PRIEŠGAISRINĖS APSAUGOS IR GELBĖJIMO DEPARTAMENTO
PRIE VIDAUS REIKALŲ MINISTERIJOS
DIREKTORIUS
ĮSAKYMAS
Dėl VALSTYBINĖS REIKŠMĖS IR PAVOJINGŲ OBJEKTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ, VALSTYBINĖS REIKŠMĖS IR PAVOJINGŲ OBJEKTŲ REGISTRO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ, VALSTYBINĖS REIKŠMĖS IR PAVOJINGŲ OBJEKTŲ REGISTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ IR VALSTYBINĖS REIKŠMĖS IR PAVOJINGŲ OBJEKTŲ REGISTRO VEIKLOS TĘSTINUMO VALDYMO PLANO PATVIRTINIMO
2016 m. sausio 4 d. Nr. 1/2015-412
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7 punktu:
1. T v i r t i n u pridedamus:
1.2. Valstybinės reikšmės ir pavojingų objektų registro saugaus elektroninės informacijos tvarkymo taisykles;
2. P r i p a ž į s t u netekusiu galios:
2.1. Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos direktoriaus 2007 m. birželio 29 d. įsakymą Nr. 1-207 „Dėl Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatų patvirtinimo“ su visais pakeitimais ir papildymais;
2.2. Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos direktoriaus 2009 m. vasario 18 d. įsakymą Nr. 1-67 „Dėl Valstybinės reikšmės ir pavojingų objektų registro saugaus elektroninės informacijos tvarkymo taisyklių patvirtinimo“;
2.3. Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos direktoriaus 2008 m. gegužės 14 d. įsakymą Nr. 1-150 „Dėl Valstybinės reikšmės ir pavojingų objektų registro naudotojų administravimo taisyklių patvirtinimo“;
3. S k i r i u Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos Operatyvaus valdymo valdybos Informacinių technologijų ir ryšių skyriaus vyriausiąjį specialistą Viačeslavą Jabluniną Valstybinės reikšmės ir pavojingų objektų registro saugos įgaliotiniu.“
4. P a v e d u Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos Civilinės saugos valdybos viršininkui Jūriui Targonskui kontroliuoti šio įsakymo vykdymą.
PATVIRTINTA
Priešgaisrinės apsaugos ir gelbėjimo
departamento prie Vidaus reikalų
ministerijos direktoriaus
2016 m. sausio 4 d.
įsakymu Nr. 1/2015-412
VALSTYBINĖS REIKŠMĖS IR PAVOJINGŲ OBJEKTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato principus ir reikalavimus, užtikrinančias saugų ir teisėtą Valstybinės reikšmės ir pavojingų objektų registro (toliau – Registras) elektroninės informacijos tvarkymą.
2. Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, vartojamas 12 punkte išvardytuose teisės aktuose.
4. Saugos nuostatai yra privalomi Registro valdytojui, Registro tvarkytojui, Registro saugos įgaliotiniui (toliau – saugos įgaliotinis), Registro administratoriams (toliau – administratoriai), Registro naudotojams.
5. Registro valdytojas ir tvarkytojas yra Priešgaisrinės apsaugos ir gelbėjimo departamentas prie Vidaus reikalų ministerijos (Švitrigailos g. 18, Vilnius) (toliau – departamentas). Departamentas atsako už saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą, administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.
6. Departamento direktoriaus įsakymu tvirtinamos Valstybinės reikšmės ir pavojingų objektų registro saugaus elektroninės informacijos tvarkymo taisyklės, Valstybinės reikšmės ir pavojingų objektų registro veiklos tęstinumo valdymo planas, Valstybinės reikšmės ir pavojingų objektų registro naudotojų administravimo taisyklės yra saugos politiką įgyvendinantys dokumentai.
7. Pagrindinės Registro elektroninės informacijos saugos užtikrinimo kryptys:
7.1. fizinė elektroninės informacijos apdorojimo priemonių (Registro patalpos, tarnybinės stotys, elektroninės informacijos perdavimo įranga, programinė įranga) apsauga;
8. Departamentas:
8.2. atsako už Registro duomenų saugą, atlieka Registro duomenų saugos reikalavimų laikymosi priežiūrą;
8.3. direktoriaus įsakymu skiria duomenų valdymo įgaliotinį, saugos įgaliotinį, administratorius, nustato jų skaičių ir priskiria administratoriams 11 punkte nustatytas funkcijas;
8.4. atsako už Registro duomenų saugos priemonių įgyvendinimo atitiktį Saugos nuostatams ir saugos politiką įgyvendinantiems dokumentams;
8.5. rengia ir įgyvendina Registro techninių ir programinių priemonių kūrimo ir plėtros planus, investicinius projektus;
9. Duomenų valdymo įgaliotinio funkcijos vykdomos, kaip yra nustatyta Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme.
10. Saugos įgaliotinis, koordinuodamas ir prižiūrėdamas saugos politikos įgyvendinimą Registre, atlieka šias funkcijas:
10.1. teikia departamento direktoriui pasiūlymus dėl:
10.1.1. administratorių paskyrimo ir reikalavimų administratoriams nustatymo (saugos įgaliotinis negali atlikti administratoriaus funkcijų);
10.1.2. Registro informacinių technologijų (toliau – IT) saugos atitikties vertinimo atlikimo vidaus reikalų ministro nustatyta tvarka;
10.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Registre, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;
10.3. teikia administratoriams ir Registro naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu. Turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems departamento darbuotojams, jei tai būtina saugos politikai įgyvendinti;
10.5. periodiškai organizuoja administratorių, Registro naudotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas;
10.6. organizuoja administratorių, Registro naudotojų supažindinimą su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;
11. Administratoriai:
11.1. atlieka funkcijas, susijusias su Registro naudotojų ir Registro duomenų gavėjų teisių valdymu;
11.2. atlieka Registrą sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, elektroninės informacijos perdavimo tinklų, bylų serverių ir kitų) administravimą, šių Registro komponentų sąrankos ir Registro būsenos rodiklių kontrolę, Registro pažeidžiamų vietų ir saugumo reikalavimų atitikties nustatymą ir stebėseną;
11.4. rengia ir teikia departamento direktoriui pasiūlymus dėl Registro tobulinimo, palaikymo, priežiūros ir elektroninės informacijos saugos;
12. Elektroninės informacijos sauga Registre užtikrinama vadovaujantis:
12.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;
12.5. Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;
12.6. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;
12.7. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. IV-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai elektroninės informacijos saugos reikalavimai);
12.8. Lietuvos standartais LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos elektroninės informacijos tvarkymą;
12.9. Valstybinės reikšmės ir pavojingų objektų registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 2000 m. lapkričio 8 d. nutarimu Nr. 1386 „Dėl Pavojingų Lietuvos ūkio objektų registro reorganizavimo į Valstybinės reikšmės ir pavojingų objektų registrą“;
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
13. Registrą sudaro bendrieji, specialieji (nurodyti Valstybinės reikšmės ir pavojingų objektų registro nuostatuose) ir technologiniai (asmens, tvarkiusio Registro duomenis) duomenys.
14. Bendrųjų ir specialiųjų duomenų konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti sunkių padarinių kelių institucijų veiklai, sukelti pavojų viešajai tvarkai, gyventojų, gamtos ir aplinkos saugumui. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.2 papunkčiu, 4.2.2 ir 4.2.3 papunkčiais, Registre tvarkoma elektroninė informacija yra priskiriama svarbiai elektroninei informacijai.
15. Vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.2 papunkčiu, Registras priskiriamas antrai kategorijai.
16. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuoja Registro rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį rizikos įvertinimą. Departamento direktoriaus rašytiniu pavedimu Registro rizikos įvertinimą atlieka saugos įgaliotinis. Registro rizikos veiksnių vertinimas atliekamas kokybiniu rizikos vertinimo metodu.
17. Registro rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje, kuri pateikiama departamento direktoriui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos Registro elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Pagrindiniai rizikos veiksniai yra šie:
17.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės IT sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);
17.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Registro elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, IT duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
17.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos
15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte;
18. Atsižvelgdamas į rizikos įvertinimo ataskaitą, departamento direktorius prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti. Rizikos įvertinimo ataskaita, rizikos įvertinimo ir rizikos valdymo priemonių planas pateikiami Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Bendrųjų elektroninės informacijos saugos reikalavimų apraše nustatyta tvarka.
19. Siekdamas užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja IT saugos atitikties vertinimą, kurio metu:
19.1. įvertinama Saugos nuostatų, saugos politiką įgyvendinančių dokumentų ir realios duomenų saugos situacijos atitiktis;
19.3. tikrinama visose Registro tarnybinėse stotyse, administratorių ir ne mažiau kaip 10 procentų vidinių Registro naudotojų kompiuterizuotose darbo vietose įdiegta programinė įranga ir jos sąranka;
19.4. peržiūrima administratoriams, Registro naudotojams suteiktų teisių atitiktis jų atliekamoms funkcijoms;
20. Atlikus 19 punkte nurodytą IT saugos atitikties vertinimą, rengiama IT saugos atitikties vertinimo ataskaita, kuri pateikiama departamento direktoriui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato departamento direktorius. IT saugos atitikties vertinimo ataskaita, pastebėtų trūkumų šalinimo planas pateikiami Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Bendrųjų elektroninės informacijos saugos reikalavimų apraše nustatyta tvarka.
21. Kad būtų užtikrintas Registro veiklos tęstinumas, patiriant kuo mažiau išlaidų, saugus Registro naudotojų ir Registro duomenų gavėjų darbas, parenkamos atitinkamos techninės, programinės ir organizacinės elektroninės informacijos saugos priemonės.
