LIETUVOS RESPUBLIKOS FINANSŲ MINISTRAS

ĮSAKYMAS

DĖL VALSTYBĖS TURTO INFORMACINĖS PAIEŠKOS SISTEMOS SAUGOS POLITIKOS ĮGYVENDINIMO DOKUMENTŲ PATVIRTINIMO

2018 m. vasario 28 d. Nr. 1K-100

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.2–7.4 papunkčiais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, 5 punktu:

1. T v i r t i n u pridedamus:

1.1. Valstybės turto informacinės paieškos sistemos saugaus elektroninės informacijos tvarkymo taisykles;

1.2. Valstybės turto informacinės paieškos sistemos informacinės sistemos veiklos tęstinumo valdymo planą;

1.3. Valstybės turto informacinės paieškos sistemos naudotojų administravimo taisykles.

2. Pavedu valstybės įmonei Turto bankui Valstybės turto informacinės paieškos sistemos saugos politikos įgyvendinimo dokumentus įkelti į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą (ARSIS), Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatuose, patvirtintuose 2012 m. spalio 16 d. Lietuvos Respublikos vidaus reikalų ministro įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

Finansų ministras Vilius Šapoka

PATVIRTINTA

Lietuvos Respublikos finansų ministro

2018 m. vasario 28 d. įsakymu Nr. 1K-100

VALSTYBĖS TURTO INFORMACINĖS PAIEŠKOS SISTEMOS

SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybės turto informacinės paieškos sistemos saugaus elektroninės informacijos tvarkymo taisyklėse (toliau – Taisyklės) reglamentuojamas Valstybės turto informacinės paieškos sistemos (toliau – Informacinė sistema) saugus elektroninės informacijos tvarkymas.

2. Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, Valstybės turto informacinės paieškos sistemos duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos finansų ministro 2016 m. balandžio 13 d. įsakymu Nr. 1K-134 „Dėl Valstybės turto informacinės paieškos sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – Saugos nuostatai).

3. Tvarkoma Informacinės sistemos elektroninė informacija (toliau – elektroninė informacija) ir jos grupės, nurodytos Valstybės turto informacinės paieškos sistemos nuostatų (toliau – Informacinės sistemos nuostatai) 11 punkte.

4. Informacinėje sistemoje tvarkomos elektroninės informacijos svarba nurodyta Saugos nuostatų 14 punkte, o Informacinės sistemos kategorija – Saugos nuostatų 15 punkte.

5. Už elektroninės informacijos tvarkymą Informacinėje sistemoje atsakingi:

5.1. Informacinės sistemos naudotojai – už elektroninės informacijos, kurios sąrašas nurodytas Informacinės sistemos nuostatų 11–13 punktuose ir kurią tvarkyti jiems suteiktos teisės, tvarkymą;

5.2. Informacinės sistemos administratoriai – už elektroninės informacijos, nurodytos Saugos nuostatų 11 punkte, tvarkymą.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

6. Informacinės sistemos kompiuterinės įrangos saugos priemonės:

6.1. tiesioginė prieiga prie tarnybinių stočių suteikiama tik Informacinės sistemos techninės infrastruktūros administratoriams (toliau – techninės infrastruktūros administratorius), išskyrus atvejus, kai, teikiant techninės ir programinės įrangos paleidimo, derinimo ar kitas paslaugas, tiesioginė prieiga gali būti suteikta asmeniui, teikiančiam nurodytas paslaugas;

6.2. Informacinės sistemos tarnybinės stotys (serveriai), duomenų saugyklos ir duomenų perdavimo tinklo mazgai turi turėti rezervinius maitinimo šaltinius, užtikrinančius šios įrangos veikimą ne trumpiau kaip 30 min.;

6.3. Informacinės sistemos tarnybinės stotys (serveriai), duomenų perdavimo tinklo mazgai ir ryšio linijos esant techninėms galimybėms turi būti dubliuoti ir jų techninė būklė nuolat stebima;

6.4. Informacinės sistemos duomenų saugykloje turi būti naudojami pertekliniai nepriklausomų diskų masyvai (angl. redundant array of independent disks – RAID), leidžiantys neprarasti duomenų sugedus vienam arba dviem (bet kuriems) masyvo diskams;

6.5. Informacinė sistema turi perspėti techninės infrastruktūros administratorius, kai pagrindinėje Informacinės sistemos kompiuterinėje įrangoje iki nustatytos pavojingos ribos sumažėja laisvos kompiuterio atminties ar vietos diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja;

6.6. Informacinės sistemos tarnybinių stočių, duomenų saugyklos ir duomenų perdavimo tinklo mazgų gedimai turi būti registruojami atsakingų techninės infrastruktūros administratorių;

6.7. Informacinės sistemos tarnybinėse stotyse turi būti įjungtos užkardos, sukonfigūruotos praleisti tik su Informacinės sistemos funkcinėmis galimybėmis ir administravimu susijusį duomenų srautą; užkardų konfigūracijų dokumentai turi būti saugomi kartu su Informacinės sistemos dokumentais;

6.8. informacija apie Informacinėje sistemoje įrašomus duomenis, apie Informacinės sistemos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis Informacinėje sistemoje, visus Informacinės sistemos naudotojų vykdomus veiksmus ir kitus saugai svarbius įvykius turi būti analizuojama ne rečiau kaip kartą per savaitę. Įvykių žurnaluose duomenys turi būti saugomi ne trumpiau kaip 1 metus;

6.9. vidinių Informacinės sistemos naudotojų darbo vietose gali būti naudojamos tik darbo (tarnybos) reikmėms skirtos išorinės duomenų laikmenos (pavyzdžiui, USB, CD/DVD ir kt.); šios laikmenos negali būti naudojamos veiklai, nesusijusiai su teisėtu Informacinės sistemos tvarkymu, vykdyti;

6.10. kitos kompiuterinės įrangos saugos priemonės yra nustatytos Saugos nuostatuose, kituose teisės aktuose, reglamentuojančiuose saugų valstybės informacinių išteklių elektroninės informacijos tvarkymą.

7. Sisteminės ir taikomosios programinės įrangos saugos priemonės:

7.1. Informacinės sistemos priežiūros funkcijos turi būti atliekamos per atskirą tam skirtą techninės infrastruktūros administratoriaus paskyrą, kuria naudojantis negalima atlikti Informacinės sistemos naudotojo funkcijos;

7.2. Informacinės sistemos naudotojams negali būti suteikiamos sisteminės ir (ar) taikomosios programinės įrangos administratorių teisės;

7.3. Informacinės sistemos tarnybinėse stotyse ir vidinių informacinės sistemos naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingosios programinės įrangos aptikimo, stebėjimo realiu laiku priemonės; šios priemonės automatiškai turi informuoti Informacinės sistemos administratorių apie tai, kurių Informacinės sistemos posistemių ir funkciškai savarankiškų sudedamųjų dalių kenksmingosios programinės įrangos aptikimo priemonių atsinaujinimo laikas yra pradelstas. Informacinės sistemos posistemiai ar funkciškai savarankiškos sudedamosios dalys be kenksmingo programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu vertinant riziką patvirtinama, kad šių komponentų rizika yra priimtina;

7.4. turi būti operatyviai testuojami ir įdiegiami Informacinės sistemos tarnybinių stočių ir vidinių Informacinės sistemos naudotojų darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami naujiniai. Techninės infrastruktūros administratorius reguliariai, ne rečiau kaip kartą per savaitę, turi įvertinti informaciją apie Informacinės sistemos posistemiuose, funkciškai savarankiškose sudedamosiose dalyse, vidinių Informacinės sistemos naudotojų darbo vietų kompiuterinėje įrangoje neįdiegtus rekomenduojamus gamintojų naujinius ir su tuo susijusius saugos pažeidžiamumų svarbos lygius;

7.5. Informacinės sistemos tarnybinėse stotyse turi būti naudojama tik legali programinė įranga;

7.6. programinę įrangą turi diegti tik Informacinės sistemos tvarkytojo vadovo įgalioti asmenys;

7.7. vidinių Informacinės sistemos naudotojų kompiuterinėje įrangoje turi būti naudojama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga; Informacinės sistemos saugos įgaliotinis (toliau – saugos įgaliotinis) turi parengti, su Informacinės sistemos tvarkytojo vadovu suderinti ir ne rečiau kaip kartą per metus peržiūrėti bei prireikus atnaujinti leidžiamos programinės įrangos sąrašą;

7.8. Informacinės sistemos techninė ir programinė įranga turi būti prižiūrima laikantis gamintojo rekomendacijų;

7.9. Informacinės sistemos techninę ir programinę įrangą prižiūrėti ir gedimus šalinti turi kvalifikuoti specialistai;

7.10. programinė įranga turi būti testuojama naudojant atskirą testavimui skirtą aplinką, kurioje esantys asmens duomenys turi būti naudojami vadovaujantis Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėmis, patvirtintomis Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“;

7.11. atsarginės laikmenos su programinės įrangos kopijomis turi būti laikomos nedegioje spintoje, kitose patalpose arba kitame pastate, nei yra Informacinės sistemos tarnybinės stotys;

7.12. slaptažodžiai, leidžiantys dirbti su Informacinės sistemos tarnybinių stočių programine įranga, turi būti žinomi tik techninės infrastruktūros administratoriams ir saugomi seife;

7.13. kitos saugos priemonės, susijusios su Informacinės sistemos programinės įrangos sauga, nustatytos Saugos nuostatuose, kituose saugų elektroninės informacijos tvarkymą reglamentuojančiuose teisės aktuose.

