eLABa administratoriaus funkcijos turi būti atliekamos naudojant atskirą tam skirtą paskyrą, kuri negali būti naudojama kasdienėms eLABa naudotojo funkcijoms atlikti;
18.2. jeigu tas pats darbuotojas yra ir eLABa naudotojas, ir eLABa administratorius, jam sukuriamos dvi atskiros paskyros su atitinkamomis prieigos teisėmis;
18.3. eLABa administratoriui turi būti apribotos prieigos teisės pagal jo atliekamas eLABa administravimo funkcijas;
18.4. pagrindinio eLABa tvarkytojo paskirtas eLABa naudotojų teisių administratorius administruoja visų eLAba naudotojų prieigos teises prie eLAba, išskyrus eLABa Tvarkytojų paskirtų eLABa naudotojų teisių administratorių administruojamus naudotojus;
18.5. kitų eLABa administratorių funkcijos ir prieigos lygiai įvardyti Duomenų saugos nuostatuose, pareigybių aprašymuose;
III SKYRIUS
SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO eLABa NAUDOTOJAMS KONTROLĖS TVARKA
19. eLABa naudotojų registravimo ir išregistravimo tvarka:
19.1. eLABa naudotojai įregistruojami, įvedant jų duomenis į sistemą rankiniu būdu arba importuojant iš nustatyto formato rinkmenų, suformuojamų atitinkamo eLABa tvarkytojo informacinės sistemos;
19.2. už eLABa naudotojų duomenų įvedimą ir jų atnaujinimą laiku yra atsakingi eLABa naudotojų teisių administratoriai;
19.3. eLABa duomenų valdytojas, paskyręs eLABa naudotojų teisių administratorių, kreipiasi į pagrindinį eLABa tvarkytoją raštu su prašymu suteikti prieigą prie jam reikalingų funkcijų eLABa, kartu pateikdamas paskirto asmens sutikimą tvarkyti asmens duomenis ir pasižadėjimą laikytis eLABa saugos dokumentų reikalavimų.
20. Priemonės eLABa naudotojų tapatybei nustatyti:
20.1. eLABa naudotojui jungiantis prie sistemos, jo tapatybė nustatoma pagal unikalų eLABa naudotojo identifikatorių, patvirtinamą asmeniniu slaptažodžiu;
21. eLABa naudotojų slaptažodžio sudarymo, galiojimo trukmės ir keitimo reikalavimai:
21.2. slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija (pavyzdžiui, gimimo data, šeimos narių vardai ir panašiai).
21.4. eLABa dalys, patvirtinančios eLABa naudotojo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius;
21.5. turi būti nustatytas didžiausias leistinas eLABa naudotojo mėginimų įvesti teisingą slaptažodį skaičius (ne daugiau kaip 5 kartai). Iš eilės neteisingai įvedus slaptažodį tiek kartų, kiek nustatyta, eLABa naudotojo paskyra turi užsirakinti ir neleisti eLABa naudotojui patvirtinti tapatybės kibernetinio saugumo reikalavimų tvarkos apraše nustatytą laiką – ne trumpiau kaip 15 minučių;
21.6. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu. Tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo, jeigu eLABa naudotojas neturi galimybių iššifruoti gauto užšifruoto slaptažodžio ar nėra techninių galimybių eLABa naudotojui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu;
21.7. papildomi eLABa naudotojo slaptažodžių reikalavimai:
21.7.3. keičiant slaptažodį, eLABa neturi leisti sudaryti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;
21.8. papildomi eLABa administratorių slaptažodžių reikalavimai:
22. Sąlygos ir atvejai, kai panaikinama eLABa naudotojų teisė dirbti su konkrečia elektronine informacija:
22.1. eLABa duomenų valdytojo ar tvarkytojo darbuotojui prieiga prie konkrečios elektroninės informacijos turi būti sustabdoma, kai darbuotojas nušalinamas nuo darbo (pareigų); pasibaigus tarnybos (darbo) santykiams. darbuotojo teisė naudotis eLABa turi būti panaikinta nedelsiant;