22. Pagrindiniai Registro elektroninės informacijos saugos priemonių parinkimo principai yra šie:
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
23. Programinės įrangos, skirtos Registrui apsaugoti nuo kenksmingosios programinės įrangos (virusų, šnipinėjimo programinės įrangos ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
23.1. visose Registro tarnybinėse stotyse, administratorių, vidinių Registro naudotojų kompiuterizuotose darbo vietose įdiegiamos centralizuotai valdomos ir atnaujinamos kenksmingosios programinės įrangos aptikimo, stebėjimo realiu laiku priemonės;
23.2. kenksmingosios programinės įrangos aptikimo priemonės automatiškai atnaujinamos ne rečiau kaip kartą per 24 valandas;
23.3. kenksmingosios programinės įrangos aptikimo priemonės automatiškai informuoja administratorius apie tai, kuriems Registro posistemiams, funkciškai savarankiškoms sudedamosioms dalims yra pradelstas kenksmingosios programinės įrangos aptikimo priemonių atsinaujinimo laikas, šios priemonės netinkamai funkcionuoja arba išjungtos;
24. Programinės įrangos, įdiegtos tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:
24.1. visose Registro tarnybinėse stotyse, administratorių, vidinių Registro naudotojų kompiuterizuotose darbo vietose įdiegiama tik legali programinė įranga;
24.2. visose Registro tarnybinėse stotyse, administratorių, vidinių Registro naudotojų kompiuterizuotose darbo vietose naudojama tik darbo funkcijoms atlikti reikalinga programinė įranga. Saugos įgaliotinis rengia, su departamento direktoriumi suderina ir ne rečiau kaip kartą per metus peržiūri, prireikus atnaujina leistinos programinės įrangos sąrašą;
24.3. operatyviai ištestuojami ir įdiegiami visų Registro tarnybinių stočių, administratorių, vidinių Registro naudotojų darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai. Administratoriai reguliariai, ne rečiau kaip kartą per savaitę, įvertina informaciją apie Registro posistemiuose, funkciškai savarankiškose dalyse, administratorių, Registro naudotojų darbo vietų kompiuterinėje įrangoje neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius su tuo saugos pažeidžiamumų svarbos lygius;
25. Kompiuterių tinklų filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:
25.1. kompiuterių tinklai, prie kurių prijungtos Registro tarnybinės stotys, nuo viešųjų ryšio tinklų ir lokalių kompiuterių tinklų atskirti užkardomis (angl. firewall) ir perkelti į demilitarizuotą zoną;
25.2. kompiuterių tinklai, prie kurių prijungtos administratorių ir vidinių Registro naudotojų kompiuterizuotos darbo vietos, nuo viešojo interneto atskirti užkardomis ir įgaliotu serveriu (angl. proxy);
25.3. naudojama paslaugos trikdymo (angl. Denial of Service) ir paskirstytųjų paslaugos trikdymo (angl. Distributed Denial of Service) atakų prevencijai skirta įranga;
25.5. visas Registro duomenų srautas į viešuosius ryšio tinklus ir iš viešųjų ryšio tinklų filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;
25.6. Registro programinė įranga turi apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scriptingn), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų. Pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project) interneto svetainėje www.owasp.org.
26. Stacionarūs ir nešiojamieji kompiuteriai naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai. Stacionarius kompiuterius leidžiama naudoti tik departamento patalpose. Nešiojamiesiems kompiuteriams, kurie naudojami nustatytoms funkcijoms vykdyti ne departamento patalpose, taikomos papildomos saugos priemonės:
27. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:
27.1. susijusiems registrams ir valstybės informacinėms sistemoms Registro duomenys perduodami, Registro duomenų gavėjams Registro duomenys teikiami ir (ar) gaunami, kaip yra nustatyta Valstybinės reikšmės ir pavojingų objektų registro nuostatuose;
27.2. Registro elektroninę informaciją automatiniu būdu teikiama ir (ar) gaunama tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas;
27.3. viešaisiais ryšių tinklais perduodamos Registro elektroninės informacijos konfidencialumas užtikrinamas naudojant šifravimą, virtualų privatų tinklą (angl. virtual private network), skirtines linijas, saugų valstybinį duomenų perdavimo tinklą ir kitas priemones;
27.5. Registro duomenys duomenų gavėjams teikiami:
27.5.2. duomenų perdavimo kanalu, naudojant saugaus hipertekstų persiuntimo protokolą (angl. HTTPS), kai jungiamasi prie Registro duomenų teikimo puslapio;
28. Atsarginių kopijų darymo ir atkūrimo reikalavimai:
28.1. elektroninės informacijos saugai užtikrinti daromos ir saugomos elektroninės informacijos atsarginės kopijos;
28.2. atsarginės kopijos daromos kiekvienos darbo dienos pabaigoje (toliau – dienos atsarginės kopijos), kiekvienos savaitės pabaigoje (toliau – savaitės atsarginės kopijos), kiekvieno mėnesio pabaigoje (toliau – mėnesio atsarginės kopijos) ir kiekvienų metų pabaigoje (toliau – metų atsarginės kopijos);
28.10. vieną kartą per 6 mėnesius atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;
28.11. administratoriai atsako už atsarginių Registro elektroninės informacijos kopijų darymą ir saugojimą. Kopijų, iš kurių būtų galima atkurti Registro elektroninę informaciją, darymo ir saugojimo tvarka išsamiai aprašyta Valstybinės reikšmės ir pavojingų objektų registro saugaus elektroninės informacijos tvarkymo taisyklėse (toliau – Registro saugaus elektroninės informacijos tvarkymo taisyklės).
29. Registro tarnybinės stotys ir aparatinė įranga yra specialiai įrengtose patalpose. Šių patalpų reikalavimai aprašyti Registro saugaus elektroninės informacijos tvarkymo taisyklėse.
30. Registro naudotojų ir administratorių veiksmų fiksavimas ir kaupimas, išsami prisijungimo prie Registro, darbo ir atsijungimo nuo Registro tvarka pateikta Registro saugaus elektroninės informacijos tvarkymo taisyklėse.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
32. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Techninių elektroninės informacijos saugos reikalavimų, Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis.
33. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
34. Administratoriai privalo išmanyti informacijos saugos principus, darbą su kompiuteriais ir kita IT įranga, mokėti užtikrinti kompiuterių ir kitos IT įrangos saugą, taip pat administruoti ir prižiūrėti sisteminę ir taikomąją programinę įrangą, duomenų bazes, būti susipažinę su saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais, kitomis vidaus ir darbo saugos taisyklėmis.
35. Registro naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, mokėti tvarkyti Registro duomenis Valstybinės reikšmės ir pavojingų objektų registro nuostatų nustatyta tvarka ir būti susipažinę su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais.
36. Saugos įgaliotinis elektroniniu paštu ir per Registro interneto svetainę informuoja Registro naudotojus ir administratorius apie elektroninės informacijos saugos problemas.
V SKYRIUS
REGISTRO NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
38. Registro naudotojai yra susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais, atsakomybe už šių dokumentų nuostatų pažeidimus ir sutikę laikytis šių dokumentų reikalavimų.
39. Už Registro naudotojų supažindinimą su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais atsako saugos įgaliotinis. Turi būti užtikrintas susipažinimo įrodomumas.
40. Išsami Registro naudotojų supažindinimo su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais, Registro naudotojų registravimo ir administravimo tvarka aprašyta Valstybinės reikšmės ir pavojingų objektų registro naudotojų administravimo taisyklėse.
42. Registro naudotojai privalo saugoti duomenų ir informacijos paslaptį, įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą.
PATVIRTINTA
Priešgaisrinės apsaugos ir gelbėjimo
departamento prie Vidaus reikalų
ministerijos direktoriaus
2016 m. sausio 4 d.
įsakymu Nr. 1/2015-412
VALSTYBINĖS REIKŠMĖS IR PAVOJINGŲ OBJEKTŲ REGISTRO
NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Valstybinės reikšmės ir pavojingų objektų registro naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) nustato Valstybinės reikšmės ir pavojingų objektų registro (toliau – Registras) naudotojų administravimo principus ir tvarką, jų teises, pareigas ir kontrolę.
2. Administravimo taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Valstybinės reikšmės ir pavojingų objektų registro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2000 m. lapkričio 8 d. nutarimu Nr. 1386 „Dėl Pavojingų Lietuvos ūkio objektų registro reorganizavimo į Valstybinės reikšmės ir pavojingų objektų registrą“, Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatuose, patvirtintuose Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos (toliau – PAGD) direktoriaus 2007 m. birželio 29 d. įsakymu Nr. 1-207 (toliau – Saugos nuostatai) ir kituose saugų elektroninės informacijos bei duomenų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.
3. Administravimo taisyklių reikalavimai taikomi visiems Registro naudotojams, administratoriams, saugos įgaliotiniui.
II SKYRIUS
REGISTRO NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS
6. Registro naudotojai naudojasi tik tais Registro posistemiais ir juose apdorojama elektronine informacija, prie kurių prieiga jiems yra numatyta pagal pareigas ir kurią suteikė administratorius.
7. Registro naudotojų įgaliojimai ir teisės:
8. Vidiniai Registro naudotojai kartu su išvardytais 7 punkte įgaliojimais ir teisėmis papildomai turi šiuos įgaliojimus ir teises:
9. Registro naudotojų pareigos:
9.1. susipažinti su Saugos nuostatais, Valstybinės reikšmės ir pavojingų objektų registro saugaus elektroninės informacijos tvarkymo taisyklėmis, Valstybinės reikšmės ir pavojingų objektų registro veiklos tęstinumo valdymo planu ir Administravimo taisyklėmis (toliau – Registro saugos politiką įgyvendinantys dokumentai);
9.2. užtikrinti Registro tvarkomos elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą, vadovautis Saugos nuostatuose ir kituose Registro saugos politiką įgyvendinančiuose dokumentuose nustatytais reikalavimais;
9.3. saugoti prisijungimo prie Registro slaptažodžius ir kitą prisijungimo prie Registro informaciją, jos neplatinti ir užtikrinti tinkamą apsaugą nuo trečiųjų asmenų;
9.4. nedelsdamas pakeisti prisijungimo slaptažodį, jeigu įtaria, kad jo slaptažodį sužinojo kitas asmuo;
9.5. pastebėję Registro saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, Registro sutrikimus, neįprastą jo veikimą, nedelsdami praneša apie tai administratoriui, saugos įgaliotiniui arba PAGD informacinių technologijų pagalbos tarnybai (toliau – IT pagalbos tarnyba).
10. Administratoriai atlieka Saugos nuostatų 11 punkte nurodytas funkcijas. Administratorių įgaliojimai, teisės ir pareigos:
10.1. duomenų tvarkymo administratorių įgaliojimai ir teisės:
10.2. duomenų tvarkymo administratorių pareigos:
10.3. sisteminių administratorių įgaliojimai ir teisės:
10.3.1. administruoti Registrą sudarančius komponentus (kompiuterius, operacines sistemas, duomenų bazių valdymo sistemas, taikomųjų programų sistemas, užkardas, įsilaužimų aptikimo sistemas, elektroninės informacijos perdavimo tinklus, bylų serverius ir kt.);
10.4. sisteminių administratorių pareigos:
12. Atlikdami Registro sąrankos pakeitimus, administratoriai laikosi PAGD nustatytos Registro pokyčių valdymo tvarkos, nustatytos Valstybinės reikšmės ir pavojingų objektų registro saugaus elektroninės informacijos tvarkymo taisyklėse. Kartą per metus arba po Registro pokyčio patikrina (peržiūri) Registro sąranką ir Registro būsenos rodiklius.
III SKYRIUS
SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO REGISTRO NAUDOTOJAMS KONTROLĖS TVARKA
14. Saugos įgaliotinis organizuoja Registro naudotojų supažindinimą su reikalavimais, išdėstytais Saugos dokumentuose.
15. Registro naudotojai supažindinami su Saugos dokumentais šiais atvejais:
17. Saugos įgaliotinis savo nuožiūra gali taikyti kitas supažindinimo formas (surengia trumpą seminarą, informuoja elektroniniu paštu ir (ar) per IT pagalbos tarnybos tinklalapį.
