NACIONALINĖS ŽEMĖS TARNYBOS
PRIE APLINKOS MINISTERIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS GLOBALINĖS PADĖTIES NUSTATYMO SISTEMOS NUOLATINIŲ STOČIŲ TINKLO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ, LIETUVOS RESPUBLIKOS GLOBALINĖS PADĖTIES NUSTATYMO SISTEMOS NUOLATINIŲ STOČIŲ TINKLO VEIKLOS TĘSTINUMO VALDYMO PLANO IR LIETUVOS RESPUBLIKOS GLOBALINĖS PADĖTIES NUSTATYMO SISTEMOS NUOLATINIŲ STOČIŲ TINKLO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ PATVIRTINIMO
2023 m. rugpjūčio 24 d. Nr. 1P-501-(1.3 E.)
Vilnius
Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 43 straipsnio 2 dalimi, Lietuvos Respublikos kibernetinio saugumo įstatymo 11 straipsnio 1 dalies 5 punktu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, 7 ir 8 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 5.3 papunkčiu ir 6 punktu,
1. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo saugaus elektroninės informacijos tvarkymo taisykles.
2. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos tęstinumo valdymo planą.
3. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo naudotojų administravimo taisykles.
PATVIRTINTA
Nacionalinės žemės tarnybos prie
Aplinkos ministerijos direktoriaus
2023 m. rugpjūčio 24 d.
įsakymu Nr. 1P-501-(1.3 E.)
Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės) reglamentuoja tvarką, užtikrinančią saugų Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo (toliau – LitPOS) techninės, programinės įrangos funkcionavimą, saugų LitPOS elektroninės informacijos tvarkymą ir jos teikimą duomenų gavėjams pagal teisės aktų nustatytus reikalavimus.
2. Tvarkymo taisyklės parengtos vadovaujantis:
2.1. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;
2.2. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“
(toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas);
2.3. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas);
2.4. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatais, patvirtintais Nacionalinės žemės tarnybos prie Aplinkos ministerijos direktoriaus
2023 m. sausio 17 d. įsakymu Nr. 1P-46-(1.3 E.) „Dėl Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatų ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatų patvirtinimo“ (toliau – LitPOS nuostatai);
2.5. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatais, patvirtintais Nacionalinės žemės tarnybos prie Aplinkos ministerijos direktoriaus 2023 m. sausio 17 d. įsakymu Nr. 1P-46-(1.3 E.) „Dėl Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatų ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatų patvirtinimo“
(toliau – LitPOS saugos nuostatai).
3. Tvarkymo taisyklėse vartojamos sąvokos:
3.1. LitPOS administratorius – LitPOS tvarkytojo vadovo įsakymu paskirtas darbuotojas, dirbantis pagal darbo sutartį, kuriam pavesta atlikti LitPOS priežiūrą, užtikrinti jo veikimą ir LitPOS elektroninės informacijos saugą.
3.2. LitPOS naudotojas – Lietuvos Respublikos bei užsienio fizinis asmuo ir juridinio asmens, juridinio asmens statuso neturinčių subjekto, jo filialo ir atstovybės atstovas, naudojantis globalinės padėties nustatymo sistemos matavimo įrangą objektų erdvinei padėčiai žemės paviršiuje Lietuvos Respublikos teritorijoje nustatyti.
3.3. LitPOS saugos įgaliotinis – LitPOS tvarkytojo vadovo įsakymu paskirtas darbuotojas, dirbantis pagal darbo sutartį, kuriam pavesta koordinuoti ir prižiūrėti saugos politikos įgyvendinimą ir būti atsakingam už kibernetinio saugumo organizavimą ir užtikrinimą LitPOS.
3.4. LitPOS tvarkantis asmuo – LitPOS tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, ar kitas asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis LitPOS elektroninę informaciją.
4. LitPOS tvarkoma elektroninė informacija yra skirstoma į šias kategorijas:
5. LitPOS elektroninės informacijos, priskirtos Tvarkymo taisyklių 4 punkte nurodytoms kategorijoms, sąrašas:
5.1. LitPOS administratoriaus tvarkoma elektroninė informacija:
II SKYRIUS
TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠymAS
6. Saugiam LitPOS elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, sisteminės ir taikomosios programinės įrangos, duomenų perdavimo tinklai, fizinės, techninės ir organizacinės duomenų ir informacijos saugumo priemonės.
7. LitPOS naudojamų svetainių saugos priemonės:
7.1. turi būti įgyvendinti atpažinties, tapatumo patvirtinimo ir naudojimosi LitPOS saugumo ir kontrolės reikalavimai, nustatyti Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo naudotojų administravimo taisyklėse (toliau – LitPOS naudotojų administravimo taisyklės);
7.3. turi būti įgyvendinti svetainės kriptografijos reikalavimai:
7.3.1. atliekant svetainės administravimo darbus ryšys turi būti šifruojamas naudojant ne trumpesnį kaip 128 bitų raktą;
7.3.2. kriptografiniai raktai ir algoritmai turi būti valdomi pagal Lietuvos ir tarptautinių standartų, Organizacinių ir techninių kibernetinio saugumo reikalavimų ir Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo reikalavimus;
7.4. turi būti draudžiama tarnybinėje stotyje saugoti sesijos duomenis (identifikatorių) pasibaigus susijungimo sesijai;
7.5. turi būti vykdomas LitPOS tvarkančių asmenų ir LitPOS administratoriaus atliekamų veiksmų auditas ir naudojami kontrolės reikalavimai;
7.6. tarnybinė stotis, kurioje yra svetainė, turi leisti tik svetainės funkcionalumui užtikrinti reikalingus HTTP (angl. Hyper Text Transfer Protocol) protokolo metodus;
7.8. svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio LitPOS tvarkytojo kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;
7.9. turi būti pakeistos numatytos prisijungimo prie svetainių TVS ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) ir slaptažodžiai;
7.10. turi būti užtikrinama, kad prie svetainių TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;
8. Kompiuterinės įrangos saugos priemonės:
8.1. prieigos prie LitPOS tarnybinių stočių (serverių) kontrolė užtikrinama suteikiant prieigos prie LitPOS tarnybinių stočių teises tik LitPOS administratoriui;
8.2. kompiuterinės įrangos sujungimas klasteriniu režimu (angl. computer cluster), t. y. kompiuterinės įrangos dubliavimas ir šios kompiuterinės įrangos techninės būklės nuolatinė stebėsena;
8.3. LitPOS tvarkančių asmenų naudojamos techninės kompiuterinės įrangos priežiūra ir tvarkymas, kurį atlieka LitPOS administratorius;
9. LitPOS sisteminės ir taikomosios programinės įrangos (toliau – LitPOS programinė įranga) saugos priemonės:
9.2. LitPOS programinės įrangos diegimą, konfigūravimą ir šalinimą atlieka tik asmenys, turintys teisę atlikti programinės įrangos diegimą, konfigūravimą ir šalinimą;
9.4. LitPOS naudojamos autorizuotos programinės įrangos sąrašo rengimas ir reguliarus atnaujinimas, už kurį atsakingas LitPOS administratorius;
9.5. neautorizuotos programinės įrangos įdiegimo į LitPOS tvarkytojo kompiuterius ribojimas ir nuolatinis naudojamos LitPOS programinės įrangos stebėsenos vykdymas, už kurį atsakingas LitPOS tvarkytojas;