22.2. eLABa naudotojų teisių administratorius, iš pagrindinio eLABa tvarkytojo gavęs rašytinį prašymą apriboti eLABa naudotojo prieigos teises, nedelsiant sustabdo nurodyto eLABa naudotojo prieigą prie eLABa;
22.3. eLABa naudotojams prieigos prie eLABa teisės nutraukiamos automatiškai, sistemai nustačius eLABa naudotojo darbo ar studijų konkrečioje institucijoje pabaigos datą (jei eLABa naudotojas nustoja dirbti ar studijuoti konkrečioje institucijoje, jis negali jungtis į eLABa kaip tos institucijos naudotojas);
22.4. eLABa administratorius, gavęs eLABa tvarkytojo įgalioto darbuotojo nurodymą, gali sustabdyti eLABa naudotojo prieigą prie sistemos;
22.5. jei kyla grėsmė eLABa duomenų saugumui, pagrindinio eLABa tvarkytojo administratorius turi teisę sustabdyti eLABa naudotojo prieigą, informuodamas apie tai įgaliotą institucijos darbuotoją;
22.6. eLABa administratoriui ar naudotojui teisė dirbti su konkrečia elektronine informacija yra ribojama, sustabdant visas eLABa administratoriui ar naudotojui suteiktas prieigos prie eLABa teises, kai eLABa administratorius nesijungė prie sistemos daugiau nei du mėnesius, o eLABa naudotojas nesijungė prie sistemos daugiau nei tris mėnesius, vyksta eLABa administratoriaus ar naudotojo veiklos tyrimas ar jis nušalinamas nuo darbo (pareigų), neatitinka kituose teisės aktuose nustatytų eLABa naudotojo ar eLABa administratoriaus kvalifikacinių reikalavimų, taip pat pasibaigia jo darbo (tarnybos) santykiai, jis praranda patikimumą, eLABa administratorius ar naudotojas neteikia informacijos apie saugą užtikrinančių sistemos komponentų būklę ar atsisako vykdyti eLABa saugos įgaliotinio nurodymus ir pavedimus;
23. Leistini nuotolinio prisijungimo būdai:
23.1. nuotoliniam prisijungimui prie informacinės sistemos eLABa išoriniams naudotojams papildomi reikalavimai nekeliami;
23.2. nuotolinis eLABa sisteminių ir taikomosios programinės įrangos administratorių prisijungimas prie eLABa tarnybinių stočių galimas, tik naudojantis VPN tuneliu;
Lietuvos akademinės elektroninės
bibliotekos informacinės sistemos veiklos tęstinumo
valdymo plano
1 priedas
LIETUVOS AKADEMINĖS ELEKTRONINĖS BIBLIOTEKOS INFORMACINĖS SISTEMOS VEIKLOS ATKŪRIMO
DETALUSIS PLANAS
Eil. Nr. |
Grėsmė |
Pirminiai veiksmai |
Pasekmių likvidavimo veiksmai |
Atsakingi vykdytojai |
1. |
Nukentėjo patalpos viename iš techninių centrų (dėl gaisro, gamtos reiškinių ir kt. pavojaus) |
1.1. Saugos incidento padarinių įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas |
1.1.1. Saugos incidento metu padarytos žalos įvertinimas |
Valdymo grupė, Atkūrimo grupė |
1.1.2. Jei yra nukentėjusiųjų, pirmosios pagalbos suteikimas nukentėjusiems darbuotojams, kiti veiksmai, kaip numatyta darbų saugos instrukcijoje |
Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą |
|||
1.1.3. Priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas, darbuotojų informavimas |
Valdymo grupė, Atkūrimo grupė |
|||
1.1.4. Padarytą žalą likviduojančių darbuotojų instruktavimas |
Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą, Atkūrimo grupės vadovas, techninio centro eLABa sisteminis administratorius |
|||
1.1.5. Paslaugų negaunančių padalinių ir organizacijų informavimas |
Valdymo grupė, Atkūrimo grupė |
|||
1.1.6. Saugos incidento metu padarytos žalos likvidavimas |
Atkūrimo grupė, techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą |
|||
1.2. Galimybių dirbti nuotoliniu būdu ir pavaduojančių darbuotojų nuotolinėje vietoje instruktavimas |
1.2.1. Darbuotojų, galinčių pavaduoti iš kito techninio centro arba dirbti nuotoliniu būdu iš kitų patalpų informavimas. |
Valdymo grupė, Atkūrimo grupė |
||
