Įsakymas dėl eLABos reglamentuoj dokumentų.docx

LIETUVOS RESPUBLIKOS ŠVIETIMO IR MOKSLO MINISTRAS

ĮSAKYMAS

DĖL LIETUVOS AKADEMINĖS ELEKTRONINĖS BIBLIOTEKOS INFORMACINĖS SISTEMOS SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ PATVIRTINIMO

2015 m. liepos 2 d. Nr. V-710

Vilnius

Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 43 straipsnio 2 dalimi, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 8 punktu:

1. T v i r t i n u pridedamus:

1.1. Lietuvos akademinės elektroninės bibliotekos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;

1.2. Lietuvos akademinės elektroninės bibliotekos informacinės sistemos veiklos tęstinumo valdymo planą;

1.3. Lietuvos akademinės elektroninės bibliotekos informacinės sistemos naudotojų administravimo taisykles.

2. P a v e d u Lietuvos akademinės elektroninės bibliotekos informacinės sistemos (toliau – eLABa) techniniams centrams parengti ir pagrindiniam eLABa tvarkytojui Vilniaus universitetui iki 2015 m. rugsėjo 30 dienos patvirtinti:

2.1. eLABa veiklos tęstinumo rizikos mažinimo prevencinių priemonių aprašus;

2.2. eLABa veiklos tęstinumo valdymo ir atkūrimo grupių sudėtį;

2.3. eLABa įrangos, būtinos atkurti eLABa infrastruktūrą minimalia ir visa apimtimi, sąmatas;

2.4. eLABa duomenų teikimo bei kompiuterinės, techninės ir programinės įrangos priežiūros sutarčių (jei tokios sutartys sudarytos) sąrašą;

2.5. eLABa duomenų atkūrimo iš atsarginių kopijų tvarkos aprašą.

Švietimo ir mokslo ministrė Audronė Pitrėnienė

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2015 m. birželio 2 d. raštu Nr. 1D-4962

PATVIRTINTA

Lietuvos Respublikos

švietimo ir mokslo ministro

2015 m. liepos 2 įsakymu Nr. V-710

LIETUVOS AKADEMINĖS ELEKTRONINĖS BIBLIOTEKOS

INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS

TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos akademinės elektroninės bibliotekos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) nustato tvarką, pagal kurią turi būti saugiai tvarkoma Lietuvos akademinės elektroninės bibliotekos informacinės sistemos (toliau – eLABa) elektroninė informacija.

2. Taisyklės privalomos eLABa naudotojams ir administratoriams.

3. Už Taisyklių įgyvendinimo organizavimą ir kontrolę atsako eLABa saugos įgaliotinis bendrai ir eLABa tvarkytojų saugos įgaliotiniai subsidiariai.

4. Taisyklės parengtos, vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Lietuvos akademinės elektroninės bibliotekos informacinės sistemos nuostatais (toliau – eLABa nuostatai) ir Lietuvos akademinės elektroninės bibliotekos informacinės sistemos duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos švietimo ir mokslo ministro 2014 m. rugsėjo 22 d. įsakymu Nr. V-838 „Dėl švietimo ir mokslo ministro 2006 m. liepos 14 d. įsakymo Nr. ISAK-1506 „Dėl Lietuvos mokslo ir studijų elektroninių dokumentų informacinės sistemos (eLABa) įsteigimo“ pakeitimo“ (toliau – eLABa duomenų saugos nuostatai), Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, ir kitais teisės aktais.

5. Taisyklėse vartojamos sąvokos:

5.1. eLABa naudotojas – juridinis arba fizinis asmuo, eLABa nuostatų nustatytoms funkcijoms naudojantis ir (ar) tvarkantis eLABa elektroninę informaciją;

5.2. vidinis eLABa naudotojas – informacinės sistemos naudotojas, darbo santykiais susijęs su eLABa valdytoju arba informacinės sistemos tvarkytoju;

5.3. eLABa sisteminis administratorius – pagrindinio eLABa tvarkytojo paskirtas darbuotojas, vykdantis eLABa operacinių sistemų, duomenų bazių valdymo sistemų, ugniasienių, duomenų perdavimo tinklų priežiūrą;

5.4. eLABa taikomosios programinės įrangos administratorius – pagrindinio eLABa tvarkytojo paskirtas darbuotojas, vykdantis eLABa taikomosios programinės įrangos priežiūrą;

5.5. eLABa naudotojų teisių administratorius – pagrindinio eLABa tvarkytojo arba eLABa tvarkytojo darbuotojas, kuriam atitinkamas tvarkytojas priskyrė pareigą ir teisę suteikti eLABa naudotojams teises, atitinkamoms eLABa funkcijoms atlikti;

5.6. eLABa lokalaus tinklo ir darbo vietų administratorius – eLABa tvarkytojo paskirtas darbuotojas, kuriam atitinkamas eLABa tvarkytojas priskyrė pareigą vykdyti tvarkytojo lokalaus tinklo, naudotojų darbo vietų priežiūrą;

5.7. pagrindinis eLABa administratorius – pagrindinio eLABa tvarkytojo darbuotojas, dirbantis pagal darbo sutartį, kuriam tvarkytojas paskyrė pareigą ir teisę koordinuoti visų kitų eLABa administratorių ar paslaugų teikėjo darbą prižiūrint informacinę sistemą ir (ar) jos infrastruktūrą;

5.8. Kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip apibrėžtos Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, Saugos dokumentų turinio gairių apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, eLABa nuostatuose, eLABa duomenų saugos nuostatuose ir kituose saugų duomenų tvarkymą reglamentuojančiuose teisės aktuose.

6. eLABa informacinėje sistemoje tvarkoma elektroninė informacija yra pateikta eLABa nuostatų 19 punkte.

7. eLABa pagal tvarkomą informaciją priskirta informacinių sistemų kategorijai, kuri nurodyta eLABa duomenų saugos nuostatų 13 punkte.

8. Už eLABa elektroninės informacijos tvarkymą atsakingi:

8.1. eLABa administratoriai – už informacijos, nurodytos eLABa nuostatų 19.2, 19.5, 19.7, 19.8, 19.9, 19.10 papunkčiuose;

8.2. vidiniai eLABa naudotojai (darbo vadovai, bibliotekininkai, institucijos padalinio registratoriai, institucijos registratoriai) – už informacijos, nurodytos eLABa nuostatų 19.1, 19.2, 19.3, 19.4, 19.6 papunkčiuose;

8.3. eLABa naudotojai už:

8.3.1. tik savo duomenis eLABa nuostatų 19.3 papunktyje;

8.3.2. tik savo duomenis eLABa nuostatų 19.4 papunktyje.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

9. Kompiuterinės įrangos saugos priemonės:

9.1. eLABa administratorių kompiuteriuose turi būti naudojama antivirusinė ir kita programinė įranga, skirta aptikti ir realiu metu stebėti ir šalinti kenksmingą programinę įrangą. Ši įranga turi būti nuolatos, bet ne rečiau kaip kartą per savaitę, atnaujinama ir automatiškai turi informuoti darbo vietos administratorių apie tai, kurių eLABa posistemių, funkciškai savarankiškų sudedamųjų dalių uždelsta atsinaujinimo veikla;

9.2. turi būti operatyviai išbandomi ir įdiegiami eLABa administratorių darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai; eLABa lokalaus tinklo ir darbo vietų administratorius reguliariai, ne rečiau kaip kartą per mėnesį, turi įvertinti informaciją apie eLABa tvarkytojo darbuotojų darbo vietų kompiuterinei įrangai neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumo svarbos lygius;

9.3. eLABa administratorių kompiuterinėje įrangoje turi būti naudojama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga;

9.4. eLABa administratorių darbo vietose gali būti naudojamos tik tarnybinėms reikmėms skirtos išorinės duomenų laikmenos (pavyzdžiui, USB, CD / DVD ir kt.); šios laikmenos negali būti naudojamos veiklai, nesusijusiai su teisėtu eLABa tvarkymu;

9.5. nuotolinis prisijungimas prie eLABa turi būti vykdomas protokolu, skirtu duomenims šifruoti.

10. Sisteminės ir taikomosios programinės įrangos saugos priemonės:

10.1. neatliekant jokių veiksmų su eLABa 30 minučių, eLABa taikomoji programinė įranga turi užsirakinti, kad toliau naudotis eLABa galima būtų, tik pakartotinai patvirtinus savo tapatybę;

10.2. techninių centrų eLABa tarnybinėse stotyse turi būti naudojama antivirusinė ir kita programinė įranga, skirta aptikti ir realiu metu stebėti ir šalinti kenksmingą programinę įrangą. Ši įranga turi būti nuolatos, bet ne rečiau kaip kartą per savaitę atnaujinama ir automatiškai turi informuoti eLABa sisteminį administratorių apie tai, kurių eLABa posistemių, funkciškai savarankiškų sudedamųjų dalių uždelsta atsinaujinimo veikla; eLABa komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu yra patvirtinama, kad šių komponentų rizika yra priimtina;

10.3. turi būti operatyviai išbandomi ir įdiegiami eLABa tarnybinių stočių įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai; techninių centrų eLABa administratoriai reguliariai, ne rečiau kaip kartą per savaitę, turi įvertinti informaciją apie eLABa posistemėms, funkciškai savarankiškoms sudedamosioms dalims neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumo svarbos lygius;

10.4. eLABa vidinių naudotojų ir administratorių darbo vietose bei tarnybinėse stotyse naudojama tik legali, pripažinta tinkama programinė įranga;

10.5. eLABa techninė ir programinė įranga turi būti prižiūrima, laikantis gamintojo rekomendacijų;

10.6. eLABa techninės ir programinės įrangos priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai;

10.7. eLABa sisteminis administratorius turi būti įspėjamas, kai pagrindinėje eLABa kompiuterinėje įrangoje sumažėja iki nustatytos pavojingos ribos laisvos kompiuterio atminties ar vietos diske, ilgai stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja;

10.8. eLABa turi turėti įvestos elektroninės informacijos tikslumo, užbaigtumo ir patikimumo tikrinimo priemones;

10.9. svarbiausia įranga turi būti dubliuojama ir jos techninė būklė nuolat stebima;

10.10. informacija apie į eLABa įrašomus duomenis, apie eLABa įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis į eLABa, visus eLABa naudotojų vykdomus veiksmus, kitus saugai svarbius įvykius, nurodant eLABa naudotojo identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką, turi būti saugoma ne toje pačioje informacinėje sistemoje, kurioje jie įrašomi; turi būti analizuojama ne rečiau kaip kartą per savaitę; įvykių žurnaluose duomenys turi būti saugomi ne trumpiau kaip 1 metus;

10.11. pagrindinėse eLABa tarnybinėse stotyse turi būti naudojamos vykdomo kodo kontrolės priemonės, automatiškai apribojančios ar informuojančios apie neautorizuoto programinio kodo vykdymą;

10.12. pagrindinėse eLABa tarnybinėse stotyse turi būti įjungtos ugniasienės, sukonfigūruotos praleisti tik su eLABa funkcionalumu ir administravimu susijusį duomenų srautą;

10.13. programinės įrangos bandymas atliekamas, naudojant atskirą testavimo aplinką, kurioje nėra saugomi asmens duomenys;

10.14. kiekvienas eLABa naudotojas turi būti informacinėje sistemoje unikaliai identifikuojamas eLABa naudotojo vardu. Asmens kodas negali būti naudojamas kaip eLABa naudotojo identifikatorius;

10.15. eLABa naudotojai ir eLABa administratoriai turi patvirtinti savo tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone.

11. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

11.1. eLABa tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių eLABa naudotojų kompiuterinę įrangą nuo kenksmingo kodo;

11.2. viešaisiais ryšių tinklais perduodamos eLABa elektroninės informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą, virtualų privatų tinklą (angl. virtual private network), skirtines linijas, saugų elektroninių ryšių tinklą ar kitas priemones;

11.3. duomenų perdavimo tinklo mazgai ir ryšio linijos turi būti dubliuoti ir jų techninė būklė nuolat stebima;

11.4. eLABa tinkle turi būti įdiegtos ir veikti automatinės įsilaužimo aptikimo sistemos.

12. Patalpų ir aplinkos saugumo užtikrinimo priemonės:

12.1. eLABa tarnybinių stočių patalpos turi būti apsaugotos nuo neteisėto asmenų patekimo į jas;

12.2. eLABa tarnybinių stočių patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir (arba) apsaugos tarnybos stebėjimo pulto;

12.3. svarbiausia kompiuterinė įranga ir duomenų perdavimo tinklo mazgai turi turėti rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne mažiau kaip 30 min.;

12.4. eLABa tarnybinių stočių patalpose turi būti oro kondicionavimo ir drėgmės kontrolės įranga;

12.5. visose patalpose, kuriose yra eLABa tarnybinių stočių techninė įranga, turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybų;

12.6. patekimas prie vidinių eLABa naudotojų darbo vietų turi būti kontroliuojamas;

12.7. įrengta elektroninė patalpų perimetro kontrolės sistema. Tarnybinių stočių patalpos turi atskirą elektroninę perimetro kontrolės sistemą;

12.8. įrengta tam tikrų patalpų apsaugos signalizacija, kurios signalai, pasibaigus darbo dienai, taip pat poilsio ir švenčių dienomis persiunčiami patalpas saugančiai tarnybai;

12.9. eLABa sisteminiam administratoriui išduodama asmeninė magnetinė įėjimo kortelė, kurią įeidamas ir išeidamas pasižymi patikros punktuose;

12.10. visi eLABa sisteminio administratoriaus ir kitų darbuotojų įėjimų ir išėjimų į patalpas kartai fiksuojami ir laikomi elektronine forma ne trumpiau kaip 1 metus;

12.11. kiti darbuotojai, kuriems nėra išduota asmeninė magnetinė įėjimo kortelė, į patalpas gali patekti tik lydimi už atitinkamo techninio centro patalpų kontrolę atsakingo asmens;

12.12. įvykus apsaugos sistemos gedimui, pildomas įėjimo punkto žurnalas, nurodant patekimo priežastį, pradžią ir pabaigą;

12.13. žurnalas privalo būti pateiktas, eLABa saugos įgaliotiniui pareikalavus;

12.14. lankytojams ir svečiams privaloma atsakingo darbuotojo palyda;

12.15. lankytojai ir svečiai pasirašo įėjimo punkto žurnale. Už apsilankymą atsakingas darbuotojas patvirtina apsilankymo duomenis ir pasirašo įėjimo punkto žurnale;

12.16. po 22 val. ir ne darbo dienomis į atitinkamo techninio centro patalpas savarankiškai patekti gali tik eLABa sisteminis administratorius, eLABa saugos įgaliotinis ir kiti specialius leidimus turintys darbuotojai, kuriuos patvirtina atitinkamo techninio centro vadovas;

12.17. prieš patekdamas į patalpas po 22 val. ir ne darbo dienomis, darbuotojas privalo informuoti saugos tarnybą (apsaugos darbuotoją).

13. Kitos priemonės, naudojamos elektroninės informacijos saugai užtikrinti:

13.1. turi būti registruojami duomenų bazių struktūros ir tarnybinių stočių operacinės sistemos pakeitimai;

13.2. baigęs darbą, naudotojas turi užtikrinti, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungti nuo eLABa, uždaryti programinę įrangą, įjungti ekrano užsklandą su slaptažodžiu;

13.3. eLABa veikla atkuriama, vadovaujantis Lietuvos akademinės elektroninės bibliotekos informacinės sistemos veiklos tęstinumo valdymo planu.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

14. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo užtikrinimo tvarka:

14.1. tvarkomus duomenis įvesti, atnaujinti, šalinti gali eLABa naudotojas pagal jam priskirtą vaidmenį sistemoje, nurodytą Taisyklių 8 punkte;

14.2. pateikiamų į eLABa dokumentų aprašų informacijos (metaduomenų) prieiga tvarkymui priklauso nuo naudotojo vaidmens sistemoje, jo santykio su dokumentu ir dokumento būsenos dokumento apdorojimo procese;

14.3. kiekvienas eLABa tvarkytojas gali tvarkyti tik savo institucijai priklausančius duomenis (dokumentų, klasifikatorių ir naudotojų duomenis);

14.4. prieiga prie visateksčio elektroninio dokumento reglamentuojama teisiniais dokumentais, užtikrinančiais jo savininko intelektinės nuosavybės apsaugą;

14.5. duomenys į eLABa duomenų bazes gali būti įvesti, atnaujinami, naikinami, tik turint teisėtą pagrindą;

14.6. duomenų įvedimas, atnaujinimas, naikinimas registruojami elektroniniuose žurnaluose, nurodant eLABa naudotoją, darbo laiką, prisijungimo datą, atliktus veiksmus.

15. Informacinės sistemos naudotojų veiksmų registravimo tvarka:

15.1. elektroniniuose žurnaluose automatiškai registruojami eLABa naudotojo veiksmai su eLABa duomenimis;

15.2. eLABa taikomosios programinės įrangos administratorius gali peržiūrėti duomenų sukūrimo, redagavimo ar šalinimo veiksmus pagal atskirą objektą (pvz., dokumentą, klasifikatorių), naudotoją, instituciją, laiko intervalą.

16. Atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka:

16.1. eLABa duomenų bazių ir archyvų valdymas organizuojamas, atsižvelgiant į eLABa nuostatų 40 punkto reikalavimus;

16.2. visa eLABa duomenų kopija daroma ne rečiau kaip kartą per savaitę, pokyčių (inkrementinė kopija) – ne rečiau kaip kartą per parą;

16.3. visos duomenų kopijos saugomos ne trumpiau kaip vieną mėnesį, pokyčių – ne trumpiau kaip vieną savaitę;

16.4. visos duomenų kopijos saugomos atskiroje patalpoje nuo pagrindinių eLABa tarnybinių stočių;

16.5. duomenis atkurti iš atsarginės kopijos turi teisę eLABa sisteminis administratorius, prieš tai įsitikinęs, kad toks atkūrimas nesugadins esamų duomenų;

16.6. apie duomenų atkūrimą eLABa sisteminis administratorius privalo informuoti eLABa saugos įgaliotinį;

16.7. visiškas sistemos atkūrimas iš atsarginės kopijos turi užtrukti ne daugiau kaip 24 valandas.

17. Elektroninės informacijos neteisėto duomenų kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:

17.1. eLABa naudotojai, pastebėję neteisėto duomenų kopijavimo, keitimo, naikinimo, perdavimo ar kitus saugos dokumentų reikalavimų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai eLABa lokalaus tinklo ir darbo vietų administratoriui;

17.2. eLABa lokalaus tinklo ir darbo vietų administratorius jam prieinamomis programinėmis priemonėmis patikrina gautą pranešimą apie pažeidimą ir, faktui pasitvirtinus, jei to nepadarė kitas eLABa administratorius, registruoja incidentą pažeidimų žurnale adresu http://darbai.labt.lt/redmine bei imasi visų įmanomų prevencinių priemonių. Jei priemonės nepakankamos, informuoja eLABa sisteminį administratorių;

17.3. eLABa sisteminis administratorius išanalizuoja gautą informaciją, įvertina, ar nereikėtų papildomų prevencinių priemonių. Jei siūlomos papildomos priemonės, eLABa sisteminis administratorius informuoja pagrindinio eLABa tvarkytojo atsakingus asmenis ir eLABa saugos įgaliotinį.

18. Programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:

18.1. eLABa techninės ir programinės įrangos atnaujinimui galioja pokyčių valdymo tvarka;

18.2. eLABa programinės ir techninės įrangos keitimo ir atnaujinimo tvarką su trečia šalimi, kuriai Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos informacinės sistemos ir (ar) jos infrastruktūros priežiūros funkcijos (toliau – paslaugų teikėjas), atsižvelgiant į konkretų atvejį, derina eLABa sisteminis ir taikomosios programinės įrangos administratoriai arba ji aprašoma paslaugų, susijusių su eLABa programinės ir techninės įrangos keitimu ir atnaujinimu, teikimo sutartyse ir sistemos priežiūros reglamentuose;

18.3. migravimą prie naujos operacinės sistemos versijos inicijuoja eLABa sisteminis administratorius, darbus suderinęs su eLABa administruojančios institucijos pagrindiniu administratoriumi ir taikomosios programinės įrangos administratoriumi;

18.4. apie visus darbus, kurie gali sutrikdyti eLABa sistemos veikimą, eLABa sisteminis arba taikomosios programinės įrangos administratoriai iš anksto privalo informuoti eLABa saugos įgaliotinį ir eLABa tvarkytojus.