9.6. LitPOS tarnybinėse stotyse ir kompiuterinėse LitPOS tvarkančių asmenų darbo vietose naudojama pažeidžiamumų nustatymo programinė įranga ir centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, kurios yra automatiniu būdu atnaujinamos ne rečiau kaip kartą per 10 dienų;
9.7. ne rečiau kaip kartą per mėnesį įvertinami kibernetiniam saugumui užtikrinti naudojamų priemonių programiniai atnaujinimai, klaidų taisymai ir šie atnaujinimai diegiami;
9.8. prisijungimo duomenis, suteikiančius teisę dirbti su LitPOS tarnybinėmis stotimis ir jų administravimo programine įranga, žino tik LitPOS administratorius;
9.9. prieigos teisė dirbti su LitPOS programine įranga suteikiama LitPOS naudotojams ir LitPOS tvarkantiems asmenims LitPOS naudotojų administravimo taisyklėse nustatyta tvarka;
9.10. LitPOS tvarkančių asmenų naudojamų kompiuterių operacinėse sistemose suteikiamos minimalios, tik LitPOS tvarkančių asmenų tiesioginėms pareigoms vykdyti būtinos teisės;
9.11. LitPOS tvarkančių asmenų ir LitPOS naudotojų tapatybei, LitPOS tvarkančių asmenų ir LitPOS naudotojų veiksmams, atliekamiems LitPOS, nustatyti taikomos programinės priemonės;
9.12. LitPOS tvarkančiam asmeniui 15 minučių neatliekant jokių veiksmų LitPOS, LitPOS programinė įranga užsirakina ir toliau naudotis LitPOS galima tik pakartotinai patvirtinus savo tapatybę;
9.13. taikomos perspėjimo programinės priemonės, informuojančios (įspėjančios) LitPOS administratorių apie tai, kad LitPOS tarnybinių stočių įrangoje iki nustatytos pavojingos ribos mažėja laisvos operatyvios atminties ar vietos standžiajame diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja;
9.14. LitPOS priežiūros funkcijos turi būti atliekamos naudojant atskirtą tam skirtą LitPOS administratoriaus paskyrą, kuria naudojantis negalima atlikti LitPOS tvarkančio asmens funkcijos;
9.15. atsarginės laikmenos su LitPOS programinės įrangos kopijomis turi būti laikomos nedegioje spintoje, kitose patalpose arba kitame pastate, nei yra LitPOS tarnybinės stotys;
9.16. LitPOS programinė įranga turi būti apsaugota nuo pagrindinių per tinklą vykdomų atakų: struktūrizuotų užklausų kalbos įskverbties (angl. SQL injection), XSS įterptinių instrukcijų atakų (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), paskirstyto atsisakymo aptarnauti (angl. DDOS) ir kitų. Pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP) interneto svetainėje www.owasp.org;
10. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:
10.1. LitPOS naudotojai ir LitPOS tvarkantys asmenys internetu jungiasi prie užkarda (angl. firewall) apsaugotų tarnybinių stočių, kuriose yra LitPOS, naudodami unikalius atpažinties prisijungimo duomenis;
10.2. LitPOS duomenų perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų užkarda. Užkardos įvykių žurnalai (angl. Logs) turi būti reguliariai analizuojami, o užkardos saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos;
10.3. viešaisiais ryšių tinklais perduodamos elektroninės informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą, virtualųjį privatųjį tinklą (angl. virtual private network, VPN), skirtines linijas, saugų elektroninių ryšių tinklą ar kitas priemones;
10.4. nuotolinis prisijungimas prie LitPOS turi būti vykdomas taikant protokolą, skirtą duomenims šifruoti;
10.5. LitPOS duomenų perdavimo tinkle turi būti įdiegtos ir veikti automatinės įsilaužimo (įsibrovimo) aptikimo ir prevencijos priemonės:
10.5.1. turi būti įdiegtos ir veikti automatizuotos įsibrovimo aptikimo sistemos, kurios stebėtų LitPOS įeinantį ir išeinantį duomenų srautą ir vidinį srautą tarp svarbiausių tinklo paslaugų;
10.5.2. įvykus įtartinai veiklai, ji turi būti užfiksuojama audito įrašuose ir automatizuotai kuriamas pranešimas (esant techninėms galimybėms) LitPOS administratoriui;
10.5.4. įsilaužimo atakų pėdsakai (angl. attack signature) turi būti gaunami iš aktualią informaciją teikiančių šaltinių – patikimų saugos programinės įrangos gamintojų. Įsilaužimo atakų pėdsakai turi būti atnaujinami ne vėliau kaip per 24 valandas nuo saugos programinės įrangos gamintojo naujausių įsilaužimo atakų pėdsakų pateikimo valandos arba ne vėliau kaip per 72 valandas nuo naujausių įsilaužimo atakų pėdsakų pateikimo valandos, jeigu LitPOS valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio LitPOS veiklai vertinimas (testavimas);
10.5.5. įsilaužimo aptikimo techninio sprendinio įgyvendinimas, konfigūracija ir kibernetinių incidentų aptikimo algoritmai (taisyklės) (kartu nurodant datas (įgyvendinimo, atnaujinimo ir panašiai), atsakingus asmenis, taikymo periodus ir pan.) turi būti saugomi elektronine forma atskirai nuo LitPOS techninės įrangos;
10.6. papildomos elektroninės informacijos perdavimo belaidžiais tinklais saugumo ir kontrolės užtikrinimo priemonės:
10.6.1. leidžiama naudoti tik su LitPOS saugos įgaliotiniu suderintus belaidžio tinklo įrenginius ir belaidės prieigos taškus, atitinkančius Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo reikalavimus;
10.6.2. belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, LitPOS tvarkytojo kontroliuojamoje zonoje;
10.6.3. vykdoma belaidžių įrenginių kontrolė, tikrinama, ar LitPOS tvarkytojo eksploatuojami belaidžiai įrenginiai atitinka Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo reikalavimus;
10.6.4. naudojamos priemonės, kurios automatiškai apribotų neleistinus ar kibernetinio saugumo reikalavimų neatitinkančius belaidžius įrenginius arba apie tokių įrenginių aptikimą informuojamas LitPOS saugos įgaliotinis;
10.6.5. prisijungiant prie belaidžio tinklo, turi būti taikomas LitPOS naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) arba TLS (angl. Transport Layer Security) protokolas;
10.6.6. draudžiama belaidėje sąsajoje naudoti SNMP (angl. Simple Network Management Protocol) protokolą bei visus kitus nebūtinus valdymo protokolus;
10.6.7. turi būti išjungti nenaudojami TCP (angl. Transmission Control Protocol) ar UDP (angl. User Datagram Protocol) prievadai;
10.6.8. elektroninis paštas naudojamas LitPOS tvarkytojo patvirtintuose dokumentuose nustatyta tvarka;
10.6.9. turi būti uždraustas lygiarangis (angl. peer to peer) funkcionalumas, neleidžiantis belaidžiais įrenginiais palaikyti ryšį tarpusavyje;
11. Patalpų, kuriose yra LitPOS tarnybinės stotys (toliau – patalpos), ir aplinkos saugumo užtikrinimo priemonės:
11.1. turi būti užtikrinamas išorės poveikio šaltinių – transporto priemonių keliamos vibracijos, eismo įvykių, radijo stočių, specialiųjų gamyklų, kitų išorės šaltinių minimalus poveikis patalpoms ir jose esančiai techninei ir programinei įrangai;
11.2. patalpose turi būti įrengta langų ir durų fizinė apsauga: prie langų pritvirtintos žaliuzės ir metalinės grotos, įrengtos rakinamos šarvuotos ir ugniai atsparios durys, veikti durų ir langų signalizacija;
11.3. patalpos turi atitikti gaisrinės saugos reikalavimus, jose turi būti pirminių gaisro gesinimo priemonių, kurios kasmet turi būti patikrinamos;
11.4. patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos stebėjimo pulto;
11.6. patekti į patalpas gali tik LitPOS tvarkytojo vadovo įgalioti asmenys, o kiti asmenys patekti į šias patalpas gali tik lydimi LitPOS tvarkytojo vadovo paskirto įgalioto asmens ir užsiregistravę patekimo į patalpas žurnale;
