LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRAS

ĮSAKYMAS

DĖL Sertifikatų valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Sertifikatų valdymo informacinės sistemos veiklos tęstinumo valdymo plano ir Sertifikatų valdymo informacinės sistemos naudotojų administravimo taisyklių patvirtinimo

2017 m. kovo 24 d. Nr. 1V-215

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 8 punktu,

tvirtinu pridedamas:

1. Sertifikatų valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;

2. Sertifikatų valdymo informacinės sistemos veiklos tęstinumo valdymo planą;

3. Sertifikatų valdymo informacinės sistemos naudotojų administravimo taisykles.

Vidaus reikalų ministras Eimutis Misiūnas

PATVIRTINTA

Lietuvos Respublikos vidaus reikalų ministro 2017 m. kovo 24 d. įsakymu Nr.1V-215

SERTIFIKATŲ VALDYMO INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Sertifikatų valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) reglamentuoja saugų Sertifikatų valdymo informacinės sistemos (toliau – SVIS) elektroninės informacijos tvarkymą.

2. SVIS tvarkomi duomenys, nurodyti Sertifikatų valdymo informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2011 m. rugsėjo 19 d. įsakymu Nr. 1V-697 „Dėl Sertifikatų valdymo informacinės sistemos nuostatų patvirtinimo“, (toliau − Sertifikatų valdymo informacinės sistemos nuostatai) III skyriuje „SVIS informacinė struktūra“.

3. Už SVIS elektroninės informacijos tvarkymą atsakingi SVIS nuostatuose nurodytų SVIS tvarkytojų valstybės tarnautojai ar darbuotojai, dirbantys pagal darbo sutartį, kuriems suteikta SVIS duomenų tvarkymo teisė.

4. Taisyklės parengtos vadovaujantis šiais teisės aktais:

4.1. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

4.2. Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

4.3. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V–832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

4.4. Sertifikatų valdymo informacinės sistemos nuostatais;

4.5. Sertifikatų valdymo informacinės sistemos duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2011 m. rugsėjo 19 d. įsakymu Nr. 1V-698 „Dėl Sertifikatų valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

5. SVIS kompiuterinės įrangos saugos priemonės:

5.1. SVIS kompiuterinė įranga prižiūrima pagal gamintojo rekomendacijas, jos priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai;

5.2. SVIS informacinių išteklių infrastruktūra turi būti dubliuota ir užtikrinti infrastruktūros veikimą aukšto patikimumo režimu;

5.3. SVIS paslaugoms teikti naudojami du tinklo sujungimai (pagrindinis ir rezervinis);

5.4. tarnybinės stotys apsaugotos nuo trumpalaikio elektros srovės nutrūkimo ir elektros įtampos svyravimų;

5.5. svarbiausia kompiuterinė įranga ir duomenų perdavimo tinklo mazgai turi rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne mažiau kaip 24 valandas;

5.6. patalpose, kuriose yra techninė įranga, užtikrinamos gamintojo nustatytos techninės įrangos darbo sąlygos;

5.7. visa techninė įranga į tarnybinių stočių patalpas įnešama ir išnešama iš jų tik SVIS administratoriui leidus;

5.8. tiesioginė prieiga prie tarnybinių stočių leidžiama tik SVIS administratoriui, išskyrus atvejus, kai atliekant techninės ir programinės įrangos paleidimo, derinimo ar kitus darbus nustatyta tvarka ji gali būti suteikta asmeniui, atliekančiam nurodytus darbus.

5.9. kitos SVIS saugos dokumentuose nustatytos priemonės.

6. SVIS sisteminės ir taikomosios programinės įrangos saugos priemonės:

6.1. taikomos nesankcionuotos prieigos prie kompiuterinių išteklių kontrolės ir informavimo priemonės;

6.2. sisteminės programinės įrangos saugos atnaujinimų paketai diegiami, kai gamintojai juos pateikia ir ištestavus testavimo aplinkoje (jei yra galimybės);

6.3. sisteminės programinės įrangos saugos atnaujinimų paketai nėra diegiami, jei jie gali sukelti SVIS pažeidžiamumus ar nestabilų veikimą. Sprendimas nediegti saugos atnaujinimų turi būti įrašytas SVIS techninės priežiūros žurnale, kurio forma pateikiama Taisyklių priede, šis žurnalas gali būti elektroninis.

6.4. kitos SVIS saugos dokumentuose nustatytos priemonės.

7. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

7.1. SVIS duomenys gali būti perduodami tik Vidaus reikalų telekomunikacinio tinklo viduje;

7.2. SVIS informacinių išteklių infrastruktūra turi būti administruojama ir veikti logiškai atskirtoje Vidaus reikalų telekomunikacinio tinklo dalyje;

7.3. Tarp SVIS ir su ja susijusių registrų perduodami duomenys yra šifruojami.

8. Patalpų ir aplinkos saugumo užtikrinimo priemonės:

8.1. sutrikus elektros energijos tiekimui, nenutrūkstamo maitinimo šaltinis (UPS) ir dyzelinis elektros generatorius ne mažiau nei 24 valandas užtikrina nepertraukiamą sistemos darbą;

8.2. prieigai prie patalpų, kuriose yra tarnybinės stotys, ir pačioms patalpoms kontroliuoti naudojama vaizdo stebėjimo ir signalizacijos sistema;

8.3. tarnybinių stočių patalpos yra atskirtos nuo bendrojo naudojimo patalpų; į šias patalpas patekti gali tik įgalioti asmenys, kiti asmenys į patalpas patekti gali tik lydimi įgaliojimus turinčių asmenų;

8.4. durys į tarnybinių stočių patalpas yra šarvuotos;

8.5. tarnybinių stočių patalpose yra įrengta oro kondicionavimo ir drėgmės kontrolės sistema, taip pat gaisro signalizacijos ir automatinės gaisro gesinimo sistemos;

8.6. tarnybinių stočių patalpose yra įrengta signalizacija, nustatoma įeinančių ir išeinančių iš patalpų asmenų tapatybė (pvz., elektroninės tapatybės nustatymo kortelės ir pan.);

8.7. ryšių kabeliai apsaugomi nuo neteisėto prisijungimo ar pažeidimo.

