VIEŠŲJŲ PIRKIMŲ TARNYBOS
DIREKTORIUS
ĮSAKYMAS
DĖL VIEŠŲJŲ PIRKIMŲ TARNYBOS informacinIŲ sistemŲ saugos DOKUMENTŲ PATVIRTINIMO
2018 m. sausio 22 d. Nr. 1S-12
Vilnius
Vadovaudamiesi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ 7 ir 8 punktais ir Viešųjų pirkimų tarnybos nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2017 m. spalio 31 d. nutarimu Nr. 889 „Dėl Lietuvos Respublikos Vyriausybės 2011 m. gruodžio 21 d. nutarimo Nr. 1517 „Dėl Viešųjų pirkimų tarnybos nuostatų patvirtinimo“ pakeitimo“, 18.1 ir 18.6 punktais:
1. T v i r t i n u pridedamus:
1.2. Viešųjų pirkimų tarnybos informacinių sistemų saugaus elektroninės informacijos tvarkymo taisykles;
2. S k i r i u Viešųjų pirkimų tarnybos Elektroninių pirkimų plėtros skyriaus vedėją Vytautą Kovaliūną Viešųjų pirkimų tarnybos informacinių sistemų saugos įgaliotiniu.
3. P a v e d u Viešųjų pirkimų tarnybos Elektroninių pirkimų plėtros skyriaus vedėjui Vytautui Kovaliūnui ne vėliau kaip per 5 darbo dienas pateikti:
3.1. Registrų ir valstybės informacinių sistemų registrui – patvirtintus duomenų saugos nuostatų kopiją ir patvirtintą teisės akto, kuriuo patvirtinti informacinės sistemos nuostatai, kopiją.
4. P r i p a ž į s t u netekusiu galios Viešųjų pirkimų tarnybos direktoriaus 2013 m. liepos 10 d. įsakymą Nr. 1S-138 „Dėl Viešųjų pirkimų tarnybos informacinių sistemų duomenų saugos nuostatų patvirtinimo“.
PATVIRTINTA
Viešųjų pirkimų tarnybos
direktoriaus 2018 m. sausio 22 d.
įsakymu Nr. 1S-12
VIEŠŲJŲ PIRKIMŲ TARNYBOS INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATAI
I. BENDROSIOS NUOSTATOS
1. Viešųjų pirkimų tarnybos informacinių sistemų duomenų saugos nuostatų (toliau – Saugos nuostatai) tikslas sudaryti sąlygas saugiai automatizuotu būdu tvarkyti elektroninę informaciją Viešųjų pirkimų tarnybos (toliau – Tarnybos) informacinėse sistemose (toliau – TIS) užtikrinant TIS elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą.
2. Šiuose Saugos nuostatuose vartojamos sąvokos:
2.1. Tarnybos informacinės sistemos (TIS) – Centrinė viešųjų pirkimų informacinė sistema (toliau – CVP IS), Vidaus administravimo informacinė sistema ir Viešųjų pirkimų rizikos valdymo informacinė sistema (toliau – VPRV IS).
2.2. TIS ištekliai - informacijos, kurią valdo Tarnyba, atlikdama teisės aktų nustatytas funkcijas, apdorojamos informacinių technologijų priemonėmis, ir ją apdorojančių informacinių technologijų priemonių visuma.
2.3. TIS vidaus administratorius – Tarnybos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, atliekantis TIS priežiūrą.
2.4. TIS išorės administratorius – asmuo, pagal Tarnybos pasirašytą paslaugų teikimo sutartį, atliekantis TIS priežiūrą.
2.5. TIS vidaus naudotojas – Tarnybos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis TIS ištekliais numatytoms darbo ar valstybės tarnybos funkcijoms atlikti.
2.6. TIS išorės naudotojas (pagal sutartį) – asmuo, kuris nėra Tarnybos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, bet pagal Tarnybos pasirašytą duomenų teikimo sutartį, turintis teisę naudotis TIS ištekliais duomenų teikimo sutartyje ar teisės aktuose numatytoms funkcijoms atlikti.
2.7. TIS išorės naudotojas (pagal įstatymą) – asmuo, kuris nėra Tarnybos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, tačiau vadovaujantis Lietuvos Respublikos viešųjų pirkimų įstatymu, Lietuvos Respublikos viešųjų pirkimų, atliekamų gynybos ir saugumo srityje, įstatymu, Lietuvos Respublikos pirkimų, atliekamų vandentvarkos, energetikos, transporto ar pašto paslaugų srities perkančiųjų subjektų, įstatymu, Lietuvos Respublikos koncesijų įstatymu turi teisę naudotis TIS ištekliais įstatyme numatytoms funkcijoms atlikti.
2.9. Kitos Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme ir kituose teisės aktuose, kuriais vadovaujamasi tvarkant TIS ir jose saugomus duomenis, bei Lietuvos standartuose LST ISO/IEC 27002:2017 ir LST ISO/IEC 27001:2017 vartojamas sąvokas.
3. TIS elektroninės informacijos saugumo tikslai:
3.1. sudaryti sąlygas TIS vidaus naudotojams, TIS išorės naudotojams (pagal sutartį), TIS išorės naudotojams (pagal įstatymą) saugiai pasiekti ir tvarkyti TIS elektroninę informaciją;
4. TIS elektroninės informacijos, saugumo užtikrinimo prioritetinės kryptys:
5. TIS valdytoja ir tvarkytoja yra Tarnyba, kurios buveinės adresas Kareivių g. 1, LT-08221 Vilnius.
6. Tarnyba, kaip TIS valdytoja atlieka šias funkcijas:
6.5. planuoja TIS pokyčių valdymą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas pagal pokyčių tipą (administracinis, organizacinis ar techninis), įtakos vertinimą ir pokyčių prioritetų nustatymo procesus;
6.6. analizuoja teisines, technines, technologines, metodologines ir organizacines TIS tvarkymo problemas ir pagal savo kompetenciją priima sprendimus, reikalingus užtikrinant TIS tvarkymą;
7. Tarnyba, kaip TIS tvarkytoja atlieka šias funkcijas:
8. TIS saugos įgaliotinis, įgyvendindamas TIS elektroninės informacijos saugą, atlieka šias funkcijas:
8.1. teikia Tarnybos vadovui pasiūlymus dėl:
8.1.1. TIS vidaus administratoriaus(-ių) paskyrimo ir reikalavimų administratoriui (-iams) nustatymo;
8.2. koordinuoja TIS elektroninės informacijos saugos incidentų, įvykusių TIS, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų informacijos saugumo incidentus, neteisėtas veikas, susijusias su TIS elektroninės informacijos saugos incidentais;
8.5. periodiškai organizuoja TIS vidaus naudotojų mokymą TIS elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujiems vidaus naudotojams ar išorės naudotojams (pagal įstatymą) ir panašiai);
8.6. atlieka kitas Tarnybos vadovo pavestas ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, jam priskirtas funkcijas;
9. TIS vidaus administratorius, atlieka šias funkcijas:
9.5. vykdo visus TIS saugos įgaliotinio nurodymus ir pavedimus, susijusius su informacinės sistemos saugos užtikrinimu;
9.7. atlieka TIS vidaus naudotojams, TIS išorės naudotojams (pagal sutartį) ir TIS išorės naudotojams (pagal įstatymą) suteiktų teisių ir priskirtų funkcijų atitikties vertinimą;
10. TIS išorės administratorius, pagal paskirtą kompetenciją, atlieka šias funkcijas:
11. Teisės aktai, kuriais vadovaujamasi tvarkant TIS elektroninę informaciją ir šiose sistemose tvarkomus duomenis ir užtikrinant jų saugumą:
11.4. Lietuvos Respublikos pirkimų, atliekamų vandentvarkos, energetikos, transporto ar pašto paslaugų srities perkančiųjų subjektų, įstatymas;
11.9. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;
11.10. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas ir Saugos dokumentų turinio gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
11.11. Lietuvos Respublikos standartuose LST ISO/IEC 27002:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo priemonių praktikos nuostatai“, LST ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;
11.10. Centrinės viešųjų pirkimų informacinės sistemos nuostatai, patvirtinti Viešųjų pirkimų tarnybos direktoriaus 2017 m. birželio 6 d. įsakymu Nr. 1S-79 „Dėl Viešųjų pirkimų tarnybos direktoriaus 2010 m. spalio 11 d. įsakymo Nr. 1S-146 „Dėl Centrinės viešųjų pirkimų informacinės sistemos nuostatų patvirtinimo“ pakeitimo“;
11.11. Viešųjų pirkimų rizikos informacinės sistemos nuostatai, patvirtinti Viešųjų pirkimų tarnybos direktoriaus 2013 m. rugsėjo 16 d. įsakymu Nr. 1S-173 „Dėl Viešųjų pirkimų rizikos valdymo informacinės sistemos nuostatų patvirtinimo“;
II. TIS ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
12. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Informacijos svarbos įvertinimo gairių aprašas) 8 punktu CVP IS tvarkoma informacija priskiriama svarbios informacijos kategorijai. Priskyrimo šiai elektroninės informacijos svarbos kategorijai kriterijai: CVP IS informacijos praradimas gali pažeisti daugiau nei 5 procentų, bet ne daugiau nei pusės valstybės gyventojų teises ir teisėtus interesus, lemti, kad nebus atliekama (-os) kuri nors (kurios nors) gyvybiškai svarbi (-ios) funkcija (-os) daugiau nei vienam ministrui pavestose valdymo srityse ir vienai ar kelioms institucijoms padaryti finansinių nuostolių, didesnių nei 300 000 eurų, bet ne didesnių nei 3 000 000 eurų.
13. Vadovaujantis Informacijos svarbos įvertinimo gairių aprašo 9 punktu VPRV IS tvarkoma informacija priskiriama vidutinės svarbos informacijos kategorijai. Priskyrimo šiai elektroninės informacijos svarbos kategorijai kriterijai: VPRV IS praradimas gali pažeisti daugiau nei 1 procento, bet ne daugiau nei 5 procentų valstybės gyventojų teises ir teisėtus interesus, lemti, kad nebus atliekama (-os) kuri nors (kurios nors) gyvybiškai svarbi (-ios) funkcija (-os) vienam ministrui pavestoje valdymo srityje ir vienai ar kelioms institucijoms padaryti finansinių nuostolių, didesnių nei 30 000 eurų, bet ne didesnių nei 300 000 eurų.
14. Vadovaujantis Informacijos svarbos įvertinimo gairių aprašo 10 punktu Tarnybos vidaus administravimo informacinėje sistemoje tvarkoma informacija priskiriama mažiausios svarbos informacijos kategorijai.
15. Vadovaujantis Informacijos svarbos įvertinimo gairių aprašo 12.2 papunkčiu CVP IS, priskiriama antrajai informacinių sistemų kategorijai.
16. Vadovaujantis Informacijos svarbos įvertinimo gairių aprašo 12.3 papunkčiu VPRV IS, priskiriama trečiajai informacinių sistemų kategorijai.
