Paveikslėlis, kuriame yra eskizas, tekstas, piešimas, simbolis Automatiškai sugeneruotas aprašymas

LIETUVOS RESPUBLIKOS FINANSŲ MINISTRAS

ĮSAKYMAS

DĖL FINANSŲ MINISTRO 2022 M. LIEPOS 28 D. ĮSAKYMO NR. 1K-274 „DĖL EUROPOS SĄJUNGOS INVESTICIJŲ ADMINISTRAVIMO INFORMACINĖS SISTEMOS STEIGIMO“ PAKEITIMO

2023 m. rugpjūčio 23 d. Nr. 1K-299

Vilnius

P a k e i č i u Lietuvos Respublikos finansų ministro 2022 m. liepos 28 d. įsakymą Nr. 1K-274 „Dėl Europos Sąjungos investicijų administravimo informacinės sistemos steigimo“:

1. Pakeičiu nurodytą įsakymą ir jį išdėstau nauja redakcija (Europos Sąjungos investicijų administravimo informacinės sistemos duomenų saugos nuostatai nauja redakcija nedėstomi, Europos Sąjungos investicijų administravimo informacinės sistemos nuostatai ir Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Europos Sąjungos investicijų administravimo informacinėje sistemoje tvarkos aprašas nekeičiami):

„LIETUVOS RESPUBLIKOS FINANSŲ MINISTRAS

ĮSAKYMAS

DĖL EUROPOS SĄJUNGOS INVESTICIJŲ ADMINISTRAVIMO INFORMACINĖS SISTEMOS STEIGIMO

Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 3 dalimi, 30 ir 33 straipsniais, 43 straipsnio 2 dalimi, 44 straipsnio 2 dalimi, Lietuvos Respublikos kibernetinio saugumo įstatymo 11 straipsnio 1 dalies 5 punktu, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 4 ir 11 punktais, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, 7, 11, 19 ir 26 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 6 punktu, įgyvendindama 2021 m. vasario 12 d. Europos Parlamento ir Tarybos reglamento (ES) 2021/241, kuriuo nustatoma ekonomikos gaivinimo ir atsparumo didinimo priemonė, 22 straipsnio 2 dalies d punktą, 2021 m. birželio 24 d. Europos Parlamento ir Tarybos reglamento (ES) 2021/1060, kuriuo nustatomos bendros Europos regioninės plėtros fondo, „Europos socialinio fondo +“, Sanglaudos fondo, Teisingos pertvarkos fondo ir Europos jūrų reikalų, žvejybos ir akvakultūros fondo nuostatos ir šių fondų bei Prieglobsčio, migracijos ir integracijos fondo, Vidaus saugumo fondo ir Sienų valdymo ir vizų politikos finansinės paramos priemonės taisyklės, 72 straipsnio 1 dalies e punktą ir atsižvelgdama į 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 28 straipsnio 3 dalies f punktą:

1. Į s t e i g i u Europos Sąjungos investicijų administravimo informacinę sistemą (toliau – INVESTIS).

2. T v i r t i n u pridedamus:

2.1. Europos Sąjungos investicijų administravimo informacinės sistemos nuostatus;

2.2. Europos Sąjungos investicijų administravimo informacinės sistemos duomenų saugos nuostatus;

2.3. Duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Europos Sąjungos investicijų administravimo informacinėje sistemoje tvarkos aprašą;

2.4 Europos Sąjungos investicijų administravimo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;

2.5. Europos Sąjungos investicijų administravimo informacinės sistemos naudotojų administravimo taisykles;

2.6 Europos Sąjungos investicijų administravimo informacinės sistemos veiklos tęstinumo valdymo planą.

3. S k i r i u INVESTIS valdytoja Lietuvos Respublikos finansų ministeriją.

4. N u s t a t a u, kad INVESTIS tvarkytojos yra Finansų ministerija, Lietuvos Respublikos vidaus reikalų ministerija, Lietuvos Respublikos socialinės apsaugos ir darbo ministerija, Lietuvos Respublikos ekonomikos ir inovacijų ministerija, Lietuvos Respublikos švietimo, mokslo ir sporto ministerija, Lietuvos Respublikos susisiekimo ministerija, Lietuvos Respublikos aplinkos ministerija, Lietuvos Respublikos sveikatos apsaugos ministerija, Lietuvos Respublikos kultūros ministerija, Lietuvos Respublikos energetikos ministerija, Lietuvos Respublikos krašto apsaugos ministerija, Lietuvos Respublikos žemės ūkio ministerija, viešoji įstaiga Centrinė projektų valdymo agentūra, viešoji įstaiga Inovacijų agentūra, Alytaus regiono plėtros taryba, Kauno regiono plėtros taryba, Klaipėdos regiono plėtros taryba, Marijampolės regiono plėtros taryba, Panevėžio regiono plėtros taryba, Šiaulių regiono plėtros taryba, Tauragės regiono plėtros taryba, Telšių regiono plėtros taryba, Utenos regiono plėtros taryba, Vilniaus regiono plėtros taryba.“

2. Pakeičiu nurodytu įsakymu patvirtintus Europos Sąjungos investicijų administravimo informacinės sistemos duomenų saugos nuostatus:

2.1. Pakeičiu 8.3 papunktį ir jį išdėstau taip:

„8.3. skiria INVESTIS saugos įgaliotinį, INVESTIS duomenų valdymo įgaliotinį, INVESTIS administratorius, kompetentingą asmenį ar padalinį, atsakingą už INVESTIS kibernetinio saugumo organizavimą ir užtikrinimą;“.

2.2. Pripažįstu netekusiu galios 11 punktą.

2.3. Pripažįstu netekusiu galios 27.6.10 papunktį.

Finansų ministrė Gintarė Skaistė

PATVIRTINTA

Lietuvos Respublikos finansų ministro

2022 m. liepos 28 d. įsakymu Nr. 1K-274

(Lietuvos Respublikos finansų ministro

2023 m. rugpjūčio 23 d. įsakymo Nr. 1K-299

redakcija)

EUROPOS SĄJUNGOS INVESTICIJŲ ADMINISTRAVIMO INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I skyrius

BENDROSIOS NUOSTATOS

1. Europos Sąjungos investicijų administravimo informacinės sistemos naudotojų administravimo taisyklėse (toliau – Taisyklės) reglamentuojami Europos Sąjungos investicijų administravimo informacinės sistemos (toliau – INVESTIS) naudotojų, INVESTIS administratorių įgaliojimai, teisės, pareigos, prieigos prie elektroninės informacijos principai ir saugaus elektroninės informacijos teikimo INVESTIS naudotojams kontrolės tvarka.

2. Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos:

2.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

2.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme;

2.3. Lietuvos Respublikos kibernetinio saugumo įstatyme;

2.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme;

2.5. Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;

2.6. Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakyme Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

2.7. Europos Sąjungos investicijų administravimo informacinės sistemos naudojimo tvarkos apraše, patvirtintame viešosios įstaigos Centrinės projektų valdymo agentūros direktoriaus 2023 m. liepos 18 d. įsakymu Nr. 2023/8-307 „Dėl Europos Sąjungos investicijų administravimo informacinės sistemos naudojimo tvarkos aprašo ir Duomenų teikimo per Europos Sąjungos investicijų administravimo informacinės sistemos mainų svetainę tvarkos aprašo patvirtinimo“ (toliau – INVESTIS tvarkos aprašas);

2.8. Lietuvos standartuose LST ISO / IEC 27002 ir LST ISO / IEC 27001 bei kituose Lietuvos ir tarptautiniuose „Informacinės technologijos. Saugumo metodai“ grupės standartuose.

3. Taisyklės taikomos INVESTIS naudotojams, INVESTIS funkciniam administratoriui, INVESTIS žinynų administratoriui, INVESTIS infrastruktūros administratoriui, INVESTIS programinės įrangos administratoriui (toliau kartu – INVESTIS administratoriai), INVESTIS saugos įgaliotiniui, taip pat INVESTIS kibernetinio saugumo vadovui – INVESTIS tvarkytojos viešosios įstaigos Centrinės projektų valdymo agentūros paskirtam kompetentingam asmeniui, atsakingam už INVESTIS kibernetinio saugumo organizavimą ir užtikrinimą, INVESTIS paslaugos teikėjui (-ams) – Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinktam juridiniam (-iams) asmeniui (-ims) (asmenų grupei), kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos INVESTIS ir (ar) jos infrastruktūros priežiūros funkcijos, INVESTIS paslaugos teikėjo (-ų) darbuotojams, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantiems ir (ar) tvarkantiems INVESTIS elektroninę informaciją (toliau – INVESTIS paslaugos teikėjo (-ų) darbuotojai), ir INVESTIS informacinių technologijų paslaugų teikėjui – Informacinės visuomenės plėtros komitetui, teikiančiam INVESTIS informacinių technologijų paslaugas pagal Informacinės visuomenės plėtros komiteto ir Lietuvos Respublikos finansų ministerijos 2021 m. balandžio 19 d. informacinių technologijų paslaugų teikimo sutartį Nr. 14P-34 (toliau – Sutartis).

4. Prieigos prie INVESTIS elektroninės informacijos principai:

4.1. INVESTIS naudotojų, INVESTIS administratorių, INVESTIS paslaugos teikėjo (-ų) darbuotojų ir INVESTIS informacinių technologijų paslaugų teikėjo prieiga prie elektroninės informacijos grindžiama būtinumo žinoti principu. Šis principas reiškia, kad INVESTIS naudotojams ir INVESTIS administratoriams prieiga suteikiama tik prie tos INVESTIS elektroninės informacijos, kuri reikalinga vykdant tiesioginę jų veiklą (darbo (tarnybos) funkcijas).

4.2. INVESTIS naudotojų ir INVESTIS administratorių prieigos prie elektroninės informacijos lygmuo grindžiamas mažiausios privilegijos principu. Šis principas reiškia, kad turi būti suteikiamos tik minimalios INVESTIS naudotojų ir INVESTIS administratorių tiesioginei veiklai vykdyti reikalingos prieigos teisės.

4.3. INVESTIS naudotojų ir INVESTIS administratorių prieiga prie elektroninės informacijos grindžiama pareigų atskyrimo principu. Šis principas reiškia, kad INVESTIS naudotojui, INVESTIS administratoriui negali būti pavesta atlikti ar kontroliuoti visų pagrindinių elektroninės informacijos tvarkymo ar INVESTIS priežiūros funkcijų.

II SKYRIUS

INVESTIS NAUDOTOJŲ IR INVESTIS ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS

5. INVESTIS naudotojų ir INVESTIS administratorių įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją ir prieigos prie elektroninės informacijos lygiai nustatomi pagal šiuo finansų ministro įsakymu patvirtintus Europos Sąjungos investicijų administravimo informacinės sistemos nuostatus (toliau – INVESTIS nuostatai), INVESTIS tvarkos aprašą, duomenų teikimo sutartis, INVESTIS naudotojų ir INVESTIS administratorių pareigybių aprašymus ir kitus teisės aktus, reglamentuojančius INVESTIS veiklą ir INVESTIS elektroninės informacijos tvarkymą.

6. INVESTIS naudotojų INVESTIS prieigos teisės ir jų rinkiniai nustatomi INVESTIS tvarkos apraše.

7. INVESTIS naudotojai ir INVESTIS administratoriai turi teisę tvarkyti tik tą INVESTIS elektroninę informaciją, kurios tvarkymo teisės jiems buvo suteiktos Taisyklių III skyriuje nustatyta tvarka.

8. INVESTIS administratoriai skiriami INVESTIS tvarkytojos viešosios įstaigos Centrinės projektų valdymo agentūros direktoriaus įsakymu.

9. INVESTIS administratorių prieigos prie INVESTIS lygiai ir jiems taikomi saugos reikalavimai:

9.1. INVESTIS administratoriai prie INVESTIS tarnybinių stočių gali jungtis tik šiuo finansų ministro įsakymu patvirtintų Europos Sąjungos investicijų administravimo informacinės sistemos duomenų saugos nuostatų (toliau – INVESTIS saugos nuostatai) 27.5.10 papunktyje nustatyta tvarka.

