LOGOnespalv-maz2

LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTRAS

ĮSAKYMAS

DĖL ŽEMĖTVARKOS PLANAVIMO DOKUMENTŲ RENGĖJŲ, MATININKŲ IR GEODEZININKŲ ŽINYBINIO REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ, ŽEMĖTVARKOS PLANAVIMO DOKUMENTŲ RENGĖJŲ, MATININKŲ IR GEODEZININKŲ ŽINYBINIO REGISTRO VEIKLOS TĘSTINUMO VALDYMO PLANO IR ŽEMĖTVARKOS PLANAVIMO DOKUMENTŲ RENGĖJŲ, MATININKŲ IR GEODEZININKŲ ŽINYBINIO REGISTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ PATVIRTINIMO

2018 m. rugsėjo 20 d. Nr. 3D-654

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7 ir 8 punktais:

1. T v i r t i n u:

1.1. Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro saugaus elektroninės informacijos tvarkymo taisykles (pridedama).

1.2. Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro veiklos tęstinumo valdymo planą (pridedama).

1.3. Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro naudotojų administravimo taisykles (pridedama).

2. P a v e d u:

2.1. Nacionalinės žemės tarnybos prie Žemės ūkio ministerijos direktoriui ne vėliau kaip per 10 darbo dienų nuo šio įsakymo įsigaliojimo dienos paskirti Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro kibernetinio saugumo vadovą;

2.2. Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro saugos įgaliotiniui ne vėliau kaip per 5 darbo dienas nuo šio įsakymo įsigaliojimo dienos pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (ARSIS) Lietuvos Respublikos vidaus reikalų ministro tvirtinamų Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

Žemės ūkio ministras Giedrius Surplys

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2018 m. rugsėjo 6 d. raštu Nr. (4.2) 6K-545

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2018 m. rugsėjo 20 d. įsakymu Nr. 3D-654

žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės) reglamentuoja tvarką, užtikrinančią saugų Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro (toliau – Registras) techninės, programinės įrangos funkcionavimą, saugų Registro elektroninės informacijos tvarkymą ir jos teikimą duomenų gavėjams pagal teisės aktų nustatytus reikalavimus.

2. Tvarkymo taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 17 d. nutarimu Nr. 662 „Dėl Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro steigimo, jo nuostatų patvirtinimo ir veikimo pradžios nustatymo, taip pat kitų su tuo susijusių Lietuvos Respublikos Vyriausybės nutarimų pakeitimo“ (toliau – Registro nuostatai) ir Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos žemės ūkio ministro 2013 m. spalio 3 d. įsakymu Nr. 3D-678 „Dėl Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro duomenų saugos nuostatų patvirtinimo“ (toliau – Registro saugos nuostatai).

3. Tvarkymo taisyklėse vartojamos sąvokos:

3.1. Registro valdytojas – Lietuvos Respublikos žemės ūkio ministerija.

3.2. Registro tvarkytojas – Nacionalinė žemės tarnyba prie Žemės ūkio ministerijos.

3.3. Registro administratorius – Nacionalinės žemės tarnybos prie Žemės ūkio ministerijos (toliau – Nacionalinė žemės tarnyba) direktoriaus įsakymu paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis Registrą, užtikrinantis jo veikimą ir elektroninės informacijos saugą.

3.4. Registro saugos įgaliotinis – Nacionalinės žemės tarnybos direktoriaus įsakymu paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis elektroninės informacijos saugos politikos įgyvendinimą Registre.

3.5. Registro kibernetinio saugumo vadovas – Nacionalinės žemės tarnybos direktoriaus įsakymu paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, atsakingas už kibernetinio saugumo organizavimą ir užtikrinimą.

3.6. Registro naudotojas – Nacionalinės žemės tarnybos valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, naudojantis Registrą ir (ar) tvarkantis reikiamą elektroninę informaciją.

3.7. Kitos Tvarkymo taisyklėse vartojamos sąvokos atitinka Tvarkymo taisyklių 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

4. Registre tvarkoma informacija yra skirstoma į šias kategorijas:

4.1. Registro administratoriaus tvarkoma informacija.

4.2. Registro naudotojų tvarkoma informacija.

5. Elektroninės informacijos, priskirtos Tvarkymo taisyklių 4 punkte nurodytoms kategorijoms, sąrašas:

5.1. Registro administratoriaus tvarkoma informacija:

5.1.1. Registro naudotojų prisijungimo vardai ir slaptažodžiai;

5.1.2. Registro klasifikatoriai;

5.1.3. Registro naudotojų teisės;

5.1.4. Registro naudotojų veiksmų registravimo duomenys.

5.2. Registro naudotojų tvarkoma informacija - Registro duomenys ir Registro informacija, nurodyta Registro nuostatų 11 punkte.

6. Už Tvarkymo taisyklių 5.1 papunktyje nurodytos elektroninės informacijos tvarkymą atsakingas Registro administratorius, o už Tvarkymo taisyklių 5.2 papunktyje nurodytos elektroninės informacijos tvarkymą atsakingi Registro naudotojai.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠymAS

7. Saugiam Registro elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, programinės įrangos, duomenų perdavimo tinklai, fizinės, techninės ir organizacinės duomenų ir informacijos saugumo priemonės.

8. Registre naudojamų svetainių saugos priemonės:

8.1. svetainės turi atitikti Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo reikalavimus bei Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus;

8.2. svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio Registro tvarkytojos kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;

8.3. turi būti pakeistos numatytos prisijungimo prie svetainių TVS ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) ir slaptažodžiai;

8.4. turi būti užtikrinama, kad prie svetainių TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;

8.5. svetainių sauga turi būti vertinama Registro rizikos vertinimo ir (arba) informacinių technologijų saugos atitikties vertinimo, atliekamo Registro saugos nuostatų II skyriuje nustatyta tvarka, metu.

9. Kompiuterinės įrangos saugos priemonės:

9.1. prieigos prie Registro tarnybinių stočių (serverių) kontrolė užtikrinama suteikiant prieigos prie Registro tarnybinių stočių teises tik Registro administratoriui;

9.2. kompiuterinės įrangos sujungimas klasteriniu režimu (angl. computer cluster), t. y. kompiuterinės įrangos dubliavimas ir šios kompiuterinės įrangos techninės būklės nuolatinė stebėsena;

9.3. Registro naudotojų naudojamos techninės kompiuterinės įrangos priežiūra ir tvarkymas, kurį atlieka Registro tvarkytojas;

9.4. kompiuterinės įrangos gedimų registravimas kompiuterinės įrangos gedimų žurnale;

10. Registro sisteminės ir taikomosios programinės įrangos (toliau – Registro programinė įranga) saugos priemonės:

10.1. naudojama legali Registro programinė įranga;

10.2. Registro programinės įrangos diegimą atlieka tik asmenys, turintys teisę atlikti programinės įrangos diegimą;

10.3. Registro programinė įranga prižiūrima laikantis gamintojo rekomendacijų;

10.4. Registro naudojamos autorizuotos programinės įrangos sąrašo rengimas ir reguliarus atnaujinimas, už kurį atsakingas Registro tvarkytojas;

10.5. neautorizuotos programinės įrangos įdiegimo į Registro naudotojų kompiuterius ribojimas bei nuolatinis naudojamos Registro programinės įrangos stebėsenos vykdymas, už kurį atsakingas Registro tvarkytojas;

10.6. kompiuterinėse Registro naudotojų darbo vietose naudojama pažeidžiamumų nustatymo programinė įranga ir centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, kurios yra automatiniu būdu atnaujinamos ne rečiau kaip kartą per 10 dienų;

10.7. ne rečiau kaip kartą per mėnesį įvertinami kibernetiniam saugumui užtikrinti naudojamų priemonių programiniai atnaujinimai, klaidų taisymai ir šie atnaujinimai diegiami;

10.8. prisijungimo duomenis, suteikiančius teisę dirbti su Registro tarnybinėmis stotimis ir jų administravimo programine įranga, žino tik Registro administratorius;

10.9. prieigos teisė dirbti su Registro programine įranga suteikiama Registro naudotojams Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro naudotojų administravimo taisyklėse (toliau – Registro naudotojų administravimo taisyklės) nustatyta tvarka;

10.10. Registro naudotojams jų naudojamų kompiuterių operacinėse sistemose suteikiamos minimalios, tik tiesioginėms pareigoms vykdyti būtinos teisės;

10.11. Registro naudotojų tapatybei, Registro naudotojų veiksmams, atliekamiems Registre, nustatyti taikomos programinės priemonės;

10.12. Registro naudotojui 15 minučių neatliekant jokių veiksmų Registre, Registro programinė įranga užsirakina; toliau naudotis Registru Registro naudotojas gali tik pakartotinai patvirtinęs savo tapatybę;

10.13. Registro administratoriaus taikomos perspėjimo, kad Registro tarnybinių stočių įrangoje iki nustatytos pavojingos ribos mažėja laisvos operatyvios atminties ar vietos standžiajame diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja, programinės priemonės.

11. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

11.1. Registro naudotojas internetu jungiasi prie užkarda (angl. firewall) apsaugotų tarnybinių stočių, kuriose yra Registras, naudodamas unikalius atpažinties prisijungimo duomenis;

11.2. saugaus elektroninės informacijos teikimo ir (ar) gavimo iš kitų valstybės institucijų užtikrinimas, naudojant Saugų valstybės duomenų perdavimo tinklą (toliau – SVDPT);

11.3. Registro naudotojų kompiuterių tinklai turi tenkinti SVDPT saugos organizavimo, valdymo ir SVDPT naudotojų prijungimo reikalavimus, nustatytus Saugaus valstybinio duomenų perdavimo tinklo elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2007 m. birželio 5 d. įsakymu Nr. 1V-210 „Dėl Saugaus valstybinio duomenų perdavimo tinklo elektroninės informacijos saugos reikalavimų patvirtinimo“;

11.4. Registro duomenų perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų užkarda. Užkardos įvykių žurnalai (angl. Logs) turi būti reguliariai analizuojami, o užkardos saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos;

11.5. viešaisiais ryšių tinklais perduodamos elektroninės informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą, virtualųjį privatųjį tinklą (angl. virtual private network);

11.6. nuotolinis prisijungimas prie Registro turi būti vykdomas taikant protokolą, skirtą duomenims šifruoti.

