ĮSAKYMAS

PATVIRTINTA

Lietuvos geologijos tarnybos prie

Aplinkos ministerijos direktoriaus

2023 m. liepos 31 d. įsakymu Nr. 1-348

LIETUVOS GEOLOGIJOS TARNYBOS PRIE APLINKOS MINISTERIJOS INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos geologijos tarnybos prie Aplinkos ministerijos informacinių sistemų duomenų saugos nuostatuose (toliau – Saugos nuostatai) reglamentuojama Lietuvos geologijos tarnybos prie Aplinkos ministerijos (toliau – Tarnyba) valdomų Žemės gelmių registro, Valstybinės geologijos informacinės sistemos ir Valstybinės požeminio vandens informacinės sistemos (toliau – IS) saugos politika: saugos valdymas, organizaciniai ir techniniai reikalavimai, reikalavimai Tarnybos IS duomenų saugos įgaliotiniui (toliau – duomenų saugos įgaliotinis), Tarnybos IS administratoriui, Tarnybos IS duomenų valdymo įgaliotiniams, Tarnybos valstybės tarnautojams ir (arba) darbuotojams dirbantiems pagal darbo sutartis (toliau – Tarnybos darbuotojai), Tarnybos IS naudotojų supažindinimo su saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais principai.

2. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Saugos nuostatų 10 punkte išvardytuose teisės aktuose.

3. Tarnybos IS saugumo užtikrinimo prioritetinės kryptys:

3.1. elektroninės informacijos konfidencialumo užtikrinimas;

3.2. elektroninės informacijos prieinamumo užtikrinimas;

3.3. elektroninės informacijos vientisumo užtikrinimas;

3.4. veiklos tęstinumo užtikrinimas;

3.5. asmens duomenų apsauga.

4. Tarnybos IS duomenų saugumo užtikrinimo tikslai:

4.1. sudaryti sąlygas saugiai tvarkyti elektroninę informaciją Tarnybos IS;

4.2. užtikrinti, kad Tarnybos IS tvarkoma elektroninė informacija būtų apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

4.3. vykdyti Tarnybos IS elektroninės informacijos saugos ir kibernetinių incidentų, asmens duomenų saugumo pažeidimų prevenciją, reaguoti į Tarnybos IS elektroninės informacijos saugos ir kibernetinius incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai valdyti.

5. Saugos nuostatų reikalavimai taikomi:

5.1. Tarnybos IS valdytojui / tvarkytojui – Lietuvos geologijos tarnybai prie Aplinkos ministerijos (toliau – Tarnyba; juridinio asmens kodas 188710780, adresas: S. Konarskio g. 35, LT-03123 Vilnius), vykdančiam Tarnybos veiklą reglamentuojančiuose teisės aktuose nustatytas funkcijas ir įgyvendinančiam Tarnybos uždavinius valdant / tvarkant Tarnybos IS;

5.2. Tarnybos IS duomenų saugos įgaliotiniui – Tarnybos valstybės tarnautojui ir (arba) darbuotojui, dirbančiam pagal darbo sutartį, vykdančiam Saugos nuostatuose ir kituose teisės aktuose nustatytas informacinių sistemų duomenų saugos įgaliotinio funkcijas;

5.3. Tarnybos IS administratoriui – Tarnybos IS valdytojo / tvarkytojo sprendimu paskirtam Tarnybos valstybės tarnautojui ir (arba) darbuotojui, dirbančiam pagal darbo sutartį, vykdančiam Saugos nuostatuose ir kituose teisės aktuose nustatytas informacinių sistemų administratoriaus funkcijas prižiūrint Tarnybos IS infrastruktūrą, užtikrinant jos veikimą, elektroninės informacijos saugą, taip pat vykdant Tarnybos IS naudotojų administravimą;

5.5. Tarnybos IS duomenų valdymo įgaliotiniams, kurie skiriami Tarnybos IS valdytojo / tvarkytojo sprendimu vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 1 bei 3 dalimis ir vykdo šio įstatymo 8 straipsnio 2 dalyje nustatytas funkcijas.

5.4. Tarnybos IS naudotojams – Tarnybos valstybės tarnautojų ir (arba) darbuotojų, dirbančių pagal darbo sutartis, veiklą reglamentuojančių teisės aktų nustatyta tvarka, pareigybių aprašymuose nustatytų funkcijų vykdymui tvarkant bei naudojant Tarnybos IS elektroninę informaciją.

6. Tarnybos IS valdytojo / tvarkytojo funkcijos:

6.1. tvirtina Tarnybos IS saugos nuostatus ir saugos politiką įgyvendinančius dokumentus;

6.2. atlieka Tarnybos IS nuostatuose ir Išteklių valdymo įstatyme nustatytas funkcijas.

6.3. užtikrina veiksmingą ir spartų Tarnybos IS pokyčių valdymo planavimą;

6.4. skiria Tarnybos IS duomenų saugos įgaliotinį, Tarnybos IS administratorius;

6.5. atsako už Tarnybos IS saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.

7. Tarnybos IS duomenų saugos įgaliotinio funkcijos ir atsakomybė:

7.1. teikia Tarnybos IS valdytojui / tvarkytojui pasiūlymus, kaip nustatyta Saugos reikalavimų apraše;

7.2. rengia ir teikia Tarnybos IS valdytojui / tvarkytojui IT saugos atitikties vertinimo ataskaitą;

7.3. periodiškai inicijuoja Tarnybos IS administratoriaus ir Tarnybos IS naudotojų supažindinimą su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais, informuoja apie jų pakeitimus (priminimai elektroniniu paštu, atmintinės priimtiems naujiems darbuotojams ir pan.) ir atsakomybę už šiuose dokumentuose nustatytų reikalavimų nesilaikymą;

7.4. organizuoja Tarnybos IS naudotojų mokymus elektroninės informacijos saugos klausimais;

7.5. peržiūri Saugos nuostatus ir saugos politiką įgyvendinančius dokumentus ne rečiau kaip kartą per kalendorinius metus;

7.6. atsako už tinkamą Saugos nuostatuose nustatytų funkcijų vykdymą;

7.7. atlieka Saugos reikalavimų apraše, saugos nuostatuose ir Tarnybos IS saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

8. Tarnybos IS administratorius atlieka funkcijas, susijusias su informacinės sistemos naudotojų teisių valdymu, informacinės sistemos komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo sistemomis, elektroninės informacijos perdavimu tinklais, bylų serveriais ir kitais), šių informacinės sistemos komponentų sąranka, informacinių sistemų pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena, reagavimu į elektroninės informacijos saugos incidentus, taip pat privalo vykdyti visus duomenų saugos įgaliotinio nurodymus ir pavedimus, susijusius su informacinės sistemos saugos užtikrinimu, ir nuolat teikti duomenų saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.

9. Tarnybos IS administratorius ir Tarnybos IS naudotojai, pastebėję asmens duomenų saugumo pažeidimą ir (arba) kitą incidentą susijusį su asmens duomenų tvarkymu, nedelsdami apie tai privalo pranešti Tarnybos direktoriui ir duomenų saugos įgaliotiniui. Tarnyba ne vėliau kaip per 72 valandas nuo tada, kai sužinojo apie asmens duomenų saugumo pažeidimą, vadovaujantis Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos apraše, patvirtintame Valstybinės duomenų apsaugos inspekcijos direktoriaus 2018 m. liepos 27 d. įsakymu Nr. 1T-72(1.12. E) „Dėl Pranešimo apie asmens duomenų saugumo pažeidimą pateikimo Valstybinei duomenų apsaugos inspekcijai tvarkos aprašo patvirtinimo“, nustatyta tvarka ir sąlygomis Valstybinei duomenų apsaugos inspekcijai pateikia pranešimą.

10. Tarnybos IS saugų elektroninės informacijos tvarkymą užtikrina laikymasis reikalavimų, kuriuos reglamentuoja:

10.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas; toliau šiuose Saugos nuostatuose vadinamas BDAR)

10.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

10.3. Lietuvos Respublikos kibernetinio saugumo įstatymas;

10.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

10.5. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

10.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

10.7. Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“;

10.8. Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymas Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

10.9. Lietuvos standartas LST ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;

10.10. Lietuvos standartas LST ISO/IEC 27002:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo priemonių praktikos nuostatai“;

10.11. kiti teisės aktai, reglamentuojantys elektroninės informacijos saugą ir kibernetinį saugumą.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

11. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – IS klasifikavimo gairių aprašas):

11.1. ŽGR, vadovaujantis IS klasifikavimo gairių aprašo 9.2 ir 9.3 papunkčiuose nustatytais kriterijais ir IS klasifikavimo gairių aprašo 12.3 papunkčiu, priskiriamas trečios kategorijos informacinėms sistemoms, kuriame tvarkoma vidutinės svarbos informacija;

11.2. GEOLIS, vadovaujantis IS klasifikavimo gairių aprašo 9.2 ir 9.3 papunkčiuose nustatytais kriterijais ir IS klasifikavimo gairių aprašo 12.3 papunkčiu, priskiriamas trečios kategorijos informacinėms sistemoms, kuriame tvarkoma vidutinės svarbos informacija;

11.3. POŽVIS, vadovaujantis IS klasifikavimo gairių aprašo 9.2 ir 9.3 papunkčiuose nustatytais kriterijais ir IS klasifikavimo gairių aprašo 12.3 papunkčiu, priskiriamas trečios kategorijos informacinėms sistemoms, kuriame tvarkoma vidutinės svarbos informacija.

12. Tarnybos IS rizika vertinama atsižvelgiant į Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais ir atliekama ne rečiau kaip kartą per metus.

13. Rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama Tarnybos IS valdytojui ir kuri rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos Tarnybos IS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus.

14. Tarnybos IS rizikos veiksniais yra laikomos nepalankios oro sąlygos, gaisras, Tarnybos patalpų užgrobimas, Tarnybos patalpai (-oms) padaryta žala arba patalpos (-ų) praradimas, energijos tiekimo sutrikimai, vandentiekio ir šildymo sistemos sutrikimai, ryšio sutrikimai, tarnybinės stoties ar komutacinės įrangos sugadinimas, praradimas, programinės įrangos sugadinimas, praradimas, dokumentų praradimas, Tarnybos darbuotojų praradimas ir kiti veiksniai, kurie nurodyti Saugos nuostatų 10 punkte išvardytuose teisės aktuose.

15. Rizikos veiksniai vertinami pagal elektroninės informacijos kategorijas, nustatant jų įtaką Tarnybos IS elektroninės informacijos saugai laipsnius:

15.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – informacija išsiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, kurią galima greitai atkurti iš turimų atsarginių kopijų, prarasta informacija po paskutinio kopijavimo. Neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterizuotose darbo vietose;

15.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar sugadinti, bet juos įmanoma atkurti iš turimų atsarginių kopijų. Duomenų bazių įrašai pakeisti, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse;

15.3. A – aukštas. Duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti – duomenys visiškai sugadinti, dėl vagystės, gaisro ar užliejimo prarasti Tarnybos IS duomenų bazėse buvę duomenys.

16. Rizikos vertinimo metu atliekamų darbų apimtis:

16.1. Tarnybos IS sudarančių informacinių išteklių inventorizacija;

16.2. Tarnybos IS įtakos veiklai vertinimas;

16.3. grėsmių ir pažeidimų analizė;

16.4. liekamosios rizikos vertinimas.

17. Atsižvelgdamas į rizikos įvertinimo ataskaitą, Tarnybos IS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

18. Tarnybos IS rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas Tarnybos IS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai.

19. Siekiant užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, ne rečiau kaip kartą per metus organizuojamas IT saugos atitikties vertinimas, kurio metu:

19.1. įvertinama saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimų ir faktinės saugos atitiktis;

19.2. inventorizuojama Tarnybos IS techninė ir programinė įranga;

19.3. patikrinama ir įvertinama Tarnybos IS administratoriui ir Tarnybos IS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

19.4. įvertinamas pasirengimas užtikrinti Tarnybos IS veiklos tęstinumą įvykus saugos incidentui.

20. Atlikus IT saugos atitikties įvertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Tarnybos IS valdytojas.

21. IT saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas Tarnybos IS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

22. Tarnybos IS informacijos saugai ir kibernetiniam saugumui užtikrinti naudojamos organizacinės, techninės, programinės ir fizinės informacijos apsaugos priemonės.

23. Tarnybos IS tarnybinėse stotyse ir kompiuteriuose turi būti naudojamos centralizuotai valdomos kenksmingos programinės aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą, kurios turi būti reguliariai atnaujinamos automatiniu būdu.

24. Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo nuostatos:

24.1. turi būti naudojama tik legali, Tarnybos IS funkcijoms vykdyti būtina programinė įranga;

24.2. duomenų saugos įgaliotinis periodiškai, bet ne rečiau kaip kartą per kalendorinius metus, privalo peržiūrėti, o, esant poreikiui, atnaujinti leistinos programinės įrangos sąrašą (standartinės ir papildomos programinės įrangos);

24.3. Tarnybos IS naudotojų kompiuterinėse darbo vietose ir tarnybinėse stotyse negali būti naudojama programinė įranga, nesusijusi su Tarnybos IS naudotojų funkcijų vykdymu;

24.4. programinę įrangą gali diegti tik Tarnybos IS administratorius, IS naudotojams draudžiama savavališkai diegti bet kokią programinę įrangą;

24.5. programinė įranga turi būti nuolatos atnaujinama, laikantis gamintojo reikalavimų,

24.6. turi būti įdiegta prieigos prie Tarnybos IS elektroninės informacijos per registravimą, teisių suteikimą ir slaptažodžius sistema;

24.7. turi būti įgyvendinta prievolė reguliariai keisti slaptažodžius;

25. Tarnybos IS siekiama apsaugoti vidinį tinklą nuo išorinio, naudojamos užkardos. Užkardas konfigūruoja ir jų veiklą stebi Tarnybos IS administratorius. Užkardos blokuoja atskiras informacijos srauto dalis:

25.1. analizuoja ir kontroliuoja ateinančius ir išeinančius duomenų srautus;

25.2. uždraudžia atskirus interneto protokolus ar serverius;

25.3. apriboja IS naudotojų prisijungimą prie interneto.

26. Turi būti galimybė reguliuoti atskirų interneto sričių pasiekiamumą tiek pagal interneto sričių vardus, tiek pagal fizinius adresus. Reguliavimą kontroliuoja Tarnybos IS administratorius, blokuodamas potencialiai pavojingas interneto sritis.

27. Turi būti registruojami ir nustatytą laiką (ne trumpiau nei 1 metus) saugomi duomenys apie Tarnybos IS įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis, bandymus prieiti prie informacinių išteklių, kitus saugai svarbius įvykius, nurodant naudotojo identifikatorių ir įvykio laiką; ši informacija turi būti reguliariai analizuojama.

