LIETUVOS RESPUBLIKOS VYRIAUSIASIS VALSTYBINIS DARBO INSPEKTORIUS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS VALSTYBINĖS DARBO INSPEKCIJOS PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS VALDOMŲ INFORMACINIŲ SISTEMŲ SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ PATVIRTINIMO
2019 m. spalio 11 d. Nr. EV-293
Vilnius
Vadovaudamasis Lietuvos Respublikos valstybinės darbo inspekcijos įstatymo 8 straipsnio 2 dalies 1 punktu, Lietuvos Respublikos kibernetinio saugumo įstatymo 13 straipsnio 5 dalimi, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 12, 19 ir 26 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, 5 punktu, Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2019 m. birželio 28 d. įsakymu Nr. EV-197 „Dėl Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų duomenų saugos nuostatų patvirtinimo“:
1. T v i r t i n u pridedamus:
1.1. Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ministerijos valdomų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisykles;
1.2. Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ministerijos valdomų informacinių sistemų veiklos tęstinumo valdymo planą;
2. P r i p a ž į s t u netekusiais galios:
2.1. Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2008 m. liepos 15 d. įsakymą Nr. V-212 „Dėl darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos saugos dokumentų patvirtinimo“ ir visus šio įsakymo pakeitimus ir papildymus;
2.2. Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2010 m. rugpjūčio 11 d. įsakymą Nr. V-269 „Dėl Potencialiai pavojingų įrenginių valstybės registro saugos dokumentų patvirtinimo“;
2.3. Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2012 m. vasario 15 d. įsakymą Nr. V-47 „Dėl darbuotojų saugos ir sveikatos klausimais atestavimo informacinės sistemos saugos politiką įgyvendinančių dokumentų patvirtinimo“;
2.4. Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2010 m. lapkričio 16 d. įsakymą Nr. V-394 „Dėl Valstybinės darbo inspekcijos interneto svetainės saugos politiką įgyvendinančių dokumentų patvirtinimo“;
3. P a v e d u:
3.1. Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos (toliau – VDI) Informacinių technologijų ir dokumentų valdymo skyriaus vedėjui organizuoti šio įsakymo paskelbimą Teisės aktų registre ir VDI išorinėje ir vidinėje interneto svetainėje;
3.2. informacinių sistemų saugos įgaliotiniui, Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos Dokumentų valdymo tvarkos aprašo, patvirtinto Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2015 m. birželio 18 d. įsakymu Nr. V-211 „Dėl Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos Dokumentų valdymo tvarkos aprašo patvirtinimo” nustatyta tvarka,
su šiuo įsakymu Dokumentų valdymo sistemos priemonėmis pasirašytinai supažindinti VDI darbuotojus – informacinių sistemų naudotojus;
PATVIRTINTA
Lietuvos Respublikos vyriausiojo valstybinio
darbo inspektoriaus 2019 m. spalio 11 d.
įsakymu Nr. EV-293
LIETUVOS RESPUBLIKOS VALSTYBINĖS DARBO INSPEKCIJOS PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS VALDOMŲ INFORMACINIŲ SISTEMŲ SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) nustato Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos (toliau - Valstybinė darbo inspekcija) valdomų informacinių sistemų ir registrų (toliau – informacinės sistemos) saugaus elektroninės informacijos tvarkymo techninius ir organizacinius reikalavimus.
2. Taisyklių reikalavimai taikomi tvarkant Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos, Potencialiai pavojingų įrenginių valstybės registro, Darbuotojų saugos ir sveikatos klausimais atestavimo informacinė sistemos, Dokumentų valdymo sistemos, Personalo pokyčių valdymo sistemos, Veiklos valdymo sistemos ir Rizikingumo vertinimo sistemos elektroninę informaciją.
3. Taisyklės parengtos vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, (toliau – Bendrųjų saugos reikalavimų aprašas), Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai saugos reikalavimai), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2019 m. birželio 28 d. įsakymu Nr. EV-197 „Dėl Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų duomenų saugos nuostatų patvirtinimo“ (toliau – Informacinių sistemų duomenų saugos nuostatai), informacinių sistemų nuostatais.
4. Taisyklėse vartojamos sąvokos atitinka Bendrųjų saugos reikalavimų apraše, Techniniuose saugos reikalavimuose, Kibernetinio saugumo reikalavimų apraše, Informacinių sistemų duomenų saugos nuostatuose vartojamas sąvokas.
5. Informacinių sistemų elektroninę informaciją sudaro šios duomenų grupės:
5.1. Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinėje sistemoje (toliau - DSS IS) tvarkomų duomenų grupės:
5.1.1. profesinių ligų priežasčių tyrimų duomenys:
5.1.1.2. asmens sveikatos priežiūros įstaigų, įtarusių profesinę ligą, teikti pranešimai ir papildomi duomenys, reikalingi tyrimui;
5.1.2. nelaimingų atsitikimų darbe tyrimų duomenys:
5.1.2.1. darbdavių teikti pranešimai apie nelaimingus atsitikimus darbe ir taip pat jų teikti duomenys apie Valstybinės darbo inspekcijos pareigūnų nurodymų įvykdymą;
5.1.2.2. asmens sveikatos priežiūros įstaigų teikti pranešimai apie darbe sužalotus asmenis, įskaitant mirusiuosius gydymo įstaigoje dėl nelaimingo atsitikimo darbe;
5.1.3. Valstybinei darbo inspekcijai teikiamų privalomų darbdavių pranešimų duomenys:
5.1.3.4. apie priimtą dirbti vaiką, jo darbo sąlygų pakeitimą ir apie darbo sutarties su vaiku nutraukimą;
5.1.3.7. informacija iš juridinių ir fizinių asmenų, pagal sutartis su darbdaviais atliekančių darbuotojų saugos ir sveikatos tarnybų funkcijas ar jų dalį;
5.1.4. Grupių fizinių asmenų duomenys:
5.1.4.2. asmenų, kurie įtariami sergant ar serga profesinėmis ligomis, duomenys: asmens kodas, amžius, lytis, gyvenamoji vieta; jei nuolat gyvena užsienyje – valstybė, jei neturi gyvenamosios vietos – savivaldybė, kurioje gyvena; kontaktiniai duomenys (telefono numeris, elektroninis paštas); įtariama diagnozė, patvirtinta profesinės ligos diagnozė, išsilavinimas, socialinė padėtis, įmonė, kurioje asmuo dirba, įmonė, kurioje asmuo dirbo anksčiau veikiant profesinės rizikos veiksniams, profesija, pareigos, darbinės veiklos raida, profesinės ligos tyrimo bylos medžiaga;
5.1.4.3. asmenų, kuriems įvyko nelaimingi atsitikimai darbe, duomenys: pilietybė, asmens kodas, gyvenamoji vieta; jei nuolat gyvena užsienyje – valstybė, jei neturi gyvenamosios vietos – savivaldybė, kurioje gyvena; kontaktiniai duomenys (telefono numeris, elektroninis paštas), žinios apie sužalojimą, profesija, pareigos, įmonė, kurioje asmuo dirba (ar dirbo, jei mirtinas nelaimingas atsitikimas); nelaimingo atsitikimo akto numeris ir data, nedarbingumo kalendorinių dienų skaičius, nelaimingo atsitikimo tyrimo bylos medžiaga;
5.1.4.4. darbdavių ar juos atstovaujančių asmenų, kai įvyko sunkūs ir mirtini nelaimingi atsitikimai darbe, duomenys: asmens kodas, pareigos, kontaktiniai duomenys (telefono numeris, elektroninis paštas);
5.1.4.5. asmenų, kuriems Valstybinė darbo inspekcija surašo administracinių teisės pažeidimų protokolus, duomenys: asmens kodas, gimimo data, gyvenamoji vieta, jei nuolat gyvena užsienyje – valstybė, jei neturi gyvenamosios vietos – savivaldybė, kurioje gyvena; kontaktiniai duomenys (telefono numeris, elektroninis paštas), pareigos, įmonė, kurioje asmuo dirba, asmens tapatybę patvirtinančio dokumento duomenys (rūšis, pavadinimas, serija, numeris, išdavimo data ir data, iki kurios galioja dokumentas), administracinio teisės pažeidimo protokolo priedai;
5.1.4.6. asmenų, kurie įrašyti pranešimuose, duomenys:
5.1.4.6.1 apie į Lietuvos Respubliką komandiruojamąjį dirbti užsienio valstybės darbuotoją: gimimo data, pilietybė, asmens tapatybę patvirtinančio dokumento duomenys (pavadinimas, serija, numeris, galiojimo data), profesija, specialybė, kvalifikacija, darbo funkcija, informacija, nurodyta Lietuvos Respublikos garantijų komandiruotiems darbuotojams įstatymo 4 straipsnio 1 dalyje;
5.1.4.6.2 apie priimtą dirbti vaiką, jo darbo sąlygų pakeitimą ir apie darbo sutarties su vaiku nutraukimą: vaiko vardas, pavardė, gauti rašytiniai sutikimai (iš mokyklos, vieno iš tėvų, vaiko atstovo, vaiko sveikatą prižiūrinčio gydytojo), darbdavys ir darbo vieta, darbo sąlygos ir funkcijos, maksimali darbo trukmė (per parą, per savaitę), poilsio pertraukų trukmė ir skaičius, darbo apmokėjimo požymis (valandinis atlygis ar mėnesinė alga), darbo laikas, darbo sutarties su vaiku sudarymo ir nutraukimo data, darbo sutarties nutraukimo priežastis ir teisinis pagrindas;
5.1.4.6.3 apie darbdavius (jei fiziniai asmenys), komandiruojančius į Lietuvos Respubliką darbuotojus ir priimančius komandiruotus darbuotojus: vardas, pavardė, adresas, kontaktiniai duomenys (telefono numeris, elektroninis paštas);
5.1.4.7. darbdaviui atstovaujančių ir jų įgaliotų asmenų duomenys: pareigos, įmonė, kurioje asmuo dirba, asmens kodas, atstovavimo ar įgaliojimo pradžia ir pabaiga;
5.1.4.8. asmenų, teikiančių prašymus, ir jų atstovų (jei yra) duomenys: vardas, pavardė, adresas, kontaktiniai duomenys (telefono numeris, elektroninis paštas);
5.1.4.9. asmenų, kurie buvo tikrinami ir kuriems numatytos sankcijos, duomenys: pareigos, įmonė, kurioje asmuo dirba, asmens kodas (kai darbdavys – fizinis asmuo), pareigos, kontaktiniai duomenys (telefono numeris, elektroninis paštas), tikrinimo medžiaga;
5.1.5. Valstybinės darbo inspekcijos atliekamų darbdavių patikrinimų (inspektavimų) dokumentai ir jų vykdymo kontrolės duomenys; ir sveikatos norminių teisės aktų vykdymo klausimais duomenys;
5.1.6. Valstybinės darbo inspekcijos surašomų administracinių nusižengimų (AN) protokolų, AN bylų, faktinių AN aplinkybių konstatavimo, procesinio sprendimo priėmimo, dokumentų perdavimo ar įteikimo duomenys;
5.1.7. darbo ginčų bylų, faktinių darbo ginčo aplinkybių konstatavimo, procesinio sprendimo priėmimo, dokumentų perdavimo ar įteikimo duomenys;
5.1.8. Valstybinės darbo inspekcijos gaunami asmenų prašymų darbuotojų saugos ir sveikatos bei darbo santykių klausimais ir jų nagrinėjimo duomenys;
5.1.9. informacija apie darbuotojų saugos būklę ir darbo vietų atitiktį darbuotojų saugos ir sveikatos norminių teisės aktų reikalavimams, kurią darbdaviai teikia Valstybinei darbo inspekcijai darbuotojų saugos ir sveikatos būklės vertinimo tikslu;
5.1.10. Valstybinės darbo inspekcijos darbuotojų duomenys: skyrius, tabelio numeris, pareigybė, kategorija, specialybė, datos, nuo kada ir iki kada darbuotojas eina pareigas, kontaktiniai duomenys (telefono numeris, elektroninis paštas);
5.1.12. DSS IS naudotojų sąrašai, vaidmenys, prisijungimo duomenys, duomenys apie jų atliekamus veiksmus;
5.2. Potencialiai pavojingų įrenginių valstybės registre (Registras) tvarkomos duomenų grupės:
5.2.5. Registro naudotojų sąrašai, vaidmenys, prisijungimo duomenys, duomenys apie naudotojų atliekamus veiksmus;
5.3. Darbuotojų saugos ir sveikatos klausimais atestavimo informacinėje sistemoje (DSSAS) tvarkomos elektroninės informacijos grupės:
5.4. Dokumentų valdymo sistemoje (DVS) tvarkomos elektroninės informacijos grupės:
5.4.2. dokumentai: teisės aktai, vidaus dokumentai, gaunami dokumentai, siunčiami dokumentai, rengiamieji dokumentai;
5.5. Rizikingumo vertinimo sistemoje (RVS) tvarkomos elektroninės informacijos grupės:
5.5.1. ūkio subjektų darbuotojų saugos ir sveikatos būklę ir atitiktį darbo santykius reglamentuojantiems teisės aktams apibūdinantys duomenys;
5.6. Veiklos vertinimo sistemoje (VVS) tvarkomos elektroninės informacijos grupės:
5.7. Personalo pokyčių valdymo sistemoje (POKYTIS) tvarkomos elektroninės informacijos grupės:
5.7.1. Valstybinės darbo inspekcijos struktūrinių padalinių ir darbuotojų duomenys:
5.7.1.1. struktūrinio padalinio duomenys: pavadinimas, buveinės adresas, kontaktiniai duomenys, įsteigimo ir panaikinimo data;
6. Vadovaujantis Informacinių sistemų duomenų saugos nuostatais:
6.1. DSS IS ir Registre tvarkoma elektroninė informacija priskiriama svarbios informacijos kategorijai (toliau – antros kategorijos informacinės sistemos);
7. Atsakomybės už informacinių sistemų elektroninės informacijos tvarkymą:
7.1. už Taisyklių 5.1.1- 5.1.9, 5.1.13,5.1.10 5.2.1- 5.2.4, 5.3.1, 5.3.4, 5.4.1-5.4.4, 5.5.1-5.5.4, 5.6.1-5.6.5 ir 5.7.1 papunkčiuose nurodytų elektroninės informacijos grupių duomenų tvarkymą atsakingi informacinių sistemų naudotojai;
II SKYRIUS
TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS
PIRMASIS SKIRSNIS
INFORMACINIŲ SISTEMŲ KOMPIUTERINĖS ĮRANGOS SAUGOS PRIEMONĖS
8. Tiesioginė prieiga prie tarnybinių stočių suteikiama tik informacinių sistemų infrastruktūros administratoriui, išskyrus atvejus, kai, teikiant techninės ir programinės įrangos paleidimo, derinimo ar kitas paslaugas, tiesioginė prieiga gali būti suteikta asmeniui, teikiančiam nurodytas paslaugas;
9. Informacinių sistemų tarnybinės stotys, duomenų saugyklos ir duomenų perdavimo tinklo įranga turi turėti rezervinius maitinimo šaltinius, užtikrinančius šios įrangos veikimą. Antros kategorijos informacinių sistemų svarbiausia kompiuterinė įranga ir duomenų perdavimo tinklo mazgai turi turėti rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne mažiau kaip 30 min.
10. Informacinių sistemų tarnybinės stotys, duomenų perdavimo tinklo įranga ir ryšio linijos esant techninėms galimybėms turi būti dubliuoti ir jų techninė būklė nuolat stebima.
11. Informacinių sistemų duomenų saugyklose turi būti naudojami pertekliniai nepriklausomų diskų masyvai (angl. Redundant array of independent disks – RAID), leidžiantys neprarasti duomenų sugedus vienam arba dviem (bet kuriems) masyvo diskams.
12. Informacinės sistemos turi perspėti informacinių sistemų infrastruktūros administratorių, kai pagrindinėje informacinių sistemų kompiuterinėje įrangoje iki nustatytos pavojingos ribos sumažėja laisvos kompiuterio atminties ar vietos diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja.
13. Informacinių sistemų infrastruktūros administratorius registruoja informacinių sistemų tarnybinių stočių, duomenų saugyklos ir duomenų perdavimo tinklo mazgų gedimus.
14. Informacinių sistemų tarnybinėse stotyse turi būti įjungtos užkardos, sukonfigūruotos praleisti tik su informacinių sistemos funkcinėmis galimybėmis ir administravimu susijusį duomenų srautą. Užkardų konfigūracijų dokumentai turi būti saugomi kartu su informacinių sistemų dokumentais.
15. Taisyklių 55 - 65 ir 76 - 82 punktuose nustatyta tvarka ir apimtimi fiksuojama, saugoma ir analizuojama informacija apie informacinėse sistemose įrašomus duomenis, apie informacinių sistemų įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis informacinėse sistemose, visus informacinių sistemų naudotojų vykdomus veiksmus ir kitus elektroninės informacijos saugai svarbius įvykius.
16. Duomenų laikmenų valdymo ir naudojimo kontrolės priemonės:
16.1. vidinių informacinių sistemų naudotojų darbo vietose gali būti naudojamos tik darbo (tarnybos) reikmėms skirtos išorinės duomenų laikmenos (pavyzdžiui, USB, CD/DVD ir kt.); šios laikmenos negali būti naudojamos veiklai, nesusijusiai su teisėtu informacinių sistemų tvarkymu, vykdyti;
16.2. iš stacionarių, nešiojamųjų kompiuterių, mobiliųjų įrenginių ar elektroninės informacijos laikmenų, kurie perduodami remonto, techninės priežiūros paslaugų teikėjui, kitam informacinių sistemų naudotojui arba nurašomi, turi būti neatkuriamai sunaikinta visa nevieša elektroninė informacija;
16.3. kompiuterinių laikmenų ir jose esančios elektroninės informacijos sunaikinimą atlieka informacinių sistemų kompiuterizuotų darbo vietų administratoriai:
16.3.1. kompiuterinėse laikmenose esanti informacija sunaikinama, užtikrinant tokį jose esamos informacijos tinkamą sunaikinimą, kad jos nebūtų galima atkurti standartinėmis ar specialiosiomis duomenų atkūrimo priemonėmis;
16.3.2. neveikiančios kompiuterinės laikmenos sunaikinamos fiziškai taip, kad jose esančios informacijos turinio negalima būtų atkurti;
16.3.3. kompiuterinei laikmenai sugedus atliekant informacijos sunaikinimą, laikoma, kad informacija, buvusi laikmenoje, nėra sunaikinta, ir pati laikmena, jei ją ekonomiškai netikslinga taisyti, yra sunaikinama kaip neveikianti laikmena;
ANTRASIS SKIRSNIS
SISTEMINĖS IR TAIKOMOSIOS PROGRAMINĖS ĮRANGOS SAUGOS PRIEMONĖS
18. Informacinių sistemų priežiūros funkcijos turi būti atliekamos naudojant tam skirtą informacinių sistemų infrastruktūros administratoriaus paskyrą, kuria naudojantis negalima atlikti informacinių sistemų naudotojo funkcijų.
19. Informacinių sistemų naudotojams negali būti suteikiamos sisteminės ir (ar) taikomosios programinės įrangos administratorių teisės.
20. Informacinių sistemų tarnybinėse stotyse ir vidinių informacinių sistemų naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingosios programinės įrangos aptikimo, stebėjimo realiu laiku priemonės. Šios priemonės turi automatiškai informuoti informacinių sistemų infrastruktūros administratorių ir kompiuterizuotų darbo vietų administratorius apie tai, kurių informacinių sistemų ar jų funkcinių sudedamųjų dalių, kompiuterizuotų darbo vietų kenksmingosios programinės įrangos aptikimo priemonių atsinaujinimo laikas yra pradelstas. Atskiros informacinės sistemos ar jų atskiros funkcinės dalys be kenksmingos programinės įrangos aptikimo priemonių gali būti eksploatuojamos jeigu vertinant riziką patvirtinama, kad rizika yra priimtina.
