LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS Civilinių orlaivių registro, Civilinės aviacijos priežiūros paslaugų informacinės sistemos ir Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos VEIKLOS TĘSTINUMO VALDYMO PLANO, NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ IR SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ PATVIRTINIMO
2020 m. gruodžio 31 d. Nr. 3-791
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 8 punktu, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 6 punktu:
1. Tvirtinu pridedamus Lietuvos Respublikos civilinių orlaivių registro, Civilinės aviacijos priežiūros paslaugų informacinės sistemos ir Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos saugos politikos įgyvendinimo dokumentus:
1.1. Lietuvos Respublikos civilinių orlaivių registro, Civilinės aviacijos priežiūros paslaugų informacinės sistemos ir Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;
1.2. Lietuvos Respublikos civilinių orlaivių registro, Civilinės aviacijos priežiūros paslaugų informacinės sistemos ir Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos veiklos tęstinumo valdymo planą;
2. Pavedu Lietuvos Respublikos civilinių orlaivių registro, Civilinės aviacijos priežiūros paslaugų informacinės sistemos ir Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos saugos įgaliotiniui pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai patvirtintų Lietuvos Respublikos civilinių orlaivių registro, Civilinės aviacijos priežiūros paslaugų informacinės sistemos ir Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos saugos politikos įgyvendinimo dokumentų ir jų pakeitimų kopijas ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.
PATVIRTINTA
Lietuvos Respublikos susisiekimo
ministro 2020 m. gruodžio 31 d.
įsakymu Nr. 3-791
LIETUVOS RESPUBLIKOS CIVILINIŲ ORLAIVIŲ REGISTRO, CIVILINĖS AVIACIJOS PRIEŽIŪROS PASLAUGŲ INFORMACINĖS SISTEMOS IR NEVALDOMOS ORO ERDVĖS SKRYDŽIŲ ORGANIZAVIMO INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos civilinių orlaivių registro, Civilinės aviacijos priežiūros paslaugų informacinės sistemos ir Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) nustato techninių ir kitų saugos priemonių aprašymą, saugų elektroninės informacijos tvarkymą, reikalavimus, keliamus Lietuvos Respublikos civilinių orlaivių registrui, Civilinės aviacijos priežiūros paslaugų informacinei sistemai ir Nevaldomos oro erdvės skrydžių organizavimo informacinei sistemai (toliau kartu – informacinės sistemos) funkcionuoti reikalingoms paslaugoms ir jų teikėjams.
2. Taisyklės privalomos informacinių sistemų naudotojams, informacinių sistemų administratoriams, informacinių sistemų saugos įgaliotiniams ir asmeniui ar padaliniui, atsakingam už kibernetinio saugumo organizavimą ir užtikrinimą (kibernetinio saugumo vadovui).
3. Taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Aprašas), ir Lietuvos Respublikos krašto apsaugos ministro tvirtinamais Techniniais informacinių sistemų elektroninės informacijos saugos reikalavimais.
4. Taisyklėse vartojamos sąvokos atitinka sąvokas, vartojamas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“.
5. Vadovaujantis Lietuvos Respublikos civilinių orlaivių registro duomenų saugos nuostatų, patvirtintų Lietuvos Respublikos susisiekimo ministro 2011 m. kovo 25 d. įsakymu Nr. 3-169 „Dėl Lietuvos Respublikos civilinių orlaivių registro duomenų saugos nuostatų patvirtinimo, saugos įgaliotinio ir saugos politiką įgyvendinančių dokumentų rengėjo paskyrimo“ (toliau – Civilinių orlaivių registro saugos nuostatai), 9 punktu, Lietuvos Respublikos civilinių orlaivių registras priskiriamas antrajai kategorijai, Civilinės aviacijos priežiūros paslaugų informacinės sistemos duomenų saugos nuostatų, patvirtintų Lietuvos Respublikos susisiekimo ministro 2016 m. liepos 15 d. įsakymu Nr. 3-235(1.5 E) „Dėl Civilinės aviacijos priežiūros paslaugų informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“, (toliau – CAPPIS saugos nuostatai) 12 punktu, Civilinės aviacijos priežiūros paslaugų informacinėje sistemoje (toliau – CAPPIS) tvarkoma elektroninė informacija yra priskiriama vidutinės svarbos informacijos kategorijai, Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos duomenų saugos nuostatų, patvirtintų Lietuvos Respublikos susisiekimo ministro 2018 m. balandžio 16 d. įsakymu Nr. 3-177 „Dėl Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“, (toliau – NOESOIS saugos nuostatai) 16 punktu, Nevaldomos oro erdvės skrydžių organizavimo informacinėje sistemoje (toliau – NOESOIS) tvarkoma elektroninė informacija yra priskiriama vidutinės svarbos informacijos kategorijai, o CAPPIS ir NOESOIS yra priskiriamos trečiajai kategorijai.
6. Informacinėse sistemose tvarkoma Lietuvos Respublikos civilinių orlaivių registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 27 d. nutarimu Nr. 1340 „Dėl Lietuvos Respublikos civilinių orlaivių registro reorganizavimo ir Civilinių orlaivių registro nuostatų patvirtinimo“ (toliau – Civilinių orlaivių registro nuostatai), Civilinės aviacijos priežiūros paslaugų informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos susisiekimo ministro 2016 m. liepos 15 d. įsakymu Nr. 3-235(1.5 E) „Dėl Civilinės aviacijos priežiūros paslaugų informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ (toliau – CAPPIS nuostatai), Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos susisiekimo ministro 2018 m. balandžio 16 d. įsakymu Nr. 3-177 „Dėl Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“ (toliau – NOESOIS nuostatai), III skyriuje išvardyta elektroninė informacija. Už jos tvarkymą atsakingi informacinių sistemų naudotojai ir informacinių sistemų administratoriai.
II SKYRIUS
INFORMACINIŲ SISTEMŲ TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ
APRAŠYMAS
7. Informacinių sistemų techninės ir kompiuterinės įrangos saugos priemonės:
7.1. Tarnybinėse stotyse ir informacinių sistemų naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingosios programinės įrangos aptikimo, stebėjimo realiu laiku priemonės; šios priemonės automatiškai turi informuoti informacinių sistemų administratorius apie tai, kuriems informacinių sistemų posistemiams, funkciškai savarankiškoms sudedamosioms dalims yra pradelstas kenksmingosios programinės įrangos aptikimo priemonių atsinaujinimo laikas. Informacinių sistemų komponentai be kenksmingosios programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu yra patvirtinama, kad šių komponentų rizika yra priimtina.
7.2. Informacinių sistemų techninė įranga turi būti prižiūrima laikantis gamintojo rekomendacijų. Techninę priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai.
7.3. Pagrindinės tarnybinės stotys, svarbiausi elektroninės informacijos perdavimo tinklo mazgai ir ryšio linijos yra dubliuojami ir jų techninė būklė nuolat stebima.
7.4. Paslaugų tarnybinės stotys ir svarbiausi elektroninės informacijos perdavimo tinklo mazgai turi įtampos filtrą ir rezervinį elektros energijos tiekimo šaltinį. Rezervinis elektros energijos tiekimo šaltinis užtikrina informacinių sistemų pagrindinių tarnybinių stočių veikimą ne trumpiau kaip 1 val.
7.5. Informacinių sistemų veikimo stebėjimo priemonės turi perspėti informacinių sistemų administratorius, kai pagrindinėje informacinių sistemų kompiuterinėje įrangoje iki nustatytos pavojingos ribos sumažėja laisvos kompiuterio atminties ar vietos diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja, sutrinka kitų informacinių sistemų komponentų įprastas veikimas.
7.6. Turi būti įdiegtos ir veikti įsibrovimo aptikimo sistemos, kurios stebėtų informacinių sistemų įeinantį ir išeinantį duomenų srautą ir vidinį srautą tarp svarbiausių tinklo paslaugų.
7.7. Pagrindinėse informacinių sistemų tarnybinėse stotyse turi būti įjungtos saugasienės, sukonfigūruotos blokuoti visą įeinantį ir išeinantį duomenų srautą, išskyrus duomenų srautą, susijusį su informacinių sistemų funkcionalumu ir administravimu.
8. Sisteminės ir taikomosios informacinių sistemų programinės įrangos saugos priemonės:
8.1. Programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL Injection), XSS (angl. Cross-site Scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų. Pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP) interneto svetainėje www.owasp.org.
8.3. Informacinių sistemų naudotojų kompiuterinėje įrangoje turi būti naudojama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga. Informacinių sistemų saugos įgaliotinis turi parengti, su informacinių sistemų tvarkytojos – VšĮ Transporto kompetencijų agentūros (toliau –informacinių sistemų tvarkytojas) vadovu suderinti ir ne rečiau kaip kartą per metus peržiūrėti ir prireikus atnaujinti leistinos programinės įrangos sąrašą.
8.4. Informacinių sistemų tarnybinėse stotyse negali būti sisteminės ir taikomosios programinės įrangos, kuri yra nesusijusi su informacinių sistemų tvarkymu, informacinių sistemų naudotojų ir pačios įrangos administravimu.
8.5. Turi būti operatyviai testuojami ir įdiegiami informacinių sistemų tarnybinių stočių ir informacinių sistemų naudotojų darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai. Informacinių sistemų administratoriai reguliariai, ne rečiau kaip kartą per savaitę, turi įvertinti informaciją apie neįdiegtus gamintojų rekomenduojamus informacinių sistemų posistemių, funkciškai savarankiškų sudedamųjų dalių, informacinių sistemų naudotojų darbo vietų kompiuterinės įrangos atnaujinimus ir susijusius saugos pažeidžiamumų svarbos lygius.