28. Draudžiama naudoti interneto ryšį veiklai, kuri galėtų būti nusikalstama.

29. Nuotolinio prisijungimo funkcija prie Tarnybos IS galima tik valdytojo išduodamuose mobiliuose įrenginiuose – nešiojamuose kompiuteriuose ir planšetėse, nes turi atitikti Tarnybos IS nustatytus saugumo reikalavimus. Detali informacija apie Tarnybos IS mobiliųjų įrenginių saugumo ir kontrolės reikalavimus yra pateikiama Tarnybos IS saugaus elektroninės informacijos tvarkymo taisyklėse.

30. Pagrindiniai atsarginių elektroninės informacijos ir programinės įrangos kopijų (bendrai kartu vadinamos – Atsarginės kopijos) darymo ir atkūrimo reikalavimai:

30.1. Atsarginės kopijos daromos automatizuotomis priemonėmis pagal nustatytus ir patvirtintus Informacinių išteklių Toleruotinus duomenų praradimo dydžius (angl. Recovery Point Objective), kurie yra numatyti Tarnybos informacinių išteklių sąraše, patvirtintame Tarnybos IS saugaus elektroninės informacijos tvarkymo taisyklių 5 priede;

30.2. elektroninė informacija atsarginėse kopijose turi būti užšifruota;

30.3. duomenų saugyklos, kuriose yra kopijos, yra atskirtos nuo Informacinių sistemų tarnybinių stočių;

30.4. duomenis, kurie buvo prarasti ar kitaip sugadinti, atkuria Tarnybos IS administratorius vadovaudamasis nustatytais ir patvirtintais Informacinių išteklių Minimalių paslaugų atstatymo laiko intervalų rodikliais (angl. Recovery Time Objective; toliau – RTO), kurie yra numatyti Tarnybos informacinių išteklių sąraše, pateiktame Tarnybos IS veiklos tęstinumo valdymo plano 1 priede.

30.5. visi duomenų atkūrimo veiksmai turi būti protokoluojami, nurodant priežastį dėl kurios vykdomas duomenų atkūrimas, kokie duomenys buvo atkuriami, iš kokios atsarginių duomenų kopijos buvo vykdomas atkūrimas ir kas jį atliko;

30.6. atlikus duomenų atkūrimą Tarnybos IS administratorius atlieka funkcionalumo ir duomenų vientisumo bei parengtumo testavimą;

30.7. visi naudotojai (Tarnybos darbuotojai) informuojami apie įvykusį incidentą;

31. Atsarginių kopijų atstatymo bandymus, vadovaudamasis Tarnybos IS saugaus elektroninės informacijos tvarkymo taisyklių nustatyta tvarka ir terminais organizuoja duomenų saugos įgaliotinis, o atlieka Tarnybos IS administratorius.

32. Tarnybos IS turi būti įgyvendinti techniniai kibernetinio saugumo reikalavimai, atsižvelgiant į konkrečios informacinės sistemos kategoriją bei tokios kategorijos informacinėms sistemoms privalomus taikyti kibernetinio saugumo reikalavimus, kurie nustatyti Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 5 d. nutarime Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo”.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

33. Duomenų saugos įgaliotinio, Tarnybos IS administratorių, Tarnybos IS duomenų valdymo įgaliotinių ir Tarnybos IS naudotojų kvalifikacija turi atitikti bendruosius ir specialiuosius reikalavimus, nustatytus jų pareigybės aprašymuose ir Saugos nuostatų 10 punkte nurodytuose teisės aktuose.

34. Tarnybos IS administratorius ir Tarnybos IS naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, prieš pradėdami tvarkyti Tarnybos IS elektroninę informaciją, turi būti susipažinę su Tarnybos IS nuostatais, Saugos nuostatais, BDAR ir saugos politiką įgyvendinančiais teisės aktais bei dokumentais.

35. Tarnybos IS administratorius, Tarnybos IS naudotojai privalo rūpintis tvarkomos elektroninės informacijos saugumu.

36. Duomenų saugos įgaliotinis privalo išmanyti informacinių sistemų administravimo ir elektroninės informacijos saugos principus, elektroninės informacijos užtikrinimo metodus ir kitus Lietuvos Respublikos ir Europos Sąjungos teisės aktus ir standartus reglamentuojančius saugų duomenų tvarkymą, sugebėti įgyvendinti ir prižiūrėti Tarnybos IS saugą.

37. Tarnybos IS administratorius turi išmanyti elektroninės informacijos saugos principus, darbą su operacinėmis sistemomis, duomenų bazių valdymo sistemų ir aplikacijų administravimo pagrindus.

38. Tarnybos IS administratorius privalo sugebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą, stebėti techninės ir programinės, tinklo įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, nustatyti ir šalinti sutrikimus.

39. Duomenų saugos įgaliotinis pagal Tarnybos IS naudotojų išreikštą poreikį arba įvykus saugos incidentui gali inicijuoti Tarnybos IS naudotojų mokymus elektroninės informacijos saugos klausimais.

40. Mokymai Tarnybos IS administratoriui gali būti organizuojami pagal poreikį, už šių mokymų organizavimą atsakingas duomenų saugos įgaliotinis.

V SKYRIUS

INFORMACINIŲ SISTEMŲ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS

DOKUMENTAIS PRINCIPAI

41. Tarnybos IS naudotojų supažindinimo su saugos dokumentais principai:

41.1. Tarnybos IS naudotojų supažindinimą su saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais ir atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą organizuoja duomenų saugos įgaliotinis;

41.2. Tarnybos IS naudotojai su saugos nuostatais ir taikomais kitais saugos politiką įgyvendinančiais dokumentais bei atsakomybe už šiuose dokumentuose nurodytų reikalavimų nesilaikymą supažindinami pirmą kartą prisijungus prie Tarnybos IS, išsaugant susipažinimo datą susipažinimo įrodomumo užtikrinimui;

41.3. pakartotinai supažindinami, kai iš esmės pakeičiami saugos nuostatai ar kiti saugos politiką įgyvendinantys dokumentai.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

42. Už saugos nuostatų pažeidimus Tarnybos IS valdytojas / tvarkytojas, duomenų saugos įgaliotinis, Tarnybos IS administratorius, Tarnybos IS duomenų valdymo įgaliotiniai ir Tarnybos IS naudotojai atsako Lietuvos Respublikos teisės aktų, reglamentuojančių duomenų saugą, nustatyta tvarka.

_________________________

PATVIRTINTA

Lietuvos geologijos tarnybos

prie Aplinkos ministerijos direktoriaus

2023 m. liepos 31 d. įsakymu Nr. 1-348

LIETUVOS GEOLOGIJOS TARNYBOS PRIE APLINKOS MINISTERIJOS INFORMACINIŲ SISTEMŲ SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I. BENDROSIOS NUOSTATOS

1. Lietuvos geologijos tarnybos prie Aplinkos ministerijos (toliau – Tarnyba) informacinių sistemų (toliau – IS) saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) nustato tvarką, užtikrinančią saugų Tarnybos IS, kurios nurodytos Tarnybos informacinių sistemų duomenų saugos nuostatuose (toliau – Saugos nuostatai), elektroninės informacijos tvarkymą, technines ir kitas IS saugos priemones, IS funkcionavimui reikalingoms paslaugoms ir jų teikėjams keliamus reikalavimus.

2. Aprašas parengtas vadovaujantis teisės aktais kurie nurodyti Tarnybos IS duomenų saugos nuostatuose (toliau – Saugos nuostatai).

3. Apraše vartojamos sąvokos nurodytos Saugos nuostatuose, bei teisės aktuose, kuriais vadovaujantis jie kuriami.

4. Tarnybos IS tvarkoma elektroninė informacija nurodyta Žemės gelmių registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2020 m. kovo 10 d. nutarimu Nr. 198 „Dėl Lietuvos Respublikos žemės gelmių įstatymo įgyvendinimo“, 15–20 punktuose, Valstybinės geologijos informacinės sistemos nuostatų, patvirtintų Lietuvos geologijos tarnybos prie Aplinkos ministerijos direktoriaus 2007 m. rugsėjo 18 d. įsakymu Nr. 1-107 „Dėl Valstybinės geologijos informacinės sistemos nuostatų ir Valstybinės geologijos informacinės sistemos saugos nuostatų patvirtinimo“, 19 punkte, Valstybinės požeminio vandens informacinės sistemos nuostatų, patvirtintų Lietuvos geologijos tarnybos prie Aplinkos ministerijos direktoriaus 2010 m. spalio 4 d. įsakymu Nr. 1-201 „Dėl Valstybinės požeminio vandens informacinės sistemos nuostatų patvirtinimo“, 20 ir 21 punktuose.

5. Tarnybos IS tvarkoma elektroninė informacija priskiriama vidutinės svarbos elektroninės informacijos kategorijai.

6. Tarnybos IS tvarkoma informacija yra skirstoma į šias grupes:

6.1. IS administratoriaus tvarkoma informacija;

6.2. Tarnybos IS tvarkytojų tvarkoma vieša informacija;

6.3. Tarnybos IS tvarkytojų tvarkoma vieša informacija, kuriai taikomi duomenų teikimo apribojimai, nurodyti Žemės gelmių registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2020 m. kovo 10 d. nutarimu Nr. 198 „Dėl Lietuvos Respublikos žemės gelmių įstatymo įgyvendinimo“, 51 punkte ir Valstybinės geologijos informacinės sistemos nuostatų, patvirtintų Lietuvos geologijos tarnybos prie Aplinkos ministerijos direktoriaus 2007 m. rugsėjo 18 d. įsakymu Nr. 1-107 „Dėl Valstybinės geologijos informacinės sistemos nuostatų ir Valstybinės geologijos informacinės sistemos saugos nuostatų patvirtinimo“, 31 punkte.

7. IS administratorius atsakingas už šios informacijos tvarkymą:

7.1. IS naudotojų tapatybės duomenis;

7.2. IS naudotojų teisių duomenis;

7.3. IS naudotojų paskyrų, grupių, teisių, slaptažodžių kūrimo ir keitimo taisykles;

7.4. IS naudotojų veiksmų monitoringo informaciją;

7.5. IS duomenų teikėjų ir gavėjų informaciją;

7.6. IS parametrų ir klasifikatorių duomenis;

7.7. IS klaidų sąrašą;

7.8. IS vidiniame ir išoriniame portaluose teikiamus duomenis ir informaciją.

8. IS naudotojai atsakingi už informacijos tvarkymą. Detalus Tarnybos IS tvarkomos informacijos sąrašas pateiktas Saugos nuostatuose.

9. Už Tarnybos IS elektroninės informacijos tvarkymą atsakingi tie darbuotojai, kuriems suteikiama elektroninės informacijos duomenų naudojimo ir (arba) tvarkymo teisė.

II. TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

10. Saugiam Tarnybos IS elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, programinės įrangos, fizinės, techninės ir organizacinės duomenų saugos priemonės.

11. Kompiuterinės įrangos apsaugos priemonės:

11.1. teisę prieiti prie Tarnybos IS techninės kompiuterinės įrangos ir dirbti su ja turi tik IS administratorius, jo veiksmai, užtikrinantys Tarnybos IS duomenų apsaugą, aprašyti Tarnybos IS duomenų saugos nuostatuose;

11.2. pagrindinės tarnybinės stotys, svarbiausi duomenų perdavimo tinklo mazgai ir ryšio linijos yra dubliuojami ir jų techninė būklė nuolat stebima;

11.3. informacinių sistemų komponentų administratoriai automatizuotu būdu turi būti perspėjami, kai pagrindinėje informacinių sistemų kompiuterinėje įrangoje sumažėja iki nustatytos ribos laisva vieta diske, centrinis procesorius, operatyvioje atmintis ar kompiuterių tinklo sąsaja išnaudojami daugiau nei 80%;

11.4. esant tarnybiniam būtinumui, mobilieji įrenginiai, naudojami prisijungti prie Tarnybos IS, gali būti naudojami ne darbo vietos patalpose; už mobilaus įrenginio fizinę saugą atsakingas mobiliojo įrenginio naudotojas;

11.5. nešiojamuosiuose kompiuteriuose, kurie naudojami prisijungimui prie Tarnybos IS, duomenys šifruojami duomenų tvarkymo keliamą riziką atitinkančiomis priemonėmis. Šią riziką įvertina ir atitinkamas duomenų šifravimo priemones nurodo saugos įgaliotinis.

11.6. iš stacionarių, nešiojamųjų kompiuterių, mobiliųjų įrenginių ar elektroninės informacijos laikmenų, kurie perduodami remonto, techninės priežiūros paslaugų teikėjui, kitam informacinių sistemų naudotojui arba nurašomi, turi būti neatkuriamai sunaikinta visa nevieša elektroninė informacija;

12. Sisteminės ir taikomosios programinės įrangos apsaugos priemonės:

12.1. IS naudojama tik legali, darbo funkcijoms atlikti reikalinga programinė įranga, įtraukta į IS naudotojų ir IS administratorių leistinos programinės įrangos sąrašą (Taisyklių 1 priedas). Už tinkamą programinės įrangos priežiūrą atsakingas IS administratorius. Saugos įgaliotinis išimties atveju ribotam laikui IS naudotojui ir (ar) IS administratoriui gali suteikti teisę naudoti programinę įrangą, kuri nėra įtrauktą į patvirtintą IS naudotojų ir IS administratorių leistinos programinės įrangos sąrašą. Prieš suteikiant leidimą saugos įgaliotinis turi įvertinti programinės įrangos patikimumą ir saugumą.

12.2. IS administratorius 1 kartą per savaitę patikrina ar nėra atsiradę atnaujinimų pagal Tarnybos IS naudotojų ir IS administratorių leistinos programinės įrangos sąrašą. Programinės įrangos atnaujinimai privalo būti įdiegti per 3 dienas nuo jų nustatymo.

12.3. programinė įranga prižiūrima laikantis gamintojo rekomendacijų;

12.4. kompiuterinėse darbo vietose ir Tarnybos IS tarnybinėse stotyse naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės.

12.5. pagrindinių tarnybinių stočių įvykių žurnaluose (angl. event log), apsaugotuose nuo neteisėto juose esančių duomenų naudojimo, keitimo, iškraipymo, sunaikinimo, registruojami, nurodant informacinės sistemos naudotojo identifikatorių ir įvykio laiką ir saugomi duomenys apie:

12.5.1. informacinės sistemos įjungimą, išjungimą;

12.5.2. audito funkcijos įjungimą ir išjungimą;

12.5.3. audito įrašų trynimą, kūrimą ar keitimą;

12.5.4. sėkmingus ir nesėkmingus bandymus registruotis ir prieiti prie informacinės sistemos elektroninės informacijos;

12.5.5. naudotojų ar jų grupių ir administratorių prieigos teisių pakeitimą;

12.5.6. kitus svarbius saugai įvykius;

12.6. įvykių žurnaluose saugomus duomenis ne rečiau nei kartą per mėnesį ar įvykus saugos incidentui analizuoja IS administratorius.

13. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

13.1. IS naudotojai internetu jungiasi prie užkarda (angl. firewall) apsaugotų tarnybinių stočių, naudodamiesi unikaliais identifikaciniais prisijungimo duomenimis;

13.2. elektroninės informacijos perdavimo tinklas yra segmentuotas pagal įrenginių atliekamas funkcijas ir turi priskirtus IP adresų intervalus:

13.2.1. paslaugų tarnybinių stočių potinklis, skirtas taikomųjų programų, duomenų bazių tarnybinėms stotims;

13.2.2. kompiuterizuotų darbo vietų potinkliai;

13.2.3. mobiliųjų įrenginių potinkliai;

13.2.4. informacinių sistemų testavimo potinklis, skirtas tarnybinėms stotims, kurios naudojamos testuoti Tarnybos IS pakeitimus;

13.2.5. administratorių potinklis, skirtas sujungti ir valdyti kitus tinklo segmentus;

13.3. Tarnybos IS duomenys, siunčiami per viešuosius tinklus, yra šifruojami;

13.4. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą iš kitų valstybės institucijų, naudojamas Saugus valstybės duomenų perdavimo tinklas.

14. Belaidžiu tinklu nėra galimybės prisijungti prie Tarnybos IS.

15. Tarnybos IS tarnybinės stotys veikia Valstybiniame duomenų centre, kurio reikalavimai nustatyti Valstybinių duomenų centrų techninių reikalavimų apraše, patvirtintame 2019 m. lapkričio 18 d. Nr. V-962 įsakymu „Dėl Valstybinių duomenų centrų techninių reikalavimų aprašo patvirtinimo“, todėl preziumuojama, kad Tarnybos IS tarnybinės stotys atitinka 3 kategorijos valstybės informacinių sistemų nustatytus reikalavimus

16. Nešiojamųjų kompiuterių, naudojamų prisijungimui prie Tarnybos IS, naudojimo tvarka:

16.1. prisijungimui prie Tarnybos IS leidžiama naudoti tik tarnybinius nešiojamuosius kompiuterius;

16.2. išnešti iš patalpų nešiojamieji kompiuteriai negali būti palikti be priežiūros;

16.3. nešiojamąjį kompiuterį paliekant ilgesniam laikui, jis turi būti išjungiamas;

16.4. prie nešiojamojo kompiuterio gali būti jungiami tik naudotojų tarnybinėms funkcijoms atlikti reikalingi įrenginiai, įtraukti į leistinų jungti įrenginių sąrašą;

16.5. turi būti įdiegiami operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;

16.6. duomenys, perduodami belaidžiu ryšiu tarp nešiojamojo kompiuterio ir Tarnybos IS, turi būti šifruojami taikant VPN technologiją;

16.7. jungiantis prie Tarnybos IS išteklių, turi būti patvirtinamas tapatumas; nešiojamame kompiuteryje ar jo taikomojoje programinėje įrangoje turi būti uždrausta automatiškai išsaugoti slaptažodį;

16.8. nešiojamas kompiuteris, kuriuo nesinaudojama 15 minučių, turi automatiškai užsirakinti;

17. Mobiliųjų įrenginių (išmaniųjų telefonų ir planšetinių kompiuterių, naudojančių Android ar iOS operacines sistemas), naudojamų prisijungti prie Tarnybos IS, saugumas ir kontrolė:

17.1. leidžiama naudoti tik tarnybinius, tinkamai sukonfigūruotus, su įdiegtomis saugos priemonėmis ir įdiegta tarnybinėms funkcijoms atlikti reikalinga programine įranga mobiliuosius įrenginius;

17.2. mobiliuosiuose įrenginiuose turi būti įdiegta centralizuoto mobiliųjų įrenginių administravimo programinė įranga;

17.3. mobilieji įrenginiai turi būti apsaugoti saugiais slaptažodžiais;

17.4. mobiliajame įrenginyje nesant nustatyto slaptažodžio, draudžiama jame saugoti jautrius ir neužšifruotus duomenis; šiuo atveju duomenys turi būti laikomi laikmenose atskirai nuo mobiliojo įrenginio;

17.5. esant galimybei, mobilusis įrenginys užrakinamas naudojant PIN kodą, atrakinimo piešinį, slaptažodį ar biometrinius duomenis;

17.6. išnešti iš patalpų mobilieji įrenginiai negali būti palikti be priežiūros;

17.7. mobilųjį įrenginį paliekant ilgesniam laikui, jis turi būti išjungiamas;

17.8. turi būti įdiegiami operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;

17.9. prie mobiliųjų įrenginių gali būti jungiami tik naudotojų tarnybinėms funkcijoms atlikti reikalingi įrenginiai, įtraukti į leistinų jungti įrenginių sąrašą;

17.10. duomenys, perduodami tarp mobiliojo įrenginio ir informacinės sistemos, turi būti šifruojami taikant VPN technologiją;

17.11. jungiantis prie informacinių išteklių, turi būti patvirtinamas tapatumas; mobiliajame įrenginyje ar jo taikomojoje programinėje įrangoje turi būti uždrausta automatiškai išsaugoti slaptažodį;

17.12. mobilusis įrenginys, kuriuo nesinaudojama 15 minučių, turi automatiškai užsirakinti;

17.13. turi būti užtikrinta kompiuterinių laikmenų apsauga;

18. Svetainių, pasiekiamų iš viešųjų elektroninių ryšių tinklų, saugumas ir kontrolė:

18.1. atpažinties, tapatumo patvirtinimo ir naudojimosi kontrolės reikalavimai:

18.1.1. draudžiama slaptažodžius saugoti programiniame kode;

18.1.2. svetainės, patvirtinančios nuotolinio prisijungimo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius;

18.2. turi būti įgyvendinti svetainės kriptografijos reikalavimai:

18.2.1. svetainės administravimo darbai turi būti atliekami per šifruotą ryšio kanalą, šifruojant ne trumpesniu kaip 128 bitų raktu;

18.2.2. šifruojant naudojami skaitmeniniai sertifikatai privalo būti išduoti patikimų sertifikavimo tarnybų; sertifikato raktas turi būti ne trumpesnis kaip 2048 bitų;

18.2.3. svetainės kriptografinės funkcijos turi būti įdiegtos tarnybinės stoties, kurioje yra svetainė, dalyje arba kriptografiniame saugumo modulyje (angl. Hardware security module);

18.2.4. šifravimui naudojamų raktų poros turi būti generuojamos naudojant algoritmus, atitinkančius kvalifikuoto elektroninio parašo reikalavimus;

18.2.5. generuojamų raktų ilgiai turi būti tinkami kvalifikuotam elektroniniam parašui;

18.2.6. privatieji kriptografiniai raktai ar jų kopijos, saugomi ar laikomi ne kriptografiniame saugumo modulyje, turi būti šifruojami;

18.3. draudžiama tarnybinėje stotyje saugoti sesijos duomenis (identifikatorių), pasibaigus susijungimo sesijai;

18.4. turi būti naudojama svetainės ugniasienė (angl. Web Application Firewall);

18.5. turi būti naudojama svetainės naudotojo įvedamų duomenų tikslumo kontrolė (angl. Validation);

18.6. tarnybinė stotis, kurioje yra svetainė, neturi rodyti svetainės naudotojui klaidų pranešimų apie svetainės programinį kodą ar tarnybinę stotį;

18.7. tarnybinė stotis, kurioje yra svetainė, turi leisti tik svetainės funkcionalumui užtikrinti reikalingus HTTP metodus;

18.8. turi būti uždrausta naršyti svetainės aplankuose (angl. Directory browsing);

19. Tarnybos IS darbo apskaitos ir kitos priemonės, naudojamos elektroninės informacijos saugai užtikrinti:

19.1. slaptažodžius, suteikiančius teisę dirbti su Tarnybos IS tarnybinėmis stotimis ir jų administravimo programine įranga, žino tik IS administratorius;

19.2. prieigos teisė dirbti su Tarnybos IS taikomąja programine įranga suteikiama IS naudotojams Tarnybos IS naudotojų administravimo taisyklėse nustatyta tvarka;

19.3. naudotojams neatliekant jokių veiksmų 15 min., Tarnybos IS užsirakina ir toliau naudotis Tarnybos IS galima tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;

19.4. baigus darbą, būtina užtikrinti, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungti nuo informacinės sistemos, įjungti ekrano užsklandą su slaptažodžiu, dokumentus padėti į pašaliniams asmenims neprieinamą vietą;

19.5. IS naudotojų veiksmai su Tarnybos IS duomenimis registruojami programiniu būdu;

19.6. saugos įgaliotinis ne rečiau nei kartą per mėnesį peržiūri naudotojų prisijungimų prie duomenų bazės elektroninį žurnalą ir bent kartą per metus teikia naudotojų prisijungimų peržiūros ataskaitas;

19.7. Tarnybos IS duomenys nuo jų praradimo, iškraipymo, sunaikinimo, neteisėto panaudojimo galimybių apsaugomi techninėmis, organizacinėmis, programinėmis priemonėmis.

III. SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

20. Tarnybos IS duomenų keitimo, atnaujinimo, įrašymo ir naikinimo tvarka:

20.1. Tarnybos IS duomenis keisti, atnaujinti, įrašyti ir naikinti gali tik autorizuoti IS naudotojai, turintys teisę tai atlikti;

20.2. Tarnybos IS duomenys įrašomi, atnaujinami, keičiami ir naikinami vadovaujantis Saugos nuostatais ir Tarnybos IS duomenų saugos nuostatais;

20.3. Tarnybos IS turi būti įdiegtos įrašytos elektroninės informacijos tikslumo, užbaigtumo ir patikimumo tikrinimo priemonės;

20.4. IS naudotojui teisė naudotis Tarnybos IS suteikiama pasirašius Konfidencialumo laikymosi pasižadėjimą.

21. IS naudotojų veiksmų registravimo tvarka:

21.1. IS naudotojų tapatybė ir veiksmai su Tarnybos IS duomenimis fiksuojami programinėmis priemonėmis;

21.2. IS naudotojų tapatybė ir veiksmai su Tarnybos IS duomenimis įrašomi automatiniu būdu Tarnybos IS duomenų bazės veiksmų žurnale, apsaugotame nuo neteisėto jame esančių duomenų panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;

21.3. Tarnybos IS duomenų bazės veiksmų žurnalo duomenys prieinami IS administratoriui, saugos įgaliotiniui ir atitinkamas teises turintiems IS naudotojams.

22. Tarnybos IS atsarginių elektroninės informacijos ir programinės įrangos kopijų (toliau kartu vadinama – Atsarginės kopijos) darymo, saugojimo ir Atsarginių kopijų atkūrimo iš atsarginių kopijų tvarka:

22.1. Tarnybos Atsarginės kopijos daromos automatizuotomis priemonėmis nustatytu periodiškumu pagal nustatytus ir patvirtintus informacinių išteklių toleruotinus duomenų praradimo dydžius (angl. Recovery Point Objective), kurie yra numatyti Taisyklių 2 priede „Lietuvos geologijos tarnybos prie Aplinkos ministerijos informacinių išteklių atsarginių kopijų darymo dažnumas“;

22.2. už Tarnybos Atsarginių kopijų darymą yra atsakingas IS administratorius. IS administratoriaus funkcijos aprašytos Tarnybos IS Saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose Tarnybos IS darbą;

22.3. prarasti, iškraipyti ar sunaikinti Tarnybos IS duomenys atkuriami iš Tarnybos Atsarginių kopijų;

22.4. Tarnybos Atsarginės kopijos yra šifruojamos;

22.5. Tarnybos Žemės gelmių registro, Valstybinės geologijos informacinės sistemos ir Valstybinės požeminio vandens informacinės sistemos atkūrimas iš Atsarginių kopijų turi užtrukti ne daugiau kaip 16 valandų;

22.6. Tarnybos Atsarginės kopijos saugomos dedikuotoje duomenų saugykloje.

22.7. Tarnybos Atsarginių kopijų atstatymo bandymus organizuoja saugos įgaliotinis, o atlieka IS administratorius. Atsarginių kopijų atstatymo bandymai atliekami, periodiškai kiekvieną kalendorinį metų ketvirtį.

22.8. saugos įgaliotinis iki kiekvienų metų sausio 31 d. parengia ir patvirtina Atsarginių kopijų atstatymo kalendorinį grafiką (Taisyklių 3 priedas) jame nurodydamas Tarnybos informacinius išteklius ir jų Atsarginių kopijų atstatymo bandymų periodiškumą. Informacinių išteklių sąrašas su RTO rodikliais pateikiamas Tarnybos informacinių išteklių sąraše, patvirtintame Tarnybos IS veiklos tęstinumo valdymo plane.

22.9. IS administratorius atlieka Atsarginių kopijų atstatymo bandymus ir pildo Atsarginių kopijų atstatymo stebėsenos formą (Taisyklių 4 priedas), kurioje nurodo:

22.9.1. Informacinį išteklių;

22.9.2. Atsarginės kopijos atstatymo laiką, kurį sudaro RTO ir realus atkūrimo laikas bei jų skirtumas;

22.9.3. Įvykusias klaidas, nurodant klaidos (-ų) pavadinimą (-us) ir jų skaičių;

22.9.4. Atstatymo įgyvendinimą procentine išraiška;

22.9.5. Pastabas ir (pasiūlymus).

22.10. IS administratorius pateikia IS saugos įgaliotiniui užpildytą ir pasirašytą Atsarginių kopijų atstatymo stebėsenos formą.

22.11. saugos įgaliotinis peržiūri su IS administratoriumi atsarginių kopijų atstatymo bandymų rezultatus ir įvertina ar jie atitinka žemiau pateiktus sėkmingo atstatymo rodiklius:

22.11.1. Atstatymo laikas neviršija nustatyto RTO laiko;

22.11.2. Atstatymo metu nebuvo užfiksuota kritinių klaidų, dėl kurių galėjo sutrikti atstatymo procesas ir/ ar atstatymas taptų nesėkmingu;

22.11.3. Sėkmingai atstatytos programinės įrangos ir (ar) duomenų procentas, leidžiantis užtikrinti minimalų atstatytos programinės įrangos ir (ar) duomenų naudojimą.

22.12. saugos įgaliotinis po Atsarginių kopijų atstatymo bandymų Tarnybos direktoriui pateikia Atsarginių kopijų atstatymo stebėsenos formą.

22.13. Atsarginių kopijų atstatymo kalendorinis grafikas rengiamas ir tvirtinamas kiekvienais metais.

22.14. Atstatymo bandymų tvarkos aprašas ir kiti saugos dokumentai iš esmės peržiūrimi, ir prireikus keičiami, ne rečiau kaip kartą per metus.