17. Vadovaujantis Informacijos svarbos įvertinimo gairių aprašo 12.4 papunkčiu Tarnybos vidaus administravimo informacinė sistema, priskiriama ketvirtajai informacinių sistemų kategorijai.
18. TIS saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos standartą LST ISO/IEC 27005:2011 „Informacijos technologija. Saugumo technika. Informacijos saugumo rizikos valdymas“, kasmet organizuoja Informacinių sistemų rizikos įvertinimą. Prireikus TIS saugos įgaliotinis gali organizuoti neeilinį Informacinių sistemų rizikos įvertinimą. Tarnybos vadovo rašytiniu pavedimu Informacinių sistemų rizikos įvertinimą gali atlikti pats TIS saugos įgaliotinis.
19. TIS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausi rizikos veiksniai yra šie:
19.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacinių technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);
19.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis TIS elektroninei informacijai gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, duomenų vagystės ir kita);
20. Rizikos veiksniai vertinami pagal TIS elektroninės informacijos kategorijas, nustatant jų įtakos TIS esančios elektroninės informacijos saugai laipsnius:
20.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – TIS elektroninė informacija pasiųsta kitam adresatui, įvesti netikslūs duomenys, prarasta TIS elektroninė informacija po paskutinio kopijavimo;
20.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys iš dalies prarasti, duomenų bazių įrašai suklastoti, neveikia kompiuterinės programos ir operacinė sistema;
21. Rizikos vertinimo metu atliekamų darbų apimtis:
22. Atsižvelgdamas į rizikos įvertinimo ataskaitą, Tarnybos vadovas prireikus tvirtina Rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
23. Pagrindiniai TIS elektroninės informacijos saugos priemonių parinkimo principai yra šie:
23.4. pirmenybė teikiama toms priemonėms, kurių įdiegimas duoda didžiausią efektą ir reikalauja mažiausiai sąnaudų;
23.5. pirmenybė teikiama toms priemonėms, kurios skirtos išsaugoti elektroninę informaciją, kurios praradimas turėtų didžiausią įtaką Informacinių sistemų ir Tarnybos veiklai;
24. Siekiant užtikrinti šiuose nuostatuose ir kituose Saugos dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, ne rečiau kaip kartą per metus organizuojamas informacinių technologijų saugos atitikties vertinimas, kurio metu:
24.1. įvertinama šių nuostatų ir kitų TIS saugą reglamentuojančių teisės aktų ir realios informacijos saugos atitiktis;
24.5. patikrinama (įvertinama) TIS elektroninę informaciją tvarkantiems TIS vidaus naudotojams, TIS išorės naudotojams (pagal sutartį), TIS vidaus administratoriams ir TIS išorės administratoriams suteiktų teisių atitiktis vykdomoms funkcijoms;
25. Atlikus šių nuostatų 27 punkte nurodytą vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Tarnybos vadovas.
III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
27. Informacinėse sistemose esanti TIS elektroninė informacija teikiama ir (ar) gaunama vadovaujantis Viešųjų pirkimų įstatymu, Energijos išteklių rinkos įstatymu, Viešųjų pirkimų, atliekamų gynybos ir saugumo srityje įstatymu, Pirkimų, atliekamų vandentvarkos, energetikos, transporto ar pašto paslaugų srities perkančiųjų subjektų, įstatymu, Koncesijų įstatymu arba TIS elektroninės informacijos arba duomenų teikimo sutartimis, kuriose turi būti nurodyta:
28. TIS išorės administratoriai ir naudotojai (pagal sutartį) prie TIS jungiasi tik naudodamiesi techninėmis ir programinėmis priemonėmis, užtikrinančiomis saugų duomenų perdavimą kompiuterių tinklais.
29. TIS elektroninės informacijos saugai užtikrinti taikomos šios bendrosios programinės įrangos naudojimo nuostatos:
29.1. TIS tarnybinėse stotyse, TIS vidaus administratorių, TIS vidaus naudotojų kompiuteriuose gali būti naudojama tik legali programinė įranga, kuri turi licencijas, suteikiančias teisę ją naudoti. Jei tokių licencijų programinės įrangos gamintojai nenumato, turi būti pateikiamos nuorodos į šaltinius, vienareikšmiškai nurodančius, kad programinę įrangą galima naudoti nemokamai;
29.2. TIS tarnybinėse stotyse, TIS vidaus administratorių, TIS vidaus naudotojų kompiuteriuose naudojama antivirusinė programinė įranga privalo turėti automatinį atnaujinimą; Ilgiausias leistinas antivirusinės programinės įrangos neatnaujinimo laikas - ne ilgiau kaip 5 darbo dienos;
30. TIS elektroninės informacijos, saugai užtikrinti TIS tarnybinėse stotyse taikomos šios programinės įrangos naudojimo nuostatos:
30.1. sisteminės ir taikomosios programinės įrangos sąranka parenkama tokiu būdu, kad būtų užtikrinamas didžiausias galimas saugumo lygis, stabdomi nereikalingi darbui procesai;
30.2. programinę įrangą kontroliuoja, jos pataisymus ir atnaujinimus diegia atitinkamos TIS vidaus administratorius arba TIS išorės administratorius, arba atitinkamų paslaugų teikėjas. Minėtus darbus paslaugų teikėjai gali atlikti tik suderinę arba dalyvaujant Tarnybos Elektroninių pirkimų plėtros skyriaus (toliau – EPP skyrius) darbuotojams.
31. TIS elektroninės informacijos saugai užtikrinti TIS vidaus administratorių ir TIS vidaus naudotojų kompiuteriuose taikomos šios programinės įrangos naudojimo nuostatos:
31.1. programinę įrangą kontroliuoja, jos pataisymus ir atnaujinimus diegia TIS vidaus administratoriai (EPP skyriaus darbuotojai);
32. TIS elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacijų tinklų kompiuterių tinklo ugniasienėmis.
33. Kompiuterių tinklo ugniasienės turi būti sukonfigūruotos taip, kad būtų praleidžiamas tik toks TIS elektroninės informacijos srautas, kuris yra būtinas Tarnybos veiklai.
34. Už kompiuterių tinklo ugniasienių administravimą, priežiūrą, nustatymų atnaujinimą atsakingi TIS išorės administratoriai. Ugniasienės įvykių žurnalai (angl. Logs) turi būti reguliariai analizuojami, o ugniasienės saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos.
35. Kompiuterių tinklo ugniasienių nustatymų aprašymai saugomi Tarnybos EPP skyriuje. TIS saugos įgaliotinio iniciatyva, ne rečiau kaip kartą per metus turi būti peržiūrima kompiuterių tinklo ugniasienių nustatymai.
36. Pagrindiniai reikalavimai TIS elektroninės informacijos atsarginių kopijų darymui ir atkūrimui yra tokie:
36.1. TIS elektroninės informacijos atsarginės kopijos daromos periodiškai, bet ne rečiau kaip vieną kartą per savaitę pagal TIS atsarginių TIS elektroninės informacijos kopijų valdymo tvarką;
36.2. TIS elektroninės informacijos atsarginių kopijų laikmenos saugomos rakinamoje nedegančioje spintoje, atskiroje nuo tarnybinių stočių patalpoje;
36.3. praradus TIS elektroninės informacijos dėl techninės įrangos gedimo, programinės įrangos klaidos ar kitaip pažeidus duomenų vientisumą, duomenys atkuriami iš vėliausiai įrašytų atsarginių duomenų kopijų;
36.4. duomenis atkuria atitinkamos TIS, kurios duomenys buvo prarasti ar kitaip sugadinti, vidaus administratorius ar išorės administratorius;
36.5. visi duomenų atkūrimo veiksmai turi būti protokoluojami, nurodant priežastį dėl kurios vykdomas duomenų atkūrimas, kokie duomenys buvo atkuriami, iš kokios atsarginių duomenų kopijos buvo vykdomas atkūrimas ir kas jį atliko;
36.6. atlikus duomenų atkūrimą, atitinkamos TIS vidaus administratorius ar TIS išorės administratorius atlieka šios informacinės sistemos funkcionalumo ir duomenų vientisumo bei parengtumo testavimą;
36.7. visi atitinkamos TIS, kurios duomenys buvo atkurti, TIS vidaus naudotojai, TIS išorės naudotojai (pagal sutartį) ir TIS išorės naudotojai (pagal įstatymą) informuojami apie įvykusį incidentą;
37. Užtikrinant saugų TIS elektroninės informacijos teikimą ir (ar) gavimą, prisijungimas nuotoliniu būdu suteikiamas:
37.1. TIS išorės administratoriams naudojant VPN (angl. virtual private network ) arba RDP (angl. remote desktop protocol) ryšio protokolus;
37.2 TIS išorės naudotojams (pagal įstatymą) naudojant interneto ryšį ir koduojant siunčiamą informaciją;
37.3. TIS išorės naudotojams (pagal sutartį) pagal duomenų teikimo sutarčių sąlygose nustatytas specifikacijas ir sąlygas, naudojant VPN (angl. Virtual Private Network) ir FTPS (angl. File Transfer Protocol Secure) protokolą (susiejant su Informacinių sistemų naudotojo IP (angl. Internet Protocol) adresu).
IV. REIKALAVIMAI PERSONALUI
39. TIS saugos įgaliotinis privalo išmanyti TIS elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis teisės aktais, standartais ir kitais dokumentais, reglamentuojančiais saugų TIS elektroninės informacijos tvarkymą, atitikti pareigybės aprašyme numatytą specialųjį išsilavinimo reikalavimą, tobulinti kvalifikaciją TIS elektroninės informacijos saugos srityje, gebėti prižiūrėti, kaip įgyvendinami Saugos dokumentai, turėti darbo su kompiuterių technine bei programine įranga patirties.
40. TIS vidaus administratoriai privalo gerai išmanyti kompiuterių tinklų ir tarnybinių stočių technines ir sistemines programines priemones, turėti patirties ir mokėti administruoti jas bei jų naudotojus, gerai žinoti kompiuterių tinklų ir tarnybinių stočių saugumo užtikrinimo principus ir mokėti juos taikyti, užtikrinant patikimą duomenų saugą bei Saugos dokumentų įgyvendinamą.
41. TIS išorės administratoriai privalo gerai išmanyti Tarnybos vidinių ir išorinių kompiuterių tinklų ir tarnybinių stočių technines ir sistemines programines priemones, turėti patirties ir mokėti administruoti jas bei jų naudotojus, gerai žinoti kompiuterių tinklų ir tarnybinių stočių saugumo užtikrinimo principus ir mokėti juos taikyti, užtikrinant patikimą duomenų saugą bei Saugos dokumentų įgyvendinamą.
43. TIS vidaus naudotojai privalo susipažinti su tarnybinėms funkcijoms atlikti naudojamų Informacinių sistemų nuostatais, naudotojų instrukcijomis (vadovais), Saugos dokumentais ir laikytis jų reikalavimų.