11.7. Registro duomenų perdavimo tinkle turi būti įdiegtos ir veikti automatinės įsilaužimo (įsibrovimo) aptikimo ir prevencijos priemonės:

11.7.1. turi būti įdiegtos ir veikti automatizuotos įsibrovimo aptikimo sistemos, kurios stebėtų Registro įeinantį ir išeinantį duomenų srautą ir vidinį srautą tarp svarbiausių tinklo paslaugų;

11.7.2. įvykus įtartinai veiklai, ji turi būti užfiksuojama audito įrašuose ir automatizuotai kuriamas pranešimas (esant techninėms galimybėms) Registro administratoriui;

11.7.3. sukurtas pranešimas turi būti klasifikuojamas pagal užfiksuotą įvykį;

11.7.4. įsilaužimo atakų pėdsakai (angl. attack signature) turi būti gaunami iš aktualią informaciją teikiančių šaltinių – patikimų saugos programinės įrangos gamintojų. Naujausi įsilaužimo atakų pėdsakai turi būti atnaujinami ne vėliau kaip per 24 valandas nuo saugos programinės įrangos gamintojo naujausių įsilaužimo atakų pėdsakų pateikimo valandos arba ne vėliau kaip per 72 valandas nuo naujausių įsilaužimo atakų pėdsakų pateikimo valandos, jeigu Registro valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio Registro veiklai vertinimas (testavimas);

11.7.5. įsilaužimo aptikimo techninio sprendinio įgyvendinimas, konfigūracija ir kibernetinių incidentų aptikimo algoritmai (taisyklės) (kartu nurodant datas (įgyvendinimo, atnaujinimo ir panašiai), atsakingus asmenis, taikymo periodus ir pan.) turi būti saugomi elektronine forma atskirai nuo Registro techninės įrangos;

11.8. papildomos elektroninės informacijos perdavimo belaidžiais tinklais saugumo ir kontrolės užtikrinimo priemonės:

11.8.1. leidžiama naudoti tik su Saugos įgaliotiniu ir Kibernetinio saugumo vadovu suderintus belaidžio tinklo įrenginius ir belaidės prieigos taškus, atitinkančius techninius kibernetinio saugumo reikalavimus;

11.8.2. belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, valdytojos kontroliuojamoje zonoje;

11.8.3. vykdoma belaidžių įrenginių kontrolė, tikrinama, ar Registro tvarkytojo eksploatuojami belaidžiai įrenginiai atitinka techninius kibernetinio saugumo reikalavimus;

11.8.4. naudojamos priemonės, kurios automatiškai apribotų neleistinus ar kibernetinio saugumo reikalavimų neatitinkančius belaidžius įrenginius;

11.8.5. naudojamos priemonės, kurios automatiškai apriboja neleidžiamus ar saugumo reikalavimų neatitinkančius belaidžius įrenginius arba apie tokių įrenginių aptikimą informuojami Registro saugos įgaliotinis ir Registro kibernetinio saugumo vadovas;

11.8.6. prisijungiant prie belaidžio tinklo, turi būti taikomas naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) arba TLS (angl. Transport Layer Security) protokolas;

11.8.7. draudžiama belaidėje sąsajoje naudoti SNMP (angl. Simple Network Management Protocol) protokolą bei visus kitus nebūtinus valdymo protokolus;

11.8.8. turi būti išjungti nenaudojami TCP (angl. Transmission Control Protocol) ar UDP (angl. User Datagram Protocol) prievadai;

11.9. elektroninis paštas naudojamas Nacionalinės žemės tarnybos kompiuterių techninės ir programinės įrangos naudojimo taisyklių, patvirtintų Nacionalinės žemės tarnybos prie Žemės ūkio ministerijos direktoriaus 2012 m. birželio 6 d. įsakymu Nr. 1P-(1.3.)-184 „Dėl Nacionalinės žemės tarnybos prie Žemės ūkio ministerijos kompiuterių techninės ir programinės įrangos naudojimo taisyklių patvirtinimo“, nustatyta tvarka.

12. Patalpų, kuriose yra Registro tarnybinės stotys (toliau – patalpos) ir aplinkos saugumo užtikrinimo priemonės:

12.1. turi būti užtikrinamas išorės poveikio šaltinių – transporto priemonių keliamos vibracijos, eismo įvykių, radijo stočių, specialiųjų gamyklų, kitų išorės šaltinių minimalus poveikis patalpoms ir jose esančiai techninei ir programinei įrangai;

12.2. patalpose įrengta langų ir durų fizinė apsauga: prie langų pritvirtintos žaliuzės ir metalinės grotos, įrengtos rakinamos šarvuotos ir ugniai atsparios durys, veikia durų ir langų signalizacija;

12.3. patalpos atitinka gaisrinės saugos reikalavimus, jose turi būti pirminių gaisro gesinimo priemonių, kurios kasmet turi būti patikrinamos;

12.4. patalpose įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos stebėjimo pulto;

12.5. patalpos, atskirtos nuo bendrojo naudojimo patalpų;

12.6. patekti į patalpas gali tik Registro administratorius, o asmenys, nesusiję su Registro tarnybinių stočių administravimu, patekti į šias patalpas gali tik lydimi administratoriaus ir užsiregistravę Patekimo į patalpas, kuriose yra Registro tarnybinės stotys, žurnale;

12.7. Registro tarnybinių stočių techninė įranga įnešama į patalpas ar išnešama iš patalpų tik leidus Registro administratoriui;

12.8. Registro tarnybinių stočių techninė įranga apsaugoma nuo elektros srovės svyravimų. Naudojami specialūs maitinimo šaltiniai, nenutrūkstamo maitinimo šaltinis su automatine apsauga nuo įtampos svyravimų;

12.9. rezervinio nenutrūkstamo maitinimo šaltinis užtikrina Registro tarnybinių stočių įrangos veikimą ne trumpiau nei 10 minučių pagrindinio nenutrūkstamo maitinimo šaltinio neveikimo atveju;

12.10. ryšių kabeliai apsaugoti nuo nesankcionuoto prisijungimo prie jų ir jų pažeidimo;

12.11. įgyvendintos gamintojo nustatytos Registro tarnybinių stočių techninės įrangos darbo sąlygos;

12.12. patalpose palaikoma +22 (±5)ºC temperatūra ir 50 (±10)% santykinis oro drėgnumas.

13. Registro darbo apskaitos ir kitos elektroninės informacijos saugos priemonės:

13.1. programiniu būdu registruojami Registro naudotojų veiksmai su Registro duomenimis;

13.2. Registro naudotojams suteikiamos prieigos prie Registro teisės atlikti veiksmus tik su jiems priskirtais duomenimis;

13.3. Registro tarnybinių stočių įvykių žurnaluose registruojami, ne mažiau kaip vienerius metus saugomi ir ne rečiau kaip kartą per savaitę analizuojami duomenys, nurodant įvykio laiką ir Registro naudotojo unikalius atpažinties prisijungimo duomenis, apie:

13.3.1. Registro tarnybinių stočių ir Registro įjungimą bei išjungimą;

13.3.2. sėkmingus ir nesėkmingus bandymus registruotis Registro tarnybinėse stotyse ir Registre;

13.3.3. bandymus prieiti prie Registro informacinių išteklių;

13.3.4. kitus svarbius su Registre tvarkomos elektroninės informacijos sauga susijusius įvykius.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

14. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo tvarka:

14.1. Registro duomenis ir Registro informaciją keisti, atnaujinti, įrašyti ir naikinti gali tik Registro naudotojai, turintys teisę tai atlikti;

14.2. Registro duomenys ir Registro informacija įrašoma, atnaujinama, keičiama ir naikinama vadovaujantis Registro nuostatais ir Registro saugos nuostatais.

15. Registro naudotojų veiksmų registravimo tvarka:

15.1. Registro naudotojų tapatybė ir veiksmai su Registro duomenimis ir Registro informacija turi būti įrašomi automatiniu būdu Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų duomenų bazės veiksmų žurnale (toliau – Registro duomenų bazės veiksmų žurnalas), apsaugotame nuo neteisėto jame esančių duomenų ir informacijos panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;

15.2. Registro duomenų bazės veiksmų žurnalo duomenys gali būti prieinami tik Registro administratoriui.

16. Prarasti, iškraipyti ar sunaikinti Registro duomenys ir Registro informacija turi būti atkuriami iš atsarginių Registro duomenų kopijų. Atsarginės Registro duomenų kopijos daromos ir saugomos, o Registro duomenys ir Registro informacija atkuriama iš atsarginių Registro duomenų kopijų tokia tvarka:

16.1. už atsarginių Registro duomenų kopijų darymą, elektroninės informacijos atkūrimą ir atsarginių Registro duomenų kopijų apsaugą yra atsakingas Registro administratorius, kurio funkcijos aprašytos Registro naudotojų administravimo taisyklėse ir kituose teisės aktuose, reglamentuojančiuose Registro darbą;

16.2. elektroninė informacija turi būti kopijuojama ir saugoma tokia apimtimi, kad Registro duomenų ir Registro informacijos praradimo atveju visišką Registro funkcionalumą ir veiklą būtų galima atstatyti per 16 valandų;

16.3. Registro duomenys ir Registro informacija atsarginėse kopijose yra užkoduota;

16.4. Registro duomenų atsarginių kopijų darymas turi būti fiksuojamas Atsarginių kopijų darymo žurnale;

16.5. Registro duomenų saugykloje realiu laiku turi būti dubliuojami visi Registro duomenys ir Registro informacija;

16.6. Registro duomenų kopijos į rezervinio kopijavimo juostų biblioteką turi būti daromos vieną kartą per 24 valandas;

16.7. Registro duomenų kopijos turi būti saugomos užrakintoje nedegioje spintoje, esančioje kitoje patalpoje, nei yra Registro tarnybinių stočių įrenginys, kurio elektroninė informacija buvo nukopijuota;

16.8. visiški ir (ar) daliniai Registro duomenų ir Registro informacijos atkūrimo bandymai turi būti vykdomi vieną kartą per metus;

16.9. išsamūs ir (ar) daliniai Registro duomenų ir Registro informacijos atkūrimo bandymai turi būti vykdomi ne darbo valandomis ir prieš tai elektroniniu paštu informavus visus Registro naudotojus;

16.10. už išsamius ir (ar) dalinius Registro duomenų ir Registro informacijos atkūrimo bandymus yra atsakingi Registro administratorius ir Registro saugos įgaliotinis. Registro administratorius su Registro saugos įgaliotiniu turi parengti ir suderinti visiško ir dalinio Registro duomenų ir Registro informacijos atkūrimo bandymų metodus ir užtikrinti atsarginių Registro duomenų kopijų saugojimą ir atsarginių Registro duomenų kopijų darymo kontrolę.