1.2.2. Darbuotojų, galinčių atlikti pareigas nuotoliniu būdu, informavimas. |
Valdymo grupė, Atkūrimo grupė |
|||
1.3. Veiklos funkcijų atkūrimo vertinimas |
1.3.1. Visiško funkcijų atkūrimo vertinimas, susijusių padalinių ir organizacijų informavimas |
Valdymo grupė, Atkūrimo grupė |
||
2. |
Gaisras |
2.1. Priešgaisrinės gelbėjimo tarnybos informavimas, darbuotojų evakavimas, civilinės saugos tarnybos informavimas |
2.1.1. Įvykio vietos lokalizavimas |
Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą |
2.1.2. Galimybių evakuoti darbuotojus nagrinėjimas |
Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą, Valdymo grupė |
|||
2.1.3. Darbuotojų informavimas apie evakuaciją |
Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą |
|||
2.1.4. Darbuotojų informavimas apie saugų darbą pavojaus zonoje |
Valdymo grupė, Atkūrimo grupė, techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą |
|||
2.1.5. Saugos incidento metu padarytos žalos įvertinimas |
Valdymo grupė, Atkūrimo grupė |
|||
2.1.6. Padarytą žalą likviduojančių darbuotojų instruktavimas |
Atkūrimo grupės vadovas, sisteminis administratorius |
|||
2.1.6. Paslaugų negaunančių padalinių ir organizacijų informavimas |
Valdymo grupė, Atkūrimo grupė |
|||
2.1.8. Saugos incidento metu padarytos žalos likvidavimas |
Atkūrimo grupė |
|||
2.2. Papildomą riziką keliančių faktorių (elektra, vanduo) pavojaus zonoje išjungimas |
2.2.1. Gaisro gesinimas ankstyvoje stadijoje, jei yra rekomendacija dirbti pavojaus zonoje |
Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą, Atkūrimo grupė, išorinė tarnyba |
||
2.3. Sutrikimų pašalinimas |
2.3.1. Saugos incidento metu padarytos žalos likvidavimas |
Atkūrimo grupė |
||
2.4. Veiklos funkcijų atkūrimo vertinimas |
2.4.1. Visiško funkcijų atkūrimo vertinimas, susijusių padalinių ir organizacijų informavimas |
Valdymo grupė, Atkūrimo grupė |
||
3. |
Elektros energijos tiekimo sutrikimai |
3.1. Elektros energijos tiekimo sutrikimo priežasčių nustatymas |
3.1.1. Rekomendacijų iš elektros energijos tiekimo tarnybos gavimas |
Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą |
3.1.2. Padarytos žalos įvertinimas |
Atkūrimo grupės vadovas, infrastruktūros grupės specialistas |
|||
3.1.3. Paslaugų negaunančių padalinių ir organizacijų informavimas |
Valdymo grupė, Atkūrimo grupė |
|||
3.2. Darbuotojų instruktavimas |
3.2.1. Žalą likviduojančių darbuotojų instruktavimas |
Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą, Atkūrimo grupės vadovas |
||
3.3. Sutrikimų pašalinimas |
3.3.1. Tarnybinių stočių, kitos techninės įrangos maitinimo elektros energijos išjungimas |
Techninio centro darbuotojas, atsakingas už elektros tiekimo sistemų priežiūrą |
||
3.3.2. Kreipimasis į elektros energijos tiekimo tarnybą dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių |
Techninio centro darbuotojas, atsakingas už elektros tiekimo sistemų priežiūrą |
|||
3.3.3. Padarytos žalos likvidavimas |
Išorinė elektros tinklo priežiūros tarnyba, eLABa sisteminis administratorius, atsakingas už elektros tiekimo sistemų priežiūrą |
|||
3.4. Veiklos funkcijų atkūrimo vertinimas |
3.4.1. Visiško funkcijų atkūrimo vertinimas, susijusių padalinių ir organizacijų informavimas |
Valdymo grupė, Atkūrimo grupė |
||
4. |
Oro kondicionavimo sistemos sutrikimai |
4.1. Oro kondicionavimo sistemos sutrikimo priežasčių nustatymas |
4.1.1. Priežiūros tarnybos informavimas, rekomendacijų iš priežiūros tarnybos gavimas |
eLABa sisteminis administratorius, techninio centro darbuotojas, atsakingas už oro kondicionavimo sistemos priežiūrą |
|