21. Turi būti operatyviai testuojami ir įdiegiami informacinių sistemų tarnybinių stočių ir vidinių informacinių sistemų naudotojų darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai. Techninės infrastruktūros administratorius reguliariai, ne rečiau kaip kartą per savaitę, turi įvertinti informaciją apie informacinių sistemų posistemiuose ir kitose funkciškai savarankiškose sudedamosiose dalyse, vidinių informacinių sistemų naudotojų darbo vietų kompiuterinėje įrangoje neįdiegtus rekomenduojamus gamintojų atnaujinimus ir su tuo susijusius saugos pažeidžiamumų svarbos lygius.
22. Informacinių sistemų tarnybinėse stotyse turi būti naudojama tik legali programinė įranga; programinę įrangą turi diegti tik informacinių sistemų valdytojo vadovo įgalioti asmenys.
23. Vidinių informacinių sistemos naudotojų kompiuterizuotose darbo vietose turi būti naudojama tik legali ir tik darbo funkcijoms atlikti reikalinga programinė įranga; informacinių sistemų saugos įgaliotinis turi parengti ir su Valstybinės darbo inspekcijos vadovu suderinti ir ne rečiau kaip kartą per metus peržiūrėti bei prireikus atnaujinti leidžiamos naudoti vidinių informacinių sistemų naudotojų kompiuterizuotose darbo vietose programinės įrangos sąrašą.
24. Informacinių sistemų ir programinė įranga turi būti prižiūrima laikantis gamintojo rekomendacijų.
25. Informacinių sistemų programinę įrangą prižiūrėti ir gedimus šalinti turi kvalifikuoti specialistai.
26. Taikomoji programinė įranga turi būti testuojama naudojant atskirą testavimui skirtą aplinką, kurioje neturi būti naudojami realūs asmens duomenys.
27. Atsarginės laikmenos su programinės įrangos kopijomis turi būti laikomos nedegioje spintoje, kitose patalpose arba kitame pastate, nei yra informacinių sistemos tarnybinės stotys.
28. Slaptažodžiai, leidžiantys dirbti su informacinių sistemų tarnybinių stočių programine įranga, turi būti žinomi tik infrastruktūros administratoriui ir saugomi seife.
TREČIASIS SKIRSNIS
ELEKTRONINĖS INFORMACIJOS PERDAVIMO TINKLAIS SAUGUMO UŽTIKRINIMO PRIEMONĖS
30. Informacinių sistemų elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų užkarda. Kompiuterių tinklo įvykių žurnalai turi būti reguliariai, ne rečiau kaip kartą per savaitę, analizuojami, o užkardos saugumo taisyklės periodiškai peržiūrimos ir, esant reikalui, keičiamos.
31. Turi būti naudojamos apsaugos nuo pagrindinių per tinklą vykdomų atakų: struktūrizuotų užklausų kalbos įskverbties (angl. SQL injection), įterptinių instrukcijų atakų (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), paskirstyto atsisakymo aptarnauti (angl. DDOS) ir kitų, priemonės; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org. Informacinių sistemų naudojamame kompiuterių tinkle turi būti įdiegtos ir veikti automatinės įsilaužimo (įsibrovimo) aptikimo ir prevencijos priemonės:
31.1. turi būti įdiegtos ir veikti automatizuotos įsibrovimo aptikimo sistemos, kurios stebėtų informacinių sistemų įeinančius ir išeinančius duomenų srautus ir vidinius srautus tarp svarbiausių kompiuterių tinklo paslaugų;
31.2. įvykus įtartinai veiklai, ji turi būti užfiksuojama audito įrašuose ir automatizuotai kuriamas pranešimas (esant techninėms galimybėms) informacinių sistemų infrastruktūros administratoriui;
31.4. įsilaužimo atakų pėdsakai (angl. Attack signature) turi būti gaunami iš aktualią informaciją teikiančių šaltinių – patikimų saugos programinės įrangos gamintojų. Naujausi įsilaužimo atakų pėdsakai turi būti atnaujinami ne vėliau kaip per 24 valandas nuo saugos programinės įrangos gamintojo naujausių įsilaužimo atakų pėdsakų pateikimo valandos arba ne vėliau kaip per 72 valandas nuo naujausių įsilaužimo atakų pėdsakų pateikimo valandos, jeigu informacinių sistemų valdytojos sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio Informacinės sistemos veiklai vertinimas (testavimas);
31.5. pagrindinėse tarnybinėse stotyse turi būti įjungtos saugasienės, sukonfigūruotos blokuoti visą įeinantį ir išeinantį, išskyrus su valstybės informacinių išteklių ar ypatingos svarbos informacinės infrastruktūros funkcionalumu ir administravimu susijusį duomenų srautą;
31.6. įsilaužimo aptikimo techninio sprendinio įgyvendinimas, konfigūracija ir kibernetinių incidentų aptikimo algoritmai (taisyklės) (kartu nurodant datas (įgyvendinimo, atnaujinimo ir panašiai), atsakingus asmenis, taikymo periodus ir pan.) turi būti saugomi elektronine forma atskirai nuo informacinių sistemų naudojamos techninės įrangos.
32. Viešaisiais ryšių tinklais perduodamos elektroninės informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą, virtualųjį privatųjį tinklą (angl. Virtual private network -VPN).
33. Informacinių sistemų valdytoja su interneto paslaugų teikėju (-ais) turi būti sudariusi sutartis dėl:
33.4. interneto paslaugos sutrikimų registravimo:
34. Informacinių sistemų naudojamų interneto svetainių, pasiekiamų iš viešųjų elektroninių ryšių tinklų (toliau – svetainės), saugumo ir kontrolės reikalavimai:
34.1. svetainė turi atitikti:
34.1.1. Informacinių sistemų duomenų saugos nuostatų 29 punkte nustatytus svetainių saugos valdymo reikalavimus;
34.1.2. Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų naudotojų administravimo taisyklėse (toliau - Informacinių sistemų naudotojų administravimo taisyklės) nustatytus naudotojų atpažinties, tapatumo patvirtinimo reikalavimus;
34.2. papildomi atpažinties, tapatumo patvirtinimo ir naudojimosi kontrolės reikalavimai, taikomi svetainėms:
34.3. turi būti įgyvendinti svetainių kriptografijos reikalavimai:
34.3.2. šifruojant naudojami skaitmeniniai sertifikatai privalo būti išduoti patikimų sertifikavimo tarnybų; sertifikato raktas turi būti ne trumpesnis kaip 2048 bitų;
34.3.4. svetainių kriptografinės funkcijos turi būti įdiegtos tarnybinių stočių, kuriose yra svetainių, dalyse arba kriptografiniame saugumo modulyje (angl. Hardware security module);
34.4. tarnybinių stočių, kuriose yra svetainės, svetainių saugos parametrai turi būti teigiamai įvertinti naudojant Nacionalinio kibernetinio saugumo centro rekomenduojamą testavimo priemonę;
34.5. draudžiama svetainių tarnybinėse stotyse saugoti sesijos duomenis (identifikatorių), pasibaigus susijungimo sesijai;
34.6. turi būti naudojama svetainės saugasienė (angl. Web Application Firewall); įlaužimo atakų pėdsakai (angl. attack signature) turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius; naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos, jeigu informacinių sistemų valdytojos sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio informacinių sistemų veiklai vertinimas (testavimas);
34.8. tarnybinės stotys, kuriose yra svetainės, neturi rodyti svetainių naudotojams klaidų pranešimų apie svetainių programinį kodą ar tarnybines stotis;
34.9. svetainės saugumo priemonės turi gebėti automatiškai uždrausti prieigą prie tarnybinės stoties iš IP adresų, vykdžiusių grėsmingą veiklą (nesankcionuoti mėginimai prisijungti, įterpti SQL intarpus ir panašiai);
34.10. šių Taisyklių 76 - 82 punktuose nustatyta tvarka, turi būti vykdoma svetainių naudotojų ir administratorių atliekamų veiksmų auditas ir kontrolė;
34.11. tarnybinė stotis, kurioje yra svetainė, turi leisti tik svetainės funkcionalumui užtikrinti reikalingus protokolo (angl. HTTP) metodus;
35. Nuotolinis prisijungimas prie informacinių sistemų ir jų dalių turi būti vykdomas taikant protokolą, skirtą duomenims šifruoti.
36. Papildomos elektroninės informacijos perdavimo belaidžiais tinklais saugumo ir kontrolės užtikrinimo priemonės:
36.1. leidžiama naudoti tik su saugos įgaliotiniu ir su kibernetinio saugumo vadovu suderintus belaidžio tinklo įrenginius, atitinkančius techninius kibernetinio saugumo reikalavimus;
36.2. turi būti vykdoma belaidžių įrenginių kontrolė:
36.2.1. tikrinami informacinių sistemų valdytojos eksploatuojami belaidžiai įrenginiai, saugos įgaliotiniui ir kibernetinio saugumo vadovui pranešama apie neleistinus ar techninių kibernetinio saugumo reikalavimų neatitinkančius belaidžius įrenginius;
36.2.2. naudojamos priemonės, kurios automatiškai apriboja neleidžiamus ar saugumo reikalavimų neatitinkančius belaidžius įrenginius arba apie tokių įrenginių aptikimą informuoja saugos įgaliotinį ir kibernetinio saugumo vadovą;
36.3. belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, informacinių sistemų valdytojos kontroliuojamoje zonoje;
36.4. prisijungiant prie belaidžio tinklo, turi būti taikomas naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) arba TLS (angl. Transport Layer Security) protokolas;
36.5. draudžiama belaidėje sąsajoje naudoti SNMP (angl. Simple Network Management Protocol) protokolą;
36.7. turi būti išjungti nenaudojami TCP (angl. Transmission Control Protocol) ar UDP (angl. User Datagram Protocol) prievadai;
36.8. turi būti uždraustas lygiarangis (angl. peer to peer) funkcionalumas, neleidžiantis belaidžiais įrenginiais tarpusavyje palaikyti ryšį;
36.10. prieš pradedant šifruoti belaidį ryšį, turi būti pakeisti belaidės prieigos stotelėje standartiniai gamintojo raktai;
KETVIRTASIS SKIRSNIS
PATALPŲ IR APLINKOS SAUGUMO UŽTIKRINIMO PRIEMONĖS
38. Patekimas į informacinių sistemos tarnybinių stočių patalpas ir patalpas, kuriose saugomos atsarginės kopijos (toliau – saugiosios patalpos), ir patalpas, kuriose įrengtos vidinių informacinių sistemų naudotojų kompiuterizuotos darbo vietos, turi būti kontroliuojamas.
39. Turi būti įrengta pastato elektroninė perimetro kontrolės sistema (vaizdo kameros, fizinio patekimo į pastatą kontrolė).
40. Saugiosios patalpos turi atskirą elektroninę perimetro kontrolės sistemą: visose patalpose įrengti įsilaužimo davikliai prijungti prie pastato signalizacijos ir apsaugos tarnybų (esant finansinėms ir techninėms galimybėms).
41. Kiekvienas vidinis informacinių sistemų naudotojas į patalpas, kuriose įrengtos informacinių sistemų kompiuterizuotos darbo, vietos patenka patalpų prieigos punktuose naudojant asmeninę magnetinę kortelę.
42. Į saugiąsias patalpas turi teisę patekti tik Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus patvirtintame sąraše išvardyti Valstybinės darbo inspekcijos darbuotojai (toliau – įgalioti asmenys).
43. Trečiųjų šalių asmenys, atliekantys tarnybinių stočių ir kitos pagrindinės pagrindinė informacinės sistemos kompiuterinė įrangos priežiūrą, elektros tinklo, patalpų remontą, valymą ar kitus darbus į saugiąsias patalpas gali patekti tik prižiūrint įgaliotam asmeniui, Taisyklių 43 punkte nustatyta tvarka.
44. Visi Valstybinės darbo inspekcijos darbuotojų ir trečiųjų šalių asmenų patekimai į saugiąsias patalpas registruojami tam skirtame registracijos žurnale, nurodant apsilankiusio asmens pavardę, apsilankymo datą, apsilankymo pradžios ir pabaigos laiką, apsilankymo tikslą. Už konkretaus asmens, apsilankiusio saugiose patalpose, registravimą žurnale atsakingas asmenį palydėjęs įgaliotas asmuo.
45. Visa techninė įranga į saugiąsias patalpas įnešama ir iš jų išnešama tik informacinių sistemų infrastruktūros administratoriaus leidimu. Išnešama įranga turi būti registruojama.
46. Po 18 val. vakaro ir nedarbo dienomis į pastato dalis, kuriose yra saugiosios patalpos ir informacinių sistemų naudotojų kompiuterizuotos darbo vietos, patekti gali tiktai specialius leidimus turintys asmenys.
47. Saugiųjų patalpų apsaugos signalizacijos naudojimą, saugiųjų patalpų durų raktų ir magnetinių kortelių naudojimą ir saugojimą reglamentuoja Saugiųjų patalpų apsaugos signalizacijos ir durų raktų saugojimo ir naudojimo tvarkos aprašas, pavirtintas Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2018 m. sausio 9 d. įsakymu Nr. EV-6 „Dėl Saugiųjų patalpų apsaugos signalizacijos ir durų raktų saugojimo ir naudojimo tvarkos aprašo pavirtinimo“.
48. Saugiųjų patalpų:
49. Saugiosiose patalpose:
49.7. neturi būti pavojingų ar lengvai užsidegančių medžiagų ar kitų, su informacinių sistemų pagrindinės techninės įrangos veikla nesusijusių, daiktų;
50. . Saugiųjų patalpų perimetro prieigoje prieinamose vietose įrengtos nešiojamosios gaisro gesinimo priemonės ir gaisriniai čiaupai.
51. Visos priešgaisrinės priemonės periodiškai tikrinamos kas 1 mėnesį. Patikros užfiksuojamos žurnale, kuriame nurodoma patikros data, patikrinimo lygis, asmens, atlikusio patikrą, vardas, pavardė ir parašas. Už priešgaisrinę saugą atsakingas Projektų valdymo ir paslaugų skyrius.
52. Saugiosiose patalpose įrengta svarbiausia informacinių sistemų kompiuterinė įranga ir duomenų perdavimo tinklo įranga turi įtampos filtrą ir rezervinius maitinimo šaltinius, užtikrinančius informacinių sistemų svarbiausios kompiuterinės įrangos veikimą Taisyklių 9 punkte nustatytą laiką. Nenutrūkstamo maitinimo šaltiniai vieną kartą per mėnesį tikrinami imituojant elektros energijos tiekimo nutrūkimą. Už reguliarią maitinimo šaltinių patikrą atsakingas informacinių sistemų infrastruktūros administratorius.
PENKTASIS SKIRSNIS
TECHNINĖS IR PROGRAMINĖS ĮRANGOS ĮVYKIŲ AUDITAS IR KONTROLĖ, KITOS PRIEMONĖS, NAUDOJAMOS ELEKTRONINĖS INFORMACIJOS SAUGAI UŽTIKRINTI
55. Informacinių sistemų naudojamos techninės ir programinės įrangos auditui atlikti fiksuojami šie įvykiai:
57. Kiekviename audito įraše fiksuojama:
58. Priemonės, naudojamos informacinių sistemų sąsajoje su viešųjų elektroninių ryšių tinklu, turi būti nustatytos taip, kad fiksuotų visus įvykius, susijusius su įeinančiais ir išeinančiais duomenų srautais.
59. Audito įrašai turi būti centralizuotai saugomi techninėje ar programinėje įrangoje, pritaikytoje audito duomenims saugoti.
60. Dėl įvairių trikdžių nustojus fiksuoti auditui skirtus duomenis, apie tai nedelsiant, pagal sutrikimo pobūdį, bet ne vėliau kaip vieną darbo dieną turi būti informuojamas administratorius ir kompetentingas asmuo ar padalinys, atsakingas už kibernetinio saugumo organizavimą ir užtikrinimą.
61. Taisyklių 55 -58 punktuose nustatyti audito duomenys turi būti saugomi ne trumpiau kaip 6 mėnesius, užtikrinant visas prasmingas jų turinio reikšmes.
63. Audito duomenys turi būti archyvuojami. Archyve saugomi duomenys turi būti apsaugoti nuo pažeidimo, praradimo, nesankcionuoto pakeitimo ar sunaikinimo.
64. Naudojimasis audito duomenimis turi būti kontroliuojamas ir fiksuojamas. Audito duomenys turi būti pasiekiami tik informacinių sistemų infrastruktūros administratoriui ir kibernetinio saugumo vadovui (peržiūros teisėmis).
65. Audito įrašų duomenys turi būti analizuojami informacinių sistemų administratoriaus ne rečiau kaip kartą per mėnesį ir apie analizės rezultatus informuojamas kompetentingas asmuo ar padalinys, atsakingas už kibernetinio saugumo organizavimą ir užtikrinimą.
66. Informacinių sistemų vienkartinis neveikimo laikotarpis (neveikiant visai informacinei ar jos daliai) negali būti ilgesnis nei:
III SKYRIUS
SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
PIRMASIS SKIRSNIS
SAUGAUS ELEKTRONINĖS INFORMACIJOS KEITIMO, ATNAUJINIMO, ĮVEDIMO IR NAIKINIMO UŽTIKRINIMO TVARKA
68. Informacinėse sistemose tvarkomus duomenis įvesti, keisti, atnaujinti ar atlikti kitus tvarkymo veiksmus gali tik informacinių sistemų naudotojai, kuriems atlikti konkrečius duomenų tvarkymo veiksmus suteiktos teisės Informacinių sistemų naudotojų administravimo taisyklių nustatyta tvarka.
69. Informacinių sistemų naudotojų duomenis į informacines sistemas įvesti ir keisti gali tik informacinių sistemų naudotojų administratoriai, kuriems informacinėse sistemose suteiktos naudotojų administravimo teisės pagal Informacinių sistemų duomenų saugos nuostatų 13.2 papunktį.
70. Informacinių sistemų klasifikatorių duomenis įvesti, keisti, atnaujinti gali tik informacinių sistemų naudotojų administratoriai ir informacinių sistemų naudotojai, kuriems suteikta teisė Informacinių sistemų naudotojų administravimo taisyklėse nustatyta tvarka.
71. Duomenys informacinėse sistemose gali būti įvedami, keičiami ir atnaujinami tik turint teisėtą pagrindą.
72. Asmens duomenys informacinėse sistemose tvarkomi vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau- Bendrasis asmens duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir Asmens duomenų tvarkymo Valstybinėje darbo inspekcijoje taisyklėmis, patvirtintomis Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2012 m. birželio 6 d. įsakymu Nr. V-187 „Dėl Asmens duomenų tvarkymo Valstybinėje darbo inspekcijoje taisyklių patvirtinimo“ (toliau – Asmens duomenų tvarkymo taisyklės).