17. Registro duomenų ir Registro informacijos perkėlimo ir teikimo kitoms informacinėms sistemoms, duomenų gavimo iš jų tvarka:

17.1. už Registro naudotojų administravimą ir iš susijusių registrų ir kitų informacinių sistemų teikiamų duomenų atnaujinimą Registre yra atsakingas Registro administratorius;

17.2. duomenų ir informacijos mainai tarp Registro ir susijusių registrų ir kitų informacinių sistemų turi būti vykdomi sudarytose duomenų teikimo sutartyse numatytais būdais, terminais ir numatytos apimties;

17.3. reorganizuojant arba likviduojant Registrą, jo elektroninė informacija turi būti saugiai perduota kitai informacinei sistemai, valstybės archyvams arba sunaikinama Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

18. Duomenų ir informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo
(toliau – neteisėti veiksmai) nustatymo tvarka:

18.1. Registro administratorius, užtikrindamas Registro duomenų ir Registro informacijos vientisumą, privalo naudoti visas įmanomas fizines, programines ir organizacines priemones, skirtas Registrui ir jame tvarkomiems duomenims ir informacijai apsaugoti nuo neteisėtų veiksmų;

18.2. Registro naudotojas, įtaręs, kad su Registro duomenimis ir Registro informacija buvo atlikti ar yra atliekami neteisėti veiksmai, privalo pranešti apie tai Registro administratoriui. Registro administratorius, atsiradus įtarimams dėl neteisėtų veiksmų su Registro duomenimis ir Registro informacija, pasinaudojęs Registro duomenų bazės veiksmų žurnalo įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su Registro programine įranga ir (ar) duomenimis;

18.3. Registro administratorius, įtaręs, kad su Registro duomenimis ir Registro informacija vykdomi neteisėti veiksmai, privalo apie tai pranešti Registro saugos įgaliotiniui ir Registro kibernetinio saugumo vadovui;

18.4. Registro saugos įgaliotinis ar Registro kibernetinio saugumo vadovas, gavęs Registro administratoriaus pranešimą apie įvykdytus ar vykdomus neteisėtus veiksmus su Registru arba Registre tvarkoma elektronine informacija, inicijuoja elektroninės informacijos saugos (kibernetinio) incidento valdymo procedūras, nustatytas Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro veiklos tęstinumo valdymo plane.

19. Registro programinės ir techninės įrangos keitimo ir atnaujinimo tvarka ir Registro funkcijų pokyčių (toliau – Registro pokyčiai) valdymo tvarka:

19.1. Registro programinės ir techninės įrangos keitimo ir atnaujinimo tvarką ar Registro pokyčius, atsižvelgdamas į konkretų atvejį, derina Registro administratorius arba jie aprašomi paslaugų, susijusių su Registro programinės ir techninės įrangos keitimu ir atnaujinimu, teikimo sutartyse;

19.2. prieš atlikdamas Registro pokyčius, kurių metu gali iškilti grėsmė Registro duomenų ir Registro informacijos bei Registro konfidencialumui, vientisumui ar pasiekiamumui, Registro administratorius privalo planuojamus Registro pokyčius ištestuoti;

19.3. įvertinamas Registro pokyčių potencialus poveikis, įskaitant poveikį saugumui;

19.4. numatomos Registro veiklos atkūrimo procedūros nesėkmingų Registro pokyčių atlikimo atvejais;

19.5. atlikęs vykdomų Registro pokyčių testavimą ir raštu gavęs Registro valdytojo vadovo arba jo paskirto asmens sutikimą, Registro administratorius gali pradėti įgyvendinti Registro pokyčius;

19.6. planuodamas Registro pokyčius, kurių metu galimi Registro veikimo sutrikimai, Registro administratorius privalo ne vėliau kaip prieš dvi darbo dienas iki Registro pokyčių vykdymo pradžios elektroniniu paštu informuoti Registro naudotojus apie tokių darbų pradžią ir galimus Registro veikimo sutrikimus.

20. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (toliau – mobilieji įrenginiai), naudojamų Registro naudotojų tarnybinėms ar darbo funkcijos vykdyti, naudojimo tvarka:

20.1. išnešti iš Registro valdytojo ar Registro tvarkytojo patalpų mobilieji įrenginiai negali būti palikti be priežiūros viešose vietose; kelionės metu mobilieji įrenginiai turi būti saugomi;

20.2. iš Registro valdytojo ar Registro tvarkytojo patalpų išnešamiems mobiliesiems įrenginiams turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimai ir pan.);

20.3. duomenys, perduodami tarp mobiliojo įrenginio ir Registro, turi būti šifruojami;

20.4. mobilusis įrenginys, kuriuo nesinaudojama 10 minučių, turi automatiškai užsirakinti;

20.5. turi būti užtikrinta kompiuterinių laikmenų apsauga, t. y. esant techninėms galimybėms turi būti šifruojami duomenys tiek mobiliųjų įrenginių laikmenose, tiek išorinėse kompiuterinėse laikmenose. Draudžiama saugoti neužšifruotuose mobiliųjų įrenginių laikmenose konfidencialią ir (arba) asmens duomenų informaciją;

20.6. prieš perduodant mobilųjį įrenginį Registro naudotojui, jis turi būti patikrinamas antivirusine programine įranga;

20.7. mobiliojo įrenginio grąžinimas ir antivirusinės programos tikrinimo rezultatai turi būti dokumentuojami;

20.8. už mobiliųjų įrenginių ir jame tvarkomų ar saugomų duomenų saugą teisės aktų nustatyta tvarka atsako naudotojas, kuriam šis įrenginys yra skirtas.

IV SKYRIUS

REIKALAVIMAI, KELIAMI REGISTRUI FUNKCIONUOTI
REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

21. Registro valdytojas, pirkdamas paslaugas, darbus ar įrangą, susijusius su Registru, jo projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi nustatyti, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas užtikrina atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams.

22. Paslaugų teikėjų prieigos prie Registro lygiai ir sąlygos:

22.1. Registro administratorius suteikia prieigos prie Registro duomenų ir Registro informacijos teisę (peržiūrėti Registro duomenis bei Registro informaciją, atlikti užklausas Registre, vykdyti veiksmus su Registro duomenimis bei Registro informacija ir kt.), fizinę prieigą prie Registro techninės ir programinės įrangos paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje nustatytomis sąlygomis ir tvarka paslaugų teikėjo funkcijoms atlikti;

22.2. Registro administratorius, suteikdamas prieigos prie Registro duomenų ir Registro informacijos teisę, paslaugų teikėjo įgaliotą fizinį asmenį pasirašytinai supažindina su Registro nuostatais, Registro saugos nuostatais ir kitais Registro saugos politiką įgyvendinančiais dokumentais;

22.3. pasibaigus paslaugų teikimo sutarties galiojimui ar šią sutartį nutraukus, Registro administratorius nedelsdamas, bet ne vėliau kaip kitą darbo dieną, panaikina paslaugų teikėjo įgalioto fizinio asmens prieigos prie Registro duomenų ir Registro informacijos teisę ir apie tai jį informuoja.

23. Reikalavimai Registro tarnybinių stočių patalpų, Registro programinės įrangos, Registro priežiūrai ir kitoms paslaugoms:

23.1. reikalavimai paslaugų teikėjams ir jų teikiamoms Registro priežiūros paslaugoms nustatomi šių paslaugų teikimo sutartyse;

23.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja Registro programinę įrangą, naudodamas:

23.2.1. įgyvendintas elektroninės informacijos saugos priemones, apsaugančias nuo neteisėto poveikio sisteminei, programinei įrangai ir patalpoms;

23.2.2. Registro tęstinės duomenų bazės duomenis (Registro programinei įrangai modifikuoti);

23.2.3. tik sertifikuotą Registro programinę įrangą;

23.3. Registro veiklą palaikančių sistemų (elektros energijos, šildymo, vėdinimo ir oro kondicionavimo bei kitų sistemų) kokybė atsižvelgiant į šių sistemų veiklai keliamus reikalavimus turi būti reguliariai tikrinama, siekiant užtikrinti tinkamą paslaugų teikimą ir sumažinti galimas šių paslaugų teikimo sutrikimo ir avarijos pasekmes.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

24. Registro sauga turi būti vertinama Registro rizikos vertinimo ir (arba) informacinių technologijų saugos atitikties vertinimo, atliekamo Registro saugos nuostatų II skyriuje nustatyta tvarka, metu. Kartu su Registro rizikos įvertinimu ir (arba) informacinių technologijų saugos atitikties vertinimu turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos Registro kibernetiniam saugumui, vertinimas.

25. Registro informacinių technologijų saugos atitikties vertinimo metu turi būti atliekamas kibernetinių atakų imitavimas ir vykdomos kibernetinių incidentų imitavimo pratybos. Imituojant kibernetines atakas rekomenduojama vadovautis tarptautiniu mastu pripažintų organizacijų (pvz., EC-COUNCIL, ISACA, NIST ir kt.) rekomendacijomis ir gerąja praktika. Kibernetinių atakų imitavimas atliekamas šiais etapais:

25.1. planavimo etapas. Parengiamas kibernetinių atakų imitavimo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtys, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (arba) pilkosios dėžės (angl. Grey Box)), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (arba) techniniai įrankiai ir priemonės, nurodomi už plano vykdymą atsakingi asmenys ir jų kontaktai. Kibernetinių atakų imitavimo planas turi būti suderintas su Registro valdytojo vadovu ir vykdomas tik gavus jo rašytinį pritarimą;

25.2. žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių serverių ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą ir konfigūracijas, taip pat kita sėkmingai kibernetinei atakai įvykdyti reikalinga informacija. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;

25.3. kibernetinių atakų imitavimo etapas. Atliekami kibernetinių atakų imitavimo plane numatyti testai. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;

25.4. ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti išdėstomi informacinių technologijų saugos vertinimo ataskaitoje. Kibernetinių atakų imitavimo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat informacinių sistemų valdytojos įstaigos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

26. Registro naudotojai, Registro saugos įgaliotinis, Registro kibernetinio saugumo vadovas ir Registro administratorius, pažeidę šių Tvarkymo taisyklių ir kitų saugos politiką įgyvendinamųjų teisės aktų nuostatas, atsako teisės aktų nustatyta tvarka.

_________________________

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2018 m. rugsėjo 20 d. įsakymu Nr. 3D-654

žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro veiklos tęstinumo valdymo plano (toliau – Valdymo planas) tikslas – nustatyti Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro (toliau – Registras) Registro administratoriaus, Registro saugos įgaliotinio, Registro kibernetinio saugumo vadovo ir kitų asmenų veiksmus, esant elektroninės informacijos saugos (kibernetiniam) incidentui, kurio metu iškyla pavojus Registro duomenims ir Registro informacijai, Registro techninės, programinės įrangos funkcionavimui.

2. Valdymo planas parengtas vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 17 d. nutarimu Nr. 662 „Dėl Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro steigimo, jo nuostatų patvirtinimo ir veikimo pradžios nustatymo, taip pat kitų su tuo susijusių Lietuvos Respublikos Vyriausybės nutarimų pakeitimo“ ir Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos žemės ūkio ministro 2013 m. spalio 3 d. įsakymu Nr. 3D-678 „Dėl Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro duomenų saugos nuostatų patvirtinimo“.

