herbas 130301

LOŠIMŲ PRIEŽIŪROS TARNYBOS

PRIE LIETUVOS RESPUBLIKOS FINANSŲ MINISTERIJOS DIREKTORIUS

ĮSAKYMAS

DĖL LOŠIMO AUTOMATŲ KONTROLĖS INFORMACINĖS SISTEMOS

veiklos tęstinumo valdymo planO, LOŠIMO AUTOMATŲ KONTROLĖS INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ IR LOŠIMO AUTOMATŲ KONTROLĖS INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ

PATVIRTINIMO

2019 m. vasario 14 d. Nr. DIE-62

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7 ir 8 punktais, t v i r t i n u:

1.1. Lošimo automatų kontrolės informacinės sistemos veiklos tęstinumo valdymo planą (pridedama).

1.2. Lošimo automatų kontrolės informacinės sistemos naudotojų administravimo taisykles (pridedama).

1.3. Lošimo automatų kontrolės informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles (pridedama).

Lošimo įrenginių tipų tvirtinimo ir registro skyriaus vedėjas,

laikinai atliekantis direktoriaus funkcijas Simas Levulis

SUDERINTA

Nacionalinio kibernetinio saugumo centro prie

Lietuvos Respublikos krašto apsaugos ministerijos

2019 m. sausio 24 d. raštu Nr. (4.2) 6K-65

PATVIRTINTA

Lošimų priežiūros tarnybos prie Lietuvos Respublikos finansų ministerijos

2019 m. vasario 14 d. įsakymu Nr. DIE-62

LOŠIMO AUTOMATŲ KONTROLĖS INFORMACINĖS SISTEMOS

veiklos tęstinumo valdymo planas

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lošimo automatų kontrolės informacinės sistemos (toliau – Valdymo planas) reglamentuoja Lošimo automatų kontrolės informacinės sistemos (toliau – Sistema) veiklos tęstinumo užtikrinimą.

2. Valdymo planas parengtas vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizaciniai ir techniniai kibernetinio saugumo reikalavimai), Lošimo automatų kontrolės informacinės sistemos saugos nuostatais, patvirtintais Lošimų priežiūros tarnybos prie Lietuvos Respublikos finansų ministerijos (toliau – Priežiūros tarnyba) direktoriaus 2018 m. rugpjūčio 20 d. įsakymu Nr. DI-416 „Dėl Lošimo automatų kontrolės informacinės sistemos nuostatų ir Lošimo automatų kontrolės informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – Saugos nuostatai) taip pat kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, duomenų tvarkytojų veiklą ir duomenų saugos valdymą.

3. Valdymo plane vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.

4. Valdymo planas įsigalioja įvykus elektroninės informacijos saugos incidentui, kuris gali sudaryti neteisėto prisijungimo prie Sistemos galimybę, sutrikdyti ar pakeisti Sistemos veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas neleistinai elektroninę informaciją pasisavinti, paskleisti ar kitaip panaudoti.

5. Valdymo planas privalomas Sistemos valdytojui, Sistemos tvarkytojui, Sistemos naudotojams, Sistemos saugos įgaliotiniui ir administratoriui.

6. Atsakingų asmenų veiksmai ir įgaliojimai įvykus incidentui:

6.1. Sistemos saugos įgaliotinis:

6.1.1. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Sistemoje, tyrimą;

6.1.2. bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;

6.1.3. informuoja Nacionalinį kibernetinio saugumo centrą apie Sistemoje įvykusius kibernetinius saugos incidentus, nurodytus organizaciniuose ir techniniuose kibernetinio saugumo reikalavimuose, ir taikytas kibernetinių saugos incidentų valdymo priemones Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo tvarkos apraše (4 priedas) numatyta tvarka;

6.1.4. analizuoja Sistemos saugos incidento priežastis ir aplinkybes;

6.1.5. teikia Sistemos administratoriui ir naudotojams privalomus vykdyti nurodymus ir pavedimus, įvykus saugos incidentui;

6.1.6. dalyvauja Lošimo automatų kontrolės informacinės sistemos veiklos tęstinumo valdymo grupės (toliau – Veiklos tęstinumo valdymo grupė) veikloje ir atlieka kitas Sistemos veiklos atkūrimo detaliajame plane (toliau – Detalusis planas) (1 priedas) nurodytas funkcijas.

6.2. Sistemos administratorius:

6.2.1. registruoja Sistemos saugos incidentus Lošimo automatų kontrolės informacinės sistemos elektroninės informacijos saugos incidentų registravimo žurnale (2 priedas) ir informuoja apie juos Sistemos saugos įgaliotinį;

6.2.2. teikia Sistemos saugos įgaliotiniui pasiūlymus dėl Sistemos saugos incidentų pašalinimo;

6.2.3. vykdo Sistemos saugos įgaliotinio nurodymus ir pavedimus, gautus įvykus Sistemos saugos incidentui;

6.2.4. dalyvauja Lošimo automatų kontrolės informacinės sistemos veiklos atkūrimo grupės (toliau – Veiklos atkūrimo grupė) veikloje ir atlieka kitas Detaliajame plane nurodytas funkcijas;

6.2.5. vykdo kitas šiame dokumente arba prieduose įvardytas ir (arba) jam Veiklos tęstinumo valdymo grupės pavestas užduotis.

6.3. Sistemos naudotojai vykdo Veiklos tęstinumo valdymo grupės nurodymus.

7. Sistemos elektroninės informacijos saugos incidento metu patirti nuostoliai Sistemos veiklai atkurti finansuojami valstybės biudžeto, kitų finansavimo šaltinių lėšomis.

8. Veiksmų, kurie būtų atliekami įvykus Sistemos elektroninės informacijos saugos incidentui, vykdymo eiliškumas ir atsakingi vykdytojai nurodyti Detaliajame plane.

9. Kriterijai, kuriais vadovaujantis nustatoma, kad Sistemos veikla atkurta:

9.1. veikia visa darbui su Sistemos reikalinga infrastruktūra;

9.2. be kritinių klaidų veikia visos Sistemos funkcijos ir Sistemos naudotojai, naudodamiesi Sistema, vėl gali atlikti savo funkcijas;

9.3. atnaujinami ir išsaugomi jau atnaujinti Sistemos duomenys;

9.4. daromos Sistemos duomenų atsarginės kopijos.

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

10. Detaliajame plane numatytiems veiksmams vadovauja Priežiūros tarnybos direktoriaus įsakymu sudaryta Veiklos tęstinumo valdymo grupė, kurią sudaro:

10.1. Priežiūros tarnybos direktorius (grupės vadovas);

10.2. Sistemos saugos įgaliotinis (grupės vadovo pavaduotojas);

10.3. Priežiūros tarnybos Teisėkūros, personalo ir bendrųjų reikalų skyriaus vyresnysis specialistas;

10.4. Priežiūros tarnybos Lošimo įrenginių tipų tvirtinimo ir registro skyriaus vyresnysis specialistas.

11. Veiklos tęstinumo valdymo grupė atlieka šias funkcijas:

11.1. analizuoja Sistemos elektroninės informacijos saugos incidentus ir priima sprendimus Sistemos veiklos tęstinumo valdymo klausimais;

11.2. bendrauja su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

11.3. bendrauja su Lietuvos Respublikos finansų ministerijos (toliau – Finansų ministerija), kurios patalpose yra saugomos Sistemos tarnybinės stotys, bei susijusių registrų ir informacinių sistemų veiklos tęstinumo valdymo grupėmis;

11.4. bendrauja su teisėsaugos ir kitomis institucijomis, atsakingomis už nacionalinį elektroninių ryšių tinklų ir informacijos saugumą;

11.5. kontroliuoja finansinių ir kitų išteklių, reikalingų Sistemos veiklai atkurti įvykus elektroninės informacijos saugos incidentui, naudojimą;

11.6. užtikrina elektroninės informacijos fizinę saugą įvykus saugos incidentui;

11.7. organizuoja logistinę veiklą (žmonių, daiktų, įrangos išvežimą ir jo organizavimą), įvykus saugos incidentui;

11.8. vykdo Sistemos veiklos atkūrimo priežiūrą ir koordinuoja veiklos atkūrimo veiksmus;

11.9. vykdo kitas Veiklos tęstinumo valdymo grupei pavestas funkcijas.

