PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2017 m. birželio 27 d. įsakymu Nr. 3D-427

VALSTYBĖS ĮMONĖS ŽEMĖS ŪKIO INFORMACIJOS IR KAIMO VERSLO CENTRO ADMINISTRUOJAMŲ INFORMACINIŲ SISTEMŲ IR REGISTRŲ SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybės įmonės Žemės ūkio informacijos ir kaimo verslo centro (toliau – ŽŪIKVC) administruojamų informacinių sistemų ir registrų saugaus elektroninės informacijos tvarkymo taisyklių (toliau – Taisyklės) tikslas – nustatyti tvarką, užtikrinančią saugų ŽŪIKVC administruojamų informacinių sistemų ir registrų (toliau – IS / registrai) techninės, programinės įrangos funkcionavimą, saugų IS / registrų duomenų tvarkymą ir jų teikimą kitoms įmonėms, įstaigoms ar organizacijoms (toliau – Institucijos) pagal teisės aktų nustatytus reikalavimus.

2. Taisyklėse vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir Saugos dokumentų turinio gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ ir kituose Lietuvos Respublikos įstatymuose ir teisės aktuose vartojamas sąvokas.

3. IS / registruose saugoma informacija yra skirstoma į šias kategorijas:

3.1. IS / registrų administratorių tvarkomi duomenys;

3.2. IS / registrų naudotojų administratorių tvarkomi duomenys;

3.3. IS / registrų naudotojų tvarkomi duomenys;

3.4. duomenys, nurodyti IS / registrų nuostatuose ir duomenų saugos nuostatuose.

4. Elektroninės informacijos, priskirtos atskiroms kategorijoms, sąrašas:

4.1. IS / registrų administratoriai atsakingi už šių IS / registrų duomenų tvarkymą:

4.1.1. IS / registrų klasifikatorius;

4.1.2. IS / registrų naudotojų pareigas;

4.1.3. IS / registrų naudotojų teises;

4.1.4. IS / registrų naudotojams priskirtas funkcijas;

4.1.5. IS / registrų naudotojų unikalius identifikatorius.

4.1.6. kiti techniniai duomenys IS / registrų stebėsenai atlikti;

4.2. IS / registrų naudotojų administratoriai atsakingi už šių IS / registrų duomenų tvarkymą:

4.2.1. IS / registrų naudotojų teisės;

4.2.2. IS / registrų naudotojų unikalūs identifikatoriai.

4.3. IS / registrų naudotojai atsakingi už IS / registrų duomenų tvarkymą, reikalingą Lietuvos Respublikos teisės aktuose nustatytų funkcijų vykdymui.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

5. Saugiam IS / registrų duomenų tvarkymui užtikrinti naudojamos fizinės, techninės, programinės, organizacinės ir kitos duomenų saugos priemonės.

6. ŽŪIKVC valdomos kompiuterinės įrangos saugos priemonės:

6.1. fizinės prieigos prie IS / registrų tarnybinių stočių kontrolė, užtikrinama vadovaujantis ŽŪIKVC patvirtintomis Patekimo į tarnybinių stočių patalpas taisyklėmis. Asmenų, galinčių patekti į tarnybinių stočių patalpas, sąrašas tvirtinamas ŽŪIKVC generalinio direktoriaus įsakymu;

6.2. visų IS / registrų tarnybinių stočių ir ŽŪIKVC darbuotojų darbo vietų apsauga nuo kenksmingosios programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto, prievadų skenavimo ir pan.);

6.3. svarbiausios kompiuterinės įrangos sujungimas klasteriniu režimu (angl. computer cluster), t.y. dubliuojant svarbiausią kompiuterinę įrangą, šios kompiuterinės įrangos techninės būklės nuolatinė stebėsena;

6.4. apribojama galimybė naudotis kompiuterine įranga ne IS / registrų naudotojams;

6.5. tarnybinių stočių, svarbiausių duomenų perdavimo tinklo mazgų ir ryšio linijų dubliavimas ir jų techninės būklės stebėsena pagal ŽŪIKVC patvirtintas tvarkas;

6.6. ŽŪIKVC darbuotojų naudojamos techninės kompiuterinės įrangos priežiūra, tvarkymas ir atnaujinimas;

6.7. IS / registrų kompiuterinės įrangos veikimo stebėsena ir nustatytų gedimų šalinimas pagal registruotus incidentus;

6.8. SSL sertifikatas;

6.9. naudotojų prieigai prie IS / registrų naudojamas šifruotas HTTPS duomenų perdavimo protokolas.

7. Sisteminės ir taikomosios programinės įrangos saugos priemonės:

7.1. naudojama legali IS / registrų sisteminė ir taikomoji programinė įranga;

7.2. operatyviai įdiegiamos IS / registrų operacinės sistemos ir naudojami programinės įrangos gamintojų rekomenduojami atnaujinimai, prieš tai juos patikrinus.

7.3. IS / registruose naudojamos autorizuotos programinės įrangos reguliarus atnaujinimas, už kurį atsakingos Institucijos, kuriose dirba IS / registrų naudotojai;

7.4. neautorizuotos programinės įrangos įdiegimo į IS / registrų naudotojų kompiuterius ribojimas bei nuolatinis IS / registruose naudojamos programinės įrangos stebėsenos vykdymas, už kurį atsakingos Institucijos, kuriose dirba IS / registrų naudotojai;

7.5. kompiuterinėse IS / registrų naudotojų darbo vietose naudojamos kenksmingosios programinės įrangos aptikimo priemonės, kurios yra reguliariai atnaujinamos Institucijų, kuriose dirba IS / registrų naudotojai;

7.6. prisijungimų teisę dirbti su IS / registrų tarnybinėmis stotimis ir jų administravimo programine įranga turi tik IS / registrų administratoriai;

7.7. prieigos teisės dirbti su IS / registrų taikomąja programine įranga suteikiama IS / registrų naudotojams pagal naudotojams suteiktas teises Išorinių naudotojų administravimo taisyklėse nustatyta tvarka;

7.8. IS / registrų duomenys nuo jų praradimo, iškraipymo, sunaikinimo, neteisėto panaudojimo galimybių apsaugomi techninėmis, organizacinėmis, programinėmis priemonėmis;

7.9. IS / registrų naudotojų tapatybei, jų veiksmams su IS / registrais nustatyti taikomos programinės priemonės;

7.10. IS / registrų naudotojams suteikiamos minimalios, tik tiesioginėms funkcijoms vykdyti būtinos prieigos teisės;

7.11. IS / registrų priežiūros funkcijos turi būti atliekamos naudojant atskirtą tam skirtą IS / registro administratoriaus paskyrą, kuria naudojantis negalima atlikti IS / registro naudotojo funkcijų;

7.12. Vadovaujantis Organizaciniais ir techniniais kibernetinio saugumo reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, IS / registrų programinė įranga turi būti apsaugota nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), įterptinių instrukcijų atakų (angl. Cross-site scripting) atkirtimo nuo paslaugos (angl. DOS), paskirstyto atsisakymo aptarnauti (angl. DDOS) ir kt.

8. Duomenų perdavimo tinklais apsaugos užtikrinimo priemonės:

8.1. IS / registrų naudotojų prieiga prie kitų valstybės institucijų, žinybų kompiuterių tinklų ar interneto turi būti apsaugota užkardomis. Interneto turinys turi būti kontroliuojamas, išrenkama, išimama nepageidaujama informacija. Už tokios įrangos administravimą ir priežiūrą atsakinga Institucija, kurios kompiuterinę techniką naudoja IS / registrų naudotojas, jungdamasis prie IS / registrų;

8.2. IS / registrus naudojant nustatytoms funkcijoms vykdyti ne naudotojų patalpose, turi būti įdiegiamos papildomos saugos priemonės (duomenų šifravimas, prisijungimo ribojimai);

8.3. užtikrinant saugų IS / registrų duomenų teikimą ir (ar) gavimą iš duomenų teikėjų, naudojamas SSL šifravimas ar kiti kanalai, užtikrinantys atitinkamą saugumo lygį. IS / registrų duomenys automatiniu būdu į IS / registrus teikiami ir (ar) per IS / registrus gaunami tik pagal duomenų teikimo sutartyse nustatytą tvarką ir sąlygas.

