PATVIRTINTA

Aplinkos apsaugos departamento prie

Aplinkos ministerijos direktoriaus

2023 m. balandžio 24 d. įsakymu Nr. AD1-122

APLINKOS APSAUGOS DEPARTAMENTO PRIE APLINKOS MINISTRIJOS INFORMACINĖS SISTEMOS IR RYŠIŲ TECHNOLOGIJŲ VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Aplinkos apsaugos departamento prie Aplinkos ministerijos valdomos informacinės sistemos ir ryšių technologijų veiklos tęstinumo valdymo planas (toliau – Veiklos tęstinumo valdymo planas) reglamentuoja Aplinkos apsaugos departamento prie Aplinkos ministerijos (toliau – AAD) taisykles bei procedūras, kurių būtina laikytis atkuriant AAD valdomos informacinės sistemos (toliau – AADIS) veiklą ir užtikrinant jų funkcijų vykdymo tęstinumą, įvykus elektroninės informacijos saugos ar kibernetinio saugumo incidentui (toliau – saugos incidentas). Planas įsigalioja įvykus elektroninės informacijos saugos incidentui.

2. Veiklos tęstinumo valdymo planas parengtas vadovaujantis:

2.1. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinės sistemos, registrų ir kitų informacinės sistemos klasifikavimo gairių aprašo patvirtinimo“;

2.2. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

2.3. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“.

2.4. AADIS duomenų saugos nuostatais;

2.5. kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą;

2.6. Lietuvos standartais LST ISO/IEC 27002 (aktualios redakcijos) „Informacijos saugumo valdymo praktikos kodeksas“, LST ISO/IEC 27001 (aktualios redakcijos) „Informacijos saugumo valdymo sistemos. Reikalavimai “.

3. Veiklos tęstinumo valdymo plane vartojamos sąvokos:

3.1. informacinės sistemos ir ryšių technologijos – informacinės sistemos, programinė ir techninė įranga bei kiti informaciniai technologiniai ištekliai;

3.2. kitos Veiklos tęstinumo valdymo plane vartojamos sąvokos atitinka Veiklos tęstinumo valdymo plano 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

4. Veiklos tęstinumo valdymo plano tikslas – užtikrinti AADIS ir ryšių technologijų (toliau – IRT) veiklos tęstinumą elektroninės informacijos saugos incidento metu, kilus pavojui informacinės sistemos duomenims, techninės ir programinės įrangos funkcionavimui. Veiklos tęstinumo valdymo planas skirtas spręsti saugos incidentams, dėl kurių gali atsirasti neteisėto prisijungimo prie informacinės sistemos ar ryšių technologijų galimybė, būti sutrikdyta ar pakeista IRT veikla, sunaikinta, sugadinta ar pakeista informacinės sistemos elektroninė informacija, panaikinta ar apribota galimybė naudotis informacinės sistemos elektronine informacija, sudarytos sąlygos neteisėtai pasisavinti elektroninę informaciją, ją paskleisti ar kitaip panaudoti.

5. Veiklos tęstinumo valdymo planu privalo vadovautis informacinės sistemos valdytojas, informacinės sistemos tvarkytojai, šių sistemų naudotojai ir saugos įgaliotiniai (-is), taip pat informacinės sistemos administratoriai.

6. Veiklos tęstinumo valdymo planas taikomas IRT, jeigu nėra parengtų ir patvirtintų atskirų IRT veiklos tęstinumo valdymo planų.

7. Informacinės sistemos naudotojų, saugos įgaliotinių ir administratorių įgaliojimai bei atsakomybė yra nurodyti AADIS naudotojų administravimo taisyklėse.

8. Informacinės sistemos naudotojai, pastebėję IRT veiklos sutrikimus, neveikiančias ar netinkamai veikiančias informacinės sistemos saugos užtikrinimo priemones, turi nedelsdami registruoti saugos incidentą AAD IT pagalbos informacinę sistemoje, jei nėra galimybės registruoti – nedelsiant kitomis priemonėmis apie jį pranešti AADIS administratoriams.

9. AADIS naudotojai, sužinoję apie saugos incidentą, turi nedelsdami nutraukti darbą su IRT, jeigu tai yra būtina.

10. Saugos įgaliotinių, informacinės sistemos administratorių ir kitų atsakingų darbuotojų atliekami veiksmai įvykus saugos incidentui yra nurodyti AAD valdomų IRT veiklos tęstinumo valdymo detaliajame plane (1 priedas).

11. IRT informacijos saugos incidento metu patirti nuostoliai padengiami iš AAD biudžeto lėšų (veiklos išlaidų).

12. IRT veikla yra laikoma atkurta, jeigu ji atitinka šiuos veiklos kriterijus:

12.1. informacinės sistemos teikiami duomenys yra atnaujinami ir išsaugomi;

12.2. veikia AADIS integracinės duomenų mainų sąsajos, keičiamasi duomenimis su informacinės sistemos duomenų teikėjais / gavėjais;

12.3. IRT tampa prieinamos, tinkamai veikia jų funkcijos;

12.4. informacinės sistemos naudotojai gali atlikti savo darbo funkcijas informacinėse sistemose įprastu būdu.

13. Pagal Veiklos tęstinumo valdymo planą IRT neveikimo laikotarpis negali būti ilgesnis nei 16 valandų (III kategorijos informacinės sistemos).

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

14. Elektroninės informacijos saugos ir kibernetiniams incidentams valdyti bei AADIS veiklos atkūrimui organizuoti AAD direktoriaus įsakymu sudaromos ir tvirtinamos dvi grupės: Veiklos tęstinumo valdymo grupė ir Veiklos atkūrimo grupė.

15. Veiklos tęstinumo valdymo grupę sudaro:

15.1. AAD Administravimo departamento direktorius (darbo grupės pirmininkas);

15.2. AAD BRIT skyriaus vedėjas (darbo grupės pirmininko pavaduotojas);

15.3. AADIS duomenų saugos įgaliotinis;

15.4. AADIS saugos įgaliotinis

15.5. kiti informacinių sistemų valdytojo deleguoti ir AAD direktoriaus įsakymu paskirti valstybės tarnautojai arba darbuotojai, dirbantys pagal darbo sutartis (jei būtina).

16. Veiklos tęstinumo valdymo grupės pagrindinis uždavinys – užtikrinti AADIS veiklos tęstinumui kylančių grėsmių valdymą ir IRT veiklos atkūrimo koordinavimą, įvykus saugos incidentui.