73. Taikant Bendrojo asmens duomenų apsaugos reglamento 32 straipsnio 1 dalyje aprašomas asmens duomenų tvarkymo saugumo užtikrinimo technines priemones, visi informacinėse sistemose tvarkomi asmens duomenys šifruojami:
73.1. turi būti šifruojami atskiri failai, katalogai ar visos duomenų laikmenos, jei įrenginys su asmens duomenimis išnešamas už informacinių sistemų valdytojos įstaigos ribų;
73.2. šifravimas turi būti atliktas taip, kad tik šifravimo raktą turintis asmuo galėtų perskaityti ir naudoti duomenis;
73.3. turi būti pasirinktas saugus duomenų šifravimo algoritmas; pastangos, reikalingos įveikti algoritmą, turėtų būti didesnės nei atskleistos informacijos vertė;
73.4. turi būti pasirinktas tinkamas šifro raktas; esant galimybei, jis turi būti sugeneruotas atsitiktinai; šifravimo raktą parinkus kaip slaptažodį, jam turi būti taikomi Informacinių sistemų naudotojų administravimo taisyklėse nustatyti administratorių slaptažodžių naudojimo reikalavimai;
74. Informacinės sistemos turi įvestos elektroninės informacijos tikslumo, užbaigtumo ir patikimumo tikrinimo priemones:
74.1. įvedama informacija realiuoju laiku sutikrinama su informacinių sistemų duomenų bazėse esama informacija;
75. Informacinėse sistemos tvarkomi duomenys duomenų bazėje saugomi 5 metus. Suėjus šiam terminui, duomenys perkeliami į archyvą ir jame saugomi dar 5 metus. Pasibaigus duomenų saugojimo archyve terminui, duomenys automatiškai sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybiniams archyvams.
ANTRASIS SKIRSNIS
INFORMACINIŲ SISTEMŲ NAUDOTOJŲ VEIKSMŲ REGISTRAVIMO TVARKA
76. Siekiant užtikrinti informacinių sistemų naudotojų ir administratorių atliekamų veiksmų auditą ir kontrolę, informacinių sistemų ir tarnybinių stočių įvykių žurnaluose (angl. event log) registruojami visi informacinių sistemų naudotojų ir administratorių atliekami veiksmai.
77. Auditui atlikti fiksuojama ši informacija:
77.1. informacinių sistemų naudotojų ir administratorių prisijungimai prie informacinių sistemų, atsijungimai ir nesėkmingi bandymai prisijungti;
78. Kiekviename audito duomenų įraše fiksuojama:
78.3. veiksmą atlikusį naudotoją ar administratorių identifikuojantis duomenys, įrenginio, susijusio su veiksmo atlikimu duomenys;
79. Taisyklių 77 -78 punktuose nustatyti audito duomenys turi būti saugomi ne trumpiau kaip 1 metus, užtikrinant visas prasmingas jų turinio reikšmes (pavyzdžiui, informacinių sistemų naudotojo, su kuriuo nutraukti darbo santykiai ir kuris pašalintas iš sistemos, atpažinties duomenys turi būti išsaugoti visą būtiną audito duomenų saugojimo laiką).
80. Naudojimasis audito duomenimis turi būti kontroliuojamas ir fiksuojamas. Audito duomenys turi būti pasiekiami tik informacinių sistemų naudotojų administratoriams, infrastruktūros administratoriui ir kibernetinio saugumo vadovui (peržiūros teisėmis).
81. Audito įrašų duomenys turi būti analizuojami informacinių sistemų naudotojų administratorių, infrastruktūros administratoriaus ne rečiau kaip kartą per savaitę ar įvykus elektroninės informacijos ar kibernetinio saugumo incidentui ir apie analizės rezultatus informuojamas saugos įgaliotinis ir kibernetinio saugumo vadovas.
TREČIASIS SKIRSNIS
ATSARGINIŲ ELEKTRONINĖS INFORMACIJOS KOPIJŲ DARYMO, SAUGOJIMO IR ELEKTRONINĖS INFORMACIJOS ATKŪRIMO IŠ ATSARGINIŲ KOPIJŲ TVARKA
83. Elektroninės informacijos saugai užtikrinti daromos informacinių sistemų, informacinių sistemų naudojimų interneto svetainių ir elektroninio pašto duomenų bazėse kaupiamos ir saugomos elektroninės informacijos atsarginės kopijos.
84. Vadovaujantis Informacinių sistemų duomenų saugos nuostatų 13.3.1.8 papunkčiu, informacinių sistemų infrastruktūros administratorius kuria ir atkuria atsargines elektroninės informacijos informacinių sistemų ir elektroninio pašto duomenų bazių kopijas, atlieka elektroninės informacijos atkūrimo iš atsarginių kopijų bandymus.
85. Pagal Informacinių sistemų duomenų saugos nuostatų 13.3.2.4 papunktį interneto svetainių administratorius atsako informacinių sistemų naudojamų interneto svetainių duomenų bazių atsarginių kopijų kūrimą ir kitų veiksmų su kopijomis, nurodytų šių Taisyklių 84 punkte, atlikimą.
86. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo, saugojimo ir atkūrimo reikalavimai nustatyti Informacinių sistemų duomenų saugos nuostatų 37 punkte.
87. Elektroninės informacijos atsarginės kopijos daromos į rezervinių kopijų duomenų saugyklą automatiniu būdu.
90. Atsarginės kopijos daromos:
90.1. kiekvienos darbo dienos pabaigoje (dienos atsarginės kopijos) ir saugomos savaitę nuo jų padarymo;
90.2. kiekvienos savaitės pabaigoje (savaitės atsarginės kopijos) ir saugomos mėnesį nuo jų padarymo dienos;),
92. Ne rečiau kaip kartą per 6 mėnesius, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai. Atliekami bandymai turi būti registruojami ir dokumentuojami.
KETVIRTASIS SKIRSNIS
SAUGAUS ELEKTRONINĖS INFORMACIJOS PERKĖLIMO IR TEIKIMO SUSIJUSIOMS INFORMACINĖMS SISTEMOMS, ELEKTRONINĖS INFORMACIJOS GAVIMO IŠ JŲ UŽTIKRINIMO TVARKA
94. Valstybinės darbo inspekcijos valdomų informacinių sistemų duomenys teikiami susijusiems registrams ir valstybės informacinėms sistemoms ir gaunami iš jų pagal Valstybinės darbo inspekcijos su susijusio registro ar informacinės sistemos tvarkytojais sudarytas duomenų teikimo sutartis (toliau – duomenų mainų sutartys).
95. Informacinėse sistemose tvarkomi fizinių asmenų duomenys teikiami tik laikantis Bendrojo asmens duomenų apsaugos reglamento, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir Asmens duomenų tvarkymo taisyklių reikalavimų.
96. Duomenų ir informacijos mainai tarp Valstybinės darbo inspekcijos valdomų informacinių sistemų ir kitų susijusių informacinių sistemų ir registrų vykdomi duomenų mainų sutartyse numatytais būdais, terminais ir apimtimi.
97. Perduodamos ir gaunamos elektroninės informacijos saugos užtikrinimo priemonės nustatytos Informacinių sistemų duomenų saugos nuostatuose ir šių Taisyklių 30-33 punktuose.
98. Už duomenų ir elektroninės informacijos mainų administravimą atsakingas informacinių sistemų infrastruktūros administratorius.
PENKTASIS SKIRSNIS
ELEKTRONINĖS INFORMACIJOS NETEISĖTO KOPIJAVIMO, KEITIMO, NAIKINIMO AR PERDAVIMO NUSTATYMO TVARKA
100. Informacinių sistemų administratoriai, užtikrindami informacinių sistemų elektroninės informacijos saugą, privalo naudoti visas galimas technines, programines ir administracines priemones, skirtas apsaugai nuo elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neteisėti veiksmai).
101. Siekiant patikrinti ar su informacinių sistemų elektronine informacija nėra atliekami neteisėti veiksmai, informacinių sistemų naudotojų, infrastruktūros ir interneto svetainės administratoriai (toliau – administratoriai) privalo periodiškai, kas mėnesį tikrinti šių Taisyklių 55, 57, 77 ir 78 punktuose įvardintus audito duomenų įrašus.
102. Informacinių sistemų naudotojai, įtarę, kad su informacinių sistemų elektronine informacija buvo atlikti galimai neteisėti veiksmai, privalo apie tai pranešti administratoriams.
103. Administratorius atlikęs audito įrašų analizę ir nustatęs neteisėtus elektroninės informacijos tvarkymo veiksmus, privalo nedelsiant apie tai informuoti informacinių sistemų saugos įgaliotinį ir kibernetinio saugumo vadovą.
104. Informacinių sistemų saugos įgaliotinis ar kibernetinio saugumo vadovas, gavęs administratoriaus pranešimą apie įvykdytus ar vykdomus neteisėtus veiksmus su informacinėmis sistemomis arba jose tvarkoma elektronine informacija, inicijuoja elektroninės informacijos saugos ar (ir) kibernetinio saugumo incidento valdymo procedūras, nustatytas Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos darbo ministerijos valdomų informacinių sistemų veiklos tęstinumo valdymo plane.
ŠEŠTASIS SKIRSNIS
PROGRAMINĖS IR TECHNINĖS ĮRANGOS KEITIMO IR ATNAUJINIMO TVARKA
105. Informacinių sistemų tarnybinėse stotyse taikomąją programinę įrangą, reikalingą informacinių sistemų darbui, diegia ir tvarko informacinių sistemų infrastruktūros administratorius arba informacinių sistemų valdytojos pagal paslaugų teikimo sutartis pasitelktos trečiosios šalys (pvz. taikomosios programinės įrangos gamintojai).
106. Informacinių sistemų programinės ir techninės įrangos keitimo ir atnaujinimo tvarką su paslaugų teikėju – trečiąja šalimi, jei šiai šaliai Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos informacinių sistemų ir (ar) jos infrastuktūros priežiūros funkcijos, – priklausomai nuo konkretaus atvejo derina informacinių sistemų infrastruktūros administratorius arba ši tvarka aprašoma paslaugų, susijusių su programinės ir techninės įrangos keitimu informacinėse sistemose, teikimo sutartyse.
107. Planuojant informacinių sistemų pokyčius, kurių metu galimi informacinių sistemų veikimo sutrikimai, informacinių sistemų administratoriai pagal jiems priskirtą kompetenciją privalo ne vėliau kaip prieš dvi darbo dienas iki pokyčių vykdymo pradžios elektroniniu paštu informuoti informacinių sistemų naudotojus apie tokių darbų pradžią ir galimus informacinių sistemų veikimo sutrikimus Ši nuostata netaikoma kai būtina įgyvendinti neatidėliotinus (skubius) pokyčius.
SEPTINTASIS SKIRSNIS
INFORMACINIŲ SISTEMŲ POKYČIŲ VALDYMO TVARKA
109. Informacinių sistemų pokyčių (toliau – pokyčiai) valdymas apima šiuos procesus:
109.3. pokyčių suskirstymas į kategorijas, atsižvelgiant į pokyčių svarbą, aktualumą, poreikį ir panašiai;
110. Pokyčiai identifikuojami analizuojant vidinę ir išorinę informacinių sistemų valdytojos ir tvarkytojos veiklos aplinką ir poreikius, kuriuos formuoja socialiniai, teisiniai, ekonominiai, technologiniai aspektai ir tendencijos, esama padėtis (informacinės sistemos sąranka, pažeidžiamumas, atitiktis teisės aktų ir standartų reikalavimams ir pan.).
111. Vidinė ir išorinė informacinių sistemos valdytojos ir tvarkytojos veiklos aplinkos analizė atliekama informacinės sistemos rizikos vertinimo, informacinių technologijų saugos atitikties vertinimo, informacinių technologijų audito, informacinių sistemų būklės, veiklos efektyvumo ir pajėgumo, elektroninių paslaugų kokybės, atitikties teisės aktų ir standartų reikalavimams ir kitų vertinimų, atliekamų Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo, Informacinės sistemų duomenų saugos nuostatų, informacinių sistemų nuostatų ir kitų informacinių sistemų valdytojos ir tvarkytojos veiklą reglamentuojančių teisės aktų nustatyta tvarka, metu.
112. Planuojami pokyčiai turi atitikti Lietuvos Respublikos Vyriausybės ar Lietuvos Respublikos Seimo patvirtintus planavimo dokumentus, Lietuvos Respublikos Vyriausybės nustatytas taikomų informacinių ir ryšių technologijų tobulinimo ir plėtros kryptis ir rekomenduojamus taikyti techninius reikalavimus (standartus), informacinių sistemų valdytojo strateginius veiklos planus, informacinių technologijų strategiją ir kitus planavimo dokumentus
113. Pokyčius inicijuoti turi teisę informacinių duomenų valdymo įgaliotinis, informacinių sistemų saugos įgaliotinis ir informacinių sistemų administratoriai. Funkciniai, techniniai ir programiniai informacinių sistemų pokyčiai, išskyrus organizacinius ir administracinius pokyčius, turi būti aprašomi rašytine forma. Organizaciniai ir administraciniai pokyčiai aprašomi laisva forma ir saugomi už personalo ir dokumentų valdymą atsakinguose informacinių sistemų Valstybinės darbo inspekcijos struktūriniuose padaliniuose.
114. Inicijuojami pokyčiai, atsižvelgiant į jų svarbą, aktualumą ir poreikį, skirstomi į šias kategorijas:
114.1. standartiniai pokyčiai, kurie nekelia rizikos kokybiškam informacinių sistemų veikimui, elektroninių paslaugų teikimui arba visos informacinių technologijų infrastruktūros veikimui (pvz., naujos kompiuterinės darbo vietos parengimas vidiniam informacinės sistemos naudotojui ar informacinės sistemos komponentų pakeitimas, standartinės programinės įrangos įdiegimas, atnaujinimas ar išdiegimas, saugumo spragų pataisų įdiegimas vidinio informacinių sistemų naudotojo kompiuterizuotoje darbo vietoje ir pan.). Standartiniai pokyčiai atliekami šių Taisyklių 109 - 127 punktuose ir kituose informacinių sistemos valdytojos priimtuose teisės aktuose nustatyta tvarka;
114.2. skubūs pokyčiai, kurie skirti aukščiausio prioriteto sutrikimams arba problemoms šalinti ir reikalauja ypatingos įvertinimo, patvirtinimo ir atlikimo skubos, taip pat avariniai pokyčiai (pvz., veiklos atkūrimas likviduojant informacinių sistemų elektroninės informacijos saugos ar kibernetinio incidento, stichinės nelaimės, avarijos ar kitų ekstremalių situacijų padarinius); įvykus avariniams pokyčiams gali būti praleisti pokyčių įtakos vertinimo ir dokumentavimo etapai, tačiau jie turi būti atlikti pašalinus aukščiausio prioriteto sutrikimus arba problemas;
115. Prioritetas turi būti skiriamas skubiems ir plėtros (vystymo) pokyčiams. Pokyčių prioritetas nustatomas pokyčių įtakos vertinimo metu.
116. Informacinių sistemų funkcinių, programinių ir techninių pokyčių įtaką pagal kompetenciją vertina Valstybinės darbo inspekcijos Informacinių technologijų ir dokumentų valdymo skyrius.
117. . Sudėtingų pokyčių įtaką vertina Informacijos technologijų valdymo komitetas (toliau – Komitetas), sudarytas Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2010 m. rugsėjo 6 d. įsakymu Nr. V-288 „Dėl Informacijos technologijų valdymo komiteto“, vadovaudamasis Komiteto darbo reglamentu. Prireikus – Komiteto sprendimu iš nepriklausomų ekspertų gali būti sudaroma darbo grupė.
118. Pokyčių įtakos vertinimo metu turi būti įvertinama pokyčių nauda, pagrįstumas, įgyvendinamumas ir alternatyvūs sprendimai, pokyčiams atlikti reikalingos sąnaudos, taip pat informacinės sistemos darbo sutrikdymo ar sustabdymo rizika, elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo pažeidimo rizika.
119. Jeigu pokyčių įtakos vertinimo metu nustatoma, kad informacinei sistemai kurti ar modernizuoti planuojama viršyti Lietuvos Respublikos Vyriausybės ar jos įgaliotos institucijos patvirtintą lėšų dydį, turi būti rengiama galimybių studija.
120. Funkcinius, techninius, programinius informacinių sistemų pokyčius vykdo administratoriai arba Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka atrinktas paslaugų teikėjas. Organizacinius ir administracinius pokyčius vykdo už personalo ir dokumentų valdymą atsakingi Valstybinės darbo inspekcijos administracijos padaliniai.
121. Visi pokyčiai, galintys sutrikdyti ar sustabdyti informacinių sistemų darbą, turi būti suderinti su duomenų valdymo įgaliotiniu ir vykdomi tik gavus jo ir Valstybinės darbo inspekcijos vadovo pavaduotojo pagal administravimo sritį pritarimą.
122. Pokyčiai, galintys sutrikdyti ar sustabdyti informacinių sistemų veiklą, daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri yra atskirta nuo eksploatuojamų informacinių sistemų. Eksploatuojamų informacinių sistemų aplinkoje pokyčiai gali būti vykdomi tik išimtiniais atvejais, kai dėl techninių, programinių ar kitų priežasčių (pvz., veiklos atkūrimo ar kitos avarinės situacijos) nėra galimybės jų patikrinti bandomojoje informacinių sistemų aplinkoje.
123. Nustačius, kad informacinių sistemų pokyčių bandomojoje aplinkoje rezultatas atitinka laukiamus rezultatus, pokyčiai gali būti atliekami eksploatuojamų informacinių sistemų aplinkoje.
124. Valstybinės darbo inspekcijos nustatytu darbo laiku gali būti vykdomi tik skubūs ir standartiniai pokyčiai. Plėtros (vystymo) pokyčiai turi būti atliekami po darbo valandų arba savaitgaliais.
125. Informacinių sistemų administratoriai turi informuoti informacinių sistemos naudotojus, susijusių registrų ir kitų informacinių sistemų tvarkytojus, kitus suinteresuotus asmenis apie pokyčius, kuriuos įgyvendinant galimi informacinių sistemų darbo sutrikimai. Apie pokyčius informuojama Valstybinės darbo inspekcijos interneto svetainėse, informacinių sistemų taikomosiose programose ar kitomis priemonėmis (pvz., raštu, elektroniniu paštu ir pan.) ne vėliau kaip likus dviem darbo dienoms iki planuojamo pokyčio įgyvendinimo pradžios. Šis punktas netaikomas, jeigu įgyvendinami skubūs pokyčiai.
126. Pokyčiai turi būti dokumentuojami:
126.1. informacinių sistemų sąrankos aprašai turi rodyti esamą informacinių sistemų sąrankos būklę; informacinių sistemų sąranka ir būsenos rodikliai turi būti tikrinami (peržiūrimi) reguliariai, ne rečiau kaip kartą per ketvirtį; visi įgyvendinti pokyčiai, išskyrus avarinius, turi būti registruojami tam skirtame žurnale arba specializuotoje sistemoje;
126.2. įgyvendinus pokytį eksploatuojamų informacinių sistemų aplinkoje, informacinių sistemų administratoriai pagal kompetencija turi patikrinti (peržiūrėti) informacinių sistemų sąranką ir būsenos rodiklius, palyginti ir pagal kompetenciją įvertinti, ar pokytis atitinka planuojamus rezultatus; sudėtingų ir specifinių pokyčių rezultatams įvertinti gali būti pasitelkti ir kiti Valstybinės darbo inspekcijos darbuotojai ar trečiųjų šalių kompetentingi specialistai;
126.3. informacinių sistemų koordinuojančiam administratoriui patvirtinus, kad pokytis atitinka planuotus rezultatus, informacinių sistemų administratoriai pagal kompetenciją turi atnaujinti informacinių sistemų sąrankos aprašus ir prireikus inicijuoti kitų su pokyčiu susijusių dokumentų atnaujinimą ir pateikimą suinteresuotiems asmenims;
127. Pokyčiai, susiję su informacinių sistemų kūrimu ar modernizavimu, turi būti dokumentuojami informacinių sistemų techniniuose aprašuose (specifikacijose), tvirtinami ir derinami Valstybės informacinės sistemos steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinės sistemos steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, nustatyta tvarka.