9. IS / registrų tarnybinių stočių, esančių ŽŪIKVC tarnybinių stočių patalpose, saugumo užtikrinimo priemonės:

9.1. turi veikti tik legali programinė įranga;

9.2. ne rečiau kaip kartą per metus turi būti atliekamas tarnybinėse stotyse naudojamos programinės įrangos patikrinimas;

9.3. svarbiausia kompiuterinė įranga, duomenų perdavimo mazgai ir ryšio linijos turi būti dubliuoti ir jų techninė būklė nuolat stebima, jeigu tai naudojama ypatingai svarbios arba svarbios elektroninės informacijos tvarkymui;

9.4. užtikrinamas išorės poveikio šaltinių – transporto priemonių keliamos vibracijos, eismo įvykių, radijo stočių, specialiųjų gamyklų, kitų išorės šaltinių minimalus poveikis patalpoms ir jose esančiai techninei ir programinei įrangai;

9.5. visos esančios išorinės durys ir langai ŽŪIKVC tarnybinių stočių patalpose tinkamai apsaugoti nuo neleistinos prieigos;

9.6. tarnybinių stočių patalpos atitinka priešgaisrinės saugos reikalavimus, įrengta priešgaisrinė signalizacija;

9.7. tarnybinių stočių patalpose yra dujinė gaisro gesinimo sistema. Periodiškai atliekama dujinės gaisro gesinimo sistemos priemonių patikra;

9.8. tarnybinių stočių patalpose įrengta įsilaužimo signalizacija, perduodanti signalą į visą parą veikiantį apsaugos pultą;

9.9. tarnybinių stočių patalpos yra įjungtos į atskirą signalizacijos zoną;

9.10. patalpos atskirtos nuo bendrojo naudojimo patalpų ir atskirai rakinamos;

9.11. tarnybinių stočių patalpos apsaugotos nedegiomis metalinėmis durimis. Papildomas elektroninis užraktas su pirštų atspaudų skaitytuvu užtikrina patekimo į tarnybinių stočių patalpas kontrolę;

9.12. patekimas į tarnybinių stočių patalpas ribojamas pagal ŽŪIKVC patvirtintas Patekimo į tarnybinių stočių patalpas taisykles;

9.13. IS / registrų techninė įranga įnešama į patalpas ir išnešama iš jų ŽŪIKVC nustatyta tvarka;

9.14. IS / registrų tarnybinės stotys apsaugotos nuo elektros srovės nutrūkimo ir svyravimų;

9.15. rezervinio nenutrūkstamo maitinimo šaltinis užtikrina IS / registrų pagrindinės kompiuterinės įrangos veikimą ne trumpiau nei 10 minučių pagrindinio nenutrūkstamo maitinimo šaltinio neveikimo atveju ir nutrūkus elektros energijos tiekimui tarnybinės stotys maitinamos nuo rezervinio dyzelinio generatoriaus;

9.16. ryšių kabeliai apsaugoti nuo neteisėto prisijungimo prie jų ir jų pažeidimo;

9.17. patalpose, kuriose yra IS / registrų kompiuterinė įranga, turi būti sukurtos gamintojo rekomenduojamos techninės įrangos darbo sąlygos;

9.18. turi būti įrengta kondicionavimo sistema, nuolat stebimi temperatūros ir drėgmės svyravimai;

9.19. patalpose palaikoma +22 (±5) ºC temperatūra ir 50 (±10) proc. santykinis oro drėgnis.

9.20. IS / registrų darbo apskaitos ir kitos elektroninės informacijos saugos priemonės:

9.21. programiniu būdu registruojami IS / registrų naudotojų atliekami veiksmai IS / registruose;

9.22. IS / registrų naudotojams suteikiama prieigos prie IS / registrų teisė atlikti veiksmus tik pagal jų turimas teises;

9.23. IS / registrų tarnybinių stočių įvykių žurnaluose turi būti registruojami ir ne mažiau kaip vienerius metus saugomi duomenys, nurodant įvykio laiką ir naudotojo identifikatorių, apie:

9.23.1. IS / registrų įjungimą bei išjungimą;

9.23.2. sėkmingus ir nesėkmingus bandymus registruotis IS / registruose;

9.23.3. bandymus prieiti prie IS / registrų informacinių išteklių.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

10. IS / registrų duomenų (tik tų, kuriuos IS / registrų naudotojas gali koreguoti) keitimo, atnaujinimo, įvedimo ir naikinimo tvarka: IS / registrų duomenis keisti, atnaujinti, įrašyti ir naikinti gali tik autorizuoti IS / registrų naudotojai pagal suteiktas teises.

11. IS / registrų naudotojui teisė naudotis IS / registrais suteikiama Išorinių naudotojų administravimo taisyklėse nustatyta tvarka. IS / registrų naudotojų administratoriai atsakingi už administruojamų IS / registrų naudotojų administravimą. IS / registrų duomenys įrašomi, atnaujinami, keičiami ir naikinami vadovaujantis IS / registrų nuostatais ir IS / registrų duomenų saugos nuostatais.

12. IS / registrų naudotojų veiksmų registravimo tvarka:

12.1. IS / registrų naudotojų tapatybė ir veiksmai su IS / registrų duomenimis fiksuojami programinėmis priemonėmis;

12.2. IS / registrų naudotojų tapatybė ir veiksmai su IS / registrų duomenimis įrašomi automatiniu būdu IS / registrų duomenų bazės veiksmų žurnale, apsaugotame nuo neteisėto jame esančių duomenų panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;

12.3. IS / registrų duomenų bazės veiksmų žurnalo duomenys prieinami IS / registrų administratoriams

13. Atsarginių duomenų kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarka:

13.1. už IS / registrų duomenų atsarginių kopijų darymą yra atsakingi IS / registrų administratoriai;

13.2. IS / registrų administratorių funkcijos aprašytos IS / registrų duomenų saugos nuostatuose, IS / registrų naudotojų administravimo taisyklėse ir kituose teisės aktuose, reglamentuojančiuose IS / registrų darbą;

13.3. prarasti, iškraipyti ar sunaikinti IS / registrų duomenys atkuriami iš IS / registrų duomenų atsarginių kopijų;

13.4. IS / registrų duomenų atsarginių kopijų darymas fiksuojamas žurnale;

13.5. duomenys turi būti kopijuojami ir saugomi tokia apimtimi, kad duomenų praradimo atveju visišką IS / registrų funkcionalumą ir veiklą būtų galima atkurti per 8 – 16 darbo valandų (atsižvelgiant į IS / registrų informacijos svarbos kategorijas);

13.6. IS / registrų duomenų saugykloje realiu laiku yra dubliuojami visi IS / registrų duomenys;

13.7. išsamios IS / registrų duomenų kopijos į rezervinio kopijavimo juostų biblioteką daromos vieną kartą per savaitę;

13.8. kopijos saugomos užrakintoje nedegioje spintoje, kitose patalpose, nei yra įrašymo įrenginys, kurio elektroninė informacija buvo nukopijuota;

13.9. IS / registrų administratoriai suderina su IS / registrų saugos įgaliotiniu visiško ir dalinio IS / registrų duomenų atkūrimo bandymų metodus ir užtikrina atsarginių IS / registrų duomenų kopijų saugojimą ir atsarginių IS / registrų duomenų kopijų darymo kontrolę.

14. Duomenų perkėlimo ir teikimo kitoms IS / registrams, duomenų gavimo iš jų tvarka:

14.1. duomenų mainai tarp IS / registrų ir kitų susijusių valstybės ar žinybinių registrų ir valstybės informacinių sistemų vykdomi su šių susijusių valstybės ar žinybinių registrų ir valstybės informacinių sistemų valdytojais sudarytose duomenų teikimo sutartyse numatytais būdais, terminais ir numatytos apimties;

14.2. reorganizuojant arba likviduojant IS / registrus, jų elektroninė informacija turi būti saugiai perduota valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka arba sunaikinama.

15. Duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:

15.1. IS / registrų administratoriai, užtikrindami IS / registrų duomenų vientisumą, privalo naudoti visas įmanomas fizines, programines ir organizacines priemones, skirtas IS / registrams ir juose tvarkomiems duomenims apsaugoti nuo neteisėtų veiksmų;

15.2. IS / registrų naudotojai, įtarę, kad su IS / registrų duomenimis buvo atlikti neteisėti veiksmai, privalo pranešti apie tai IS / registrų administratoriams. IS / registrų administratoriai, atsiradus įtarimams dėl neteisėtų veiksmų su IS / registrų duomenimis, pasinaudoję IS / registrų duomenų bazių veiksmų žurnalų įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su IS / registrų programine įranga ir (ar) IS / registrų duomenimis;

15.3. IS / registrų administratoriai, įtarę, kad su IS / registrų duomenimis vykdomi neteisėti veiksmai, privalo apie tai pranešti IS / registrų saugos įgaliotiniui;

15.4. IS / registrų saugos įgaliotinis, gavęs pranešimą apie vykdomus neteisėtus veiksmus su IS / registrais arba su IS / registrų duomenimis, inicijuoja elektroninės informacijos saugos incidento valdymą pagal ŽŪIKVC patvirtintą Incidentų valdymo procedūros aprašą.

16. IS / registrų programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:

16.1. priklausomai nuo konkretaus atvejo, derina IS / registrų administratoriai arba ji aprašoma paslaugų, susijusių su IS / registrų programinės ir techninės įrangos keitimu ir atnaujinimu, teikimo sutartyse;

16.2. prieš atlikdamas IS / registrų pokyčius, kurių metu gali iškilti grėsmė duomenų ir IS / registrų konfidencialumui, vientisumui ar pasiekiamumui, IS / registrų administratoriais privalo planuojamus IS / registrų pokyčius ištestuoti;

16.3. programinės įrangos testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką, kurioje esantys asmens duomenys turi būti naudojami vadovaujantis Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonių, patvirtintų Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“, 14.8 papunkčio reikalavimais;

16.4. atlikęs vykdomų IS / registrų pokyčių testavimą ir gavęs raštišką Lietuvos Respublikos žemės ūkio ministro arba jo įgalioto asmens sutikimą, IS / registrų administratoriai gali pradėti įgyvendinti IS / registrų pokyčius;

16.5. planuodami IS / registrų pokyčius, kurių metu galimi IS / registrų veikimo sutrikimai, IS / registrų administratoriai el. paštu informuoja IS / registrų naudotojų administratorius;

16.6. IS / registrų naudotojų administratoriai privalo ne vėliau kaip prieš dvi darbo dienas iki IS / registrų pokyčių vykdymo pradžios el. paštu informuoti IS / registrų naudotojus apie tokių darbų pradžią ir galimus IS / registrų veikimo sutrikimus.