12. Įvykus saugos incidentui, Sistemos veiklą atkuria Priežiūros tarnybos direktoriaus įsakymu sudaryta Veiklos atkūrimo grupė, kurią sudaro:

12.1. Priežiūros tarnybos Lošimo įrenginių tipų tvirtinimo ir registro skyriaus vedėjas (grupės vadovas);

12.2. Priežiūros tarnybos Teisėkūros, personalo ir bendrųjų reikalų skyriaus vedėjas (grupės vadovo pavaduotojas);

12.3. Priežiūros tarnybos Lošimo įrenginių tipų tvirtinimo ir registro skyriaus vyriausiasis specialistas;

12.4. Sistemos administratorius.

13. Veiklos atkūrimo grupė atlieka šias funkcijas:

13.1. organizuoja Sistemos tarnybinių stočių veikimo atkūrimą;

13.2. organizuoja kompiuterių tinklo veikimo atkūrimą;

13.3. organizuoja Sistemos elektroninės informacijos atkūrimą;

13.4. organizuoja taikomųjų programų tinkamo veikimo atkūrimą;

13.5. organizuoja darbo kompiuterių veikimo atkūrimą ir prijungimą prie kompiuterių tinklo;

13.6. vykdo kitas Veiklos atkūrimo grupei pavestas funkcijas.

14. Sistemos veikla atkuriama pagal Detalųjį planą.

15. Saugos incidento metu sunaikinta (sugadinta) techninė ir programinė įranga remontuojama ar įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka.

16. Įvykus elektroninės informacijos saugos incidentui patalpose, kuriose yra saugoma Sistemos techninė ir programinė įranga:

16.1. Sistemos administratorius nedelsdamas informuoja apie nenumatytą situaciją Sistemos saugos įgaliotinį;

16.2. Sistemos saugos įgaliotinis apie elektroninės informacijos saugos incidentą nedelsdamas informuoja Priežiūros tarnybos vadovą ir Finansų ministerijos, kurios patalpose yra saugomos Sistemos tarnybinės stotys, veiklos tęstinumo valdymo grupę;

16.3. Sistemos saugos įgaliotinis informaciją įrašo į Lošimo automatų kontrolės elektroninės informacijos saugos incidentų registravimo žurnalą (2 priedas), vadovauja veiklos atkūrimo detaliajame plane (1 priedas) nurodytiems veiksmams;

16.4. Sistemos administratorius atkuria tarnybinės stoties, kompiuterių tinklo veiklą, duomenis, techninės, sisteminės ir taikomosios programinės įrangos funkcionavimą ir apie tai informuoja Priežiūros tarnybos vadovą bei Sistemos saugos įgaliotinį;

16.5. Sistemos saugos įgaliotinis kartu su Sistemos administratoriumi organizuoja žalos Sistemos duomenims, techninei bei programinei įrangai vertinimą, koordinuoja Sistemos veiklai atkurti reikalingos techninės, sisteminės ir taikomosios programinės įrangos įsigijimą.

17. Veiklos tęstinumo valdymo ir Veiklos atkūrimo grupių nariai tarpusavyje bendrauja asmeniškai, telefonu arba elektroniniu paštu.

18. Priežiūros tarnybos darbuotojų telefonų numeriai, jų elektroninio pašto adresai nuolat atnaujinami Priežiūros tarnybos interneto svetainėje.

19. Įvykus nenumatytai situacijai Sistemos patalpose, jų veiklai atkurti naudojamoms patalpoms taikomi Lošimo automatų kontrolės informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse nurodyti reikalavimai.

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

20. Informacija apie Sistemos techninę ir programinę įrangą ir jos parametrus, nurodyta Sistemos techninėje specifikacijoje, už kurios saugojimą atsakingas Sistemos administratorius.

21. Jeigu Sistemos veiklai atkurti susidaro ekstremali situacija, kai Sistemos administratorius negali dėl komandiruotės, ligos ar kitų priežasčių operatyviai atvykti į darbo vietą, jį pavaduojančio asmens minimalus kompetencijos ar žinių lygis negali būti žemesnis už Sistemos administratoriui keliamų reikalavimų lygį.

22. Pastato, kuriame yra Sistemos tarnybinės stotys, patalpų brėžiniai su juose pažymėta šiose patalpose esančia įranga (tarnybinės stotys, duomenų perdavimo įranga – šakotuvai, skirstytuvai, kelvedžiai, modemai) saugomi Finansų ministerijoje.

23. Patalpų brėžiniai su pažymėtais kompiuterių tinklo ir telefono tinklo mazgais, kompiuterių tinklo ir telefonų tinklo laidų vedimo tarp pastato aukštų vietomis, elektros įvedimo vietomis ir tarnybinių stočių fizinio ir loginio sujungimo schemos saugomi Finansų ministerijoje.

24. Duomenų teikimo bei kompiuterinės, techninės ir programinės įrangos priežiūros sutartis parengia Priežiūros tarnybos Teisėkūros, personalo ir bendrųjų reikalų skyrius.

25. Programinės įrangos laikmenos ir laikmenos su atsarginėmis duomenų kopijomis saugomos atsarginėse patalpose, naudojamose Sistemos veiklai atkurti saugos incidento atveju. Atsarginės duomenų kopijos perkeliamos į saugojimo vietą kartą per savaitę. Už atsarginių kopijų saugojimą atsako Sistemos administratorius.

26. Priežiūros tarnybos darbuotojų sąrašai, kuriuose nurodyti darbuotojų darbo telefonai, Veiklos tęstinumo valdymo grupės, Veiklos atkūrimo grupės bei Finansų ministerijos, kurios patalpose yra saugomos Sistemos tarnybinės stotys, veiklos tęstinumo valdymo grupės narių sąrašą su tarnybinių mobiliųjų ir namų telefonų numeriais bei gyvenamosios vietos adresais parengia ir saugo Sistemos saugos įgaliotinis.

IV SKYRIUS

VEIKLOS TĘSTINUMO VALDYMO pLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

27. Valdymo plano veiksmingumas turi būti išbandomas ne rečiau kaip kartą per metus.

28. Sistemos saugos įgaliotinis Valdymo plano veiksmingumo paskutinio ir kito planuojamo išbandymo būdą ir datą nurodo Lošimo automatų kontrolės informacinės sistemos veiklos tęstinumo valdymo plano veiksmingumo išbandymų registracijos žurnale (3 priedas).

29. Lošimo automatų kontrolės informacinės sistemos veiklos tęstinumo valdymo plano veiksmingumo bandymo metu Veiklos tęstinumo valdymo grupė išanalizuoja galimą (sumodeliuotą) elektroninės informacijos saugos incidentą, numato galimus jo valdymo būdus ir sprendimus.

30. Atsižvelgdamas į bandymų rezultatus, Sistemos saugos įgaliotinis rengia ir teikia Priežiūros tarnybos direktoriui Valdymo plano veiksmingumo išbandymo metu pastebėtų trūkumų ataskaitą, kurioje apibendrinami atliktų bandymų rezultatai, akcentuojami pastebėti trūkumai ir siūlomos šių trūkumų šalinimo priemonės.