8.6. Informacinių sistemų programinis kodas privalo būti apsaugotas nuo paskelbimo neturintiems teisės su juo susipažinti asmenims. Informacinių sistemų programiniam kodui apsaugoti taikomos tos pačios saugos priemonės kaip ir informacinių sistemų elektroninei informacijai.
8.7. Programinę įrangą diegia, konfigūruoja ir šalina informacinių sistemų administratoriai arba kiti informacinių sistemų tvarkytojo vadovo įgalioti asmenys.
8.8. Programinė įranga prižiūrima laikantis gamintojo rekomendacijų. Programinę įrangą turi prižiūrėti ir gedimus šalinti kvalifikuoti specialistai.
9. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:
9.1. Tarnybinės stotys, kompiuterizuotos darbo vietos ir kita kompiuterinė įranga, įjungta į elektroninės informacijos perdavimo tinklą, yra atskirta nuo viešųjų telekomunikacinių tinklų naudojant ugniasienes.
9.2. Ugniasienės įvykių žurnalai (angl. Logs) reguliariai analizuojami, o ugniasienės saugumo taisyklės periodiškai persvarstomos ir atnaujinamos informacinių sistemų administratorių.
9.4. Viešaisiais ryšių tinklais perduodamos informacinių sistemų elektroninės informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą, virtualų privatų tinklą (angl. Virtual Private Network), skirtines linijas, saugų elektroninių ryšių tinklą ar kitas priemones.
10. Informacinių sistemų patalpų saugos priemonės:
10.1. Patalpose, kuriose yra informacinių sistemų tarnybinės stotys, turi būti įdiegta signalizacija, priešgaisrinės saugos priemonės, užtikrintos gamintojo rekomenduojamos techninės įrangos darbo sąlygos (aplinkos drėgnumas, darbo vietos temperatūra), turi būti įrengti gaisro ir įsilaužimo jutikliai, prijungti prie pastato signalizacijos ir (arba) apsaugos tarnybos stebėjimo pulto.
10.2. Patalpos, kuriose yra informacinių sistemų tarnybinės stotys, turi būti atskirtos nuo bendrojo naudojimo patalpų. Į šias patalpas patekti gali tik informacinių sistemų tvarkytojo įgalioti asmenys, kitus asmenis turi lydėti informacinių sistemų administratoriai.
10.3. Jei informacinių sistemų tarnybinių stočių patalpose esančios įrangos bendras galingumas yra daugiau kaip 10 kilovatų, turi būti įrengta oro kondicionavimo įranga.
11. Prisiregistravimo prie informacinių sistemų ir išsiregistravimo iš jos duomenys (prisijungimo vardas, data, laikas) automatiškai fiksuojami informacinių sistemų elektroniniuose veiksmų žurnaluose (toliau – veiksmų žurnalai), kurie prieinami tik atitinkamos informacinės sistemos administratoriui. Veiksmų žurnalai yra saugomi informacinių sistemų duomenų bazėje ir jų apsaugai nuo netyčinio arba neteisėto jų duomenų sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų yra taikomos tos pačios saugos priemonės kaip ir informacinių sistemų elektroninei informacijai. Už veiksmų žurnalų tvarkymą atsakingas atitinkamos informacinės sistemos administratorius.
12. Informacinėse sistemose turi būti įrašomi ir ne trumpiau kaip vienus metus saugomi duomenys apie informacinių sistemų tarnybinių stočių, informacinių sistemų taikomosios programinės įrangos ir kitų informacinių sistemų komponentų įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis informacinių sistemų tarnybinėse stotyse, informacinių sistemų taikomojoje programinėje įrangoje, visus informacinių sistemų naudotojų vykdomus veiksmus (elektroninės informacijos įvedimas, peržiūra, keitimas, atnaujinimas, naikinimas ir kiti elektroninės informacijos tvarkymo veiksmai), kitus elektroninės informacijos saugai svarbius įvykius, nurodant informacinių sistemų naudotojo ir atitinkamos informacinės sistemos administratoriaus identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo datą ir laiką, įvykio ar veiksmo rezultatą, informacinių sistemų naudotojo, atitinkamos informacinės sistemos administratoriaus ir (arba) informacinių sistemų įrenginio, susijusio su įvykiu, duomenis. Šie duomenys turi būti saugomi ne toje pačioje informacinėje sistemoje, kurioje jie įrašomi, taip pat jie turi būti analizuojami ne rečiau kaip kartą per savaitę informacinių sistemų administratoriaus. Turi būti įrašomas audito funkcijos įjungimas ir išjungimas, audito įrašų trynimas, kūrimas ar keitimas. Draudžiama audito duomenis trinti, keisti, kol nesibaigęs audito duomenų saugojimo terminas.
13. Informacinių sistemų naudotojų ir informacinių sistemų administratorių tapatybei nustatyti ir prieigai prie elektroninės informacijos kontroliuoti būtina naudoti prisijungimo vardų, slaptažodžių ir teisių sistemą.
14. Pagrindinės informacinių sistemų kompiuterinės įrangos techninė būklė turi būti nuolat stebima. Pagrindinės kompiuterinės įrangos gedimai turi būti registruojami. Už gedimų registravimą atsakingi informacinių sistemų administratoriai.
15. Informacinių sistemų naudotojui neatliekant jokių veiksmų informacinių sistemų taikomoji programinė įranga turi užsirakinti, kad toliau naudotis informacinėmis sistemomis būtų galima tik pakartotinai patvirtinus savo tapatybę. Terminas, per kurį informacinių sistemų naudotojui neatliekant jokių veiksmų informacinės sistemos užsirakina, negali būti ilgesnis kaip 15 minučių.
III SKYRIUS
SAUGUS INFORMACINIŲ SISTEMŲ ELEKTRONINĖS
INFORMACIJOS TVARKYMAS
16. Taisyklių 6 punkte nurodytą tvarkomą elektroninę informaciją įvesti, keisti, atnaujinti gali tik informacinių sistemų naudotojai ir informacinių sistemų administratoriai pagal nustatytas prieigos teises.
17. Informacinių sistemų posistemės naudoja įvestos elektroninės informacijos tikslumo, užbaigtumo ir patikimumo tikrinimo priemones.
18. Informacinių sistemų naudotojams ar informacinių sistemų administratoriams atliekant veiksmus su informacinių sistemų elektronine informacija, automatiškai veiksmų žurnale registruojamas darbo laikas, prisijungimo vardas ir atliekami veiksmai. Šie duomenys skirti elektroninės informacijos vientisumo pažeidimams nustatyti.
19. Baigus darbą ar informacinių sistemų naudotojui pasitraukus iš darbo vietos turi būti imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo informacinių sistemų, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai ar jų kopijos darbo vietoje turi būti padedami į pašaliniams asmenims neprieinamą vietą.
20. Elektroninė informacija naikinama Civilinių orlaivių registro nuostatų 40 punkte, CAPPIS nuostatų bei NOESOIS nuostatų VI skyriuje nustatyta tvarka.
21. Informacinių sistemų elektroninės informacijos kopijų rengimas:
21.1. Informacinių sistemų elektroninės informacijos kopijos daromos ne rečiau kaip kartą per savaitę.
21.2. Elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, neleidžiančių panaudoti kopijas neteisėtai atkuriant elektroninę informaciją.
21.3. Atsarginės laikmenos su informacinių sistemų programinės įrangos kopijomis turi būti laikomos nedegioje spintoje, kitose patalpose arba kitame pastate, nei yra informacinių sistemų tarnybinės stotys.
21.4. Informacinių sistemų elektroninės informacijos kopijos saugomos kitose patalpose, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate taip, kad prireikus jas būtų galima atkurti.
21.5. Duomenys apie informacinių sistemų elektroninės informacijos kopijų darymą turi būti fiksuojami kopijų darymo įvykių žurnale.
22. Informacinių sistemų elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neteisėta veikla) nustatymo tvarka:
22.1. Informacinių sistemų administratoriai privalo ne rečiau kaip kartą per mėnesį peržiūrėti visus informacinių sistemų veiksmų žurnaluose registruojamus įrašus, siekdami patikrinti, ar nėra vykdoma neteisėta veikla.
22.2. Kilus įtarimų, kad su informacinėmis sistemomis ar jos elektronine informacija yra vykdoma neteisėta veikla, informacinių sistemų naudotojai privalo nedelsdami informuoti informacinių sistemų administratorius, informacinių sistemų saugos įgaliotinius. Į pranešimus apie neteisėtas veiklas turi būti reaguojama nedelsiant ir imamasi visų įmanomų veiksmų, reikalingų keliui neteisėtai veiklai užkirsti.
23. Programinės ir techninės informacinių sistemų įrangos keitimo ir atnaujinimo tvarka (toliau – pokyčių valdymo tvarka):
23.1. Pokyčiai identifikuojami analizuojant vidinę ir išorinę informacinių sistemų valdytojo ir informacinių sistemų tvarkytojo veiklos aplinką ir poreikius, kuriuos formuoja socialiniai, teisiniai, ekonominiai, technologiniai aspektai ir tendencijos, esama padėtis (informacinių sistemų sąranka, pažeidžiamumai, atitiktis teisės aktų ir standartų reikalavimams ir panašiai).