17. IS / registrų pokyčių (toliau – pokyčiai) valdymo tvarka apima šiuos procesus:

17.1. pokyčių nustatymą;

17.2. pokyčių suskirstymą į kategorijas, atsižvelgiant į pokyčių svarbą, aktualumą, poreikį ir panašiai;

17.3. pokyčių įtakos vertinimą;

17.4. pokyčių prioritetų nustatymą;

17.5. pokyčių atlikimą.

18. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių naudojimo tvarka:

ŽŪIKVC nešiojamųjų įrenginių naudojimą, priežiūrą ir juose esančios elektroninės informacijos tvarkymą ir saugojimą reglamentuoja ŽŪIKVC Nešiojamųjų įrenginių naudojimo ir priežiūros taisyklės, patvirtintos ŽŪIKVC generalinio direktoriaus 2014 m. rugpjūčio 25 d. įsakymu Nr. 1V-122 „Dėl valstybės įmonės Žemės ūkio informacijos ir kaimo verslo centro nešiojamųjų įrenginių naudojimo ir priežiūros taisyklių tvirtinimo“.

IV SKYRIUS

REIKALAVIMAI, KELIAMI FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

19. Paslaugų teikėjų prieigos prie IS / registrų lygiai ir sąlygos:

19.1. IS / registrų naudotojų administratoriai suteikia prieigos prie IS / registrų duomenų teisę (peržiūrėti IS / registrų duomenis, atlikti užklausas IS / registruose, vykdyti veiksmus su IS / registrų duomenimis ir kt.), o IS / registrų administratoriai suteikia fizinę prieigą prie techninės ir programinės įrangos paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje nurodytam laikotarpiui jam nustatytoms funkcijoms atlikti;

19.2. IS / registrų naudotojų administratoriai, suteikdami prieigos prie IS / registrų duomenų teisę, paslaugų teikėjo įgaliotą fizinį asmenį supažindina su prieigos prie IS / registrų duomenų sąlygomis. Taip pat paslaugos teikėjo įgaliotas asmuo yra supažindinamas pasirašytinai su duomenų saugos reikalavimais ir atsakomybe už šių reikalavimų pažeidimus;

19.3. pasibaigus sutartyje nurodytam laikotarpiui, IS / registrų naudotojų administratoriai panaikina paslaugų teikėjo įgalioto fizinio asmens prieigos prie IS / registrų duomenų teisę ir apie tai jį informuoja.

20. Reikalavimai patalpų, įrangos, IS / registrų priežiūrai ir kitoms paslaugoms:

20.1. reikalavimai paslaugų teikėjams ir jų teikiamoms projektavimo ir IS / registrų priežiūros paslaugoms nustatomi šių paslaugų teikimo sutartyse;

20.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja IS / registrų taikomąją programinę įrangą, naudodamas:

20.2.1. įgyvendintas elektroninės informacijos saugos priemones, apsaugančias nuo neteisėto poveikio sisteminei, programinei įrangai ir patalpoms;

20.2.2. IS / registrų tęstinės duomenų bazės duomenis (IS / registrų taikomajai programinei įrangai modifikuoti);

20.2.3. tik sertifikuotą IS / registrų programinę įrangą;

20.3. IS / registrų veiklą palaikančių sistemų (elektros energijos, šildymo, vėdinimo ir oro kondicionavimo bei kitos sistemos) kokybė atsižvelgiant į šių sistemų veiklai keliamus reikalavimus turi būti reguliariai tikrinama, siekiant užtikrinti tinkamą šių paslaugų teikimą ir sumažinti galimas šių paslaugų teikimo sutrikimo ir avarijos pasekmes.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

21. Taisyklės gali būti keičiamos dėl atsiradusių naujų poreikių ir pasikeitusių teisės aktų, reglamentuojančių IS / registrų administravimo ir informacijos saugumo sritį.

22. IS / registrų naudotojų administratoriai atsakingi už savo administruojamų IS / registrų naudotojų supažindinimą su Taisyklėmis. Taip pat supažindinami ir su atsakomybe už Taisyklių laikymosi pažeidimus.

23. Asmenys, pažeidę šių taisyklių nuostatas, atsako teisės aktų nustatyta tvarka.

______________

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2017 m. birželio 27 d. įsakymu Nr. 3D-427

VALSTYBĖS ĮMONĖS ŽEMĖS ŪKIO INFORMACIJOS IR KAIMO VERSLO CENTRO ADMINISTRUOJAMŲ INFORMACINIŲ SISTEMŲ IR REGISTRŲ VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybės įmonės Žemės ūkio informacijos ir kaimo verslo centro administruojamų informacinių sistemų ir registrų veiklos tęstinumo valdymo plano (toliau – Valdymo planas) tikslas – nustatyti valstybės įmonės Žemės ūkio informacijos ir kaimo verslo centro (toliau – ŽŪIKVC) administruojamų informacinių sistemų ir registrų (toliau – IS ir registrai) administratoriaus, saugos įgaliotinio ir kitų darbuotojų veiksmus, esant IS ir registrų elektroninės informacijos saugos incidentui, kurio metu kyla pavojus IS ir registrų duomenims, techninės ir programinės įrangos funkcionavimui.

2. Valdymo plane vartojamos sąvokos:

2.1. Administratorius – privilegijuotas teises turintis ŽŪIKVC darbuotojas (toliau – darbuotojas), galintis administruoti IS ir registrus techniniu ir programiniu lygmeniu ir atlikti kitas administratoriaus teisių reikalaujančias funkcijas;

2.2. Ekstremalioji padėtis – dėl kritinio techninio gedimo, avarijos, katastrofos ar kitų techninių, gamtinių ar socialinių įvykių susidariusi padėtis, kai kyla grėsmė ŽŪIKVC veiklai ir (arba) jos informaciniams ištekliams;

2.3. Elektroninė informacija – IS ir registruose tvarkomi duomenys, dokumentai ir informacija;

2.4. Elektroninės informacijos saugos incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie IS ir registrų galimybę, sutrikdyti ar pakeisti IS ir registrų veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas neleistinai elektroninę informaciją pasisavinti, paskleisti ar kitaip panaudoti;

2.5. ŽŪIKVC duomenų valdymo įgaliotinis (toliau – duomenų valdymo įgaliotinis) – ŽŪIKVC struktūrinio padalinio, atsakingo už ŽŪIKVC teisės aktuose nustatytų funkcijų atlikimą, vadovas, o jei tokio struktūrinio padalinio nėra, – darbuotojas, atsakingas už ŽŪIKVC teisės aktuose nustatytų funkcijų atlikimą;

2.6. ŽŪIKVC IS ir registrų duomenys (toliau – duomenys) – informacija, kurią gali apdoroti žmogus;

2.7. ŽŪIKVC informacijos saugos specialistas (toliau – ISS) – darbuotojas, atsakingas už pasiūlymų teikimą ŽŪIKVC generaliniam direktoriui Informacijos saugumo politikos formavimo proceso metu, jos įgyvendinimo kontrolę, informacijos klasifikavimą, kasmetinį (jei reikia – neeilinį) rizikos vertinimą, įskaitant kasmetinį informacijos saugumo priemonių testavimą, ŽŪIKVC darbuotojų mokymą, instruktavimą ir priežiūrą informacijos saugumo klausimais; vykdantis IS ir registrų saugos įgaliotinio funkcijas;

2.8. ŽŪIKVC saugos įgaliotinis (toliau – saugos įgaliotinis) – ŽŪIKVC paskirtas darbuotojas, koordinuojantis ir prižiūrintis elektroninės informacijos saugos politikos įgyvendinimą IS ir registruose.

3. Kitos Valdymo plane vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir Saugos dokumentų turinio gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, kituose Lietuvos Respublikos įstatymuose ir teisės aktuose vartojamas sąvokas.

4. Valdymo planas pradedamas taikyti saugos įgaliotiniui nustačius elektroninės informacijos saugos incidentą, kurio metu gali kilti pavojus IS ir registrų duomenims, techninės ir programinės įrangos funkcionavimui. Ekstremaliąją padėtį (visoje įmonėje ar padalinyje) skelbia ŽŪIKVC generalinis direktorius.

5. Saugos įgaliotinio, administratoriaus ir kitų vykdytojų veiksmai nurodyti Detaliajame ekstremaliosios padėties valdymo ir veiklos atkūrimo plane (1 priedas).

6. Elektroninės informacijos saugos incidento metu patirti nuostoliai padengiami iš ŽŪIKVC lėšų.

7. Kriterijai, pagal kuriuos nustatoma, kad IS ir registrų veikla atkurta:

7.1. teikiamos ŽŪIKVC elektroninės paslaugos;

7.2. galima prisijungti prie IS ir registrų, naudojantis Elektroniniais valdžios vartais.

