LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTRAS

ĮSAKYMAS

DĖL TOPOGRAFIJOS IR INŽINERINĖS INFRASTRUKTŪROS INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ, VEIKLOS TĘSTINUMO VALDYMO PLANO IR NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ PATVIRTINIMO

2021 m. gegužės 3 d. Nr. 3D-299

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7 ir 8 punktais:

1. T v i r t i n u pridedamus:

1.1. Topografijos ir inžinerinės infrastruktūros informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;

1.2. Topografijos ir inžinerinės infrastruktūros informacinės sistemos veiklos tęstinumo valdymo planą;

1.3. Topografijos ir inžinerinės infrastruktūros informacinės sistemos naudotojų administravimo taisykles.

2. P a v e d u valstybės įmonės Distancinių tyrimų ir geoinformatikos centro „GIS-Centras“ direktoriui ne vėliau kaip per 10 darbo dienų nuo šio įsakymo įsigaliojimo dienos paskirti Topografijos ir inžinerinės infrastruktūros informacinės sistemos kibernetinio saugumo vadovą.

Žemės ūkio ministras Kęstutis Navickas

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2021 m. gegužės 3 d. įsakymu Nr. 3D-299

Topografijos ir inžinerinės infrastruktūros informacinės sistemos SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Topografijos ir inžinerinės infrastruktūros informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės) reglamentuoja tvarką, užtikrinančią saugų Topografijos ir inžinerinės infrastruktūros informacinės sistemos (toliau – TIIIS) techninės, programinės įrangos funkcionavimą, saugų TIIIS elektroninės informacijos tvarkymą.

2. Tvarkymo taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Topografijos ir inžinerinės infrastruktūros informacinės sistemos nuostatais (toliau – TIIIS nuostatai), patvirtintais Lietuvos Respublikos žemės ūkio ministro ir Lietuvos Respublikos aplinkos ministro 2018 m. rugsėjo 6 d. įsakymu Nr. 3D-637/D1-804 „Dėl Topografijos ir inžinerinės infrastruktūros informacinės sistemos nuostatų patvirtinimo“, Topografijos ir inžinerinės infrastruktūros informacinės sistemos saugos nuostatais (toliau – TIIIS saugos nuostatai), patvirtintais Lietuvos Respublikos žemės ūkio ministro 2019 m. gruodžio 18 d. įsakymu Nr. 3D-706 „Dėl Topografijos ir inžinerinės infrastruktūros informacinės sistemos duomenų saugos nuostatų patvirtinimo“.

3. Tvarkymo taisyklėse vartojamos sąvokos:

3.1. NKT administratorius – TIIIS naudotojų kompiuterizuotų darbo vietų ir vietinio kompiuterių tinklo administratorius. Tai yra TIIIS pagrindinio tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, atsakingas už TIIIS naudotojų kompiuterių prijungimą prie tinklo, TIIIS naudotojų darbo vietų sukūrimą ir tvarkymą, kurio pareigybės aprašyme nurodytos šios funkcijos;

3.2. TIIIS naudotojas – TIIIS pagrindinio tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, ar kitas asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis TIIIS elektroninę informaciją;

3.3. TIIIS pagrindinis tvarkytojas – valstybės įmonė Distancinių tyrimų ir geoinformatikos centras „GIS-Centras“, kuris yra ir TIIIS asmens duomenų tvarkytojas;

3.4. TIIIS paslaugų gavėjai – fiziniai asmenys ir juridinių asmenų atstovai, naudojantys TIIIS elektronines paslaugas;

3.5. TIIIS saugos įgaliotinis – TIIIS pagrindinio tvarkytojo vadovo paskirtas darbuotojas, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis TIIIS saugos politikos įgyvendinimą, atsakingas už TIIIS kibernetinio saugumo organizavimą ir užtikrinimą;

3.6. TIIIS serverių administratorius – TIIIS pagrindinio tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, atsakingas už darbo serverių veikimo palaikymą ir priežiūrą, kurio pareigybės aprašyme nurodytos šios funkcijos. Gali būti keli serverių administratoriai, atsakingi už skirtingų darbo serverių veikimo palaikymą ir priežiūrą;

3.7. TIIIS tvarkytojai – savivaldybių administracijos;

3.8. TIIIS valdytoja – Lietuvos Respublikos žemės ūkio ministerija, kuri yra ir TIIIS asmens duomenų valdytoja;

3.9. kitos Tvarkymo taisyklėse vartojamos sąvokos atitinka Tvarkymo taisyklių 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

4. TIIIS tvarkoma informacija yra skirstoma į šias kategorijas:

4.1. TIIIS serverių administratoriaus tvarkoma informacija;

4.2. TIIIS naudotojų tvarkoma informacija.

5. Elektroninės informacijos, priskirtos Tvarkymo taisyklių 4 punkte nurodytoms kategorijoms, sąrašas:

5.1. TIIIS serverių administratoriaus tvarkoma informacija:

5.1.1. TIIIS naudotojų ir TIIIS tvarkytojų teisės;

5.1.2. TIIIS techninės ir programinės įrangos parametrai;

5.1.3. registruoti elektroninės paslaugos, programinės įrangos saugos incidentai;

5.1.4. TIIIS naudotojų, TIIIS tvarkytojų ir TIIIS paslaugų gavėjų veiksmų registravimo duomenys;

5.1.5. rezervinės kopijos;

5.2. TIIIS naudotojų tvarkoma informacija – TIIIS klasifikatorius, TIIIS tvarkytojų ir TIIIS duomenų teikėjų pateikta informacija ir duomenys, kurių reikia TIIIS erdvinių duomenų rinkiniams kaupti.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠymAS

6. Saugiam TIIIS elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, programinės įrangos, duomenų perdavimo tinklai, fizinės, techninės ir organizacinės duomenų ir informacijos saugumo priemonės.

7. TIIIS naudojamų svetainių saugos priemonės:

7.1. svetainės turi atitikti Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo reikalavimus bei Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus;

7.2. svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio TIIIS pagrindinio tvarkytojo kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;

7.3. turi būti pakeistos numatytos prisijungimo prie svetainių TVS ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) ir slaptažodžiai;

7.4. turi būti užtikrinama, kad prie svetainių TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;

7.5. svetainių sauga turi būti vertinama TIIIS rizikos vertinimo ir (arba) informacinių technologijų saugos atitikties vertinimo, atliekamo TIIIS saugos nuostatų II skyriuje nustatyta tvarka, metu.

8. Kompiuterinės įrangos saugos priemonės:

8.1. prieigos prie TIIIS tarnybinių stočių (serverių) kontrolė užtikrinama suteikiant prieigos prie TIIIS tarnybinių stočių teises tik TIIIS serverių administratoriui;

8.2. kompiuterinės įrangos sujungimas klasteriniu režimu (angl. computer cluster), t. y. kompiuterinės įrangos dubliavimas ir šios kompiuterinės įrangos techninės būklės nuolatinė stebėsena;

8.3. TIIIS naudotojų naudojamos techninės kompiuterinės įrangos priežiūra ir tvarkymas, kurį atlieka NKT administratorius;

8.4. TIIIS tvarkytojų naudojamos techninės kompiuterinės įrangos priežiūra ir tvarkymas, kurį atlieka TIIIS tvarkytojai;

8.5. kompiuterinės įrangos gedimų registravimas kompiuterinės įrangos gedimų žurnale.

9. TIIIS sisteminės ir taikomosios programinės įrangos (toliau – TIIIS programinė įranga) saugos priemonės:

9.1. naudojama legali programinė įranga;

9.2. TIIIS programinės įrangos diegimą atlieka tik asmenys, turintys teisę atlikti programinės įrangos diegimą;

9.3. TIIIS programinė įranga prižiūrima laikantis gamintojo rekomendacijų;

9.4. TIIIS naudojamos autorizuotos programinės įrangos sąrašo rengimas ir reguliarus atnaujinimas, už kurį atsakingas TIIIS pagrindinis tvarkytojas;

9.5. neautorizuotos programinės įrangos įdiegimo į TIIIS naudotojų kompiuterius ribojimas bei nuolatinis naudojamos TIIIS programinės įrangos stebėsenos vykdymas, už kurį atsakingas TIIIS pagrindinis tvarkytojas;

9.6. neautorizuotos programinės įrangos įdiegimo į TIIIS tvarkytojų kompiuterius ribojimas bei nuolatinis naudojamos TIIIS programinės įrangos stebėsenos vykdymas, už kurį atsakingi TIIIS tvarkytojai;

9.7. kompiuterinėse TIIIS naudotojų ir TIIIS tvarkytojų darbo vietose naudojama pažeidžiamumų nustatymo programinė įranga ir centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, kurios yra automatiniu būdu atnaujinamos ne rečiau kaip kartą per 10 dienų;

9.8. ne rečiau kaip kartą per mėnesį įvertinami kibernetiniam saugumui užtikrinti naudojamų priemonių programiniai atnaujinimai, klaidų taisymai ir šie atnaujinimai diegiami;

9.9. prisijungimo duomenis, suteikiančius teisę administruoti TIIIS tarnybines stotis, žino tik TIIIS serverių administratorius;

9.10. prieigos teisė dirbti su TIIIS programine įranga suteikiama TIIIS naudotojams Topografijos ir inžinerinės infrastruktūros informacinės sistemos naudotojų administravimo taisyklėse (toliau – TIIIS naudotojų administravimo taisyklės) nustatyta tvarka;

9.11. TIIIS naudotojams jų naudojamų kompiuterių operacinėse sistemose suteikiamos minimalios, tik tiesioginėms pareigoms vykdyti būtinos teisės;

9.12. TIIIS naudotojų tapatybei, TIIIS naudotojų veiksmams, atliekamiems TIIIS, nustatyti taikomos programinės priemonės;

9.13. TIIIS naudotojui 15 minučių neatliekant jokių veiksmų TIIIS, jo sesija pasibaigia; toliau naudotis TIIIS naudotojas gali tik pakartotinai prisijungęs;

9.14. TIIIS serverių administratoriaus taikomos perspėjimo, kad TIIIS tarnybinių stočių įrangoje iki nustatytos pavojingos ribos mažėja laisvos operatyvios atminties ar vietos standžiajame diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja, programinės priemonės.

10. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

10.1. TIIIS naudotojai, TIIIS tvarkytojai ir TIIIS paslaugų gavėjai internetu jungiasi prie užkarda (angl. firewall) apsaugotų tarnybinių stočių, kuriose yra TIIIS sistemos, naudodami unikalius atpažinties prisijungimo duomenis;

10.2. TIIIS duomenų perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų užkarda. Užkardos įvykių žurnalai (angl. Logs) turi būti reguliariai analizuojami, o užkardos saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos;

10.3. viešaisiais ryšių tinklais perduodamos elektroninės informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą, virtualųjį privatųjį tinklą (angl. virtual private network);

10.4. nuotolinis prisijungimas prie TIIIS turi būti vykdomas taikant protokolą, skirtą duomenims šifruoti;

10.5. TIIIS duomenų perdavimo tinkle turi būti įdiegtos ir veikti automatinės įsilaužimo (įsibrovimo) aptikimo ir prevencijos priemonės:

10.5.1. turi būti įdiegtos ir veikti automatizuotos įsibrovimo aptikimo sistemos, kurios stebėtų TIIIS įeinantį ir išeinantį duomenų srautą ir vidinį srautą tarp svarbiausių tinklo paslaugų;

10.5.2. įvykus įtartinai veiklai, ji turi būti užfiksuojama audito įrašuose ir automatizuotai kuriamas pranešimas (esant techninėms galimybėms) TIIIS serverių administratoriui;

10.5.3. sukurtas pranešimas turi būti klasifikuojamas pagal užfiksuotą įvykį;

10.5.4. įsilaužimo atakų pėdsakai (angl. attack signature) turi būti gaunami iš aktualią informaciją teikiančių šaltinių – patikimų saugos programinės įrangos gamintojų. Įsilaužimo atakų pėdsakai turi būti atnaujinami ne vėliau kaip per 24 valandas nuo saugos programinės įrangos gamintojo naujausių įsilaužimo atakų pėdsakų pateikimo valandos arba ne vėliau kaip per 72 valandas nuo naujausių įsilaužimo atakų pėdsakų pateikimo valandos, jeigu TIIIS valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio TIIIS veiklai vertinimas (testavimas);

10.5.5. įsilaužimo aptikimo techninio sprendinio įgyvendinimas, konfigūracija ir kibernetinių incidentų aptikimo algoritmai (taisyklės) (kartu nurodant datas (įgyvendinimo, atnaujinimo ir panašiai), atsakingus asmenis, taikymo periodus ir pan.) turi būti saugomi elektronine forma atskirai nuo TIIIS techninės įrangos;

10.6. papildomos elektroninės informacijos perdavimo belaidžiais tinklais saugumo ir kontrolės užtikrinimo priemonės:

10.6.1. leidžiama naudoti tik su TIIIS saugos įgaliotiniu suderintus belaidžio tinklo įrenginius ir belaidės prieigos taškus, atitinkančius techninius kibernetinio saugumo reikalavimus;

10.6.2. belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, TIIIS pagrindinio tvarkytojo kontroliuojamoje zonoje;

10.6.3. vykdoma belaidžių įrenginių kontrolė, tikrinama, ar TIIIS pagrindinio tvarkytojo eksploatuojami belaidžiai įrenginiai atitinka techninius kibernetinio saugumo reikalavimus;

10.6.4. naudojamos priemonės, kurios automatiškai apribotų neleistinus ar kibernetinio saugumo reikalavimų neatitinkančius belaidžius įrenginius;

10.6.5. naudojamos priemonės, kurios automatiškai apriboja neleidžiamus ar saugumo reikalavimų neatitinkančius belaidžius įrenginius arba apie tokių įrenginių aptikimą informuojamas TIIIS saugos įgaliotinis;

10.6.6. prisijungiant prie belaidžio tinklo, turi būti taikomas naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) arba TLS (angl. Transport Layer Security) protokolas;

10.6.7. draudžiama belaidėje sąsajoje naudoti SNMP (angl. Simple Network Management Protocol) protokolą bei visus kitus nebūtinus valdymo protokolus;

10.6.8. turi būti išjungti nenaudojami TCP (angl. Transmission Control Protocol) ar UDP (angl. User Datagram Protocol) prievadai;

10.7. elektroninis paštas naudojamas TIIIS pagrindinio tvarkytojo patvirtintuose dokumentuose nustatyta tvarka.

11. Patalpų, kuriose yra TIIIS tarnybinės stotys (toliau – patalpos) ir aplinkos saugumo užtikrinimo priemonės:

11.1. turi būti užtikrinamas išorės poveikio šaltinių – transporto priemonių keliamos vibracijos, eismo įvykių, radijo stočių, specialiųjų gamyklų, kitų išorės šaltinių – minimalus poveikis patalpoms ir jose esančiai techninei ir programinei įrangai;

11.2. patalpose įrengta langų ir durų fizinė apsauga: prie langų pritvirtintos žaliuzės ir metalinės grotos, įrengtos rakinamos šarvuotos ir ugniai atsparios durys, veikia durų ir langų signalizacija;

11.3. patalpos turi atitikti gaisrinės saugos reikalavimus, jose turi būti pirminių gaisro gesinimo priemonių, kurios kasmet turi būti patikrinamos;

11.4. patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos stebėjimo pulto;

11.5. patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

11.6. patekti į patalpas gali tik įgalioti asmenys, o kiti asmenys patekti į šias patalpas gali tik lydimi TIIIS pagrindinio tvarkytojo vadovo paskirto įgalioto asmens ir užsiregistravę Patekimo į patalpas žurnale;

11.7. TIIIS tarnybinių stočių techninė įranga įnešama į patalpas ar išnešama iš patalpų tik leidus TIIIS serverių administratoriui;

11.8. TIIIS tarnybinių stočių techninė įranga apsaugoma nuo elektros srovės svyravimų. Naudojami specialūs maitinimo šaltiniai, nenutrūkstamo maitinimo šaltinis su automatine apsauga nuo įtampos svyravimų;

11.9. rezervinio nenutrūkstamo maitinimo šaltinis užtikrina TIIIS tarnybinių stočių įrangos veikimą ne trumpiau nei 20 minučių pagrindinio nenutrūkstamo maitinimo šaltinio neveikimo atveju;

11.10. ryšių kabeliai apsaugoti nuo nesankcionuoto prisijungimo prie jų ir jų pažeidimo;

11.11. įgyvendintos gamintojo nustatytos TIIIS tarnybinių stočių techninės įrangos darbo sąlygos;

11.12. patalpose palaikoma +22 (±5) ºC temperatūra ir 50 (±10) % santykinis oro drėgnumas.

12. TIIIS darbo apskaitos ir kitos elektroninės informacijos saugos priemonės:

12.1. programiniu būdu registruojami TIIIS naudotojų, TIIIS paslaugų gavėjų veiksmai su TIIIS duomenimis;

12.2. TIIIS naudotojams suteikiamos prieigos prie TIIIS teisės atlikti veiksmus tik su jiems priskirtais duomenimis;

12.3. TIIIS tarnybinių stočių įvykių žurnaluose registruojami, ne mažiau kaip vienus metus saugomi ir ne rečiau kaip kartą per savaitę analizuojami duomenys, nurodant įvykio laiką ir TIIIS naudotojo unikalius atpažinties prisijungimo duomenis, apie:

12.3.1. TIIIS tarnybinių stočių ir TIIIS įjungimą bei išjungimą;

12.3.2. sėkmingus ir nesėkmingus bandymus registruotis TIIIS tarnybinėse stotyse;

12.3.3. bandymus prieiti prie TIIIS informacinių išteklių;

12.3.4. kitus svarbius su TIIIS tvarkomos elektroninės informacijos sauga susijusius įvykius.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

13. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo tvarka:

13.1. TIIIS duomenis keisti, atnaujinti, įrašyti ir naikinti gali tik TIIIS naudotojai, turintys teisę tai atlikti;

13.2. TIIIS duomenys įrašomi, atnaujinami, keičiami ir naikinami vadovaujantis TIIIS nuostatais ir TIIIS saugos nuostatais.

14. TIIIS naudotojų, TIIIS paslaugų gavėjų veiksmų registravimo tvarka:

14.1. TIIIS naudotojų, TIIIS tvarkytojų, TIIIS paslaugų gavėjų tapatybė ir veiksmai su TIIIS duomenimis turi būti įrašomi automatiniu būdu TIIIS duomenų bazės veiksmų žurnale, apsaugotame nuo neteisėto jame esančių duomenų ir informacijos panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;

14.2. TIIIS duomenų bazės veiksmų žurnalo duomenys gali būti prieinami tik TIIIS serverių administratoriui.

15. Prarasti, iškraipyti ar sunaikinti TIIIS duomenys turi būti atkuriami iš atsarginių TIIIS duomenų kopijų. Atsarginės TIIIS duomenų kopijos daromos ir saugomos, o TIIIS duomenys atkuriami iš atsarginių TIIIS duomenų kopijų tokia tvarka:

15.1. už atsarginių TIIIS duomenų kopijų darymą, elektroninės informacijos atkūrimą ir atsarginių TIIIS duomenų kopijų apsaugą yra atsakingas TIIIS serverių administratorius, kurio funkcijos aprašytos TIIIS naudotojų administravimo taisyklėse ir kituose teisės aktuose, reglamentuojančiuose TIIIS darbą;

15.2. elektroninė informacija turi būti kopijuojama ir saugoma tokia apimtimi, kad TIIIS duomenų praradimo atveju visišką TIIIS funkcionalumą ir veiklą būtų galima atkurti per 16 valandų;

15.3. TIIIS duomenys atsarginėse kopijose turi būti užkoduoti;

15.4. TIIIS duomenų atsarginių kopijų darymas turi būti fiksuojamas Atsarginių kopijų darymo žurnale;

15.5. TIIIS archyvinės duomenų kopijos į rezervinio kopijavimo biblioteką turi būti daromos vieną kartą per 24 valandas;

15.6. TIIIS duomenų archyvinės kopijos turi būti saugomos užrakintoje nedegioje spintoje, esančioje kitoje patalpoje nei TIIIS tarnybinių stočių įrenginys, kurio elektroninė informacija buvo nukopijuota;

15.7. TIIIS duomenų atkūrimo bandymai turi būti vykdomi vieną kartą per metus;

15.8. už išsamius ir (ar) dalinius TIIIS duomenų atkūrimo bandymus yra atsakingi TIIIS serverių administratorius ir TIIIS saugos įgaliotinis. TIIIS serverių administratorius su TIIIS saugos įgaliotiniu turi parengti ir suderinti TIIIS duomenų atkūrimo bandymų metodus ir užtikrinti atsarginių TIIIS duomenų kopijų saugojimą ir atsarginių TIIIS duomenų kopijų darymo kontrolę.

