9.1. ENERGIS tarnybinės stotys ir kompiuterinė įranga turi turėti rezervinį maitinimo šaltinį;

9.2. ENERGIS tarnybinėse stotyse ir vidinių naudotojų kompiuterizuotose darbo vietose turi būti įdiegta ir reguliariai atnaujinama virusų ir kenkėjiško kodo aptikimo ir šalinimo programinė įranga, skirta kompiuteriams ir laikmenoms tikrinti;

9.3. kompiuterinės įrangos, reikalingos tinkamam ENERGIS veikimui, gedimai turi būti registruojami elektroniniame žurnale.

10.1. ENERGIS tarnybinėse stotyse ir vidinių naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga;

10.2. turi būti operatyviai įdiegiami ENERGIS tarnybinių stočių operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;

10.3. programinės įrangos diegimą, šalinimą ir konfigūravimą turi teisę atlikti tik ENERGIS administratorius (-iai) arba kitas įgaliotas asmuo;

10.4. ENERGIS tarnybinėse stotyse turi būti įrašomi ir saugomi duomenys apie ENERGIS tarnybinių stočių ir taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis ENERGIS tarnybinėse stotyse, kitus saugai svarbius įvykius, nurodant naudotojo identifikatorių ir įvykio laiką;

10.5. turi būti fiksuojami registruotų naudotojų, kuriems suteikta teisė tvarkyti ENERGIS duomenis, veiksmai;

10.6. programinei įrangai testuoti turi būti naudojama atskira testavimo aplinka.

11.1. ENERGIS elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienę;

11.2. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, turi būti naudojamas saugus elektroninių ryšių tinklas, skirtosios linijos, virtualus privatusis tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas;

11.3. ENERGIS programinė įranga turi būti apsaugota nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų atakų;

11.4. ENERGIS tinklo perimetro apsaugai naudojami filtrai, apsaugantys viešame ryšių tinkle naršančių naudotojų kompiuterinę įrangą nuo kenksmingo kodo.

12.1. ENERGIS tarnybinių stočių patalpos turi būti apsaugotos nuo neteisėto asmenų patekimo į jas;

12.2. ENERGIS tarnybinių stočių patalpoje turi būti įrengti gaisro davikliai;

12.3. turi būti naudojama įėjimo į patalpas kontrolė;

12.4. patalpose turi būti naudojami nenutrūkstančio elektros maitinimo šaltiniai;

12.5. patalpose turi būti įrengta oro vėsinimo sistema.

13.1. ENERGIS naudotojams suteikiama prieigos teisė atlikti veiksmus ENERGIS naudotojų administravimo taisyklėse nustatyta tvarka;

13.2. ENERGIS duomenų bazės veiksmų žurnale turi būti fiksuojami elektroninės informacijos pakeitimą atlikusio vidinio naudotojo duomenys ir pakeitimo laikas;

13.3. baigus darbą imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama, uždaroma programinė įranga, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai padedami į pašaliniams asmenims neprieinamą vietą.

14.1. ENERGIS elektroninę informaciją koreguoti turi teisę tik ENERGIS administratorius (-iai);

14.2. administravimo modulyje tvarkomą elektroninę informaciją įvesti, keisti, atnaujinti ar naikinti turi teisę tik ENERGIS administratorius (-iai);

14.3. ENERGIS elektroninė informacija įvedama, atnaujinama, keičiama ir naikinama ENERGIS nuostatuose nustatyta tvarka;

14.4. elektroninės informacijos įvedimas, pakeitimas, atnaujinimas ir naikinimas turi būti registruojami elektroniniuose žurnaluose, nurodant registruotą ENERGIS naudotoją, prisijungimo datą, laiką ir atliktus veiksmus.