8. Neveikiant IS ir registrams ar veikiant iš dalies, jų veikla turi būti atkurta per 8 valandas (ypatingos svarbos informacinė infrastruktūra (toliau – YSII) ir I kategorijos IS ir registrai), 12 valandų (II kategorijos IS ir registrai), 16 valandų (III kategorijos IS ir registrai), 24 valandas (IV kategorijos IS ir registrai).

9. YSII ir I kategorijos IS ir registrų prieinamumas turi būti užtikrintas ne mažiau kaip 99 proc. paros laiko, II kategorijos IS ir registrų prieinamumas turi būti užtikrintas ne mažiau kaip 96 proc. paros laiko, III kategorijos IS ir registrų prieinamumas – ne mažiau kaip 90 proc. laiko darbo metu, darbo dienomis, IV kategorijos IS ir registrų prieinamumas – ne mažiau kaip 70 proc. laiko darbo metu darbo dienomis.

10. Kiti elektroninės informacijos saugos techniniai reikalavimai atitinka Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarime Nr. 387 „Dėl organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“ ir Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakyme Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ apibrėžtus reikalavimus.

II SKYRIUS

VALDYMO PLANO ORGANIZACINĖS NUOSTATOS

11. ŽŪIKVC yra sudaroma IS ir registrų veiklos tęstinumo valdymo grupė (toliau – Valdymo grupė) ir IS ir registrų veiklos atkūrimo grupė (toliau – Atkūrimo grupė). Valdymo grupės ir Atkūrimo grupės narių sąrašus su jų kontaktine informacija tvirtina ŽŪIKVC generalinis direktorius.

12. Valdymo grupės sudėtis:

12.1. ŽŪIKVC generalinis direktorius (Valdymo grupės vadovas);

12.2. generalinio direktoriaus pavaduotojas (Valdymo grupės vadovo pavaduotojas);

12.3. vyr. finansininkas;

12.4. duomenų valdymo įgaliotinis (su ekstremaliąja padėtimi susijusios IS ir registro);

12.5. saugos įgaliotinis;

12.6. Darbuotojų saugos ir sveikatos tarnybos vadovas (jei kyla grėsmė darbuotojų gyvybei ir sveikatai);

12.7. administratorius (su ekstremaliąja padėtimi susijusios IS ir registro).

13. Valdymo grupės funkcijos:

13.1. IS ir registrų veiklos atkūrimo tarp ŽŪIKVC ir kitų institucijų (jeigu reikia) priežiūra ir koordinavimas;

13.2. elektroninės informacijos saugos incidentų analizė ir sprendimų IS ir registrų veiklos tęstinumo valdymo klausimais priėmimas;

13.3. bendravimas ir bendradarbiavimas su kitų institucijų veiklos tęstinumo valdymo grupėmis;

13.4. bendravimas ir bendradarbiavimas su teisėsaugos, kitomis institucijomis ir kitomis interesų grupėmis;

13.5. finansinių išteklių, reikalingų IS ir registrų veiklai atkurti, įvykus elektroninės informacijos saugos incidentui, panaudojimo kontrolė;

13.6. ŽŪIKVC fizinės duomenų apsaugos užtikrinimo kontrolė, įvykus elektroninės informacijos saugos incidentui;

13.7. IS ir registrų atkūrimo priežiūra ir koordinavimas;

13.8. kitos pavestos funkcijos.

14. Atkūrimo grupės sudėtis:

14.1. Informacinių sistemų administravimo skyriaus (toliau – ISAS) vadovas (Atkūrimo grupės vadovas);

14.2. ISAS vadovo pavaduotojas (Atkūrimo grupės vadovo pavaduotojas);

14.3. administratorius (su ekstremaliąja padėtimi susijusios IS ir registro);

14.4. Atkūrimo grupės vadovo paskirti ne mažiau kaip du ISAS darbuotojai;

14.5. Ūkio reikalų skyriaus (toliau – ŪRS) vadovas.

15. Atkūrimo grupės funkcijos:

15.1. ŽŪIKVC tarnybinių stočių veikimo atkūrimo organizavimas;

15.2. kompiuterių tinklo tarp ŽŪIKVC ir susijusių institucijų veikimo atkūrimo organizavimas;

15.3. duomenų atkūrimo organizavimas;

15.4. ŽŪIKVC paslaugas užtikrinančių sąsajų atkūrimas;

15.5. ŽŪIKVC taikomųjų programų ir modulių tinkamo veikimo atkūrimo organizavimas;

15.6. IS ir registrų veiklos atkūrimas;

15.7. kompiuterių veikimo atkūrimo ir prijungimo prie ŽŪIKVC kompiuterių tinklo organizavimas;

15.8. logistikos organizavimas (žmonių, daiktų, įrangos gabenimo organizavimas ir jų gabenimas);

15.9. kitos Atkūrimo grupei pavestos funkcijos.

16. Jei ŽŪIKVC yra paskelbta ekstremalioji padėtis, Valdymo ir Atkūrimo grupės organizuoja pasitarimus, atsižvelgdamos į Valdymo grupės pirmojo susitikimo metu nustatytą dažnumą, palaiko ryšius visomis tuo metu prieinamomis priemonėmis (žodžiu, telefonu, el. paštu, mobiliuoju ryšiu ir kt.).

17. Paskelbus ekstremaliąją padėtį, apie susidariusią situaciją visomis tuo metu prieinamomis priemonėmis (žodžiu, telefonu, el. paštu, mobiliuoju ryšiu ir kt.) informuojami ŽŪIKVC darbuotojai (toliau – darbuotojai) ir interesų grupės.

18. Už informacinių pranešimų siuntimą atsakingas Bendrosios informacijos teikimo skyrius (toliau – BITS). Informaciją BITS pateikia Valdymo grupės vadovas.

19. Reaguojant į elektroninės informacijos saugos incidentus ir juos valdant, turi būti vadovaujamasi veiksmais, išdėstytais Detaliajame ekstremaliosios padėties valdymo ir veiklos atkūrimo plane (1 priedas), ir šiais principais:

19.1. Darbuotojų gyvybės ir sveikatos apsauga. Būtina kontroliuoti ir padėti užtikrinti visų darbuotojų gyvybės ir sveikatos apsaugą, kol trunka ekstremalioji padėtis ir likviduojami elektroninės informacijos saugos incidento padariniai.

19.2. IS ir registrų veiklos atkūrimu. Paskelbus ekstremaliąją padėtį, jei būtina, organizuojamas IS ir registrų veiklos atkūrimas. Pirmiausia atkuriamos kritiškiausios IS ir registrai ir užtikrinamas jų prieinamumas.

19.3. Darbuotojų mokymu. Darbuotojai, dirbantys su IS ir registrais, turi būti supažindinti su Valdymo planu ir kitais teisės aktais, nustatančiais kiekvieno darbuotojo atsakomybę ekstremaliosios padėties atveju.

19.4. Valdymo plano arba jo dalių veiksmingumu. Valdymo plano arba jo dalių veiksmingumas turi būti reguliariai išbandomas Valdymo grupės iniciatyva ir, jei būtina, tikslinamas, atsižvelgiant į nustatytus trūkumus.

20. Atsarginėms tarnybinių stočių patalpoms (toliau – patalpos), naudojamoms IS ir registrų veiklai atkurti elektroninės informacijos saugos incidento atveju, keliami reikalavimai aprašyti 4 priede.

21. Patalpų, naudojamų IS ir registrų veiklai atkurti elektroninės informacijos saugos incidento atveju, adresas ir vieta žemėlapyje yra pateikti Valdymo plano 3 priede.

III SKYRIUS

VALDYMO PLANO APRAŠOMOSIOS NUOSTATOS

22. ŽŪIKVC techninės ir programinės įrangos ir jos parametrų informacija nurodyta ŽŪIKVC patvirtintame Kompiuterinio tinklo konfigūravimo ir stebėsenos tvarkos apraše, o kompiuterių tinklo ir užkardų priežiūra atliekama pagal ŽŪIKVC patvirtintą kompiuterinio tinklo konfigūravimo ir stebėsenos tvarkos aprašą.

23. Už ŽŪIKVC techninės ir programinės įrangos priežiūrą yra atsakingas administratorius. Administratoriaus nesant darbe jo funkcijas vykdo Atkūrimo grupės vadovo paskirtas ŽŪIKVC darbuotojas, kurio kompetencijos ar žinių lygis negali būti mažesnis už administratoriui keliamų reikalavimų lygį.

24. Valdymo plano 14.4 papunktyje nurodytų darbuotojų kvalifikacija turi būti vienoda ir atitikti administratoriaus ir jį pavaduojančių asmenų kompetencijos ir žinių lygį.

25. Patalpų brėžiniai parengiami ir saugomi ŪRS.

26. Patalpose esančios įrangos ir komunikacijų sąrašas parengiamas ir saugomas ISAS.

27. Kompiuterių tinklo fizinio ar loginio sujungimo schemos saugomos ISAS.

28. Kompiuterinės, techninės ir programinės įrangos priežiūros sutartys saugomos ŽŪIKVC nustatyta tvarka.

29. Svarbiausių veiklos duomenų ir kitos informacijos atsarginių kopijų laikmenos saugomos užrakintoje nedegioje spintoje, kitose patalpose, nei yra įrašymo įrenginys, kurio elektroninė informacija buvo nukopijuota. Svarbiausių veiklos duomenų ir kitos informacijos atsarginės kopijos yra perkeliamos į saugojimo vietą kartą per savaitę.