8. Informacinės sistemos elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

8.1. Informacinės sistemos elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų užkarda. Saugos įvykių žurnalai turi būti reguliariai, ne rečiau kaip kartą per savaitę, analizuojami, o užkardos saugumo taisyklės periodiškai peržiūrimos ir, esant reikalui, keičiamos;

8.2. užkardos programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL intarpų įterpimo (angl. SQL injection), įterptinių instrukcijų (XSS) atakų (angl. Cross-site scripting), internetinės paslaugos sutrikdymo (angl. DOS) atakų, srautinių internetinės paslaugos sutrikdymo (angl. DDOS) atakų ir kitų. Pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP) interneto svetainėje www.owasp.org;

8.3. Informacinės sistemos tinkle turi būti įdiegtos ir veikti automatinės įsilaužimo (įsibrovimo) aptikimo ir prevencijos priemonės:

8.3.1. turi būti įdiegtos ir veikti automatizuotos įsibrovimo aptikimo sistemos, kurios stebėtų Informacinės sistemos įeinantį ir išeinantį duomenų srautą ir vidinį srautą tarp svarbiausių tinklo paslaugų;

8.3.2. įvykus įtartinai veiklai, ji turi būti užfiksuojama audito įrašuose ir automatizuotai kuriamas pranešimas (esant techninėms galimybėms) Informacinės sistemos administratoriui;

8.3.3. sukurtas pranešimas turi būti klasifikuojamas pagal užfiksuotą įvykį;

8.3.4. įsilaužimo atakų pėdsakai (angl. attack signature) turi būti gaunami iš aktualią informaciją teikiančių šaltinių – patikimų saugos programinės įrangos gamintojų. Naujausi įsilaužimo atakų pėdsakai turi būti atnaujinami ne vėliau kaip per 24 valandas nuo saugos programinės įrangos gamintojo naujausių įsilaužimo atakų pėdsakų pateikimo valandos arba ne vėliau kaip per 72 valandas nuo naujausių įsilaužimo atakų pėdsakų pateikimo valandos, jeigu Informacinės sistemos valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio Informacinės sistemos veiklai vertinimas (testavimas);

8.3.5. pagrindinėse tarnybinėse stotyse turi būti įjungtos užkardos, sukonfigūruotos blokuoti visą įeinantį ir išeinantį, išskyrus su Informacinės sistemos funkcinėmis galimybėmis ir administravimu susijusį, duomenų srautą;

8.3.6. įsilaužimo aptikimo techninio sprendinio įgyvendinimas, konfigūracija ir kibernetinių incidentų aptikimo algoritmai (taisyklės) (kartu nurodant datas (įgyvendinimo, atnaujinimo ir panašiai), atsakingus asmenis, taikymo periodus ir pan.) turi būti saugomi elektronine forma atskirai nuo Informacinės sistemos techninės įrangos;

8.4. viešaisiais ryšių tinklais perduodamos elektroninės informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą, virtualųjį privatųjį tinklą (angl. virtual private network);

8.5. nuotolinis prisijungimas prie Informacinės sistemos turi būti vykdomas taikant protokolą, skirtą duomenims šifruoti.

9. Papildomos elektroninės informacijos perdavimo belaidžiais tinklais saugumo ir kontrolės užtikrinimo priemonės:

9.1. leidžiama naudoti tik su saugos įgaliotiniu ir su Informacinės sistemos kibernetinio saugumo vadovu (toliau – kibernetinio saugumo vadovas) suderintus belaidžio tinklo įrenginius, atitinkančius techninius kibernetinio saugumo reikalavimus;

9.2. turi būti vykdoma belaidžių įrenginių kontrolė:

9.2.1. tikrinami Informacinės sistemos tvarkytojo eksploatuojami belaidžiai įrenginiai, saugos įgaliotiniui ir kibernetinio saugumo vadovui pranešama apie neleistinus ar techninių kibernetinio saugumo reikalavimų neatitinkančius belaidžius įrenginius;

9.2.2. naudojamos priemonės, kurios automatiškai apriboja neleidžiamus ar saugumo reikalavimų neatitinkančius belaidžius įrenginius arba apie tokių įrenginių aptikimą informuoja saugos įgaliotinį ir kibernetinio saugumo vadovą;

9.3. leidžiama naudoti tik su saugos įgaliotiniu ir kibernetinio saugumo vadovu suderintus belaidės prieigos taškus, atitinkančius techninius kibernetinio saugumo reikalavimus;

9.3.1. belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, kontroliuojamoje zonoje;

9.3.2. prisijungiant prie belaidžio tinklo, turi būti taikomas naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) arba TLS (angl. Transport Layer Security) protokolas;

9.3.3. draudžiama belaidėje sąsajoje naudoti SNMP (angl. Simple Network Management Protocol) protokolą bei visus kitus nebūtinus valdymo protokolus;

9.3.4. turi būti išjungti nenaudojami TCP (angl. Transmission Control Protocol) ar UDP (angl. User Datagram Protocol) prievadai.

10. Kitos duomenų perdavimo tinklais saugumo užtikrinimo priemonės yra nustatytos Saugos nuostatuose, kituose saugų elektroninės informacijos tvarkymą reglamentuojančiuose teisės aktuose.

11. Patalpų ir aplinkos saugumo užtikrinimas:

11.1. Informacinės sistemos tarnybinių stočių patalpos turi būti apsaugotos nuo neteisėto asmenų patekimo į jas;

11.2. Informacinės sistemos tarnybinių stočių patalpose turi būti oro kondicionavimo ir drėgmės kontrolės įranga;

11.3. patekimas prie vidinių Informacinės sistemos naudotojų darbo vietų turi būti kontroliuojamas;

11.4. patekti į Informacinės sistemos tarnybinių stočių patalpas ir patalpas, kuriose saugomos atsarginės kopijos, turi teisę tik techninės infrastruktūros administratoriai ir jų lydimi asmenys;

11.5. visa techninė įranga į tarnybinių stočių patalpas įnešama ir iš jų išnešama tik už techninės įrangos priežiūrą atsakingam asmeniui – techninės infrastruktūros administratoriui – leidus;

11.6. visose patalpose, kuriose yra vidinių Informacinės sistemos naudotojų ir Informacinės sistemos techninė įranga, turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos stebėjimo pulto;

11.7. baigus darbą Informacinėje sistemoje ar pasitraukiant iš darbo vietos turi būti imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo Informacinės sistemos, įjungiama ekrano užsklanda su slaptažodžiu. Dokumentai ar dokumentų kopijos darbo vietoje turi būti laikomi taip, kad jų nepasiektų pašaliniai asmenys;

11.8. Informacinės sistemos naudotojui ar administratoriui neatliekant jokių veiksmų Informacinėje sistemoje, Informacinės sistemos taikomoji programinė įranga turi užsirakinti, kad toliau naudotis Informacine sistema galima būtų tik pakartotinai patvirtinus savo tapatybę. Terminas, per kurį Informacinėje sistemoje neatliekant jokių veiksmų Informacinė sistema užsirakina, negali būti ilgesnis nei 15 min.;

11.9. Informacinės sistemos tvarkytojas turi numatyti atsargines patalpas, į kurias galėtų laikinai perkelti Informacinės sistemos įrangą, nesant galimybių tęsti veiklą pagrindinėse patalpose. Informacinės sistemos veiklos tęstinumo valdymo planas turi užtikrinti Informacinės sistemos veiklos atnaujinimo galimybę atsarginėse patalpose per laikotarpį, ne ilgesnį nei 12 val.;

11.10. atsarginės patalpos turi tenkinti pagrindinėms patalpoms keliamus reikalavimus arba turi būti galimybė per minimalų laikotarpį, iškilus poreikiui, pasiekti, kad šie reikalavimai būtų tenkinami.

12. Kitos priemonės, naudojamos elektroninės informacijos saugai Informacinėje sistemoje užtikrinti:

12.1. Informacinės sistemos prieinamumas per metus – ne mažiau kaip 96 proc. paros laiko;

12.2. Informacinės sistemos neveikimo laikotarpis negali būti ilgesnis nei 12 valandų;

12.3. saugos reikalavimų atitikties vertinimas atliekamas ne rečiau kaip vieną kartą per metus; ne rečiau kaip kartą per trejus metus atitikties vertinimą turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

13. Saugaus elektroninės informacijos Informacinėje sistemoje įvedimo, keitimo, atnaujinimo ir naikinimo užtikrinimo tvarka:

13.1. Informacinėje sistemoje tvarkomus duomenis įvesti, keisti, atnaujinti ar atlikti kitus tvarkymo veiksmus gali tik Informacinės sistemos naudotojas.

13.2. Informacinėje sistemoje naudotojų duomenis įvesti, keisti gali tik Informacinės sistemos veiklos administratorius ir (arba) Informacinės sistemos institucijų administratoriai, kuriems Informacinėje sistemoje suteikta naudotojų administravimo teisė pagal Saugos nuostatų 11.3 papunktį;

13.3. klasifikatorių duomenų bazėje tvarkomus duomenis įvesti, keisti, atnaujinti gali tik Informacinės sistemos veiklos administratorius pagal suteiktas prieigos teises;

13.4. duomenys Informacinėje sistemoje gali būti tvarkomi tik turint teisėtą pagrindą;

13.5. duomenys naikinami Informacinės sistemos nuostatų 29 punkte nustatyta tvarka.

14. Informacinės sistemos naudotojų, administratorių atliekamų veiksmų auditas ir kontrolė:

14.1. auditui atlikti turi būti fiksuojama ši informacija:

14.1.1. Informacinės sistemos elementų įjungimas, išjungimas ar perkrovimas;

14.1.2. Informacinės sistemos naudotojų, administratorių prisijungimas (ir nesėkmingi bandymai prisijungti), atsijungimas;

14.1.3. Informacinės sistemos naudotojų, naudotojų grupių, administratorių teisių naudotis sistemos ar tinklo ištekliais pakeitimai;

14.1.4. audito funkcijos įjungimas, išjungimas;

14.1.5. audito įrašų trynimas, kūrimas ar keitimas;

14.1.6. sistemos ar tinklo parametrų, laiko ir (ar) datos pakeitimai;

14.2. audituojamų įrašų laiko žymos turi būti sinchronizuotos ne mažiau kaip vienos sekundės tikslumu;

14.3. turi būti naudojami mažiausiai 2 laiko sinchronizavimo šaltiniai;

14.4. kiekviename audito duomenų įraše turi būti fiksuojama:

14.4.1. įvykio data ir tikslus laikas;

14.4.2. įvykio rūšis ar pobūdis;

14.4.3. Informacinės sistemos naudotojo, administratoriaus ir (arba) įrenginio, susijusio su įvykiu, duomenys;

14.4.4. įvykio rezultatas;

14.5. priemonės, naudojamos Informacinės sistemos sąsajoje su viešųjų elektroninių ryšių tinklu, turi būti nustatytos taip, kad fiksuotų visus įvykius, susijusius su įeinančiais ir išeinančiais duomenų srautais;

14.6. Informacinės sistemos fiksuojami įvykiai turi būti centralizuotai saugomi techninėje ar programinėje įrangoje, pritaikytoje audito duomenims saugoti;

14.7. dėl įvairių trikdžių nustojus fiksuoti auditui skirtus duomenis, apie tai nedelsiant turi būti informuojamas Informacinės sistemos techninės infrastruktūros administratorius ir kibernetinio saugumo vadovas;

14.8. audito duomenys turi būti saugomi ne trumpiau kaip 60 dienų, užtikrinant visas prasmingas jų turinio reikšmes (pavyzdžiui, Informacinės sistemos naudotojo, su kuriuo nutraukti darbo santykiai ir kuris pašalintas iš sistemos, atpažinties duomenys turi būti išsaugoti visą būtiną audito duomenų saugojimo laiką);

14.9. draudžiama audito duomenis trinti, keisti, kol nesibaigęs audito duomenų saugojimo terminas;

14.10. audito duomenys turi būti archyvuojami. Archyve saugomi duomenys turi būti apsaugoti nuo pažeidimo, praradimo, nesankcionuoto pakeitimo ar sunaikinimo;

14.11. naudojimasis audito duomenimis turi būti kontroliuojamas ir fiksuojamas. Audito duomenys turi būti pasiekiami tik Informacinės sistemos administratoriams, saugos įgaliotiniui ir kibernetinio saugumo vadovui (peržiūros teisėmis);

14.12. Informacinės sistemos administratoriai ne rečiau kaip kartą per mėnesį analizuoja audito įrašų duomenis ir apie analizės rezultatus informuoja saugos įgaliotinį ir kibernetinio saugumo vadovą.

15. Atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka:

15.1. Saugos nuostatų 35 punkte nustatyta tvarka turi būti daromos atsarginės elektroninės informacijos kopijos;

15.2. atsarginės elektroninės informacijos mėnesinės ir metinės kopijos saugomos atskirame pastate, nedegioje spintoje;

15.3. elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, neleidžiančių neteisėtai iš kopijų atkurti elektroninės informacijos;

15.4. techninės infrastruktūros administratorius yra atsakingas už atsarginės elektroninės informacijos kopijų darymą, periodiškus informacijos atkūrimo iš kopijų bandymus ir atsarginės elektroninės informacijos kopijų apsaugą.

16. Informacinėje sistemoje elektroninės informacijos atkūrimo iš atsarginių kopijų bandymus ne rečiau kaip kartą per 3 mėnesius atlieka (testuoja) techninės infrastruktūros administratorius. Informacija apie atkūrimo bandymus turi būti dokumentuojama.

17. Saugaus elektroninės informacijos perkėlimo ir teikimo susijusioms informacinėms sistemoms, elektroninės informacijos gavimo iš jų užtikrinimo tvarka:

17.1. Informacinės sistemos elektroninė informacija kitiems registrams ir informacinėms sistemoms perduodama tik pasirašius duomenų teikimo sutartis ir vadovaujantis Informacinės sistemos nuostatais ir kitais saugų elektroninės informacijos tvarkymą reglamentuojančiais teisės aktais;

17.2. Informacinės sistemos nuostatuose nustatyti duomenų teikėjai į Informacinę sistemą elektroninę informaciją teikia duomenų teikimo sutartyse nustatytais būdais, apimtimi, reguliarumu ir terminais.

18. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:

18.1. Informacinės sistemos administratoriai ir naudotojai, pastebėję saugos dokumentų reikalavimų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai Informacinės paieškos sistemos naudotojų administravimo taisyklių 6.3 papunktyje nustatyta tvarka ir imtis visų įmanomų prevencinių veiksmų, siekdami užkirsti kelią neteisėtam duomenų naudojimui;

18.2. saugos įgaliotinis, gavęs pranešimą apie vykdomus neteisėtus veiksmus su Informacine sistema arba su elektronine informacija, imasi visų įmanomų prevencinių veiksmų ir inicijuoja elektroninės informacijos saugos incidento tyrimą.

19. Programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:

19.1. Informacinės sistemos tarnybinėse stotyse programinę įrangą, reikalingą Informacinės sistemos darbui, diegia ir tvarko techninės infrastruktūros (sistemos) administratoriai arba Informacinės sistemos tvarkytojo pasitelktos trečiosios šalys (pvz., programinės įrangos gamintojai);

19.2. organizuojami Informacinės sistemos naudotojų darbo su nauja programine ir technine įranga mokymai;

19.3. naudojama tik sertifikuota programinė ir techninė įranga;

19.4. sugedusią techninę įrangą išvežant remontuoti, išimamos duomenų laikmenos (standieji diskai ir kt.);

19.5. Informacinėje sistemoje programinės ir techninės įrangos keitimo ir atnaujinimo tvarką su paslaugų teikėju – trečiąja šalimi, jei šiai šaliai Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos Informacinės sistemos ir (ar) jos infrastuktūros priežiūros funkcijos, – priklausomai nuo konkretaus atvejo derina techninės infrastruktūros administratoriai arba ši tvarka aprašoma paslaugų, susijusių su programinės ir techninės įrangos keitimu Informacinėje sistemoje, teikimo sutartyse.

20. Informacinės sistemos pokyčių (toliau – pokyčiai) valdymo tvarka:

20.1. visi Informacinės sistemos keitimai (Informacinės sistemos projektavimas, kūrimas, testavimas, diegimas) atliekami Informacinės sistemos valdytojo iniciatyva arba, valdytojui pavedus, Informacinės sistemos tvarkytojo iniciatyva;

20.2. Informacinės sistemos keitimų projektavimą ir kūrimą Informacinės sistemos tvarkytojas gali atlikti pats arba pasitelkti trečiąsias šalis;

20.3. prieš atliekant Informacinės sistemos keitimus, kurių metu gali iškilti grėsmė elektroninės informacijos konfidencialumui, vientisumui ar pasiekiamumui, visi Informacinės sistemos pokyčiai turi būti išbandomi testuojant aplinkoje, kuri turi būti analogiška Informacinės sistemos gamybinei aplinkai;

20.4. atlikus Informacinės sistemos testavimą, jeigu jis buvo sėkmingas, keitimus galima diegti į gamybinę aplinką;

20.5. jeigu įgyvendinant Informacinės sistemos keitimus galimi Informacinės sistemos veikimo sutrikimai, Informacinės sistemos tvarkytojas privalo ne vėliau kaip prieš dvi darbo dienas iki planuojamų Informacinės sistemos pokyčių vykdymo pradžios informuoti (elektroniniu paštu, faksu ar kitomis priemonėmis) Informacinės sistemos naudotojus apie tokių darbų pradžią ir galimus sutrikimus;

20.6. visi Informacinės sistemos keitimai yra registruojami, apie juos informuojami Informacinės sistemos veiklos administratoriai, naudotojai ir kūrėjai. Už pokyčių registravimą atsakingas Informacinės sistemos tvarkytojas;

20.7. Informacinės sistemos veiklos administratoriai Informacinės sistemos naudotojams privalo pateikti visą reikalingą informaciją apie naudojimosi Informacine sistema pakitimus, kurių atsiradimas susijęs su įvykdytais arba vykdomais pokyčiais.

21. Vidinių Informacinės sistemos naudotojų nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (toliau kartu – mobilieji įrenginiai) naudojimo tvarka:

21.1. leidžiama naudoti tik mobiliuosius įrenginius, atitinkančius Informacinės sistemos tvarkytojo nustatytus saugumo reikalavimus;

21.2. Informacinės sistemos tvarkytojas turi turėti visas teises valdyti mobiliuosius įrenginius ir juose įdiegtą programinę įrangą;

21.3. turi būti vykdoma mobiliųjų įrenginių kontrolė:

21.3.1. mobilieji įrenginiai prieš jungiantis į Informacinės sistemos tvarkytojo vidinį tinklą, o kartu ir prie Informacinės sistemos, turi būti tikrinami, saugos įgaliotiniui pranešama apie neleistinus ar saugumo reikalavimų neatitinkančius mobiliuosius įrenginius;

21.3.2. naudojamos priemonės, kurios automatiškai apribotų neleidžiamus ar saugumo reikalavimų neatitinkančius mobiliuosius įrenginius ir saugos įgaliotinį informuotų apie bandymą prijungti neleidžiamą mobiliąją įrangą;

21.4. mobiliuosiuose įrenginiuose privalo būti naudojamos centralizuotai valdomos ir atnaujinamos kenkimo programinės įrangos aptikimo, užkardymo ir stebėjimo realiuoju laiku priemonės;

21.5. turi būti įdiegiamos operacinės sistemos ir kiti naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;

21.6. turi būti parengti mobiliųjų įrenginių operacinių sistemų atvaizdžiai su saugumo nuostatomis, kuriuose nustatyti veiklai būtini operacinių sistemų komponentai (administravimo paskyros, paslaugos (angl. services), taikomosios programos, tinklo prievadai, atnaujinimai, sisteminės priemonės). Atvaizdžai turi būti reguliariai peržiūrimi, atnaujinami ir iškart atnaujinami nustačius naujų pažeidžiamų vietų ar atakų;

21.7. pagal parengtus atvaizdus į mobiliuosius įrenginius turi būti įdiegiama operacinė sistema su saugumo nuostatomis;

21.8. mobilieji įrenginiai, kuriais naršoma internete, privalo būti apsaugoti nuo judriųjų programų (angl. Mobile code) keliamų grėsmių;

21.9. Informacinės sistemos tvarkytojo sprendimu prie mobiliųjų įrenginių gali būti jungiami kiti įrenginiai. Informacinės sistemos tvarkytojo administratoriaus parengtą, su saugos įgaliotiniu suderintą leidžiamų jungti įrenginių sąrašą tvirtina Informacinės sistemos tvarkytojas;

21.10. duomenys, perduodami tarp mobiliojo įrenginio ir Informacinės sistemos, turi būti šifruojami;

21.11. jungiantis prie Informacinės sistemos išteklių, turi būti patvirtinamas tapatumas; mobiliajame įrenginyje ar jo taikomojoje programinėje įrangoje turi būti uždrausta automatiškai išsaugoti slaptažodį;

21.12. mobilusis įrenginys, kuriuo nesinaudojama 10 minučių, turi automatiškai užsirakinti;

21.13. turi būti užtikrinta kompiuterinių laikmenų apsauga, t. y. esant techninėms galimybėms turi būti šifruojami duomenys tiek mobiliųjų įrenginių laikmenose, tiek išorinėse kompiuterinėse laikmenose. Draudžiama saugoti neužšifruotuose mobiliųjų įrenginių laikmenose konfidencialią ir (arba) asmens duomenų informaciją.

IV SKYRIUS

REIKALAVIMAI, KELIAMI INFORMACINEI SISTEMAI FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

22. Reikalavimai Informacinei sistemai funkcionuoti reikalingoms paslaugoms teikti nustatomi paslaugų teikimo sutartyse.

23. Paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas teikia paslaugas naudodamas:

23.1. įgyvendintas elektroninės informacijos saugos priemones, apsaugančias nuo nesankcionuoto poveikio sisteminei, programinei įrangai ir patalpoms;

23.2. sertifikuotą sisteminę programinę įrangą;

23.3. atskirą, programinei įrangai testuoti pritaikytą, testavimo aplinką.