15.1. ENERGIS registruotų naudotojų tapatybė turi būti įrašomi automatiniu būdu ENERGIS duomenų bazės veiksmų žurnale, apsaugotame nuo neteisėto duomenų ir informacijos panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;

15.2. ENERGIS administratoriaus (-ių) visi duomenų intervencijos veiksmai, atliekami pagal ENERGIS nuostatų 10.4 papunktį, turi būti įrašomi automatiniu būdu ENERGIS duomenų bazės veiksmų žurnale.

16.1. už elektroninės informacijos kopijų darymą, saugojimą atsakingas ENERGIS administratorius (-iai);

16.2. elektroninės informacijos kopijos automatiniu būdu turi būti daromos reguliariai, ne rečiau kaip kartą per mėnesį;

16.3. prarasta, iškraipyta ar sunaikinta ENERGIS elektroninė informacija turi būti atkuriama iš ENERGIS elektroninės informacijos atsarginių kopijų;

16.4. informacija apie elektroninės informacijos kopijavimą (kopijos įrašymo data ir laikas) turi būti fiksuojama ir saugoma ENERGIS tarnybinės stoties veiksmų žurnale;

16.5. elektroninės informacijos atstatymas iš atsarginių kopijų turi būti periodiškai išbandomas – ne rečiau kaip kartą per metus;

16.6. atstatymų išbandymą inicijuoja duomenų saugos įgaliotinis.

17.1. elektroninė informacija iš susijusių registrų ir informacinių sistemų gaunama ir jiems teikiama šių registrų ir informacinių sistemų valdytojų ar tvarkytojų sudarytose duomenų teikimo sutartyse numatyta tvarka;

17.2. už elektroninės informacijos, gaunamos iš susijusių registrų ir informacinių sistemų, atnaujinimo procesą ENERGIS sistemoje yra atsakingas ENERGIS administratorius (-iai).

18.1. registruoti ENERGIS naudotojai, pastebėję saugos dokumentų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai ENERGIS administratoriui (-iams);

18.2. ENERGIS administratorius (-iai) apie saugos pažeidimus informuoja duomenų saugos įgaliotinį;

18.3. ENERGIS saugos įgaliotinis, gavęs pranešimą apie vykdomus neteisėtus veiksmus, inicijuoja elektroninės informacijos saugos incidento valdymo procedūras.

19.1. visi pokyčiai atliekami ENERGIS tvarkytojo ir (ar) ENERGIS valdytojo iniciatyva ir suderinus su ENERGIS valdytoju;

19.2. pokyčių projektavimą ir kūrimą atlieka atsakingi asmenys arba įstatymų nustatyta tvarka pasirinkti paslaugų teikėjai;

19.3. prieš atliekant pokyčius, kurių metu gali iškilti grėsmė ENERGIS elektroninės informacijos konfidencialumui, vientisumui ar pasiekiamumui, visi pokyčiai turi būti išbandomi testavimo aplinkoje;

19.4. jeigu testavimas sėkmingas, pokyčiai perkeliami į gamybinę aplinką;

19.5. visi pokyčiai registruojami ir prireikus apie tai informuojami ENERGIS naudotojai;

19.6. įgyvendinant pokyčius, kurių metu galimi ENERGIS veikimo sutrikimai, ENERGIS administratorius (-iai) privalo ne vėliau kaip prieš vieną darbo dieną iki planuojamų pokyčių vykdymo pradžios informuoti (elektroniniu paštu ar kitomis priemonėmis) ENERGIS naudotojus apie tokių darbų pradžią ir galimus sutrikimus;

19.7. ENERGIS administratorius (-iai) registruotiems ENERGIS naudotojams privalo pateikti visą reikalingą informaciją apie naudojimosi ENERGIS pakitimus, kurie yra susiję su jų atliekamomis funkcijomis ir kurių atsiradimas susijęs su įvykdytais arba vykdomais pokyčiais.