23. Duomenų perkėlimo ir teikimo kitoms informacinėms sistemoms, duomenų gavimo iš jų tvarka:

23.1. už IS naudotojų administravimą ir iš kitų susijusių informacinių sistemų teikiamų duomenų atnaujinimą Tarnybos IS yra atsakingas IS administratorius;

23.2. duomenų mainai tarp Tarnybos IS ir kitų informacinių sistemų vykdomi su šių informacinių sistemų valdytojais sudarytose duomenų teikimo sutartyse numatytais būdais, terminais ir numatytos apimties;

23.3. reorganizuojant arba likviduojant Tarnybos IS, jos elektroninė informacija turi būti saugiai perduodama kitam Tarnybos IS valdytojui, valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka arba sunaikinama.

24. Duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:

24.1. IS administratorius, užtikrindamas Tarnybos IS duomenų vientisumą, privalo naudoti visas įmanomas fizines, programines ir organizacines priemones, skirtas Tarnybos IS ir joje tvarkomiems duomenims apsaugoti nuo neteisėtų veiksmų;

24.2. IS naudotojas, įtaręs, kad su Tarnybos IS duomenimis buvo atlikti neteisėti veiksmai, privalo pranešti apie tai savo vadovui ir saugos įgaliotiniui ar IS administratoriui. IS administratorius, atsiradus įtarimams dėl neteisėtų veiksmų su Tarnybos IS duomenimis, pasinaudojęs Tarnybos IS duomenų bazės veiksmų žurnalo įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su Tarnybos IS programine įranga ir (ar) duomenimis;

24.3. IS administratorius, įtaręs, kad su Tarnybos IS duomenimis vykdomi neteisėti veiksmai, privalo apie tai pranešti saugos įgaliotiniui;

24.4. saugos įgaliotinis, gavęs pranešimą apie vykdomus neteisėtus veiksmus su Tarnybos IS arba su Tarnybos IS tvarkomais duomenimis, inicijuoja elektroninės informacijos saugos incidento ar kibernetinio incidento valdymo procedūras.

25. Programinės ir techninės įrangos keitimo ir atnaujinimo bei pokyčių (toliau – pokyčiai) valdymo tvarka:

25.1. visi pokyčiai (projektavimas, kūrimas, testavimas, diegimas) atliekami tik Tarnybos IS valdytojo ir tvarkytojo iniciatyva;

25.2. pokyčiai gali būti inicijuojami identifikavus Tarnybos IS veikimo netikslumus, iškilus naujoms saugumo grėsmėms, siekiant gerinti Tarnybos IS našumą ir pan.;

25.3. užregistruoti pokyčiai skirstomi į kategorijas pagal svarbą, aktualumą, poreikį, siekiant nustatyti įgyvendinimo eiliškumą;

25.4. tarpusavyje nesusiję pokyčiai vienu metu neįgyvendinami;

25.5. prioritetiniais laikomi pokyčiai, susiję su duomenų apsauga, Tarnybos IS saugumu;

25.6. Tarnybos IS testavimas nevykdomas su realiais asmens duomenimis, išskyrus būtinus atvejus, kurių metu naudojamos organizacinės ir techninės asmens duomenų saugumo priemonės, užtikrinančios realių asmens duomenų saugumą;

25.7. įvertinamos pokyčių keliamos rizikos, įskaitant poveikį duomenų saugumui, poveikį Tarnybos IS saugumui, funkcionalumui ir pan.;

25.8. pakeitimo projektavimą ir kūrimą atlieka Tarnybos darbuotojai, esant poreikiui pasitelkdami trečiąsias šalis;

25.9. prieš atliekant pokyčius, kurių metu gali iškilti grėsmė elektroninės informacijos konfidencialumui, vientisumui ar pasiekiamumui, visi pokyčiai turi būti išbandomi testavimo aplinkoje, kuri yra artima gamybinei aplinkai;

25.10. prieš atliekant pokyčius, nustatomas galimas Tarnybos IS neveikimo terminas pokyčių diegimo metu;

25.11. įgyvendinant pokyčius, kurių metu galimi Tarnybos IS veikimo sutrikimai, IS administratoriai privalo ne vėliau kaip prieš vieną darbo dieną iki planuojamų pokyčių vykdymo pradžios (elektroniniu paštu ar kitomis priemonėmis) informuoti naudotojus apie tokių darbų pradžią ir galimus sutrikimus;

25.12. pokyčiai perkeliami į gamybinę aplinką tik sėkmingo testavimo atveju;

25.13. turi būti numatytos atstatomosios/grįžtamosios procedūros nesėkmingų pokyčių diegimų atvejams;

25.14. visi pokyčiai registruojami (dokumentuojami) ir apie tai informuojami IS naudotojai;

25.15. IS administratoriai naudotojams privalo pateikti visą reikalingą informaciją apie naudojimosi IS pakitimus, susijusius su įgyvendinamais pokyčiais.

IV. REIKALAVIMAI, KELIAMI INFORMACINIŲ SISTEMŲ FUNKCIONALUMUI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

26. Paslaugų teikėjų prieigos prie Tarnybos IS lygiai ir sąlygos:

26.1. IS administratorius suteikia prieigos prie Tarnybos IS duomenų teisę (matyti Tarnybos IS duomenis, atlikti užklausas Tarnybos IS, vykdyti veiksmus su Tarnybos IS duomenimis ir kt.) bei fizinę prieigą prie techninės ir programinės įrangos paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje nurodytam laikotarpiui jo nustatytoms funkcijoms atlikti;

26.2. IS administratorius, suteikdamas prieigos prie Tarnybos IS duomenų teisę, paslaugų teikėjo įgaliotą fizinį asmenį supažindina su prieigos prie Tarnybos IS duomenų sąlygomis;

26.3. pasibaigus sutartyje nurodytam laikotarpiui, IS administratorius panaikina paslaugų teikėjo įgalioto fizinio asmens prieigos prie Tarnybos IS duomenų teisę ir apie tai jį informuoja.

27. Patalpų, įrangos, informacinių sistemų priežiūros, ir kitų paslaugų reikalavimai:

27.1. reikalavimai paslaugų teikėjams ir jų teikiamoms projektavimo ir Tarnybos IS priežiūros paslaugoms nustatomi šių paslaugų teikimo sutartyse;

27.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja Tarnybos IS taikomąją programinę įrangą, naudodamas:

27.2.1. elektroninės informacijos saugos priemones, apsaugančias nuo neteisėto poveikio sisteminei, programinei įrangai ir patalpoms;

27.2.2. Tarnybos IS testinės duomenų bazės duomenis (Tarnybos IS taikomajai programinei įrangai modifikuoti).

28. Perkant paslaugas, darbus ar įrangą, susijusią su IS, pirkimo dokumentuose yra iš anksto nustatoma, kad paslaugų teikėjas turi užtikrinti atitiktį kibernetinio saugumo reikalavimams, nustatytiems Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.

V. BAIGIAMOSIOS NUOSTATOS

29. IS naudotojai, pažeidę šių taisyklių ir kitų saugos politiką įgyvendinančių dokumentų nuostatas, atsako teisės aktų nustatyta tvarka.

––––––––––––––––

PATVIRTINTA

Lietuvos geologijos tarnybos

prie Aplinkos ministerijos direktoriaus

2023 m. liepos d. 31 įsakymu Nr. 1-348

LIETUVOS GEOLOGIJOS TARNYBOS PRIE APLINKOS MINISTERIJOS INFORMACINIŲ SISTEMŲ VEIKLOS TĘSTINUMO VALDYMO PLANAS

I. Bendrosios nuostatos

1. Lietuvos geologijos tarnybos prie Aplinkos ministerijos (toliau – Tarnyba) informacinių sistemų veiklos tęstinumo valdymo planas (toliau – Valdymo planas) reglamentuoja Tarnybos informacinių sistemų (toliau – IS) veiklos tęstinumo užtikrinimą, esant elektroninės informacijos saugos ir kibernetinio saugumo incidentui (-ams) bei siekiant jį (juos) likviduoti.

2. Valdymo planas parengtos vadovaujantis teisės aktais kurie nurodyti Tarnybos IS duomenų saugos nuostatuose (toliau – Saugos nuostatai).

3. Valdymo plane vartojamos sąvokos:

3.1. IS veiklos tęstinumo valdymo grupė – Tarnybos direktoriaus įsakymu sudaryta grupė koordinuojanti Tarnybos IS veiklos atkūrimą esant elektroninės informacijos saugos incidentui bei užtikrinanti tęstinumui kylančių grėsmių valdymą ir sprendimų, reikalingų Tarnybos IS veiklos atkūrimui priėmimą.

3.2. IS veiklos atkūrimo grupė – Tarnybos direktoriaus įsakymu sudaryta grupė užtikrinanti Tarnybos IS veiklos atkūrimą ir veikimą bei atskaitinga Valdymo grupei, esant elektroninės informacijos saugos incidentui.

4. Kitos Valdymo plane vartojamos sąvokos nurodytos Saugos nuostatuose, bei teisės aktuose, kuriais vadovaujantis yra parengti Saugos nuostatai.

5. Šis Valdymo planas įsigalioja nuo jo patvirtinimo dienos.

6. Valdymo Plano tikslas įgyvendinamas:

6.1. užtikrinant operatyvų sprendimų priėmimo procesą elektroninės informacijos saugos incidentų atvejais;

6.2. numatant reikiamas priemones Tarnybos IS veiklos tęstinumui ir atkūrimui užtikrinti;

6.3. užtikrinant kuo mažesnius praradimus elektroninės informacijos saugos incidentų atveju.

7. Valdymo Planas vykdomas įvykus elektroninės informacijos saugos incidentui.

8. Funkcijos, kurias vykdo saugos įgaliotinis, IS administratorius ir IS naudotojai, įvykus elektroninės informacijos saugos incidentui:

8.1. Saugos įgaliotinis dalyvauja Veiklos tęstinumo valdymo grupės susirinkimuose ir teikia jiems informaciją apie elektroninės informacijos saugos incidentus, jų padarinius bei likvidavimo veiksmus;

8.2. IS administratoriai užtikrina IS atkūrimą ir dalyvauja veiklos atkūrimo grupės susirinkimuose;

8.3. IS naudotojai vykdo Veiklos tęstinumo valdymo grupės priimtus sprendimus.

9. Detalūs saugos įgaliotinio, IS administratoriaus ir kitų atsakingų IS naudotojų veiksmai, įvykus elektroninės informacijos saugos incidentui, nurodyti Tarnybos IS veiklos atkūrimo detaliajame plane (Valdymo plano 2 priedas).

10. Valdymo planas yra privalomas Tarnybos IS valdytojui ir tvarkytojui, saugos įgaliotiniui, IS administratoriui (administratoriams) ir IS naudotojams.

11. Elektroninės informacijos saugos incidento metu patirti nuostoliai padengiami iš valstybės biudžeto ir kitų finansavimo šaltinių

12. Kriterijai, pagal kuriuos nustatoma, kad Tarnybos IS veikla atkurta:

12.1. Tarnybos IS duomenų atnaujinimas ir išsaugojimas;

12.2. Tarnybos IS duomenų teikimas fiziniams, juridiniams asmenims ir kitoms informacinėms sistemoms teisės aktų nustatyta tvarka;

12.3. IS naudotojų darbo funkcijų vykdymas be trikdžių;

12.4. Tarnybos IS elektroninės informacijos saugos incidento padarinių likvidavimas.

13. Neveikiant Tarnybos IS ar veikiant iš dalies, jos veiklą siekiama atkurti per 2 val., ilgiausias leistinas Tarnybos IS ir joje esančios elektroninės informacijos neveikimo laikotarpis – 16 val. (Valdymo plano 1 priedas).

14. Valdymo plano vykdymas yra privalomas elektroninės informacijos saugos incidentų, kurių metu gali kilti pavojus Tarnybos IS duomenims, Tarnybos IS techninės, programinės įrangos funkcionavimui, atveju. saugos įgaliotinio ir IS administratoriaus veiksmai yra nurodyti Tarnybos IS veiklos tęstinumo detaliajame plane (Valdymo plano 2 priedas). Apie kibernetinės saugos incidentus informuojamas Nacionalinis kibernetinio saugumo centras Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo tvarkos aprašu nustatyta tvarka (Valdymo plano 5 priedas).

II. ORGANIZACINĖS NUOSTATOS

15. Už Tarnybos IS veiklos tęstinumą ir Tarnybos IS veiklos atkūrimą elektroninės informacijos saugos incidentų atvejus atsakingos IS veiklos tęstinumo valdymo ir Tarnybos IS veiklos atkūrimo grupės.

16. IS veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) sudėtis:

16.1. Tarnybos saugos įgaliotinis, grupės vadovas;

16.2. Tarnybos Teisės ir administravimo skyriaus vyriausiasis specialistas;

16.3. Tarnybos Informacijos valdymo skyriaus vyriausiasis specialistas.

17. Valdymo grupės funkcijos:

17.1. elektroninės informacijos saugos incidentų analizė ir sprendimų Tarnybos IS veiklos tęstinumo valdymo klausimais priėmimas;

17.2. bendravimas ir bendradarbiavimas su IS naudotojais;

17.3. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

17.4. bendravimas su kitų susijusių organizacijų veiklos tęstinumo valdymo grupėmis;

17.5. bendravimas ir bendradarbiavimas su teisėsaugos ir kitomis institucijomis, kitomis interesų grupėmis;

17.6. finansinių išteklių, reikalingų Tarnybos IS veiklai atkurti, įvykus elektroninės informacijos saugos incidentams, naudojimo kontrolė;

17.7. Tarnybos IS fizinės duomenų saugos užtikrinimo kontrolė, įvykus elektroninės informacijos saugos incidentams;

17.8. logistikos organizavimas (žmonių, daiktų, įrangos gabenimo organizavimas ir jų gabenimas);

17.9. Tarnybos IS veiklos atkūrimo priežiūra ir koordinavimas;

17.10. kitos Valdymo grupei pavestos funkcijos.

18. IS veiklos atkūrimo grupės (toliau – Atkūrimo grupė) sudėtis:

18.1. Tarnybos Informacijos valdymo skyriaus vedėjas, grupės vadovas;

18.2. Tarnybos Informacijos valdymo skyriaus vyriausiasis specialistas, grupės vadovo pavaduotojas;

18.3. Tarnybos Žemės gelmių registro duomenų valdymo įgaliotinis;

18.4. Tarnybos Valstybinės geologijos informacinės sistemos duomenų valdymo įgaliotinis;

18.5. Tarnybos Valstybinės požeminio vandens informacinės sistemos duomenų valdymo įgaliotinis

19. Atkūrimo grupės funkcijos:

19.1. Tarnybos IS tarnybinių stočių veiklos atkūrimo organizavimas;

19.2. kompiuterių tinklo veikimo atkūrimo organizavimas;

19.3. Tarnybos IS duomenų atkūrimo organizavimas;

19.4. Tarnybos IS taikomųjų programų tinkamo veikimo atkūrimo organizavimas;

19.5. kompiuterių veikimo atkūrimo organizavimas;

19.6. kitos Atkūrimo grupei pavestos funkcijos.