9. kitos priemonės, naudojamos SVIS elektroninės informacijos saugai užtikrinti:

9.1. Vidaus reikalų telekomunikacinio tinklo stebėjimo sistema užtikrina nuolatinę tinklo apkrovimo, kitų tinklo funkcionalumą apibūdinančių parametrų stebėseną;

9.2. SVIS stebėjimo sistema užtikrina nepertraukiamą SVIS funkcionavimą, automatinį techninės ir programinės įrangos sutrikimų nustatymą ir informavimą apie tai;

9.3. SVIS tinkle turi būti įdiegtos ir veikti automatinės įsilaužimo aptikimo sistemos, automatizuotu būdu analizuojami incidentų duomenys ir pranešimai teikiami Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos Informacinių technologijų pagalbos tarnybai (toliau − Informacinių technologijų pagalbos tarnyba) adresu https://ittpagalba.vrm.lt, elektroniniu paštu ittpagalba@vrm.lt, telefonu Nr. (8 5) 271 7777, skubiais atvejais – SVIS administratoriui bei saugos įgaliotiniui;

9.4. SVIS turi būti reguliariai atliekamas pažeidžiamumų skenavimas ir pažeidžiamumų fiksavimas bei šalinimas;

9.5. svarbiausios kompiuterinės įrangos gedimai, SVIS paslaugų teikimo sutrikimai turi būti registruojami. Už gedimų, SVIS paslaugų teikimo sutrikimų registravimą atsakinga Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos Informacinių technologijų pagalbos tarnyba, už gedimų ir SVIS paslaugų teikimo sutrikimų šalinimą − SVIS administratorius;

9.6. informacija apie įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis informacinėje sistemoje, visus informacinės sistemos naudotojų vykdomus veiksmus, kitus saugai svarbius įvykius turi būti registruojama ir analizuojama ne rečiau kaip kartą per savaitę. Įvykių žurnaluose duomenys turi būti saugomi ne trumpiau kaip 1 metus, taip pat ir likvidavus SVIS; SVIS tarnybinėse stotyse turi būti įjungtos ugniasienės, sukonfigūruotos praleisti tik su informacinės sistemos funkcionalumu ir administravimu susijusį duomenų srautą; ugniasienių konfigūracijų dokumentacija turi būti saugoma kartu su informacinės sistemos dokumentacija;

9.7. patekimas prie SVIS naudotojų kompiuterizuotų darbo vietų turi būti kontroliuojamas.

III SKYRIUS

SAUGUS SVIS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

10. Sertifikatams sudaryti reikalingus duomenis SVIS gauna iš SVIS nuostatų 19 punkte nurodytų registrų. SVIS naudotojai sertifikatų sudarymui naudojamų duomenų SVIS keisti negali. SVIS duomenys naikinami automatiniu būdu pasibaigus SVIS nuostatų 29 punkte nustatytam duomenų saugojimo terminui.

11. Sertifikatų tvarkymo veiksmai fiksuojami programinėmis priemonėmis sertifikatų tvarkymui naudojamuose susijusiuose SVIS nuostatų 19 punkte nurodytuose registruose. Tiesioginis sertifikatų tvarkymas SVIS yra draudžiamas, išskyrus atvejus, kai tvarkymo veiksmai reikalingi nenumatytoms klaidoms pašalinti arba tvarkymo tikslas yra duomenų atsarginių kopijų darymas ar archyvavimas.

12. SVIS naudotojui prisijungus prie SVIS, elektroniniame žurnale automatiškai registruojamas jo darbo laikas, prisijungimo vardas ir jo atliekami veiksmai.

13. SVIS naudotojui neatliekant jokių veiksmų SVIS ilgiau nei 15 minučių, SVIS taikomoji programinė įranga užsirakina; toliau naudotis SVIS galima tik pakartotinai patvirtinus savo tapatybę;

14. SVIS atsarginių duomenų kopijų darymo ir atkūrimo reikalavimai nustatyti Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos administruojamų informacinių sistemų ir registrų elektroninės informacijos atsarginių kopijų darymo, saugojimo ir atkūrimo tvarkos apraše, patvirtintame Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2017 m. sausio 9 d. įsakymu Nr. 5V-6 „Dėl Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos administruojamų informacinių sistemų ir registrų elektroninės informacijos atsarginių kopijų darymo, saugojimo ir atkūrimo tvarkos aprašo patvirtinimo“.

15. SVIS elektroninė informacija kitiems registrams ir informacinėms sistemoms perduodama vadovaujantis Sertifikatų valdymo informacinės sistemos nuostatais ir kitais saugų SVIS elektroninės informacijos tvarkymą reglamentuojančiais teisės aktais.

16. SVIS elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:

16.1. SVIS naudotojai apie pastebėtą neteisėtą SVIS elektroninės informacijos kopijavimą, keitimą, naikinimą ar kitus neteisėtus duomenų tvarkymo veiksmus, privalo nedelsdami pranešti apie tai Informacinių technologijų pagalbos tarnybai adresu https://ittpagalba.vrm.lt , elektroniniu paštu ittpagalba@vrm.lt, telefonu Nr. (8 5) 271 7777. Skubiais atvejais telefonu ar el. paštu tiesiogiai turi būti informuojamas SVIS administratorius ir SVIS saugos įgaliotinis;

16.2. SVIS administratorius, gavęs pranešimą apie vykdomus neteisėtus veiksmus su SVIS ar SVIS tvarkomais duomenimis, nedelsdamas imasi priemonių neteisėtiems veiksmams užkirsti.

17. Programinės ir techninės įrangos keitimus ir atnaujinimus diegia SVIS administratorius, vadovaudamasis Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus patvirtintu SVIS administravimo procedūrų aprašu (toliau − SVIS administravimo procedūrų aprašas).

18. Pokyčiai SVIS gali būti inicijuojami, jei atsiranda pakeitimų sertifikavimo veiklą reglamentuojančiuose teisės aktuose, analizuojant SVIS duomenis išaiškėja loginės jų apdorojimo klaidos, atsiranda naujo SVIS funkcionalumo poreikis, nustatomas SVIS techninės įrangos pajėgumų trūkumas ar keičiasi kitos sertifikavimo veiklos aplinkybės. Pokyčius gali inicijuoti SVIS duomenų valdymo įgaliotinis, SVIS administratorius ir SVIS saugos įgaliotinis.

19. Sprendimus dėl kritinių SVIS programinės įrangos atnaujinimų, visų pirma – operacinių sistemų atnaujinimų, atsižvelgdamas į SVIS administravimo procedūrų aprašą ir SVIS saugos reikalavimus, savarankiškai priima SVIS administratorius. Visais kitais atvejais reikalingų programinės įrangos ir techninės infrastruktūros keitimų sąrašas rengiamas raštu arba naudojant pokyčių valdymo sistemą ir turi būti suderintas su Asmens dokumentų išrašymo centru. Visi numatomi atlikti keitimai turi būti išdėstyti eilės tvarka pateikiant kiekvieno keitimo išsamų aprašymą ir įvertinant pokyčių įtaką SVIS veikimo patikimumui ir saugai. Prieš atliekant pokyčius SVIS darbinėje aplinkoje, jie turi būti išbandomi SVIS testavimo aplinkoje. Informaciją apie atliktą keitimą administratorius registruoja SVIS techninės priežiūros žurnale.

20. Nešiojamų kompiuterių ir kitų mobiliųjų įrenginių naudojimas leidžiamas vadovaujantis SVIS duomenų saugos nuostatų III skyriaus „Organizaciniai ir techniniai reikalavimai“ nuostatomis. Nešiojamųjų kompiuterių programinei įrangai ir jos priežiūrai yra taikomi reikalavimai, tapatūs SVIS saugos dokumentuose nustatytiems SVIS tarnybinių stočių įrangai keliamiems reikalavimams.