9.2. INVESTIS funkciniam administratoriui ir INVESTIS žinynų administratoriui suteikiamos INVESTIS prieigos teisės, nurodytos INVESTIS tvarkos apraše.

9.3. INVESTIS infrastruktūros administratoriui suteikiamos teisės:

9.3.1. registruoti, redaguoti, šalinti tarnybinių stočių naudotojus ir prieigų prie tarnybinių stočių teises;

9.3.2. konfigūruoti ir prižiūrėti kompiuterinių tinklų įrangą, užkardas, įsilaužimų aptikimo ir prevencijos sistemas;

9.3.3. diegti ir konfigūruoti operacines sistemas ir jų atnaujinimus, jeigu Sutartyje nenustatyta kitaip;

9.3.4. kitos INVESTIS infrastruktūros administratoriui suteikiamos INVESTIS prieigos teisės, nurodytos INVESTIS tvarkos apraše.

9.4. INVESTIS programinės įrangos administratoriui suteikiamos teisės:

9.4.1. konfigūruoti INVESTIS veikimui užtikrinti reikalingus operacinės sistemos parametrus;

9.4.2. diegti ir konfigūruoti INVESTIS programas, duomenų bazių valdymo sistemas ir kitą susijusią programinę įrangą ir jų atnaujinimus;

9.4.3. diegti ir konfigūruoti techniniams ištekliams, operacinei sistemai, INVESTIS programoms, duomenų bazių valdymo sistemai ir kitai susijusiai programinei įrangai stebėti reikalingus programinės įrangos sprendimus;

9.4.4. atlikti duomenų bazių atsarginio kopijavimo ir atkūrimo darbus;

9.4.5. stebėti INVESTIS naudotojų, INVESTIS funkcinių ir žinynų administratorių prisijungimą prie INVESTIS;

9.4.6. stebėti INVESTIS sąsajų su kitomis informacinėmis sistemomis žurnalus ir įrašus.

10. INVESTIS naudotojams suteikiama teisė registruoti, redaguoti, peržiūrėti ir šalinti INVESTIS elektroninę informaciją, kurios reikia INVESTIS naudotojų pareigybių aprašymuose nustatytoms funkcijoms atlikti, taip pat ieškoti šios informacijos.

11. Papildomos, konkrečios INVESTIS naudotojo ir INVESTIS administratorių teisių rinkiniams nepriskirtinos prieigos teisės INVESTIS naudotojams ir INVESTIS administratoriams gali būti suteikiamos tik INVESTIS testavimo metu, testavimo aplinkose.

12. INVESTIS naudotojų, INVESTIS administratorių prisijungimas prie INVESTIS vykdomas laikantis INVESTIS saugos nuostatų 27.5 papunkčio reikalavimų.

13. INVESTIS naudotojams ir INVESTIS administratoriams draudžiama:

13.1. atskleisti INVESTIS elektroninę informaciją ar suteikti kitokią galimybę bet kokia forma su ja susipažinti tokios teisės neturintiems asmenims;

13.2. naudoti INVESTIS elektroninę informaciją kitokiais nei INVESTIS nuostatuose ar duomenų teikimo sutartyse nurodytais tikslais;

13.3. sudaryti sąlygas pasinaudoti INVESTIS saugoma elektronine informacija, duomenimis ir (ar) pasinaudoti INVESTIS ištekliais tokios teisės neturintiems asmenims (paliekant darbo vietą, būtina užrakinti kompiuterio darbalaukį arba išjungti kompiuterį, draudžiama perduoti savo naudotojo prisijungimo duomenis);

13.4. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeista ar sunaikinta INVESTIS elektroninė informacija;

13.5. atlikti bet kokius kitus neteisėtus INVESTIS elektroninės informacijos tvarkymo veiksmus.

14. INVESTIS naudotojai ir INVESTIS administratoriai turi vykdyti INVESTIS saugos įgaliotinio nurodymus ir pavedimus, susijusius su INVESTIS elektroninės informacijos saugos užtikrinimu.

15. INVESTIS naudotojai ir INVESTIS administratoriai privalo rūpintis INVESTIS ir joje tvarkomos elektroninės informacijos sauga ir kibernetiniu saugumu, tvarkyti INVESTIS elektroninę informaciją vadovaudamiesi INVESTIS veiklą reglamentuojančiais teisės aktais, laikytis INVESTIS saugos politiką įgyvendinančiuose dokumentuose ir kituose elektroninės informacijos saugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų, savo veiksmais nepažeisti elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo.

16. INVESTIS naudotojai, INVESTIS administratoriai, pastebėję elektroninės informacijos saugos (kibernetinį) incidentą, nedelsdami apie tai privalo pranešti INVESTIS saugos įgaliotiniui ir INVESTIS kibernetinio saugumo vadovui.

III SKYRIUS

SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO INVESTIS NAUDOTOJAMS KONTROLĖS TVARKA

17. Už INVESTIS naudotojų, INVESTIS administratorių INVESTIS paskyrų ir suteikiamų INVESTIS prieigų teisių registravimą, redagavimą, jų stabdymą (blokavimą) ir naikinimą atsakingi INVESTIS funkciniai administratoriai.

18. INVESTIS naudotojų paskyros registruojamos pagal kompetentingų asmenų užpildytas, pasirašytas ir INVESTIS funkciniams administratoriams per internetinį klaidų priežiūros registrą „Mantis“ pateiktas INVESTIS naudotojo korteles, kuriose nurodomi INVESTIS naudotojui suteikiami INVESTIS teisių rinkiniai. INVESTIS funkciniai administratoriai, gavę užpildytą INVESTIS naudotojo kortelę, sukuria INVESTIS naudotojo paskyrą ir suteikia šiam naudotojui INVESTIS naudotojo kortelėje nurodytas INVESTIS teises. INVESTIS naudotojo kortelės forma nustatyta INVESTIS tvarkos apraše.

19. INVESTIS naudotojų ir INVESTIS administratorių tapatybė nustatoma naudojantis Valstybės informacinių išteklių sąveikumo platformos teikiama tapatybės nustatymo paslauga.

20. Leidžiami nuotolinio INVESTIS naudotojų prisijungimo prie INVESTIS būdai nurodyti INVESTIS saugos nuostatų 27.5 papunktyje.

21. INVESTIS naudotojams ir INVESTIS administratoriams prieiga prie INVESTIS suteikiama tik susipažinus su INVESTIS saugos politiką įgyvendinančiais dokumentais, informaciniu pranešimu apie jų asmens duomenų tvarkymą INVESTIS ir sutikus saugoti tvarkomų duomenų paslaptį bei įsipareigojus laikytis duomenų saugos reikalavimų fiksuojant INVESTIS duomenų bazėje susipažinimo datą. INVESTIS naudotojams ir INVESTIS administratoriams informacija apie INVESTIS saugos politiką įgyvendinančius dokumentus ir informacinis pranešimas apie jų asmens duomenų tvarkymą INVESTIS pateikiami pirmą kartą prisijungus prie INVESTIS arba pasikeitus informacijai. INVESTIS valdytoja pagal viešosios įstaigos Centrinės projektų valdymo agentūros, kaip INVESTIS tvarkytojos, pateiktą informaciją parengia ir pateikia informacinį pranešimą apie INVESTIS naudotojų asmens duomenų tvarkymą INVESTIS.

22. Institucija, sužinojusi, kad INVESTIS naudotojas nustos vykdyti su INVESTIS naudojimu susijusias funkcijas dėl darbo santykių (tarnybos) pasibaigimo arba kai teisės aktų nustatytais atvejais nušalinamas nuo darbo (pareigų), arba nustačiusi, kad INVESTIS naudotojas neatitinka teisės aktuose nustatytų keliamų reikalavimų, praranda patikimumą, privalo prieš 3 darbo dienas iki šiame punkte nurodytų funkcijų atlikimo pabaigos, bet ne vėliau kaip iki paskutinės šių funkcijų atlikimo dienos, apie tai informuoti INVESTIS funkcinį administratorių, pateikdama atnaujintą ir pasirašytą INVESTIS naudotojo kortelę.

23. Institucija privalo nedelsdama informuoti INVESTIS funkcinį administratorių ir pateikti atnaujintą INVESTIS naudotojo kortelę, kai nutraukiami šios institucijos darbuotojo INVESTIS naudotojo darbo (tarnybos) santykiai (atleidžiamas iš pareigų), ir kitais atvejais, kai yra rizika, kad jis gali atlikti tyčinius veiksmus (pakeisti ar sunaikinti elektroninę informaciją, sutrikdyti elektroninės informacijos perdavimą informacinių technologijų duomenų perdavimo tinklais, pažeisti INVESTIS saugumą, įvykdyti vagystę ir kita). Tokiu atveju INVESTIS funkcinis administratorius prieigos teises stabdo (blokuoja) nedelsdamas, gavęs informaciją.

24. Įstatymų nustatytais atvejais INVESTIS naudotoją nušalinus nuo darbo (pareigų), INVESTIS funkcinis administratorius INVESTIS naudotojo teisę dirbti su konkrečia INVESTIS elektronine informacija sustabdo (blokuoja) nedelsdamas arba ne vėliau kaip iki prašyme nurodyto nušalinimo termino pradžios, jei terminas nurodomas, o teisių sustabdymą (blokavimą) panaikina pasibaigus nušalinimo terminui.

25. INVESTIS administratoriui teisė dirbti su konkrečia INVESTIS elektronine informacija turi būti sustabdoma (blokuojama), jeigu INVESTIS administratorius nesinaudoja INVESTIS ilgiau kaip 60 dienų, taip pat kai teisės aktų nustatytais atvejais INVESTIS administratorius nušalinamas nuo darbo (pareigų), yra nėštumo ir gimdymo (motinystės) ar vaiko priežiūros atostogose. INVESTIS administratoriui teisė naudotis INVESTIS turi būti nedelsiant panaikinta baigus darbo santykius arba kai INVESTIS administratorius praranda patikimumą.

26. Prieiga prie INVESTIS ir (ar) teisė dirbti su INVESTIS ir joje saugoma elektronine informacija panaikinama nedelsiant:

26.1. kai INVESTIS naudotojas nustoja vykdyti darbo (tarnybos) funkcijas, kurioms vykdyti jam buvo suteikta prieiga naudotis INVESTIS ir (ar) dirbti su konkrečia INVESTIS elektronine informacija. INVESTIS funkcinis administratorius INVESTIS naudotojo teisę dirbti su konkrečia INVESTIS elektronine informacija panaikina paskutinę INVESTIS naudotojo darbo su jam patikėta INVESTIS elektronine informacija dieną, tačiau ne vėliau kaip iki darbo (tarnybos) dienos pabaigos;

26.2. INVESTIS funkcinio administratoriaus, INVESTIS saugos įgaliotinio ir (ar) INVESTIS kibernetinio saugumo vadovo teikimu, INVESTIS tvarkytojo vadovo sprendimu, elektroninės informacijos saugos (kibernetinio) incidento atveju, jeigu nustatoma, kad INVESTIS naudotojo veiksmai galėjo turėti rimtų pasekmių INVESTIS ištekliams, jų saugumui, sutrikdyti INVESTIS veiklą ar turėti jai neigiamos įtakos.

27. INVESTIS naudotojų ir INVESTIS administratorių paskyrų kontrolės priemonės:

27.1. Paskyrų galiojimas turi būti automatiškai sustabdomas (blokuojamas), kai INVESTIS naudotojas nesinaudoja INVESTIS ilgiau kaip 90 dienų, INVESTIS administratorius – ilgiau kaip 60 dienų.

27.2. INVESTIS saugos įgaliotinis periodiškai, ne rečiau kaip kartą per metus, atlieka INVESTIS naudotojams ir INVESTIS administratoriams suteiktų teisių peržiūrą ir jas atnaujina vadovaudamasis INVESTIS tvarkos aprašu.

28. Esant poreikiui, INVESTIS saugos įgaliotinis gali įpareigoti INVESTIS funkcinį administratorių papildomai peržiūrėti INVESTIS naudotojams ir INVESTIS administratoriams suteiktas teises.