44. TIS išorės naudotojai turi turėti pagrindinius darbo kompiuteriu įgūdžius, mokėti tvarkyti TIS elektroninę informaciją, TIS nuostatų nustatyta tvarka, būti susipažinę su Saugos nuostatais bei teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą.
45. TIS vidaus naudotojai, TIS išorės naudotojai (pagal sutartį) ir TIS išorės naudotojai (pagal įstatymą) pastebėję TIS saugumo pažeidimus, neleistinos arba nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugą užtikrinančias priemones, privalo apie tai nedelsdami pranešti atitinkamos TIS elektroninės informacijos teikimo sutartyje nurodytam asmeniui ar TIS vidaus administratoriui, o pastarasis nedelsdamas informuoti TIS saugos įgaliotinį.
46. Už TIS vidaus administratorių, TIS saugos įgaliotinio, TIS vidaus naudotojų mokymų informacinių technologijų bei TIS elektroninės informacijos saugos srityse organizavimą atsakingas Tarnybos EPP skyrius. TIS naudotojų mokymai elektroninės informacijos saugos temomis vykdomi pagal poreikį, bet ne rečiau kaip kartą per dvejus metus.
V. INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
47. Tvarkyti TIS esančią elektroninę informaciją gali tik TIS vidaus naudotojai ir TIS išorės naudotojai (pagal įstatymą) susipažinę su Saugos dokumentais ir pasirašytinai ar kitokiu būdu įsipareigoję laikytis jų reikalavimų.
48. TIS vidaus naudotojus su Saugos dokumentais ir atsakomybe už juose numatytų reikalavimų nesilaikymą pasirašytinai supažindina TIS saugos įgaliotinis. Turi būti užtikrintas susipažinimo įrodomumas.
49. TIS išorės naudotojai (pagal įstatymą) su Saugos dokumentais, paskelbtais Centrinėje viešųjų pirkimų informacinėje sistemoje, privalo susipažinti registruodamiesi, o patvirtindami registraciją įsipareigoja vadovautis šių dokumentų reikalavimais.
51. Saugos dokumentai bei teisės aktai ir kita su duomenų sauga susijusi TIS elektroninė informacija patalpinama Tarnybos intraneto svetainėje, skyriuje „Duomenų sauga“.
52. TIS saugos įgaliotinis, TIS vidaus administratoriai, TIS išorės administratoriai, TIS vidaus naudotojai, TIS išorės naudotojai (pagal įstatymą), TIS išorės naudotojai (pagal sutartį), pažeidę Saugos dokumentų reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.
VI. BAIGIAMOSIOS NUOSTATOS
PATVIRTINTA
Viešųjų pirkimų tarnybos
direktoriaus 2018 m. sausio 22 d.
įsakymu Nr. 1S-12
VIEŠŲJŲ PIRKIMŲ TARNYBOS INFORMACINIŲ SISTEMŲ
SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS
I. BENDROSIOS NUOSTATOS
1. Viešųjų pirkimų tarnybos informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių (toliau – Taisyklės) tikslas – nustatyti tvarką, kuria vadovaujantis būtų saugiai tvarkoma Viešųjų pirkimų tarnybos (toliau – Tarnyba) Centrinėje viešųjų pirkimų informacinėje sistemoje (toliau – CVP IS), Tarnybos Vidaus administravimo informacinėje sistemoje (VA IS) ir Viešųjų pirkimų rizikos valdymo informacinėje sistemoje (toliau – VPRV IS) saugoma bei apdorojama informacija.
2. Taisyklės parengtos vadovaujantis šiais teisės aktais:
2.1. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
2.2. Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
2.3. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V–832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
3. Taisyklėse vartojamos sąvokos:
3.2. TIS išorės naudotojas (pagal įstatymą) – asmuo, kuris nėra Tarnybos darbuotojas, tačiau, vadovaujantis Lietuvos Respublikos viešųjų pirkimų įstatymu (toliau – Įstatymas), Lietuvos Respublikos viešųjų pirkimų, atliekamų gynybos ir saugumo srityje, įstatymu (toliau – Gynybos įstatymas), Lietuvos Respublikos pirkimų, atliekamų vandentvarkos, energetikos, transporto ar pašto paslaugų srities perkančiųjų subjektų, įstatymu, Lietuvos Respublikos koncesijų įstatymu, turi teisę naudotis TIS ištekliais Įstatyme bei Gynybos įstatyme numatytoms funkcijoms atlikti.
3.3. TIS išorės naudotojas (pagal sutartį) – asmuo, kuris nėra Tarnybos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, bet pagal Tarnybos pasirašytą duomenų teikimo sutartį, turintis teisę naudotis TIS ištekliais duomenų teikimo sutartyje ar teisės aktuose numatytoms funkcijoms atlikti.
3.5. TIS išorės administratorius – asmuo, pagal Tarnybos pasirašytą paslaugų teikimo sutartį, atliekantis TIS priežiūrą.
3.6. TIS vidaus administratorius – Tarnybos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, atliekantis TIS priežiūrą.
3.7. TIS vidaus naudotojas – Tarnybos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis TIS ištekliais numatytoms darbo ar valstybės tarnybos funkcijoms atlikti.
3.8. Viešasis pirkimas – pirkimas, reglamentuotas Lietuvos Respublikos viešųjų pirkimų įstatymo ar Lietuvos Respublikos viešųjų pirkimų, atliekamų gynybos ir saugumo srityje, įstatymo ar Lietuvos Respublikos pirkimų, atliekamų vandentvarkos, energetikos, transporto ar pašto paslaugų srities perkančiųjų subjektų, įstatymo ar Lietuvos Respublikos koncesijų įstatymo.
4. Kitos taisyklėse vartojamos sąvokos atitinka Taisyklių 2 punkte nurodytuose teisės aktuose nustatytas sąvokas.
5. Vadovautis Taisyklėmis privalo visi TIS vidaus ir išorės naudotojai, TIS vidaus ir išorės administratoriai, TIS saugos įgaliotinis.
7. CVP IS saugoma bei apdorojama informacija apie viešuosius pirkimus priskiriama svarbiai elektroninės informacijos kategorijai, ją sudaro:
8. Už CVP IS saugomos TIS elektroninės informacijos tvarkymą atsakingi:
8.2. Tarnybos Prevencijos ir pirkimo sutarčių priežiūros, Gynybos ir saugumo pirkimų bei Kontrolės skyriai (7.4 ir 7.5 punktuose nurodyti duomenys);
9. VPRV IS saugoma bei tvarkoma informacija priskiriama žinybinės svarbos elektroninės informacijos kategorijai, ją sudaro:
10. Už VPRV IS elektroninės informacijos tvarkymą atsakingi:
11. VA IS saugoma bei apdorojama informacija, priskiriama žinybinės svarbos elektroninės informacijos kategorijai, ją sudaro:
II. TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS
13. Saugiam TIS elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės, sisteminės ir taikomosios programinės įrangos, fizinės, techninės ir organizacinės duomenų saugos priemonės.
14. TIS techninės įrangos saugos priemonės:
14.1. siekiant užtikrinti aukštą TIS patikimumą bei jose saugomos ir apdorojamos TIS elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą, turi būti įdiegti duomenų bazių bei rinkmenų tarnybinių stočių klasteriai, viena kitą dubliuojančios užkardos, keli interneto prieigos serveriai, dubliuoti tinklo komutatoriai, patikima duomenų saugykla ir rezervinio kopijavimo įranga;
14.2. visai TIS techninei įrangai privalo būti teikiamas įrangos gamintojų ar jų atstovų suteiktas garantinis aptarnavimas;
14.4. patalpose, kuriose yra TIS tarnybinės stotys turi būti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybų;
14.5. TIS kompiuterių aparatinės įrangos keitimas gali būti atliekamas tik Tarnybos Elektroninių pirkimų plėtros skyriaus specialistų, gavus šio skyriaus vedėjo nurodymą ar pagal sutartį veikiančių paslaugų teikėjų specialistų;
14.6. TIS kompiuterių aparatinės įrangos gedimai, kai keičiamas vidinis komponentas ar įranga, taisoma specializuotuose taisymo centruose kvalifikuotų specialistų, o TIS įrangos taisymai turi būti registruojami Kompiuterių aparatinės įrangos taisymo ir infrastruktūros pakeitimų žurnale;
14.7. TIS turi perspėti TIS vidaus ir (ar) TIS išorės administratorius, kai tarnybinėse stotyse sumažėja iki pavojingos ribos laisvos operatyviosios atminties ar vietos diske (diskuose) / duomenų saugykloje ar ilgą laiką stipriai apkraunamas centrinis procesorius ir (ar) tinklo sąsaja;
15. TIS sisteminės ir taikomosios programinės įrangos saugos priemonės:
15.1. TIS tarnybinėse stotyse gali būti naudojama tik legali sisteminė ir taikomoji programinė įranga;
15.2. TIS vidaus naudotojų kompiuterinėje įrangoje turi būti naudojama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga; TIS saugos įgaliotinis turi parengti, su TIS valdytojo vadovu suderinti ir ne rečiau kaip kartą per metus peržiūrėti bei prireikus atnaujinti leistinos programinės įrangos sąrašą;
15.3. sisteminės ir taikomosios programinės įrangos apsaugai nuo virusų ir kitų kenkėjiškų programų TIS turi būti naudojama centralizuotai valdoma, specializuota, nuolat automatiškai atnaujinama programinė įranga, stebėjimo realiu laiku priemonės; šios priemonės turi automatiniu būdu informuoti administratorių apie tai, kuriems TIS posistemiams, funkciškai savarankiškoms sudedamosioms dalims yra pradelstas kenksmingosios programinės įrangos aptikimo priemonių atnaujinimo laikas; TIS komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu yra patvirtinama, kad šių komponentų rizika yra priimtina; ilgiausias leistinas antivirusinės programinės įrangos neatnaujinimo laikas — ne ilgiau kaip 5 darbo dienos;
15.4. kiekvienas TIS vidaus ir išorės naudotojas, TIS vidaus ir išorės administratorius turi būti unikaliai identifikuojamas, todėl visiems TIS vidaus ir išorės naudotojams, TIS vidaus ir išorės administratoriams, vadovaujantis kiekvienai TIS nustatyta tvarka, nurodyta dokumente „Viešųjų pirkimų tarnybos informacinės sistemos naudotojų vardų ir slaptažodžių sudarymo bei naudojimo taisyklės“, suteikiami TIS vidaus ir išorės naudotojo, TIS vidaus ir išorės administratoriaus vardai bei nustatomi reikalavimai TIS vidaus ar išorės naudotojo, ar vidaus ir išorės administratoriaus tapatybę patvirtinantiems slaptažodžiams, su taisyklėmis naudotojai gali susipažinti Tarnybos intraneto tinklapyje;
15.5. TIS priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą TIS vidaus ir išorės administratoriaus identifikatorių, kuriuo naudojantis nebūtų galima atlikti TIS vidaus ar išorės naudotojo funkcijų;
15.6. slaptažodžiai, suteikiantys teisę administruoti TIS bei TIS vidinius ar išorinius naudotojus, žinomi tiktai atitinkamiems TIS vidaus ir išorės administratoriams. Tam, kad nesant administratoriaus atitinkamą sistemą bei jos naudotojus galėtų administruoti jį pavaduojantis darbuotojas, vidaus ir išorės administratorių slaptažodžiai saugomi Tarnybos Elektroninių pirkimų plėtros skyriaus vedėjo seife. Perėmus sistemos administravimą pagrindiniam TIS vidaus ar išorės administratoriui, sistemos administratoriaus slaptažodį privaloma pakeisti nauju;
15.7. TIS vidaus ar išorės naudotojui teisė dirbti su konkrečia TIS elektronine informacija turi būti ribojama ar sustabdoma, kai naudotojas atostogauja, nušalinus naudotoją nuo pareigų ir pan.;
15.8. TIS vidaus ar išorės naudotojui teisė naudotis TIS turi būti panaikinta pasibaigus tarnybos (darbo) santykiams;
15.9. TIS vidaus ar išorės naudotojui baigus darbą turi būti imamasi priemonių, kad su TIS elektronine informacija negalėtų susipažinti pašaliniai asmenys:
15.10. TIS vidaus ar išorės naudotojui neatliekant jokių veiksmų, sistema turi taip užsirakinti, kad toliau ja naudotis galima būtų tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus. Terminas, per kurį TIS vidaus ar išorės naudotojui neatliekant jokių veiksmų TIS turi užsirakinti, negali būti ilgesnis nei 15 min;
15.11. TIS vidaus naudotojų darbo vietose gali būti naudojamos tik tarnybinėms reikmėms skirtos išorinės duomenų laikmenos (pvz., USB, CD, DVD ir kt.). Šios laikmenos negali būti naudojamos veiklai, nesusijusiai su teisėtu TIS tvarkymu.