3. Valdymo plane vartojamos sąvokos:

3.1. Registro valdytojas – Lietuvos Respublikos žemės ūkio ministerija.

3.2. Registro tvarkytojas – Nacionalinė žemės tarnyba prie Žemės ūkio ministerijos.

3.3. Registro administratorius – Nacionalinės žemės tarnybos prie Žemės ūkio ministerijos (toliau – Nacionalinė žemės tarnyba) direktoriaus paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis Registrą, užtikrinantis jo veikimą ir elektroninės informacijos saugą.

3.4. Registro saugos įgaliotinis – Nacionalinės žemės tarnybos direktoriaus paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis elektroninės informacijos saugos politikos įgyvendinimą Registre.

3.5. Registro kibernetinio saugumo vadovas – Nacionalinės žemės tarnybos direktoriaus paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, atsakingas už kibernetinio saugumo organizavimą ir užtikrinimą.

3.7. Elektroninės informacijos saugos (kibernetinis) incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie Registro galimybę, sutrikdyti ar pakeisti Registro veiklą, sunaikinti ar pakeisti Registro informaciją ir Registro duomenis, panaikinti ar apriboti galimybę naudotis Registro informacija ir Registro duomenimis, sudaryti sąlygas neteisėtai panaudoti ar pasisavinti Registro informaciją ir Registro duomenis.

3.8. Kitos Valdymo plane vartojamos sąvokos atitinka Valdymo plano 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

4. Valdymo plano reikalavimai privalomi Registro valdytojui, Registro tvarkytojui, Registro saugos įgaliotiniui, Registro administratoriui, Registro kibernetinio saugumo vadovui, visiems Registro naudotojams, naudojantiems Registro įrangą tarnybos ir darbo funkcijoms atlikti. Valdymo planas taikomas kiekvienam pastatui, kuriame tvarkomi Registro duomenys ir Registro informacija.

5. Valdymo planas įsigalioja ir turi būti įgyvendinamas įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, kurio metu gali kilti pavojus Registro duomenims ir Registro informacijai, Registro techninės, programinės įrangos funkcionavimui.

6. Registro saugos įgaliotinio, Registro kibernetinio saugumo vadovo ir Registro administratoriaus veiksmai įvykus elektroninės informacijos saugos (kibernetiniam) incidentui yra nurodyti Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro veiklos atkūrimo detaliajame plane (1 priedas).

7. Elektroninės informacijos saugos (kibernetinio) incidento metu patirti nuostoliai padengiami iš valstybės biudžeto ir kitų finansavimo šaltinių.

8. Kriterijai, pagal kuriuos nustatoma, kad Registro veikla atkurta:

8.1. Registro duomenų ir Registro informacijos atnaujinimas;

8.2. Registro duomenų ir Registro informacijos išsaugojimas;

8.3. nuolatinis Registro duomenų ir Registro informacijos teikimas fiziniams, juridiniams asmenims, ir kitoms informacinėms sistemoms teisės aktų nustatyta tvarka.

9. Neveikiant Registrui ar veikiant iš dalies, jo veikla turi būti atkurta per 16 val. Atkuriama pagal Valdymo plane numatytus pirmaeilius veiksmus (3 priedas).

10. Registro prieinamumas turi būti užtikrintas ne mažiau kaip 90 proc. paros laiko.

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

11. Registro tvarkytojas, įvykus elektroninės informacijos saugos (kibernetinio) incidentui, atlieka šias funkcijas:

11.1. užtikrina Registro elektroninės informacijos saugos (kibernetinio) incidentų valdymą ir tyrimą; registruoja įvykusius saugos incidentus ir nedelsdamas į juos reaguoja, organizacinėmis, techninėmis ir programinėmis priemonėmis saugos incidentus valdo, tiria ir šalina;

11.2. informuoja Nacionalinį kibernetinio saugumo centrą apie Registre įvykusius kibernetinius saugos incidentus, nurodytus organizaciniuose ir techniniuose kibernetinio saugumo reikalavimuose, ir taikytas kibernetinių saugos incidentų valdymo priemones Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo tvarkos apraše numatyta tvarka;

11.3. teikia Valstybinei duomenų apsaugos inspekcijai informaciją apie saugos incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių saugos incidentų valdymo priemones šios institucijos nustatyta tvarka ir sąlygomis;

11.4. teikia policijai informaciją, reikalingą saugos incidentams, turintiems nusikalstamos veikos požymių, užkardyti ir tirti, policijos generalinio komisaro nustatyta tvarka ir sąlygomis;

11.5. sudaro sąlygas Nacionaliniam kibernetinio saugumo centrui diegti ir valdyti technines kibernetinio saugumo priemones Turto banko informaciniuose ištekliuose.

12. Elektroninės informacijos saugos (kibernetiniams) incidentams valdyti bei veiklos atkūrimui organizuoti Registro tvarkytojo vadovo įsakymu sudaroma: Registro veiklos tęstinumo valdymo grupė (toliau – Valdymo grupė) ir Registro veiklos atkūrimo grupė (toliau – Atkūrimo grupė).

13. Valdymo grupės tikslas – pagal Registro saugos įgaliotinio gautą tarnybinį pranešimą apie elektroninės informacijos saugos (kibernetinį) incidentą tirti elektroninės informacijos saugos (kibernetinius) incidentus, ieškoti priemonių ir būdų sukeltiems padariniams bei žalai likviduoti, užtikrinti Registro veiklos tęstinumą.

14. Valdymo grupės sudėtis:

14.1. Nacionalinės žemės tarnybos direktorius (Valdymo grupės vadovas);

14.2. Nacionalinės žemės tarnybos direktoriaus pavaduotojas (Valdymo grupės vadovo pavaduotojas);

14.3. Nacionalinės žemės tarnybos Bendrųjų reikalų departamento Informacinių technologijų skyriaus vedėjas (Valdymo grupės vadovo pavaduotojas);

14.4. Nacionalinės žemės tarnybos direktoriaus įsakymu paskirti Registro duomenų valdymo įgaliotiniai;

14.5. Registro saugos įgaliotinis;

14.6. Registro kibernetinio saugumo vadovas;

14.7. Registro administratorius;

14.8. kiti Registro valdytojo deleguoti ir Nacionalinės žemės tarnybos direktoriaus įsakymu paskirti valstybės tarnautojai arba darbuotojai, dirbantys pagal darbo sutartis.

15. Valdymo grupės funkcijos:

15.1. elektroninės informacijos saugos (kibernetinių) incidentų analizė ir sprendimų Registro veiklos tęstinumo valdymo klausimais priėmimas;

15.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

15.3. bendravimas su susijusių informacinių sistemų veiklos tęstinumo valdymo grupėmis;

15.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;

15.5. finansinių ir kitų išteklių, reikalingų Registro veiklai atkurti, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, naudojimo kontrolė;

15.6. Registro fizinės duomenų saugos užtikrinimo kontrolė, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui;

15.7. logistikos organizavimas (žmonių, daiktų, įrangos gabenimas ir jo organizavimas);

15.8. Registro veiklos atkūrimo priežiūra ir koordinavimas;

15.9. kitos Valdymo grupei pavestos funkcijos.

16. Atkūrimo grupės sudėtis:

16.1. Nacionalinės žemės tarnybos Bendrųjų reikalų departamento Informacinių technologijų skyriaus vedėjas (Atkūrimo grupės vadovas);

16.2. Nacionalinės žemės tarnybos Bendrųjų reikalų departamento Informacinių technologijų skyriaus vyriausiasis specialistas (Atkūrimo grupės vadovo pavaduotojas);

16.3. Nacionalinės žemės tarnybos Bendrųjų reikalų departamento Informacinių technologijų skyriaus vyriausiasis specialistas;

16.4. Registro administratorius;

16.5. kiti Registro valdytojo deleguoti ir Nacionalinės žemės tarnybos direktoriaus įsakymu paskirti valstybės tarnautojai arba darbuotojai, dirbantys pagal darbo sutartis.

17. Atkūrimo grupės funkcijos:

17.1. Registro tarnybinių stočių veikimo atkūrimo organizavimas;

17.2. kompiuterių tinklo veikimo atkūrimo organizavimas;

17.3. Registro duomenų ir Registro informacijos atkūrimo organizavimas;

17.4. Registro taikomųjų programų tinkamo veikimo atkūrimo organizavimas;

17.5. darbo kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas;

17.6. kitos Atkūrimo grupei pavestos funkcijos.

18. Įvykus elektroninės informacijos saugos (kibernetiniam) incidentui:

18.1. Registro naudotojai privalo nedelsdami žodžiu ar raštu pranešti Registro administratoriui apie elektroninės informacijos saugos (kibernetinį) incidentą. Patys Registro naudotojai neturi teisės imtis jokių veiksmų;

18.2. Registro administratorius, gavęs pranešimą apie elektroninės informacijos saugos (kibernetinį) incidentą, nedelsdamas turi imtis veiksmų, reikalingų elektroninės informacijos saugos (kibernetiniam) incidentui stabdyti. Apie elektroninės informacijos saugos (kibernetinį) incidentą Registro administratorius, įvertinęs incidento reikšmingumą, raštu pagal kompetenciją informuoja Registro saugos įgaliotinį ir Registro kibernetinio saugumo vadovą. Įvykis aprašomas, nurodant elektroninės informacijos saugos (kibernetinio) incidento vietą, laiką, pobūdį ir kitą su įvykiu susijusią informaciją.

18.3. Registro kibernetinio saugumo vadovas skiria prioritetą kibernetiniams incidentams valdyti, tirti ir šalinti bei apie juos informuoja Nacionalinį kibernetinio saugumo centrą Valdymo plano 4 priede nustatyta tvarka.

18.4. Registro saugos įgaliotinis apie elektroninės informacijos saugos (kibernetinį) incidentą nedelsdamas informuoja Registro tvarkytojo vadovą;

18.5. Registro saugos įgaliotinis įrašo informaciją apie elektroninės informacijos saugos (kibernetinį) incidentą į Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro elektroninės informacijos saugos (kibernetinių) incidentų registravimo žurnalą (Valdymo plano 2 priedas), vadovauja Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro veiklos atkūrimo detaliajame plane nurodytiems veiksmams;

18.6. Registro administratorius atkuria Registro techninės ir programinės įrangos veikimą, kompiuterių tinklo veiklą, Registro duomenis, Registro informaciją, Registro techninės, sisteminės ir taikomosios programinės įrangos funkcionavimą ir nedelsdamas apie atliktus veiksmus informuoja Registro saugos įgaliotinį ir Registro kibernetinio saugumo vadovą;

18.7. Registro saugos įgaliotinis, Registro kibernetinio saugumo vadovas kartu su Registro administratoriumi organizuoja žalos Registro duomenims, Registro informacijai, Registro techninei, programinei įrangai vertinimą, koordinuoja Registro veiklai atkurti reikalingos techninės, sisteminės ir taikomosios programinės įrangos įsigijimą;

18.8. elektroninės informacijos saugumo (kibernetiniam) incidentui išplitus už Registro valdytojo ir Registro tvarkytojo įstaigos ribų, Registro administratorius nedelsdamas informuoja su elektroninės informacijos saugos (kibernetiniu) incidentu susijusius paslaugų teikėjus ir (ar) kitas institucijas, atsižvelgia į jų rekomendacijas.