29. INVESTIS kibernetinio saugumo vadovas ne rečiau kaip kartą per mėnesį patikrina INVESTIS naudotojų ir INVESTIS administratorių sustabdytas (blokuotas) INVESTIS paskyras ir apie ilgiau kaip 90 dienų sustabdytas (blokuotas) INVESTIS paskyras praneša INVESTIS funkciniam administratoriui.

30. INVESTIS naudotojų ir INVESTIS administratorių INVESTIS paskyros, sustabdytos (blokuotos) ilgiau kaip 90 dienų, turi būti nedelsiant naikinamos.

31. INVESTIS administratoriui kilus įtarimų, kad INVESTIS naudotojai piktnaudžiauja suteiktomis prieigos teisėmis ir gali pažeisti INVESTIS tvarkomų duomenų saugumą, jis kreipiasi į INVESTIS saugos įgaliotinį, kad gautų leidimą sustabdyti (blokuoti) INVESTIS naudotojo prieigos teises ir INVESTIS naudotojo paskyrą. Gautas leidimas sustabdyti (blokuoti) INVESTIS naudotojo paskyrą perduodamas INVESTIS funkciniam administratoriui.

32. Už Taisyklių pažeidimus Taisyklių 3 punkte nurodyti asmenys atsako Lietuvos Respublikoje galiojančių teisės aktų, reglamentuojančių duomenų saugą, nustatyta tvarka.

____________________

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2023 m. rugpjūčio 14 d. raštu Nr. (4.1 E) 6K-551

PATVIRTINTA

Lietuvos Respublikos finansų ministro

2022 m. liepos 28 d. įsakymu Nr. 1K-274

(Lietuvos Respublikos finansų ministro

2023 m. rugpjūčio 23 d. įsakymo Nr. 1K-299

redakcija)

EUROPOS SĄJUNGOS INVESTICIJŲ ADMINISTRAVIMO INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I skyrius

BENDROSIOS NUOSTATOS

1. Europos Sąjungos investicijų administravimo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse (toliau – Taisyklės) reglamentuojama, kaip turi būti tvarkoma Europos Sąjungos investicijų administravimo informacinės sistemos (toliau – INVESTIS) elektroninė informacija, kad atitiktų saugaus elektroninės informacijos tvarkymo ir elektroninės informacijos saugos (kibernetinio saugumo) reikalavimus.

2. Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos:

2.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme;

2.3. Lietuvos Respublikos kibernetinio saugumo įstatyme;

2.4. Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;

2.5. Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakyme Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

2.6. Europos Sąjungos investicijų administravimo informacinės sistemos naudojimo tvarkos apraše, patvirtintame viešosios įstaigos Centrinės projektų valdymo agentūros direktoriaus 2023 m. liepos 18 d. įsakymu Nr. 2023/8-307 „Dėl Europos Sąjungos investicijų administravimo informacinės sistemos naudojimo tvarkos aprašo ir Duomenų teikimo per Europos Sąjungos investicijų administravimo informacinės sistemos mainų svetainę tvarkos aprašo patvirtinimo“ (toliau – INVESTIS tvarkos aprašas);

2.7. Lietuvos standartuose LST ISO / IEC 27002 ir LST ISO / IEC 27001 ir kituose Lietuvos ir tarptautiniuose „Informacinės technologijos. Saugumo metodai“ grupės standartuose.

3. Taisyklės taikomos INVESTIS naudotojams, INVESTIS funkciniam administratoriui, INVESTIS žinynų administratoriui, INVESTIS infrastruktūros administratoriui, INVESTIS programinės įrangos administratoriui (toliau kartu – INVESTIS administratoriai), Duomenų mainų svetainės (toliau – DMS) naudotojams, INVESTIS saugos įgaliotiniui, INVESTIS duomenų valdymo įgaliotiniui, INVESTIS tvarkytojos viešosios įstaigos Centrinės projektų valdymo agentūros paskirtam kompetentingam asmeniui, atsakingam už INVESTIS kibernetinio saugumo organizavimą ir užtikrinimą, INVESTIS paslaugos teikėjui (-ams) – Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinktam juridiniam asmeniui (-ims) (asmenų grupei), kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos INVESTIS ir (ar) jos infrastruktūros priežiūros funkcijos, INVESTIS paslaugos teikėjo (-ų) darbuotojams, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantiems ir (ar) tvarkantiems INVESTIS elektroninę informaciją (toliau – INVESTIS paslaugos teikėjo (-ų) darbuotojai), ir INVESTIS informacinių technologijų paslaugų teikėjui – Informacinės visuomenės plėtros komitetui, teikiančiam INVESTIS informacinių technologijų paslaugas pagal Informacinės visuomenės plėtros komiteto ir Lietuvos Respublikos finansų ministerijos 2021 m. balandžio 19 d. informacinių technologijų paslaugų teikimo sutartį Nr. 14P-34 (toliau – Sutartis).

4. INVESTIS saugos įgaliotinis organizuoja ir kontroliuoja Taisyklių įgyvendinimą.

5. INVESTIS tvarkoma elektroninė informacija, nurodyta šiuo finansų ministro įsakymu patvirtintų Europos Sąjungos investicijų administravimo informacinės sistemos nuostatų (toliau – INVESTIS nuostatai) III skyriuje.

6. Už INVESTIS elektroninės informacijos tvarkymą atsakingi INVESTIS naudotojai ir DMS naudotojai.

7. Už INVESTIS klasifikatorių ir žinynų, nurodytų INVESTIS nuostatų III skyriuje, duomenų tvarkymą atsakingas INVESTIS žinynų administratorius.

8. Už INVESTIS naudotojų duomenų, nurodytų INVESTIS nuostatų III skyriuje, tvarkymą atsakingas INVESTIS funkcinis administratorius.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

9. INVESTIS kompiuterinės ir programinės įrangos saugos priemones, nurodytas šiuo finansų ministro įsakymu patvirtintų Europos Sąjungos investicijų administravimo informacinės sistemos duomenų saugos nuostatų (toliau – INVESTIS saugos nuostatai) 27.2.1–27.2.3 papunkčiuose, užtikrina INVESTIS informacinių technologijų paslaugų teikėjas, taip pat taikomos organizacinės ir techninės priemonės, vadovaujantis Kibernetinio saugumo įstatymu, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo aprašas), Sutartimi ir kitais teisės aktais, reglamentuojančiais organizacinius ir techninius kibernetinio saugumo ir elektroninės informacijos saugos reikalavimus.

10. INVESTIS kompiuterinės, sisteminės ir taikomosios programinės įrangos, elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės, naudojamos INVESTIS elektroninės informacijos saugai užtikrinti, nurodytos INVESTIS saugos nuostatų 27.1–27.5 papunkčiuose.

11. Kitos priemonės, naudojamos elektroninės informacijos saugai užtikrinti:

11.1 INVESTIS naudotojui 15 minučių neatliekant jokių veiksmų, INVESTIS naudotojo paskyra automatiškai atjungiama ir naudotis informacine sistema toliau galima tik pakartojus naudotojo tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus.

11.2 INVESTIS naudotojai nešiojamųjų kompiuterių ir mobiliųjų įrenginių, turinčių prieigas prie INVESTIS elektroninės informacijos negali palikti be priežiūros viešose vietose.

11.3 INVESTIS naudotojai nešiojamuosius kompiuterius ir mobiliuosius įrenginius turi apsaugoti Kibernetinio saugumo aprašo reikalavimus atitinkančiais slaptažodžiais.

11.4 INVESTIS tarnybinių stočių įvykių žurnaluose (angl. event log) fiksuojami ir 12 mėnesių saugomi duomenys apie INVESTIS įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis ir prieiti prie INVESTIS, kitus svarbius saugai įvykius, nurodant veiksmą, IP adresą ir įvykio laiką. Šie duomenys analizuojami įvykus elektroninės informacijos saugos incidentui.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

12. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo užtikrinimo tvarka:

12.1. INVESTIS elektroninė informacija įrašoma, atnaujinama, keičiama ir naikinama vadovaujantis INVESTIS nuostatais, INVESTIS saugos nuostatais, INVESTIS tvarkos aprašu, Taisyklėmis ir kitais teisės aktais, reglamentuojančiais INVESTIS elektroninės informacijos tvarkymą.

12.2. INVESTIS tvarkomą elektroninę informaciją įvesti, keisti, atnaujinti, naikinti gali INVESTIS naudotojai ir DMS naudotojai pagal jiems suteiktas prieigos teises.

12.3. INVESTIS elektroninė informacija gali būti įvesta, pakeista, atnaujinta, sunaikinta tik turint tam teisėtą tikslą ir teisinį pagrindą.

12.4. Elektroninės informacijos įvedimas, keitimas, atnaujinimas, naikinimas fiksuojami INVESTIS duomenų bazėje, išsaugant naudotojo identifikatorių, veiksmą, jo atlikimo laiką.

12.5. INVESTIS naudotojai, INVESTIS funkcinis administratorius, INVESTIS žinynų administratorius, baigę darbą su INVESTIS, turi imtis priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungti nuo informacinės sistemos, uždaryti programinę įrangą, įjungti ekrano užsklandą su slaptažodžiu.

12.6. INVESTIS turi įvestos elektroninės informacijos tikslumo, užbaigtumo, patikimumo tikrinimo ir informavimo apie klaidas priemones.

12.7. Atnaujinant INVESTIS elektroninę informaciją sukuriami papildomi įrašai, nenaikinant senųjų duomenų, išsaugant galimybę juos atkurti.

13. INVESTIS naudotojų, DMS naudotojų ir INVESTIS administratorių veiksmų registravimo tvarka:

13.1. INVESTIS duomenų bazėje automatiniu būdu registruoja INVESTIS duomenų bazės veiksmų žurnale, apsaugotame nuo neteisėto jame esančių duomenų panaudojimo, pakeitimo, iškraipymo ar sunaikinimo:

13.1.1. visos saugomos elektroninės informacijos pakeitimus atlikusius INVESTIS ir DMS naudotojus, INVESTIS administratorius ir tokio pakeitimo datą ir laiką;

13.1.2. rinkmenas parsisiuntusius INVESTIS ir DMS naudotojus, INVESTIS administratorius ir tokio parsiuntimo datą ir laiką;

13.1.3. kaupiamų rinkmenų metaduomenis;

13.1.4. kiekvieną elektroninės informacijos pakeitimo operaciją, išsaugant ir istorinius duomenis.

13.2. INVESTIS ir DMS naudotojų ir INVESTIS administratorių veiksmų duomenys saugomi ne trumpiau negu vienus metus.

13.3. INVESTIS duomenų bazės veiksmų žurnalo duomenys prieinami tik INVESTIS programinės įrangos administratoriams ir INVESTIS saugos įgaliotiniui.

14. Prarasta, iškraipyta ar sunaikinta INVESTIS elektroninė informacija atkuriama iš atsarginių kopijų. Atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka nurodyta INVESTIS saugos nuostatų 27.6 papunktyje.

15. Saugaus elektroninės informacijos perkėlimo ir teikimo susijusioms valstybės informacinėms sistemoms, elektroninės informacijos gavimo iš jų užtikrinimo tvarka nustatyta INVESTIS nuostatuose ir INVESTIS saugos nuostatuose ir taikoma vadovaujantis Taisyklių 2 punkte nurodytų teisės aktų nustatyta tvarka ir sąlygomis.

16. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:

16.1. INVESTIS naudotojas, įtaręs, kad su INVESTIS elektronine informacija vykdoma neteisėta veikla, privalo pranešti apie tai INVESTIS saugos įgaliotiniui.

16.2. INVESTIS administratoriai, įtarę, kad su INVESTIS elektronine informacija vykdoma neteisėta veikla, privalo apie tai pranešti INVESTIS saugos įgaliotiniui ir nedelsdami imtis priemonių sustabdyti galimai neteisėtą veiklą.

16.3. INVESTIS saugos įgaliotinis, įtaręs, kad su INVESTIS elektronine informacija vykdoma neteisėta veikla, arba gavęs iš INVESTIS naudotojo ar INVESTIS administratoriaus informaciją, kad su INVESTIS elektronine informacija vykdoma neteisėta veikla, inicijuoja elektroninės informacijos saugos incidentų valdymo procedūras.