20.1. iš ENERGIS pagrindinio tvarkytojo patalpų išnešti mobilieji įrenginiai negali būti palikti be priežiūros viešose vietose; kelionėse mobilieji įrenginiai turi būti saugomi;

20.2. iš ENERGIS pagrindinio tvarkytojo patalpų išnešamiems mobiliesiems įrenginiams turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimai ir pan.);

20.3. duomenys, perduodami tarp mobiliojo įrenginio ir ENERGIS, turi būti šifruojami;

20.4. turi būti užtikrinta kompiuterinių laikmenų apsauga, tai yra esant techninėms galimybėms turi būti šifruojami duomenys ir mobiliųjų įrenginių laikmenose, ir išorinėse kompiuterinėse laikmenose. Draudžiama saugoti neužšifruotuose mobiliųjų įrenginių laikmenose konfidencialią informaciją ir (arba) asmens duomenis;

20.5. prieš perduodant mobilųjį įrenginį ENERGIS naudotojui, jis turi būti patikrinamas antivirusine programine įranga;

20.6. mobiliojo įrenginio grąžinimas ir antivirusinės programos tikrinimo rezultatai turi būti dokumentuojami;

20.7. už mobiliųjų įrenginių ir jame tvarkomų ar saugomų duomenų saugą teisės aktų nustatyta tvarka atsako naudotojas, kuriam šis įrenginys skirtas.

25.1. reikalavimai paslaugų teikėjams ir jų teikiamoms ENERGIS priežiūros paslaugoms nustatomi šių paslaugų teikimo sutartyse;

25.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja ENERGIS programinę įrangą naudodamas:

25.3. ENERGIS veiklą palaikančių sistemų (elektros energijos, šildymo, vėdinimo, oro kondicionavimo ir kitų sistemų) kokybė, atsižvelgiant į šių sistemų veiklai keliamus reikalavimus, turi būti reguliariai tikrinama siekiant tinkamo paslaugų teikimo ir sumažinant galimą šių paslaugų teikimo sutrikimą ir avarijos pasekmes.

3.1. ENERGIS saugos įgaliotinis dalyvauja Veiklos tęstinumo valdymo grupėje ir teikia jai informaciją apie elektroninės informacijos saugos incidentus;

3.2. ENERGIS administratorius (-iai) užtikrina ENERGIS sistemos atkūrimą ir dalyvauja Veiklos atkūrimo grupės veikloje;

3.3. registruoti ENERGIS naudotojai privalo vykdyti Plano ir Veiklos tęstinumo valdymo grupės reikalavimus.

8.1. ENERGIS valdytojo Energijos efektyvumo politikos grupės vadovas (Veiklos tęstinumo valdymo grupės vadovas);

8.2. ENERGIS valdytojo Energijos efektyvumo politikos grupės patarėjas (Veiklos tęstinumo valdymo grupės vadovo pavaduotojas);

8.3. ENERGIS tvarkytojo įgaliotas asmuo;

8.4. ENERGIS saugos įgaliotinis;

8.5. prireikus gali būti pasitelkiami kiti asmenys.

9.1. susitikimo metu vertina elektroninės informacijos saugos incidentą ir ieško priemonių ir būdų sukeltiems padariniams ir žalai likviduoti;

9.2. vykdo situacijos analizę ir priima sprendimus, susijusius su ENERGIS veiklos tęstinumo valdymo užtikrinimu;

9.3. skiria ir kontroliuoja, kaip naudojami finansiniai ištekliai, reikalingi veiklos tęstinumui atkurti;

9.4. bendrauja su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

9.5. bendrauja su kitomis valstybės institucijomis ir įstaigomis, kitomis interesų grupėmis;

9.6. bendrauja su teisėsaugos institucijomis;

9.7. organizuoja elektroninės informacijos fizinę saugą įvykus elektroninės informacijos saugos ar kibernetinio saugumo incidentui;

9.8. organizuoja logistiką (daiktų ir įrangos gabenimą į saugią vietą).