16. Likviduojant TIIIS, jos elektroninė informacija turi būti saugiai perduodama kitai valstybės informacinei sistemai, sunaikinama arba perduodama valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

17. Duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neteisėti veiksmai) nustatymo tvarka:

17.1. TIIIS serverių administratorius, užtikrindamas TIIIS duomenų vientisumą, privalo naudoti visas įmanomas fizines, programines ir organizacines priemones, skirtas TIIIS ir joje tvarkomiems duomenims apsaugoti nuo neteisėtų veiksmų;

17.2. TIIIS tvarkytojai, TIIIS naudotojai, TIIIS paslaugų gavėjai įtarę, kad su TIIIS duomenimis buvo atlikti ar yra atliekami neteisėti veiksmai, privalo pranešti apie tai TIIIS serverių administratoriui. TIIIS serverių administratorius, atsiradus įtarimams dėl neteisėtų veiksmų su TIIIS duomenimis, pasinaudojęs TIIIS duomenų bazės veiksmų žurnalo įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su TIIIS programine įranga ir (ar) duomenimis;

17.3. TIIIS serverių administratorius, įtaręs, kad su TIIIS duomenimis vykdomi neteisėti veiksmai, privalo apie tai pranešti TIIIS saugos įgaliotiniui;

17.4. TIIIS saugos įgaliotinis, gavęs TIIIS serverių administratoriaus pranešimą apie įvykdytus ar vykdomus neteisėtus veiksmus su TIIIS arba TIIIS tvarkoma elektronine informacija, inicijuoja elektroninės informacijos saugos (kibernetinio) incidento valdymo procedūras, nustatytas Topografijos ir inžinerinės infrastruktūros informacinės sistemos veiklos tęstinumo valdymo plane.

18. TIIIS programinės ir techninės įrangos keitimo ir atnaujinimo tvarka ir TIIIS funkcijų pokyčių (toliau – TIIIS pokyčiai) valdymo tvarka:

18.1. TIIIS programinės ir techninės įrangos keitimo ir atnaujinimo tvarką ar TIIIS pokyčius, atsižvelgdamas į konkretų atvejį, derina TIIIS serverių administratorius arba jie aprašomi paslaugų, susijusių su TIIIS programinės ir techninės įrangos keitimu ir atnaujinimu, teikimo sutartyse;

18.2. prieš atlikdamas TIIIS pokyčius, kurių metu gali iškilti grėsmė TIIIS duomenų ir TIIIS konfidencialumui, vientisumui ar pasiekiamumui, TIIIS serverių administratorius privalo planuojamus TIIIS pokyčius ištestuoti;

18.3. įvertinamas TIIIS pokyčių potencialus poveikis, įskaitant poveikį saugumui;

18.4. numatomos TIIIS veiklos atkūrimo procedūros nesėkmingų TIIIS pokyčių atlikimo atvejais;

18.5. atlikęs vykdomų TIIIS pokyčių testavimą ir raštu gavęs TIIIS valdytojo vadovo arba jo paskirto asmens sutikimą, TIIIS serverių administratorius gali pradėti įgyvendinti TIIIS pokyčius;

18.6. planuodamas TIIIS pokyčius, kurių metu galimi ilgesni kaip 4 val. TIIIS veikimo sutrikimai darbo metu, TIIIS serverių administratorius privalo ne vėliau kaip prieš dvi darbo dienas iki TIIIS pokyčių vykdymo pradžios informuoti TIIIS paslaugų gavėjus ir TIIIS tvarkytojus apie tokių darbų pradžią ir galimus TIIIS veikimo sutrikimus.

19. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (toliau – mobilieji įrenginiai), naudojamų TIIIS naudotojų tarnybinėms ar darbo funkcijos vykdyti, naudojimo tvarka:

19.1. išnešti iš TIIIS valdytojo,TIIIS pagrindinio tvarkytojo ar TIIIS tvarkytojų patalpų mobilieji įrenginiai negali būti palikti be priežiūros viešose vietose; kelionės metu mobilieji įrenginiai turi būti saugomi;

19.2. iš TIIIS valdytojo, TIIIS pagrindinio tvarkytojo ar TIIIS tvarkytojų patalpų išnešamiems mobiliesiems įrenginiams turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimai ir pan.);

19.3. duomenys, perduodami tarp mobiliojo įrenginio ir TIIIS, turi būti šifruojami;

19.4. turi būti užtikrinta kompiuterinių laikmenų apsauga, t. y. esant techninėms galimybėms turi būti šifruojami duomenys tiek mobiliųjų įrenginių laikmenose, tiek išorinėse kompiuterinėse laikmenose. Draudžiama saugoti neužšifruotose mobiliųjų įrenginių laikmenose konfidencialią ir (arba) asmens duomenų informaciją;

19.5. prieš perduodant mobilųjį įrenginį TIIIS naudotojui, jis turi būti patikrinamas antivirusine programine įranga;

19.6. mobiliojo įrenginio grąžinimas ir antivirusinės programos tikrinimo rezultatai turi būti dokumentuojami;

19.7. už mobiliųjų įrenginių ir juose tvarkomų ar saugomų duomenų saugą teisės aktų nustatyta tvarka atsako naudotojas, kuriam šie įrenginiai yra skirti.

IV SKYRIUS

REIKALAVIMAI, KELIAMI TIIIS FUNKCIONUOTI
REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

20. TIIIS valdytojas ar TIIIS pagrindinis tvarkytojas, pirkdamas paslaugas, darbus ar įrangą, susijusius su TIIIS, jos projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi nustatyti, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas užtikrina atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams.

21. Reikalavimai TIIIS tarnybinių stočių patalpų, TIIIS programinės įrangos, TIIIS priežiūrai ir kitoms paslaugoms:

21.1. reikalavimai paslaugų teikėjams ir jų teikiamoms TIIIS priežiūros paslaugoms nustatomi šių paslaugų teikimo sutartyse;

21.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja TIIIS programinę įrangą, naudodamas:

21.2.1. įgyvendintas elektroninės informacijos saugos priemones, apsaugančias nuo neteisėto poveikio sisteminei, programinei įrangai ir patalpoms;

21.2.2. TIIIS testinės duomenų bazės duomenis (TIIIS programinei įrangai modifikuoti);

21.2.3. tik sertifikuotą programinę įrangą;

21.3. TIIIS veiklą palaikančių sistemų (elektros energijos, šildymo, vėdinimo ir oro kondicionavimo bei kitų sistemų) kokybė, atsižvelgiant į šių sistemų veiklai keliamus reikalavimus, turi būti reguliariai tikrinama, siekiant tinkamo paslaugų teikimo ir galimo šių paslaugų teikimo sutrikimo bei avarijos pasekmių sumažinimo.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

22. TIIIS sauga turi būti vertinama TIIIS rizikos vertinimo ir (arba) informacinių technologijų saugos atitikties vertinimo, atliekamo TIIIS saugos nuostatų II skyriuje nustatyta tvarka, metu. Kartu su TIIIS rizikos įvertinimu ir (arba) informacinių technologijų saugos atitikties vertinimu turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos TIIIS kibernetiniam saugumui, vertinimas.

23. TIIIS informacinių technologijų saugos atitikties vertinimo metu turi būti atliekamas kibernetinių atakų imitavimas ir vykdomos kibernetinių incidentų imitavimo pratybos. Imituojant kibernetines atakas rekomenduojama vadovautis tarptautiniu mastu pripažintų organizacijų (pvz., EC-COUNCIL, ISACA, NIST ir kt.) rekomendacijomis ir gerąja praktika. Kibernetinių atakų imitavimas atliekamas šiais etapais:

23.1. planavimo etapas. Parengiamas kibernetinių atakų imitavimo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtys, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (arba) pilkosios dėžės (angl. Grey Box)), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (arba) techniniai įrankiai ir priemonės, nurodomi už plano vykdymą atsakingi asmenys ir jų kontaktai. Kibernetinių atakų imitavimo planas turi būti suderintas su TIIIS valdytojo vadovu ir vykdomas tik gavus jo rašytinį pritarimą;

23.2. žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių serverių ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą ir konfigūracijas, taip pat kita sėkmingai kibernetinei atakai įvykdyti reikalinga informacija. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jų rezultatus;

23.3. kibernetinių atakų imitavimo etapas. Atliekami kibernetinių atakų imitavimo plane numatyti testai. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jų rezultatus;

23.4. ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti išdėstomi informacinių technologijų saugos vertinimo ataskaitoje. Kibernetinių atakų imitavimo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertinimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat informacinių sistemų valdytojos įstaigos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

24. TIIIS naudotojai, TIIIS saugos įgaliotinis, TIIIS serverių administratorius ir kiti asmenys, pažeidę šių Tvarkymo taisyklių ir kitų saugos politiką įgyvendinančių teisės aktų nuostatas, atsako teisės aktų nustatyta tvarka.

________________________

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2021 m. gegužės 3 d. įsakymu Nr. 3D-299

Topografijos ir inžinerinės infrastruktūros informacinės sistemos VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Topografijos ir inžinerinės infrastruktūros informacinės sistemos veiklos tęstinumo valdymo plano (toliau – Valdymo planas) tikslas – nustatyti Topografijos ir inžinerinės infrastruktūros informacinės sistemos (toliau – TIIIS) serverių administratoriaus, TIIIS saugos įgaliotinio ir kitų asmenų veiksmus esant elektroninės informacijos saugos (kibernetiniam) incidentui, kurio metu iškyla pavojus TIIIS duomenims, TIIIS techninės, programinės įrangos funkcionavimui.

2. Valdymo planas parengtas vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, Topografijos ir inžinerinės infrastruktūros informacinės sistemos nuostatais (toliau – TIIIS nuostatai), patvirtintais Lietuvos Respublikos žemės ūkio ministro ir Lietuvos Respublikos aplinkos ministro 2018 m. rugsėjo 6 d.įsakymu Nr. 3D-637/D1-804 „Dėl Topografijos ir inžinerinės infrastruktūros informacinės sistemos nuostatų patvirtinimo“, Topografijos ir inžinerinės infrastruktūros informacinės sistemos saugos nuostatais (toliau – TIIIS saugos nuostatai), patvirtintais Lietuvos Respublikos žemės ūkio ministro 2019 m. gruodžio 18 d. įsakymu Nr. 3D-706 „Dėl Topografijos ir inžinerinės infrastruktūros informacinės sistemos duomenų saugos nuostatų patvirtinimo“.

3. Valdymo plane vartojamos sąvokos:

3.1. Elektroninės informacijos saugos (kibernetinis) incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie TIIIS galimybę, sutrikdyti ar pakeisti TIIIS veiklą, sunaikinti ar pakeisti TIIIS duomenis, panaikinti ar apriboti galimybę naudotis TIIIS duomenimis, sudaryti sąlygas neteisėtai panaudoti ar pasisavinti TIIIS duomenis;

3.2. NKT administratorius – TIIIS naudotojų kompiuterizuotų darbo vietų ir vietinio kompiuterių tinklo administratorius. Tai yra TIIIS pagrindinio tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, atsakingas už TIIIS naudotojų kompiuterių prijungimą prie tinklo, TIIIS naudotojų darbo vietų sukūrimą ir tvarkymą, kurio pareigybės aprašyme nurodytos šios funkcijos;

3.3. TIIIS naudotojas – TIIIS pagrindinio tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, ar kitas asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis TIIIS elektroninę informaciją;

3.4. TIIIS pagrindinis tvarkytojas – valstybės įmonė Distancinių tyrimų ir geoinformatikos centras „GIS-Centras“ (toliau – VĮ „GIS-Centras“);

3.7. TIIIS tvarkytojai – savivaldybių administracijos;

3.8. TIIIS valdytoja – Lietuvos Respublikos žemės ūkio ministerija;

3.9. kitos Valdymo plane vartojamos sąvokos atitinka Valdymo plano 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

4. Valdymo plano reikalavimai privalomi TIIIS valdytojui, TIIIS pagrindiniam tvarkytojui, TIIIS tvarkytojams, TIIIS saugos įgaliotiniui, TIIIS serverių administratoriui, NKT administratoriui, visiems TIIIS naudotojams, naudojantiems TIIIS įrangą tarnybos ir darbo funkcijoms atlikti. Valdymo planas taikomas kiekvienam pastatui, kuriame tvarkomi TIIIS duomenys.