IV SKYRIUS

REIKALAVIMAI, KELIAMI SVIS FUNKCIONAVIMUI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

21. SVIS funkcionavimui reikalingų paslaugų teikėjo prieiga prie SVIS techninės ir programinės įrangos kontroliuojama, naudojant prisijungimo vardų, slaptažodžių ir teisių sistemą, skirtą paslaugų teikėjo darbuotojų tapatybei nustatyti.

22. SVIS naudotojai autentifikuojami naudojant ne mažiau kaip dviejų faktorių autentifikavimo mechanizmą.

23. SVIS duomenų saugos priemonės, konfidencialumo reikalavimai, o taip pat SVIS funkcionavimui reikalingų paslaugų teikėjo atsakomybė, susijusi su SVIS techninės ir programinės įrangos diegimu ir priežiūra, nustatomos paslaugų, būtinų SVIS funkcionavimui užtikrinti, teikimo sutartyje.

Sertifikatų valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių

priedas

SERTIFIKATŲ VALDYMO INFORMACINĖS SISTEMOS TECHNINĖS PRIEŽIŪROS ŽURNALAS

Eil. Nr.	Data ir laikas	Atliktų veiksmų aprašymas	Dalyviai

___________________________

PATVIRTINTA

Lietuvos Respublikos vidaus reikalų ministro

2017 m. kovo 24 d. įsakymu Nr.1V-215

SERTIFIKATŲ VALDYMO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Sertifikatų valdymo informacinės sistemos veiklos tęstinumo valdymo planas (toliau – Planas) reglamentuoja Sertifikatų valdymo informacinės sistemos (toliau – SVIS) administratoriaus, saugos įgaliotinio, naudotojų ir kitų SVIS veiklą užtikrinančių asmenų veiksmus įvykus elektroninės informacijos saugos incidentui (toliau – saugos incidentas).

2. Planas parengtas vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairėmis, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, ir kitais teisės aktais, reglamentuojančiais SVIS elektroninės informacijos saugos valdymą.

3. Planas įsigalioja įvykus saugos incidentui.

4. Planas privalomas SVIS valdytojui, tvarkytojams, saugos įgaliotiniui, administratoriui, SVIS naudotojams.

5. SVIS administratorius, SVIS saugos įgaliotinis, prireikus – SVIS naudotojai nedelsdami šalina saugos incidento padarinius ir įgyvendina kitas SVIS veiklos atkūrimo detaliajame plane (Plano 1 priedas) numatytas priemones.

6. SVIS veiklos atkūrimas, įvykus saugos incidentui, finansuojamas iš Lietuvos Respublikos valstybės biudžeto ir kitų finansavimo šaltinių. Finansinių ir kitokių išteklių, numatomų SVIS veiklai atkurti, įvykus saugos incidentui, šaltinius ir pobūdį numato ir pasirenka SVIS veiklos tęstinumo valdymo grupė (toliau – Valdymo grupė).

7. Kriterijai, pagal kuriuos galima nustatyti ar SVIS veikla atkurta, yra šie:

7.1. SVIS duomenimis gali naudotis visi SVIS naudotojai;

7.2. užtikrintas SVIS elektroninės informacijos prieinamumas, konfidencialumas ir vientisumas;

7.3. SVIS vykdo SVIS nuostatuose ir kituose SVIS veiklą reglamentuojančiuose teisės aktuose nurodytus uždavinius ir funkcijas.

8. Neveikiant SVIS ar veikiant iš dalies, jos veikla turi būti atkurta ne ilgiau kaip per 12 val.

9. SVIS prieinamumas turi būti užtikrintas ne mažiau kaip 96 proc. laiko visą parą.

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

10. SVIS veiklos atkūrimo ir kitiems Plane numatytiems veiksmams vadovauja Valdymo grupė, kurią sudaro:

10.1. Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – IRD) direktoriaus pavaduotojas (grupės vadovas);

10.2. Asmens dokumentų išrašymo centro prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – ADIC) direktoriaus pavaduotojas (grupės vadovo pavaduotojas);

10.3. Lietuvos Respublikos vidaus reikalų ministerijos Elektroninės valdžios ir saugos politikos skyriaus vyriausiasis specialistas;

10.4. IRD Informacijos saugos skyriaus vedėjas;

10.5. IRD Telekomunikacijų administravimo skyriaus vedėjas;

10.6. SVIS saugos įgaliotinis.

11. Veiklos tęstinumo valdymo grupės funkcijos:

11.1. situacijos analizė ir sprendimų informacinės sistemos veiklos tęstinumo valdymo klausimais priėmimas;

11.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

11.3. bendravimas su susijusių informacinių sistemų veiklos tęstinumo valdymo grupėmis;

11.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;

11.5. finansinių ir kitų išteklių, reikalingų informacinės sistemos veiklai atkurti, įvykus elektroninės informacijos saugos incidentui, naudojimo kontrolė;

11.6. elektroninės informacijos fizinė sauga įvykus elektroninės informacijos saugos incidentui;

11.7. logistika (žmonių, daiktų, įrangos gabenimas ir jo organizavimas);

11.8. informacinės sistemos veiklos atkūrimo priežiūra ir koordinavimas.

12. Įvykus saugos incidentui, SVIS veiklos atkūrimą organizuoja SVIS veiklos atkūrimo grupė (toliau − Veiklos atkūrimo grupė), kurią sudaro:

12.1. IRD Sistemų infrastruktūros administravimo skyriaus vedėjas (grupės vadovas);

12.2. ADIC Sertifikatų skyriaus vedėjas (grupės vadovo pavaduotojas);

12.3. IRD Sistemų infrastruktūros administravimo skyriaus patarėjas;

12.4. IRD Telekomunikacijų administravimo skyriaus patarėjas;

12.5. SVIS administratorius.

13. Veiklos atkūrimo grupės funkcijos:

13.1. tarnybinių stočių veikimo atkūrimo organizavimas;

13.2. kompiuterių tinklo veikimo atkūrimo organizavimas;

13.3. informacinės sistemos elektroninės informacijos atkūrimo organizavimas;

13.4. taikomųjų programų tinkamo veikimo atkūrimo organizavimas;

13.5. vykdo kitus Valdymo grupės pavedimus, būtinus SVIS veiklai atkurti įvykus saugos incidentui.

14. Valdymo ir Veiklos atkūrimo grupių sudėtį įsakymu tvirtina IRD direktorius.

15. Atsarginės patalpos, naudojamoms SVIS veiklai atkurti įvykus saugos incidentui, atitinka pagrindinėms patalpoms keliamus reikalavimus.

16. SVIS veiklos atkūrimo veiksmai ir SVIS veiklos atkūrimo tvarka nustatomi SVIS veiklos atkūrimo detaliajame plane.

17. Valdymo grupė ir Veiklos atkūrimo grupė tarpusavyje bendrauja naudodamosi elektroninių ryšių priemonėmis: elektroniniu paštu, mobiliuoju ryšiu ir kitomis įmanomomis ryšio priemonėmis. Bendravimo dažnumą, įvertinusi incidento mastą, pobūdį ir veiklos atkūrimo eigą, nustato Valdymo grupė pirmojo susitikimo metu. Bendraujama tol, kol bus pašalinti incidento padariniai.