128. Siekiant efektyvaus pokyčių valdymo, turi būti analizuojami ir vertinami šie rodikliai:
128.1. informacinių sistemų veiklos sutrikimų ar elektroninės informacijos klaidų, kilusių dėl netikslios specifikacijos ar nepakankamo pokyčių įtakos vertinimo, skaičius;
128.2. informacinių sistemų taikomųjų programų ar informacinių technologijų infrastruktūros taisymų dėl netinkamos pokyčių specifikacijos skaičius;
129. Pokyčių valdymo efektyvumo vertinimą atlieka Valstybinės darbo inspekcijos Informacinių technologijų ir dokumentų valdymo skyrius.
130. Valstybinės darbo inspekcijos vadovo sprendimu pokyčių valdymo veikla gali būti detalizuojama atskirame dokumente aprašant pokyčių valdymo procesus.
131. Pokyčių valdymo proceso aprašas rengiamas atsižvelgiant į Lietuvos standartus LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ reikalavimus.
AŠTUNTASIS SKIRSNIS
NEŠIOJAMŲJŲ KOMPIUTERIŲ IR KITŲ MOBILIŲJŲ ĮRENGINIŲ NAUDOJIMO TVARKA
132. Nešiojamiesiems kompiuteriams ir mobiliesiems įrenginiams, naudojantiems Android ar iOS operacines sistemas (toliau - mobilieji įrenginiai), naudojamiems prisijungti prie informacinių sistemų, taikomi Informacinių sistemų naudotojų administravimo taisyklėse nustatyti atpažinties, tapatumo patvirtinimo ir naudojimosi informacinėmis sistemomis saugumo ir kontrolės reikalavimai.
133. Jungiantis prie informacinių sistemų, turi būti privalomai patvirtinamas naudojo tapatumas. Nešiojamame kompiuteryje, mobiliajame įrenginyje ir informacinių sistemų naudojamoje taikomojoje programinėje įrangoje turi būti uždrausta automatiškai išsaugoti slaptažodį.
134. Nešiojamasis prietaisas, gaunantis energiją iš integruoto energijos šaltinio ir turintis galimybę perduoti ir (ar) priimti ir apdoroti elektroninius duomenis, siunčiamus fizine terpe, elektromagnetinėmis bangomis ir šviesa, kuriuo nesinaudojama nustatytą laiką (pavyzdžiui, penkias minutes), turi automatiškai užsirakinti.
135. Prisijungimui prie informacinių sistemų leidžiama naudoti tik tarnybinius nešiojamuosius kompiuterius ir mobilius įrenginius, atitinkančius informacinių sistemų valdytojos nustatytus saugumo reikalavimus.
136. Informacinių sistemų valdytoja turi visas teises valdyti nešiojamuosius kompiuterius ir mobiliuosius įrenginius ir juose įdiegtą programinę įrangą.
137. Išnešti iš patalpų nešiojamieji kompiuteriai ir mobilieji įrenginiai negali būti palikti be priežiūros; jei įmanoma, informacinių sistemų naudotojas turi laikyti nešiojamąjį kompiuterį ar mobilųjį įrenginį prie savęs visą laiką, ypač viešosiose vietose.
138. Nešiojamąjį kompiuterį ar mobilųjį įrenginį naudojant ne darbo vietos patalpoje, patalpa, kurioje jis paliekamas, turi būti užrakinama net ir trumpam jį paliekant; nešiojamąjį kompiuterį ar mobilųjį įrenginį paliekant ilgesniam laikui, jis turi būti išjungiamas.
139. Prie nešiojamų kompiuterių ir mobilių įrenginių gali būti jungiami tik informacinių sistemų naudotojų tarnybinėms funkcijoms atlikti reikalingi įrenginiai, įtraukti į leistinų jungti įrenginių sąrašą, patvirtintą Valstybinės darbo inspekcijos vadovo; informacinių sistemų infrastruktūros administratoriaus parengtas ir Valstybinės darbo inspekcijos vadovo patvirtintas leistinų jungti įrenginių sąrašas ne rečiau kaip kartą per metus peržiūrimas bei prireikus atnaujinamas.
140. Turi būti parengti nešiojamų kompiuterių ir mobiliųjų įrenginių operacinių sistemų atvaizdai su saugumo nuostatomis. Atvaizde turi būti nustatyti tik veiklai būtini operacinių sistemų komponentai (administravimo paskyros, paslaugos (angl. Services), taikomosios programos, tinklo prievadai, atnaujinimai, sisteminės priemonės). Atvaizdai turi būti reguliariai peržiūrimi ir atnaujinami, o taip pat iškart atnaujinami nustačius naujų pažeidžiamumų ar atakų.
141. Pagal parengtus atvaizdus į mobiliuosius įrenginius turi būti įdiegiama operacinė sistema su saugumo nuostatomis
142. Nešiojamuose kompiuteriuose ir mobiliuosiuose įrenginiuose turi būti įdiegti operacinių sistemų ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai.
143. Nešiojamieji kompiuteriai ir mobilieji įrenginiai, kuriais naršoma internete, privalo būti apsaugoti nuo judriųjų programų (angl. Mobile code) keliamų grėsmių. Taip pat prie mobiliųjų įrenginių draudžiama prijungti jiems nepriklausančius įrenginius.
144. Duomenys, perduodami belaidžiu ryšiu tarp nešiojamųjų kompiuterių, mobiliųjų įrenginių ir informacinių sistemų, turi būti šifruojami taikant VPN technologiją.
145. Nešiojamasis kompiuteris ar mobilusis įrenginys, kuriuo nesinaudojama 15 minučių, turi automatiškai užsirakinti.
146. Vykdoma mobiliųjų įrenginių kontrolė:
146.1. tikrinami informacinių sistemų vidinių naudotojų naudojami mobilieji įrenginiai, kibernetinio saugumo vadovui ir saugos įgaliotiniui pranešama apie neleistinus ar saugumo reikalavimų neatitinkančius mobiliuosius įrenginius;
147. Papildomi saugos reikalavimai mobiliųjų įrenginių naudojimui:
147.2. mobiliajame įrenginyje nesant nustatyto slaptažodžio, mobiliajame įrenginyje galimi saugomi tik vieši duomenys;
147.3. turi būti šifruojami duomenys tiek mobiliųjų įrenginių vidinėse laikmenose, tiek išorinėse kompiuterinėse laikmenose; draudžiama saugoti neužšifruotuose mobiliųjų įrenginių laikmenose konfidencialią informaciją ir (arba) asmens duomenis;
IV SKYRIUS
REIKALAVIMAI, KELIAMI INFORMACINĖMS SISTEMOMS FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS
149. Informacinių sistemų valdytoja, pirkdama paslaugas, darbus ar įrangą, susijusius su informacinėmis sistemomis, jų projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi nustatyti, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas užtikrina atitiktį Kibernetinio saugumo reikalavimų apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams.
150. Paslaugų teikėjų prieigos prie informacinių sistemų lygiai ir sąlygos:
150.1. informacinių sistemų naudotojų ir infrastruktūros administratoriai suteikia prieigos prie informacinių sistemų duomenų ir informacinių sistemų informacijos teisę (peržiūrėti informacinių sistemų duomenis bei informacinių sistemų informaciją, atlikti užklausas informacinėse sistemose, vykdyti veiksmus su informacinių sistemų duomenimis bei informacinių sistemų informacija ir kt.), fizinę prieigą prie informacinių sistemų techninės ir programinės įrangos paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje nustatytomis sąlygomis ir tvarka paslaugų teikėjo funkcijoms atlikti
150.2. saugos įgaliotinis, prieš suteikiant prieigos prie informacinių sistemų duomenų ir informacinių sistemų informacijos teisę, paslaugų teikėjo įgaliotą fizinį asmenį pasirašytinai supažindina su informacinių sistemų nuostatais, informacinių sistemų saugos nuostatais ir kitais informacinių sistemų saugos politiką įgyvendinančiais dokumentais
150.3. pasibaigus paslaugų teikimo sutarties galiojimui ar šią sutartį nutraukus, informacinių sistemų naudotojų ir infrastruktūros administratoriai nedelsdami, bet ne vėliau kaip kitą darbo dieną, panaikina paslaugų teikėjo įgalioto fizinio asmens prieigos prie informacinių sistemų duomenų ir informacinių sistemų informacijos teisę ir apie tai jį informuoja.
151. Reikalavimai informacinių sistemų tarnybinių stočių patalpų, informacinių sistemų programinės įrangos, informacinių sistemų priežiūrai ir kitoms paslaugoms:
151.1. reikalavimai paslaugų teikėjams ir jų teikiamoms informacinių sistemų priežiūros paslaugoms nustatomi šių paslaugų teikimo sutartyse;
151.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja informacinių sistemų programinę įrangą, naudodamas:
151.2.1. įgyvendintas elektroninės informacijos saugos priemones, apsaugančias nuo neteisėto poveikio sisteminei, programinei įrangai ir patalpoms;
151.2.2. informacinių sistemų tęstinės duomenų bazės duomenis (informacinių sistemų programinei įrangai modifikuoti);
151.3. informacinių sistemų veiklą palaikančių sistemų (elektros energijos, šildymo, vėdinimo ir oro kondicionavimo bei kitų sistemų) kokybė, atsižvelgiant į šių sistemų veiklai keliamus reikalavimus, turi būti reguliariai tikrinama, siekiant užtikrinti tinkamą paslaugų teikimą ir sumažinti galimas šių paslaugų teikimo sutrikimo ir avarijos pasekmes.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
PATVIRTINTA
Lietuvos Respublikos vyriausiojo valstybinio
darbo inspektoriaus 2019 m. spalio 11 d.
įsakymu Nr. EV-293
LIETUVOS RESPUBLIKOS VALSTYBINĖS DARBO INSPEKCIJOS PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS VALDOMŲ INFORMACINIŲ SISTEMŲ VEIKLOS TĘSTINUMO VALDYMO PLANAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų veiklos tęstinumo valdymo planas (toliau – Valdymo planas) reglamentuoja Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos (toliau - Valstybinė darbo inspekcija) valdomų informacinių sistemų, nurodytų Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų duomenų saugos nuostatuose (toliau – Informacinių sistemų duomenų saugos nuostatai), patvirtintuose Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2018 m. balandžio 20 d. įsakymu Nr.-EV-95 „Dėl Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų duomenų saugos nuostatų patvirtinimo“ (toliau – informacinės sistemos), administratorių, saugos įgaliotinio, kibernetinio saugumo vadovo ir kitų asmenų funkcijas, įgaliojimus ir veiksmus atkuriant informacinių sistemų veiklą, įvykus elektroninės informacijos saugos ar kibernetinio saugumo incidentui, ir incidento tyrimo tvarką.
2. Valdymo planas parengtas vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Informacijos saugos reikalavimai), „Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), Informacinių sistemų duomenų saugos nuostatais.
3. Valdymo plane vartojamos sąvokos atitinka Bendrųjų saugos reikalavimų apraše, Informacijos saugos reikalavimuose, Kibernetinio saugumo reikalavimų apraše ir Informacinių sistemų saugos nuostatuose vartojamas sąvokas.
4. Valdymo plano reikalavimai privalomi informacinių sistemų valdytojai ir tvarkytojai – Valstybinei darbo inspekcijai, informacinių sistemų saugos įgaliotiniui, administratoriams, kibernetinio saugumo vadovui, visiems informacinių sistemų naudotojams, naudojantiems informacinių sistemų įrangą tarnybos ir darbo funkcijoms atlikti. Valdymo planas taikomas kiekvienam pastatui, kuriame tvarkomi informacinių sistemų duomenys ir elektroninė informacija.
5. Valdymo planas įsigalioja ir turi būti įgyvendinamas įvykus elektroninės informacijos saugos ar kibernetinio saugumo incidentui, kurio metu gali kilti pavojus informacinių sistemų duomenims ir elektroninei informacijai, informacinių sistemų techninės ar programinės įrangos funkcionavimui.
6. Informacinių sistemų funkcijų atkūrimo prioritetai nustatyti Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų veiklos atkūrimo pirmaeilių veiksmų ir atsakingų asmenų pareigybių sąraše (Valdymo plano 1 priedas)
7. Informacinių sistemų saugos įgaliotinio, kibernetinio saugumo vadovo ir administratorių veiksmai įvykus elektroninės informacijos saugos ar kibernetinio saugumo incidentui yra nurodyti Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų veiklos atkūrimo detaliajame plane (Valdymo plano 2 priedas).
8. Elektroninės informacijos saugos ar kibernetinio saugumo incidento metu patirti nuostoliai padengiami iš valstybės biudžeto ir (ar) finansavimo šaltinių.
9. Informacinių sistemų veiklos kriterijai, pagal kuriuos nustatoma, ar informacinių sistemų veikla atkurta, yra šie:
9.1. informacinių sistemų naudotojai gali atlikti savo darbo funkcijas informacinėse sistemose įprastu būdu;
9.2. užtikrintas elektroninės informacijos informacinėse sistemose prieinamumas, konfidencialumas ir vientisumas;
II skyrius
ORGANIZACINĖS NUOSTATOS
11. Valstybinė darbo inspekcija, kaip informacinių tvarkytoja, įvykus elektroninės informacijos saugos ar kibernetinio saugumo incidentui, atlieka šias funkcijas
11.1. užtikrina informacinių sistemų elektroninės informacijos saugos ar kibernetinio saugumo incidentų valdymą ir tyrimą;
11.2. registruoja įvykusius saugos incidentus ir nedelsdamas į juos reaguoja, organizacinėmis, techninėmis ir programinėmis priemonėmis saugos incidentus valdo, tiria ir šalina;
11.3. informuoja Nacionalinį kibernetinio saugumo centrą apie informacinėse sistemose įvykusius kibernetinius saugos incidentus, nurodytus organizaciniuose ir techniniuose kibernetinio saugumo reikalavimuose, ir taikytas kibernetinių saugos incidentų valdymo priemones Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo tvarkos apraše numatyta tvarka;
11.4. teikia Valstybinei duomenų apsaugos inspekcijai informaciją apie saugos incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių saugos incidentų valdymo priemones Valstybinės duomenų apsaugos inspekcijos nustatyta tvarka;
11.5. teikia policijai informaciją, reikalingą saugos incidentams, turintiems nusikalstamos veikos požymių, užkardyti ir tirti, policijos generalinio komisaro nustatyta tvarka ir sąlygomis;
12. Elektroninės informacijos saugos ir kibernetinio saugumo incidentams valdyti bei veiklos atkūrimui organizuoti Valstybinės darbo inspekcijos vadovo įsakymu sudaroma:
13. Valdymo grupės sudėtis:
14. Valdymo grupės funkcijos:
14.1. elektroninės informacijos saugos ir kibernetinio saugumo incidentų analizė ir sprendimų informacinių sistemų veiklos tęstinumo valdymo klausimais priėmimas;
14.3. bendravimas su susijusių registrų ir (ar) informacinių sistemų veiklos tęstinumo valdymo grupėmis;
14.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;
14.5. finansinių ir kitų išteklių, reikalingų informacinės sistemų veiklai atkurti, įvykus saugos incidentui, naudojimo kontrolė;
15. Atkūrimo grupės sudėtis:
15.1. Valstybinės darbo inspekcijos Informacinių technologijų ir dokumentų valdymo skyriaus vedėjas (Atkūrimo grupės vadovas);
15.2. Valstybinės darbo inspekcijos Informacinių technologijų ir dokumentų valdymo skyriaus kompiuterinių sistemų administratorius (Atkūrimo grupės vadovo pavaduotojas);
15.3. Valstybinės darbo inspekcijos Administravimo skyriaus darbuotojai, atsakingi pastatų priežiūrą, eksploataciją ir elektros ūkį;
15.5. kiti Valstybinės darbo inspekcijos vadovo paskirti specialistai arba pagal paslaugų teikimo sutartis veikiantys juridinių asmenų atstovai;
16. Atkūrimo grupės funkcijos:
16.5. darbo kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas ir vykdymas;
17. Valdymo grupė ir Atkūrimo grupė tarpusavyje ir su kitomis grupėmis bendrauja naudodamosi elektroniniu paštu, mobiliuoju ryšiu ir kitomis įmanomomis ryšio priemonėmis. Bendravimo dažnumą, įvertinusi saugos incidento mastą, pobūdį ir veiklos atkūrimo eigą, nustato Valdymo grupė pirmojo susitikimo metu. Bendraujama tol, kol bus pašalinti saugos incidento padariniai.
18. Įvykus elektroninės informacijos saugos ar kibernetinio saugumo incidentui:
18.1. informacinių sistemų naudotojai privalo nedelsdami žodžiu ar raštu pranešti informacinių sistemų infrastruktūros administratoriui, o jam nesant kitiems administratoriams apie elektroninės informacijos saugos ar kibernetinio saugumo incidentą; patys informacinių sistemų naudotojai neturi teisės imtis jokių incidento šalinimo veiksmų;
18.2. informacinių sistemų infrastruktūros administratorius, gavęs pranešimą apie elektroninės informacijos saugos ar kibernetinio saugumo incidentą, nedelsdamas turi imtis veiksmų, reikalingų elektroninės informacijos saugos ar kibernetinio saugumo incidentui stabdyti; apie elektroninės informacijos saugos ar kibernetinio saugumo incidentą informacinių sistemų infrastruktūros administratorius, įvertinęs incidento reikšmingumą, pagal kompetenciją informuoja saugos įgaliotinį ir kibernetinio saugumo vadovą; įvykis dokumentuojamas, nurodant elektroninės informacijos saugos ar kibernetinio saugumo incidento vietą, laiką, pobūdį ir kitą su įvykiu susijusią informaciją;
18.3. kibernetinio saugumo vadovas skiria prioritetą kibernetiniams incidentams valdyti, tirti ir šalinti bei apie juos informuoja Nacionalinį kibernetinio saugumo centrą Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo tvarkos apraše (Valdymo plano 4 priedas) nustatyta tvarka;
18.4. saugos įgaliotinis apie elektroninės informacijos saugos ar kibernetinio incidentą nedelsdamas informuoja Valstybinės darbo inspekcijos vadovą;
18.5. saugos įgaliotinis įrašo informaciją apie elektroninės informacijos saugos ar kibernetinės saugos incidentą į Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų elektroninės informacijos saugos (kibernetinių) incidentų registravimo žurnalą (Valdymo plano 3 priedas), vadovauja informacinių sistemų veiklos atkūrimo detaliajame plane nurodytiems veiksmams;
18.6. informacinių sistemų infrastruktūros administratorius atkuria informacinių sistemų techninės ir programinės įrangos veikimą, kompiuterių tinklo veiklą, informacinių sistemų duomenis, informacinių sistemų informaciją, informacinių sistemų techninės, sisteminės ir taikomosios programinės įrangos funkcionavimą ir nedelsdamas apie atliktus veiksmus informuoja saugos įgaliotinį ir kibernetinio saugumo vadovą;
18.7. saugos įgaliotinis, kibernetinio saugumo vadovas kartu su informacinių sistemų infrastruktūros administratoriumi organizuoja žalos informacinių sistemų duomenims, elektroninei informacijai, techninei, programinei įrangai vertinimą; informacinių sistemų koordinuojantis administratorius koordinuoja informacinių sistemų veiklai atkurti reikalingos techninės, sisteminės ir taikomosios programinės įrangos įsigijimą.
19. Techninė, sisteminė ir taikomoji programinė įranga, reikalinga pakeisti elektroninės informacijos saugos ar kibernetinio saugos incidento metu sunaikintą ar sugadintą įrangą, įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo ir (ar) Valstybinės darbo inspekcijos supaprastintų viešųjų pirkimų taisyklių nustatyta tvarka.