11.7. LitPOS tarnybinių stočių techninė įranga įnešama į patalpas ar išnešama iš patalpų tik leidus LitPOS administratoriui arba LitPOS saugos įgaliotiniui;
11.8. LitPOS tarnybinių stočių techninė įranga apsaugoma nuo elektros srovės svyravimų. Naudojami specialūs maitinimo šaltiniai, nenutrūkstamo maitinimo šaltinis su automatine apsauga nuo įtampos svyravimų;
11.9. rezervinio nenutrūkstamo maitinimo šaltinis užtikrina LitPOS tarnybinių stočių įrangos veikimą ne trumpiau nei 20 minučių pagrindinio nenutrūkstamo maitinimo šaltinio neveikimo atveju;
12. LitPOS darbo apskaitos ir kitos elektroninės informacijos saugos priemonės:
12.1. programiniu būdu registruojami LitPOS naudotojų, LitPOS tvarkančių asmenų veiksmai su LitPOS duomenimis;
12.2. LitPOS tvarkantiems asmenims suteikiamos prieigos prie LitPOS teisės atlikti veiksmus tik su jiems priskirtais LitPOS duomenimis;
12.3. LitPOS tarnybinių stočių įvykių žurnaluose registruojami, ne mažiau kaip vienerius metus saugomi ir ne rečiau kaip kartą per savaitę analizuojami duomenys, nurodant įvykio laiką ir LitPOS naudotojo ir (ar) LitPOS tvarkančio asmens unikalius atpažinties prisijungimo duomenis, apie:
III SKYRIUS
SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
13. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo užtikrinimo tvarka:
13.1. LitPOS duomenis keisti, atnaujinti, įrašyti ir naikinti gali tik LitPOS tvarkantys asmenys, turintys teisę tai atlikti;
13.2. LitPOS turi turėti įvestos elektroninės informacijos tikslumo, užbaigtumo ir patikimumo tikrinimo priemones;
14. LitPOS naudotojų, LitPOS tvarkančių asmenų veiksmų registravimo tvarka:
14.1. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolat veikiančių stočių tinklo duomenų bazės veiksmų žurnale (toliau – LitPOS duomenų bazės veiksmų žurnalas), apsaugotame nuo neteisėto jame esančių duomenų ir informacijos panaudojimo, pakeitimo, iškraipymo ar sunaikinimo, automatiniu būdu turi būti įrašomi ir ne trumpiau kaip vienus metus saugomi duomenys apie LitPOS tarnybinių stočių, LitPOS taikomosios programinės įrangos ir kitų LitPOS komponentų įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis LitPOS tarnybinėse stotyse, LitPOS taikomojoje programinėje įrangoje, visus LitPOS tvarkančių asmenų vykdomus veiksmus (elektroninės informacijos įvedimas, peržiūra, keitimas, atnaujinimas, naikinimas ir kiti elektroninės informacijos tvarkymo veiksmai), kitus elektroninės informacijos saugai svarbius įvykius, nurodant LitPOS tvarkančio asmens ir LitPOS administratoriaus identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo datą ir laiką, įvykio ar veiksmo rezultatą, LitPOS tvarkančio asmens, LitPOS administratoriaus ir (arba) LitPOS įrenginio, susijusio su įvykiu, duomenis. Šie duomenys turi būti saugomi ne toje pačioje LitPOS, kurioje jie įrašomi, taip pat jie turi būti analizuojami ne rečiau kaip kartą per savaitę LitPOS administratoriaus. Turi būti įrašomas audito funkcijos įjungimas ir išjungimas, audito įrašų trynimas, kūrimas ar keitimas. Draudžiama audito duomenis trinti, keisti, kol nesibaigęs audito duomenų saugojimo terminas;
15. Prarasti, iškraipyti ar sunaikinti LitPOS duomenys turi būti atkuriami iš atsarginių LitPOS duomenų kopijų. Atsarginės LitPOS duomenų kopijos daromos ir saugomos, o LitPOS duomenys atkuriami iš atsarginių LitPOS duomenų kopijų tokia tvarka:
15.1. už atsarginių LitPOS duomenų kopijų darymą, elektroninės informacijos atkūrimą ir atsarginių LitPOS duomenų kopijų apsaugą yra atsakingas LitPOS administratorius, kurio funkcijos aprašytos LitPOS naudotojų administravimo taisyklėse ir kituose teisės aktuose, reglamentuojančiuose LitPOS darbą;
15.2. elektroninė informacija turi būti kopijuojama ir saugoma tokia apimtimi, kad LitPOS duomenų praradimo atveju visišką LitPOS funkcionalumą ir veiklą būtų galima atstatyti per
24 valandas;
15.3. LitPOS duomenys atsarginėse kopijose turi būti užšifruoti (šifravimo raktai turi būti saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, neleidžiančių panaudoti kopijas elektroninei informacijai neteisėtai atkurti;
15.4. LitPOS duomenų atsarginių kopijų darymas turi būti fiksuojamas atsarginių kopijų darymo žurnale;
15.6. LitPOS archyvinės duomenų kopijos į rezervinio kopijavimo biblioteką turi būti daromos vieną kartą per ketvirtį;
15.7. LitPOS duomenų archyvinės kopijos turi būti saugomos užrakintoje nedegioje spintoje, esančioje kitoje patalpoje, nei yra LitPOS tarnybinių stočių įrenginys, kurio elektroninė informacija buvo nukopijuota;
15.8. išsamūs ir (ar) daliniai LitPOS duomenų atkūrimo bandymai turi būti vykdomi vieną kartą per metus;
15.9. išsamūs ir (ar) daliniai LitPOS duomenų atkūrimo bandymai turi būti vykdomi ne darbo valandomis ir prieš tai elektroniniu paštu informavus visus LitPOS naudotojus, LitPOS tvarkančius asmenis;
15.10. už išsamius ir (ar) dalinius LitPOS duomenų atkūrimo bandymus yra atsakingi LitPOS administratorius ir LitPOS saugos įgaliotinis. LitPOS administratorius su LitPOS saugos įgaliotiniu turi parengti ir suderinti visiško ir dalinio LitPOS duomenų atkūrimo bandymų metodus ir užtikrinti atsarginių LitPOS duomenų kopijų saugojimą ir atsarginių LitPOS duomenų kopijų darymo kontrolę.
16. LitPOS duomenų perkėlimo ir teikimo kitoms informacinėms sistemoms, duomenų gavimo iš jų užtikrinimo tvarka:
16.1. už LitPOS naudotojų, LitPOS tvarkančių asmenų administravimą ir iš susijusių registrų ir kitų informacinių sistemų teikiamų duomenų atnaujinimą LitPOS yra atsakingas LitPOS administratorius;
16.2. duomenų mainai tarp LitPOS ir susijusių registrų ir kitų informacinių sistemų turi būti vykdomi su šių registrų ir informacinių sistemų valdytojais sudarytose duomenų teikimo sutartyse numatytais būdais, terminais ir numatytos apimties;
17. Duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neteisėti veiksmai) nustatymo tvarka:
17.1. LitPOS administratorius, užtikrindamas LitPOS duomenų vientisumą, privalo naudoti visas įmanomas fizines, programines ir organizacines priemones, skirtas LitPOS ir jame tvarkomiems duomenims apsaugoti nuo neteisėtų veiksmų;
17.2. LitPOS tvarkantis asmuo, įtaręs, kad su LitPOS duomenimis buvo atlikti ar yra atliekami neteisėti veiksmai, privalo pranešti apie tai LitPOS administratoriui. LitPOS administratorius, atsiradus įtarimams dėl neteisėtų veiksmų su LitPOS duomenimis, pasinaudojęs LitPOS duomenų bazės veiksmų žurnalo įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su LitPOS programine įranga ir (ar) duomenimis;
17.3. LitPOS administratorius, įtaręs, kad su LitPOS duomenimis vykdomi neteisėti veiksmai, privalo apie tai pranešti LitPOS saugos įgaliotiniui;
17.4. LitPOS saugos įgaliotinis, gavęs LitPOS administratoriaus pranešimą apie įvykdytus ar vykdomus neteisėtus veiksmus su LitPOS arba LitPOS tvarkoma elektronine informacija, inicijuoja elektroninės informacijos saugos (kibernetinio) incidento valdymo procedūras, nustatytas Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos tęstinumo valdymo plane.