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

18. SVIS informacinių technologijų įrangos sąrašai ir jos parametrai nurodyti SVIS projektinėje dokumentacijoje, už kurios saugojimą atsakingas SVIS administratorius.

19. SVIS administratorių pavaduojančio asmens minimalus kompetencijos ar žinių lygis negali būti žemesnis už SVIS administratoriui keliamų reikalavimų lygį.

20. Minimalaus funkcionalumo informacinių technologijų įrangos, galinčios užtikrinti SVIS tikslus atitinkančią SVIS veiklą saugos incidento metu, specifikacija turi atitikti pagrindinę SVIS techninės ir programinės įrangos specifikaciją.

21. IRD ir ADIC patalpų, kuriose yra SVIS įranga ir komunikacijos, brėžinius ir šiose patalpose esančios įrangos sąrašą parengia ir saugo IRD Sistemų infrastruktūros administravimo skyriaus valstybės tarnautojas. Patalpų brėžiniuose pažymima:

21.1. tarnybinės stotys;

21.2. kompiuterių tinklo mazgai;

21.3. kompiuterių tinklo laidų įvadų vietos;

21.4. elektros įvadų pastate vietos.

22. Įvykus saugos incidentui, SVIS veikla atkuriama atsarginėse patalpose, kurios atitinka pagrindinėms patalpoms keliamus reikalavimus, adresu Šventaragio g. 2, Vilniuje.

23. Kompiuterių tinklo fizinio ir loginio sujungimo schemas parengia ir saugo SVIS administratorius.

24. SVIS duomenų teikimo bei SVIS techninės ir programinės įrangos priežiūros sutartis saugo SVIS administratorius.

25. SVIS programinės įrangos laikmenos ir laikmenos su SVIS duomenų kopijomis saugomos SVIS atsarginėse patalpose, numatytose Plano 22 punkte.

26. SVIS saugos įgaliotinis sudaro ir saugo veiklos tęstinumo valdymo bei veiklos atkūrimo grupių narių darbo telefonų, mobiliojo telefonų numerių sąrašus.

IV SKYRIUS

PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

27. SVIS saugos įgaliotinis Plano veiksmingumo paskutinio ir kito planuojamo išbandymo būdą ir datą nurodo Plano veiksmingumo išbandymų registracijos žurnale, kurio forma nustatyta Plano 2 priede.

28. Planas turi būti išbandomas ne rečiau kaip kartą per metus. Plano veiksmingumas išbandomas saugos incidento teorinio modeliavimo, simuliacinio žaidimo ar kitu būdu.

29. Pagal bandymų rezultatus SVIS saugos įgaliotinis kartu su SVIS administratoriumi parengia SVIS veiklos tęstinumo valdymo plano veiksmingumo išbandymo ataskaitą (toliau – Ataskaita) (Plano 3 priedas), kurioje yra apibendrinami atliktų bandymų rezultatai, akcentuojami pastebėti trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. SVIS saugos įgaliotinis ataskaitą pateikia SVIS valdytojui, įkeldamas ją į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą, Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

30. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami remiantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