19. eLABa pokyčių valdymo tvarka:

19.1. eLABa valdytojas užtikrina informacinės sistemos pokyčių (toliau – pokyčiai) valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas pagal pokyčio tipą (administracinis, organizacinis ar techninis), įtakos vertinimą (svarbumas ir skubumas) ir pokyčių prioritetų nustatymo procesus;

19.2. duomenų valdymo įgaliotinis, vadovaudamasis eLABa plėtros planu, kitais valdytojo planavimo dokumentais:

19.2.1. vykdo eLABa pokyčių valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas pagal pokyčio tipą (administracinis, organizacinis ar techninis);

19.2.2. siūlo valdytojui pokyčio įtakos vertinimą (svarbumas ir skubumas) ir pokyčių prioritetą;

19.2.3. įgyvendina eLABa ar funkciškai savarankiškos jos sudedamosios dalies (toliau – posistemė) plėtrą;

19.2.4. tiesiogiai prižiūri, kaip kuriama ir tvarkoma eLABa sistema, jos posistemės ar funkciškai savarankiška sudedamoji dalis, diegiama programinė įranga, panaudojamos investicijos;

19.2.5. rengia eLABa biudžeto projektus;

19.3. pokyčiai identifikuojami, nustačius eLABa naudotojų, administratorių ir kitų vaidmenų poreikius, apibendrinus kylančias priežiūros problemas ir kitais gerosios praktikos įvardijamais atvejais;

19.4. pokyčius turi teisę inicijuoti eLABa duomenų valdymo įgaliotinis, eLABa saugos įgaliotinis ar eLABa taikomosios programinės įrangos administratorius, o įgyvendinti – eLABa sisteminis ar taikomosios programinės įrangos administratoriai pagal kompetenciją;

19.5. visi potencialūs pokyčiai registruojami pokyčių registre, įvertinus ir valdytojui patvirtinus įtakos vertinimą ir prioritetą;

19.6. eLABa programinės įrangos pokyčiai atliekami, tik įvertinus pokyčio poreikį, pokyčio apimtį ir suderinus sistemos modernizavimo mastą;

19.7. eLABa sistemos funkcijų ir galimybių sąrankos aprašai turi būti nuolat atnaujinami ir rodyti esamą informacinės sistemos sąrankos būklę;

19.8. pokyčiai įgyvendinami eLABa valdytojo patvirtintu eiliškumu, atsižvelgiant į sutartą skubumą ar svarbumą;

19.9. visi diegiami pokyčiai, galintys sutrikdyti ar sustabdyti informacinės sistemos darbą, turi būti suderinti su eLABa duomenų valdymo ir saugos įgaliotiniais ir vykdomi, tik gavus jų raštišką pritarimą;

19.10. prieš atlikdamas eLABa pokyčius, kurių metu gali iškilti grėsmė duomenų ir eLABa konfidencialumui, vientisumui ar pasiekiamumui, eLABa taikomosios programinės įrangos administratorius privalo įsitikinti, kad planuojami eLABa pokyčiai išbandyti bandomojoje aplinkoje;

19.11. programinės įrangos testavimas atliekamas, naudojant atskirą tam skirtą testavimo aplinką, kurioje nėra konfidencialių ir asmens duomenų ir kuri atskirta nuo eksploatuojamos informacinės sistemos;

19.12. atlikus vykdomų eLABa pokyčių testavimą, eLABa taikomosios programinės įrangos administratorius gali pradėti įgyvendinti eLABa pokyčius, tik suderinęs su pagrindiniu eLABa administratoriumi;

19.13. planuodamas eLABa pokyčius, kurių metu galimi eLABa veikimo sutrikimai, eLABa taikomosios programinės įrangos administratorius privalo ne vėliau kaip prieš dvi darbo dienas iki eLABa pokyčių vykdymo pradžios elektroniniu paštu informuoti visus eLABa administratorius ir elektroniniu būdu interneto svetainėje www.elaba.lt informuoti eLABa naudotojus apie tokių darbų pradžią ir galimus eLABa veikimo sutrikimus.

20. eLABa sisteminių ir taikomosios programinės įrangos administratorių pareigoms atlikti skirtų nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių naudojimo tvarka:

20.1. nešiojamieji kompiuteriai ir mobilieji įrenginiai turi būti saugomi ir negali būti palikti be priežiūros viešose vietose;

20.2. visi nešiojamieji kompiuteriai ir kiti mobilieji įrenginiai turi būti apsaugoti saugiais slaptažodžiais, sudėtingumu atitinkančiais naudotojų administravimo taisyklių reikalavimus.

IV SKYRIUS

REIKALAVIMAI, KELIAMI eLABa FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

21. Prireikus eLABa funkcionuoti reikalingoms paslaugoms praplėsti gali būti pritraukiami išorės tiekėjai, sudarant su jais atitinkamas paslaugų teikimo sutartis.

22. eLABa sisteminis administratorius atsako už programinių, techninių ir kitų prieigos prie eLABa resursų organizavimą, suteikimą ir panaikinimą techninės ir (ar) programinės paslaugos teikėjui.

23. eLABa sisteminis administratorius suteikia paslaugos teikėjui tik tokią prieigą prie eLABa resursų, kuri yra būtina norint atlikti arba vykdyti sutartyje nustatytus įsipareigojimus, kurie neprieštarauja įstatymų ir kitų teisės aktų reikalavimams.

24. Su teikėju turi būti suderinta paslaugos teikimo tvarka, į kurią įtraukti prieigos reikalavimai bei jų suteikimo sąlygos.

25. Pasibaigus sutarties su paslaugos teikėjais galiojimo terminui ar atsiradus kitoms sutartyje ar saugos politiką įgyvendinančiuose dokumentuose įvardytoms sąlygoms, eLABa sisteminis administratorius nedelsdamas privalo panaikinti suteiktą prieigą.

26. Reikalavimai, keliami teikėjų patalpoms, įrangai, informacinės sistemos priežiūrai, duomenų perdavimui tinklais ir kitoms paslaugoms, nurodomi eLABa taikomosios programinės įrangos paslaugų teikimo sutartyse.

27. Teikėjų darbuotojams, atliekantiems administravimo funkcijas, taikomi visi atitinkamo lygio eLABa administratoriams saugos dokumentuose nustatyti reikalavimai.

__________________________________

PATVIRTINTA

Lietuvos Respublikos

švietimo ir mokslo ministro

2015 m. liepos 2 įsakymu Nr. V-710

LIETUVOS AKADEMINĖS ELEKTRONINĖS BIBLIOTEKOS

INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos akademinės elektroninės bibliotekos informacinės sistemos veiklos tęstinumo valdymo plano (toliau – Planas) tikslas – nustatyti Lietuvos akademinės elektroninės bibliotekos informacinės sistemos (toliau – eLABa) valdytojo, tvarkytojų, duomenų valdymo ir saugos įgaliotinių, administratorių, naudotojų ir kitų asmenų įgaliojimus ir veiksmus, siekiant apsisaugoti nuo elektroninių saugos incidentų keliamų grėsmių arba likviduoti jų sukeltus padarinius eLABa duomenims bei eLABa techninės ir programinės įrangos funkcionavimui.

2. Veiklos tęstinumo valdymo planas, vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Lietuvos akademinės elektroninės bibliotekos informacinės sistemos nuostatais ir Lietuvos akademinės elektroninės bibliotekos informacinės sistemos duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos švietimo ir mokslo ministro 2014 m. rugsėjo 22 d. įsakymu Nr. V-838 „Dėl švietimo ir mokslo ministro 2006 m. liepos 14 d. įsakymo Nr. ISAK-1506 „Dėl Lietuvos mokslo ir studijų elektroninių dokumentų informacinės sistemos (eLABa) įsteigimo“ pakeitimo“, ir kitais teisės aktais.

3. Plane vartojamos sąvokos ir sutrumpinimai:

3.1. Atkūrimo laikas – laiko periodas, per kurį sistemos, procesai ir funkcijos turi būti atkurti po nutrūkimo;

3.2. Elektroninės informacijos saugos incidentas – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie informacinės sistemos galimybę, sutrikdyti ar pakeisti informacinės sistemos veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas neleistinai elektroninę informaciją pasisavinti, paskleisti ar kitaip panaudoti;

3.3. Kritinis incidentas – nustatytus kriterijus (Plano 3 priedas) pasiekęs ar viršijęs elektroninės informacijos saugos incidentas, kuriam atsitikus sutriko svarbiausius eLABa sistemos elektroninės informacijos tvarkymo procesus aprūpinančių IT paslaugų teikimas;

3.4. Kritinio incidento vertinimo kriterijai – įvykio mastą, padarinius ar faktą apibūdinantys dydžiai arba aplinkybės (kritinės ribos), kuriuos pasiekęs ar viršijęs įvykis laikomas kritiniu incidentu;

3.5. Konsorciumas – Lietuvos akademinių bibliotekų informacinės infrastruktūros mokslui ir studijoms palaikymo ir plėtros konsorciumas, pagal 2010 m. spalio 28 d. sutartį Nr. S-523/BS-540000-1591 bendradarbiaujantis su eLABa valdytoju Lietuvos Respublikos švietimo ir mokslo ministerija.

3.6. KTU – Kauno technologijos universitetas;

3.7. Neveikimo laikotarpis – tai laikotarpis, kurį sistemos valdytojas ar tvarkytojas (-ai) gali tęsti funkcijų, kurioms atlikti buvo sukurta informacinė sistema, vykdymą neveikiant informacinei sistemai ar jos daliai;

3.8. Techniniai centrai – funkcinės tarnybos, skirtos eLABa eksploatacijos techninei priežiūrai vykdyti. Į jų funkcijas įtraukiami eLABa techninės ir programinės įrangos darbo stebėsena, eksploatacinių problemų sprendimas, galimų sutrikimų prevencija, institucijų administratorių konsultavimas, bendrųjų eLABa klasifikatorių tvarkymas. eLABa eksploatacijai užtikrinti yra sukurti 2 techniniai centrai (po vieną VU ir KTU), savo darbų sritį ir atsakomybę pasiskirstę eLABa posistemėmis. Techninių centrų personalas komplektuojamas iš informacinių technologijų specialistų, dirbančių struktūriniuose VU ir KTU padaliniuose. Už savo veiklą jie yra atskaitingi eLABa koordinatoriui ir eLABa saugos įgaliotiniui (elektroninės informacijos saugumo srityje);

3.9. VU – Vilniaus universitetas;

3.10. Kitos eLABa Plane vartojamos sąvokos suprantamos taip, kaip apibrėžtos eLABa saugaus elektroninės informacijos tvarkymo taisyklėse, Plano 2 punkte nurodytuose ir kituose saugų duomenų tvarkymą reglamentuojančiuose teisės aktuose.

4. Planas yra parengtas VU Informacinių technologijų taikymo centro (toliau – ITTC) naudojamam pastatui, esančiam Saulėtekio al. 9, Vilniuje, KTU Informacinių technologijų departamento (toliau – ITD) pastatui, esančiam Studentų g. 48A, Kaune, kuriuose tvarkomi eLABa duomenys.

5. eLABa elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, programinės įrangos, fizinės, techninės ir organizacinės duomenų saugos priemonės, kurias pasitelkus:

5.1. per metus informacinės sistemos prieinamumas turi būti užtikrintas ne mažiau kaip 96 proc. laiko visą parą;

5.2. informacinės sistemos neveikimo laikotarpis negali būti ilgesnis nei 12 val.

6. Plano nuostatos taikomos įvykus kritiniam eLABa elektroninės informacijos saugos incidentui, ir negalioja, įvykus ekstremalioms situacijoms, reglamentuojamoms Lietuvos Respublikos civilinės saugos įstatyme.