16.4. INVESTIS saugos incidento tyrimas atliekamas Europos Sąjungos investicijų administravimo informacinės sistemos saugos incidentų valdymo tvarkos apraše (šiuo finansų ministro įsakymu patvirtinto Europos Sąjungos investicijų administravimo informacinės sistemos veiklos tęstinumo valdymo plano 2 priedas) nustatyta tvarka.

17. Programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:

17.1. Techninė ir programinė įranga atnaujinama pagal Taisyklių 18 punkte nurodytą pokyčių valdymo tvarką.

17.2. Perėjimą prie naujos operacinės sistemos versijos INVESTIS tarnybinėse stotyse inicijuoja INVESTIS infrastruktūros administratorius.

17.3. Apie visus darbus, kurie gali sutrikdyti INVESTIS veikimą, INVESTIS administratoriai iš anksto privalo informuoti INVESTIS saugos įgaliotinį, INVESTIS naudotojus ir DMS naudotojus.

18. INVESTIS pokyčių (modifikavimo arba modernizavimo) valdymo tvarka:

18.1. INVESTIS pokyčių valdymo planavimas apima reikalingų INVESTIS pokyčių nustatymą, inicijavimą ir suskirstymą į kategorijas pagal pakeitimo tipą (administracinis, organizacinis ar techninis), poveikio vertinimą (svarbumas ir skubumas), pokyčių prioritetų (eiliškumo) nustatymą, pokyčių atlikimą, dokumentavimą. INVESTIS pokyčiai atliekami suderinus juos su INVESTIS valdytoju, išskyrus pokyčius, kurie atliekami pagal INVESTIS priežiūros paslaugų teikimo sutartis. Visų INVESTIS pokyčių kaštų ir naudos analizės rezultatai pateikiami INVESTIS valdytojui.

18.2. Reikalingi INVESTIS pokyčiai nustatomi analizuojant vidinę ir išorinę INVESTIS valdytojo ir INVESTIS tvarkytojų veiklos aplinką ir poreikius, kuriuos formuoja socialiniai, teisiniai, ekonominiai, technologiniai aspektai ir tendencijos, esama padėtis (INVESTIS sąranka, pažeidžiamumas, atitiktis teisės aktų ir standartų reikalavimams ir panašiai), taip pat naujus INVESTIS naudotojų, INVESTIS administratorių poreikius, apibendrinus kylančias priežiūros problemas ir kitais atvejais.

18.3. Vidinė ir išorinė INVESTIS valdytojo ir INVESTIS tvarkytojų veiklos aplinkos analizė atliekama INVESTIS rizikos įvertinimo, informacinių technologijų saugos atitikties vertinimo, INVESTIS audito metu.

18.4. Inicijuoti INVESTIS pokyčius, suskirstyti juos į kategorijas, nustatyti jų prioritetus (eiliškumą) turi teisę viešosios įstaigos Centrinės projektų valdymo agentūros sudaroma INVESTIS darbo grupė (toliau – INVESTIS darbo grupė), o įgyvendinti – INVESTIS administratoriai pagal kompetenciją.

18.5. INVESTIS pokyčius, galinčius sutrikdyti ar sustabdyti INVESTIS veiklą, gali inicijuoti INVESTIS saugos įgaliotinis arba INVESTIS administratorius.

18.6. INVESTIS duomenų valdymo įgaliotinis ir INVESTIS saugos įgaliotinis:

18.6.1. planuoja INVESTIS pakeitimų valdymą, kuris apima pakeitimų nustatymą, suskirstymą į kategorijas pagal pakeitimo tipą (administracinis, organizacinis ar techninis);

18.6.2. siūlo INVESTIS darbo grupei pakeitimų poveikio vertinimą (svarbumas ir skubumas) ir pakeitimų prioritetus;

18.6.3. tiesiogiai prižiūri, kaip kuriama ir tvarkoma INVESTIS, jos moduliai, diegiama programinė įranga, panaudojamos investicijos;

18.6.4. dalyvauja rengiant INVESTIS biudžeto projektus.

18.7. INVESTIS pokyčių įtakos vertinimo metu turi būti įvertinama pokyčių nauda ir pagrįstumas, pokyčių įgyvendinamumas ir alternatyvūs sprendimai, pokyčiams atlikti reikalingos sąnaudos, taip pat INVESTIS veiklos sutrikdymo ar sustabdymo rizika, elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo pažeidimo rizika.

18.8. Funkcinius, techninius, programinius INVESTIS pokyčius vykdo INVESTIS administratoriai.

18.9. Organizacinius ir administracinius INVESTIS pokyčius vykdo už žmogiškųjų išteklių valdymą ir dokumentų valdymą atsakingi INVESTIS valdytojo ir INVESTIS tvarkytojų struktūriniai padaliniai.

18.10. Visi pokyčiai, galintys sutrikdyti ar sustabdyti INVESTIS darbą, turi būti suderinti su INVESTIS duomenų valdymo įgaliotiniu ir vykdomi tik gavus jo pritarimą.

18.11. Pokyčiai, galintys sutrikdyti ar sustabdyti INVESTIS veiklą, daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti testinėje aplinkoje, kuri yra atskirta nuo INVESTIS gamybinės aplinkos. Pokyčiai INVESTIS gamybinėje aplinkoje gali būti vykdomi tik išimtiniais atvejais, kai dėl techninių, programinių ar kitų priežasčių (pavyzdžiui, veiklos atkūrimo ar kitos avarinės situacijos) nėra galimybės jų patikrinti testinėje aplinkoje.

18.12. Nustačius, kad pokyčių rezultatas testinėje aplinkoje atitinka laukiamus rezultatus, pokyčiai gali būti atliekami INVESTIS gamybinėje aplinkoje.

18.13. INVESTIS tvarkytojos viešosios įstaigos Centrinės projektų valdymo agentūros nustatytu darbo laiku gali būti vykdomi tik skubūs ir standartiniai INVESTIS pokyčiai. INVESTIS plėtros (vystymo) ir priežiūros pokyčiai atliekami po darbo valandų arba savaitgaliais.

18.14. INVESTIS administratoriai turi informuoti INVESTIS saugos įgaliotinį, INVESTIS naudotojus, su INVESTIS ir DMS naudotojais susijusių valstybės informacinių sistemų ir registrų tvarkytojus ir kitus suinteresuotus asmenis apie INVESTIS pokyčius, kurių įgyvendinimo metu galimi INVESTIS veiklos sutrikimai. Apie INVESTIS pokyčius informuojama INVESTIS moduliuose ir elektroniniu paštu ne vėliau kaip prieš vieną darbo dieną iki planuojamų pokyčių įgyvendinimo pradžios, išskyrus atvejus, jeigu įgyvendinami skubūs INVESTIS pokyčiai.

18.15. INVESTIS dokumentacija turi būti nuolat atnaujinama ir turi atspindėti esamą INVESTIS sąrankos ir funkcinę būklę. Visi pokyčiai, perkelti į INVESTIS gamybinę aplinką, registruojami.

19. Nešiojamųjų kompiuterių ir mobiliųjų įrenginių naudojimo tvarka nurodyta INVESTIS saugos nuostatų 27.4 papunktyje ir Taisyklių 11.2–11.3 papunkčiuose.

IV SKYRIUS

INVESTIS FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS TAIKOMI REIKALAVIMAI

20. INVESTIS paslaugos teikėjas (-ai) turi atitikti INVESTIS paslaugų teikimo, darbų atlikimo dokumentuose iš anksto nustatomus paslaugų teikėjo kompetencijos, patirties, teikiamų paslaugų, atliekamų darbų ar tiekiamos įrangos ir kitus nustatytus reikalavimus.

21. Perkant paslaugas, darbus ar įrangą, susijusius su INVESTIS, jos projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi būti nustatoma, kad INVESTIS paslaugos teikėjas (-ai) užtikrina atitiktį Kibernetinio saugumo apraše nustatytiems reikalavimams. Perkamos paslaugos, darbai ar įranga, susiję su INVESTIS, turi atitikti teisės aktų ir standartų, kuriais vadovaujamasi užtikrinant informacinių sistemų elektroninės informacijos saugą, reikalavimus, kurie iš anksto nustatomi paslaugų teikimo, darbų atlikimo ar įrangos tiekimo pirkimo dokumentuose.

22. INVESTIS paslaugos teikėjo (-ų) prieigos prie informacinės sistemos sąlygos:

22.1. INVESTIS paslaugos teikėjui (-ams) prieiga prie INVESTIS testinės aplinkos gali būti suteikiama tik pasirašius sutartį, kurioje turi būti nustatytos INVESTIS paslaugos teikėjo (-ų) teisės, pareigos, prieigos prie INVESTIS testinės aplinkos sąlygos, elektroninės informacijos saugos, kibernetinio saugumo, konfidencialumo reikalavimai, reikalavimai, keliami INVESTIS paslaugos teikėjo (-jų) patalpoms, įrangai, INVESTIS testinės aplinkos priežiūrai, duomenų perdavimui tinklais ir kitoms paslaugoms, ir atsakomybė už jų nesilaikymą, reagavimo į paslaugos teikimo sutrikimus, elektroninės informacijos saugos incidentus ar kibernetinius incidentus (toliau – saugos incidentai) tvarka.

22.2. INVESTIS funkcinis administratorius turi supažindinti INVESTIS paslaugos teikėją (-us) su suteiktos prieigos prie INVESTIS saugos ir kibernetinio saugumo reikalavimais ir sąlygomis. INVESTIS funkcinis administratorius yra atsakingas už prieigos prie INVESTIS paslaugos teikėjui (-ams) suteikimą pasirašius sutartį ar panaikinimą pasibaigus sutarties su INVESTIS paslaugos teikėju (-ais) galiojimo terminui, INVESTIS paslaugos teikėjui (-ams) baigus pagal sutartį numatytus darbus ir (ar) suteikus numatytas paslaugas, INVESTIS paslaugos teikėjo (-ų) darbuotojams nutraukus darbo santykius ar atitinkamų funkcijų, kurioms buvo būtina prieiga, atlikimą arba atsiradus kitoms sutartyje ar INVESTIS saugos dokumentuose nurodytoms sąlygoms.

22.3. INVESTIS paslaugos teikėjo (-ų) darbuotojams prieiga prie INVESTIS suteikiama jų nustatytoms funkcijoms atlikti.

22.4. INVESTIS paslaugos teikėjo (-ų) darbuotojai, prieš pradėdami teikti paslaugas, turi pasirašyti konfidencialumo pasižadėjimus, kurių forma nustatyta Taisyklių priede.

22.5. INVESTIS paslaugos teikėjo (-ų) darbuotojams programines, technines ir kitų prieigų prie tarnybinių stočių išteklių priemones organizuoja, suteikia ir panaikina INVESTIS infrastruktūros administratorius kartu su INVESTIS programinės įrangos administratoriumi.

23. INVESTIS paslaugos teikėjas (-ai) privalo nedelsdamas (-i) informuoti INVESTIS saugos įgaliotinį ir asmenį, atsakingą už INVESTIS kibernetinio saugumo organizavimą ir užtikrinimą, apie sutarties vykdymo metu pastebėtus saugos incidentus, neveikiančias arba netinkamai veikiančias saugos ar kibernetinio saugumo užtikrinimo priemones, elektroninės informacijos saugos ar kibernetinio saugumo reikalavimų nesilaikymą, nusikalstamos veikos požymius, saugumo spragas, pažeidžiamas vietas, kitus svarbius saugai įvykius.

24. Pasibaigus sutarties su INVESTIS paslaugos teikėju (-ais) galiojimo terminui ar nevykdant pirkimo sutartyje nustatytų reikalavimų, INVESTIS infrastruktūros administratorius ir INVESTIS programinės įrangos administratorius nedelsdami privalo panaikinti suteiktas INVESTIS prieigas.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

25. Už Taisyklių pažeidimus Taisyklių 3 punkte nurodyti asmenys atsako Lietuvos Respublikoje galiojančių teisės aktų, reglamentuojančių duomenų saugą, nustatyta tvarka.