19. Techninė, sisteminė ir taikomoji programinė įranga, reikalinga pakeisti elektroninės informacijos saugos (kibernetinio) incidento metu sunaikintą ar sugadintą įrangą, įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo ir (ar) Nacionalinės žemės tarnybos direktoriaus įsakymu tvirtinamų Nacionalinės žemės tarnybos prie Žemės ūkio ministerijos supaprastintų viešųjų pirkimų taisyklių nustatyta tvarka.

20. Atsarginėms patalpoms, naudojamoms Registro veiklai atkurti elektroninės informacijos saugos (kibernetinio) incidento atveju, keliami šie reikalavimai:

20.1. patekimas į atsargines patalpas turi būti registruojamas Patekimo į patalpas, kuriose yra tarnybinės stotys, žurnale;

20.2. atsarginės patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

20.3. atsarginės patalpos turi atitikti gaisrinės saugos reikalavimus ir jose turi būti pirminių gaisro gesinimo priemonių;

20.4. atsarginėse patalpose turi būti įrengtas rezervinis elektros energijos šaltinis Registro techninei įrangai ir duomenų perdavimo tinklo mazgams, užtikrinantis nurodytos įrangos veikimą pagrindinio elektros energijos šaltinio neveikimo atveju ne trumpiau kaip 10 minučių;

20.5. ryšių kabeliai turi būti apsaugoti nuo nesankcionuoto prisijungimo;

20.6. patalpoje nuolat turi veikti oro temperatūros reguliavimo įranga (oro kondicionavimo sistema) bei palaikoma + 22 (± 5)ºC temperatūra.

21. Atsarginių patalpų, naudojamų Registro veiklai atkurti kilus elektroninės informacijos saugos (kibernetiniam) incidentui, adresas - Gedimino pr. 19, Vilnius.

22. Valdymo grupė ir Atkūrimo grupė tarpusavyje bendrauja el. paštu ir (ar) telefonu. Ne rečiau negu kartą per metus organizuojamas šių grupių susitikimas, kuriame aptariama esama situacija ir suderinami galimi jos gerinimo būdai.

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

23. Informacija apie Registro techninę ir programinę įrangą ir jos parametrus nurodyta Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro techninės ir programinės įrangos specifikacijoje.

24. Už Registro techninės ir programinės įrangos priežiūrą yra atsakingas Registro administratorius.

25. Registro administratorius parengia ir saugo:

25.1. dokumentą, kuriame nurodyti informacinių technologijų įrangos parametrai ir už šios įrangos priežiūrą atsakingas Registro administratorius, minimalus Registro veiklai atkurti nesant Registro administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, reikiamos kompetencijos ar žinių lygis;

25.2. dokumentą, kuriame nurodyta minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos Registro tvarkytojo poreikius atitinkančiai informacinės sistemos veiklai užtikrinti įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, specifikacija, kuri turi būti lygiavertė pagrindinei Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro techninės ir programinės įrangos specifikacijai;

25.3. dokumentą, kuriame pateikti pastato, kuriame yra Registro įranga, kiekvieno aukšto patalpų brėžiniai su juose pažymėtomis tarnybinėmis stotimis, kompiuterių ir telefonų tinklo mazgais, kompiuterių tinklo ir telefonų tinklo laidų vedimo tarp pastato aukštų vietomis bei elektros įvedimo pastate vietomis, ir kompiuterių tinklo fizinio ar loginio sujungimo schemas;

25.4. dokumentą, kuriame nurodytos kompiuterių tinklo fizinio ir loginio sujungimo schemos;

25.5. dokumentą, kuriame nurodytos duomenų teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigos;

25.6. dokumentą, kuriame nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis Registro duomenų ir Registro informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos.

26. Programinės įrangos laikmenos ir laikmenos su atsarginėmis Registro duomenų ir Registro informacijos kopijomis saugomos užrakintoje nedegioje spintoje, kitoje patalpoje, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. Registro administratorius kartą per savaitę atsargines Registro duomenų ir Registro informacijos kopijas perkelia į saugojimo vietą.

27. Registro saugos įgaliotinis ir Registro administratorius parengia, patvirtina ir saugo Valdymo grupės ir Atkūrimo grupės narių sąrašą su kontaktiniais duomenimis, leidžiančiais pasiekti šiuos asmenis bet kuriuo metu. Valdymo grupės ir Atkūrimo grupės narių sąrašas turi būti atnaujinamas, pasikeitus jame nurodytai informacijai.

28. Registro kibernetinio saugumo vadovas ne rečiau kaip kartą per mėnesį:

28.1. atlieka užfiksuotų kibernetinių incidentų analizę ir esant reikalui organizuoja pastebėtų neatitikčių saugumo reikalavimams šalinimą;

28.2. atlieka kibernetinių incidentų valdymo patirties vertinimą;

28.3. atlieka užkardų (angl. firewall) užfiksuotų įvykių analizę, organizuoja pastebėtų neatitikčių saugumo reikalavimams šalinimą;

28.4. įvertina kibernetiniam saugumui užtikrinti naudojamų priemonių programinius atnaujinimus, klaidų taisymus ir organizuoja atnaujinimų diegimą.

IV SKYRIUS

Valdymo PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

29. Valdymo plano veiksmingumas turi būti išbandomas kartą per dvejus metus. Valdymo plano veiksmingumo išbandymo metu imituojamas elektroninės informacijos saugos (kibernetinio) incidentas. Jo metu už elektroninės informacijos saugos (kibernetinio) incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus. Iš atsarginių Registro duomenų kopijų atkuriami Registro duomenys ir Registro informacija.

Kibernetinių incidentų imitavimo pratybos turi būti organizuojamos ne rečiau kaip kartą per metus. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, tobulinamas Valdymo planas.

30. Pagal bandymų rezultatus Registro saugos įgaliotinis, Registro kibernetinio saugumo vadovas ir Registro administratorius parengia Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro veiklos tęstinumo valdymo plano įvertinimo ataskaitą (toliau – Ataskaita), kurioje yra apibendrinami atliktų bandymų rezultatai, apibrėžiami pastebėti trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina Nacionalinės žemės tarnybos direktorius.

31. Registro saugos įgaliotinis ir Registro kibernetinio saugumo vadovas nuolat kontroliuoja Ataskaitoje nurodytų trūkumų šalinimo priemonių įgyvendinimą.

32. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami laikantis šių principų:

32.1. operatyvumo – kiek galima greičiau išspręsti ir pašalinti trūkumus. Atliekant trūkumų šalinimo veiklą, turi būti atsižvelgiama į trūkumų sudėtingumą ir apimtį. Registro saugos įgaliotinis kartu su Registro administratoriumi nusprendžia ir nustato, per kiek laiko turi būti atliktas konkretus trūkumų šalinimo veiksmas ir pašalinti trūkumai;

32.2. veiksmingumo – trūkumų šalinimas turi padaryti esminę įtaką Registro veiklai. Trūkumų šalinimas laikomas veiksmingu, jei jo metu pavyko sumažinti konkretaus trūkumo neigiamą poveikį;

32.3. ekonomiškumo – siekis pašalinti visus trūkumus taupiai naudojant turimus išteklius.