4.1.2. Padarytos žalos įvertinimas |
eLABa sisteminis administratorius, techninio centro darbuotojas, atsakingas už oro kondicionavimo sistemos priežiūrą |
||
4.2. Darbuotojų instruktavimas |
4.2.1. Žalą likviduojančių darbuotojų instruktavimas
|
Valdymo grupė, Atkūrimo grupė |
||
4.2.2. Darbuotojų informavimas, jei darbas esamose patalpose negali būti tęsiamas, darbo kitose patalpose ir nuotoliniu būdu organizavimas |
Valdymo grupė, Atkūrimo grupė |
|||
4.3. Sutrikimų pašalinimas |
4.3.1. Tikslios kontrolės oro kondicionierių / šaldymo mašinos pakartotinas įjungimas |
Techninio centro darbuotojas, atsakingas už oro kondicionavimo sistemos priežiūrą |
||
4.3.2. Kreipimasis į priežiūros tarnybą dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių |
Techninio centro darbuotojas, atsakingas už oro kondicionavimo sistemos priežiūrą |
|||
4.3.3. Padarytos žalos likvidavimas (įrangos remontas, pakaitinės įrangos įsigijimas ar nuomas) |
Atkūrimo grupė, techninio centro darbuotojas, atsakingas už oro kondicionavimo sistemos priežiūrą, išorinė priežiūros tarnyba |
|||
4.4. Veiklos funkcijų atkūrimo vertinimas |
4.4.1. Visiško funkcijų atkūrimo vertinimas, susijusių padalinių ir organizacijų informavimas |
Valdymo grupė, Atkūrimo grupė |
||
5. |
Vandentiekio, nuotekų ir šildymo sistemų sutrikimai |
5.1. Vandentiekio nuotekų ir / arba šildymo paslaugų teikėjų informavimas |
5.1.1. Paslaugų teikėjų rekomendacijų gavimas |
eLABa sisteminis administratorius, techninio centro darbuotojas, atsakingas už vandentiekio, nuotekų ir šildymo sistemų priežiūrą |
5.2. Sutrikimo šalinimo prognozės skelbimas |
5.2.1. Darbuotojų informavimas, jei darbas esamose patalpose negali būti tęsiamas |
Valdymo grupė, Atkūrimo grupė |
||
5.2.2. Paslaugų negaunančių padalinių ir organizacijų informavimas |
Valdymo grupė, Atkūrimo grupė |
|||
5.2.3. Darbo kitose patalpose ir nuotoliniu būdu organizavimas |
Atkūrimo grupė |
|||
5.3. Sutrikimų pašalinimas |
5.3.1. Padarytos žalos likvidavimas |
Atkūrimo grupė, techninio centro darbuotojas, atsakingas už vandentiekio, nuotekų ir šildymo sistemų priežiūrą, išorinė priežiūros tarnyba |
||
5.4. Veiklos funkcijų atkūrimo vertinimas |
5.4.1. Visiško funkcijų atkūrimo vertinimas, susijusių padalinių ir organizacijų informavimas |
Valdymo grupė, Atkūrimo grupė |
||
6. |
Telekomunikacijų tinklų sutrikimas |
6.1. Telekomunikacijų tinklų sutrikimo priežasčių nustatymas |
6.1.1. Techninio centro vadovo ir susijusių tiekėjų informavimas |
Atkūrimo grupės telekomunikacijų tinklų atsakingas specialistas, išorinė tarnyba |
6.1.2. Sprendimo dėl kitų tvarkytojų incidentų reagavimo grupių (CERT) informavimo priėmimas, informavimas |
Valdymo grupė, Atkūrimo grupė |
|||
6.1.3. Atsakingų kibernetinius incidentus valdančių ir tiriančių institucijų informavimas |
Valdymo grupė, Atkūrimo grupė |
|||
6.1.4. Paslaugų negaunančių padalinių ir organizacijų informavimas |
Valdymo grupė, Atkūrimo grupė |
|||
6.2. Telekomunikacijų tinklų sutrikimo šalinimas |
6.2.1. Alternatyvių ryšių organizavimo poreikio ir galimybių vertinimas, pakaitinės įrangos nuoma ar įsigijimas |
Atkūrimo grupės telekomunikacijų tinklų atsakingas specialistas, išorinė tarnyba |
||
6.2.2. Saugos incidento pasekmių likvidavimas |
Atkūrimo grupės telekomunikacijų tinklų atsakingas specialistas, išorinė tarnyba |
|||
6.3. Veiklos funkcijų atkūrimo vertinimas |
6.3.1. Visiško funkcijų atkūrimo vertinimas, susijusių padalinių ir organizacijų informavimas, incidento tyrimas |
Valdymo grupė, Atkūrimo grupė |
||
7. |
Pagrindinių tarnybinių stočių sugadinimas ir (ar) praradimas |