5. Valdymo planas įsigalioja ir turi būti įgyvendinamas įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, kurio metu gali kilti pavojus TIIIS duomenims, TIIIS techninės, programinės įrangos funkcionavimui.

6. TIIIS saugos įgaliotinio, NKT administratoriaus ir TIIIS serverių administratoriaus veiksmai, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, yra nurodyti TIIIS veiklos atkūrimo detaliajame plane (1 priedas).

7. Elektroninės informacijos saugos (kibernetinio) incidento metu patirti nuostoliai padengiami iš valstybės biudžeto ir kitų finansavimo šaltinių.

8. Kriterijai, pagal kuriuos nustatoma, kad TIIIS veikla atkurta:

8.1. TIIIS duomenų išsaugojimas;

8.2. TIIIS duomenų atnaujinimas;

8.3. nuolatinis TIIIS paslaugų teikimas fiziniams, juridiniams asmenims ir kitoms informacinėms sistemoms teisės aktų nustatyta tvarka.

9. Neveikiant TIIIS ar veikiant iš dalies, jos veikla turi būti atkurta per 16 val. Atkuriama pagal Valdymo plane numatytus pirmaeilius veiksmus (3 priedas).

10. TIIIS prieinamumas turi būti užtikrintas ne mažiau kaip 90 procentų laiko darbo metu darbo dienomis.

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

11. TIIIS pagrindinis tvarkytojas, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, atlieka šias funkcijas:

11.1. užtikrina TIIIS elektroninės informacijos saugos (kibernetinio) incidento valdymą ir tyrimą; registruoja įvykusius saugos incidentus ir nedelsdamas į juos reaguoja, organizacinėmis, techninėmis ir programinėmis priemonėmis saugos incidentus valdo, tiria ir šalina;

11.2. informuoja Nacionalinį kibernetinio saugumo centrą apie TIIIS įvykusius kibernetinius saugos incidentus, nurodytus organizaciniuose ir techniniuose kibernetinio saugumo reikalavimuose, ir taikytas kibernetinių saugos incidentų valdymo priemones Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo tvarkos apraše (4 priedas) numatyta tvarka;

11.3. teikia policijai informaciją, reikalingą saugos incidentams, turintiems nusikalstamos veikos požymių, užkardyti ir tirti, policijos generalinio komisaro nustatyta tvarka ir sąlygomis;

11.4. informuoja Valstybinę duomenų apsaugos inspekciją apie įvykusius incidentus, turinčius asmens duomenų saugumo pažeidimus.

12. Elektroninės informacijos saugos (kibernetiniams) incidentams valdyti bei veiklos atkūrimui organizuoti TIIIS pagrindinio tvarkytojo VĮ „GIS-Centras“ vadovo įsakymu sudaroma TIIIS veiklos tęstinumo valdymo grupė (toliau – Valdymo grupė) ir TIIIS veiklos atkūrimo grupė (toliau – Atkūrimo grupė).

13. Valdymo grupės tikslas – pagal TIIIS saugos įgaliotinio gautą tarnybinį pranešimą apie elektroninės informacijos saugos (kibernetinį) incidentą tirti elektroninės informacijos saugos (kibernetinius) incidentus, ieškoti priemonių ir būdų sukeltiems padariniams bei žalai likviduoti, užtikrinti TIIIS veiklos tęstinumą.

14. Valdymo grupės sudėtis:

14.1. VĮ „GIS-Centras“ direktorius (Valdymo grupės vadovas);

14.2. TIIIS serverių administratorius (Valdymo grupės vadovo pavaduotojas);

14.3. TIIIS duomenų valdymo įgaliotinis;

14.4. TIIIS saugos įgaliotinis;

14.5 kiti VĮ „GIS-Centras“ direktoriaus įsakymu paskirti darbuotojai, dirbantys pagal darbo sutartis.

15. Valdymo grupės funkcijos:

15.1. elektroninės informacijos saugos (kibernetinių) incidentų analizė ir sprendimų duomenų veiklos tęstinumo valdymo klausimais priėmimas;

15.2. bendravimas su susijusių informacinių sistemų veiklos tęstinumo valdymo grupėmis;

15.3. bendravimas su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;

15.4. bendravimas ir bendradarbiavimas su TIIIS paslaugų gavėjais;

15.5. finansinių ir kitų išteklių, reikalingų TIIIS veiklai atkurti, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, naudojimo kontrolė;

15.6. TIIIS fizinės duomenų saugos užtikrinimo kontrolė, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui;

15.7. logistikos organizavimas (žmonių, daiktų, įrangos gabenimas ir jo organizavimas);

15.8. TIIIS veiklos atkūrimo priežiūra ir koordinavimas;

15.9. kitos Valdymo grupei pavestos funkcijos.

16. Atkūrimo grupės sudėtis:

16.1. VĮ „GIS-Centras“ sistemų inžinierius (Atkūrimo grupės vadovas);

16.2. VĮ „GIS-Centras“ vyriausiasis GIS inžinierius (Atkūrimo grupės vadovo pavaduotojas);

16.3. kiti VĮ „GIS-Centras“ direktoriaus įsakymu paskirti darbuotojai, dirbantys pagal darbo sutartis.

17. Atkūrimo grupės funkcijos:

17.1. TIIIS tarnybinių stočių veikimo atkūrimo organizavimas;

17.2. kompiuterių tinklo veikimo atkūrimo organizavimas;

17.3. TIIIS duomenų atkūrimo organizavimas;

17.4. TIIIS taikomųjų programų tinkamo veikimo atkūrimo organizavimas;

17.5. kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo darbo organizavimas;

17.6. kitos Atkūrimo grupei pavestos funkcijos.

18. Įvykus elektroninės informacijos saugos (kibernetiniam) incidentui:

18.1. TIIIS naudotojai privalo nedelsdami žodžiu ar raštu pranešti TIIIS serverių administratoriui apie elektroninės informacijos saugos (kibernetinį) incidentą. TIIIS naudotojai neturi teisės imtis kitų su incidentu susijusių veiksmų;

18.2. TIIIS serverių administratorius, gavęs pranešimą apie elektroninės informacijos saugos (kibernetinį) incidentą, nedelsdamas turi imtis veiksmų, reikalingų elektroninės informacijos saugos (kibernetiniam) incidentui stabdyti. Apie elektroninės informacijos saugos (kibernetinį) incidentą TIIIS serverių administratorius, įvertinęs incidento reikšmingumą, raštu pagal kompetenciją informuoja TIIIS saugos įgaliotinį. Įvykis aprašomas, nurodant elektroninės informacijos saugos (kibernetinio) incidento vietą, laiką, pobūdį ir kitą su įvykiu susijusią informaciją;

18.3. TIIIS saugos įgaliotinis nustato prioritetus kibernetiniams incidentams valdyti, tirti ir šalinti bei apie juos informuoja Nacionalinį kibernetinio saugumo centrą Valdymo plano 4 priede nustatyta tvarka;

18.4. TIIIS saugos įgaliotinis apie elektroninės informacijos saugos (kibernetinį) incidentą nedelsdamas informuoja TIIIS pagrindinio tvarkytojo vadovą;

18.5. TIIIS saugos įgaliotinis įrašo informaciją apie elektroninės informacijos saugos (kibernetinį) incidentą į Topografijos ir inžinerinės infrastruktūros informacinės sistemos elektroninės informacijos saugos (kibernetinių) incidentų registravimo žurnalą (2 priedas), vadovauja Topografijos ir inžinerinės infrastruktūros informacinės sistemos veiklos atkūrimo detaliajame plane nurodytiems veiksmams;

18.6. TIIIS serverių administratorius užtikrina, kad būtų atkurtas TIIIS techninės ir programinės įrangos veikimas, kompiuterių tinklo veikla, TIIIS duomenys, TIIIS techninės, sisteminės ir taikomosios programinės įrangos funkcionavimas, ir nedelsdamas apie atliktus veiksmus informuoja TIIIS saugos įgaliotinį;

18.7. TIIIS saugos įgaliotinis kartu su TIIIS serverių administratoriumi organizuoja žalos TIIIS duomenims, TIIIS techninei, programinei įrangai vertinimą, koordinuoja TIIIS veiklai atkurti reikalingos techninės, sisteminės ir taikomosios programinės įrangos įsigijimą;

18.8. elektroninės informacijos saugumo (kibernetiniam) incidentui išplitus už TIIIS valdytojo ir TIIIS pagrindinio tvarkytojo įstaigos ribų, TIIIS serverių administratorius nedelsdamas informuoja su elektroninės informacijos saugos (kibernetiniu) incidentu susijusius paslaugų teikėjus ir (ar) kitas institucijas, atsižvelgia į jų rekomendacijas.

19. Valdymo grupė ir Atkūrimo grupė tarpusavyje bendrauja el. paštu ir (ar) telefonu. Ne rečiau negu kartą per metus organizuojamas šių grupių susitikimas, kuriame aptariama esama situacija ir suderinami galimi jos gerinimo būdai.

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

20. TIIIS serverių administratorius parengia ir saugo:

20.1. dokumentą, kuriame nurodyti informacinių technologijų įrangos parametrai;

20.2. dokumentą, kuriame nurodyta minimalaus funkcionalumo informacinių technologijų įranga, tinkama TIIIS pagrindinio tvarkytojo poreikius atitinkančiai informacinės sistemos veiklai užtikrinti, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui;

20.3. dokumentą, kuriame nurodytos kompiuterių loginio sujungimo schemos.

21. TIIIS serverių administratorius saugo programinės įrangos laikmenas ir laikmenas su atsarginėmis TIIIS duomenų kopijomis užrakintoje nedegioje spintoje, kitoje patalpoje, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota.

22. TIIIS saugos įgaliotinis ir TIIIS serverių administratorius parengia, patvirtina ir saugo Valdymo grupės ir Atkūrimo grupės narių sąrašą su kontaktiniais duomenimis, leidžiančiais pasiekti šiuos asmenis bet kuriuo metu. Valdymo grupės ir Atkūrimo grupės narių sąrašas turi būti atnaujinamas, pasikeitus jame nurodytai informacijai.