16. TIS elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:
16.1. siekiant užtikrinti TIS elektroninės informacijos konfidencialumą ir vientisumą informacijos teikimas bei priėmimas turi būti vykdomas naudojant saugų valstybinį duomenų perdavimo tinklą arba kitą saugų šifruotą duomenų perdavimo kanalą;
17. Patalpų ir aplinkos saugumo užtikrinimo priemonės:
17.1. TIS tarnybinės stotys ir kita TIS infrastruktūra bei ją palaikančios sistemos (tikslios klimato kontrolės įrenginiai, ryšio įranga, duomenų perdavimo įranga, apsaugos, signalizacijos ir stebėjimo sistemos) turi būti fiziškai apsaugotos nuo nesankcionuotos prieigos, vagystės, sugadinimo ar sunaikinimo, todėl turi būti eksploatuojama atskirose patalpoje – Tarnybos duomenų centre (toliau – Tarnybos DC), kurio schema nurodyta 1 priede;
17.2. Tarnybos DC turi atitikti šiuos reikalavimus:
17.2.2. apsauga nuo nesankcionuoto patekimo į Tarnybos DC patalpą – turi atitikti standarto EN1627 WK4 reikalavimus;
17.2.3. atsparumas ugniai pagal standarto EN1047-2 reikalavimus – esant Tarnybos DC patalpos išorėje temperatūrai iki 1100 °C, po 30 min. temperatūra šios patalpos viduje neturi viršyti 70 °C;
17.2.4. atsparumas vandeniui pagal standarto EN60529 reikalavimus – ne mažiau 30 min gaisrą Tarnybos DC patalpos išorėje gesinant vandeniu;
17.2.6. siekiant užtikrinti TIS elektroninės informacijos konfidencialumą Tarnybos DC patalpa turi užtikrinti elektromagnetinio spinduliavimo slopinimą ne mažiau kaip 100 dB elektriniam laukui dažnių juostoje 14 kHz – 10 GHz bei magnetiniam laukui dažnių juostoje 100 kHz – 10 GHz;
17.2.7. turi būti palaikoma 21°C±1°C aplinkos temperatūra bei 60% ±15% drėgnumas. Šiems aplinkos parametrams užtikrinti turi būti sumontuoti dubliuoti tikslios klimato kontrolės įrenginiai;
17.3. elektros energija Tarnybos DC eksploatuojamai kompiuterių aparatinei įrangai ir palaikančioms sistemoms turi būti tiekiama atskiru kabeliu per automatinę sistemą, užtikrinančią rezervinį elektros energijos tiekimą ne mažiau kaip 1 (vieną) valandą iš autonominio dyzelinio generatoriaus, nutrūkus pagrindiniam elektros energijos tiekimui;
17.4. Tarnybos DC durys turi būti nedegios, atsparios laužimui, rakinamos elektromagnetiniu užraktu, valdomu įeigos kontrolės sistema su kortelių skaitytuvais;
17.5. patekimas į Tarnybos DC turi būti kontroliuojamas, registruojami įeinančių asmenų apsilankymai bei šių apsilankymų tikslas. Registravimo žurnalo forma nurodyta 2 priede;
17.8. Tarnybos direktorius įsakymu turi patvirtinti darbuotojų sąrašą, kuriems suteikiamos kortelės, leidžiančios patekti į Tarnybos DC;
17.9. trečiųjų šalių atstovai į Tarnybos DC gali patekti ir dirbti jame tik lydimi Tarnybos Elektroninių pirkimų plėtros skyriaus darbuotojo;
17.10. techninė įranga įnešama ir išnešama iš Tarnybos DC patalpų tik gavus raštišką Tarnybos Elektroninių pirkimų plėtros skyriaus vedėjo leidimą;
18. Darbo apskaitos ir kitos TIS elektroninės informacijos saugos priemonės:
18.1. TIS tarnybinių stočių įvykių žurnaluose programiniu būdu turi būti registruojami ir ne mažiau kaip 1 (vienerius) metus saugomi duomenys (Tarnybos internetinio tinklo kataloge), nurodant įvykio laiką ir TIS naudotojo identifikatorių, apie:
III. SAUGUS TIS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
19. TIS elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo tvarka:
19.1. TIS elektroninės informacijos keitimą, atnaujinimą, įvedimą ir naikinimą gali atlikti tik tam turintys teisę autorizuoti TIS vidaus ir išorės naudotojai;
20. TIS vidaus ir (ar) išorės naudotojų veiksmų registravimo tvarka:
20.1. siekiant nustatyti neteisėtus veiksmus su TIS elektronine informacija bei šios informacijos vientisumo pažeidimus naudotojų veiksmai, jų darbo su TIS laikas turi būti automatiškai registruojami elektroniniuose žurnaluose, apsaugotuose nuo neteisėto jame esančių duomenų panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;
21. TIS elektroninės informacijos kopijų darymo, saugojimo ir TIS elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka nustatyta TIS saugos nuostatuose ir dokumente „Viešųjų pirkimų tarnybos informacinių sistemų atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka“.
22. Saugaus TIS elektroninės informacijos perkėlimo ir teikimo susijusioms informacinėms sistemoms, TIS elektroninės informacijos gavimo iš jų užtikrinimo tvarka:
23. TIS elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neleidžiama veikla) nustatymo tvarka:
23.1. TIS vidaus ir išorės administratoriai, užtikrindami TIS elektroninės informacijos saugą, privalo naudoti visas įmanomas aparatines, programines ir administracines priemones skirtas apsisaugojimui nuo neleidžiamos veiklos;
23.2. siekiant patikrinti ar su TIS elektronine informacija nėra vykdoma neleidžiama veikla, TIS vidaus ir išorės administratoriai kiekvieną darbo dieną privalo peržiūrėti TIS programinės įrangos elektroniniuose žurnaluose sukauptus atitinkamus įrašus;
23.3. TIS vidaus ar išorės naudotojas, įtaręs, kad su TIS elektronine informacija buvo atlikti neteisėti veiksmai, privalo pranešti apie tai TIS vidaus administratoriams;
23.4. Vidaus administratoriai, atsiradus įtarimams dėl neteisėtų veiksmų su TIS elektronine informacija, pasinaudoję elektroniniuose žurnaluose sukauptais įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su TIS programine įranga ir (ar) TIS elektronine informacija;
23.5. kilus įtarimui, kad su TIS ir (ar) TIS elektronine informacija yra vykdoma neleidžiama veikla, TIS vidaus ir (ar) išorės administratoriai nedelsiant privalo apie tai informuoti TIS saugos įgaliotinį;
24. Mobiliuosiuose įrenginiuose (nešiojamuosiuose kompiuteriuose, planšetėse, išmaniuosiuose telefonuose ir pan.), jeigu jie naudojami ne duomenų valdytojo ir (ar) duomenų tvarkytojo vidiniame kompiuterių tinkle, esantys ypatingi asmens duomenys ir prisijungimo prie duomenų valdytojo ir (ar) duomenų tvarkytojo tvarkomų asmens duomenų informacija šifruojama, privaloma naudoti papildomas saugos priemones, kuriomis patvirtinama naudotojo tapatybė (PIN kodas ir pan.) Iš visų kompiuterių, kurie perduodami taisyti ar techninei priežiūrai atlikti, turi būti išimti standieji diskai bei pašalinta visa kitose laikmenose esanti TIS elektroninė informacija.
25. Sugedę standieji diskai ir nusidėvėjusios magnetinės atsarginio kopijavimo laikmenos turi būti neatstatomai sunaikintos ir atiduotos perdirbimui. Laikmenų sunaikinimas turi būti įforminamas aktu.
26. Pokyčių valdymo tvarka:
26.1. TIS valdytojas užtikrina TIS pokyčių valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas pagal pokyčio tipą (administracinis, organizacinis ar techninis), įtakos vertinimą (skubumas ir svarbumas), pokyčių prioritetų nustatymo (eiliškumas) procesus;
26.2. pokyčiai identifikuojami (projektavimas, kūrimas, testavimas, diegimas) atliekami tik TIS valdytojo iniciatyva, TIS saugos įgaliotinio iniciatyva ar TIS vidaus ir (ar) išorės administratorių iniciatyva;
26.3. pokyčių projektavimą ir kūrimą atlieka TIS vidaus ir (ar) išorės administratorius tam skirtoje kūrimo aplinkoje. Atlikdamas pakeitimo projektavimą ir kūrimą, TIS vidaus ir (ar) išorės administratorius gali pasitelkti trečiąsias šalis;
26.4. prieš atliekant pokyčius, kurių metu gali iškilti grėsmė TIS elektroninės informacijos konfidencialumui, vientisumui ar pasiekiamumui, visi pokyčiai turi būti išbandomi testavimo aplinkoje, kuri yra identiška gamybinei aplinkai;
26.5. įgyvendinant pokyčius, kurių metu galimi TIS veikimo sutrikimai, TIS vidaus ir (ar) išorės administratorius privalo ne vėliau kaip prieš dvi darbo dienas iki planuojamų pokyčių pradžios (el. paštu, faksu ar kitomis priemonėmis) informuoti TIS tvarkymo įstaigų vidaus ir (ar) išorės administratorius ir TIS vidaus ir (ar) išorės naudotojus apie tokių darbų pradžią ir galimus sutrikimus;
26.6. atlikęs pokyčių testavimą, jei ir testavimo darbų dėl programinių ir (ar) techninių priežasčių nebuvo galima atlikti, TIS vidaus ir (ar) išorės administratorius gali pradėti eksploatuoti pakeitimus;
27. Pokyčiai, galintys daryti neigiamą įtaką TIS elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri atskirta nuo eksploatuojamos informacinės sistemos.