__________________________

Sertifikatų valdymo informacinės sistemos veiklos tęstinumo valdymo plano

1 priedas

SERTIFIKATŲ VALDYMO INFORMACINĖS SISTEMOS VEIKLOS ATKŪRIMO

DETALUSIS PLANAS

Elektroninės informacijos saugos incidentas	Veiksmai esant elektroninės informacijos saugos incidentui	SVIS veiklos atkūrimo veiksmai	SVIS veiklos atkūrimo veiksmų atsakingi vykdytojai
1. Gamtinės sąlygos (klimatinių sąlygų pakitimai)	1.1. galimos žalos SVIS įvertinimas, priemonių plano užkirsti kelią elektroninės informacijos saugos incidentui (toliau – saugos incidentas) sudarymas ir įgyvendinimas;	1.1.1. žalos įvertinimas, priemonių plano saugos incidento pasekmėms likviduoti sudarymas ir įgyvendinimas;	Veiklos tęstinumo valdymo grupės vadovas
	1.2. SVIS veiklos atkūrimo veiksmus atliekančių darbuotojų paskyrimas, jų budėjimo grafiko nustatymas ir jų informavimas apie tai;	1.2.1. darbų grafiko saugos incidento pasekmėms likviduoti sudarymas; 1.2.2. saugos incidento pasekmių likvidavimo darbams atlikti darbuotojų sąrašo sudarymas ir jų informavimas apie tai;	SVIS administratorius Veiklos atkūrimo grupės vadovas SVIS administratorius
	1.3. meteorologinės informacijos sekimas;	1.3.1. saugos incidento pasekmių likvidavimo darbus atliekančių darbuotojų informavimas apie esamą situaciją;	SVIS saugos įgaliotinis
	1.4. SVIS naudotojams rekomenduojamo elgesio saugos incidento metu skelbimas žodžiu arba ryšio priemonėmis;	1.4.1. saugos incidento pasekmių likvidavimo darbus atliekančių darbuotojų instruktavimas apie elgseną saugos incidento vietoje;	SVIS saugos įgaliotinis
	1.5. saugios vietos nustatymas ir nurodymas SVIS naudotojams eiti į saugią vietą;	1.5.1. SVIS naudotojų informavimas apie būtinumą pereiti į kitas saugias patalpas;	Veiklos tęstinumo valdymo grupės vadovas
	1.6. SVIS naudotojų informavimas apie darbo sustabdymą dėl nepalankių sąlygų; 1.7. pasiruošimas suteikti nukentėjusiems SVIS naudotojams pirmąją pagalbą;	1.6.1. SVIS naudotojų informavimas apie esamą situaciją ir numatomas darbo sąlygas;	SVIS saugos įgaliotinis
		1.7.1. pirmos pagalbos suteikimas nukentėjusiems SVIS naudotojams, nukentėjusių gabenimo į gydymo įstaigą organizavimas;	SVIS administratorius
	1.8. pavojingų vietų ženklinimas, informacinių lentelių pakabinimas;	1.8.1. SVIS naudotojų informavimas, saugos incidento pasekmes likviduojančių darbuotojų instruktavimas;	SVIS saugos įgaliotinis
	1.9. alternatyvių energijos tiekimo šaltinių panaudojimas;	1.9.1. energijos tiekimo tarnybų rekomendacijų vykdymas;	Veiklos atkūrimo grupės vadovas
	1.10. alternatyvaus ryšio organizavimas;	1.10.1. kreipimasis į ryšio paslaugos teikėjus;	Veiklos atkūrimo grupės vadovas
	1.11. pagrindinės SVIS techninės ir programinės įrangos, duomenų galimam pavojui išvengti / likviduoti paruošimas;	1.11.1. SVIS tarnybinių stočių, kitos techninės įrangos išjungimas;	SVIS administratorius
2. Potvynis	2.1. veiksmų, nurodytų šio priedo 1.1, 1.2, 1.4 papunkčiuose, atlikimas;	2.1.1. veiksmų, nurodytų šio priedo 1.1.1, 1.2.1, 1.2.2 1.3.1, 1.4.1 papunkčiuose, atlikimas;	Veiklos tęstinumo valdymo grupės vadovas SVIS saugos įgaliotinis SVIS administratorius
	2.2. potvynio prognozės sekimas;	2.2.1. Saugos incidento pasekmes likviduojančių darbuotojų instruktavimas	SVIS saugos įgaliotinis
	2.3. veiksmų, nurodytų šio priedo 1.5–1.11 papunkčiuose, atlikimas;	2.3.1. SVIS naudotojų informavimas apie būtinumą pereiti į kitas saugias patalpas;	Veiklos tęstinumo valdymo grupės vadovas
		2.3.2. SVIS naudotojų informavimas apie esamą situaciją ir numatomas darbo sąlygas;	SVIS saugos įgaliotinis
		2.3.3. pirmos pagalbos suteikimas nukentėjusiems SVIS naudotojams, nukentėjusių gabenimo į gydymo įstaigą organizavimas;	SVIS administratorius
		2.3.4. SVIS naudotojų informavimas, saugos incidento pasekmes likviduojančių darbuotojų instruktavimas;	SVIS saugos įgaliotinis
		2.3.5. energijos tiekimo tarnybų rekomendacijų vykdymas;	Veiklos atkūrimo grupės vadovas
		2.3.6. kreipimasis į ryšio paslaugos teikėjus;	Veiklos atkūrimo grupės vadovas
		2.3.7. SVIS tarnybinių stočių, kitos techninės įrangos išjungimas;	SVIS administratorius
	2.4. SVIS naudotojų, dirbančių potvynio vietoje, aprūpinimas karštu maistu;	2.4.1. SVIS naudotojų, dirbančių potvynio vietoje, maitinimo organizavimas;	SVIS saugos įgaliotinis
3. Pavojingos medžiagos	3.1. pavojingų medžiagų šalinimo tarnybos informavimas;	3.1.1. pavojingų medžiagų šalinimo tarnybos paklausimas dėl leidimo dirbti saugos incidento zonoje, rekomendacijų darbui gavimas ir SVIS naudotojų informavimas apie rekomenduojamus darbo būdus;	Veiklos tęstinumo valdymo grupės vadovas
	3.2. priešgaisrinės apsaugos ir gelbėjimo tarnybos informavimas;	3.2.1. priešgaisrinės apsaugos ir gelbėjimo tarnybos paklausimas dėl leidimo dirbti saugos incidento vietoje;	SVIS saugos įgaliotinis
	3.3. esant būtinumui, SVIS naudotojų evakuacija;	3.3.1. galimybių evakuoti SVIS naudotojus nagrinėjimas, jei gauta priešgaisrinės apsaugos ir gelbėjimo tarnybos rekomendacija;	Veiklos tęstinumo valdymo grupės vadovas SVIS saugos įgaliotinis
	3.4. veiksmų, nurodytų šio priedo 1.1, 1.2, 1.4–1.11 papunkčiuose, atlikimas;	3.4.1. veiksmų, nurodytų šio priedo 1.1.1, 1.2.1, 1.2.2, 1.4.1–1.11.1 papunkčiuose, atlikimas;	Veiklos tęstinumo valdymo grupės vadovas SVIS saugos įgaliotinis SVIS administratorius
4. Gaisras	4.1. esant būtinumui, SVIS naudotojų evakuacija;	4.1.1. galimybių evakuoti SVIS naudotojus nagrinėjimas,	Veiklos tęstinumo valdymo grupės vadovas SVIS saugos įgaliotinis
	4.2. priešgaisrinės apsaugos ir gelbėjimo tarnybos informavimas;	4.2.1. priešgaisrinės ir gelbėjimo tarnybos paklausimas dėl leidimo dirbti saugos incidento zonoje, rekomendacijų darbui gavimas, SVIS naudotojų informavimas apie rekomenduojamus darbo būdus;	SVIS saugos įgaliotinis
	4.3. gaisro gesinimas ankstyvoje stadijoje, nekeliant pavojaus SVIS naudotojų gyvybei;	4.3.1. priešgaisrinės ir gelbėjimo tarnybos nurodymų vykdymas;	SVIS administratorius
	4.4. komunalinių komunikacijų, galinčių sukelti papildomą nenumatytą situaciją, išjungimas;	4.4.1. priešgaisrinės ir gelbėjimo tarnybos rekomendacijų vykdymas;	SVIS administratorius
	4.5. veiksmų, nurodytų šio priedo 1.1, 1.2, 1.4–1.11 papunkčiuose, atlikimas;	4.5.1. veiksmų, nurodytų šio priedo 1.1.1, 1.2.1, 1.2.2, 1.4.1–1.11.1 papunkčiuose, atlikimas;	Veiklos tęstinumo valdymo grupės vadovas SVIS saugos įgaliotinis SVIS administratorius
5. Patalpų, kuriose yra SVIS tarnybinės stotys ir svarbiausia komutacinė įranga (toliau – patalpos) užgrobimas	5.1. teisėsaugos tarnybų informavimas;	5.1.1. teisėsaugos tarnybų informavimas apie saugos incidentą;	Veiklos tęstinumo valdymo grupės vadovas
	5.2. esant būtinumui, visų konkrečioje situacijoje nereikalingų SVIS naudotojų evakavimas, įspėjant teisėsaugos tarnybas;	5.2.1. SVIS naudotojų informavimas apie evakavimą, jei yra teisėsaugos tarnybų rekomendacija;	SVIS saugos įgaliotinis