18. LitPOS programinės ir techninės įrangos keitimo ir atnaujinimo tvarka ir LitPOS funkcijų pokyčių (toliau – LitPOS pokyčiai) valdymo tvarka:
18.1. LitPOS pokyčiai identifikuojami analizuojant vidinę ir išorinę LitPOS valdytojo ir LitPOS tvarkytojo veiklos aplinką ir poreikius, kuriuos formuoja socialiniai, teisiniai, ekonominiai, technologiniai aspektai ir tendencijos, esama padėtis (LitPOS sąranka, pažeidžiamumai, atitiktis teisės aktų ir standartų reikalavimams ir panašiai);
18.2. LitPOS pokyčiai, atsižvelgiant į jų svarbą, aktualumą ir poreikį, skirstomi į kategorijas pagal pokyčio tipą (administracinis, organizacinis, funkcinis, programinis ir techninis). Tarpusavyje nesusiję LitPOS pokyčiai vienu metu neįgyvendinami. Pirmenybiniais laikomi LitPOS pokyčiai, susiję su duomenų apsauga ir informacinės sistemos saugumu;
18.3. LitPOS pokyčius inicijuoti gali LitPOS duomenų valdymo įgaliotinis, LitPOS saugos įgaliotinis ar LitPOS administratorius, o įgyvendinti – LitPOS administratorius. LitPOS programinės ir techninės įrangos keitimo ir atnaujinimo tvarką ar LitPOS pokyčius, atsižvelgdamas į konkretų atvejį, derina LitPOS administratorius arba jie aprašomi paslaugų, susijusių su LitPOS programinės ir techninės įrangos keitimu ir atnaujinimu, teikimo sutartyse. Atlikdamas LitPOS sąrankos pakeitimus, LitPOS administratorius turi laikytis LitPOS pokyčių valdymo tvarkos. LitPOS pokyčiai gali būti inicijuojami identifikavus LitPOS veikimo netikslumus, iškilus naujoms saugumo LitPOS grėsmėms ar siekiant gerinti LitPOS našumą;
18.4. prioritetas turi būti skiriamas pirmenybiniams ir plėtros (vystymo) LitPOS pokyčiams. LitPOS pokyčių prioritetas nustatomas pokyčių įtakos vertinimo metu;
18.5. funkcinių, programinių ir techninių pokyčių įtaką pagal kompetenciją vertina LitPOS tvarkytojas. Pokyčių įtakai įvertinti gali būti sudaroma darbo grupė, kurią gali sudaryti LitPOS valdytojo ir LitPOS tvarkytojo kompetentingi valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, prireikus – nepriklausomi ekspertai;
18.6. LitPOS pokyčių įtakos vertinimo metu turi būti įvertinama LitPOS pokyčių nauda ir pagrįstumas, LitPOS pokyčių įgyvendinamumas ir alternatyvūs sprendimai, LitPOS pokyčiams atlikti reikalingos sąnaudos, taip pat LitPOS veiklos sutrikdymo ar sustabdymo rizika, LitPOS duomenų saugumo, elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo pažeidimo rizika;
18.8. visi LitPOS pokyčiai, susiję su programinės ir (arba) techninės įrangos keitimu ir (arba) atnaujinimu, galintys sutrikdyti ar sustabdyti LitPOS darbą, įgyvendinami tik raštu suderinus su LitPOS valdytojo vadovu ar LitPOS duomenų valdymo įgaliotiniu;
18.9. prieš atlikdamas LitPOS pokyčius, susijusius su programinės ir (arba) techninės įrangos keitimu ir (arba) atnaujinimu, kurių metu gali iškilti grėsmė LitPOS duomenų ir LitPOS konfidencialumui, vientisumui ar pasiekiamumui, LitPOS administratorius privalo planuojamus LitPOS pokyčius ištestuoti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri atskirta nuo eksploatuojamos LitPOS;
18.10. atlikęs vykdomų LitPOS pokyčių testavimą, konstatavęs keičiamos ir (arba) atnaujinamos LitPOS programinės ir (arba) techninės įrangos sėkmingą veikimą ir raštu gavęs LitPOS valdytojo vadovo arba jo paskirto asmens sutikimą, LitPOS administratorius gali pradėti įgyvendinti LitPOS pokyčius;
18.11. planuodamas LitPOS pokyčius, kurių metu galimi LitPOS veikimo sutrikimai, LitPOS administratorius privalo ne vėliau kaip prieš dvi darbo dienas iki LitPOS pokyčių vykdymo pradžios LitPOS interneto svetainėje informuoti LitPOS naudotojus apie tokių darbų pradžią ir galimus LitPOS veikimo sutrikimus.
19. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (toliau – mobilieji įrenginiai), naudojamų LitPOS tvarkančių asmenų tarnybinėms ar darbo funkcijos vykdyti, naudojimo tvarka:
19.1. išnešti iš LitPOS valdytojo ar LitPOS tvarkytojo patalpų mobilieji įrenginiai negali būti palikti be priežiūros viešose vietose, kelionės metu mobilieji įrenginiai turi būti saugomi;
19.2. iš LitPOS valdytojo ar LitPOS tvarkytojo patalpų išnešamiems mobiliesiems įrenginiams turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimai ir pan.);
19.3. duomenys, perduodami tarp mobiliojo įrenginio ir LitPOS, turi būti šifruojami taikant virtualaus privataus tinklo (angl. virtual private network, VPN) technologiją;
19.5. turi būti užtikrinta kompiuterinių laikmenų apsauga, t. y., esant techninėms galimybėms, turi būti šifruojami duomenys tiek mobiliųjų įrenginių laikmenose, tiek išorinėse kompiuterinėse laikmenose. Draudžiama saugoti neužšifruotuose mobiliųjų įrenginių laikmenose konfidencialią ir (arba) asmens duomenų informaciją;
19.6. turi būti tikrinami LitPOS naudojami mobilieji įrenginiai, LitPOS saugos įgaliotiniui pranešama apie neleistinus ar saugumo reikalavimų neatitinkančius mobiliuosius įrenginius;
19.7. turi būti įdiegiamos operacinės sistemos ir kiti naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;
19.8. prieš perduodant mobilųjį įrenginį LitPOS tvarkančiam asmeniui, jis turi būti patikrinamas antivirusine programine įranga;
19.9. mobiliojo įrenginio grąžinimas ir antivirusinės programos tikrinimo rezultatai turi būti dokumentuojami;
IV SKYRIUS
REIKALAVIMAI, KELIAMI LitPOS FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS
20. LitPOS funkcionuoti reikalingų paslaugų teikėjas, darbų vykdytojas ar įrangos teikėjas turi atitikti standartų, Tvarkymo taisyklių nustatytus paslaugų teikėjo, rangovo ar įrangos tiekėjo (toliau – paslaugų teikėjas) kompetencijos, patirties, teikiamų paslaugų, atliekamų darbų ar tiekiamų įrangos reikalavimus ir rekomendacijas dėl jų, iš anksto nustatytus paslaugų teikimo, darbų atlikimo ar prekių (įrangos) tiekimo pirkimo dokumentuose.
21. LitPOS valdytojas ar LitPOS tvarkytojas, pirkdamas paslaugas, darbus ar įrangą, susijusius su LitPOS, jo projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi nustatyti, kad paslaugų teikėjas užtikrina atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše nustatytiems reikalavimams. Perkamos paslaugos, darbai ar įranga, susiję su LitPOS, turi atitikti teisės aktų ir standartų, kuriais vadovaujamasi užtikrinant LitPOS elektroninės informacijos saugą ir kibernetinį saugumą, reikalavimus, kurie iš anksto nustatomi paslaugų teikimo, darbų atlikimo ar įrangos tiekimo pirkimo dokumentuose.
22. Paslaugų teikėjų prieigos prie LitPOS lygiai ir sąlygos:
22.1. paslaugų teikėjui prieiga prie LitPOS duomenų (peržiūrėti LitPOS duomenis, atlikti užklausas LitPOS, vykdyti veiksmus su LitPOS duomenimis ir kt.), fizinė prieiga prie LitPOS techninės ir programinės įrangos gali būti suteikiama tik pasirašius paslaugų teikimo sutartį, kurioje turi būti nustatytos paslaugų teikėjo teisės, pareigos, prieigos prie LitPOS lygiai ir sąlygos, elektroninės informacijos saugos, kibernetinio saugumo, konfidencialumo reikalavimai, reikalavimai, keliami paslaugų teikėjų patalpoms, įrangai, LitPOS priežiūrai, duomenų perdavimui tinklais ir kitoms paslaugoms ir atsakomybė už jų nesilaikymą, reagavimas į paslaugos teikimo sutrikimus, elektroninės informacijos saugos ar kibernetinius incidentus (toliau – saugos incidentai);
22.2. LitPOS administratorius, suteikdamas prieigos prie LitPOS duomenų teisę, paslaugų teikėjo įgaliotą fizinį asmenį pasirašytinai supažindina su LitPOS nuostatais, LitPOS saugos nuostatais ir kitais LitPOS saugos politiką įgyvendinančiais dokumentais. LitPOS administratorius yra atsakingas už prieigos prie LitPOS paslaugų teikėjui suteikimą ar panaikinimą pasirašius sutartį, pasibaigus sutarties su paslaugų teikėju galiojimo terminui ar kitais sutartyje nurodytais prieigos prie LitPOS panaikinimo atvejais;
22.3. paslaugų teikėjui suteikiamas tik toks prieigos prie LitPOS duomenų lygis, kuris yra būtinas sutartyje nustatytiems įsipareigojimams vykdyti. Paslaugų teikėjo įgaliotam fiziniam asmeniui prieiga prie LitPOS duomenų suteikiama paslaugų teikimo sutartyje nurodytam laikotarpiui jo nustatytoms funkcijoms atlikti ir jis turi pasirašyti konfidencialumo pasižadėjimą;
23. Reikalavimai LitPOS tarnybinių stočių patalpų, LitPOS programinės įrangos, LitPOS priežiūrai ir kitoms paslaugoms:
23.1. reikalavimai paslaugų teikėjams ir jų teikiamoms LitPOS priežiūros paslaugoms nustatomi šių paslaugų teikimo sutartyse;
23.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja LitPOS programinę įrangą, naudodamas:
23.2.1. įgyvendintas elektroninės informacijos saugos priemones, apsaugančias nuo neteisėto poveikio (sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie LitPOS) sisteminei, programinei įrangai ir patalpoms;
23.3. LitPOS tvarkytojas su interneto paslaugų teikėju (-ais) turi būti sudaręs sutartis dėl apsaugos nuo LitPOS elektroninių paslaugų trikdžių, reagavimo į saugos incidentus įprastomis darbo valandomis ir po darbo valandų, nepertraukiamo interneto paslaugos teikimo ir interneto paslaugos sutrikimų registravimo įprastomis darbo valandomis;
23.4. paslaugų teikėjas privalo nedelsdamas informuoti LitPOS tvarkytoją apie sutarties vykdymo metu pastebėtus saugos incidentus, pastebėtas neveikiančias arba netinkamai veikiančias saugos ar kibernetinio saugumo užtikrinimo priemones, elektroninės informacijos saugos ar kibernetinio saugumo reikalavimų nesilaikymą, nusikalstamos veikos požymius, saugumo spragas, pažeidžiamas vietas, kitus svarbius saugai įvykius;
23.5. už paslaugų teikimo kontrolę ir saugos priemonių auditą atsakingas LitPOS tvarkytojas. Iškilus poreikiui, siekiant įsitikinti, ar tinkamai vykdoma sutartis, laikomasi elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų, LitPOS tvarkytojas turi teisę atlikti paslaugos teikėjo teikiamų paslaugų stebėseną ir auditą, suteikti galimybę atlikti auditą trečiosioms šalims;
23.6. LitPOS veiklą palaikančių sistemų (elektros energijos, šildymo, vėdinimo ir oro kondicionavimo bei kitų sistemų) kokybė, atsižvelgiant į šių sistemų veiklai keliamus reikalavimus, turi būti reguliariai tikrinama, siekiant užtikrinti tinkamą paslaugų teikimą ir sumažinti galimas šių paslaugų teikimo sutrikimo ir avarijos pasekmes.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
24. LitPOS sauga turi būti vertinama LitPOS rizikos vertinimo ir (arba) informacinių technologijų saugos atitikties vertinimo, atliekamo LitPOS saugos nuostatų II skyriuje nustatyta tvarka, metu. Kartu su LitPOS rizikos įvertinimu ir (arba) informacinių technologijų saugos atitikties vertinimu turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos LitPOS kibernetiniam saugumui, vertinimas.
