DĖL VIEŠOSIOS ĮSTAIGOS CENTRINĖS PROJEKTŲ VALDYMO AGENTŪROS DIREKTORIAUS 2019 M. SPALIO 14 D. ĮSAKYMO NR. 2019/8-271 „DĖL VIEŠOSIOS ĮSTAIGOS CENTRINĖS PROJEKTŲ VALDYMO AGENTŪROS INFORMACINIŲ SISTEMŲ NUOSTATŲ IR SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ PAT

VIEŠOSIOS ĮSTAIGOS CENTRINĖS PROJEKTŲ VALDYMO AGENTŪROS

DIREKTORIUS

ĮSAKYMAS

DĖL VIEŠOSIOS ĮSTAIGOS CENTRINĖS PROJEKTŲ VALDYMO AGENTŪROS DIREKTORIAUS 2019 M. SPALIO 14 D. ĮSAKYMO NR. 2019/8-271 „DĖL VIEŠOSIOS ĮSTAIGOS CENTRINĖS PROJEKTŲ VALDYMO AGENTŪROS INFORMACINIŲ SISTEMŲ NUOSTATŲ IR SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ PATVIRTINIMO“ PAKEITIMO

2021 m. sausio 26 d. Nr. 2021/8-16

Vilnius

Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7 ir 13 punktais, viešosios įstaigos Centrinės projektų valdymo agentūros (toliau – CPVA) įstatais:

1. Pakeičiu CPVA direktoriaus 2019 m. spalio 14 d. įsakymo Nr. 2019/8-271 „Dėl viešosios įstaigos Centrinės projektų valdymo agentūros informacinių sistemų nuostatų ir saugos politiką įgyvendinančių dokumentų patvirtinimo“ (toliau – Įsakymas):

1.1. 1.3 papunkčiu patvirtintas CPVA informacinių sistemų saugaus elektroninės informacijos tvarkymo taisykles ir išdėstau jas nauja redakcija (pridedama);

1.2. 1.4 papunkčiu patvirtintas CPVA informacinės sistemos naudotojų administravimo taisykles ir išdėstau jas nauja redakcija (pridedama);

1.3. 1.5 papunkčiu patvirtintą CPVA valdomų informacinių sistemų veiklos tęstinumo valdymo planą ir išdėstau jį nauja redakcija (pridedama).

2. Papildau Įsakymą 1.6 papunkčiu:

„1.6. 2014-2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos naudotojų administravimo taisykles.“.

Direktorė Lidija Kašubienė

PATVIRTINTA

VšĮ Centrinės projektų valdymo agentūros

direktoriaus 2019 m. spalio 14 d.

įsakymu Nr. 2019/8-271

(2021 m. sausio 26 d. įsakymo Nr. 2021/8-16

redakcija)

VŠĮ CENTRINĖS PROJEKTŲ VALDYMO AGENTŪROS VALDOMŲ INFORMACINIŲ SISTEMŲ SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I skyrius

BENDROSIOS NUOSTATOS

1. VšĮ Centrinės projektų valdymo agentūros (toliau – CPVA) valdomų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) nustato minimalius CPVA valdomose informacinėse sistemose tvarkomos elektroninės informacijos saugos reikalavimus.

2. Taisyklėse vartojamos sąvokos atitinka apibrėžtas:

2.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

2.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme;

2.3. Lietuvos Respublikos kibernetinio saugumo įstatyme;

2.4. Bendrajame elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

2.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

2.6. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų apraše ir informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintuose Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. 1V-941 „Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

2.7. Centrinės projektų valdymo agentūros informacinės sistemos nuostatuose, patvirtintuose CPVA direktoriaus 2019 m. spalio 14 d. įsakymu Nr. 2019/8-271 „Dėl viešosios įstaigos Centrinės projektų valdymo agentūros informacinių sistemų nuostatų ir saugos politiką įgyvendinančių dokumentų patvirtinimo“ (toliau – CPVA IS nuostatai);

2.8. Centrinės projektų valdymo agentūros informacinės sistemos duomenų saugos nuostatuose, patvirtintuose CPVA direktoriaus 2019 m. spalio 14 d. įsakymu Nr. 2019/8-271 „Dėl viešosios įstaigos Centrinės projektų valdymo agentūros informacinių sistemų nuostatų ir saugos politiką įgyvendinančių dokumentų patvirtinimo“;

2.9. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatuose, patvirtintuose CPVA direktoriaus 2019 m. balandžio 15 d. įsakymu Nr. 2019/8-86 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo” (toliau – NORIS nuostatai);

2.10. 2014-2021 m. Europos Ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų saugos nuostatuose, patvirtintuose CPVA direktoriaus 2019 m. balandžio 15 d. įsakymu Nr. 2019/8-86 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo”;

2.11. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos naudojimo taisyklėse, patvirtintose CPVA direktoriaus 2020 m. liepos 31 d. įsakymu Nr. 2020/8-247 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos naudojimo taisyklių patvirtinimo“ (toliau – NORIS taisyklės);

2.12. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų mainų svetainės naudojimo taisyklėse, patvirtintose CPVA direktoriaus 2020 m. balandžio 22 d. įsakymu Nr. 2020/8-136 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų mainų svetainės naudojimo taisyklių patvirtinimo“ (toliau – DMS taisyklės);

2.13. Asmens duomenų tvarkymo viešojoje įstaigoje Centrinėje projektų valdymo agentūroje tvarkos apraše, patvirtintame CPVA direktoriaus 2018 m. gegužės 23 d. įsakymu Nr. 2018/8-112 „Dėl asmens duomenų tvarkymo viešojoje įstaigoje Centrinėje projektų valdymo agentūroje tvarkos aprašo patvirtinimo“;

2.14. Lietuvos standartuose LST ISO / IEC 27002 ir LST ISO / IEC 27001 bei kituose Lietuvos ir tarptautiniuose „Informacinės technologijos. Saugumo metodai.“ grupės standartuose vartojamas sąvokas.

3. Taisyklės taikomos CPVA IS ir NORIS naudotojams, CPVA IS ir NORIS administratoriams ir CPVA IS ir NORIS saugos įgaliotiniams.

4. Už Taisyklių įgyvendinimo organizavimą ir kontrolę atsako CPVA IS ir NORIS saugos įgaliotiniai.

5. CPVA IS ir NORIS tvarkoma elektroninė informacija, nurodyta CPVA IS ir NORIS nuostatuose.

6. Už CPVA IS ir NORIS vidutinės svarbos elektroninės informacijos tvarkymą, nurodytą CPVA IS ir NORIS nuostatuose, atsakingi CPVA IS, NORIS ir DMS naudotojai.

7. Už CPVA IS klasifikatorių ir žinynų, naudotojų duomenų ir jiems suteiktų teisių tvarkymą atsakingi CPVA IS administratoriai.

8. Už NORIS klasifikatorių ir žinynų duomenų tvarkymą atsakingas NORIS žinynų administratorius.

9. Už NORIS naudotojų duomenų tvarkymą atsakingas NORIS funkcinis administratorius.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

10. CPVA IS ir NORIS kompiuterinės įrangos saugos priemonės:

11.1. tarnybinės stotys ir svarbiausi elektroninės informacijos perdavimo tinklo mazgai turi įtampos filtrą ir nenutrūkstamo maitinimo šaltinį. Nenutrūkstamo maitinimo šaltinis užtikrina tarnybinių stočių veikimą ne trumpiau kaip 30 min.;

11.2. tarnybinės stotys, svarbiausi elektroninės informacijos perdavimo tinklo mazgai ir ryšio linijos yra dubliuojami ir jų techninė būklė nuolat stebima CPVA IS administratorių ir NORIS infrastruktūros administratorių;

11.3. svarbūs kompiuterinės įrangos gedimai turi būti registruojami. Kompiuterinės įrangos gedimus fiksuoja žurnale CPVA IS administratoriai ir NORIS infrastruktūros administratorius;

11.4. stebėjimo priemonės turi perspėti CPVA IS administratorius ir NORIS infrastruktūros ir (ar) sisteminį administratorių, kai tarnybinėse stotyse laisvos vietos diske sumažėja iki nustatytos pavojingos ribos, taip pat kai ilgą laiką stipriai apkraunamas centrinis procesorius ar sutrinka tinklo sąsaja.

11. Sisteminės ir taikomosios programinės įrangos saugumo užtikrinimo priemonės:

12.1. tarnybinėse stotyse naudojama tik teisėtai įgyta (legali), patikimų gamintojų programinė įranga;

12.2. tarnybinių stočių operacinei sistemai atnaujinti naudojama WSUS (angl. Windows Server Update Services) tarnybinė stotis. Įdiegiami tik gamintojų rekomenduojami naujiniai;

12.3. tarnybinėse stotyse naudojamos centralizuotai valdomos virusų ir kenkimo programinės įrangos aptikimo priemonės, kurias reguliariai atnaujina CPVA IS, administratorius ir NORIS sisteminis administratorius (ilgiausias leistinas neatnaujinimo laikas 30 kalendorinių dienų);

12.4. kiekvienas CPVA IS ir NORIS naudotojas unikaliai identifikuojamas (asmens kodas nenaudojamas kaip naudotojo identifikatorius);

12.5. CPVA IS ir NORIS registruoja duomenų bazėje saugomų duomenų, paskutinį pakeitimą atlikusius naudotojus ir tokio pakeitimo laiką;

12.6. CPVA IS ir NORIS naudotojui neatliekant jokių veiksmų 15 min., CPVA IS ar NORIS naudotojo paskyra automatiškai atjungiama ir naudotis informacine sistema toliau galima tik pakartojus naudotojo tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;

12.7. tarnybinių stočių įvykių žurnaluose (angl. event log) fiksuojami ir vieną mėnesį saugomi duomenys apie: įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis ir prieiti prie CPVA IS ar NORIS duomenų, kitus svarbius saugai įvykius, nurodant veiksmą, informacinės naudotojo identifikatorių ir įvykio laiką. Šie duomenys analizuojami įvykus elektroninės informacijos saugos incidentui;

12.8. CPVA IS ir NORIS naujai sukurtos programinės įrangos testavimas atliekamas naudojant atskiras testavimo aplinkas;

12.9. CPVA IS ir NORIS programinė įranga turi apsaugą nuo pagrindinių per tinklą vykdomų atakų, skelbiamų Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje.

12. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

13.1. elektroninės informacijos perdavimo tinklas suskirstytas į skirtingo lygio potinklius, pagal tarnybinių stočių atliekamas funkcijas ir turi priskirtus IP (angl. Internet Protocol) adresų intervalus;

13.2. CPVA IS ir NORIS duomenų bazės ir aplikacijos negali būti tame pačiame kompiuterinio tinklo potinklyje. Viešai prieinamos informacinių sistemų dalys yra atskirame potinklyje sukonfigūruotose tarnybinėse stotyse (demilitarizuotoje zonoje);

13.3. nutolusiems CPVA IS ir NORIS naudotojams, taip pat valstybės registrams ir valstybės informacinėms sistemoms, kitoms informacinėms sistemoms elektroninės informacija perduodama saugiais elektroninių ryšių tinklais. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

13.3.1. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą naudojamas šifravimas, virtualus privatus tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Elektroninei informacijai teikti ir (ar) gauti gali būti naudojamas saugus valstybinis duomenų perdavimo tinklas;

13.3.2. naudojant transporto lygmens protokolus (angl. Transport Layer Secure) (toliau – TLS), reglamentuojančius informacinių sistemų naudotojo ir serverio abipusį tapatumo nustatymą, kad būtų užtikrintas šifruotas ryšys. Siekiant, kad elektroninės informacijos perdavimas iš serverio į interneto naršyklę ir iš interneto naršyklės į serverį būtų saugus, naudojamas TLS sertifikatas, patvirtinantis elektroninės informacijos šaltinio tapatumą ir šifruojantis informacinių sistemų naudotojo ir serverio siunčiamą ir gaunamą elektroninę informaciją. Informacinėse sistemose TLS šifruota HTTP (angl. HyperText Transfer Protocol) protokolo elektroninė informacija perduodama saugiu HTTPS (angl. HyperText Transfer Protocol Secure) protokolu;

13.3.3. šifravimo priemonės operatyviai keičiamos nustačius saugumo spragų šifravimo algoritmuose;

13.4. elektroninės informacijos perdavimo tinkle įjungtos ugniasienės sukonfigūruotos praleisti tik su CPVA IS ir NORIS naudojimu ir administravimu susijusį duomenų srautą (atidaryti tik reikiami prievadai);

13.5. konfigūruojant tinklo ugniasienės leidžiamas tik būtinas tinklo srautas;

13.6. už tinklo ugniasienių administravimą, priežiūrą, operacinės sistemos atnaujinimą ir saugią ugniasienių konfigūraciją atsakingas CPVA IS administratoriai ir NORIS infrastruktūros administratorius pagal atsakomybių ribas;

13.7. tinklo ugniasienių konfigūracijos aprašymą rengia CPVA IS administratoriai ir NORIS infrastruktūros administratorius. Konfigūracijos aprašymas saugomas nedegiame seife;

13.8. tinklo ugniasienių konfigūracija tikrinama ne rečiau, kaip kartą per metus. Tikrinimą inicijuoja CPVA IS ir NORIS saugos įgaliotiniai;

13.9. elektroninė informacija automatiniu būdu teikiama ir (ar) gaunama tik pagal informacinių sistemų nuostatuose ir duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas.

14. Patalpų ir aplinkos saugumo užtikrinimo priemonės atitinka reikalavimus nustatytus LST ISO/IEC 27001 Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos standarte.

15. Kitos priemonės, naudojamos elektroninės informacijos saugai užtikrinti:

15.1. CPVA IS ar NORIS naudotojams suteikiama prieigos teisė atlikti veiksmus VšĮ Centrinės projektų valdymo agentūros informacinių sistemų naudotojų administravimo taisyklėse, patvirtintuose CPVA direktoriaus 2019 m. spalio 14 d. įsakymu Nr. 2019/8-271 (toliau – CPVAIS naudotojų administravimo taisyklės), 2014-2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos naudotojų administravimo taisyklėse (toliau – NORIS naudotojų administravimo taisyklės), NORIS ir DMS taisyklėse nustatyta tvarka;

15.2. CPVA IS ir NORIS veiklos atkūrimas atliekamas CPVA IS veiklos tęstinumo valdymo plane nustatyta tvarka, neveikimo laikotarpis negali būti ilgesnis nei 16 val.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

16. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo užtikrinimo tvarka:

16.1. CPVA IS tvarkomus duomenis įvesti, keisti, atnaujinti, naikinti gali naudotojai CPVA IS naudotojų administravimo taisyklių nustatyta tvarka ir pagal suteiktas teises, o NORIS tvarkomus duomenis įvesti, keisti, atnaujinti, naikinti gali naudotojai NORIS naudotojų administravimo taisyklių, NORIS ir DMS taisyklių nustatyta tvarka ir pagal suteiktas teises;

16.2. CPVA IS ar NORIS duomenys gali būti įvesti, pakeisti, atnaujinti, sunaikinti tik turint tam teisėtą tikslą ir teisinį pagrindą;

16.3. duomenų įvedimas, keitimas, atnaujinimas, naikinimas fiksuojami CPVA IS ar NORIS duomenų bazėse, išsaugant naudotojo identifikatorių, veiksmą, jo atlikimo laiką;

16.4. CPVA IS ir NORIS naudotojai, baigus darbą su CPVA IS ar NORIS, turi imtis priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungti nuo informacinės sistemos, uždaryti programinę įrangą, įjungti ekrano užsklandą su slaptažodžiu;

16.5. CPVA IS ir NORIS turi įvestos elektroninės informacijos tikslumo, užbaigtumo, patikimumo tikrinimo ir informavimo apie klaidas priemones.

17. Naudotojų veiksmų registravimo tvarka:

17.1. CPVA IS ar NORIS naudotojų veiksmai registruojami 12.7 papunktyje nustatyta tvarka;

17.2. naudotojų veiksmai saugomi ne trumpiau nei vienerius metus;

17.3. naudotojų veiksmų duomenys prieinami tik CPVA IS ar NORIS administratoriams CPVA IS ar NORIS saugos įgaliotiniams.

18. Atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų išbandymas vykdymas:

18.1. už tarnybinių stočių atsarginio kopijavimo tinkamą ir savalaikį atlikimą yra atsakingi CPVA IS administratoriai, NORIS infrastruktūros ir NORIS sisteminis administratoriai;

18.2. CPVA IS administratoriai, NORIS infrastruktūros ir NORIS sisteminis administratoriai užtikrina periodišką elektroninės informacijos kopijavimą ir saugų kopijų perkėlimą ir laikymą nutolusiose tarnybinėse stotyse;

18.3. tarnybinių stočių atvaizdo (angl. snapshot) atsarginis kopijavimas atliekamas ne rečiau nei vieną kartą per parą;

18.4. CPVA IS ir NORIS duomenų bazių pilnas atsarginis kopijavimas atliekamas vieną kartą į savaitę, sekmadieniais. Kitomis savaitės dienomis atliekamas tik inkrementinis (pokyčio) kopijavimas;

18.5. atliekant atsarginį kopijavimą, nuolat pildomas atsarginių kopijų atlikimo žurnalas (angl. log);

18.6. visos atsarginės kopijos turi būti užšifruotos (šifravimo raktai turi būti saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, neleidžiančių panaudoti kopijas neteisėtai atkurti elektroninę informaciją;

18.7. atsarginės kopijos saugomos ne trumpiau nei 14 kalendorinių dienų;

18.8. atsarginių kopijų darymas ir atkūrimas išbandomas reguliariai, bent du kartus per metus.

19. Saugaus elektroninės informacijos perkėlimo ir teikimo susijusioms informacinėms sistemoms, elektroninės informacijos gavimo iš jų užtikrinimo tvarka nustatyta CPVA IS ir NORIS nuostatuose, duomenų teikimo sutartyse ir teikiama vadovaujantis 2 punkte nurodytų teisės aktų reikalavimais.

20. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:

20.1. CPVA IS ar NORIS saugos įgaliotiniai, įtarę, kad su elektronine informacija vykdoma neteisėta veikla, inicijuoja elektroninės informacijos saugos incidentų valdymo procedūras;

20.2. CPVA IS ar NORIS saugos incidento tyrimas atliekamas pagal CPVA valdomų informacinių sistemų veiklos tęstinumo valdymo plane pateiktą CPVA IS saugos incidentų valdymo tvarkos aprašą.

21. Programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:

21.1. techninė ir programinė įranga atnaujinama pagal 22 punkte nurodytą pokyčių valdymo tvarką;

21.2. perėjimą prie naujos operacinės sistemos versijos CPVA IS tarnybinėse stotyse inicijuoja CPVA IS administratorius, NORIS tarnybinėse stotyse – NORIS sisteminis administratorius;

21.3. apie visus darbus, kurie gali sutrikdyti CPVA IS veikimą, CPVA IS administratoriai iš anksto privalo informuoti atitinkamos ISCPVA IS saugos įgaliotinį ir CPVA IS naudotojus;

21.4. apie visus darbus, kurie gali sutrikdyti NORIS veikimą, NORIS sisteminis administratorius iš anksto privalo informuoti NORIS saugos įgaliotinį ir NORIS naudotojus.

22. CPVA IS ir NORIS pokyčių valdymo tvarka:

22.1. CPVA IS ar NORIS pakeitimų valdymo planavimas apima CPVA IS ir NORIS pakeitimų identifikavimą, suskirstymą į kategorijas pagal pakeitimo tipą (administracinis, organizacinis ar techninis), poveikio vertinimą (svarbumas ir skubumas) ir CPVA IS ar NORIS pakeitimų prioritetų nustatymą;

22.2. CPVA IS ir NORIS saugos įgaliotiniai, vadovaudamiesi CPVA IS ir NORIS plėtros planais, kitais informacinių sistemų valdytojo planavimo dokumentais:

22.2.1. planuoja CPVAS IS ir NORIS pakeitimų valdymą, kuris apima pakeitimų identifikavimą, suskirstymą į kategorijas pagal pakeitimo tipą (administracinis, organizacinis ar techninis);

22.2.2. siūlo CPVA direktoriui ar jo įgaliotam asmeniui CPVA IS ar NORIS pakeitimų poveikio vertinimą (svarbumas ir skubumas) ir pakeitimų prioritetus;

22.2.3. tiesiogiai prižiūri, kaip kuriama ir tvarkoma CPVA IS ir NORIS, jos posistemiai ir moduliai diegiama programinė įranga, panaudojamos investicijos;

22.2.4. dalyvauja rengiant CPVA IS ir NORIS biudžeto projektus;

22.3. CPVA IS ir NORIS pakeitimai identifikuojami pasikeitus su CPVA IS ar NORIS veikla susijusiems teisės aktams, nustačius naujus CPVA IS ar NORIS naudotojų, CPVA IS ar NORIS administratorių poreikius, apibendrinus kylančias priežiūros problemas ir kitais atvejais;

22.4. CPVA IS pakeitimus turi teisę inicijuoti CPVA IS saugos įgaliotinis, CPVA IS administratoriai ar CPVA IS duomenų valdymo įgaliotinis, o įgyvendinti – CPVA IS administratoriai pagal kompetenciją;

22.5. NORIS pakeitimus turi teisę inicijuoti NORIS saugos įgaliotinis, NORIS naudotojai, NORIS administratoriai ar NORIS duomenų valdymo įgaliotinis, o priimti sprendimus ir įgyvendinti – NORIS darbo grupės nariai pagal kompetenciją;

22.6. CPVA IS ir NORIS programinės įrangos pakeitimai atliekami tik įvertinus pakeitimų poreikį, pakeitimų apimtį;

22.7. CPVA IS ir NORIS dokumentacija turi būti nuolat atnaujinama ir atspindėti esamą CPVA IS ar NORIS sąrankos ir funkcinę būklę;

22.8. CPVA IS ir NORIS pakeitimai įgyvendinami CPVA direktoriaus ar jo įgalioto asmens patvirtintu eiliškumu, atsižvelgiant į nustatytą skubumą ar svarbumą;