24. Techninės infrastruktūros administratorius suteikia paslaugos teikėjui tik tokią prieigą prie Informacinės sistemos resursų, kuri yra būtina norint atlikti arba vykdyti sutartyje nustatytus įsipareigojimus.

25. Techninės infrastruktūros administratorius privalo supažindinti paslaugos teikėjus su suteiktos prieigos prie Informacinės sistemos reikalavimais ir sąlygomis.

26. Pasibaigus sutarties su paslaugos teikėjais galiojimo terminui ar atsiradus kitoms sutartyje ar Informacinės sistemos saugos politikos įgyvendinimo dokumentuose įvardytoms sąlygoms, techninės infrastruktūros administratorius nedelsdamas privalo panaikinti paslaugų teikėjui suteiktą prieigą.

______________________

PATVIRTINTA

Lietuvos Respublikos finansų ministro

2018 m. vasario 28 d. įsakymu Nr. 1K-100

VALSTYBĖS TURTO INFORMACINĖS PAIEŠKOS SISTEMOS veiklos tęstinumo valdymo planas

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybės turto informacinės paieškos sistemos veiklos tęstinumo valdymo planas (toliau – Planas) reglamentuoja Valstybės turto informacinės paieškos sistemos (toliau – Informacinė sistema) taisykles ir procedūras, kurių būtina laikytis atkuriant Informacinės sistemos veiklą įvykus elektroninės informacijos saugos ar kibernetinio saugumo incidentui (toliau – saugos incidentas).

2. Plane vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), Valstybės turto informacinės paieškos sistemos duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos finansų ministro 2013 m. balandžio 13 d. įsakymu Nr. 1K-134 „Dėl Valstybės turto informacinės paieškos sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – Saugos nuostatai).

3. Planas pradedamas vykdyti įvykus didelės reikšmės saugos incidentui, kurio metu ilgiau nei 4 valandoms sutrikdoma Informacinės sistemos veikla ir iškyla reali rizika, kad veikla nebus atkurta per 12 valandų. Plano privalo laikytis Informacinės sistemos valdytojas, Informacinės sistemos tvarkytojas, Informacinės sistemos saugos įgaliotinis (toliau – saugos įgaliotinis), Informacinės sistemos kibernetinio saugumo vadovas (toliau – kibernetinio saugumo vadovas), Informacinės sistemos techninės infrastruktūros administratoriai (toliau – techninės infrastruktūros administratorius), Informacinės sistemos veiklos administratoriai (toliau – veiklos administratorius) ir Informacinės sistemos naudotojai.

4. Techninės infrastruktūros administratoriai, veiklos administratoriai, saugos įgaliotinis, kibernetinio saugumo vadovas ir Informacinės sistemos naudotojai saugos incidento metu turi visus įgaliojimus atlikti veiksmus, nurodytus Informacinės sistemos veiklos atkūrimo detaliajame plane (Plano 1 priedas) (toliau − detalusis planas). Techninės infrastruktūros administratoriai, veiklos administratoriai, saugos įgaliotinis, prireikus – Informacinės sistemos naudotojai nedelsdami šalina saugos incidento padarinius ir įgyvendina kitus detaliajame plane numatytus veiksmus.

5. Informacinės sistemos veiklos atkūrimas, įvykus saugos incidentui, finansuojamas iš Lietuvos Respublikos valstybės biudžeto ar kitų finansavimo šaltinių. Finansinių ir kitokių išteklių, numatomų Informacinės sistemos veiklai atkurti, paskelbus saugos incidentą, šaltinius ir pobūdį numato ir pasirenka Informacinės sistemos veiklos tęstinumo valdymo grupė (toliau – Valdymo grupė).

6. Informacinės sistemos veiklos kriterijai, pagal kuriuos galima nustatyti, ar Informacinės sistemos veikla atkurta, yra šie:

6.1. Informacinės sistemos naudotojai gali atlikti savo darbo funkcijas Informacinėje sistemoje įprastu būdu;

6.2. užtikrintas elektroninės informacijos Informacinėje sistemoje prieinamumas, konfidencialumas ir vientisumas;

6.3. naudojantis Informacine sistema galima vykdyti Informacinės sistemos nuostatuose nurodytus uždavinius ir funkcijas.

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

7. Valstybės įmonė Turto bankas (toliau – Turto bankas), kaip Informacinės sistemos tvarkytojas, įvykus saugos incidentui atlieka šias funkcijas:

7.1. užtikrina Informacinės sistemos saugos incidentų, valdymą ir tyrimą. Registruoja įvykusius saugos incidentus ir nedelsdamas į juos reaguoja, organizacinėmis, techninėmis ir programinėmis priemonėmis saugos incidentus valdo, tiria ir šalina;

7.2. informuoja Nacionalinį kibernetinio saugumo centrą apie Informacinėje sistemoje įvykusius kibernetinius saugos incidentus, nurodytus organizaciniuose ir techniniuose kibernetinio saugumo reikalavimuose, ir taikytas kibernetinių saugos incidentų valdymo priemones Lietuvos Respublikos Vyriausybės ar jos įgaliotos institucijos nustatyta tvarka;

7.3. teikia Valstybinei duomenų apsaugos inspekcijai informaciją apie saugos incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių saugos incidentų valdymo priemones šios institucijos nustatyta tvarka ir sąlygomis;

7.4. teikia policijai informaciją, reikalingą saugos incidentams, turintiems nusikalstamos veikos požymių, užkardyti ir tirti, policijos generalinio komisaro nustatyta tvarka ir sąlygomis;

7.5. sudaro sąlygas Nacionaliniam kibernetinio saugumo centrui diegti ir valdyti technines kibernetinio saugumo priemones Turto banko informaciniuose ištekliuose;

7.6. įvykus didelės reikšmės saugos incidentui, kurio metu ilgiau nei 4 valandoms sutrikdoma Informacinės sistemos veikla ir iškyla reali rizika, kad veikla nebus atkurta per 12 valandų, Informacinės sistemos veiklos atkūrimo ir kitiems Plane numatytiems veiksmams vadovauja Valdymo grupė, o Informacinės sistemos veiklą atkuria Informacinės sistemos veiklos atkūrimo grupė (toliau – Atkūrimo grupė). Grupių personalinę sudėtį tvirtina Turto banko vadovas.

8. Valdymo grupė valdo veiklos tęstinumui kylančias grėsmes ir koordinuoja Informacinės sistemos atkūrimą įvykus saugos incidentui.

9. Valdymo grupę sudaro:

9.1. Turto banko generalinis direktorius arba jo pavaduotojas (Valdymo grupės vadovas);

9.2. Turto banko Organizacijos vystymo departamento (toliau – Departamentas) direktorius (Valdymo grupės vadovo pavaduotojas);

9.3. saugos įgaliotinis;

9.4. kibernetinio saugumo vadovas;

9.5. kiti Informacinės sistemos valdytojo ar tvarkytojo įsakymu paskirti specialistai.

10. Valdymo grupės funkcijos:

10.1. situacijos analizė ir sprendimų Informacinės sistemos veiklos tęstinumo valdymo klausimais priėmimas;

10.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

10.3. bendravimas su susijusių registrų ir (ar) informacinių sistemų veiklos tęstinumo valdymo grupėmis;

10.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;

10.5. finansinių ir kitų išteklių, reikalingų Informacinės sistemos veiklai atkurti, įvykus saugos incidentui, naudojimo kontrolė;

10.6. elektroninės informacijos fizinės saugos organizavimas, įvykus saugos incidentui;

10.7. logistika (žmonių, daiktų, įrangos gabenimas ir jo organizavimas);

10.8. Informacinės sistemos veiklos atkūrimo priežiūra ir koordinavimas;

10.9. kitos Valdymo grupei pavestos funkcijos.

11. Atkūrimo grupė vykdo Informacinės sistemos atkūrimo darbus ir Valdymo grupės nurodymus, susijusius su Informacinės sistemos funkcinių galimybių atkūrimu.

12. Atkūrimo grupę sudaro:

12.1. Departamento Informacinių sprendimų skyriaus viršininkas (Atkūrimo grupės vadovas);

12.2. Departamento Informacinių sprendimų skyriaus specialistai;

12.3. Departamento Bendrųjų reikalų skyriaus darbuotojai, atsakingi už Informacinės sistemos tvarkytojo pastatų priežiūrą, eksploataciją ir elektros ūkį;

12.4. techninės infrastruktūros administratoriai;

12.5. kiti Informacinės sistemos tvarkytojo paskirti specialistai arba pagal sutartį veikiantys juridinių asmenų atstovai;

12.6. išoriniai ekspertai (jei būtina).

13. Atkūrimo grupės funkcijos:

13.1. tarnybinių stočių veikimo atkūrimo organizavimas;

13.2. kompiuterių tinklo veikimo atkūrimo organizavimas;

13.3. Informacinės sistemos elektroninės informacijos atkūrimo organizavimas;

13.4. taikomųjų programų tinkamo veikimo atkūrimo organizavimas;

13.5. darbo kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas;

13.6. kitos Atkūrimo grupei pavestos funkcijos.

14. Valdymo grupė ir Atkūrimo grupė tarpusavyje ir su kitomis grupėmis bendrauja naudodamosi elektroniniu paštu, mobiliuoju ryšiu ir kitomis įmanomomis ryšio priemonėmis. Bendravimo dažnumą, įvertinusi saugos incidento mastą, pobūdį ir veiklos atkūrimo eigą, nustato Valdymo grupė pirmojo susitikimo metu. Bendraujama tol, kol bus pašalinti saugos incidento padariniai.

15. Reaguojant į saugos incidentus ir juos valdant, turi būti vadovaujamasi detaliuoju planu.

16. Saugos incidento metu sunaikinta techninė, sisteminė ir taikomoji programinė įranga keičiama turima rezervine arba testine Informacinės sistemos aplinkos įranga, vėliau įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka, iš Lietuvos Respublikos valstybės biudžeto ar kitų finansavimo šaltinių.

17. Atsarginių patalpų, įvykus saugos incidentui, naudojamų Informacinės sistemos veiklai atkurti, reikalavimai:

17.1. patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

17.2. patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti gaisro gesinimo priemonės;

17.3. patalpos turi būti apsaugotos skirtingos konstrukcijos spynomis;

17.4. patalpose turi būti įrengtas rezervinis elektros energijos šaltinis, užtikrinantis įrangos veikimą ne trumpiau kaip 30 minučių;

17.5. patalpoje nuolat turi veikti oro temperatūros ir drėgmės reguliavimo įranga (oro kondicionavimo sistema);

17.6. jeigu pagrindinės patalpos, kuriose yra Informacinės sistemos tarnybinės stotys ir kita telekomunikacinė įranga, yra netinkamos, siekiant užtikrinti Informacinės sistemos veiklą įvykus saugos incidentui, turi būti naudojamos atsarginės Informacinės sistemos atkūrimo patalpos, esančios Vilniaus g. 16, Vilniuje.