25. LitPOS informacinių technologijų saugos atitikties vertinimo metu turi būti atliekamas kibernetinių atakų imitavimas ir vykdomos kibernetinių incidentų imitavimo pratybos. Imituojant kibernetines atakas rekomenduojama vadovautis tarptautiniu mastu pripažintų organizacijų (pvz., EC-COUNCIL, ISACA, NIST ir kt.) rekomendacijomis ir gerąja praktika. Kibernetinių atakų imitavimas atliekamas šiais etapais:
25.1. planavimo etapas. Parengiamas kibernetinių atakų imitavimo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtys, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (arba) pilkosios dėžės (angl. Grey Box)), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (arba) techniniai įrankiai ir priemonės, nurodomi už plano vykdymą atsakingi asmenys ir jų kontaktai. Kibernetinių atakų imitavimo planas turi būti suderintas su LitPOS valdytojo vadovu ir vykdomas tik gavus jo rašytinį pritarimą;
25.2. žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių serverių ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą ir konfigūracijas, taip pat kita sėkmingai kibernetinei atakai įvykdyti reikalinga informacija. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;
25.3. kibernetinių atakų imitavimo etapas. Atliekami kibernetinių atakų imitavimo plane numatyti testai. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;
25.4. ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti išdėstomi informacinių technologijų saugos vertinimo ataskaitoje. Kibernetinių atakų imitavimo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat LitPOS valdytojo įstaigos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinamas veiklos tęstinumo planas.
PATVIRTINTA
Nacionalinės žemės tarnybos prie
Aplinkos ministerijos direktoriaus
2023 m. rugpjūčio 24 d. įsakymu
Nr. 1P-501-(1.3 E.)
Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo VEIKLOS TĘSTINUMO VALDYMO PLANAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos tęstinumo valdymo plano (toliau – Valdymo planas) tikslas – nustatyti Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo (toliau – LitPOS) administratoriaus, LitPOS saugos įgaliotinio ir kitų asmenų veiksmus, esant elektroninės informacijos saugos (kibernetiniam) incidentui, kurio metu iškyla pavojus LitPOS duomenims, LitPOS techninės ir programinės įrangos funkcionavimui.
2. Valdymo planas parengtas vadovaujantis:
2.1. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;
2.2. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
2.3. Nacionaliniu kibernetinių incidentų valdymo planu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Nacionalinis kibernetinių incidentų valdymo planas);
2.4. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
2.5. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatais, patvirtintais Nacionalinės žemės tarnybos prie Aplinkos ministerijos direktoriaus
2023 m. sausio 17 d. įsakymu Nr. 1P-46-(1.3 E.) „Dėl Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatų ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatų patvirtinimo“;
2.6. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatais, patvirtintais Nacionalinės žemės tarnybos prie Aplinkos ministerijos direktoriaus 2023 m. sausio 17 d. įsakymu Nr. 1P-46-(1.3 E.) „Dėl Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatų ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatų patvirtinimo“.
3. Valdymo plane vartojamos sąvokos:
3.1. LitPOS administratorius – LitPOS tvarkytojo vadovo įsakymu paskirtas darbuotojas, dirbantis pagal darbo sutartį, kuriam pavesta atlikti LitPOS priežiūrą, užtikrinti jo veikimą ir LitPOS elektroninės informacijos saugą.
3.2. Elektroninės informacijos saugos (kibernetinis) incidentas – įvykis, veika ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie LitPOS galimybę, sutrikdyti ar pakeisti LitPOS veiklą, sunaikinti ar pakeisti LitPOS duomenis, panaikinti ar apriboti galimybę naudotis LitPOS duomenimis, sudaryti sąlygas neteisėtai panaudoti ar pasisavinti LitPOS duomenis.
3.3. LitPOS naudotojas – Lietuvos Respublikos bei užsienio fizinis asmuo ir juridinio asmens, juridinio asmens statuso neturinčių subjekto, jo filialo ir atstovybės atstovas, naudojantis globalinės padėties nustatymo sistemos matavimo įrangą objektų erdvinei padėčiai žemės paviršiuje Lietuvos Respublikos teritorijoje nustatyti.
3.4. LitPOS saugos įgaliotinis – LitPOS tvarkytojo vadovo įsakymu paskirtas darbuotojas, dirbantis pagal darbo sutartį, kuriam pavesta koordinuoti ir prižiūrėti saugos politikos įgyvendinimą ir būti atsakingam už kibernetinio saugumo organizavimą ir užtikrinimą LitPOS.
3.5. LitPOS tvarkantis asmuo – LitPOS tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, ar kitas asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis LitPOS elektroninę informaciją.
4. Valdymo plano reikalavimai privalomi LitPOS valdytojui, LitPOS tvarkytojui, LitPOS saugos įgaliotiniui, LitPOS administratoriui, LitPOS tvarkantiems asmenims, naudojantiems LitPOS įrangą tarnybos ir darbo funkcijoms atlikti. Valdymo planas taikomas kiekvienam pastatui, kuriame tvarkomi LitPOS duomenys.
5. Valdymo planas įsigalioja ir turi būti įgyvendinamas įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, kurio metu gali kilti pavojus LitPOS duomenims, LitPOS techninės ir programinės įrangos funkcionavimui.
6. LitPOS saugos įgaliotinio, LitPOS administratoriaus ir kitų asmenų veiksmai įvykus elektroninės informacijos saugos (kibernetiniam) incidentui yra nurodyti Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos atkūrimo detaliajame plane (1 priedas).
7. Elektroninės informacijos saugos (kibernetinio) incidento metu patirti nuostoliai padengiami iš valstybės biudžeto ir kitų finansavimo šaltinių.
8. Kriterijai, pagal kuriuos nustatoma, kad LitPOS veikla atkurta:
9. Neveikiant LitPOS ar veikiant iš dalies, jo veikla turi būti atkurta per 24 valandas. Atkuriama pagal Valdymo plano Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos atkūrimo detaliajame plane (1 priedas) numatytus pirmaeilius veiksmus ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo atkūrimo pirmaeilių veiksmų ir atsakingų asmenų sąrašo reikalavimus (3 priedas).