10.1. ENERGIS tvarkytojo direktorius (Atkūrimo grupės vadovas);

10.2. ENERGIS saugos įgaliotinis (Atkūrimo grupės vadovo pavaduotojas);

10.3. ENERGIS administratorius (-iai);

10.4. prireikus gali būti pasitelkiami kiti darbuotojai ar išoriniai ekspertai.

11.1. ENERGIS veiklos atkūrimo priežiūra ir koordinavimas (Atkūrimo grupės vadovas; ENERGIS saugos įgaliotinis);

11.2. tarnybinių stočių veiklos atkūrimas ir jų priežiūra (ENERGIS saugos įgaliotinis; ENERGIS administratorius (-iai));

11.3. vidaus duomenų perdavimo tinklo veiklos atkūrimas ir jo priežiūra (ENERGIS saugos įgaliotinis; ENERGIS administratorius (-iai));

11.4. taikomųjų programų veiklos atkūrimas ir jų priežiūra (ENERGIS saugos įgaliotinis, ENERGIS administratorius (-iai));

11.5. kitos Veiklos tęstinumo valdymo grupės pavestos funkcijos.

13.1. ENERGIS veiklos atkūrimas. Įvykus elektroninės informacijos saugos incidentui, jei būtina, organizuojama fizinė sauga ir veiklos atkūrimas;

13.2. Plano arba jo dalių veiksmingumas. Plano arba jo dalių veiksmingumas turi būti reguliariai išbandomas Veiklos tęstinumo valdymo grupės iniciatyva ir, jei būtina, tikslinamas, atsižvelgiant į nustatytus trūkumus.

15.1. patekimas į patalpas turi būti registruojamas žurnale;

15.2. patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

15.3. patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti įrengtos gaisro gesinimo priemonės;

15.4. patalpose turi būti įrengtas rezervinis elektros energijos šaltinis informacinių sistemų techninei įrangai ir duomenų perdavimo tinklo mazgams, užtikrinantis įrangos veikimą ne trumpiau kaip 10 minučių;

15.5. ryšių kabeliai turi būti apsaugoti nuo neteisėto prisijungimo;

15.6. patalpoje turi nuolat veikti oro temperatūros ir drėgmės reguliavimo įranga (oro kondicionavimo sistema);

15.7. atsarginių patalpų, naudojamų ENERGIS veiklai atkurti, įvykus elektroninės informacijos saugos incidentui, vieta – valstybinio duomenų centro atsarginės patalpos arba kita vieta, atitinkanti patalpoms keliamus reikalavimus.

18.1. techninės ir programinės įrangos dokumentacija (angl. product manual), kurioje nurodyti informacinių technologijų įrangos parametrai ir už šios įrangos priežiūrą atsakingas (-i) administratorius (-iai), minimalus laikas informacinės sistemos veiklai atkurti, kai nėra administratoriaus (-ių), kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, reikiamos kompetencijos ar žinių lygis;

18.2. kompiuterinės įrangos instrukcija, kurioje nurodyta minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos institucijos poreikius atitinkančiai ENERGIS veiklai užtikrinti įvykus elektroninės informacijos saugos incidentui, specifikacija;

18.3. pastato planas, kuriame yra informacinės sistemos įranga, aukšto patalpų brėžiniai ir juose pažymėti:

18.4. tinklo planas, kuriame nurodytos kompiuterių tinklo fizinio ir loginio sujungimo schemos;

18.5. elektroninės informacijos teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigos;

18.6. programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos;

18.7. dokumentas, kuriame nurodytas veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės narių sąrašas su kontaktiniais duomenimis.