17. Veiklos tęstinumo valdymo grupės funkcijos:

17.1. situacijos analizė ir sprendimų IRT veiklos tęstinumo valdymo klausimais priėmimas;

17.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų
atstovais;

17.3. bendravimas su kitų susijusių organizacijų veiklos tęstinumo valdymo grupėmis;

17.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;

17.5. finansinių ir kitų išteklių, būtinų veiklai atkurti įvykus saugos incidentui, naudojimo kontrolė;

17.6. elektroninės informacijos fizinės saugos užtikrinimas įvykus saugos incidentui;

17.7. AADIS veiklos atkūrimo priežiūra ir koordinavimas;

17.8. kitos Veiklos tęstinumo valdymo grupei pavestos funkcijos.

18. Veiklos atkūrimo grupę sudaro:

18.1. BRIT skyriaus IT srities patarėjas(darbo grupės pirmininkas);

18.2. AADIS infrastruktūros administratoriai;

18.3. AADIS saugos įgaliotinis;

18.4. kiti informacinių sistemų valdytojo deleguoti ir AAD direktoriaus įsakymu paskirti valstybės tarnautojai arba darbuotojai, dirbantys pagal darbo sutartis (jei būtina);

19. Veiklos atkūrimo grupės pagrindinis uždavinys – vykdyti IRT atkūrimo darbus ir Veiklos tęstinumo valdymo grupės nurodymus, susijusius su informacinių sistemų funkcinių galimybių atkūrimu.

20. AADIS veiklos atkūrimo grupės funkcijos:

20.1. AADIS duomenų ir elektroninės informacijos atkūrimo organizavimas;

20.2. taikomųjų programų tinkamo veikimo atkūrimo organizavimas; darbo kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas;

20.3. kitos AADIS veiklos atkūrimo grupei pavestos funkcijos.

21. AAD valdomų AADIS veiklos tęstinumo valdymo detaliajame plane nurodomas veiksmų eiliškumas, atsakingi vykdytojai, atskiri AADIS veiklos atkūrimo, įvykus skirtingo pobūdžio ir masto elektroninės informacijos saugos incidentams, scenarijai.

22. Veiklos tęstinumo valdymo grupė ir veiklos atkūrimo grupė tarpusavyje ir su kitomis grupėmis bendrauja naudodamosi elektroniniu paštu, mobiliuoju ryšiu ir kitomis ryšio priemonėmis. Bendravimo dažnumą, įvertinusi saugos incidento mastą, pobūdį ir veiklos atkūrimo eigą, nustato Veiklos tęstinumo valdymo grupė pirmojo susitikimo metu. Bendraujama tol, kol bus pašalinti saugos incidento padariniai.

23. Veiklos tęstinumo valdymo grupės posėdį elektroninio ryšio priemonėmis organizuoja Veiklos tęstinumo valdymo grupės pirmininkas arba jo pavedimu – šios grupės narys.

24. Veiklos atkūrimo grupės posėdį elektroninio ryšio priemonėmis organizuoja veiklos atkūrimo grupės pirmininkas arba jo pavaduotojas. Saugos įgaliotiniai, administratoriai, įvertinę saugos kibernetinio incidento reikšmingumą, turi teisę inicijuoti Veiklos atkūrimo grupės posėdį būtiniems informacinių sistemų ar infrastruktūros veiklos atkūrimo veiksmams aptarti, suderinti arba organizuoti.

III SKYRIUS

APRAŠOMOS NUOSTATOS

25. Parengtų AADIS saugomų dokumentų sąrašas:

25.1. AADIS elektroninės informacijos teikimo, programinės įrangos priežiūros sutarčių kopijos, už kurių rengimą atsakingas paskirtas BRIT skyriaus IT srities specialistas;

25.2. AADIS techninės ir programinės įrangos sąrašai, kuriuose nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos. Už AADIS techninės ir programinės įrangos sąrašų rengimą atsakingas saugos įgaliotinis;

25.3. Registro duomenų rezervinių kopijų kūrimo instrukcija, kurioje nurodyta laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos. Už AADIS duomenų rezervinių kopijų kūrimo instrukcijos parengimą atsakingas paskirtas BRIT skyriaus IT srities specialistas;

25.4. Veiklos tęstinumo valdymo grupės ir Veiklos atkūrimo grupės narių sąrašas su kontaktiniais duomenimis, leidžiančiais pasiekti šiuos asmenis bet kuriuo metu. Už šių dokumentų parengimą atsakingas AADIS saugos įgaliotinis.

26. Valdymo plano 25 punkte nurodytų dokumentų kopijas saugo paskirtas BRIT skyriaus IT srities specialistas.

IV SKYRIUS

PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

27. Veiklos tęstinumo valdymo plano veiksmingumas išbandomas ne rečiau kaip kartą per dvejus metus. Plano veiksmingumas nėra bandomas jeigu einamaisiais metais įvyko saugos incidentas, dėl kurio buvo vykdomas AADIS ir ryšių technologijų veiklos tęstinumo valdymo detalusis planas.

28. Veiklos tęstinumo valdymo plano veiksmingumas išbandomas saugos incidento teorinio modeliavimo, ar kitu būdu, kuriame turi būti imituojamas IRT veiklos sutrikimas. Plano veiksmingumo bandymo metu užpildoma AAD IRT veiklos atkūrimo (išbandymo) detaliojo plano forma (2 priedas).

29. Kibernetinių incidentų imitavimo (įsilaužimo testavimo) pratybos turi būti organizuojamos kartą per metus. Imituojamo incidento metu už saugos kibernetinio incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus; iš atsarginių informacinės sistemos duomenų kopijų atkuriami duomenys ir elektroninė informacija.

30. Jeigu Veiklos tęstinumo valdymo plano veiksmingumo išbandymo metu nustatoma incidentų valdymo ir šalinimo, taip pat AAD nepertraukiamos veiklos užtikrinimo trūkumų, šis planas yra tikslinamas.

31. Pagal bandymų rezultatus parengiama Veiklos tęstinumo valdymo plano veiksmingumo išbandymo įvertinimo ataskaita (laisvos formos). Šioje ataskaitoje nurodoma išbandymo data, eiga ir aprašomi rezultatai. Grupės vadovas ir informacijos saugos įgaliotiniai yra atsakingi už Veiklos tęstinumo valdymo plano veiksmingumo išbandymo įvertinimo ataskaitos parengimą. Ataskaitą tvirtina AAD direktorius.