22.9. visi diegiami CPVA IS ir NORIS pakeitimai, galintys sutrikdyti ar sustabdyti informacinių sistemų darbą, turi būti suderinti su duomenų valdymo įgaliotiniais bei CPVA IS ir NORIS saugos įgaliotiniais ir vykdomi tik gavus jų pritarimą;

22.10. prieš atlikdami pakeitimus, kurių metu gali iškilti grėsmė duomenų konfidencialumui, vientisumui ar pasiekiamumui, CPVA IS ar NORIS administratoriai privalo įsitikinti, kad planuojami pakeitimai išbandyti testinėse aplinkose;

22.11. CPVA IS ar NORIS administratoriai gali pradėti įgyvendinti pakeitimus gamybinėse aplinkose tik suderinę su CPVA IS ar NORIS saugos įgaliotiniais;

22.12. planuodamas CPVA IS pakeitimus, kurių metu galimi veikimo sutrikimai, CPVA IS administratoriai privalo ne vėliau kaip prieš vieną darbo dieną iki pakeitimų diegimo į gamybines aplinkas pradžios informuoti CPVA IS naudotojus apie tokių darbų pradžią ir galimus CPVA IS veikimo sutrikimus;

22.13. planuodamas NORIS pakeitimus, kurių metu galimi veikimo sutrikimai, NORIS sisteminis administratorius privalo ne vėliau kaip prieš vieną darbo dieną iki pakeitimų diegimo į gamybines aplinkas pradžios informuoti NORIS naudotojus apie tokių darbų pradžią ir galimus NORIS veikimo sutrikimus;

23. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių naudojimo tvarka:

23.1. nešiojamieji kompiuteriai ir mobilieji įrenginiai turi būti saugomi ir negali būti palikti be priežiūros viešose vietose;

23.2. visi nešiojamieji kompiuteriai ir kiti mobilieji įrenginiai turi būti apsaugoti saugiais slaptažodžiais;

23.3. nešiojamieji kompiuterių ir kitų mobiliųjų įrenginių naudojimo ribos nėra nustatytos.

IV SKYRIUS

REIKALAVIMAI, KELIAMI INFORMACINĖMS SISTEMOMS FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

24. Reikalavimai CPVA IS ir NORIS funkcionuoti reikalingoms paslaugoms ir jų teikėjams nustatomi paslaugų teikimo sutartyse.

25. Paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas turi atitikti informacinių sistemų veiklą reglamentuojančių teisės aktų, standartų, šių Taisyklių reikalavimus ir paslaugų teikimo, darbų atlikimo ar įrangos tiekimo pirkimo dokumentuose iš anksto nustatomus reikalavimus teikėjo kompetencijai, patirčiai, teikiamoms paslaugoms, atliekamiems darbams ar tiekiamai įrangai.

26. Perkamos paslaugos, darbai ar įranga, susiję su informacinėmis sistemomis, turi atitikti teisės aktų ir standartų, kuriais vadovaujamasi užtikrinant informacinių sistemų elektroninės informacijos saugą, reikalavimus, kurie iš anksto nustatomi paslaugų teikimo, darbų atlikimo ar įrangos tiekimo pirkimo dokumentuose.

27. Teikėjas, vykdydamas sutartinius įsipareigojimus, turi įgyvendinti tinkamas organizacines ir technines priemones, skirtas informacinėms sistemoms ir jose tvarkomai elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

28. CPVA IS administratoriai ir NORIS infrastruktūros administratorius suteikia paslaugos teikėjui tik tokią prieigą prie informacinių sistemų išteklių, kuri yra būtina norint įvykdyti paslaugų teikimo sutartyje nustatytus įsipareigojimus ir kuri neprieštarauja įstatymų ir kitų teisės aktų reikalavimams.

29. CPVA IS administratoriai ir NORIS infrastruktūros administratorius atsako už programinių, techninių ir kitų prieigų prie tarnybinių stočių išteklių priemonių organizavimą, suteikimą ir panaikinimą techninės ir (ar) programinės įrangos priežiūros paslaugos teikėjui.

30. CPVA IS administratoriai ar NORIS infrastruktūros administratorius, suteikdamas prieigos prie CPVA IS ar NORIS išteklių teisę, paslaugų teikėjo įgaliotą fizinį asmenį supažindina su prieigos prie elektroninės informacijos sąlygomis.

31. Su paslaugų teikėju turi būti suderinta paslaugų teikimo tvarka (reglamentas), į kurią įtraukti prieigų prie CPVA IS ar NORIS reikalavimai ir jų suteikimo sąlygos.

32. Pasibaigus sutarties su paslaugos teikėjais galiojimo terminui ar nevykdant paslaugų teikimo sutartyje ar saugos politiką įgyvendinančiuose dokumentuose įvardytų sąlygų, CPVA IS ar NORIS infrastruktūros administratorius nedelsdamas privalo panaikinti suteiktas prieigas.

33. Paslaugų teikimo sutartyse turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja programinę įrangą naudodamas:

33.1. įgyvendintas elektroninės informacijos saugos priemones nuo nesankcionuoto poveikio elektroninei informacijai ar informacinių sistemų programinei įrangai;

33.2. legalią programinę įrangą;

33.3. teikėjo infrastruktūroje programinei įrangai kurti ir testuoti pritaikytą aplinką.

PATVIRTINTA

VšĮ Centrinės projektų valdymo agentūros

direktoriaus 2019 m. spalio 14 d.

įsakymu Nr. 2019/8-271

(2021 m. sausio 26 d. įsakymo Nr. 2021/8-16

redakcija)

VŠĮ CENTRINĖS PROJEKTŲ VALDYMO AGENTŪROS INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I skyrius

BENDROSIOS NUOSTATOS

1. VšĮ Centrinės projektų valdymo agentūros informacinės sistemos naudotojų administravimo taisyklės (toliau – Taisyklės) reglamentuoja viešosios įstaigos Centrinės projektų valdymo agentūros (toliau – CPVA) informacinės sistemos (toliau – IS) naudotojų ir IS administratoriaus įgaliojimus, teises, pareigas, jų supažindinimo su IS saugos politiką įgyvendinančiais dokumentais tvarką ir saugaus tvarkomų duomenų teikimo IS naudotojams kontrolės tvarką.

2. Saugaus elektroninės informacijos tvarkymo taisyklėse vartojamos sąvokos:

2.1. informacinių sistemų vidaus naudotojas – CPVA darbuotojas, dirbantis pagal darbo sutartį, ar kitas asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją;

2.2. informacinių sistemų išorės naudotojas – su CPVA (darbo) santykiais nesusijęs asmuo, kuris informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudoja ir (ar) tvarko elektroninę informaciją, neįtraukiant paslaugų teikėjų;

2.3. Taisyklėse vartojamos sąvokos atitinka apibrėžtas:

2.3.1. Lietuvos Respublikos kibernetinio saugumo įstatyme;

2.3.2. Lietuvos Respublikos Valstybės informacinių išteklių valdymo įstatyme;

2.3.3 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Bendrasis duomenų apsaugos reglamentas);

2.3.4. Bendrajame elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

2.3.5. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų apraše ir informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintuose Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. 1V-941 „Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

2.3.6. Centrinės projektų valdymo agentūros informacinės sistemos duomenų saugos nuostatuose, patvirtintuose CPVA direktoriaus 2019 m. spalio 14 d. įsakymu Nr. 2019/8-271 „Dėl viešosios įstaigos Centrinės projektų valdymo agentūros informacinių sistemų nuostatų ir saugos politiką įgyvendinančių dokumentų patvirtinimo“;

2.3.7. Vidaus saugumo fondo informacinės sistemos saugos nuostatuose, patvirtintuose CPVA direktoriaus 2016 m. kovo 1 d. įsakymu Nr. 2016/8-36 „Dėl viešosios įstaigos Centrinės projektų valdymo agentūros Vidaus saugumo fondo informacinės sistemos nuostatų ir saugos dokumentų patvirtinimo“ ;

2.3.8. Informacinės projektų administravimo sistemos duomenų saugos nuostatuose, patvirtintuose CPVA direktoriaus 2020 m. spalio 10 d. įsakymu Nr. 2020/8-307 „Dėl Informacinės projektų administravimo sistemos nuostatų ir saugos nuostatų patvirtinimo“;

2.3.9. Lietuvos standartuose LST ISO / IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO / IEC 27001 “Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“.

3. Taisyklės taikomos IS naudotojams, IS administratoriams, IS duomenų valdymo įgaliotiniui, IS saugos įgaliotiniui.

4. IS naudotojai ir administratoriai turi turėti tik tiek prieigos prie elektroninės informacijos, kiek yra būtina jų tiesioginei veiklai vykdyti.

5. Prieiga prie elektroninės informacijos suteikiama vadovaujantis principu „būtina žinoti“.

II SKYRIUS

IS NAUDOTOJŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS

6. IS naudotojai ir IS administratoriai turi teisę tvarkyti elektroninę informaciją tik atlikdami savo tiesiogines funkcijas.

7. IS administratoriui suteikiama teisė:

7.1. paskirstyti ir tvarkyti fizinę duomenų saugojimo erdvę;

7.2. organizuoti ir atlikti duomenų bazės atkūrimo darbus;

7.3. diegti naujas duomenų bazės valdymo sistemų versijas;

7.4. stebėti prieinamumą;

7.5. atlikti duomenų kopijavimo darbus;

7.6. prižiūrėti keitimosi duomenimis infrastruktūrą;

7.7. atlikti ypatingos svarbos duomenų pakeitimus;

7.8. administruoti tarnybines stotis;

7.9. administruoti IS naudotojų kompiuterizuotas darbo vietas;

7.10. atlikti IS naudotojų veiksmų stebėjimą tam tikslui skirtomis sistemos priemonėmis ir užkirsti kelią piktavališkiems IS naudotojo veiksmams, kuriais siekiama neteisėtai įgyti informaciją ar kitaip paveikti IS darbą;

7.11. rinkti ir kaupti IS naudotojų veiksmų duomenis periodinėms naudojimosi IS resursais ataskaitoms.

8. IS naudotojams suteikiama teisė:

8.1. įvesti, keisti, atnaujinti, naikinti duomenis, susijusius su jų atliekamomis funkcijomis;

8.2. atlikti duomenų paiešką ir peržiūrą.

9. IS administratoriams ir IS naudotojams draudžiama:

9.1. atskleisti IS duomenis ar suteikti kitokią galimybę bet kokia forma su jais susipažinti tokios teisės neturintiems asmenims;

9.2. savavališkai diegti IS programinės įrangos pakeitimus ir naujas versijas neturint tam suteiktos teisės;

9.3. naudoti elektroninę informaciją kitokiais nei IS nuostatuose, kituose teisės aktuose ar duomenų teikimo sutartyse nurodytais tikslais;

9.4. sudaryti sąlygas pasinaudoti IS technine ir programine įranga tokios teisės neturintiems asmenims (paliekant darbo vietą, būtina užrakinti kompiuterio darbalaukį arba išjungti kompiuterį);

9.5. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti ar sunaikinti IS duomenys;

9.6. atlikti bet kokius kitus neteisėtus IS duomenų tvarkymo veiksmus.