31. Valdymo plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami vadovaujantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

__________________________________

Lošimo automatų kontrolės informacinės sistemos

veiklos tęstinumo valdymo plano

1 priedas

LOŠIMO AUTOMATŲ KONTROLĖS INFORMACINĖS SISTEMOS

VEIKLOS ATKŪRIMO DETALUSIS PLANAS

Situacija	Siūlomi veiksmai	Terminai	Vykdytojai
Gautas pranešimas apie Sistemos elektroninės informacijos saugos incidentą	1. Pranešama Veiklos tęstinumo valdymo grupei. 2. Susisiekiama su Lietuvos Respublikos finansų ministerijos, kurios patalpose saugomos Sistemos tarnybinės stotys, atsakingais asmenimis. 3. Surenkama informacija iš Sistemos administratoriaus apie neveikiančią arba apgadintą programinę ir techninę įrangą, patalpas arba patirtą kitokią žalą.	Nedelsiant Nedelsiant Per 15 min. po gauto pranešimo apie incidentą	Sistemos saugos įgaliotinis
	Skelbiama ekstremalioji situacija	Nedelsiant po informacijos apie patirtą žalą gavimo	Veiklos tęstinumo valdymo grupės vadovas
	Prireikus parengiami ir išplatinami informaciniai pranešimai interesų grupėms: 1. visiems Priežiūros tarnybos darbuotojams. Informaciniame pranešime pateikiamos rekomendacijos, kaip elgtis esant ekstremaliai situacijai, nurodomi atsakingi darbuotojai ir jų kontaktinė informacija; 2. duomenų gavėjams; 3. viešosios informacijos skleidėjams; 4. teisėsaugos institucijoms.	Per 20 min. po gauto pranešimo apie incidentą	Veiklos tęstinumo valdymo grupė
Nustatyta Sistemai padaryta žala	1. Parengiamas priemonių planas kilusiam pavojui užkirsti. 2. Sudaroma Veiklos atkūrimo grupė, atsižvelgiant į Sistemos pažeidimus.	Per 30 min. po Sistemos žalos nustatymo	Veiklos tęstinumo valdymo grupė
Nustatyti Sistemos pažeidimai, dėl kurių Sistema negali funkcionuoti	Priimamas sprendimas atkurti Sistemą rezervinėse tarnybinėse stotyse, esančiose atsarginėse patalpose.	Nedelsiant po Sistemos pažeidimų nustatymo	Veiklos tęstinumo valdymo grupė
	Rezervinėse tarnybinėse stotyse organizuojamas veiklos atkūrimas.	Atnaujinama Sistemos veikla per 12 val.	Veiklos atkūrimo grupė
Nustatytas Sistemos techninės, programinės įrangos ir (arba) duomenų praradimas	1. Parengiama atkūrimui būtina minimali techninė ir programinė įranga. 2. Atkuriama techninės, programinės įrangos veikla. 3. Atkuriami prarasti duomenys.	Atnaujinama Sistemos veikla per 12 val.	Veiklos atkūrimo grupė
Nustatytas ryšio linijų sutrikimas, dėl kurio nustoja funkcionuoti Sistema	1. Nustatomos ryšio sutrikimo priežastys. Organizuojamas ryšio sutrikimų šalinimas. 2. Ryšio paslaugų teikėjas užklausiamas dėl įvykusio sutrikimo pašalinimo trukmės prognozės. 3. Aktyvuojama rezervinė ryšio priemonė (jei tokia numatyta).	Nedelsiant	Veiklos atkūrimo grupė
	Pranešama atitinkamų tarnybų atsakingiems asmenims ir duomenų gavėjams.	Nedelsiant	Veiklos tęstinumo valdymo grupė
Nustatytas techninės įrangos gedimas, dėl kurio nustoja funkcionuoti Sistema	1. Priimamas sprendimas dėl techninės įrangos perskirstymo. 2. Prireikus kreipiamasi į techninės įrangos tiekėjus dėl sugadintos garantinės įrangos remonto arba organizuojamas viešasis pirkimas dėl naujos techninės įrangos įsigijimo.	Nedelsiant	Veiklos tęstinumo valdymo grupė
	Perskirstoma esama techninė įranga ir kiti ištekliai, reikalingi Sistemos veiklai užtikrinti.	Atnaujinama Sistemos veikla per 12 val.	Veiklos atkūrimo grupė
Nustatytas programinės įrangos gedimas, dėl kurio nustoja funkcionuoti Sistema	Priimamas sprendimas dėl programinės įrangos įsigijimo.	Nedelsiant	Veiklos tęstinumo valdymo grupė
	Iš esamų arba įsigytų programinės įrangos kopijų atkuriama sugadinta ar prarasta programinė įranga.	Atnaujinama Sistemos veikla per 12 val.	Veiklos atkūrimo grupė
Nustatytas duomenų sugadinimas ar praradimas, dėl kurio nustoja funkcionuoti Sistema	1. Atkuriami prarasti duomenys. 2. Nepasisekus visiškai atkurti sugadintų ar prarastų duomenų iš atsarginių duomenų kopijų, Veiklos atkūrimo grupė organizuoja trūkstamų duomenų įkėlimą iš naujo.	Atnaujinama Sistemos veikla per 12 val.	Veiklos atkūrimo grupė
Priežastys, kurios sukėlė ekstremaliąją situaciją, išnyksta ar yra pašalinamos, arba atkuriamas Sistemos minimalus funkcionalumas.	Atšaukiama ekstremali situacija.	Nedelsiant po priežasčių, sukėlusių ekstremaliąją situaciją išnykimo	Veiklos tęstinumo valdymo grupės vadovas
	Parašoma Sistemos veiklos tęstinumo valdymo eigos ataskaita.	Per 5 d. d. po ekstremalios situacijos atkūrimo	Sistemos administratorius
	Apie atšauktą ekstremalią situaciją prireikus pranešama interesų grupėms.	Nedelsiant po ekstremalios situacijos atšaukimo	Veiklos atkūrimo grupė

__________________

Lošimo automatų kontrolės informacinės sistemos

veiklos tęstinumo valdymo plano

2 priedas

(Lošimo automatų kontrolės informacinės sistemos elektroninės informacijos

saugos incidentų registravimo žurnalo forma)

LOŠIMO AUTOMATŲ KONTROLĖS INFORMACINĖS SISTEMOS ELEKTRONINĖS INFORMACIJOS

SAUGOS INCIDENTŲ REGISTRAVIMO ŽURNALAS

Pildymo pradžia 20__m. ________________________d.

Elektroninės informacijos saugos incidento požymiai:

1 – gaisras; 2 – elektros energijos tiekimo sutrikimai; 3 – įsilaužimas į vidinį kompiuterių tinklą; 4 – vandentiekio ir šildymo sistemos sutrikimai;
5 – kondicionavimo sistemos sutrikimas; 6 – ryšio sutrikimai; 7 – tarnybinių stočių vagystė arba sugadinimas; 8 – programinės įrangos sugadinimas ar praradimas; 9 – vagystė iš duomenų bazės ar jos fizinis sunaikinimas; 10 – nešiojamųjų kompiuterių ir juose saugomų duomenų praradimas; 11 – pavojingas (įtartinas) radinys; 12 – kompiuterių virusų, nepageidautinų laiškų (spam) atakos; 13 – dokumentų praradimas; 14 – duomenų iš duomenų teikėjų negavimas; 15 – dalinis Sistemos informacinės sistemos sutrikimas dėl neaiškių priežasčių; 16 – gamtos reiškiniai.

__________________

Lošimo automatų kontrolės informacinės sistemos

veiklos tęstinumo valdymo plano

3 priedas

(Lošimo automatų kontrolės informacinės sistemos veiklos tęstinumo valdymo plano veiksmingumo išbandymų registracijos žurnalo forma)

LOŠIMO AUTOMATŲ KONTROLĖS INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANO VEIKSMINGUMO IŠBANDYMŲ REGISTRACIJOS ŽURNALAS

Eil. Nr.	Plano išbandymo būdas	Data	Atsakingo asmens vardas, pavardė	Atsakingo asmens pareigos

____________________

(Atsakingo asmens parašas)

__________________

Lošimo automatų kontrolės informacinės sistemos veiklos tęstinumo valdymo plano

4 priedas

KIBERNETINIŲ INCIDENTŲ VALDYMO IR NACIONALINIO KIBERNETINIO SAUGUMO CENTRO INFORMAVIMO TVARKOS APRAŠAS

1. Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo tvarkos aprašas reglamentuoja kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo apie Sistemoje įvykusius kibernetinius incidentus tvarką.