32. Veiklos tęstinumo valdymo plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami laikantis šių principų:

33. operatyvumo – kiek galima greičiau pašalinti trūkumus. Atliekant trūkumų šalinimo veiklą, turi būti atsižvelgiama į trūkumų sudėtingumą ir apimtį. Saugos įgaliotiniai nusprendžia ir nustato, per kiek laiko turi būti atliktas konkretus trūkumų šalinimo veiksmas ir pašalinti trūkumai;

34. veiksmingumo – trūkumų šalinimas laikomas veiksmingu, jei pavyksta sumažinti konkretaus trūkumo daromą neigiamą poveikį informacinėms sistemoms;

35. ekonomiškumo – pašalinti visus trūkumus taupiai naudojant turimus išteklius.

IV. Baigiamosios nuostatos

36. Darbuotojai supažindinami su Planu. Pažeidę Plano ir kitų veiklos tęstinumą reglamentuojančių teisės aktų nuostatas darbuotojai atsako įstatymų nustatyta tvarka.

_________________

Aplinkos apsaugos departamento prie Aplinkos

ministerijos valdomos informacinės sistemos ir ryšių

technologijų veiklos tęstinumo valdymo plano

1 priedas

APLINKOS APSAUGOS DEPARTAMENTO INFORMACINĖS SISTEMOS IR RYŠIŲ TECHNOLOGIJŲ VEIKLOS TĘSTINUMO VALDYMO DETALUSIS PLANAS

Elektroninės informacijos ar kibernetinės saugos incidentas (toliau – incidentas)	Veiklos tęstinumo valdymo (atkūrimo) veiksmai / incidentų šalinimo scenarijai	Atsakingi vykdytojai	Terminai
1. Nepasiekiama techninė įranga (dėl techninės įrangos gedimo, kai nėra rezervinės įrangos ir nepavyksta atkurti informacinės sistemos veiklos per 1 val. po įvykio, be to, manoma, kad nepavyks atkurti šių sistemų veiklos pagal teisės aktų nustatytus terminus)	1.1. Nustatoma, kad nepasiekiama techninė įranga.	Informacinės sistemos veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
	1.2. Įvertinama situacija, jei reikia, informuojamos draudimo įmonės, kitos institucijos.	Informacinės sistemos veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
	1.3 Nustatoma, ar yra pakankamai išteklių (techninių) funkcijoms perkelti. Jei ne, toliau atliekami veiksmai, numatyti 1.5 papunktyje. Jei taip, toliau atliekami veiksmai, numatyti 1.4 papunktyje.	Informacinės sistemos veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
	1.4. Funkcijos perkeliamos pasinaudojant laisvais ištekliais. Toliau vykdomi veiksmai, numatyti 1.5 papunktyje.	Informacinės sistemos veiklos atkūrimo grupė
	1.5. Nustatoma, ar reikia įsigyti papildomų išteklių. Jei ne, toliau atliekami veiksmai, numatyti 1.7 papunktyje. Jei taip, toliau atliekami veiksmai, numatyti 1.6 papunktyje.	Informacinės sistemos veiklos tęstinumo valdymo grupė	Per vieną darbo valandą
	1.6. Įsigyjami papildomi ištekliai.	Informacinės sistemos veiklos atkūrimo grupė	Per penkias darbo dienas
	1.7. Nustatoma, ar reikia imtis papildomų priemonių. Jei ne, toliau atliekami veiksmai, numatyti 1.9 papunktyje. Jei taip, toliau atliekami veiksmai, numatyti 1.8 papunktyje.	Informacinės sistemos veiklos tęstinumo valdymo grupė	Per vieną darbo dieną po papildomų išteklių įsigijimo
	1.8. Taikomos papildomos priemonės. Toliau atliekami veiksmai, numatyti 1.7 papunktyje.	Informacinės sistemos veiklos atkūrimo grupė	Per vieną darbo dieną po papildomų išteklių įsigijimo
	1.9. Priimamas sprendimas, kad funkcijos yra atkurtos.	Informacinės sistemos veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po funkcijų atkūrimo
2. Nepasiekiami ar sugadinti duomenys (kai yra pažeistas duomenų bazės integralumas, sugadinti duomenys atsarginėse kopijose, dėl kenksmingos programinės įrangos, dėl elektromagnetinio poveikio)	2.1. Nustatoma, kad duomenys yra nepasiekiami.	Informacinės sistemos veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
	2.2. Nustatoma, ar yra duomenų atsarginės kopijos. Jei ne, toliau atliekami veiksmai, numatyti 2.4 papunktyje. Jei taip, toliau atliekami veiksmai, numatyti 2.3 papunktyje.	Informacinės sistemos veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
	2.3. Atkuriami duomenys iš atsarginių kopijų.	Informacinės sistemos veiklos atkūrimo grupė	Per vieną darbo dieną po incidento nustatymo
	2.4. Nustatoma, ar reikia įvesti duomenis. Jei ne, toliau atliekami veiksmai, numatyti 2.6 papunktyje. Jei taip, toliau atliekami veiksmai, numatyti 2.5 papunktyje.	Informacinės sistemos veiklos atkūrimo grupė	Per vieną darbo valandą po incidento nustatymo
	2.5. Duomenys įvedami rankiniu būdu arba importuojami iš kitų šaltinių.	Informacinės sistemos veiklos atkūrimo grupė	Per vieną darbo dieną
	2.6. Nustatoma, ar reikia imtis papildomų priemonių. Jei ne, toliau atliekami veiksmai, numatyti 2.8 papunktyje. Jei taip, toliau atliekami veiksmai, numatyti 2.7 papunktyje.	Informacinės sistemos veiklos atkūrimo grupė	Per vieną darbo valandą po incidento nustatymo
	2.7. Taikomos papildomos priemonės.	Informacinės sistemos veiklos atkūrimo grupė	Per vieną darbo dieną po incidento nustatymo
	2.8. Duomenys yra pasiekiami.	Informacinės sistemos veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po duomenų atkūrimo
3. Nepasiekiami ryšiai (dėl kibernetinių atakų, dėl dingusio ryšio su paslaugų teikėju (interneto), optinių kabelių nutrūkimo, kai neveikia sąsajos su išorinėmis sistemomis)	3.1 Nustatoma, kad ryšiai yra nepasiekiami.	Informacinės sistemos veiklos tęstinumo valdymo grupė	Per vieną darbo valandą
	3.2. Atliekama situacijos analizė ir naudotojai informuojami apie sutrikimus.	Informacinės sistemos veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
	3.3. Nustatoma, ar reikia organizuoti alternatyvius ryšius. Jei ne, toliau atliekami veiksmai, numatyti 3.5 papunktyje. Jei taip, toliau atliekami veiksmai, numatyti 3.4 papunktyje.	Informacinės sistemos veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
	3.4. Organizuojamos alternatyvios ryšio priemonės.	Informacinės sistemos veiklos atkūrimo grupė	Per penkiolika valandų po incidento nustatymo
	3.5. Nustatoma, ar reikia imtis papildomų priemonių. Jei ne, toliau atliekami veiksmai, numatyti 3.7 papunktyje. Jei taip, toliau atliekami veiksmai, numatyti 3.6 papunktyje.	Informacinės sistemos veiklos atkūrimo grupė	Per vieną darbo valandą po incidento nustatymo
	3.6. Taikomos papildomos priemonės.	Informacinės sistemos veiklos atkūrimo grupė	Per vieną darbo dieną po incidento nustatymo
	3.7. Ryšiai yra atkurti.	Informacinės sistemos veiklos atkūrimo grupė	Per vieną darbo valandą po incidento nustatymo