7. Įvykus kritiniam eLABa elektroninės informacijos saugos incidentui, pirmiausia užtikrinamas asmenų (žmogiškųjų išteklių) saugumas, prireikus informuojamos specialiosios tarnybos ir atsakingi už civilinę ir darbų saugą asmenys. Tada stengiamasi išsaugoti ir atkurti eLABa techninius ir informacinius išteklius.

8. eLABa naudotojai, pastebėję eLABa veiklos sutrikimus, neveikiančias ar netinkamai veikiančias duomenų saugos užtikrinimo priemones, turi nedelsdami apie tai pranešti eLABa lokalaus tinklo ir darbo vietų administratoriui.

9. eLABa lokalaus tinklo ir darbo vietų administratorius, priėmęs pranešimą apie kritinį incidentą, registruoja pranešimą incidentų žurnale adresu http://darbai.labt.lt/redmine ir nedelsdamas telefonu praneša pagrindinio eLABa tvarkytojo sisteminiam administratoriui.

10. eLABa sisteminis administratorius, įvertinęs incidentą pagal kritinio incidento vertinimo kriterijus, privalo imtis reikiamų priemonių šalinant incidento padarinius ir informuoti atsakingus asmenis – pagrindinį eLABa administratorių, duomenų valdymo ir saugos įgaliotinius.

11. eLABa duomenų valdymo įgaliotinis, įvertinęs incidentą pagal kritinio incidento vertinimo kriterijus, priima sprendimą dėl tolesnių veiksmų atkuriant veiklos tęstinumą.

12. eLABa saugos įgaliotinis koordinuoja kritinių incidentų tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugos incidentus, neteisėtas veiklas ir informuoja pagrindinio eLABa tvarkytojo vadovą apie Plano vykdymą.

13. Plano nuostatų vykdymas privalomas eLABa valdytojui ir visiems eLABa tvarkytojams, visiems eLABa naudotojams, eLABa administratoriams, eLABa duomenų bei saugos įgaliotiniui.

14. Konkretūs eLABa saugos įgaliotinio, eLABa administratorių ir kitų eLABa naudotojų veiksmai bei funkcijos, įvykus eLABa elektroninės informacijos saugos incidentui, nurodyti Lietuvos akademinės elektroninės bibliotekos informacinės sistemos veiklos atkūrimo detaliajame plane (Plano 1 priedas).

15. eLABa veiklai atkurti reikalingų finansinių ir kitokių išteklių poreikį nustato eLABa pagrindinis tvarkytojas, vadovaudamasis konsorciumo valdybos ir visuotinio susirinkimo nutarimais, o reikiamus išteklių šaltinius tvirtina eLABa valdytojas Lietuvos Respublikos švietimo ir mokslo ministerija.

16. Laikoma, kad eLABa veikla yra atkurta, kai galima atlikti visus veiksmus Paieškos portale, Metaduomenų posistemėje, Komplektavimo posistemėje, Naudotojų administravimo posistemėje, El. objektų ilgalaikio saugojimo posistemėje, Dokumentų sutapties nustatymo posistemėje, Statistikos ir ataskaitų formavimo posistemėje ir Administravimo posistemėje.

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

17. eLABa veiklos tęstinumą organizuoja veiklos tęstinumo valdymo grupė (toliau – Valdymo grupė).

18. Valdymo grupės sudėtis:

18.1. Valdymo grupės vadovas – konsorciumo valdybos pirmininkas;

18.2. Valdymo grupės vadovo pavaduotojas – konsorciumą administruojančios institucijos koordinatorius;

18.3. Valdymo grupės nariai – eLABa saugos įgaliotinis, eLABa duomenų valdymo įgaliotinis, VU ir KTU techninių centrų atstovai.

19. Valdymo grupė atlieka šias funkcijas:

19.1. analizuoja eLABa elektroninės informacijos saugos incidento atsiradimo priežastis, pasekmes bei šių priežasčių šalinimo būdus;

19.2 . analizuoja situaciją ir priima sprendimus eLABa veiklos tęstinumo valdymo klausimais;

19.3. koordinuoja, kaip atliekami Lietuvos akademinės elektroninės bibliotekos informacinės sistemos veiklos atkūrimo detaliajame plane (Plano 1 priedas) numatyti veiksmai;

19.4. bendrauja su viešosios informacijos rengėjų ir skleidėjų atstovais;

19.5. prireikus, bendrauja su susijusių informacinių sistemų veiklos tęstinumo valdymo grupėmis;

19.6. prireikus bendrauja su teisėsaugos ir kitomis institucijomis, konsorciumo nariais ir kitomis interesų grupėmis;

19.7. įvykus eLABa elektroninės informacijos saugos incidentui, įvertina finansinių ir kitų išteklių, reikalingų eLABa veiklai atkurti, poreikį ir kontroliuoja, kaip jie naudojami;

19.8. įvykus eLABa elektroninės informacijos saugos incidentui, organizuoja eLABa duomenų ir įrangos fizinę saugą;

19.9. koordinuoja logistiką (žmonių, daiktų, įrangos gabenimą ir jo organizavimą);

19.10. prireikus organizuoja prekių, paslaugų ir darbų, reikalingų eLABa veiklai atkurti, įsigijimą;

19.11. atlieka kitas Valdymo grupei pavestas funkcijas.

20. Valdymo grupės vardinę sudėtį ir kontaktinę informaciją tvirtina pagrindinis eLABa tvarkytojas, vadovaujantis konsorciumo valdybos nutarimu.

21. eLABa paslaugas atkuria informacinės sistemos veiklos atkūrimo grupė (toliau – Atkūrimo grupė).

22. Atkūrimo grupės sudėtis:

22.1. Atkūrimo grupės vadovas – VU arba KTU techninio centro, kuriame įvyko incidentas, vadovas;

22.2. Atkūrimo grupės vadovo pavaduotojas – kito techninio centro vadovas;

22.3. Atkūrimo grupės nariai – eLABa pagrindinis, taikomosios programinės įrangos ir sisteminiai administratoriai, kiti VU ir KTU techninių centrų vadovų paskirti darbuotojai.

23. Atkūrimo grupė atlieka šias funkcijas:

23.1. organizuoja eLABa tarnybinių stočių veikimo atkūrimą;

23.2. organizuoja eLABa kompiuterių tinklo veikimo atkūrimą;

23.3. organizuoja eLABa elektroninės informacijos atkūrimą;

23.4. organizuoja tinkamą eLABa taikomųjų programų veikimo atkūrimą;

23.5. organizuoja darbo vietų kompiuterių veikimo ir prijungimo prie tinklo atkūrimą;

23.6. atlieka kitas Atkūrimo grupei pavestas funkcijas.

24. Techninių centrų atkūrimo grupių vardinę sudėtį ir kontaktinę informaciją tvirtina techninių centrų vadovai.

25. eLABa veiklos atkūrimo detalusis planas su numatytais scenarijais po skirtingo pobūdžio ir masto elektroninės saugos incidento pateikiamas Plano 1 priede.

26. eLABa kritinių incidentų klasifikacija, skirta nustatyti incidento kritiškumui ir atkūrimo terminams pateikiama Plano 3 priede.

27. eLABa veiklos atkūrimo prioritetai aprašyti Plano 4 priede.

28. Reikalavimai, keliami atsarginėms patalpoms, naudojamoms informacinės sistemos veiklai atkurti, įvykus elektroninės informacijos saugos incidentui, atsarginių patalpų adresai ir būdai, kaip iki jų nuvykti:

28.1. eLABa elektroninės informacijos saugos incidento metu, šalinant incidento padarinius, eLABa veiklai atkurti prireikus gali būti naudojamos atsarginės patalpos. Atsarginės patalpos atitinka eLABa saugaus elektroninės informacijos tvarkymo taisyklių 12 punkte nurodytus reikalavimus.

28.2. Atsarginių patalpų adresai:

28.2.1. VU ITTC pastatui, esančiam Saulėtekio al. 9, Vilniuje, atsarginės patalpos yra numatytos KTU ITD pastate, esančiame Studentų g. 48A, Kaune;

28.2.2. KTU ITD pastatui, esančiame Studentų g. 48A, Kaune, atsarginės patalpos yra numatytos VU ITTC pastate, esančiam Saulėtekio al. 9, Vilniuje.

28.3. Nuvykimo į atsargines patalpas organizaciniai principai ir būdai:

28.3.1. Valdymo grupės užsakymus darbuotojams ir technikai pervežti iš pagrindinių:

28.3.1.1. VU ITTC patalpų į atsargines organizuoja Vilniaus universiteto Eksploatavimo ir paslaugų direkcijos Transporto skyrius;

28.3.1.2. KTU ITD patalpų į atsargines organizuoja Kauno technologijos universiteto Paslaugų departamento Transporto grupė.

28.3.2. Veiklos tęstinumo Valdymo ir Atkūrimo grupių nariai, gavę nurodymą vykti į atsargines patalpas, vyksta:

28.3.2.1. iš VU ITTC į KTU ITD Vilniaus universiteto Eksploatavimo ir paslaugų direkcijos Transporto skyriaus organizuojamu transportu;

28.3.2.2. iš KTU ITD į VU ITTC Kauno technologijos universiteto Paslaugų departamento Transporto grupės organizuojamu transportu.

28.3.3. Esant būtinybei, darbuotojai atvyksta savo arba viešuoju transportu:

28.3.3.1. vykstant iš VU ITTC į KTU ITD, Vilniaus universiteto rektoriaus numatyta tvarka apmokamos būtinosios transporto išlaidos;

28.3.3.2. vykstant iš KTU ITD į VU ITTC, Kauno technologijos universiteto rektoriaus numatyta tvarka apmokamos būtinosios transporto išlaidos.

28.3.4. Nuvykimo iš pagrindinių į atsargines patalpas kelionės žemėlapiai pateikti Plano 6 priede.

29. Valdymo grupė organizuoja susirinkimą mažiausiai kartą per metus arba įvykus esminiams pokyčiams. Atkūrimo grupė organizuoja susirinkimą, įvykus kritiniam elektroninės informacijos saugos incidentui.

30. Apie įvykdytus veiklos atkūrimo etapus Atkūrimo grupė Valdymo grupei atsiskaito nedelsiant, o kol etapas neįvykdytas, jei nesutarta kitaip, ne rečiau kaip kartą per 8 valandas.

31. Apie atkūrimo eigą Valdymo grupę informuoja Atkūrimo grupės vadovas arba pavaduojantis asmuo.

32. Papildomi Valdymo ir Atkūrimo grupių komunikavimo atvejai aprašomi Plano 1 priede.

33. Elektroninės informacijos saugos incidento metu eLABa Valdymo ir Atkūrimo grupių nariai bendrauja mobiliojo ryšio telefonais, elektroniniu paštu ir pagal galimybes kitomis sutartomis ryšio priemonėmis. Visi grupių nariai turi kitų narių mobiliojo ryšio telefonų numerius, elektroninio pašto adresus ir kitų sutartų ryšio priemonių identifikatorius (pagal galimybes). Prireikus Valdymo ir Atkūrimo grupės rengia bendrus susirinkimus.