__________________________

Žemėtvarkos planavimo dokumentų

rengėjų, matininkų ir geodezininkų

žinybinio registro veiklos tęstinumo

valdymo plano

1 priedas

ŽEMĖTVARKOS PLANAVIMO DOKUMENTŲ RENGĖJŲ, MATININKŲ IR GEODEZININKŲ ŽINYBINIO REGISTRO

VEIKLOS ATKŪRIMO DETALUSIS PLANAS

Pavojaus rūšys	Pirmaeiliai veiksmai	Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro veiklos atkūrimo veiksmai	Už Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro veiklos atkūrimą atsakingi asmenys
1. Oro sąlygos (smarkus lietus, labai smarki audra, viesulas, škvalas, kruša, žemės drebėjimas, smarkus speigas)	1.1. Elektroninės informacijos saugos incidento pasekmių įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	1.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	Registro saugos įgaliotinis, Registro administratorius
		1.1.2. Pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas	Registro administratorius, Registro saugos įgaliotinis
		1.1.3. Priemonių plano įgyvendinimas	Registro administratorius, Registro saugos įgaliotinis
	1.2. Darbuotojų elektroninės informacijos saugos incidento pasekmėms likviduoti paskyrimas	1.2.1. Žalą likviduojančių darbuotojų instruktavimas	Registro administratorius, Registro saugos įgaliotinis
		1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas	Registro administratorius, Registro saugos įgaliotinis
	1.3. Oro prognozės sekimas	1.3.1. Žalą likviduojančių darbuotojų instruktavimas	Registro administratorius, Registro saugos įgaliotinis
	1.4. Dirbantiems pavojaus vietoje rekomendacijų teikimas	1.4.1. Elektroninės informacijos saugos incidento pasekmes likviduojančių darbuotojų instruktavimas	Registro administratorius, Registro saugos įgaliotinis
		1.4.2. Darbuotojų informavimas apie elgseną pavojaus vietoje	Registro saugos įgaliotinis
		1.4.3. Pirmosios pagalbos suteikimo organizavimas nukentėjusiems darbuotojams	Registro saugos įgaliotinis
		1.4.4. Nukentėjusių darbuotojų gabenimo į gydymo įstaigą organizavimas	Registro administratorius
	1.5. Pavojaus vietų ženklinimas	1.5.1. Darbuotojų informavimas 1.5.2. Žalą likviduojančių darbuotojų instruktavimas	Registro saugos įgaliotinis, Registro administratorius
	1.5. Pavojaus vietų ženklinimas		Registro saugos įgaliotinis, Registro administratorius
2. Gaisras	2.1. Priešgaisrinės gelbėjimo tarnybos informavimas	2.1.1. Įvykio vietos lokalizavimas, jei gauta rekomendacija	Registro saugos įgaliotinis, Registro administratorius
2. Gaisras	2.1. Priešgaisrinės gelbėjimo tarnybos informavimas	2.1.2. Galimybių evakuoti darbuotojus paieška, jei yra rekomenduojama tai padaryti	Registro saugos įgaliotinis
	2.2. Darbuotojų evakavimas (pagal priešgaisrinės gelbėjimo tarnybos rekomendaciją)	2.2.1. Darbuotojų informavimas apie evakavimą, jei yra rekomendacija	Registro saugos įgaliotinis
	2.3. Darbas pavojaus zonoje	2.3.1. Darbuotojų informavimas apie saugų darbą pavojaus zonoje	Registro saugos įgaliotinis
	2.4. Komunikacijų, sukeliančių pavojų, išjungimas, gaisro gesinimas ankstyvoje stadijoje, jei yra rekomendacija dirbti pavojaus zonoje	2.4.1. Priešgaisrinės gelbėjimo tarnybos nurodymų vykdymas	Registro saugos įgaliotinis, Registro administratorius
3. Patalpų užgrobimas	3.1.Teisėsaugos institucijų informavimas	3.1.1. Įvykio vietos lokalizavimas, jei yra teisėsaugos institucijos rekomendacijos	Registro saugos įgaliotinis
3. Patalpų užgrobimas	3.1.Teisėsaugos institucijų informavimas	3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei gauta rekomendacija	Registro saugos įgaliotinis
	3.2. Darbuotojų evakavimas, jei yra teisėsaugos institucijos rekomendacija	3.2.1. Darbuotojų informavimas apie evakavimą	Registro saugos įgaliotinis
	3.3. Patalpų užrakinimas, jei yra galimybė	3.3.1. Teisėsaugos institucijos nurodymų vykdymas	Registro saugos įgaliotinis
	3.3. Patalpų užrakinimas, jei yra galimybė	3.3.1. Teisėsaugos institucijos nurodymų vykdymas	Registro saugos įgaliotinis
	3.4. Teisėsaugos institucijos nurodymų vykdymas	3.4.1. Darbuotojų informavimas apie nurodymų vykdymą	Registro saugos įgaliotinis
	3.5. Veiksmai išlaisvinus užgrobtas patalpas	3.5.1. Padarytos žalos įvertinimas	Registro administratorius, Registro saugos įgaliotinis
		3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas	Registro administratorius, Registro saugos įgaliotinis
		3.5.3. Žalą likviduojančių darbuotojų instruktavimas	Registro administratorius
4. Patalpai padaryta žala arba patalpos praradimas	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.1. Suinteresuotos tarnybos rekomendacijų dėl galimybės dirbti pavojaus zonoje gavimas	Registro saugos įgaliotinis
	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.2. Darbuotojų informavimas apie rekomendacijas	Registro saugos įgaliotinis
	4.2. Registro įrangos perkėlimas į atsargines patalpas	4.2.1. Darbuotojų informavimas apie darbą patalpose	Registro saugos įgaliotinis
5. Energijos tiekimo sutrikimai	5.1. Energijos tiekimo sutrikimo priežasčių nustatymas, tarnybinių stočių, kitos techninės įrangos energijos maitinimo išjungimas	5.1.1. Sutrikimų šalinimo organizavimas	Registro administratorius, Registro saugos įgaliotinis
	5.2. Kreipimasis į energijos tiekimo įmonę dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių	5.2.1. Rekomendacijų iš energijos tiekimo įmonės gavimas	Registro administratorius, Registro saugos įgaliotinis
		5.2.1. Rekomendacijų iš energijos tiekimo įmonės gavimas	Registro administratorius, Registro saugos įgaliotinis
2.1.1.	5.3. Sutrikimų pašalinimas	5.3.1. Pavojaus sustabdymas, padarytos žalos likvidavimo priemonių plano sudarymas ir įgyvendinimas	Registro administratorius, Registro saugos įgaliotinis
		5.3.2. Padarytos žalos įvertinimas	Registro administratorius, Registro saugos įgaliotinis
		5.3.3. Žalą likviduojančių darbuotojų instruktavimas	Registro saugos įgaliotinis, Registro administratorius
6. Vandentiekio ir šildymo sistemos sutrikimai	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.1. Vandentiekio ar šildymo paslaugų teikėjų paklausimas dėl leidimo dirbti ir rekomendacijų gavimas	Registro administratorius, Registro saugos įgaliotinis
	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.2. Darbuotojų informavimas apie rekomendacijas	Registro administratorius, Registro saugos įgaliotinis
	6.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas	6.2.1. Padarytos žalos įvertinimas, sutrikimo sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas	Registro administratorius, Registro saugos įgaliotinis
		6.2.2. Žalą likviduojančių darbuotojų instruktavimas	Registro saugos įgaliotinis
7. Ryšio sutrikimai	7.1. Ryšio sutrikimo priežasčių nustatymas	7.1.1. Kreiptis į ryšio paslaugos teikėją	Registro administratorius, Registro saugos įgaliotinis
	7.2. Ryšio paslaugų teikėjo informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės	7.2.1. Nustatyti ir įgyvendinti priemones, apsaugančias nuo ryšio sutrikimų pasikartojimo.	Registro administratorius, Registro saugos įgaliotinis
	7.3. Sutrikimo pašalinimas	7.3.1. Kreiptis į kitą ryšio paslaugos teikėją, jei sutrikimas nepašalintas	Registro administratorius, Registro saugos įgaliotinis
8. Tarnybinės stoties, komutacinės įrangos sugadinimas, praradimas	8.1. Pranešti teisėsaugos institucijai, draudimo bendrovei apie įvykį	8.1. Darbuotojų elektroninės informacijos saugos incidento pasekmėms likviduoti paskyrimas, instruktavimas, jų veiksmų nustatymas	Registro administratorius, Registro saugos įgaliotinis Registro kibernetinio saugumo vadovas
	8.2. Elektroninės informacijos saugos incidento pasekmių šalinimas	8.2.1. Kreiptis į įrangos tiekėjus dėl įrangos remonto ar naujos įrangos įsigijimo	Registro administratorius
		8.2.2. Įsigytos įrangos diegimas	Registro administratorius, Registro saugos įgaliotinis Registro kibernetinio saugumo vadovas

9. Programinės įrangos sugadinimas, praradimas	9.1. Elektroninės informacijos saugos (kibernetinių) incidento pasekmių įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	9.1.1. Elektroninės informacijos saugos (kibernetinio) incidento metu padarytos žalos įvertinimas	Registro administratorius, Registro saugos įgaliotinis Registro kibernetinio saugumo vadovas
9. Programinės įrangos sugadinimas, praradimas		9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas	Registro administratorius Registro saugos įgaliotinis Registro kibernetinio saugumo vadovas
	9.2. Darbuotojų elektroninės informacijos saugos (kibernetinio) incidento pasekmėms likviduoti paskyrimas, žalą likviduojančių darbuotojų instruktavimas, jų veiksmų koordinavimas	9.2.1. Žalą likviduojančių darbuotojų instruktavimas	Registro administratorius, Registro saugos įgaliotinis Registro kibernetinio saugumo vadovas
		9.2.2. Kreipimasis į teisėsaugos institucijas dėl programinės įrangos sugadinimo ar praradimo ir jų nurodymų vykdymas	Registro administratorius, Registro saugos įgaliotinis Registro kibernetinio saugumo vadovas
10. Duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas	10.1. Elektroninės informacijos saugos (kibernetinio) incidento pasekmių įvertinimas	10.1.1. Prarastų, iškraipytų ar sunaikintų Registro duomenų ir Registro informacijos atkūrimas	Registro administratorius
		10.2.1. Prarastų, iškraipytų ar sunaikintų Registro duomenų ir Registro informacijos atkūrimo kontrolė	Nacionalinės žemės tarnybos direktoriaus pavaduotojas, koordinuojantis Geodezijos ir žemės naudojimo kontrolės departamento, Bendrųjų reikalų departamento veiklą
11. Darbuotojų praradimas	11.1. Elektroninės informacijos saugos incidento pasekmių įvertinimas	11.1.1. Trūkstamų darbuotojų paieška ir priėmimas į darbą	Nacionalinės žemės tarnybos direktoriaus pavaduotojas, koordinuojantis Geodezijos ir žemės naudojimo kontrolės departamento, Bendrųjų reikalų departamento veiklą

__________________________

Žemėtvarkos planavimo dokumentų

rengėjų, matininkų ir geodezininkų

žinybinio registro veiklos tęstinumo

valdymo plano

2 priedas

(Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro

elektroninės informacijos saugos (kibernetinių) incidentų registravimo žurnalo forma)

ŽEMĖTVARKOS PLANAVIMO DOKUMENTŲ RENGĖJŲ, MATININKŲ IR GEODEZININKŲ ŽINYBINIO REGISTRO ELEKTRONINĖS INFORMACIJOS SAUGOS (kibernetinių) INCIDENTŲ REGISTRAVIMO ŽURNALAS

Pildymo pradžia 20___m.___________________d.

Eil. Nr.	Elektroninės informacijos saugos incidentas
Eil. Nr.	Įstaigos pavadinimas	Pavojaus rūšies numeris	Įvykio aprašymas	Pradžia (metai, mėnuo, diena, valanda)	Pabaiga (metai, mėnuo, diena, valanda)	Incidentą pašalino (vardas, pavardė ir pareigos)	Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro saugos įgaliotinis (vardas, pavardė, parašas)
1.
2.
3.
4.
5.

Elektroninės informacijos saugos incidento pavojaus rūšis:

1 - oro sąlygos; 2 - gaisras; 3 - patalpų užgrobimas; 4 - patalpai padaryta žala arba patalpos praradimas; 5 - energijos tiekimo sutrikimai; 6 - vandentiekio ir šildymo sistemos sutrikimai; 7 - ryšio sutrikimai; 8 - tarnybinės stoties, komutacinės įrangos sugadinimas, praradimas; 9 - programinės įrangos sugadinimas, praradimas; 10 - duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas; 11 - darbuotojų praradimas.