10. IS naudotojai vykdo IS saugos įgaliotinio nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos užtikrinimu.

11. IS naudotojai privalo laikytis saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose nustatytų reikalavimų.

12. IS naudotojai privalo užtikrinti IS duomenų saugumą.

13. IS naudotojai, IS administratoriai, IS duomenų valdymo įgaliotinis, IS saugos įgaliotinis, pastebėję asmens duomenų saugumo pažeidimą ir (arba) kitą incidentą, nedelsdami apie tai privalo pranešti CPVA duomenų apsaugos pareigūnui elektroniniu pašto adresu asmensduomenys@cpva.lt.

III SKYRIUS

SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO IS NAUDOTOJAMS KONTROLĖS TVARKA

14. Išorinių IS naudotojų įregistravimo ir išregistravimo tvarka:

14.1. institucijos kurioms IS duomenys teikiami pavestoms funkcijoms atlikti, teikia prašymą CPVA dėl prieigos prie IS teisių suteikimo. Prašyme turi būti nurodyta išorinių IS naudotojų duomenys (vardas, pavardė, institucija, elektroninio pašto adresas), prisijungimo tikslas, pageidaujama matyti informacija ir/arba naudotojo vaidmenys, laikotarpis nuo kada iki kada bus naudojamasi informacija ir/arba atliekami veiksmai atitinkamoje IS;

14.2 IS administratorius gautus institucijų prašymus dėl prieigos prie CPVA IS suteikimo arba panaikinimo turi suderinti su CPVA direktoriaus įsakymu paskirtu darbuotoju, atsakingu už prieigos prie CPVA IS teisių suteikimą arba panaikinimą (toliau – CPVA atsakingas darbuotojas). Duomenų apsaugos pareigūnas vykdo asmens duomenų tvarkymo priežiūrą dėl prieigos teisių prie informacinių sistemų ir veiklos katalogų darbuotojams suteikimo arba panaikinimo. Duomenų apsaugos pareigūnas pasilieka teisę nesuteikti prieigos prie CPVA valdomų informacinių sistemų ir veiklos katalogų, jei mato, kad prašymas dėl prieigos nepagrįstas;

14.3. su CPVA atsakingu darbuotoju suderintus institucijų prašymus, IS administratoriai registruoja juos IS naudotojų administravimo posistemėje. Užregistravus naują išorinį IS naudotoją, IS administratorius skirtingais ryšio kanalais (el. paštu, telefonu) perduoda prisijungimo duomenis – prisijungimo vardą ir laikiną slaptažodį;

14.4. išorinis IS naudotojas pirmą kartą jungdamasis prie IS, privalo pasikeisti laikiną slaptažodį;

14.5. suteikti vaidmenys turi būti koreguojami arba naudotojų teisės sustabdomos pasikeitus išorinio IS naudotojo darbo funkcijoms arba nutraukus darbo santykius. Apie išorinių IS naudotojų pasikeitimus institucijos privalo raštu informuoti IS administratorių. IS administratorius apie šiuos pasikeitimus turi informuoti CPVA atsakingą darbuotoją;

14.6. institucija, nutraukdama savo veiklą, privalo apie tai informuoti IS tvarkytoją ir nurodyti, nuo kada turi būti sustabdytos institucijos IS naudotojų teisės jungtis prie sistemos.

15. Naudotojų įregistravimo ir išregistravimo tvarka:

15.1. IS naudotojus įregistruoja ir išregistruoja IS administratorius;

15.2. IS naudotojai įregistruojami ir išregistruojami remiantis:

15.2.1. CPVA Personalo skyriaus pranešimais dėl: naujų, grįžusių iš vaiko priežiūros atostogų, išeinančių iš darbo, išeinančių į nėštumo ir gimdymo atostogas, išeinančių į vaiko priežiūros atostogas darbuotojų ir/arba darbuotojų perkėlimų į kitą padalinį;

15.2.2. CPVA darbuotojo tiesioginio vadovo pranešimais dėl: darbuotojui paskirtų vykdyti papildomų funkcijų, kai reikalinga prieiga prie atitinkamos IS, darbuotojo nebevykdomų funkcijų, kai nebereikalinga prieiga prie atitinkamos IS;

15.3. CPVA Technologijų skyriaus IS administratoriai naudotojui suteikia standartines prieigos teises prie CPVA informacinių ir ryšių technologijų infrastruktūros, vadovaujantis CPVA patvirtintu standartinių teisių suteikimo procesu;

15.4. CPVA darbuotojo tiesioginis vadovas pateikia informaciją CPVA atsakingam darbuotojui apie darbuotojui reikalingas suteikti/pašalinti nestandartines prieigos teises. CPVA atsakingas darbuotojas informuoja IS administratorius apie poreikį naudotojui suteikti/pašalinti nestandartines prieigos teises prie CPVA valdomų IS;

15.5. tiesioginis vadovas, vadovaujantis nustatyta tvarka, IS administratoriui turi nurodyti prieigos prie IS teises.

15.6. prieš suteikdamas naudotojui prieigą prie IS, IS administratorius privalo patikrinti, ar naudotojas turi savo tiesioginio vadovo leidimą, suderintą su CPVA atsakingu darbuotoju, naudotis IS;

15.7. priėmus sprendimą suteikti CPVA darbuotojui prieigą prie IS, apie tai informuojami IS administratoriai, kurie suteikia prieigą (darbuotojo paskyrą įtraukia IS naudotojų grupę) ir IS nurodo naujo naudotojo vaidmenį;

15.8. suteikti vaidmenys turi būti koreguojami arba prieiga sustabdoma pasikeitus IS naudotojo darbo funkcijoms arba nutraukus darbo santykius.

16. Reikalavimai slaptažodžių sudarymui, galiojimo trukmei, keitimui ir saugojimui:

16.1. Slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais. IS saugos įgaliotinio sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo, jei:

16.1.1. IS naudotojas neturi galimybių iššifruoti gauto užšifruoto slaptažodžio;

16.1.2. nėra techninių galimybių IS naudotojui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu;

16.2. Suteiktas laikinas slaptažodis turi būti pakeistas pirmojo prisijungimo prie metu;

16.3. IS naudotojo slaptažodį turi sudaryti ne mažiau kaip 8 simboliai, IS administratoriaus – ne mažiau kaip 12 simbolių;

16.4. Slaptažodis turi būti sudarytas iš raidžių, skaitmenų ir specialiųjų simbolių;

16.5. Slaptažodžiui sudaryti patartina nenaudoti asmeninės informacijos (pavyzdžiui, savo ar vaiko gimimo datos, gyvenamosios vietos adreso sudėtinių dalių, namo, buto numerio, vaikų vardų ir panašiai), nesudaryti iš žodynuose pateikiamų žodžių, nenaudoti iš eilės einančių skaičių ar raidžių;

16.6. IS naudotojo slaptažodis turi būti keičiamas ne rečiau kaip kas 90 dienų, IS administratoriaus – ne rečiau kaip kas 60 dienų;

16.7. Draudžiama naudoti tą patį slaptažodį darbo ir nedarbinei veiklai;

16.8. Draudžiama slaptažodį atskleisti kitam asmeniui;

16.9. Kilus įtarimų, kad slaptažodis galėjo būti atskleistas, IS naudotojas ar IS administratorius turi nedelsdamas slaptažodį pakeisti;

16.10. Pasirinkdamas ar keisdamas slaptažodį, IS naudotojas ar IS administratorius turi bent kartą slaptažodį pakartoti;

16.11. Keičiant IS naudotojo ar administratoriaus slaptažodį, neturi būti leidžiama sudaryti slaptažodžio iš buvusių 6 paskutinių slaptažodžių, IS administratoriaus – iš buvusių 3 paskutinių slaptažodžių.

17. IS administratoriaus funkcijos turi būti atliekamos naudojant atskirą tam skirtą naudotojo paskyrą, kuri negali būti naudojama kasdienėms IS naudotojo funkcijoms atlikti.

18. Didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius – 5 kartai. Neteisingai įvedus slaptažodį didžiausią leistiną mėginimų skaičių, IS užsirakina ir neleidžia identifikuotis 15 minučių.

19. IS naudotojams ir IS administratoriams prieigos teisės dirbti su IS gali būti suteiktos tik pasirašius pasižadėjimą saugoti tvarkomų duomenų paslaptį, laikytis duomenų saugos reikalavimų ir pasirašytinai susipažinus su saugos politiką įgyvendinančiais dokumentais.

20. IS naudotojų teisės dirbti su elektronine informacija ribojimas ir naikinimas:

20.1. CPVA personalo skyrius darbuotojas ne vėliau kaip paskutinę darbo dieną informuoja IS administratorių, CPVA atsakingą darbuotoją apie iš darbo atleidžiamą, išeinantį į nėštumo ir gimdymo atostogas, išeinantį į vaiko priežiūros atostogas ir/arba perkeliamą į kitą padalinį darbuotoją, bei atvejus, kai darbuotojas nebevykdys funkcijų, dėl buvo suteiktos prieigos teisės prie atitinkamos IS. Atleistų CPVA darbuotojų IS naudotojo registracijos duomenys nedelsiant blokuojami;

20.2. Keičiantis darbuotojo pareiginėms funkcijoms, turi būti peržiūrimos jo prieigos prie IS teisės;

20.3. IS administratoriui kylant įtarimų, kad IS naudotojas piktnaudžiauja suteiktomis prieigos teisėmis, ir gali pažeisti IS arba joje apdorojamų duomenų saugumą. IS administratorius kreipiasi į IS Saugos įgaliotinį, kad gautų leidimą panaikinti naudotojo prieigos teisę;

20.4. teisė dirbti su IS duomenimis sustabdoma, kai IS naudotojas nesinaudoja IS ilgiau kaip 3 mėnesius, kai įstatymų nustatytais atvejais vidinis IS naudotojas nušalinamas nuo darbo (pareigų); pasibaigus darbo santykiams, IS naudotojo teisė naudotis IS panaikinama nedelsiant;

20.5. kai įstatymų nustatytais atvejais IS naudotojas ar IS administratorius nušalinamas nuo darbo (pareigų), neatitinka kituose teisės aktuose nustatytų IS naudotojo ar IS administratoriaus kvalifikacinių reikalavimų, praranda patikimumą, jo teisė naudotis IS turi būti panaikinta nedelsiant;

20.6. nustačius elektroninės informacijos konfidencialumo ar vientisumo pažeidimą arba kitų elektroninės informacijos ir IS duomenų saugą ir tvarkymą reglamentuojančių teisės aktų ar IS duomenų teikimo nustatytų reikalavimų pažeidimą;

20.7 apie IS naudotojo prieigos teisių dirbti su IS duomenimis panaikinimą ar laikiną sustabdymą IS administratorius elektroniniu laišku informuoja CPVA atsakingą darbuotoją.

21. IS saugos įgaliotinis turi periodiškai peržiūrėti patvirtintą asmenų, kuriems suteiktos administratoriaus teisės sąrašą. Sąrašas turi būti nedelsiant peržiūrėtas, kai įstatymų nustatytais atvejais IS administratorius nušalinamas nuo darbo (pareigų). IS administratorių paskyrų kontrolę vykdo IS saugos įgaliotinis. IS administratorių sąrašą tvirtina CPVA direktorius ar įgaliotas asmuo.

22. Nereikalingos ar nenaudojamos IS naudotojų ir IS administratorių paskyros turi būti blokuojamos nedelsiant ir ištrinamos praėjus nustatytam duomenų saugojimo terminui.