28. Programinė įranga turi būti testuojama naudojant atskirą testavimui skirtą aplinką, kurioje esantys asmens duomenys turi būti naudojami vadovaujantis Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonių, patvirtintų Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12) „Dėl bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“, reikalavimais.
IV. REIKALAVIMAI, KELIAMI INFORMACINĖMS SISTEMOMS FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TIEKĖJAMS
29. TIS priežiūros paslaugų teikėjams suteikiami tokie prieigos prie TIS lygiai ir sąlygos, kurie reikalingi ir pakankami atliekamoms pagal sutartį priežiūros paslaugoms atlikti.
30. Reikalavimai TIS priežiūros paslaugoms nurodyti dokumente „Informacinių sistemų priežiūros paslaugos techninė specifikacija“.
31. Reikalavimai interneto ryšio teikimo paslaugai nurodyti dokumente „Interneto ryšio paslaugos techninė specifikacija“.
V. BAIGIAMOSIOS NUOSTATOS
Viešųjų pirkimų tarnybos informacinių sistemų
saugaus elektroninės informacijos tvarkymo taisyklių
1 priedas
Viešųjų pirkimų tarnybos informacinių sistemų
saugaus elektroninės informacijos tvarkymo taisyklių
2 priedas
VIEŠŲJŲ PIRKIMŲ TARNYBOS DUOMENŲ CENTRO LANKYTOJŲ REGISTRAVIMO ŽURNALAS
Pradėta 201_m. ___________mėn. ___d.
Eil. Nr. |
Data |
DC atidariusio asmens vardas, pavardė, parašas |
Lankytojo vardas, pavardė, parašas |
Apsilankymo tikslas |
Įėjimo laikas |
Išėjimo laikas |
1. |
|
|
|
|
|
|
2. |
|
|
|
|
|
|
3. |
|
|
|
|
|
|
4. |
|
|
|
|
|
|
5. |
|
|
|
|
|
|
6. |
|
|
|
|
|
|
7. |
|
|
|
|
|
|
8. |
|
|
|
|
|
|
9. |
|
|
|
|
|
|
10. |
|
|
|
|
|
|
11. |
|
|
|
|
|
|
12. |
|
|
|
|
|
|
13. |
|
|
|
|
|
|
14. |
|
|
|
|
|
|
15. |
|
|
|
|
|
|
16. |
|
|
|
|
|
|
17. |
|
|
|
|
|
|
18. |
|
|
|
|
|
|
19. |
|
|
|
|
|
|
20. |
|
|
|
|
|
|
21. |
|
|
|
|
|
|
22. |
|
|
|
|
|
|
PATVIRTINTA
Viešųjų pirkimų tarnybos
direktoriaus
2018 m. sausio 22 d.
įsakymu Nr. 1S-12
VIEŠŲJŲ PIRKIMŲ TARNYBOS INFORMACINIŲ SISTEMŲ VEIKLOS TĘSTINUMO VALDYMO PLANAS
I. BENDROSIOS NUOSTATOS
1. Viešųjų pirkimų tarnybos informacinių sistemų veiklos tęstinumo valdymo plano (toliau – Valdymo planas) tikslas – nustatyti Viešųjų pirkimų tarnybos (toliau – Tarnybos) informacinių sistemų: Centrinės viešųjų pirkimų informacinės sistemos, Viešųjų pirkimų rizikos valdymo informacinės sistemos ir Vidaus administravimo informacinės sistemos (toliau visos kartu – TIS) vidaus ir išorės naudotojų, TIS saugos įgaliotinio, TIS vidaus ir išorės administratorių – veiksmus įvykus TIS elektroninės informacijos saugos incidentui, kurios metu gali kilti pavojus TIS elektroninei informacijai (gali būti pažeistas duomenų vientisumas, konfidencialumas ar prieinamumas), TIS tarnybinių stočių aparatinės ir programinės įrangos bei kompiuterizuotų darbo vietų (toliau – KDV) funkcionavimui, gali būti pažeistas TIS elektroninės informacijos teikimas suinteresuotiems juridiniams bei fiziniams asmenims ir (arba) jų valdomoms informacinėms sistemoms, gali būti pažeistas elektroninės informacijos priėmimas iš suinteresuotų juridinių bei fizinių asmenų ir (arba) jų valdomų informacinių sistemų.
2. Valdymo planas parengtas vadovaujantis šiais teisės aktais:
2.1. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
2.2. Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
2.3. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V–832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“.
3. Valdymo plane vartojamos sąvokos:
3.1. Tarnybos informacinės sistemos (TIS) – Tarnybos Centrinė viešųjų pirkimų informacinė sistema (toliau – CVP IS), Tarnybos Viešųjų pirkimų rizikos valdymo informacinė sistema (toliau – VPRV IS) ir Tarnybos Vidaus administravimo informacinė sistema (toliau – VA IS).
3.2. TIS išorės administratorius – asmuo, pagal Tarnybos pasirašytą paslaugų teikimo sutartį, atliekantis TIS priežiūrą.
3.3. TIS išorės naudotojas (pagal įstatymą) – asmuo, kuris nėra Tarnybos Darbuotojas, tačiau, vadovaujantis Lietuvos Respublikos viešųjų pirkimų įstatymu, Lietuvos Respublikos viešųjų pirkimų, atliekamų gynybos ir saugumo srityje, įstatymu, Lietuvos Respublikos pirkimų, atliekamų vandentvarkos, energetikos, transporto ar pašto paslaugų srities perkančiųjų subjektų, įstatymu, Lietuvos Respublikos koncesijų įstatymu turi teisę naudotis TIS ištekliais Viešųjų pirkimų įstatyme, Gynybos įstatyme, Pirkimų įstatyme bei Koncesijų įstatyme numatytoms funkcijoms atlikti.
3.4. TIS išorės naudotojas (pagal sutartį) – asmuo, kuris nėra Tarnybos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, bet pagal Tarnybos pasirašytą duomenų teikimo sutartį, turintis teisę naudotis TIS ištekliais duomenų teikimo sutartyje ar teisės aktuose numatytoms funkcijoms atlikti.
3.5. TIS vidaus administratorius – Tarnybos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, atliekantis TIS priežiūrą.
4. Kitos Valdymo plane naudojamos sąvokos atitinka šio plano 2 punkte nurodytuose teisės aktuose nustatytas sąvokas.
6. Valdymo planas yra privalomas TIS tvarkytojams, TIS valdytojui, TIS saugos įgaliotiniui, TIS duomenų valdymo įgaliotiniui, TIS vidaus ir išorės administratoriams ir TIS vidaus ir išorės naudotojams. Valdymo plano įgyvendinimas turi užtikrinti CVP IS prieinamumą ne mažiau kaip 96 proc. laiko per parą bei CVP IS veiklos atnaujinimą per 1 val., VPRV IS ir VA IS prieinamumą ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis bei VPRV IS ir VA IS veiklos atnaujinimą per 8 val.
7. Už Valdymo plano įgyvendinimą atsakingi Tarnybos direktoriaus įsakymu paskirti Tarnybos darbuotojai.
8. Už Valdymo plano įgyvendinimo organizavimą ir kontrolę atsakingas Tarnybos direktoriaus pavaduotojas, kuruojantis TIS veiklą.
9. TIS Saugos įgaliotinio, TIS vidaus ir išorės administratorių funkcijos ir veiksmai elektroninės informacijos saugos incidento metu nurodyti Viešųjų pirkimų tarnybos informacinių sistemų veiklos atkūrimo detaliajame plane (toliau – Detalusis planas) (1 priedas).
10. Reikalavimai, keliami atsarginėms patalpoms, naudojamoms informacinės sistemos veiklai atkurti įvykus TIS elektroninės informacijos saugos incidentui, atsarginių patalpų adresas ir būdai, kaip iki jų nuvykti nurodyti Viešųjų pirkimų tarnybos informacinių sistemų atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkoje.
11. Kriterijai, pagal kuriuos nustatoma, kad TIS veikla atkurta, yra:
11.1. TIS elektroninės informacijos centro aparatinė ir programinė įranga bei KDV funkcionuoja pagal specifikacijoje nustatytus reikalavimus;
11.2. nuolat priimama ir išsaugoma suinteresuotų juridinių bei fizinių asmenų ir (arba) jų valdomų informacinių sistemų siunčiama elektroninė informacija;
11.4. nuolat teikiama atnaujinta TIS elektroninė informacija suinteresuotiems juridiniams bei fiziniams asmenims ir (arba) jų valdomoms informacinėms sistemoms;
II. ORGANIZACINĖS NUOSTATOS
12. TIS veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) sudėtis:
13. Valdymo grupės funkcijos:
13.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijų darbuotojais ir kitomis interesų grupėmis;
13.5. finansinių ir kitų išteklių, reikalingų informacinės sistemos veiklai atkurti, įvykus TIS elektroninės informacijos saugos incidentui, naudojimo kontrolė;
13.6. TIS elektroninės informacijos fizinė sauga įvykus TIS elektroninės informacijos saugos incidentui;
14. TIS veiklos atkūrimo grupės (toliau – Atkūrimo grupė) sudėtis:
14.2. Atkūrimo grupės vadovo pavaduotojas – Elektroninių pirkimų plėtros skyriaus vyriausiasis specialistas;
15. Atkūrimo grupės funkcijos:
16. TIS veiklos tęstinumo valdymo ir TIS veiklos atkūrimo grupių nariai turi reaguoti ir valdyti saugos incidentus, vadovaudamiesi 1 priede pateiktomis instrukcijomis.
17. TIS vidaus ir išorės naudotojai, vidaus ir išorės administratoriai, Tarnybos Dokumentų valdymo ir ūkio skyriaus vedėjas, priklausomai nuo grėsmės sukėlusios TIS elektroninės informacijos saugos incidentą, nedelsdami informuoja TIS saugos įgaliotinį.
18. TIS saugos įgaliotinis apie TIS elektroninės informacijos saugos incidentą nedelsdamas informuoja Valdymo grupės vadovą, Atkūrimo grupės vadovą ir registruoja nenumatytą situaciją TIS nenumatytų situacijų registravimo žurnale (2 priedas).