20. Atsarginėms patalpoms, naudojamoms informacinių sistemų veiklai atkurti elektroninės informacijos saugos ar kibernetinio saugumo incidento atveju, keliami šie reikalavimai:
20.5. atsarginėse patalpose turi būti įrengtas rezervinis elektros energijos šaltinis informacinių sistemų techninei įrangai ir duomenų perdavimo tinklo mazgams, užtikrinantis nurodytos įrangos veikimą pagrindinio elektros energijos šaltinio neveikimo atveju ne trumpiau kaip 30 minučių;
21. Atsarginių patalpų, naudojamų informacinių sistemų veiklai atkurti kilus elektroninės informacijos saugos ar kibernetinio saugumo incidentui, adresas – Aguonų g. 4, Vilnius.
III skyrius
APRAŠOMOSIOS NUOSTATOS
23. Turi būti perengti ir saugomi šie dokumentai:
23.1. dokumentas, kuriame nurodyti informacinių sistemų naudojamos informacinių technologijų įrangos parametrai ir už šios įrangos priežiūrą atsakingas (-i) administratorius (administratoriai), minimalus informacinės sistemos veiklai atkurti nesant administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, reikiamos kompetencijos ar žinių lygis;
23.2. dokumentas, kuriame nurodyta minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos institucijos poreikius atitinkančiai informacinių sistemų veiklai užtikrinti įvykus elektroninės informacijos saugos incidentui, specifikacijos;
23.3. dokumentas, kuriame nurodyti kiekvieno pastato, kuriame yra informacinių sistemų įranga, aukšto patalpų brėžiniai ir juose pažymėti:
23.5. dokumentas, kuriame nurodytos elektroninės informacijos teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigas;
23.6. dokumentas, kuriame nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos;
24. Už šio valdymo plano 23 punkte nurodytų dokumentų parengimą atsakingas informacinių sistemų koordinuojantis administratorius.
25. Už šio valdymo plano 23 punkte nurodytų dokumentų saugojimą atsakingas informacinių sistemų saugos įgaliotinis.
26. Kibernetinio saugumo vadovas ne rečiau kaip kartą per mėnesį:
26.1. atlieka užfiksuotų kibernetinio saugumo incidentų analizę ir esant reikalui organizuoja pastebėtų neatitikčių saugumo reikalavimams šalinimą;
26.3. atlieka kompiuterių tinklo užkardų (angl. firewall) užfiksuotų įvykių analizę, organizuoja pastebėtų neatitikčių saugumo reikalavimams šalinimą;
IV skyrius
VALDYMO PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS
27. Valdymo plano veiksmingumas turi būti išbandomas ne rečiau kaip kartą per metus. Valdymo plano veiksmingumo išbandymo metu imituojamas elektroninės informacijos saugos ar kibernetinio saugumo incidentas. Reikalavimai kibernetinių atakų imitavimui ir kibernetinių incidentų imitavimo pratybų vykdymui nustatyti Informacinių sistemų duomenų saugos nuostatų 25 punkte.
28. Kibernetinio saugumo incidento imitavimo metu už elektroninės informacijos saugos ar kibernetinio saugumo incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų incidento padarinių likvidavimo veiksmus: iš atsarginių informacinių sistemų duomenų kopijų atkuriami informacinių sistemų duomenys ir elektroninė informacija, atliekami kiti veiksmai, būtini incidentui pašalinti.
29. Valdymo plano veiksmingumo bandymai registruojami Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų veiklos tęstinumo valdymo plano veiksmingumo bandymų registravimo žurnale (Valdymo plano 5 priedas).
30. Pagal bandymų rezultatus saugos įgaliotinis, kibernetinio saugumo vadovas kartu su kitais Valdymo grupės nariais parengia Lietuvos Respublikos valstybinės darbo inspekcijos prie socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų veiklos tęstinumo valdymo plano veiksmingumo bandymų ataskaitą, kurios pavyzdinė forma nustatyta Valdymo plano 6 priede (toliau – Ataskaita) (pridedama), kuri pateikiama Valstybinės darbo inspekcijos vadovui.
31. Atsižvelgdamas į Ataskaitą, Valstybinės darbo inspekcijos vadovas prireikus tvirtina Valdymo plano trūkumų šalinimo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis Valdymo plano trūkumams pašalinti.
32. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami laikantis šių principų:
32.1. operatyvumo – kiek galima greičiau išspręsti ir pašalinti trūkumus; atliekant trūkumų šalinimo veiklą, turi būti atsižvelgiama į trūkumų sudėtingumą ir apimtį;
32.2. veiksmingumo – trūkumų šalinimas turi padaryti esminę įtaką informacinių sistemų veiklai; trūkumų šalinimas laikomas veiksmingu, jei jo metu pavyko sumažinti konkretaus trūkumo neigiamą poveikį;
V skyrius
BAIGIAMOSIOS NUOSTATOS
Lietuvos Respublikos valstybinės darbo
inspekcijos prie Socialinės apsaugos ir darbo
ministerijos valdomų informacinių sistemų
veiklos tęstinumo valdymo plano
1 priedas
LIETUVOS RESPUBLIKOS VALSTYBINĖS DARBO INSPEKCIJOS PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS VALDOMŲ INFORMACINIŲ SISTEMŲ VEIKLOS ATKŪRIMO PIRMAEILIŲ VEIKSMŲ IR ATSAKINGŲ ASMENŲ PAREIGYBIŲ SĄRAŠAS
| Veiksmo eilės Nr. |
Veikla |
Asmenys, atsakingi už informacinių sistemų veiklos atkūrimą |
|
|
|
|
| 1. |
Tarnybinių stočių veikimo atkūrimo organizavimas |
Atkūrimo grupė |
| 1.1. |
Duomenų bazių tarnybinių stočių veikimo atkūrimas |
Informacinių sistemų infrastruktūros administratorius |
| 1.2. |
Taikomųjų programų tarnybinių stočių veikimo atkūrimas |
Informacinių sistemų infrastruktūros administratorius |
| 1.3. |
Žiniatinklio tarnybinių stočių veikimo atkūrimas |
Informacinių sistemų infrastruktūros administratorius |
| 2. |
Kompiuterių tinklo veikimo atkūrimo organizavimas ir atkūrimas |
Atkūrimo grupė Informacinių sistemų infrastruktūros administratorius Pagal paslaugų teikimo sutartis veikiantys juridinių asmenų atstovai |
| 3. |
Kompiuterizuotų darbo vietų veikimo atkūrimo organizavimas ir atkūrimas |
Atkūrimo grupė Kompiuterizuotų darbo vietų administratoriai |
| 4. |
Duomenų bazių valdymo sistemų funkcijų atkūrimo organizavimas ir atkūrimas |
Atkūrimo grupė Pagal paslaugų teikimo sutartis veikiantys juridinių asmenų atstovai |
| 5. |
Informacinių sistemų administravimo funkcijų atkūrimo organizavimas ir atkūrimas |
Atkūrimo grupė Pagal paslaugų teikimo sutartis veikiantys juridinių asmenų atstovai |
| 6. |
Informacinių sistemų naudojamų interneto svetainių turinio valdymo sistemos funkcijų atkūrimas |
Informacinių sistemų infrastruktūros administratorius Interneto svetainių administratorius |
| 7. |
Elektroninių paslaugų sistemos funkcijų atkūrimas |
Informacinių sistemų infrastruktūros administratorius Pagal paslaugų teikimo sutartis veikiantys juridinių asmenų atstovai |
________________________________________
Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų veiklos tęstinumo valdymo plano
2 priedas
LIETUVOS RESPUBLIKOS VALSTYBINĖS DARBO INSPEKCIJOS PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS VALDOMŲ INFORMACINIŲ SISTEMŲ VEIKLOS ATKŪRIMO DETALUSIS PLANAS
| Veiksmai įvykus elektroninės informacijos ar kibernetinio saugumo incidentui |
Informacinių sistemų veiklos atkūrimo veiksmai |
Atsakingi vykdytojai |
| 1. Veiksmai įvykus visiems elektroninės informacijos saugos ar kibernetinio saugumo incidentams |
||
| 1.1. galimos žalos Informacinei sistemai įvertinimas, priemonių plano užkirsti kelią saugos incidentui sudarymas ir įgyvendinimas |
1.1.1. žalos įvertinimas, priemonių plano saugos incidento padariniams likviduoti sudarymas ir įgyvendinimas |
Informacinių sistemų veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) vadovas |
| 1.2. Informacinių sistemų veiklos atkūrimo veiksmus atliekančių darbuotojų paskyrimas, jų budėjimo grafiko nustatymas ir jų informavimas apie tai |
1.2.1. darbų grafiko saugos incidento padariniams likviduoti sudarymas |
Informacinių sistemų veiklos atkūrimo grupės (toliau – Atkūrimo grupė) vadovas |
| 1.2.2. darbuotojų saugos incidento padarinių likvidavimo darbams atlikti darbuotojų sąrašo sudarymas ir jų informavimas apie tai |
Atkūrimo grupės vadovas Informacinių sistemų infrastruktūros administratorius |
|
| 1.3. Informacinių sistemų naudotojams rekomenduojamo elgesio saugos incidento metu skelbimas žodžiu arba ryšio priemonėmis |
1.3.1. saugos incidento padarinių likvidavimo darbus atliekančių darbuotojų instruktavimas apie elgseną saugos incidento vietoje |
Informacinių sistemų saugos įgaliotinis |
| 1.4. Nacionalinio kibernetinio saugumo centro informavimas apie Informacinėje sistemoje įvykusius kibernetinius incidentus, apibrėžtus organizaciniuose ir techniniuose kibernetinio saugumo reikalavimuose, ir taikytas kibernetinių saugos incidentų valdymo priemones Lietuvos Respublikos Vyriausybės ar jos įgaliotos institucijos nustatyta tvarka |
Kibernetinio saugumo vadovas |
|
| 1.5. informacijos apie kibernetinius saugos incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių saugos incidentų valdymo priemones pateikimas Valstybinei duomenų apsaugos inspekcijai šios institucijos nustatyta tvarka ir sąlygomis |
Informacinių sistemų saugos įgaliotinis, kibernetinio saugumo vadovas |
|
| 1.6. informacijos, reikalingos kibernetiniams saugos incidentams, turintiems nusikalstamos veikos požymių, užkardyti ir tirti, pateikimas policijai. Informacija pateikiama policijos generalinio komisaro nustatyta tvarka ir sąlygomis
|
Informacinių sistemų saugos įgaliotinis, kibernetinio saugumo vadovas |
|
| 2. Gamtinės sąlygos (klimatinių sąlygų pakitimai) |
||
| 2.1. meteorologinės informacijos sekimas |
2.1.1. saugos incidento padarinių likvidavimo darbus atliekančių darbuotojų informavimas apie esamą situaciją |
Informacinių sistemų saugos įgaliotinis |
| 2.2. saugios vietos nustatymas ir nurodymas informacinių sistemų naudotojams eiti į saugią vietą |
2.2.1. informacinių sistemų naudotojų informavimas apie būtinumą pereiti į kitas saugias patalpas |
Valdymo grupės vadovas |
| 2.3. informacinių sistemų naudotojų informavimas apie darbo sustabdymą dėl nepalankių sąlygų |
2.3.1.informacinių sistemų naudotojų informavimas apie esamą situaciją ir numatomas darbo sąlygas |
Informacinių sistemų saugos įgaliotinis |
| 2.4. pasiruošimas suteikti nukentėjusiems informacinių sistemų naudotojams pirmąją pagalbą |
2.4.1. pirmosios pagalbos suteikimas nukentėjusiems Informacinių sistemų naudotojams, nukentėjusiųjų gabenimo į gydymo įstaigą organizavimas |
Valstybinės darbo inspekcijos Paslaugų ir projektų valdymo skyriaus darbuotojai |
| 2.5. pavojingų vietų ženklinimas, informacinių lentelių pakabinimas |
2.5.1. informacinių sistemų naudotojų informavimas, saugos incidento padarinius likviduojančių darbuotojų instruktavimas |
Informacinių sistemų saugos įgaliotinis |
| 2.6. alternatyvių energijos tiekimo šaltinių panaudojimas |
2.6.1. energijos tiekimo tarnybų rekomendacijų vykdymas |
Atkūrimo grupės vadovas |
| 2.7. alternatyvaus ryšio organizavimas |
2.7.1. kreipimasis į ryšio paslaugos teikėjus |
Atkūrimo grupės vadovas |
| 2.8. pagrindinės Informacinių sistemų techninės ir programinės įrangos, duomenų galimam pavojui išvengti ir (ar) likviduoti paruošimas |
2.8.1. Informacinių sistemų tarnybinių stočių, kitos techninės įrangos išjungimas ir perkėlimas į saugią vietą |
Informacinių sistemų infrastruktūros administratorius |
| 3. Potvynis, užtvindymas |
||
| 3.1. potvynio prognozės sekimas |
3.1.1. saugos incidento padarinius likviduojančių darbuotojų instruktavimas |
Informacinių sistemų saugos įgaliotinis |
| 3.2. veiksmų, nurodytų 2.1–2.8 papunkčiuose, atlikimas |
||
| 3.3. informacinių sistemų naudotojų, dirbančių potvynio vietoje, aprūpinimas karštu maistu
|
3.3.1. Informacinių sistemų naudotojų, dirbančių potvynio vietoje, maitinimo organizavimas |
Valstybinės darbo inspekcijos Paslaugų ir projektų valdymo skyriaus darbuotojai |
| 4. Darbo aplinkos užteršimas pavojingomis medžiagomis |
||
| 4.1. pavojingų medžiagų šalinimo tarnybos informavimas |
4.1.1. pavojingų medžiagų šalinimo tarnybos leidimo dirbti saugos incidento zonoje gavimas, darbo atlikimo rekomendacijų gavimas ir Informacinių sistemų naudotojų informavimas apie rekomenduojamus darbo būdus |
Valdymo grupės vadovas |
| 4.2. priešgaisrinės apsaugos ir gelbėjimo tarnybos informavimas |
4.2.1. priešgaisrinės apsaugos ir gelbėjimo tarnybos leidimo dirbti saugos incidento vietoje gavimas |
Informacinių sistemų saugos įgaliotinis |
| 4.3. esant būtinumui – Informacinių sistemų naudotojų evakuacija |
4.3.1. galimybių evakuoti Informacinių sistemų naudotojus nagrinėjimas, jei gauta priešgaisrinės apsaugos ir gelbėjimo tarnybos rekomendacija |
Valdymo grupės vadovas, Informacinių sistemų saugos įgaliotinis |
| 4.4. veiksmų, nurodytų 2.1–2.8 papunkčiuose, atlikimas |
||
| 5. Gaisras |
||
| 5.1. esant būtinumui – Informacinių sistemų naudotojų evakuacija |
5.1.1. galimybių evakuoti Informacinių sistemų naudotojus nagrinėjimas |
Valdymo grupės vadovas, Informacinių sistemų saugos įgaliotinis |
| 5.2. priešgaisrinės apsaugos ir gelbėjimo tarnybos informavimas |
5.2.1. priešgaisrinės ir gelbėjimo tarnybos leidimo dirbti saugos incidento zonoje gavimas, darbo atlikimo rekomendacijų gavimas, Informacinių sistemų naudotojų informavimas apie rekomenduojamus darbo būdus |
Informacinių sistemų saugos įgaliotinis |
| 5.3. gaisro gesinimas ankstyvoje stadijoje, nekeliant pavojaus Informacinių sistemų naudotojų gyvybei |
5.3.1. priešgaisrinės ir gelbėjimo tarnybos nurodymų vykdymas |
Valstybinės darbo inspekcijos Paslaugų ir projektų valdymo skyriaus darbuotojai |
| 5.4. komunalinių komunikacijų, galinčių sukelti papildomą nenumatytą situaciją, išjungimas |
5.4.1. priešgaisrinės ir gelbėjimo tarnybos rekomendacijų vykdymas |
Informacinių sistemų infrastruktūros administratorius |
| 5.5. veiksmų, nurodytų 2.1–2.8 papunkčiuose, atlikimas |
||
| 6. Patalpų, kuriose yra informacinių sistemų tarnybinės stotys ir svarbiausia komutacinė įranga (toliau – patalpos), užgrobimas |
||
| 6.1. teisėsaugos tarnybų informavimas |
6.1.1. teisėsaugos tarnybų informavimas apie saugos incidentą |
Valdymo grupės vadovas |
| 6.2. esant būtinumui, Informacinių sistemų naudotojų evakavimas, įspėjant teisėsaugos tarnybas |
6.2.1. informacinių sistemų naudotojų informavimas apie evakavimą, jei yra teisėsaugos tarnybų rekomendacija |
Informacinių sistemų saugos įgaliotinis |
| 6.3. esant būtinumui, Informacinių sistemų techninės įrangos išjungimas ir patalpų užrakinimas |
6.3.1. informacinių sistemų tarnybinių stočių, kitos techninės įrangos išjungimas, patalpų užrakinimas, jei yra galimybė |
Informacinių sistemų infrastruktūros administratorius |
| 6.4. esant būtinumui, likusių Informacinių sistemų naudotojų evakavimas |
6.4.1. informacinių sistemų naudotojų informavimas apie evakavimą, jei yra teisėsaugos tarnybų rekomendacija |
Informacinių sistemų saugos įgaliotinis |
| 6.5. teisėsaugos pareigūnų nurodymų vykdymas |
6.5.1. informacinių sistemų naudotojų informavimas apie teisėsaugos tarnybų nurodymus |
Informacinių sistemų saugos įgaliotinis |
| 6.6. veiksmų, nurodytų 2.1–2.8 papunkčiuose, atlikimas |
||
| 7. Patalpų sugadinimas |
||
| 7.1. avarinių ar teisėsaugos tarnybų informavimas, atsižvelgiant į iškilusio pavojaus pobūdį |
7.1.1. atitinkamos tarnybos leidimo dirbti pavojaus zonoje gavimas, darbui atlikimo rekomendacijų gavimas, Informacinių sistemų naudotojų informavimas apie rekomenduojamus darbo būdus |
Informacinių sistemų saugos įgaliotinis, kibernetinio saugumo vadovas |
| 7.2. veiksmų, nurodytų 2.1–2.8 papunkčiuose, atlikimas |
||
| 7.3. esant reikalui, atsarginių patalpų informacinių sistemų veiklai užtikrinti ir darbo vietoms išdėstyti suradimas |
7.3.1. darbo organizavimas ir koordinavimas atsarginėse Informacinių sistemų patalpose |
Atkūrimo grupės vadovas |
| 7.4. komunalinių komunikacijų, galinčių sukelti papildomą saugos incidentą, išjungimas |
7.4.1. pažeistų patalpų rekonstrukcijos, atstatymo darbų, komunalinių komunikacijų išjungimo organizavimas ir (ar) Informacinių sistemų perkėlimas į naujas patalpas |
Valdymo grupės vadovas, Atkūrimo grupės vadovas |
| 8. Elektros energijos tiekimo sutrikimai |
||
| 8.1. elektros energijos tiekimo sistemos veiklos patikrinimas |
8.1.1. pažeisto vietos elektros tinklo, užtikrinančio Informacinių sistemų veiklą, atkūrimo organizavimas |
Atkūrimo grupės vadovas |
| 8.2. esant būtinumui, tarnybinių stočių ir kitos techninės įrangos, jautrios elektros energijos tiekimo sutrikimams, išjungimas |
8.2.1. elektros energijos tiekimo Informacinių sistemų tarnybinėms stotims ir kitai techninei įrangai išjungimas |
Atkūrimo grupės vadovas, Informacinių sistemų infrastruktūros administratorius |
| 8.3. kreipimasis į elektros energijos tiekimo tarnybą dėl sutrikimo pašalinimo trukmės prognozės |
8.3.1. rekomendacijų iš elektros energijos tiekimo tarnybos gavimas |
Atkūrimo grupės vadovas |
| 8.4. sutrikimo pašalinimo trukmės prognozės skelbimas Informacinių sistemų naudotojams |
8.4.1. Informacinių sistemų naudotojų informavimas apie esamą situaciją ir numatomas darbo sąlygas |
Informacinių sistemų saugos įgaliotinis |
| 8.5. veiksmų, nurodytų 2.7, 7.3 papunkčiuose, atlikimas |
||
| 9. Vandentiekio ir šildymo sistemos sutrikimai |
||
| 9.1. vandentiekio ar šilumos tinklų avarinių tarnybų informavimas, atsižvelgus į sutrikimo pobūdį |
9.1.1. atitinkamos tarnybos informavimas apie sutrikimus, darbo atlikimo rekomendacijų gavimas, Informacinių sistemų naudotojų informavimas apie rekomenduojamus darbus |
Atkūrimo grupės vadovas Informacinių sistemų saugos įgaliotinis |
| 9.2. sutrikimo pašalinimo trukmės prognozės skelbimas Informacinių sistemų naudotojams |
9.2.1. Informacinių sistemų naudotojų informavimas apie esamą situaciją ir numatomas darbo sąlygas |
Informacinių sistemų saugos įgaliotinis |
| 9.3. veiksmų, nurodytų 5.4, 7.3 papunkčiuose, atlikimas |
||
| 10. Ryšio sutrikimai |
||
| 10.1. telefono ir (ar) interneto ryšio paslaugų teikėjų informavimas, atsižvelgus į sutrikimo pobūdį, paklausimas dėl jo pašalinimo trukmės prognozės |
10.1.1. kreipimasis į telefono ir (ar) interneto paslaugų teikėjus |
Atkūrimo grupės vadovas |
| 10.2. sutrikimo pašalinimo prognozės skelbimas Informacinių sistemų naudotojams |
10.2.1. informacinių sistemų naudotojų informavimas apie esamą situaciją ir numatomas darbo sąlygas |
Informacinių sistemų saugos įgaliotinis |
| 10.3. alternatyvaus ryšio organizavimas |
10.3.1. neatkūrus ryšio per prognozuotą laiką, ryšio, naudojantis kitų ryšio paslaugų teikėjų paslaugomis, organizavimas
|
Atkūrimo grupės vadovas, Informacinių sistemų infrastruktūros administratorius |
| 11. Informacinių sistemų tarnybinių stočių ar komutacinės įrangos sugadinimas (gedimas), sunaikinimas, praradimas |
||
| 11.1. informacinių sistemų naudotojų informavimas apie darbo sustabdymą dėl nepalankių sąlygų |
11.1.1. informacinių sistemų naudotojų informavimas apie esamą situaciją ir numatomas darbo sąlygas |
Informacinių sistemų saugos įgaliotinis |
| 11.2. rezervinės techninės įrangos naudojimas |
11.2.1. veikiančios techninės įrangos išteklių perskirstymas Informacinių sistemų veiklai užtikrinti |
Atkūrimo grupės vadovas, Informacinių sistemų infrastruktūros administratorius |
| 11.3. techninės įrangos ir informacinių sistemų atkūrimas |
11.3.1. esant būtinumui, kreipimasis į techninės įrangos tiekėjus dėl sugadintos įrangos remonto ar dėl naujos techninės įrangos įsigijimo arba nuomos |
Atkūrimo grupės vadovas |
| 11.3.2. pranešimas draudimo įstaigai apie įvykį, dėl kurio nukentėjo apdrausti daiktai |
Atkūrimo grupės vadovas |
|
| 11.3.3. informacinių sistemų atkūrimas iš atsarginių kopijų |
Informacinių sistemų infrastruktūros administratorius |
|
| 12. Informacinių sistemų programinės įrangos sugadinimas, praradimas |
||
| 12.1. informacinių sistemų programinės įrangos atkūrimas iš atsarginių kopijų |
12.1.1. sugadintos ar prarastos programinės įrangos atkūrimas iš programinės įrangos kopijų |
Informacinių sistemų infrastruktūros administratorius |
| 13. Informacinių sistemų duomenų pakeitimas, sunaikinimas, atskleidimas |
||
| 13.1. duomenų atkūrimas iš atsarginių duomenų kopijų |
12.1.1. informacinei sistemai nustojus veikti dėl duomenų pakeitimo ar sunaikinimo, duomenų atkūrimas iš duomenų kopijų |
Informacinių sistemų infrastruktūros administratorius |
_________________
Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų veiklos tęstinumo valdymo plano
3 priedas
(Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų elektroninės informacijos saugos (kibernetinių) incidentų registravimo žurnalo forma pavyzdinė forma)
LIETUVOS RESPUBLIKOS VALSTYBINĖS DARBO INSPEKCIJOS PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS VALDOMŲ INFORMACINIŲ SISTEMŲ ELEKTRONINĖS INFORMACIJOS SAUGOS (KIBERNETINIŲ) INCIDENTŲ REGISTRAVIMO ŽURNALAS
Pildymo pradžia 20___m.___________________d.