23. TIIIS saugos įgaliotinis ne rečiau kaip kartą per mėnesį:

23.1. atlieka užfiksuotų kibernetinių incidentų analizę ir esant reikalui organizuoja pastebėtų neatitikčių saugumo reikalavimams šalinimą;

23.2. atlieka kibernetinių incidentų valdymo patirties vertinimą;

23.3. atlieka užkardų (angl. firewall) užfiksuotų įvykių analizę, organizuoja pastebėtų neatitikčių saugumo reikalavimams šalinimą;

23.4. įvertina kibernetiniam saugumui užtikrinti naudojamų priemonių programinius atnaujinimus, klaidų taisymus ir organizuoja atnaujinimų diegimą.

IV SKYRIUS

Valdymo PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

24. Valdymo plano veiksmingumas turi būti išbandomas kartą per dvejus metus. Valdymo plano veiksmingumo išbandymo metu imituojamas elektroninės informacijos saugos (kibernetinio) incidentas. Jo metu už elektroninės informacijos saugos (kibernetinio) incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus. Iš atsarginių TIIIS duomenų kopijų atkuriami TIIIS duomenys.

25. Kibernetinių incidentų imitavimo pratybos turi būti organizuojamos ne rečiau kaip kartą per metus. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, tobulinamas Valdymo planas.

26. Pagal bandymų rezultatus TIIIS saugos įgaliotinis ir TIIS serverių administratorius parengia Topografijos ir inžinerinės infrastruktūros informacinės sistemos įvertinimo ataskaitą (toliau – Ataskaita), kurioje yra apibendrinami atliktų bandymų rezultatai, apibrėžiami pastebėti trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina VĮ „GIS-Centras“ direktorius.

27. TIIIS saugos įgaliotinis nuolat kontroliuoja Ataskaitoje nurodytų trūkumų šalinimo priemonių įgyvendinimą.

28. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami laikantis šių principų:

28.1. operatyvumo – kiek galima greičiau išspręsti ir pašalinti trūkumus. Atliekant trūkumų šalinimo veiklą, turi būti atsižvelgiama į trūkumų sudėtingumą ir apimtį. TIIIS saugos įgaliotinis nusprendžia ir nustato, per kiek laiko turi būti atliktas konkretus trūkumų šalinimo veiksmas ir pašalinti trūkumai;

28.2. veiksmingumo – trūkumų šalinimas turi padaryti esminę įtaką TIIIS veiklai. Trūkumų šalinimas laikomas veiksmingu, jei jo metu pavyko sumažinti konkretaus trūkumo neigiamą poveikį;

28.3. ekonomiškumo – siekis pašalinti visus trūkumus taupiai naudojant turimus išteklius.

__________________________

Topografijos ir inžinerinės infrastruktūros informacinės sistemos veiklos tęstinumo valdymo plano 1 priedas

Topografijos ir inžinerinės infrastruktūros informacinės sistemos VEIKLOS ATKŪRIMO DETALUSIS PLANAS

Pavojaus rūšys	Pirmaeiliai veiksmai	Topografijos ir inžinerinės infrastruktūros informacinės sistemos veiklos atkūrimo veiksmai	Už Topografijos ir inžinerinės infrastruktūros informacinės sistemos veiklos atkūrimą atsakingi asmenys
1. Oro sąlygos (smarkus lietus, labai smarki audra, viesulas, škvalas, kruša, žemės drebėjimas, smarkus speigas)	1.1. Elektroninės informacijos saugos incidento pasekmių įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	1.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	TIIIS saugos įgaliotinis, TIIIS serverių administratorius
		1.1.2. Pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas	TIIIS saugos įgaliotinis
		1.1.3. Priemonių plano įgyvendinimas	TIIIS serverių administratorius
	1.2. Darbuotojų elektroninės informacijos saugos incidento pasekmėms likviduoti paskyrimas	1.2.1. Žalą likviduojančių darbuotojų instruktavimas	TIIIS saugos įgaliotinis
		1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas	TIIIS serverių administratorius
	1.3. Pavojaus vietų ženklinimas	1.3.1. Darbuotojų informavimas 1.3.2. Žalą likviduojančių darbuotojų instruktavimas	TIIIS saugos įgaliotinis
	1.3. Pavojaus vietų ženklinimas		TIIIS saugos įgaliotinis
2. Gaisras	2.1. Priešgaisrinės gelbėjimo tarnybos informavimas	2.1.1. Įvykio vietos lokalizavimas, jei gauta rekomendacija	TIIIS saugos įgaliotinis
	2.1. Priešgaisrinės gelbėjimo tarnybos informavimas	2.1.2. Galimybių evakuoti darbuotojus paieška, jei yra rekomenduojama tai padaryti	TIIIS saugos įgaliotinis
	2.2. Darbuotojų evakavimas (pagal priešgaisrinės gelbėjimo tarnybos rekomendaciją)	2.2.1. Darbuotojų informavimas apie evakavimą, jei yra rekomendacija	TIIIS saugos įgaliotinis
	2.3. Komunikacijų, sukeliančių pavojų, išjungimas, gaisro gesinimas ankstyvoje stadijoje, jei yra rekomendacija dirbti pavojaus zonoje	2.3.1. Priešgaisrinės gelbėjimo tarnybos nurodymų vykdymas	TIIIS saugos įgaliotinis, TIIIS serverių administratorius
3. Patalpų užgrobimas	3.1. Teisėsaugos institucijų informavimas	3.1.1. Įvykio vietos lokalizavimas, jei yra teisėsaugos institucijos rekomendacijos	TIIIS saugos įgaliotinis
	3.1. Teisėsaugos institucijų informavimas	3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei gauta rekomendacija	TIIIS saugos įgaliotinis
	3.2. Darbuotojų evakavimas, jei yra teisėsaugos institucijos rekomendacija	3.2.1. Darbuotojų informavimas apie evakavimą	TIIIS saugos įgaliotinis
	3.3. Patalpų užrakinimas, jei yra galimybė	3.3.1. Teisėsaugos institucijos nurodymų vykdymas	TIIIS saugos įgaliotinis
	3.4. Teisėsaugos institucijos nurodymų vykdymas	3.4.1. Darbuotojų informavimas apie nurodymų vykdymą	TIIIS saugos įgaliotinis
	3.5. Veiksmai išlaisvinus užgrobtas patalpas	3.5.1. Padarytos žalos įvertinimas	TIIIS serverių administratorius, TIIIS saugos įgaliotinis
		3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas	TIIIS serverių administratorius, TIIIS saugos įgaliotinis
		3.5.3. Žalą likviduojančių darbuotojų instruktavimas	TIIIS serverių administratorius
4. Patalpai padaryta žala arba patalpos praradimas	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.1. Suinteresuotos tarnybos rekomendacijų dėl galimybės dirbti pavojaus zonoje gavimas	TIIIS saugos įgaliotinis
	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.2. Darbuotojų informavimas apie rekomendacijas	TIIIS saugos įgaliotinis
	4.2. TIIIS įrangos perkėlimas į atsargines patalpas	4.2.1. Darbuotojų informavimas apie darbą patalpose	TIIIS saugos įgaliotinis
5. Energijos tiekimo sutrikimai	5.1. Energijos tiekimo sutrikimo priežasčių nustatymas, tarnybinių stočių, kitos techninės įrangos energijos maitinimo išjungimas	5.1.1. Sutrikimų šalinimo organizavimas	TIIIS serverių administratorius, TIIIS saugos įgaliotinis, NKT administratorius
	5.2. Kreipimasis į energijos tiekimo įmonę dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių	5.2.1. Rekomendacijų iš energijos tiekimo įmonės gavimas	TIIIS serverių administratorius, TIIIS saugos įgaliotinis, NKT administratorius
	5.3. Sutrikimų pašalinimas	5.3.1. Pavojaus sustabdymas, padarytos žalos likvidavimo priemonių plano sudarymas ir įgyvendinimas	TIIIS serverių administratorius, TIIIS saugos įgaliotinis, NKT administratorius
		5.3.2. Padarytos žalos įvertinimas	TIIIS serverių administratorius, TIIIS saugos įgaliotinis, NKT administratorius
		5.3.3. Žalą likviduojančių darbuotojų instruktavimas	TIIIS serverių administratorius, TIIIS saugos įgaliotinis, NKT administratorius
6. Vandentiekio ir šildymo sutrikimai	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.1. Vandentiekio ar šildymo paslaugų teikėjų paklausimas dėl leidimo dirbti ir rekomendacijų gavimas	TIIIS serverių administratorius, TIIIS saugos įgaliotinis
	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.2. Darbuotojų informavimas apie rekomendacijas	TIIIS serverių administratorius, TIIIS saugos įgaliotinis
	6.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas	6.2.1. Padarytos žalos įvertinimas, sutrikimo sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas	TIIIS serverių administratorius, TIIIS saugos įgaliotinis
		6.2.2. Žalą likviduojančių darbuotojų instruktavimas	TIIIS saugos įgaliotinis
7. Ryšio sutrikimai	7.1. Ryšio sutrikimo priežasčių nustatymas	7.1.1. Kreipimasis į ryšio paslaugos teikėją	TIIIS serverių administratorius, TIIIS saugos įgaliotinis, NKT administratorius
	7.2. Ryšio paslaugų teikėjo informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės	7.2.1. Priemonių, apsaugančių nuo ryšio sutrikimų pasikartojimo, nustatymas ir įgyvendinimas	TIIIS serverių administratorius, TIIIS saugos įgaliotinis, NKT administratorius
	7.3. Sutrikimo pašalinimas	7.3.1. Kreipimasis į kitą ryšio paslaugos teikėją, jei sutrikimas nepašalintas	TIIIS serverių administratorius, TIIIS saugos įgaliotinis, NKT administratorius
8. Tarnybinės stoties, komutacinės įrangos sugadinimas, praradimas	8.1. Pranešti teisėsaugos institucijai, draudimo bendrovei apie įvykį	8.1.1. Darbuotojų elektroninės informacijos saugos incidento pasekmėms likviduoti paskyrimas, instruktavimas, jų veiksmų nustatymas	TIIIS serverių administratorius, TIIIS saugos įgaliotinis, NKT administratorius
	8.2. Elektroninės informacijos saugos incidento pasekmių šalinimas	8.2.1. Kreipimasis į įrangos tiekėjus dėl įrangos remonto ar naujos įrangos įsigijimo	TIIIS serverių administratorius, NKT administratorius
		8.2.2. Įsigytos įrangos diegimas	TIIIS serverių administratorius,TIIIS saugos įgaliotinis
9. Programinės įrangos sugadinimas, praradimas	9.1. Elektroninės informacijos saugos (kibernetinių) incidento pasekmių įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	9.1.1. Elektroninės informacijos saugos (kibernetinio) incidento metu padarytos žalos įvertinimas	TIIIS serverių administratorius, TIIIS saugos įgaliotinis, NKT administratorius
		9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas	TIIIS serverių administratorius, TIIIS saugos įgaliotinis
	9.2. Darbuotojų elektroninės informacijos saugos (kibernetinio) incidento pasekmėms likviduoti paskyrimas, žalą likviduojančių darbuotojų instruktavimas, jų veiksmų koordinavimas	9.2.1. Žalą likviduojančių darbuotojų instruktavimas	TIIIS serverių administratorius, TIIIS saugos įgaliotinis
2.		9.2.2. Kreipimasis į teisėsaugos institucijas dėl programinės įrangos sugadinimo ar praradimo ir jų nurodymų vykdymas	TIIIS serverių administratorius, TIIIS saugos įgaliotinis
10. Duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas	10.1. Elektroninės informacijos saugos (kibernetinio) incidento pasekmių įvertinimas	10.1.1. Prarastų, iškraipytų ar sunaikintų TIIIS duomenų atkūrimas	TIIIS serverių administratorius
		10.1.2. Prarastų, iškraipytų ar sunaikintų TIIIS duomenų atkūrimo kontrolė	TIIIS duomenų valdymo įgaliotinis
11. Darbuotojų praradimas	11.1. Elektroninės informacijos saugos incidento pasekmių įvertinimas	11.1.1. Trūkstamų darbuotojų paieška ir priėmimas į darbą	VĮ Distancinių tyrimų ir geoinformatikos centro „GIS-Centras“ direktorius