19. Valdymo grupės vadovas organizuoja nenumatytos situacijos įvertinimą ir priima sprendimą dėl Detaliojo plano vykdymo. Priimdama šį sprendimą Valdymo grupė vadovaujasi kriterijais:
19.1. ar nenumatytos situacijos padarinių likvidavimui bus reikalingi papildomi finansiniai ištekliai;
20. Tuo atveju, kai nevykdomas Detalusis planas Elektroninių pirkimų plėtros skyriaus vedėjas, Dokumentų valdymo ir ūkio skyriaus vedėjas ir (ar) TIS vidaus ir išorės administratoriai atkuria TIS veiklą ir informuoja Valdymo grupės vadovą. Elektroninių pirkimų plėtros skyriaus vedėjas, Dokumentų valdymo ir ūkio skyriaus vedėjas įvertina ar pašalinti nenumatytos situacijos sukelti padariniai. Jeigu nenumatytos situacijos sukelti padariniai pašalinti - TIS saugos įgaliotinis tai pažymi TIS elektroninės informacijos saugos incidentų registravimo žurnale (2 priedas).
21. Tuo atveju, kai vykdomas Detalusis planas, jo vykdymui vadovauja Tarnybos direktoriaus pavaduotojas – Atkūrimo grupės vadovas. Kitų Grupės narių funkcijos, atsakomybės bei sąveika nurodyti Detaliajame plane.
22. Atkūrus TIS veiklą Atkūrimo grupė įvertina, ar pašalinti TIS elektroninės informacijos saugos incidento sukelti padariniai. Jeigu padariniai pašalinti – TIS saugos įgaliotinis tai pažymi TIS elektroninės informacijos saugos incidentų registravimo žurnale (2 priedas).
23. Atkūrimo grupėms priklausantys Tarnybos darbuotojai tarpusavyje sąveikauja ir komunikuoja bet kuriomis, TIS elektroninės informacijos saugos incidento metu veikiančiomis ryšio priemonėmis (elektroniniu paštu, fiksuoto ir judriojo ryšio telefonais).
III. APRAŠOMOSIOS NUOSTATOS
25. Parengtų ir saugomų dokumentų sąrašas, saugomas TIS Saugos įgaliotinio kabinete:
25.2. informacinių technologijų įrangos parametrų dokumentacija ir už šios įrangos priežiūrą atsakingų administratorių sąrašas. TIS administratorių pavaduojančio asmens minimalus kompetencijos ar žinių lygis negali būti žemesnis už TIS administratoriui keliamų reikalavimų lygį.
25.3. specifikacija, kurioje nurodyti minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos institucijos poreikius atitinkančiai informacinės sistemos veiklai užtikrinti įvykus elektroninės informacijos saugos incidentui parametrai;
25.4. Duomenų centro patalpų, kuriose yra TIS įranga ir komunikacijos, brėžinius ir šiose patalpose esančios įrangos sąrašas. Patalpų brėžiniuose pažymima:
25.6. elektroninės informacijos teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutarčių ir atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų (nurodant pareigas) sąrašas;
25.7. dokumentas, kuriame nurodoma programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos;
25.8. sąrašas, kuriame nurodyti veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės nariai su kontaktiniais duomenimis, leidžiančiais pasiekti šiuos asmenis bet kuriuo metu;
25.10. Viešųjų pirkimų tarnybos informacinių sistemų saugaus TIS elektroninės informacijos tvarkymo taisyklės.
25.13. Viešųjų pirkimų tarnybos informacinių sistemų atsarginių TIS elektroninės informacijos kopijų darymo, saugojimo ir TIS elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka.
25.14. Viešųjų pirkimų tarnybos informacinių sistemų administratorių ir naudotojų vardų ir slaptažodžių sudarymo bei naudojimo taisyklės.
IV. VALDYMO PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS
27. Valdymo plano išbandymo būdas ir data, atsižvelgiant per praėjusius kalendorinius metus įvykusius TIS elektroninės informacijos saugos incidentus, užfiksuotus TIS elektroninės informacijos saugos incidentų registravimo žurnale, TIS saugos įgaliotinio teikimu, tvirtinami Valdymo grupės posėdyje.
28. TIS saugos įgaliotinis per 10 darbo dienų po Valdymo plano veiksmingumo išbandymo parengia išbandymo ataskaitą bei priemonių planą išbandymo metu pastebėtiems trūkumams pašalinti.
29. Valdymo plano veiksmingumo išbandymo ataskaitą bei priemonių pastebėtiems trūkumams pašalinti planą, pritarus Atkūrimo grupei, tvirtina Tarnybos direktorius.
Viešųjų pirkimų tarnybos
Informacinių sistemų veiklos tęstinumo valdymo plano
1 priedas
VIEŠŲJŲ PIRKIMŲ TARNYBOS INFORMACINIŲ SISTEMŲ VEIKLOS ATKŪRIMO DETALUSIS PLANAS
Grėsmė sukėlusi nenumatytą situaciją |
Neatidėliotini veiksmai |
Nenumatytos situacijos likvidavimo veiksmai |
Atsakingas už neatidėliotinus ir likvidavimo veiksmus |
Vykdytojai |
Terminai |
1. Gaisras |
1.1. Priešgaisrinės gelbėjimo tarnybos (PGT) informavimas |
1.1.1. Gaisro vietos lokalizavimas pagal gaisro daviklius, prijungtus prie apsaugos tarnybos stebėjimo pulto ir gaisro gesinimas pradinėje stadijoje, jei gauta PGT rekomendacija |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Dokumentų valdymo ir ūkio skyriaus darbuotojai |
Iš karto įvykus incidentui |
1.1.2. Pasirengimas darbuotojų evakuacijai, jei gauta PGT rekomendacija |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Dokumentų valdymo ir ūkio skyriaus darbuotojai |
Iš karto įvykus incidentui |
||
1.2. Pavojų didinančių komunikacijų (elektra, vėdinimas ir pan.) išjungimas |
1.2.1. PGT rekomendacijų vykdymas |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Dokumentų valdymo ir ūkio skyriaus darbuotojai |
Iš karto įvykus incidentui |
|
1.2.2. Pastatą administruojančios organizacijos informavimas |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Dokumentų valdymo ir ūkio skyriaus darbuotojai |
Iš karto įvykus incidentui |
||
1.3. Darbuotojų evakavimas, esant PGT rekomendacijai |
1.3.1. Darbuotojų informavimas apie evakavimą, jei gauta PGT rekomendacija |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Iš karto įvykus incidentui |
|
1.4. Darbas pavojingoje zonoje, esant PGT rekomendacijai |
1.4.1. Darbuotojų informavimas apie saugų darbą gaisro zonoje |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Iš karto įvykus incidentui |
|
2. Patalpų pažeidimas ar praradimas |
2.1. Pastato savininko informavimas suveikus įsilaužimo davikliams, prijungtiems prie pastato signalizacijos ir apsaugos tarnybos pulto |
2.1.1. Pastato savininko rekomendacijos dėl veiklos tęsimo pažeistose patalpose |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Per 15 min. nuo incidento nustatymo |
2.1.2. Pastatą administruojančios organizacijos informavimas |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Per 15 min. nuo incidento nustatymo |
||
2.2. Veiklos perkėlimas į kitas patalpas |
2.2.1. Galimybių perkelti veiklą į kitas patalpas nagrinėjimas |
Direktoriaus pavaduotojas, TIS saugos įgaliotinis |
Tarnybos skyrių vedėjai
|
Per 2 val. nuo incidento nustatymo |
|
2.2.2. Veiklos perkėlimas į kitas patalpas. Darbuotojų informavimas apie darbą naujose patalpose |
Dokumentų valdymo ir ūkio skyriaus vedėjas ir Elektroninių pirkimų plėtros skyriaus vedėjas |
Dokumentų valdymo ir ūkio skyriaus ir Elektroninių pirkimų plėtros skyriaus darbuotojai |
Priklausomai nuo darbų apimties |
||
3. Vandentiekio ar šildymo sistemos sutrikimas |
3.1. Vandentiekio ar šildymo paslaugų teikėjo informavimas |
3.1.1. Pastato savininko ir pastatą administruojančios organizacijos informavimas ir rekomendacijų dėl tolimesnės veiklos gavimas |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Administravimo ir Dokumentų valdymo ir ūkio skyriaus vedėjas |
Per 2 val. nuo incidento nustatymo |
3.1.2. Darbuotojų informavimas apie rekomendacijas dėl tolimesnės veiklos |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Tarnybos skyrių vedėjai |
Per 3 val. nuo incidento nustatymo |
||
3.2. Sutrikimo pašalinimo prognozavimas ir prognozės skelbimas, sutrikimo šalinimas |
3.2.1. Darbuotojų informavimas apie sutrikimo pašalinimo prognozę |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Tarnybos skyrių vedėjai |
Priklausomai nuo sutrikimų atstatymo darbų pobūdžio |
|
3.2.2. Padarytos žalos įvertinimas |
Direktoriaus pavaduotojas, TIS saugos įgaliotinis |
Tarnybos skyrių vedėjai |
Priklausomai nuo sutrikimų atstatymo darbų pobūdžio |
||
3.2.3. Sutrikimo pašalinimo ir padarytos žalos likvidavimo priemonių plano sudarymas ir įgyvendinimas |
Direktoriaus pavaduotojas, TIS saugos įgaliotinis |
Tarnybos skyrių vedėjai |
Priklausomai nuo sutrikimų atstatymo darbų pobūdžio |
||
4. Tarnybos duomenų centro (DC) klimatinių sąlygų neatitikimas nustatytiems reikalavimams |
4.1. Bendrovės pagal sutartį prižiūrinčios duomenų centro oro kondicionavimo ir drėgmės kontrolės sistemą avarinės tarnybos iškvietimas |
4.1.1. Bendrovės pagal sutartį prižiūrinčios duomenų centro oro kondicionavimo ir drėgmės kontrolės sistemą avarinės tarnybos iškvietimas |
Elektroninių pirkimų plėtros skyriaus vedėjas |
Bendrovė pagal sutartį prižiūrinti duomenų centro oro kondicionavimo ir drėgmės kontrolės sistemą |