IV SKYRIUS

VALDYMO PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

30. Valdymo grupė kiekvienų metų sausio mėnesį nustato Valdymo plano veiksmingumo išbandymo datą. Nustatytą dieną imituojamas elektroninės informacijos saugos incidentas. Jo metu už IS ir registrų elektroninės informacijos saugos incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus. Iš atsarginių IS ir registrų duomenų kopijų atkuriami IS ir registrų duomenys.

31. Bandymų rezultatai pateikiami ISS. Atsakingas – atkūrimo grupės vadovas.

32. Pagal bandymų rezultatus saugos įgaliotinis parengia Valdymo plano ataskaitą (toliau – Ataskaita) (2 priedas), kurioje yra apibendrinami atliktų bandymų rezultatai, akcentuojami pastebėti trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Su Ataskaita supažindinamas Valdymo grupės vadovas.

33. Saugos įgaliotinis nuolat kontroliuoja Ataskaitoje nurodytų prevencinių priemonių įgyvendinimą ir jų veiksmingumo išbandymo eigą.

34. Valdymo plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami remiantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

35. Valdymo planas įsigalioja nuo jo patvirtinimo ŽŪIKVC generalinio direktoriaus įsakymu dienos.

36. Už Valdymo plano peržiūrą ir atnaujinimą atsakingas ISS.

37. Su Valdymo planu pasirašytinai supažindinami visi ŽŪIKVC struktūrinių padalinių vadovai.

38. Už kitų veiklos tęstinumo valdymo procese dalyvaujančių darbuotojų supažindinimą su Valdymo planu atsakingas ISS.

39. Valdymo planas turi būti peržiūrimas ne rečiau kaip kartą per metus.

40. Nesilaikant Valdymo plano reikalavimų gali būti skiriamos drausminės nuobaudos Lietuvos Respublikos teisės aktų nustatyta tvarka.

______________

Valstybės įmonės Žemės ūkio informacijos ir

kaimo verslo centro administruojamų

informacinių sistemų ir registrų veiklos

tęstinumo valdymo plano

1 priedas

DETALUSIS EKSTREMALIOSIOS PADĖTIES VALDYMO IR VEIKLOS ATKŪRIMO PLANAS

Situacija	Siūlomi veiksmai	Terminai	Vykdytojai
Gautas pranešimas apie elektroninės informacijos saugos incidentą	Pranešama Valdymo grupės vadovui.	Nedelsiant^*	Saugos įgaliotinis
	1. Surenkama informacija iš IS ir registrų administratorių apie sutrikusią IS ir registrų veiklą arba patirtą kitokią žalą. 2. Pranešama Valdymo grupei.	Iki 1 val.^*	Saugos įgaliotinis
	Priimamas sprendimas, ar ŽŪIKVC (arba viename iš ŽŪIKVC padalinių) skelbiama ekstremalioji padėtis.	Iki 1 val.^*	Valdymo grupės vadovas
	Darbuotojai evakuojami iš darbo patalpų, jei yra pavojus jų sveikatai arba gyvybei.	Nedelsiant^*	Valdymo grupė
	Prireikus parengiami informaciniai pranešimai: 1. Visiems ŽŪIKVC darbuotojams. Informaciniame pranešime turi būti pateikiamos rekomendacijos, kaip elgtis esant ekstremaliajai padėčiai, pranešama kita reikalinga informacija, nurodomi atsakingi darbuotojai ir jų kontaktinė informacija. 2. ŽŪIKVC duomenų gavėjams ir teikėjams. 3. Teisėsaugos institucijoms ir atitinkamoms tarnyboms.	Iki 1 val.^*	Valdymo grupė
	Išplatinami informaciniai pranešimai.	Nedelsiant^*	BITS
Nustatyta IS ir registrams padaryta žala; paskelbta ekstremalioji padėtis	1. Parengiamas priemonių planas kilusiam pavojui užkirsti. 2. Formuojama Atkūrimo grupė, atsižvelgiant į IS ir registrų pažeidimus.	Iki 2 val.^*	Valdymo grupė
Nustatyti IS ir registrų pažeidimai, dėl kurių jie negali funkcionuoti	1. Priimamas sprendimas atkurti IS ir registrus atsarginėse tarnybinių stočių patalpose. 2. Organizuojamas pažeistų patalpų remontas, atstatymo darbai, komunalinių komunikacijų įjungimas.	Iki 2 val.^*	Valdymo grupė, Atkūrimo grupė
	Atsarginėse tarnybinių stočių patalpose organizuojamas veiklos atkūrimas.	Iki 2 val.^*	Atkūrimo grupė
Nustatytas IS ir registrų techninės, programinės įrangos ir (arba) duomenų praradimas	1. Parengiama duomenims atkurti būtina minimali techninė ir programinė įranga. 2. Atkuriama techninės ir programinės įrangos veikla. 3. Atkuriami prarasti duomenys.	Iki 8 val.^*	Atkūrimo grupė
Nustatytas ryšio linijų sutrikimas, dėl kurio nustoja funkcionuoti IS ir registrai	1. Nustatomos ryšio sutrikimo priežastys. 2. Šalinami ryšio sutrikimai. 3. Ryšio paslaugų teikėjas užklausiamas dėl įvykusio sutrikimo pašalinimo trukmės. 4. Aktyvinama atsarginė ryšio priemonė.	Iki 8 val.^*	Atkūrimo grupė
	Apie susidariusią padėtį pranešama atitinkamoms tarnyboms ir interesų grupėms.	Nedelsiant^*	BITS
Nustatytas techninės įrangos sugadinimas, dėl kurio nustoja funkcionuoti IS ir registrai	1. Priimamas sprendimas dėl techninės įrangos perskirstymo. 2. Prireikus kreipiamasi į techninės įrangos tiekėjus dėl sugadintos įrangos taisymo arba dėl naujos techninės įrangos įsigijimo.	Iki 2 val.^*	Valdymo grupė
	Perskirstoma esama techninė įranga ir kiti ištekliai, reikalingi IS ir registrų veiklai užtikrinti.	Iki 4 val.^*	Atkūrimo grupė
Nustatytas programinės įrangos sugadinimas, dėl kurio nustoja funkcionuoti IS ir registrai	Priimamas sprendimas dėl programinės įrangos įsigijimo.	Iki 2 val.^*	Valdymo grupė
	Iš esamų arba įsigytų programinės įrangos kopijų atkuriama sugadinta ar prarasta programinė įranga.	Iki 8 val.^*	Atkūrimo grupė
Nustatytas duomenų sugadinimas ar praradimas, dėl kurio nustoja funkcionuoti IS ir registrai	1. Atkuriami prarasti duomenys. 2. Nepasisekus visiškai atkurti sugadintų ar prarastų duomenų iš duomenų atsarginių kopijų, Atkūrimo grupė organizuoja trūkstamų duomenų įkėlimą iš naujo.	Iki 8 val.^*	Atkūrimo grupė
Priežastys, kurios sukėlė ekstremaliąją padėtį, išnyksta ar yra pašalinamos arba atkuriamas IS ir registrų minimalus funkcionavimas	ŽŪIKVC (arba viename iš ŽŪIKVC padalinių) atšaukiama ekstremalioji padėtis.	Nedelsiant^*	Valdymo grupės vadovas
	Apie atšauktą ekstremaliąją padėtį prireikus pranešama interesų grupėms.	Nedelsiant^*	BITS
	Užpildoma Veiklos tęstinumo valdymo plano ataskaita (2 priedas).	Atlikus išsamią analizę^*	Saugos įgaliotinis

* – atsižvelgiant į Lietuvos Respublikos teisės aktų, reglamentuojančių informacijos ir kibernetinį saugumą reikalavimus ir elektroninės informacijos saugos incidento tipą (pavojingas, didelės reikšmės, vidutinės reikšmės ar nereikšmingas elektroninės informacijos saugos incidentas).

____________

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2017 m. birželio 27 d. įsakymu Nr. 3D-427

VALSTYBĖS ĮMONĖS ŽEMĖS ŪKIO INFORMACIJOS IR KAIMO VERSLO CENTRO ADMINISTRUOJAMŲ INFORMACINIŲ SISTEMŲ IR REGISTRŲ NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybės įmonės Žemės ūkio informacijos ir kaimo verslo centro administruojamų informacinių sistemų ir registrų naudotojų administravimo taisyklės (toliau – taisyklės) – dokumentas, reglamentuojantis valstybės įmonės Žemės ūkio informacijos ir kaimo verslo centro (toliau – ŽŪIKVC) administruojamų informacinių sistemų ir registrų (toliau – IS ir registrai) naudotojų bei ŽŪIKVC vidinių tinklo ir techninių resursų, duomenų bazių, testavimo aplinkų ir kitų resursų prieigos teisių valdymą ir nustatantis tvarką, kurios tikslas yra mažinti grėsmių ir nesankcionuotos prieigos galimybes bei užtikrinti saugų informacijos tvarkymą.

2. Taisyklės yra parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“.

3. Taisyklės yra privalomos administruojant visus ŽŪIKVC naudotojus (toliau – naudotojai), nepriklausomai nuo jų vykdomų funkcijų ir naudojamų informacijos apdorojimo priemonių.