__________________________

Topografijos ir inžinerinės infrastruktūros informacinės sistemos veiklos tęstinumo valdymo plano 2 priedas

(Topografijos ir inžinerinės infrastruktūros informacinės sistemos elektroninės informacijos saugos (kibernetinių) incidentų registravimo žurnalo forma)

Topografijos ir inžinerinės infrastruktūros informacinės sistemos ELEKTRONINĖS INFORMACIJOS SAUGOS (kibernetinių) INCIDENTŲ REGISTRAVIMO ŽURNALAS

Pildymo pradžia 20___m.___________________d.

Eil. Nr.	Elektroninės informacijos saugos incidentas
Eil. Nr.	Įstaigos pavadinimas	Pavojaus rūšies numeris	Įvykio aprašymas	Pradžia (metai, mėnuo, diena, valanda)	Pabaiga (metai, mėnuo, diena, valanda)	Incidentą pašalino (vardas, pavardė ir pareigos)	Topografijos ir inžinerinės infrastruktūros informacinės sistemos saugos įgaliotinis (vardas, pavardė, parašas)
1.
2.
3.
4.
5.

Elektroninės informacijos saugos incidento pavojaus rūšis:

1 - oro sąlygos; 2 - gaisras; 3 - patalpų užgrobimas; 4 - patalpai padaryta žala arba patalpos praradimas; 5 - energijos tiekimo sutrikimai; 6 - vandentiekio ir šildymo sistemos sutrikimai; 7 - ryšio sutrikimai; 8 - tarnybinės stoties, komutacinės įrangos sugadinimas, praradimas; 9 - programinės įrangos sugadinimas, praradimas; 10 - duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas; 11 - darbuotojų praradimas.

__________________________

Topografijos ir inžinerinės infrastruktūros informacinės sistemos veiklos tęstinumo valdymo plano 3 priedas

Topografijos ir inžinerinės infrastruktūros informacinės sistemos ATKŪRIMO PIRMAEILIŲ VEIKSMŲ IR ATSAKINGŲ ASMENŲ PAREIGYBIŲ SĄRAŠAS

Eil. Nr. (pirmaeilis veiksmas)	Veikla	Atsakingi už Topografijos ir inžinerinės infrastruktūros informacinės sistemos (toliau – TIIIS) atkūrimą
1.	Kompiuterių tinklo veikimo atkūrimo organizavimas	TIIIS serverių administratorius Atkūrimo grupė
2.	Tarnybinių stočių veikimo atkūrimo organizavimas	TIIIS serverių administratorius Atkūrimo grupė
3.	Kompiuterizuotų darbo vietų veikimo atkūrimo organizavimas	TIIIS serverių administratorius Atkūrimo grupė
4.	TIIIS duomenų bazės valdymo sistemos funkcijų atkūrimas	TIIIS serverių administratorius
5.	TIIIS administravimo posistemio funkcijų atkūrimas	TIIIS serverių administratorius
6.	TIIIS turinio valdymo posistemio funkcijų atkūrimas	TIIIS serverių administratorius
7.	TIIIS metaduomenų posistemio funkcijų atkūrimas	TIIIS serverių administratorius
8.	TIIIS duomenų bazės informacijos atkūrimas	TIIIS serverių administratorius

__________________________

Topografijos ir inžinerinės infrastruktūros informacinės sistemos veiklos tęstinumo valdymo plano 4 priedas

KIBERNETINIŲ INCIDENTŲ VALDYMO IR NACIONALINIO KIBERNETINIO SAUGUMO CENTRO INFORMAVIMO TVARKOS APRAŠAS

1. Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo tvarkos aprašas reglamentuoja kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo apie TIIIS įvykusius kibernetinius incidentus tvarką.

2. Nacionaliniam kibernetinio saugumo centrui (toliau – Centras) pranešama apie TIIIS įvykusius:

2.1. didelio poveikio kibernetinius incidentus – nedelsiant, bet ne vėliau kaip per vieną valandą nuo jų nustatymo;

2.2. vidutinio poveikio kibernetinius incidentus – ne vėliau kaip per keturias valandas nuo jų nustatymo;

2.3. nereikšmingo poveikio kibernetinius incidentus – periodiškai kiekvieno kalendorinio mėnesio pirmą darbo dieną teikiant apibendrintą informaciją apie kiekvienos grupės incidentų, įvykusių nuo paskutinio pranešimo teikimo dienos, skaičių.

3. Pranešime apie didelio ar vidutinio poveikio kibernetinius incidentus nurodoma:

3.1. kibernetinio incidento grupė (grupės), pogrupis (pogrupiai) ir poveikio kategorija, nustatyta pagal Valdymo plano 5 priede pateiktus kriterijus;

3.2. trumpas kibernetinio incidento apibūdinimas;

3.3. tikslus laikas, kada kibernetinis incidentas įvyko ir buvo nustatytas;

3.4. kibernetinio incidento šalinimo tvarka (nurodoma, ar tai prioritetas, ar ne);

3.5. tikslus laikas, kada bus teikiama kibernetinio incidento tyrimo ataskaita.

4. TIIIS pagrindinis tvarkytojas incidentų tyrimą atlieka vadovaudamasis savo patvirtintais kibernetinio saugumo teisės aktais tiek, kiek to nereglamentuoja Nacionalinis kibernetinių incidentų valdymo planas, ir imasi visų įmanomų priemonių, būtinų kibernetiniam incidentui suvaldyti ir įprastai ryšių ir informacinių sistemų veiklai atkurti.

5. Centrui pateikiama kibernetinio incidento tyrimo ataskaita apie:

5.1 didelio poveikio kibernetinių incidentų valdymo būklę – ne vėliau kaip per keturias valandas nuo jų nustatymo ir ne rečiau kaip kas keturias valandas atnaujinta informacija, iki kibernetinis incidentas suvaldomas ar pasibaigia;

5.2. vidutinio poveikio kibernetinių incidentų valdymo būklę – ne vėliau kaip per dvidešimt keturias valandas nuo jų nustatymo ir ne rečiau kaip kas dvidešimt keturias valandas atnaujinta informacija, iki kibernetinis incidentas suvaldomas ar pasibaigia;

5.3. didelio ar vidutinio poveikio kibernetinių incidentų suvaldymą ar pasibaigimą – ne vėliau kaip per keturias valandas nuo jų suvaldymo ar pasibaigimo.

6. Didelio ar vidutinio poveikio kibernetinio incidento tyrimo ataskaitojenurodoma žinoma informacija:

6.1. kibernetinio incidento grupė (grupės), pogrupis (pogrupiai) ir poveikio kategorija, nustatyta pagal Valdymo plano 5 priede pateiktus kriterijus;

6.2. TIIIS komponento, kuriame nustatytas kibernetinis incidentas, tipas (elektroninių ryšių tinklas, informacinė sistema, registras, pramoninių procesų valdymo sistema, tarnybinė stotis ir panašiai);

6.3. kibernetinio incidento veikimo trukmė;

6.4. kibernetinio incidento šaltinis;

6.5. kibernetinio incidento požymiai;

6.6. kibernetinio incidento veikimo metodas;

6.7. galimos ir (ar) nustatytos kibernetinio incidento pasekmės;

6.8. kibernetinio incidento poveikio pasireiškimo (galimo išplitimo) mastas;

6.9. kibernetinio incidento būsena (aktyvus, pasyvus);

6.10. priemonės, kuriomis kibernetinis incidentas nustatytas;

6.11. galimos ir (ar) taikomos kibernetinio incidento valdymo priemonės;

6.12. tikslus laikas, kada bus teikiama pakartotinė kibernetinio incidento tyrimo ataskaita remiantis šio priedo 5 punktu.

7. Didelio ar vidutinio poveikio kibernetinių incidentų tyrimas baigiamas ir kibernetinis incidentas laikomas suvaldytu ar pasibaigusiu, kai išnyksta kibernetinio incidento poveikis ryšių ir TIIIS informacinei sistemai ir (ar) atkuriama įprasta ryšių ir TIIIS informacinės sistemos veikla.

8. Ne vėliau kaip per aštuonias valandas nuo kibernetinio incidento suvaldymo ar pasibaigimo TIIIS pagrindinis tvarkytojas informuoja ryšių ir informacinės sistemos teikiamų paslaugų gavėjus, jeigu kibernetinio incidento poveikis padarė arba gali ateityje padaryti žalos TIIIS informacinės sistemos teikiamų paslaugų gavėjui.

9. Apie kibernetinius incidentus Centras informuojamas naudojantis Kibernetinio saugumo informaciniu tinklu, o nesant galimybės – Centro nurodytais kontaktais (tel. +370 706 82 250,
el. p. cert@nksc.lt).

10. Kriterijai, kuriais vadovaujantis kibernetiniai incidentai priskiriami konkrečiai kategorijai, nustatyti Valdymo plano 5 priede.