| Eil. Nr. |
Elektroninės informacijos saugos incidentas |
|||||
| Pavojaus rūšies numeris* |
Įvykio aprašymas |
Pradžia (metai, mėnuo, diena, valanda) |
Pabaiga (metai, mėnuo, diena, valanda) |
Incidentą pašalino (vardas, pavardė ir pareigos) |
Informacinių sistemų saugos įgaliotinis (vardas, pavardė, parašas) |
|
| 1. |
|
|
|
|
|
|
| 2. |
|
|
|
|
|
|
| 3. |
|
|
|
|
|
|
| 4. |
|
|
|
|
|
|
| 5. |
|
|
|
|
|
|
*Elektroninės informacijos saugos incidento pavojaus rūšys:
1- gamtinės sąlygos;
2 - potvynis, užtvindymas;
3 - darbo aplinkos užteršimas pavojingomis medžiagomis;
4 - gaisras;
5 - patalpų, kuriose yra informacinių sistemų tarnybinės stotys ir svarbiausia komutacinė įranga (toliau – patalpos), užgrobimas;
6 - patalpų sugadinimas;
7 - elektros energijos tiekimo sutrikimai;
8 - vandentiekio ir šildymo sistemos sutrikimai;
9 - ryšio sutrikimai;
10 - informacinių sistemų tarnybinių stočių ar komutacinės įrangos sugadinimas (gedimas), sunaikinimas, praradimas;
11 - informacinių sistemų programinės įrangos sugadinimas, praradimas;
12 - informacinių sistemų duomenų pakeitimas, sunaikinimas, atskleidimas.
_________________
Lietuvos Respublikos valstybinės darbo
inspekcijos prie Socialinės apsaugos ir darbo
ministerijos valdomų informacinių sistemų
veiklos tęstinumo valdymo plano
4 priedas
KIBERNETINIŲ INCIDENTŲ VALDYMO IR NACIONALINIO KIBERNETINIO SAUGUMO CENTRO INFORMAVIMO TVARKOS APRAŠAS
1. Nacionaliniam kibernetinio saugumo centrui (toliau Informacinių sistemų veiklos tęstinumo ir valdymo plane – Centras) pranešama apie:
2. didelio poveikio kibernetinius incidentus – nedelsiant, bet ne vėliau kaip per vieną valandą nuo jų nustatymo;
3. vidutinio poveikio kibernetinius incidentus – ne vėliau kaip per keturias valandas nuo jų nustatymo;
4. nereikšmingo poveikio kibernetinius incidentus – periodiškai kiekvieno kalendorinio mėnesio pirmą darbo dieną teikiant apibendrintą informaciją apie kiekvienos grupės incidentų, įvykusių nuo paskutinio pranešimo teikimo dienos, skaičių;
5. Nacionalinis kibernetinio saugumo centras informuojamas apie didelio ar vidutinio poveikio kibernetinius incidentus kibernetinio saugumo subjekto pranešimu, kuriame nurodoma:
5.1. kibernetinio incidento grupė (grupės), pogrupis (pogrupiai) ir poveikio kategorija, nustatyta pagal Plano priede pateiktus kriterijus;
6. Kibernetinio saugumo subjektai kibernetinių incidentų tyrimą atlieka vadovaudamiesi savo patvirtintais kibernetinio saugumo teisės aktais tiek, kiek to nereglamentuoja Nutarimas, ir imasi visų įmanomų priemonių, būtinų kibernetiniam incidentui suvaldyti ir įprastai ryšių ir informacinių sistemų veiklai atkurti.
7. Kibernetinio saugumo subjektai Centrui pateikia kibernetinio incidento tyrimo ataskaitą apie:
7.1. didelio poveikio kibernetinių incidentų valdymo būklę – ne vėliau kaip per keturias valandas nuo jų nustatymo ir ne rečiau kaip kas keturias valandas atnaujintą informaciją, iki kibernetinis incidentas suvaldomas ar pasibaigia;
7.2. vidutinio poveikio kibernetinių incidentų valdymo būklę – ne vėliau kaip per dvidešimt keturias valandas nuo jų nustatymo ir ne rečiau kaip kas dvidešimt keturias valandas atnaujintą informaciją, iki kibernetinis incidentas suvaldomas ar pasibaigia;
7.3. didelio ar vidutinio poveikio kibernetinių incidentų suvaldymą ar pasibaigimą – ne vėliau kaip per keturias valandas nuo jų suvaldymo ar pasibaigimo.
8. kibernetinio incidento grupė (grupės), pogrupis (pogrupiai) ir poveikio kategorija, nustatyta pagal Nacionaliniame kibernetinių incidentų valdymo plane, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ pateiktus kriterijus;
9. ryšių ir informacinės sistemos, kurioje nustatytas kibernetinis incidentas, tipas (elektroninių ryšių tinklas, informacinė sistema, registras, pramoninių procesų valdymo sistema, tarnybinė stotis ir panašiai);
19. tikslus laikas, kada bus teikiama pakartotinė kibernetinio incidento tyrimo ataskaita remiantis plano 7.4 punktu.
20. Valstybinė darbo inspekcija, įvertinę, kad negalės savarankiškai ištirti ar suvaldyti kibernetinio incidento per maksimaliai leistiną paslaugos neveikimo laiką, nustatytą savo patvirtintuose kibernetinio saugumo teisės aktuose, ne vėliau kaip per dvidešimt keturias valandas nuo šių aplinkybių nustatymo kreipiasi pagalbos į Nacionalinį kibernetinio saugumo centrą.
21. Valstybinė darbo inspekcija ne vėliau kaip per aštuonias valandas nuo kibernetinio incidento suvaldymo ar pasibaigimo informuoja ryšių ir informacinės sistemos teikiamų paslaugų gavėjus (jeigu tokių yra), jeigu kibernetinio incidento poveikis padarė arba gali ateityje padaryti žalos ryšių ir informacinės sistemos teikiamų paslaugų gavėjui.
22. Kriterijai, kuriais vadovaujantis kibernetiniai incidentai priskiriami konkrečiai kategorijai, Nacionaliniame kibernetinių incidentų valdymo plane, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.
Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos
ir darbo ministerijos valdomų informacinių sistemų veiklos tęstinumo
valdymo plano
5 priedas
(Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų veiklos tęstinumo valdymo plano veiksmingumo bandymų registravimo žurnalo pavyzdinė forma)
LIETUVOS RESPUBLIKOS VALSTYBINĖS DARBO INSPEKCIJOS PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS VALDOMŲ INFORMACINIŲ SISTEMŲ VEIKLOS TĘSTINUMO VALDYMO PLANO VEIKSMINGUMO BANDYMŲ REGISTRAVIMO ŽURNALAS
| Eil. Nr. |
Plano išbandymo būdas |
Data |
Atsakingo asmens vardas, pavardė |
Atsakingo asmens pareigos |
| 1 |
2 |
3 |
4 |
5 |
|
|
|
|
|
|
|
|
|
|
|
|
________________________________________
Lietuvos Respublikos valstybinės darbo
inspekcijos prie Socialinės apsaugos ir darbo
ministerijos valdomų informacinių sistemų
veiklos tęstinumo valdymo plano
6 priedas
(Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų veiklos tęstinumo valdymo plano veiksmingumo bandymų ataskaitos)
LIETUVOS RESPUBLIKOS VALSTYBINĖS DARBO INSPEKCIJOS PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS VALDOMŲ INFORMACINIŲ SISTEMŲ VEIKLOS TĘSTINUMO VALDYMO PLANO VEIKSMINGUMO BANDYMŲ ATASKAITA
(informacinių sistemų veiklos tęstinumo valdymo grupės posėdžio data ir dokumento numeris)
| Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų (toliau – informacinės sistemos) veiklos tęstinumo valdymo plano bandyme dalyvavo informacinių sistemų veiklos tęstinumo valdymo grupės nariai: |
| 1. |
| 2. |
| 3. |
| ... |
| Informacinių sistemų veiklos tęstinumo valdymo plano bandymo būdas: |
|
|
|
|
| Informacinių sistemų elektroninės informacijos saugos ar kibernetinio saugumo incidento (toliau – saugos incidentas) apibūdinimas: |
|
|
|
|
| Saugos incidento poveikis informacinėms sistemoms: |
|
|
|
|
| Saugos incidento valdymo eiga: |
|
|
|
|
|
|
| Rasti informacinių sistemų veiklos tęstinumo valdymo plano trūkumai: |
|
|
|
|
|
|
| Pasiūlymai keisti arba papildyti informacinių sistemų veiklos tęstinumo valdymo planą: |
|
|
|
|
|
|
|
|
| (vardas, pavardė) |
|
(parašas) |
|
|
|
|
| (vardas, pavardė) |
|
(parašas) |
|
|
|
|
| (vardas, pavardė) |
|
(parašas) |
____________________________
PATVIRTINTA
Lietuvos Respublikos vyriausiojo valstybinio
darbo inspektoriaus 2019 m. spalio 11 d.
įsakymu Nr. EV-293
LIETUVOS RESPUBLIKOS VALSTYBINĖS DARBO INSPEKCIJOS PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS VALDOMŲ INFORMACINIŲ SISTEMŲ NAUDOTOJŲ ADMINISTRAVIMO Taisyklės
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų naudotojų administravimo taisyklės (toliau – Taisyklės) nustato Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos (toliau – Valstybinės darbo inspekcija) valdomų informacinių sistemų (toliau – informacinės sistemos) naudotojų administravimo principus ir tvarką, jų veiksmų kontrolę.
2. Taisyklės taikomos administruojant:
2.1. informacinių sistemų, nurodytų Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2018 m. balandžio 20 d. įsakymu Nr. EV-95 „Dėl Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų duomenų saugos nuostatų patvirtinimo“ (toliau – Informacinių sistemų duomenų saugos nuostatai), naudotojus;
2.3. nuotoliniu būdu dirbančius informacinių sistemų vidaus naudotojus, tiek kiek nereglamentuoja Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valstybės tarnautojams ir darbuotojams dirbti nuotoliniu būdu suteikimo, tarnybinių kompiuterių (ar kito turto) perdavimo, naudojimo ir duomenų saugos reikalavimų tvarkos aprašas, patvirtintas Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2017 m. vasario 21 d. įsakymu Nr. V-72 „Dėl Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valstybės tarnautojams ir darbuotojams dirbti nuotoliniu būdu suteikimo, tarnybinių kompiuterių (ar kito turto) perdavimo, naudojimo ir duomenų saugos reikalavimų tvarkos aprašo patvirtinimo“ (toliau - Nuotolinio darbo tvarkos aprašas);
2.4. informacinių sistemų naudojamo elektroninio pašto naudotojus tiek, kiek nereglamentuoja Elektroninio pašto sistemos naudojimo ir administravimo Lietuvos Respublikos valstybinėje darbo inspekcijoje prie Socialinės apsaugos ir darbo ministerijos tvarkos aprašas, patvirtintas Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2016 m. rugsėjo 30 d. įsakymu Nr. EV-313 „Dėl elektroninio pašto sistemos naudojimo ir administravimo Lietuvos Respublikos valstybinėje darbo inspekcijoje prie Socialinės apsaugos ir darbo ministerijos tvarkos aprašo patvirtinimo“ (toliau – Elektroninio pašto administravimo tvarkos aprašas).
3. Taisyklės parengtos vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau - Techniniai saugos reikalavimai), „Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), Informacinių sistemų duomenų saugos nuostatais, Informacinių sistemų nuostatais.
4. Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Bendrųjų reikalavimų saugos apraše, Techniniuose saugos reikalavimuose, Kibernetinio saugumo reikalavimų apraše, Informacinių sistemų duomenų saugos nuostatuose.
5. Taisyklėse nustatyti reikalavimai privalomi informacinių sistemų valdytojai ir tvarkytojai – Valstybinei darbo inspekcijai, duomenų valdymo ir saugos įgaliotiniams, kibernetinio saugumo vadovui, informacinių sistemų naudotojams (toliau – naudotojai), Informacinių sistemų duomenų saugos nuostatuose nurodytiems informacinių sistemų administratoriams (toliau – administratoriai).
6. Prieigos prie informacinių sistemų elektroninės informacijos (toliau – elektroninė informacija) principai:
6.1. prieiga prie elektroninės informacijos suteikiama vadovaujantis būtinumo žinoti ir būtinumo naudoti principu - naudotojas ar administratorius turi turėti tik tiek prieigos teisių prie informacinės sistemos ir joje tvarkomos elektroninės informacijos, kiek tai būtina teisės aktais nustatytoms jo funkcijoms atlikti;
6.2. informacinių sistemų konkrečią elektroninę informaciją gali tvarkyti tik informacinių sistemų valdytojos vadovo paskirto informacinių sistemų administratoriaus suteiktus įgaliojimus tvarkyti tokią informaciją turintis naudotojas;
6.3. informacinių administratorių funkcijos turi būti atliekamos naudojant atskirą tam skirtą paskyrą, kuri negali būti naudojama kasdienėms informacinių sistemų naudotojo funkcijoms atlikti;
II skyrius
INFORMACINIŲ SISTEMŲ NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS
7. Vidiniai informacinių sistemų vidiniai naudotojai turi teisę:
7.1. naudotis tik tomis informacinių sistemų funkcijomis ir tvarkyti tik tą elektroninę informaciją, prie kurios jiems prieigos teises suteikė informacinių sistemų administratoriai Taisyklių III skyriuje nustatyta tvarka;
7.2. gauti informaciją apie informacinėse taikomas elektroninės informacijos apsaugos priemones, teikti siūlymus saugos įgaliotiniui ir informacinių sistemų administratoriams dėl elektroninės informacijos saugos priemonių taikymo;
8. Vidiniai informacinių sistemų naudotojai privalo:
8.1. tvarkyti elektroninę informaciją, vadovaudamiesi informacinių sistemų nuostatais ir saugos dokumentais, pareigybių aprašymais, Lietuvos Respublikos ir Europos Sąjungos elektroninės informacijos saugą reglamentuojančiais teisės aktais;
8.2. užtikrinti tvarkomos elektroninės informacijos konfidencialumą bei vientisumą ir savo veiksmais netrikdyti informacijos prieinamumo;
8.3. saugoti slaptažodžius bei kitą prisijungimo prie kompiuterių, kompiuterių tinklo ir informacinių sistemų duomenis, jų neatskleisti ir užtikrinti tinkamą apsaugą nuo trečiųjų asmenų;
8.4. baigus darbą ar pasitraukiant iš darbo vietos informacinėse sistemose imtis priemonių, kad su informacinių sistemų elektronine informacija negalėtų susipažinti tretieji asmenys: atsijungti nuo informacinės sistemos, įjungti kompiuterio ekrano užsklandą su slaptažodžiu, dokumentus ar jų kopijas darbo vietoje padėti į tretiesiems asmenims neprieinamą vietą;
8.5. pastebėję informacinių sistemos saugos dokumentuose nustatytų reikalavimų pažeidimus, kitų naudotojų neteisėtus veiksmus, galimai nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, nedelsiant pranešti apie tai informacinių sistemų administratoriams, saugos įgaliotiniui ir kibernetinio saugumo vadovui;
9. Informacinių sistemų naudotojams draudžiama:
9.1. sudaryti sąlygas iš darbo vietoje naudojamo kompiuterio prie informacinių sistemų prisijungti trečiųjų šalių asmenims;
10. Išoriniai informacinių sistemų naudotojai turi teisę tvarkyti elektroninę informaciją duomenų teikimo sutarties ar nustatytų elektroninių paslaugų teikimo sąlygų pagrindu ir apimtimi.
