LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRAS
ĮSAKYMAS
DĖL TRANSPORTO PRIEMONIŲ, LAUKIANČIŲ KIRSTI LIETUVOS RESPUBLIKOS VALSTYBĖS SIENĄ, EILIŲ VALDYMO INFORMACINĖS SISTEMOS SAUGOS POLITIKOS ĮGYVENDINAMŲJŲ TEISĖS AKTŲ PATVIRTINIMO
2021 m. lapkričio 10 d. Nr. 3-529
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.2–7.4 papunkčiais, 8 punktu ir atsižvelgdamas į Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos susisiekimo ministro 2020 m. rugpjūčio 19 d. įsakymu Nr. 3-461 „Dėl Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatų ir Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“, 3 punktą:
1. T v i r t i n u pridedamus:
1.1. Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;
1.2. Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos veiklos tęstinumo valdymo planą;
2. Pavedu Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos saugos įgaliotiniui pateikti patvirtintų Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos saugos politikos įgyvendinamųjų dokumentų kopijas ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.
3. P r i p a ž į s t u netekusiu galios Lietuvos Respublikos susisiekimo ministro 2014 m. lapkričio 20 d. įsakymą Nr. 3-441 „Dėl Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos saugos politikos įgyvendinamųjų teisės aktų patvirtinimo“ su visais pakeitimais ir papildymais.
PATVIRTINTA
Lietuvos Respublikos susisiekimo ministro
2021 m. lapkričio 10 d. įsakymu Nr. 3-529
TRANSPORTO PRIEMONIŲ, LAUKIANČIŲ KIRSTI LIETUVOS RESPUBLIKOS VALSTYBĖS SIENĄ, EILIŲ VALDYMO INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS
I SKYRIUS
Bendrosios nuostatos
1. Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) nustato techninių ir kitų saugos priemonių aprašymą, saugų Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos (toliau – EVIS) elektroninės informacijos tvarkymą, reikalavimus, keliamus EVIS funkcionuoti reikalingoms paslaugoms ir jų teikėjams.
2. Taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Aprašas), ir Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Techninių reikalavimų aprašas).
3. Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos yra apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“.
4. Taisyklės taikomos:
4.1. Pasienio kontrolės punktų direkcijos prie Susisiekimo ministerijos (toliau – Direkcija) valstybės tarnautojams ar darbuotojams, dirbantiems pagal darbo sutartis ir turintiems teisę naudotis EVIS ištekliais numatytoms funkcijoms atlikti (toliau – Direkcijos darbuotojai);
4.2. Direkcijos Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinkto juridinio asmens ar asmenų (asmenų grupės), kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos EVIS ir (ar) jos infrastuktūros priežiūros funkcijos (toliau – EVIS paslaugos teikėjas (-ai)), darbuotojams, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantiems ir (ar) tvarkantiems EVIS elektroninę informaciją (toliau – EVIS paslaugos teikėjo (-ų) darbuotojai);
4.3. transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilės rezervavimo paslaugos gavėjams (Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos susisiekimo ministro 2020 m. rugpjūčio 19 d. įsakymu Nr. 3-461 „Dėl Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatų ir Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – EVIS nuostatai), 8.6 papunktis) (toliau – EVIS išoriniai naudotojai);
4.5. EVIS paslaugos teikėjo (-ų) vadovo (-ų) paskirtam administratoriui (toliau – EVIS paslaugos teikėjo administratorius);
6. EVIS saugoma ir tvarkoma informacija priskiriama mažiausios svarbos elektroninės informacijos kategorijai, ją sudaro:
6.1. transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, duomenys (EVIS nuostatų 19 punktas);
6.5. rezervacijos ir virtualios Lietuvos Respublikos valstybės sienos kirtimo eilės duomenys (EVIS nuostatų 23 punktas);
8. Už EVIS saugomos elektroninės informacijos tvarkymą atsakingi:
II SKYRIUS
Techninių ir kitų saugos priemonių aprašymas
9. EVIS techninės ir kompiuterinės įrangos saugos priemonės:
9.1. Direkcijos darbuotojams ir EVIS paslaugos teikėjo (-ų) darbuotojams (toliau – EVIS vidiniai naudotojai) draudžiama patiems diegti, keisti kompiuterinę įrangą; kompiuterinės įrangos pakeitimus vykdo EVIS paslaugos teikėjas (-ai), gavęs (-ę) raštišką administratoriaus nurodymą.
9.2. EVIS techninė įranga prižiūrima laikantis gamintojo rekomendacijų. Techninę priežiūrą ir gedimų šalinimą turi atlikti EVIS paslaugos teikėjo (-ų) kvalifikuoti specialistai.
9.3. EVIS tarnybinėse stotyse ir EVIS vidinių naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingosios programinės įrangos aptikimo, stebėjimo realiu laiku priemonės; šios priemonės automatiškai turi informuoti administratorių ir EVIS paslaugos teikėjo administratorių apie tai, kuriems EVIS posistemiams, funkciškai savarankiškoms sudedamosioms dalims yra pradelstas kenksmingosios programinės įrangos aptikimo priemonių atsinaujinimo laikas. EVIS komponentai be kenksmingosios programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu yra patvirtinama, kad šių komponentų rizika yra priimtina.
9.4. Naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių EVIS vidinių naudotojų bei EVIS išorinių naudotojų (toliau kartu – EVIS naudotojai) kompiuterinę įrangą nuo kenksmingo kodo.
9.5. Pagrindinės tarnybinės stotys, svarbiausi elektroninės informacijos perdavimo tinklo mazgai ir ryšio linijos yra dubliuojami ir jų techninė būklė nuolat stebima.
9.6. Turi būti įdiegtos ir veikti įsibrovimo aptikimo sistemos, kurios stebėtų EVIS įeinantį ir išeinantį duomenų srautą ir vidinį srautą tarp svarbiausių tinklo paslaugų.
9.7. Pagrindinėse EVIS tarnybinėse stotyse turi būti įjungtos saugasienės, sukonfigūruotos blokuoti visą įeinantį ir išeinantį duomenų srautą, išskyrus duomenų srautą, susijusį su EVIS funkcionalumu ir administravimu.
9.8. Įsilaužimo aptikimo konfigūracijos ir kibernetinių incidentų aptikimo taisyklės turi būti saugomos elektronine forma atskirai nuo EVIS techninės įrangos (kartu nurodomos tam tikros datos (įgyvendinimo, atnaujinimo ir pan.), atsakingi asmenys, taikymo periodai ir pan.).
9.9. EVIS perspėja EVIS paslaugos teikėjo administratorių, kai pagrindinėje EVIS kompiuterinėje įrangoje iki nustatytos pavojingos ribos sumažėja laisvos kompiuterio atminties ar vietos diske, ilgą laiką būna apkrautas centrinis procesorius ar kompiuterių tinklo sąsaja.
10. Sisteminės ir taikomosios programinės įrangos saugos priemonės:
10.2. EVIS vidinių naudotojų kompiuterinėje įrangoje naudojama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga. Saugos įgaliotinis parengia ir ne rečiau kaip kartą per metus peržiūri ir prireikus atnaujina leistinos programinės įrangos sąrašą.
10.4. EVIS tarnybinėse stotyse negali būti sisteminės ir taikomosios programinės įrangos, kuri yra nesusijusi su EVIS tvarkymu, EVIS naudotojų ir pačios įrangos administravimu.
10.5. Operatyviai testuojami ir įdiegiami EVIS tarnybinių stočių ir EVIS vidinių naudotojų darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai. EVIS paslaugos teikėjo administratorius reguliariai, ne rečiau kaip kartą per savaitę, įvertina informaciją apie EVIS posistemių, neįdiegtus gamintojų rekomenduojamus EVIS vidinių naudotojų darbo vietų kompiuterinės įrangos atnaujinimus ir susijusius saugos pažeidžiamumų svarbos lygius.
10.6. EVIS vidinių naudotojų darbo vietose naudojamos tik darbo (tarnybos) reikmėms skirtos išorinės duomenų laikmenos (pvz., USB, CD / DVD ir kt.). Šios laikmenos nenaudojamos veiklai, nesusijusiai su teisėtu EVIS tvarkymu.
10.7. EVIS programinis kodas privalo būti apsaugotas nuo paskelbimo neturintiems teisės su juo susipažinti asmenims. EVIS programiniam kodui apsaugoti taikomos tos pačios saugos priemonės kaip ir EVIS elektroninei informacijai.
10.9. EVIS priežiūros funkcijos atliekamos naudojant atskirą tam skirtą EVIS paslaugos teikėjo administratoriaus paskyrą, kuria naudojantis negalima atlikti EVIS naudotojo funkcijų.
10.10. EVIS programinė įranga turi apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų. Pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP) interneto svetainėje www.owasp.org.
10.12. Per metus turi būti užtikrintas EVIS prieinamumas ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis.
11. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:
11.1. Kompiuterinis tinklas, prie kurio prijungtos EVIS tarnybinės stotys ir EVIS naudotojų kompiuteriai, nuo viešojo interneto atskirtas tinklo užkarda, už kurios administravimą ir priežiūrą atsakingas EVIS paslaugos teikėjo administratorius.
11.2. EVIS duomenys perduodami automatiniu būdu (naudojant TCP/IP protokolą) realiuoju laiku arba asinchroniniu režimu pagal EVIS duomenų teikimo ir gavimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka.
11.3. Kompiuterinis tinklas suskirstytas į skirtingo saugumo lygio dalis pagal EVIS savarankiškų dalių atliekamas funkcijas. EVIS duomenų bazės ir EVIS taikomoji programinė įranga negali būti toje pačioje tinklo dalyje. Viešai prieinamos EVIS funkciškai savarankiškos dalys yra atskiroje tinklo dalyje – demilitarizuotoje zonoje.
11.4. Elektroninės informacijos perdavimo tinklo kabeliai apsaugoti nuo nesankcionuotos prieigos ir pažeidimo.
11.5. Ugniasienės įvykių žurnalai (angl. Logs) reguliariai analizuojami, o ugniasienės saugumo taisyklės periodiškai persvarstomos ir atnaujinamos EVIS paslaugos teikėjo administratoriaus.
11.6. Viešaisiais ryšių tinklais perduodamos EVIS elektroninės informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą, virtualų privatų tinklą (angl. Virtual Private Network).
12. Bendrosios patalpų ir aplinkos saugumo užtikrinimo priemonės:
12.1. EVIS tarnybinių stočių patalpose įrengti gaisro (dūmų ir karščio) ir įsilaužimo jutikliai, prijungti prie pastato signalizacijos ir (arba) apsaugos tarnybos stebėjimo pulto. EVIS tarnybinių stočių patalpoje įrengta automatinė gaisro gesinimo sistema.
12.4. Fizinė prieiga prie EVIS tarnybinių stočių patalpos suteikiama tik EVIS valdytojo ar Direkcijos vadovo paskirtiems atsakingiems darbuotojams. Kiti darbuotojai arba tretieji asmenys gali patekti į šią patalpą tik lydimi atsakingų darbuotojų.