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

18. Informacinės sistemos informacinių technologijų įrangos sąrašai ir parametrai nurodyti Informacinės sistemos techniniame apraše (specifikacijoje) ir detalaus projektavimo dokumente. Už šios įrangos priežiūrą atsakingas techninės infrastruktūros administratorius.

19. Techninės infrastruktūros administratorių pavaduojančio asmens minimalus kompetencijos ar žinių lygis negali būti žemesnis už Informacinės sistemos administratoriui keliamų reikalavimų, nustatytų jo pareigybės aprašyme, lygį.

20. Patalpų brėžinius ir šiose patalpose esančios įrangos bei komunikacijų sąrašą parengia (pažymi tarnybines stotis, kompiuterių tinklo ir telefonų tinklo mazgus, kompiuterių tinklo ir telefonų tinklo laidų vedimo tarp pastato aukštų vietas, elektros įvedimo pastate vietas) ir saugo techninės infrastruktūros administratorius.

21. Duomenų teikimo bei kompiuterinės, techninės ir programinės įrangos priežiūros sutarčių kopijas pagal kompetenciją saugo atsakingi Departamento Informacinių sprendimų skyriaus darbuotojai.

22. Programinės įrangos laikmenos ir laikmenos su atsarginėmis duomenų kopijomis saugomos užrakintoje nedegioje spintoje, kitose patalpose, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. Atsarginės duomenų kopijos yra perkeliamos į saugojimo vietą kartą per savaitę.

23. Saugos įgaliotinis parengia ir saugo sąrašus su Valdymo grupės ir Atkūrimo grupės narių tarnybinių mobiliųjų telefonų numeriais.

IV SKYRIUS

PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

24. Saugos įgaliotinis kartu su kibernetinio saugumo vadovu Plano veiksmingumo paskutinio ir kito planuojamo išbandymo būdą ir datą nurodo Plano veiksmingumo išbandymų registracijos žurnale, kurio forma nustatyta Plano 2 priede.

25. Planas turi būti išbandomas ne rečiau kaip kartą per metus. Plano veiksmingumas išbandomas saugos incidento teorinio modeliavimo, simuliacinio žaidimo ar kitu būdu.

26. Pagal bandymų rezultatus saugos įgaliotinis kartu su kibernetinio saugumo vadovu parengia Plano 3 priede nurodytą ataskaitą, kurioje yra apibendrinami atliktų bandymų rezultatai, akcentuojami pastebėti trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Saugos įgaliotinis minėtą ataskaitą pateikia Informacinės sistemos valdytojui.

27. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami maksimaliai operatyviai.