________________________________

PATVIRTINTA

Aplinkos apsaugos departamento prie Aplinkos ministerijos direktoriaus

2023 m. balandžio 24 d. įsakymu Nr. AD1-122

APLINKOS APSAUGOS DEPARTAMENTO PRIE APLINKOS MINISTERIJOS VALDOMOS INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

Bendrosios nuostatos

1. Aplinkos apsaugos departamento prie Aplinkos ministerijos (toliau – AAD) valdomos informacinės sistemos naudotojų administravimo taisyklės (toliau – Taisyklės) nustato Aplinkos apsaugos departamento prie Aplinkos ministerijos informacinės sistemos (toliau – AADIS) naudotojų ir administratorių įgaliojimus, teises ir pareigas tvarkant elektroninę informaciją.

2. Taisyklių tikslas – užtikrinti tinkamą naudotojų ir administratorių įgaliojimų, teisių bei pareigų valdymą AADIS informacinėje sistemoje.

3. Taisyklės taikomos informacinės sistemos naudotojams, administratoriams, informacinės sistemos saugos įgaliotiniams.

4. Taisyklės parengtos vadovaujantis:

4.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

4.2. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Valstybės informacinės sistemos, registrų ir kitų informacinės sistemos klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinės sistemos, registrų ir kitų informacinės sistemos klasifikavimo gairių aprašo patvirtinimo“;

4.3. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

4.4. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Elektroninės informacijos saugos reikalavimų aprašas);

4.5. Lietuvos standartais LST ISO/IEC 27002 (aktualios redakcijos) „Informacijos saugumo valdymo praktikos kodeksas“, LST ISO/IEC 27001 (aktualios redakcijos) „Informacijos saugumo valdymo sistemos. Reikalavimai“;

4.6. kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacijos tvarkymą.

5. Taisyklėse vartojamos sąvokos atitinka AADIS nuostatuose, AADIS duomenų saugos nuostatuose ir Taisyklių 4 punkte nurodytuose teisės aktuose vartojamas sąvokas.

6. Naudojimosi prieiga prie informacinės sistemos elektroninės informacijos principai:

6.1. elektroninės informacijos naudojimo būtinumo principas – elektronine informacija gali naudotis tik tie asmenys ir institucijos, kuriems tai būtina nustatytoms funkcijoms vykdyti;

6.2. elektroninės informacijos naudojimo leistinumo principas – naudotojams draudžiami visi veiksmai, kurių jiems atlikti neleidžia Taisyklės ir kiti teisės aktai, reglamentuojantys informacinės sistemos duomenų saugą, saugų elektroninės informacijos tvarkymą ir informacinės sistemos veiklos tęstinumo valdymą;

6.3. prieinamumo prie elektroninės informacijos ribojimo principas – teisė naudoti apibrėžtus informacinės sistemos duomenis suteikiama konkrečiam naudotojui, turinčiam unikalų jį identifikuojantį prisijungimo prie AADIS vardą ir slaptažodį;

6.4. elektroninės informacijos vientisumo principas – elektroninė informacija negali būti atsitiktiniu ar neteisėtu būdu pakeista ar sunaikinta. Šiam principui įgyvendinti informacinės sistemos elektroninė informacija turi būti perduodama saugiu duomenų perdavimo tinklu, ji turi būti apsaugota nuo pašalinio įsilaužimo, nuo asmenų, neturinčių prieigos prie informacinės sistemos teisės, bandymų koreguoti elektroninę informaciją;

6.5. duomenų konfidencialumo principas – elektroninė informacija turi būti tvarkoma vadovaujantis AADIS saugaus elektroninės informacijos tvarkymo taisyklėmis, patvirtintomis AAD direktoriaus įsakymu, ir neturi būti matoma pašaliniams asmenims. Šis principas turi būti įgyvendinamas priskiriant informacinės sistemos naudotojams atitinkamus vaidmenis ir teises;

6.6. duomenų teisingumo principas – informacinės sistemos duomenys turi būti pagrįsti įrodymais, turi būti žinomas jų pirminis šaltinis. Šį principą atitinkantys duomenys laikomi teisingais tol, kol jie nenuginčijami Lietuvos Respublikos įstatymų ir Europos Sąjungos teisės aktų nustatyta tvarka.

II SKYRIUS

INFORMACINĖS SISTEMOS naudotojų ir administratorių Įgaliojimai, teisės ir pareigos

7. Prieigos prie AADIS teisė suteikiama tik tiems AAD darbuotojams, kuriems ši prieiga reikalinga jų pareigybių aprašymuose nustatytoms funkcijoms vykdyti. Šie darbuotojai turi būti supažindinami su šiais dokumentais:

7.1. Taisyklėmis;

7.2. AADIS duomenų saugos nuostatais;

7.3. AADIS saugaus elektroninės informacijos tvarkymo taisyklėmis;

7.4. AADIS ir ryšio technologijų veiklos tęstinumo valdymo planu.

8. Naudotojų pareigos ir įgaliojimai:

8.1. rinkti, tvarkyti, perduoti, saugoti, naikinti ar kitaip naudoti informacinės sistemos duomenis tik savo tiesioginėms funkcijoms, nustatytoms pareigybių aprašymuose, vykdyti;

8.2. renkant, tvarkant, perduodant, saugant, naikinant ar kitaip naudojant informacinės sistemos duomenis vadovautis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais saugų duomenų tvarkymą;

8.3. laikytis AAD dokumentuose nustatytų elektroninės informacijos saugos reikalavimų;

8.4. naudotojams, įgaliotiems vykdyti tam tikras funkcijas, draudžiama atlikti veiksmus, kuriems jie neturi įgaliojimų;

8.5. naudojantis AADIS, nedelsiant pranešti apie informacinės sistemos veiklos sutrikimus, apie esamus arba galimus elektroninės informacijos saugos reikalavimų pažeidimus bei kitus neteisėtus naudotojų veiksmus, naudojantis kitomis informavimo priemonėmis;

8.6. susipažinti su informacinės sistemos saugos dokumentais;

8.7. pasirašyti nustatytos formos (1 priedas) konfidencialumo pasižadėjimą;

8.8. laikytis visų informacinės sistemos saugos dokumentuose nustatytų reikalavimų.