12.5. EVIS tarnybinių stočių patalpoje yra oro kondicionavimo ir drėgmės kontrolės įranga. Temperatūros ir oro drėgnumo normos užtikrinamos pagal techninės įrangos gamintojų nustatytus reikalavimus.
12.7. EVIS vidinių naudotojų darbo vietų aplinka užtikrinama pagal Lietuvos higienos normą HN 32:2004 „Darbas su videoterminalais. Saugos ir sveikatos reikalavimai“, patvirtintą Lietuvos Respublikos sveikatos apsaugos ministro 2004 m. vasario 12 d. įsakymu Nr. V-65 „Dėl Lietuvos higienos normos HN 32:2004 „Darbas su videoterminalais. Saugos ir sveikatos reikalavimai“ patvirtinimo“.
13. Kitos priemonės, naudojamos elektroninės informacijos saugai užtikrinti:
13.1. EVIS įrašomi duomenys apie EVIS tarnybinių stočių, EVIS taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis EVIS tarnybinėse stotyse, EVIS taikomojoje programinėje įrangoje, visus EVIS naudotojų vykdomus veiksmus (elektroninės informacijos įvedimas, peržiūra, keitimas, atnaujinimas, naikinimas ir kiti elektroninės informacijos tvarkymo veiksmai), kitus elektroninės informacijos saugai svarbius įvykius, nurodant EVIS naudotojo ar administratoriaus ar EVIS paslaugos teikėjo administratoriaus identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo datą ir laiką, įvykio ar veiksmo rezultatą, EVIS naudotojo, administratoriaus, EVIS paslaugos teikėjo administratoriaus ir (arba) EVIS įrenginio, susijusio su įvykiu, duomenis. Šie duomenys saugomi ne trumpiau kaip 1 metus ne toje pačioje EVIS, kurioje jie įrašomi, ir analizuojami ne rečiau kaip kartą per savaitę EVIS paslaugos teikėjo administratoriaus. Turi būti įrašomas audito funkcijos įjungimas ir išjungimas, audito įrašų trynimas, kūrimas ar keitimas. Draudžiama audito duomenis trinti, keisti, kol nesibaigęs audito duomenų saugojimo terminas.
13.2. EVIS vidiniam naudotojui neatliekant jokių veiksmų EVIS 15 minučių, EVIS taikomoji programinė įranga užsirakina ir toliau naudotis EVIS galima tik pakartotinai atlikus savo tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus.
13.3. Baigus darbą ar pasitraukiant iš darbo vietos, susijusios su EVIS, imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo EVIS, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai ar jų kopijos darbo vietoje padedami į pašaliniams asmenims neprieinamą vietą.
13.4. EVIS turi įvestos elektroninės informacijos tikslumo, užbaigtumo ir patikimumo tikrinimo priemones.
III SKYRIUS
Saugus elektroninės informacijos tvarkymas
14. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo užtikrinimo tvarka:
14.1. EVIS elektroninė informacija keičiama, atnaujinama, įvedama ar naikinama tik EVIS nuostatų, Taisyklių ir kitų EVIS veiklą reglamentuojančių teisės aktų nustatyta tvarka ir turint teisėtą pagrindą.
14.2. EVIS elektroninės informacijos naikinimo priemonės užtikrina, kad sunaikintos elektroninės informacijos nebūtų galima atkurti.
14.3. Taisyklių 6 punkte nurodytą tvarkomą elektroninę informaciją įvesti, keisti, atnaujinti, naikinti gali tik EVIS naudotojai, administratorius ir EVIS paslaugos teikėjo administratorius pagal nustatytas prieigos teises.
16. EVIS naudotojų veiksmų registravimo tvarka:
16.1. siekiant nustatyti neteisėtus veiksmus su EVIS saugoma ir tvarkoma elektronine informacija ir šios informacijos vientisumo pažeidimus EVIS naudotojų, administratoriaus bei EVIS paslaugos teikėjo administratoriaus veiksmai, jų darbo su EVIS laikas automatiškai registruojami elektroniniuose žurnaluose, apsaugotuose nuo neteisėto jame esančių duomenų panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;
16.2. veiksmų žurnalų duomenys prieinami tik saugos įgaliotiniui, administratoriui ir EVIS paslaugos teikėjo administratoriui;
17. Atsarginių elektroninės informacijos kopijų (toliau – kopijos) darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka:
17.1. Ne rečiau kaip vieną kartą per aštuonias valandas atliekamas EVIS rezervinis duomenų kopijavimas.
17.2. Ne rečiau kaip vieną kartą per mėnesį EVIS paslaugos teikėjo administratorius pateikia Direkcijai programinės įrangos ir duomenų kopijas skaitmeninėje laikmenoje, kurios leidžia atkurti EVIS įvykus gedimui.
17.3. Elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, neleidžiančių panaudoti kopijas neteisėtai atkuriant elektroninę informaciją.
17.4. Kopijos yra daromos ir saugomos taip, kad jos nebūtų prieinamos tretiesiems asmenims, kurie neturi teisės su jomis dirbti.
17.5. Kopijos laikomos atskiroje (nuo pagrindinių duomenų) patalpoje ir saugomos užrakintoje nedegioje spintoje. Už kopijų darymą ir atkūrimą atsakingas EVIS paslaugos teikėjo administratorius.
18. Elektroninė informacija perkeliama ir teikiama susijusiems registrams ar informacinėms sistemoms ir iš jų gaunama vadovaujantis informacinių sistemų nuostatuose nustatyta tvarka ir sąlygomis ir su susijusių registrų ar informacinių sistemų valdytojais sudarytose duomenų teikimo sutartyse numatytais būdais, apimtimi, reguliarumu ir (ar) terminais.
19. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neteisėta veikla) nustatymo tvarka:
19.1. Siekiant nustatyti, ar su EVIS ar jos elektronine informacija nėra vykdoma neteisėta veikla, visus įvykių žurnaluose saugomus įrašus analizuoja saugos įgaliotinis ne rečiau kaip kartą per savaitę.
19.2. EVIS vidiniai naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančių arba netinkamai veikiančių saugos užtikrinimo priemonių, nedelsdami praneša apie tai administratoriui, o jo nesant – saugos įgaliotiniui. Jeigu saugos įgaliotinis nebuvo informuotas apie šiame papunktyje nurodytus pažeidimus, administratorius informuoja saugos įgaliotinį apie šiuos pažeidimus. Į pranešimus apie neteisėtas veiklas turi būti reaguojama nedelsiant ir imamasi visų įmanomų veiksmų, reikalingų neteisėtai veiklai užkirsti.
20. Informacinių sistemų programinės ir techninės įrangos keitimo, informacinių sistemų pokyčių valdymo tvarka nustatyta Taisyklių priede.
21. EVIS naudojamų svetainių, pasiekiamų iš viešųjų elektroninių ryšių tinklų, saugumo ir kontrolės priemonės:
21.1. Turi būti įgyvendinti atpažinties, tapatumo patvirtinimo ir naudojimosi EVIS saugumo ir kontrolės reikalavimai, nustatyti Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos naudotojų administravimo taisyklėse.
21.3. Svetainės, patvirtinančios nuotolinio prisijungimo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius.
21.6. Šifruojant naudojami skaitmeniniai sertifikatai privalo būti išduoti patikimų sertifikavimo tarnybų. Sertifikato raktas turi būti ne trumpesnis kaip 2 048 bitų.
21.8. Svetainės kriptografinės funkcijos turi būti įdiegtos tarnybinės stoties, kurioje yra svetainė, dalyje arba kriptografiniame saugumo modulyje (angl. Hardware Security Module).
21.9. Kriptografiniai raktai ir algoritmai turi būti nustatomi atsižvelgiant į Lietuvos ir tarptautinius standartus, Aprašo ir Techninių reikalavimų aprašo reikalavimus.
21.10. Draudžiama tarnybinėje stotyje saugoti sesijos duomenis (identifikatorių) pasibaigus susijungimo sesijai.
21.11. Turi būti naudojama svetainės naudotojo įvedamų duomenų tikslumo kontrolė (angl. Validation).
21.12. Tarnybinė stotis, kurioje yra svetainė, neturi rodyti svetainės naudotojui klaidų pranešimų apie svetainės programinį kodą ar tarnybinę stotį.
21.13. Turi būti vykdomas EVIS naudotojų, administratoriaus bei EVIS paslaugos teikėjo administratoriaus atliekamų veiksmų auditas ir vykdomi kontrolės reikalavimai.
21.14. Tarnybinė stotis, kurioje yra svetainė, turi leisti tik svetainės funkcionalumui užtikrinti reikalingus HTTP (angl. HyperText Transfer Protocol) protokolo metodus.
22. Nešiojamiesiems kompiuteriams ir kitiems mobiliesiems įrenginiams (toliau visi kartu – mobilieji įrenginiai) taikomi tokie patys elektroninės informacijos saugos ir kibernetinio saugumo reikalavimai kaip ir stacionariesiems kompiuteriams. Papildomos mobiliųjų įrenginių saugumo priemonės:
22.1. Leidžiama naudoti tik tokius mobiliuosius įrenginius, kurie atitinka elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus, nustatytus Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos susisiekimo ministro 2020 m. rugpjūčio 19 d. įsakymu Nr. 3-461 „Dėl Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatų ir Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“, ir EVIS saugos politikos įgyvendinimo dokumentuose.
22.3. Mobilieji įrenginiai apsaugoti slaptažodžiu. Jeigu mobiliajame įrenginyje naudojama judriojo ryšio kortelė, ji apsaugota PIN kodu, kuris nėra sudaromas iš asmeninės informacijos (pvz., gimimo datos ir pan.) ar lengvai atspėjamo skaičių derinio.
22.4. Esant galimybei mobiliajame įrenginyje įdiegiama kenksmingos programinės įrangos aptikimo programinė įranga ir programinė įranga, leidžianti mobiliojo įrenginio vagystės ar praradimo atveju nuotoliniu būdu užrakinti mobilųjį įrenginį ir (ar) iš jo pašalinti elektroninę informaciją.
22.5. Mobiliaisiais įrenginiais jungiantis prie tarnybinio elektroninio pašto ar kitų resursų iš viešųjų interneto prieigos taškų naudojamas šifravimu pagrįstas protokolas.
22.6. Mobiliuosiuose įrenginiuose laikoma EVIS elektroninė informacija ir kita nevieša informacija užšifruojama.
IV SKYRIUS
Reikalavimai, keliami informacinĖMS sistemOMS FunkcionUOTI reikalingoms paslaugoms ir jų teikėjams
23. Paslaugų teikėjas – EVIS funkcionuoti reikalingų paslaugų teikėjas, darbų vykdytojas ar prekių (įrangos) tiekėjas turi atitikti standartų, Taisyklių nustatytus paslaugų teikėjo, rangovo ar įrangos tiekėjo kompetencijos, patirties, teikiamų paslaugų, atliekamų darbų ar tiekiamų prekių (įrangos) reikalavimus ir rekomendacijas dėl jų, iš anksto nustatytus paslaugų teikimo, darbų atlikimo ar prekių (įrangos) tiekimo pirkimo dokumentuose.