_________________

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2023 m. rugpjūčio 14 d. raštu Nr. (4.1 E) 6K-551

Europos Sąjungos investicijų administravimo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių

priedas

(Konfidencialumo pasižadėjimo neatskleisti informacijos, kuri taps žinoma

vykdant sutartį, forma)

(paslaugų teikėjo pavadinimas ir juridinio asmens kodas)

(paslaugų teikėjo darbuotojo (eksperto) pareigos, vardas ir pavardė)

KONFIDENCIALUMO PASIŽADĖJIMAS

NEATSKLEISTI INFORMACIJOS, KURI TAPS ŽINOMA VYKDANT SUTARTĮ

20___ m. d. Nr. _______

Vilnius

Aš, dalyvaudamas (-a) vykdant sutartį

________________________________________________________________ (toliau – sutartis):

(sutarties pavadinimas, data, Nr.)

1. Suprantu, kad:

1.1. Europos Sąjungos investicijų administravimo informacinėje sistemoje (toliau – INVESTIS) tvarkoma elektroninė informacija, slaptažodžiai ir kita prieigai prie INVESTIS ar su INVESTIS susijusiose valstybės informacinėse sistemose ir registruose tvarkomos elektroninės informacijos naudojama informacija ir šių valstybės informacinių sistemų ir registrų gaunama elektroninė informacija laikomi konfidencialia informacija, išskyrus Europos Sąjungos investicijų administravimo informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos finansų ministro 2022 m. liepos 28 d. įsakymu Nr. 1K-274 „Dėl Europos Sąjungos investicijų administravimo informacinės sistemos steigimo“ (toliau – INVESTIS nuostatai), V skyriuje nurodytus teisės aktų nustatyta tvarka viešai skelbiamus duomenis, taip pat viešai žinomą ir laisvai prieinamą informaciją;

1.2. vykdydamas (-a) sutartį, tvarkysiu duomenis (įskaitant asmens duomenis) ir konfidencialią elektroninę informaciją, kurie negali būti atskleisti ar perduoti neįgaliotiems asmenims, institucijoms, įstaigoms;

1.3. man draudžiama perduoti neįgaliotiems asmenims duomenis (įskaitant asmens duomenis) ir konfidencialią informaciją, kurie man taps žinomi vykdant sutartį ir kurie leidžia programinėmis ir techninėmis priemonėmis sužinoti INVESTIS ar su INVESTIS susijusiose valstybės informacinėse sistemose ir registruose tvarkomą elektroninę informaciją, ar kitaip sudaryti sąlygas susipažinti su INVESTIS ar su INVESTIS susijusiose valstybės informacinėse sistemose ir registruose tvarkoma elektronine informacija;

1.4. man draudžiama perduoti neįgaliotiems asmenimis šio konfidencialumo pasižadėjimo 1.1 papunktyje nurodytą informaciją ir duomenis, dokumentus ir (arba) jų kopijas ar kitaip sudaryti sąlygas susipažinti su jais;

1.5. duomenų (įskaitant asmens duomenis) ir konfidencialios informacijos atskleidimas, perdavimas ir praradimas gali užtraukti atsakomybę Lietuvos Respublikos įstatymų nustatyta tvarka.

2. Pasižadu:

2.1. tvarkyti asmens duomenis, vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir kitais teisės aktais, reglamentuojančiais asmens duomenų apsaugą ir saugų elektroninės informacijos tvarkymą;

2.2. saugoti duomenų (įskaitant asmens duomenis) ir informacijos paslaptį, jei jie neskirti skelbti viešai (įsipareigojimas saugoti paslaptį galioja ir nutraukus su INVESTIS duomenų (įskaitant asmens duomenis) ir informacijos tvarkymu susijusią veiklą ar pasibaigus darbo santykiams su paslaugos teikėju);

2.3. neatskleisti, neviešinti, neperduoti duomenų (įskaitant asmens duomenis) ir konfidencialios informacijos ir nesudaryti sąlygų sužinoti jų nė vienam asmeniui, kuris nėra įgaliotas naudotis šiais duomenimis ir informacija;

2.4. nenaudoti duomenų (įskaitant asmens duomenis) ir konfidencialios informacijos asmeniniams arba trečiųjų asmenų interesams tenkinti;

2.5. užtikrinti visų dokumentų ir kitų laikmenų bei priemonių, kuriose yra duomenų (įskaitant asmens duomenis) ir konfidencialios informacijos, saugumą, nefotografuoti arba kitu būdu nedauginti, nedaryti kopijų, išskyrus atvejus, kai jų reikia INVESTIS paslaugos teikėjo (-ų) pagal sutartį nustatytoms funkcijoms atlikti;

2.6. saugoti ir nepagrįstai nenaikinti bet kokios formos konfidencialios informacijos;

2.7. imtis visų įmanomų organizacinių ir techninių priemonių, kad duomenys (įskaitant asmens duomenis) ir konfidenciali informacija nebūtų netyčia atskleisti;

2.8. nenaudoti duomenų (įskaitant asmens duomenis) ir konfidencialios informacijos straipsniuose, pranešimuose, pasisakymuose, komentaruose, pokalbiuose su kitais asmenimis ir žiniasklaidoje;

2.9. viešai nepalikti duomenų (įskaitant asmens duomenis) ir konfidencialios informacijos turinčių dokumentų;

2.10. užtikrinti, kad perduodami duomenys (įskaitant asmens duomenis) ir konfidenciali informacija gavėją pasiektų saugiu būdu;

2.11. saugoti duomenis (įskaitant asmens duomenis) ir konfidencialią informaciją ir naudoti juos įstatymų ir kitų teisės aktų nustatyta tvarka ir tik sutarties vykdymo tikslais;

2.12. teikdamas (-a) paslaugas pagal sutarties reikalavimus, įgyvendinti sutartyje ir Europos Sąjungos investicijų administravimo informacinės sistemos duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos finansų ministro 2022 m. liepos 28 d. įsakymu Nr. 1K-274 „Dėl Europos Sąjungos investicijų administravimo informacinės sistemos steigimo“ (toliau – INVESTIS duomenų saugos nuostatai), numatytas organizacines ir technines saugos priemones, skirtas INVESTIS elektroninei informacijai, asmens duomenims, konfidencialiai informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

2.13. nedelsdamas (-a) pranešti INVESTIS saugos įgaliotiniui el. paštu sauga@investis.lt apie sutarties vykdymo metu pastebėtus elektroninės informacijos saugos ar kibernetinius incidentus, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos ir (ar) kibernetinio saugumo užtikrinimo priemones, elektroninės informacijos saugos ir (ar) kibernetinio saugumo reikalavimų nesilaikymą, nusikalstamos veikos požymius, saugumo spragas, pažeidžiamumus, kitus svarbius saugai įvykius, taip pat apie bet kokią įtartiną situaciją, galinčią kelti grėsmę INVESTIS duomenų saugumui, pastebėtą atskleistą arba dingusią konfidencialią informaciją.

3. Patvirtinu, kad esu susipažinęs (-usi) su:

3.1. INVESTIS nuostatais;

3.2. INVESTIS duomenų saugos nuostatais;

3.3. Europos Sąjungos investicijų administravimo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėmis, patvirtintomis Lietuvos Respublikos finansų ministro 2022 m. liepos 28 d. įsakymu Nr. 1K-274 „Dėl Europos Sąjungos investicijų administravimo informacinės sistemos steigimo“;

3.4. Europos Sąjungos investicijų administravimo informacinės sistemos naudotojų administravimo taisyklėmis, patvirtintomis Lietuvos Respublikos finansų ministro 2022 m. liepos 28 d. įsakymu Nr. 1K-274 „Dėl Europos Sąjungos investicijų administravimo informacinės sistemos steigimo“;

3.5. Europos Sąjungos investicijų administravimo informacinės sistemos veiklos tęstinumo valdymo planu, patvirtintu Lietuvos Respublikos finansų ministro 2022 m. liepos 28 d. įsakymu Nr. 1K-274 „Dėl Europos Sąjungos investicijų administravimo informacinės sistemos steigimo“;

3.6. Reglamentu (ES) 2016/679 ir kitais teisės aktais, reglamentuojančiais asmens duomenų teisinę apsaugą.

4. Įsipareigoju laikytis šio pasižadėjimo 3 punkte nurodytuose teisės aktuose nustatytų reikalavimų.

5. Žinau, kad:

5.1. už šio konfidencialumo pasižadėjimo nesilaikymą, Reglamento (ES) 2016/679 ir kitų asmens duomenų teisinę apsaugą reglamentuojančių teisės aktų, taip pat saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų pažeidimą Lietuvos Respublikos įstatymų nustatyta tvarka kyla tarnybinė, civilinė, administracinė arba baudžiamoji atsakomybė;

5.2. šis konfidencialumo pasižadėjimas galios tiek sutarties vykdymo metu, tiek sutarčiai pasibaigus, tiek pasibaigus mano darbo ar kitokiems santykiams su paslaugų teikėju.

6. Patvirtinu, kad nesu baustas (-a) už duomenų praradimą, atskleidimą, sunaikinimą ir kitokius neteisėtus veiksmus su duomenimis. Įsipareigoju informuoti INVESTIS saugos įgaliotinį, jeigu tokie atvejai išaiškėtų sutarties vykdymo metu.

(pareigos)

(parašas)

(vardas ir pavardė)

______________________

PATVIRTINTA

Lietuvos Respublikos finansų ministro

2022 m. liepos 28 d. įsakymu Nr. 1K-274

(Lietuvos Respublikos finansų ministro

2023 m. rugpjūčio 23 d. įsakymo Nr. 1K-299

redakcija)

EUROPOS SĄJUNGOS INVESTICIJŲ ADMINISTRAVIMO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Europos Sąjungos investicijų administravimo informacinės sistemos veiklos tęstinumo valdymo plane (toliau – Planas) nustatomos procedūros, kurių būtina laikytis atkuriant Europos Sąjungos investicijų administravimo informacinės sistemos (toliau – INVESTIS) veiklą įvykus elektroninės informacijos saugos incidentui, įskaitant kibernetinį incidentą (toliau – saugos incidentas).

2. Plane vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos:

2.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme;

2.3. Lietuvos Respublikos kibernetinio saugumo įstatyme;

2.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme;

2.8. Lietuvos standartuose LST ISO / IEC 27002 ir LST ISO / IEC 27001 ir kituose Lietuvos ir tarptautiniuose „Informacinės technologijos. Saugumo metodai“ grupės standartuose.

3. Planas taikomas INVESTIS valdytojui, INVESTIS tvarkytojams, INVESTIS administratoriams, INVESTIS saugos įgaliotiniui, INVESTIS kibernetinio saugumo vadovui – INVESTIS tvarkytojos viešosios įstaigos Centrinės projektų valdymo agentūros (toliau – CPVA) paskirtam kompetentingam asmeniui, atsakingam už INVESTIS kibernetinio saugumo organizavimą ir užtikrinimą, INVESTIS naudotojams, INVESTIS paslaugos teikėjui (-ams) – Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinktam juridiniam asmeniui (-ims) (asmenų grupei), kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos INVESTIS ir (ar) jos infrastruktūros priežiūros funkcijos, INVESTIS paslaugos teikėjo (-ų) darbuotojams, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantiems ir (ar) tvarkantiems INVESTIS elektroninę informaciją (toliau – INVESTIS paslaugos teikėjo (-ų) darbuotojai), ir INVESTIS informacinių technologijų paslaugos teikėjui – Informacinės visuomenės plėtros komitetui, teikiančiam INVESTIS informacinių technologijų paslaugas pagal Informacinės visuomenės plėtros komiteto ir Lietuvos Respublikos finansų ministerijos 2021 m. balandžio 19 d. informacinių technologijų paslaugų teikimo sutartį Nr. 14P-34 (toliau – ITP teikėjas).

4. Planas įsigalioja įvykus saugos incidentui.

5. INVESTIS veiklos atkūrimas įvykus saugos incidentui finansuojamas iš INVESTIS valdytojo lėšų ir kitų finansavimo šaltinių.

6. INVESTIS administratoriai, INVESTIS saugos įgaliotinis nedelsdami šalina saugos incidento padarinius ir įgyvendina kitas Plano 1 priede pateiktame Europos Sąjungos investicijų administravimo informacinės sistemos veiklos atkūrimo detaliajame plane (toliau – Detalusis planas) numatytas priemones (kai tokias priemones numatyta įgyvendinti).