9. Naudotojų teisės:

9.1. gauti visą informaciją, reikalingą savo funkcijoms informacinėse sistemose atlikti;

9.2. teikti siūlymus dėl papildomų informacinės sistemos funkcijų;

9.3. teikti siūlymus informacinės sistemos saugos įgaliotiniui dėl elektroninės informacijos saugos priemonių taikymo;

9.4. atlikti kitus veiksmus, numatytus AAD dokumentuose, reglamentuojančiuose informacinės sistemos saugą.

10. Administratorių pareigos ir įgaliojimai:

10.1. suteikti, panaikinti ar pakeisti prieigos teises naudotojams, atsižvelgiant į naudotojų ar jų vadovų atliekamas funkcijas informacinėse sistemose;

10.2. suteikiant, panaikinant ar keičiant prieigos prie informacinės sistemos teises ir slaptažodžius, vadovautis Elektroninės informacijos saugos reikalavimų aprašo nuostatomis;

10.3. laiku atnaujinti pasikeitusius naudotojo duomenis;

10.4. pagal kompetenciją konsultuoti naudotojus dėl informacinės sistemos veikimo ir teikti jiems reikiamą techninę pagalbą;

10.5. diegti informacinės sistemos pakeitimus, užtikrinti tinkamą informacinės sistemos duomenų bazių ir posistemių (jei yra) funkcionavimą, atlikti kitus veiksmus, nuo kurių priklauso tinkamas informacinės sistemos programinės įrangos veikimas;

10.6. registruoti ir (ar), spręsti ir šalinti sutrikimus, susijusius su informacinės sistemos programinės įrangos veikimu;

10.7. vykdyti kitas AADIS duomenų saugos nuostatuose, patvirtintuose AAD direktoriaus įsakymu, nustatytas funkcijas.

11. AAD administratorių teisės:

11.1. panaikinti naudotojo prieigą, jei buvo nustatyta, kad naudotojas nesilaiko AADIS saugaus elektroninės informacijos tvarkymo taisyklėse nustatytų reikalavimų;

11.2. panaikinti naudotojo prieigą, jeigu buvo nustatyta, kad naudotojas pažeidė Reglamentą ar Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nuostatas;

11.3. panaikinti naudotojo prieigą atsižvelgiant į vadovo prašymą, informuojantį, kad naudotojas nutraukia darbo santykius su AAD arba pasikeičia naudotojo funkcijos ir joms vykdyti nereikia prieigos prie informacinės sistemos.

12. Informacinei sistemai administruoti gali būti paskirtas vienas ar keli administratoriai.

III SKYRIUS

Saugaus ELEKTRONINĖS INFORMACIJOS teikimo INFORMACINĖS SISTEMOS naudotojams kontROlės tvarka

13. Prieigos teisių prie AADIS suteikimo / panaikinimo AAD naudotojams tvarka:

13.1. vadovaujantis AAD darbuotojo tiesioginio vadovo (ar jį pavaduojančio darbuotojo) elektroninėmis priemonėmis AADIS administratoriui pateiktu prašymu, AAD darbuotojui suteikiamos, koreguojamos ar panaikinamos prieigos teisės;

13.2. AAD darbuotojo tiesioginis vadovas ar jį pavaduojantis darbuotojas, užtikrina, kad prašoma teisė į prieigą atitinka darbuotojo pareigybės aprašyme numatytas funkcijas;

13.3. AAD darbuotojo, kurio atliekamos funkcijos keičiasi arba su juo nutraukiami darbo santykiai, vadovas ar jį pavaduojantis darbuotojas turi užtikrinti, kad būtų panaikinta šio AAD darbuotojo teisė į prieigą;

13.4. AADIS administratorius, gavęs prašymą suteikti prieigą prie AADIS, patikrina, ar darbuotojas, kuriam prašoma suteikti teisę į prieigą, yra pasirašęs nustatytos formos konfidencialumo pasižadėjimą, kuriuo patvirtina, kad yra susipažinęs su informacijos saugos valdymo sistemos dokumentais;

13.5. AADIS administratorius ne vėliau kaip per dvi darbo dienas nuo prašymo gavimo dienos suteikia šiam darbuotojui prieigą, ją atnaujina arba panaikina ir apie tai jį informuoja.

14. Prisijungimo vardas ir slaptažodis negali būti saugomi arba perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais. Jie perduodami atskiromis priemonėmis.

15. Naudotojui prieigos teisės turi būti atnaujinamos pasikeitus prašyme nurodytiems darbuotojo duomenims (vardas, pavardė, pareigos, įstaiga).

16. Prieigos teisės gali būti sustabdomos, jeigu:

16.1. vykdomas naudotojo veiklos tyrimas ir jis nušalinamas nuo pareigų Lietuvos Respublikos valstybės tarnybos įstatymo, Lietuvos Respublikos darbo kodekso ar kitų teisės aktų pagrindais;

16.2. darbuotojas atliko neleistinus veiksmus ar pažeidė asmens duomenų apsaugos reikalavimus.

17. Administratoriams prieigos teisės ir slaptažodžiai, skirti prisijungti prie informacinės sistemos, suteikiami vadovaujantis Elektroninės informacijos saugos reikalavimų aprašo nuostatomis.

18. Jeigu informacinę sistemą prižiūri / administruoja paslaugų teikėjas, tai prieigos ir slaptažodžiai prie informacinės sistemos suteikiami vadovaujantis paslaugų teikimo sutartyje nustatyta tvarka.

19. Naudotojų tapatybė nustatoma pagal suteiktą unikalų informacinės sistemos naudotojo vardą, slaptažodį ir kitus duomenis.

20. Slaptažodžio sudarymo, saugojimo ir perdavimo taisyklės nustatomos vadovaujantis Elektroninės informacijos saugos reikalavimų aprašo nuostatomis.

21. Slaptažodį turi sudaryti ne mažiau kaip 8 simboliai, jis negali būti sudaromas iš naudotojo vardo ar pavardės.

22. Prisijungimui prie AADIS vartotojo paskyroje turi būti įjungta dviejų faktorių autentifikacija.

23. Naudotojas privalo saugoti slaptažodį, jo neatskleisti ir nesudaryti kitų sąlygų juo naudotis kitiems asmenims, įskaitant tiesioginį vadovą.