23.2. Pokyčiai, atsižvelgiant į jų svarbą, aktualumą ir poreikį, skirstomi į kategorijas pagal pokyčio tipą (administracinis, organizacinis, funkcinis, programinis ar techninis).
23.3. Pokyčius turi teisę inicijuoti informacinių sistemų duomenų valdymo įgaliotinis, informacinių sistemų saugos įgaliotinis ar informacinių sistemų administratorius (-iai), o įgyvendinti – informacinių sistemų administratorius (-iai). Atlikdamas (-i) informacinių sistemų sąrankos pakeitimus, informacinių sistemų administratorius (-iai) turi laikytis pokyčių valdymo tvarkos.
23.4. Prioritetas turi būti skiriamas skubiems ir plėtros (vystymo) pokyčiams. Pokyčių prioritetas nustatomas pokyčių įtakos vertinimo metu.
23.5. Funkcinių, programinių ir techninių pokyčių įtaką pagal kompetenciją vertina informacinių sistemų tvarkytojo struktūriniai padaliniai. Pokyčių įtakai įvertinti gali būti sudaroma darbo grupė. Šią darbo grupę gali sudaryti informacinių sistemų valdytojo ir informacinių sistemų tvarkytojo kompetentingi valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, prireikus – nepriklausomi ekspertai.
23.6. Pokyčių įtakos vertinimo metu turi būti įvertinama pokyčių nauda ir pagrįstumas, pokyčių įgyvendinamumas ir alternatyvūs sprendimai, pokyčiams atlikti reikalingos sąnaudos, taip pat informacinių sistemų veiklos sutrikdymo ar sustabdymo rizika, elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo pažeidimo rizika.
23.7. Galimybių studija turi būti rengiama, kai pokyčių įtakos vertinimo metu nustatoma, kad informacinėms sistemoms kurti ar modernizuoti planuojama viršyti Lietuvos Respublikos Vyriausybės ar jos įgaliotos institucijos patvirtintą lėšų dydį.
23.8. Visi informacinių sistemų pokyčiai, susiję su programinės ir (arba) techninės įrangos keitimu ir (arba) atnaujinimu, galintys sutrikdyti ar sustabdyti informacinių sistemų darbą, įgyvendinami tik raštu suderinus su informacinių sistemų valdytoju ar informacinių sistemų duomenų valdymo įgaliotiniu.
23.9. Prieš atliekant informacinių sistemų programinės ir (arba) techninės įrangos keitimą ir (arba) atnaujinimą, kurio metu gali būti pažeistas informacinių sistemų elektroninės informacijos vientisumas, prieinamumas ir (ar) konfidencialumas, pokyčiai turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri atskirta nuo eksploatuojamų informacinių sistemų.
23.10. Atlikus testavimą ir konstatavus keičiamos ir (arba) atnaujinamos informacinių sistemų programinės ir (arba) techninės įrangos sėkmingą veikimą, informacinių sistemų administratoriai pradeda rengti keičiamos ir (arba) atnaujinamos programinės ir (arba) techninės įrangos keitimo ir (arba) atnaujinimo planą.
23.11. Informacinių sistemų administratorius (-iai) privalo patikrinti (peržiūrėti) informacinių sistemų sąranką ir informacinių sistemų būsenos rodiklius reguliariai, ne rečiau kaip kartą per metus ir (arba) po informacinių sistemų pokyčio. Informacinių sistemų sąrankos aprašai turi būti nuolat atnaujinami ir rodyti esamą informacinių sistemų sąrankos būklę.
24. Informacinių sistemų naudojamų svetainių, pasiekiamų iš viešųjų elektroninių ryšių tinklų, saugumo ir kontrolės priemonės:
24.1. Turi būti įgyvendinti atpažinties, tapatumo patvirtinimo ir naudojimosi informacinių sistemų saugumo ir kontrolės reikalavimai, nustatyti Lietuvos Respublikos civilinių orlaivių registro, Civilinės aviacijos priežiūros paslaugų informacinės sistemos ir Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos naudotojų administravimo taisyklėse.
24.3. Svetainės, patvirtinančios nuotolinio prisijungimo tapatumą, turi drausti automatiškai išsaugoti slaptažodžiu.
24.6. Šifruojant naudojami skaitmeniniai sertifikatai privalo būti išduoti patikimų sertifikavimo tarnybų. Sertifikato raktas turi būti ne trumpesnis kaip 2 048 bitų.
24.8. Svetainės kriptografinės funkcijos turi būti įdiegtos tarnybinės stoties, kurioje yra svetainė, dalyje arba kriptografiniame saugumo modulyje (angl. Hardware Security Module).
24.9. Kriptografiniai raktai ir algoritmai turi būti nustatomi atsižvelgiant į Lietuvos ir tarptautinius standartus, Aprašo reikalavimus, krašto apsaugos ministro tvirtinamus Techninius informacinių sistemų elektroninės informacijos saugos reikalavimus.
24.10. Draudžiama tarnybinėje stotyje saugoti sesijos duomenis (identifikatorių) pasibaigus susijungimo sesijai.
24.11. Turi būti naudojama svetainės naudotojo įvedamų duomenų tikslumo kontrolė (angl. Validation).
24.12. Tarnybinė stotis, kurioje yra svetainė, neturi rodyti svetainės naudotojui klaidų pranešimų apie svetainės programinį kodą ar tarnybinę stotį.
24.13. Turi būti vykdomas informacinių sistemų naudotojų ir informacinių sistemų administratorių atliekamų veiksmų auditas ir naudojami kontrolės reikalavimai.
24.14. Tarnybinė stotis, kurioje yra svetainė, turi leisti tik svetainės funkcionalumui užtikrinti reikalingus HTTP (angl. HyperText Transfer Protocol) protokolo metodus.
25. Nešiojamiesiems kompiuteriams ir kitiems mobiliesiems įrenginiams (toliau visi kartu – mobilieji įrenginiai) taikomi tokie patys elektroninės informacijos saugos ir kibernetinio saugumo reikalavimai kaip ir stacionariesiems kompiuteriams. Papildomos mobiliųjų įrenginių saugumo priemonės:
25.1. Leidžiama naudoti tik tokius mobiliuosius įrenginius, kurie atitinka elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus, nustatytus Civilinių orlaivių registro saugos nuostatuose, CAPPIS saugos nuostatuose ir NOESOIS saugos nuostatuose ir Lietuvos Respublikos civilinių orlaivių registro, CAPPIS ir NOESOIS saugos politikos įgyvendinamuosiuose dokumentuose.
25.2. Turi būti užtikrinta kompiuterinių laikmenų apsauga. Nevieša informacija, laikoma mobiliuosiuose įrenginiuose, turi būti užšifruota.
25.3. Informacinių sistemų valdytojas turi turėti teises valdyti mobiliuosius įrenginius ir juose įdiegtą programinę įrangą.
25.4. Turi būti tikrinami informacinių sistemų naudojami mobilieji įrenginiai, informacinių sistemų saugos įgaliotiniui pranešama apie neleistinus ar saugumo reikalavimų neatitinkančius mobiliuosius įrenginius.
25.5. Turi būti įdiegiamos operacinės sistemos ir kiti naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai.
25.6. Duomenys, perduodami tarp mobiliojo įrenginio ir informacinių sistemų, turi būti šifruojami taikant virtualaus privataus tinklo (angl. VPN) technologiją.
IV SKYRIUS
REIKALAVIMAI, KELIAMI INFORMACINĖMS SISTEMOMS FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS
26. Informacinėms sistemoms funkcionuoti reikalingų paslaugų teikėjas, darbų vykdytojas ar prekių (įrangos) tiekėjas turi atitikti standartų, Taisyklių nustatytus paslaugų teikėjo, rangovo ar įrangos tiekėjo (toliau – paslaugų teikėjas) kompetencijos, patirties, teikiamų paslaugų, atliekamų darbų ar tiekiamų prekių (įrangos) reikalavimus ir rekomendacijas dėl jų, iš anksto nustatytus paslaugų teikimo, darbų atlikimo ar prekių (įrangos) tiekimo pirkimo dokumentuose.
27. Perkant paslaugas, darbus ar prekes (įrangą), susijusius su informacinėmis sistemomis, jų projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi būti nustatoma, kad paslaugų teikėjas užtikrina atitiktį Apraše nustatytiems reikalavimams. Perkamos paslaugos, darbai ar prekės (įranga), susiję su informacinėmis sistemomis, turi atitikti teisės aktų ir standartų, kuriais vadovaujamasi užtikrinant informacinių sistemų elektroninės informacijos saugą ir kibernetinį saugumą, reikalavimus, kurie iš anksto nustatomi paslaugų teikimo, darbų atlikimo ar įrangos tiekimo pirkimo dokumentuose.
28. Paslaugų teikėjui prieiga prie informacinių sistemų gali būti suteikiama tik pasirašius sutartį, kurioje turi būti nustatytos paslaugų teikėjo teisės, pareigos, prieigos prie informacinių sistemų lygiai ir sąlygos, elektroninės informacijos saugos, kibernetinio saugumo, konfidencialumo reikalavimai, reikalavimai, keliami paslaugų teikėjų patalpoms, įrangai, informacinių sistemų priežiūrai, duomenų perdavimui tinklais ir kitoms paslaugoms ir atsakomybė už jų nesilaikymą, reagavimas į paslaugos teikimo sutrikimus, elektroninės informacijos saugos incidentus ar kibernetinius incidentus (toliau – saugos incidentai).