	5.3. esant būtinumui, SVIS techninės įrangos išjungimas ir patalpų užrakinimas;	5.3.1. SVIS tarnybinių stočių, kitos techninės įrangos išjungimas, patalpų užrakinimas, jei yra galimybė;	SVIS administratorius
	5.4. esant būtinumui, likusių SVIS naudotojų evakavimas;	5.4.1. SVIS naudotojų informavimas apie evakavimą, jei yra teisėsaugos tarnybų rekomendacija;	SVIS saugos įgaliotinis
	5.5. teisėsaugos pareigūnų nurodymų vykdymas;	5.5.1. SVIS naudotojų informavimas apie teisėsaugos tarnybų nurodymus;	SVIS saugos įgaliotinis
	5.6. veiksmų, nurodytų šio priedo 1.1, 1.2, 1.4–1.11 papunkčiuose, atlikimas;	5.6.1. veiksmų, nurodytų šio priedo 1.1.1, 1.2.1, 1.2.2, 1.4.1–1.11.1 papunkčiuose, atlikimas;	Veiklos tęstinumo valdymo grupės vadovas SVIS saugos įgaliotinis SVIS administratorius
6. Patalpų sugadinimas	6.1. avarinių ar teisėsaugos tarnybų informavimas, atsižvelgiant į iškilusio pavojaus pobūdį;	6.1.1. atitinkamos tarnybos paklausimas dėl leidimo dirbti pavojaus zonoje, rekomendacijų darbui gavimas, SVIS naudotojų informavimas apie rekomenduojamus darbo būdus;	SVIS saugos įgaliotinis
	6.2. veiksmų, nurodytų šio priedo 1.1, 1.2, 1.4–1.11 papunkčiuose, atlikimas;	6.2.1. veiksmų, nurodytų šios priedo 1.1.1, 1.2.1, 1.2.2, 1.4.1–1.11.1 papunkčiuose, atlikimas;	Veiklos tęstinumo valdymo grupės vadovas SVIS saugos įgaliotinis SVIS administratorius
	6.3. esant reikalui, atsarginių patalpų SVIS veiklai užtikrinti ir darbo vietoms išdėstyti suradimas;	6.3.1. darbo organizavimas ir koordinavimas atsarginėse SVIS patalpose;	Veiklos atkūrimo grupės vadovas
	6.4. komunalinių komunikacijų, galinčių sukelti papildomą saugos incidentą, išjungimas;	6.4.1. pažeistų patalpų rekonstrukcijos, atstatymo darbų, komunalinių komunikacijų išjungimo organizavimas ir / ar SVIS perkėlimas į naujas patalpas;	Veiklos tęstinumo valdymo grupės vadovas Veiklos atkūrimo grupės vadovas
7. Elektros energijos tiekimo sutrikimai	7.1. elektros energijos tiekimo sistemos veiklos patikrinimas;	7.1.1. pažeisto vietos elektros tinklo, užtikrinančio SVIS veiklą, atkūrimo organizavimas;	Veiklos atkūrimo grupės vadovas
	7.2. esant būtinumui, tarnybinių stočių ir kitos techninės įrangos, jautrios elektros energijos tiekimo sutrikimams, išjungimas;	7.2.1. elektros energijos tiekimo SVIS tarnybinėms stotims ir kitai techninei įrangai išjungimas;	Veiklos atkūrimo grupės vadovas SVIS administratorius
	7.3. kreipimasis į savo elektros energijos tiekimo tarnybą dėl sutrikimo pašalinimo trukmės prognozės;	7.3.1. rekomendacijų iš elektros energijos tiekimo tarnybos gavimas;	Veiklos atkūrimo grupės vadovas
	7.4. sutrikimo pašalinimo trukmės prognozės skelbimas SVIS naudotojams;	7.4.1. SVIS naudotojų informavimas apie esamą situaciją bei numatomas darbo sąlygas;	SVIS saugos įgaliotinis
	7.5. veiksmų, nurodytų šio priedo 1.1, 1.2, 1.4, 1.10, 6.3 papunkčiuose, atlikimas;	7.5.1. veiksmų, nurodytų šio priedo 1.1.1, 1.2.1, 1.2.2, 1.4.1, 1.10.1, 6.3.1 papunkčiuose, vykdymas;	Veiklos tęstinumo valdymo grupės vadovas SVIS saugos įgaliotinis SVIS administratorius
8. Vandentiekio ir šildymo sistemos sutrikimai	8.1. vandentiekio ar šilumos tinklų avarinių tarnybų informavimas, atsižvelgus į sutrikimo pobūdį;	8.1.1. atitinkamos tarnybos informavimas apie sutrikimus, rekomendacijų darbui gavimas, SVIS naudotojų informavimas apie rekomenduojamus darbo būdus;	Veiklos atkūrimo grupės vadovas SVIS saugos įgaliotinis
	8.2. sutrikimo pašalinimo prognozės skelbimas SVIS naudotojams;	8.2.1. SVIS naudotojų informavimas apie esamą situaciją bei numatomas darbo sąlygas;	SVIS saugos įgaliotinis
	8.3. veiksmų, nurodytų šio priedo 1.1, 1.2, 4.4, 6.3 papunkčiuose, atlikimas;	8.3.1. veiksmų, nurodytų šio priedo 1.1.1, 1.2.1, 4.4.1, 6.3.1 papunkčiuose, atlikimas;	Veiklos tęstinumo valdymo grupės vadovas SVIS saugos įgaliotinis SVIS administratorius
9. Ryšio sutrikimai	9.1. ryšio sutrikimo priežasčių nustatymas;	9.1.1. veiksmų, nurodytų šio priedo 1.1.1, 1.2.1, 1.2.2 papunkčiuose, atlikimas;	Veiklos tęstinumo valdymo grupės vadovas Veiklos atkūrimo grupės vadovas SVIS administratorius
	9.2. telefono ir / ar interneto ryšio paslaugų teikėjų informavimas, atsižvelgus į sutrikimo pobūdį, paklausimo dėl jo pašalinimo trukmės prognozės pateikimas;	9.2.1. kreipimasis į telefono ir / ar interneto paslaugų teikėjus;	Veiklos atkūrimo grupės vadovas
	9.3. sutrikimo pašalinimo prognozės skelbimas SVIS naudotojams;	9.3.1. SVIS naudotojų informavimas apie esamą situaciją ir numatomas darbo sąlygas;	SVIS saugos įgaliotinis
	9.4. alternatyvaus ryšio organizavimas;	9.4.1. neatkūrus ryšio per prognozuotą laiką, ryšio per kitus ryšio paslaugų teikėjus organizavimas;	Veiklos atkūrimo grupės vadovas SVIS administratorius
10. SVIS tarnybinių stočių ar komutacinės įrangos sugadinimas (gedimas), sunaikinimas, praradimas	10.1. veiksmų, nurodytų šio priedo 1.1, 1.2, 1.4, 1.6 papunkčiuose, atlikimas;	10.1.1. veiksmų, nurodytų šio priedo 1.1.1, 1.2.1, 1.2.2, 1.4.1, 1.6.1 papunkčiuose, atlikimas;	Veiklos tęstinumo valdymo grupės vadovas SVIS saugos įgaliotinis SVIS administratorius
	10.2. rezervinės SVIS techninės įrangos naudojimas;	10.2.1. esant būtinumui, kreipimasis į teisėsaugos tarnybas dėl SVIS techninės įrangos sugadinimo ar praradimo ir jų nurodymų vykdymas;	Veiklos atkūrimo grupės vadovas
		10.2.2. pranešimas draudimo įstaigai apie įvykį, dėl kurio nukentėjo apdrausti daiktai;	Veiklos tęstinumo grupės vadovas
		10.2.3. esamos techninės įrangos išteklių perskirstymas SVIS veiklai užtikrinti;	Veiklos atkūrimo grupės vadovas
		10.2.4. esant būtinumui, kreipimasis į techninės įrangos tiekėjus dėl sugadintos įrangos remonto ar dėl naujos techninės įrangos įsigijimo;	Veiklos atkūrimo grupės vadovas
11. SVIS programinės įrangos sugadinimas, praradimas	11.1. veiksmų, nurodytų šio priedo 1.1, 1.2, 1.4 papunkčiuose, atlikimas;	11.1.1. veiksmų, nurodytų šio priedo 1.1.1, 1.2.1, 1.2.2, 1.4.1 papunkčiuose, atlikimas;	Veiklos tęstinumo valdymo grupės vadovas SVIS saugos įgaliotinis SVIS administratorius
	11.2. SVIS programinės įrangos atkūrimas iš atsarginių kopijų;	11.2.1. esant būtinumui, kreipimasis į teisėsaugos tarnybas dėl programinės įrangos sugadinimo ar praradimo ir jų nurodymų vykdymas;	Veiklos tęstinumo valdymo grupės vadovas
		11.2.2. sugadintos ar prarastos programinės įrangos atkūrimas iš programinės įrangos kopijų;	SVIS administratorius
12. SVIS duomenų pakeitimas, sunaikinimas, atskleidimas	12.1. veiksmų, nurodytų šio priedo 1.1, 1.2, 1.4, 1.6 papunkčiuose, atlikimas.	12.1.1. veiksmų, nurodytų šio priedo 1.1.1, 1.2.1, 1.2.2, 1.4.1, 1.6.1 papunkčiuose, atlikimas;	Veiklos tęstinumo valdymo grupės vadovas SVIS saugos įgaliotinis SVIS administratorius
		12.1.2. įvykus neteisėtam SVIS duomenų pakeitimui, sunaikinimui ar atskleidimui, kreipimasis į teisėsaugos tarnybas ir jų nurodymų vykdymas;	Veiklos tęstinumo valdymo grupės vadovas
		12.1.3. SVIS nustojus funkcionuoti dėl duomenų pakeitimo ar sunaikinimo, duomenų atkūrimas iš duomenų kopijų;	SVIS administratorius