18. Saugos įgaliotinis tvarko Registro naudotojų susipažinimo su Saugos dokumentais elektroninį žurnalą.
19. Už Registro naudotojų registravimo ir išregistravimo, prieigos prie Registro teisių suteikimo, pakeitimo, sustabdymo, panaikinimo, unikalių prisijungimo prie Registro vardų ir pirminių prisijungimo slaptažodžių perdavimą Registro naudotojams atsakingi duomenų tvarkymo administratoriai.
20. Prisijungimo prie Registro teisės būsimiems Registro naudotojams suteikiamos tokia tvarka:
20.1. vidinio Registro naudotojo tiesioginis vadovas, Registro duomenų gavėjo atsakingas asmuo, kuris nurodytas duomenų teikimo sutartyje (toliau – atsakingas asmuo), IT pagalbos tarnybos elektroniniu paštu pateikia duomenų tvarkymo administratoriui būsimojo Registro naudotojo užpildytą prašymą „Dėl Registro naudotojo teisių suteikimo (pakeitimo, sustabdymo, panaikinimo)“ (toliau – prašymas);
20.2. duomenų tvarkymo administratorius per vieną darbo dieną nuo prašymo gavimo elektroniniu paštu pateikia Registro naudotojui prisijungimo prie PAGD nuotolinių mokymų tinklalapio įvadinę instrukciją, prisijungimo prie PAGD nuotolinių mokymų tinklalapio identifikatorių ir slaptažodį, informaciją, kaip susipažinti su Saugos dokumentais, Registro naudotojo įvadinę instrukciją, administratoriaus ir saugos įgaliotinio elektroninio pašto adresus ir telefonų numerius. Duomenų tvarkymo administratorius informuoja saugos įgaliotinį apie poreikį įregistruoti būsimą Registro naudotoją;
20.3. būsimasis Registro naudotojas, susipažįsta su Registro nuostatais ir Registro saugą įgyvendinančiais dokumentais ir išlaiko žinių patikrinimo testą. Išlaikęs testą, būsimas Registro naudotojas pasirašo Administravimo taisyklių priede pateiktą pasižadėjimą laikytis duomenų saugos reikalavimų tvarkant Registro elektroninę informaciją (toliau – pasižadėjimas). Pasirašytas pasižadėjimas pateikiamas IT pagalbos tarnybos elektroniniu paštu;
20.4. saugos įgaliotinis, įsitikinęs, kad būsimasis Registro naudotojas įvykdė 20.3. papunkčio reikalavimus, per vieną darbo dieną prašymą vizuoja ir perduoda duomenų tvarkymo administratoriui;
20.5. gavęs saugos įgaliotinio vizuotą prašymą, duomenų tvarkymo administratorius per vieną darbo dieną elektroniniu paštu pateikia Registro naudotojui prisijungimo prie Registro užšifruotą pirminį slaptažodį. Prisijungimo prie Registro identifikatorius ir informacija, kaip iššifruoti pirminį prisijungimo slaptažodį, pateikiama, esant techninėms galimybėms, šifruotu kanalu ar saugiu elektroninių ryšių tinklu, SMS (angl. Short message service) žinute, balsu. Duomenų tvarkymo administratorius pasirašo ant prašymo ir perduoda prašymą saugoti.
21. Prieigos prie Registro teisės Registro naudotojams keičiamos, sustabdomos, panaikinamos tokia tvarka:
21.1. vidinio Registro naudotojo tiesioginis vadovas, atsakingas asmuo IT pagalbos tarnybos elektroniniu paštu pateikia duomenų tvarkymo administratoriui Registro naudotojo užpildytą prašymą;
21.2. duomenų tvarkymo administratorius per vieną darbo dieną pakeičia, sustabdo, panaikina Registro naudotojo teisę dirbti su konkrečia elektronine informacija ir elektroniniu paštu informuoja apie tai Registro naudotoją. Duomenų tvarkymo administratorius pasirašo ant prašymo ir perduoda prašymą saugoti.
22. Registro naudotojų prieigos teisės keičiamos, sustabdomos šiais atvejais:
23. Administratorius sustabdo prieigos prie Registro teisę, jeigu kyla pagrįstų įtarimų arba pateikiama informacija, kad Registro naudotojas piktnaudžiauja suteiktomis prieigos teisėmis ir gali pažeisti Registro ir jo apdorojamos elektroninės informacijos saugą. Administratorius praneša apie tokius veiksmus saugos įgaliotiniui.
24. Duomenų tvarkymo administratorius tvarko Registro naudotojų teisių suteikimo, pakeitimo, sustabdymo arba panaikinimo elektroninį žurnalą.
26. Registro naudotojų ir administratorių tapatybė Registre nustatoma pagal unikalų naudotojo prisijungimo vardą (identifikatorių) ir slaptažodį.
27. Slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai yra šie:
27.4. Registro posistemiai, atliekantys nutolusio prisijungimo autentifikavimą, draudžia automatiškai išsaugoti slaptažodžius;
27.5. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius Registre yra ne didesnis nei 5 mėginimai. Neteisingai įvedus slaptažodį daugiau nei 5 kartus, Registras užsirakina ir 15 minučių neleidžia Registro naudotojui identifikuotis pakartotinai;
27.6. draudžiama slaptažodžius saugoti ar perduoti atviru tekstu ar užšifruoti nepatikimais algoritmais. Saugos įgaliotinio sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo, jei Registro naudotojas neturi galimybių iššifruoti gauto užšifruoto slaptažodžio arba nėra techninių galimybių Registro naudotojui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu.
28. Papildomi reikalavimai Registro naudotojų slaptažodžiams:
28.2. slaptažodis keičiamas ne rečiau kaip kas 3 mėnesius. Keičiant slaptažodį Registras neleidžia nustatyti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;
29. Papildomi reikalavimai administratorių slaptažodžiams:
30. Registro naudotojas, įtaręs, kad tretieji asmenys žino jo slaptažodį, nedelsdamas jį pakeičia. Jei pakeisti slaptažodžio nepavyko, Registro naudotojas pamiršo ar kitaip prarado slaptažodį, Registro naudotojas IT pagalbos tarnybos elektroniniu paštu informuoja duomenų tvarkymo administratorių apie poreikį pakeisti arba atkurti slaptažodį. Duomenų tvarkymo administratorius per vieną darbo dieną elektroniniu paštu pateikia Registro naudotojui prisijungimo prie Registro užšifruotą pirminį slaptažodį. Prisijungimo prie Registro identifikatorius ir informacija, kaip iššifruoti pirminį prisijungimo slaptažodį, pateikiama, esant techninėms galimybėms, šifruotu kanalu ar saugiu elektroninių ryšių tinklu, SMS žinute, balsu.
31. Registro naudotojams, kuriems būtinas prisijungimas prie Registro iš nutolusios darbo vietos, yra taikomi Saugos nuostatų 26, 27.3 ir 27.5.2 papunkčių reikalavimai.
IV SKYRIUS
Baigiamosios nuostatos
33. Saugos įgaliotinis, administratoriai, Registro naudotojai už Administravimo taisyklių pažeidimus atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.
Valstybinės reikšmės ir pavojingų objektų
registro naudotojų administravimo taisyklių
priedas
(Pasižadėjimo laikytis Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatų ir kitų saugos politiką įgyvendinančių dokumentų reikalavimų forma)
Pasižadėjimas
LAIKYTIS Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatų ir kitų saugos politiką įgyvendinančių DOKUMENTŲ Reikalavimų
|
Nr. |
|
||
(data) |
|
(registracijos numeris) |
||
|
|
|
||
|
(sudarymo vieta) |
|
||
Aš, ______________________________________________________________________,
(vardas ir pavardė)
dirbantis (-ti) ___________________________________________________________________
_______________________________________________________________________________,
(darbovietės pavadinimas, pareigos)
patvirtinu,
kad esu susipažinęs (-usi) su Valstybinės reikšmės ir pavojingų objektų registro nuostatais, Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimais.
Pasižadu:
1. Tvarkyti Valstybinės reikšmės ir pavojingų objektų registro (toliau – Registras) duomenis tik tada ir tik tiek, kiek tai būtina nustatytoms funkcijoms atlikti.
2. Vykdyti Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatų ir kitų saugos politiką įgyvendinančių dokumentų reikalavimus.
3. Neatskleisti ir neperduoti patikėtos ar darbo metu sužinotos Registro informacijos asmenims, kurie nėra įgalioti su ja susipažinti.
4. Nedelsdamas pranešti tiesioginiam vadovui arba tiesiogiai Registro saugos įgaliotiniui apie patikėtos Registro informacijos praradimą ar atskleidimą, taip pat kitus Registro informacijos saugos reikalavimų pažeidimus.
5. Užkirsti kelią neteisėtoms kitų asmenų veikoms, dėl kurių Registro informacija gali būti atskleista, prarasta, sunaikinta, pagrobta ar kitaip neteisėtai įgyta, ir apie šiuos faktus, kitas informacijos atskleidimo ar praradimo aplinkybes nedelsdamas pranešti tiesioginiam vadovui arba tiesiogiai Registro saugos įgaliotiniui.
________________________________________ ______________ _____________________________
(pareigos) (parašas) (vardas ir pavardė)
________________________
PATVIRTINTA
Priešgaisrinės apsaugos ir gelbėjimo
departamento prie Vidaus reikalų
ministerijos direktoriaus
2016 m. sausio 4 d.
įsakymu Nr. 1/2015-412
VALSTYBINĖS REIKŠMĖS IR PAVOJINGŲ OBJEKTŲ REGISTRO
SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Valstybinės reikšmės ir pavojingų objektų registro saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės) nustato tvarką, pagal kurią turi būti saugiai tvarkoma Valstybinės reikšmės ir pavojingų objektų registro (toliau – Registras) elektroninė informacija.
2. Tvarkymo taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. IV-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai elektroninės informacijos saugos reikalavimai), Valstybinės reikšmės ir pavojingų objektų registro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2000 m. lapkričio 8 d. nutarimu Nr. 1386 „Dėl Pavojingų Lietuvos ūkio objektų registro reorganizavimo į Valstybinės reikšmės ir pavojingų objektų registrą“, Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatuose, patvirtintuose Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos (toliau – PAGD) direktoriaus 2007 m. birželio 29 d. įsakymu Nr. 1-207 (toliau – Saugos nuostatai) ir kituose saugų elektroninės informacijos bei duomenų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.