34. Kritinių incidentų registracijos žurnalą (http://darbai.labt.lt/redmine) pildo incidentą pašalinęs eLABa sisteminis administratorius.

35. Žurnale privalo būti suvesta ši informacija: incidento vieta, grėsmės kodas, incidento aprašymas, pradžia (data ir laikas), pabaiga (data ir laikas), pašalinusio administratoriaus duomenys, patvirtinančio, kad incidento pasekmės likviduotos, asmens duomenys.

36. Kritinių incidentų registracijos žurnalo išrašas pateikiamas, eLABa valdytojui arba pagrindiniam tvarkytojui pareikalavus, atitikties ir rizikos vertinimams vykdyti bei kitais LR įstatymų numatytais atvejais.

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

37. eLABa informacinių technologijų įrangos ir jos parametrų sąrašai, rengiami ir tvirtinami atitinkamo techninio centro vadovo, saugomi elektroninėse laikmenose VU techninio centro ir KTU techninio centro patalpose ir yra nuolat atnaujinami.

38. Nesant eLABa sisteminio administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, eLABa veiklą atkuria specialistai, išmanantys, kaip nustatyti:

38.1. eLABa tarnybinių stočių sąranką;

38.2. eLABa operacinių sistemų sąranką;

38.3. eLABa kompiuterių tinklo sąranką;

38.4. eLABa taikomosios programinės įrangos sąranką.

39. Reikiamos kompetencijos ir žinių lygio aprašus bei darbo instrukcijas rengia, nuolat atnaujina ir saugo eLABa sisteminiai administratoriai.

40. Planas su priedais ir techniniais dokumentais saugomi elektroninėse laikmenose ir yra nuolat atnaujinami:

40.1. Pagrindinis egzempliorius saugomas pas Valdymo grupės vadovą.

40.2. Atsarginiai pirmas ir antras egzemplioriai saugomi pas Atkūrimo grupės vadovą.

40.3. Trečias atsarginis egzempliorius su priedais saugomas pas eLABa saugos įgaliotinį.

40.4. Už VU ITTC techninių dokumentų elektroninių kopijų komplekto parengimą, atnaujinimą ir saugojimą atsako VU ITTC raštinė.

40.5. Už KTU ITD techninių dokumentų elektroninių kopijų komplekto parengimą, atnaujinimą ir saugojimą atsako KTU ITD raštinė.

41. Detalios saugyklų infrastruktūros, duomenų saugojimo infrastruktūros schemos, tarnybinių stočių paskirties ir aplikacijų diegimo schema, kompiuterių tinklo schema, kompiuterinės technikos ir sisteminės programinės įrangos sąrašai ir techniniai parametrai pateikti eLABa techniniame aprašyme (specifikacijoje).

42. eLABa tvarkymui naudojamų patalpų brėžiniai, šiose patalpose esanti įranga bei komunikacijos, taip pat kompiuterių tinklo fizinio ir loginio sujungimo schemos saugomi elektroninėse laikmenose kartu su Planu.

43. eLABa duomenų teikimo bei kompiuterinės, techninės ir programinės įrangos priežiūros sutarčių (jei tokios sutartys sudarytos) sąrašai su nurodyta originalo saugojimo vieta saugomi eLABa administruojančios institucijos raštinėje, sąrašo kopija elektroniniu pavidalu saugoma kartu su Planu.

44. eLABa programinės įrangos laikmenos saugomos pagrindinio eLABa tvarkytojo taikomosios programinės įrangos administratoriaus darbo kabinete, o eLABa duomenų atsarginės kopijos – elektroninės informacijos kaupimo priemonėse, kurios yra saugomos tarnybinėse stotyse.

45. Valdymo ir Atkūrimo grupių narių sąrašas su kontaktiniais duomenimis, leidžiančiais pasiekti šiuos asmenis bet kuriuo metu (mobiliųjų arba namų telefonų numeriai ir gyvenamųjų vietų adresai), pateikiami šių grupių nariams ir saugomi kartu su Planu.

IV SKYRIUS

PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

46. Planas išbandomas ne rečiau kaip kartą per metus.

47. Pagal Valdymo ir Atkūrimo grupių sumodeliuotą scenarijų simuliuojant kritinį incidentą išbandymo metu aptariamas Plano veiksmingumas.

48. Plano išbandymo scenarijų rengia Atkūrimo grupė.

49. Plano išbandymo scenarijus derinamas su Valdymo grupe.

50. Plano išbandymą inicijuoja ir skelbia Valdymo grupės vadovas.

51. Plano veiksmingumo išbandyme dalyvauja Atkūrimo grupės nariai, eLABa saugos įgaliotinis ir Valdymo grupės nariai pagal poreikį.

52. Nustatytą dieną imituojamos nenumatytos situacijos, kurių metu atsakingi eLABa sisteminiai ir taikomosios programinės įrangos administratoriai atlieka būtinus tokiose situacijose veiksmus.

53. Prireikus, į Plano veiksmingumo išbandymą gali būti pakviesti kiti darbuotojai, rangovų arba kitų organizacijų atstovai.

54. Plano bandymo metu Atkūrimo grupė išanalizuoja galimą (sumodeliuotą) kritinį incidentą, parengia Plano bandymo ataskaitą (Plano 5 priedas).

55. Įvykus Plano išbandymui, Valdymo grupė numato papildomas prevencines ir rizikos valdymo priemones.

56. Visa informacija, gauta Plano veiksmingumo išbandymo metu, perduodama eLABa saugos įgaliotiniui ir eLABa duomenų valdymo įgaliotiniui.

57. Už Plano veiksmingumo išbandymo metu pastebėtų trūkumų šalinimą atsakingas Atkūrimo grupės vadovas ir sistemos administratorius.

58. Išbandžius Planą, atsižvelgiant į gautus rezultatus ir (arba) įvertinus rizikos veiksnius, atliekamas Plano atnaujinimas.

59. Neplaninis Plano veiksmingumo bandymas gali būti atliekamas po eLABa elektroninės informacijos saugos incidento ar kilus įtarimui dėl gresiančio eLABa elektroninės informacijos saugos incidento. Atsižvelgiant į gautus rezultatus, Planas atitinkamai tikslinamas.

60. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami, vadovaujantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

____________________________

PATVIRTINTA

Lietuvos Respublikos

švietimo ir mokslo ministro

2015 m. liepos 2 d. įsakymu Nr. V-710

LIETUVOS AKADEMINĖS ELEKTRONINĖS BIBLIOTEKOS

INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos akademinės elektroninės bibliotekos informacinės sistemos (toliau – eLABa) naudotojų administravimo taisyklės (toliau – Naudotojų administravimo taisyklės) reglamentuoja sistemos naudotojų įgaliojimus, teises, pareigas, jų supažindinimo su saugos dokumentais tvarką ir saugaus sistemoje tvarkomų duomenų teikimo sistemos naudotojams kontrolės tvarką.

2. Naudotojų administravimo taisyklės taikomos visiems eLABa naudotojams ir eLABa administratoriams.

3. eLABa naudotojai ir eLABa administratoriai turi turėti tik tiek priėjimo prie duomenų teisių, kiek tai būtina jų tiesioginei veiklai vykdyti.

4. Naudotojų administravimo taisyklės parengtos, vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Lietuvos akademinės elektroninės bibliotekos informacinės sistemos nuostatais ir Lietuvos akademinės elektroninės bibliotekos informacinės sistemos duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos švietimo ir mokslo ministro 2014 m. rugsėjo 22 d. įsakymu Nr. V-838 „Dėl švietimo ir mokslo ministro 2006 m. liepos 14 d. įsakymo Nr. ISAK-1506 „Dėl Lietuvos mokslo ir studijų elektroninių dokumentų informacinės sistemos (eLABa) įsteigimo“ pakeitimo“, ir kitais teisės aktais.

5. Naudotojų administravimo taisyklėse vartojamos sąvokos ir sutrumpinimai:

5.1. Metaduomenys – duomenys apie duomenis. Struktūrizuotas eLABa saugomo el. objekto savybių aprašymas naudojant tam tikrus bibliografinio aprašo formatus (MARC21, Dublin Core; TEI Header 5 ir kt.).

5.2. ETD – elektroninių tezių ir disertacijų duomenų bazė, skirta kaupti Lietuvos mokslo ir studijų institucijų tvirtinamus studijų baigiamuosius darbus, daktaro disertacijas ir jų santraukas ir tvarkyti jų metaduomenis.

5.3. PDB – mokslo ir studijų institucijų publikacijų duomenų bazė, skirta kaupti Lietuvos mokslo ir studijų institucijų dėstytojų, mokslo darbuotojų ir studentų paskelbtas publikacijas ir tvarkyti jų metaduomenis.

5.4. EPAS – dokumentų sutapties nustatymo sistema – eLABa posistemė, skirta dokumentų panašumo nustatymui ir plagiato kontrolės funkcijos vykdymui.

5.5. Kitos eLABa Naudotojų administravimo taisyklėse vartojamos sąvokos suprantamos taip, kaip apibrėžtos eLABa saugaus elektroninės informacijos tvarkymo taisyklėse ir 4 punkte nurodytuose norminiuose dokumentuose.

II SKYRIUS

eLABa NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS

6. eLABa naudotojų įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją:

6.1. eLABa naudotojai gali naudotis tik tomis eLABa funkcijomis ir eLABa tvarkomais duomenimis, prie kurių prieigą jiems suteikė naudotojų teisių administratorius;

6.2. eLABa naudotojai turi teisę rinkti, tvarkyti, perduoti, įkelti, saugoti, naikinti ar kitaip naudoti elektroninę informaciją, tik atlikdami savo tiesiogines funkcijas;

6.3. baigę darbą, naudotojai turi atsijungti nuo eLABa ir uždaryti programinę įrangą;

6.4. eLABa naudotojai privalo:

6.4.1. užtikrinti jų eLABa tvarkomų duomenų konfidencialumą bei vientisumą;

6.4.2. savo veiksmais netrikdyti eLABa duomenų prieinamumo;

6.4.3. jungtis prie eLABa, įvedant tik asmeniškai suteiktus prisijungimo vardus ir slaptažodžius;

6.4.4. nesijungti prie eLABa, naudojantis kitam naudotojui suteiktais prisijungimo vardais ir slaptažodžiais;

6.4.5. neatskleisti, nelaikyti matomoje vietoje suteiktų prisijungimo vardų ir slaptažodžių;

6.4.6. prisiimti atsakomybę už tvarkomų duomenų rinkimą, įvedimą, naikinimą ir kt.;

6.4.7. prisiimti atsakomybę už tinkamą elektroninės informacijos tvarkymo programinių priemonių naudojimą ir techninių priemonių saugojimą;

6.4.8. nedelsiant pranešti tvarkančios institucijos eLABa naudotojų teisių administratoriui apie informacinės sistemos sutrikimus, neįprastą jų veikimą, esamus arba galimus elektroninės informacijos saugumo reikalavimų pažeidimus, kitų eLABa naudotojų nederamus veiksmus;

6.5. eLABa naudotojai skirstomi į autorius, darbo vadovus, institucijų atsakingus asmenis, bibliotekininkus, institucijų padalinių registratorius, institucijų registratorius.