23. Draudžiama IS techninėje ir programinėje įrangoje naudoti gamintojų nustatytus slaptažodžius, jie turi būti pakeisti į atitinkančius reikalavimus slaptažodžius.

24. IS administratoriams kylant įtarimų, kad IS naudotojai piktnaudžiauja suteiktomis prieigos teisėmis, ir gali pažeisti IS tvarkomų duomenų saugumą, IS administratorius kreipiasi į IS saugos įgaliotinį, kad gautų leidimą panaikinti IS naudotojo prieigos teises ir jas gali panaikinti.

25. Nuotolinis IS naudotojų ir IS administratorių prisijungimas turi būti vykdomas naudojant patikimus elektroninės informacijos šifravimo protokolus.

26. IS naudotojai, IS administratorius, IS saugos įgaliotinis, pažeidę šių Taisyklių ir kitų saugos politiką įgyvendinančių teisės aktų nuostatas, atsako teisės aktų nustatyta tvarka.

___________________

PATVIRTINTA

VšĮ Centrinės projektų valdymo agentūros

direktoriaus 2019 m. spalio 14 d.

įsakymu Nr. 2019/8-271

(2021 m. sausio 26 d. įsakymo Nr. 2021/8-16

redakcija)

VŠĮ CENTRINĖS PROJEKTŲ VALDYMO AGENTŪROS VALDOMŲ INFORMACINIŲ SISTEMŲ VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. VšĮ Centrinės projektų valdymo agentūros (toliau – CPVA) valdomų informacinių sistemų veiklos tęstinumo valdymo plane (toliau – Planas) nustatomos taisyklės ir procedūros, kurių būtina laikytis atkuriant CPVA valdomų informacinių sistemų veiklą įvykus elektroninės informacijos saugos incidentui, įskaitant kibernetinį incidentą (toliau – saugos incidentas).

2. Taisyklėse vartojamos sąvokos atitinka apibrėžtas:

2.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme;

2.3. Lietuvos Respublikos kibernetinio saugumo įstatyme;

2.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarime Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

2.6. Nacionaliniame kibernetinių incidentų valdymo plane, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Nacionalinis planas);

2.7. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų apraše ir informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintuose Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. 1V-941 „Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

2.8. Centrinės projektų valdymo agentūros informacinės sistemos nuostatuose, patvirtintuose CPVA direktoriaus 2019 m. spalio 14 d. įsakymu Nr. 2019/8-271 „Dėl viešosios įstaigos Centrinės projektų valdymo agentūros informacinių sistemų nuostatų ir saugos politiką įgyvendinančių dokumentų patvirtinimo“;

2.9. Centrinės projektų valdymo agentūros informacinės sistemos duomenų saugos nuostatuose, patvirtintuose CPVA direktoriaus 2019 m. spalio 14 d. įsakymu Nr. 2019/8-271 „Dėl viešosios įstaigos Centrinės projektų valdymo agentūros informacinių sistemų nuostatų ir saugos politiką įgyvendinančių dokumentų patvirtinimo“;

2.10. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatuose, patvirtintuose CPVA direktoriaus 2019 m. balandžio 15 d. įsakymu Nr. 2019/8-86 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo”;

2.11. 2014-2021 m. Europos Ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų saugos nuostatuose, patvirtintuose CPVA direktoriaus 2019 m. balandžio 15 d. įsakymu Nr. 2019/8-86 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo”;

2.12. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos naudojimo taisyklėse, patvirtintose CPVA direktoriaus 2020 m. liepos 31 d. įsakymu Nr. 2020/8-247 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos naudojimo taisyklių patvirtinimo“;

2.13. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų mainų svetainės naudojimo taisyklėse, patvirtintose CPVA direktoriaus 2020 m. balandžio 22 d. įsakymu Nr. 2020/8-136 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų mainų svetainės naudojimo taisyklių patvirtinimo“;

2.14. Asmens duomenų tvarkymo viešojoje įstaigoje Centrinėje projektų valdymo agentūroje tvarkos apraše, patvirtintame CPVA direktoriaus 2018 m. gegužės 23 d. įsakymu Nr. 2018/8-112 „Dėl asmens duomenų tvarkymo Centrinėje projektų valdymo agentūroje tvarkos aprašo patvirtinimo“;

2.15. Lietuvos standartuose LST ISO / IEC 27002 ir LST ISO / IEC 27001 bei kituose Lietuvos ir tarptautiniuose „Informacinės technologijos. Saugumo metodai.“ grupės standartuose vartojamas sąvokas.

3. Taisyklės taikomos CPVA IS ir NORIS valdytojui ir tvarkytojui, CPVA IS ir NORIS administratoriams, CPVA IS ir NORIS saugos įgaliotiniams, CPVA IS ir NORIS naudotojams.

4. Planas įsigalioja įvykus saugos incidentui.

5. CPVA IS ir NORIS veiklos atkūrimas įvykus saugos incidentui finansuojamas iš CPVA ir kitų finansavimo šaltinių.

6. CPVA IS ir NORIS administratoriai, CPVA IS ir NORIS saugos įgaliotiniai, CPVA IS ir NORIS naudotojai, nedelsdami šalina saugos incidento padarinius ir įgyvendina kitas Plano 3 priede pateiktame CPVA valdomų informacinių sistemų veiklos tęstinumo detaliajame plane numatytas priemones.

7. Kriterijai, pagal kuriuos nustatoma, kad CPVA IS ar NORIS veikla atkurta:

7.1. nuolat atnaujinami CPVA IS ar NORIS duomenys;

7.2. išsaugomi atnaujinti CPVA IS ar NORIS duomenys;

7.3. CPVA IS ar NORIS gali naudotis visi, turintys suteiktas CPVA IS ar NORIS teises, naudotojai;

7.4. iš susijusių registrų ir informacinių sistemų gaunami duomenys yra atnaujinami ir išsaugomi.

8. CPVA IS ar NORIS veikla laikoma atkurta, jeigu CPVA IS ar NORIS yra vėl prieinama ne mažiau kaip 90 procentų laiko per parą.

9. Saugos incidento tyrimas atliekamas pagal Plano 1 priede pateiktą CPVA valdomų informacinių sistemų saugos incidentų valdymo tvarkos aprašą.

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

10. Saugos incidentams valdyti ir CPVA IS ar NORIS veiklai atkurti sudaromos dvi grupės: CPVA IS ar NORIS veiklos tęstinumo valdymo grupė (toliau – valdymo grupė) ir CPVA IS ar NORIS veiklos atkūrimo grupė (toliau – veiklos atkūrimo grupė).

11. Valdymo grupės tikslai – tirti saugos incidentus, ieškoti priemonių ir būdų sukeltiems padariniams ir žalai likviduoti, užtikrinti CPVA IS ar NORIS veiklos tęstinumą.

12. Valdymo grupės sudėtis:

12.1. grupės vadovas – CPVA direktorius arba jo įgaliotas asmuo;

12.2. grupės nariai – CPVA IS ar NORIS saugos įgaliotinis pagal kompetenciją ir atsakomybę, CPVA IS ar NORIS administratoriai pagal kompetencijas ir atsakomybes, kiti CPVA darbuotojai (pagal poreikį).

13. Valdymo grupės funkcijos:

13.1. situacijos analizė, problemų (saugos incidentų) nustatymas;

13.2. sprendimų CPVA IS ar NORIS veiklos tęstinumo valdymo klausimais priėmimas ir jų vykdymo kontrolė;

13.3. bendravimas su teisėsaugos ir kibernetinius incidentus valdančiomis ir (ar) tiriančiomis institucijomis ir jų informavimas, CPVA IS ar NORIS naudotojų informavimas;

13.4. finansinių ir kitų išteklių, reikalingų CPVA IS ar NORIS veiklai atkurti, įvykus saugos incidentui, nustatymas ir naudojimo kontrolė;

13.5. elektroninės informacijos fizinės saugos, įvykus saugos incidentui, užtikrinimas;

13.6. logistikos (žmonių, daiktų, įrangos gabenimo) organizavimas;

13.7. bendravimas su kitų informacinių sistemų veiklos tęstinumo valdymo grupėmis;

13.8. CPVA IS ar NORIS veiklos atkūrimo priežiūra ir koordinavimas.

14. Veiklos atkūrimo grupės tikslas – likviduoti saugos incidentus.

15. Veiklos atkūrimo grupę sudaro:

15.1. grupės vadovas – CPVA IS ar NORIS saugos įgaliotinis pagal kompetenciją ir atsakomybę;

15.2. grupės nariai – CPVA IS ar NORIS administratoriai pagal kompetenciją ir atsakomybes, kiti CPVA darbuotojai (pagal poreikį).

16. Veiklos atkūrimo grupės funkcijos:

16.1. tarnybinių stočių veikimo atkūrimo organizavimas;

16.2. kompiuterių tinklo veikimo atkūrimo organizavimas;

16.3. programinės įrangos tinkamo veikimo atkūrimo organizavimas;

16.4. kompiuterizuotų darbo vietų veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas;

16.5. CPVA IS ar NORIS elektroninės informacijos atkūrimo organizavimas.

17. Valdymo grupės ir veiklos atkūrimo grupės sudėtys yra tvirtinamos CPVA direktoriaus arba įgalioto asmens.

18. Įvykus saugos incidentui, valdymo grupės vadovas organizuoja valdymo grupės susirinkimą.

19. Valdymo grupė, atlikusi situacijos analizę, susisiekia su veiklos atkūrimo grupe ir informuoja apie esamą padėtį bei priimtus sprendimus dėl veiklos atkūrimo.

20. Valdymo grupės ir veiklos atkūrimo grupės nariai tarpusavyje bendrauja asmeniškai, elektroniniu paštu, telefonu ir kitomis ryšio priemonėmis.

21. CPVA IS ar NORIS veiklos atkūrimo veiksmai, atsakingi asmenys, dalyvaujantys incidento vertinime, tyrime, šalinime, informavimo laikas ir veiksmai nurodyti Plano 3 priede pateiktame CPVA valdomų informacinių sistemų veiklos tęstinumo detaliajame plane.

22. Apie įvykdytus CPVA IS ar NORIS veiklos atkūrimo veiksmus atsakingi asmenys nedelsdami informuoja veiklos atkūrimo grupės vadovą.

23. Veiklos atkūrimo grupės vadovas nuolat informuoja valdymo grupės narius apie CPVA IS ar NORIS veiklos atkūrimo eigą.

24. Saugos incidento metu, šalinant incidento padarinius, CPVA IS ar NORIS veiklai atkurti prireikus gali būti naudojamos atsarginės patalpos, kurioms keliami reikalavimai atitinka nustatytus LST ISO/IEC 27001 Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos standarte.

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

25. Kompiuterinės ir programinės įrangos sąrašai, šios įrangos parametrai, ir už jos priežiūrą atsakingi asmenys nurodyti elektroniniame žurnale, kurį tvarko ir saugo CPVA IS administratoriai ir NORIS infrastruktūros administratorius. Laikinai nesant reikiamo administratoriaus, jį gali pavaduoti kitas, CPVA direktoriaus įsakymu paskirtas, CPVA darbuotojas, atitinkantis CPVA IS ar NORIS saugos politiką įgyvendinančiuose dokumentuose administratoriams nustatytus reikalavimus.