3. Registro elektroninė informacija skirstoma į grupes. Tam tikrai grupei priskirtos Registro elektroninės informacijos sąrašas ir už šios informacijos tvarkymą atsakingi asmenys pateikiami lentelėje:
Eil. Nr. |
Registro elektroninės informacijos grupė ir jai priskirta elektroninė informacija |
Registro elektroninės informacijos svarbos kategorija |
Asmuo, atsakingas už šios informacijos tvarkymą |
1. |
Registro administravimo (technologiniai) duomenys |
|
|
1.1. |
Registro duomenys, įvardyti Techninių elektroninės informacijos saugos reikalavimų 5.2, 6.4, 7.6, 7.7 papunkčiuose; |
Trečia |
Administratorius |
1.2. |
Registro naudotojų duomenys: 1.2.1. Prisijungimo prie Registro identifikatorius 1.2.2. Vardas ir pavardė 1.2.3. Prisijungimo prie Registro pradinis slaptažodis 1.2.4. Darbovietė ir einamosios pareigos 1.2.5. Judriojo ryšio telefonas 1.2.6. Elektroninio pašto adresas 1.2.7. Naudotojui suteiktos prieigos teisės 1.2.8. Prieigos teisių suteikimo, pakeitimo, panaikinimo data |
Trečia |
Administratorius |
2. |
Registro bendrieji duomenys, nurodyti Nuostatų 13.1 papunktyje |
Antra
|
Registro naudotojas – tik peržiūra, vidinis Registro naudotojas - tvarkymas
|
3. |
Registro specialieji duomenys, nurodyti Nuostatų 13.2 papunktyje |
Antra |
Registro naudotojas – tik peržiūra, vidinis Registro naudotojas - tvarkymas
|
4. |
Registre naudojamų klasifikatorių duomenys, nurodyti Nuostatų 14, 15 punktuose |
Trečia |
Registro naudotojas – tik peržiūra, vidinis Registro naudotojas - tvarkymas
|
II SKYRIUS
TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS
5. Siekiant užtikrinti Registro elektroninės informacijos saugą, taikomos šios kompiuterinės įrangos saugos priemonės:
5.2. visa Registro techninė įranga, esanti Registro tarnybinių stočių patalpose ir vidinių Registro naudotojų darbo vietose, įnešama ir išnešama iš jų tik dalyvaujant sisteminiam administratoriui. Jeigu techninė įranga yra perduodama, atiduodama remontuoti arba nurašyti, sisteminis administratorius sunaikina visą techninėje įrangoje esančią elektroninę informaciją, esant būtinumui, daromos techninėje įrangoje esančios elektroninės informacijos kopijos;
5.3. vidinių Registro naudotojų, administratorių kompiuteriai ir kita Registro techninė įranga naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai vykdyti;
5.4. keičiant kompiuterizuotos darbo vietos paskirtį, visa joje saugoma elektroninė informacija sunaikinama;
5.5. techninės įrangos keitimą, atnaujinimą, priežiūrą ir gedimų šalinimą Registro tarnybinėse stotyse, administratorių ir vidinių Registro naudotojų kompiuterizuotose darbo vietose atlieka sisteminis administratorius arba kvalifikuoti paslaugų teikėjai dalyvaujant administratoriui. Sisteminis administratorius tvarko Registro techninės įrangos keitimų, atnaujinimų, priežiūros ir gedimų šalinimų apskaitos elektroninį žurnalą;
5.6. vidiniams Registro naudotojams draudžiama savavališkai keisti ar kitaip pažeisti esamą techninę įrangą arba jungti asmeninius įrenginius prie Registro vidaus duomenų perdavimo tinklo;
5.7. svarbiausia Registro kompiuterinė įranga ir duomenų perdavimo tinklo mazgai turi įtampos filtrą ir rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne mažiau kaip 30 min.;
6. Siekiant užtikrinti Registro elektroninės informacijos saugą, taikomos šios sisteminės ir taikomosios programinės įrangos saugos priemonės:
6.1. visose Registro tarnybinėse stotyse, administratorių ir vidinių Registro naudotojų kompiuterizuotose darbo vietose diegiama saugi programinė įranga, t. y. naudojamos tik gamintojų palaikomos programinės įrangos versijos, kurioms gamintojai reguliariai išleidžia atnaujinimus;
6.2. sisteminis administratorius reguliariai, ne rečiau kaip kartą per savaitę, naudodamas specialią programinę įrangą, įvertina informaciją apie naujus rekomenduojamus gamintojų atnaujinimus, jų reikšmę saugai ir jų įdiegimo būtinumą ir galimybes;
6.3. visose Registro tarnybinėse stotyse, administratorių, Registro naudotojų kompiuterizuotose darbo vietose operacinių sistemų ir taikomųjų programų sąranka parenkama taip, kad būtų užtikrintas didžiausias saugos lygis (išjungiami nereikalingi darbui procesai ir reikmenys (angl. services), ribojama arba išjungiama prieiga prie operacinės sistemos prievadų);
6.4. vidinių Registro naudotojų kompiuterių paskyros yra apribotų teisių, kurios neleidžia įdiegti papildomos programinės įrangos. Registro naudotojams negali būti suteikiamos administratoriaus teisės;
6.5. Registro naudotojas unikaliai identifikuojamas (asmens kodas negali būti naudojamas kaip Registro naudotojo identifikatorius) per katalogų valdymo paslaugą (angl. Active Directory);
6.6. visose Registro tarnybinėse stotyse, administratorių ir vidinių Registro naudotojų kompiuterizuotose darbo vietose sukuriamos kompiuterių naudotojų paskyros, apsaugotos slaptažodžiais. Slaptažodžių sudarymo, galiojimo trukmės ir jų keitimo reikalavimai aprašomi Valstybinės reikšmės ir pavojingų objektų registro naudotojų administravimo taisyklėse;
6.7. visose Registro tarnybinėse stotyse naudojamos vykdomojo kodo kontrolės priemonės, automatiškai apribojančios ar informuojančios apie neautorizuoto programinio kodo vykdymą;
6.8. naudojama Registro kompiuterinė įranga, kuri automatiškai perspėja sisteminį administratorių apie svarbiausioje Registro kompiuterinėje įrangoje nustatytą laisvos kompiuterio atminties ar vietos standžiajame diske sumažėjimą iki nustatytos pavojingos ribos, apie ilgai neįprastai apkraunamą centrinį procesorių ar kompiuterių tinklo sąsają;
6.9. Registro priežiūros funkcijos atliekamos naudojant atskirą tam skirtą administratoriaus paskyrą, kuria naudojantis negalima atlikti Registro naudotojo funkcijos;
7. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:
7.1. prisijungti prie Registro galima naudojant tik:
7.1.1. HTTPS (angl. Hypertext Transfer Protocol over Secure Socket Layer) protokolą – prisijungti Registro naudotojams prie Registro duomenų teikimo puslapio iš viešųjų ryšio tinklų;
7.1.2. HTTPS, FTP (angl. File Transfer Protocol) protokolus – prisijungti Registro naudotojams prie Registro iš Vidaus reikalų telekomunikacinio tinklo;
7.1.3. HTTPS, FTP, RDP (angl. Remote Desktop Protocol) protokolus – prisijungti prie Registro iš administratorių kompiuterizuotų darbo vietų;
7.2. Registro užkardų (angl. Firewall) reikalavimai:
7.2.1. sisteminis administratorius ne rečiau kaip kartą per savaitę analizuoja užkardų įvykių žurnalus (angl. Logs) ir kartu su Registro saugos įgaliotiniu reguliariai, tačiau ne rečiau kaip kartą per metus peržiūri ir atnaujina užkardos saugumo taisykles;
7.2.2. pagrindinėse Registro tarnybinėse stotyse, administratorių ir vidinių Registro naudotojų kompiuterizuotose darbo vietose užkardos sukonfigūruotos praleisti tik su Registro funkcionalumu ir administravimu susijusį duomenų srautą. Užkardų konfigūracijų dokumentacija saugoma kartu su informacinės sistemos dokumentacija;
7.3. Registro duomenų perdavimo tinklo mazgams naudojamas rezervinis maitinimo šaltinis, užtikrinantis šios įrangos veikimą ne mažiau kaip 30 min;
8. Registro saugai užtikrinti yra taikomos šios patalpų ir aplinkos saugumo užtikrinimo priemonės:
8.1. visose Registro patalpose, kur yra vidinių Registro naudotojų, administratorių ir Registro techninė įranga, įrengti gaisro ir įsilaužimo davikliai, kurie prijungti prie pastato signalizacijos ir apsaugos tarnybų;
8.2. patalpos priskiriamos administracinei saugumo zonai. Patekimas prie vidinių Registro naudotojų ir administratorių darbo vietų kontroliuojamas. Nustatyta patalpų raktų saugojimo ir reagavimo į apsauginės ir gaisro aptikimo ir signalizavimo sistemos suveikimą tvarka (numatyti apsaugos darbuotojo (-ų) veiksmai);
8.3. Registro tarnybinių stočių saugai užtikrinti yra taikomos šios patalpų, kuriose yra Registro tarnybinės stotys, ir aplinkos saugumo užtikrinimo priemonės:
8.3.1. į šias patalpas gali patekti tik įgaliotieji asmenys, kitus asmenis lydi įgaliotieji asmenys. Įgaliotųjų asmenų sąrašas tvirtinamas atskiru PAGD direktoriaus įsakymu. Patekimas į tarnybinių stočių patalpas kontroliuojamas ir registruojamas. Kontrolei užtikrinti naudojama įrengta PAGD patalpose įeigos kontrolės sistema. Registracijos duomenys saugomi 14 dienų;
8.3.2. visos išorinės durys ir langai tinkamai apsaugomi nuo neleistinos prieigos (šarvuotos durys be užrašo ant jų, apsaugotos bent dviem skirtingos konstrukcijos spynomis, yra apsauginės žaliuzės;
8.3.3. patalpos atitinka tarnybinių stočių patalpų gaisrinės saugos reikalavimus (įrengta gaisro aptikimo ir signalizavimo sistema ir gaisro gesinimo įranga). Priešgaisrinė signalizacija prijungta prie bendros pastato signalizacijos ir apsaugos tarnybos stebėjimo pulto;
8.3.4. patalpose įrengta apsauga nuo užliejimo iš viršuje esančių patalpų ir vandens aptikimo bei pašalinimo sistema;
8.3.5. patalpose užtikrinamos gamintojo rekomenduojamos techninės įrangos darbo sąlygos (įrengiama oro kondicionavimo ir drėgmės kontrolės įranga);
8.3.6. patalpose įrengiamas elektros maitinimo tinklas, apsaugotas nuo ilgalaikių (daugiau kaip 30 min.) elektros tiekimo iš miesto elektros tinklų sutrikimų (naudojamas autonominis elektros generatorius). Nuo trumpalaikių elektros tiekimo sutrikimų ir įtampos svyravimų tarnybinės stotys ir duomenų perdavimo įranga apsaugomos nenutrūkstamo elektros maitinimo šaltiniais. Maitinimo šaltinis turi perspėjimo apie elektros tiekimo sutrikimus funkciją;
9. Kitos priemonės, naudojamos elektroninės informacijos saugai užtikrinti:
9.2. svarbiausia Registro kompiuterinė įranga, duomenų perdavimo tinklo mazgai ir ryšio linijos yra dubliuoti ir jų techninė būklė nuolat stebima naudojant specializuotą programinę įrangą;
9.4. administratoriai ir Registro naudotojai, baigę darbą ar pasitraukę iš savo darbo vietos, turi užtikrinti, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys ir imasi šių priemonių:
9.4.1. trumpam palikdami savo darbo vietą, atsijungia nuo Registro arba užrakina savo kompiuterį (angl. lock computer), arba įjungia ekrano užsklandą (angl. screen saver ) su slaptažodžiu (režimo aktyvinimo laikas – ne daugiau kaip 15 minučių) ir užrakina kabineto duris (jei išeina iš kabineto);
9.4.2. duomenų laikmenas, dokumentus, jų kopijas, kitas priemones padeda į pašaliniams asmenims neprieinamą vietą;
III SKYRIUS
SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
10. Elektroninės informacijos peržiūrą, įrašymą, keitimą ir panaikinimą gali atlikti tik atsakingi už šios informacijos tvarkymą asmenys, kaip tai numatyta Tvarkymo taisyklių 3 punkte.