24. Perkant paslaugas, darbus ar prekes (įrangą), susijusius su EVIS, jos projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi būti nustatoma, kad paslaugų teikėjas užtikrina atitiktį Apraše nustatytiems reikalavimams. Perkamos paslaugos, darbai ar prekės (įranga), susiję su EVIS, turi atitikti teisės aktų ir standartų, kuriais vadovaujamasi užtikrinant elektroninės informacijos saugą ir kibernetinį saugumą, reikalavimus, kurie iš anksto nustatomi paslaugų teikimo, darbų atlikimo ar įrangos tiekimo pirkimo dokumentuose.
25. Paslaugų teikėjui prieiga prie EVIS gali būti suteikiama tik pasirašius sutartį, kurioje turi būti nustatytos paslaugų teikėjo teisės, pareigos, prieigos prie EVIS lygiai ir sąlygos, elektroninės informacijos saugos, kibernetinio saugumo, konfidencialumo reikalavimai, reikalavimai, keliami paslaugų teikėjų patalpoms, įrangai, EVIS priežiūrai, duomenų perdavimui tinklais ir kitoms paslaugoms, ir atsakomybė už jų nesilaikymą, reagavimas į paslaugos teikimo sutrikimus, elektroninės informacijos saugos incidentus ar kibernetinius incidentus (toliau – saugos incidentai).
26. Administratorius turi supažindinti paslaugų teikėją su suteiktos prieigos prie EVIS saugos ir kibernetinio saugumo reikalavimais ir sąlygomis. Administratorius yra atsakingas už prieigos prie EVIS paslaugų teikėjui suteikimą pasirašius sutartį ar panaikinimą pasibaigus sutarties su paslaugų teikėju galiojimo terminui ar kitais sutartyje nurodytais prieigos prie EVIS panaikinimo atvejais.
27. Paslaugų teikėjui suteikiamas tik toks prieigos prie EVIS lygis, kuris yra būtinas sutartyje nustatytiems įsipareigojimams vykdyti. Paslaugų teikėjo paskirtiems specialistams prieiga suteikiama paslaugų teikimo sutartyje nurodytam laikotarpiui jų nustatytoms funkcijoms atlikti ir jie turi pasirašyti konfidencialumo pasižadėjimus.
28. Praėjus suteiktam prieigos prie EVIS laikui, paslaugų teikėjų prieiga nedelsiant nutraukiama ir panaikinama.
29. Paslaugos teikėjas, teikiantis prieglobos paslaugas, turi užtikrinti patalpų, techninės ir programinės įrangos bei elektroninės informacijos perdavimo tinklais saugos priemones, išdėstytas Taisyklių II ir III skyriuose, ir yra atsakingas už EVIS elektroninės informacijos kopijų darymą, saugojimą bei EVIS elektroninės informacijos iš kopijų atkūrimą.
30. Paslaugų teikėjas, vykdydamas sutartinius įsipareigojimus, turi įgyvendinti tinkamas organizacines ir technines priemones, skirtas EVIS ir joje tvarkomai elektroninei informacijai apsaugoti nuo netyčinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jos.
31. Direkcija su interneto paslaugų teikėju (-ais) turi būti sudariusi sutartis dėl apsaugos nuo EVIS elektroninių paslaugų trikdžių, reagavimo į kibernetinius incidentus įprastomis darbo valandomis ir po darbo valandų, nepertraukiamo interneto paslaugos teikimo ir interneto paslaugos sutrikimų registravimo 24 valandas per parą, 7 dienas per savaitę.
32. Paslaugų teikėjas privalo nedelsdamas informuoti Direkciją apie sutarties vykdymo metu pastebėtus saugos incidentus, pastebėtas neveikiančias arba netinkamai veikiančias saugos ar kibernetinio saugumo užtikrinimo priemones, elektroninės informacijos saugos ar kibernetinio saugumo reikalavimų nesilaikymą, nusikalstamos veikos požymius, saugumo spragas, pažeidžiamas vietas, kitus svarbius saugai įvykius.
33. Už paslaugų teikimo kontrolę ir saugos priemonių auditą atsakinga Direkcija. Iškilus poreikiui, siekdama įsitikinti, ar tinkamai vykdoma sutartis, laikomasi elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų, Direkcija turi teisę atlikti paslaugos teikėjo teikiamų paslaugų stebėseną ir auditą, suteikti galimybę atlikti auditą trečiosioms šalims.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
Transporto priemonių, laukiančių kirsti
Lietuvos Respublikos valstybės sieną, eilių
valdymo informacinės sistemos saugaus
elektroninės informacijos tvarkymo taisyklių
priedas
TRANSPORTO PRIEMONIŲ, LAUKIANČIŲ KIRSTI LIETUVOS RESPUBLIKOS VALSTYBĖS SIENĄ, EILIŲ VALDYMO INFORMACINĖS SISTEMOS POKYČIŲ VALDYMO TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos pokyčių valdymo tvarkos aprašo (toliau – Tvarkos aprašas) tikslas – standartizuotai valdyti ir kontroliuoti Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos funkcinius, techninius, programinius, organizacinius ir administracinius pokyčius (toliau – pokyčiai), sumažinti neigiamo pokyčių poveikio Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos (toliau – EVIS) darbui riziką, užtikrinant saugų ir kokybišką reikalingų pokyčių įvykdymą.
2. Tvarkos apraše nustatyti standartizuoti pokyčių valdymo planavimo procesai apima pokyčių identifikavimą, inicijavimą ir suskirstymą į kategorijas pagal pokyčio tipą (nustatomą pagal pokyčių svarbą, aktualumą ir poreikį), įtakos vertinimą, pokyčių prioritetų nustatymą, pokyčių atlikimą, dokumentavimą, pokyčių valdymo efektyvumo vertinimą.
II SKYRIUS
POKYČIŲ IDENTIFIKAVIMAS
3. Pokyčiai identifikuojami analizuojant vidinę ir išorinę EVIS valdytojo, EVIS tvarkytojo aplinkas ir veiklos poreikius, kuriuos formuoja socialiniai, teisiniai, ekonominiai, technologiniai aspektai ir tendencijos, esama EVIS būklė (sąranka, pažeidžiamumai, atitiktis teisės aktų ir standartų reikalavimams ir pan.).
4. Vidinės ir išorinės EVIS valdytojo, EVIS tvarkytojo aplinkų analizė atliekama EVIS rizikos vertinimo, informacinių technologijų saugos atitikties vertinimo, informacinių technologijų audito, EVIS būklės, veiklos efektyvumo ir pajėgumo, elektroninių paslaugų kokybės, atitikties teisės aktų ir standartų reikalavimams ir kitų vertinimų, atliekamų Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo, Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatuose ir Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos susisiekimo ministro 2020 m. rugpjūčio 19 d. įsakymu Nr. 3-461 „Dėl Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatų ir Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“, ir kitų EVIS valdytojo, EVIS tvarkytojo veiklą reglamentuojančių teisės aktų nustatyta tvarka, metu.
5. Identifikuoti pokyčiai turi atitikti Lietuvos Respublikos Vyriausybės ar Lietuvos Respublikos Seimo patvirtintus planavimo dokumentus, Vyriausybės numatytas taikomų informacinių ir ryšių technologijų tobulinimo ir plėtros kryptis ir rekomenduojamus taikyti techninius reikalavimus (standartus), EVIS valdytojo strateginius veiklos planus, informacinių technologijų strategiją ir kitus planavimo dokumentus.
III SKYRIUS
POKYČIŲ INICIJAVIMAS IR SKIRSTYMAS Į KATEGORIJAS
6. Pokyčius turi teisę inicijuoti EVIS valdytojas, duomenų valdymo įgaliotinis, EVIS saugos įgaliotinis ir EVIS administratorius. EVIS funkciniai, techniniai ir programiniai pokyčiai, išskyrus EVIS organizacinius ir administracinius pokyčius, turi būti aprašomi šių pokyčių užsakymo formoje (Tvarkos aprašo priedas) ir registruojami Pasienio kontrolės punktų direkcijos prie Susisiekimo ministerijos (toliau – PKPD) Pasienio kontrolės punktų administravimo skyriuje. EVIS organizaciniai ir administraciniai pokyčiai aprašomi laisva forma ir registruojami už personalo ir dokumentų valdymą atsakinguose EVIS valdytojo ar EVIS tvarkytojo struktūriniuose padaliniuose.
7. Pokyčių registravimo metu pokyčiai skirstomi į tipus (funkciniai, techniniai, programiniai, organizaciniai ar administraciniai) ir šias kategorijas, atsižvelgiant į pokyčių svarbą, aktualumą ir poreikį:
7.1. standartiniai pokyčiai – pokyčiai, kurie nekelia rizikos kokybiškam informacinių technologijų paslaugų teikimui arba visos informacinių technologijų infrastruktūros veikimui (pvz., naujos kompiuterinės darbo vietos parengimas darbui EVIS tvarkytojo valstybės tarnautojams ar darbuotojams, dirbantiems pagal darbo sutartis ir turintiems teisę naudotis EVIS ištekliais numatytoms funkcijoms atlikti, ir EVIS tvarkytojo Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka atrinkto paslaugų teikėjo (toliau – EVIS paslaugos teikėjas) darbuotojams, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantiems ir (ar) tvarkantiems EVIS elektroninę informaciją (toliau kartu – EVIS vidiniai naudotojai), ar standartinės programinės įrangos įdiegimas, atnaujinimas ar pašalinimas, jos komponentų pakeitimas, saugumo spragų pataisymų įdiegimas EVIS vidinio naudotojo kompiuterinėje darbo vietoje ir pan.); standartiniai pokyčiai atliekami Tvarkos apraše ir kituose EVIS valdytojo, EVIS tvarkytojo priimtuose teisės aktuose nustatyta tvarka;
7.2. skubūs pokyčiai – pokyčiai, kurie skirti aukščiausio prioriteto sutrikimams arba problemoms šalinti ir reikalauja ypatingos įvertinimo, patvirtinimo ir atlikimo skubos, taip pat avariniai pokyčiai (pvz., veiklos atkūrimas likviduojant elektroninės informacijos saugos incidento, stichinės nelaimės, avarijos ar kitų ekstremalių situacijų padarinius); avarinių pokyčių atveju gali būti nesilaikoma pokyčių įtakos vertinimo ir dokumentavimo žingsnių;
7.3. plėtros pokyčiai – pokyčiai, kurių metu yra kuriamos arba modernizuojamos informacinių technologijų paslaugos ir su tuo susiję jų atlikimo veiksmai nėra visiškai aiškūs, o pokyčių atlikimas yra susijęs su tam tikra rizika informacinių technologijų paslaugų teikimui arba visos informacinių technologijų infrastruktūros veikimui.