__________________

Valstybės turto informacinės paieškos sistemos
veiklos tęstinumo valdymo plano

1 priedas

VALSTYBĖS TURTO INFORMACINĖS PAIEŠKOS SISTEMOS VEIKLOS ATKŪRIMO

DETALUSIS PLANAS

Valstybės turto informacinės paieškos sistemos elektroninės informacijos saugos incidentas	Veiksmai esant Valstybės turto informacinės paieškos sistemos elektroninės informacijos saugos incidentui	Valstybės turto informacinės paieškos sistemos veiklos atkūrimo veiksmai	Valstybės turto informacinės paieškos sistemos veiklos atkūrimo veiksmų atsakingi vykdytojai
1. Veiksmai atliekami įvykus Valstybės turto informacinės paieškos sistemos (toliau – Informacinė sistema) elektroninės informacijos (toliau – elektroninė informacija) saugos ar kibernetinio saugumo incidentui (toliau – saugos incidentas) (bendri visiems saugos incidentams)	1.1. galimos žalos Informacinei sistemai įvertinimas, priemonių plano užkirsti kelią saugos incidentui sudarymas ir įgyvendinimas	1.1.1. žalos įvertinimas, priemonių plano saugos incidento padariniams likviduoti sudarymas ir įgyvendinimas	Informacinės sistemos veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) vadovas
	1.2. Informacinės sistemos veiklos atkūrimo veiksmus atliekančių darbuotojų paskyrimas, jų budėjimo grafiko nustatymas ir jų informavimas apie tai	1.2.1. darbų grafiko saugos incidento padariniams likviduoti sudarymas	Informacinės sistemos veiklos atkūrimo grupės (toliau – Atkūrimo grupė) vadovas
		1.2.2. darbuotojų saugos incidento padarinių likvidavimo darbams atlikti darbuotojų sąrašo sudarymas ir jų informavimas apie tai	Atkūrimo grupės vadovas Informacinės sistemos techninės infrastruktūros administratorius
	1.3. Informacinės sistemos naudotojams rekomenduojamo elgesio saugos incidento metu skelbimas žodžiu arba ryšio priemonėmis	1.3.1. saugos incidento padarinių likvidavimo darbus atliekančių darbuotojų instruktavimas apie elgseną saugos incidento vietoje	Informacinės sistemos saugos įgaliotinis
	1.4. Nacionalinio kibernetinio saugumo centro informavimas apie Informacinėje sistemoje įvykusius kibernetinius incidentus, apibrėžtus organizaciniuose ir techniniuose kibernetinio saugumo reikalavimuose, ir taikytas kibernetinių saugos incidentų valdymo priemones Lietuvos Respublikos Vyriausybės ar jos įgaliotos institucijos nustatyta tvarka		Informacinės sistemos kibernetinio saugumo vadovas (toliau – kibernetinio saugumo vadovas)
	1.5. informacijos apie kibernetinius saugos incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių saugos incidentų valdymo priemones pateikimas Valstybinei duomenų apsaugos inspekcijai šios institucijos nustatyta tvarka ir sąlygomis		Informacinės sistemos saugos įgaliotinis, kibernetinio saugumo vadovas
	1.6. informacijos, reikalingos kibernetiniams saugos incidentams, turintiems nusikalstamos veikos požymių, užkardyti ir tirti, pateikimas policijai. Informacija pateikiama policijos generalinio komisaro nustatyta tvarka ir sąlygomis		Informacinės sistemos saugos įgaliotinis, kibernetinio saugumo vadovas
2. Gamtinės sąlygos (klimatinių sąlygų pakitimai)	2.1. meteorologinės informacijos sekimas	2.1.1. saugos incidento padarinių likvidavimo darbus atliekančių darbuotojų informavimas apie esamą situaciją	Informacinės sistemos saugos įgaliotinis
	2.2. saugios vietos nustatymas ir nurodymas Informacinės sistemos naudotojams eiti į saugią vietą	2.2.1. Informacinės sistemos naudotojų informavimas apie būtinumą pereiti į kitas saugias patalpas	Valdymo grupės vadovas
	2.3. Informacinės sistemos naudotojų informavimas apie darbo sustabdymą dėl nepalankių sąlygų	2.3.1. Informacinės sistemos naudotojų informavimas apie esamą situaciją ir numatomas darbo sąlygas	Informacinės sistemos saugos įgaliotinis
	2.4. pasiruošimas suteikti nukentėjusiems Informacinės sistemos naudotojams pirmąją pagalbą	2.4.1. pirmosios pagalbos suteikimas nukentėjusiems Informacinės sistemos naudotojams, nukentėjusiųjų gabenimo į gydymo įstaigą organizavimas	valstybės įmonės Turto banko Organizacijos vystymo departamento (toliau – Departamentas) Bendrųjų reikalų skyriaus darbuotojai
	2.5. pavojingų vietų ženklinimas, informacinių lentelių pakabinimas	2.5.1. Informacinės sistemos naudotojų informavimas, saugos incidento padarinius likviduojančių darbuotojų instruktavimas	Informacinės sistemos saugos įgaliotinis
	2.6. alternatyvių energijos tiekimo šaltinių panaudojimas	2.6.1. energijos tiekimo tarnybų rekomendacijų vykdymas	Atkūrimo grupės vadovas
	2.7. alternatyvaus ryšio organizavimas	2.7.1. kreipimasis į ryšio paslaugos teikėjus	Atkūrimo grupės vadovas
	2.8. pagrindinės Informacinės sistemos techninės ir programinės įrangos, duomenų galimam pavojui išvengti ir (ar) likviduoti paruošimas	2.8.1. Informacinės sistemos tarnybinių stočių, kitos techninės įrangos išjungimas ir perkėlimas į saugią vietą	Informacinės sistemos techninės infrastruktūros administratorius
3. Potvynis, užtvindymas	3.1. potvynio prognozės sekimas	3.1.1. saugos incidento padarinius likviduojančių darbuotojų instruktavimas	Informacinės sistemos saugos įgaliotinis
	3.2. veiksmų, nurodytų 2.1–2.8 papunkčiuose, atlikimas
	3.3. Informacinės sistemos naudotojų, dirbančių potvynio vietoje, aprūpinimas karštu maistu	3.3.1. Informacinės sistemos naudotojų, dirbančių potvynio vietoje, maitinimo organizavimas	Departamento Bendrųjų reikalų skyriaus darbuotojai
4. Darbo aplinkos užteršimas pavojingomis medžiagomis	4.1. pavojingų medžiagų šalinimo tarnybos informavimas	4.1.1. pavojingų medžiagų šalinimo tarnybos leidimo dirbti saugos incidento zonoje gavimas, darbo atlikimo rekomendacijų gavimas ir Informacinės sistemos naudotojų informavimas apie rekomenduojamus darbo būdus	Valdymo grupės vadovas
	4.2. priešgaisrinės apsaugos ir gelbėjimo tarnybos informavimas	4.2.1. priešgaisrinės apsaugos ir gelbėjimo tarnybos leidimo dirbti saugos incidento vietoje gavimas	Informacinės sistemos saugos įgaliotinis
	4.3. esant būtinumui – Informacinės sistemos naudotojų evakuacija	4.3.1. galimybių evakuoti Informacinės sistemos naudotojus nagrinėjimas, jei gauta priešgaisrinės apsaugos ir gelbėjimo tarnybos rekomendacija	Valdymo grupės vadovas, Informacinės sistemos saugos įgaliotinis
	4.4. veiksmų, nurodytų 2.1–2.8 papunkčiuose, atlikimas
5. Gaisras	5.1. esant būtinumui – Informacinės sistemos naudotojų evakuacija	5.1.1. galimybių evakuoti Informacinės sistemos naudotojus nagrinėjimas	Valdymo grupės vadovas, Informacinės sistemos saugos įgaliotinis
	5.2. priešgaisrinės apsaugos ir gelbėjimo tarnybos informavimas	5.2.1. priešgaisrinės ir gelbėjimo tarnybos leidimo dirbti saugos incidento zonoje gavimas, darbo atlikimo rekomendacijų gavimas, Informacinės sistemos naudotojų informavimas apie rekomenduojamus darbo būdus	Informacinės sistemos saugos įgaliotinis
	5.3. gaisro gesinimas ankstyvoje stadijoje, nekeliant pavojaus Informacinės sistemos naudotojų gyvybei	5.3.1. priešgaisrinės ir gelbėjimo tarnybos nurodymų vykdymas	Departamento Bendrųjų reikalų skyriaus darbuotojai
	5.4. komunalinių komunikacijų, galinčių sukelti papildomą nenumatytą situaciją, išjungimas	5.4.1. priešgaisrinės ir gelbėjimo tarnybos rekomendacijų vykdymas	Informacinės sistemos techninės infrastruktūros administratorius
	5.5. veiksmų, nurodytų 2.1–2.8 papunkčiuose, atlikimas
6. Patalpų, kuriose yra Informacinės sistemos tarnybinės stotys ir svarbiausia komutacinė įranga (toliau – patalpos), užgrobimas	6.1. teisėsaugos tarnybų informavimas	6.1.1. teisėsaugos tarnybų informavimas apie saugos incidentą	Valdymo grupės vadovas
	6.2. esant būtinumui, Informacinės sistemos naudotojų evakavimas, įspėjant teisėsaugos tarnybas	6.2.1. Informacinės sistemos naudotojų informavimas apie evakavimą, jei yra teisėsaugos tarnybų rekomendacija	Informacinės sistemos saugos įgaliotinis
	6.3. esant būtinumui, Informacinės sistemos techninės įrangos išjungimas ir patalpų užrakinimas	6.3.1. Informacinės sistemos tarnybinių stočių, kitos techninės įrangos išjungimas, patalpų užrakinimas, jei yra galimybė	Informacinės sistemos techninės infrastruktūros administratorius
	6.4. esant būtinumui, likusių Informacinės sistemos naudotojų evakavimas	6.4.1. Informacinės sistemos naudotojų informavimas apie evakavimą, jei yra teisėsaugos tarnybų rekomendacija	Informacinės sistemos saugos įgaliotinis
	6.5. teisėsaugos pareigūnų nurodymų vykdymas	6.5.1. Informacinės sistemos naudotojų informavimas apie teisėsaugos tarnybų nurodymus	Informacinės sistemos saugos įgaliotinis
	6.6. veiksmų, nurodytų 2.1–2.8 papunkčiuose, atlikimas
7. Patalpų sugadinimas	7.1. avarinių ar teisėsaugos tarnybų informavimas, atsižvelgiant į iškilusio pavojaus pobūdį	7.1.1. atitinkamos tarnybos leidimo dirbti pavojaus zonoje gavimas, darbui atlikimo rekomendacijų gavimas, Informacinės sistemos naudotojų informavimas apie rekomenduojamus darbo būdus	Informacinės sistemos saugos įgaliotinis, kibernetinio saugumo vadovas
	7.2. veiksmų, nurodytų 2.1–2.8 papunkčiuose, atlikimas
	7.3. esant reikalui, atsarginių patalpų Informacinės sistemos veiklai užtikrinti ir darbo vietoms išdėstyti suradimas	7.3.1. darbo organizavimas ir koordinavimas atsarginėse Informacinės sistemos patalpose	Atkūrimo grupės vadovas
	7.4. komunalinių komunikacijų, galinčių sukelti papildomą saugos incidentą, išjungimas	7.4.1. pažeistų patalpų rekonstrukcijos, atstatymo darbų, komunalinių komunikacijų išjungimo organizavimas ir (ar) Informacinės sistemos perkėlimas į naujas patalpas	Valdymo grupės vadovas, Atkūrimo grupės vadovas
8. Elektros energijos tiekimo sutrikimai	8.1. elektros energijos tiekimo sistemos veiklos patikrinimas	8.1.1. pažeisto vietos elektros tinklo, užtikrinančio Informacinės sistemos veiklą, atkūrimo organizavimas	Atkūrimo grupės vadovas
	8.2. esant būtinumui, tarnybinių stočių ir kitos techninės įrangos, jautrios elektros energijos tiekimo sutrikimams, išjungimas	8.2.1. elektros energijos tiekimo Informacinės sistemos tarnybinėms stotims ir kitai techninei įrangai išjungimas	Atkūrimo grupės vadovas, Informacinės sistemos techninės infrastruktūros administratorius
	8.3. kreipimasis į elektros energijos tiekimo tarnybą dėl sutrikimo pašalinimo trukmės prognozės	8.3.1. rekomendacijų iš elektros energijos tiekimo tarnybos gavimas	Atkūrimo grupės vadovas
	8.4. sutrikimo pašalinimo trukmės prognozės skelbimas Informacinės sistemos naudotojams	8.4.1. Informacinės sistemos naudotojų informavimas apie esamą situaciją ir numatomas darbo sąlygas	Informacinės sistemos saugos įgaliotinis
	8.5. veiksmų, nurodytų 2.7, 7.3 papunkčiuose, atlikimas
9. Vandentiekio ir šildymo sistemos sutrikimai	9.1. vandentiekio ar šilumos tinklų avarinių tarnybų informavimas, atsižvelgus į sutrikimo pobūdį	9.1.1. atitinkamos tarnybos informavimas apie sutrikimus, darbo atlikimo rekomendacijų gavimas, Informacinės sistemos naudotojų informavimas apie rekomenduojamus darbus	Atkūrimo grupės vadovas Informacinės sistemos saugos įgaliotinis
	9.2. sutrikimo pašalinimo trukmės prognozės skelbimas Informacinės sistemos naudotojams	9.2.1. Informacinės sistemos naudotojų informavimas apie esamą situaciją ir numatomas darbo sąlygas	Informacinės sistemos saugos įgaliotinis
	9.3. veiksmų, nurodytų 5.4, 7.3 papunkčiuose, atlikimas
10. Ryšio sutrikimai	10.1. telefono ir (ar) interneto ryšio paslaugų teikėjų informavimas, atsižvelgus į sutrikimo pobūdį, paklausimas dėl jo pašalinimo trukmės prognozės	10.1.1. kreipimasis į telefono ir (ar) interneto paslaugų teikėjus	Atkūrimo grupės vadovas
	10.2. sutrikimo pašalinimo prognozės skelbimas Informacinės sistemos naudotojams	10.2.1. Informacinės sistemos naudotojų informavimas apie esamą situaciją ir numatomas darbo sąlygas	Informacinės sistemos saugos įgaliotinis
	10.3. alternatyvaus ryšio organizavimas	10.3.1. neatkūrus ryšio per prognozuotą laiką, ryšio, naudojantis kitų ryšio paslaugų teikėjų paslaugomis, organizavimas	Atkūrimo grupės vadovas, Informacinės sistemos techninės infrastruktūros administratorius
11. Informacinės sistemos tarnybinių stočių ar komutacinės įrangos sugadinimas (gedimas), sunaikinimas, praradimas	11.1. Informacinės sistemos naudotojų informavimas apie darbo sustabdymą dėl nepalankių sąlygų	11.1.1. Informacinės sistemos naudotojų informavimas apie esamą situaciją ir numatomas darbo sąlygas	Informacinės sistemos saugos įgaliotinis
	11.2. rezervinės techninės įrangos naudojimas	11.2.1. veikiančios techninės įrangos išteklių perskirstymas Informacinės sistemos veiklai užtikrinti	Atkūrimo grupės vadovas, Informacinės sistemos techninės infrastruktūros administratorius
	11.3. techninės įrangos ir Informacinės sistemos atkūrimas	11.3.1. esant būtinumui, kreipimasis į techninės įrangos tiekėjus dėl sugadintos įrangos remonto ar dėl naujos techninės įrangos įsigijimo arba nuomos	Atkūrimo grupės vadovas
		11.3.2. pranešimas draudimo įstaigai apie įvykį, dėl kurio nukentėjo apdrausti daiktai	Atkūrimo grupės vadovas
		11.3.3. Informacinės sistemos atkūrimas iš atsarginių kopijų	Informacinės sistemos techninės infrastruktūros administratorius
12. Informacinės sistemos programinės įrangos sugadinimas, praradimas	12.1. Informacinės sistemos programinės įrangos atkūrimas iš atsarginių kopijų	12.1.1. sugadintos ar prarastos programinės įrangos atkūrimas iš programinės įrangos kopijų	Informacinės sistemos techninės infrastruktūros administratorius
13. Informacinės sistemos duomenų pakeitimas, sunaikinimas, atskleidimas	13.1. duomenų atkūrimas iš atsarginių duomenų kopijų	12.1.1. Informacinei sistemai nustojus veikti dėl duomenų pakeitimo ar sunaikinimo, duomenų atkūrimas iš duomenų kopijų	Informacinės sistemos techninės infrastruktūros administratorius

_________________________________

Valstybės turto informacinės paieškos sistemos

veiklos tęstinumo valdymo plano

2 priedas

(Valstybės turto informacinės paieškos sistemos veiklos tęstinumo valdymo plano veiksmingumo išbandymų registracijos žurnalo forma)

VALSTYBĖS TURTO INFORMACINĖS PAIEŠKOS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANO VEIKSMINGUMO IŠBANDYMŲ REGISTRACIJOS ŽURNALAS

Eil.Nr.	Plano išbandymo būdas	Data	Atsakingo asmens vardas, pavardė	Atsakingo asmens pareigos
1	2	3	4	5

Valstybės turto informacinės paieškos sistemos

veiklos tęstinumo valdymo plano

3 priedas

(Valstybės turto informacinės paieškos sistemos veiklos tęstinumo valdymo plano išbandymo ataskaitos forma)

Valstybės turto informacinės paieškos SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANO VEIKSMINGUMO IŠBANDYMO ATASKAITA

(Valstybės turto informacinės paieškos sistemos veiklos tęstinumo valdymo grupės susitikimo data ir dokumento numeris)

Valstybės turto informacinės paieškos sistemos (toliau – Informacinė sistema) veiklos tęstinumo valdymo plano bandyme dalyvavo Informacinės sistemos veiklos tęstinumo valdymo grupės nariai:

...