26. Parengtų ir saugomų dokumentų sąrašas, kurį tvarko CPVA IS ir NORIS saugos įgaliotiniai:

26.1. Dokumentai, kuriuose nurodyta minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos institucijos poreikius atitinkančiai CPVA IS ar NORIS veiklai užtikrinti įvykus saugos incidentui, specifikacija;

26.2. CPVA pastato, kuriame yra CPVA IS tarnybinės stotys, aukšto planas;

26.3. CPVA pastato patalpose esančios įrangos ir komunikacijų brėžiniai;

26.4. NORIS tarnybinių stočių pastato adresas ir atsakingų asmenų už 26.2 ir 26.3 papunkčiuose nurodytus dokumentus kontaktiniai duomenys;

26.5. CPVA IS ir NORIS programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis žurnalas, kuriame nurodoma programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos;

26.6. CPVA IS ar NORIS valdymo grupės ir veiklos atkūrimo grupės narių telefono ryšio numeriai ir kiti susiję duomenys.

26.7. Duomenų teikimo ir pagrindinės kompiuterinės, techninės ir programinės įrangos priežiūros sutarčių sąrašas.

27. Už 26 punkte nurodytų dokumentų saugojimą atsakingi CPVA IS administratoriai ir NORIS infrastruktūros administratorius.

IV SKYRIUS

PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

28. Plano veiksmingumas turi būti išbandytas per šešis mėnesius nuo jo patvirtinimo dienos. Plano veiksmingumas turi būti išbandomas ne rečiau kaip kartą per metus, modeliuojant saugos incidentą.

29. Išbandymo rezultatai nurodomi Plano 4 priede pateiktos formos CPVA valdomų informacinių sistemų veiklos tęstinumo valdymo plano veiksmingumo išbandymo ataskaitoje, kurią parengia CPVA IS ir NORIS saugos įgaliotiniai kartu su CPVA IS administratoriais ir NORIS infrastruktūros administratoriais. Už CPVA valdomų informacinių sistemų veiklos tęstinumo valdymo plano pateikimą CPVA direktoriui ar jo įgaliotam asmeniui atsakingi CPVA IS ir NORIS saugos įgaliotiniai.

30. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami vadovaujantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

CPVA valdomų informacinių sistemų

veiklos tęstinumo valdymo plano

1 priedas

CPVA VALDOMŲ INFORMACINIŲ SISTEMŲ SAUGOS INCIDENTŲ VALDYMO TVARKOS APRAŠAS

1. CPVA IS naudotojai, pastebėję neteisėtą elektroninės informacijos kopijavimą, keitimą, naikinimą, perdavimą, CPVA IS ar NORIS saugos politiką įgyvendinančių dokumentų reikalavimų pažeidimą, nusikalstamos veiklos požymius, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones, įvykius ar veiklą, privalo nedelsdami pranešti apie tai CPVA IS administratoriui Help Desk sistemoje (adresu helpdesk.cpva.lt);

2. NORIS naudotojai, pastebėję neteisėtą elektroninės informacijos kopijavimą, keitimą, naikinimą, perdavimą, CPVA IS ar NORIS saugos politiką įgyvendinančių dokumentų reikalavimų pažeidimą, nusikalstamos veiklos požymius, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones, įvykius ar veiklą, privalo nedelsdami pranešti apie tai el. paštu noris.prieziura@cpva.lt;

3. CPVA IS ar NORIS administratoriai nedelsdami turi imtis veiksmų, reikalingų saugos incidentui stabdyti, padariniams likviduoti, ir apie tai pranešti CPVA IS ar NORIS saugos įgaliotiniui, kuris, įvertinęs saugos incidento reikšmingumą, informuoja CPVA direktorių ar jo įgaliotą asmenį.

4. CPVA IS ar NORIS administratoriai, suderinę su CPVA IS ar NORIS saugos įgaliotiniu, atlieka neatidėliotinus administravimo veiksmus, skirtus saugos incidento plėtrai sustabdyti ir jo tyrimui būtinai informacijai surinkti.

5. CPVA IS ar NORIS administratorius pagal kompetenciją surenka visą su saugos incidentu susijusią informaciją ir įvykį fiksuoja Plano 2 priede pateiktos formos CPVA valdomų informacinių sistemų saugos incidentų žurnale, nurodydamas incidento vietą, laiką, pobūdį, CPVA IS ar NORIS atkuriamuosius darbus ir kitą su saugos incidentu susijusią informaciją, informuoja apie saugos incidentą pranešusį asmenį apie pašalintus saugos incidento sukeltus nesklandumus.

6. Saugos incidentui paveikus ne tik CPVA IS ir NORIS, bet ir kitas informacines sistemas, CPVA IS ar NORIS saugos įgaliotinis informuoja saugos incidento poveikį patyrusius ar galinčius patirti paslaugų teikėjus ir (ar) kitas institucijas, atsižvelgia į jų rekomendacijas ir vykdo jų nurodymus.

7. Kibernetinių incidentų atveju, jų nustatymas (kibernetinių incidentų kategorijos priskyrimas), informavimas, tyrimas ir kibernetinių incidentų analizė baigus kibernetinių incidentų tyrimą, vykdomi Nacionalinio plano nustatyta tvarka, o Plano nuostatos taikomos tiek, kiek kibernetinių incidentų valdymo nereglamentuoja Nacionalinis planas.

8. Kibernetiniu incidentų atveju, atsakingi asmenys, dalyvaujantys incidento vertinime, tyrime, šalinime, teisėsaugos ir kibernetinius incidentus valdančios ir (ar) tiriančios institucijos informavimo laikas ir veiksmai nurodomi Plano 3 priede. Apie kibernetinius incidentus ir taikytas kibernetinių incidentų tyrimo ar valdymo priemones pranešama Nacionalinio kibernetinio saugumo centro interneto svetainėje nurodytais kontaktais.

9. CPVA direktorius ar jo įgaliotas asmuo, atsižvelgdamas į saugos incidento pobūdį, gali inicijuoti jo išsamų tyrimą.

10. Nusprendęs pradėti saugos incidento tyrimą, CPVA direktorius ar jo įgaliotas asmuo sudaro atskirą tyrimo komisiją, kuri per penkiolika darbo dienų turi:

10.1. ištirti saugos incidento atsiradimo priežastis;

10.2. nustatyti asmenis, dėl kurių veiksmų ir (ar) neveikimo įvyko saugos incidentas;

10.3. nustatyti saugos incidento pasekmes ar dėl jo atsiradusią žalą;

10.4. parengti ir pateikti valdymo grupės vadovui tyrimo išvadas.

11. CPVA direktorius ar jo įgaliotas asmuo, atsižvelgdamas į tyrimo komisijos pateiktas išvadas, turi teisę teikti siūlymus dėl atsakomybės taikymo teisės aktų nustatyta tvarka.

CPVA valdomų informacinių sistemų

veiklos tęstinumo valdymo plano

2 priedas

(Saugos incidentų apskaitos žurnalo forma)

CPVA VALDOMŲ INFORMACINIŲ SISTEMŲ SAUGOS INCIDENTŲ ŽURNALAS

Eil. Nr.	Elektroninės informacijos saugos incidentas
Eil. Nr.	Informacinės sistemos pavadinimas (trumpinys)	Informacinės sistemos naudotojas (v, pavardė)	Požymio kodas*	Elektroninės informacijos saugos incidento aprašymas	Pradžia (metai, mėnuo, diena, valanda)	Pabaiga (metai, mėnuo, diena, valanda)	Elektroninės informacijos saugos incidentą pašalinusio (-ių) darbuotojo (-ų) v. pavardė (-ės)	Informacinės sistemos saugos įgaliotinis (v., pavardė, parašas)	Ar taikyti Nacionalinio plano reikalavimai? (taip/ne)
1	2	3	4	5	6	7	8	9	10

* Elektroninės informacijos saugos incidento požymių kodai:

1 – gamtos reiškiniai; 2 – gaisras; 3 – elektros energijos tiekimo sutrikimai; 4 – vandentiekio ir šildymo sistemų sutrikimai; 5 – ryšio sutrikimai; 6 – įsilaužimas į vidinį kompiuterių tinklą; 7 – pagrindinių tarnybinių stočių sugadinimas ir (ar) praradimas; 8 – vagystė iš duomenų bazės ar jos fizinis sunaikinimas; 9 – programinės įrangos sugadinimas, praradimas; 10 – pavojingas (įtartinas) radinys; 11 – įvykis, susijęs su teroristine veikla; 12 – dokumentų praradimas; 13 – dalinis informacinės sistemos sutrikimas dėl neaiškių priežasčių.