2. Kibernetinio saugumo subjektai Nacionalinį kibernetinio saugumo centrą (toliau – Centras) informuoja apie:

2.1. didelio poveikio kibernetinius incidentus – nedelsiant, bet ne vėliau kaip per vieną valandą nuo jų nustatymo;

2.2. vidutinio poveikio kibernetinius incidentus – ne vėliau kaip per keturias valandas nuo jų nustatymo;

2.3. nereikšmingo poveikio kibernetinius incidentus – periodiškai kiekvieno kalendorinio mėnesio pirmą darbo dieną teikiant apibendrintą informaciją apie kiekvienos grupės incidentų, įvykusių nuo paskutinio pranešimo teikimo dienos, skaičių.

3. Centras informuojamas apie didelio ar vidutinio poveikio kibernetinius incidentus kibernetinio saugumo subjekto pranešimu, kuriame nurodoma:

3.1. kibernetinio incidento grupė (grupės), pogrupis (pogrupiai) ir poveikio kategorija, nustatyta pagal Valdymo plano 5 priede pateiktus kriterijus;

3.2. trumpas kibernetinio incidento apibūdinimas;

3.3. tikslus laikas, kada kibernetinis incidentas įvyko ir buvo nustatytas;

3.4. kibernetinio incidento šalinimo tvarka (nurodant, ar tai prioritetas, ar ne);

3.5. tikslus laikas, kada bus teikiama kibernetinio incidento tyrimo ataskaita.

4. Centrui pateikiama kibernetinio incidento tyrimo ataskaita apie:

4.1. didelio poveikio kibernetinių incidentų valdymo būklę – ne vėliau kaip per keturias valandas nuo jų nustatymo ir ne rečiau kaip kas keturias valandas atnaujintą informaciją, iki kibernetinis incidentas suvaldomas ar pasibaigia;

4.2. vidutinio poveikio kibernetinių incidentų valdymo būklę – ne vėliau kaip per dvidešimt keturias valandas nuo jų nustatymo ir ne rečiau kaip kas dvidešimt keturias valandas atnaujintą informaciją, iki kibernetinis incidentas suvaldomas ar pasibaigia;

4.3. didelio ar vidutinio poveikio kibernetinių incidentų suvaldymą ar pasibaigimą – ne vėliau kaip per keturias valandas nuo jų suvaldymo ar pasibaigimo.

5. Centrui teikiant didelio ar vidutinio poveikio kibernetinio incidento tyrimo ataskaitą nurodoma kibernetinio saugumo subjektui žinoma informacija:

5.1. kibernetinio incidento grupė (grupės), pogrupis (pogrupiai) ir poveikio kategorija, nustatyta pagal Valdymo plano 5 priede pateiktus kriterijus;

5.2. ryšių ir informacinės sistemos, kurioje nustatytas kibernetinis incidentas, tipas (elektroninių ryšių tinklas, informacinė sistema, registras, pramoninių procesų valdymo sistema, tarnybinė stotis ir panašiai);

5.3. kibernetinio incidento veikimo trukmė;

5.4. kibernetinio incidento šaltinis;

5.5. kibernetinio incidento požymiai;

5.6. kibernetinio incidento veikimo metodas;

5.7. galimos ir (ar) nustatytos kibernetinio incidento pasekmės;

5.8. kibernetinio incidento poveikio pasireiškimo (galimo išplitimo) mastas;

5.9. kibernetinio incidento būsena (aktyvus, pasyvus);

5.10. priemonės, kuriomis kibernetinis incidentas nustatytas;

5.11. galimos ir (ar) taikomos kibernetinio incidento valdymo priemonės;

5.12. tikslus laikas, kada bus teikiama pakartotinė kibernetinio incidento tyrimo ataskaita.

6. Kibernetinio saugumo subjektai, įvertinę, kad negalės savarankiškai ištirti ar suvaldyti kibernetinio incidento per maksimaliai leistiną paslaugos neveikimo laiką, nustatytą savo patvirtintuose kibernetinio saugumo teisės aktuose, ne vėliau kaip per dvidešimt keturias valandas nuo šių aplinkybių nustatymo kreipiasi pagalbos į Centrą.

7. Centras imasi būtinų veiksmų kibernetiniam incidentui ištirti ir visoms kibernetinio saugumo subjektų pranešime nurodytoms aplinkybėms išsiaiškinti:

7.1. didelio poveikio kibernetinių incidentų tyrimai pradedami nedelsiant tą pačią darbo dieną, kai gaunamas kibernetinio saugumo subjektų pranešimas;

7.2. vidutinio poveikio kibernetinių incidentų tyrimai pradedami tik atlikus didelio poveikio kibernetinių incidentų tyrimus, bet ne vėliau kaip per tris darbo dienas nuo kibernetinio saugumo subjektų pranešimo apie kibernetinį incidentą gavimo.

8. Apie didelės ir vidutinės reikšmės kibernetinio incidento sustabdymą ir pašalinimą Centrui pranešama ne vėliau kaip per 2 valandas nuo kibernetinio incidento sustabdymo ir pašalinimo.

9. Apie kibernetinius incidentus Centras informuojamas naudojantis Kibernetinio saugumo informaciniu tinklu, o nesant galimybės – Centro nurodytais kontaktais (tel. +370 706 82 250, el. p. cert@nksc.lt).

10. Kriterijai, kuriais vadovaujantis kibernetiniai incidentai priskiriami konkrečiai kategorijai, nustatyti Valdymo plano 5 priede.