24. Draudžiama naudotis kito naudotojo paskyra ir jo prisijungimo duomenimis.

IV SKYRIUS

baigiamosios nuostatos

25. Taisyklės peržiūrimos ne rečiau kaip kartą per metus ir prireikus keičiamos AAD direktoriaus įsakymu.

____________________________

Aplinkos apsaugos departamento prie

Aplinkos ministerijos informacinės

sistemos naudotojų administravimo

taisyklių

1 priedas

(Informacinės sistemos išorės naudotojo konfidencialumo pasižadėjimo forma)

INFORMACINĖS SISTEMOS IŠORĖS NAUDOTOJO KONFIDENCIALUMO PASIŽADĖJIMAS

_____________________

(Data, reg. Nr.)

_________________________________________________________________

(Įmonės / įstaigos pavadinimas, įmonės kodas, naudotojo vardas, pavardė)

1. Aš suprantu, kad:

1.1. savo darbe tvarkysiu asmens ir (ar) asmens duomenis, kurie negali būti atskleisti ar perduoti neįgaliotiesiems asmenims ar institucijoms;

1.2. draudžiama perduoti neįgaliotiesiems asmenims slaptažodžius ir kitus duomenis, įgalinančius programinėmis ir techninėmis priemonėmis sužinoti asmens duomenis ar kitaip sudaryti sąlygas susipažinti su asmens duomenimis;

1.3. netinkamas asmens duomenų tvarkymas gali užtraukti atsakomybę pagal Lietuvos Respublikos įstatymus.

2. Aš įsipareigoju:

2.1. saugoti asmens duomenų paslaptį;

2.2. tvarkyti asmens duomenis vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas), Lietuvos Respublikos įstatymais ir kitais teisės aktais bei taisyklėmis, reglamentuojančiomis man patikėtas asmens duomenų tvarkymo funkcijas;

2.3. neatskleisti, neperduoti tvarkomos informacijos ir nesudaryti sąlygų sužinoti jos nė vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija tiek įmonės / įstaigos viduje, tiek už jos ribų;

2.4. pranešti savo vadovui apie bet kokią įtartiną situaciją, galinčią kelti grėsmę asmens duomenų saugumui;

2.5. saugoti informacinės sistemos slaptažodį, jį sudarant vadovautis AAD informacinės sistemos naudotojų administravimo taisyklėmis;

2.6. pranešti apie suteiktų prieigos teisių panaikinimą, jei nėra poreikio naudotis AADIS.

3. Aš žinau, kad:

3.1. už šio pasižadėjimo nesilaikymą ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nuostatų pažeidimą turėsiu atsakyti pagal Lietuvos Respublikos įstatymus;

3.2. asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo / duomenų tvarkytojo veiksmų ar neveikimo, turi teisę reikalauti atlyginti jam padarytą turtinę ar neturtinę žalą Reglamento, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų Lietuvos Respublikos teisės aktų nustatyta tvarka;

3.3. duomenų valdytojas ar duomenų tvarkytojas atlygina asmeniui padarytą žalą Lietuvos Respublikos teisės aktų nustatyta tvarka;

3.4. šis pasižadėjimas galios visą mano darbo laiką šioje įmonėje / įstaigoje (taip pat perėjus dirbti į kitą įmonę / įstaigą arba pasibaigus darbo santykiams).

Aš esu susipažinęs (-usi) su Reglamentu, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu ir kitais teisės aktais, reglamentuojančiais asmens duomenų teisinę apsaugą, taip pat su AADIS saugos dokumentų reikalavimais ir juos suprantu.

_____________________ _________________ _____________ ______________

(Pareigos) (Vardas, pavardė) (Parašas) (El. paštas)

PATVIRTINTA

Aplinkos apsaugos departamento prie

Aplinkos ministerijos direktoriaus

2023 m. balandžio 24 d. įsakymu Nr. AD1-122

APLINKOS APSAUGOS DEPARTAMENTO PRIE APLINKOS MINISTERIJOS

VALDOMOS INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS

INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Aplinkos apsaugos departamento prie Aplinkos ministerijos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) nustato tvarką, užtikrinančią saugų Aplinkos apsaugos departamento prie Aplinkos ministerijos (toliau – AAD) informacinės sistemos (toliau – AADIS) tvarkymą ir kibernetinio saugumo politikos įgyvendinimą.

2. Taisyklės parengtos vadovaujantis:

2.1. Lietuvos Respublikos valstybės informacinių išteklių įstatymu;

2.2. Lietuvos Respublikos kibernetinio saugumo įstatymu;

2.3. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinės sistemos, registrų ir kitų informacinės sistemos klasifikavimo gairių aprašo patvirtinimo“;

2.4. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau Kibernetinio saugumo reikalavimų aprašas);

2.5. AADIS nuostatais;

2.6. AADIS duomenų saugos nuostatais;

2.7. kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą;

2.8. LST ISO/IEC 27001 (aktualios redakcijos) „Informacijos saugumo valdymo sistemos. Reikalavimai“.

3. Taisyklėse vartojamos sąvokos:

3.1. AADIS naudotojas – AAD tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, bei išorės naudotojai, turintys teisę naudotis AADIS ištekliais tam tikroms funkcijoms atlikti;

3.2. AADIS administratoriai – AAD valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, arba trečiųjų šalių darbuotojai pagal sutartį teikiantys priežiūros, diegimo ar kitas paslaugas, susijusias su informacinėmis technologijomis, ir turintys teisę naudotis AADIS ištekliais tam tikroms funkcijoms atlikti;

3.3. Kitos sąvokos, atitinkančios Taisyklių 2 punkte nurodytuose teisės aktuose vartojamas sąvokas.

4. AADIS tvarkoma elektroninė informacija yra nurodyta AADIS nuostatuose.

5. AADIS tvarkoma vidutinės svarbos elektroninė informacija.

6. AADIS svarbos kategorija ir priskyrimo šiai kategorijai kriterijai nurodyti AADIS duomenų saugos nuostatų 11–15 punktuose.

7. Už AADIS elektroninės informacijos saugų tvarkymą atsako AADIS naudotojai pagal jiems suteiktas informacinės sistemos duomenų tvarkymo teises.

8. AADIS administratoriai atsako už informacinės sistemos taikomosios programinės įrangos ir duomenų bazės administravimą, prieigų prie informacinės sistemos suteikimą naudotojams, šių prieigų pakeitimą ar panaikinimą.