7. INVESTIS naudotojai, pastebėję neteisėtą elektroninės informacijos kopijavimą, keitimą, naikinimą, perdavimą, INVESTIS saugos politiką įgyvendinančių dokumentų reikalavimų pažeidimą, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos užtikrinimo priemones, įvykius ar veiklą, privalo nedelsdami žodžiu ar raštu pranešti INVESTIS administratoriui ir INVESTIS saugos įgaliotiniui el. paštu sauga@investis.lt. Jeigu apie saugos incidentą buvo informuotas tik INVESTIS administratorius, jis privalo apie saugos incidentą informuoti INVESTIS saugos įgaliotinį ir INVESTIS kibernetinio saugumo vadovą. Saugos incidentus INVESTIS administratorius, INVESTIS saugos įgaliotinis ir INVESTIS kibernetinio saugumo vadovas valdo vadovaudamiesi Plano 2 priede pateikto Europos Sąjungos investicijų administravimo informacinės sistemos elektroninės informacijos saugos incidentų valdymo tvarkos aprašo (toliau – INVESTIS saugos incidentų valdymo tvarkos aprašas) nuostatomis.

8. Kriterijai, pagal kuriuos nustatoma, kad INVESTIS veikla atkurta:

8.1. nuolat atnaujinama INVESTIS elektroninė informacija;

8.2. išsaugoma atnaujinta INVESTIS elektroninė informacija;

8.3. INVESTIS gali naudotis visi naudotojai, turintys suteiktas INVESTIS prieigos teises;

8.4. iš susijusių valstybės informacinių sistemų ir registrų gaunama elektroninė informacija yra atnaujinama ir išsaugoma INVESTIS;

8.5. užtikrinami INVESTIS saugos reikalavimai, susiję su INVESTIS elektroninės informacijos vientisumu, konfidencialumu ir prieinamumu.

9. Saugos incidentų valdymas atliekamas pagal INVESTIS saugos incidentų valdymo tvarkos aprašą. Kibernetiniai incidentai valdomi Nacionaliniame kibernetinių incidentų valdymo plane, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, nustatyta tvarka.

10. Visa su saugos incidentu susijusi informacija fiksuojama Europos Sąjungos investicijų administravimo informacinės sistemos kibernetinių ir (ar) elektroninės informacijos saugos incidentų registravimo žurnale, kurio forma pateikta Plano 3 priede, Europos Sąjungos investicijų administravimo informacinės sistemos saugos incidentų sąraše, kurio forma pateikta Plano 4 priede, INVESTIS saugos incidentų valdymo tvarkos apraše nustatyta tvarka.

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

11. Saugos incidentams valdyti ir INVESTIS veiklai atkurti INVESTIS tvarkytojos CPVA direktorius sudaro 2 grupes – Europos Sąjungos investicijų administravimo informacinės sistemos veiklos tęstinumo valdymo grupę (toliau – Valdymo grupė) ir Europos Sąjungos investicijų administravimo informacinės sistemos veiklos atkūrimo grupę (toliau – Veiklos atkūrimo grupė), ir tvirtina šių grupių personalines sudėtis.

12. Valdymo grupės uždavinys – valdyti INVESTIS saugos incidentų šalinimo procesą, užtikrinantį INVESTIS veiklos tęstinumą.

13. Valdymo grupės sudėtis:

13.1. Valdymo grupės vadovas – CPVA direktorius arba jį pavaduojantis asmuo;

13.2. Valdymo grupės vadovo pavaduotojas – CPVA direktoriaus pavaduotojo patarėjas struktūrinių ir investicijų fondų programos įgyvendinimo srityje;

13.3. INVESTIS duomenų valdymo įgaliotinis;

13.4. kiti Valdymo grupės nariai – INVESTIS saugos įgaliotinis, INVESTIS kibernetinio saugumo vadovas, INVESTIS administratoriai pagal kompetenciją, CPVA SFMIS pagalbos ir plėtros skyriaus vadovas (pagal poreikį).

14. Pagal poreikį Valdymo grupė turi teisę savo veikloje bendradarbiauti su INVESTIS valdytojo darbuotojais, atsakingais už politikos, kuriai įgyvendinti naudojama INVESTIS, formavimą, ir (arba) INVESTIS tvarkytojų darbuotojais, susijusiais su INVESTIS naudojimu, ar trečiosios šalies kompetentingais specialistais, ITP teikėjo kompetentingais darbuotojais ir (arba) pasitelkti INVESTIS paslaugos teikėjo darbuotojus, jeigu tai būtina INVESTIS veiklai atkurti ir (ar) INVESTIS veiklos tęstinumui užtikrinti.

15. Valdymo grupė, vykdydama jai nustatytą uždavinį, atlieka šias funkcijas:

15.1. analizuoja situacijas ir priima sprendimus INVESTIS veiklos tęstinumo valdymo klausimais;

15.2. kontroliuoja sprendimų INVESTIS veiklos tęstinumo valdymo klausimais priėmimą ir jų vykdymą;

15.3. pagal kompetenciją bendrauja su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

15.4. bendrauja su informacinių sistemų, susijusių su INVESTIS, veiklos tęstinumo valdymo grupėmis;

15.5. bendrauja su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;

15.6. kontroliuoja finansinių ir kitų išteklių, reikalingų INVESTIS veiklai atkurti, įvykus saugos incidentui, naudojimą;

15.7. organizuoja INVESTIS elektroninės informacijos fizinės saugos priemones, įvykus saugos incidentui;

15.8. organizuoja logistiką (žmonių, daiktų, įrangos gabenimą);

15.9. prižiūri ir koordinuoja INVESTIS veiklos atkūrimą;

15.10. atlieka kitas Valdymo grupei nustatytai užduočiai įvykdyti reikalingas funkcijas.

16. Veiklos atkūrimo grupės uždavinys – vykdyti INVESTIS atkūrimo darbus ir Valdymo grupės nurodymus, susijusius su INVESTIS funkcinių galimybių atkūrimu.

17. Veiklos atkūrimo grupės sudėtis:

17.1. Veiklos atkūrimo grupės vadovas – CPVA SFMIS pagalbos ir plėtros skyriaus vadovas;

17.2. Veiklos atkūrimo grupės vadovo pavaduotojas – CPVA direktoriaus pavaduotojo patarėjas;

17.3. kiti Veiklos atkūrimo grupės nariai – CPVA SFMIS pagalbos ir plėtros skyriaus analitikai ir informacinių ir ryšių technologijų specialistas, kiti CPVA darbuotojai (pagal poreikį).

18. Pagal poreikį Veiklos atkūrimo grupė turi teisę savo veikloje bendradarbiauti su kitais INVESTIS valdytojo ir INVESTIS tvarkytojų darbuotojais, susijusiais su INVESTIS funkcionavimo užtikrinimu, ar trečiosios šalies kompetentingais specialistais, ITP teikėjo kompetentingais darbuotojais, jeigu tai būtina INVESTIS veiklai atkurti ir (ar) INVESTIS veiklos tęstinumui užtikrinti.

19. Veiklos atkūrimo grupė, vykdydama jai nustatytą uždavinį, atlieka šias funkcijas:

19.1. organizuoja tarnybinių stočių veikimo atkūrimą;

19.2. organizuoja kompiuterių tinklo veikimo atkūrimą;

19.3. organizuoja programinės įrangos tinkamo veikimo atkūrimą;

19.4. organizuoja kompiuterizuotų darbo vietų veikimo atkūrimą ir prijungimą prie kompiuterių tinklo;

19.5. organizuoja INVESTIS elektroninės informacijos atkūrimą;

19.6. atlieka kitas Veiklos atkūrimo grupei nustatytai užduočiai įvykdyti reikalingas funkcijas.

20. INVESTIS veiklos atkūrimo veiksmų vykdymo eiliškumas, terminai, vykdytojai pagal skirtingus INVESTIS veiklos sutrikimo scenarijus INVESTIS veiklai atkurti nurodyti Detaliajame plane.

21. Įvykus saugos incidentui, Valdymo grupė, Veiklos atkūrimo grupė ir INVESTIS saugos įgaliotinis atlieka Detaliajame plane ir INVESTIS saugos incidentų valdymo tvarkos apraše nurodytus veiksmus.

22. Valdymo grupės ir Veiklos atkūrimo grupės komunikavimo reikalavimai:

22.1. Valdymo grupės ir Veiklos atkūrimo grupės nariai tarpusavyje bendrauja susitikimuose, elektroniniu paštu, telefonu ir kitomis ryšių priemonėmis pagal pasitvirtintus darbo reglamentus.

22.2. Apie įvykdytus INVESTIS veiklos atkūrimo veiksmus atsakingi asmenys nedelsdami informuoja Veiklos atkūrimo grupės vadovą.

22.3. Veiklos atkūrimo grupės vadovas nuolat informuoja Valdymo grupės narius apie INVESTIS veiklos atkūrimo eigą. Valdymo grupės ir Veiklos atkūrimo grupės komunikacija užtikrinama ne rečiau kaip vieną kartą per kalendorinius metus, jeigu nėra įvykusių saugos incidentų.

23. CPVA, įgyvendindama Saugos reikalavimų aprašo nuostatas, nustato reikalavimus atsarginėms patalpoms, naudojamoms INVESTIS veiklai atkurti įvykus saugos incidentui. Reikalavimų atsarginėms patalpoms, naudojamoms INVESTIS veiklai atkurti įvykus saugos incidentui, įgyvendinimą užtikrina ITP teikėjas.

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

24. INVESTIS veiklos tęstinumui užtikrinti rengiami ir saugomi šie dokumentai:

24.1. INVESTIS informacinių technologijų įrangos ir jos parametrų aprašas, kuriame nurodytas už šiame apraše nurodytos įrangos priežiūrą atsakingas (-i) administratorius (-iai), minimalus informacinės sistemos veiklai atkurti nesant administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, reikiamos kompetencijos ar žinių lygis;

24.2. minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos INVESTIS veiklai užtikrinti įvykus elektroninės informacijos saugos incidentui, specifikacija;

24.3. INVESTIS informacinių technologijų įrangos fizinio ir loginio sujungimo schemos;

24.4. programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vietos ir šių laikmenų perkėlimo į saugojimo vietą laiko ir sąlygų aprašas;

24.5. Valdymo grupės ir Veiklos atkūrimo grupės komunikavimo reikalavimų (dažnumo, formos ir kita) aprašas;

24.6. Valdymo grupės ir Veiklos atkūrimo grupės narių sąrašas su kontaktiniais duomenimis, leidžiančiais šiuos asmenis pasiekti bet kuriuo paros metu. Šį sąrašą parengia bei atnaujina INVESTIS saugos įgaliotinis ir pateikia Valdymo grupės ir Veiklos atkūrimo grupės nariams. Valdymo grupės ir Veiklos atkūrimo grupės narių kontaktinių duomenų sąrašas turi būti pateikiamas ir saugomas užantspauduotame voke su užrašu „Tik vidiniam naudojimui – atplėšti tik aktyvavus Europos Sąjungos investicijų administravimo informacinės sistemos veiklos tęstinumo valdymo planą“, Valdymo grupės ir Veiklos atkūrimo grupės narių darbo vietose;

24.7. elektroninės informacijos teikimo sutarčių sąrašas, kurį parengia INVESTIS administratoriai pagal kompetenciją ir pateikia paskirtam už Plano 24 punkte nurodytų dokumentų saugojimą atsakingam INVESTIS administratoriui;

24.8. Informacinės visuomenės plėtros komiteto ir Lietuvos Respublikos finansų ministerijos 2021 m. balandžio 19 d. informacinių technologijų paslaugų teikimo sutartis Nr. 14P-34, kurią INVESTIS administratoriui pateikia šioje sutartyje nurodytas INVESTIS valdytojo kontaktinis asmuo.

25. Plano 24.1–24.4 papunkčiuose nurodytus dokumentus parengia, atnaujina ir nurodytų dokumentų saugojimą užtikrina paskirtas INVESTIS administratorius. Už Plano 24.1–24.4 papunkčiuose nurodytos techninės informacijos pateikimą atsako ITP teikėjo atsakingas asmuo. Už Plano 24.5 papunktyje nurodyto dokumento parengimą ir pateikimą INVESTIS administratoriui, atsakingam už Plano 24 punkte nurodytų dokumentų saugojimą, atsako Valdymo grupės ir Veiklos atkūrimo grupės vadovai.