20. Atkūrimo grupė yra pavaldi Valdymo grupei.

21. Įvykus elektroninės informacijos saugos incidentui, prioritetas – apsaugoti žmonių gyvybes.

22. Valdymo ir Atkūrimo grupės tarpusavyje bendrauja el. paštu ar telefonu. Ne rečiau negu kartą per metus organizuojamas šių dviejų grupių susitikimas, kuriame aptariama esama situacija ir suderinami galimi jos pagerinimo būdai.

23. Įvykus elektroninės informacijos saugos incidentui patalpose, kuriose yra saugoma Tarnybos IS techninė ir programinė įranga:

23.1. IS administratorius nedelsdamas informuoja apie elektroninės informacijos saugos incidentą saugos įgaliotinį;

23.2. saugos įgaliotinis apie elektroninės informacijos saugos incidentą nedelsdamas informuoja Tarnybos direktorių;

23.3. saugos įgaliotinis informaciją apie elektroninės informacijos saugos incidentą įrašo į Tarnybos IS elektroninės informacijos saugos incidentų registravimo žurnalą (Valdymo plano 3 priedas), vadovauja Tarnybos IS veiklos tęstinumo detaliajame plane (Valdymo plano 2 priedas) nurodytiems veiksmams;

23.4. IS administratorius organizuoja Tarnybos IS techninės ir programinės įrangos veikimo atkūrimą, kompiuterių tinklo veiklos atkūrimą, Tarnybos IS duomenų, Tarnybos IS techninės, sisteminės ir taikomosios programinės įrangos funkcionavimo atkūrimą ir nedelsdamas informuoja saugos įgaliotinį;

23.5. saugos įgaliotinis kartu su IS administratoriumi organizuoja žalos Tarnybos IS duomenims, Tarnybos IS techninei, programinei įrangai vertinimą, koordinuoja Tarnybos IS veiklai atkurti reikalingos techninės, sisteminės ir taikomosios programinės įrangos įsigijimą.

24. Elektroninės informacijos saugos incidento metu sunaikinta techninė, sisteminė ir taikomoji programinė įranga įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka, įsigijimo ištekliai padengiami iš valstybės biudžeto ir kitų šaltinių.

25. Atsarginėms patalpoms, naudojamoms Tarnybos IS veiklai atkurti elektroninės informacijos saugos incidento atveju, keliami šie reikalavimai:

25.1. patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

25.2. patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti įrengtos gaisro gesinimo priemonės;

25.3. šiose patalpose nuolat turi veikti oro temperatūros ir drėgmės reguliavimo įranga (oro kondicionavimo sistema);

25.4. ryšių kabeliai turi būti apsaugoti nuo nesankcionuoto prisijungimo.

26. Atsarginės patalpos, naudojamos Tarnybos IS veiklai atkurti elektroninės informacijos saugos incidento atveju, yra Valstybiniame duomenų centre.

27. Neveikiant Tarnybos IS dėl iš anksto numatyto Tarnybos IS veikimo stabdymo arba dėl nenumatyto Tarnybos IS veiklos sutrikimų elektroninės informacijos saugos incidentų atveju, imamasi šių veiksmų:

27.1. kai iš anksto žinomas Tarnybos IS neveikimo laikas, informacija apie tai skelbiama Tarnybos IS portale likus mažiausiai 1 dienai iki numatyto Tarnybos IS stabdymo;

27.2. kol Tarnybos IS veikla atkuriama, pildomos popierinio formato statistinės apskaitos formos, o atkūrus Tarnybos IS veiklą, šių formų duomenys suvedami į sistemą ir pateikiami įprastu būdu.

III. APRAŠOMOSIOS NUOSTATOS

28. Informacija apie Tarnybos IS techninę ir programinę įrangą ir jos parametrus nurodyta Tarnybos IS specifikacijoje.

29. Įvykus elektroninės informacijos saugos incidentui, o tam tikros srities IS administratoriui nesant darbe ir (arba) dėl tam tikrų priežasčių jam negalint atvykti, IS veiklą gali atkurti specialistas, išmanantis atitinkamą sritį: duomenų bazių, kompiuterinio tinklo, tarnybinių stočių (ir) arba taikomųjų programų administravimą. Kriterijai, kuriais vadovaujantis kibernetiniai incidentai priskiriami kibernetinių incidentų kategorijoms nurodyti Kriterijų, kuriais vadovaujantis kibernetiniai incidentai priskiriami kibernetinių incidentų kategorijoms sąraše (Valdymo plano 6 priedas).

30. Minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos Tarnybos poreikius atitinkančiai informacinės sistemos veiklai užtikrinti elektroninės informacijos saugos incidento metu, specifikacija turi būti analogiška pagrindinei Tarnybos IS techninės ir programinės įrangos specifikacijai.

31. Kiekvieno pastato aukšto patalpų brėžinius ir šiose patalpose esančios įrangos bei komunikacijų sąrašą parengia ir saugo IS administratorius. Brėžiniuose pažymėta patalpose esanti įranga bei komunikacijos:

31.1. duomenų perdavimo įranga (šakotuvai, skirstytuvai, kelvedžiai, modemai, telefonų stotys ir kt.);

31.2. kompiuterių tinklo ir telefoninio tinklo mazgai;

31.3. kompiuterių tinklo ir telefoninio tinklo laidų vedimo tarp pastato aukštų vietos;

31.4. elektros įvedimo pastate vietos.

32. Kompiuterių tinklo fizinio ar loginio sujungimo schemas parengia ir saugo IS administratorius.

33. Duomenų teikimo bei kompiuterinės, techninės ir programinės įrangos priežiūros sutartis saugo saugos įgaliotinis.

34. Prarasti, iškraipyti ar sunaikinti Tarnybos IS duomenys atkuriami iš Tarnybos IS duomenų atsarginių kopijų. Atsarginių Tarnybos IS duomenų kopijos saugomos Valstybiniame duomenų centre. Detali atsarginių Tarnybos IS duomenų kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarka aprašyta Tarnybos IS saugaus elektroninės informacijos tvarkymo taisyklėse.

35. Saugos įgaliotinis ir IS administratorius parengia, patvirtina ir, vadovaudamiesi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL, 2016L, 119, p. 1), taip pat Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu saugo Tarnybos darbuotojų sąrašą, kuriame nurodyti darbuotojų darbo telefonai, o Valdymo grupės ir Atkūrimo grupės narių – tarnybinių mobiliųjų ir namų telefonų numeriai bei gyvenamosios vietos adresai.

36. Saugos įgaliotinis koordinuoja kasmetinį Valdymo plano dokumentacijos atnaujinimą.

iV. Veiklos TĘSTINUMO VALDYO planO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

37. Plano veiksmingumo išbandymo data nustatoma kiekvienų metų sausio mėnesį. Nustatytą dieną imituojamas elektroninės informacijos saugos incidentas. Jo metu už elektroninės informacijos saugos incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus. Atsarginėje Tarnybos IS tarnybinėje stotyje iš atsarginių Tarnybos IS duomenų kopijų atkuriami Tarnybos IS duomenys.

38. Pagal bandymų rezultatus saugos įgaliotinis parengia Tarnybos IS rizikos įvertinimo ataskaitą (Valdymo plano 4 priedas) (toliau – Ataskaita), kurioje yra apibendrinami atliktų bandymų rezultatai, akcentuojami pastebėti Tarnybos IS trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina Tarnybos direktorius.

39. Ataskaitos kopija ne vėliau kaip per penkias darbo dienas nuo šio dokumento priėmimo pateikiama Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos.

40. Saugos įgaliotinis nuolat kontroliuoja Ataskaitoje nurodytų prevencinių priemonių įgyvendinimą.

41. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami remiantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

––––––––––––––––

Lietuvos geologijos tarnybos prie Aplinkos ministerijos informacinių sistemų veiklos tęstinumo valdymo plano

2 priedas

LIETUVOS GEOLOGIJOS TARNYBOS PRIE APLINKOS MINISTERIJOS INFORMACINIŲ SISTEMŲ VEIKLOS TĘSTINUMO DETALUSIS PLANAS

2.1.1.

2.1.1. 2.1.1. 2.1.1.

Pavojaus rūšys	Pirmaeiliai veiksmai	Pasekmės likvidavimo veiksmai	Atsakingi pasekmės likvidavimo vykdytojai	Terminai
1. Oro sąlygos	1.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	1.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	Saugos įgaliotinis, IS administratorius	Per 30 min. po incidento nustatymo
		2.1.1. 2.1.1. 1.1.2. Pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas	Saugos įgaliotinis, IS administratorius	Per vieną darbo valandą po incidento nustatymo
		2.1.1. 2.1.1. 1.1.3. Priemonių plano įgyvendinimas	Saugos įgaliotinis, IS administratorius	Nedelsiant, priklausomai nuo incidento šalinimo darbų pobūdžio
	1.2. Darbuotojų elektroninės informacijos saugos incidento pasekmei likviduoti paskyrimas	1.2.1. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis	Per 30 min. po incidento nustatymo
		2.1.1. 2.1.1. 1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas	Saugos įgaliotinis	Nedelsiant, po žalą likviduojančių darbuotojų instruktavimo
	1.3. Oro prognozės sekimas	1.3.1. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis	Per 30 min. po incidento nustatymo
	1.4. Dirbantiems pavojaus vietoje rekomendacijų teikimas	1.4.1. Elektroninės informacijos saugos incidento pasekmes likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis	Nedelsiant
		2.1.1. 2.1.1. 1.4.2. Darbuotojų informavimas apie elgseną pavojaus vietoje	Saugos įgaliotinis	Nedelsiant
		2.1.1. 2.1.1. 1.4.3. Pirmosios pagalbos suteikimo organizavimas nukentėjusiems darbuotojams	Saugos įgaliotinis	Nedelsiant
		2.1.1. 2.1.1. 1.4.4. Nukentėjusių darbuotojų gabenimo į gydymo įstaigą organizavimas	Saugos įgaliotinis	Nedelsiant
	1.5. Pavojaus vietų ženklinimas	1.5.1. Darbuotojų informavimas	Saugos įgaliotinis	Per 30 min. po incidento nustatymo
	1.5. Pavojaus vietų ženklinimas	1.5.2. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis	Nedelsiant
2. Gaisras	2.1. Ugniagesių tarnybos informavimas	2.1.1. Įvykio vietos lokalizavimas, jei gauta rekomendacija	Saugos įgaliotinis, IS administratorius	Nedelsiant
	2.1. Ugniagesių tarnybos informavimas	2.1.1. 2.1.1. 2.1.2. Galimybių evakuoti darbuotojus paieška, jei yra rekomenduojama tai padaryti	Saugos įgaliotinis	Per vieną darbo valandą po incidento nustatymo
	2.1.1. 2.2. Darbuotojų evakavimas (pagal ugniagesių tarnybos rekomendaciją)	2.2.1. Darbuotojų informavimas apie evakavimą, jei yra rekomendacija	Saugos įgaliotinis	Per 15 min. po incidento nustatymo
	2.1.1. 2.3. Darbas pavojaus zonoje	2.3.1. Darbuotojų informavimas apie saugų darbą pavojaus zonoje	Saugos įgaliotinis	Nedelsiant
	2.1.1. 2.4. Komunikacijų, sukeliančių pavojų, išjungimas. Gaisro gesinimas ankstyvoje stadijoje, jei yra rekomendacija dirbti pavojaus zonoje	2.4.1. Teisėsaugos tarnybos nurodymų vykdymas	Saugos įgaliotinis	Nedelsiant
3. Patalpų užgrobimas	3.1.Teisėsaugos tarnybos informavimas	3.1.1. Įvykio vietos lokalizavimas, jei yra teisėsaugos tarnybos rekomendacijos	Saugos įgaliotinis	Nedelsiant
3. Patalpų užgrobimas	3.1.Teisėsaugos tarnybos informavimas	2.1.1. 2.1.1. 3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei gauta rekomendacija	Saugos įgaliotinis	Nedelsiant
	3.2. Darbuotojų evakavimas, jei yra rekomendacija	3.2.1. Darbuotojų informavimas apie evakavimą	Saugos įgaliotinis	Nedelsiant
	3.3. Patalpų užrakinimas, jei yra galimybė	3.3.1. Teisėsaugos tarnybos nurodymų vykdymas	Saugos įgaliotinis	Nedelsiant
	3.3. Patalpų užrakinimas, jei yra galimybė	3.3.1. Teisėsaugos tarnybos nurodymų vykdymas	Saugos įgaliotinis
	3.4. Teisėsaugos tarnybos nurodymų vykdymas, jei yra rekomendacijų	3.4.1. Darbuotojų informavimas apie nurodymų vykdymą	Saugos įgaliotinis	Nedelsiant
	2.1.1. 3.5. Veiksmai išlaisvinus užgrobtas patalpas	3.5.1. Padarytos žalos įvertinimas	Saugos įgaliotinis	Per vieną darbo valandą po incidento nustatymo
		2.1.1. 2.1.1. 3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas	Saugos įgaliotinis	Per dvi darbo valandas po padarytos žalos įvertinimo
		2.1.1. 2.1.1. 3.5.3. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis	Per dvidešimt keturias darbo valandas po padarytos žalos įvertinimo
4. Patalpai padaryta žala arba patalpos praradimas	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.1. Suinteresuotos tarnybos rekomendacijų dėl galimybę dirbti pavojaus zonoje gavimas	Saugos įgaliotinis	Nedelsiant
4. Patalpai padaryta žala arba patalpos praradimas		2.1.1. 2.1.1. 4.1.2. Darbuotojų informavimas apie rekomendacijas	Saugos įgaliotinis	Per 30 min. po incidento nustatymo
			Saugos įgaliotinis	Per 30 min. po incidento nustatymo
5. Energijos tiekimo sutrikimai	5.1. Energijos tiekimo sutrikimo priežasčių nustatymas. Tarnybinės stoties, kitos techninės įrangos energijos maitinimo išjungimas	5.1.1. Sutrikimų šalinimo organizavimas	Teisės ir administravimo skyriaus specialistė Saugos įgaliotinis	Per vieną valandą po incidento nustatymo
	5.2. Kreipimiamasiį energijos tiekimo tarnybą dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių	5.2.1. Rekomendacijų iš energijos tiekimo tarnybos gavimas	Teisės ir administravimo skyriaus specialistė, Saugos įgaliotinis	Nedelsiant, priklausomai nuo incidento šalinimo darbų pobūdžio
		5.2.1. Rekomendacijų iš energijos tiekimo tarnybos gavimas
	2.1.1. 5.3. Sutrikimų pašalinimas
		5.3.1. Pavojaus sustabdymas, padarytos žalos likvidavimo priemonių plano sudarymas ir įgyvendinimas	IS administratorius, Saugos įgaliotinis	Per vieną valandą po incidento nustatymo
		2.1.1. 2.1.1. 5.3.2. Padarytos žalos įvertinimas	IS administratorius, Saugos įgaliotinis	Per 30 min. po incidento nustatymo
2.1.1. 2.1.1. 5.3.3. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis	Per 30 min. po incidento nustatymo
6. Vandentiekio ir šildymo sistemos sutrikimai	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.1. Atitinkamos tarnybos paklausimas dėl leidimo dirbti ir rekomendacijų gavimas	Saugos įgaliotinis, Teisės ir administravimo skyriaus specialistė	Per 30 min. po incidento nustatymo
	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	2.1.1. 2.1.1. 6.1.2. Darbuotojų informavimas apie rekomendacijas	Teisės ir administravimo skyriaus specialistė Saugos įgaliotinis	Per vieną valandą po incidento nustatymo
	2.1.1. 6.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas	6.2.1. Padarytos žalos įvertinimas. Sutrikimo sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas	IS administratorius, Saugos įgaliotinis	Nedelsiant, priklausomai nuo incidento šalinimo darbų pobūdžio
		6.2.2. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis	Per vieną valandą po incidento nustatymo
7. Ryšio sutrikimai	7.1. Ryšio sutrikimo priežasčių nustatymas	7.1.1. Kreiptis į ryšio paslaugos teikėją	Teisės ir administravimo skyriaus specialistė, Saugos įgaliotinis	Per 15 min. po incidento nustatymo
	2.1.1. 7.2. Ryšio tarnybų informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės	7.1.2. Nustatyti ir įgyvendinti priemones, kad sutrikimai nesikartotų	Teisės ir administravimo skyriaus specialistė, Saugos įgaliotinis	Per vieną valandą po incidento nustatymo
	7.3. Sutrikimo pašalinimas	7.1.3. Kreiptis į kitą ryšio paslaugos teikėją, jei sutrikimas nepašalintas	Teisės ir administravimo skyriaus" specialistė, Saugos įgaliotinis	Priklauso nuo sutartyje nustatytų sąlygų
8. Komutacinės įrangos sugadinimas	8.1. Pranešti teisėsaugos tarnybai, draudimo bendrovei apie įvykį	8.1.1. Darbuotojų elektroninės informacijos saugos incidento pasekmei likviduoti paskyrimas, instruktavimas, jų veiksmų nustatymas	IS administratorius, Saugos įgaliotinis	Nedelsiant
	2.1.1. 8.2. Elektroninės informacijos saugos incidento pasekmių šalinimas	8.2.1. Kreiptis į įrangos tiekėjus dėl įrangos remonto ar naujos įsigijimo	IS administratorius	Per vieną valandą po incidento nustatymo
		2.1.1. 2.1.1. 8.2.2. Įsigytos įrangos diegimas	IS administratorius, Saugos įgaliotinis	Nedelsiant, priklausomai nuo incidento šalinimo darbų pobūdžio
	2.1.1.	2.1.1. 2.1.1. 8.2.2. Įsigytos įrangos diegimas	IS administratorius, Saugos įgaliotinis
9. Programinės įrangos sugadinimas, praradimas
	9.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas	9.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	IS administratorius, Saugos įgaliotinis	Per vieną darbo valandą po incidento nustatymo
		2.1.1. 2.1.1. 9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas	IS administratorius, Saugos įgaliotinis	Per dvi darbo valandą po incidento nustatymo, priklausomai nuo incidento šalinimo darbų pobūdžio
	2.1.1. 9.2. Darbuotojų elektroninės informacijos saugos incidento pasekmei likviduoti paskyrimas. Žalą likviduojančių darbuotojų instruktavimas, jų veiksmų koordinavimas	9.2.1. Žalą likviduojančių darbuotojų instruktavimas	Saugos įgaliotinis	Per vieną darbo valandą po incidento nustatymo
2.1.1. 2.1.1. 9.2.2. Kreipiasi į Tarnybos IS į teisėsaugos tarnybas dėl Tarnybos IS programinės įrangos sugadinimo ar praradimo ir jų nurodymų vykdymas		IS administratorius, Saugos įgaliotinis	Nedelsiant
	9.3. Programinės įrangos kopijų periodinis gaminimas	9.3.1. Sugadintos ar prarastos programinės įrangos atkūrimo organizavimas	IS administratorius, Saugos įgaliotinis	Priklausomai nuo incidento šalinimo darbų pobūdžio
10. Dokumentų praradimas	10.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas	10.1.1. Prarastų dokumentų atkūrimas	IS administratorius	Per vieną darbo valandą po incidento nustatymo
10. Dokumentų praradimas		10.1.2. Prarastų dokumentų atkūrimo kontrolė	Tarnybos direktoriaus pavaduotojas	Per vieną darbo valandą po incidento nustatymo
11. Darbuotojų praradimas	11.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas	11.1.1. Trūkstamų darbuotojų paieška ir priėmimas į darbą	Tarnybos direktoriaus pavaduotojas	Per vieną darbo dieną po incidento nustatymo