6.5.1. Autoriams suteikiama teisė:

6.5.1.1. įkelti savo ETD ir(ar) PDB dokumentus, kurti ir redaguoti jų metaduomenis;

6.5.1.2. peržiūrėti savo ETD ir(ar) PDB dokumentus bei jų metaduomenis, kurie į sistemą buvo įkelti kitų eLABa naudotojų;

6.5.1.3. formuoti savo duomenų ataskaitas.

6.5.2. Darbo vadovams suteikiama teisė:

6.5.2.1. peržiūrėti, redaguoti, tvirtinti ETD dokumentus;

6.5.2.2. peržiūrėti, redaguoti jiems priskirtų ETD dokumentų tikrinimo EPAS rezultatus.

6.5.3. Institucijų atsakingiems asmenims suteikiama teisė:

6.5.3.1. peržiūrėti jiems priskirtus ETD dokumentus bei dokumentų tikrinimo EPAS rezultatus.

6.5.4. Bibliotekininkams suteikiama teisė:

6.5.4.1. peržiūrėti, įvesti, redaguoti ir tvirtinti visų savo institucijos dokumentų metaduomenis;

6.5.4.2. peržiūrėti visus savo institucijos autorių dokumentus ir jų metaduomenis, kurie buvo pateikti į sistemą kitų institucijų;

6.5.4.3. įvesti, redaguoti ir tvirtinti specifinius savo institucijai metaduomenis dokumentams, pateiktiems į sistemą kitų institucijų;

6.5.4.4. formuoti savo institucijos ataskaitas.

6.5.5. Institucijų padalinių registratoriams suteikiama teisė:

6.5.5.1. įkelti savo institucijos padalinio autorių dokumentus, įvesti ir redaguoti jų metaduomenis;

6.5.5.2. formuoti savo institucijos padalinio ataskaitas.

6.5.6. Institucijų registratoriams suteikiama teisė:

6.5.6.1. peržiūrėti visus savo institucijos autorių dokumentus ir jų metaduomenis;

6.5.6.2. įvesti, redaguoti ir tvirtinti specifinius savo institucijai metaduomenis savo institucijos autorių dokumentams;

6.5.6.3. formuoti savo institucijos ataskaitas.

7. eLABa pagrindinio administratoriaus įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją:

7.1. teikia privalomus vykdyti nurodymus eLABa sisteminiams, taikomosios programinės įrangos ir savo institucijos naudotojų teisių administratoriams;

7.2. eLABa administravimo klausimais bendradarbiauja su kitų eLABa tvarkytojų įgaliotais asmenimis;

7.3. informuoja eLABa saugos įgaliotinį apie saugos dokumentų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;

7.4. vykdo eLABa saugos įgaliotinio nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos užtikrinimu;

7.5. vykdo kitas tiesiogiai su eLABa administravimu susijusias funkcijas.

8. eLABa sisteminių administratorių įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją:

8.1. užtikrina eLABa sisteminės programinės įrangos ir duomenų bazių valdymo programinės įrangos veikimą;

8.2. prižiūri eLABa sisteminę programinę įrangą ir duomenų bazių valdymo programinę įrangą;

8.3. daro atsarginių eLABa duomenų kopijas;

8.4. atlieka visiškus ar dalinius duomenų atkūrimo bandymus iš atsarginių eLABa saugomų duomenų kopijų;

8.5. užtikrina eLABa sisteminės programinės įrangos saugą;

8.6. nustato eLABa pažeidžiamas vietas ir informuoja apie jas eLABa saugos įgaliotinį;

8.7. vykdo eLABa saugos įgaliotinio nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos užtikrinimu.

9. eLABa taikomosios programinės įrangos administratorių įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją:

9.1. užtikrina eLABa taikomosios programinės įrangos veikimą;

9.2. vykdo eLABa taikomosios programinės įrangos priežiūrą;

9.3. tvarko visų eLABa naudotojų identifikavimo ir suteiktų teisių duomenis;

9.4. prireikus stebi eLABa naudotojų su eLABa tvarkomais duomenimis atliktus veiksmus;

9.5. atlieka su eLABa administravimu susijusias užklausas ir gauna ataskaitas;

9.6. prireikus tvarko ir administruoja visų institucijų paskyrų duomenis;

9.7. vykdo eLABa saugos įgaliotinio nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos užtikrinimu;

9.8. informuoja eLABa saugos įgaliotinį apie saugos dokumentų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;

9.9. vykdo pareigas ir reikalavimus, nurodytus kituose eLABa saugos dokumentuose;

9.10. vykdo kitas tiesiogiai su eLABa administravimu susijusias funkcijas.

10. eLABa naudotojų teisių administratorių įgaliojimai, teisės ir pareigos, tvarkant elektroninę informaciją:

10.1. tvarko ir administruoja savo institucijos eLABa klasifikatorius;

10.2. vykdo savo institucijos eLABa naudotojų ir jų prieigos teisių administravimą;

10.3. vertina savo institucijos eLABa naudotojų pasirengimą dirbti su eLABa;

10.4. atlieka savo institucijos eLABa naudotojams suteiktų teisių ir priskirtų funkcijų atitikties vertinimą;

10.5. konsultuoja savo institucijos eLABa naudotojus dėl eLABa veikimo ir kitais su eLABa susijusiais klausimais;

10.6. reikalauja, kad institucijos eLABa naudotojai vykdytų duomenų saugos ir naudotojų administravimo taisyklių reikalavimus;

10.7. informuoja eLABa saugos įgaliotinį apie saugos dokumentų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;

10.8. vykdo pareigas ir reikalavimus, nurodytus kituose eLABa saugos dokumentuose;

10.9. vykdo eLABa saugos įgaliotinio ir pagrindinio administratoriaus nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos užtikrinimu;

10.10. pagrindinio administratoriaus nurodymu vykdo kitas tiesiogiai su eLABa naudotojų teisių administravimu susijusias funkcijas.

11. eLABa lokalaus tinklo ir darbo vietų administratorių įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją:

11.1. užtikrina savo institucijos lokalių tinklų veikimą;

11.2. prižiūri savo institucijos lokalius tinklus;

11.3. užtikrina eLABa naudotojų kompiuterinių darbo vietų saugą ir sklandų veikimą savo institucijoje;

11.4. prižiūri eLABa naudotojų kompiuterines darbo vietas savo institucijoje;

11.5. diegia, atnaujina antivirusines programas savo institucijos eLABa naudotojų darbo vietose;

11.6. vykdo pareigas ir reikalavimus, nurodytus kituose eLABa saugos dokumentuose;

11.7. vykdo kitas tiesiogiai su eLABa naudotojų lokalaus tinklo ir darbo vietų administravimu susijusias funkcijas.

III SKYRIUS

SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO eLABa NAUDOTOJAMS KONTROLĖS TVARKA

12. eLABa naudotojų registravimo ir išregistravimo tvarka:

12.1. eLABa naudotojai įregistruojami, įvedant jų duomenis į sistemą rankiniu būdu arba importuojant iš nustatyto formato rinkmenų, suformuojamų atitinkamo eLABa tvarkytojo informacinės sistemos;

12.2. už eLABa naudotojų duomenų įvedimą ir jų atnaujinimą laiku yra atsakingi naudotojų teisių administratoriai;

12.3. eLABa tvarkytojas, paskyręs eLABa naudotojų teisių administratorių, kreipiasi į pagrindinį eLABa tvarkytoją raštu su prašymu suteikti prieigą prie jam reikalingų funkcijų eLABa, kartu pateikdamas paskirto asmens sutikimą tvarkyti asmens duomenis ir pasižadėjimą laikytis eLABa saugos dokumentų reikalavimų;

13. Priemonės eLABa naudotojų tapatybei nustatyti:

13.1. eLABa naudotojui jungiantis į sistemą, jo tapatybė nustatoma pagal unikalų eLABa naudotojo identifikatorių, patvirtinamą asmeniniu slaptažodžiu.

14. eLABa naudotojų slaptažodžio sudarymo, galiojimo trukmės ir keitimo reikalavimai:

14.1. eLABa naudotojų slaptažodžiai turi būti sudaryti iš 8−20 ženklų ir turėti bent 1 skaičių ir 1 raidę. Negalima naudoti lengvai nuspėjamų (pvz., vartotojo vardo, gimimo datos ir t. t.) slaptažodžių. Slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius;

14.2. draudžiama slaptažodžius atskleisti tretiesiems asmenims;

14.3. leistinas mėginimų įvesti teisingą slaptažodį skaičius yra 5 kartai; slaptažodį neteisingai įvedus didžiausią leistiną skaičių, informacinė sistema užsirakina ir neleidžia informacinės sistemos naudotojui identifikuotis mažiausiai 15 minučių;

14.4. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais; saugos įgaliotinio sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo, jei:

14.4.1. eLABa naudotojas neturi galimybių iššifruoti gauto užšifruoto slaptažodžio;

14.4.2. nėra techninių galimybių eLABa naudotojui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu;

14.5. eLABa sisteminių ir taikomosios programinės įrangos administratorių slaptažodžiams yra keliami šie reikalavimai:

14.5.1. eLABa sisteminių ir taikomosios programinės įrangos administratorių slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

14.5.2. eLABa sisteminių ir taikomosios programinės įrangos administratorių slaptažodis turi būti iš ne trumpesnės kaip 12 simbolių kombinacijos, sudarytos iš didžiųjų, mažųjų raidžių, skaitmenų ir specialiųjų simbolių;

14.5.3. keičiant slaptažodį, eLABa neturi leisti sudaryti slaptažodžio iš buvusių 3 paskutinių slaptažodžių.