26. INVESTIS administratorius, atsakingas už Plano 24 punkte nurodytų dokumentų saugojimą, gautus Plano 24 punkte nurodytus dokumentus saugo vadovaudamasis teisės aktuose, reglamentuojančiuose dokumentų saugojimo ir archyvavimo tvarką, nustatytomis INVESTIS dokumentų saugojimo sąlygomis ir terminais.

IV SKYRIUS

PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

27. Plano veiksmingumas turi būti išbandytas per 6 mėnesius nuo Plano patvirtinimo dienos. Plano veiksmingumas turi būti išbandomas ne rečiau kaip kartą per metus, modeliuojant saugos incidentą.

28. Išbandymo rezultatai nurodomi Europos Sąjungos investicijų administravimo informacinės sistemos veiklos tęstinumo valdymo plano veiksmingumo išbandymo ataskaitoje (toliau – INVESTIS veiklos tęstinumo valdymo plano veiksmingumo išbandymo ataskaita), kurią pagal Plano 5 priede pateiktą formą parengia INVESTIS saugos įgaliotinis kartu su INVESTIS administratoriais.

29. INVESTIS saugos įgaliotinis INVESTIS veiklos tęstinumo valdymo plano veiksmingumo išbandymo ataskaitą pateikia INVESTIS valdytojui.

30. INVESTIS veiklos tęstinumo valdymo plano veiksmingumo išbandymo ataskaitų kopijas ne vėliau kaip per 5 darbo dienas nuo šių ataskaitų priėmimo dienos INVESTIS saugos įgaliotinis teikia Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos.

31. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami vadovaujantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

32. Už Plano pažeidimus Plano 3 punkte nurodyti asmenys, Valdymo grupės ir Veiklos atkūrimo grupės nariai atsako Lietuvos Respublikoje galiojančių teisės aktų, reglamentuojančių duomenų saugą, nustatyta tvarka.

_________________

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2023 m. rugpjūčio 14 d. raštu Nr. (4.1 E) 6K-551

Europos Sąjungos investicijų administravimo informacinės sistemos veiklos tęstinumo valdymo plano

1 priedas

EUROPOS SĄJUNGOS INVESTICIJŲ ADMINISTRAVIMO INFORMACINĖS SISTEMOS VEIKLOS ATKŪRIMO DETALUSIS PLANAS

Situacija	Siūlomi veiksmai	Terminai	Vykdytojai
1. Gautas pranešimas apie kibernetinį ir (ar) elektroninės informacijos saugos incidentą (toliau – saugos incidentas)	1.1. Surenkama iš Europos Sąjungos investicijų administravimo informacinės sistemos (toliau – INVESTIS) administratorių informacija apie sutrikusią INVESTIS veiklą arba patirtą kitokią žalą.	Per saugos įgaliotinio nustatytą terminą, bet ne ilgiau kaip per 4 val.	Saugos įgaliotinis
	1.2. Nustatomi INVESTIS pažeidimai (pagal šiuo finansų ministro įsakymu patvirtinto Europos Sąjungos investicijų administravimo informacinės sistemos veiklos tęstinumo valdymo plano (toliau – Planas) 4 priedą), kurie gali būti susiję su: 1.2.1. INVESTIS programinės įrangos praradimu arba sugadinimu ir duomenų vientisumo ir (arba) prieinamumo pažeidimu, dėl kurio nustoja funkcionuoti INVESTIS; 1.2.2. INVESTIS duomenų vientisumo ir (arba) prieinamumo pažeidimu, dėl kurio nustoja funkcionuoti INVESTIS; 1.2.3. informacinių technologijų paslaugų teikėjo (toliau – ITP teikėjas) teikiamomis informacinių technologijų paslaugomis, dėl kurių INVESTIS negali funkcionuoti (įskaitant pažeidimus, įvykusius dėl gamtos reiškinių (potvynis, uraganas ir kiti), gaisro, elektros energijos tiekimo sutrikimų, vandentiekio ir šildymo sistemų sutrikimų, elektroninių ryšių tinklo sutrikimų, įsilaužimo į kompiuterių tinklą, pagrindinių tarnybinių stočių sugadinimą ir (ar) praradimą).	Iki 1 val.,atlikus Europos Sąjungos investicijų administravimo informacinės sistemos veiklos atkūrimo detaliojo plano (toliau – Detalusis planas) 1.1 papunktyje nurodytą veiksmą	Saugos įgaliotinis
	1.3. Pranešama Europos Sąjungos investicijų administravimo informacinės sistemos veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) vadovui.	Nedelsiant,įgyvendinus Detaliojo plano 1.2 papunktį
	1.4. Nustačius kibernetinį incidentą, inicijuojami Nacionaliniame kibernetinių incidentų valdymo plane, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, numatyti veiksmai. Apie kibernetinius saugumo incidentus Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos turi būti informuojamas užpildant pranešimo apie incidentą formą, esančią interneto svetainėje nksc.lt, arba išsiunčiant informaciją apie incidentą el. paštu cert@nksc.lt, arba skambinant telefonu 1843.	Nedelsiant,įgyvendinus Detaliojo plano 1.2 papunktį	Saugos įgaliotinis (INVESTIS tvarkytojos viešosios įstaigos Centrinės projektų valdymo agentūros paskirtas kompetentingas asmuo, atsakingas už INVESTIS kibernetinio saugumo organizavimą ir užtikrinimą)
	1.5. Prireikus parengiami pranešimai: 1.5.1. INVESTIS naudotojams ir Duomenų mainų svetainės naudotojams, su INVESTIS susijusių informacinių sistemų ir registrų tvarkytojams (duomenų teikimo sutartyse nurodytais elektroninio pašto adresais). Pranešime turi būti pateikiamos rekomendacijos, kaip elgtis saugos incidento metu, pranešama kita reikalinga informacija, nurodomi atsakingi darbuotojai ir jų kontaktinė informacija. Saugos incidentui paveikus ne tik INVESTIS, bet ir kitas informacines sistemas, informuojami saugos incidento poveikį patyrę ar galintys patirti paslaugų teikėjai ir (ar) kitos institucijos; 1.5.2. teisėsaugos institucijoms ir atitinkamoms tarnyboms bei prireikus vykdomi jų nurodymai.	Iki 1 val.,įgyvendinus Detaliojo plano 1.3 papunktį	Valdymo grupė
	1.6. Išplatinami Detaliojo plano 1.5.1 papunktyje nurodyti informaciniai pranešimai.	Nedelsiant,įgyvendinus Detaliojo plano 1.5.1 papunktį	INVESTIS administratorius pagal kompetenciją
2. Nustatyti INVESTIS pažeidimai, susiję su ITP teikėjo teikiamomis informacinių technologijų paslaugomis, dėl kurių INVESTIS negali funkcionuoti (įskaitant pažeidimus, įvykusius dėl gamtos reiškinių (potvynis, uraganas ir kiti), gaisro, elektros energijos tiekimo sutrikimų, vandentiekio ir šildymo sistemų sutrikimų, elektroninių ryšių tinklo sutrikimų, įsilaužimo į kompiuterių tinklą, pagrindinių tarnybinių stočių sugadinimą ir (ar) praradimą)	2.1. Pranešama ITP teikėjui apie nustatytą INVESTIS pažeidimą, susijusį su ITP teikėjo teikiamomis Informacinės visuomenės plėtros komiteto ir Lietuvos Respublikos finansų ministerijos 2021 m. balandžio 19 d. informacinių technologijų paslaugų teikimo sutartyje Nr. 14P-34 (toliau – IT paslaugų sutartis) nustatytomis informacinių technologijų paslaugomis, dėl kurių INVESTIS negali funkcionuoti, kai ITP teikėjas nėra informacijos dėl nefunkcionuojančios INVESTIS teikėjas.	Nedelsiant, įgyvendinus Detaliojo plano 1.3 papunktį	Valdymo grupė, Europos Sąjungos investicijų administravimo informacinės sistemos veiklos atkūrimo grupė (toliau – Atkūrimo grupė)
	2.2. Paskiriamas ITP teikėjo atsakingas už INVESTIS veiklos atkūrimą asmuo ir apie tai informuojama Atkūrimo grupė.	Nedelsiant, gavus Detaliojo plano 2.1 papunktyje nurodytą pranešimą	ITP teikėjas
	2.3. Atliekami INVESTIS funkcionavimo atkūrimo veiksmai – įvertinamas INVESTIS techninės ir (arba) programinės įrangos praradimo arba sugadinimo ir duomenų vientisumo ir (arba) prieinamumo pažeidimo mastas, numatomi pažeidimo šalinimo veiksmai ir priemonės bei jų parametrai ar pan. pavojui sustabdyti ir padarytai žalai likviduoti, jų atlikimo būdas, suderinami (nustatomi) kriterijai, pagal kuriuos bus vertinama, kad INVESTIS veikla atkurta, įskaitant Plano 8 punkte nurodytus kriterijus.	Iki 2 val., įgyvendinus Detaliojo plano 1.3 papunktį	ITP teikėjas, Atkūrimo grupė
	2.4. ITP teikėjui bendradarbiaujant su Atkūrimo grupe užtikrinamos INVESTIS veiklos atkūrimo sąlygos, susijusios su IT paslaugų sutartyje nustatytomis ITP teikėjo teikiamomis paslaugomis: 2.4.1. INVESTIS veiklos atkūrimo laikotarpiu atnaujinamos įgyvendinant Detaliojo plano 2.3 papunktyje numatytų pagal kompetenciją atliekamų INVESTIS funkcionavimo atkūrimo veiksmų būsenos, aprašomi atlikti veiksmai, su Atkūrimo grupe suderintu periodiškumu apie INVESTIS funkcionavimo atkūrimo veiksmų atlikimo eigą informuojama Atkūrimo grupė. 2.4.2. Kreipiamasi į Atkūrimo grupę, esant papildomam INVESTIS funkcionavimo atkūrimo veiksmams užtikrinti reikalingos informacijos ar papildomų veiksmų poreikiui, paaiškėjus numatytų INVESTIS funkcionavimo atkūrimo veiksmų pertekliui. Esant nurodytoms aplinkybėms, tolesnis INVESTIS funkcionavimo atkūrimo veiksmų atlikimas užtikrinamas tai suderinus su Atkūrimo grupe. 2.4.3. Siūlomi alternatyvūs būdai (angl. workarounds), kaip naudoti ITP teikėjo teikiamą informacinių technologijų paslaugą, kad būtų tinkamai atlikti INVESTIS funkcionavimo atkūrimo veiksmai ir atkurta INVESTIS veikla.	Per IT paslaugų sutarties 3 priedo IV skyriuje nustatytus terminus, bet ne ilgiau kaip per 16 val. nuo INVESTIS veiklos sutrikimo fiksavimo pradžios	ITP teikėjas, Atkūrimo grupė
	2.5. Bendradarbiaujama su ITP teikėju.		Atkūrimo grupė
	2.6. Konsultuojama pagal kompetenciją dėl INVESTIS veiklos atkūrimo.		ITP teikėjas
	2.7. Atkuriama programinės įrangos veikla. 2.8. Atkuriami prarasti ir (arba) pakeisti (sugadinti) duomenys.		Atkūrimo grupė, ITP teikėjas (pagal IT paslaugų sutartyje nustatytą kompetenciją)
	2.9. Patvirtinama, kad INVESTIS veikla atkurta ir apie tai informuojamas ITP teikėjas.	Nedelsiant, paaiškėjus, kad INVESTIS veikla atkurta	Valdymo grupė, Atkūrimo grupė
3. Nustatytas INVESTIS programinės įrangos praradimas arba sugadinimas ir duomenų vientisumo ir (arba) prieinamumo pažeidimas, dėl kurio nustoja funkcionuoti INVESTIS	3.1. Įvertinamas INVESTIS programinės įrangos praradimo arba sugadinimo ir duomenų vientisumo ir (arba) prieinamumo pažeidimo mastas, pažeidimo šalinimo veiksmai ir priemonės bei jų parametrai ar pan., kurie reikalingi pavojui sustabdyti ir padarytai žalai likviduoti. 3.2. Atkuriama programinės įrangos veikla. 3.3. Atkuriami prarasti ir (arba) pakeisti (sugadinti) duomenys.	Iki 12 val.nuo INVESTIS veiklos sutrikimo fiksavimo pradžios	Atkūrimo grupė, ITP teikėjas
4. Nustatytas INVESTIS duomenų vientisumo ir (arba) prieinamumo pažeidimas, dėl kurio nustoja funkcionuoti INVESTIS	4.1. Įvertinamas INVESTIS duomenų vientisumo ir (arba) prieinamumo pažeidimo mastas, pažeidimo šalinimo veiksmai ir priemonės bei jų parametrai ar pan., kurie reikalingi pavojui sustabdyti ir padarytai žalai likviduoti. 4.2. Atkuriami prarasti ir (arba) pakeisti (sugadinti) duomenys. 4.3. Nepasisekus visiškai atkurti prarastų ir (arba) pakeistų (sugadintų) duomenų iš duomenų atsarginių kopijų, organizuojamas trūkstamų duomenų įkėlimas iš naujo.	Iki 12 val. nuo INVESTIS veiklos sutrikimo fiksavimo pradžios	Atkūrimo grupė, ITP teikėjas