II SKYRIUS
ORGANIZACINĖS NUOSTATOS
11. LitPOS tvarkytojas, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, atlieka šias funkcijas:
11.1. užtikrina LitPOS elektroninės informacijos saugos (kibernetinio) incidento valdymą ir tyrimą; registruoja įvykusius elektroninės informacijos saugos (kibernetinius) incidentus ir nedelsdamas į juos reaguoja, organizacinėmis, techninėmis ir programinėmis priemonėmis valdo, tiria ir šalina elektroninės informacijos saugos (kibernetinius) incidentus;
11.2. informuoja Nacionalinį kibernetinio saugumo centrą prie Krašto apsaugos ministerijos (toliau – Nacionalinis kibernetinio saugumo centras) apie LitPOS įvykusius kibernetinius saugos incidentus, nurodytus Nacionalinio kibernetinių incidentų valdymo plane, ir taikytas kibernetinių saugos incidentų valdymo priemones Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo tvarkos apraše (4 priedas) numatyta tvarka;
11.3. teikia policijai informaciją, reikalingą elektroninės informacijos saugos (kibernetiniams) incidentams, turintiems nusikalstamos veikos požymių, užkardyti ir tirti policijos generalinio komisaro nustatyta tvarka ir sąlygomis;
12. Elektroninės informacijos saugos (kibernetiniams) incidentams valdyti bei veiklos atkūrimui organizuoti LitPOS tvarkytojo vadovo įsakymu sudaroma LitPOS veiklos tęstinumo valdymo grupė (toliau – Valdymo grupė) ir LitPOS veiklos atkūrimo grupė (toliau – Atkūrimo grupė).
13. Valdymo grupės tikslas – pagal LitPOS saugos įgaliotinio gautą tarnybinį pranešimą apie elektroninės informacijos saugos (kibernetinį) incidentą tirti elektroninės informacijos saugos (kibernetinius) incidentus, ieškoti priemonių ir būdų sukeltiems padariniams bei žalai likviduoti, užtikrinti LitPOS veiklos tęstinumą.
14. Valdymo grupės sudėtis:
14.2. VĮ ŽŪDC Informacinių technologijų departamento direktorius (Valdymo grupės vadovo pavaduotojas);
15. Valdymo grupės funkcijos:
15.1. elektroninės informacijos saugos (kibernetinių) incidentų analizė ir sprendimų LitPOS veiklos tęstinumo valdymo klausimais priėmimas;
15.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;
15.6. finansinių ir kitų išteklių, reikalingų LitPOS veiklai atkurti, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, naudojimo kontrolė;
15.7. LitPOS duomenų / elektroninės informacijos fizinė sauga įvykus elektroninės informacijos saugos (kibernetiniam) incidentui;
16. Atkūrimo grupės sudėtis:
16.2. VĮ ŽŪDC Erdvinės informacijos produktų skyriaus sistemų administratorius (Atkūrimo grupės vadovo pavaduotojas);
17. Atkūrimo grupės funkcijos:
18. Įvykus elektroninės informacijos saugos (kibernetiniam) incidentui:
18.1. LitPOS tvarkantys asmenys privalo nedelsdami žodžiu ar raštu pranešti LitPOS administratoriui apie elektroninės informacijos saugos (kibernetinį) incidentą. LitPOS tvarkantys asmenys neturi teisės imtis kitų, su elektroninės informacijos saugos (kibernetiniu) incidentu susijusių veiksmų;
18.2. LitPOS administratorius, gavęs pranešimą apie elektroninės informacijos saugos (kibernetinį) incidentą, nedelsdamas turi imtis veiksmų, reikalingų elektroninės informacijos saugos (kibernetiniam) incidentui stabdyti. Apie elektroninės informacijos saugos (kibernetinį) incidentą LitPOS administratorius, įvertinęs šio incidento reikšmingumą, raštu pagal kompetenciją informuoja LitPOS saugos įgaliotinį. Įvykis aprašomas, nurodant elektroninės informacijos saugos (kibernetinio) incidento vietą, laiką, pobūdį ir kitą su įvykiu susijusią informaciją;
18.3. LitPOS saugos įgaliotinis nustato prioritetus kibernetiniams incidentams valdyti, tirti ir šalinti bei apie juos informuoja Nacionalinį kibernetinio saugumo centrą Valdymo plano Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo tvarkos aprašo (4 priedas) nustatyta tvarka;
18.4. LitPOS saugos įgaliotinis apie elektroninės informacijos saugos (kibernetinį) incidentą nedelsdamas informuoja LitPOS tvarkytojo vadovą;
18.5. LitPOS saugos įgaliotinis įrašo informaciją apie elektroninės informacijos saugos (kibernetinį) incidentą į Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo elektroninės informacijos saugos (kibernetinių) incidentų registravimo žurnalą
(2 priedas) ir vadovauja Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos atkūrimo detaliajame plane (1 priedas), kuriame nurodytas veiksmų vykdymo eiliškumas, terminai, atsakingi asmenys, nurodytiems veiksmams;
18.6. LitPOS administratorius atkuria LitPOS techninės ir programinės įrangos veikimą, kompiuterių tinklo veiklą, LitPOS duomenis, LitPOS techninės, sisteminės ir taikomosios programinės įrangos funkcionavimą ir nedelsdamas apie atliktus veiksmus informuoja LitPOS saugos įgaliotinį;
18.7. LitPOS saugos įgaliotinis kartu su LitPOS administratoriumi organizuoja žalos, padarytos LitPOS duomenims, LitPOS techninei ir programinei įrangai vertinimą, koordinuoja LitPOS veiklai atkurti reikalingos techninės, sisteminės ir taikomosios programinės įrangos įsigijimą;
18.8. elektroninės informacijos saugumo (kibernetiniam) incidentui išplitus už LitPOS valdytojo ir LitPOS tvarkytojo įstaigos ribų, LitPOS administratorius nedelsdamas informuoja su elektroninės informacijos saugos (kibernetiniu) incidentu susijusius paslaugų teikėjus ir (ar) kitas institucijas, atsižvelgia į jų rekomendacijas.
19. Techninė, sisteminė ir taikomoji programinė įranga, reikalinga elektroninės informacijos saugos (kibernetinio) incidento metu sunaikintai ar sugadintai įrangai pakeisti, įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo ir (ar) LitPOS valdytojo ar LitPOS tvarkytojo teisės aktų, reglamentuojančių viešųjų pirkimų vykdymą, patvirtintų dokumentų nustatyta tvarka.
20. Atsarginėms patalpoms, naudojamoms LitPOS veiklai atkurti elektroninės informacijos saugos (kibernetinio) incidento atveju, keliami šie reikalavimai:
20.1. patekimas į atsargines patalpas turi būti registruojamas patekimo į patalpas, kuriose yra tarnybinės stotys, žurnale;
20.3. atsarginės patalpos turi atitikti gaisrinės saugos reikalavimus ir jose turi būti pirminių gaisro gesinimo priemonių;
20.4. atsarginėse patalpose turi būti įrengtas rezervinis elektros energijos šaltinis LitPOS techninei įrangai ir duomenų perdavimo tinklo mazgams, užtikrinantis nurodytos įrangos veikimą pagrindinio elektros energijos šaltinio neveikimo atveju ne trumpiau kaip 10 minučių;
21. Atsarginių patalpų, naudojamų LitPOS veiklai atkurti kilus elektroninės informacijos saugos (kibernetiniam) incidentui, vieta – LitPOS valdytojo buveinė.
III SKYRIUS
APRAŠOMOSIOS NUOSTATOS
23. Informacija apie LitPOS techninę ir programinę įrangą ir jos parametrus nurodyta Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo techninės ir programinės įrangos specifikacijoje.
24. Už LitPOS techninės ir programinės įrangos priežiūrą, veiklos tęstinumui vykdyti reikalingos detaliosios informacijos rengimą, atnaujinimą ir saugojimą yra atsakingas LitPOS administratorius.
25. LitPOS administratorius parengia ir saugo:
25.1. dokumentą, kuriame nurodyti LitPOS informacinių technologijų įrangos parametrai ir už šios įrangos priežiūrą atsakingas LitPOS administratorius, minimalus LitPOS veiklai atkurti nesant LitPOS administratoriaus, t. y., kai LitPOS administratorius dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, reikiamos kompetencijos ar žinių lygis;
25.2. dokumentą, kuriame nurodyta minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos LitPOS tvarkytojo poreikius atitinkančiai informacinės sistemos veiklai užtikrinti įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, specifikacija, kuri turi būti lygiavertė pagrindinei Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo techninės ir programinės įrangos specifikacijai;
25.3. dokumentą, kuriame nurodyti kiekvieno pastato, kuriame yra LitPOS įranga, aukšto patalpų brėžiniai ir juose pažymėti:
25.5. dokumentą, kuriame nurodytos duomenų teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigos;
26. Programinės įrangos laikmenos ir laikmenos su atsarginėmis LitPOS duomenų kopijomis saugomos užrakintoje nedegioje spintoje, kitoje patalpoje, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. LitPOS administratorius kartą per savaitę atsargines LitPOS duomenų kopijas perkelia į saugojimo vietą.