IV SKYRIUS
POKYČIŲ ĮTAKOS VERTINIMAS
8. EVIS funkcinių, programinių ir techninių pokyčių įtaką vertina PKPD Pasienio kontrolės punktų administravimo skyrius. Sudėtingų pokyčių įtakai įvertinti gali būti sudaroma darbo grupė. Ši darbo grupė gali būti sudaroma iš EVIS valdytojo ir EVIS tvarkytojo kompetentingų specialistų, prireikus – nepriklausomų ekspertų.
9. Pokyčių įtakos vertinimo metu turi būti įvertinama socialinė, ekonominė, technologinė pokyčių nauda ir pagrįstumas, pokyčių įgyvendinamumas ir alternatyvūs sprendimai, pokyčiams atlikti reikalingos sąnaudos, taip pat EVIS darbo sutrikdymo ar sustabdymo rizika, elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo pažeidimo rizika.
V SKYRIUS
POKYČIŲ PRIORITETŲ NUSTATYMAS
12. Skubių ir plėtros pokyčių eiliškumas nustatomas pokyčių įtakos vertinimo metu, prioritetą skiriant didžiausią įtaką darantiems pokyčiams.
VI SKYRIUS
POKYČIŲ ATLIKIMAS
14. EVIS funkcinius, techninius ir programinius pokyčius vykdo EVIS administratorius arba EVIS paslaugos teikėjas. EVIS organizacinius ir administracinius pokyčius vykdo už personalo ir dokumentų valdymą atsakingi EVIS valdytojo ar EVIS tvarkytojo struktūriniai padaliniai.
15. Visi pokyčiai, galintys sutrikdyti ar sustabdyti EVIS darbą, turi būti suderinti su duomenų valdymo įgaliotiniu ir vykdomi tik gavus jo ir EVIS valdytojo vadovo rašytinį pritarimą.
16. Pokyčiai, galintys sutrikdyti ar sustabdyti EVIS darbą, daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti testavimui skirtoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri atskirta nuo EVIS. Pokyčiai eksploatuojamoje aplinkoje gali būti vykdomi tik išimtiniais atvejais, kai dėl techninių, programinių ar kitų priežasčių (pvz., veiklos atkūrimas, kitos avarinės situacijos ir pan.) pokyčių nėra galimybės patikrinti testavimui skirtoje EVIS aplinkoje.
17. Nustačius, kad pokyčių testavimui skirtoje aplinkoje rezultatas atitinka laukiamus rezultatus, EVIS administratorius parengia keičiamos ir (arba) atnaujinamos programinės ir (arba) techninės įrangos keitimo ir (arba) atnaujinimo planą ir po to pokyčiai gali būti atliekami eksploatuojamoje EVIS aplinkoje.
18. EVIS administratorius turi informuoti EVIS vidinius naudotojus, transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilės rezervavimo paslaugos gavėjus, susijusių registrų ir informacinių sistemų tvarkytojus, kitus suinteresuotus asmenis apie pokyčius, kurių įgyvendinimo metu galimi EVIS darbo sutrikimai. Apie pokyčius turi būti informuojama EVIS tvarkytojo interneto svetainėje, EVIS taikomosiose programose ar kitomis priemonėmis (pvz., raštu, faksu, elektroniniu paštu ir pan.) ne vėliau kaip prieš vieną darbo dieną iki planuojamo pokyčio įgyvendinimo pradžios. Šio punkto gali būti nesilaikoma, jeigu įgyvendinami skubūs ir avariniai pokyčiai.
VII SKYRIUS
POKYČIŲ DOKUMENTAVIMAS
19. EVIS sąrankos aprašai turi būti nuolat atnaujinami ir rodyti esamą EVIS sąrankos būklę. EVIS sąranka ir EVIS būsenos rodikliai turi būti tikrinami (peržiūrimi) reguliariai, tačiau ne rečiau kaip kartą per metus. Visi pokyčiai, išskyrus avarinius pokyčius, turi būti dokumentuojami ir registruojami tam skirtame žurnale arba specializuotoje sistemoje.
20. Įgyvendinus pokytį EVIS eksploatuojamoje aplinkoje, EVIS administratorius turi patikrinti (peržiūrėti) EVIS sąranką ir EVIS būsenos rodiklius, palyginti ir pagal kompetenciją įvertinti, ar pokytis atitinka planuojamus rezultatus. Sudėtingiems ir specifinių pokyčių rezultatams įvertinti gali būti pasitelkti ir kiti EVIS valdytojo, EVIS tvarkytojo ar trečiosios šalies kompetentingi specialistai.
21. Patvirtinus, kad pokytis atitinka planuotus rezultatus, EVIS administratorius turi atnaujinti EVIS sąrankos aprašus ir prireikus inicijuoti kitų, su pokyčiu susijusių dokumentų atnaujinimą ir pateikimą suinteresuotiems asmenims.
22. Pokyčiai, susiję su EVIS kūrimu ar modernizavimu, turi būti dokumentuojami EVIS techniniuose aprašymuose (specifikacijose), tvirtinami ir derinami Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, nustatyta tvarka.
VIII SKYRIUS
POKYČIŲ VALDYMO EFEKTYVUMO VERTINIMAS
23. Siekiant efektyvaus pokyčių valdymo turi būti analizuojami ir vertinami šie rodikliai:
23.1. EVIS darbo sutrikimų ar elektroninės informacijos klaidų, kilusių dėl netikslios specifikacijos ar nepakankamo pokyčių įtakos vertinimo, skaičius;
23.2. EVIS taikomųjų programų ar informacinių technologijų infrastruktūros pataisymai, atlikti dėl netinkamos pokyčių specifikacijos;
Transporto priemonių, laukiančių kirsti
Lietuvos Respublikos valstybės sieną, eilių
valdymo informacinės sistemos pokyčių
valdymo tvarkos aprašo
priedas
TRANSPORTO PRIEMONIŲ, LAUKIANČIŲ KIRSTI LIETUVOS RESPUBLIKOS VALSTYBĖS SIENĄ, EILIŲ VALDYMO INFORMACINĖS SISTEMOS FUNKCINIŲ, TECHNINIŲ IR PROGRAMINIŲ POKYČIŲ UŽSAKYMO FORMA
Pokyčio teikimo data |
Pokyčio pavadinimas |
Pokytį teikia |
|
(data) |
|
(pareigos, vardas, pavardė) |
|
Pokyčio aprašymas |
|||
|
|||
Pokyčio valdymas |
|||
Veiksmų aprašymas |
Atsakingas asmuo / padalinys |
Terminas, iki kurio turi būti atlikti veiksmai |
Nuoroda į susijusius dokumentus |
1. |
|
|
|
2. |
|
|
|
3. |
|
|
|
Pokyčio tvirtinimas |
|||
(pareigos) |
(data) |
(parašas) |
(vardas, pavardė) |
Pokyčiui pritarta / Pokytis atmestas (palikti reikiamą) |
PATVIRTINTA
Lietuvos Respublikos susisiekimo ministro
2021 m. lapkričio 10 d. įsakymu Nr. 3-529
TRANSPORTO PRIEMONIŲ, LAUKIANČIŲ KIRSTI LIETUVOS RESPUBLIKOS VALSTYBĖS SIENĄ, EILIŲ VALDYMO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos veiklos tęstinumo valdymo planas (toliau – Valdymo planas) nustato Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos (toliau – EVIS) veiklos tęstinumo organizacines, aprašomąsias ir Valdymo plano veiksmingumo išbandymo nuostatas.
3. Valdymo plane vartojamos sąvokos suprantamos taip, kaip jos yra apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Aprašas).
4. Valdymo planas parengtas vadovaujantis Aprašu, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu ir Nacionaliniu kibernetinių incidentų valdymo planu, patvirtintais Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.
5. Valdymo planas įsigalioja įvykus elektroninės informacijos saugos ar kibernetiniam incidentui (toliau – saugos incidentas), dėl kurio EVIS tvarkytojas negali teikti EVIS elektroninių paslaugų daliai EVIS tvarkytojo valstybės tarnautojų ar darbuotojų, dirbančių pagal darbo sutartis, (toliau – EVIS tvarkytojo darbuotojai) arba EVIS tvarkytojo Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinkto juridinio asmens ar asmenų (asmenų grupės), kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos EVIS ir (ar) jos infrastuktūros priežiūros funkcijos (toliau – EVIS paslaugos teikėjas), darbuotojų, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojančių ir (ar) tvarkančių EVIS elektroninę informaciją, (toliau kartu – EVIS vidiniai naudotojai) ar transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilės rezervavimo paslaugos gavėjų (toliau – EVIS elektroninės paslaugos gavėjai) arba visiems EVIS vidiniams naudotojams ar EVIS elektroninės paslaugos gavėjams ir todėl būtina atkurti įprastą EVIS veiklą EVIS tvarkytojo patalpose arba atsarginėse patalpose. Valdymo plano vykdymą inicijuoja EVIS veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) vadovas. Valdymo plano nuostatos taip pat taikomos po stichinės nelaimės, avarijos ar kitų ekstremaliųjų situacijų, kai būtina atkurti įprastą EVIS veiklą.
6. Valdymo planas yra privalomas EVIS tvarkytojui, EVIS valdytojui, duomenų valdymo įgaliotiniui, EVIS saugos įgaliotiniui (toliau – saugos įgaliotinis), asmeniui, atsakingam už kibernetinio saugumo organizavimą ir užtikrinimą (toliau – kibernetinio saugumo vadovas), EVIS administratoriui (toliau – administratorius), EVIS paslaugos teikėjo vadovo paskirtam administratoriui (toliau – EVIS paslaugos teikėjo administratorius) ir EVIS vidiniams naudotojams.
7. Valdymo plano įgyvendinimas turi užtikrinti EVIS prieinamumą ne mažiau kaip 90,0 proc. laiko per mėnesį ir EVIS veiklos atnaujinimą per 16 val.