__________________________

Žemėtvarkos planavimo dokumentų

rengėjų, matininkų ir geodezininkų

žinybinio registro veiklos tęstinumo

valdymo plano

3 priedas

ŽEMĖTVARKOS PLANAVIMO DOKUMENTŲ RENGĖJŲ, MATININKŲ IR GEODEZININKŲ ŽINYBINIO REGISTRO ATKŪRIMO PIRMAEILIŲ VEIKSMŲ IR ATSAKINGŲ ASMENŲ PAREIGYBIŲ SĄRAŠAS

Eil. Nr. (pirmaeilis veiksmas)	Veikla	Asmenys, atsakingi už Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro (toliau – Registras) atkūrimą
1.	Kompiuterių tinklo veikimo atkūrimo organizavimas	Registro administratorius Atkūrimo grupė
2.	Tarnybinių stočių veikimo atkūrimo organizavimas	Registro administratorius Atkūrimo grupė
3.	Kompiuterizuotų darbo vietų veikimo atkūrimo organizavimas	Registro administratorius Atkūrimo grupė
4.	Registro duomenų bazės valdymo sistemos funkcijų atkūrimas	Registro administratorius
5.	Registro administravimo sistemos funkcijų atkūrimas	Registro administratorius
6.	Registro turinio valdymo sistemos funkcijų atkūrimas	Registro administratorius
7.	Registro žemėlapių naršyklės funkcijų atkūrimas	Registro administratorius
8.	Registro erdvinių duomenų elektroninių paslaugų sistemos funkcijų atkūrimas	Registro administratorius
9.	Registro metaduomenų sistemos funkcijų atkūrimas	Registro administratorius
10.	Registro informacinio turinio įkėlimo sistemos funkcijų atkūrimas	Registro administratorius

__________________________

Žemėtvarkos planavimo dokumentų

rengėjų, matininkų ir geodezininkų

žinybinio registro veiklos tęstinumo

valdymo plano

4 priedas

KIBERNETINIŲ INCIDENTŲ VALDYMO IR NACIONALINIO KIBERNETINIO SAUGUMO CENTRO INFORMAVIMO TVARKOS APRAŠAS

1. Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo tvarkos aprašas reglamentuoja kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo apie Registre įvykusius kibernetinius incidentus tvarką.

2. Nacionaliniam kibernetinio saugumo centrui (toliau – Centras) pranešama apie Registre įvykusius:

2.1. didelės reikšmės kibernetinį incidentą – ne vėliau kaip per vieną valandą nuo jo nustatymo;

2.2. vidutinės reikšmės kibernetinį incidentą – ne vėliau kaip per 4 valandas nuo jo nustatymo;

2.3. nereikšmingą kibernetinį incidentą – ne vėliau kaip per 7 dienas nuo jo nustatymo.

3. Pranešime apie didelės ir vidutinės reikšmės kibernetinį incidentą nurodoma:

3.1. kibernetinio incidento grupė;

3.2. trumpas kibernetinio incidento apibūdinimas;

3.3. tikslus laikas, kada kibernetinis incidentas įvyko ir buvo nustatytas;

3.4. kibernetinio incidento kategorija;

3.5. kibernetinio incidento šalinimo tvarka (nurodoma ar tai prioritetas, ar ne).

4. Pranešime apie nereikšmingą kibernetinį incidentą pateikiama informacija apie kiekvienos grupės incidentų, įvykusių nuo paskutinio pranešimo pateikimo dienos, skaičių.

5. Centrui pateikiamas vertinimas:

5.1. didelės reikšmės kibernetinio incidento – ne vėliau kaip per 2 valandas nuo jo nustatymo;

5.2. vidutinės reikšmės kibernetinio incidento – ne vėliau kaip per 24 valandas nuo jo nustatymo.

6. Didelės ir vidutinės reikšmės kibernetinio incidento vertinimo ataskaitoje nurodoma žinoma informacija:

6.1. Registro, kuriame nustatytas kibernetinis incidentas, tipas (informacinė sistema, posistemė, elektroninių ryšių tinklas, tarnybinė stotis ir panašiai);

6.2. kibernetinio incidento veikimo trukmė;

6.3. kibernetinio incidento šaltinis;

6.4. kibernetinio incidento požymiai;

6.5. kibernetinio incidento veikimo metodas;

6.6. galimos kibernetinio incidento pasekmės;

6.7. kibernetinio incidento poveikio pasireiškimo (galimo išplitimo) mastas;

6.8. kibernetinio incidento būsena (aktyvus, pasyvus);

6.9. priemonės, kuriomis kibernetinis incidentas nustatytas;

6.10. galimos kibernetinio incidento valdymo priemonės.

7. Apie didelės ir vidutinės reikšmės kibernetinio incidento sustabdymą ir pašalinimą Centrui pranešama ne vėliau kaip per 2 valandas nuo kibernetinio incidento sustabdymo ir pašalinimo.

8. Apie kibernetinius incidentus Centras informuojamas naudojantis Kibernetinio saugumo informaciniu tinklu, o nesant galimybės – Centro nurodytais kontaktais (tel. +370 706 82 250,
el. p.: cert@nksc.lt).

9. Kriterijai, kuriais vadovaujantis kibernetiniai incidentai priskiriami konkrečiai kategorijai, nustatyti Valdymo plano 5 priede.

__________________________

Žemėtvarkos planavimo dokumentų

rengėjų, matininkų ir geodezininkų

žinybinio registro veiklos tęstinumo

valdymo plano

5 priedas

KIBERNETINIŲ INCIDENTŲ KATEGORIJŲ SĄRAŠAS

Eil. Nr.	Kibernetinis incidentas
Eil. Nr.	Grupė	Apibūdinimas	Kategorija
1.	Kenkimo programinė įranga (angl. Malicious Software)	Kenkimo programinė įranga, kai darbo ar tarnybinės stotys aktyviai kontroliuojamos įsibrovėlių (pavyzdžiui, užpakalinės durys (angl. back door). Modernios kenkimo programinės įrangos (angl. advanced persistent threat, APT) aptikimas RIS. Kenkimo programinė įranga, trikdanti Registro kibernetinio saugumo priemonių darbą.	D¹
		Kenkimo programinė įranga, kurios neaptinka Registro darbo stotyje veikianti antivirusinė programinė įranga. Registre veikianti kenkimo programinė įranga, kurią aptinka antivirusinė programinė įranga per reguliarų patikrinimą.	V²
		Registre laikmenose ar darbo ir tarnybinėse stotyse veikianti kenkimo programinė įranga, kurią iš karto aptinka antivirusinė programinė įranga. Socialinės inžinerijos metodų naudojimas (manipuliavimas informacinės sistemos naudotojų emocijomis ir psichologija, pastabumo stoka, technologijų neišmanymu), kai bandoma įtikinti Registro naudotoją atlikti grėsmę informacinei sistemai keliančius veiksmus, tačiau Registro naudotojas atpažįsta grėsmę ir neatlieka kenkimo programinę įrangą aktyvinančių veiksmų.	N³
2.	Įsilaužimas	Vykdoma vidinė Registro žvalgyba ar kita įtartina veikla (prievadų skenavimas, slaptažodžių parinkimas, kita), aptikta Registro (neskaitant kenkimo programinės įrangos), sukėlusi Registro veiklos sutrikimus. Piktybiniai veiksmai prieš Registro kibernetinio saugumo priemones.	D
2.	Įsilaužimas	Vykdoma vidinė Registro žvalgyba ar kita įtartina veikla (prievadų skenavimas, slaptažodžių parinkimas, kita), aptikta Registro infrastruktūroje.	V
3.	Registro perimetro žvalgyba	Vykdoma aktyvi (slaptažodžių parinkimas, bandymai išnaudoti pažeidžiamumus, kita) Registro perimetro žvalgyba ar įtartina veikla (neskaitant kenksmingos programinės įrangos), mėginama paveikti Registro kibernetinio saugumo priemones.	V
3.	Registro perimetro žvalgyba	Vykdoma Registro perimetro priemonių žvalgyba (nebandant įsilaužti).	N
4.	Registro trikdymas	Veiksmas, ilgiau nei 4 valandoms sutrikdęs Registro veiklą.	D
4.	Registro trikdymas	Veiksmas, kuriuo trikdoma (angl. Denial of Service, DoS) Registro veikla.	V
5.	Neteisėta veika	Vagystė, apgavystė ir panašūs kriminalinio pobūdžio kibernetiniai incidentai.	V
6.	Vientisumo pažeidimas	Registro ar jo dalies pažeidimas, sutrikdantis Registro teikiamų paslaugų nepertraukiamą teikimą, galintis turėti įtakos tvarkomų duomenų ir teikiamų paslaugų patikimumui, iškreipti turinį ir mažinti Registro naudotojų pasitikėjimą jais.	V

^{^[1]}Didelės reikšmės kibernetinis incidentas.

² Vidutinės reikšmės kibernetinis incidentas.

³ Nereikšmingas kibernetinis incidentas.

__________________________

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2018 m. rugsėjo 20 d. įsakymu Nr. 3D-654

ŽEMĖTVARKOS PLANAVIMO DOKUMENTŲ RENGĖJŲ, MATININKŲ IR GEODEZININKŲ ŽINYBINIO REGISTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) nustato Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro (toliau – Registras) Registro naudotojų ir Registro administratoriaus įgaliojimus, teises ir pareigas bei saugaus duomenų ir informacijos teikimo Registro naudotojams kontrolės tvarką.

2. Šios Administravimo taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 17 d. nutarimu Nr. 662 „Dėl Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro steigimo, jo nuostatų patvirtinimo ir veikimo pradžios nustatymo, taip pat kitų su tuo susijusių Lietuvos Respublikos Vyriausybės nutarimų pakeitimo“ ir Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos žemės ūkio ministro 2013 m. spalio 3 d. įsakymu Nr. 3D-678 „Dėl Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro duomenų saugos nuostatų patvirtinimo“ (toliau – Registro saugos nuostatai).

3. Administravimo taisyklėse vartojamos sąvokos:

3.1. Registro valdytojas – Lietuvos Respublikos žemės ūkio ministerija.

3.2. Registro tvarkytojas – Nacionalinė žemės tarnyba prie Žemės ūkio ministerijos.

3.7. Kitos Administravimo taisyklėse vartojamos sąvokos atitinka Administravimo taisyklių 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

4. Administravimo taisyklės taikomos visiems Registro naudotojams, Registro administratoriui, Registro saugos įgaliotiniui, Registro kibernetinio saugumo vadovui, kurių prieigos prie Registro duomenų ir Registro informacijos teisės paremtos Registro duomenų ir Registro informacijos saugumo, stabilumo, operatyvumo principais.

5. Registro naudotojams prieiga prie Registro duomenų ir Registro informacijos suteikiama vadovaujantis šiais principais:

5.1. Registro naudotojams prieiga turi būti suteikiama tik prie tų Registro duomenų ir Registro informacijos ir tik tokia apimtimi, kuri reikalinga Registro naudotojo pareigybės aprašyme nurodytoms funkcijoms atlikti;

5.2. Registro duomenis ir Registro informaciją gali keisti (sukurti, papildyti ar panaikinti) tik tokią teisę turintys Registro naudotojai;

5.3. prieiga prie Registro duomenų ir Registro informacijos ir teisė ją keisti suteikiama tik atlikus Registro naudotojo atpažinimą ir patvirtinus jo tapatybę.