29. Atitinkamos informacinės sistemos administratorius turi supažindinti paslaugų teikėją su suteiktos prieigos prie informacinių sistemų saugos ir kibernetinio saugumo reikalavimais ir sąlygomis. Informacinių sistemų administratoriai yra atsakingi už prieigos prie informacinių sistemų paslaugų teikėjui suteikimą ar panaikinimą pasirašius sutartį, pasibaigus sutarties su paslaugų teikėju galiojimo terminui ar kitais sutartyje nurodytais prieigos prie informacinių sistemų panaikinimo atvejais.
30. Paslaugų teikėjui suteikiamas tik toks prieigos prie informacinių sistemų lygis, kuris yra būtinas sutartyje nustatytiems įsipareigojimams vykdyti. Paslaugų teikėjo paskirtiems specialistams prieiga suteikiama paslaugų teikimo sutartyje nurodytam laikotarpiui jų nustatytoms funkcijoms atlikti ir jie turi pasirašyti konfidencialumo pasižadėjimus.
31. Praėjus suteiktam prieigos prie informacinių sistemų laikui, paslaugų teikėjų prieiga nedelsiant nutraukiama ir panaikinama.
32. Paslaugos teikėjas, teikiantis prieglobos paslaugas, turi užtikrinti patalpų, techninės ir programinės įrangos bei elektroninės informacijos perdavimo tinklais saugos priemones, išdėstytas Taisyklių III skyriuje, ir yra atsakingas už informacinių sistemų elektroninės informacijos kopijų darymą, saugojimą bei informacinių sistemų elektroninės informacijos iš kopijų atkūrimą.
33. Paslaugų teikėjas, vykdydamas sutartinius įsipareigojimus, turi įgyvendinti tinkamas organizacines ir technines priemones, skirtas informacinėms sistemoms ir jose tvarkomai elektroninei informacijai apsaugoti nuo netyčinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jos.
34. Informacinių sistemų tvarkytojas su interneto paslaugų teikėju (-ais) turi būti sudaręs sutartis dėl apsaugos nuo informacinių sistemų elektroninių paslaugų trikdžių, reagavimo į kibernetinius incidentus įprastomis darbo valandomis ir po darbo valandų, nepertraukiamo interneto paslaugos teikimo ir interneto paslaugos sutrikimų registravimo 24 valandas per parą, 7 dienas per savaitę.
35. Paslaugų teikėjas privalo nedelsdamas informuoti informacinių sistemų tvarkytoją apie sutarties vykdymo metu pastebėtus saugos incidentus, pastebėtas neveikiančias arba netinkamai veikiančias saugos ar kibernetinio saugumo užtikrinimo priemones, elektroninės informacijos saugos ar kibernetinio saugumo reikalavimų nesilaikymą, nusikalstamos veikos požymius, saugumo spragas, pažeidžiamas vietas, kitus svarbius saugai įvykius.
36. Už paslaugų teikimo kontrolę ir saugos priemonių auditą atsakingas informacinių sistemų tvarkytojas. Iškilus poreikiui, siekiant įsitikinti, ar tinkamai vykdoma sutartis, laikomasi elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų, informacinių sistemų tvarkytojas turi teisę atlikti paslaugos teikėjo teikiamų paslaugų stebėseną ir auditą, suteikti galimybę atlikti auditą trečiosioms šalims.
PATVIRTINTA
Lietuvos Respublikos susisiekimo
ministro 2020 m. gruodžio 31 d.
įsakymu Nr. 3-791
LIETUVOS RESPUBLIKOS CIVILINIŲ ORLAIVIŲ REGISTRO, CIVILINĖS AVIACIJOS PRIEŽIŪROS PASLAUGŲ INFORMACINĖS SISTEMOS IR NEVALDOMOS ORO ERDVĖS SKRYDŽIŲ ORGANIZAVIMO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos civilinių orlaivių registro, Civilinės aviacijos priežiūros paslaugų informacinės sistemos ir Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos veiklos tęstinumo valdymo planas (toliau – Planas) nustato Lietuvos Respublikos civilinių orlaivių registro, Civilinės aviacijos priežiūros paslaugų informacinės sistemos ir Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos (toliau – informacinės sistemos) veiklos tęstinumo organizacines, aprašomąsias ir Plano veiksmingumo išbandymo nuostatas.
3. Plane vartojamos sąvokos atitinka sąvokas, vartojamas Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Aprašas).
4. Planas parengtas vadovaujantis Aprašu, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu ir Nacionaliniu kibernetinių incidentų valdymo planu, patvirtintais Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.
5. Planas įsigalioja įvykus elektroninės informacijos saugos ar kibernetiniam incidentui, dėl kurio informacinių sistemų tvarkytojai negali teikti informacinių sistemų elektroninių paslaugų daliai informacinių sistemų naudotojų arba visiems informacinių sistemų naudotojams ir todėl būtina atkurti įprastą informacinių sistemų veiklą informacinių sistemų tvarkytojos – VšĮ Transporto kompetencijos agentūros (toliau – Agentūra) patalpose arba atsarginėse patalpose. Plano vykdymą inicijuoja informacinių sistemų veiklos tęstinumo valdymo grupės (toliau – VTVG) vadovas. Plano nuostatos taip pat taikomos po stichinės nelaimės, avarijos ar kitų ekstremaliųjų situacijų, kai būtina atkurti įprastą informacinių sistemų veiklą.
6. Informacinių sistemų saugos įgaliotinių, asmens ar padalinio, atsakingo už kibernetinio saugumo organizavimą ir užtikrinimą (toliau – kibernetinio saugumo vadovas), informacinių sistemų administratorių, informacinių sistemų naudotojų funkcijos, įgaliojimai ir veiksmai:
6.1. Informacinių sistemų saugos įgaliotinis:
6.1.1. bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, elektroninės informacijos saugos incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka informacinių sistemų elektroninės informacijos saugos darbo grupės;
6.1.2. duoda privalomus vykdyti nurodymus ir pavedimus informacinių sistemų valdytojo ir informacinių sistemų tvarkytojų darbuotojams, jeigu tai būtina elektroninės informacijos saugos politikai įgyvendinti;
6.2. Kibernetinio saugumo vadovas:
6.2.1. bendradarbiauja su kompetentingomis institucijomis, tiriančiomis kibernetinius incidentus, neteisėtas veikas, susijusias su kibernetiniais incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka informacinių sistemų kibernetinio saugumo darbo grupė;
6.3. Informacinių sistemų administratorius (-iai):
7. Informacinių sistemų veiklos atkūrimas finansuojamas naudojant Lietuvos Respublikos valstybės biudžeto asignavimus (įskaitant Europos Sąjungos fondų lėšas), kurie šiam tikslui skirti Lietuvos Respublikos susisiekimo ministerijai.
8. Planas yra privalomas informacinių sistemų valdytojui, informacinių sistemų tvarkytojams, informacinių sistemų saugos įgaliotiniams, informacinių sistemų administratoriams, kibernetinio saugumo vadovui ir informacinių sistemų naudotojams.
9. Informacinių sistemų veikla laikoma atkurta, jeigu yra atkuriamas elektroninės informacijos saugos ar kibernetinio incidento (toliau – saugos incidentas) metu sutrikdytas informacinių sistemų veikimas, užtikrintas jų duomenų prieinamumas, konfidencialumas ir vientisumas, o informacinių sistemų naudotojai gali tvarkyti informacinių sistemų elektroninę informaciją.
II SKYRIUS
ORGANIZACINĖS NUOSTATOS
11. VTVG sudaro:
11.1. Agentūros Veiklos organizavimo skyriaus informacinių technologijų specialistas (VTVG vadovas);
11.3. VTVG nariai:
12. VTVG funkcijos:
12.1. situacijos analizė ir sprendimų informacinių sistemų veiklos tęstinumo valdymo klausimais priėmimas;
12.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais informacinių sistemų veiklos tęstinumo valdymo klausimais;
12.3. bendravimas su kitų institucijų, informacinių sistemų prieglobos paslaugų teikėjų ir kitų organizacijų, susijusių su informacinėmis sistemomis, veiklos tęstinumo valdymo grupėmis;
12.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijų valstybės tarnautojais arba darbuotojais, dirbančiais pagal darbo sutartį, kitomis interesų grupėmis;
12.5. finansinių ir kitų išteklių, reikalingų informacinių sistemų veiklai atkurti, įvykus saugos incidentui, naudojimo kontrolė;
13. Informacinių sistemų veiklos atkūrimo grupę (toliau – VAG) sudaro:
13.3. VAG nariai:
14. VAG funkcijos:
14.1. informacinių sistemų veiklos atkūrimas (informacinių sistemų administratoriai), priežiūra ir koordinavimas;
14.2. informacinių sistemų tarnybinių stočių veikimo atkūrimas (informacinių sistemų administratoriai) ir organizavimas;
14.3. kompiuterių tinklų veikimo atkūrimas (informacinių sistemų administratoriai) ir organizavimas;
14.4. informacinių sistemų elektroninės informacijos atkūrimas (informacinių sistemų administratoriai) ir organizavimas;
16. VTVG, atlikusi situacijos analizę, susisiekia su VAG ir informuoja apie priimtus sprendimus dėl informacinių sistemų veiklos atkūrimo.