8. Saugos įgaliotinio, kibernetinio saugumo vadovo, administratoriaus, EVIS paslaugos teikėjo administratoriaus funkcijos, įgaliojimai ir veiksmai:
8.1. Saugos įgaliotinis:
8.1.1. bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, elektroninės informacijos saugos incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka EVIS elektroninės informacijos saugos darbo grupė;
8.1.2. duoda privalomus vykdyti nurodymus ir pavedimus EVIS vidiniams naudotojams, administratoriui, EVIS paslaugos teikėjo administratoriui, jeigu tai būtina elektroninės informacijos saugos politikai įgyvendinti;
8.2. Kibernetinio saugumo vadovas:
8.2.1. bendradarbiauja su kompetentingomis institucijomis, tiriančiomis kibernetinius incidentus, neteisėtas veikas, susijusias su kibernetiniais incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka EVIS kibernetinio saugumo darbo grupė;
8.3. Administratorius:
8.3.4. informuoja EVIS vidinius naudotojus ar EVIS elektroninės paslaugos gavėjus apie veiklos sutrikimus ir jų atkūrimo laiką;
8.4. EVIS paslaugos teikėjo administratorius:
10. Kriterijai, pagal kuriuos nustatoma, kad EVIS veikla atkurta, yra:
10.1. EVIS techninė ir programinė įranga bei kompiuterizuotos darbo vietos (toliau – KDV) funkcionuoja pagal specifikacijoje nustatytus reikalavimus;
10.2. nuolat priimama ir išsaugoma suinteresuotų juridinių ir fizinių asmenų ir (arba) jų valdomų informacinių sistemų siunčiama elektroninė informacija;
10.4. nuolat teikiama atnaujinta elektroninė informacija suinteresuotiems juridiniams bei fiziniams asmenims ir (arba) jų valdomoms informacinėms sistemoms;
II SKYRIUS
ORGANIZACINĖS NUOSTATOS
11. Už EVIS veiklos tęstinumą ir EVIS veiklos atkūrimą saugos incidentų atveju atsakinga Valdymo grupė.
12. Valdymo grupės sudėtis tvirtinama Pasienio kontrolės punktų direkcijos prie Susisiekimo ministerijos (toliau – PKPD) direktoriaus įsakymu:
12.2. PKPD Pasienio kontrolės punktų administravimo skyriaus vedėjas (Valdymo grupės vadovo pavaduotojas, atsakingas už Valdymo plano 13.9–13.13 papunkčiuose nurodytų funkcijų vykdymą);
12.3. saugos įgaliotinis (atsakingas už Valdymo plano 13.9–13.13 papunkčiuose nurodytų funkcijų vykdymą);
12.4. administratorius (atsakingas už Valdymo plano 13.9–13.13 papunkčiuose nurodytų funkcijų vykdymą);
13. Valdymo grupės funkcijos:
13.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;
13.5. finansinių ir kitų išteklių, reikalingų EVIS veiklai atkurti, įvykus saugos incidentui, naudojimo kontrolė;
14. Valdymo grupės narių bendravimas saugos incidento metu:
14.1. Valdymo grupės nariai, priklausomai nuo grėsmės, sukėlusios saugos incidentą, nedelsdami informuoja saugos įgaliotinį.
14.2. Saugos įgaliotinis apie saugos incidentą nedelsdamas informuoja Valdymo grupės vadovą ir registruoja saugos incidentą Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos elektroninės informacijos saugos incidentų registravimo žurnale (Valdymo plano 2 priedas) (toliau – Žurnalas).
14.3. Valdymo grupės vadovas organizuoja saugos incidento įvertinimą ir priima sprendimą dėl Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos veiklos atkūrimo detaliojo plano (toliau – Detalusis planas) vykdymo.
14.4. Tuo atveju, kai nevykdomas Detalusis planas, Valdymo grupės nariai įvertina ir pašalina saugos incidento sukeltus padarinius. Pašalinus saugos incidento sukeltus padarinius, saugos įgaliotinis apie tai pažymi Žurnale.
15. Valdymo grupei priklausantys asmenys tarpusavyje komunikuoja bet kuriomis saugos incidento metu veikiančiomis ryšio priemonėmis (elektroniniu paštu, fiksuotojo ryšio ir mobiliojo ryšio telefonais).
16. Saugos incidento metu pažeista, sugadinta arba sunaikinta EVIS tarnybinių stočių aparatinė, programinė įranga ir KDV įranga atkuriama arba įsigyjama Viešųjų pirkimų įstatymo nustatyta tvarka. Įsigijimo finansiniai ištekliai padengiami iš valstybės biudžeto.
17. Atsarginės patalpos, naudojamoms EVIS veiklai atkurti saugos incidento atveju, turi atitikti šiuos reikalavimus:
17.2. patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti įrengtos gaisro gesinimo priemonės;
III SKYRIUS
APRAŠOMOSIOS NUOSTATOS
19. Parengtų ir saugomų dokumentų sąrašas:
19.1. dokumentas, kuriame nurodyti informacinių technologijų įrangos parametrai ir už šios įrangos priežiūrą atsakingas (-i) administratorius (-iai), minimalus EVIS veiklai atkurti nesant administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, reikiamos kompetencijos ar žinių lygis;
19.2. dokumentas, kuriame nurodyta minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos institucijos poreikius atitinkančiai EVIS veiklai užtikrinti įvykus saugos incidentui, specifikacija;
19.3. dokumentas, kuriame nurodyti kiekvieno pastato, kuriame yra EVIS įranga, aukšto patalpų brėžiniai ir juose pažymėtos:
19.5. dokumentas, kuriame nurodytos elektroninės informacijos teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigos;
19.6. dokumentas, kuriame nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos;
20. Už Valdymo plano 19 punkte nurodytų dokumentų parengimą atsakingas PKPD Pasienio kontrolės punktų administravimo skyriaus vyriausiasis specialistas.
21. Už Valdymo plano 19 punkte nurodytų dokumentų saugojimą atsakingas administratorius. Valdymo plano 19 punkte nurodyti dokumentai turi būti saugomi rakinamame seife ar ugniai atsparioje spintoje.
IV SKYRIUS
VALDYMO PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS
25. Valdymo plano išbandymo būdas ir data, atsižvelgiant į per praėjusius kalendorinius metus įvykusius saugos incidentus, užfiksuotus Žurnale, saugos įgaliotinio teikimu tvirtinami Valdymo grupės posėdyje.
26. Saugos įgaliotinis per 10 darbo dienų po Valdymo plano veiksmingumo išbandymo parengia išbandymo ataskaitą ir priemonių planą išbandymo metu pastebėtiems trūkumams pašalinti.
27. Valdymo plano veiksmingumo išbandymo ataskaitą ir priemonių pastebėtiems trūkumams pašalinti planą, pritarus Valdymo grupei, tvirtina EVIS tvarkytojo vadovas.
28. Valdymo plano išbandymo ataskaitų kopijos ne vėliau kaip per penkias darbo dienas nuo šių dokumentų priėmimo pateikiamos Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos.
Transporto priemonių, laukiančių
kirsti Lietuvos Respublikos
valstybės sieną, eilių valdymo
informacinės sistemos veiklos
tęstinumo valdymo plano
1 priedas
TRANSPORTO PRIEMONIŲ, LAUKIANČIŲ KIRSTI LIETUVOS RESPUBLIKOS VALSTYBĖS SIENĄ, EILIŲ VALDYMO INFORMACINĖS SISTEMOS VEIKLOS Atkūrimo DETALUSIS PLANAS
Pavojaus rūšys |
Pirmaeiliai veiksmai |
Padarinių likvidavimo veiksmai |
Atsakingi padarinių likvidavimo vykdytojai |
Veiksmų vykdymo terminai |
1. Oro sąlygos |
1.1. Elektroninės informacijos saugos incidento padarinių įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas |
1.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas |
Saugos įgaliotinis, administratorius, EVIS paslaugos teikėjo administratorius |
2 val. |
1.1.2. Pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas |
Pasienio kontrolės punktų administravimo skyriaus vedėjas |
4 val. |
||
1.1.3. Priemonių plano įgyvendinimas |
Saugos įgaliotinis, Administratorius, EVIS paslaugos teikėjo administratorius |
16 val. |
||
1.2. Darbuotojų elektroninės informacijos saugos incidento padariniams likviduoti paskyrimas |
1.2.1. Žalą likviduojančių darbuotojų instruktavimas |
Saugos įgaliotinis |
1 val. |
|
1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas |
Saugos įgaliotinis |
|
||
1.3. Oro prognozės sekimas |
1.3.1. Žalą likviduojančių darbuotojų instruktavimas |
Saugos įgaliotinis |
|
|
1.4. Rekomendacijų pavojaus vietoje dirbantiems darbuotojams teikimas |
1.4.1. Elektroninės informacijos saugos incidento padarinius likviduojančių darbuotojų instruktavimas |
Saugos įgaliotinis |
2 val. |
|
1.4.2. Darbuotojų informavimas apie elgseną pavojaus vietoje |
Saugos įgaliotinis |
2 val. |
||
1.4.3. Pirmosios pagalbos suteikimo organizavimas nukentėjusiems darbuotojams |
Pasienio kontrolės punktų direkcijos prie Susisiekimo ministerijos (toliau – PKPD) direktoriaus pavaduotojas |
1 val. |
||
1.4.4. Nukentėjusių darbuotojų gabenimo į gydymo įstaigą organizavimas |
PKPD direktoriaus pavaduotojas |
1 val. |
||
|
1.5. Pavojaus vietų ženklinimas |
1.5.1. Darbuotojų informavimas 1.5.2. Žalą likviduojančių darbuotojų instruktavimas |
Saugos įgaliotinis |
1 val. |
2. Gaisras |
2.1. Ugniagesių tarnybos informavimas |
2.1.1. Įvykio vietos lokalizavimas, jei gauta rekomendacija |
Saugos įgaliotinis, administratorius |
1 val. |
2.1.2. Galimybių evakuoti darbuotojus paieška, jei rekomenduojama tai padaryti |
PKPD direktoriaus pavaduotojas |
2 val. |
||
2.2. Darbuotojų evakavimas (pagal ugniagesių tarnybos rekomendaciją) |
2.2.1. Darbuotojų informavimas apie evakavimą, jei yra rekomendacija |
Saugos įgaliotinis |
2 val. |
|
2.3. Darbas pavojaus zonoje
|
2.3.1. Darbuotojų informavimas apie saugų darbą pavojaus zonoje |
Saugos įgaliotinis |
2 val. |
|
2.4. Komunikacijų, sukeliančių pavojų, išjungimas. Gaisro gesinimas ankstyvoje stadijoje, jei yra rekomendacija dirbti pavojaus zonoje
|
2.4.1. Teisėsaugos tarnybos nurodymų vykdymas |
Saugos įgaliotinis |
|
|
3. Patalpų užgrobimas |
3.1. Teisėsaugos tarnybos informavimas |
3.1.1. Įvykio vietos lokalizavimas, jei yra teisėsaugos tarnybos rekomendacijos |
Saugos įgaliotinis |
2 val. |
3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei gauta rekomendacija |
PKPD direktoriaus pavaduotojas |
1 val. |
||
3.2. Darbuotojų evakavimas, jei yra rekomendacija
|
3.2.1. Darbuotojų informavimas apie evakavimą |
Saugos įgaliotinis |
2 val. |
|
3.3. Patalpų užrakinimas, jei yra galimybė |
3.3.1. Teisėsaugos tarnybos nurodymų vykdymas |
Saugos įgaliotinis |
1 val. |
|
3.4. Teisėsaugos tarnybos nurodymų vykdymas, jei yra rekomendacijų
|
3.4.1. Darbuotojų informavimas apie nurodymų vykdymą |
Saugos įgaliotinis |
2 val. |
|
3.5. Veiksmai išlaisvinus užgrobtas patalpas |
3.5.1. Padarytos žalos įvertinimas |
Saugos įgaliotinis, administratorius, EVIS paslaugos teikėjo administratorius |
6 val. |
|
3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas |
Pasienio kontrolės punktų administravimo skyriaus vedėjas |
16 val. |
||
3.5.3. Žalą likviduojančių darbuotojų instruktavimas |
Saugos įgaliotinis |
2 val. |
||
4. Patalpai padaryta žala arba patalpos praradimas |
4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį
|
4.1.1. Suinteresuotos tarnybos rekomendacijų dėl galimybės dirbti pavojaus zonoje gavimas |