7.1. Pažeistų tarnybinių stočių nustatymas |
7.1.1. Sistemų savininkų informavimas |
Atkūrimo grupės vadovas, Atkūrimo grupė (specialistai) |
7.1.2. Atsakingų kibernetinius incidentus valdančių ir tiriančių institucijų informavimas |
Valdymo grupė, Atkūrimo grupė |
|||
7.1.3. Paslaugų negaunančių padalinių ir organizacijų informavimas |
Valdymo grupė, Atkūrimo grupė |
|||
7.1.4. Pažeistų stočių teikiamų paslaugų atkūrimas kitose patalpose |
Atkūrimo grupės vadovas, Atkūrimo grupė (specialistai) |
|||
7.2. Informacijos saugos priemonių plano sudarymas ir įgyvendinimas |
7.2.1. Žalą likviduojančių darbuotojų instruktavimas |
Atkūrimo grupės vadovas |
||
7.2.2. Minimalios apimties paslaugų atkūrimas |
Atkūrimo grupės vadovas, Valdymo grupė, atsakingas administratorius |
|||
7.2.3. Žalos įvertinimas, veiklos atkūrimo sąmatos sudarymas |
Atkūrimo grupės vadovas, Valdymo grupė |
|||
7.2.4. Žalos padarinių likvidavimas |
Atkūrimo grupė, atsakingas sisteminis administratorius |
|||
7.3. Veiklos funkcijų atkūrimo vertinimas |
7.3.1. Visiško funkcijų atkūrimo vertinimas, susijusių padalinių ir organizacijų informavimas, incidento tyrimas |
Valdymo grupė, Atkūrimo grupė |
||
8. |
Pavojingas (įtartinas) radinys, teroristinė veikla |
8.1.Teisėsaugos informavimas |
8.1.1. Techninio centro apsaugos tarnybos informavimas |
Radinį aptikęs darbuotojas, techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą |
8.1.2. Poreikio evakuoti darbuotojus iš patalpų vertinimas |
Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą |
|||
8.2. Darbuotojų evakavimas |
8.2.1. Darbuotojų informavimas apie evakuaciją |
Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą |
||
8.3. Patalpų užrakinimas |
8.3.1. Teisėsaugos nurodymų vykdymas |
Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą |
||
8.4. Teisėsaugos nurodymų vykdymas |
8.4.1. Darbuotojų informavimas apie nurodymų vykdymą |
Atkūrimo grupės vadovas |
||
8.5. Veiksmai išlaisvinus užgrobtas patalpas |
8.5.1. Padarytos žalos įvertinimas |
Išorinė tarnyba, Atkūrimo grupė, Valdymo grupė |
||
8.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas |
Atkūrimo grupė, Valdymo grupė |
|||
8.5.3. Žalą likviduojančių darbuotojų instruktavimas |
Atkūrimo grupės vadovas |
|||
8.6. Veiklos funkcijų atkūrimo vertinimas |
8.6.1. Visiško funkcijų atkūrimo vertinimas, susijusių padalinių ir organizacijų informavimas |
Valdymo grupė, Atkūrimo grupė |
||
9. |
Nepasiekiami darbuotojai (dėl sveikatos sutrikimų, stichinių nelaimių ir nelaimingų atsitikimų) |
9.1. Saugos incidento rizikos įvertinimas
|
9.1.1. Veiksmai pagal darbų saugos instrukcijas |
Atkūrimo grupės vadovas, eLABa saugos įgaliotinis, techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą |
9.2. Pavaduojančių asmenų instruktavimas |
9.2.1. Informacijos prieigos ribojimas, pakaitinio / pavaduojančio darbuotojo skyrimas. |
eLABa naudotojų teisių administratorius, Atkūrimo grupė |
||
|
9.2.2. Trūkstamų darbuotojų paieška ir priėmimas į darbą |
Nukentėjusio padalinio vadovas, Atkūrimo grupės vadovas |
||
9.3. Veiklos funkcijų atkūrimo vertinimas |
9.3.1. Vertinama, ar visškai atkurtos funkcijos nukentėjusiame centre |
Valdymo grupė, Atkūrimo grupė |
||
10. |
Institucijos duomenų vagystė |
10.1. Pažeisto komponento izoliavimas |
10.1.1. Incidentų reagavimo grupių (CERT) informavimas, pažeistų komponentų ir tinklo segmentų izoliavimas |
Atkūrimo grupė, atsakingas už pažeistą segmentą administratorius |
10.1.2. Visuomenės ir duomenų subjektų, Valstybinės duomenų apsaugos inspekcijos ir Nacionalinio kibernetinio saugumo centro prie KAM informavimas |