CPVA valdomų informacinių sistemų

veiklos tęstinumo valdymo plano

3 priedas

CPVA VALDOMŲ INFORMACINIŲ SISTEMŲ VEIKLOS TĘSTINUMO DETALUSIS PLANAS

Eil. Nr.	Elektroninės informacijos saugos incidentas	Pirmaeiliai veiksmai	Pasekmių likvidavimo veiksmai	Terminai	Atsakingi vykdytojai
1	2	3	4	5	6
1.	Gamtos reiškiniai (potvynis, uraganas ir kiti)	1.1. Elektroninės informacijos saugos incidento padarinių įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	1.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	Per 15 min. nuo incidento nustatymo	Valdymo grupės vadovas
			1.1.2. Priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas	Per 30 min. nuo incidento nustatymo	Valdymo grupės vadovas
			1.1.3. Darbuotojų informavimas, padarytą žalą likviduojančių darbuotojų instruktavimas	Nedelsiant	CPVA IS ar NORIS saugos įgaliotinis
			1.1.4. Elektroninės informacijos saugos incidento metu padarytos žalos likvidavimas, pirmosios pagalbos suteikimas nukentėjusiems darbuotojams	Nedelsiant	CPVA IS administratorius, NORIS infrastruktūros administratorius
2.	Gaisras	2.1. Priešgaisrinės gelbėjimo CPVA informavimas	2.1.1. Įvykio vietos lokalizavimas, jei Priešgaisrinė gelbėjimo tarnyba rekomenduoja	Nedelsiant	CPVA IS ar NORIS saugos įgaliotinis
		2.2. Gaisro gesinimas ankstyvoje stadijoje, jei yra rekomendacija dirbti pavojaus zonoje	2.2.1. Galimybių evakuoti darbuotojus įvertinimas, jei Priešgaisrinė gelbėjimo tarnyba rekomenduoja	Nedelsiant	Valdymo grupės vadovas, CPVA IS ar NORIS saugos įgaliotinis
		2.3. Darbas pavojaus zonoje, komunikacijų, sukeliančių pavojų, išjungimas	2.3.1. Darbuotojų informavimas apie evakavimą, jei Priešgaisrinė gelbėjimo tarnyba rekomenduoja	Nedelsiant	CPVA IS ar NORIS saugos įgaliotinis
		2.4. Sutrikimų pašalinimas	2.4.1. Darbuotojų informavimas apie saugų darbą pavojaus zonoje	Nedelsiant	CPVA IS ar NORIS saugos įgaliotinis
			2.4.2 Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	Per 1 val. nuo incidento nustatymo	Valdymo grupės vadovas
			2.4.3. Padarytą žalą likviduojančių darbuotojų instruktavimas	Nedelsiant	CPVA IS ar NORIS saugos įgaliotinis
			2.4.4. Elektroninės informacijos saugos incidento metu padarytos žalos likvidavimas	Priklausomai nuo atkūrimo darbų apimties	CPVA IS administratorius, NORIS infrastruktūros administratorius
3.	Elektros energijos tiekimo sutrikimai	3.1. Elektros energijos tiekimo sutrikimo priežasčių nustatymas	3.1.1. Rekomendacijų iš elektros energijos tiekimo CPVA gavimas	Per 1 val. nuo incidento nustatymo	Valdymo grupės vadovas
		3.2. Tarnybinių stočių, kitos techninės įrangos maitinimo išjungimas	3.2.1. Padarytos žalos įvertinimas	Per 1,5 val. nuo incidento nustatymo	Valdymo grupės vadovas
		3.3. Kreipimasis į elektros energijos tiekimo tarnybą dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių	3.3.1. Žalą likviduojančių darbuotojų instruktavimas	Nedelsiant	CPVA IS ar NORIS saugos įgaliotinis
		3.4. Sutrikimų pašalinimas	3.4.1. Padarytos žalos likvidavimas	Priklausomai nuo atkūrimo darbų apimties	CPVA IS ar NORIS saugos įgaliotinis, CPVA IS administratorius, NORIS infrastruktūros administratorius, valdymo grupės vadovas
4.	Vandentiekio ir šildymo sistemų sutrikimai	4.1. Vandentiekio ir šildymo paslaugų teikėjų informavimas	4.1.1. Paslaugų teikėjų rekomendacijų gavimas	Per 1 val. nuo incidento nustatymo	Veiklos grupės vadovas
		4.1. Vandentiekio ir šildymo paslaugų teikėjų informavimas	4.1.2. Darbuotojų informavimas apie rekomendacijas	Iš karto po rekomendacijų gavimo	CPVA IS ar NORIS saugos įgaliotinis
		4.2. Sutrikimo šalinimo prognozės skelbimas	4.2.1. Padarytos žalos įvertinimas	Per 1 val. nuo incidento nustatymo	Veiklos grupės vadovas
		4.2. Sutrikimo šalinimo prognozės skelbimas	4.2.2. Padarytos žalos likvidavimas	Priklausomai nuo atkūrimo darbų apimties	Veiklos grupės vadovas
5.	Elektroninių ryšių tinklo sutrikimas	5.1. Elektroninių ryšių sutrikimo priežasčių nustatymas	5.1.1. Ryšio paslaugos teikėjo rekomendacijų gavimas	Per 1 val. nuo incidento nustatymo	CPVA IS administratorius, NORIS infrastruktūros administratorius
5.	Elektroninių ryšių tinklo sutrikimas	5.2. Elektroninių ryšių paslaugų teikėjų informavimas, sutrikimo trukmės ir šalinimo prognozavimas	5.2.1. Sutrikimo likvidavimas	Priklausomai nuo atkūrimo darbų apimties	CPVA IS administratorius, NORIS infrastruktūros administratorius
6.	Įsilaužimas į vidinį kompiuterių tinklą	6.1. Pranešimas teisėsaugos ir kibernetinius incidentus valdančioms ir (ar) tiriančioms institucijoms apie įvykį	6.1.1. Nacionalinio plano reikalavimų, teisėsaugos ir kibernetinius incidentus valdančios ir (ar) tiriančios institucijos nurodymų vykdymas	Nedelsiant	CPVA IS ar NORIS saugos įgaliotinis
6.	Įsilaužimas į vidinį kompiuterių tinklą	6.2. Priemonių plano sudarymas ir įgyvendinimas	6.2.1. Elektroninės informacijos saugos incidento pasekmių likvidavimas	Nedelsiant	CPVA IS administratorius, NORIS infrastruktūros administratorius
7.	Pagrindinių tarnybinių stočių sugadinimas ir (ar) praradimas	7.1. Pranešimas teisėsaugos ir kibernetinius incidentus valdančioms ir (ar) tiriančioms institucijoms apie įvykį	7.1.1. Nacionalinio plano reikalavimų, teisėsaugos ir kibernetinius incidentus valdančios ir (ar) tiriančios institucijos nurodymų vykdymas	Nedelsiant	Valdymo grupės vadovas
		7.2. Priemonių plano sudarymas ir įgyvendinimas	7.2.1. Padarytą žalą likviduojančių darbuotojų instruktavimas	Nedelsiant	CPVA IS ar NORIS saugos įgaliotinis
			7.2.2. Elektroninės informacijos saugos incidento pasekmių likvidavimas	Priklausomai nuo atkūrimo darbų apimties	CPVA IS administratorius, NORIS infrastruktūros administratorius
			7.2.3. Padarytos žalos įvertinimas	Per 1 val. nuo incidento nustatymo	Valdymo grupės vadovas
			7.2.4. Žalos likvidavimas	Priklausomai nuo atkūrimo darbų apimties	Valdymo grupės vadovas
8.	Vagystė iš duomenų bazės ar jos fizinis sunaikinimas	8.1. Pranešimas teisėsaugos institucijai apie įvykį	8.1.1. Nacionalinio plano reikalavimų, teisėsaugos ir kibernetinius incidentus valdančios ir (ar) tiriančios institucijos nurodymų vykdymas	Nedelsiant	Valdymo grupės vadovas
		8.2. Priemonių plano sudarymas ir įgyvendinimas	8.2.1. Padarytos žalos įvertinimas	Per 1 val. nuo incidento nustatymo	Valdymo grupės vadovas
		8.2. Priemonių plano sudarymas ir įgyvendinimas	8.2.2. Duomenų atkūrimas iš atsarginių kopijų	Per 8 val.	CPVA IS administratorius, NORIS infrastruktūros administratorius
9.	Programinės įrangos sugadinimas, praradimas	9.1. Pranešimas teisėsaugos ir kibernetinius incidentus valdančioms ir (ar) tiriančioms institucijoms apie įvykį	9.1.1. Nacionalinio plano reikalavimų, teisėsaugos ir kibernetinius incidentus valdančios ir (ar) tiriančios institucijos nurodymų vykdymas, priemonių plano sudarymas ir įgyvendinimas	Per 1 val. nuo incidento nustatymo	Valdymo grupės vadovas
		9.2. Programinės įrangos kopijų periodinis gaminimas	9.2.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	Per 1 val. nuo incidento nustatymo	Valdymo grupės vadovas
			9.2.2. Žalą likviduojančių darbuotojų instruktavimas	Nedelsiant	CPVA IS ar NORIS saugos įgaliotinis
			9.2.3. Padarytos žalos likvidavimas	Priklausomai nuo atkūrimo darbų apimties	CPVA IS administratorius, NORIS infrastruktūros administratorius
10.	Pavojingas (įtartinas) radinys	10.1. Pranešimas teisėsaugos institucijai apie įvykį	10.1.1. Teisėsaugos institucijos nurodymų vykdymas	Nedelsiant	Valdymo grupės vadovas
11.	Įvykis, susijęs su teroristine veikla	11.1. Pranešimas teisėsaugos institucijai apie įvykį	11.1.1. Teisėsaugos institucijos nurodymų vykdymas	Nedelsiant	Valdymo grupės vadovas
11.	Įvykis, susijęs su teroristine veikla	11.2. Darbuotojų evakavimas, jei yra rekomendacija	11.2.1. Darbuotojų informavimas apie nurodymų vykdymą	Nedelsiant	CPVA IS ar NORIS saugos įgaliotinis
12.	Dokumentų praradimas	12.1. Vadovybės informavimas	12.1.1. Prarastų dokumentų atkūrimas	Per 8 val. nuo incidento nustatymo	CPVA IS ar NORIS saugos įgaliotinis
13.	Dalinis informacinės sistemos veiklos sutrikimas dėl nenustatytų priežasčių	13.1. Atsakingų darbuotojų informavimas, Techninių specialistų pasitarimo problemai nustatyti organizavimas	13.1.1. Padarytos žalos įvertinimas	Nedelsiant	CPVA IS ar NORIS saugos įgaliotinis
		13.2. Problemos lokalizavimas	13.2.1. Padarytą žalą likviduojančių darbuotojų instruktavimas	Nedelsiant	CPVA IS administratoriai ar NORIS infrastruktūros administratoriai
		13.3. Problemos šalinimas	13.3.1. Elektroninės informacijos saugos incidento pasekmių likvidavimas	Nedelsiant	Valdymo grupės vadovas

CPVA valdomų informacinių sistemų

veiklos tęstinumo valdymo plano

4 priedas

(Plano veiksmingumo išbandymo ataskaitos forma)

CPVA VALDOMŲ INFORMACINIŲ SISTEMŲ VEIKLOS TĘSTINUMO VALDYMO PLANO VEIKSMINGUMO IŠBANDYMO ATASKAITA

___________ Nr.

(data)

1. Plano išbandymo data:

2. Bandyme dalyvavo:

(pareigos, vardas, pavardė)

3. Elektroninės informacijos saugos incidento scenarijus:

4. Funkcijos ir posistemiai, kuriuos paveikė elektroninės informacijos saugos incidentas:

5. Elektroninės informacijos saugos incidento šalinimo eiga:

6. Rasti trūkumai:

7. Pasiūlymai keisti arba papildyti planą:

IS saugos įgaliotinis:


(pareigos)		(parašas)		(vardas ir pavardė)

IS administratorius:


(pareigos)		(parašas)		(vardas ir pavardė)

PATVIRTINTA

VšĮ Centrinės projektų valdymo agentūros

direktoriaus 2019 m. spalio 14 d.

įsakymu Nr. 2019/8-271

(2021 m. sausio 26 d. įsakymo Nr. 2021/8-16

redakcija)

2014-2021 M. EUROPOS EKONOMINĖS ERDVĖS IR NORVEGIJOS FINANSINIŲ MECHANIZMŲ ADMINISTRAVIMO IR PROCESŲ AUTOMATIZAVIMO INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I skyrius

BENDROSIOS NUOSTATOS

1. 2014-2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos (toliau – NORIS) naudotojų administravimo taisyklės (toliau – Taisyklės) reglamentuoja NORIS naudotojų, NORIS administratorių, NORIS saugos įgaliotinio įgaliojimus, teises, pareigas, Taisyklių supažindinimo su tvarką.