Saugos įgaliotinis |
1 val. |
4.1.2. Darbuotojų informavimas apie rekomendacijas |
Saugos įgaliotinis |
1 val. |
||
5. Energijos tiekimo sutrikimai |
5.1. Energijos tiekimo sutrikimo priežasčių nustatymas. Tarnybinės stoties, kitos techninės įrangos energijos maitinimo išjungimas |
5.1.1. Sutrikimų šalinimo organizavimas
|
Administratorius, EVIS paslaugos teikėjo administratorius, saugos įgaliotinis |
1 val. |
5.2. Kreipimasis į energijos tiekimo tarnybą dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių |
5.2.1. Rekomendacijų iš energijos tiekimo tarnybos gavimas |
Administratorius, saugos įgaliotinis |
1 val. |
|
5.3. Sutrikimų pašalinimas |
5.3.1. Pavojaus sustabdymas, padarytos žalos likvidavimo priemonių plano sudarymas ir įgyvendinimas |
Administratorius, saugos įgaliotinis, kibernetinio saugumo vadovas, Pasienio kontrolės punktų administravimo skyriaus vedėjas |
6 val. |
|
5.3.2. Padarytos žalos įvertinimas |
8 val. |
|||
5.3.3. Žalą likviduojančių darbuotojų instruktavimas |
Saugos įgaliotinis |
1 val. |
||
6. Vandentiekio ir šildymo sistemos sutrikimai |
6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas
|
6.1.1. Atitinkamos tarnybos paklausimas dėl leidimo dirbti ir rekomendacijų gavimas |
Saugos įgaliotinis |
2 val. |
6.1.2. Darbuotojų informavimas apie rekomendacijas |
Saugos įgaliotinis |
2 val. |
||
6.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas
|
6.2.1. Padarytos žalos įvertinimas. Sutrikimo sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas |
Administratorius, saugos įgaliotinis |
8 val. |
|
6.2.2. Žalą likviduojančių darbuotojų instruktavimas |
Saugos įgaliotinis |
2 val. |
||
7. Ryšio sutrikimai |
7.1. Ryšio sutrikimo priežasčių nustatymas |
7.1.1. Kreiptis į ryšio paslaugos teikėją |
Administratorius, EVIS paslaugos teikėjo administratorius, saugos įgaliotinis, kibernetinio saugumo vadovas |
2 val. |
|
7.2. Ryšio tarnybų informavimas, tikėtinos sutrikimo ir jo pašalinimo trukmės nustatymas |
7.1.2. Nustatyti ir įgyvendinti prevencines sutrikimų priemones |
|
|
7.3. Sutrikimo pašalinimas |
7.1.3. Kreiptis į kitą ryšio paslaugos teikėją, jei sutrikimas nepašalintas |
|
|
|
8. Tarnybinės stoties, komutacinės įrangos sugadinimas |
8.1. Pranešimas teisėsaugos tarnybai, draudimo bendrovei apie įvykį |
8.1.1. Darbuotojų elektroninės informacijos saugos incidento padariniams likviduoti paskyrimas, instruktavimas, jų veiksmų nustatymas |
Administratorius, EVIS paslaugos teikėjo administratorius, saugos įgaliotinis |
4 val. |
8.2. Elektroninės informacijos saugos incidento padarinių šalinimas |
8.2.1. Kreiptis į įrangos tiekėjus dėl įrangos remonto ar naujos įsigijimo |
Administratorius, EVIS paslaugos teikėjo administratorius |
4 val. |
|
|
8.2.2. Įsigytos įrangos diegimas |
Saugos įgaliotinis, administratorius, EVIS paslaugos teikėjo administratorius |
16 val. |
|
|
||||
9. Programinės įrangos sugadinimas, praradimas |
9.1. Elektroninės informacijos saugos incidento padarinių įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas |
9.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas |
Administratorius, EVIS paslaugos teikėjo administratorius, saugos įgaliotinis, Pasienio kontrolės punktų administravimo skyriaus vedėjas
|
2 val. |
9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas |
2 val. |
|||
9.2. Darbuotojų elektroninės informacijos saugos incidento padariniams likviduoti paskyrimas. Žalą likviduojančių darbuotojų instruktavimas, jų veiksmų koordinavimas
|
9.2.1. Žalą likviduojančių darbuotojų instruktavimas |
Saugos įgaliotinis
|
2 val. |
|
9.2.2. Kreipimasis į teisėsaugos tarnybas dėl programinės įrangos sugadinimo ar praradimo ir jų nurodymų vykdymas |
Administratorius, saugos įgaliotinis |
6 val. |
||
9.3. Programinės įrangos kopijų periodinis gaminimas |
9.3.1. Sugadintos ar prarastos programinės įrangos atkūrimo organizavimas |
Administratorius, EVIS paslaugos teikėjo administratorius, saugos įgaliotinis
|
6 val. |
|
10. Dokumentų praradimas |
10.1. Elektroninės informacijos saugos incidento padarinių įvertinimas |
10.1.1. Prarastų dokumentų atkūrimas |
Administratorius
|
6 val. |
10.1.2. Prarastų dokumentų atkūrimo kontrolė |
PKPD direktoriaus pavaduotojas
|
Nedelsiant |
||
11. Darbuotojų praradimas |
11.1. Elektroninės informacijos saugos incidento padarinių įvertinimas |
11.1.1. Trūkstamų darbuotojų paieška ir priėmimas į darbą |
PKPD direktoriaus pavaduotojas |
16 val. |
12. Manipuliacija elektronine informacija (pvz., elektroninės informacijos, įskaitant Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos (toliau – EVIS) programinę įrangą, pakeitimas kita elektronine informacija, elektroninės informacijos iškraipymas, ištrynimas ar kitoks neteisėtas jos naudojimas) |
12.1. Incidento analizė |
12.1.1. Nustatomas atakos šaltinis, kibernetinio ar elektroninės informacijos saugos incidento padariniai, identifikuojama pakeista, sunaikinta ar kitaip neteisėtai tvarkyta elektroninė informacija 12.1.2. Stabdomas pažeistos elektroninės informacijos teikimas 12.1.3. Nustatomos elektroninės informacijos vientisumo pažeidimo, neteisėto tvarkymo priežastys 12.1.4. Informuojamos kompetentingos institucijos, kitos suinteresuotos šalys. Informuojamos už kibernetinį saugumą atsakingos tarnybos: Nacionalinis kibernetinio saugumo centras* ir Valstybinė duomenų apsaugos inspekcija, jeigu incidentas yra susijęs su asmens duomenų saugumo pažeidimais. Pranešime apie didelės ir vidutinės reikšmės kibernetinį incidentą Nacionaliniam kibernetinio saugumo centrui turi būti nurodyta: kibernetinio incidento grupė (grupės), pogrupis (pogrupiai) ir kategorija**, trumpas kibernetinio incidento apibūdinimas, tikslus laikas, kada kibernetinis incidentas įvyko ir nustatytas, kibernetinio incidento šalinimo tvarka (turi būti nurodyta, ar tai prioritetas, ar ne), tikslus laikas, kada bus teikiama kibernetinio incidento tyrimo ataskaita. Pranešime apie nereikšmingą kibernetinį incidentą Nacionaliniam kibernetinio saugumo centrui turi būti nurodyta informacija apie kiekvienos grupės incidentų, įvykusių nuo paskutinio pranešimo pateikimo dienos, skaičių.
|
Administratorius, EVIS paslaugos teikėjo administratorius, saugos įgaliotinis, kibernetinio saugumo vadovas |
15 minučių nuo incidento nustatymo
15 minučių nuo incidento nustatymo
1 valanda nuo incidento nustatymo
Nedelsiant, bet ne vėliau per 1 valandą nuo didelės reikšmės kibernetinio incidento nustatymo; 4 valandos nuo vidutinės reikšmės kibernetinio incidento nustatymo; kiekvieno kalendorinio mėnesio pirmą darbo dieną pateikiama informacija apie nereikšmingą kibernetinį incidentą
|
12.2. Veiksmų plano sudarymas |
12.2.1. Sudaromas veiksmų planas manipuliacijos elektronine informacija padariniams likviduoti, EVIS veiklai atkurti ir EVIS apsaugoti |
Administratorius, EVIS paslaugos teikėjo administratorius, saugos įgaliotinis, kibernetinio saugumo vadovas
|
1 valanda nuo incidento nustatymo |
|
12.3. Padarinių likvidavimas ir veiklos atkūrimas |
12.3.1. Imamasi veiksmų neteisėtai veikai sustabdyti 12.3.2. Likviduojami kibernetinio ar elektroninės informacijos saugos incidento padariniai, atkuriamas EVIS veikimas, diegiamos EVIS apsaugos priemonės 12.3.3. Jeigu EVIS veiklos atkūrimo metu elektroninė informacija atkuriama iš atsarginių kopijų, tikrinama, ar atkurta elektroninė informacija yra teisinga 12.3.4. Jeigu nėra galimybės tinkamai atkurti elektroninę informaciją iš atsarginių kopijų, EVIS duomenų teikėjų prašoma pateikti elektroninę informaciją iš naujo 12.3.5. Atkuriamas elektroninės informacijos paslaugų teikimas 12.3.6. Prireikus veikla atkuriama atsarginėse patalpose
|
Administratorius, EVIS paslaugos teikėjo administratorius, saugos įgaliotinis, kibernetinio saugumo vadovas |
Priklausomai nuo sutrikimų šalinimo darbų pobūdžio |
|
12.3.7. Nacionaliniam kibernetinio saugumo centrui pateikiama didelės ir vidutinės reikšmės kibernetinio incidento tyrimo ataskaita, kurioje nurodoma: 12.3.7.1. kibernetinio incidento grupė (grupės), pogrupis (pogrupiai) ir poveikio kategorija; 12.3.7.2. ryšių ir informacinės sistemos, kurioje nustatytas kibernetinis incidentas, tipas (elektroninių ryšių tinklas, informacinė sistema, registras, pramoninių procesų valdymo sistema, tarnybinė stotis ir panašiai); 12.3.7.3. kibernetinio incidento veikimo trukmė; 12.3.7.4. kibernetinio incidento šaltinis; 12.3.7.5. kibernetinio incidento požymiai; 12.3.7.6. kibernetinio incidento veikimo metodas; 12.3.7.7. galimos ir (ar) nustatytos kibernetinio incidento pasekmės; 12.3.7.8. kibernetinio incidento poveikio pasireiškimo (galimo išplitimo) mastas; 12.3.7.9. kibernetinio incidento būsena (aktyvus, pasyvus); 12.3.7.10. priemonės, kuriomis kibernetinis incidentas nustatytas; 12.3.7.11. galimos ir (ar) taikomos kibernetinio incidento valdymo priemonės;
|
|
Ne vėliau kaip per 4 valandas nuo didelio poveikio kibernetinio incidento nustatymo ir ne rečiau kaip kas 4 valandas atnaujintą informaciją, iki kibernetinis incidentas suvaldomas ar pasibaigia. Ne vėliau kaip per 24 valandas nuo vidutinio poveikio kibernetinio incidento nustatymo ir ne rečiau kaip kas 24 valandas atnaujintą informaciją, iki kibernetinis incidentas suvaldomas ar pasibaigia
|
||
12.3.7.12. tikslus laikas, kada bus teikiama pakartotinė kibernetinio incidento tyrimo ataskaita
12.3.8. Nacionaliniam kibernetinio saugumo centrui pranešama apie didelės ir vidutinės reikšmės kibernetinio incidento suvaldymą ir pasibaigimą
|
|
4 valandos nuo didelės ir vidutinės reikšmės kibernetinio incidento suvaldymo ir pasibaigimo |
||
* Apie kibernetinius incidentus Nacionalinis kibernetinio saugumo centras turi būti informuojamas užpildant pranešimo apie incidentą formą, esančią interneto svetainėje https://nksc.lt, arba išsiunčiant informaciją apie incidentą el. paštu cert@nksc.lt, arba skambinant telefonu 1843. ** Kibernetinių incidentų kategorijos nurodytos Nacionaliniame kibernetinių incidentų valdymo plane, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“. |
––––––––––––––––––––––
Transporto priemonių, laukiančių kirsti
Lietuvos Respublikos valstybės sieną,
eilių valdymo informacinės sistemos
veiklos tęstinumo valdymo plano
2 priedas
(Elektroninės informacijos saugos incidentų registravimo žurnalo formos pavyzdys)
Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo INFORMACINĖS SISTEMOS Elektroninės informacijos saugos incidentų REGISTRAVIMO ŽURNALAS
Pildymo pradžia 20___m.___________________d.