Atkūrimo grupės vadovas, eLABa saugos įgaliotinis |
|||
10.1.3. Duomenų atstatymas, incidento tyrimas, kitų incidento pasekmių likvidavimas |
Atkūrimo grupė |
|||
10.2. Informacijos saugos priemonių plano sudarymas ir įgyvendinimas |
10.2.1. Veiklos atkūrimo sąmatos sudarymas |
Atkūrimo grupė, eLABa saugos įgaliotinis |
||
10.3. Veiklos funkcijų atkūrimo vertinimas |
10.3.1. Vertinama, ar visiškai atkurtos funkcijos nukentėjusioje institucijoje |
Valdymo grupė, Atkūrimo grupė |
Lietuvos akademinės elektroninės
bibliotekos informacinės sistemos
veiklos tęstinumo valdymo plano
2 priedas
LIETUVOS AKADEMINĖS ELEKTRONINĖS BIBLIOTEKOS ELEKTRONINĖS INFORMACIJOS IR KIBERNETINIŲ SAUGOS INCIDENTŲ VALDYMO IR TYRIMO TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos akademinės elektroninės bibliotekos elektroninės informacijos ir kibernetinių saugos incidentų valdymo ir tyrimo tvarkos aprašas (toliau – Aprašas) reglamentuoja Lietuvos akademinės elektroninės bibliotekos informacinės sistemos (toliau – eLABa) naudotojų, valdytojo ir tvarkytojų darbuotojų veiksmus, įvykus elektroninės informacijos ir kibernetiniams saugos incidentams (toliau – saugos incidentai) ir jų sprendimo bei tyrimo tvarką.
II SKYRIUS
PRANEŠIMŲ APIE SAUGOS INCIDENTUS REGISTRAVIMAS IR NEATIDĖLIOTINI SAUGOS INCIDENTŲ PLĖTROS SUSTABDYMO VEIKSMAI
2. eLABa naudotojas apie saugos incidentus nedelsdamas praneša savo institucijos eLABa darbo vietų administratoriui.
4. Institucijos eLABa saugos įgaliotinis, vadovaudamasis Incidentų klasifikacija ir veiklos atkūrimo terminais (Plano 3 priedas), vertina saugos incidentą ir, pasitvirtinus įtarimui dėl saugos incidento, praneša eLABa pagrindiniam tvarkytojui IT pagalbos telefonu (8 5) 236 6200 darbo valandomis ir elektroniniu paštu pagalba@vu.lt ne darbo valandomis.
5. Gautas pranešimas apie saugos incidentą registruojamas adresu https://darbai.labt.lt/redmine skiltyje „eLABa incidentai“ ir priskiriamas eLABa pagrindiniam administratoriui ir eLABa sistemos administratoriui spręsti, informacinės sistemos priežiūrą vykdančio padalinio vadovui ir informacinės sistemos eLABa saugos įgaliotiniui stebėti.
6. Pagrindinis eLABa administratorius įvykus saugos incidentui:
6.1. atsižvelgdamas į veiklos tęstinumo detaliajame plane nustatytą poreikį informuoja kitus atsakingus asmenis;
6.3. kartu su konsorciumo informacinių sistemų priežiūros darbo grupe (toliau – KISP grupė) sprendžia saugos incidentus;
6.8. registruoja informaciją apie saugos incidento aplinkybes ir jo sprendimą IT pagalbos informacinėje sistemoje (prie pranešimo apie incidentą);
6.9. išsprendus saugos incidentą, pateikia išvadą tiesioginiam vadovui ir eLABa saugos įgaliotiniui žiniai;
7. eLABa saugos įgaliotinis:
7.4. teikia nurodymus KISP grupė ir incidentų reagavimo grupėms (CERT) dėl tyrimui reikalingos medžiagos pateikimo;
7.6. bendradarbiauja su incidentų reagavimo grupėmis (CERT) ir kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugos ir kibernetinius incidentus bei neteisėtas veiklas;
7.9. incidentų registracijos informacinėje sistemoje pateikia tyrimo metu nustatytą informaciją ir uždaro saugos incidentą, kai šis išsprendžiamas;
8. Įtaręs neteisėtą veiklą, pažeidžiančią ar neišvengiamai pažeisiančią informacinės sistemos saugą, eLABa saugos įgaliotinis apie tai praneša eLABa duomenų valdymo įgaliotiniui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, informacijos saugos ir kibernetinius incidentus, neteisėtas veiklas, susijusias su saugos incidentais.