17. Tarpusavyje VTVG ir VAG nariai bendrauja asmeniškai, elektroniniu paštu arba mobiliaisiais telefonais.
20. VAG vadovas nuolat informuoja VTVG grupės narius apie informacinių sistemų veiklos atkūrimo eigą.
22. Atsarginės patalpos, naudojamos informacinių sistemų veiklai atkurti, turi atitikti visus pagrindinėms informacinių sistemų tarnybinių stočių patalpoms keliamus reikalavimus, nurodytus Lietuvos Respublikos civilinių orlaivių registro, Civilinės aviacijos priežiūros paslaugų informacinės sistemos ir Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių II skyriuje. Atsarginės patalpos, pritaikytos informacinių sistemų veiklai atkurti įvykus saugos incidentui, yra UAB „Baltnetos komunikacijos“ duomenų centro patalpos, esančios Liepkalnio g. 160C, Vilniuje.
III SKYRIUS
APRAŠOMOSIOS NUOSTATOS
23. Informacinių sistemų veiklos tęstinumui užtikrinti turi būti parengti ir saugomi šie dokumentai:
23.1. dokumentas, kuriame nurodyti informacinių technologijų įrangos parametrai ir už šios įrangos priežiūrą atsakingas (-i) informacinių sistemų administratorius (-iai), minimalus informacinės sistemos veiklai atkurti, nesant informacinių sistemų administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, reikiamos kompetencijos ar žinių lygis;
23.2. dokumentas, kuriame nurodyta minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos institucijos poreikius atitinkančiai informacinės sistemos veiklai užtikrinti įvykus saugos incidentui, specifikacija;
23.3. dokumentas, kuriame nurodyti kiekvieno pastato, kuriame yra informacinių sistemų įranga, aukšto patalpų brėžiniai ir juose pažymėta:
23.5. dokumentas, kuriame nurodytos elektroninės informacijos teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigos;
23.6. dokumentas, kuriame nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos;
24. Už Plano 23 punkte nurodytų dokumentų saugojimą atsakingi informacinių sistemų administratoriai.
25. Tuo atveju, kai naudojama (pagal nuomos, panaudos ar kitas sutartis) visa informacinių sistemų techninė įranga ar jos dalis, priklausanti trečiajai šaliai ir esanti jos patalpose, parengiamas dokumentas, kuriame nurodoma sutarties su trečiąja šalimi data ir numeris. Šis dokumentas ir sutarties kopija saugoma informacinių sistemų administratorių.
IV skyrius
PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS
26. Plano veiksmingumo išbandymą inicijuoja informacinių sistemų saugos įgaliotiniai. Už Plano veiksmingumo išbandymo organizavimą atsakingas Agentūros Veiklos organizavimo skyriaus vedėjas.
28. Išbandžius Plano veiksmingumą, VAG parengia Plano veiksmingumo išbandymo ataskaitą (toliau – ataskaita) ir pateikia ją VTVG. Plano kito išbandymo data nurodoma ataskaitoje.
Lietuvos Respublikos civilinių orlaivių
registro, Civilinės aviacijos priežiūros
paslaugų informacinės sistemos ir
Nevaldomos oro erdvės skrydžių
organizavimo informacinės sistemos
veiklos tęstinumo valdymo plano
priedas
LIETUVOS RESPUBLIKOS CIVILINIŲ ORLAIVIŲ REGISTRO, CIVILINĖS AVIACIJOS PRIEŽIŪROS PASLAUGŲ INFORMACINĖS SISTEMOS IR NEVALDOMOS ORO ERDVĖS SKRYDŽIŲ ORGANIZAVIMO INFORMACINĖS SISTEMOS VEIKLOS ATKŪRIMO DETALUSIS PLANAS
1. Lietuvos Respublikos civilinių orlaivių registro, Civilinės aviacijos priežiūros paslaugų informacinės sistemos ir Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos veiklos atkūrimo detaliajame plane nurodomi veiksmai, reikalingi Lietuvos Respublikos civilinių orlaivių registro, Civilinės aviacijos priežiūros paslaugų informacinės sistemos ir Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos (toliau – informacinės sistemos) veiklai atkurti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, jų vykdymo eiliškumas, terminai ir atsakingi vykdytojai.
2. Įsigaliojus informacinių sistemų veiklos tęstinumo valdymo planui, informacinių sistemų veiklos tęstinumo valdymo grupė (toliau – VTVG) informuoja informacinių sistemų naudotojus, kitus suinteresuotus asmenis apie informacinės sistemos veikimo sutrikimus. Informacija teikiama informacinių sistemų taikomosiose programose, kitomis priemonėmis (pvz., raštu, elektroniniu paštu ir panašiai).
3. Informacinių sistemų veiklos atkūrimo grupė (toliau – VAG) informacinių sistemų veiklą atkuria pagal šiuos informacinių sistemų funkcijų prioritetus:
3.1. tarnybinių stočių veikimo atkūrimas:
4. Informacinių sistemų veiklos atkūrimo veiksmai, atsižvelgiant į kibernetinio ar elektroninės informacijos saugos incidento tipą ir mastą, veiklos atkūrimo veiksmų pobūdį, turi būti atlikti per kuo trumpesnį terminą, kuris neturi būti ilgesnis kaip 16 valandų. Informacinių sistemų veiklos atkūrimo veiksmai nurodyti toliau pateiktoje lentelėje:
| Situacija |
Pirminiai veiksmai |
Veiklos atkūrimo veiksmai |
Atsakingi vykdytojai |
| 1. Manipuliacija elektronine informacija (pvz., elektroninės informacijos, įskaitant informacinių sistemų programinę įrangą, pakeitimas kita elektronine informacija, elektroninės informacijos iškraipymas, ištrynimas ar kitoks neteisėtas jos naudojimas) |
1.1. Incidento analizė |
1.1.1. Nustatomas atakos šaltinis, kibernetinio ar elektroninės informacijos saugos incidento padariniai, identifikuojama pakeista, sunaikinta ar kitaip neteisėtai tvarkyta elektroninė informacija Vykdymo terminas − 15 minučių nuo incidento nustatymo 1.1.2. Stabdomas pažeistos elektroninės informacijos teikimas Vykdymo terminas − 15 minučių nuo incidento nustatymo 1.1.3. Nustatomos elektroninės informacijos vientisumo pažeidimo, neteisėto tvarkymo priežastys Vykdymo terminas – 1 valanda nuo incidento nustatymo 1.1.4. Informuojamos kompetentingos institucijos, kitos suinteresuotos šalys. Informuojamos už kibernetinį saugumą atsakingos tarnybos: Nacionalinis kibernetinio saugumo centras* ir Valstybinė duomenų apsaugos inspekcija, jeigu incidentas yra susijęs su asmens duomenų saugumo pažeidimais. Pranešime apie didelės ir vidutinės reikšmės kibernetinį incidentą Nacionaliniam kibernetinio saugumo centrui turi būti nurodyta: kibernetinio incidento grupė (grupės), pogrupis (pogrupiai) ir kategorija**, trumpas kibernetinio incidento apibūdinimas, tikslus laikas, kada kibernetinis incidentas įvyko ir nustatytas, kibernetinio incidento šalinimo tvarka (turi būti nurodyta, ar tai prioritetas, ar ne), tikslus laikas, kada bus teikiama kibernetinio incidento tyrimo ataskaita. Pranešime apie nereikšmingą kibernetinį incidentą Nacionaliniam kibernetinio saugumo centrui turi būti nurodyta informacija apie kiekvienos grupės incidentų, įvykusių nuo paskutinio pranešimo pateikimo dienos, skaičių. Vykdymo terminas – nedelsiant, bet ne vėliau per 1 valandą nuo didelės reikšmės kibernetinio incidento nustatymo; 4 valandos nuo vidutinės reikšmės kibernetinio incidento nustatymo; kiekvieno kalendorinio mėnesio pirmą darbo dieną pateikiama informacija apie nereikšmingą kibernetinį incidentą |
VAG vadovas, VTVG vadovas, kibernetinio saugumo vadovas, saugos įgaliotinis, informacinių sistemų administratoriai |
| 1.2. Veiksmų plano sudarymas |
1.2.1. Sudaromas veiksmų planas manipuliacijos elektronine informacija padariniams likviduoti, informacinių sistemų veiklai atkurti ir informacinėms sistemoms apsaugoti Vykdymo terminas – 1 valanda nuo incidento nustatymo |
VTVG vadovas, VAG vadovas, kibernetinio saugumo vadovas, saugos įgaliotinis |
|
| 1.3. Padarinių likvidavimas ir veiklos atkūrimas |
1.3.1. Imamasi veiksmų neteisėtai veikai sustabdyti 1.3.2. Likviduojami kibernetinio ar elektroninės informacijos saugos incidento padariniai, atkuriamas informacinių sistemų veikimas, diegiamos informacinių sistemų apsaugos priemonės 1.3.3. Jeigu informacinių sistemų veiklos atkūrimo metu elektroninė informacija atkuriama iš atsarginių kopijų, tikrinama, ar atkurta elektroninė informacija yra teisinga 1.3.4. Jeigu nėra galimybės tinkamai atkurti elektroninę informaciją iš atsarginių kopijų, informacinių sistemų duomenų teikėjų prašoma pateikti elektroninę informaciją iš naujo 1.3.5. Atkuriamas elektroninės informacijos paslaugų teikimas 1.3.6. Prireikus veikla atkuriama atsarginėse patalpose Vykdymo terminas – priklausomai nuo sutrikimų šalinimo darbų pobūdžio |