2. Taisyklėse vartojamos sąvokos atitinka apibrėžtas:

2.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme;

2.3. Lietuvos Respublikos kibernetinio saugumo įstatyme;

2.4. Bendrajame elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarime Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

2.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarime Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

2.7. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatuose, patvirtintuose CPVA direktoriaus 2019 m. balandžio 15 d. įsakymu Nr. 2019/8-86 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo” (toliau – NORIS nuostatai);

2.8. 2014-2021 m. Europos Ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų saugos nuostatuose, patvirtintuose CPVA direktoriaus 2019 m. balandžio 15 d. įsakymu Nr. 2019/8-86 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo”;

2.9. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos naudojimo taisyklėse, patvirtintose CPVA direktoriaus 2020 m. liepos 31 d. įsakymu Nr. 2020/8-247 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos naudojimo taisyklių patvirtinimo“ (toliau – NORIS taisyklės);

2.10. 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų mainų svetainės naudojimo taisyklėse, patvirtintose CPVA direktoriaus 2020 m. balandžio 22 d. įsakymu Nr. 2020/8-136 „Dėl 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos duomenų mainų svetainės naudojimo taisyklių patvirtinimo“ (toliau – DMS taisyklės);

2.11. Asmens duomenų tvarkymo viešojoje įstaigoje Centrinėje projektų valdymo agentūroje tvarkos apraše, patvirtintame CPVA direktoriaus 2018 m. gegužės 23 d. įsakymu Nr. 2018/8-112 „Dėl asmens duomenų tvarkymo Centrinėje projektų valdymo agentūroje tvarkos aprašo patvirtinimo“;

2.12. Lietuvos standartuose LST ISO / IEC 27002 ir LST ISO / IEC 27001 bei kituose Lietuvos ir tarptautiniuose „Informacinės technologijos. Saugumo metodai.“ grupės standartuose vartojamas sąvokas.

3. Taisyklės taikomos NORIS naudotojams, NORIS administratoriams ir NORIS saugos įgaliotiniui. DMS naudotojams naudotojų administravimo reikalavimai yra nustatyti DMS taisyklėse.

4. Prieiga prie elektroninės informacijos suteikiama vadovaujantis būtinumo žinoti principu. Šis principas reiškia, kad NORIS naudotojai ir NORIS administratoriai turi turėti tik tiek prieigos teisių prie elektroninės informacijos, kiek yra būtina jų tiesioginėms funkcijoms vykdyti ir tik atlikus NORIS naudotojo ar administratoriaus identifikaciją.

5. Prieiga prie elektroninės informacijos suteikiama vadovaujantis pareigų atskyrimo principu. Šis principas reiškia, kad NORIS naudotojams ar NORIS administratoriams negali būti pavesta atlikti ir kontroliuoti visų pagrindinių elektroninės informacijos tvarkymo ar NORIS priežiūros funkcijų. NORIS naudotojams suteikiamų teisių atskyrimas nurodytas NORIS Taisyklių priedo 2014–2021 m. Europos ekonominės erdvės ir Norvegijos finansinių mechanizmų administravimo ir procesų automatizavimo informacinės sistemos naudotojo vadovo (toliau – Naudotojo vadovas) 4 skyriuje „NORIS naudotojų prieigos, rolių ir teisių administravimas“.

II SKYRIUS

NORIS NAUDOTOJŲ IR NORIS ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS

6. NORIS funkciniams ir žinynų administratoriams suteikiamos teisės, nurodytos Naudotojo vadovo 4 skyriuje „NORIS naudotojų prieigos, rolių ir teisių administravimas“.

7. NORIS infrastruktūros administratoriams suteikiamos teisės:

7.1. kurti ir administruoti tarnybinių stočių naudotojus ir prieigas prie jų

7.2. administruoti tinklo įrangą ir ugniasienes;

7.3. paskirstyti ir tvarkyti fizinę duomenų saugojimo erdvę;

7.4. atlikti virtualių tarnybinių stočių atsarginį kopijavimą, atstatymą ir stebėti prieinamumą;

7.5. administruoti NORIS naudotojų darbo vietas.

8. NORIS sisteminiams administratoriams suteikiamos teisės:

8.1. konfigūruoti NORIS veikimui užtikrinti reikalingus operacinės sistemos parametrus;

8.2. diegti ir konfigūruoti NORIS aplikacijas, duomenų bazių valdymo sistemas ir kt. susijusią programinę įrangą ir jų atnaujinimus;

8.3. diegti ir konfigūruoti techninių resursų, operacinės sistemos, NORIS aplikacijų, duomenų bazių valdymo sistemos ir kt. susijusios programinės įrangos stebėjimui reikiamus programinės įrangos sprendimus;

8.4. atlikti duomenų bazių atsarginio kopijavimo ir atkūrimo darbus;

8.5. stebėti kitų NORIS naudotojų prisijungimą prie sistemos;

8.6. stebėti NORIS integracijų su kitomis informacinėmis sistemomis žurnalinius ir įrašus.

9. NORIS naudotojams suteikiama teisė registruoti, redaguoti (keisti, atnaujinti), naikinti, atlikti elektroninės informacijos duomenų paiešką ir peržiūrėti elektroninę informaciją, NORIS taisyklėse nustatyta tvarka.

10. Papildomos, Naudotojo vadove konkrečios NORIS naudotojo rolės teisėms nepriskirtinos teisės, NORIS naudotojams ir NORIS administratoriams gali būti suteikiamos tik testavimo metu, testavimo aplinkose.

11. NORIS administratoriai ir NORIS naudotojai NORIS gali pasiekti naudodami vietinio tinklo arba nuotoline prieiga. Prieiga ir jos lygiai kontroliuojami per fizinius ir loginius (ugniasienės, domeno, operacinės sistemos, duomenų bazės ir kt.) prieigų taškus.

12. NORIS naudotojams ir NORIS administratoriams draudžiama:

12.1. atskleisti NORIS elektroninę informaciją ar suteikti kitokią galimybę bet kokia forma su ja susipažinti tokios teisės neturintiems asmenims;

12.2. naudoti elektroninę informaciją kitokiais nei NORIS nuostatuose ar duomenų teikimo sutartyse nurodytais tikslais;

12.3. sudaryti sąlygas pasinaudoti NORIS tokios teisės neturintiems asmenims (paliekant darbo vietą, būtina užrakinti kompiuterio darbalaukį arba išjungti kompiuterį, draudžia perduoti savo naudotojo prisijungimo duomenis);

12.4. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeista ar sunaikinta NORIS elektroninė informacija;

12.5. atlikti bet kokius kitus neteisėtus NORIS elektroninės informacijos tvarkymo veiksmus.

13. NORIS naudotojai ir NORIS administratoriai turi vykdyti NORIS saugos įgaliotinio nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos užtikrinimu.

14. NORIS naudotojai ir NORIS administratoriai privalo laikytis NORIS saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose nustatytų reikalavimų.

15. NORIS naudotojai, NORIS administratoriai ar NORIS saugos įgaliotinis, pastebėję asmens duomenų saugumo pažeidimą ir (arba) kitą incidentą, nedelsdami apie tai privalo pranešti CPVA duomenų apsaugos pareigūnui elektroniniu pašto adresu asmensduomenys@cpva.lt.

III SKYRIUS

SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO NORIS NAUDOTOJAMS KONTROLĖS TVARKA

16. NORIS naudotojų administravimo tvarka nurodyta Naudotojo vadovo 4 skyriuje „NORIS naudotojų prieigos, rolių ir teisių administravimas“.

17. NORIS naudotojai identifikuojami panaudojant naudotojo vardą ir slaptažodį.

18. Bendrieji reikalavimai slaptažodžių sudarymui, galiojimo trukmei, keitimui ir saugojimui:

18.1. Slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais;

18.2. NORIS saugos įgaliotinio sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo, jei NORIS naudotojas ar NORIS funkcinis administratorius neturi galimybių iššifruoti gauto užšifruoto slaptažodžio arba nėra techninių galimybių NORIS naudotojui ar NORIS funkciniam administratoriui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu;

18.3. Suteiktas laikinas slaptažodis turi būti pakeistas pirmojo prisijungimo prie NORIS metu;

18.4. Slaptažodis turi būti sudarytas iš raidžių, skaitmenų ir specialiųjų simbolių;

18.5. Slaptažodžiui sudaryti patartina nenaudoti asmeninės informacijos (pavyzdžiui, savo ar vaiko gimimo datos, gyvenamosios vietos adreso sudėtinių dalių, namo, buto numerio, vaikų vardų ir panašiai), nesudaryti iš žodynuose pateikiamų žodžių, nenaudoti iš eilės einančių skaičių ar raidžių;

18.6. NORIS turi neleisti automatiškai išsaugoti slaptažodžių;

18.7. Draudžiama naudoti tą patį slaptažodį nedarbinei veiklai;

18.8. Draudžiama slaptažodį atskleisti kitam asmeniui;

18.9. Kilus įtarimams, kad slaptažodis galėjo būti atskleistas, NORIS naudotojai ar NORIS administratoriai turi nedelsdami slaptažodį pakeisti;

18.10. Pasirinkdami ar keisdami slaptažodį, NORIS naudotojai ar administratoriai turi bent kartą slaptažodį pakartoti;

18.11. Didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius – 5 kartai. Neteisingai įvedus slaptažodį didžiausią leistiną mėginimų skaičių, NORIS naudotojai ir NORIS administratoriai blokuojami;

18.12. NORIS naudotojams ir NORIS administratoriams prieigos teisės dirbti su NORIS gali būti suteiktos tik sutikus saugoti tvarkomų duomenų paslaptį ir laikytis duomenų saugos reikalavimų ir pasirašytinai (išsaugant datą NORIS duomenų bazėje) susipažinus su saugos politiką įgyvendinančiais dokumentais;

18.13. Draudžiama NORIS naudoti gamintojų nustatytus slaptažodžius, jie turi būti pakeisti į atitinkančius reikalavimus slaptažodžius.

19. Papildomi reikalavimai NORIS naudotojų slaptažodžiams:

19.1. slaptažodį turi sudaryti ne mažiau kaip 8 simboliai;

19.2. slaptažodis turi būti keičiamas ne rečiau kaip kas 60 dienų;

19.3. neturi būti leidžiama sudaryti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;

19.4. neprisijungus prie NORIS 60 dienų naudotojo prisijungimas blokuojamas.

20. Papildomi reikalavimai NORIS administratorių slaptažodžiams:

20.1. slaptažodį turi sudaryti ne mažiau kaip 12 simboliai;

20.2. slaptažodis turi būti keičiamas ne rečiau kaip kas 60 dienų;

20.3. neturi būti leidžiama sudaryti slaptažodžio iš buvusių 3 paskutinių slaptažodžių.

21. NORIS infrastruktūros administratoriaus funkcijos turi būti atliekamos naudojant atskirą tam skirtą naudotojo paskyrą, kuri negali būti naudojama kasdienėms NORIS naudotojo funkcijoms atlikti.

22. Sąlygos ir atvejai, kai panaikinama NORIS naudotojo teisė dirbti su elektronine informacija nurodyti Naudotojo vadovo 4 skyriuje „NORIS naudotojų prieigos, rolių ir teisių administravimas“.

23. NORIS administratoriams kylant įtarimų, kad NORIS naudotojai piktnaudžiauja suteiktomis prieigos teisėmis, ir gali pažeisti NORIS tvarkomų duomenų saugumą, NORIS administratorius kreipiasi į NORIS saugos įgaliotinį, kad gautų leidimą panaikinti NORIS naudotojo prieigos teises ir jas gali panaikinti.

24. Nuotolinis NORIS naudotojų ir NORIS administratorių prisijungimas turi būti vykdomas naudojant patikimus elektroninės informacijos šifravimo protokolus.

25. NORIS naudotojai, NORIS administratoriai ir NORIS saugos įgaliotinis, pažeidę šių Taisyklių ar kitų saugos politiką įgyvendinančių dokumentų nuostatas, atsako teisės aktų nustatyta tvarka.