__________________________

Lošimo automatų kontrolės informacinės sistemos veiklos

tęstinumo valdymo plano

5 priedas

KRITERIJŲ, KURIAIS VADOVAUJANTIS KIBERNETINIAI INCIDENTAI PRISKIRIAMI KIBERNETINIŲ INCIDENTŲ KATEGORIJOMS, SĄRAŠAS

Eil. Nr.	Kibernetinio incidento grupės	Kibernetinio incidento poveikis Kibernetinio incidento pogrupiai	Nereikšmingas (N) (bent vienas iš kriterijų)				Vidutinis (V) (du ar daugiau kriterijų)					Didelis (D) (du ar daugiau kriterijų)					Pavojingas (P) (bent vienas iš kriterijų)
Eil. Nr.	Kibernetinio incidento grupės		RIS trikdoma < 1 val.	Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius < 100, arba 5 %	Paslauga teikiama, bet trikdoma	Nuostoliai < 250 000 Eur	RIS trikdoma ≥ 1 val., bet < 2 val.	Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius < 1000, arba 25 %	Paslauga trikdoma dalyje šalies teritorijos	Pažeistas informacijos ar RIS konfidencialumas ir (ar) vientisumas	Nuostoliai ≥ 250 000, bet < 500 000 Eur	RIS trikdoma ≥ 2 val.	Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius ≥ 1000, arba 25 %	Paslauga trikdoma visos šalies teritorijoje ir (ar) ≥ 1 ES šalyje	Pažeistas informacijos ar RIS konfidencialumas ir (ar) vientisumas	Nuostoliai ≥ 500 000 Eur	RIS trikdoma ≥ 24 val. ir (ar) viršijamas maksimalus leistinas paslaugos neveikimo laikas	Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius ≥ 100 000, arba 50 %	Sutrikdomas (gali sutrikti) paslaugų veikimas visos šalies teritorijoje ir (ar) ≥ 1 ES šalyje, valstybės funkcijų ir (ar) prisiimtų įsipareigojimų vykdymas, sukeliamas (gali kilti) ekstremalus įvykis, nurodytas Vyriausybės patvirtintame Ekstremaliųjų įvykių kriterijų sąraše
1.	Nepageidaujamų laiškų, klaidinančios ar žeidžiančios informacijos platinimas (angl. abusive content, spam)	1.1. Nepageidaujami laiškai ir (ar) klaidinančios, žeidžiančios informacijos platinimas trikdo ryšių ir informacinės sistemos (toliau – RIS) veiklą ir (ar) teikiamas paslaugas	N				V					D					P
1.		1.2. Nepageidaujamų laiškų ir (ar) klaidinančios, žeidžiančios informacijos platinimas	N
2.	Kenkimo programinė įranga (angl. malicious software / code) Programinė įranga ar jos dalis, kuri padeda neteisėtai prisijungti prie RIS, ją užvaldyti ir kontroliuoti, sutrikdyti ar pakeisti jų veikimą, sunaikinti, sugadinti, ištrinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę ja naudotis ir neteisėtai pasisavinti ar kitaip panaudoti neviešą elektroninę informaciją tokios teisės neturintiems asmenims	2.1. Aptikta moderni kenkimo programinė įranga (angl. advanced persistent threat, APT)					V					D					P
		2.2. RIS aktyviai kontroliuojama įsibrovėlių (pavyzdžiui, „galinės durys“ (angl. back door), kompiuterizuotos darbo vietos ar tarnybinės stotys tampa „Botinklo“ (angl. Botnet) infrastruktūros dalimi					V					D					P
		2.3. Kenkimo programinė įranga, trikdanti saugumo priemonių darbą					V					D					P
		2.4. Kenkimo programinė įranga, kurią aptinka saugumo priemonės per reguliarų patikrinimą ir (ar) kurią saugumo priemonės automatiškai blokuoja	N				V
		2.5. Kenkimo programinė įranga, platinama naudojant socialinės inžinerijos metodus	N				V					D					P
3.	Informacijos rinkimas (angl. information gathering) Žvalgyba ar kita įtartina veikla (angl. scanning, sniffing), manipuliavimas naudotojų emocijomis, psichologija, pastabumo stoka, pasinaudojimas technologiniu neišmanymu (angl. social engineering), siekiant stebėti ir rinkti informaciją, atrasti silpnąsias vietas, atlikti grėsmę keliančius veiksmus, apgavystės, siekiant įtikinti naudotoją atskleisti informaciją (angl. phishing) arba atlikti norimus veiksmus	3.1. RIS paketų / informacijos perėmimas					V					D					P
		3.2. RIS klastojimas, siekiant surinkti prisijungimo ar kitą svarbią informaciją, tiksliniai laiškai, kuriuose, pasinaudojant socialinės inžinerijos principais, siekiama išvilioti prisijungimo ir (ar) kitą svarbią informaciją, priversti atlikti norimus veiksmus (pvz., finansines operacijas)					V					D					P
		3.3. Vykdoma perimetro priemonių žvalgyba (nebandant įsilaužti)	N				V
		3.4. Naudojami socialinės inžinerijos metodai, siekiant išvilioti prisijungimo prie RIS ir (ar) kitą svarbią informaciją	N				V
4.	Mėginimas įsilaužti (angl. intrusion attempts) Mėginimas įsilaužti arba sutrikdyti RIS veikimą išnaudojant žinomus pažeidžiamumus (angl. exploiting of known vulnerabilities), bandant parinkti slaptažodžius (angl. login attempts), kitą įsilaužimo būdą (angl. new attack signature)	4.1. Išnaudojamas vienas ar keli nežinomi (angl. zero day) pažeidžiamumai, siekiant tikslingai sutrikdyti konkrečią RIS					V					D					P
		4.2. Išnaudojamas vienas ar keli nežinomi (angl. zero day) pažeidžiamumai	N				V					D					P
		4.3. Vidinė RIS žvalgyba ar kita kenkimo veika (prievadų skenavimas, slaptažodžių parinkimas, kenkimo programinės įrangos platinimas ir kita)					V					D					P
		4.4. Išnaudojami žinomi ir viešai publikuoti pažeidžiamumai arba atliekami bandymai prisijungti prie RIS parenkant slaptažodžius	N				V
5.	Įsilaužimas (angl. intrusions) Sėkmingas įsilaužimas ir (ar) neteisėtas RIS, taikomosios programinės įrangos ar paslaugos naudojimas (angl. privileged account compromise, unprivileged account compromise, application compromise)	5.1. Veiksmai prieš RIS ar jos saugumo priemones, informacijos pasisavinimas, naikinimas, RIS ar jos dalies pažeidimas, sutrikdantis RIS teikiamų paslaugų nepertraukiamą teikimą, galintis turėti įtakos tvarkomos informacijos ir teikiamų paslaugų patikimumui, iškreipti turinį ir mažinti RIS naudotojų pasitikėjimą jais					V					D					P
							V					D					P
		5.2. Gaunama neteisėta prieiga prie RIS, taikomosios programinės įrangos ar paslaugos					V					D					P
6.	Paslaugų trikdymas, prieinamumo pažeidimai (angl. availability) Veiksmai, kuriais trikdoma RIS veikla, teikiamos paslaugos (angl. DoS, DDoS), RIS ar jos dalies pažeidimas, sutrikdantis RIS ir (ar) jos teikiamas paslaugas (angl. sabotage, outage)	6.1. Teikiamų paslaugų nutraukimas arba maksimalaus leistino paslaugos neveikimo laiko viršijimas					V					D					P
		6.2. Teikiamų paslaugų nepertraukiamo teikimo trikdymas, galintis turėti įtakos tvarkomos informacijos ir (ar) teikiamų paslaugų prieinamumui	N				V
		6.3. Aptinkamas paslaugos trikdymas, kuris neturi įtakos paslaugų teikimui	N				V
7.	Informacijos turinio saugumo pažeidimai (angl. information content security) Neteisėta prieiga prie informacijos, neteisėtas informacijos keitimas (angl. unauthorised access to information, unauthorised modification of information)	7.1. Neteisėta prieiga prie informacijos, galinčios turėti įtakos RIS veiklai ir (ar) teikiamoms paslaugoms					V					D					P
7.		7.2. Neteisėta prieiga prie informacijos, neteisėtas informacijos keitimas	N				V					D					P
8.	Neteisėta veikla, sukčiavimas (angl. fraud) Vagystė, apgavystė, neteisėtas išteklių (angl. unauthorized use of resources), nelegalios programinės įrangos ar autorių teisių (angl. copyright) naudojimas, tapatybės klastojimo, apgavystės ir kiti panašaus pobūdžio incidentai	8.1. Neteisėta įtaka RIS veiklai ir (ar) teikiamoms paslaugoms	N				V					D					P
9.	Kita Incidentai, kurie neatitinka nė vienos iš nurodytų grupių aprašymų		N				V					D					P

___________________________________________________________________

PATVIRTINTA

Lošimų priežiūros tarnybos prie Lietuvos Respublikos finansų ministerijos

2019 m. vasario 14 d. įsakymu Nr. DIE-62

LOŠIMO AUTOMATŲ KONTROLĖS INFORMACINĖS SISTEMOS

NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lošimo automatų kontrolės informacinės sistemos naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) nustato Lošimo automatų kontrolės informacinės sistemos (toliau – Sistema) naudotojų administravimo tvarką.

2. Administravimo taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Lošimo automatų kontrolės informacinės sistemos saugos nuostatais, patvirtintais Lošimų priežiūros tarnybos prie Lietuvos Respublikos finansų ministerijos direktoriaus 2018 m. rugpjūčio 20 d. įsakymu Nr. DI-416 „Dėl Lošimo automatų kontrolės informacinės sistemos nuostatų ir Lošimo automatų kontrolės informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – Saugos nuostatai), taip pat kitais teisės aktais, reglamentuojančiais duomenų tvarkymo teisėtumą, duomenų tvarkytojų veiklą ir duomenų saugos valdymą.

3. Administravimo taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.

4. Administravimo taisyklės privalomos Sistemos valdytojui, Sistemos tvarkytojui, Sistemos saugos įgaliotiniui, Sistemos administratoriams bei Sistemos naudotojams.