4.1. ENERGIS naudotojų prieiga prie elektroninės informacijos grindžiama būtinumo žinoti principu. Šis principas reiškia, kad ENERGIS naudotojams prieiga suteikiama tik prie tos elektroninės informacijos, kuri reikalinga vykdant tiesioginę jų veiklą. Tvarkyti elektroninę informaciją gali tik tie registruoti ENERGIS naudotojai, kuriems Taisyklių III skyriuje nustatyta tvarka suteiktos prieigos prie elektroninės informacijos teisės;

4.2. ENERGIS naudotojų prieigos prie elektroninės informacijos lygmuo grindžiamas mažiausios privilegijos principu. Šis principas reiškia, kad turi būti suteikiamos tik minimalios ENERGIS naudotojų veiklai vykdyti reikalingos prieigos teisės bei organizacinėmis ir techninėmis priemonėmis užtikrinama minimalių prieigos teisių naudojimo kontrolė (pavyzdžiui, privilegijuotos prieigos teisės neturi būti naudojamos veiklai, kuriai atlikti pakanka žemesnio lygio prieigos teisių, ir panašiai);

4.3. pareigų atskyrimo principas. Šis principas reiškia, kad registruotam ENERGIS naudotojui negali būti pavesta atlikti ar kontroliuoti visų pagrindinių elektroninės informacijos tvarkymo ar ENEGIS priežiūros funkcijų, asmenims, kurie naudoja ir (ar) tvarko viešai publikuojamą ENERGIS elektroninę informaciją (toliau – išoriniai ENERGIS naudotojai), negali būti suteikiamos ENERGIS administratoriaus (-ių) teisės. ENERGIS kūrimo, atnaujinimo funkcijos turi būti atskirtos nuo ENERGIS naudotojo funkcijų.

11.1. ENERGIS administratorius (-iai) informacinės sistemos modulius gali pasiekti naudodamiesi tiesiogine, vietinio tinklo arba nuotoline prieiga;

11.2. tik ENERGIS administratoriui (-iams) suteikiama prieiga prie ENERGIS administravimo modulio, skirto ne automatiniam duomenų įkėlimui į duomenų bazę ir tų duomenų tikrinimui, ENERGIS sistemos nustatymų valdymui, naudotojų rolių ir teisių valdymui, ataskaitų konfigūravimui, taip pat ENERGIS naudotojų autentifikavimui per VIISP užtikrinti.

15.1. registruoto ENERGIS naudotojo prieigos teisės suteikiamos arba pakeičiamos ENERGIS nuostatuose nustatyta tvarka;

15.2. ENERGIS administratorius (-iai) prieigos teises panaikina gavęs (-ę) už žmogiškųjų išteklių valdymą atsakingo ENERGIS valdytojo, ENERGIS tvarkytojo padalinio arba kito kompetentingo padalinio arba valstybės tarnautojo ir (ar) darbuotojo pateiktą informaciją apie registruoto ENERGIS naudotojo ar kito ENERGIS administratoriaus (-ių) darbo (tarnybos) santykių pasibaigimą.

17.1. registruoto ENERGIS naudotojo paskyros galiojimas turi būti laikinai sustabdomas, kai registruotas ENERGIS naudotojas nesinaudoja ENERGIS ilgiau kaip 3 mėnesius, ENERGIS administratoriaus paskyros galiojimas turi būti laikinai sustabdomas, kai ENERGIS administratorius nesinaudoja ENERGIS ilgiau kaip 2 mėnesius;

17.2. ENERGIS tvarkytojas turi patvirtinti asmenų, kuriems suteiktos ENERGIS administratoriaus (-ių) teisės prisijungti prie sistemos, sąrašą, kuris periodiškai (ne rečiau kaip kartą per metus) peržiūrimas ENERGIS saugos įgaliotinio. Sąrašas turi būti nedelsiant peržiūrėtas, kai įstatymų nustatytais atvejais ENERGIS administratorius (-iai) nušalinamas (-i) nuo darbo (pareigų);

17.3. nereikalingos ar nenaudojamos registruotų ENERGIS naudotojų ir ENERGIS administratorių paskyros turi būti blokuojamos nedelsiant.