4. Taisyklės apima ir detalizuoja šiuos naudotojų administravimo etapus: naudotojų prieigų suteikimą, keitimą ir panaikinimą.

5. Taisyklėmis privalo vadovautis visi ŽŪIKVC darbuotojai (toliau – darbuotojai) ir naudotojai.

6. Šiose Taisyklėse vartojami sutrumpinimai:

BITS – Bendrosios informacijos teikimo skyrius;

DDAS – Darbuotojų duomenų administravimo sistema;

ISAS – Informacinių sistemų administravimo skyrius;

VPN – šifruotas duomenų perdavimo tinklas, leidžiantis saugiai nuotoliniu būdu prisijungti internetu prie vietinio kompiuterių tinklo.

7. Šiose Taisyklėse vartojamos sąvokos:

7.1. Administratorius – Informacinių sistemų administravimo skyriaus darbuotojas, atsakingas už IS arba registro techninę priežiūrą ir veikimo užtikrinimą.

7.2. Konfidencialumo pasižadėjimas – darbuotojų raštiškas pasižadėjimas, kad naudotojas tretiesiems asmenims neteiks informacijos, kurios atskleidimas gali pažeisti ŽŪIKVC teisinius interesus ir turėti įtakos ŽŪIKVC informacijos saugumui.

7.3. Paslaugos gavėjai – kiti fiziniai ir juridiniai asmenys, naudojantys ŽŪIKVC teikiamas paslaugas, viešosios prieigos programinę įrangą arba kitaip gaunantys informaciją iš ŽŪIKVC reikiamiems veiksmams, turintiems teisinį pagrindą, atlikti.

7.4. Prieiga – naudotojo galimybė pasinaudoti jo darbui reikalinga atitinkama informacija.

7.5. Tretieji asmenys – visi fiziniai ir juridiniai asmenys arba jų grupės (išskyrus naudotojus).

7.6. ŽŪIKVC informacijos saugos specialistas (toliau – ISS) – darbuotojas, atsakingas už Informacijos saugumo valdymo sistemos (toliau – ISVS) politikos formavimą ir įgyvendinimą, informacijos klasifikavimą, periodinį rizikos vertinimą, įskaitant kasmetinį informacijos saugos priemonių testavimą, darbuotojų mokymą ir instruktavimą informacijos saugos klausimais. ISS vykdo saugos įgaliotinio funkcijas: įgyvendina elektroninės informacijos saugą IS arba registro techninėje dalyje.

7.7. ŽŪIKVC IS ir registrų vidinis naudotojas (toliau – vidinis naudotojas) – darbuotojas, kuriam yra suteikta prieiga prie ŽŪIKVC informacijos, IS ir registrų, duomenų bazių darbo sutartyje, darbuotojo skyriaus nuostatuose ir pareiginėje instrukcijoje numatytoms funkcijoms atlikti;

7.8. ŽŪIKVC IS ir registrų išorinis naudotojas (toliau – išorinis naudotojas) – išorinių organizacijų atstovas, rangovų atstovas ar kitas fizinis arba juridinis asmuo, dirbantis pagal informacijos teikimo sutartį, kuriam sutarties ar galiojančių teisės aktų pagrindu yra suteikta prieiga prie ŽŪIKVC informacijos, IS ir registrų, informacijos apdorojimo priemonių, duomenų bazių sutartyje ar galiojančiuose teisės aktuose numatytoms funkcijoms atlikti.

7.9. ŽŪIKVC IS ir registrų naudotojų administratorius (toliau – naudotojų administratorius) – duomenų valdymo įgaliotinio paskirtas asmuo, atsakingas už naudotojų sukūrimą, panaikinimą, teisių suteikimą ir priežiūrą.

7.10. ŽŪIKVC IS ir registrų naudotojas (toliau – naudotojas) – vidinis arba išorinis ŽŪIKVC IS ir registrų naudotojas.

7.11. ŽŪIKVC duomenų valdymo įgaliotinis (toliau – duomenų valdymo įgaliotinis) – ŽŪIKVC IS arba registro tvarkytojo struktūrinio padalinio, atsakingo už institucijai teisės aktų nustatytų funkcijų atlikimą, vadovas, o jeigu tokio struktūrinio padalinio nėra, – darbuotojas, atsakingas už institucijai teisės aktuose nustatytų funkcijų atlikimą.

7.12. ŽŪIKVC informacija (toliau – informacija) – visa ŽŪIKVC gaunama, tvarkoma, kuriama, valdoma ir naudojama žodinė, rašytinė ir elektroninė informacija (dokumentai, ŽŪIKVC administruojamų IS ir registrų, duomenų bazių duomenys ir pan.).

8. Kitos Taisyklėse vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos įstatymuose ir kituose teisės aktuose bei Lietuvos standarte LST ISO/IEC 27001:2013.

9. Prieinamumas prie IS ir registrų bei kitų informacijos apdorojimo priemonių naudotojams suteikiamas vadovaujantis šiais duomenų saugos principais:

9.1. Konfidencialumu – prie IS ir registruose saugomų duomenų ir informacijos apdorojimo priemonių prieigą gali gauti tik tie naudotojai, kuriems tokia teisė buvo suteikta pagal jų vykdomas pareigas, atliekamas funkcijas ir sutartinius įsipareigojimus;

9.2. Vientisumu – IS ir registruose saugomus duomenis gali keisti (sukurti, ištrinti arba papildyti) tik tam teises turintys naudotojai;

9.3. Pasiekiamumu – naudotojai savo veiksmais neturi sutrikdyti IS ir registrų arba informacijos apdorojimo priemonių veiklos, nebent tokia teisė jiems buvo išskirtinai suteikta;

9.4. Stebėsena – administratoriai yra atsakingi už nenutrūkstamą IS ir registrų veikimą bei naudojamų techninių resursų priežiūrą;

9.5. Atsekamumu – naudotojų veiksmai yra fiksuojami, taip užtikrinant naudotojų atsakomybę už atliktus veiksmus.

II SKYRIUS

NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS

10. Naudotojų įgaliojimai, teisės ir pareigos naudotis suteiktomis prieigomis yra nustatomi IS arba registrų nuostatuose, IS ir registrų duomenų saugos nuostatuose ir IS ir registrų saugos politiką įgyvendinančiuose dokumentuose (toliau – saugos dokumentai).

11. Naudotojų vardai, kodai, slaptažodžiai, patalpų apsaugos signalizacijos kodai, elektroniniai raktai, darbo pažymėjimai ir kiti susiję daiktai yra skirti naudotojui asmeniškai ir draudžiama juos perduoti kitiems net ir laikinai naudoti.

12. Naudotojai privalo:

12.1. užtikrinti ŽŪIKVC informacijos saugą ir tvarkyti duomenis vadovaudamiesi teisės aktais ir duomenų teikimo sutartimis;

12.2. saugoti tvarkomų asmens duomenų paslaptį Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka;

12.3. naudoti tik tas prieigos prie duomenų teises, kurios buvo suteiktos;

12.4. išorinis naudotojas, kuriam pasibaigė sutartiniai įsipareigojimai, panaikintos vykdomos funkcijos, nutraukti darbo santykiai, privalo apie tai pranešti BITS.

13. Naudotojams draudžiama:

13.1. atskleisti duomenis ir suteikti kitokią galimybę bet kokia forma su jais susipažinti tokios teisės neturintiems asmenims;

13.2. atskleisti prisijungimo duomenis ir išvestinius elementus (prisijungimo vardus, sesijų raktus, el. parašo šifrus ir t. t.);

13.3. keistis prisijungimo vardais, slaptažodžiais, prisijungti prie informacijos, registrų, informacinių sistemų, informacijos apdorojimo priemonių ir / ar duomenų bazių pasinaudojus kito naudotojo prisijungimo duomenimis;

13.4. prisijungimo duomenis laikyti bet kuriose laikmenose (pvz., užrašytus ant popieriaus darbo vietoje, elektroninėje laikmenoje ar tinklinėje saugykloje);

13.5. bandyti išvengti naudotojo prisijungimo prie informacijos tapatybės nustatymo mechanizmų;

13.6. išnaudoti informacinių sistemų pažeidžiamumą, įskaitant (bet neapsiribojant) prieigą prie duomenų, kurie neskirti naudotojui prisijungti prie IS ar jos dalies, nebent taip būtų atliekamos teisėtos darbo ar veiklos funkcijos (IS priežiūra, informacijos saugos incidentų tyrimas ir pan.);

13.7. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti ar sunaikinti duomenys;

13.8. atlikti bet kokius kitus neteisėtus duomenų tvarkymo veiksmus;

13.9. vidiniams naudotojams draudžiama savavališkai diegti taikomosios programinės įrangos pakeitimus ir naujas versijas neturint tam teisės;

13.10. vidiniams naudotojams draudžiama sudaryti sąlygas pasinaudoti ŽŪIKVC technine ir programine įranga tokios teisės neturintiems asmenims (pvz., paliekant darbo vietą būtina užrakinti darbalaukį);

13.11. naudoti duomenis kitokiais nei informacinių sistemų ir registrų nuostatuose, kituose teisės aktuose ar duomenų teikimo sutartyje nurodytais tikslais;

13.12. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti ar sunaikinti duomenys;

13.13. atlikti bet kokius kitus neteisėtus duomenų tvarkymo veiksmus.