11. Registro naudotojų veiksmų registravimo tvarka:
11.1. Registro naudotojų tapatybė ir veiksmai su Registro duomenimis fiksuojami programinėmis priemonėmis;
11.2. Registre įrašomi ir saugomi duomenys apie Registre įrašomus duomenis, Registro tarnybinių stočių, Registro taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis Registro tarnybinėse stotyse, Registro taikomojoje programinėje įrangoje, visus Registro naudotojų vykdomus veiksmus, kitus elektroninės informacijos saugai svarbius įvykius, nurodant Registro naudotojo identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką. Šie duomenys saugomi Valstybinės priešgaisrinės gelbėjimo tarnybos informacinėje sistemoje. Šie registracijos duomenys saugomi vienus metus ir paskui sunaikinami. Administratorius vieną kartą per savaitę analizuoja šiuos duomenis;
12. Atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka:
12.2. kopijos saugomos kitose patalpose, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate. Į šias patalpas gali patekti tik įgaliotieji asmenys, kitus asmenis lydi įgaliotieji asmenys. Įgaliotųjų asmenų sąrašas tvirtinamas atskiru PAGD direktoriaus įsakymu. Patekimas į patalpas kontroliuojamas ir registruojamas. Kontrolei užtikrinti naudojama įrengta PAGD patalpose įeigos kontrolės sistema. Registracijos duomenys saugomi 14 dienų;
12.3. elektroninė informacija kopijose yra užšifruojama (šifravimo raktai saugomi atskirai nuo kopijų) arba imamasi kitų priemonių, neleidžiančių panaudoti kopijų neteisėtai elektroninei informacijai atkurti;
12.5. atsarginės laikmenos su Registro programinės įrangos kopijomis laikomos nedegioje spintoje kitose patalpose arba kitame pastate, nei yra Registro tarnybinės stotys. Patekimas į patalpas, kuriose laikomos programinės įrangos kopijos, kontroliuojamas.
13. Registro duomenys teikiami kitiems registrams, kadastrams bei informacinėms sistemoms ir iš jų gaunami pagal duomenų teikimo sutartis, kuriose įskaitant, bet neapsiribojant, nurodoma informacijos saugumo ir slaptumo sąlygos, teikiamų arba iš jų gaunamų duomenų sąrašai, duomenų teikimo arba gavimo juridinis pagrindas, duomenų teikimo arba gavimo ir naudojimo tikslas, duomenų teikimo arba gavimo ir naudojimo tvarka ir sąlygos, prieigos prie Registro arba kitų registrų, kadastrų ir informacinių sistemų leistinas būdas ir laikas, atsakomybės ir ginčų sprendimo tvarka, duomenų teikimo sutarties galiojimo terminas ir sąlygos. Registro duomenų teikimo ir gavimo sutartys derinamos su saugos įgaliotiniu.
14. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:
14.1. sisteminis administratorius naudoja visas įmanomas aparatines, programines ir administracines priemones, skirtas Registro duomenims nuo neleidžiamos veiklos apsaugoti;
14.2. kilus įtarimui, kad su Registru arba jame saugomais ir apdorojamais duomenimis yra vykdoma neleidžiama veikla, sisteminis administratorius nedelsdamas privalo apie tai informuoti saugos įgaliotinį;
15. Programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:
15.1. prieš atlikdamas Registro programinės ir techninės įrangos keitimą, kurio metu gali iškilti grėsmė Registro elektroninės informacijos konfidencialumui, vientisumui ar pasiekiamumui, sisteminis administratorius išbando planuojamus Registro pakeitimus atskiroje testavimo aplinkoje, kurioje esantys asmens duomenys naudojami, vadovaudamasis Valstybės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymo Nr. 1T-71(1.12) „Dėl bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ 10.10 papunkčio reikalavimu;
15.2. sėkmingai atlikęs Registro programinės ir techninės įrangos pakeitimų bandymus, sisteminis administratorius gali pradėti keisti Registro programinę ir techninę įrangą;
15.3. planuodamas Registro programinės arba techninės įrangos keitimą, kurio metu galimi Registro veikimo sutrikimai, sisteminis administratorius iš anksto elektroniniu paštu informuoja Registro naudotojus apie tokių darbų pradžią ir galimus Registro veikimo sutrikimus;
16. Registro pokyčių valdymo tvarka nurodyta Registro valdytojo patvirtintame Registro pokyčių valdymo tvarkos apraše.
17. Nešiojamuosius kompiuterius ir kitus mobiliuosius įrenginius galima naudoti tik su einamosiomis pareigomis susijusiai veiklai. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių, skirtų Registro elektroninei informacijai tvarkyti, naudojimo ne Registro tvarkytojo patalpose tvarka pateikta Saugos nuostatų 26 punkte.
IV SKYRIUS
REIKALAVIMAI, KELIAMI REGISTRUI FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS
18. Paslaugų teikėjų prieigos prie Registro lygiai ir sąlygos:
18.1. paslaugų teikėjui suteikiama tik tokia prieiga prie Registro techninės ir programinės įrangos, kuri paslaugų teikėjo įgaliotam atsakingam asmeniui būtina sutartyse numatytiems įsipareigojimams vykdyti;
18.2. paslaugų teikėjo įgalioti atsakingi asmenys supažindinami su prieigos prie Registro sąlygomis, elektroninės informacijos saugos reikalavimais ir atsakomybe, numatomas reikalavimas pasirašyti konfidencialumo susitarimą arba pasižadėjimą;
19. Patalpų, įrangos, informacinių sistemų, duomenų perdavimo tinklų projektavimo, diegimo ir priežiūros paslaugų reikalavimai nustatomi šių paslaugų teikimo sutartyse, atsižvelgiant į:
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
20. Tvarkymo taisyklės yra privalomos Registro naudotojams, saugos įgaliotiniui ir administratoriams.
21. Registro naudotojai privalo kuo greičiau informuoti administratorių arba saugos įgaliotinį apie pastebėtus šių Tvarkymo taisyklių reikalavimų pažeidimus, Registro veiklos sutrikimus arba neįprastą Registro veikimą.
PATVIRTINTA
Priešgaisrinės apsaugos ir gelbėjimo
departamento prie Vidaus reikalų
ministerijos direktoriaus
2016 m. sausio 4 d.
įsakymu Nr. 1/2015-412
VALSTYBINĖS REIKŠMĖS IR PAVOJINGŲ OBJEKTŲ REGISTRO
VEIKLOS TĘSTINUMO VALDYMO PLANAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Valstybinės reikšmės ir pavojingų objektų registro veiklos tęstinumo valdymo plano (toliau – Valdymo planas) tikslas – nustatyti Valstybinės reikšmės ir pavojingų objektų registro (toliau – Registras) sisteminių administratorių, duomenų tvarkymo administratorių (toliau – administratoriai), saugos įgaliotinio, Registro naudotojų ir kitų asmenų veiksmus, įvykus elektroninės informacijos saugos incidentui, kurio metu iškyla pavojus Registro duomenims, Registro techninės, programinės įrangos funkcionavimui.
2. Valdymo plane vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Valstybinės reikšmės ir pavojingų objektų registro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2000 m. lapkričio
8 d. nutarimu Nr. 1386 „Dėl Pavojingų Lietuvos ūkio objektų registro reorganizavimo į Valstybinės reikšmės ir pavojingų objektų registrą“, Valstybinės reikšmės ir pavojingų objektų registro duomenų saugos nuostatuose, patvirtintuose Priešgaisrinės apsaugos ir gelbėjimo departamento prie Vidaus reikalų ministerijos (toliau – PAGD) direktoriaus 2007 m. birželio 29 d. įsakymu Nr. 1-207 (toliau – Saugos nuostatai) ir kituose saugų elektroninės informacijos ir duomenų tvarkymą reglamentuojančiuose teisės aktuose apibrėžtas sąvokas.
3. Registro naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai sisteminiam administratoriui ir saugos įgaliotiniui.
4. Saugos įgaliotinis, įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią Registro saugą, skelbia elektroninės informacijos saugos incidentą ir apie tai praneša Veiklos tęstinumo valdymo grupei.
6. Registro elektroninės informacijos saugos incidento tyrimas atliekamas pagal Registro elektroninės informacijos saugos incidentų tyrimų tvarkos aprašą (1 priedas).
7. Administratoriai, saugos įgaliotinis, Registro naudotojai ir kiti asmenys elektroninės informacijos saugos incidento metu turi visus įgaliojimus atlikti veiksmus, nurodytus Registro veiklos atkūrimo detaliajame plane (Valdymo plano 2 priedas). Administratoriai, saugos įgaliotinis, prireikus – Registro naudotojai nedelsdami šalina elektroninės informacijos saugos incidento padarinius ir įgyvendina kitas detaliajame plane numatytus veiksmus.
8. Šis Valdymo planas privalomas Registro tvarkytojui, valdytojui, saugos įgaliotiniui, administratoriams, Registro naudotojams.
9. Registro veiklos atkūrimas, įvykus elektroninės informacijos saugos incidentui, finansuojamas iš Lietuvos Respublikos valstybės biudžeto ir kitų finansavimo šaltinių. PAGD finansavimo plane numatomi finansiniai rezervai, pakankami elektroninės informacijos saugos incidentui pašalinti per Saugos nuostatų 31 punkte ir Valdymo plano 10.4 papunktyje numatytus terminus.
10. Registro veiklos kriterijai, pagal kuriuos galima nustatyti, ar Registro veikla atkurta, yra šie:
10.3. Registras vykdo Registro nuostatuose ir kituose teisės aktuose nurodytus uždavinius ir funkcijas;
II SKYRIUS
ORGANIZACINĖS NUOSTATOS
11. Elektroninės informacijos saugos incidentams valdyti ir veiklai atkurti sudaromos dvi grupės: Veiklos tęstinumo valdymo grupė (toliau – Valdymo grupė) ir Veiklos atkūrimo grupė.
12. Valdymo grupė – užtikrina veiklos tęstinumui kylančių grėsmių valdymą ir Registro atkūrimo koordinavimą įvykus elektroninės informacijos saugos incidentui.
13. Registro Valdymo grupės sudėtis:
14. Pagrindinė Registro Valdymo grupės pasitarimų vieta – PAGD Civilinės saugos valdybos Situacijų koordinavimo skyriaus salė (3 korpusas, Švitrigailos g. 18, Vilnius). Alternatyvi Registro Valdymo grupės pasitarimų vieta – Vilniaus apskrities priešgaisrinės gelbėjimo valdybos salė (Pamėnkalnio g. 30, Vilnius).