Lietuvos geologijos tarnybos prie Aplinkos ministerijos informacinių sistemų veiklos tęstinumo valdymo plano

5 priedas

KIBERNETINIŲ INCIDENTŲ VALDYMO IR NACIONALINIO KIBERNETINIO SAUGUMO CENTRO INFORMAVIMO TVARKOS APRAŠAS

1. Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo tvarkos aprašas reglamentuoja Lietuvos geologijos tarnybos prie Aplinkos ministerijos (toliau – Tarnyba) kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo apie IT įvykusius kibernetinius incidentus tvarką.

2. Apie kibernetinio saugumo incidentus Nacionaliniam kibernetinio saugumo centrui (toliau – Centras) praneša saugos įgaliotinis:

2.1. didelio poveikio kibernetinius incidentus – nedelsiant, bet ne vėliau kaip per vieną valandą nuo jų nustatymo;

2.2. vidutinio poveikio kibernetinius incidentus – ne vėliau kaip per keturias valandas nuo jų nustatymo;

2.3. nereikšmingo poveikio kibernetinius incidentus – periodiškai kiekvieno kalendorinio mėnesio pirmą darbo dieną teikiant apibendrintą informaciją apie kiekvienos grupės incidentų, įvykusių nuo paskutinio pranešimo teikimo dienos, skaičių.

3. Centras informuojamas apie didelio ar vidutinio poveikio kibernetinius incidentus saugos įgaliotinio pranešimu, kuriame nurodoma:

3.1. kibernetinio incidento grupė (grupės), pogrupis (pogrupiai) ir poveikio kategorija, nustatyta pagal Plano 6 priede pateiktus kriterijus;

3.2. trumpas kibernetinio incidento apibūdinimas;

3.3. tikslus laikas, kada kibernetinis incidentas įvyko ir buvo nustatytas;

3.4. kibernetinio incidento šalinimo tvarka (nurodant, ar tai prioritetas, ar ne);

3.5. tikslus laikas, kada bus teikiama kibernetinio incidento tyrimo ataskaita.

4. Asmenys, kuriems Plane nėra nustatytos pareigos pranešti apie kibernetinius incidentus turi teisę savanoriškai pranešti Centrui apie kibernetinius incidentus ir taikytas kibernetinių incidentų tyrimo ar valdymo priemones šio priedo 6 punkte nurodytais kontaktais.

5. Kai būtina informuoti visuomenę siekiant išvengti kibernetinio incidento arba valdyti vykstantį kibernetinį incidentą, Centras, pasikonsultavęs su Tarnyba, informuoja visuomenę apie pavienius kibernetinius incidentus arba reikalauja, kad tai padarytų Tarnybos.

6. Apie kibernetinius incidentus Centras turi būti informuojamas naudojantis Kibernetinio saugumo informaciniu tinklu, nesant tokios galimybės – Centro nurodytais kontaktais (tel. 1843, el. p. cert@nksc.lt).

7. Įvykus kibernetiniam incidentui, vadovaujamasi Tarnybos IS veiklos tęstinumo valdymo planu.

8. Kibernetinis incidentas sprendžiamas Tarnybos IS incidentų valdymo tvarkos aprašu nustatyta tvarka.

9. Kibernetinio incidento tyrimo metu Tarnyba Centrui teikia kibernetinio incidento tyrimo ataskaitas:

9.1. apie didelio poveikio kibernetinių incidentų valdymo būklę – ne vėliau kaip per keturias valandas nuo jų nustatymo ir ne rečiau kaip kas keturias valandas atnaujintą informaciją, iki kibernetinis incidentas suvaldomas ar pasibaigia;

9.2. apie vidutinio poveikio kibernetinių incidentų valdymo būklę – ne vėliau kaip per dvidešimt keturias valandas nuo jų nustatymo ir ne rečiau kaip kas dvidešimt keturias valandas atnaujintą informaciją, iki kibernetinis incidentas suvaldomas ar pasibaigia;

9.3. apie didelio ar vidutinio poveikio kibernetinių incidentų suvaldymą ar pasibaigimą – ne vėliau kaip per keturias valandas nuo jų suvaldymo ar pasibaigimo.

10. Centrui teikiant didelio ar vidutinio poveikio kibernetinio incidento tyrimo ataskaitą nurodoma Tarnybai žinoma informacija:

10.1. kibernetinio incidento grupė (grupės), pogrupis (pogrupiai) ir poveikio kategorija, nustatyta pagal Plano 6 priede pateiktus kriterijus;

10.2. ryšių ir informacinės sistemos, kurioje nustatytas kibernetinis incidentas, tipas (elektroninių ryšių tinklas, ITT, tarnybinė stotis ir panašiai);

10.3. kibernetinio incidento veikimo trukmė;

10.4. kibernetinio incidento šaltinis;

10.5. kibernetinio incidento požymiai;

10.6. kibernetinio incidento veikimo metodas;

10.7. galimos ir (ar) nustatytos kibernetinio incidento pasekmės;

10.8. kibernetinio incidento poveikio pasireiškimo (galimo išplitimo) mastas;

10.9. kibernetinio incidento būsena (aktyvus, pasyvus);

10.10. priemonės, kuriomis kibernetinis incidentas nustatytas;

10.11. galimos ir (ar) taikomos kibernetinio incidento valdymo priemonės;

10.12. tikslus laikas, kada bus teikiama pakartotinė kibernetinio incidento tyrimo ataskaita.

11. Įvertinus, kad savarankiškai ištirti ar suvaldyti kibernetinio incidento per 12 valandų negalės, ne vėliau kaip per dvidešimt keturias valandas nuo šių aplinkybių nustatymo Tarnyba kreipiasi pagalbos į Centrą.

12. Didelio ar vidutinio poveikio kibernetinių incidentų tyrimas baigiamas ir kibernetinis incidentas laikomas suvaldytu ar pasibaigusiu, kai išnyksta kibernetinio incidento poveikis ITT ir (ar) atkuriama įprasta ITT veikla, atitinkanti Plane nustatytus kriterijus.

13. Ne vėliau kaip per aštuonias valandas nuo kibernetinio incidento suvaldymo ar pasibaigimo informuojami ITT paslaugų gavėjai, jeigu kibernetinio incidento poveikis jiems padarė arba gali ateityje padaryti žalos.

14. Centro nurodymu tiriant ir valdant pavojingą kibernetinį incidentą, ne rečiau kaip kas keturias valandas Tarnyba teikia Centrui atnaujintą informaciją apie pavojingo kibernetinio incidento valdymo būklę, kurią sudaro šio priedo 10 punkte nurodyta informacija. Centras, atsižvelgdamas į Tarnybos teikiamą informaciją, turi teisę perimti pavojingo kibernetinio incidento tyrimą ir (ar) valdymo organizavimą.

15. Centrui perėmus tirti ir (ar) organizuoti pavojingo kibernetinio incidento valdymą, Tarnyba:

15.1. nuolat renka, apdoroja informaciją, susijusią su kibernetiniu incidentu, ir ne rečiau kaip kas keturias valandas ją teikia Centrui;

15.2. ne rečiau kaip kas keturias valandas teikia Centrui informaciją apie atliktus kibernetinio incidento tyrimo ir (ar) valdymo veiksmus ir jų rezultatus, kurią sudaro šio priedo 10 punkte nurodyta informacija;

15.3. vykdo Centro nurodymus, susijusius su kibernetinio incidento tyrimu ir (ar) valdymo organizavimu, ir dalyvauja kibernetinio incidento valdymo procese, taikydami kibernetinio saugumo užtikrinimo priemones.

_________________________________

Lietuvos geologijos tarnybos

prie Aplinkos ministerijos informacinių sistemų veiklos tęstinumo valdymo plano

6 priedas

KRITERIJŲ, KURIAIS VADOVAUJANTIS KIBERNETINIAI INCIDENTAI PRISKIRIAMI KIBERNETINIŲ INCIDENTŲ KATEGORIJOMS, SĄRAŠAS

Eil. Nr.

Kibernetinio incidento grupės

Kibernetinio incidento poveikis

Kibernetinio

incidento pogrupiai

Nereikšmingas (N)
(bent vienas iš kriterijų)

Vidutinis (V)
(du ar daugiau

kriterijų)

Didelis (D)
(du ar daugiau

kriterijų)

Pavojingas (P)
(bent vienas iš

kriterijų)

RIS trikdoma < 1 val.

Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius < 100, arba 5 %

Paslauga teikiama, bet trikdoma

Nuostoliai < 250 000 Eur

RIS trikdoma ≥ 1 val., bet < 2 val.

Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius < 1000, arba 25 %

Paslauga trikdoma dalyje šalies teritorijos

Pažeistas informacijos ar RIS konfidencialumas ir (ar) vientisumas

Nuostoliai ≥ 250 000, bet < 500 000 Eur

RIS trikdoma ≥ 2 val.

Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius ≥ 1000, arba 25 %

Paslauga trikdoma visos šalies teritorijoje ir (ar)
≥ 1 ES šalyje

Pažeistas informacijos ar RIS konfidencialumas ir (ar) vientisumas

Nuostoliai ≥ 500 000 Eur

RIS trikdoma ≥ 24 val. ir (ar) viršijamas maksimalus leistinas paslaugos neveikimo laikas

Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius ≥ 100 000, arba 50 %

Sutrikdomas (gali sutrikti) paslaugų veikimas visos šalies teritorijoje ir (ar) ≥ 1 ES šalyje, valstybės funkcijų ir (ar) prisiimtų įsipareigojimų vykdymas, sukeliamas (gali kilti) ekstremalus įvykis, nurodytas Vyriausybės patvirtintame Ekstremaliųjų įvykių kriterijų sąraše

Nepageidaujamų laiškų, klaidinančios ar žeidžiančios informacijos platinimas (angl. abusive content, spam)

1.1. Nepageidaujami laiškai ir (ar) klaidinančios, žeidžiančios informacijos platinimas trikdo ryšių ir informacinės sistemos (toliau – RIS) veiklą ir (ar) teikiamas paslaugas

1.2. Nepageidaujamų laiškų ir (ar) klaidinančios, žeidžiančios informacijos platinimas

Kenkimo programinė įranga (angl. malicious software / code)

Programinė įranga ar jos dalis, kuri padeda neteisėtai prisijungti prie RIS, ją užvaldyti ir kontroliuoti, sutrikdyti ar pakeisti jų veikimą, sunaikinti, sugadinti, ištrinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę ja naudotis ir neteisėtai pasisavinti ar kitaip panaudoti neviešą elektroninę informaciją tokios teisės neturintiems asmenims

2.1. Aptikta moderni kenkimo programinė įranga (angl. advanced persistent threat, APT)

2.2. RIS aktyviai kontroliuojama įsibrovėlių (pavyzdžiui, „galinės durys“ (angl. back door), kompiuterizuotos darbo vietos ar tarnybinės stotys tampa „Botinklo“ (angl. Botnet) infrastruktūros dalimi

2.3. Kenkimo programinė įranga, trikdanti saugumo priemonių darbą

2.4. Kenkimo programinė įranga, kurią aptinka saugumo priemonės per reguliarų patikrinimą ir (ar) kurią saugumo priemonės automatiškai blokuoja

2.5. Kenkimo programinė įranga, platinama naudojant socialinės inžinerijos metodus

Informacijos rinkimas (angl. information gathering)

Žvalgyba ar kita įtartina veikla (angl. scanning, sniffing), manipuliavimas naudotojų emocijomis, psichologija, pastabumo stoka, pasinaudojimas technologiniu neišmanymu (angl. social engineering), siekiant stebėti ir rinkti informaciją, atrasti silpnąsias vietas, atlikti grėsmę keliančius veiksmus, apgavystės, siekiant įtikinti naudotoją atskleisti informaciją (angl. phishing) arba atlikti norimus veiksmus

3.1. RIS paketų / informacijos perėmimas

3.2. RIS klastojimas, siekiant surinkti prisijungimo ar kitą svarbią informaciją, tiksliniai laiškai, kuriuose, pasinaudojant socialinės inžinerijos principais, siekiama išvilioti prisijungimo ir (ar) kitą svarbią informaciją, priversti atlikti norimus veiksmus (pvz., finansines operacijas)

3.3. Vykdoma perimetro priemonių žvalgyba (nebandant įsilaužti)

3.4. Naudojami socialinės inžinerijos metodai, siekiant išvilioti prisijungimo prie RIS ir (ar) kitą svarbią informaciją

Mėginimas įsilaužti (angl. intrusion attempts)

Mėginimas įsilaužti arba sutrikdyti RIS veikimą išnaudojant žinomus pažeidžiamumus (angl. exploiting of known vulnerabilities), bandant parinkti slaptažodžius (angl. login attempts), kitą įsilaužimo būdą (angl. new attack signature)

4.1. Išnaudojamas vienas ar keli nežinomi (angl. zero day) pažeidžiamumai, siekiant tikslingai sutrikdyti konkrečią RIS

4.2. Išnaudojamas vienas ar keli nežinomi (angl. zero day) pažeidžiamumai

4.3. Vidinė RIS žvalgyba ar kita kenkimo veika (prievadų skenavimas, slaptažodžių parinkimas, kenkimo programinės įrangos platinimas ir kita)

4.4. Išnaudojami žinomi ir viešai publikuoti pažeidžiamumai arba atliekami bandymai prisijungti prie RIS parenkant slaptažodžius

Įsilaužimas (angl. intrusions)

Sėkmingas įsilaužimas ir (ar) neteisėtas RIS, taikomosios programinės įrangos ar paslaugos naudojimas (angl. privileged account compromise, unprivileged account compromise, application compromise)

5.1. Veiksmai prieš RIS ar jos saugumo priemones, informacijos pasisavinimas, naikinimas, RIS ar jos dalies pažeidimas, sutrikdantis RIS teikiamų paslaugų nepertraukiamą teikimą, galintis turėti įtakos tvarkomos informacijos ir teikiamų paslaugų patikimumui, iškreipti turinį ir mažinti RIS naudotojų pasitikėjimą jais

5.2. Gaunama neteisėta prieiga prie RIS, taikomosios programinės įrangos ar paslaugos

Paslaugų trikdymas, prieinamumo pažeidimai (angl. availability)

Veiksmai, kuriais trikdoma RIS veikla, teikiamos paslaugos (angl. DoS, DDoS), RIS ar jos dalies pažeidimas, sutrikdantis RIS ir (ar) jos teikiamas paslaugas (angl. sabotage, outage)

6.1. Teikiamų paslaugų nutraukimas arba maksimalaus leistino paslaugos neveikimo laiko viršijimas

6.2. Teikiamų paslaugų nepertraukiamo teikimo trikdymas, galintis turėti įtakos tvarkomos informacijos ir (ar) teikiamų paslaugų prieinamumui

6.3. Aptinkamas paslaugos trikdymas, kuris neturi įtakos paslaugų teikimui

Informacijos turinio saugumo pažeidimai (angl. information content security)

Neteisėta prieiga prie informacijos, neteisėtas informacijos keitimas (angl. unauthorised access to information, unauthorised modification of information)

7.1. Neteisėta prieiga prie informacijos, galinčios turėti įtakos RIS veiklai ir (ar) teikiamoms paslaugoms

7.2. Neteisėta prieiga prie informacijos, neteisėtas informacijos keitimas

Neteisėta veikla, sukčiavimas (angl. fraud)

Vagystė, apgavystė, neteisėtas išteklių (angl. unauthorized use of resources), nelegalios programinės įrangos ar autorių teisių (angl. copyright) naudojimas, tapatybės klastojimo, apgavystės ir kiti panašaus pobūdžio incidentai

8.1. Neteisėta įtaka RIS veiklai ir (ar) teikiamoms paslaugoms

Kita

Incidentai, kurie neatitinka nė vienos iš nurodytų grupių aprašymų

PATVIRTINTA

Lietuvos geologijos tarnybos

prie Aplinkos ministerijos direktoriaus

2023 m. liepos 31 d. įsakymu Nr. 1-348

LIETUVOS GEOLOGIJOS TARNYBOS PRIE APLINKOS MINISTERIJOS INFORMACINiŲ SISTEMŲ NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I. Bendrosios nuostatos

1. Lietuvos geologijos tarnybos prie Aplinkos ministerijos informacinių sistemų (toliau – Tarnybos IS) naudotojų administravimo taisyklių (toliau – Taisyklės) tikslas – nustatyti IS naudotojų ir IS administratorių įgaliojimus, teises ir pareigas tvarkant elektroninę informaciją bei užtikrinti tinkamą įgaliojimų, teisių bei pareigų valdymą.

2. Taisyklės parengtos vadovaujantis teisės aktais kurie nurodyti Tarnybos IS duomenų saugos nuostatuose (toliau – Saugos nuostatai).

3. Taisyklėse vartojamos sąvokos:

3.1. Išorinis IS naudotojas – duomenų teikėjo ar duomenų gavėjo darbuotojas, kuriam nustatyta tvarka suteikiama tiesioginės prieigos prie IS teisė;

3.2. Vidinis IS naudotojas – Lietuvos geologijos tarnybos prie Aplinkos ministerijos valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį (toliau – darbuotojas), tvarkantis Tarnybos IS duomenis arba turintis teisę naudotis IS ištekliais darbuotojo pareigybės aprašyme numatytoms funkcijoms atlikti;

3.3. IS naudotojas – išorinis arba vidinis Tarnybos IS naudotojas;

3.4. kitos Taisyklėse vartojamos sąvokos nurodytos Saugos nuostatuose ir teisės aktuose, kurie reglamentuoja informacinių sistemų duomenų saugą, saugų elektroninės informacijos tvarkymą ir informacinių sistemų veiklos tęstinumo valdymą.

4. Prieigos prie Tarnybos IS elektroninės informacijos teisės valdomos, vadovaujantis šiai principais:

4.1. elektroninės informacijos naudojimo būtinumo principas – elektronine informacija gali naudotis tik tie asmenys ir institucijos, kuriems tai būtina teisės aktuose nustatytoms funkcijoms vykdyti;

4.2. viešai skelbiama informacija prieinama visiems IS naudotojams;

4.3. elektroninės informacijos naudojimo leistinumo principas – IS naudotojams draudžiami visi veiksmai, kurių jiems atlikti neleidžia Taisyklės ir kiti teisės aktai, reglamentuojantys informacinių sistemų duomenų saugą, saugų elektroninės informacijos tvarkymą ir informacinių sistemų veiklos tęstinumo valdymą;

4.4. prieinamumo prie elektroninės informacijos ribojimo principas – teisė naudoti apibrėžtus informacinių sistemų duomenis suteikiama konkrečiam naudotojui, turinčiam unikalų jį identifikuojantį prisijungimo prie atitinkamos informacinės sistemos vardą ir slaptažodį;

4.5. elektroninės informacijos vientisumo principas – elektroninė informacija negali būti atsitiktiniu ar neteisėtu būdu pakeista ar sunaikinta. Šiam principui įgyvendinti informacinių sistemų elektroninė informacija turi būti perduodama saugiu duomenų perdavimo tinklu ir turi būti apsaugota nuo pašalinio įsilaužimo, nuo asmenų, neturinčių prieigos prie Tarnybos IS teisės, bandymų koreguoti elektroninę informaciją;

4.6. duomenų konfidencialumo principas – elektroninė informacija turi būti tvarkoma vadovaujantis Tarnybos IS saugaus elektroninės informacijos tvarkymo taisyklėmis bei kitais teisės aktais ir neturi būti matoma pašaliniams asmenims. Šis principas turi būti įgyvendinamas priskiriant informacinių sistemų naudotojams atitinkamus vaidmenis ir teises;

4.7. duomenų teisingumo principas – informacinių sistemų duomenys turi būti pagrįsti įrodymais, turi būti žinomas jų pirminis šaltinis. Šį principą atitinkantys duomenys laikomi teisingais tol, kol jie nenuginčijami Lietuvos Respublikos įstatymų ir Europos Sąjungos teisės aktų nustatyta tvarka.

5. Taisyklės taikomos visiems Tarnybos IS duomenų saugos įgaliotiniui, Tarnybos IS administratoriui, Tarnybos IS duomenų valdymo įgaliotiniams ir IS naudotojams, kurių prieigos prie Tarnybos IS teisės valdomos remiantis Taisyklių 4 punkte nurodytais principais.

II. iNFORMACINĖS sISTEMOS naudotojų ir IS administratorių įgaliojimai, teisės ir pareigos

6. IS naudotojų įgaliojimai, teisės ir pareigos:

6.1. IS naudotojai gali naudotis tik tomis Tarnybos IS funkcijomis ir Tarnybos IS tvarkomais duomenimis, prie kurių prieigą jiems suteikė IS administratorius;

6.2. IS naudotojai privalo užtikrinti jų naudojamų Tarnybos IS tvarkomų duomenų konfidencialumą bei vientisumą, savo veiksmais netrikdyti duomenų prieinamumo;

6.3. IS naudotojai turi teisę gauti informaciją apie jų naudojamų duomenų apsaugos lygį bei taikomas apsaugos priemones, teikti siūlymus dėl papildomų apsaugos priemonių.

6.4. IS naudotojams negali būti suteikiamos administratoriaus teisės.

6.5. IS naudotojas, įtaręs, kad su elektronine informacija buvo atlikti neteisėti veiksmai, privalo pranešti apie tai administratoriui arba saugos įgaliotiniui.

7. Vidiniai IS naudotojai turi teisę:

7.1. tvarkyti duomenis pagal suteiktą naudotojo vaidmenį;

7.2. gauti visą informaciją, reikalingą darbui su Tarnybos IS;

7.3. teikti siūlymus dėl Tarnybos IS papildomų funkcinių galimybių;

7.4. teikti siūlymus IS saugos įgaliotiniui dėl elektroninės informacijos saugos priemonių taikymo;

7.5. kreiptis į IS administratorių dėl techninės pagalbos vykdant jiems nustatytas IS duomenų tvarkymo funkcijas;

7.6. atlikti kitus veiksmus, numatytus informacijos saugą ir kinernetinį saugumą reglamentuojančiuose teisės aktuose.

8. Išoriniai IS naudotojai turi teisę:

8.1. gauti informaciją ir tvarkyti IS duomenis pagal sutartyje su duomenų teikėju arba duomenų gavėju numatytas sąlygas;

8.2. kreiptis į IS administratorių dėl techninės pagalbos vykdant jiems suteiktas IS duomenų tvarkymo funkcijas.

8.3. Tarnybos IS administratorius yra įgaliotas ir turi teisę:

8.3.1. matyti visų IS naudotojų identifikavimo ir suteiktų teisių duomenis;

8.3.2. matyti IS naudotojų su Tarnybos IS tvarkomais duomenimis atliktus veiksmus;

8.3.3. atlikti užklausas Tarnybos IS pagal pasirinktus paieškos kriterijus;

8.4. IS administratorius privalo:

8.4.1. registruoti naujus IS naudotojus;

8.4.2. tvarkyti esamų IS naudotojų duomenis;

8.4.3. tvarkyti IS vidinius klasifikatorius;

8.4.4. pagal kompetenciją užtikrinti nepertraukiamą Tarnybos IS techninės ir sisteminės programinės įrangos veikimą;

8.4.5. konsultuoti IS naudotojus dėl Tarnybos IS veikimo ir kitais su Tarnybos IS susijusiais klausimais;

8.4.6. vykdyti kitas su Tarnybos IS susijusias funkcijas;

8.5. IS administratoriams turi būti suteikiamos tokios prieigos prie Tarnybos IS teisės, su kuriomis jis negali atlikti IS naudotojų funkcijų.

8.6. IS administratoriaus veiksmai reglamentuoti saugos politiką įgyvendinančiuose teisės aktuose.

III. SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO NAUDOTOJAMS KONTROLĖS TVARKA

9. IS administratorius atsakingas už IS naudotojų registravimą, išregistravimą, prieigos prie Tarnybos IS teisių suteikimą ir panaikinimą.

10. Registruojant naują IS naudotoją, turi būti suvedama tokia informacija, kad būtų galima nustatyti naudotojo vardą, pavardę, darbovietę, naudojimosi laikotarpį, telefoną, el. pašto adresą.