Per 15 min. nuo incidento nustatymo |
4.2. Klimatinių sąlygų neatitikimo nustatytiems reikalavimams pašalinimo prognozavimas ir prognozės skelbimas |
4.2.1. Tarnybos IS administratorių informavimas apie klimatinių sąlygų neatitikimo nustatytiems reikalavimams pašalinimo prognozę |
Elektroninių pirkimų plėtros skyriaus vedėjas |
Elektroninių pirkimų plėtros skyriaus vedėjas |
Per 2 val. nuo incidento nustatymo |
|
4.2.2. Padarytos žalos įvertinimas |
Direktoriaus pavaduotojas, TIS saugos įgaliotinis |
Elektroninių pirkimų plėtros skyriaus vedėjas |
Priklausomai nuo sutrikimų atstatymo darbų pobūdžio |
||
4.2.3. Klimatinių sąlygų neatitikimo nustatytiems reikalavimams pašalinimo ir padarytos žalos likvidavimo priemonių plano sudarymas ir įgyvendinimas |
Direktoriaus pavaduotojas, TIS saugos įgaliotinis |
Elektroninių pirkimų plėtros skyriaus vedėjas, TIS administratoriai |
Priklausomai nuo sutrikimų atstatymo darbų pobūdžio |
||
5. Elektros energijos tiekimo sutrikimas |
5.1. Elektros energijos tiekimo bendrovės informavimas apie elektros energijos tiekimo sutrikimą |
5.1.1. Elektros energijos tiekimo atstatymo prognozės gavimas iš elektros energijos tiekimo bendrovės |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Per 2 val. nuo incidento nustatymo |
5.2. Rezervinio elektros energijos tiekimo sistemos veikimo patikrinimas (dyzelinis elektros srovės generatorius, elektros srovės komutavimo įrenginys) |
5.2.1. Tarnybos IS administratorių informavimas apie elektros energijos tiekimą iš dyzelinio elektros srovės generatoriaus |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Per 2 val. nuo incidento nustatymo |
|
5.3. Elektros energijos tiekimo atstatymo prognozavimas ir prognozės skelbimas, sutrikimo šalinimas |
5.3.1. Tarnybos IS administratorių informavimas apie elektros energijos tiekimo atstatymo prognozę |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Per 2 val. nuo incidento nustatymo |
|
5.3.2. Padarytos žalos įvertinimas |
Direktoriaus pavaduotojas, TIS saugos įgaliotinis |
Elektroninių pirkimų plėtros skyriaus vedėjas |
Priklausomai nuo sutrikimų atstatymo darbų pobūdžio |
||
5.3.3. Elektros energijos tiekimo sutrikimo pašalinimo ir padarytos žalos likvidavimo priemonių plano sudarymas ir įgyvendinimas |
Direktoriaus pavaduotojas, TIS saugos įgaliotinis |
Elektroninių pirkimų plėtros skyriaus vedėjas, TIS administratoriai |
Priklausomai nuo sutrikimų atstatymo darbų pobūdžio |
||
6. Interneto ir telefono ryšio sutrikimai |
6.1. Galimų ryšio sutrikimo priežasčių nustatymas |
6.1.1. Atitinkamo ryšio paslaugų teikėjo informavimas |
Elektroninių pirkimų plėtros skyriaus vedėjas |
TIS administratoriai |
Per 2 val. nuo incidento nustatymo |
6.2. Ryšio sutrikimo pašalinimo prognozavimas ir prognozės skelbimas, sutrikimo šalinimas |
6.2.1. Tarnybos IS administratorių ir naudotojų informavimas apie ryšio atstatymo prognozę |
Elektroninių pirkimų plėtros skyriaus vedėjas |
Elektroninių pirkimų plėtros skyriaus vedėjas, TIS administratoriai |
Per 2 val. nuo incidento nustatymo |
|
6.2.2. Atitinkamo ryšio paslaugų teikėjo vykdomo ryšio atstatymo proceso kontrolė |
Elektroninių pirkimų plėtros skyriaus vedėjas |
Elektroninių pirkimų plėtros skyriaus vedėjas, TIS administratoriai |
Priklausomai nuo sutrikimų atstatymo darbų pobūdžio |
||
6.2.3. Tarnybos IS naudotojų informavimas apie ryšio atstatymą |
Elektroninių pirkimų plėtros skyriaus vedėjas |
TIS administratoriai |
Priklausomai nuo sutrikimų atstatymo darbų pobūdžio |
||
7. Tarnybinių stočių ir KDV aparatinės įrangos sugadinimas ar praradimas |
7.1. Teisėsaugos ir draudimo įstaigų informavimas |
7.1.1. Teisėsaugos ir draudimo įstaigų nurodymų dėl įvykio vietos apsaugos vykdymas |
Direktoriaus pavaduotojas, TIS saugos įgaliotinis |
Dokumentų valdymo ir ūkio skyriaus vedėjas |
Iš karto įvykus incidentui |
7.1.2. Tarnybos IS administratorių ir naudotojų informavimas dėl tolimesnės veiklos |
Dokumentų valdymo ir ūkio skyriaus vedėjas, Elektroninių pirkimų plėtros skyriaus vedėjas |
Elektroninių pirkimų plėtros skyriaus vedėjas, TIS administratoriai |
Per 2 val. nuo incidento nustatymo |
||
7.2. Nenumatytos situacijos pasekmių šalinimas |
7.2.1. Nenumatytos situacijos padarytos žalos įvertinimas |
Direktoriaus pavaduotojas, TIS saugos įgaliotinis |
Elektroninių pirkimų plėtros skyriaus vedėjas |
Priklausomai nuo sutrikimų atstatymo darbų pobūdžio |
|
7.2.2. Nenumatytos situacijos pasekmių likvidavimo plano sudarymas ir įgyvendinimas |
Dokumentų valdymo ir ūkio skyriaus vedėjas, Elektroninių pirkimų plėtros skyriaus vedėjas |
Elektroninių pirkimų plėtros skyriaus vedėjas, Bendrovė pagal sutartį teikianti infrastruktūros paslaugas, TIS administratoriai |
Priklausomai nuo sutrikimų atstatymo darbų pobūdžio |
||
8. Tarnybinių stočių ir KDV programinės įrangos sugadinimas ar praradimas |
8.1. Teisėsaugos įstaigų informavimas, įtarus neleistiną veiką |
8.1.1. Teisėsaugos įstaigų nurodymų vykdymas |
Direktoriaus pavaduotojas, TIS saugos įgaliotinis |
Elektroninių pirkimų plėtros skyriaus vedėjas |
Iš karto įvykus incidentui |
8.1.2. Tarnybos IS administratorių ir naudotojų informavimas dėl tolimesnės veiklos |
Dokumentų valdymo ir ūkio skyriaus vedėjas, Elektroninių pirkimų plėtros skyriaus vedėjas |
Elektroninių pirkimų plėtros skyriaus vedėjas, TIS administratoriai |
Iš karto įvykus incidentui |
||
8.2. Nenumatytos situacijos pasekmių šalinimas |
8.2.1. Nenumatytos situacijos padarytos žalos įvertinimas |
Direktoriaus pavaduotojas, TIS saugos įgaliotinis |
Elektroninių pirkimų plėtros vedėjas |
Priklausomai nuo sutrikimų atstatymo darbų pobūdžio |
|
8.2.2. Nenumatytos situacijos pasekmių likvidavimo plano sudarymas ir įgyvendinimas |
Elektroninių pirkimų plėtros skyriaus vedėjas |
Elektroninių pirkimų plėtros skyriaus vedėjas, Bendrovė pagal sutartį teikianti infrastruktūros paslaugas, TIS administratoriai |
Priklausomai nuo sutrikimų atstatymo darbų pobūdžio |
||
9. Duomenų praradimas, pakeitimas ar atskleidimas |
9.1. Teisėsaugos įstaigų informavimas, įtarus neleistiną veiką |
9.1.1. Teisėsaugos įstaigų nurodymų vykdymas |
Direktoriaus pavaduotojas, TIS saugos įgaliotinis |
Elektroninių pirkimų plėtros skyriaus vedėjas |
Iš karto įvykus incidentui |
9.1.2. Tarnybos IS administratorių ir naudotojų informavimas dėl tolimesnės veiklos |
Dokumentų valdymo ir ūkio skyriaus vedėjas, Elektroninių pirkimų plėtros skyriaus vedėjas |
Elektroninių pirkimų plėtros skyriaus vedėjas, TIS administratoriai |
Iš karto įvykus incidentui |
||
9.2. Nenumatytos situacijos pasekmių šalinimas |
9.2.1. Nenumatytos situacijos padarytos žalos įvertinimas |
Direktoriaus pavaduotojas, TIS saugos įgaliotinis |
Elektroninių pirkimų plėtros skyriaus vedėjas |
Priklausomai nuo sutrikimų atstatymo darbų pobūdžio |
|
9.2.2. Prarastų arba pakeistų duomenų atkūrimas iš atsarginių kopijų, vadovaujantis atsarginio duomenų kopijavimo ir atstatymo procedūra |
Elektroninių pirkimų plėtros skyriaus vedėjas |
Elektroninių pirkimų plėtros skyriaus vedėjas, Bendrovė pagal sutartį teikianti infrastruktūros paslaugas, TIS administratoriai |
Priklausomai nuo sutrikimų atstatymo darbų pobūdžio |
||
10. Darbuotojų praradimas |
10.1. Nenumatytos situacijos įvertinimas |
10.1.1. Reikalingų darbuotojų paieška ir priėmimas į darbą |
Direktoriaus pavaduotojas, TIS saugos įgaliotinis |
Dokumentų valdymo ir ūkio skyriaus vedėjas, Teisės ir personalo skyriaus vedėjas, Elektroninių pirkimų plėtros skyriaus vedėjas |
Per 1 mėnesį |
_______________________________
Viešųjų pirkimų tarnybos
veiklos atkūrimo plano
2 priedas
VIEŠŲJŲ PIRKIMŲ TARNYBOS INFORMACINIŲ SISTEMŲ ELEKTRONINĖS INFORMACIJOS SAUGOS INCIDENTŲ REGISTRAVIMO ŽURNALAS
Pradėta 201_m. ___________mėn. ___d.
Eil. Nr. |
Elektroninės informacijos saugos incidento (EISI) aprašymas |
EISI kodas |
EISI pradžia (metai, mėnuo, diena, valanda) |
EISI pabaiga (metai, mėnuo, diena, valanda) |
EISI nenumatyta pašalino (vardas, pavardė) |
TIS saugos įgaliotinis (vardas, pavardė, parašas) |
1 |
|
|
|
|
|
|
2 |
|
|
|
|
|
|
3 |
|
|
|
|
|
|
4 |
|
|
|
|
|
|
5 |
|
|
|
|
|
|
6 |
|
|
|
|
|
|
7 |
|
|
|
|
|
|
8 |
|
|
|
|
|
|
9 |
|
|
|
|
|
|
10 |
|
|
|
|
|
|
Nenumatytos situacijos kodai:
01 - gaisras; 02 - patalpų pažeidimas arba praradimas; 03 - vandentiekio ar šildymo sistemos sutrikimai; 04 - Tarnybos duomenų centro (DC) klimatinių sąlygų neatitikimas nustatytiems reikalavimams; 05 - elektros energijos tiekimo sutrikimai; 06 – interneto ir telefono ryšio sutrikimai; 07 – tarnybinių stočių ir KDV aparatinės įrangos sugadinimas ar praradimas; 08 – tarnybinių stočių ir KDV programinės įrangos sugadinimas ar praradimas; 09 - duomenų praradimas, pakeitimas ar atskleidimas; 10 - darbuotojų praradimas.