14. Naudotojas ar paslaugos gavėjas, pastebėjęs neleistinus kitų naudotojų veiksmus, kurie neatitinka patvirtintų procedūrų aprašų, pareiginių instrukcijų ar sutartyse prisiimtų įsipareigojimų ir atsakomybių bei funkcijų, privalo informuoti BITS.

15. Naudotojas ar paslaugos gavėjas, aptikęs prieigos prie IS ir registro arba kitos ŽŪIKVC informacijos pažeidžiamumą, privalo pranešti apie tokį pažeidžiamumą BITS.

16. Administratoriai atsakingi už prieigų prie ŽŪIKVC vidinių techninių resursų, tinklo prieigų, spausdintuvų, elektroninio pašto, informacijos apdorojimo priemonių ir / ar duomenų bazių teisių suteikimą ir atėmimą pagal duomenų valdymo įgaliotinių priimtus sprendimus.

17. Administratoriai užtikrina IS ir registrų funkcionavimą ir negali suvesti, keisti, naikinti IS ir registrų duomenų ir prieigų be duomenų valdymo įgaliotinio leidimo.

18. Naudotojų administratoriai atsakingi už prieigų prie IS ir registrų suteikimą ir panaikinimą, teisių priskyrimą ir atėmimą pagal pateiktus naudotojų prašymus ir naudotojų vykdomas funkcijas.

19. Prieigos teisės prie ŽŪIKVC techninių resursų VPN būdu naudotojams suteikiamos ŽŪIKVC generalinio direktoriaus sprendimu. VPN prieiga suteikiama tik prie naudotojui prieinamų techninių resursų. Už prieigų teisių suteikimą atsakingi administratoriai.

III SKYRIUS

SAUGAUS DUOMENŲ TEIKIMO INFORMACINĖS SISTEMOS NAUDOTOJAMS KONTROLĖS TVARKA

20. Prieigų kontrolė yra priemonių visuma, kuri nustato:

20.1. kokie naudotojai gali naudotis IS ir registrais bei vidiniais ŽŪIKVC resursais;

20.2. kokie naudotojai prie kokios informacijos ir duomenų turi prieigas bei kokius veiksmus gali atlikti.

21. ŽŪIKVC įdiegtas mažiausios privilegijos principas, t. y. kai naudotojai turi teisę pasiekti tik tą informaciją ir duomenis, kuri jiems būtina pavestoms funkcijoms vykdyti pagal patvirtintus procedūrų aprašus ir naudojimosi instrukcijas bei saugos dokumentus.

22. Loginė prieigų kontrolė nustato ne tik kokie naudotojai turi prieigos teisę prie konkrečių informacinių resursų, bet ir prieigų pobūdį. Loginė prieigų kontrolė vykdoma pagal priskirtus vaidmenis IS ir registruose.

23. Vidinių naudotojų prieiga prie ŽŪIKVC kompiuterinių tinklų ir tinklo resursų grindžiama mažiausios privilegijos principu ir visi naudotojai turi būti autentifikuojami ir išskiriami. Prieiga prie vidinio ŽŪIKVC kompiuterinio tinklo gali būti suteikiama tik vidiniams naudotojams.

24. ŽŪIKVC išorės prieigų kontrolei įdiegta ugniasienė (ugniasienių sistema), kuri užtikrina interneto prieigos kontrolę ir apribojimus.

25. Vidinių naudotojų prieigą prie draudžiamų ir potencialiai pavojingų interneto tinklalapių blokuoja ugniasienė. Bet koks bandymas išvengti ugniasienės užtraukia drausminę atsakomybę.

26. Visi ugniasienės konfigūracijos pakeitimai, taip pat kenkėjiški veiksmai (bandymai pakeisti ugniasienės konfigūracijos parametrus, bandymai išvengti ugniasienės ir pan.) privalo būti registruojami. Registravimo įrašai saugomi ne mažiau kaip šešis mėnesius.

27. Naudotojas, atlikęs neteisėtus ar potencialiai pavojingus veiksmus, gali sulaukti įspėjimo arba be perspėjimo gali būti užblokuota jo prieiga prie ŽŪIKVC informacijos.

IV SKYRIUS

PRIEMONĖS INFORMACINĖS SISTEMOS NAUDOTOJŲ TAPATYBEI NUSTATYTI

28. Naudotojų identifikavimas yra viena iš esminių informacijos saugumą užtikrinančių kontrolės priemonių, todėl naudotojo indentifikavimas, autorizavimas, jo atliktų veiksmų istorijos saugojimas yra organizuotas ir griežtai kontroliuojamas procesas.

29. Elektroninės informacijos saugumui užtikrinti naudojami saugūs autentifikavimo ir autorizavimo metodai.

30. Pirmą kartą jungiantis prie IS ir registro gali būti naudojami ŽŪIKVC suteikti laikini prisijungimo vardai ir slaptažodžiai arba Elektroninių valdžios vartų prisijungimas.

31. Pirmojo prisijungimo metu iš IS ir registro naudotojo reikalaujama, kad jis pasikeistų laikiną slaptažodį.

32. Naudotojų prisijungimo vardai ir slaptažodžiai (toliau – prisijungimo duomenys) kuriami laikantis nustatytų reikalavimų.

33. Prisijungimui prie IS ir registrų naudojami prisijungimo slaptažodžiai turi būti:

33.1. žinomi tik pačiam naudotojui;

33.2. sudaryti nenaudojant naudotojo asmens duomenų (vardo, pavardės, telefono numerio, gimimo datos ir pan.) ir nenuspėjami net tiems, kurie gerai pažįsta naudotoją;

33.3. sudaryti ne mažiau kaip iš 8 simbolių;

33.4. jį sudarant turi būti panaudota didžiosios, mažosios raidės, skaitmenys bei specialieji simboliai;

33.5. keičiami bent kartą per du mėnesius;

33.6. naudojamas slaptažodis turi būti unikalus ir galimas pakartoti tik po 6 mėn.

34. Naudotojams prisijungimo slaptažodžiai turi būti perduodami asmeniškai. Jeigu nėra galimybės slaptažodį perduoti asmeniškai, turi būti naudojamas siuntimas asmeniškai naudotojui. Griežtai draudžiama teikti slaptažodžius per kitus naudotojus ar trečiuosius asmenis.

35. Nustačius, kad slaptažodis pasidarė žinomas pašaliniams asmenims arba turint įtarimų, kad slaptažodis buvo atskleistas, jis nedelsiant turi būti pakeistas.

36. Naudotojas, pamiršęs, praradęs arba kitaip netekęs savo prisijungimo prie duomenų vardo ir / arba slaptažodžio, turi nedelsdamas elektroniniu paštu arba telefonu informuoti BITS.

37. Vidinio naudotojo jungimasis prie kompiuterizuotos darbo vietos yra blokuojamas, kai slaptažodis per pusvalandį yra 5 kartus iš eilės įvedamas klaidingai. Tokiu atveju vidinis naudotojas privalo kreiptis į BITS ir pakartotinai prisijungti administratoriui leidus.

38. Vidinių naudotojų kompiuteriuose turi būti nustatytas automatinis ekrano užsklandos režimas, įsijungiantis 15 minučių nesinaudojant kompiuteriu.

V SKYRIUS

ŽŪIKVC VIDINIŲ NAUDOTOJŲ SUKŪRIMAS IR PANAIKINIMAS, TEISIŲ PAKEITIMAS

39. Priimant į darbą ŽŪIKVC naują darbuotoją, pastarasis pasirašo konfidencialumo pasižadėjimą (1 priedas).

40. Priėmus į darbą ŽŪIKVC naują darbuotoją, ISS praveda instruktažą - mokymus informacijos ir kibernetinio saugumo klausimais.

41. Vidiniai naudotojai privalo būti supažindinti su ŽŪIKVC Informacijos saugumo politika ir kitais informacijos ir kibernetinį saugumą, reglamentuojančiais teisės aktais.

42. Dėl naujo vidinio naudotojo sukūrimo ir / arba papildomos prieigos prie ŽŪIKVC vidinių tinklo ir techninių resursų, duomenų bazių, testavimo aplinkų ir kitų resursų teisės suteikimo vidiniam naudotojui pildomas prieigos suteikimo prašymas, kurio forma pateikiama taisyklių 3 priede.

43. Prieigos suteikimo prašymą pasirašo vidinio naudotojo struktūrinio padalinio vadovas.

44. Prieigos suteikimo prašymas derinamas su duomenų valdymo įgaliotiniu ir ISS, kurie turi patvirtinti, kad vidiniam naudotojui leidžiama naudotis nurodyta prieiga.

45. Jei prieigos suteikimo prašyme pažymimas tinklo prieigos, spausdintuvo, prieigos prie tarnybinės stoties ir pan. resursas, struktūrinio padalinio vadovas teikia prašymą ISAS vadovui, kuris turi patvirtinti, kad vidiniam naudotojui leidžiama naudotis nurodyta prieiga.

46. Suderintas prašymas teikiamas administratoriui, kuris suteikia prieigą ir apie prieigos suteikimą pažymi prašyme.

47. Jei tinklo, spausdintuvo, tarnybinės stoties ir pan. resursų prieiga negali būti suteikta, administratorius tarnybiniu pranešimu informuoja vidinio naudotojo struktūrinio padalinio vadovą apie nesuteiktą prieigą, nurodydamas priežastį, kodėl prieiga negali būti suteikta.