11. Vidinių IS naudotojų registravimas:

11.1. prisijungimo prie Tarnybos IS duomenis ir prieigos teises suteikia ar panaikina IS administratorius pagal prašymą (Taisyklių 1 priedas);

11.2. prieiga prie Tarnybos IS suteikiama susipažinus su Tarnybos IS saugos dokumentais ir pasirašius įsipareigojimą (Taisyklių 2 priedas);

12. Vidiniai IS naudotojai prie Tarnybos IS jungiasi naudodami suteiktą unikalų prisijungimo vardą ir slaptažodį. Pirmą kartą prie IS prisijungę naudotojai privalo pakeisti IS administratoriaus suteiktą slaptažodį.

13. Išoriniams IS naudotojams duomenų tvarkymo teisės nustatomos pagal sutartyje su duomenų teikėju ar duomenų gavėju numatytas sąlygas arba pagal duomenų teikėjui išduotų leidimų tirti žemės gelmes arba leidimų naudoti žemės gelmių išteklius suteikiamas teises vykdyti veiklą:

13.1. jei duomenų teikėjas ar gavėjas yra juridinis asmuo, išoriniam IS naudotojui tvarkymo teises suteikia ir panaikina duomenų teikėjo ar duomenų gavėjo vadovas tam sukurtomis programinės įrangos priemonėmis;

13.2. jei duomenų teikėjas ar gavėjas yra fizinis asmuo, teisės suteikiamos automatiškai tam sukurtomis programinės įrangos priemonėmis.

14. Išoriniai IS naudotojai privalo autentifikuotis naudojant prisijungimą prie Tarnybos IS per elektroninių paslaugų portalą „Elektroninės valdžios vartai“.

15. Vidiniam IS naudotojo slaptažodžiui yra keliami šie reikalavimai:

15.1. slaptažodis turi būti iš ne mažesnės kaip 8 simbolių kombinacijos, sudarytos iš raidžių, skaitmenų ir specialiųjų simbolių;

15.2. slaptažodžiams neturi būti naudojama asmeninio pobūdžio informacija;

15.3. slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius;

15.4. IS naudotojas, pirmą kartą gavęs IS administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie Tarnybos IS, nedelsdamas pakeisti slaptažodį nauju ir jį įsiminti;

15.5. IS naudotojas privalo saugoti slaptažodį ir jo neatskleisti jo tretiesiems asmenims;

15.6. IS naudotojas, įtaręs, kad tretieji asmenys sužinojo slaptažodį, privalo nedelsdamas pranešti IS administratoriui.

15.7. IS naudotojas, gavęs IS administratoriaus išsiųstą laikiną slaptažodį, pakeičia.

15.8. IS naudotojas neturi teisės užrašyto slaptažodžio palikti matomoje vietoje;

15.9. IS naudotojui įvedus neteisingą slaptažodį 5 kartus Tarnybos IS užsirakina ir neleidžia IS naudotojui identifikuotis 15 minučių;

15.10. slaptažodis negali būti saugomas ar perduodamas atvirai ar užšifruojamas nepatikimais algoritmais; IS saugos įgaliotinio sprendimu tik laikinas slaptažodis gali būti perduodamas atvirai, tačiau atskirai nuo prisijungimo vardo, jei IS naudotojas neturi galimybių iššifruoti gauto užšifruoto slaptažodžio.

16. IS administratoriaus slaptažodžiui yra keliami šie reikalavimai:

16.1. IS administratoriaus slaptažodis turi būti iš ne mažesnės kaip 12 simbolių kombinacijos, sudarytos iš didžiųjų bei mažųjų raidžių, skaitmenų ir specialiųjų simbolių;

16.2. IS administratoriaus slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius.

17. IS administratorius, gavęs Tarnybos atsakingo darbuotojo rašytinį nurodymą apriboti IS naudotojo prieigos teises, nedelsiant sustabdo nurodyto IS naudotojo prieigą prie Tarnybos IS.

18. IS naudotojui teisė dirbti su konkrečia elektronine informacija yra ribojama ar sustabdoma, kai IS naudotojas atostogauja, vyksta IS naudotojo veiklos tyrimas ir pan.

19. Kai IS naudotojas perkeliamas į kitas pareigas, jam suteiktos IS naudotojo teisės pakeičiamos atsižvelgiant į jo pareigybės aprašyme nurodytas funkcijas.

20. Tarnybos IS naudotojui teisė naudotis Tarnybos IS stabdoma:

20.1. pasibaigus tarnybos ar darbo santykiams;

20.2. netekus teisės naudotis Tarnybos IS duomenimis;

20.3. nesinaudojant Tarnybos IS daugiau kaip 3 mėnesius naudotojui ir 2 mėnesius administratoriui;

20.4. nustačius neteisėtą IS naudotojo Tarnybos IS duomenų naudojimą.

21. IS naudotojų paskyros periodiškai (ne rečiau kaip kartą per mėnesį) tikrinamos, apie nepatvirtintas paskyras informuojamas IS saugos įgaliotinis.

22. Neaktyvios paskyros šalinamos, pasibaigus audito įrašų saugojimo terminui.

23. Išorinio IS naudotojo prieigos teisės panaikinamos automatiškai pasibaigus duomenų teikimo ar duomenų gavimo sutarties galiojimui arba panaikinus leidimo tirti žemės gelmes arba leidimo naudoti žemės gelmių išteklius galiojimą.

24. Nuotolinio darbo metu nešiojamieji kompiuteriai turi būti naudojami tik su tarnybine veikla susijusiais tikslais. Iš nuotolinių darbo vietų prie Tarnybos IS jungiamasi naudojant VPN technologiją.

IV. Baigiamosios nuostatos

25. IS naudotojai, pažeidę šių taisyklių ir kitų saugos politiką įgyvendinančių dokumentų nuostatas, atsako teisės aktų nustatyta tvarka.

––––––––––––––––––

Lietuvos geologijos tarnybos prie Aplinkos ministerijos naudotojų administravimo taisyklių

1 priedas

(prašymo forma)

_________________________________________________________________

(skyriaus pavadinimas)

__________________________________________________________________

(pareigos, vardas, pavardė)

Informacijos valdymo

skyriaus vedėjui

PRAŠYMAS

DĖL PRISIJUNGIMO PRIE LIETUVOS GEOLOGIJOS TARNYBOS PRIE APLINKOS MINISTERIJOS INFORMACINIŲ SISTEMŲ

(data)

Vilnius

Prašau prisijungimui prie Lietuvos geologijos tarnybos prie Aplinkos ministerijos informacinių sistemų suteikti / pakeisti (nereikalingą išbraukti):

	vartotojo vardą, slaptažodį;
	prieigos teises:

Posistemiai	Elektroninių paslaugų portalas	Prieigos teisės pavadinimas	Komentaras
		NAUDOTOJAS (duomenų išrinkimas, peržiūra ir ataskaitų formavimas)
	X	Angliavandenilių išteklių duomenų tvarkymas
		Angliavandenilių išteklių gavybos duomenų tvarkymas
	X	Archyvinių dokumentų katalogo tvarkymas (Bibliofondo posistemyje)
	X	Bibliofondo katalogo tvarkymas (Bibliofondo posistemyje)
	X	Ekogeologinių tyrimų duomenų tvarkymas
	X	Erdvinių duomenų tvarkymas (GIS-GEOLIS)
	X	Geoterminių duomenų tvarkymas
	X	Geoterminių gręžinių sistemų duomenų tvarkymas ir registravimas
	X	Geofizikos duomenų tvarkymas
		Geologinių procesų ir reiškinių duomenų tvarkymas
		Geotopų duomenų tvarkymas
		Gręžinių duomenų įvedimas
		Gręžinių duomenų redagavimas
		Gręžinių duomenų registravimas ŽGR
	X	Gręžinių numerių išdavimas
	X	Geocheminių tyrimų duomenų tvarkymas
	X	Hidrocheminių tyrimų duomenų tvarkymas
	X	Kasinių duomenų tvarkymas
	X	Kietųjų naudingųjų iškasenų išteklių duomenų tvarkymas
		Kietųjų naudingųjų iškasenų gavybos duomenų tvarkymas
	X	Leidimų duomenų tvarkymas
	X	LGT turto ir inventoriaus duomenų tvarkymas
		Požeminio vandens išteklių gavybos duomenų tvarkymas
	X	Požeminio vandens išteklių duomenų tvarkymas
		Požeminio vandens monitoringo duomenų tvarkymas
	X	Pažeistų žemių teritorijų duomenų tvarkymas
		Sūrymų duomenų tvarkymas
		Taršos židinių duomenų tvarkymas
	X	Techninių projektų duomenų tvarkymas
		Žemės gelmių tyrimų duomenų tvarkymas
		Žemės gelmių registro objektų registravimas, išrašų teikimas
		Duomenų gavimo sutarčių ir užsakymų tvarkymas
		(KITA)

Patvirtinu, kad prašyme nurodyta informacija yra teisinga ir esu atsakingas už vartotojo vardo ir slaptažodžio išsaugojimą ir tinkamą naudojimą.

(pareigos) (parašas) (vardas ir pavardė)

Tiesioginis vadovas:

(pareigos) (parašas) (vardas ir pavardė)

Nr.	IS naudotojų leistinos programinės įrangos pavadinimas	Apibūdinimas















Nr.	IS administratorių leistinos programinės įrangos pavadinimas	Apibūdinimas

Nr.	Informacinio ištekliaus pavadinimas	Kalendoriniai metai (....)
Nr.	Informacinio ištekliaus pavadinimas	I ketvirtis/ atstatymo tipas	II ketvirtis/ atstatymo tipas	III ketvirtis/ atstatymo tipas	IV ketvirtis/ atstatymo tipas
1.
2.
3.
4.

Eil. Nr.	Elektroninės informacijos saugos incidentas
Eil. Nr.	Tarnybos informacinio ištekliaus pavadinimas	Požymio kodas	Įvykio aprašymas	Pradžia (metai, mėnuo, diena, valanda)	Pabaiga (metai, mėnuo, diena, valanda)	Pašalino (vardas, pavardė)	Saugos įgaliotinis (vardas, pavardė, parašas)
1
2
3
4
5
6

Nr.	Informacinio ištekliaus pavadinimas	IS programinė įranga/ Elektroninė informacija	*RPO (val.) – atsarginių kopijų darymo dažnumas
1.	Žemės gelmių registras (toliau – ŽGR)	Elektroninė informacija	3
2.	Valstybinė geologijos informacinė sistema (toliau – GEOLIS)	Elektroninė informacija	3
3.	Valstybinė požeminio vandens informacinė sistema (toliau – POŽVIS)	Elektroninė informacija	3
4.	Duomenų serveris (virtuali mašina su didele disko talpa, saugoma duomenų centre)	Elektroninė informacija	24
5.	Vieša elektroninė informacija	Elektroninė informacija	24
6.	Interneto svetainės informacija	Elektroninė informacija	24
7.	Elektroninė vidaus administravimo informacija	Elektroninė informacija	24
8.	Vaizdo įrašai	Elektroninė informacija	24
9.	ŽGR	Programinė įranga	3
10.	GEOLIS	Programinė įranga	3
11.	POŽVIS	Programinė įranga	3
12.	Virtualizacijos aplinka	Programinė įranga	24
13.	Teams	Programinė įranga	-
14.	Active directory	Programinė įranga	24
15.	Interneto svetainė	Programinė įranga	24
16.	Elektroninis paštas	Programinė įranga	24
17.	Vaizdo stebėjimo sistema	Programinė įranga	24

Eilės Nr.	Informacinis išteklius	Programinė įranga/elektroninė informacija	*RTO (val.)
1.	Žemės gelmių registras (toliau – ŽGR)	Elektroninė informacija	12
2.	Valstybinė geologijos informacinė sistema (toliau – GEOLIS)	Elektroninė informacija	16
3.	Valstybinė požeminio vandens informacinė sistema (toliau – POŽVIS)	Elektroninė informacija	16
4.	Duomenų serveris (virtuali mašina su didele disko talpa, saugoma duomenų centre)	Elektroninė informacija	24
5.	Vieša elektroninė informacija	Elektroninė informacija	48
6.	Interneto svetainės informacija	Elektroninė informacija	16
7.	Elektroninė vidaus administravimo informacija	Elektroninė informacija	24
8.	ŽGR	Programinė įranga	12
9.	GEOLIS	Programinė įranga	16
10.	POŽVIS	Programinė įranga	16
11.	Virtualizacijos aplinka	Programinė įranga	2
12.	Active directory	Programinė įranga	10
13.	Interneto svetainė	Programinė įranga	12
14.	Elektroninis paštas	Programinė įranga	2
15.	Vaizdo stebėjimo sistema	Programinė įranga	48
16.	Pastato saugos paslaugos	Trečiųjų šalių teikiamos paslaugos	8
17.	GEOLIS taikomosios programinės įrangos palaikymo paslaugos	Trečiųjų šalių teikiamos paslaugos	24
18.	ŽGR taikomosios programinės įrangos palaikymo paslaugos	Trečiųjų šalių teikiamos paslaugos	24
19.	POŽVIS taikomosios programinės įrangos palaikymo paslaugos	Trečiųjų šalių teikiamos paslaugos	24
20.	HW esančio serverinėje, tinklo ir biuro įrangos bei KDV priežiūros paslaugos	Trečiųjų šalių teikiamos paslaugos	8
21.	Interneto teikimo paslaugos	Trečiųjų šalių teikiamos paslaugos	12
22.	Mobiliojo ryšio paslaugos	Trečiųjų šalių teikiamos paslaugos	0,5
23.	Elektros teikimo paslaugos	Trečiųjų šalių teikiamos paslaugos	0,5
24.	Periferinė įranga	Techninė įranga	48
25.	Kompiuterinės darbo vietos	Techninė įranga	48
26.	Mobilūs įrenginiai	Techninė įranga	168
27.	Tarnybinės stotys ir duomenų centro inžinerinės sistemos	Techninė įranga	4
28.	Nešiojama įranga	Techninė įranga	720
29.	Išorinis tinklas	Tinklo įranga	4
30.	Lokalus tinklas	Tinklo įranga	4
31.	Komutacinė įrangos patalpa yra serverinėje	Patalpos ir įrengimai	8

Rizikos veiksniai	Tarnybos informacinio ištekliaus pavadinimas	Prevencinės priemonės rizikos veiksmams išvengti
Rizikos veiksniai	Tarnybos informacinio ištekliaus pavadinimas	pavadinimas	vykdymo terminas	atsakingas vykdytojas
1. Oro sąlygos
2. Gaisras
3. Patalpų užgrobimas
4. Patalpai padaryta žala arba patalpos praradimas
5. Energijos tiekimo sutrikimai
6. Vandentiekio ir šildymo sistemos sutrikimai
7. Ryšio sutrikimai
8. Tarnybinės stoties ar komutacinės įrangos sugadinimas, praradimas
9. Programinės įrangos sugadinimas, praradimas
10. Dokumentų praradimas
11. Darbuotojų praradimas