15. Valdymo grupės nariai, gavę informaciją iš saugos įgaliotinio apie įvykusį elektroninės informacijos saugos incidentą, susisiekia su Valdymo grupės vadovu ir kuo skubiau susirenka į Valdymo grupės pasitarimų vietą, jei Valdymo grupės vadovas nenurodė kitos susirinkimo vietos.
16. Valdymo grupė atlieka šias funkcijas:
16.1. analizuoja elektroninės informacijos saugos incidentus ir priima sprendimus Registro veiklos tęstinumo valdymo klausimais;
16.4. bendrauja su teisėsaugos ir kitomis institucijomis, šių institucijų darbuotojais ir kitais suinteresuotais asmenimis;
16.5. atlieka finansinių ir kitų išteklių, reikalingų Registro veiklai atkurti įvykus elektroninės informacijos saugos incidentui, naudojimo kontrolę;
16.6. organizuoja Registro duomenų fizinę saugą, įvykus elektroninės informacijos saugos incidentui;
17. Veiklos atkūrimo grupė vykdo Registro atkūrimo darbus ir Valdymo grupės nurodymus susijusius su Registro funkcionalumo atkūrimu.
18. Veiklos atkūrimo grupės sudėtis:
18.1. PAGD Civilinės saugos valdybos Situacijų koordinavimo skyriaus viršininko pavaduotojas – Veiklos atkūrimo grupės vadovas;
18.2. PAGD Operatyvaus valdymo valdybos Informacinių technologijų ir ryšių skyriaus vyriausiasis specialistas – Veiklos atkūrimo grupės vadovo pavaduotojas;
19. Esant poreikiui ir suderinus su Registro Valdymo grupe, Veiklos atkūrimo grupės funkcijoms vykdyti galima pasitelkti papildomus Registro valdytojo, tvarkytojo ar kitų subjektų žmogiškuosius išteklius.
20. Registro Veiklos atkūrimo grupės funkcijos ir asmenys, atsakingi už šių funkcijų vykdymą:
20.1. tarnybinių stočių veikimo atkūrimo organizavimas (atsakingi Veiklos atkūrimo grupės vadovas ir sisteminiai administratoriai);
20.2. kompiuterių tinklo veikimo atkūrimo organizavimas (atsakingi Veiklos atkūrimo grupės vadovo pavaduotojas ir sisteminiai administratoriai);
20.3. Registro ir jo posistemių elektroninės informacijos atkūrimo organizavimas (atsakingi Veiklos atkūrimo grupės vadovas ir sisteminiai administratoriai);
20.4. taikomųjų programų tinkamo veikimo atkūrimo organizavimas (atsakingi Veiklos atkūrimo grupės vadovas, sisteminiai ir duomenų tvarkymo administratoriai);
21. Įvykus elektroninės informacijos saugos incidentui Valdymo grupė ir Veiklos atkūrimo grupė vadovaujasi Registro veiklos tęstinumo detaliuoju planu, kuris pateikiamas šio Valdymo plano 2 priede.
22. Valdymo grupė ir Veiklos atkūrimo grupė tarpusavyje ir su kitomis grupėmis bendrauja naudodamosi elektroninių ryšių priemonėmis: elektroniniu paštu, mobiliuoju ryšiu ir kitomis įmanomomis ryšio priemonėmis. Bendravimo dažnumas priklauso nuo Registro elektroninės informacijos saugos incidento masto, pobūdžio ir veiklos atkūrimo eigos, tačiau grupės privalo komunikuoti ne rečiau kaip vieną kartą per 6 val., kol bus pašalinti elektroninės informacijos saugos incidento padariniai.
23. Įvykus elektroninės informacijos saugos incidentui, visi Valdymo grupės ir Veiklos atkūrimo grupės nariai visą parą pasiekiami mobiliuoju telefonu.
24. Jeigu pagrindinės Registro patalpos, kuriose yra Registro tarnybinės stotys ir kita telekomunikacinė įranga, yra netinkamos, siekiant užtikrinti Registro veiklą įvykus elektroninės informacijos saugos incidentui, naudojamos atsarginės Registro atkūrimo patalpos. Numatoma vieta – Informatikos ir ryšio departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos (Šventaragio g. 2, Vilnius).
III SKYRIUS
APRAŠOMOSIOS NUOSTATOS
26. Parengti ir saugomi dokumentai:
26.5. Registro duomenų teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutarčių sąrašas;
26.6. Registro programinės įrangos laikmenų ir laikmenų su atsarginėmis programinės įrangos kopijomis saugojimo žurnalas;
26.7. Registro Veiklos tęstinumo valdymo grupės ir Registro Veiklos atkūrimo grupės narių sąrašas.
Už 26.1, 26.2, 26.3, 26.5, 26.6, 26.7 papunkčiuose nurodytų dokumentų parengimą ir saugojimą atsakingi PAGD Civilinės saugos valdybos Situacijų koordinavimo skyriaus darbuotojai, paskirti Registro duomenų tvarkymo administratoriais ir sisteminiais administratoriais.
Už 26.4 papunktyje nurodyto dokumento parengimą ir saugojimą atsakingi PAGD Operatyvaus valdymo valdybos Informacinių technologijų ir ryšių skyriaus darbuotojai, paskirti Registro duomenų tvarkymo administratoriais ir sisteminiais administratoriais.
27. Registro techninės ir programinės įrangos specifikacijoje pateikta informacija apie Registro techninę ir programinę įrangą ir jos parametrus. Už Registro techninės ir programinės įrangos priežiūrą yra atsakingas sisteminis administratorius. Elektroninės informacijos incidento metu nesant sisteminio administratoriaus (dėl komandiruotės, ligos ar kitų priežasčių), jį pavaduojančio asmens minimalus kompetencijos ar žinių lygis negali būti žemesnis už sisteminiam administratoriui keliamų reikalavimų lygį. Minimalūs reikalavimai sisteminiam administratoriui yra nurodyti Registro saugos nuostatuose.
28. Registro minimalaus funkcionalumo techninės ir programinės įrangos specifikacijoje pateikta informacija apie minimalaus funkcionalumo techninės ir programinės įrangos, tinkamos Registro tvarkymo įstaigos poreikius atitinkančiai veiklai užtikrinti elektroninės informacijos saugos incidento metu, specifikaciją.
29. Registro techninės įrangos išdėstymo brėžiniuose pateikti kiekvieno pastato, kuriame yra Registro įranga, aukšto patalpų brėžiniai su juose pažymėtais tarnybinėmis stotimis, kompiuterių tinklo ir telefonų tinklo mazgais, kompiuterių tinklo ir telefonų tinklo laidų vedimo tarp pastato aukštų vietomis ir elektros įvedimo pastate vietomis.
30. Registro kompiuterių tinklo fizinio ir loginio sujungimo schemų rinkinyje pateiktos Registro kompiuterių tinklo fizinio ar loginio sujungimo schemos.
31. Registro duomenų teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutarčių sąraše pateiktos duomenų teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys ir atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigos.
32. Registro programinės įrangos laikmenų ir laikmenų su atsarginėmis programinės įrangos kopijomis saugojimo žurnale nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis programinės įrangos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos.
IV SKYRIUS
PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS
34. Veiklos tęstinumo valdymo plano veiksmingumas išbandomas ne rečiau kaip kartą per metus, data numatoma atliekant Registro saugos atitikties vertinimą. Numatytu laiku imituojamas elektroninės informacijos saugos incidentas, kurio metu už elektroninės informacijos saugos incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus. Saugos įgaliotinis turi teisę inicijuoti neplaninį Valdymo plano veiksmingumo išbandymą.
35. Plano veiksmingumo išbandymo rezultatus saugos įgaliotinis išdėsto ataskaitoje (Valdymo plano 3 priedas), kurioje aprašomi pastebėti trūkumai ir pateikiami pasiūlymai dėl pastebėtų trūkumų šalinimo. Parengtą ataskaitą saugos įgaliotinis pateikia Registro valdytojo vadovui.
Valstybinės reikšmės ir pavojingų objektų
registro veiklos tęstinumo valdymo plano
1 priedas
Valstybinės reikšmės ir pavojingų objektų registro ELEKTRONINĖS INFORMACIJOS SAUGOS INCIDENTŲ TYRIMO TVARKOS APRAŠAS
1. Įvykus elektroninės informacijos saugos incidentui, saugos įgaliotinis surenka informaciją apie incidento vietą, požymius, laiką, padarinius ir kitus su incidentu susijusius duomenis, pateikia visa turimą informaciją Veiklos tęstinumo valdymo grupei.
2. Likvidavus elektroninės saugos incidento sukeltus padarinius, saugos įgaliotinis dokumentuoja visą surinktą informaciją. Elektroninės informacijos saugos incidentas, Registro atkuriamieji darbai ir juose dalyvavę, sutrikimus pašalinę darbuotojai registruojami elektroninės informacijos saugos incidentų žurnale (Valdymo plano 4 priedas).
3. Užpildytą elektroninės informacijos saugos incidentų registravimo žurnalą ir kitą su incidentu susijusią informaciją saugos įgaliotinis pateikia Registro veiklos tęstinumo valdymo grupei.
4. Registro veiklos tęstinumo valdymo grupė apsvarsčiusi turimą informaciją apie incidentą, jo padarinius, atliktus atkuriamuosius darbus ir Registro patirtą žalą, priima sprendimus dėl priemonių įgyvendinimo, kurios ateityje leistų išvengti panašaus pobūdžio elektroninės informacijos saugos incidentų pasikartojimo arba sumažintų galimą jų padarytą žalą.