5. Prieigos prie Sistemos elektroninės informacijos suteikimo principai:

5.1. Sistemos naudotojams ir administratoriui prieiga turi būti suteikiama tik prie tų Sistemos duomenų ir Sistemos informacijos ir tik tokia apimtimi, kuri reikalinga Sistemos naudotojo pareigybės aprašyme nurodytoms funkcijoms atlikti;

5.2. Sistemos saugomus duomenis gali keisti (sukurti, ištrinti ar papildyti) tik tam teises turintys Sistemos naudotojai;

5.3. Sistemos naudotojams negali būti suteiktos administratoriaus teisės;

II SKYRIUS

SISTEMOS NAUDOTOJŲ IR ADMINISTRATORIAUS ĮGALIOJIMAI,

TEISĖS IR PAREIGOS

6. Sistemos naudotojų ir Sistemos administratoriaus įgaliojimai, teisės ir pareigos naudotis suteiktomis prieigomis prie Sistemos yra nustatomi Sistemos nuostatuose, Saugos nuostatuose, Sistemos saugos politiką įgyvendinančiuose dokumentuose (toliau – Saugos dokumentai) ir kituose teisės aktuose, reglamentuojančiuose informacinių sistemų elektroninių paslaugų teikimą.

7. Sistemos elektroninę informaciją tvarkyti gali tik tie asmenys, kurie yra susipažinę su Saugos nuostatais ir saugos dokumentais.

8. Už Sistemos naudotojų supažindinimą su Saugos nuostatais ir Saugos dokumentais atsakingas Sistemos saugos įgaliotinis.

9. Sistemos naudotojų įgaliojimai, teisės ir pareigos:

9.1. Sistemos naudotojai turi teisę:

9.1.1. naudotis tik tomis Sistemos funkcijomis (duomenų paieška, peržiūra, įvedimas, koregavimas, taisymas, keitimas, naikinimas ir kt.) ir duomenimis, prie kurių prieigą jiems suteikė Sistemos administratorius;

9.1.2. teikti siūlymus Sistemos saugos įgaliotiniui ar administratoriui dėl papildomų elektroninės informacijos saugos priemonių taikymo.

9.2. Sistemos naudotojai privalo:

9.2.1. užtikrinti jų naudojamų Sistemos tvarkomų duomenų konfidencialumą ir vientisumą, savo veiksmais netrikdyti Sistemos elektroninės informacijos prieinamumo;

9.2.2. saugoti naudojamų ir tvarkomų asmens duomenų paslaptį Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka;

9.2.3. laikytis Saugos nuostatuose ir saugos dokumentuose nustatytų reikalavimų, pastebėję Sistemos sutrikimus, neįprastą jo veikimą, esamus arba galimus elektroninės informacijos saugumo reikalavimų pažeidimus, kitų naudotojų nederamus veiksmus, nedelsiant pranešti Sistemos administratoriui arba saugos įgaliotiniui.

10. Sistemos administratoriaus įgaliojimai, teisės ir pareigos:

10.1. Sistemos administratorius turi teisę:

10.1.1. fiziškai prieiti prie techninės ir sisteminės programinės įrangos;

10.1.2. naudotis visais Sistemos komponentais (elektroninės informacijos skaitymas, kūrimas, atnaujinimas, naikinimas ir kt.);

10.1.3. vykdyti Sistemos techninės priežiūros funkcijas;

10.1.4. matyti Sistemos naudotojų su tvarkomais duomenimis atliktus veiksmus.

10.2. Sistemos administratorius privalo:

10.2.1. administruoti naudotojų prieigos teises prie Sistemos elektroninės informacijos, reikalingos jų paskirtoms funkcijoms atlikti;

10.2.2. užtikrinti, kad Sistemoje nebūtų atliekami veiksmai, kurie gali sukelti bet kokio pobūdžio elektroninės informacijos saugos incidentą (neteisėtas Sistemos elektroninės informacijos naudojimas, programinės įrangos kopijavimas ir kt.);

10.2.3. konsultuoti Sistemos naudotojus dėl Sistemos veikimo ir kitais su Sistema susijusiais klausimais.

III SKYRIUS

SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO SISTEMOS NAUDOTOJAMS KONTROLĖS TVARKA

11. Už Sistemos naudotojų registravimą, išregistravimą, prieigos prie Sistemos teisių suteikimą ir panaikinimą yra atsakingas Sistemos administratorius.

12. Sistemos administratorius Sistemos naudotojams suteikia prisijungimo prie Sistemos duomenis (vardą ir laikiną slaptažodį), kuriuos išsiunčia elektroniniu paštu (laikinas slaptažodis perduodamas atskirai nuo vartotojo vardo).

13. Sistemos naudotojas, gavęs suteiktą prisijungimo vardą ir slaptažodį ir pirmą kartą prisijungęs prie Sistemos, privalo pirminį slaptažodį pakeisti nauju.

14. Kiekvienas Sistemos naudotojas privalo naudoti tik jam suteiktą prisijungimo vardą, saugoti slaptažodį ir jo neatskleisti tretiesiems asmenims.

15. Sistemos naudotojo slaptažodžiui yra keliami šie reikalavimai:

15.1. slaptažodį turi sudaryti ne mažiau kaip 8 simboliai (raidės, skaičiai, specialieji simboliai);

15.2. slaptažodžiui sudaryti neturi būti naudojama asmeninio pobūdžio informacija;

15.3. didžiausias leistinas mėginimų įvesti slaptažodį skaičius − 5 kartai;

15.4. slaptažodis turi būti keičiamas ne rečiau kaip kartą per 3 mėnesius;

15.5. keičiant slaptažodį neturi būti leidžiama sudaryti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;

15.6. draudžiama slaptažodžius atskleisti tretiesiems asmenims, kilus įtarimui, kad slaptažodis galėjo būti atskleistas, Sistemos naudotojas turi nedelsdamas jį pakeisti;

15.7. Sistemos naudotojui pamiršus slaptažodį, jis gali kreiptis į Sistemos administratorių;

15.8. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruoti nepatikimais algoritmais.

16. Papildomi reikalavimai Sistemos administratoriaus slaptažodžiams:

16.1. slaptažodis turi būti keičiamas ne rečiau kaip kas 1 mėnesį;

16.2. slaptažodį turi sudaryti ne mažiau kaip 10 simbolių (raidės, skaičiai, specialieji simboliai);

16.3. keičiant slaptažodį Sistemos taikomoji programinė įranga neturi leisti sudaryti slaptažodžio iš buvusių 6 paskutinių slaptažodžių.

17. Jeigu Sistemos naudotojas perkeliamas į kitas pareigas, jam suteiktos Sistemos naudotojo teisės pakeičiamos atsižvelgiant į jo pareigybės aprašyme nurodytas funkcijas.

18. Sistemos naudotojų teisių dirbti su Sistemos duomenimis ribojimas ir (arba) naikinimas:

18.1. pasibaigus darbo santykiams, Sistemos naudotojo teisė naudotis Sistemos panaikinama;

18.2. Sistemos naudotojui teisė dirbti su konkrečia elektronine informacija turi būti sustabdoma, kai naudotojas nesinaudoja informacine sistema ilgiau kaip 3 mėnesius, kai teisės aktų nustatytais atvejais naudotojas nušalinamas nuo darbo (pareigų); pasibaigus tarnybos (darbo) santykiams, naudotojo teisė naudotis informacine sistema turi būti panaikinta nedelsiant.

19. Nuotolinis Sistemos naudotojų prisijungimas prie Sistemos leistinas per internetinę Sistemos naudotojo sąsają, naudojant saugius duomenų perdavimo protokolus.

__________________________

PATVIRTINTA

Lošimų priežiūros tarnybos prie Lietuvos Respublikos finansų ministerijos

2019 m. vasario 14 d. įsakymu Nr. DIE-62

LOŠIMO AUTOMATŲ KONTROLĖS INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lošimo automatų kontrolės informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) nustato pagrindinius saugaus Lošimo automatų kontrolės informacinės sistemos (toliau – Sistema) elektroninės informacijos tvarkymo reikalavimus, technines ir kitas saugos priemones, skirtas informacijos saugai užtikrinti.

2. Taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Lošimo automatų kontrolės informacinės sistemos saugos nuostatais, patvirtintais Lošimų priežiūros tarnybos prie Lietuvos Respublikos finansų ministerijos (toliau – Priežiūros tarnyba) direktoriaus 2018 m. rugpjūčio 20 d. įsakymu Nr. DI-416 „Dėl Lošimo automatų kontrolės informacinės sistemos nuostatų ir Lošimo automatų kontrolės informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – Saugos nuostatai).

3. Taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Saugos nuostatuose, kituose duomenų saugų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.

4. Sistemoje tvarkoma ir kaupiama elektroninė informacija, nurodyta Lošimo automatų kontrolės informacinės sistemos nuostatų, patvirtintų Priežiūros tarnybos direktoriaus 2018 m. rugpjūčio 20 d. įsakymu Nr. DI-416 „Dėl Lošimo automatų kontrolės informacinės sistemos nuostatų ir Lošimo automatų kontrolės informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – Sistemos nuostatai) III skyriuje.

5. Už Sistemos duomenų saugų tvarkymą atsakingi Sistemos tvarkytojas, Sistemos saugos įgaliotinis ir Sistemos administratorius.

6. Už Taisyklių įgyvendinimo organizavimą ir kontrolę atsakingas Sistemos saugos įgaliotinis.

7. Sistemoje tvarkoma informacija yra skirstoma į šias kategorijas:

7.1. Sistemos administratoriaus tvarkoma informacija;

7.2. Sistemos naudotojų tvarkoma informacija.

8. Elektroninės informacijos, tvarkomos Sistemos administratoriaus ir priskirtos tam tikroms kategorijoms, sąrašas:

8.1. Sistemos klasifikatoriai;

8.2. Sistemos naudotojų teisės;

8.3. Sistemos naudotojų prisijungimo vardai ir slaptažodžiai.

9. Sistemos naudotojai yra atsakingi už Sistemos duomenų, nurodytų Sistemos nuostatų III skyriuje, tvarkymą.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

10. Saugiam Sistemos elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, programinės įrangos, duomenų perdavimo tinklai, fizinės, techninės ir organizacinės duomenų ir informacijos saugumo priemonės.

11. Sistemos kompiuterinės įrangos saugos užtikrinimo priemonės:

11.1. prieigos prie Sistemos tarnybinių stočių (serverių) kontrolė užtikrinama suteikiant prieigos prie Sistemos tarnybinių stočių teises tik Sistemos administratoriui;

11.2. įrangos priežiūra vykdoma pagal gamintojo rekomendacijas;

11.3. kompiuterinės įrangos gedimai registruojami žurnale;

11.4. naudojamos kompiuterinės įrangos priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai;

11.5. Sistemos tarnybinės stotys ir kompiuterinė įranga turi rezervinį maitinimo šaltinį;

11.6. Sistemos tarnybinėse stotyse ir Sistemos naudotojų kompiuterizuotose darbo vietose yra įdiegtos centralizuotai valdomos ir atnaujinamos kenksmingosios programinės įrangos aptikimo, stebėjimo realiu laiku priemonės; šios priemonės automatiškai informuoja Sistemos administratorių apie pradelstą kenksmingosios programinės įrangos aptikimo priemonių atsinaujinimo laiką;

11.7. kompiuterinės įrangos būklė nuolat stebima.

12. Sistemos sisteminės ir taikomosios programinės įrangos (toliau – Sistemos programinė įranga) saugos priemonės:

12.1. Sistemos tarnybinėse stotyse ir Sistemos naudotojų kompiuteriuose naudojama tik legali, Sistemos funkcijoms vykdyti būtina programinė įranga;

12.2. operatyviai įdiegiami Sistemos tarnybinių stočių ir Sistemos naudotojų kompiuterizuotų darbo vietų kompiuterinės įrangos, operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;

12.3. programinės įrangos diegimą, gedimų šalinimą ir konfigūravimą turi teisę atlikti tik Sistemos administratorius arba jį pavaduojantis asmuo;

12.4. slaptažodžiai, suteikiantys teisę dirbti su Sistemos tarnybinės stoties administravimo programine įranga, žinomi tik Sistemos sisteminiam administratoriui arba jį pavaduojančiam asmeniui;

12.5. Sistemos naudotojų tinkle įdiegtos automatinės įsilaužimo aptikimo sistemos.

13. Sistemos duomenų perdavimo tinklais saugumo užtikrinimo priemonės:

13.1. Sistemos duomenų perdavimo tinklas nuo grėsmių iš interneto atskirtas užkardų;

13.2. Sistemos elektroninės informacijos perdavimo tinklas atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienę;

13.3. viešaisiais telekomunikaciniais tinklais perduodamos elektroninės informacijos konfidencialumas užtikrinamas naudojant saugų valstybinį duomenų perdavimo tinklą;

13.4. fiksuojami Sistemos naudotojų, kuriems suteikta teisė tvarkyti Sistemos duomenis, veiksmai.

14. Patalpų ir aplinkos saugumo užtikrinimo priemonės:

14.1. Sistemos tarnybinių stočių patalpos apsaugotos nuo neteisėto asmenų patekimo į jas;

14.2. Sistemos tarnybinių stočių patalpoje įrengti gaisro davikliai;

14.3. naudojama įėjimo į patalpas kontrolė;

14.4. apsauga nuo elektros tiekimo sutrikimų – elektros energijos tiekimui užtikrinti įrengtas rezervinis elektros srovės generatorius;

14.5. tarnybinių stočių patalpose įrengta kondicionavimo ir vėdinimo sistema temperatūrai palaikyti. Šiose patalpose palaikomas tarnybinės stoties gamintojų nustatytas santykinis oro drėgnumas;

15. Kitos priemonės, naudojamos elektroninės informacijos saugai užtikrinti:

15.1. Sistemos naudotojams suteikiama prieigos teisė atlikti veiksmus Sistemos naudotojų administravimo taisyklėse nustatyta tvarka;

15.2. Sistemos tarnybinėse stotyse įdiegtos priemonės, įspėjančios Sistemos administratorių apie laisvos operatyviosios atminties ar laisvos vietos kompiuterių diskuose sumažėjimą iki nustatytos pavojingos ribos, apie ilgą laiką stipriai apkraunamą centrinį procesorių ar kompiuterių tinklo sąsają;

15.3. Sistema automatiškai atjungia naudotojus, kurie yra prisijungę prie Sistemos, bet neatlieka jokių veiksmų. Ilgiausias neaktyvumo laikas, kuriam pasibaigus naudotojas automatiškai atjungiamas, yra 15 min;

15.4. Sistemos naudotojui baigus darbą, imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama, uždaroma programinė įranga, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai padedami į pašaliniams asmenims neprieinamą vietą;

15.5. Sistemos naudotojų kompiuterizuotose darbo vietose naudojamos tik tarnybinėms reikmėms skirtos išorinės duomenų laikmenos (USB, CD / DVD ir kt.); šios laikmenos negali būti naudojamos veiklai, nesusijusiai su teisėtu Sistemos elektroninės informacijos tvarkymu.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

16. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo užtikrinimo tvarka:

16.1. Sistemos elektroninę informaciją keisti, atnaujinti, įrašyti ir naikinti turi teisę tik Sistemos naudotojai pagal nustatytas prieigos teises;

16.2. administravimo posistemyje tvarkomą elektroninę informaciją įvesti, keisti, atnaujinti ar naikinti turi teisę tik Sistemos administratorius;

16.3. Sistemos elektroninė informacija įvedama, atnaujinama, keičiama ir naikinama Sistemos nuostatų nustatyta tvarka;

16.4. Elektroninės informacijos įvedimas, pakeitimas, atnaujinimas ir naikinimas registruojami elektroniniuose žurnaluose, nurodant Sistemos naudotoją, prisijungimo datą, laiką ir atliktus veiksmus.

17. Sistemos naudotojų tapatybė ir jų veiksmai su Sistemos duomenimis atpažįstami programinėmis priemonėmis, įrašomi Sistemos duomenų bazės veiksmų žurnale automatiniu būdu, apsaugotame nuo nesankcionuoto jame esančių duomenų naudojimo, keitimo, iškraipymo, sunaikinimo. Sistemos duomenų bazės veiksmų žurnalo duomenys prieinami tik Sistemos sisteminiam administratoriui arba jį pavaduojančiam asmeniui.