11. Išoriniai informacinių sistemų naudotojai:
12. privalo laikytis duomenų teikimo sutartyse ar elektroninių paslaugų naudojimo sąlygose ir Taisyklių 8.2 - 8.6 papunkčiuose nustatytų elektroninės informacijos saugos reikalavimų.
13. Informacinių sistemų administratorių grupės ir jų pagrindinės funkcijos, atsakomybės ir pareigos nustatytos Informacinių sistemų duomenų saugos nuostatų 13-16 punktuose.
14. Informacinių sistemų administratoriai turi šiuos įgaliojimus, teises ir pareigas:
14.1. infrastruktūros administratorius:
14.1.1. registruoja ir išregistruoja informacinių sistemų naudotojus Valstybinės darbo inspekcijos kompiuterių tinklo (toliau – kompiuterių tinklas) sisteminiame kataloge (angl. Active Directory, toliau - AD);
14.1.2. AD nustato naudotojų grupines politikas, atitinkančias Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitus privalomus, elektroninės informacijos saugą reglamentuojančius, teisės aktus;
14.1.3. užtikrina, kad būtų fiksuojami ir saugos Taisyklėse dokumentuose nustatytą laiką ir atitinkant saugos dokumentuose nustatytus reikalavimus saugomi kompiuterių tinklo naudotojų, informacinių sistemų naudotojų ir administratorių atliekami veiksmai;
14.1.4. konsultuoja informacinių sistemų naudotojus, teikia jiems techninę ir metodinę pagalbą kompiuterių tinklo naudojimo klausimais;
14.1.5. turi fizinę prieigą prie kompiuterių tinklo, tarnybinių stočių ir kitų informacinių sistemų naudojamų techninės infrastruktūros komponentų techninės ir programinės įrangos;
14.1.6. turi teisę vienasmeniškai sustabdyti informacinių sistemų naudotojų prieigą prie kompiuterių tinklo ar elektroninio pašto, pastebėjęs informacinių sistemų naudotojų ar trečiųjų šalių asmenų veiksmus, galimai pažeidžiančius saugos dokumentuose nustatytus elektroninės informacijos saugos reikalavimus;
14.2. interneto svetainių administratorius:
14.2.1. registruoja ir išregistruoja interneto svetainių naudotojus, tvarko esamų naudotojų duomenis;
14.2.2. konsultuoja interneto svetainių naudotojus, teikia jiems techninę ir metodinę pagalbą interneto svetainių naudojimo klausimais;
14.2.3. stebi ir analizuoja interneto svetainių naudotojų veiksmų įrašų žurnalus, informuoja saugos įgaliotinį apie naudotojų veiksmus, pažeidžiančius saugos dokumentuose nustatytus reikalavimus;
14.2.4. užtikrina, kad būtų fiksuojami ir saugos dokumentuose nustatytą laiką ir atitinkant saugos dokumentuose nustatytus reikalavimus saugomi interneto svetainių naudotojų atliekami veiksmai;
14.2.5. turi teisę vienasmeniškai sustabdyti interneto svetainių naudotojų prieigą prie interneto svetainių, pastebėjęs interneto svetainių naudotojų ar trečiųjų šalių asmenų veiksmus, galimai pažeidžiančius saugos dokumentuose nustatytus elektroninės informacijos saugos reikalavimus;
14.3. naudotojų administratoriai:
14.3.1. Taisyklėse nustatytos tvarka registruoja ir išregistruoja informacinių sistemų vidaus ir išorės naudotojus, tvarko informacinių sistemų esamų naudotojų duomenis;
14.3.4. stebi ir analizuoja informacinių sistemų naudotojų veiksmų įrašų žurnalus, informuoja saugos įgaliotinį apie naudotojų veiksmus, pažeidžiančius saugos dokumentuose nustatytus reikalavimus;
14.3.5. užtikrina, kad būtų fiksuojami ir saugos dokumentuose nustatytą laiką saugomi informacinių sistemų naudotojų atliekami veiksmai;
14.3.6. stebi ir analizuoja pranešimus apie informacinių sistemų taikomųjų programų klaidas, apie pastebėtas klaidas informuoja koordinuojantį administratorių, teikia jam pasiūlymus dėl pastebėtų klaidų priežasčių šalinimo;
14.3.7. turi teisę vienasmeniškai sustabdyti informacinių sistemų naudotojų prieigą prie informacinių sistemų, pastebėję informacinių sistemų naudotojų veiksmus, galimai pažeidžiančius saugos dokumentuose nustatytus elektroninės informacijos saugos reikalavimus;
III skyrius
SAUGAUS ELektroninės informacijos teikimo informacinių sistemų naudotojams IR NAUDOTOJŲ ATLIEKAMŲ VEIKSMŲ kontrolės tvarka
PIRMAS SKIRSNIS
INFORMACINIŲ SISTEMŲ NAUDOTOJŲ REGISTRAVIMO IR IŠREGISTRAVIMO TVARKA
15. Informacinių sistemų naudotojams prieigos teisės prie informacinėse sistemose tvarkomos elektroninės informacijos suteikiamos vadovaujantis Taisyklių 6 punkte nustatytais principais.
16. Tvarkyti informacinių sistemų elektroninę informaciją gali tik naudotojai, susipažinę su Informacinių sistemų saugos nuostatais, Informacinių sistemų saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją (toliau – saugos dokumentai), užtikrinant jos saugą, taip pat atsakomybe už saugos dokumentų nuostatų pažeidimus, ir sutikę laikytis saugos dokumentuose nustatytų reikalavimų.
17. Naudotojų supažindinimą su saugos dokumentais organizuoja saugos įgaliotinis. Naudotojai su saugos dokumentais bei atsakomybe už jų reikalavimų nesilaikymą supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą.
18. Naudotojai su saugos dokumentais supažindinami šiais atvejais:
19. Naudotojai, tvarkantys informacinių sistemų duomenis, informaciją, dokumentus ir (arba) jų kopijas, atliekantys tarnybines funkcijas, susijusias su asmens duomenų tvarkymu bei jų teikimu privalo įsipareigoti (pasižadėti) saugoti duomenų ir informacijos paslaptį. Įsipareigojimas (pasižadėjimas) saugoti duomenų ir informacijos paslaptį galioja ir nutraukus su duomenų, informacijos, dokumentų ir (arba) jų kopijų tvarkymu susijusią veiklą bei valstybės tarnybos ar darbo santykius.
20. Taisyklių 3 priede prie nustatytos formos Pasižadėjimas laikytis Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų elektroninės informacijos saugos reikalavimų (toliau – Pasižadėjimas) teikiamas informacinių sistemų saugos įgaliotiniui Dokumentų valdymo sistemos priemonėmis.
22. Informacinių sistemų valdytojos vadovas saugos įgaliotinio teikimu skiria informacinių sistemų administratorius, kurie Taisyklėse nustatyta tvarka suteikia, koreguoja ar naikina naudotojų teisę naudotis informacinėmis sistemomis.
23. Informacinių sistemų vidaus naudotojų registravimo procedūra vykdoma šia tvarka:
23.1. Būsimasis informacinių sistemų naudotojas, Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos dokumentų valdymo tvarkos apraše, patvirtintame Lietuvos Respublikos vyriausiojo valstybinio darbo inspektorius 2015 m. birželio 18 d. įsakymu Nr. V-211 „Dėl Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos dokumentų valdymo tvarkos aprašo patvirtinimo“ (toliau – Dokumentų valdymo tvarkos aprašas), nustatyta tvarka teikia Informacinių technologijų ir dokumentų valdymo skyriaus vedėjui:
23.1.1. Prašymą dėl kompiuterių tinklo naudotojo registravimo, kurio pavydinė forma pateikiama Taisyklių 1 priede (pridedama);
23.2. Prašymus vizuoja:
23.3. Informacinių technologijų ir dokumentų valdymo skyriaus vedėjas, gavęs vizuotą prašymą, jį nukreipia vykdymui pagal kompetenciją informacinių sistemų administratoriams;
23.4. Informacinių sistemų administratoriai naudotojo registravimo ir teisių suteikimo informacinėse sistemose ir jų naudojamose komponentėse procedūrą vykdo šia tvarka:
23.4.1. informacinių sistemų infrastruktūros administratorius per vieną darbo dieną užregistruoja naudotoją Valstybinės darbo inspekcijos kompiuterių tinklo sisteminiame kataloge (angl. Active Directory);
23.4.2. informacinių sistemų naudotojų administratorius per vieną darbo dieną užregistruoja naudotoją prašyme nurodytose informacinėse sistemose ir nustato prašyme nurodytas naudotojo teises (vaidmenis);
23.4.3. interneto svetainių administratorius naudotojui suteikia prieiga prie informacinių sistemų naudojamų interneto svetainių (jei nurodyta prašyme);
24. Informacinių sistemų naudotojui suteikti vaidmenys (teisės) informacinėse sistemose gali būti keičiami šia tvarka:
24.1. Informacinių sistemų naudotojas Dokumentų valdymo tvarkos apraše nustatyta tvarka teikia Informacinių technologijų ir dokumentų valdymo skyriaus vedėjui Taisyklių 23.1.2 papunktyje nurodytos formos Prašymą nustatyti naudotojo teises informacinėse sistemose;
24.2. Prašymą nustatyti naudotojo teises informacinėse sistemose vizuoja:
24.3. Informacinių technologijų ir dokumentų valdymo skyriaus vedėjas, gavęs vizuotą prašymą, jį nukreipia vykdymui informacinių sistemų naudotojų administratoriui ir/ar (jei reikia) interneto svetainių administratoriui;
24.4. informacinių sistemų naudotojų administratorius ir/ar (jei reikia) interneto svetainių administratorius per vieną darbo dieną informacinių sistemų naudotojui nustato Taisyklių 24.1 papunktyje nustatytos formos prašyme nurodytas teises ir apie tai informuoja naudotoją žodžiu ar elektroniniu paštu, Taisyklėse nustatyta tvarka.
25. Informacinių sistemų vidaus naudotojai išregistruojami, kai pasibaigus naudotojo darbo ar valstybės tarnybos santykiams su Valstybine darbo inspekcija, informacinių sistemų infrastruktūros bei naudotojų administratoriai gauna Personalo pakyčių valdymo sistemos pranešimą apie naudotojo valstybės tarnybos ar darbo santykių pasibaigimą.
26. Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos Elektroninių paslaugų darbdaviams komponentės išorės naudotojų administravimą reglamentuoja Elektroninių paslaugų darbdaviams sistemos naudojimo taisyklės, patvirtintos Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2013 m. rugsėjo 11 d. įsakymu Nr. V-356 „Dėl informacijos apie darbuotojų saugos būklę ir darbo vietų atitiktį darbuotojų saugos ir sveikatos norminių teisės reikalavimams teikimo (deklaravimo) Valstybinei darbo inspekcijai“. Naudotojų tapatybei nustatyti naudojamos Valstybės informacinių išteklių sąveikumo platformos paslaugos.
27. Potencialiai pavojingų įrenginių valstybės registro (toliau - Registras) išorės naudotojų įregistravimo ir išregistravimo tvarka:
27.1. Valstybinė darbo inspekcija, vadovaudamasi Potencialiai pavojingų įrenginių valstybės registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2002 m. gegužės 9 d. nutarimu Nr. 645 „Dėl Potencialiai pavojingų įrenginių valstybės registro įsteigimo ir Potencialiai pavojingų įrenginių valstybės registro nuostatų patvirtinimo“, sudaro registro duomenų teikimo sutartį (toliau – sutartis) su registro duomenų teikėju, viešojo administravimo subjektu, fiziniu ar juridiniu asmeniu, kuris įstatymų ir kitų teisės aktų nustatyta tvarka privalo teikti ar turi teisę gauti registro duomenis (toliau - ūkio subjektas) sudaro duomenų teikimo sutartį (toliau – sutartis), kurioje nustatomos ūkio subjekto pareigos, teisės ir atsakomybės tvarkant registro duomenis, sutarties galiojimo sąlygos ir keitimo tvarka, pridedamas ūkio subjekto įgaliotų asmenų, kuriems suteikiamos registro naudotojo teisės, sąrašas;
27.2. naudotojų administratorius, gavęs sutarties priedą, kuriame nurodyti ūkio subjekto registro naudotojų vardai ir pavardės, pareigos, kontaktiniai duomenys ir suteikiamas prieigos teisės:
27.2.1. sutarties priede nurodytus asmenis įrašo Registro naudotojų duomenų bazėje, sukuria prisijungimo duomenis (vardus ir laikinus slaptažodžius);
27.3. naudotojas, pirmą kartą jungdamasis prie Registro, privalo:
27.3.1. patvirtinti, kad yra susipažinęs su Taisyklių 15 punkte nurodytais elektroninės informacijos saugos dokumentais ir įsipareigoja jų laikytis;
27.4. naudotojo tapatumą patvirtinančios Registro funkcinės dalys draudžia prieigą prie registro naudotojams, neįvykdžiusiems Taisyklių 27.3 papunktyje nustatytų reikalavimų;
27.5. Registro naudotojas išregistruojamas:
27.5.1. sutarties sąlygose nustatyta tvarka gavus rašytinį ūkio subjekto pranešimą dėl naudotojo teisės tvarkyti Registro elektroninę informacija pasibaigimą;
ANTRASIS skirsnis
PRIEMONĖS INFORMACINIŲ SISTEMŲ NAUDOTOJŲ TAPATYBEI NUSTATYTI
28. Priemonės informacinių sistemų naudotojų tapatybei patvirtinti:
28.1. Informacinių sistemų naudotojas ar informacinių sistemų administratorius turi patvirtinti savo tapatybę slaptažodžiu, taip pat ir kita tapatumo patvirtinimo priemone, kurios reikalaujama jungiantis prie konkrečios informacinės sistemos;
28.2. .kiekvienas informacinių sistemų naudotojas turi būti unikaliai atpažįstamas, asmens kodas negali būti naudojamas informacinių sistemų naudotojui atpažinti.
28.3. kiekvienas informacinės naudotojas ar administratorius prisijungimui prie informacinių sistemų privalo naudoti tik jam suteiktą informacinės sistemos naudotojo ar administratoriaus vardą;
28.4. naudotojas, pamiršęs, praradęs arba kitaip netekęs savo prisijungimo prie kompiuterių tinklo ar informacinės sistemos vardo ir (ar) slaptažodžio, turi nedelsdamas informuoti infrastruktūros ar naudotojų administratorių;
28.5. antros kategorijos informacinių sistemų administratorių tapatumui patvirtinti naudojamos dviejų veiksnių tapatumo patvirtinimo priemonės (jeigu informacinių sistemų dalys palaiko tokį funkcionalumą);
28.6. informacinių sistemų naudotojų ir administratorių slaptažodžiai turi atitikti šiose Taisyklėse nustatytus reikalavimus;
28.7. informacinių administratorių funkcijos turi būti atliekamos naudojant atskirą tam skirtą paskyrą, kuri negali būti naudojama kasdienėms informacinių sistemų naudotojo funkcijoms atlikti;
28.8. informacinių sistemų naudotojams negali būti suteikiamos informacinių sistemų administratoriaus teisės;
28.9. informacinių sistemų naudotojui baigus darbą ar pasitraukiant iš darbo vietos, turi būti imamasi priemonių, kad su informacija, kuri tvarkoma informacinėje sistemoje, negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo informacinės sistemos, darbo vietos kompiuteryje įjungiama ekrano užsklanda su slaptažodžiu;
28.10. informacinių sistemų naudotojui neatliekant informacinėje sistemoje jokių veiksmų, darbo stotis ne vėliau kaip per 15 minučių turi užsirakinti, kad toliau naudotis IS būtų galima tik IS naudotojui pakartotinai patvirtinus savo tapatybę;
TREČIASIS SKIRSNIS
NAUDOTOJŲ SLAPTAŽODŽIŲ SUDARYMO, GALIOJIMO TRUKMĖS IR KEITIMO REIKALAVIMAI
29. Informacinių sistemų naudotojų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai:
29.4. slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija (pavyzdžiui, gimimo data, šeimos narių vardai ir panašiai);
29.5. informacinių sistemų dalys, atliekančios naudotojo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius;
29.7. slaptažodį, neteisingai įvedus 5 kartus, informacinė sistema turi užsirakinti ir neleisti informacinės sistemos naudotojui identifikuotis informacinėse sistemose ne trumpiau nei 15 minučių
29.8. slaptažodžiai negali būti saugomi, perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais, kibernetinio saugumo vadovo sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo, jei:
30. .Papildomi naudotojų slaptažodžių reikalavimai taikomi kompiuterių tinklo, antros kategorijos informacinių sistemų, informacinių sistemų naudojamų interneto svetainių, elektroninio pašto sistemos naudotojams, nuotoliniu būdu dirbantiems informacinių sistemų vidiniams naudotojams (toliau visi kartu – naudotojai) ir administratoriams:
30.4. keičiant slaptažodį informacinių informacinės sistemos ir jų dalys neturi leisti sudaryti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;
30.5. papildomi reikalavimai informacinių sistemų administratorių slaptažodžiams:
31. Vykdoma informacinių sistemų naudotojų ir administratorių paskyrų kontrolė:
31.2. tikrinama, ar nėra nepatvirtintų informacinių sistemų naudotojų paskyrų, ir pranešama kibernetinio saugumo vadovui apie nepatvirtintas informacinių sistemų naudotojų paskyras;
31.4. nereikalingos ar nenaudojamos informacinių sistemų naudotojų ir administratorių paskyros turi būti blokuojamos nedelsiant ir ištrinamos praėjus audito duomenų nustatytam saugojimo terminui;
31.5. papildomos kontrolės priemonės antros kategorijos informacinėms sistemoms ir jų naudojamoms interneto svetainėms:
31.5.1. informacinių sistemų valdytojos vadovo patvirtintas asmenų, kuriems suteiktos informacinių sistemų administratoriaus teisės prisijungti prie informacinių sistemų, sąrašas, periodiškai peržiūrimas kibernetinio saugumo vadovo; sąrašas turi būti nedelsiant peržiūrėtas, kai įstatymų nustatytais atvejais informacinių sistemų administratorius nušalinamas nuo darbo (pareigų);
32. Draudžiama techninėje ir programinėje įrangoje naudoti gamintojo nustatytus slaptažodžius, jie turi būti pakeisti į atitinkančius reikalavimus.