5. Registro veiklos tęstinumo valdymo grupės priimtus sprendimus saugos įgaliotinis pateikia Registro valdytojo vadovui.
Valstybinės reikšmės ir pavojingų objektų
registro veiklos tęstinumo valdymo plano
2 priedas
Valstybinės reikšmės ir pavojingų objektų registro
VEIKLOS ATKŪRIMO DETALUSIS PLANAS
Pavojaus rūšys, sukeliančios incidentą |
Veiklos atkūrimo veiksmai |
Įgaliotieji vykdytojai |
1. Gamtos veiksniai ir jų padariniai (smarkus lietus, labai smarki audra, škvalas, kruša, smarkus speigas) |
1.1. specialiųjų tarnybų informavimas, jeigu būtina; |
pavojų pastebėjęs Registro darbuotojas |
1.2. saugos įgaliotinio ir Veiklos tęstinumo valdymo grupės nario informavimas; |
pavojų pastebėjęs Registro darbuotojas |
|
1.3. Veiklos tęstinumo valdymo grupės vadovo ir narių informavimas ir susitikimo pasitarimų vietoje organizavimas; |
saugos įgaliotinis |
|
1.4. darbuotojų evakavimo organizavimas, jeigu būtina; |
Veiklos tęstinumo valdymo grupės vadovas |
|
1.5. nurodymų ir rekomendacijų iš specialiųjų tarnybų gavimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
1.6. galimybės dirbti pavojaus vietoje svarstymas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
1.7. darbuotojų informavimas apie nurodymus ir rekomendacijas, galimybes dirbti pavojaus vietoje; |
Veiklos tęstinumo valdymo grupės vadovo pavaduotojas |
|
1.8. nuostolių, padarytų patalpoms, jų įtakos Registro veiklai ir iš to išplaukiančių padarinių įvertinimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
1.8. visų įmanomų priemonių, siekiant apsaugoti svarbiausią Registro įrangą ir duomenis, įgyvendinimas; |
Veiklos atkūrimo grupės vadovas |
|
1.9. nuostolių, padarytų Registro įrangai ir duomenims, įvertinimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
1.10. Registro nuostolių likvidavimo priemonių plano sudarymas ir paskelbimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
1.11. Registro nuostolius likviduojančių darbuotojų paskyrimas ir jų veiksmų koordinavimas; |
Veiklos atkūrimo grupės vadovas |
|
1.12. Registro veiklos perkėlimas į atsargines Registro atkūrimo patalpas, jeigu būtina; |
Veiklos atkūrimo grupės vadovas |
|
1.13. sugadintos ar prarastos įrangos atkūrimas, remontuojant ar įsigyjant naują; |
Veiklos atkūrimo grupės vadovas, sisteminis administratorius |
|
1.14. Registro duomenų atkūrimas iš atsarginių kopijų ir veiklos atkūrimas duomenų praradimo ar sugadinimo atveju; |
sisteminis administratorius |
|
1.15. įvykusio incidento analizė ir Veiklos tęstinumo valdymo plano pakeitimai, siekiant išvengti panašių situacijų arba jų padarinių ateityje. |
saugos įgaliotinis, Veiklos tęstinumo valdymo grupės vadovas |
|
2. Gaisras |
2.1. gaisro gesinimas ankstyvojoje stadijoje, jeigu yra galimybė; |
pavojų pastebėjęs Registro darbuotojas |
2.2. priešgaisrinės gelbėjimo tarnybos informavimas; |
pavojų pastebėjęs Registro darbuotojas |
|
2.3. Registro saugos įgaliotinio ir Veiklos tęstinumo valdymo grupės nario informavimas; |
pavojų pastebėjęs Registro darbuotojas |
|
2.4. Veiklos tęstinumo valdymo grupės vadovo ir narių informavimas ir susitikimo pasitarimų vietoje organizavimas; |
saugos įgaliotinis |
|
2.5. darbuotojų evakavimo organizavimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
2.6. nurodymų ir rekomendacijų iš priešgaisrinės gelbėjimo tarnybos gavimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
2.7. galimybės dirbti pavojaus vietoje svarstymas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
2.8. darbuotojų informavimas apie nurodymus ir rekomendacijas, galimybes dirbti pavojaus vietoje; |
Veiklos tęstinumo valdymo grupės vadovo pavaduotojas |
|
2.9. komunikacijų ir įrangos, galinčių sukelti pavojų, išjungimas; |
Veiklos atkūrimo grupės vadovas |
|
2.10. nuostolių, padarytų patalpoms, jų įtakos Registro veiklai ir iš to išplaukiančių padarinių įvertinimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
2.11. visų įmanomų priemonių, siekiant apsaugoti svarbiausią Registro įrangą ir duomenis, įgyvendinimas; |
Veiklos atkūrimo grupės vadovas |
|
2.12. nuostolių, padarytų Registro įrangai ir duomenims, įvertinimas; |
Veiklos atkūrimo grupės vadovas |
|
2.13. Registro nuostolių likvidavimo priemonių plano sudarymas ir paskelbimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
2.14. Registro nuostolius likviduojančių darbuotojų paskyrimas ir jų veiksmų koordinavimas; |
Veiklos atkūrimo grupės vadovas |
|
2.15. Registro veiklos perkėlimas į atsargines Registro atkūrimo patalpas, jeigu būtina; |
Veiklos atkūrimo grupės vadovas |
|
2.16. sugadintos ar prarastos įrangos atkūrimas, remontuojant ar įsigyjant naują; |
Veiklos atkūrimo grupės vadovas, sisteminis administratorius |
|
2.17. Registro duomenų atkūrimas iš atsarginių kopijų ir veiklos atkūrimas duomenų praradimo ar sugadinimo atveju; |
sisteminis administratorius |
|
2.18. įvykusio incidento analizė ir Veiklos tęstinumo valdymo plano pakeitimai, siekiant išvengti panašių situacijų arba jų padarinių ateityje. |
saugos įgaliotinis, Veiklos tęstinumo valdymo grupės vadovas |
|
3. Patalpų pažeidimas arba praradimas |
3.1. specialiųjų tarnybų informavimas; |
pavojų pastebėjęs Registro darbuotojas |
3.2. saugos įgaliotinio ir Veiklos tęstinumo valdymo grupės nario informavimas; |
pavojų pastebėjęs Registro darbuotojas |
|
3.3. Veiklos tęstinumo valdymo grupės vadovo ir narių informavimas, susitikimo pasitarimų vietoje organizavimas; |
saugos įgaliotinis |
|
3.4. darbuotojų evakavimo organizavimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
3.5. nurodymų ir rekomendacijų iš specialiųjų tarnybų gavimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
3.6. galimybės dirbti pavojaus vietoje svarstymas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
3.7. darbuotojų informavimas apie nurodymus ir rekomendacijas, galimybes dirbti pavojaus vietoje; |
Veiklos tęstinumo valdymo grupės vadovo pavaduotojas |
|
3.8. patalpose esančios įrangos išjungimas ir užrakinimas, jeigu yra galimybė; |
Veiklos atkūrimo grupės vadovas |
|
3.9. patalpų apsaugos organizavimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
3.10. nuostolių, padarytų patalpoms, jų įtakos Registro veiklai ir iš to išplaukiančių padarinių įvertinimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
3.11. nuostolių, padarytų Registro įrangai ir duomenims, įvertinimas; |
Veiklos atkūrimo grupės vadovas |
|
3.12. Registro nuostolių likvidavimo priemonių plano sudarymas ir paskelbimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
3.13. Registro nuostolius likviduojančių darbuotojų paskyrimas ir jų veiksmų koordinavimas; |
Veiklos atkūrimo grupės vadovas |
|
3.14. Registro veiklos perkėlimas į atsargines Registro atkūrimo patalpas; |
Veiklos atkūrimo grupės vadovas |
|
3.15. pažeistų patalpų remonto, renovacijos arba atkūrimo organizavimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
3.16. sugadintos ar prarastos įrangos atkūrimas remontuojant ar įsigyjant naują; |
Veiklos atkūrimo grupės vadovas, sisteminis administratorius |
|
3.17. Registro duomenų atkūrimas iš atsarginių kopijų ir veiklos atkūrimas duomenų praradimo ar sugadinimo atveju; |
sisteminis administratorius |
|
3.18. įvykusio incidento analizė ir Veiklos tęstinumo valdymo plano pakeitimai, siekiant išvengti panašių situacijų arba jų padarinių ateityje. |
saugos įgaliotinis, Veiklos tęstinumo valdymo grupės vadovas |
|
4. Elektros energijos tiekimo sutrikimai |
4.1. saugos įgaliotinio ir Veiklos tęstinumo valdymo grupės nario informavimas; |
pavojų pastebėjęs Registro darbuotojas |
4.2. Veiklos tęstinumo valdymo grupės vadovo ir narių informavimas, susitikimo pasitarimų vietoje organizavimas; |
saugos įgaliotinis |
|
4.3. elektros energijos tiekimo sutrikimo priežasčių nustatymas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
4.4. kreipimasis į elektros energijos tiekėją dėl sutrikimo pašalinimo trukmės ir galimybių; |
Veiklos tęstinumo valdymo grupės vadovas |
|
4.5. informacijos ir rekomendacijų iš elektros energijos tiekėjo gavimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
4.6. tarnybinių stočių ir kitos techninės įrangos alternatyvaus elektros energijos tiekimo užtikrinimas; |
Veiklos atkūrimo grupės vadovas |
|
4.7. alternatyvaus elektros energijos tiekimo įrenginio (generatoriaus) ir nepertraukiamo maitinimo šaltinių priežiūra; |
Veiklos atkūrimo grupės vadovas |
|
4.8. elektros energijos tiekimo sutrikimo poveikio svarbiausiai Registro įrangai ir duomenims įvertinimas; |
Veiklos atkūrimo grupės vadovas |
|
4.9. Registro nuostolių likvidavimo priemonių plano sudarymas ir paskelbimas, jeigu būtina; |
Veiklos tęstinumo valdymo grupės vadovas |
|
4.10. Registro nuostolius likviduojančių darbuotojų paskyrimas ir jų veiksmų koordinavimas, jeigu būtina; |
Veiklos atkūrimo grupės vadovas |
|
4.11. Registro duomenų atkūrimas iš atsarginių kopijų ir veiklos atkūrimas duomenų praradimo ar sugadinimo atveju; |
sisteminis administratorius |
|
4.12. įvykusio incidento analizė ir Veiklos tęstinumo valdymo plano pakeitimai, siekiant išvengti panašių situacijų arba jų padarinių ateityje. |
saugos įgaliotinis, Veiklos tęstinumo valdymo grupės vadovas |
|
5. Vandentiekio arba šildymo sistemos sutrikimai |
5.1. saugos įgaliotinio ir Veiklos tęstinumo valdymo grupės nario informavimas; |
pavojų pastebėjęs Registro darbuotojas |
5.2. Veiklos tęstinumo valdymo grupės vadovo ir narių informavimas, susitikimo pasitarimų vietoje organizavimas; |
saugos įgaliotinis |
|
5.3. vandentiekio arba šildymo komunikacijų atjungimo svarstymas ir iniciavimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
5.4. kreipimasis į vandentiekio arba šildymo paslaugų tiekėją dėl sutrikimo pašalinimo trukmės ir galimybių; |
Veiklos tęstinumo valdymo grupės vadovas |
|