III SKYRIUS
SAUGOS INCIDENTŲ TYRIMAS
9. Nereikšmingo poveikio saugos incidentų tyrimai neatliekami ir analizė Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos neteikiama. Tokiu atveju eLABa sistemos administratorius registruoja informaciją apie saugos incidento aplinkybes ir jo sprendimą adresu https://darbai.labt.lt/redmine skiltyje „eLABa incidentai“ ir pateikia su išvada pagrindiniam eLABa administratoriui bei eLABa saugos įgaliotiniui žiniai.
10. Nereikšmingo poveikio eLABa incidentų sprendimą sistemoje užbaigia tiesioginis padalinio, prižiūrinčio informacinę sistemą arba eLABa incidento paveiktą eLABa veikti būtiną infrastruktūrą, vadovas.
11. eLABa saugos įgaliotinis turi teisę priimti sprendimą tirti sprendžiamą arba papildomai tirti jau išspręstą nereikšmingo poveikio saugos incidentą.
12. eLABa saugos įgaliotinis, nustatęs aplinkybes, dėl kurių saugos incidentas gali turėti didesnių, nei manyta, padarinių, arba nustatęs, kad saugos incidento padariniai neatitinka numatytų kriterijų, turi teisę perkvalifikuoti saugos incidentą į kitą kategoriją.
13. Tiriant informacinės sistemos saugos incidentus, eLABa saugos įgaliotinis turi teisę gauti informaciją iš visų veiklos tęstinumo atstatyme dalyvavusių ir kitų galinčių turėti reikiamos informacijos darbuotojų bei tvarkytojų incidentų reagavimo grupių (CERT).
14. Vidutinio ir didesnio poveikio saugos incidentų tyrimas:
14.1. saugos incidentams tirti gali būti sudaromos specializuotos incidentų tyrimo grupės (toliau – Tyrimo grupė);
14.2. Tyrimo grupės narius eLABa saugos įgaliotinio siūlymu skiria techninių centrų ir, poreikiui esant, kitų tvarkytojų vadovai;
15. Siekdamas nustatyti saugos incidento aplinkybes, priežastis ir asmenis, dėl kurių galbūt neteisėtų veiksmų įvyko saugos incidentas, eLABa saugos įgaliotinis Tyrimo grupės nariams skiria saugos incidento tyrimo užduotis.
16. Tyrimo grupės nariai turi teisę:
17. Tyrimo grupė:
17.1. vadovaudamasi surinkta tyrimo medžiaga, surašo saugos incidento tyrimo išvadą, kurioje išdėsto saugos incidento aplinkybes, priežastis ir jas pagrindžiančius įrodymus, taip pat nurodo asmenis, dėl kurių neteisėtos veiklos įvyko saugos incidentas, ir šiuos duomenis teikia eLABa duomenų saugos įgaliotiniui;
17.2. vadovaudamasi Lietuvos akademinės elektroninės bibliotekos informacinės sistemos duomenų saugos nuostatais ir kitais saugos dokumentais pagal savo kompetenciją dalyvauja eLABa veiklos tęstinumo atkūrimo veiklose;
17.3. Valdymo grupės vadovo sprendimu bendradarbiauja su žalą likviduojančiomis specialiosiomis tarnybomis ir kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugos ir kibernetinius incidentus, neteisėtas veiklas, susijusias su saugos incidentais;
18. Saugos incidentų registracijos žurnale nurodoma, kada saugos incidentas išspręstas ir kas padaryta atstatant veiklą.
19. Tyrimo ataskaitoje turi būti pateikta bent ši informacija: saugos incidento vieta, grėsmės kodas, saugos incidento aprašymas, pradžia (data ir laikas), pabaiga (data ir laikas), tyrimą vykdžiusių darbuotojų duomenys.
20. Surinkęs tyrimo medžiagą, eLABa saugos įgaliotinis pateikia apibendrinančią išvadą, priima sprendimą dėl saugos incidento tyrimo pabaigos ir informuoja eLABa duomenų valdymo įgaliotinį.
21. Saugos incidentų registracijos žurnalo išrašas, tyrimo medžiaga ir tyrimų ataskaitos pateikiami eLABa valdytojui arba pagrindiniam eLABa tvarkytojui pareikalavus, atitikties ir rizikos vertinimams vykdyti bei kitais LR įstatymų numatytais atvejais.