9. AADIS elektroninė informacija yra saugoma Microsoft debesijos paslaugų platformoje (tarnybinėse stotyse).

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

10. Informacinės sistemos kompiuterinės įrangos saugos priemonės:

10.1. kompiuterinė įranga turi būti prižiūrima laikantis gamintojo rekomendacijų ir užtikrinamas šios įrangos gamintojų garantinis aptarnavimas;

10.2. visose kompiuterizuotose darbo vietose turi būti įdiegta ir reguliariai atnaujinama virusų bei kitų kenkėjų kodo aptikimo ir šalinimo antivirusinė programinė įranga, skirta kompiuteriams ir laikmenoms tikrinti. Kompiuterizuotose darbo vietose turi būti naudojamos ir reguliariai atnaujinamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės;

10.3. svarbiausios kompiuterinės įrangos gedimai turi būti registruojami per AAD IT pagalbos informacinę sistemą (elektroniniu paštu itpagalba@aad.am.lt);

10.4. naudotojų kompiuteriai turi būti tinkamai paruošti darbui nustatyta tvarka, turi būti įdiegti naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;

10.5. nuotolinis prisijungimas prie kompiuterinės įrangos turi būti vykdomas algoritmu (protokolu), skirtu duomenims šifruoti (SSL/VPN);

10.6. tiesioginė prieiga prie informacinės sistemos suteikiama tik informacinės sistemos administratoriams;

10.7. kitos kompiuterinės įrangos saugos priemonės yra numatytos Kibernetinio saugumo reikalavimų aprašo priede.

11. AAD informacinės sistemos sisteminės ir taikomosios programinės įrangos saugos priemonės:

11.1. AADIS programinė įranga turi būti prižiūrima laikantis gamintojo rekomendacijų;

11.2. kompiuterizuotose darbo vietose darbo funkcijoms vykdyti turi būti naudojama tik legali, patikrinta, patikimų gamintojų programinė įranga;

11.3. AADIS programinės įrangos testavimas turi būti atliekamas naudojant atitinkamą testavimo aplinką;

11.4. programinės įrangos diegimą, konfigūravimą ir šalinimą turi vykdyti informacinės sistemos administratorius arba šių paslaugų teikėjų atsakingas darbuotojas pagal atitinkamų paslaugų teikimo ir priežiūros sutartį;

11.5. AADIS programinės įrangos gedimai turi būti registruojami AAD naudotojų aptarnavimo tarnybos informacinėje sistemoje;

11.6. AADIS naudotojams nesinaudojant kompiuterių įranga ilgiau nei 15 minučių, kompiuteriai turi būti užrakinami automatiškai, iš naujo prie jų prisijungti turi būti galima tik pakartotinai patvirtinus savo tapatybę;

11.7. kitos priemonės yra numatytos Kibernetinio saugumo reikalavimų aprašo priede.

12. AADIS elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

12.1. informacinės sistemos elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienę;

12.2. informacinės sistemos programinė įranga turi būti apsaugota nuo pagrindinių per tinklą vykdomų atakų – SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting) ir kitų;

12.3. telekomunikacijos tinklais perduodamos elektroninės informacijos konfidencialumas turi būti užtikrinamas naudojant šifravimą, virtualų privatų tinklą (angl. virtual private network), skirtines linijas, saugų elektroninių ryšių tinklą ar kitas priemones;

12.4. nuotoliniu būdu prisijungiantys AADIS naudotojai, kurie duomenis perduoda ir gauna viešaisiais telekomunikacijų tinklais, perduodamų duomenų konfidencialumą užtikrina naudodami duomenų šifravimą ;

12.5. kitos priemonės yra numatytos Kibernetinio saugumo reikalavimų aprašo priede.

13. Patalpų ir aplinkos saugumo užtikrinimo priemonės:

13.1. turi būti įrengta patalpų apsaugos signalizacija, kurios signalai turi būti persiunčiami patalpas saugančiai saugos tarnybai;

13.2. patalpos turi būti suskaidytos į sektorius. Teisė atrakinti ir (ar) užrakinti tam tikrą sektorių turi būti suteikiama tik darbuotojams, kurie atlikdami tarnybines funkcijas būtinai turi lankytis tame sektoriuje;

13.3. patalpose turi būti įrengta įeigos kontrolės elektroninė sistema;

13.4. patalpos ir konkretūs jų sektoriai turi būti saugiai užrakinami, langai ir durys tinkamai apsaugoti nuo nesankcionuotos fizinės prieigos naudojant užraktus, apsaugos signalizaciją;

13.5. paliekant patalpas ar darbo vietas turi būti užrakinamos durys ir uždaromi langai;

13.6. visi lankytojai turi būti lydimi AAD darbuotojų, išskyrus atvejus, kai tokia lankytojų prieiga yra iš anksto patvirtinta;

13.7. informacinių sistemų naudotojų darbo vietų aplinka turi atitikti Lietuvos higienos normą HN 32:2004 „Darbas su video terminalais. Saugos ir sveikatos reikalavimai“, patvirtintą Lietuvos Respublikos sveikatos apsaugos ministro 2004 m. vasario 12 d. įsakymu Nr. V-65 „Dėl Lietuvos higienos normos HN 32:2004 „Darbo su video terminalais. Saugos ir sveikatos reikalavimai“ patvirtinimo“, ir kitus Lietuvos Respublikos teisės aktuose nustatytus reikalavimus;

13.8. visose patalpose ir konkrečiuose jų sektoriuose turi būti ugnies gesintuvai, įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato apsaugos signalizacijos ir saugos tarnybos stebėjimo pulto, reguliariai atliekama gaisro aptikimo ir gesinimo priemonių patikra.

14. Papildomos tarnybinių stočių patalpų apsaugos nuo neteisėto asmenų patekimo į jas ir kitos saugos užtikrinimo priemonės:

14.1. patalpa turi būti prijungta prie atskiros signalizacijos zonos;

14.2. patalpose turi būti oro kondicionavimo ir drėgmės kontrolės įranga. Temperatūros ir oro drėgnumo normos turi būti užtikrinamos pagal techninės įrangos gamintojo nustatytus reikalavimus;

14.3. patalpose turi būti užtikrinamas nepertraukiamas elektros energijos tiekimas;

14.4. fizinė prieiga prie patalpos suteikiama tik IT specialistams. Kiti darbuotojai arba tretieji asmenys gali patekti į šią patalpą tik lydimi atsakingų IT specialistų;

14.5. tarnybinių stočių patalpų raktai turi būti saugomi.