_________________________________

Sertifikatų valdymo informacinės sistemos

veiklos tęstinumo valdymo plano

2 priedas

(Žurnalo forma)

PLANO VEIKSMINGUMO IŠBANDYMŲ REGISTRACIJOS ŽURNALAS

Eil.Nr.

Plano išbandymo būdas

Data

Atsakingo asmens vardas, pavardė

Atsakingo asmens pareigos

_________________________

Sertifikatų valdymo informacinės sistemos veiklos tęstinumo valdymo plano

3 priedas

(Sertifikatų valdymo informacinės sistemos veiklos tęstinumo valdymo plano išbandymo ataskaitos forma)

SERTIFIKATŲ VALDYMO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANO VEIKSMINGUMO IŠBANDYMO ATASKAITA

(Veiklos tęstinumo valdymo grupės susitikimo data ir dokumento numeris)

Incidento bandyme dalyvavo Veiklos tęstinumo valdymo grupės nariai:

...

Incidento apibūdinimas:

Informacinės sistemos, kurias paveikė Incidentas:

Incidento valdymo eiga:

Rasti Plano trūkumai:

Pasiūlymai keisti arba papildyti Planą:


(vardas, pavardė)		(parašas)

(vardas, pavardė)		(parašas)

(vardas, pavardė)		(parašas)

PATVIRTINTA

Lietuvos Respublikos vidaus reikalų ministro

2017 m. kovo 24 d. įsakymu Nr.1V-215

SERTIFIKATŲ VALDYMO INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS
BENDROSIOS NUOSTATOS

1. Sertifikatų valdymo informacinės sistemos naudotojų administravimo taisyklės (toliau – Taisyklės) nustato Sertifikatų valdymo informacinės sistemos (toliau – SVIS) naudotojų administravimo tvarką.

2. Taisyklės parengtos vadovaujantis šiais teisės aktais:

2.1. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, (toliau − Bendrųjų elektroninės informacijos saugos reikalavimų aprašas);

2.2. Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

2.3. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V–832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

2.4. Sertifikatų valdymo informacinės sistemos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2011 m. rugsėjo 19 d. įsakymu Nr. 1V-697 „Dėl Sertifikatų valdymo informacinės sistemos nuostatų patvirtinimo“;

2.5. Sertifikatų valdymo informacinės sistemos duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2011 m. rugsėjo 19 d. įsakymu Nr. 1V-698 „Dėl Sertifikatų valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“, (toliau − Sertifikatų valdymo informacinės sistemos duomenų saugos nuostatai).

3. Taisyklėse vartojama sąvoka SVIS sertifikavimo tarnyba suprantama kaip sertifikatams sudaryti ir tvarkyti skirta specializuota taikomoji programinė įranga.

Kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir kituose Taisyklių 2 punkte nurodytuose teisės aktuose.

4. Taisyklės yra taikomos SVIS administratoriui ir SVIS naudotojams.

5. Suteikiant prieigą prie SVIS tvarkomos elektroninės informacijos yra vadovaujamasi šiais principais:

5.1. naudotojai turi tik tiek prieigos prie SVIS elektroninės informacijos teisių, kiek tai būtina jų tiesioginėms funkcijoms vykdyti;

5.2. SVIS prieigos teisės suteikiamos vadovaujantis rolių atskyrimo principu;

5.3. svarbiausios SVIS operacijos yra atliekamos jose dalyvaujant ne mažiau kaip dviem įgaliotiems asmenims.

II SKYRIUS

SVIS NAUDOTOJŲ IR ADMINISTRATORIAUS ĮGALIOJIMAI, TEISĖS IR PAREIGOS

6. SVIS naudotojai yra valstybės tarnautojai ar darbuotojai, dirbantys pagal darbo sutartį, vadovaujantis Taisyklių 5.2 papunkčiu pagal priskirtas specifines SVIS tvarkymo roles turintys skirtingas ir ribotas SVIS naudojamos programinės įrangos bei SVIS kaupiamų įrašų tvarkymo teises:

6.1. SVIS sertifikavimo tarnybos tvarkytojas;

6.2. SVIS sertifikavimo tarnybos operatorius;

6.3. SVIS auditorius.

7. SVIS sertifikavimo tarnybos tvarkytojas:

7.1. atsako už SVIS sertifikavimo tarnybos įjungimą ir išjungimą;

7.2. nustato ir keičia SVIS sertifikavimo tarnybos konfigūraciją;

7.3. suteikia ir panaikina SVIS sertifikavimo tarnybos operatorių teises.

8. SVIS sertifikavimo tarnybos operatorius:

8.1. atsako už sertifikavimo paslaugų teikimui reikalingų infrastruktūros sertifikatų išdavimą;

8.2. vykdo infrastruktūros sertifikatų gyvavimo ciklo operacijas – esant poreikiui atšaukia arba laikinai sustabdo infrastruktūros sertifikatų galiojimą, panaikina laikiną galiojimo sustabdymą;

8.3. dalyvauja visose SVIS sertifikavimo tarnybos kritinėse operacijose.