IV SKYRIUS
BAIGIAMOSIOS NUOSTATOS
Lietuvos akademinės elektroninės
bibliotekos informacinės sistemos
veiklos tęstinumo valdymo plano
3 priedas
INCIDENTŲ KLASIFIKACIJA IR VEIKLOS ATKŪRIMO TERMINAI
I. KRITERIJAI, KURIAIS VADOVAUJANTIS SAUGOS INCIDENTAI PRISKIRIAMI KATEGORIJOMS
Nereikšmingas (N) |
Vidutinis (V) kriterijų) |
Didelis (D) kriterijų) |
|||||||||||
Informacinė sistema netrikdoma, arba trikdoma < 1 val. |
Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius mažiau nei 5 % visų registruotų sistemos naudotojų |
Paslauga teikiama, bet trikdoma |
Nuostoliai < 250 000 Eur |
Informacinė sistema trikdoma ≥ 1 val., bet < 2 val. |
Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius < 25 % |
Paslauga trikdoma dalyje šalies teritorijos |
Pažeistas informacijos ar informacinės sistemos konfidencialumas ir (ar) vientisumas |
Nuostoliai ≥ 250 000, bet < 500 000 Eur |
Informacinė sistema trikdoma ≥ 2 val. |
Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius ≥ 25 % |
Paslauga trikdoma visos šalies teritorijoje ir (ar) |
Pažeistas informacijos ar informacinės sistemos konfidencialumas ir (ar) vientisumas |
Nuostoliai ≥ 500 000 Eur |
II. VEIKLOS ATKŪRIMO TERMINAI
Incidento kategorija |
Minimalaus funkcionalumo atkūrimo terminas |
Visiško funkcionalumo atkūrimo terminas |
Pavojingas |
5 d. |
30 d. |
Didelis |
4 d. |
15 d. |
Vidutinis |
3 d. |
7 d. |
Nereikšmingas |
2 d. |
5 d. |
_________________
Lietuvos akademinės elektroninės
bibliotekos informacinės sistemos
veiklos tęstinumo valdymo plano
4 priedas
VEIKLOS ATKŪRIMO PRIORITETAI
1. Pirmas prioritetas: Infrastruktūros atkūrimas
Eil. Nr. |
Sutrumpintas kodas |
Infrastruktūros sistema |
1. |
I1 |
Fizinė sauga |
2. |
I2 |
Elektros maitinimas |
3. |
I3 |
Šaldymas |
4. |
I4 |
Kompiuterių tinklas ir susijusios paslaugos (virtualus privatus tinklas (VPN), telefonija) |
5. |
I5 |
Duomenų saugyklos |
6. |
I6 |
Serveriai |
7. |
I7 |
Duomenų kopijavimo ir atkūrimo sistema |
8. |
I8 |
Duomenų bazės |
9. |
I9 |
Sisteminio elektroninio pašto paslauga |
2. Antras prioritetas: prioritetinių paslaugų atkūrimas
Eil. Nr. |
Sutrumpintas kodas |
Paslauga |
Priklauso nuo |
1. |
P1 |
eLABa aplikacijų, paieškos vartų programinė įranga* |
I1−I9 |
2. |
P2 |
eLABa apkrovos paskirstymo programinė įranga, eLABa svetainė* |
I1−I8 |
3. |
P3 |
eLABa administratorių darbo vietos
|
I1−I2, I4 |
4. |
P4 |
eLABa Valdymo ir Atkūrimo grupių narių darbo vietos |
I1−I2, I4 |
* Pastaba: paslaugos laikomos atkurtos minimalia konfigūracija, kai veikia sistemos eLABa naudotojų aplikacijos P1 (be ataskaitų) ir informacinės sistemos svetainė P2 (be ataskaitų).
_______________________
Lietuvos akademinės elektroninės
bibliotekos informacinės sistemos
veiklos tęstinumo valdymo plano
5 priedas
VEIKSMINGUMO IŠBANDYMO ATASKAITA
(data, dokumento numeris)
Plano išbandymo dalyviai:
|
|
|
Scenarijaus apibūdinimas:
|
|
|
Paslaugos ir sistemos, kuriuos paveikė scenarijus:
|
|
|
Išbandymo valdymo eiga:
|
|
|
Nustatyti trūkumai:
|
|
|
Pasiūlymai keisti arba papildyti Planą:
|
|
|
eLABa saugos įgaliotinis (vardas, pavardė) (parašas)
Atkūrimo grupės vadovas (vardas, pavardė) (parašas)
Valdymo grupės vadovas (vardas, pavardė) (parašas)
______________