VTVG vadovas, VAG vadovas, kibernetinio saugumo vadovas, saugos įgaliotinis, informacinių sistemų administratoriai |
|
|
|
|
1.3.7. Nacionaliniam kibernetinio saugumo centrui pateikiama didelės ir vidutinės reikšmės kibernetinio incidento tyrimo ataskaita, kurioje nurodoma: 1.3.7.1. kibernetinio incidento grupė (grupės), pogrupis (pogrupiai) ir poveikio kategorija; 1.3.7.2. ryšių ir informacinės sistemos, kurioje nustatytas kibernetinis incidentas, tipas (elektroninių ryšių tinklas, informacinė sistema, registras, pramoninių procesų valdymo sistema, tarnybinė stotis ir panašiai); 1.3.7.3. kibernetinio incidento veikimo trukmė; 1.3.7.4. kibernetinio incidento šaltinis; 1.3.7.5. kibernetinio incidento požymiai; 1.3.7.6. kibernetinio incidento veikimo metodas; 1.3.7.7. galimos ir (ar) nustatytos kibernetinio incidento pasekmės; 1.3.7.8. kibernetinio incidento poveikio pasireiškimo (galimo išplitimo) mastas; 1.3.7.9. kibernetinio incidento būsena (aktyvus, pasyvus); 1.3.7.10. priemonės, kuriomis kibernetinis incidentas nustatytas; 1.3.7.11. galimos ir (ar) taikomos kibernetinio incidento valdymo priemonės; 1.3.7.12. tikslus laikas, kada bus teikiama pakartotinė kibernetinio incidento tyrimo ataskaita Vykdymo terminas – ne vėliau kaip per 4 valandas nuo didelio poveikio kibernetinio incidento nustatymo ir ne rečiau kaip kas 4 valandas atnaujintą informaciją, iki kibernetinis incidentas suvaldomas ar pasibaigia; ne vėliau kaip per 24 valandas nuo vidutinio poveikio kibernetinio incidento nustatymo ir ne rečiau kaip kas 24 valandas atnaujintą informaciją, iki kibernetinis incidentas suvaldomas ar pasibaigia. 1.3.8. Nacionaliniam kibernetinio saugumo centrui pranešama apie didelės ir vidutinės reikšmės kibernetinio incidento suvaldymą ir pasibaigimą Vykdymo terminas – 4 valandos nuo didelės ir vidutinės reikšmės kibernetinio incidento suvaldymo ir pasibaigimo |
|
| 2. Ryšio sutrikimas |
2.1. Ryšio sutrikimo priežasties nustatymas |
2.1.1. Aiškinamasi ryšio sutrikimo priežastis. Jeigu nustatoma, kad ryšys sutriko ne dėl įrangos gedimo, kreipiamasi į ryšio paslaugų teikėją dėl ryšio sutrikimo pašalinimo Vykdymo terminas – 1 valanda |
VAG vadovas |
| 2.2. Ryšio tarnybų informavimas, paklausimo dėl sutrikimo trukmės ir sutrikimo pašalinimo prognozės |
2.2.1. Priemonių sutrikimams pašalinti nustatymas Vykdymo terminas – 10 minučių |
VAG vadovas, VTVG vadovas, saugos įgaliotinis, kibernetinio saugumo vadovas, informacinių sistemų administratoriai |
|
| 2.3. Ryšio sutrikimo pašalinimas |
2.3.1. Priemonių įgyvendinimas Vykdymo terminas – 24 valandos |
VAG vadovas, VTVG vadovas, informacinių sistemų administratoriai |
|
| 3. Kritinės techninės įrangos gedimas, praradimas (pvz., techninis serverio, duomenų saugyklos, tinklo paskirstymo komponento, tinklo sietuvo, tinklo sąsajos, oro kondicionavimo įrangos gedimas, šios įrangos vagystė arba sugadinimas) |
3.1. Incidento analizė |
3.1.1. Nustatomas techninės įrangos gedimas, sugadinta ar prarasta techninė įranga Vykdymo terminas – 1 valanda |
VAG vadovas, informacinių sistemų administratoriai |
| 3.1.2. Nustatomi ir įvertinami įvykio padariniai, žala Vykdymo terminas – 1 valanda |
VTVG vadovas, VAG vadovas |
||
| 3.2. Veiksmų plano sudarymas |
3.2.1. Sudaromas veiksmų planas ir, atsižvelgiant į techninės įrangos gedimo, sugadinimo ar praradimo mastą, pasirenkamas optimalus veiklos atkūrimo scenarijus. Galimi veiklos atkūrimo scenarijai: 3.2.1.1. naudoti kitos turimos techninės įrangos išteklius; 3.2.1.2. kreiptis į techninės įrangos garantinių paslaugų teikėją; 3.2.1.3. užsakyti reikalingą techninę įrangą pagal įrangos tiekimo sutartis; 3.2.1.4. vykdyti viešąjį techninės įrangos pirkimą; 3.2.1.5. atkurti veiklą atsarginėse patalpose (naudoti atsarginėse patalpose esančią infrastruktūrą arba šiose patalpose įrengti reikiamą įrangą) 3.2.2. Prireikus numatomas finansinių ir kitokių išteklių poreikis informacinių sistemų veiklai atkurti Vykdymo terminas – 24 valandos |
VTVG vadovas, VAG vadovas, saugos įgaliotinis, kibernetinio saugumo vadovas, informacinių sistemų administratoriai |
|
| 3.3. Padarinių likvidavimas ir veiklos atkūrimas |
3.3.1. Informacinių sistemų veikla atkuriama pagrindinėse patalpose arba atsarginėse patalpose pagal pasirinktą veiklos atkūrimo scenarijų Vykdymo terminas – 24 valandos |
VAG vadovas, informacinių sistemų administratoriai |
|
| 4. Stichinė nelaimė, avarija, patalpų praradimas, pažeidimas (pvz., žemės drebėjimas, potvynis, gaisras, sprogimas, teroristinis išpuolis, didelio kiekio pavojingųjų medžiagų išsiveržimas į aplinką) |
4.1. Standartinių veiksmų vykdymas |
4.1.1. Veiksmų, nustatytų informacinių sistemų valdytojo, informacinių sistemų tvarkytojo valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis (toliau kartu – darbuotojai), saugos ir sveikatos įvadinėse instrukcijose, vykdymas Vykdymo terminas – 30 minučių |
Darbuotojai, kiti asmenys |
| 5. Patalpų užgrobimas |
5.1. Teisėsaugos institucijų informavimas |
5.1.1. Apie neteisėtą įsibrovimą į patalpas informuojamos teisėsaugos institucijos Vykdymo terminas – 10 minučių 5.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra teisėsaugos institucijos nurodymas Vykdymo terminas – 10 minučių |
VTVG vadovas |
| 5.2. Darbuotojų evakavimas, jei yra teisėsaugos institucijų rekomendacija |
5.2.1. Draudimas įeiti į patalpas bet kuriems asmenims, jei yra teisėsaugos institucijos nurodymų 5.2.2. Darbuotojų informavimas apie evakavimą Vykdymo terminas – 30 minučių |
VTVG vadovas |
|
| 5.3. Patalpų užrakinimas, jei yra galimybė |
5.3.1. Teisėsaugos institucijų nurodymų vykdymas Vykdymo terminas – 24 valandos |
VTVG vadovas |
|
| 5.4. Teisėsaugos institucijų kitų nurodymų vykdymas, jei yra rekomendacija |
5.4.1. Darbuotojų informavimas apie nurodymų vykdymą Vykdymo terminas – 10 minučių |
VAG vadovas |
|
| 5.5. Veiksmai atlaisvinus užgrobtas patalpas |
5.5.1. Padarytos žalos įvertinimas 5.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, darbuotojų instruktavimas ir plano vykdymas Vykdymo terminas – 24 valandos |
VTVG vadovas, VAG vadovas |
|
| 6. Komunalinių paslaugų teikimo sutrikimai (nutrūksta elektros energijos, šildymo, vandens tiekimas) |
6.1. Incidento analizė |
6.1.1. Pagal kompetenciją nustatomos galimos komunalinių paslaugų teikimo sutrikimo priežastys 6.1.2. Informuojami komunalinių paslaugų teikėjai Vykdymo terminas – 10 minučių |
VTVG vadovas, VAG vadovas |
| 6.2. Veiksmų plano sudarymas |
6.2.1. Sudaromas veiksmų planas paslaugų teikimo sutrikimams pašalinti Vykdymo terminas – 1 valanda |
VTVG vadovas, VAG vadovas, saugos įgaliotinis, kibernetinio saugumo vadovas |
|
| 6.3. Padarinių likvidavimas ir veiklos atkūrimas |
6.3.1. Organizuojamas komunalinių paslaugų teikimo sutrikimų pagal veiksmų planą šalinimas Vykdymo terminas – 24 valandos |
VAG vadovas, informacinių sistemų administratoriai |
|
| 7. Darbuotojų praradimas (pvz., nėra darbuotojų, galinčių vykdyti svarbius įstaigos veiklos procesus) |
7.1. Incidento analizė |
7.1.1. Nustatoma, kokie žmogiškieji ištekliai, būtini svarbiems procesams vykdyti, yra prarasti 7.1.2. Nustatoma, kokios kompetencijos darbuotojų reikia svarbiems procesas vykdyti Vykdymo terminas – 1 valanda |
Teisės ir personalo skyrius |
| 7.2. Veiklos atkūrimas |
7.2.1. Trūkstamas personalas pakeičiamas pakaitiniais darbuotojais. Prireikus apmokomi esami darbuotojai 7.2.2. Vykdoma naujų darbuotojų paieška ir atliekamos įdarbinimo procedūros Vykdymo terminas – priklausomai nuo sutrikimų šalinimo darbų pobūdžio |
Teisės ir personalo skyrius |
|
| * Apie kibernetinius incidentus Nacionalinis kibernetinio saugumo centras turi būti informuojamas užpildant pranešimo apie incidentą formą, esančią interneto svetainėje https://nksc.lt, arba išsiunčiant informaciją apie incidentą el. paštu cert@nksc.lt arba skambinant telefonu 1805. ** Kibernetinių incidentų kategorijos nurodytos Nacionaliniame kibernetinių incidentų valdymo plane, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu |
|||
_____________________
PATVIRTINTA
Lietuvos Respublikos susisiekimo
ministro 2020 m. gruodžio 31 d.