__________________________

Topografijos ir inžinerinės infrastruktūros informacinės sistemos veiklos tęstinumo valdymo plano 5 priedas

KIBERNETINIŲ INCIDENTŲ KATEGORIJŲ SĄRAŠAS

Eil. Nr.	Kibernetinio incidento grupės	Kibernetinio incidento poveikis Kibernetinio incidento pogrupiai	Nereikšmingas (N) (bent vienas iš kriterijų)				Vidutinis (V) (du ar daugiau kriterijų)					Didelis (D) (du ar daugiau kriterijų)					Pavojingas (P) (bent vienas iš kriterijų)
Eil. Nr.	Kibernetinio incidento grupės		TIIIS trikdoma < 1 val.	Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius < 100, arba 5 %	Paslauga teikiama, bet trikdoma	Nuostoliai < 250 000 Eur	TIIIS trikdoma ≥ 1 val., bet < 2 val.	Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius < 1000, arba 25 %	Paslauga trikdoma dalyje šalies teritorijos	Pažeistas informacijos ar TIIIS konfidencialumas ir (ar) vientisumas	Nuostoliai ≥ 250 000, bet < 500 000 Eur	TIIIS trikdoma ≥ 2 val.	Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius ≥ 1000, arba 25 %	Paslauga trikdoma visos šalies teritorijoje ir (ar) ≥ 1 ES šalyje	Pažeistas informacijos ar TIIIS konfidencialumas ir (ar) vientisumas	Nuostoliai ≥ 500 000 Eur	TIIIS trikdoma ≥ 24 val. ir (ar) viršijamas maksimalus leistinas paslaugos neveikimo laikas	Paveiktų paslaugos gavėjų ar kompiuterizuotų darbo vietų skaičius ≥ 100 000, arba 50 %	Sutrikdomas (gali sutrikti) paslaugų veikimas visos šalies teritorijoje ir (ar) ≥ 1 ES šalyje, valstybės funkcijų ir (ar) prisiimtų įsipareigojimų vykdymas, sukeliamas (gali kilti) ekstremalus įvykis, nurodytas Vyriausybės patvirtintame Ekstremaliųjų įvykių kriterijų sąraše
1.	Nepageidaujamų laiškų, klaidinančios ar žeidžiančios informacijos platinimas (angl. abusive content, spam)	1.1. Nepageidaujami laiškai ir (ar) klaidinančios, žeidžiančios informacijos platinimas trikdo ryšių ir TIIIS informacinės sistemos (toliau – TIIIS) veiklą ir (ar) teikiamas paslaugas	N				V					D					P
1.		1.2. Nepageidaujamų laiškų ir (ar) klaidinančios, žeidžiančios informacijos platinimas	N
2.	Kenkimo programinė įranga (angl. malicious software / code) Programinė įranga ar jos dalis, kuri padeda neteisėtai prisijungti prie TIIIS, ją užvaldyti ir kontroliuoti, sutrikdyti ar pakeisti jų veikimą, sunaikinti, sugadinti, ištrinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę ja naudotis ir neteisėtai pasisavinti ar kitaip panaudoti neviešą elektroninę informaciją tokios teisės neturintiems asmenims	2.1. Aptikta moderni kenkimo programinė įranga (angl. advanced persistent threat, APT)					V					D					P
		2.2. TIIIS aktyviai kontroliuojama įsibrovėlių (pavyzdžiui, „galinės durys“ (angl. back door), kompiuterizuotos darbo vietos ar tarnybinės stotys tampa „Botinklo“ (angl. Botnet) infrastruktūros dalimi					V					D					P
		2.3. Kenkimo programinė įranga, trikdanti saugumo priemonių darbą					V					D					P
		2.4. Kenkimo programinė įranga, kurią aptinka saugumo priemonės per reguliarų patikrinimą ir (ar) kurią saugumo priemonės automatiškai blokuoja	N				V
		2.5. Kenkimo programinė įranga, platinama naudojant socialinės inžinerijos metodus	N				V					D					P
3.	Informacijos rinkimas (angl. information gathering) Žvalgyba ar kita įtartina veikla (angl. scanning, sniffing), manipuliavimas naudotojų emocijomis, psichologija, pastabumo stoka, pasinaudojimas technologiniu neišmanymu (angl. social engineering), siekiant stebėti ir rinkti informaciją, atrasti silpnąsias vietas, atlikti grėsmę keliančius veiksmus, apgavystės, siekiant įtikinti naudotoją atskleisti informaciją (angl. phishing) arba atlikti norimus veiksmus	3.1. TIIIS paketų / informacijos perėmimas					V					D					P
		3.2. TIIIS klastojimas, siekiant surinkti priijungimo ar kitą svarbią informaciją, tiksliniai laiškai, kuriuose, pasinaudojant socialinės inžinerijos principais, siekiama išvilioti prisijungimo ir (ar) kitą svarbią informaciją, priversti atlikti norimus veiksmus (pvz., finansines operacijas)					V					D					P
		3.3. Vykdoma perimetro priemonių žvalgyba (nebandant įsilaužti)	N				V
		3.4. Naudojami socialinės inžinerijos metodai, siekiant išvilioti TIIIS pijungimo prie TIIIS ir (ar) kitą svarbią informaciją	N				V
4.	Mėginimas įsilaužti (angl. intrusion attempts) Mėginimas įsilaužti arba sutrikdyti TIIIS veikimą išnaudojant žinomus pažeidžiamumus (angl. exploiting of known vulnerabilities), bandant parinkti slaptažodžius (angl. login attempts), kitą įsilaužimo būdą (angl. new attack signature)	4.1. Išnaudojamas vienas ar keli nežinomi (angl. zero day) pažeidžiamumai, siekiant tikslingai sutrikdyti konkrečią TIIIS dalį					V					D					P
		4.2. Išnaudojamas vienas ar keli nežinomi (angl. zero day) pažeidžiamumai	N				V					D					P
		4.3. Vidinė TIIIS žvalgyba ar kita kenkimo veika (prievadų skenavimas, slaptažodžių parinkimas, kenkimo programinės įrangos platinimas ir kita)					V					D					P
		4.4. Išnaudojami žinomi ir viešai publikuoti pažeidžiamumai arba atliekami bandymai prisijungti prie TIIIS parenkant slaptažodžius	N				V
5.	Įsilaužimas (angl. intrusions) Sėkmingas įsilaužimas ir (ar) neteisėtas TIIIS, taikomosios programinės įrangos ar paslaugos naudojimas (angl. privileged account compromise, unprivileged account compromise, application compromise)	5.1. Veiksmai prieš TIIIS ar jos saugumo priemones, informacijos pasisavinimas, naikinimas, TIIIS ar jos dalies pažeidimas, sutrikdantis TIIIS teikiamų paslaugų nepertraukiamą teikimą, galintis turėti įtakos tvarkomos informacijos ir teikiamų paslaugų patikimumui, iškreipti turinį ir mažinti TIIIS naudotojų pasitikėjimą jais					V					D					P
							V					D					P
		5.2. Gaunama neteisėta prieiga prie TIIIS, taikomosios programinės įrangos ar paslaugos					V					D					P
6.	Paslaugų trikdymas, prieinamumo pažeidimai (angl. availability) Veiksmai, kuriais trikdoma TIIIS veikla, teikiamos paslaugos (angl. DoS, DDoS), TIIIS ar jos dalies pažeidimas, sutrikdantis TIIIS ir (ar) jos teikiamas paslaugas (angl. sabotage, outage)	6.1. Teikiamų paslaugų nutraukimas arba maksimalaus leistino paslaugos neveikimo laiko viršijimas					V					D					P
		6.2. Teikiamų paslaugų nepertraukiamo teikimo trikdymas, galintis turėti įtakos tvarkomos informacijos ir (ar) teikiamų paslaugų prieinamumui	N				V
		6.3. Aptinkamas paslaugos trikdymas, kuris neturi įtakos paslaugų teikimui	N				V
7.	Informacijos turinio saugumo pažeidimai (angl. information content security) Neteisėta prieiga prie informacijos, neteisėtas informacijos keitimas (angl. unauthorised access to information, unauthorised modification of information)	7.1. Neteisėta prieiga prie informacijos, galinčios turėti įtakos TIIIS veiklai ir (ar) teikiamoms paslaugoms					V					D					P
7.		7.2. Neteisėta prieiga prie informacijos, neteisėtas informacijos keitimas	N				V					D					P
8.	Neteisėta veikla, sukčiavimas (angl. fraud) Vagystė, apgavystė, neteisėtas išteklių (angl. unauthorized use of resources), nelegalios programinės įrangos ar autorių teisių (angl. copyright) naudojimas, tapatybės klastojimo, apgavystės ir kiti panašaus pobūdžio incidentai	8.1. Neteisėta įtaka TIIIS veiklai ir (ar) teikiamoms paslaugoms	N				V					D					P
9.	Kita Incidentai, kurie neatitinka nė vienos iš nurodytų grupių aprašymų		N				V					D					P

___________________________________________________________________

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2021 m. gegužės 3 d. įsakymu Nr. 3D-299

Topografijos ir inžinerinės infrastruktūros informacinės sistemos NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Topografijos ir inžinerinės infrastruktūros informacinės sistemos naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) nustato Topografijos ir inžinerinės infrastruktūros informacinės sistemos (toliau – TIIIS) naudotojų, TIIIS tvarkytojų ir TIIIS serverių administratoriaus įgaliojimus, teises ir pareigas.

2. Administravimo taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Topografijos ir inžinerinės infrastruktūros informacinės sistemos nuostatais (toliau – TIIIS nuostatai), patvirtintais Lietuvos Respublikos žemės ūkio ministro ir Lietuvos Respublikos aplinkos ministro 2018 m. rugsėjo 6 d. įsakymu Nr. 3D-637/D1-804 „Dėl Topografijos ir inžinerinės infrastruktūros informacinės sistemos nuostatų patvirtinimo“, Topografijos ir inžinerinės infrastruktūros informacinės sistemos saugos nuostatais (toliau – TIIIS saugos nuostatai), patvirtintais Lietuvos Respublikos žemės ūkio ministro 2019 m. gruodžio 18 d. įsakymu Nr. Nr. 3D-706 „Dėl Topografijos ir inžinerinės infrastruktūros informacinės sistemos duomenų saugos nuostatų patvirtinimo“.

3. Administravimo taisyklėse vartojamos sąvokos:

3.3. TIIIS pagrindinis tvarkytojas – valstybės įmonė Distancinių tyrimų ir geoinformatikos centras „GIS-Centras“ (toliau – VĮ „GIS-Centras“), kuris yra ir TIIIS asmens duomenų tvarkytojas;

3.4. TIIIS paslaugų gavėjai – fiziniai asmenys ir juridinių asmenų atstovai, naudojantys TIIIS elektronines paslaugas;

3.7. TIIIS tvarkytojai – savivaldybių administracijos;

3.8. TIIIS valdytoja – Lietuvos Respublikos žemės ūkio ministerija, kuri yra ir TIIIS asmens duomenų valdytoja;

3.9. kitos Administravimo taisyklėse vartojamos sąvokos atitinka Administravimo taisyklių 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

4. Administravimo taisyklės taikomos visiems TIIIS naudotojams, TIIIS tvarkytojams, TIIIS serverių administratoriui, NKT administratoriui, TIIIS saugos įgaliotiniui.