II SKYRIUS

registro NAUDOTOJŲ ir REGISTRO administratoriAUS

įgaliojimai, TEISĖS IR PAREIGOS

6. Registro naudotojai turi teisę:

6.1. naudotis tik tomis Registro funkcijomis bei Registro duomenimis ir Registro informacija, prie kurios prieigą jiems suteikė Registro administratorius;

6.2. gauti informaciją apie jų naudojamų Registro duomenų ir Registro informacijos apsaugos lygį bei taikomas apsaugos priemones, teikti siūlymus dėl papildomų apsaugos priemonių;

6.3. kreiptis į Registro administratorių ar Registro saugos įgaliotinį dėl neveikiančio ar netinkamai veikiančio Registro;

6.4. Registro naudotojai turi teisę atlikti kitus veiksmus, numatytus Registro saugos politikos įgyvendinamuosiuose teisės aktuose.

7. Registro naudotojai privalo:

7.1. naudoti Registro duomenis ir Registro informaciją tik tarnybinėms arba darbo funkcijoms atlikti;

7.2. nedelsiant pranešti Registro administratoriui apie Registro saugos politiką įgyvendinamųjų teisės aktų pažeidimus, veiksmus, turinčius nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų ir informacijos saugos užtikrinimo priemones;

7.3. užtikrinti jų naudojamų Registro duomenų ir Registro informacijos konfidencialumą bei vientisumą, savo veiksmais netrikdyti Registro duomenų ir Registro informacijos prieinamumo;

7.4. baigus darbą ar pasitraukiant iš darbo vietos Registre imtis priemonių, kad su Registro duomenimis ir Registro informacija negalėtų susipažinti pašaliniai asmenys: atsijungti nuo Registro, įjungti ekrano užsklandą su slaptažodžiu, dokumentus ar jų kopijas darbo vietoje padėti į pašaliniams asmenims neprieinamą vietą;

7.5. raštu susipažinti ir laikytis Registro saugos nuostatų, Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro saugaus elektroninės informacijos tvarkymo taisyklių, Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro veiklos tęstinumo valdymo plano ir šių Administravimo taisyklių reikalavimų;

7.6. raštu pranešti Registro administratoriui apie slaptažodžio užblokavimą ar užmiršimą;

7.7. Registro naudotojai privalo vykdyti kitas pareigas, nustatytas Registro saugos politikos įgyvendinamuosiuose teisės aktuose.

8. Registro naudotojui draudžiama:

8.1. leisti prisijungti prie Registro ne Registro naudotojui ar kitais nei Administravimo taisyklėse nurodytais būdais;

8.2. be priežiūros palikti kompiuterį ilgiau kaip 10 minučių, neatsijungus nuo Registro;

8.3. įrašyti Registro duomenis ir Registro informaciją į keičiamąją laikmeną ar kitais būdais juos saugoti;

8.4. platinti Registre esančius duomenis ir informaciją, daryti jos kopijas ar kitu būdu ją dauginti.

9. Registro administratorius turi teisę:

9.1. matyti visų Registro naudotojų atpažinties ir suteiktų teisių duomenis;

9.2. matyti Registro naudotojų su Registro duomenimis ir Registro informacija atliktus veiksmus;

9.3. atlikti užklausas Registre pagal pasirinktus paieškos kriterijus;

9.4. pateikti paklausimus Registro valdytojui ar Registro tvarkytojui dėl Registro naudotojų duomenų patikslinimo;

9.5. fiziškai prieiti prie techninės ir sisteminės programinės įrangos;

9.6. vykdyti Registro techninės priežiūros funkcijas.

10. Registro administratorius privalo:

10.1. registruoti naujus Registro naudotojus (pagal Registro valdytojo ar Registro tvarkytojo pateiktus duomenis);

10.2. tvarkyti esamų Registro naudotojų duomenis (pagal Registro valdytojo ir Registro tvarkytojo pateiktus duomenis);

10.3. periodiškai tikrinti, ar nėra nepatvirtintų Registro administratoriaus paskyrų;

10.4. tikrinti, ar nėra nepatvirtintų Registro naudotojų paskyrų; apie nepatvirtintas Registro naudotojų paskyras pranešti Registro kibernetinio saugumo vadovui;

10.5. tvarkyti Registro vidinius klasifikatorius, esančius Registro klasifikatorių funkciniame modulyje;

10.6. konsultuoti Registro naudotojus dėl Registro veikimo ir kitais su Registru susijusiais klausimais;

10.7. pagal kompetenciją užtikrinti nepertraukiamą Registro techninės ir sisteminės programinės įrangos veikimą;

10.8. dalyvauti atliekant Registro rizikos veiksnių įvertinimą, rengiant Registro rizikos veiksnių įvertinimo ataskaitą ir rizikos veiksnių įvertinimo ir rizikos veiksnių valdymo priemonių planą;

10.9. atlikti Registro taikomų saugumo reikalavimų atitikties vertinimą.

11. Registro administratoriui draudžiama suteikti prieigos teises prie Registro ne Registro naudotojams.

12. Registro administratoriaus, Registro saugos įgaliotinio ir Registro kibernetinio saugumo vadovo funkcijos reglamentuotos Registro saugos nuostatuose ir kituose Registro saugos politiką įgyvendinamuosiuose teisės aktuose.

13. Registro naudotojas, norėdamas gauti prieigos prie Registro duomenų ir Registro informacijos teisę, Registro tvarkytojo vadovui teikia prašymą, kuriame nurodo savo pareigas, vardą, pavardę, pagrindą, dėl ko būtina prieigos prie Registro duomenų ir Registro informacijos teisė, ir Registro funkcijas, kuriomis naudosis. Registro tvarkytojo vadovas per 5 darbo dienas nuo prašymo gavimo dienos pritaria arba nepritaria prašymui. Registro tvarkytojo vadovui patvirtinus prašymą, jis pateikiamas Registro administratoriui. Registro administratorius per 2 darbo dienas nuo šio prašymo gavimo dienos suteikia Registro naudotojui prieigos prie Registro duomenų ir Registro informacijos teisę.

14. Registro administratorius turi prieigos prie Registro duomenų ir Registro informacijos teisę (elektroninės informacijos skaitymas, kūrimas, atnaujinimas, naikinimas, Registro naudotojų informacijos, prieigos teisių redagavimas ir kt.).

III SKYRIUS

SAUGAUS elektroninės informacijos TEIKIMO Registro NAUDOTOJAMS KONTROLĖS TVARKA

15. Registro administratorius yra atsakingas už Registro naudotojų registravimą, išregistravimą, prieigos prie Registro teisių suteikimą ir panaikinimą.

16. Registro administratorius Registro naudotojams suteikia unikalų prisijungimo prie Registro vardą ir laikiną slaptažodį, kurį išsiunčia Registro naudotojui elektroniniu paštu.

17. Slaptažodžiai negali būti saugomi ar perduodami atviru tekstu. Registro kibernetinio saugumo vadovo sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo ir tik tuo atveju, jeigu Registro naudotojas neturi galimybės iššifruoti gauto užšifruoto slaptažodžio arba nėra techninių galimybių Registro naudotojui perduoti slaptažodžio šifruotu kanalu ar saugiu elektroninių ryšių tinklu.

18. Registro dalys, patvirtinančios Registro naudotojo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius.

19. Registro naudotojai prisijungti prie Registro gali tik su Registro administratoriaus suteiktais unikaliais vardais ir slaptažodžiais.

20. Registro naudotojų prisijungimo prie Registro vardai ir slaptažodžiai saugomi Žemėtvarkos planavimo dokumentų rengėjų, matininkų ir geodezininkų žinybinio registro naudotojų prisijungimo vardų ir slaptažodžių elektroninėje saugykloje (toliau – Saugykla).

21. Prieigą prie Saugyklos turi tik Registro administratorius. Duomenys Saugykloje yra šifruojami.

22. Slaptažodį Registro naudotojai, prisijungę prie Registro, turi teisę pasikeisti savarankiškai.

23. Registro naudotojo slaptažodžiui yra keliami šie reikalavimai:

23.1. slaptažodis turi būti iš ne trumpesnės kaip 8 simbolių kombinacijos, sudarytos iš didžiųjų ir mažųjų raidžių, skaitmenų ir specialiųjų simbolių;

23.2. slaptažodžiams neturi būti naudojama asmeninio pobūdžio informacija;

23.3. slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius;

23.4. keičiant slaptažodį neleidžiama pasirinkti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;

23.5. Registro naudotojas, pirmą kartą gavęs Registro administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie Registro ir nedelsdamas slaptažodį pakeisti;

23.6. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius – 5 kartai. Registro naudotojui 5 kartus neteisingai įvedus slaptažodį Registro sistema užsirakina ir Registro naudotojui 15 minučių neleidžiama prisijungti;

23.7. Registro naudotojas privalo saugoti slaptažodį ir jo neatskleisti tretiesiems asmenims;

23.8. Registro naudotojas, įtaręs, kad tretieji asmenys sužinojo slaptažodį, privalo nedelsdamas jį pakeisti;

23.9. Registro naudotojas neturi teisės užrašyto slaptažodžio palikti matomoje vietoje.

24. Registro administratoriaus slaptažodis:

24.1. turi būti ne trumpesnis kaip 12 simbolių, sudarytas iš didžiųjų ir mažųjų raidžių, skaitmenų ir specialiųjų simbolių;

24.2. turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

24.3. keičiant neleidžiama pasirinkti slaptažodžio iš buvusių 3 paskutinių slaptažodžių.

25. Registro administratorius, iš Registro valdytojo ar Registro tvarkytojo gavęs rašytinį prašymą apriboti Registro naudotojo prieigos teises, nedelsdamas apriboja nurodyto Registro naudotojo prieigą prie Registro.

26. Registro naudotojui teisė dirbti su konkrečia elektronine informacija yra sustabdoma, kai Registro naudotojas nesinaudoja Registro duomenimis ir Registro informacija ilgiau kaip 3 mėnesius ir kai įstatymų nustatytais atvejais Registro naudotojas nušalinamas nuo darbo (pareigų).

27. Kai Registro naudotojas perkeliamas į kitas pareigas, jam suteiktos Registro naudotojo teisės pakeičiamos atsižvelgiant į jo pareigybės aprašyme nurodytas funkcijas.

28. Registro naudotojui teisė naudotis Registru panaikinama:

28.1. pasibaigus tarnybos ar darbo santykiams;

28.2. netekus teisės naudotis Registro duomenimis ar Registro informacija;

28.3. nustačius neteisėtą Registro naudotojo Registro duomenų ar Registro informacijos naudojimą.

29. Leistinas nuotolinio informacinės sistemos naudotojų prisijungimo prie informacinės sistemos būdas yra virtualaus kompiuterių tinklo (angl. Virtual Private Network) paslauga.

IV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

30. Registro naudotojai, Registro administratorius, Registro kibernetinio saugumo vadovas ir Registro saugos įgaliotinis, pažeidę šių Administravimo taisyklių ir kitų saugos politiką įgyvendinamųjų teisės aktų nuostatas, atsako teisės aktų nustatyta tvarka.

__________________________