įsakymu Nr. 3-791
LIETUVOS RESPUBLIKOS CIVILINIŲ ORLAIVIŲ REGISTRO, CIVILINĖS AVIACIJOS PRIEŽIŪROS PASLAUGŲ INFORMACINĖS SISTEMOS IR NEVALDOMOS ORO ERDVĖS SKRYDŽIŲ ORGANIZAVIMO INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos civilinių orlaivių registro, Civilinės aviacijos priežiūros paslaugų informacinės sistemos ir Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos naudotojų administravimo taisyklės (toliau – Taisyklės) nustato Lietuvos Respublikos civilinių orlaivių registro, Civilinės aviacijos priežiūros paslaugų informacinės sistemos ir Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos (toliau – informacinės sistemos) naudotojų įgaliojimus, teises, pareigas ir kontrolės tvarką.
2. Taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, ir Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.
3. Taisyklėse vartojamos sąvokos atitinka sąvokas, vartojamas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, taip pat kituose susijusiuose Lietuvos Respublikos įstatymuose ir teisės aktuose.
4. Taisyklės taikomos informacinių sistemų administratoriams, informacinių sistemų naudotojų administratoriams (toliau abu kartu – administratoriai) ir jų tiesioginiams vadovams, visiems informacinių sistemų naudotojams, informacinių sistemų saugos įgaliotiniams ir asmeniui (-ims) ar padaliniui, atsakingam (-iems) už kibernetinio saugumo organizavimą ir užtikrinimą (toliau – kibernetinio saugumo vadovas).
5. Informacinių sistemų naudotojams prieiga prie informacinių sistemų elektroninės informacijos suteikiama vadovaujantis šiais principais:
5.1. informacinių sistemų naudotojų prieiga prie elektroninės informacijos grindžiama principu „Būtina žinoti“, kuris reiškia, kad informacinių sistemų naudotojams suteikiama prieiga tik prie tos informacinių sistemų elektroninės informacijos, kuri reikalinga vykdant tiesiogines jų darbo (tarnybos) funkcijas; tvarkyti informacinių sistemų elektroninę informaciją gali tik tie informacinių sistemų naudotojai, kuriems Taisyklių III skyriuje nustatyta tvarka suteiktos prieigos prie informacinių sistemų elektroninės informacijos teisės ir priemonės (pvz., identifikavimo priemonės, slaptažodžiai ar kitos autentifikavimo priemonės ir pan.);
5.2. kiekvienas informacinių sistemų naudotojas turi būti informacinių sistemų unikaliai identifikuojamas (asmens kodas negali būti naudojamas kaip naudotojo identifikatorius);
5.3. informacinių sistemų naudotojų prieigos prie informacinių sistemų elektroninės informacijos lygis grindžiamas mažiausios privilegijos principu, kuris reiškia, kad turi būti suteikiamos tik minimalios informacinių sistemų naudotojų tiesioginėms darbo (tarnybos) funkcijoms vykdyti reikalingos prieigos teisės ir organizacinėmis bei techninėmis priemonėmis užtikrinama minimalių prieigos teisių naudojimo kontrolė (pvz., privilegijuotos prieigos teisės neturi būti naudojamos veiklai, kuriai atlikti pakanka žemesnio lygio prieigos teisių, ir pan.);
5.4. pareigų atskyrimo principu, kuris reiškia, kad informacinių sistemų naudotojui negali būti pavesta atlikti ar kontroliuoti visų pagrindinių informacinių sistemų elektroninės informacijos tvarkymo ar informacinių sistemų priežiūros funkcijų (pvz., informacinių sistemų naudotojams negali būti suteikiamos administratorių teisės, informacinių sistemų priežiūros funkcijos turi būti atliekamos naudojant atskiras tam skirtas administratorių paskyras, kuriomis naudojantis negalima atlikti kasdienių informacinių sistemų naudotojo funkcijų ir pan.).
II SKYRIUS
informacinių sistemų NAUDOTOJŲ IR informacinių sistemų ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS
6. Informacinių sistemų naudotojai ir administratoriai privalo rūpintis informacinėmis sistemomis ir jose tvarkomos elektroninės informacijos sauga ir kibernetiniu saugumu, tvarkyti elektroninę informaciją vadovaudamiesi informacinių sistemų veiklą reglamentuojančiais teisės aktais, savo veiksmais nepažeisti elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo.
7. Administratoriai, pastebėję Lietuvos Respublikos civilinių orlaivių registro duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos susisiekimo ministro 2011 m. kovo 25 d. įsakymu Nr. 3-169 „Dėl Lietuvos Respublikos civilinių orlaivių registro duomenų saugos nuostatų patvirtinimo, saugos įgaliotinio ir saugos politiką įgyvendinančių dokumentų rengėjo paskyrimo“, Civilinės aviacijos priežiūros paslaugų informacinės sistemos duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos susisiekimo ministro 2016 m. liepos 15 d. įsakymu
Nr. 3-235(1.5 E) „Dėl Civilinės aviacijos priežiūros paslaugų informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“, Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos susisiekimo ministro 2018 m. balandžio 16 d. įsakymu Nr. 3-177 „Dėl Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“, ir informacinių sistemų saugos politikos įgyvendinamuosiuose dokumentuose (toliau visi kartu – saugos dokumentai) nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos ir (ar) kibernetinio saugumo užtikrinimo priemones, privalo nedelsdami kreiptis į informacinių sistemų saugos įgaliotinius, kibernetinio saugumo vadovą.
8. Informacinių sistemų naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos ir (ar) kibernetinio saugumo užtikrinimo priemones, privalo nedelsdami apie tai pranešti administratoriams, informacinių sistemų saugos įgaliotiniams, kibernetinio saugumo vadovui.
9. Jeigu informacinių sistemų saugos įgaliotiniai nebuvo informuoti apie Taisyklių 8 punkte nurodytus pažeidimus, apie tai juos informuoja administratoriai. Įtarę neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią informacinių sistemų saugą, informacinių sistemų saugos įgaliotiniai apie tai turi pranešti informacinių sistemų valdytojo vadovui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, elektroninės informacijos saugos incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais.
10. Informacinių sistemų saugos įgaliotiniai informuoja kibernetinio saugumo vadovą apie Taisyklių 8 punkte nurodytus pažeidimus, susijusius su informacinių sistemų kibernetiniu saugumu, jei jis apie tai nebuvo informuotas. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią informacinių sistemų kibernetinį saugumą, kibernetinio saugumo vadovas apie tai turi pranešti informacinių sistemų valdytojo vadovui ir kompetentingoms institucijoms, tiriančioms kibernetinius incidentus, neteisėtas veikas, susijusias su kibernetiniais incidentais.
11. Informacinių sistemų naudotojai gali naudotis tik tomis informacinių sistemų dalimis ir jose apdorojama elektronine informacija, prie kurios prieiga jiems yra nustatyta pagal informacinių sistemų naudotojo tipus.
12. Informacinių sistemų naudotojai ir informacinių sistemų administratoriai, tvarkantys informacinių sistemų elektroninę informaciją, privalo laikytis saugos dokumentuose ir kituose teisės aktuose nustatytų reikalavimų.
13. Informacinių sistemų naudotojai ir administratoriai privalo užtikrinti informacinių sistemų ir jose esančios elektroninės informacijos saugą pagal kompetenciją.
14. Serverių administratoriams ir informacinių sistemų administratoriams suteikiama visiška prieiga prie jų funkcijoms atlikti reikalingų informacinių sistemų, informacinių sistemų naudotojų duomenų ir visų informacinių sistemų dalių valdymo parametrų bei teisė juos skaityti, redaguoti, atnaujinti, kopijuoti ar naikinti, kai tai reikalinga šios sistemos veikimui užtikrinti.
III SKYRIUS
SAUGAUS DUOMENŲ TEIKIMO informacinių sistemų NAUDOTOJAMS KONTROLĖS TVARKA
15. Už informacinių sistemų naudotojų ir informacinių sistemų administratorių įregistravimą ir išregistravimą atsakingi informacinių sistemų naudotojų administratoriai. Už informacijos, reikalingos informacinių sistemų naudotojų ir informacinių sistemų administratorių įregistravimo ir išregistravimo veiksmams atlikti, kuri nurodyta Taisyklių 17 punkte, pateikimą informacinių sistemų naudotojų administratoriui atsakingi tiesioginiai informacinių sistemų naudotojų ir informacinių sistemų administratorių vadovai.