Informacinės sistemos elektroninės informacijos saugos ar kibernetinio saugumo incidento (toliau – saugos incidentas) apibūdinimas:

Saugos incidento poveikis Informacinei sistemai:

Saugos incidento valdymo eiga:

Rasti Informacinės sistemos veiklos tęstinumo valdymo plano trūkumai:

Pasiūlymai keisti arba papildyti planą:


(vardas, pavardė)		(parašas)

(vardas, pavardė)		(parašas)

(vardas, pavardė)		(parašas)

PATVIRTINTA

Lietuvos Respublikos finansų ministro

2018 m. vasario 28 d. įsakymu Nr. 1K-100

VALSTYBĖS TURTO INFORMACINĖS PAIEŠKOS SISTEMOS

NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybės turto informacinės paieškos sistemos naudotojų administravimo taisyklės (toliau – Taisyklės) reglamentuoja Valstybės turto informacinės paieškos sistemos (toliau – Informacinė sistema) naudotojų ir administratorių teises ir pareigas, Informacinės sistemos naudotojų administravimo principus ir tvarką, jų veiksmų kontrolę.

2. Taisyklėse vartojamos sąvokos:

2.1. Informacinės sistemos naudotojas – valstybės ar savivaldybės institucijos valstybės tarnautojas arba pagal darbo sutartį dirbantis valstybės įmonės Turto banko, valstybės ar savivaldybės institucijos, įstaigos, įmonės darbuotojas ar kitas asmuo, teisės aktų, reglamentuojančių Informacinės sistemos veiklą, nustatyta tvarka pagal kompetenciją naudojantys ir (ar) tvarkantys Informacinės sistemos informaciją;

2.2. išorinis Informacinės sistemos naudotojas – Informacinės sistemos naudotojas, darbo santykiais nesusijęs su Informacinės sistemos tvarkytoju;

2.3. vidinis Informacinės sistemos naudotojas – Informacinės sistemos naudotojas, darbo santykiais susijęs su Informacinės sistemos tvarkytoju;

2.4. kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Valstybės turto informacinės paieškos sistemos duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos finansų ministro 2016 m. balandžio 13 d. įsakymu Nr. 1K-134 „Dėl Valstybės turto informacinės paieškos sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – Saugos nuostatai).

3. Taisyklių reikalavimai taikomi:

3.1. Informacinės sistemos naudotojams;

3.2. Informacinės sistemos administratoriams:

3.2.1. Informacinės sistemos techninės infrastruktūros administratoriams (toliau – techninės infrastruktūros administratorius);

3.2.2. Informacinės sistemos veiklos administratoriams (toliau – veiklos administratorius);

3.2.3. Informacinės sistemos institucijų administratoriams (toliau – institucijos administratorius), kuriems pagal Saugos nuostatus suteikta teisė vykdyti teikiančios ar gaunančios duomenis institucijos Informacinės sistemos naudotojų administravimą, tinkamų jiems vaidmenų priskyrimą ir kitų sistemos funkcijų suderinimą su esamais institucijos poreikiais.

4. Pagrindiniai prieigos prie Informacinės sistemos elektroninės informacijos (toliau – elektroninė informacija) principai:

4.1. kiekvienas Informacinės sistemos naudotojas ir Informacinės sistemos administratorius turi būti Informacinėje sistemoje unikaliai identifikuojamas (asmens kodas negali būti naudojamas kaip Informacinės sistemos naudotojo identifikatorius);

4.2. Informacinės sistemos naudotojas ar Informacinės sistemos administratorius turi patvirtinti savo tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone;

4.3. Informacinės sistemos naudotojas ir Informacinės sistemos administratorius turi turėti tik tiek prieigos teisių prie Informacinės sistemos ir joje tvarkomos elektroninės informacijos, kiek tai būtina teisės aktais nustatytoms jų funkcijoms atlikti. Prieiga prie Informacinės sistemos suteikiama vadovaujantis būtinumo žinoti principu.

II SKYRIUS

INFORMACINĖS SISTEMOS NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS

5. Informacinės sistemos naudotojų įgaliojimai, vaidmenys ir teisės nustatyti:

5.1. Saugos nuostatuose;

5.2. Valstybės turto informacinės paieškos sistemos duomenų pateikimo, naudojimo ir sprendimų derinimo taisyklėse, patvirtintose Lietuvos Respublikos finansų ministro 2016 m. kovo 31 d. įsakymu Nr. 1K-111 „Dėl Valstybės turto informacinės paieškos sistemos duomenų pateikimo, naudojimo ir sprendimų derinimo taisyklių patvirtinimo“ (toliau – Informacinės sistemos duomenų taisyklės).

6. Informacinės sistemos naudotojų teisės ir pareigos tvarkant elektroninę informaciją:

6.1. Elektroninės informacijos saugos užtikrinimas ir elektroninės informacijos tvarkymas, vadovaujantis teisės aktais ir duomenų teikimo sutartimis;

6.2. Informacinės sistemos tvarkomų asmens duomenų paslapties saugojimas Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka;

6.3. pastebėjus Informacinės sistemos saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, nedelsiant pranešti apie tai veiklos administratoriams, Informacinės sistemos saugos įgaliotiniui (toliau – saugos įgaliotinis) ir Informacinės sistemos kibernetinio saugumo vadovui (toliau – kibernetinio saugumo vadovas) telefonais, nurodytais tinklalapyje www.valstybesturtas.lt arba el. paštu pagalba@valstybesturtas.lt.

7. Informacinės sistemos administratoriai pagal savo veiklos pobūdį ir prieigos prie Informacinės sistemos lygį skirstomi į techninės infrastruktūros administratorius, veiklos administratorius ir institucijos administratorius.

8. Informacinės sistemos administratorių atliekamos priežiūros funkcijos ir prieigos prie Informacinės sistemos lygiai įvardyti Saugos nuostatuose, Informacinės sistemos duomenų pateikimo, naudojimo ir sprendimų derinimo taisyklėse, pareigybių aprašymuose bei kituose elektroninės informacijos saugą ir Informacinės sistemos veiklą reglamentuojančiuose teisės aktuose.

9. Techninės infrastruktūros administratoriaus pagrindinės pareigos yra šios:

9.1. Informacinės sistemos techninė priežiūra (naudojant techninės infrastruktūros administratorius paskyrą draudžiama atlikti Informacinės sistemos naudotojo funkciją);

9.2. elektroninės informacijos saugos užtikrinimas vadovaujantis teisės aktais;

9.3. Informacinės sistemos tvarkomų asmens duomenų paslapties užtikrinimas vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka ir kitais teisės aktais, reglamentuojančiais Informacinės sistemos informacijos saugą ir tvarkymą.

10. Techninės infrastruktūros administratorius atsako už tai, kad Informacinėje sistemoje būtų įrašomi ir Valstybės turto informacinės paieškos sistemos saugaus elektroninės informacijos tvarkymo taisyklėse nustatytą laiką saugomi duomenys apie Informacinės sistemos tarnybinių stočių, Informacinės sistemos taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis Informacinės sistemos tarnybinėse stotyse ir Informacinės sistemos taikomojoje programinėje įrangoje, visus Informacinės sistemos naudotojų vykdomus veiksmus, kitus elektroninės informacijos saugai svarbius įvykius, nurodant Informacinės sistemos naudotojo identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką. Šie duomenys turi būti analizuojami ne rečiau kaip kartą per savaitę ir saugomi ne toje pačioje Informacinėje sistemoje, į kurią įrašomi.

11. Veiklos administratoriaus pagrindinės pareigos yra:

11.1. Informacinės sistemos naudotojų informacijos ir jų prieigos teisių redagavimas;

11.2. pagal kompetenciją – pagalbos ir konsultacijų Informacinės sistemos naudotojams teikimas;

11.3. naujų Informacinės sistemos naudotojų registravimas, gavus nustatytos formos institucijų prašymą, ir prieigos teisių jiems suteikimas;

11.4. elektroninės informacijos saugos užtikrinimas vadovaujantis teisės aktais;

11.5. Informacinės sistemos tvarkomų asmens duomenų paslapties užtikrinimas vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir apsaugą.

12. Institucijos administratoriaus pagrindinės pareigos yra:

12.1. Informacinės sistemos institucijos naudotojų sąrašo duomenų tvarkymas;

12.2. vaidmenų (duomenų teikėjo, nekilnojamojo turto (toliau – NT) objektų tvarkytojo, institucijos vadovo ar institucijos analitiko) institucijos Informacinės sistemos naudotojams priskyrimas;

12.3. elektroninės informacijos saugos užtikrinimas;

12.4. Informacinės sistemos tvarkomų asmens duomenų paslapties užtikrinimas vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir apsaugą.

13. Informacinės sistemos administratoriams ir Informacinės sistemos naudotojams draudžiama:

13.1. atskleisti Informacinėje sistemoje kaupiamą informaciją ar suteikti kitokią galimybę bet kokia forma su ja susipažinti tokios teisės neturintiems asmenims;

13.2. savavališkai diegti Informacinės sistemos taikomosios programinės įrangos pakeitimus ir naujas versijas neturint tam suteiktos teisės;

13.3. naudoti elektroninę informaciją kitokiais nei Informacinės sistemos nuostatuose, kituose teisės aktuose ar duomenų teikimo sutartyse nurodytais tikslais;

13.4. sudaryti sąlygas pasinaudoti Informacinės sistemos technine ir programine įranga tokios teisės neturintiems asmenims (paliekant darbo vietą, būtina užrakinti kompiuterio darbalaukį arba išjungti kompiuterį);

13.5. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti ar sunaikinti Informacinės sistemos duomenys;

13.6. atlikti bet kokius kitus neteisėtus Informacinės sistemos tvarkymo veiksmus.