27. LitPOS saugos įgaliotinis ir LitPOS administratorius parengia ir saugo Valdymo grupės ir Atkūrimo grupės narių sąrašą su kontaktiniais duomenimis, leidžiančiais pasiekti šiuos asmenis bet kuriuo metu. Valdymo grupės ir Atkūrimo grupės narių sąrašas turi būti atnaujinamas, pasikeitus jame nurodytai informacijai.
28. LitPOS saugos įgaliotinis ne rečiau kaip kartą per mėnesį:
28.1. atlieka užfiksuotų kibernetinių incidentų analizę ir prireikus organizuoja pastebėtų neatitikčių saugumo reikalavimams šalinimą;
28.3. atlieka užkardų (angl. firewall) užfiksuotų įvykių analizę, organizuoja pastebėtų neatitikčių saugumo reikalavimams šalinimą;
IV SKYRIUS
Valdymo PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS
29. Valdymo plano veiksmingumas turi būti išbandomas kartą per dvejus metus. Valdymo plano veiksmingumo išbandymo metu imituojamas elektroninės informacijos saugos (kibernetinis) incidentas. Jo metu už elektroninės informacijos saugos (kibernetinio) incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus. Iš atsarginių LitPOS duomenų kopijų atkuriami LitPOS duomenys.
30. Kibernetinių incidentų imitavimo pratybos turi būti organizuojamos ne rečiau kaip kartą per dvejus metus. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat VĮ ŽŪDC nepertraukiamos veiklos užtikrinimo trūkumų, tobulinamas Valdymo planas.
31. Pagal bandymų rezultatus LitPOS saugos įgaliotinis ir LitPOS administratorius parengia Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos tęstinumo valdymo plano įvertinimo ataskaitą (toliau – Ataskaita), kurioje yra apibendrinami atliktų bandymų rezultatai, apibrėžiami pastebėti trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina LitPOS tvarkytojo vadovas. Ataskaitos kopija ne vėliau kaip per penkias darbo dienas nuo šios ataskaitos patvirtinimo pateikiama Nacionaliniam kibernetinio saugumo centrui.
32. LitPOS saugos įgaliotinis nuolat kontroliuoja Ataskaitoje nurodytų trūkumų šalinimo priemonių įgyvendinimą.
33. Valdymo plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami laikantis šių principų:
33.1. operatyvumo – kiek galima greičiau išspręsti ir pašalinti trūkumus. Atliekant trūkumų šalinimo veiklą, turi būti atsižvelgiama į trūkumų sudėtingumą ir apimtį. LitPOS saugos įgaliotinis kartu su LitPOS administratoriumi nusprendžia ir nustato, per kiek laiko turi būti atliktas konkretus trūkumų šalinimo veiksmas ir pašalinti trūkumai;
33.2. veiksmingumo – trūkumų šalinimas turi padaryti esminę įtaką LitPOS veiklai. Trūkumų šalinimas laikomas veiksmingu, jeigu jo metu pavyko sumažinti konkretaus trūkumo neigiamą poveikį;
PATVIRTINTA
Nacionalinės žemės tarnybos prie
Aplinkos ministerijos direktoriaus
2023 m. rugpjūčio 24 d. įsakymu
Nr. 1P-501-(1.3 E.)
Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) nustato Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklą (toliau – LitPOS) tvarkančių asmenų teises ir pareigas, LitPOS administratoriaus įgaliojimus, teises ir pareigas ir saugaus duomenų ir informacijos teikimo LitPOS naudotojams ir LitPOS tvarkantiems asmenims kontrolės tvarką.
2. Šios Administravimo taisyklės parengtos vadovaujantis:
2.1. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;
2.2. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
2.3. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
2.4. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatais, patvirtintais Nacionalinės žemės tarnybos prie Aplinkos ministerijos direktoriaus
2023 m. sausio 17 d. įsakymu Nr. 1P-46-(1.3 E.) „Dėl Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatų ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatų patvirtinimo“;
2.5. Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatais, patvirtintais Nacionalinės žemės tarnybos prie Aplinkos ministerijos direktoriaus 2023 m. sausio 17 d. įsakymu Nr. 1P-46-(1.3 E.) „Dėl Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo nuostatų ir Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo duomenų saugos nuostatų patvirtinimo“
(toliau – LitPOS saugos nuostatai).
3. Administravimo taisyklėse vartojamos sąvokos:
3.1. LitPOS administratorius – LitPOS tvarkytojo vadovo įsakymu paskirtas darbuotojas, dirbantis pagal darbo sutartį, kuriam pavesta atlikti LitPOS priežiūrą, užtikrinti jo veikimą ir LitPOS elektroninės informacijos saugą.
3.2. LitPOS naudotojas – Lietuvos Respublikos bei užsienio fizinis asmuo ir juridinio asmens, juridinio asmens statuso neturinčių subjekto, jo filialo ir atstovybės atstovas, naudojantis globalinės padėties nustatymo sistemos matavimo įrangą objektų erdvinei padėčiai žemės paviršiuje Lietuvos Respublikos teritorijoje nustatyti.
3.3. LitPOS saugos įgaliotinis – LitPOS tvarkytojo vadovo įsakymu paskirtas darbuotojas, dirbantis pagal darbo sutartį, kuriam pavesta koordinuoti ir prižiūrėti saugos politikos įgyvendinimą ir būti atsakingam už kibernetinio saugumo organizavimą ir užtikrinimą LitPOS.
3.4. LitPOS tvarkantis asmuo – LitPOS tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, ar kitas asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis LitPOS elektroninę informaciją.
4. Administravimo taisyklės taikomos visiems LitPOS tvarkantiems asmenims, LitPOS administratoriui, LitPOS saugos įgaliotiniui ir kitiems asmenims, kurių prieigos teisės prie LitPOS elektroninės informacijos / LitPOS duomenų (toliau – LitPOS duomenys) paremtos LitPOS duomenų saugumo, stabilumo, operatyvumo principais.
5. LitPOS tvarkantiems asmenims prieiga prie LitPOS duomenų suteikiama vadovaujantis šiais principais:
5.1. LitPOS tvarkančio asmens prieiga prie LitPOS duomenų grindžiama principu „būtina žinoti“, kuris reiškia, kad LitPOS tvarkančiam asmeniui prieiga turi būti suteikiama tik prie tų LitPOS duomenų ir tik tokia apimtimi, kuri reikalinga LitPOS tvarkančio asmens pareigybės aprašyme ar kitame teisės akte nurodytoms funkcijoms atlikti. Tvarkyti LitPOS duomenis gali tik tie LitPOS tvarkantys asmenys, kuriems Administravimo taisyklių III skyriuje nustatyta tvarka suteiktos prieigos prie LitPOS duomenų teisės ir priemonės (pvz., identifikavimo priemonės, slaptažodžiai ar kitos autentiškumo patvirtinimo priemonės ir pan.);
5.2. LitPOS tvarkančių asmenų prieigos prie LitPOS duomenų lygis grindžiamas mažiausios privilegijos principu, kuris reiškia, kad turi būti suteikiamos tik minimalios LitPOS tvarkančių asmenų tiesioginėms darbo (tarnybos) funkcijoms vykdyti reikalingos prieigos teisės ir organizacinėmis bei techninėmis priemonėmis užtikrinama minimalių prieigos teisių naudojimo kontrolė. LitPOS duomenis gali keisti (sukurti, papildyti ar panaikinti) tik tokią teisę turintys LitPOS tvarkantys asmenys;
5.3. prieiga prie LitPOS duomenų ir teisė juos keisti suteikiama tik atlikus LitPOS tvarkančio asmens atpažinimą ir patvirtinus jo tapatybę (asmens kodas negali būti naudojamas kaip LitPOS tvarkančio asmens identifikatorius);
5.4. pareigų atskyrimo principu, kuris reiškia, kad LitPOS tvarkančiam asmeniui negali būti pavesta atlikti ar kontroliuoti visų pagrindinių LitPOS duomenų tvarkymo ar LitPOS priežiūros funkcijų. LitPOS tvarkantiems asmenims negali būti suteikiamos administratoriaus teisės, LitPOS priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą LitPOS administratoriaus paskyrą, kuria naudojantis negalima atlikti kasdienių LitPOS tvarkančio asmens funkcijų ir pan.