_______________________________
PATVIRTINTA
Viešųjų pirkimų tarnybos
direktoriaus 2018 m. sausio 22 d.
įsakymu Nr. 1S-12
VIEŠŲJŲ PIRKIMŲ TARNYBOS INFORMACINIŲ SISTEMŲ NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS
I. BENDROSIOS NUOSTATOS
1. Viešųjų pirkimų tarnybos informacinių sistemų naudotojų administravimo taisyklės (toliau – Taisyklės) nustato tvarką ir principus, kuriais vadovaujantis Viešųjų pirkimų tarnybos (toliau – Tarnyba) Centrinės viešųjų pirkimų informacinės sistemos, Tarnybos Vidaus administravimo informacinės sistemos ir Tarnybos Viešųjų pirkimų rizikos valdymo informacinės sistemos vidaus ir išorės administratoriai suteikia ar panaikina šių informacinių sistemų naudotojams prieigą prie šių informacinių sistemų bei suteikia, koreguoja ar panaikina teises naudotis šiose informacinėse sistemose tvarkomais duomenimis.
2. Taisyklės parengtos vadovaujantis šiais teisės aktais:
2.1. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, saugos dokumentų turinio gairių aprašo ir elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
2.2. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“.
3. Taisyklėse vartojamos sąvokos
3.1. Tarnybos informacinės sistemos (TIS) – Tarnybos Centrinė viešųjų pirkimų informacinė sistema, Tarnybos Vidaus administravimo informacinė sistema ir Tarnybos Viešųjų pirkimų rizikos valdymo informacinė sistema.
3.2. TIS Vidaus administratorius – Tarnybos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, atliekantis TIS priežiūrą.
3.3. TIS išorės administratorius – asmuo, pagal Tarnybos pasirašytą paslaugų teikimo sutartį, atliekantis TIS priežiūrą.
3.4. TIS vidaus naudotojas – Tarnybos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis TIS ištekliais numatytoms darbo ar valstybės tarnybos funkcijoms atlikti.
3.5. TIS išorės naudotojas (pagal sutartį) – asmuo, kuris nėra Tarnybos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, bet pagal Tarnybos pasirašytą duomenų teikimo sutartį, turintis teisę naudotis TIS ištekliais duomenų teikimo sutartyje ar teisės aktuose numatytoms funkcijoms atlikti.
3.6. TIS išorės naudotojas (pagal įstatymą) – asmuo, kuris nėra Tarnybos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, tačiau vadovaujantis Lietuvos Respublikos viešųjų pirkimų įstatymu, Lietuvos Respublikos viešųjų pirkimų, atliekamų gynybos ir saugumo srityje, įstatymu, Lietuvos Respublikos pirkimų, atliekamų vandentvarkos, energetikos, transporto ar pašto paslaugų srities perkančiųjų subjektų, įstatymu, Lietuvos Respublikos koncesijų įstatymu turi teisę naudotis TIS ištekliais įstatyme numatytoms funkcijoms atlikti.
Kitos Taisyklėse vartojamos sąvokos atitinka Taisyklių 3 punkte nurodytuose teisės aktuose nustatytas sąvokas.
4. Taisyklės įsigalioja, kai jos, suderinus su Lietuvos Respublikos vidaus reikalų ministerija, patvirtinamos Tarnybos direktoriaus įsakymu.
5. Vadovautis Taisyklėmis privalo visi TIS vidaus ir išorės naudotojai, TIS vidaus ir išorės administratoriai, saugos įgaliotinis.
7. TIS vidaus ir išorės naudotojams prieiga prie TIS tvarkomų duomenų suteikiama vadovaujantis šiais principais:
7.1. TIS vidaus naudotojams prieiga turi būti suteikiama tik prie tų duomenų ir tik tokia apimtimi, kuri reikalinga pareigybės aprašyme nurodytoms funkcijoms atlikti;
7.2. TIS išorės naudotojams (pagal įstatymą) prieiga turi būti suteikiama tik prie tų duomenų ir tik tokia apimtimi, kuri reikalinga Viešųjų pirkimų įstatyme ir kituose viešųjų pirkimų vykdymo tvarką reglamentuojančiuose teisės aktuose nurodytoms funkcijoms atlikti;
7.3. TIS išorės naudotojams (pagal sutartį) prieiga turi būti suteikiama tik prie tų duomenų ir tik tokia apimtimi, kuri nurodyta duomenų teikimo sutartyse;
7.4. TIS tvarkomus duomenis gali tvarkyti (sukurti, papildyti ar panaikinti) tik tokius įgaliojimus turintys TIS naudotojai;
II. TIS NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS
8. TIS vidaus ir išorės naudotojai gali naudotis tik tomis TIS funkcijomis bei TIS tvarkomais duomenimis, prie kurių prieigą jiems suteikė TIS vidaus ir išorės administratoriai.
9. TIS vidaus ir išorės naudotojai pastebėję TIS saugumo pažeidimus, neleistinos arba nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugą užtikrinančias priemones, privalo apie tai nedelsdami pranešti atitinkamos TIS vidaus administratoriui, o pastarasis nedelsdamas informuoti TIS saugos įgaliotinį.
10. TIS vidaus ir išorės naudotojai privalo užtikrinti jų naudojamos TIS elektroninės informacijos konfidencialumą bei vientisumą, savo veiksmais netrikdyti duomenų prieinamumo.
11. TIS vidaus ir išorės naudotojai turi teisę gauti informaciją apie jų naudojamų duomenų apsaugos lygį bei taikomas apsaugos priemones, rekomenduoti papildomas apsaugos priemones.
12. TIS vidaus ir išorės naudotojai, naudodamiesi TIS elektronine informacija, privalo:
III. SAUGAUS TIS ELEKTRONINĖS INFORMACIJOS TEIKIMO TIS NAUDOTOJAMS KONTROLĖS TVARKA
14. Už TIS vidaus ir išorės naudotojų prieigos prie atitinkamos TIS ir su tuo susijusių teisių suteikimą, pakeitimą arba panaikinimą yra atsakingi tos TIS vidaus ir (ar) išorės administratoriai.
16. TIS priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą TIS administratoriaus paskyrą, kuria naudojantis negalima atlikti TIS naudotojo funkcijos.
17. Centrinės viešųjų pirkimų informacinės sistemos (toliau – CVP IS) vidaus naudotojams prieiga prie CVP IS suteikiama tiesioginio vidaus naudotojo vadovo sprendimu elektroniniu paštu informavus apie tai Tarnybos Elektroninių pirkimų plėtros skyriaus vedėją.
19. CVP IS išorės naudotojams prieiga prie sistemos suteikiama arba panaikinama:
19.1. išorės naudotojui (pagal sutartį), tik pasirašius duomenų teikimo sutartį ir vadovaujantis tokių sutarčių atitinkamomis nuostatomis arba duomenų valdytojų sudarytais naudotojų teisių reglamentais;
20. Viešųjų pirkimų rizikos valdymo informacinės sistemos (toliau – VPRV IS) vidaus naudotojams prieiga prie sistemos suteikiama arba panaikinama tiesioginio vidaus naudotojo vadovo sprendimu elektroniniu paštu informavus apie tai Tarnybos Elektroninių pirkimų plėtros skyriaus vedėją.
21. VPRV IS išorės naudotojams prieiga prie sistemos suteikiama arba panaikinama pasirašius duomenų teikimo susitarimą.
22. Vidaus administravimo informacinės sistemos (toliau – VA IS) vidaus naudotojams prieiga suteikiama arba panaikinama tiesioginio vidaus naudotojo vadovo sprendimu elektroniniu paštu informavus apie tai Elektroninių pirkimų plėtros skyriaus vedėją.
24. Reikalavimai TIS vidaus ir išorės administratoriaus, TIS vidaus ir išorės naudotojo vardui ir slaptažodžiui nurodyti Tarnybos TIS administratorių ir naudotojų vardų ir slaptažodžių sudarymo bei naudojimo taisyklėse.
25. Didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius turi būti ne didesnis nei 5 kartai. Įvedus slaptažodį 5 kartus neteisingai, TIS turi užsirakinti ir neleisti identifikuotis ne trumpesnį nei 15 min laiko tarpą.
26. Tarnybos Elektroninių pirkimų plėtros skyriaus vedėjo sprendimu TIS vidaus naudotojui teisė dirbti su konkrečia TIS elektronine informacija ribojama ar sustabdoma, kai vidaus naudotojas nedirba ilgiau kaip 3 mėn., nušalinus jį nuo pareigų ir pan. Pasibaigus tarnybos (darbo) santykiams, vidinio informacinės sistemos naudotojo teisė naudotis informacine sistema turi būti panaikinta nedelsiant.
27. Kai TIS vidaus naudotojas perkeliamas į kitas pareigas, jam suteiktos TIS vidaus naudotojo teisės pakeičiamos atsižvelgiant į jo pareigybės aprašyme nurodytas funkcijas.
28. TIS vidaus naudotojui teisė naudotis TIS turi būti panaikinta pasibaigus tarnybos (darbo) santykiams, netekus teisės naudotis TIS elektronine informacija ar nustačius neteisėtą TIS vidaus naudotojo veiką.
Viešųjų pirkimų tarnybos informacinių sistemų
naudotojų administravimo taisyklių
1 priedas
VIEŠŲJŲ PIRKIMŲ TARNYBOS INFORMACINIŲ SISTEMŲ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS POLITIKA IR JĄ ĮGYVENDINANČIAIS DOKUMENTAIS ŽURNALAS
Pradėta 201_m. ___________mėn. ___d.
Eil. Nr. |
Data |
TIS naudotojo vardas, pavardė |
Parašas |
Supažindinusio vardas, pavardė |
Parašas |
1. |
|
|
|
|
|
2. |
|
|
|
|
|
3. |
|
|
|
|
|
4. |
|
|
|
|
|
5. |
|
|
|
|
|
6. |
|
|
|
|
|
7. |
|
|
|
|
|
8. |
|
|
|
|
|
9. |
|
|
|
|
|
10. |
|
|
|
|
|
11. |
|
|
|
|
|
12. |
|
|
|
|
|
13. |
|
|
|
|
|
14. |
|
|
|
|
|
15. |
|
|
|
|
|
16. |
|
|
|
|
|
17. |
|
|
|
|
|
18. |
|
|
|
|
|
19. |
|
|
|
|
|
20. |
|
|
|
|
|
21. |
|
|
|
|
|
22. |
|
|
|
|
|
23. |
|
|
|
|
|
24. |
|
|
|
|
|
25. |
|
|
|
|
|
26. |
|
|
|
|
|
27. |
|
|
|
|
|
28. |
|
|
|
|
|
29. |
|
|
|
|
|
30. |
|
|
|
|
|
31. |
|
|
|
|
|
32. |
|
|
|
|
|
33. |
|
|
|
|
|
34. |
|
|
|
|
|
35. |
|
|
|
|
|
36. |
|
|
|
|
|