15. Sąlygos ir atvejai, kai panaikinama eLABa naudotojų teisė dirbti su konkrečia elektronine informacija:

15.1. eLABa tvarkytojo darbuotojui prieiga prie konkrečios elektroninės informacijos turi būti sustabdoma, kai eLABa tvarkytojo darbuotojas nušalinamas nuo darbo (pareigų); pasibaigus tarnybos (darbo) santykiams. eLABa tvarkytojo darbuotojo teisė naudotis eLABa turi būti panaikinta nedelsiant;

15.2. eLABa taikomosios programinės įrangos administratorius, iš pagrindinio eLABa tvarkytojo gavęs rašytinį prašymą apriboti eLABa naudotojo prieigos teises, nedelsiant sustabdo nurodyto eLABa naudotojo prieigą prie eLABa;

15.3. eLABa naudotojams prieigos prie eLABa teisės nutraukiamos automatiškai, sistemai nustačius naudotojo darbo ar studijų konkrečioje institucijoje pabaigos datą (jei eLABa naudotojas nustoja dirbti ar studijuoti konkrečioje institucijoje, jis negali jungtis į eLABa kaip tos institucijos naudotojas);

15.4. institucijos arba sistemos administratorius, gavęs įgalioto institucijos darbuotojo nurodymą, gali sustabdyti eLABa naudotojo prieigą prie sistemos rankiniu būdu, nepriklausomai nuo eLABa naudotojo darbo ar studijų konkrečioje institucijoje galiojimo;

15.5. esant būtinybei, jei kyla grėsmė eLABa duomenų saugumui, institucijos arba sistemos administratorius turi sustabdyti eLABa naudotojo prieigą savarankiškai, informuodamas apie tai įgaliotą institucijos darbuotoją;

15.6. eLABa administratoriui teisė dirbti su konkrečia elektronine informacija yra ribojama, sustabdant visas eLABa administratoriui suteiktas prieigos prie eLABa teises, kai eLABa administratorius nesijungė prie sistemos daugiau nei tris mėnesius, vyksta eLABa administratoriaus veiklos tyrimas, eLABa administratorius neteikia informacijos apie saugą užtikrinančių sistemos komponentų būklę ar atsisako vykdyti saugos įgaliotinio nurodymus ir pavedimus;

15.7. kai eLABa vidinis naudotojas ar administratorius perkeliamas į kitas pareigas, ne vėliau kaip per 5 darbo dienas jam suteiktos teisės pakeičiamos, atsižvelgiant į jo pareigybės aprašyme nurodytas funkcijas.

16. Leistini nuotolinio prisijungimo būdai:

16.1. nuotoliniam prisijungimui prie informacinės sistemos eLABa išoriniams naudotojams papildomi reikalavimai nekeliami;

16.2. nuotolinis sisteminių ir taikomosios programinės įrangos administratorių prisijungimas prie eLABa tarnybinių stočių galimas, tik naudojantis VPN tuneliu;

16.3. eLABa viso teksto dokumentų pateikimas, atsižvelgiant į nustatytas prieigos sąlygas, gali būti papildomai kontroliuojamas pagal besijungiančio kompiuterio IP adresą.

_______________________________

Lietuvos akademinės elektroninės

bibliotekos informacinės sistemos

veiklos tęstinumo valdymo plano

1 priedas

LIETUVOS AKADEMINĖS ELEKTRONINĖS BIBLIOTEKOS INFORMACINĖS SISTEMOS VEIKLOS ATKŪRIMO DETALUSIS

PLANAS

Eil. Nr.	Grėsmė	Pirmaeiliai veiksmai	Pasekmės likvidavimo veiksmai	Atsakingi vykdytojai
1.	Gamtos reiškiniai (sniego, uragano, oro ir kt. pavojus)	1.1. Elektroninės informacijos saugos incidento padarinių įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	1.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	Valdymo grupė, Atkūrimo grupė
			1.1.2. Jei yra nukentėjusiųjų, pirmosios pagalbos suteikimas nukentėjusiems darbuotojams, kiti veiksmai, kaip numatyta darbų saugos instrukcijoje	Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą
			1.1.3. Priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas, darbuotojų informavimas	Valdymo grupė, Atkūrimo grupė
			1.1.4. Padarytą žalą likviduojančių darbuotojų instruktavimas	Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą, Atkūrimo grupės vadovas, techninio centro eLABa sisteminis administratorius
			1.1.5. Elektroninės informacijos saugos incidento metu padarytos žalos likvidavimas	Atkūrimo grupė, techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą
2.	Gaisras	2.1. Priešgaisrinės gelbėjimo tarnybos informavimas	2.1.1. Įvykio vietos lokalizavimas	Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą
			2.1.2. Galimybių evakuoti darbuotojus nagrinėjimas	Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą, Valdymo grupė
			2.1.3. Darbuotojų informavimas apie evakuaciją	Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą
			2.1.4. Darbuotojų informavimas apie saugų darbą pavojaus zonoje	Valdymo grupė, Atkūrimo grupė, techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą
			2.1.5. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	Valdymo grupė, Atkūrimo grupė
			2.1.6. Padarytą žalą likviduojančių darbuotojų instruktavimas	Atkūrimo grupės vadovas, sisteminis administratorius
			2.1.7. Elektroninės informacijos saugos incidento metu padarytos žalos likvidavimas	Atkūrimo grupė
		2.2. Papildomą riziką keliančių faktorių (elektra, vanduo) pavojaus zonoje išjungimas	2.2.1. Gaisro gesinimas ankstyvoje stadijoje, jei yra rekomendacija dirbti pavojaus zonoje	Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą, Atkūrimo grupė, išorinė tarnyba
		2.3. Sutrikimų pašalinimas	2.3.1. Elektroninės informacijos saugos incidento metu padarytos žalos likvidavimas	Atkūrimo grupė
3.	Elektros energijos tiekimo sutrikimai	3.1. Energijos tiekimo sutrikimo priežasčių nustatymas	3.1.1. Rekomendacijų iš energijos tiekimo tarnybos gavimas	Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą
			3.1.2. Padarytos žalos įvertinimas	Atkūrimo grupės vadovas, infrastruktūros grupės specialistas
			3.1.3. Žalą likviduojančių darbuotojų instruktavimas	Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą, Atkūrimo grupės vadovas
		3.2. Tarnybinių stočių, kitos techninės įrangos maitinimo energijos išjungimas		Techninio centro darbuotojas, atsakingas už elektros tiekimo sistemų priežiūrą
		3.3. Kreipimasis į energijos tiekimo tarnybą dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių		Techninio centro darbuotojas, atsakingas už elektros tiekimo sistemų priežiūrą
		3.4. Sutrikimų pašalinimas	3.4.1. Padarytos žalos likvidavimas	Išorinė elektros tinklo priežiūros tarnyba, eLABa sisteminis administratorius, atsakingas už elektros tiekimo sistemų priežiūrą
4.	Oro kondicionavimo sistemos sutrikimai	4.1. Oro kondicionavimo sistemos sutrikimo priežasčių nustatymas	4.1.1. Priežiūros tarnybos informavimas, rekomendacijų iš priežiūros tarnybos gavimas	eLABa sisteminis administratorius, techninio centro darbuotojas, atsakingas už oro kondicionavimo sistemos priežiūrą
			4.1.2. Padarytos žalos įvertinimas	eLABa sisteminis administratorius, techninio centro darbuotojas, atsakingas už oro kondicionavimo sistemos priežiūrą
			4.1.3. Žalą likviduojančių darbuotojų instruktavimas	eLABa sisteminis administratorius, techninio centro darbuotojas, atsakingas už oro kondicionavimo sistemos priežiūrą
		4.2. Tikslios kontrolės oro kondicionierių / šaldymo mašinos pakartotinas įjungimas		Techninio centro darbuotojas, atsakingas už oro kondicionavimo sistemos priežiūrą
		4.3. Kreipimasis į priežiūros tarnybą dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių		Techninio centro darbuotojas, atsakingas už oro kondicionavimo sistemos priežiūrą
		4.4. Sutrikimų pašalinimas	4.4.1. Padarytos žalos likvidavimas	Atkūrimo grupė, techninio centro darbuotojas, atsakingas už oro kondicionavimo sistemos priežiūrą, išorinė priežiūros tarnyba
5.	Vandentiekio, nuotekų ir šildymo sistemų sutrikimai	5.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	5.1.1. Paslaugų teikėjų rekomendacijų gavimas	eLABa sisteminis administratorius, techninio centro darbuotojas, atsakingas už vandentiekio, nuotekų ir šildymo sistemų priežiūrą
		5.2. Sutrikimo šalinimo prognozės skelbimas	5.2.1. Darbuotojų informavimas, jei darbas esamose patalpose negali būti tęsiamas	Valdymo grupė, Atkūrimo grupė
		5.2. Sutrikimo šalinimo prognozės skelbimas	5.2.2. Darbo kitose patalpose organizavimas	Atkūrimo grupė
		5.3. Sutrikimų pašalinimas	5.3.1. Padarytos žalos likvidavimas	Atkūrimo grupė, techninio centro darbuotojas, atsakingas už vandentiekio, nuotekų ir šildymo sistemų priežiūrą, išorinė priežiūros tarnyba
6.	Telekomunikacijų tinklų sutrikimas	6.1. Telekomunikacijų tinklų sutrikimo priežasčių nustatymas	6.1.1. Techninio centro vadovo ir susijusių tiekėjų informavimas, šalinimo prognozės skelbimas	Atkūrimo grupės telekomunikacijų tinklų atsakingas specialistas, išorinė tarnyba
6.	Telekomunikacijų tinklų sutrikimas	6.2. Telekomunikacijų tinklų sutrikimo šalinimas	6.2.1. Elektroninės informacijos saugos incidento pasekmių likvidavimas	Atkūrimo grupės telekomunikacijų tinklų atsakingas specialistas, išorinė tarnyba
7.	Pagrindinių tarnybinių stočių sugadinimas ir (ar) praradimas	7.1. Pažeistų stočių lokalizavimas	7.1.1. Naudotojų informavimas	Atkūrimo grupės vadovas, Atkūrimo grupė (specialistai)
		7.1. Pažeistų stočių lokalizavimas	7.1.2. Pažeistų stočių teikiamų paslaugų atkūrimas kitose patalpose	Atkūrimo grupės vadovas, Atkūrimo grupė (specialistai)
		7.2. Informacijos saugos priemonių plano sudarymas ir įgyvendinimas	7.2.1. Žalą likviduojančių darbuotojų instruktavimas	Atkūrimo grupės vadovas
			7.2.2. Minimalios apimties paslaugų atkūrimas	Atkūrimo grupės vadovas, Valdymo grupė, atsakingas administratorius
			7.2.3. Žalos įvertinimas, veiklos atkūrimo sąmatos sudarymas	Atkūrimo grupės vadovas, Valdymo grupė
			7.2.4. Žalos padarinių likvidavimas	Atkūrimo grupė, atsakingas sisteminis administratorius
8.	Pavojingas (įtartinas) radinys, teroristinė veikla	8.1.Teisėsaugos informavimas	8.1.1. Techninio centro apsaugos tarnybos informavimas	Radinį aptikęs darbuotojas, techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą
		8.1.Teisėsaugos informavimas	8.1.2. Poreikio evakuoti darbuotojus iš patalpų vertinimas	Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą
		8.2. Darbuotojų evakuavimas	8.2.1. Darbuotojų informavimas apie evakuaciją	Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą
		8.3. Patalpų užrakinimas	8.3.1. Teisėsaugos nurodymų vykdymas	Techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą
		8.4. Teisėsaugos nurodymų vykdymas	8.4.1. Darbuotojų informavimas apie nurodymų vykdymą	Atkūrimo grupės vadovas
		8.5. Veiksmai išlaisvinus užgrobtas patalpas	8.5.1. Padarytos žalos įvertinimas	Išorinė tarnyba, Atkūrimo grupė, Valdymo grupė
			8.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas	Atkūrimo grupė, Valdymo grupė
			8.5.3. Žalą likviduojančių darbuotojų instruktavimas	Atkūrimo grupės vadovas
9.	Darbuotojų netekimas (dėl sveikatos sutrikimų ir nelaimingų atsitikimų)	9.1. Elektroninės informacijos saugos incidento rizikos įvertinimas	9.1.1. Veiksmai pagal darbų saugos instrukcijas	Atkūrimo grupės vadovas, eLABa saugos įgaliotinis, techninio centro darbuotojas, atsakingas už darbuotojų saugą ir sveikatą
		9.2. Pavaduojančių asmenų instruktavimas	9.2.1. Informacijos prieigos ribojimas, pakaitinio / pavaduojančio darbuotojo skyrimas.	eLABa naudotojų teisių administratorius, Atkūrimo grupė
			9.2.2. Trūkstamų darbuotojų paieška ir priėmimas į darbą	Nukentėjusio padalinio vadovas, Atkūrimo grupės vadovas