5.5. darbuotojų informavimas apie sutrikimą ir elgesio patalpose rekomendacijas; |
Veiklos tęstinumo valdymo grupės vadovo pavaduotojas |
|
5.6. sutrikimo priežasčių nustatymas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
5.7. sutrikimo poveikio svarbiausiai Registro įrangai ir duomenims įvertinimas; |
Veiklos atkūrimo grupės vadovas |
|
5.8. Registro nuostolių likvidavimo priemonių plano sudarymas ir paskelbimas, jeigu būtina; |
Veiklos tęstinumo valdymo grupės vadovas |
|
5.9. Registro nuostolius likviduojančių darbuotojų paskyrimas ir jų veiksmų koordinavimas, jeigu būtina; |
Veiklos atkūrimo grupės vadovas |
|
5.10. Registro veiklos perkėlimas į atsargines Registro atkūrimo patalpas, jeigu būtina; |
Veiklos atkūrimo grupės vadovas |
|
5.11. vandentiekio arba šildymo tiekimo paslaugų atnaujinimo organizavimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
5.12. Registro veiklos atkūrimas, atnaujinus vandentiekio ir šildymo paslaugų tiekimą, jeigu būtina; |
Veiklos atkūrimo grupės vadovas |
|
5.13. įvykusio incidento analizė ir Veiklos tęstinumo valdymo plano pakeitimai, siekiant išvengti panašių situacijų arba jų padarinių ateityje. |
saugos įgaliotinis, Veiklos tęstinumo valdymo grupės vadovas |
|
6. Ryšio sutrikimai |
6.1. saugos įgaliotinio ir Veiklos tęstinumo valdymo grupės nario informavimas; |
pavojų pastebėjęs Registro darbuotojas |
6.2. Veiklos tęstinumo valdymo grupės vadovo ir narių informavimas, susitikimo pasitarimų vietoje organizavimas; |
saugos įgaliotinis |
|
6.3. ryšio sutrikimo priežasčių nustatymas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
6.4. kreipimasis į ryšio paslaugų teikėją dėl sutrikimo pašalinimo trukmės; |
Veiklos tęstinumo valdymo grupės vadovas |
|
6.5. darbuotojų informavimas dėl ryšio sutrikimo; |
Veiklos tęstinumo valdymo grupės vadovo pavaduotojas |
|
6.6. kreipimasis į alternatyvų ryšio paslaugų teikėją, jeigu sutrikimas nepašalintas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
6.7. įvykusio incidento analizė ir Veiklos tęstinumo valdymo plano pakeitimai, siekiant išvengti panašių situacijų arba jų padarinių ateityje. |
saugos įgaliotinis, Veiklos tęstinumo valdymo grupės vadovas |
|
7. Techninės įrangos sugadinimas, netekimas arba funkcionavimo sutrikimai |
7.1. saugos įgaliotinio ir Veiklos tęstinumo valdymo grupės nario informavimas; |
pavojų pastebėjęs Registro darbuotojas |
7.2. Veiklos tęstinumo valdymo grupės vadovo ir narių informavimas, susitikimo pasitarimų vietoje organizavimas; |
saugos įgaliotinis |
|
7.3. pranešimas teisėsaugos tarnybai apie įvykį vagystės arba vandalizmo atveju; |
Veiklos tęstinumo valdymo grupės vadovas |
|
7.4. bendravimas su teisėsaugos tarnyba vykstant įvykio tyrimui; |
Veiklos tęstinumo valdymo grupės vadovas |
|
7.5. darbuotojų informavimas apie techninės įrangos sutrikimus; |
Veiklos tęstinumo valdymo grupės vadovo pavaduotojas |
|
7.6. techninės įrangos gedimų nustatymas; |
Veiklos atkūrimo grupės vadovas, sisteminis administratorius |
|
7.7.sugadintos techninės įrangos atkūrimo galimybių įvertinimas; |
Veiklos atkūrimo grupės vadovas |
|
7.8. netektos techninės įrangos pakeitimo galimybių naujas įvertinimas; |
Veiklos atkūrimo grupės vadovas |
|
7.9. nuostolių, padarytų Registro įrangai ir duomenims, įvertinimas; |
Veiklos atkūrimo grupės vadovas |
|
7.10. Registro nuostolių likvidavimo priemonių plano sudarymas ir paskelbimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
7.11. Registro nuostolius likviduojančių darbuotojų paskyrimas ir jų veiksmų koordinavimas; |
Veiklos atkūrimo grupės vadovas |
|
7.12. esamų techninės įrangos išteklių perskirstymas, siekiant kompensuoti praradimą; |
Veiklos atkūrimo grupės vadovas |
|
7.13. sugadintos ar prarastos techninės įrangos atkūrimas, remontuojant ar įsigyjant naują; |
Veiklos atkūrimo grupės vadovas, sisteminis administratorius |
|
7.14. Registro duomenų atkūrimas iš atsarginių kopijų ir veiklos atkūrimas duomenų praradimo ar sugadinimo atveju; |
sisteminis administratorius |
|
7.15. įvykusio incidento analizė ir Veiklos tęstinumo valdymo plano pakeitimai, siekiant išvengti panašių situacijų arba jų padarinių ateityje. |
saugos įgaliotinis, Veiklos tęstinumo valdymo grupės vadovas |
|
8. Programinės įrangos sugadinimas, duomenų praradimas |
8.1. saugos įgaliotinio ir Veiklos tęstinumo valdymo grupės nario informavimas; |
pavojų pastebėjęs Registro darbuotojas, Registro naudotojas |
8.2. Veiklos tęstinumo valdymo grupės vadovo ir narių informavimas, susitikimo pasitarimų vietoje organizavimas; |
saugos įgaliotinis |
|
8.3. darbuotojų informavimas apie veiklos sutrikimus arba prarastus duomenis; |
Veiklos tęstinumo valdymo grupės vadovo pavaduotojas |
|
8.4. prarastų duomenų apimties ir praradimo priežasčių nustatymas; |
Veiklos tęstinumo valdymo grupės vadovas, sisteminis administratorius |
|
8.5. pranešimas teisėsaugos tarnybai, jeigu su Registro duomenimis buvo atliktos neteisėtos veikos; |
Veiklos tęstinumo valdymo grupės vadovas |
|
8.6. bendravimas su teisėsaugos tarnyba vykstant įvykio tyrimui; |
Veiklos tęstinumo valdymo grupės vadovas |
|
8.7. nuostolių, padarytų Registrui, ir iš to išplaukiančių padarinių įvertinimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
8.8. Registro nuostolių likvidavimo priemonių plano sudarymas ir paskelbimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
8.9. Registro nuostolius likviduojančių darbuotojų paskyrimas ir jų veiksmų koordinavimas; |
Veiklos atkūrimo grupės vadovas |
|
8.10. Registro duomenų atkūrimas iš atsarginių kopijų ir veiklos atkūrimas; |
sisteminis administratorius |
|
8.11. Registro saugumo spragų pašalinimas, jeigu dėl jų kaltės duomenys buvo prarasti; |
Veiklos atkūrimo grupės vadovas |
|
8.12. įvykusio incidento analizė ir Veiklos tęstinumo valdymo plano pakeitimai, siekiant išvengti panašių situacijų arba jų padarinių ateityje. |
saugos įgaliotinis, Veiklos tęstinumo valdymo grupės vadovas |
|
9. Įsilaužimas į vidinį tinklą (kibernetinė ataka) |
9.1. saugos įgaliotinio ir Veiklos tęstinumo valdymo grupės nario informavimas; |
pavojų pastebėjęs Registro darbuotojas, Registro naudotojas |
9.2. Veiklos tęstinumo valdymo grupės vadovo ir narių informavimas, susitikimo pasitarimų vietoje organizavimas; |
saugos įgaliotinis |
|
9.3. Registro veiklos sutrikimo dėl įsilaužimo į vidinį kompiuterių tinklą priežasčių ir trikdžių šaltinio identifikavimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
9.4. pranešimas apie įvykį elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo tarnybai, nustačius įsilaužimą į Vidaus reikalų ministerijos telekomunikacinį tinklą iš išorės; |
Veiklos tęstinumo valdymo grupės vadovas |
|
9.5. darbuotojų informavimas apie Registro veiklos sutrikimus; |
Veiklos tęstinumo valdymo grupės vadovo pavaduotojas |
|
9.6. nuostolių, padarytų Registro duomenims, ir iš to išplaukiančių padarinių įvertinimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
9.7. Registro nuostolių likvidavimo priemonių plano sudarymas ir paskelbimas; |
Veiklos tęstinumo valdymo grupės vadovas |
|
9.8. Registro nuostolius likviduojančių darbuotojų paskyrimas ir jų veiksmų koordinavimas; |
Veiklos atkūrimo grupės vadovas |
|
9.9. Registro duomenų atkūrimas iš atsarginių kopijų ir veiklos atkūrimas duomenų praradimo ar sugadinimo atveju; |
sisteminis administratorius |
|
9.10. alternatyvaus svarbių duomenų perdavimo būdo kompiuteriniais tinklais organizavimas ir duomenų perdavimo saugumo užtikrinimas. |
Veiklos atkūrimo grupės vadovas |
|
9.11. Registro saugumo spragų pašalinimas, jeigu dėl jų kaltės buvo įsilaužta į vidinį kompiuterių tinklą; |
Veiklos atkūrimo grupės vadovas |
|
9.12. įvykusio incidento analizė ir Veiklos tęstinumo valdymo plano pakeitimai, siekiant išvengti panašių situacijų arba jų padarinių ateityje. |
saugos įgaliotinis, Veiklos tęstinumo valdymo grupės vadovas |
_____________________
Valstybinės reikšmės ir pavojingų objektų
registro veiklos tęstinumo valdymo plano
3 priedas
Valstybinės reikšmės ir pavojingų objektų registro
VEIKLOS TĘSTINUMO VALDYMO PLANO
BANDYMO ATASKAITA
|
(data) |
Elektroninės informacijos saugos incidento scenarijus:
|
|
Funkcijos ir posistemiai, kuriuos paveikė elektroninės informacijos saugos incidentas:
|
|
Elektroninės informacijos saugos incidento šalinimo eiga:
|
|
Rasti Registro veiklos tęstinumo valdymo plano trūkumai:
|
|
Pasiūlymai keisti arba papildyti Registro veiklos tęstinumo valdymo planą:
|
|
Bandant Valstybinės reikšmės ir pavojingų objektų registro veiklos tęstinumo valdymo planą dalyvavo:
Vardas, pavardė |
Parašas |
1. |
|
2. |
|
3. |
|
4. |
|
5. |
|
_____________________
Valstybinės reikšmės ir pavojingų objektų registro
veiklos tęstinumo valdymo plano
4 priedas
(Valstybinės reikšmės ir pavojingų objektų registro
elektroninės informacijos saugos incidentų registravimo žurnalo formos pavyzdys)
Valstybinės reikšmės ir pavojingų objektų registro
Elektroninės informacijos saugos incidentų REGISTRAVIMO ŽURNALAS
Eil. Nr. |
Elektroninės informacijos saugos incidentas |
||||||
požymio kodas |
pradžia (metai, mėnuo, diena, valanda) |
pabaiga (metai, mėnuo, diena, valanda) |
įvykio aprašymas |
atkuriamieji darbai |
pašalino (vardas ir pavardė) |
saugos įgaliotinis (vardas ir pavardė, parašas) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Elektroninės informacijos saugos incidento situacijos požymiai:
1. gamtos veiksniai ir jų padariniai; 2. gaisras; 3. patalpų pažeidimas arba praradimas; 4. elektros energijos tiekimo sutrikimai; 5. vandentiekio arba šildymo sistemos sutrikimai; 6. ryšio sutrikimai; 7. techninės įrangos sugadinimas, netekimas arba funkcionavimo sutrikimai; 8. programinės įrangos sugadinimas, duomenų praradimas; 9. įsilaužimas į vidinį kompiuterių tinklą arba kibernetinė ataka.
_____________________