18. Sistemos naudotojai atpažįstami pagal prisijungimo vardus ir slaptažodžius.

19. Atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka:

19.1. už Sistemos elektroninės informacijos kopijų darymą, saugojimą atsakingas Sistemos administratorius;

19.2. elektroninės informacijos kopijos automatiniu būdu daromos ne rečiau kaip kartą per parą;

19.3. elektroninės informacijos kopijos laikomos kitose patalpose nei yra Sistemos tarnybinės stotys;

19.4. elektroninės informacijos kopijos turi būti prieinamos tik Sistemos administratoriui ar jį pavaduojančiam asmeniui;

19.5. prarasta, iškraipyta ar sunaikinta Sistemos elektroninė informacija turi būti atkuriama iš Sistemos elektroninės informacijos atsarginių kopijų;

19.6. elektroninė informacija kopijose užšifruota arba imamasi kitų priemonių, neleidžiančių elektroninės informacijos atkurti neteisėtu būdu;

19.7. informacija apie elektroninės informacijos kopijavimą (kopijos įrašymo data ir laikas) automatiškai fiksuojama ir saugoma Sistemos tarnybinės stoties veiksmų žurnale.

20. Saugaus elektroninės informacijos perkėlimo ir teikimo susijusioms informacinėms sistemoms, elektroninės informacijos gavimo iš jų tvarka:

20.1. elektroninė informacija iš susijusių registrų ir informacinių sistemų gaunama ir jiems teikiama šių registrų ir informacinių sistemų valdytojų ar tvarkytojų sudarytose duomenų teikimo ir gavimo sutartyse numatyta tvarka;

20.2. už elektroninės informacijos, gaunamos iš susijusių registrų ir informacinių sistemų, atnaujinimo procesą Sistemoje yra atsakingas Sistemos administratorius.

21. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:

21.1. Sistemos naudotojai, pastebėję saugos dokumentų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai Sistemos administratoriui ar saugos įgaliotiniui;

21.2. Sistemos administratorius apie saugos pažeidimus informuoja Sistemos saugos įgaliotinį;

21.3. Sistemos administratorius ir saugos įgaliotinis pagal kompetenciją nedelsdami imasi visų įmanomų prevencinių veiksmų, susijusių su neteisėtu elektroninės informacijos naudojimu;

21.4. Sistemos saugos įgaliotinis apie Taisyklių 21.1 papunktyje nurodytus pažeidimus praneša Priežiūros tarnybos direktoriui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais.

22. Sistemos programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:

22.1. Sistemos administratorius Sistemos tarnybinėse stotyse diegia ir tvarko programinę įrangą, reikalingą Sistemos funkcionavimui;

22.2. Sistemos tvarkytojas programinę įrangą, reikalingą tvarkyti Sistemos elektroninei informacijai, perka Lietuvos Respublikos viešųjų pirkimų įstatymo, kitų teisės aktų nustatyta tvarka;

22.3. Sistemai veikti reikalingos naujos ar atnaujinamos programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką;

22.4. organizuojami Sistemos naudotojų darbo su nauja programine ir technine įranga mokymai;

22.5. naudojama tik sertifikuota programinė ir techninė įranga;

22.6. sugedusią techninę įrangą išvežant remontuoti, išimamos duomenų laikmenos (kietieji diskai ir kt.) arba daromos jų kopijos ir kartu perduodamose laikmenose saugomi duomenys ištrinami.

23. Sistemos pokyčių (toliau – pokyčiai) valdymo tvarka:

23.1. pokyčius turi teisę inicijuoti Sistemos saugos įgaliotinis ir Sistemos administratorius;

23.2. pokyčiai turi būti planuojami, identifikuojami, suskirstomi į kategorijas pagal pokyčio tipą, nustatomas jų prioritetas, įvertinama įtaka Sistemos veiklai;

23.3. pokyčiai, galintys sutrikdyti ar sustabdyti Sistemos veiklą (operacinės sistemos, duomenų bazių atnaujinimas, programinės įrangos modernizavimas, kompiuterinės ar tinklo įrangos atnaujinimas ir pan.), turi būti suderinti su Priežiūros tarnybos direktoriumi ir Sistemos saugos įgaliotiniu ir vykdomi tik gavus jų raštišką pritarimą;

23.4. pokyčiai, galintys daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų bei kuri atskirta nuo Sistemos;

23.5. po įgyvendinimo pokyčiai turi būti peržiūrimi ir palyginami su planuotais rezultatais;

23.6. Sistemos administratorius privalo pateikti visą reikalingą informaciją Sistemos naudotojams apie naudojimo pakitimus.

24. Nešiojamųjų kompiuterių naudojimo tvarka:

24.1. nešiojamieji kompiuteriai prie kompiuterių tinklo gali būti prijungiami ir iš Sistemos tvarkymo patalpų išnešami tik Sistemos saugos įgaliotiniui leidus;

24.2. nešiojamieji kompiuteriai turi būti atskirti nuo viešojo interneto tinklo užkarda;

24.3. naudotojai, savo darbo funkcijoms vykdyti naudojantys nešiojamuosius kompiuterius Sistemos duomenų perdavimui kompiuterių tinklais ne savo darbo vietoje, turi naudoti kompiuterio įjungimo slaptažodį, papildomą naudotojo tapatybės patvirtinimą ir Sistemos duomenų šifravimą;

24.4. duomenys esantys nešiojamuose kompiuteriuose turi būti šifruojami;

24.5. nešiojamieji kompiuteriai, nedirbant su jais, turi būti saugomi saugioje vietoje;

24.6. draudžiama administruoti Sistemos naudojant nešiojamus kompiuterius.

IV SKYRIUS

REIKALAVIMAI, KELIAMI SISTEMAI FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

25. Reikalavimai Sistemai funkcionuoti reikalingoms paslaugų teikėjų paslaugoms, paslaugų teikėjų prieigos prie Sistemos lygis ir sąlygos nustatomi šių paslaugų teikimo sutartyse pagal paslaugų teikimo pobūdį. Paslaugų teikėjo teikiamoms paslaugoms nustatyti saugos reikalavimai negali būti mažesni nei tie, kurie nustatyti Sistemos saugos dokumentuose.

26. Už paslaugos teikėjui prieigos prie Sistemos lygio ir sąlygų nustatymą atsakingas Sistemos administratorius. Paslaugos teikėjui prieigos prie Sistemos lygis (-iai) ir sąlygos turi būti suderinti su Sistemos saugos įgaliotiniu.

27. Sistemos administratorius suteikia paslaugos teikėjui tik tokią prieigą prie Sistemos resursų, kuri yra būtina norint atlikti arba vykdyti sutartyje nustatytus įsipareigojimus, kurie neprieštarauja įstatymų ir kitų teisės aktų reikalavimams.

28. Sistemos administratorius privalo supažindinti paslaugos teikėjus su suteiktos prieigos prie Sistemos reikalavimais ir sąlygomis, taip pat atlikti paslaugos teikėjo priežiūrą, stebėti, kaip įgyvendinamos Sistemos saugos dokumentuose ir paslaugų teikimo sutartyse nustatytos sąlygos.

29. Pasibaigus sutarties su paslaugos teikėjais galiojimo terminui ar atsiradus kitoms sutartyje ar Sistemos saugos dokumentuose įvardintoms sąlygoms, Sistemos administratorius nedelsdamas privalo panaikinti suteiktą prieigą.

30. Reikalavimai, keliami teikėjų patalpoms, įrangai, informacinės sistemos priežiūrai, duomenų perdavimui tinklais ir kitoms paslaugoms, turi atitikti Taisyklių II skyriuje nustatytiems reikalavimams.

_____________________________

Elektroninės informacijos saugos incidentas

Sistemos tvarkytojo pavadinimas

Požymio kodas

Elektroninės informacijos saugos incidento aprašymas

Pradžia (metai, mėnuo, diena, valanda)

Pabaiga (metai, mėnuo, diena, valanda)

Saugos incidentą pašalino

(vardas, pavardė)