Lietuvos akademinės elektroninės

bibliotekos informacinės sistemos

veiklos tęstinumo valdymo plano

2 priedas

LIETUVOS AKADEMINĖS ELEKTRONINĖS BIBLIOTEKOS ELEKTRONINĖS INFORMACIJOS SAUGOS INCIDENTŲ TYRIMO TVARKOS APRAŠAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos akademinės elektroninės bibliotekos elektroninės informacijos saugos incidentų tyrimo tvarkos aprašas (toliau – aprašas) reglamentuoja Lietuvos akademinės elektroninės bibliotekos informacinės sistemos (toliau – eLABa) elektroninės informacijos saugos incidentų (toliau – saugos incidentai) tyrimo tvarką.

II SKYRIUS

PRANEŠIMŲ APIE SAUGOS INCIDENTUS REGISTRAVIMAS IR NEATIDĖLIOTINI SAUGOS INCIDENTŲ PLĖTROS SUSTABDYMO VEIKSMAI

2. eLABa naudotojas apie saugos incidentus nedelsdamas praneša eLABa lokalaus tinklo ir darbo vietų administratoriui.

3. eLABa lokalaus tinklo ir darbo vietų administratorius praneša eLABa pagrindiniam tvarkytojui IT pagalbos telefonu (8 5) 236 6200 darbo valandomis ir elektroniniu paštu info@ittc.vu.lt ne darbo valandomis.

4. Gautas pranešimas apie saugos incidentą registruojamas adresu http://darbai.labt.lt/redmine skiltyje „eLABa incidentai“ ir priskiriamas tyrimui eLABa saugos įgaliotiniui ir eLABa sisteminiam administratoriui.

5. Saugos įgaliotinis su sisteminiu administratoriumi nagrinėja ir klasifikuoja incidentą ir priima sprendimą dėl incidento kritiškumo.

6. eLABa sisteminis administratorius, suderinęs su eLABa saugos įgaliotiniu, atlieka neatidėliotinus eLABa administravimo veiksmus, skirtus saugos incidento plėtrai sustabdyti ir tyrimui būtinai informacijai surinkti.

7. Jeigu nustatyta, kad incidentas kritinis, eLABa saugos įgaliotinis informuoja eLABa veiklos tęstinumo valdymo grupės vadovą.

8. Įtaręs neteisėtą veiklą, pažeidžiančią ar neišvengiamai pažeisiančią informacinės sistemos saugą, eLABa saugos įgaliotinis apie tai turi pranešti informacinės sistemos duomenų valdymo įgaliotiniui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veiklas, susijusias su elektroninės informacijos saugos incidentais.

9. Jei incidentas kritinis, eLABa veiklos tęstinumo valdymo grupės vadovas priima sprendimą dėl tolesnių veiksmų pagal eLABa veiklos tęstinumo valdymo planą.

III SKYRIUS

SAUGOS INCIDENTŲ TYRIMAS

10. Jei incidentas nekritinis, saugos incidento tyrimą atlieka eLABa sisteminis administratorius ir apie jo rezultatus raštu kitą dieną informuoja eLABa saugos įgaliotinį, registruodamas juos adresu http://darbai.labt.lt/redmine skiltyje „eLABa incidentai“. Gavęs tyrimo rezultatus, eLABa saugos įgaliotinis pateikia sistemoje apibendrinančią išvadą ir prireikus skiria užduotis kitiems darbuotojams. Atlikus tas užduotis, eLABa saugos įgaliotinis nutraukia tyrimą.

11. Kritinio incidento tyrimas atliekamas aprašo 12–19 punktuose nustatyta tvarka.

12. Jei incidentas kritinis, ne vėliau kaip kitą darbo dieną nuo saugos incidento įregistravimo eLABa saugos įgaliotinis sušaukia eLABa elektroninių incidentų tyrimo grupės (toliau – Tyrimo grupė) posėdį.

13. Tyrimo grupės narius techninių centrų vadovų teikimu skiria eLABa duomenų valdymo įgaliotinis. Grupės sudėtis atnaujinama prireikus.

14. Tyrimo grupei vadovauja eLABa saugos įgaliotinis.

15. Siekdamas nustatyti saugos incidento aplinkybes, priežastis ir asmenis, dėl kurių galbūt neteisėtų veiksmų įvyko saugos incidentas, eLABa saugos įgaliotinis Tyrimo grupės nariams skiria saugos incidento tyrimo užduotis.

16. Tyrimo grupės nariai turi teisę:

16.1. apžiūrėti saugos incidento vietą;

16.2. apklausti su saugos incidentu galimai susijusius eLABa naudotojus;

16.3. susipažinti su saugos incidento tyrimui reikalingais dokumentais;

16.4. gauti kitą, su saugos incidentu susijusią, informaciją.

17. Tyrimo grupė:

17.1. vadovaudamasi surinkta tyrimo medžiaga, surašo saugos incidento tyrimo išvadą, kurioje išdėsto saugos incidento aplinkybes, priežastis ir jas pagrindžiančius įrodymus, taip pat nurodo asmenis, dėl kurių neteisėtos veiklos įvyko saugos incidentas, ir šiuos duomenis teikia eLABa duomenų įgaliotiniui;

17.2. vadovaudamasi eLABa duomenų saugos nuostatais ir kitais saugos dokumentais pagal savo kompetenciją ribose dalyvauja eLABa veiklos tęstinumo atkūrimo veiklose;

17.3. Valdymo grupės vadovo sprendimu bendradarbiauja su žalą likviduojančiomis specialiosiomis tarnybomis ir kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veiklas, susijusias su elektroninės informacijos saugos incidentais;

17.4. atsižvelgdama į saugos incidento padarinius, atlieka rizikos vertinimą;

17.5. atsižvelgdama į saugos incidento priežastis ir jo padarinius, prireikus nedelsdama rengia eLABa veiklos atkūrimo detaliojo plano ar eLABa saugą įgyvendinančių dokumentų pakeitimo ar papildymo projektą.

18. Gavęs tyrimo rezultatus, eLABa saugos įgaliotinis pateikia sistemoje apibendrinančią išvadą.

19. Atlikus Tyrimo grupei skirtas užduotis, eLABa saugos įgaliotinis informuoja duomenų valdymo įgaliotinį ir nutraukia tyrimą.

IV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

20. Saugos incidentų tyrimo medžiaga saugoma ne trumpiau kaip 1 metus nekritiniams ir 5 metus kritiniams incidentams nuo saugos incidento registracijos dienos.

21. Asmenys, dėl kurių neteisėtų veiksmų ar neveikimo įvyko saugos incidentas, atsako teisės aktų nustatyta tvarka.

_________________

Lietuvos akademinės elektroninės

bibliotekos informacinės sistemos

veiklos tęstinumo valdymo plano

3 priedas

Kritinių incidentų klasifikacija ir VEIKLOS atkūrimo terminai

Kritinio incidento lygis	Žala	Minimalaus funkcionalumo atkūrimo laikas atsarginiame duomenų centre	Visiško funkcionalumo atkūrimo laikas
4	Sutrikdytas daugelio pirmo prioriteto sistemų darbas (4 priedas), padaryta žala pastatams ir įrangai.	12 val.	15 d.
3	Sutrikdytas 3 ir daugiau pirmo prioriteto sistemų darbas (4 priedas), padaryta žala įrangai ir duomenims, tačiau nėra padaryta žala pastatams.	10 val.	10 d.
2	Sutrikdytas 3 ir daugiau antro prioriteto sistemų darbas (4 priedas), padaryta žala duomenims, tačiau nėra padaryta žala pastatams ir įrangai.	8 val.	7 d.
1	Sutrikdytas 1-2 antro prioriteto sistemų darbas (4 priedas), tačiau nėra padaryta žala pastatams, įrangai ar duomenims.	4 val.	5 d.

Pastaba: jei valdymo grupė nustato, kad incidentas nebeatitinka kritiškumo kriterijų, incidento lygis mažinamas.

Lietuvos akademinės elektroninės

bibliotekos informacinės sistemos

veiklos tęstinumo valdymo plano

4 priedas

VEIKLOS ATKŪRIMO PRIORITETAI

1. Pirmas prioritetas: Infrastruktūros atkūrimas

Eil. Nr.	Sutrumpintas kodas	Infrastruktūros sistema
1	I1	Fizinė sauga
2	I2	Elektros maitinimas
3	I3	Šaldymas
4	I4	Kompiuterių tinklas, DNS
5	I5	Duomenų saugyklos
6	I6	Serveriai
7	I7	Duomenų kopijavimo ir atkūrimo sistema
8	I8	Duomenų bazės
9	I9	Prieigos prie serverių per specialius valdymo prievadus tinklas

2. Antras prioritetas: prioritetinių paslaugų atkūrimas

Eil. Nr.	Sutrumpintas kodas	Paslauga	Priklauso nuo
1	P1	eLABa Valdymo ir Atkūrimo grupių narių darbo vietos	I1−I2, I4
2	P2	eLABa aplikacijų, paieškos vartų, apkrovos paskirstymo programinė įranga	I1−I6
3	P3	El. paštas (SMTP, IMAP, POP3)	I1−I6, P2