III SKYRIUS

SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO INFORMACINĖS SISTEMOS NAUDOTOJAMS KONTROLĖS TVARKA

14. Išorinių Informacinės sistemos naudotojų įregistravimo ir išregistravimo tvarka:

14.1. valstybės institucijos, įstaigos, įmonės (toliau – institucijos), kurioms Informacinės sistemos duomenys teikiami pavestoms viešojo administravimo funkcijoms atlikti, bei turto valdytojai, norėdami pateikti duomenis ir pateiktus duomenis peržiūrėti, Informacinės sistemos duomenų pateikimo, naudojimo ir sprendimų derinimo taisyklių nustatyta tvarka teikia prašymą Informacinės sistemos tvarkytojui dėl prieigos prie Informacinės sistemos teisių suteikimo. Prašyme turi būti nurodyta Informacinės sistemos naudotojų, esant poreikiui – institucijos administratoriaus duomenys ir Informacinės sistemos naudotojų vaidmenys (institucijos vadovas, duomenų teikėjas, NT objektų tvarkytojas, institucijos analitikas);

14.2. gavę institucijų prašymus veiklos administratoriai registruoja juos Informacinės sistemos naudotojų administravimo posistemėje. Jei institucija yra paskyrusi institucijos administratorių, jam suteikiama teisė administruoti jį paskyrusios institucijos Informacinės sistemos naudotojus (registruoti, nustatyti vaidmenis, sustabdyti teises naudotis sistema). Užregistravus naują Informacinės sistemos naudotoją, Informacinė sistema automatiškai išsiunčia el. paštu prisijungimo duomenis – prisijungimo vardą ir laikiną slaptažodį;

14.3. Informacinės sistemos naudotojas ar institucijos administratorius, pirmą kartą jungdamiesi prie Informacinės sistemos, privalo pasikeisti laikiną slaptažodį. Informacinė sistema turi drausti prieigą prie Informacinės sistemos duomenų naudotojams ir administratoriams prisijungus su laikinu slaptažodžiu;

14.4. suteikti vaidmenys turi būti koreguojami arba naudotojų teisės sustabdomos pasikeitus Informacinės sistemos naudotojo darbo funkcijoms arba nutraukus darbo santykius. Apie Informacinės sistemos naudotojų pasikeitimus institucijos privalo raštu informuoti veiklos administratorius. Jei institucija yra paskyrusi institucijos administratorių, jis atsako už institucijos Informacinės sistemos naudotojų administravimą, t. y. naudotojų vaidmenų pakeitimus, naudotojų teisų sustabdymą ir kt.;

14.5. institucija, nutraukdama savo veiklą, privalo apie tai informuoti Informacinės sistemos tvarkytoją ir nurodyti, nuo kada turi būti sustabdytos institucijos Informacinės sistemos naudotojų, įskaitant institucijos administratorių, teisės jungtis prie sistemos.

15. Vidinių Informacinės sistemos naudotojų įregistravimo ir išregistravimo tvarka:

15.1. Informacinės sistemos tvarkytojui priėmus sprendimą suteikti savo darbuotojui prieigą prie Informacinės sistemos, apie tai informuojami veiklos administratoriai, kurie Informacinės sistemos tvarkytojo administruojamoje Windows katalogų tarnyboje suteikia prieigą (darbuotojo paskyrą įtraukia į Informacinės sistemos naudotojų grupę) ir Informacinėje sistemoje nurodo naujo naudotojo vaidmenį;

15.2. suteikti vaidmenys turi būti koreguojami arba prieiga sustabdoma pasikeitus Informacinės sistemos naudotojo darbo funkcijoms arba nutraukus darbo santykius.

16. Priemonės Informacinės sistemos naudotojų tapatybei nustatyti:

16.1. kiekvienas Informacinės sistemos naudotojas, jungdamasis prie Informacinės sistemos, privalo atlikti tapatumo nustatymo procedūrą, t. y. turi patvirtinti savo tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone;

16.2. Informacinėje sistemoje kiekvienas naudotojas yra unikaliai identifikuojamas, t. y. kiekvienam Informacinės sistemos naudotojui suteikiamas nesikartojantis vardas;

16.3. kiekvienas Informacinės sistemos naudotojas privalo naudoti tik jam suteiktą Informacinės sistemos naudotojo vardą; naudoti svetimą Informacinės sistemos naudotojo vardą griežtai draudžiama;

16.4. Informacinėje sistemoje naudotojų vardai ir slaptažodžiai yra saugomi tinkamai užtikrinant prieigos kontrolę ir šifruojant informaciją. Visų Informacinės sistemos administratorių ir naudotojų slaptažodžiai sistemoje saugomi užšifruoti, jų negali matyti Informacinės sistemos administratoriai.

17. Informacinės sistemos naudotojų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai:

17.1. slaptažodis turi būti sudarytas iš raidžių, skaičių ir specialiųjų simbolių;

17.2. slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija (pavyzdžiui, gimimo data, šeimos narių vardai ir panašiai);

17.3. draudžiama slaptažodžius atskleisti tretiesiems asmenims;

17.4. Informacinės sistemos dalys, patvirtinančios Informacinės sistemos naudotojo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius;

17.5. didžiausias leidžiamas mėginimų įvesti teisingą slaptažodį skaičius – ne didesnis nei 5 kartai. Iš eilės neteisingai įvedus slaptažodį tiek kartų, kiek yra leidžiama, Informacinė sistema turi užsirakinti ir neleisti Informacinės sistemos naudotojui identifikuotis Informacinėje sistemoje ne trumpiau nei 15 minučių;

17.6. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais; tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo ir jeigu:

17.6.1. Informacinės sistemos naudotojas neturi galimybių iššifruoti gauto užšifruoto slaptažodžio;

17.6.2. nėra techninių galimybių Informacinės sistemos naudotojui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu;

17.7. papildomi vidinio Informacinės sistemos naudotojo slaptažodžių reikalavimai:

17.7.1. slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius;

17.7.2. slaptažodį turi sudaryti ne mažiau kaip 8 simboliai;

17.7.3. keičiant slaptažodį Informacinė sistema neturi leisti jo pasirinkti iš buvusių 6 paskutinių slaptažodžių;

17.7.4. pirmąkart jungiantis prie Informacinės sistemos, turi būti reikalaujama, kad Informacinės sistemos naudotojas pakeistų slaptažodį;

17.8. papildomi techninės infrastruktūros administratoriaus, veiklos administratoriaus, institucijos administratoriaus slaptažodžių reikalavimai:

17.8.1. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

17.8.2. slaptažodį turi sudaryti ne mažiau kaip 12 simbolių;

17.8.3. keičiant slaptažodį neleidžiama jo pasirinkti iš buvusių 3 paskutinių slaptažodžių.

18. Turi būti patvirtintas ir periodiškai peržiūrimas asmenų, kuriems suteiktos techninės infrastruktūros administratoriaus ir veiklos administratoriaus teisės prisijungti prie Informacinės sistemos, sąrašas. Sąrašas turi būti nedelsiant peržiūrėtas, kai įstatymų nustatytais atvejais techninės infrastruktūros administratorius arba veiklos administratorius nušalinamas nuo darbo (pareigų). Sąrašą rengia ir paskyrų kontrolę vykdo saugos įgaliotinis. Sąrašą tvirtina Informacinės sistemos tvarkytojas.

19. Vykdant techninės infrastruktūros administratorių arba veiklos administratorių paskyrų kontrolę, esant techninėms galimybėms naudojamos automatizuotos šių paskyrų kontrolės priemonės, kurios tikrina, ar esama nepatvirtintų paskyrų, ir apie jas nedelsdamos praneša saugos įgaliotiniui. Nesant techninių galimybių tikrinimas vykdomas periodiškai, ne rečiau kaip 1 kartą per savaitę.

20. Vykdant institucijų administratorių paskyrų kontrolę, esant techninėms galimybėms naudojamos automatizuotos šių paskyrų kontrolės priemonės, kurios tikrina, ar esama nepatvirtintų (nenaudojamų) paskyrų, ir apie jas nedelsdamos praneša saugos įgaliotiniui. Nesant techninių galimybių tikrinimas vykdomas periodiškai, prieš duomenų už praėjusius ataskaitinius metus pateikimo į Informacinę sistemą laikotarpio pradžią. Už kontrolę atsakingi veiklos administratoriai.

21. Turi būti vykdoma vidinių Informacinės sistemos naudotojų paskyrų kontrolė – tikrinama, ar esama nepatvirtintų Informacinės sistemos naudotojų paskyrų, ir apie jas pranešama saugos įgaliotiniui. Už kontrolę atsakingi veiklos administratoriai.

22. Sąlygos ir atvejai, kada sustabdoma techninės infrastruktūros administratorių, veiklos administratorių, institucijos administratorių arba Informacinės sistemos naudotojų teisė dirbti su Informacine sistema:

22.1. kai techninės infrastruktūros administratorius arba veiklos administratorius nesinaudoja Informacine sistema ilgiau kaip 2 mėnesius;

22.2. kai vidinis Informacinės sistemos naudotojas nesinaudoja Informacine sistema ilgiau kaip 3 mėnesius;

22.3. kai išorinis Informacinės sistemos naudotojas ar institucijos administratorius nesinaudoja Informacine sistema ilgiau kaip 12 mėnesių (dauguma išorinių Informacinės sistemos naudotojų teikia duomenis kartą per metus).

23. Informacinės sistemos naudotojo teisė dirbti su elektronine informacija panaikinama:

23.1. jei Informacinės sistemos naudotojas nustoja vykdyti funkcijas, kurioms vykdyti buvo suteiktos prieigos prie Informacinės sistemos teisės;

23.2. kai įstatymų nustatytais atvejais Informacinės sistemos naudotojas ar techninės infrastruktūros administratorius, ar veiklos administratorius nušalinamas nuo darbo (pareigų), neatitinka kituose teisės aktuose nustatytų Informacinių sistemų naudotojo ar administratoriaus kvalifikacinių reikalavimų, praranda patikimumą, jo teisė naudotis Informacine sistema turi būti panaikinta nedelsiant;

23.3. nustačius elektroninės informacijos konfidencialumo ar vientisumo pažeidimą arba kitų elektroninės informacijos ir Informacinės sistemos informacijos saugą ir tvarkymą reglamentuojančių teisės aktų ar Informacinės sistemos duomenų teikimo nustatytų reikalavimų pažeidimą;

23.4. pasibaigus Informacinės sistemos naudotojo tarnybos arba darbo santykiams.

24. Nereikalingos ar nenaudojamos Informacinės sistemos naudotojų ir administratorių paskyros turi būti blokuojamos nedelsiant ir ištrinamos praėjus nustatytam audito duomenų saugojimo terminui.

25. Draudžiama Informacinės sistemos techninėje ir programinėje įrangoje naudoti gamintojų nustatytus slaptažodžius, jie turi būti pakeisti į atitinkančius reikalavimus slaptažodžius.

26. Informacinės sistemos naudotojams jungiantis viešaisiais interneto tinklais prie Informacinės sistemos nuotoliniu būdu turi būti užtikrinamas perduodamos elektroninės informacijos konfidencialumas naudojant šifravimą, virtualų privatų tinklą (angl. virtual private network), skirtines linijas ir saugų valstybinį duomenų perdavimo tinklą.

27. Informacinė sistema automatiškai nutraukia darbo seansą, jei Informacinės sistemos naudotojas 15 minučių yra neaktyvus, ir informuoja jį apie atjungimo priežastį pranešimu. Toliau naudotis Informacine sistema galima tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus.

______________________