5. TIIIS naudotojams prieiga prie TIIIS duomenų suteikiama vadovaujantis šiais principais:

5.1. TIIIS naudotojams, TIIIS tvarkytų darbuotojams prieiga turi būti suteikiama tik prie tų TIIIS duomenų ir tik tokia apimtimi, kuri reikalinga TIIIS naudotojo / TIIIS tvarkytojo pareigybės aprašyme nurodytoms funkcijoms atlikti;

5.2. TIIIS duomenis gali keisti (sukurti, papildyti ar panaikinti) tik tokią teisę turintys TIIIS naudotojai;

5.3. prieiga prie TIIIS duomenų ir teisė ją keisti suteikiama tik atlikus TIIIS naudotojo / TIIIS tvarkytojo atpažinimą.

II SKYRIUS

TIIIS NAUDOTOJŲ ir TIIIS SERVERIŲ administratoriAUS įgaliojimai, TEISĖS IR PAREIGOS

6. TIIIS naudotojai / TIIIS tvarkytojai turi teisę:

6.1. naudotis tik tomis TIIIS funkcijomis bei TIIIS duomenimis, prie kurių prieigą jiems suteikė TIIIS serverių administratorius;

6.2. gauti informaciją apie jų naudojamų TIIIS duomenų apsaugos lygį bei taikomas apsaugos priemones, teikti siūlymus dėl papildomų apsaugos priemonių;

6.3. kreiptis į TIIIS serverių administratorių ar TIIIS saugos įgaliotinį dėl neveikiančio ar netinkamai veikiančio TIIIS;

6.4. TIIIS naudotojai /TIIIS tvarkytojai turi teisę atlikti kitus veiksmus, numatytus TIIIS saugos politikos įgyvendinamuosiuose teisės aktuose.

7. TIIIS naudotojai / TIIIS tvarkytojai privalo:

7.1. naudoti TIIIS duomenis tik tarnybinėms arba darbo funkcijoms atlikti;

7.2. nedelsiant pranešti TIIIS serverių administratoriui apie TIIIS saugos politikos įgyvendinamųjų teisės aktų pažeidimus, veiksmus, turinčius nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų ir informacijos saugos užtikrinimo priemones;

7.3. užtikrinti jų naudojamų TIIIS duomenų konfidencialumą bei vientisumą, savo veiksmais netrikdyti TIIIS duomenų prieinamumo;

7.4. baigus darbą ar pasitraukiant iš darbo vietos, imtis priemonių, kad su TIIIS duomenimis negalėtų susipažinti pašaliniai asmenys: atsijungti nuo TIIIS, įjungti ekrano užsklandą su slaptažodžiu, dokumentus ar jų kopijas darbo vietoje padėti į pašaliniams asmenims neprieinamą vietą;

7.5. raštu susipažinti ir laikytis TIIIS saugos nuostatų, Topografijos ir inžinerinės infrastruktūros informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Topografijos ir inžinerinės infrastruktūros informacinės sistemos veiklos tęstinumo valdymo plano ir šių Administravimo taisyklių reikalavimų;

7.6. pranešti TIIIS serverių administratoriui apie slaptažodžio užblokavimą ar užmiršimą;

7.7. TIIIS naudotojai /TIIIS tvarkytojai privalo vykdyti kitas pareigas, nustatytas TIIIS saugos politikos įgyvendinamuosiuose teisės aktuose.

8. TIIIS naudotojui /TIIIS tvarkytojui draudžiama:

8.1. leisti prisijungti prie TIIIS ne TIIIS naudotojui ar kitais nei Administravimo taisyklėse nurodytais būdais;

8.2. be priežiūros palikti kompiuterį neužrakintu ekranu;

8.3. platinti TIIIS esančią informaciją, išskyrus viešą turinio informaciją.

9. TIIIS serverių administratorius turi teisę:

9.1. matyti visų TIIIS naudotojų /TIIIS tvarkytojų atpažinties ir suteiktų teisių duomenis;

9.2. matyti TIIIS naudotojų /TIIIS tvarkytojų su TIIIS duomenimis atliktus veiksmus;

9.3. atlikti užklausas TIIIS pagal pasirinktus paieškos kriterijus;

9.4. fiziškai prieiti prie techninės ir sisteminės programinės įrangos;

9.5. vykdyti TIIIS techninės priežiūros funkcijas.

10. TIIIS serverių administratorius privalo:

10.1. registruoti naujus TIIIS naudotojus ir TIIIS tvarkytojus;

10.2. tvarkyti esamų TIIIS naudotojų ir TIIIS tvarkytojų duomenis;

10.3. periodiškai tikrinti, ar nėra nepatvirtintų TIIIS administratoriaus paskyrų;

10.4. tikrinti, ar nėra nepatvirtintų TIIIS naudotojų paskyrų; apie nepatvirtintas TIIIS naudotojų paskyras pranešti TIIIS saugos įgaliotinui;

10.5. konsultuoti TIIIS naudotojus ir TIIIS tvarkytojus dėl TIIIS veikimo ir kitais su TIIIS susijusiais klausimais;

10.6. pagal kompetenciją užtikrinti nepertraukiamą TIIIS techninės ir sisteminės programinės įrangos veikimą;

10.7. dalyvauti atliekant TIIIS rizikos veiksnių įvertinimą, rengiant TIIIS rizikos veiksnių įvertinimo ataskaitą ir rizikos veiksnių įvertinimo ir rizikos veiksnių valdymo priemonių planą;

10.8. atlikti TIIIS taikomų saugumo reikalavimų atitikties vertinimą.

11. TIIIS serverių administratoriui draudžiama suteikti ne TIIIS naudotojams ar TIIIS tvarkytojams prieigos teises prie TIIIS duomenų.

12. TIIIS serverių administratoriaus, NKT administratoriaus ir TIIIS saugos įgaliotinio funkcijos reglamentuotos TIIIS saugos nuostatuose ir kituose TIIIS saugos politiką įgyvendinančiuose teisės aktuose.

13. TIIIS serverių administratorius turi prieigos prie TIIIS duomenų teisę (elektroninės informacijos skaitymas, kūrimas, atnaujinimas, naikinimas, TIIIS naudotojų informacijos, prieigos teisių redagavimas ir kt.).

III SKYRIUS

SAUGAUS elektroninės informacijos TEIKIMO TIIIS NAUDOTOJAMS IR TIIIS TVARKYTOJAMS KONTROLĖS TVARKA

14. TIIIS serverių administratorius yra atsakingas už TIIIS naudotojų ir TIIIS tvarkytojų registravimą, išregistravimą, prieigos prie TIIIS teisių suteikimą ir panaikinimą.

15. TIIIS naudotojams ir TIIIS tvarkytojams registruojantis TIIIS, suteikiamas unikalus prisijungimo prie TIIIS vardas ir galimybė pasirinkti slaptažodį. Prieigas prie TIIIS tarnybinių stočių TIIIS naudotojams ir TIIIS tvarkytojams suteikia TIIIS serverių administratorius.

16. TIIIS paslaugų gavėjams informacija teikiama TIIIS nuostatų V skyriuje nustatyta tvarka.

17. Slaptažodžiai negali būti saugomi ar perduodami atviru tekstu. Tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo ir tik tuo atveju, nėra techninių galimybių perduoti slaptažodžio šifruotu kanalu ar saugiu elektroninių ryšių tinklu.

18. TIIIS dalys, patvirtinančios TIIIS naudotojo /TIIIS tvarkytojo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius.

19. TIIIS naudotojai /TIIIS tvarkytojai prisijungti prie TIIIS tarnybinių stočių gali tik su TIIIS serverių administratoriaus suteiktais unikaliais vardais ir slaptažodžiais.

20. Slaptažodį TIIIS naudotojai /TIIIS tvarkytojai, prisijungę prie TIIIS, turi teisę pasikeisti savarankiškai.

21. TIIIS naudotojo / TIIIS tvarkytojo slaptažodžiui yra keliami šie reikalavimai:

21.1. slaptažodis turi būti iš ne trumpesnės kaip 12 simbolių kombinacijos, sudarytos iš didžiųjų ir mažųjų raidžių, skaitmenų ir specialiųjų simbolių;

21.2. slaptažodžiams neturi būti naudojama asmeninio pobūdžio informacija;

21.3. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

21.4. keičiant slaptažodį neleidžiama pasirinkti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;

21.5. TIIIS naudotojas /TIIIS tvarkytojas, pirmą kartą gavęs suteiktą vardą ir slaptažodį, turi prisijungti prie TIIIS ir nedelsdamas slaptažodį pakeisti;

21.6. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius – 5 kartai. TIIIS naudotojui /TIIIS tvarkytojui 5 kartus neteisingai įvedus slaptažodį, TIIIS sistema užsirakina ir TIIIS naudotojui /TIIIS tvarkytojui 15 minučių neleidžiama prisijungti;

21.7. TIIIS naudotojas / TIIIS tvarkytojas privalo saugoti slaptažodį ir jo neatskleisti;

21.8. TIIIS naudotojas /TIIIS tvarkytojas, įtaręs, kad kiti asmenys sužinojo slaptažodį, privalo nedelsdamas jį pakeisti.

22. TIIIS serverių administratoriaus slaptažodis:

22.1. turi būti ne trumpesnis kaip 12 simbolių, sudarytas iš didžiųjų ir mažųjų raidžių, skaitmenų ir specialiųjų simbolių;

22.2. turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

22.3. keičiant neleidžiama pasirinkti slaptažodžio iš buvusių 6 paskutinių slaptažodžių.

23. TIIIS serverių administratorius, iš TIIIS valdytojo, TIIIS pagrindinio tvarkytojo ar TIIIS tvarkytojo gavęs rašytinį prašymą apriboti TIIIS naudotojo prieigos teises, nedelsdamas apriboja nurodyto TIIIS naudotojo / TIIIS tvarkytojo prieigą prie TIIIS.

24. Laikotarpiu, kai TIIIS naudotojas / TIIIS tvarkytojas nevykdo su TIIIS susijusių funkcijų, teisė dirbti su atitinkama TIIIS elektronine informacija jam yra sustabdoma.

25. Pasibaigus darbo santykiams, TIIIS naudotojui / TIIIS tvarkytojui panaikinama TIIIS naudotojo paskyra.

26. Leistinas nuotolinio informacinės sistemos naudotojų prisijungimo prie informacinės sistemos būdas yra virtualaus kompiuterių tinklo (angl. Virtual Private Network) paslauga.

IV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

27. TIIIS naudotojai, TIIIS tvarkytojai, TIIIS serverių administratorius, TIIIS saugos įgaliotinis ir kiti asmenys, pažeidę šių Administravimo taisyklių ir kitų saugos politiką įgyvendinančių teisės aktų nuostatas, atsako teisės aktų nustatyta tvarka.

__________________________