9. SVIS auditorius atsako už tarnybinių stočių, kuriose veikia SVIS sertifikavimo tarnybos bei kitų SVIS sudarančių tarnybinių stočių operacinių sistemų audito įrašų peržiūrą, perkėlimą į archyvus ir nereikalingų įrašų išvalymą.

10. SVIS administratorius atlieka Sertifikatų valdymo informacinės sistemos duomenų saugos nuostatų 12 punkte nustatytas funkcijas, o taip pat:

10.1. registruodamas SVIS naudotojus, suteikdamas ir panaikindamas SVIS naudotojų teises, vadovaujasi Asmens duomenų išrašymo centro prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Asmens dokumentų išrašymo centras) rašytiniais pavedimais;

10.2. vykdo centralizuotą SVIS programinės įrangos diegimą ir atnaujinimą.

III SKYRIUS

SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO SVIS NAUDOTOJAMS KONTROLĖS TVARKA

11. SVIS naudotojų registravimą, išregistravimą, gavęs Asmens dokumentų išrašymo centro rašytinį pavedimą, vykdo SVIS administratorius.

12. Siekiant sumažinti klaidų ir SVIS naudotojų neteisėtų veiksmų riziką bei riziką, kad klaidos ar neteisėti SVIS naudotojų veiksmai liks nepastebėti, vienam asmeniui vienu metu negali būti priskirtos daugiau nei viena SVIS tvarkymo rolė.

13. Visi SVIS naudotojai turi būti unikaliai identifikuojami – SVIS naudotojas turi patvirtinti savo tapatybę unikaliu prisijungimo prie SVIS vardu ir slaptažodžiu.

14. SVIS administratorius SVIS naudotojams suteikia unikalų prisijungimo prie SVIS vardą ir laikiną slaptažodį, kurį įteikia SVIS naudotojui asmeniškai.

15. SVIS naudotojas, gavęs SVIS administratoriaus suteiktus prisijungimo prie SVIS duomenis (prisijungimo vardą ir laikiną slaptažodį), turi nedelsdamas prisijungti prie SVIS ir laikiną slaptažodį pakeisti nuolatiniu, tik jam vienam žinomu slaptažodžiu.

16. SVIS naudotojų ir administratoriaus slaptažodžiams yra keliami šie reikalavimai:

16.1. slaptažodis turi būti sudarytas iš raidžių, skaičių ir specialiųjų simbolių;

16.2. slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija;

16.3. draudžiama slaptažodžius atskleisti tretiesiems asmenims;

16.4. SVIS dalys, atliekančios nuotolinio prisijungimo tapatumo patvirtinimą, turi drausti automatiškai išsaugoti slaptažodžius;

16.5. didžiausias leistinas mėginimų įvesti slaptažodį skaičius − 5 kartai. Neteisingai įvedus slaptažodį didžiausią leistiną mėginimų įvesti skaičių, SVIS naudotojo prieiga prie SVIS blokuojama 15 minučių;

16.6. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais; saugos įgaliotinio sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo, jei:

16.6.1. SVIS naudotojas neturi galimybių iššifruoti gauto užšifruoto slaptažodžio;

16.6.2. nėra techninių galimybių informacinės sistemos naudotojui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu;

16.7. papildomi reikalavimai SVIS naudotojo slaptažodžiams:

16.7.1. slaptažodis turi būti keičiamas ne rečiau kaip kas 90 dienų;

16.7.2. slaptažodį turi sudaryti ne mažiau kaip 8 simboliai;

16.7.3. keičiant slaptažodį SVIS neturi leisti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;

16.7.4. pirmojo prisijungimo prie SVIS metu iš SVIS naudotojo turi būti reikalaujama, kad jis pakeistų slaptažodį;

16.8. papildomi reikalavimai SVIS administratoriaus slaptažodžiams:

16.8.1. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

16.8.2. slaptažodį turi sudaryti ne mažiau kaip 12 simbolių;

16.8.3. keičiant slaptažodį informacinės sistemos taikomoji programinė įranga neturi leisti sudaryti slaptažodžio iš buvusių 3 paskutinių slaptažodžių.

17. SVIS naudotojas, įtaręs, kad tretieji asmenys sužinojo slaptažodį, privalo nedelsdamas jį pakeisti.

18. SVIS administratorius, iš Asmens dokumentų išrašymo centro gavęs rašytinį pavedimą apriboti, sustabdyti ar panaikinti SVIS naudotojo prieigos prie SVIS teises, nedelsiant apriboja, sustabdo ar panaikina nurodyto SVIS naudotojo prieigos prie SVIS teises;

19. Jei SVIS administratoriui kyla pagrįstų įtarimų, kad SVIS naudotojas piktnaudžiauja suteiktomis prieigos prie SVIS teisėmis ir gali pažeisti SVIS arba joje tvarkomų duomenų saugumą, SVIS administratorius gali laikinai sustabdyti SVIS naudotojo prieigos prie SVIS teisę. Sustabdžius SVIS naudotojo prieigos prie SVIS teisę, SVIS administratorius apie tai informuoja tiesioginį SVIS naudotojo vadovą.

20. SVIS naudotojo prieigos prie SVIS teisė sustabdoma SVIS naudotojui nesinaudojant informacine sistema ilgiau kaip 3 mėnesius arba, kai vyksta SVIS naudotojo veiklos tyrimas.

21. SVIS naudotojo prieigos prie SVIS teisės panaikinamos:

21.1. pasibaigus tarnybos ar darbo santykiams;

21.2. nustačius, kad SVIS naudotojas SVIS duomenis naudoja pažeisdamas SVIS elektroninės informacijos tvarkymą reglamentuojančiuose teisės aktuose nustatytus reikalavimus;

21.3. gavus Asmens dokumentų išrašymo centro rašytinį pavedimą.

22. Tiesioginis SVIS naudotojo vadovas privalo raštu arba elektroniniu paštu pranešti SVIS administratoriui, nuo kurios dienos ir valandos yra naikinama SVIS prieiga, kai SVIS naudotojas keičia darbo vietą (pareigas), atleidžiamas iš pareigų ar darbo.

23. Nuotoliniam prisijungimui prie SVIS naudojamiems kompiuteriams yra taikomi papildomi SVIS saugos lygį užtikrinantys reikalavimai:

23.1. prisijungimas nuotoliniu būdu prie SVIS yra leidžiamas tik iš tų kompiuterių, kurie yra fiziškai prijungti į Vidaus reikalų telekomunikacinį tinklą;

23.2. visi nuotoliniai prisijungimai prie SVIS turi būti šifruojami ir registruojami audito žurnale;

23.3. leidimą SVIS naudotojams prisijungti nuotoliniu būdu prie SVIS duoda Asmens dokumentų išrašymo centro direktorius ar jo įgaliotas asmuo. SVIS administratoriui prisijungimas nuotoliniu būdu prie SVIS yra draudžiamas;

23.4. SVIS naudotojams nuotolinę prieigą prie SVIS suteikia SVIS administratorius, gavęs Asmens dokumentų išrašymo centro direktoriaus ar jo įgalioto asmens raštišką leidimą.

___________________________