Eil. Nr. |
Elektroninės informacijos saugos incidentas |
||||||
Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos tvarkymo įstaigos pavadinimas |
Požymio kodas |
Įvykio aprašymas |
Pradžia (metai, mėnuo, diena, valanda) |
Pabaiga (metai, mėnuo, diena, valanda) |
Pašalino (vardas, pavardė) |
Saugos įgaliotinis (vardas, pavardė, parašas) |
|
1. |
|
|
|
|
|
|
|
2. |
|
|
|
|
|
|
|
3. |
|
|
|
|
|
|
|
Elektroninės informacijos saugos incidento požymiai:
1. oro sąlygos; 2. gaisras; 3. patalpų užgrobimas; 4. patalpai padaryta žala arba patalpos praradimas; 5. energijos tiekimo sutrikimai; 6. vandentiekio ir šildymo sistemos sutrikimai; 7. ryšio sutrikimai; 8. tarnybinės stoties, komutacinės įrangos sugadinimas, praradimas; 9. programinės įrangos sugadinimas, praradimas; 10. dokumentų praradimas; 11. darbuotojų praradimas; 12. manipuliacija elektronine informacija (pvz., elektroninės informacijos, įskaitant Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos programinę įrangą, pakeitimas kita elektronine informacija, elektroninės informacijos iškraipymas, ištrynimas ar kitoks neteisėtas jos naudojimas).
Transporto priemonių, laukiančių kirsti
Lietuvos Respublikos valstybės sieną,
eilių valdymo informacinės sistemos
veiklos tęstinumo valdymo plano
3 priedas
ATSARGINIŲ PATALPŲ, NAUDOJAMŲ TRANSPORTO PRIEMONIŲ, LAUKIANČIŲ KIRSTI LIETUVOS RESPUBLIKOS VALSTYBĖS SIENĄ, EILIŲ VALDYMO INFORMACINĖS SISTEMOS VEIKLAI ATKURTI ELEKTRONINĖS INFORMACIJOS SAUGOS AR KIBERNETINIO INCIDENTO ATVEJU, ADRESAS IR VIETA ŽEMĖLAPYJE
PATVIRTINTA
Lietuvos Respublikos susisiekimo ministro
2021 m. lapkričio 10 d. įsakymu Nr. 3-529
TRANSPORTO PRIEMONIŲ, LAUKIANČIŲ KIRSTI LIETUVOS RESPUBLIKOS VALSTYBĖS SIENĄ, EILIŲ VALDYMO INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos naudotojų administravimo taisyklės (toliau – Taisyklės) reglamentuoja Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos (toliau – EVIS) naudotojų teises ir pareigas, naudotojų prieigos prie EVIS valdymą ir kontrolę.
2. Taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, ir Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.
3. Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos yra apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, taip pat kituose susijusiuose Lietuvos Respublikos įstatymuose ir teisės aktuose.
4. Taisyklės taikomos:
4.1. Pasienio kontrolės punktų direkcijos prie Susisiekimo ministerijos (toliau – Direkcija) valstybės tarnautojams ar darbuotojams, dirbantiems pagal darbo sutartis ir turintiems teisę naudotis EVIS ištekliais numatytoms funkcijoms atlikti (toliau – Direkcijos darbuotojai);
4.2. Direkcijos Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinkto juridinio asmens ar asmenų (asmenų grupės), kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos EVIS ir (ar) jos infrastuktūros priežiūros funkcijos (toliau – EVIS paslaugos teikėjas (-ai)), darbuotojams, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantiems ir (ar) tvarkantiems EVIS elektroninę informaciją (toliau – EVIS paslaugos teikėjo (-ų) darbuotojai);
4.3. transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilės rezervavimo paslaugos (toliau – EVIS elektroninė paslauga) gavėjams (Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos susisiekimo ministro 2020 m. rugpjūčio 19 d. įsakymu Nr. 3-461 „Dėl Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatų ir Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“, 8.6 papunktis) (toliau – EVIS išoriniai naudotojai);
4.7. asmeniui, atsakingam už kibernetinio saugumo organizavimą ir užtikrinimą (toliau – kibernetinio saugumo vadovas);
5. Direkcijos darbuotojų, EVIS paslaugos teikėjo (-ų) darbuotojų ir EVIS išorinių naudotojų (toliau kartu – EVIS naudotojai) prieiga prie EVIS elektroninės informacijos suteikiama vadovaujantis šiais principais:
5.1. Direkcijos darbuotojų, EVIS paslaugos teikėjo (-ų) darbuotojų (toliau kartu – EVIS vidiniai naudotojai) prieiga prie elektroninės informacijos grindžiama principu „Būtina žinoti“, kuris reiškia, kad EVIS vidiniams naudotojams suteikiama prieiga tik prie tos EVIS elektroninės informacijos, kuri reikalinga vykdant tiesiogines jų darbo (tarnybos) funkcijas; tvarkyti EVIS elektroninę informaciją gali tik tie EVIS vidiniai naudotojai, kuriems Taisyklių III skyriuje nustatyta tvarka suteiktos prieigos prie EVIS elektroninės informacijos teisės ir priemonės (pvz., identifikavimo priemonės, slaptažodžiai ar kitos autentifikavimo priemonės ir pan.);
5.2. kiekvienas EVIS vidinis naudotojas ir EVIS išorinis naudotojas (jeigu jis yra EVIS susikūręs savo paskyrą ir jungiasi per ją) turi būti EVIS unikaliai identifikuojamas (asmens kodas negali būti naudojamas kaip naudotojo identifikatorius);
5.3. EVIS vidinių naudotojų prieigos prie EVIS elektroninės informacijos lygis grindžiamas mažiausios privilegijos principu, kuris reiškia, kad turi būti suteikiamos tik minimalios EVIS vidinių naudotojų tiesioginėms darbo (tarnybos) funkcijoms vykdyti reikalingos prieigos teisės ir organizacinėmis bei techninėmis priemonėmis užtikrinama minimalių prieigos teisių naudojimo kontrolė (pvz., privilegijuotos prieigos teisės neturi būti naudojamos veiklai, kuriai atlikti pakanka žemesnio lygio prieigos teisių, ir pan.);
5.4. pareigų atskyrimo principu, kuris reiškia, kad EVIS vidiniam naudotojui negali būti pavesta atlikti ar kontroliuoti visų pagrindinių EVIS elektroninės informacijos tvarkymo ar EVIS priežiūros funkcijų (pvz., EVIS vidiniams naudotojams negali būti suteikiamos administratoriaus teisės, susijusios su sprendimais dėl informacijos teikimo ir jos skelbimo, ir asmenų, tvarkančių duomenis, informaciją, dokumentus ir (arba) jų kopijas, teisių ir pareigų nustatymo, EVIS priežiūros funkcijos turi būti atliekamos naudojant atskiras tam skirtas administratoriaus paskyras, kuriomis naudojantis negalima atlikti kasdienių EVIS vidinio naudotojo funkcijų, ir pan.).
II SKYRIUS
EVIS NAUDOTOJŲ IR ADMINISTRATORIŲ
ĮGALIOJIMAI, TEISĖS IR PAREIGOS
6. EVIS vidinių naudotojų, administratoriaus bei EVIS paslaugos teikėjo administratoriaus teisės ir pareigos tvarkant elektroninę informaciją nustatomos EVIS duomenų saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose EVIS veiklą.
7. EVIS vidiniai naudotojai, administratorius bei EVIS paslaugos teikėjo administratorius privalo rūpintis EVIS ir joje tvarkomos elektroninės informacijos sauga ir kibernetiniu saugumu, tvarkyti elektroninę informaciją vadovaudamiesi EVIS veiklą reglamentuojančiais teisės aktais, savo veiksmais nepažeisti elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo.
8. EVIS vidiniai naudotojai, administratorius ir EVIS paslaugos teikėjo administratorius turi teisę tvarkyti elektroninę informaciją tik vykdydami savo tiesiogines funkcijas.
9. Administratorius, pastebėjęs Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos susisiekimo ministro 2020 m. rugpjūčio 19 d. įsakymu Nr. 3-461 „Dėl Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos nuostatų ir Transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eilių valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“, ir EVIS saugos politikos įgyvendinamuosiuose dokumentuose (toliau visi kartu – saugos dokumentai) nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos ir (ar) kibernetinio saugumo užtikrinimo priemones, privalo nedelsdamas apie tai pranešti saugos įgaliotiniui, kibernetinio saugumo vadovui.
10. EVIS vidiniai naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias EVIS saugos ir (ar) kibernetinio saugumo užtikrinimo priemones, privalo nedelsdami apie tai pranešti administratoriui, o jo nesant – saugos įgaliotiniui bei kibernetinio saugumo vadovui. Jeigu saugos įgaliotinis nebuvo informuotas apie šiame punkte nurodytus pažeidimus, administratorius informuoja saugos įgaliotinį apie šiuos pažeidimus. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią EVIS saugą, saugos įgaliotinis apie tai turi pranešti EVIS valdytojo vadovui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, elektroninės informacijos saugos incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais.