KETVIRTASIS SKIRSNIS
SĄLYGOS IR ATVEJAI, KAI PANAIKINAMA INFORMACINĖS SISTEMOS NAUDOTOJŲ TEISĖ DIRBTI SU KONKREČIA ELEKTRONINE INFORMACIJA
34. Sąlygos ir atvejai, kai panaikinama informacinės sistemos naudotojų teisė dirbti su konkrečia elektronine informacija:
34.1. naudotojo teisė dirbti su konkrečia informacine sistema sustabdoma, kai naudotojas nesinaudoja informacine sistema ilgiau kaip 3 mėnesius;
34.2. administratoriaus teisė dirbti su konkrečia informacine sistema sustabdoma, kai administratorius nesinaudoja informacine sistema ilgiau kaip 2 mėnesius;
34.3. kai įstatymų nustatytais atvejais naudotojas ar administratorius nušalinamas nuo darbo (pareigų), neatitinka kituose teisės aktuose nustatytų informacinių sistemų naudotojo ar administratoriaus kvalifikacinių reikalavimų, taip pat pasibaigia jo darbo (tarnybos) santykiai, jis praranda patikimumą, jo teisė naudotis informacinėmis sistemomis panaikinama nedelsiant.
35. Leistini nuotolinio informacinės sistemos naudotojų prisijungimo prie informacinės sistemos būdai:
35.1. naudojant transporto lygmens protokolus (angl. Transport Layer Secure) (toliau – TLS), reglamentuojančius informacinių sistemų naudotojo ir serverio abipusį tapatumo nustatymą, kad būtų užtikrintas šifruotas ryšys;
35.2. siekiant, kad elektroninės informacijos perdavimas iš tarnybinės stoties į interneto naršyklę ir iš interneto naršyklės į tarnybinę stotį būtų saugus, naudojamas TLS sertifikatas, patvirtinantis elektroninės informacijos šaltinio tapatumą ir šifruojantis informacinių sistemų naudotojo ir tarnybinės stoties siunčiamą ir gaunamą elektroninę informaciją;
35.3. informacinių sistemų interneto svetainėse TLS šifruota HTTP (angl. Hyper Text Transfer Protocol) protokolo elektroninė informacija perduodama saugiu HTTPS (angl. Hyper Text Transfer Protocol Secure) protokolu;
35.4. naudojant virtualų privatų tinklą. Virtualiame tinkle turi būti naudojamas IPsec (angl. Internet Protocol Security) protokolų rinkinys;
IV skyrius
BAIGIAMOSIOS NUOSTATOS
Lietuvos Respublikos valstybinės darbo inspekcijos
prie Socialinės apsaugos ir darbo ministerijos valdomų
informacinių sistemų naudotojų administravimo taisyklių
1 priedas
(Prašymo dėl kompiuterių tinklo naudotojo registravimo formos pavyzdys)
LIETUVOS RESPUBLIKOS VALSTYBINĖ DARBO INSPEKCIJA PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS
|
|
| (darbuotojo skyriaus pavadinimas, pareigos, vardas, pavardė) Informacinių technologijų ir dokumentų valdymo skyriaus vedėjui
|
PRAŠYMAS
DĖL KOMPIUTERIŲ TINKLO NAUDOTOJO REGISTRAVIMO
|
|
| (data)
|
| (vieta)
|
Prašau užregistruoti mane Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos (toliau – Valstybinė darbo inspekcija) kompiuterių tinklo naudotoju sisteminiame kataloge (angl. Active Directory).
Patvirtinu, kad esu supažinęs – (-usi) su Valstybinės darbo inspekcijos valdomų informacinių sistemų
saugos dokumentais*) ir sutinku jų laikytis.
(darbuotojo vardas, pavardė, parašas)
|
|
|
|
| (darbuotojo tiesioginio vadovo pareigos) |
( parašas) |
(vardas, pavardė) |
| Saugos įgaliotinis |
|
|
|
|
( parašas) |
(vardas, pavardė) |
Lietuvos Respublikos valstybinės darbo inspekcijos
prie Socialinės apsaugos ir darbo ministerijos valdomų
informacinių sistemų naudotojų administravimo taisyklių
2 priedas
(Prašymo nustatyti naudotojo teises informacinėse sistemose pavyzdinė forma)
LIETUVOS RESPUBLIKOS VALSTYBINĖ DARBO INSPEKCIJA PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS
|
|
| (struktūrinio padalinio pavadinimas) |
Informacinių technologijų ir dokumentų valdymo skyriui
PRAŠYMAS
NUSTATYTI NAUDOTOJO TEISES INFORMACINĖSE SISTEMOSE
| (data) |
| (sudarymo vieta) |
Prašau (darbuotojo pareigos, vardas, pavardė) nustatyti teises naudotis šiomis Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomomis informacinėmis sistemomis ir jų komponentėmis:
| Eil. Nr. |
Informacinės sistemos (IS)/IS komponentės pavadinimas |
Pažymėti |
Prašymo priedas, kuriame nurodomi veiksmai su naudotojo teisėmis |
| 1. |
Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinė sistema |
|
Prašymo 1 priedas |
| 2. |
Dokumentų valdymo sistema |
|
Prašymo 2 priedas |
| 3. |
Potencialiai pavojingų įrenginių valstybės registras |
|
Prašymo 3 priedas |
| 4. |
Darbuotojų saugos ir sveikatos klausimais atestavimo informacinė sistema |
|
Prašymo 4 priedas |
| 5. |
Veiklos valdymo sistema |
|
Prašymo 5 priedas |
| 6. |
Rizikingumo valdymo sistema |
|
Prašymo 6 priedas |
| 7. |
Personalo pokyčių valdymo sistema POKYTIS |
|
Prašymo 7 priedas |
| 8. |
Informacinių sistemų naudojamos interneto svetainė |
|
Prašymo 8 priedas |
|
|
|
|
| (Struktūrinio padalinio vadovo pareigos) |
(parašas) |
(vardas, pavardė) |
|
|
|
|
| SUDERINTA |
|
|
| Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos valdomų informacinių sistemų saugos įgaliotinis |
|
|
|
|
(parašas) |
(vardas, pavardė) |
Prašymo nustatyti naudotojo teises informacinėse sistemose
1 priedas
NAUDOTOJO TEISĖS DARBO SĄLYGŲ DARBO VIETOSE NUOLATINĖS STEBĖSENOS INFORMACINĖJE SISTEMOJE
| Naudotojo duomenys: |
|
|
|
|
(pareigos, vardas, pavardė) |
|
| Eil. Nr. |
Teisių grupės (vaidmenys) informacinėje sistemoje |
Veiksmai su teisėmis |
||
| Suteikti |
Sustabdyti iki |
Panaikinti |
||
| 1. |
VDI vadovybė |
|
|
|
| 2. |
Darbuotojas |
|
|
|
| 3 |
Inspektorius |
|
|
|
| 4. |
Skyriaus vedėjas |
|
|
|
| 5. |
Skyriaus registratorius |
|
|
|
| 6. |
Pagrindinis registratorius |
|
|
|
| 7. |
Integracijos su SoDra IS naudotojas |
|
|
|
| 8. |
Integracijos su LDB IS naudotojas |
|
|
|
| 9. |
Integracijos su VMI IS naudotojas |
|
|
|
| 10. |
ND prevencijos duomenų teikimo VMI tvarkytojas |
|
|
|
| 11. |
Elektroninių inspektavimų tvarkytojas |
|
|
|
| 12. |
Elektroninių paslaugų darbdaviams komponentės naudotojas |
|
|
|
| 13. |
Klasifikatorių tvarkytojas: |
|
|
|
| 13.1. |
Klasifikatorių peržiūra |
|
|
|
| 13.2. |
Bendrųjų klasifikatorių tvarkytojas |
|
|
|
| 13.3. |
Darbdavių DSS būklės klasifikatorių tvarkytojas |
|
|
|
| 13.4. |
Inspektavimų posistemės klasifikatorių tvarkytojas |
|
|
|
| 13.5. |
Nelaimingų atsitikimų posistemės klasifikatorių tvarkytojas |
|
|
|
| 13.6. |
Profesinių ligų posistemės klasifikatorių tvarkytojas |
|
|
|
| 13.7. |
Prašymų posistemės klasifikatorių tvarkytojas |
|
|
|
| 13.8. |
Užduočių skyrimo posistemės klasifikatorių tvarkytojas |
|
|
|
| 14. |
Kita (įrašyti) |
|
|
|
Prašymo nustatyti naudotojo teises informacinėse sistemose
2 priedas
NAUDOTOJO TEISĖS DOKUMENTŲ VALDYMO SISTEMOJE (DVS)
| Naudotojo duomenys: |
|
|
|
|
(pareigos, vardas, pavardė) |
|
| Eil. Nr. |
DVS objektų grupės ir objektai |
Veiksmai su teisėmis |
|||
| Vaidmuo* |
Suteikti |
Sustabdyti iki |
Panaikinti |
||
| 1. |
Teisės aktai: |
|
|
|
|
| 1.1. |
EV-Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus įsakymai veiklos klausimais ir jų registras EV |
|
|
|
|
| 1.2... |
(įrašyti...) |
|
|
|
|
| 2. |
Vidaus dokumentai: |
|
|
|
|
| 2.1. |
EPR -Tarnybiniai pranešimai |
|
|
|
|
| 2.2... |
(įrašyti...) |
|
|
|
|
| 3. |
Rengiamieji dokumentai: |
|
|
|
|
| 3.1. |
RD – VDI rengiamųjų dokumentų registras |
|
|
|
|
| 3.2... |
(įrašyti...) |
|
|
|
|
| 4. |
Siunčiamieji dokumentai: |
|
|
|
|
| 4.1. |
SD - Siunčiamųjų dokumentų registras |
|
|
|
|
| 4.2... |
(įrašyti...) |
|
|
|
|
| 5. |
Gaunamieji dokumentai: |
|
|
|
|
| 5.1. |
GD - Gaunamųjų dokumentų registras |
|
|
|
|
| 5.2... |
(įrašyti...) |
|
|
|
|
| 6. |
E. siuntos: |
|
|
|
|
| 6.1. |
ESG – Gaunamų e. siuntų registras |
|
|
|
|
| 6.2. |
ESI – Siunčiamų e. siuntų registras |
|
|
|
|
| 6.3... |
(įrašyti...) |
|
|
|
|
| 7. |
Sutartys: |
|
|
|
|
| 7.1. |
RR - Darbų rangos, prekių bei paslaugų sutartys, atliktų darbų bei paslaugų aktai, pažymos ir jų registras |
|
|
|
|
| 7.2... |
(įrašyti...) |
|
|
|
|
| 8. |
Failai: |
|
|
|
|
| 8.1. |
F-VDI failų registras |
|
|
|
|
| 8.2... |
(įrašyti...) |
|
|
|
|
| 9. |
Bylos: |
|
|
|
|
| 9.1. |
DOK - Dokumentacijos planų registras |
|
|
|
|
| 9.2. |
EAIS – Dokumentacijos planų perdavimo į EAIS registras |
|
|
|
|
| 9.3... |
(įrašyti...) |
|
|
|
|
| 10. |
Ataskaitos: |
|
|
|
|
|
|
|
|
|
|
|
| 11... |
Kita: (įrašyti) |
|
|
|
|
*Naudotojų vaidmenys (rolės):
A- autorius; T – tvarkytojas; S – skaitytojas; R – skyriaus registratorius; G – DGK sekretorė; D – darbuotojas.
Prašymo nustatyti naudotojo teises informacinėse sistemose
3 priedas
NAUDOTOJO TEISĖS POTENCIALIAI PAVOJINGŲ ĮRENGINIŲ VALSTYBĖS REGISTRE (REGISTRAS)
| Naudotojo duomenys: |
|
|
|
|
(pareigos, vardas, pavardė) |
|
| Eil. Nr. |
Teisių grupės (vaidmenys) Registre |
Veiksmai su teisėmis |
||
| Suteikti |
Sustabdyti iki |
Panaikinti |
||
| 1. |
Registratorius |
|
|
|
| 2. |
Operatorius |
|
|
|
| 3 |
Inspektorius |
|
|
|
| 4. |
Ataskaitų peržiūra |
|
|
|
Prašymo nustatyti naudotojo teises informacinėse sistemose
4 priedas
NAUDOTOJO TEISĖS DARBUOTOJŲ SAUGOS IR SVEIKATOS KLAUSIMAIS ATESTAVIMO INFORMACINĖJE SISTEMOJE
| Naudotojo duomenys: |
|
|
|
|
(pareigos, vardas, pavardė) |
|
| Eil. Nr. |
Teisių grupės (vaidmenys) informacinėje sistemoje |
Veiksmai su teisėmis |
||
| Suteikti |
Sustabdyti iki |
Panaikinti |
||
| 1. |
Klasifikatorių tvarkytojas |
|
|
|
| 2. |
Testų klausimų tvarkytojas |
|
|
|
| 3 |
Testų aprašų tvarkytojas |
|
|
|
| 4. |
Testų skelbimo tvarkaraščių tvarkytojas |
|
|
|
Prašymo nustatyti naudotojo teises informacinėse sistemose
5 priedas
NAUDOTOJO TEISĖS VEIKLOS VALDYMO SISTEMOJE
| Naudotojo duomenys: |
|
|
|
|
(pareigos, vardas, pavardė) |
|
| Eil. Nr. |
Teisių grupės (vaidmenys) informacinėje sistemoje |
Veiksmai su teisėmis |
||
| Suteikti |
Sustabdyti iki |
Panaikinti |
||
| 1. |
Klasifikatorių tvarkytojas |
|
|
|
| 2. |
Veiklos plano tvarkytojas |
|
|
|
| 3. |
Plano rodiklių duomenų surinkėjas |
|
|
|
| 4. |
Skyriaus vadovas |
|
|
|
Prašymo nustatyti naudotojo teises informacinėse sistemose
6 priedas
NAUDOTOJO TEISĖS RIZIKINGUMO VERTINIMO SISTEMOJE
| Naudotojo duomenys: |
|
|
|
|
(pareigos, vardas, pavardė) |
|
| Eil. Nr. |
Teisių grupės (vaidmenys) informacinėje sistemoje |
Veiksmai su teisėmis |
||
| Suteikti |
Sustabdyti iki |
Panaikinti |
||
| 1. |
Klasifikatorių tvarkytojas |
|
|
|
| 2. |
Rizikingumo rodiklių duomenų surinkėjas |
|
|
|
| 3. |
Rizikingumo vertinimo ekspertas |
|
|
|
| 4. |
Analitikas |
|
|
|
| 5. |
Inspektorius |
|
|
|
Prašymo nustatyti naudotojo teises informacinėse sistemose
7 priedas
NAUDOTOJO TEISĖS PERSONALO POKYČIŲ VALDYMO SISTEMOJE
| Naudotojo duomenys: |
|
|
|
|
(pareigos, vardas, pavardė) |
|
| Eil. Nr. |
Teisių grupės (vaidmenys) informacinėje sistemoje |
Veiksmai su teisėmis |
||
| Suteikti |
Sustabdyti iki |
Panaikinti |
||
| 1. |
Naudotojas (tik skaityti) |
|
|
|
| 2. |
Kita (įrašyti) |
|
|
|
Prašymo nustatyti naudotojo teises informacinėse sistemose
8 priedas
NAUDOTOJO TEISĖS INFORMACINIŲ SISTEMŲ NAUDOJAMOSE INTERNETO SVETAINĖSE
| Naudotojo duomenys: |
|
|
|
|
(pareigos, vardas, pavardė) |
|
| Eil. Nr. |
Teisių grupės (vaidmenys) interneto svetainėse |
Veiksmai su teisėmis |
||
| Suteikti |
Sustabdyti iki |
Panaikinti |
||
| 1. |
Interneto svetainės www.vdi.lt informacijos tvarkytojas |
|
|
|
| 2. |
Elektroninių paslaugų darbdaviams interneto svetainės informacijos tvarkytojas |
|
|
|
Lietuvos Respublikos valstybinės darbo inspekcijos
prie Socialinės apsaugos ir darbo ministerijos valdomų
informacinių sistemų naudotojų administravimo taisyklių
3 priedas
(Pasižadėjimo forma)
PasiŽadĖjimas
laikytis LIETUVOS RESPUBLIKOS VALSTYBINĖS DARBO INSPEKCIJOS PRIE SOCIALINĖS APSAUGOS IR DARBO MINISTERIJOS valdomų informacinių sistemų elektroninės informacijos saugos reikalavimų
|
|
Nr. |
|
||
| (data) |
|
(registracijos numeris) |
||
|
|
|
||
|
(sudarymo vieta) |
|
||
Aš, _______________________________________________________________________
(pareigos, vardas, pavardė)
________________________________________________________________________________ ,
1. Patvirtinu, kad esu susipažinęs (-usi) su Lietuvos Respublikos valstybinės darbo inspekcijos prie Socialinės apsaugos ir darbo ministerijos (toliau – Valstybinė darbo inspekcija) valdomų informacinių sistemų duomenų saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinama Direktyva 95/46/EB (Bendruoju duomenų apsaugos reglamentu), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Asmens duomenų tvarkymo Valstybinėje inspekcijoje taisyklėmis, kitais teisės aktais, reglamentuojančiais atsakomybę bei duomenų saugą.
2. Suprantu, kad:
2.1. dirbdamas, atlikdamas pareigybės aprašyme nustatytas funkcijas, tvarkysiu Valstybinės darbo inspekcijos valdomų informacinių sistemų duomenis ar susipažinsiu su šiais duomenimis, įskaitant asmens duomenis, (toliau – duomenys); šie duomenys visuomenės ir atskirų asmenų interesais gali būti atskleisti ar perduoti tik teisės aktų nustatyta tvarka įgaliotiems asmenims ir institucijoms;
2.2. draudžiama perduoti neįgaliotiems asmenimis įstaigoje ar už jos ribų duomenis, informaciją, dokumentus ir (arba) jų kopijas ar kitaip sudaryti sąlygas susipažinti su minėtais duomenimis, informacija, dokumentais, jų kopijomis;
2.3. netinkamas duomenų tvarkymas užtraukia atsakomybę pagal Lietuvos Respublikos įstatymus;
2.4. asmuo, patyręs žalą dėl mano padarytos neteisėtos veikos, įstatymų nustatyta tvarka turi teisę reikalauti atlyginti jam padarytą turtinę ir neturtinę žalą;
2.5. šis pasižadėjimas galios visą mano darbo laiką Valstybinėje darbo inspekcijoje, perėjus dirbti į kitas pareigas ir nutraukus ar pasibaigus valstybės tarnybos, darbo ar sutartiniams santykiams.
3. Pasižadu ir įsipareigoju:
3.1. saugoti duomenų ir informacijos paslaptį, jei jie neskirti skelbti viešai; įsipareigojimas saugoti paslaptį galioja ir nutraukus su duomenų, informacijos, dokumentų ir (arba) jų kopijų tvarkymu susijusią veiklą;
3.2. tvarkyti duomenis vadovaudamasis Lietuvos Respublikos įstatymais, Valstybinės darbo inspekcijos valdomų informacinių sistemų elektroninės informacijos saugą reglamentuojančių teisės aktų nuostatomis ir kitais teisės aktais, taip pat pareigybės aprašymu;
3.3. neatskleisti, neperduoti duomenų, informacijos nė vienam asmeniui, kuris nėra įgaliotas gauti šiuos duomenis ar informaciją teisės aktų nustatyta tvarka;
3.4. pranešti duomenų saugos įgaliotiniui, kibernetinio saugumo vadovui, informacinių sistemų administratoriams apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę duomenų saugumui.
_____________________________ ______________ _________________________
(pareigos) (parašas) (vardas, pavardė)