II SKYRIUS
LitPOS tvarkančių asmenų ir LitPOS administratoriAUS
įgaliojimai, TEISĖS IR PAREIGOS
6. LitPOS tvarkantis asmuo turi teisę:
6.1. naudotis tik tomis LitPOS funkcijomis bei LitPOS duomenimis, prie kurių prieigą jam suteikė LitPOS administratorius;
6.2. gauti informaciją apie jo naudojamų LitPOS duomenų apsaugos lygį bei taikomas apsaugos priemones, teikti siūlymus dėl papildomų apsaugos priemonių;
6.3. kreiptis į LitPOS administratorių ar LitPOS saugos įgaliotinį dėl neveikiančio ar netinkamai veikiančio LitPOS;
7. LitPOS tvarkantis asmuo privalo:
7.2. nedelsiant pranešti LitPOS administratoriui apie LitPOS saugos politiką įgyvendinamųjų teisės aktų pažeidimus, veiksmus, turinčius nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų ir informacijos saugos užtikrinimo priemones;
7.3. užtikrinti jo naudojamų LitPOS duomenų konfidencialumą bei vientisumą, savo veiksmais netrikdyti LitPOS duomenų prieinamumo;
7.4. baigus darbą ar pasitraukiant iš darbo vietos, imtis priemonių, kad su LitPOS duomenimis negalėtų susipažinti pašaliniai asmenys: atsijungti nuo LitPOS, įjungti ekrano užsklandą su slaptažodžiu, dokumentus ar jų kopijas darbo vietoje padėti į pašaliniams asmenims neprieinamą vietą;
7.5. pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą, susipažinti ir laikytis LitPOS saugos nuostatų, Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo saugaus elektroninės informacijos tvarkymo taisyklių, Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo veiklos tęstinumo valdymo plano, šių Administravimo taisyklių reikalavimų ir kitų LitPOS saugos politiką įgyvendinamųjų teisės aktų reikalavimų;
8. LitPOS tvarkančiam asmeniu draudžiama:
8.1. leisti prisijungti prie LitPOS ne LitPOS naudotojui / LitPOS tvarkančiam asmeniui ar kitais nei Administravimo taisyklėse nurodytais būdais;
9. LitPOS administratorius turi teisę:
9.1. matyti visų LitPOS naudotojų, LitPOS tvarkančių asmenų atpažinties (prisijungimo) ir suteiktų teisių duomenis;
9.4. pateikti paklausimus LitPOS valdytojui ar LitPOS tvarkytojui dėl LitPOS naudotojų ir LitPOS tvarkančių asmenų duomenų patikslinimo;
10. LitPOS administratorius privalo:
10.4. tikrinti, ar nėra nepatvirtintų LitPOS tvarkančių asmenų paskyrų ir apie nepatvirtintas šias paskyras pranešti LitPOS saugos įgaliotiniui;
10.5. tvarkyti LitPOS vidinius klasifikatorius, esančius LitPOS klasifikatorių funkciniame modulyje;
10.6. konsultuoti LitPOS naudotojus ir LitPOS tvarkančius asmenis dėl LitPOS veikimo ir kitais su LitPOS susijusiais klausimais;
10.7. pagal kompetenciją užtikrinti nepertraukiamą LitPOS techninės ir sisteminės programinės įrangos veikimą;
10.8. dalyvauti atliekant LitPOS rizikos veiksnių vertinimą, rengiant LitPOS rizikos įvertinimo ataskaitą ir rizikos valdymo priemonių planą;
11. LitPOS administratoriui draudžiama suteikti prieigos teises prie LitPOS duomenų ne LitPOS naudotojams ir ne LitPOS tvarkantiems asmenims.
12. LitPOS administratoriaus, LitPOS saugos įgaliotinio funkcijos reglamentuotos LitPOS saugos nuostatuose ir kituose LitPOS saugos politiką įgyvendinamuosiuose teisės aktuose.
III SKYRIUS
SAUGAUS elektroninės informacijos TEIKIMO LitPOS NAUDOTOJAMS ir LitPOS tvarkantiems asmenims KONTROLĖS TVARKA
14. LitPOS administratorius yra atsakingas už LitPOS naudotojų ir LitPOS tvarkančių asmenų registravimą, išregistravimą, prieigos prie LitPOS teisių suteikimą ir panaikinimą.
15. LitPOS administratorius LitPOS naudotojams ir LitPOS tvarkantiems asmenims suteikia unikalius prisijungimo prie LitPOS vardą ir laikinąjį slaptažodį ir juos išsiunčia LitPOS naudotojui ir LitPOS tvarkančiam asmeniui elektroniniu paštu.
16. LitPOS naudotojai, norėdami gauti prieigos prie LitPOS duomenų teisę, turi užsiregistruoti Lietuvos erdvinės informacijos portalo LitPOS teminėje srityje, t. y. užpildyti ir pateikti LitPOS tvarkytojui elektroninę registracijos formą. LitPOS naudotojui, užpildžiusiam ir pateikusiam elektroninę registracijos formą, LitPOS tvarkytojas per 5 darbo dienas nuo šios registracijos pateikimo suteikia LitPOS naudotojo prisijungimo vardą ir prieigos prie LitPOS duomenų teisę.
17. Slaptažodžiai negali būti saugomi ar perduodami atviru tekstu. LitPOS saugos įgaliotinio sprendimu tik laikinasis slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo ir tik tuo atveju, jeigu LitPOS naudotojas ar LitPOS tvarkantis asmuo neturi galimybės iššifruoti gauto užšifruoto slaptažodžio arba nėra techninių galimybių LitPOS naudotojui ar LitPOS tvarkančiam asmeniui perduoti slaptažodžio šifruotu kanalu ar saugiu elektroninių ryšių tinklu.
18. LitPOS dalys, patvirtinančios LitPOS naudotojo ar LitPOS tvarkančio asmens tapatumą, turi drausti automatiškai išsaugoti slaptažodžius.
19. LitPOS tvarkantys asmenys prisijungti prie LitPOS gali tik su LitPOS administratoriaus suteiktais unikaliais vardais ir slaptažodžiais.
20. LitPOS naudotojų ir LitPOS tvarkančių asmenų prisijungimo prie LitPOS vardai ir slaptažodžiai saugomi Lietuvos Respublikos globalinės padėties nustatymo sistemos nuolatinių stočių tinklo naudotojų prisijungimo vardų ir slaptažodžių elektroninėje saugykloje
(toliau – Saugykla).
22. LitPOS tvarkantys asmenys, prisijungę prie LitPOS, slaptažodį turi teisę pasikeisti savarankiškai.
23. LitPOS tvarkančio asmens slaptažodžiui yra keliami šie reikalavimai:
23.1. slaptažodis turi būti iš ne trumpesnės kaip 12 simbolių kombinacijos, sudarytos iš didžiųjų ir mažųjų raidžių, skaitmenų ir specialiųjų simbolių;
23.5. LitPOS tvarkantis asmuo, pirmą kartą gavęs LitPOS administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie LitPOS ir nedelsdamas slaptažodį pakeisti;
23.6. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius – 5 kartai. LitPOS tvarkančiam asmeniui 5 kartus neteisingai įvedus slaptažodį, LitPOS sistema užsirakina ir LitPOS tvarkančiam asmeniui 15 minučių neleidžiama prisijungti;
24. LitPOS administratoriaus slaptažodis:
24.1. turi būti ne trumpesnis kaip 12 simbolių kombinacijos, sudarytas iš didžiųjų ir mažųjų raidžių, skaitmenų ir specialiųjų simbolių;
25. LitPOS administratorius, iš LitPOS valdytojo ar LitPOS tvarkytojo gavęs rašytinį prašymą apriboti LitPOS naudotojo ar LitPOS tvarkančio asmens prieigos teises, nedelsdamas apriboja nurodyto LitPOS naudotojo ar LitPOS tvarkančio asmens prieigą prie LitPOS.
26. LitPOS tvarkančiam asmeniui teisė dirbti su konkrečiais LitPOS duomenimis yra sustabdoma, kai LitPOS tvarkantis asmuo nesinaudoja LitPOS duomenimis ilgiau kaip 3 mėnesius ir kai įstatymų nustatytais atvejais LitPOS tvarkantis asmuo nušalinamas nuo darbo (pareigų).
27. LitPOS administratoriaus teisė dirbti su LitPOS yra sustabdoma, kai LitPOS administratorius nesinaudoja LitPOS ilgiau kaip 2 mėnesius ar kai įstatymų nustatytais atvejais LitPOS administratorius nušalinamas nuo darbo (pareigų).
28. Kai LitPOS tvarkantis asmuo perkeliamas į kitas pareigas, jam suteiktos LitPOS tvarkančio asmens teisės pakeičiamos atsižvelgiant į jo pareigybės aprašyme nurodytas funkcijas.
29. LitPOS tvarkančiam asmeniui teisė naudotis LitPOS panaikinama:
30. Nereikalingos ar nenaudojamos LitPOS tvarkančių asmenų ir LitPOS administratoriaus paskyros turi būti blokuojamos nedelsiant ir ištrinamos praėjus nustatytam audito duomenų saugojimo terminui.
IV SKYRIUS
BAIGIAMOSIOS NUOSTATOS