16. Informacinių sistemų naudotojai ir informacinių sistemų administratoriai įregistruojami informacinių sistemų posistemiuose ir komponentuose arba išregistruojami iš jų suteikiant jiems prieigos prie informacinių sistemų teises arba jas panaikinant.
17. Informacinių sistemų naudotojų ar informacinių sistemų administratorių registravimo ir išregistravimo tvarka:
17.1. Informacinių sistemų naudotojų ir informacinių sistemų administratorių prieigos teises suteikia, pakeičia, sustabdo ar panaikina, unikalius prisijungimo informacinių sistemų vardus ir pirminius prisijungimo slaptažodžius perduoda informacinių sistemų naudotojų administratoriai, gavę tiesioginio informacinių sistemų naudotojų ar informacinių sistemų administratorių vadovo rašytinį prašymą. Informacinių sistemų naudotojų administratoriai prieigos teises turi suteikti arba pakeisti ne vėliau kaip per 1 darbo dieną nuo rašytinio prašymo gavimo dienos arba ne vėliau kaip iki prašyme nurodyto termino pabaigos, jei terminas buvo nurodytas. Prašyme turi būti patvirtinama, kad informacinių sistemų naudotojai ir informacinių sistemų administratoriai yra pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį ir pasirašytinai susipažinę su saugos dokumentais ar jų santrauka ir sutikę laikytis jų reikalavimų.
17.2. Teisė tvarkyti elektroninę informaciją gali būti suteikiama tik įsitikinus, kad informacinių sistemų naudotojai ir informacinių sistemų administratoriai yra pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį ir pasirašytinai susipažinę su saugos dokumentais ar jų santrauka ir sutikę laikytis jų reikalavimų.
17.3. Informacinių sistemų naudotojų administratoriai prieigos teises sustabdo nedelsdami, gavę tiesioginio informacinių sistemų naudotojų ar informacinių sistemų administratorių vadovo elektroniniu paštu pateiktą informaciją apie tai, kad teisės aktų nustatytais atvejais informacinių sistemų naudotojai ar informacinių sistemų administratoriai nušalinami nuo darbo (pareigų), neatitinka teisės aktuose nustatytų informacinių sistemų naudotojų ar informacinių sistemų administratorių kvalifikacinių reikalavimų, praranda patikimumą ar yra nėštumo, gimdymo, tėvystės ar vaiko priežiūros atostogose.
17.4. Informacinių sistemų naudotojų administratoriai prieigos teises panaikina, gavę tiesioginio informacinių sistemų naudotojų ar informacinių sistemų administratorių vadovo elektroniniu paštu pateiktą informaciją apie informacinių sistemų naudotojų ar informacinių sistemų administratorių darbo (tarnybos) santykių pasibaigimą. Informacinių sistemų naudotojų administratoriai prieigos teises turi panaikinti ne vėliau kaip iki paskutinės informacinių sistemų naudotojų ar informacinių sistemų administratorių darbo (tarnybos) dienos pabaigos. Priverstinio darbo (tarnybos) santykių nutraukimo atveju ir kitais atvejais, kai yra rizika, kad informacinių sistemų naudotojai ar informacinių sistemų administratoriai gali atlikti tyčinius veiksmus (pakeisti ar sunaikinti elektroninę informaciją, sutrikdyti elektroninės informaciją perdavimą informacinių technologijų duomenų perdavimo tinklais, pažeisti informacinės sistemos saugumą, įvykdyti vagystę ir kt.), prieigos teisės turi būti panaikintos nedelsiant.
17.5. Tiesioginis informacinių sistemų naudotojų ar informacinių sistemų administratorių vadovas ne rečiau kaip kartą per metus arba keičiantis informacinių sistemų naudotojų ar informacinių sistemų administratorių funkcijoms turi peržiūrėti šiems darbuotojams suteiktas teises, įvertinti, ar jie toliau gali vykdyti funkcijas, ir parengti rašytinį prašymą dėl prieigos teisių informacinių sistemų naudotojams ar informacinių sistemų administratoriams pakeitimo, jeigu suteiktos prieigos teisės neatitinka vykdomų funkcijų.
18. Informacinių sistemų naudotojų administratoriams prieigos teises suteikia, pakeičia, sustabdo ar panaikina, unikalius prisijungimo informacinių sistemų vardus ir pirminius prisijungimo slaptažodžius perduoda jų tiesioginis vadovas.
19. Kiekvienas informacinių sistemų naudotojas ir administratoriai informacinėje sistemoje turi būti unikaliai identifikuojami. Asmens kodas negali būti naudojamas kaip informacinių sistemų naudotojo ir administratorių identifikatorius.
20. Informacinių sistemų naudotojai turi patvirtinti savo tapatybę slaptažodžiu. Administratorių tapatumui patvirtinti turi būti naudojamos dviejų veiksnių tapatumo patvirtinimo priemonės, jeigu informacinėse sistemose įdiegtos tokios funkcinės galimybės.
21. Informacinių sistemų naudotojų, informacinių sistemų administratorių paskyrų kontrolės priemonės:
21.1. Paskyrų galiojimas turi būti laikinai sustabdomas, kai informacinių sistemų naudotojas nesinaudoja informacine sistema ilgiau kaip 90 dienų (informacinių sistemų administratorius – 60 dienų), jeigu informacinėse sistemose įdiegtos tokios funkcinės galimybės.
21.2. Turi būti patvirtinti asmenų, kuriems suteiktos informacinių sistemų administratoriaus teisės prisijungti prie informacinių sistemų, sąrašai, kuriuos periodiškai turi peržiūrėti informacinių sistemų saugos įgaliotiniai ar kibernetinio saugumo vadovas. Sąrašas turi būti nedelsiant peržiūrėtas, kai įstatymų nustatytais atvejais informacinių sistemų administratorius nušalinamas nuo darbo (pareigų).
21.3. Turi būti periodiškai tikrinama, ar nėra nepatvirtintų informacinių sistemų naudotojų ar informacinių sistemų administratorių paskyrų, ir apie nepatvirtintas paskyras pranešama informacinių sistemų saugos įgaliotiniams ar kibernetinio saugumo vadovui. Apie nepatvirtintas informacinių sistemų naudotojų ar informacinių sistemų administratorių paskyras turi būti pranešama nedelsiant.
21.4. Nereikalingos ar nenaudojamos informacinių sistemų naudotojų ar informacinių sistemų administratorių paskyros turi būti blokuojamos nedelsiant ir ištrinamos praėjus audito duomenų saugojimo terminui, nustatytam Lietuvos Respublikos civilinių orlaivių registro, Civilinės aviacijos priežiūros paslaugų informacinės sistemos ir Nevaldomos oro erdvės skrydžių organizavimo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse.
22. Informacinių sistemų naudotojų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai:
22.2. Slaptažodis turi būti sudaromas naudojant didžiųjų ir mažųjų raidžių, skaičių ir specialiųjų simbolių kombinacijas.
22.3. Slaptažodžiai neturi būti lengvai nuspėjami, neturi būti naudojama asmeninio pobūdžio informacija (šeimos narių vardai, gimimo datos, telefonų numeriai ir pan.);
22.4. Sudarant slaptažodį reikėtų vengti prasminių žodžių ar jų junginių, esančių lietuvių kalbos ar kitų kalbų žodynuose.
22.5. Sudarant slaptažodį nenaudoti iš eilės einančių tokių pat simbolių arba tik skaitmeninių ar tik abėcėlinių grupių.
22.7. Keičiant slaptažodį turi būti neleista pasirinkti slaptažodžio iš buvusių 10 paskutinių slaptažodžių.
22.8. Pirmojo prisijungimo prie informacinių sistemų metu turi būti automatiškai inicijuojamas laikino slaptažodžio pakeitimas.
22.9. Informacinių sistemų naudotojas, pirmą kartą gavęs ar gavęs naują informacinių sistemų naudotojų administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie informacinių sistemų, nedelsdamas slaptažodį pakeisti ir jį įsiminti.
22.10. Draudžiama slaptažodžius, prieigos vardus ir kitus prisijungimo duomenis atskleisti tretiesiems asmenims.
22.11. Informacinių sistemų naudotojas, įtaręs, kad tretieji asmenys sužinojo slaptažodį, privalo nedelsdamas jį pakeisti.
22.12. Informacinių sistemų naudotojai neturi teisės užrašyto slaptažodžio palikti matomoje vietoje.
22.13. Slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais.
22.14. Informacinių sistemų dalys, atliekančios nuotolinio prisijungimo autentifikavimą, turi neleisti automatiškai išsaugoti slaptažodžių.
22.15. Didžiausias leidžiamas mėginimų įvesti teisingą slaptažodį skaičius turi būti ne didesnis kaip 5 kartai. Viršijus leidžiamą mėginimų įvesti teisingą slaptažodį skaičių, informacinės sistemos turi užsirakinti ir neleisti identifikuotis ne trumpiau kaip 15 minučių. Apie informacinių sistemų naudotojų paskyrų automatinį užsirakinimą turi būti informuojami informacinių sistemų administratoriai, jeigu informacinėse sistemose įdiegtos tokios funkcinės galimybės.
23. Papildomi reikalavimai administratorių slaptažodžiams:
23.3. Keičiant slaptažodį informacinių sistemų dalys neturi leisti sudaryti slaptažodžio iš buvusių 3 paskutinių slaptažodžių tais atvejais, kai informacinių sistemų komponentai palaiko tokį funkcionalumą.
IV SKYRIUS
BAIGIAMOSIOS NUOSTATOS