11. Saugos įgaliotinis informuoja kibernetinio saugumo vadovą apie Taisyklių 10 punkte nurodytus pažeidimus, susijusius su EVIS kibernetiniu saugumu, jei jis apie tai nebuvo informuotas. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią EVIS kibernetinį saugumą, kibernetinio saugumo vadovas apie tai turi pranešti EVIS valdytojo vadovui ir kompetentingoms institucijoms, tiriančioms kibernetinius incidentus, neteisėtas veikas, susijusias su kibernetiniais incidentais.
12. EVIS paslaugos teikėjo administratorius, pastebėjęs saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias EVIS saugos ir (ar) kibernetinio saugumo užtikrinimo priemones, privalo nedelsdamas apie tai pranešti administratoriui.
13. Administratorius turi teisę naudotis EVIS ir, prisijungęs su naudotojo vardu ir slaptažodžiu, atlikti šias funkcijas:
13.1. kurti, redaguoti ir ištrinti kitų naudotojų paskyras šiais būdais:
13.1.2. peržiūrėti EVIS išorinių naudotojų atliktų rezervacijų ir mokėjimų istorijas pagal šiuos kriterijus:
14. EVIS naudotojai gali naudotis tik tomis EVIS dalimis ir joje apdorojama elektronine informacija, prie kurios prieiga jiems yra nustatyta pagal EVIS naudotojo tipus.
15. EVIS vidiniai naudotojai, administratorius ir EVIS paslaugos teikėjo administratorius, tvarkantys EVIS elektroninę informaciją, privalo laikytis saugos dokumentuose ir kituose teisės aktuose nustatytų reikalavimų.
16. EVIS vidiniai naudotojai, administratorius ir EVIS paslaugos teikėjo administratorius privalo užtikrinti EVIS ir joje esančios elektroninės informacijos saugą pagal kompetenciją.
III SKYRIUS
SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO INFORMACINIŲ SISTEMŲ NAUDOTOJAMS KONTROLĖS TVARKA
18. Administratoriaus paskyros suteikimo ir panaikinimo tvarka:
18.1. Direkcijos direktorius paskiria administratorių. Jeigu administratoriaus funkcijos perduotos EVIS paslaugos teikėjui (-ams), Direkcija paskiria darbuotoją, kontroliuojantį šio (-ių) EVIS paslaugos teikėjo (-ų) darbą;
18.2. administratoriui prieiga prie EVIS suteikiama, keičiama, sustabdoma ar panaikinama Direkcijos direktoriaus sprendimu;
18.3. administratoriaus paskyros kontrolę vykdo saugos įgaliotinis, kuris:
19. Direkcijos darbuotojų registravimo ir išregistravimo tvarka:
19.1. Direkcijos darbuotojams prieiga prie EVIS suteikiama, keičiama, sustabdoma ar panaikinama Direkcijos Pasienio kontrolės punktų administravimo skyriaus vedėjo sprendimu, elektroniniu paštu gavus tiesioginio Direkcijos darbuotojo vadovo prašymą;
19.2. Direkcijos darbuotojui prieigos prie elektroninės informacijos turi būti suteiktos ar pakeistos, sustabdomos ar panaikinamos, kai administratoriui elektroniniu paštu pateikiamas Direkcijos Pasienio kontrolės punktų administravimo skyriaus vedėjo nurodymas kartu su tiesioginio Direkcijos darbuotojo vadovo prašymu. Administratorius prieigos prie elektroninės informacijos teises turi suteikti ar pakeisti, sustabdyti ar panaikinti ne vėliau kaip per vieną darbo dieną nuo nurodymo administratoriui pateikimo arba ne vėliau kaip iki nurodyme nurodyto termino pabaigos, jei terminas nurodomas;
19.3. prieš suteikdamas prieigos teises Direkcijos darbuotojui, administratorius turi įsitikinti, kad Direkcijos darbuotojas susipažino su EVIS saugos dokumentais ir teisės aktais, reglamentuojančiais EVIS duomenų saugą, ir raštu sutiko laikytis jų reikalavimų;
19.4. Direkcijos darbuotojo prieigos prie elektroninės informacijos teisės sustabdomos, kai:
19.4.1. Direkcijos darbuotojas nesinaudoja informacine sistema ilgiau kaip 90 dienų. EVIS automatiškai sustabdo Direkcijos darbuotojo teisę dirbti su konkrečia elektronine informacija praėjus 90 dienų nuo paskutinio Direkcijos darbuotojo prisijungimo prie EVIS;
19.4.2. Direkcijos darbuotojas atostogauja ar yra laikinai nedarbingas ilgiau kaip 30 dienų. Administratorius Direkcijos darbuotojo teisę dirbti su konkrečia elektronine informacija sustabdo paskutinę Direkcijos darbuotojo darbo dieną (darbo dienos pabaigoje) ar pirmą laikinojo nedarbingumo dieną, o teisių sustabdymą panaikina pirmą darbo dieną (darbo dienos pradžioje) po Direkcijos darbuotojo atostogų ar laikinojo nedarbingumo. Apie Direkcijos darbuotojo atostogas ar laikinąjį nedarbingumą administratoriui pranešama elektroniniu paštu;
19.4.3. įstatymų nustatytais atvejais Direkcijos darbuotojas nušalinamas nuo darbo (pareigų), administratorius Direkcijos darbuotojo teisę dirbti su konkrečia elektronine informacija sustabdo nedelsdamas arba ne vėliau kaip iki dokumente, kurio pagrindu Direkcijos darbuotojas nušalinamas nuo darbo (pareigų), nurodyto nušalinimo termino pradžios, jei terminas nurodomas, o teisių sustabdymą panaikina pasibaigus nušalinimo terminui. Apie būtinybę sustabdyti Direkcijos darbuotojo teisę naudotis elektronine informacija pranešama elektroniniu paštu;
19.5. Direkcijos darbuotojų prieigos prie elektroninės informacijos teisės turi būti panaikintos, kai:
19.5.1. pasibaigia Direkcijos darbuotojo tarnybos (darbo) santykiai. Administratorius Direkcijos darbuotojo teisę dirbti su konkrečia elektronine informacija panaikina paskutinę Direkcijos darbuotojo tarnybos (darbo) dieną, tačiau ne vėliau kaip iki tarnybos (darbo) dienos pabaigos. Apie Direkcijos darbuotojo tarnybos (darbo) santykių pasibaigimą administratoriui pranešama elektroniniu paštu;
19.5.2. Direkcijos Pasienio kontrolės punktų administravimo skyriaus vedėjas elektroniniu paštu gavo tiesioginio Direkcijos darbuotojo vadovo prašymą panaikinti Direkcijos darbuotojo teisę dirbti su konkrečia elektronine informacija. Administratorius, gavęs Direkcijos Pasienio kontrolės punktų administravimo skyriaus vedėjo nurodymą kartu su tiesioginio Direkcijos darbuotojo vadovo prašymu, panaikina šią teisę nedelsdamas arba ne vėliau kaip iki administratoriui pateiktame nurodyme nurodyto termino pabaigos, jei terminas nurodomas.
20. EVIS išorinių naudotojų registravimo ir išregistravimo tvarka:
20.1. EVIS išoriniams naudotojams, besinaudojantiems EVIS elektronine paslauga ir (ar) norintiems gauti informaciją apie transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eiles, daugkartinė prieiga prie EVIS suteikiama ar panaikinama EVIS interneto svetainėje užpildžius pateiktą elektroninę formą ir tuo būdu sudarius EVIS paslaugų teikimo sutartis.
20.2. EVIS išoriniams naudotojams, besinaudojantiems EVIS elektronine paslauga ir (ar) norintiems gauti informaciją apie transporto priemonių, laukiančių kirsti Lietuvos Respublikos valstybės sieną, eiles, vienkartinė prieiga prie EVIS suteikiama EVIS išoriniam naudotojui prisijungus prie EVIS interneto svetainės.
21. Už EVIS naudotojų registravimą ir išregistravimą atsakingi administratorius ir EVIS paslaugos teikėjo administratorius, jie:
22. Kiekvienas EVIS vidinis naudotojas, administratorius ir EVIS paslaugos teikėjo administratorius, kiekvienas EVIS išorinis naudotojas, kuris yra EVIS susikūręs savo paskyrą ir jungiasi per ją, informacinėje sistemoje yra unikaliai identifikuojami. Asmens kodas, standartinis prisijungimo vardas (pvz., user, administrator, admin ir pan.) negali būti naudojamas kaip identifikatorius. EVIS naudotojo identifikacija pagrįsta naudotojo vardu arba kita identifikacijos priemone, vienareikšmiškai apibrėžiančia EVIS naudotoją.
23. EVIS naudotojai turi patvirtinti savo tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone.
24. Bendrieji EVIS vidinių naudotojų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai:
24.1. slaptažodis turi būti sudarytas iš didžiųjų ir mažųjų raidžių, skaičių ir specialiųjų simbolių;
24.2. slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija (pvz., vardas, pavardė, prisijungimo vardas, telefono numeris, gimimo data ir kt.);
24.3. sudarant slaptažodį nenaudoti iš eilės einančių tokių pat simbolių arba tik skaitmeninių ar tik abėcėlinių grupių;
24.4. draudžiama slaptažodžius, prieigos vardus ir kitus prisijungimo duomenis atskleisti tretiesiems asmenims;
24.5. kilus įtarimui dėl slaptažodžio konfidencialumo pažeidimo, slaptažodis turi būti nedelsiant pakeistas;
24.6. EVIS dalys, atliekančios nutolusio prisijungimo autentifikavimą, neleidžia automatiškai išsaugoti slaptažodžių;
24.7. didžiausias leidžiamas mėginimų įvesti teisingą slaptažodį skaičius turi būti ne didesnis nei 5 kartai. Viršijus leidžiamą mėginimų įvesti teisingą slaptažodį skaičių, EVIS užsirakina ir neleidžia identifikuotis ne trumpiau kaip 15 minučių. EVIS vidinio naudotojo prašymu administratorius gali leisti identifikuotis EVIS per trumpesnį laiką tik patikrinęs EVIS vidinio naudotojo tapatybę;
24.8. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais. Saugos įgaliotinio sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo EVIS vidinio naudotojo vardo, jei:
24.8.1. EVIS vidinis naudotojas neturi galimybių iššifruoti gauto užšifruoto slaptažodžio. Tokiu atveju EVIS vidinis naudotojas apie tai turi patvirtinti raštu;
25. Papildomi EVIS vidinių naudotojų slaptažodžių reikalavimai:
26. Papildomi administratoriaus ir EVIS paslaugos teikėjo administratoriaus slaptažodžių reikalavimai:
27. EVIS išoriniai naudotojai, kurie nori EVIS susikurti savo paskyrą, turi naudoti slaptažodį, kuris sudarytas iš ne mažiau kaip 6 simbolių, iš didžiųjų ir mažųjų raidžių ir bent vieno skaičiaus.
28. Nuotolinis EVIS naudotojų prisijungimas prie EVIS turi būti vykdomas protokolu, skirtu elektroninei informacijai šifruoti.
IV SKYRIUS
BAIGIAMOSIOS NUOSTATOS