48. Administratoriai prieigos suteikimo prašymus privalo saugoti ne trumpiau nei 1 metus.

49. Periodinė prieigų kontrolė vykdoma pagal ŽŪIKVC patvirtintas Periodinės prieigų patikros taisykles.

50. Vidiniam naudotojui išėjus iš darbo ar pakeitus darbo pobūdį prieigos prie vidinių tinklo ir techninių resursų, duomenų bazių, testavimo aplinkų ir kitų resursų panaikinimas:

50.1. vidiniam naudotojui parašius prašymą išeiti iš darbo ar keičiant darbo pobūdį ir generaliniam direktoriui jį teigiamai vizavus, personalo inspektorius į DDAS įveda paskutinę darbuotojo darbo dieną;

50.2. DDAS automatiškai el. paštu administratoriui išsiunčia pranešimą apie vidinio naudotojo prieigų panaikinimą;

50.3. paskutinę darbo dieną darbuotojas grąžina darbo pažymėjimą personalo inspektoriui;

50.4. administratorius panaikina visas vidinio naudotojo prieigas.

51. Vidiniam naudotojui išėjus iš darbo ar pakeitus darbo pobūdį prieigos prie registrų / informacinių sistemų panaikinimas:

51.1. vidiniam naudotojui parašius prašymą išeiti iš darbo ar keičiant darbo pobūdį ir generaliniam direktoriui jį teigiamai vizavus, vidinio naudotojo struktūrinio padalinio vadovas tarnybiniu pranešimu visiems duomenų valdymo įgaliotiniams praneša apie poreikį ir laiką, nuo kada privaloma užblokuoti visas naudotojo prieigas prie IS ir registrų;

51.2. IS ir registro naudotojų administratorius panaikina visas vidinio naudotojo prieigas prie IS ir registro.

52. Dėl naujo vidinio naudotojo sukūrimo ir / arba papildomos prieigos prie IS ir registro teisės suteikimo vidiniam naudotojui pastarasis turi pateikti IS ir registro prieigos suteikimo prašymą, kurio forma pateikiama taisyklių 4 priede.

53. IS ir registro prieigos suteikimo prašymą pasirašo vidinio naudotojo struktūrinio padalinio vadovas.

54. IS ir registro prieigos suteikimo prašymą vidinis naudotojas pateikia IS arba registro duomenų valdymo įgaliotiniui, kuris turi patvirtinti, kad vidiniam naudotojui leidžiama naudotis nurodyta prieiga, ir nurodyti prieigos teises.

55. Jei prieiga prie IS ir registro negali būti suteikta, duomenų valdymo įgaliotinis tarnybiniu pranešimu informuoja vidinio naudotojo struktūrinio padalinio vadovą apie nesuteiktą prieigą, nurodydamas priežastį, kodėl prieiga negali būti suteikta.

56. Suderintas prašymas teikiamas naudotojų administratoriui, kuris suteikia prieigą ir pažymi apie prieigos suteikimą prašyme.

57. Administratoriai prieigos suteikimo prašymus privalo saugoti ne trumpiau nei 1 metus.

VI SKYRIUS

ŽŪIKVC IŠORINIŲ NAUDOTOJŲ SUKŪRIMAS IR PANAIKINIMAS, TEISIŲ PAKEITIMAS

58. Dėl prieigos suteikimo asmuo parašo prašymą ir jį pateikia ŽŪIKVC. Prašyme jis nurodo ŽŪIKVC administruojamą IS ar registrą, ar kitą ŽŪIKVC informacinį išteklių, prie kurio turi būti suteikta prieiga, vardą, pavardę, el. pašto adresą, kontaktinį telefoną, įmonės, įstaigos ar organizacijos (toliau kartu – įstaiga) pavadinimą ir pareigas. Jeigu reikia, nurodomas aptarnaujamas regionas.

59. Duomenų valdymo įgaliotinis, išnagrinėjęs prašymą ir nustatęs, kad prašyme nurodyta prieiga yra nereikalinga funkcijoms atlikti arba kad prašoma tokios prieigos, kurios sukūrimas gali daryti neigiamą įtaką ŽŪIKVC veiklai ar informacijos saugumui, priima sprendimą prašymo netenkinti ir apie tai per 5 (penkias) darbo dienas nuo prašymo gavimo dienos informuoja išorinį naudotoją, nurodydamas atsisakymo suteikti prieigą motyvus.

60. Duomenų valdymo įgaliotinis, išnagrinėjęs prašymą ir priėmęs sprendimą jį patenkinti, įpareigoja naudotojų administratorių suteikti prašyme nurodytam išoriniam naudotojui prisijungimo prie ŽŪIKVC informacinių išteklių vardą ir laikinąjį slaptažodį. Informacija apie sukurtą prieigą išoriniam naudotojui išsiunčiama asmeniškai el. paštu.

61. Prieigą prie ŽŪIKVC informacinių išteklių gali turėti tik asmenys, pasirašytinai įpareigoti saugoti asmens duomenų paslaptį (asmenys, pasirašę Konfidencialumo pasižadėjimą) (2 priedas) (išskyrus atvejus, kai yra peržiūrimi savo paties asmens duomenys). Asmens duomenų paslaptis saugoma įstatymuose numatyta tvarka per visą asmens duomenų teisinės apsaugos laiką nepriklausomai nuo susiklostančių darbo santykių.

62. Suteikus prieigą, išoriniam naudotojui pateikiamos nuorodos, kur jis privalo susipažinti su ŽŪIKVC informacijos saugumo politikos santrauka, IS ir registrų duomenų saugos nuostatais, saugos dokumentais ir kitais ŽŪIKVC informacijos saugumą reglamentuojančiais dokumentais.

63. ŽŪIKVC informacijos saugumo politikos santrauka skelbiama ŽŪIKVC interneto svetainėje (adresu – http://www.vic.lt/?mid=594). Ji yra prieinama ir privaloma visiems išoriniams naudotojams.

64. Išoriniam naudotojui pakeitus darbo pobūdį, pasibaigus sutartiniams įsipareigojimams arba panaikinus atliekamas funkcijas, jo prieiga yra nedelsiant panaikinama.

65. Du kartus per metus (kas 6 mėnesius) naudotojų administratorius suformuoja išorinių naudotojų, kurie nebuvo nė vieno karto prisijungę prie IS ir registrų, sąrašus ir užklausia išorinių naudotojų įstaigos, ar šie išoriniai naudotojai dar atlieka funkcijas.

66. Gavęs atsakymą iš išorinių naudotojų įstaigos, kad naudotojai funkcijų neatlieka, naudotojų administratorius panaikina neaktyvias prieigas.

67. Bendradarbiavimo ir duomenų teikimo sutartyse nurodytiems asmenims prieigos sukuriamos ir panaikinamos pagal šių sutarčių prieduose esančią informaciją.

68. Išorinių naudotojų įgaliojimai, teisės ir pareigos aprašytos, o saugaus elektroninės informacijos teikimo išoriniams naudotojams kontrolė vykdoma vadovaujantis ŽŪIKVC patvirtintomis Išorinių naudotojų administravimo taisyklėmis.

VII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

69. Taisyklės gali būti keičiamos priklausomai nuo atsiradusių naujų poreikių ir pasikeitusių teisės aktų, reglamentuojančių IS ir registrų administravimo ir informacijos saugumo sritį.

70. IS ir registrų naudotojai, paslaugų gavėjai, duomenų valdymo įgaliotiniai, saugos įgaliotinis, administratoriai ir naudotojų administratoriai pažeidę šių taisyklių ir kitų saugos politiką įgyvendinančių teisės aktų dokumentų nuostatas, atsako teisės aktų nustatyta tvarka.

__________________

^{^[1]} ŽŪIKVC informacijos saugumo politikos santrauka skelbiama ŽŪIKVC interneto svetainėje adresu: www.vic.lt / Apie Įmonę / Informacijos saugumo politika.

^{^[2]} ŽŪIKVC išorinių naudotojų administravimo taisyklės skelbiamos ŽŪIKVC interneto svetainėje adresu: www.vic.lt / Apie Įmonę / Išorinių naudotojų administravimo taisyklės.

Situacija:
Ekstremalioji padėtis
Ekstremaliosios padėties imitacija (bandymas)
Data

Vardas		Pavardė
Skyrius
Pareigos

informacijos, duomenų bazės				papildomo el. pašto
papildomo spausdintuvo				įmonės vidinio kompiuterinio tinklo
tarnybinės stoties administravimo				kita tarnybinės stoties prieiga
Prašymo galiojimas:			Neterminuotas
			Terminuotas			Galioja ____ dienų
Prieiga	Prieigos teisė	Duomenų valdymo įgaliotinis		Duomenų valdymo įgaliotinio sprendimas	Duomenų valdymo įgaliotinio parašas

Vardas		Pavardė
Skyrius
Pareigos

Prašymo galiojimas:	Neterminuotas
	Terminuotas		Galioja ____ dienų
*Duomenų valdymo įgaliotinis* Prieigos suteikimui neprieštarauju / prieštarauju
^{nereikalingą išbraukti}		^parašas		^{Vardas, pavardė}
*Suteikti naudotojui teises:*		Pastaboms

^{išvardinti prieigos teises}