14.6. kompiuterinio ryšio linijos apsaugotos nuo elektros išlydžių, perkūnijos ir elektros linijų avarijų naudojant apsauginius įtaisus su įžeminimo tašku.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

15. AADIS duomenis įvesti, keisti ir atnaujinti gali tik AADIS naudotojai pagal jiems suteiktas prieigos teises.

16. AADIS elektroninė informacija įrašoma, atnaujinama, keičiama ir naikinama vadovaujantis AADIS nuostatais, AADIS duomenų saugos nuostatais ir kitais teisės aktais, reglamentuojančiais informacinės sistemos elektroninės informacijos tvarkymą.

17. AADIS naudotojų duomenis įvesti, keisti, atnaujinti gali tik informacinės sistemos administratoriai.

18. Duomenų bazėje tvarkomus duomenis įvesti, keisti, atnaujinti gali tik informacinės sistemos administratorius pagal jam suteiktas prieigos teises, gavęs konkrečią užduotį AAD naudotojų aptarnavimo informacinėje sistemoje.

19. Informacinės sistemos naudotojų veiksmai turi būti registruojami toliau nurodytu būdu:

19.1. informacinės sistemos naudotojų tapatybė ir veiksmai, atliekami su informacinės sistemos duomenimis, fiksuojami programinėmis priemonėmis;

19.2. informacinės sistemos naudotojų veiksmai įrašomi automatiniu būdu AADIS „Power BI” veiksmų žurnale, apsaugotame nuo neteisėto jo duomenų panaudojimo, pakeitimo, iškraipymo ar sunaikinimo. Šio žurnalo duomenys yra prieinami informacinės sistemos administratoriams pagal jų atliekamas darbo funkcijas.

20. Prarasti, iškraipyti ar sunaikinti informacinės sistemos duomenys atkuriami iš atsarginių duomenų kopijų, esančių Microsoft debesijos paslaugų platformoje (tarnybinėse stotyse).

21. Elektroninės informacijos mainai tarp AAD informacinės sistemos ir išorinių informacinių sistemų vykdomi duomenų teikimo sutartyse su šių informacinės sistemos valdytojais numatyta apimtimi, būdais ir terminais.

22. Už informacinės sistemos duomenų mainus ir gaunamos elektroninės informacijos atnaujinimą atsako informacinės sistemos administratoriai.

23. Informacinės sistemos administratoriai, užtikrindami informacinės sistemos elektroninės informacijos vientisumą, turi naudoti visas įmanomas technines, programines ir administracines priemones, skirtas informacinės sistemos elektroninei informacijai apsaugoti nuo neteisėtų veiksmų.

24. AADIS naudotojai, pastebėję AADIS duomenų saugos nuostatų, saugos politikos įgyvendinamųjų dokumentų reikalavimų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, turi registruoti per AAD IT pagalbos informacinę sistemą incidentą arba pranešti apie tai AADIS informacinės sistemos saugos įgaliotiniui. Atsakingi darbuotojai, pasinaudoję duomenų bazės veiksmų žurnalo įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su AADIS programine įranga ir duomenimis.

25. Jeigu AADIS naudotojai neinformuoja AADIS saugos įgaliotinio apie Taisyklių 24 punkte nurodytus pažeidimus, AADIS administratoriai AADIS saugos įgaliotinį informuoja apie tai elektroninėmis priemonėmis.

26. AADIS kompiuterių techninę ir programinę įrangą AAD diegia, keičia ir atnaujina AAD BRITS IT srities specialistai.

27. Planuodamas AADIS techninės ir programinės įrangos keitimą, kurio metu galimi šios informacinės sistemos veikimo sutrikimai, jos administratorius privalo ne vėliau kaip prieš 4 valandas iki techninės ir programinės įrangos pakeitimo pradžios informuoti šios AADIS naudotojus apie tokių darbų pradžią ir galimus sutrikimus.

28. Perduodant remontuoti sugedusią techninę įrangą, išimamos duomenų laikmenos (kietieji diskai ir kt.) arba daromos jų kopijos ir laikmenose saugomi duomenys ištrinami.

29. Atlikus programinės ir techninės įrangos keitimą turi būti organizuojami AADIS naudotojų darbo su nauja programine ir technine įranga mokymai.

30. AADIS pokyčių valdymą planuoja ir užtikrina AADIS valdytojas. Šis planavimas apima pokyčių identifikavimą, suskirstymą į kategorijas pagal pokyčio tipą (administracinis, organizacinis ar techninis), įtakos vertinimą (svarbumas ir skubumas), pokyčių prioritetų nustatymą (eiliškumas).

31. AADIS pokyčiai numatomi pagal informacinės sistemos naudotojų ir administratorių poreikius, įvertinus techninės ir programinės įrangos naudojimo problemas, gerąją praktiką.

32. Funkcinius, techninius, programinius informacinės sistemos pokyčius vykdo AADIS valdytojas.

33. Jei įtariama grėsmė elektroninės informacijos konfidencialumui, vientisumui ar pasiekiamumui, prieš atliekant AADIS pakeitimus jie turi būti išbandomi testavimo aplinkoje, identiškoje gamybinei aplinkai.

34. Sėkmingai išbandžius AADIS pakeitimus testavimo aplinkoje, atitinkami pakeitimai atliekami gamybinėje aplinkoje.

35. AADIS naudotojai (tik AAD valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis) nešiojamuosius kompiuterius ir kitus mobiliuosius įrenginius naudoja tik tarnybinėms funkcijoms vykdyti.

36. Techninės įrangos (įskaitant stacionarius ir nešiojamuosius kompiuterius, mobiliuosius įrenginius ir kt.) naudojimo tvarką nustato AADIS valdytojas.

IV SKYRIUS

REIKALAVIMAI, keliami informaciniai sistemai funkcionuoti reikalingoms paslaugoms ir jų TEIKĖJAMS

37. Informacinės sistemos administratorius atsako už programinių, techninių ir kitų prieigos prie AADIS organizavimą, suteikimą ir panaikinimą taikomosios programinės įrangos priežiūros paslaugų teikėjui.

38. Paslaugų, užtikrinančių reikiamą AADIS funkcionavimą, teikėjams suteikiamos tokios prieigos prie informacinės sistemos teisės, kurios yra būtinos sutartyje nustatytiems įsipareigojimams vykdyti ir neprieštarauja teisės aktų reikalavimams.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

39. AADIS naudotojai, informacinės sistemos administratoriai ir informacinės sistemos saugos įgaliotinai už Taisyklių pažeidimus atsako teisės aktų nustatyta tvarka.

_____________________

Eil. Nr.	Elektroninės informacijos ar kibernetinės saugos incidento pavadinimas	Atliekami veiklos atkūrimo veiksmai	Atsakingas vykdytojas	Įgyvendinimo data	Rezultatas / pastabos

Parengė	______________________________________________________
	(Pareigos, vardas pavardė, parašas, data)