_______________________________

Europos Sąjungos investicijų administravimo informacinės sistemos veiklos tęstinumo valdymo plano

2 priedas

EUROPOS SĄJUNGOS INVESTICIJŲ ADMINISTRAVIMO INFORMACINĖS SISTEMOS ELEKTRONINĖS INFORMACIJOS SAUGOS INCIDENTŲ VALDYMO TVARKOS APRAŠAS

1. Europos Sąjungos investicijų administravimo informacinės sistemos elektroninės informacijos saugos incidentų valdymo tvarkos apraše nustatomi Europos Sąjungos investicijų administravimo informacinės sistemos (toliau – INVESTIS) saugos įgaliotinio, INVESTIS kibernetinio saugumo vadovo – INVESTIS tvarkytojos viešosios įstaigos Centrinės projektų valdymo agentūros (toliau – CPVA) paskirto kompetentingo asmens, atsakingo už INVESTIS kibernetinio saugumo organizavimą ir užtikrinimą, ir INVESTIS administratorių įgaliojimai ir veiksmai įvykus elektroninės informacijos saugos incidentui, įskaitant kibernetinį incidentą (toliau – saugos incidentas):

1.1. INVESTIS saugos įgaliotinis turi:

1.1.1. įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią INVESTIS saugą, nedelsdamas informuoti INVESTIS valdytojo ir CPVA vadovus, kompetentingas institucijas, tiriančias saugos incidentus, neteisėtas veikas, susijusias su saugos incidentais INVESTIS tvarkytojų organizacijose ir (arba) INVESTIS komponentuose, už kurių tvarkymą jie yra atsakingi savo organizacijose, informacinių technologijų paslaugų teikėjo (toliau – ITP teikėjas) atstovą ir kitus su saugos incidentu susijusius paslaugų teikėjus ir (ar) kitas institucijas;

1.1.2. bendradarbiauti su kompetentingomis institucijomis, tiriančiomis saugos incidentus, neteisėtas veikas, susijusias su saugos incidentais INVESTIS tvarkytojų įstaigose, ir (arba) INVESTIS tvarkytojų įstaigomis, kurios atsakingos už INVESTIS elektroninę informaciją;

1.1.3. saugos incidentui paveikus ne tik INVESTIS, bet ir kitas informacines sistemas, informuoti saugos incidento poveikį patyrusius ar galinčius patirti paslaugų teikėjus ir (ar) kitas kompetentingas institucijas, atsižvelgti į jų rekomendacijas ir vykdyti jų nurodymus;

1.1.4. apie saugos incidentą nedelsdamas informuoti Europos Sąjungos investicijų administravimo informacinės sistemos veiklos tęstinumo valdymo grupės (toliau – Veiklos tęstinumo valdymo grupė) vadovą ir visą surinktą informaciją, susijusią su saugos incidentu, registruoti Europos Sąjungos investicijų administravimo informacinės sistemos kibernetinių ir (ar) elektroninės informacijos saugos incidentų registravimo žurnale (toliau – Incidentų žurnalas), kurio forma pateikta šiuo finansų ministro įsakymu patvirtinto Europos Sąjungos investicijų administravimo informacinės sistemos veiklos tęstinumo valdymo plano (toliau – Planas) 3 priede. Incidentų žurnalas pildomas elektronine forma, prireikus, atsižvelgiant į incidento tyrimo metu nustatytas aplinkybes, Incidentų žurnale esanti informacija gali būti papildoma ir (arba) patikslinama. Kai dėl techninių kliūčių nėra galimybės registruoti ar pildyti informacijos elektronine forma, INVESTIS saugos įgaliotinis visą informaciją apie incidentą fiksuoja raštu (taip pat ir elektroniniu būdu), užpildydamas Plano 4 priede pateiktą Europos Sąjungos investicijų administravimo informacinės sistemos saugos incidentų sąrašo formą, o vėliau šią informaciją įveda į Incidentų žurnalą;

1.1.5. duoti privalomus vykdyti nurodymus ir pavedimus INVESTIS naudotojams, INVESTIS administratoriui, INVESTIS paslaugų teikėjo administratoriui, ITP teikėjo darbuotojams, jeigu tai būtina INVESTIS elektroninės informacijos saugai (kibernetiniam saugumui) užtikrinti;

1.1.6. koordinuoti saugos incidentų tyrimą;

1.1.7. organizuoti žalos INVESTIS elektroninei informacijai, INVESTIS techninei, programinei įrangai poveikio vertinimą.

1.2. INVESTIS kibernetinio saugumo vadovas turi:

1.2.1. bendradarbiauti su kompetentingomis institucijomis, tiriančiomis kibernetinius incidentus, neteisėtas veikas, susijusias su kibernetiniais incidentais, išskyrus atvejus, kai šią funkciją atlieka INVESTIS kibernetinio saugumo darbo grupė;

1.2.2. koordinuoti kibernetinių incidentų tyrimą;

1.2.3. duoti privalomus vykdyti nurodymus ir pavedimus INVESTIS valdytojo ir INVESTIS tvarkytojo darbuotojams, jeigu tai būtina kibernetinio saugumo politikai įgyvendinti.

1.3. INVESTIS administratoriai turi:

1.3.1. vykdyti kitus Plane ir Plano 1 priede pateiktame Europos Sąjungos investicijų administravimo informacinės sistemos veiklos atkūrimo detaliajame plane nurodytus veiksmus ir Veiklos tęstinumo valdymo grupės ir Europos Sąjungos investicijų administravimo informacinės sistemos veiklos atkūrimo grupės pavestas užduotis;

1.3.2. nedelsdami imtis veiksmų saugos incidentui stabdyti, padariniams likviduoti ir apie tai pranešti INVESTIS saugos įgaliotiniui;

1.3.3. suderinę su INVESTIS saugos įgaliotiniu, atlikti neatidėliotinus administravimo veiksmus, skirtus saugos incidento plėtrai sustabdyti ir jo tyrimui būtinai informacijai surinkti;

1.3.4. informuoti apie INVESTIS veiklos sutrikimus ir jų atkūrimo laiką INVESTIS naudotojus ar INVESTIS naudojančius asmenis.

2. Saugos incidentų, susijusių su Informacinės visuomenės plėtros komiteto, teikiančio INVESTIS informacinių technologijų paslaugas pagal Informacinės visuomenės plėtros komiteto ir Lietuvos Respublikos finansų ministerijos 2021 m. balandžio 19 d. informacinių technologijų paslaugų teikimo sutartį Nr. 14P-34, teikiamomis informacinių technologijų paslaugomis, valdymas vykdomas šioje informacinių technologijų paslaugų teikimo sutartyje nustatyta tvarka.

_____________________

Europos Sąjungos investicijų administravimo informacinės sistemos veiklos tęstinumo valdymo plano

4 priedas

(Europos Sąjungos investicijų administravimo informacinės sistemos saugos incidentų sąrašo forma)

EUROPOS SĄJUNGOS INVESTICIJŲ ADMINISTRAVIMO INFORMACINĖS SISTEMOS SAUGOS INCIDENTŲ SĄRAŠAS

Pildymo pradžia 20___m. __________ d.

Eil. Nr.	Europos Sąjungos investicijų administravimo informacinės sistemos kibernetinių ir (ar) elektroninės informacijos saugos incidentų registravimo žurnale fiksuojama informacija apie kibernetinį ir (ar) elektroninės informacijos saugos incidentą (toliau – saugos incidentas)
1.	Saugos incidento identifikacinis numeris (ID) (kai fiksuojama pagalbos tarnyboje (angl. HelpDesk))
2.	Informacija apie saugos incidento nustatymą: (Kas nustatė saugos incidentą: vardas, pavardė, pareigos, kokia forma pranešta: telefonu ar kitomis priemonėmis, kam pranešta: data ir laikas, kada pranešta: data ir laikas)
3.	Saugos incidento data ir laikas:
4.	Saugos incidento nustatymo data ir laikas:
5.	Saugos incidento tipas (grupė): ☐ Nepageidaujamų laiškų, klaidinančios ar žeidžiančios informacijos platinimas ☐ Kenkimo programinė įranga (angl. malicious software / code) ☐ Informacijos rinkimas (angl. information gathering); ☐ Mėginimas įsilaužti (angl. intrusion attempts) ☐ Įsilaužimas (angl. intrusions) ☐ Paslaugų trikdymas, prieinamumo pažeidimai (angl. availability) ☐ Informacijos turinio saugumo pažeidimai (angl. information content security) ☐ Neteisėta veikla, sukčiavimas (angl. fraud) ☐ Kiti incidentai, kurie neatitinka nė vieno iš nurodytų požymių
6.	Saugos incidento kilmės požymis: ☐ Gamtinės sąlygos ☐ Gaisras ☐ Patalpų užgrobimas ☐ Patalpai padaryta žala arba patalpos praradimas ☐ Elektros energijos tiekimo sutrikimai ☐ Vandentiekio ir šildymo sistemos sutrikimai ☐ Ryšių sutrikimai ☐ Techninės įrangos sugadinimas ☐ Programinės įrangos sugadinimas ☐ Dokumentų praradimas ☐ Žmogiškasis (darbuotojo) faktorius ☐ Dalinis informacinio ištekliaus veiklos sutrikimas dėl neaiškių priežasčių ☐ Pavojingas (įtartinas) radinys ☐ Kita
7.	Saugos incidento vieta: (pvz., informacinė sistema (nurodyti pavadinimą))
8.	Informacija apie suinteresuotas, su saugos incidentu susijusias šalis: (pvz., ryšių ir informacinės sistemos teikiamų paslaugų gavėjai, valstybės įstaigos ir pan.)
9.	Saugos incidento tipas (pagal poveikį objektui): ☐ Konfidencialumas ☐ Prieinamumas ☐ Vientisumas ☐ Mišrus
10.	Saugos incidento rūšis (pažymėti tinkamą (-us) variantą (-us)): ☐ Kibernetinis incidentas ☐ Informacinės sistemos ir jose tvarkomos informacijos saugumo pažeidimas ☐ Fizinio saugumo pažeidimas ☐ Asmens duomenų saugumo pažeidimas ☐ Mišrus
11.	Organizacinės ir techninės priemonės, kurių imtasi siekiant informaciją, informacines sistemas, duomenis, įrangą ir pan. apsaugoti nuo saugos incidento poveikio
12.	Saugos incidento poveikio (rizikos) vertinimas: ☐ Nereikšmingo poveikio (N) ☐ Vidutinio poveikio (V) ☐ Didelio poveikio (D) ☐ Pavojingo poveikio (P)
13.	Saugos incidento vertinimas atsižvelgiant į įvertintą poveikį ir rizikas: ☐ Saugos incidento tyrimas baigiamas (jeigu nustatoma, kad įvyko ne saugos incidentas) ☐ Pradedamas saugos incidento tyrimas ☐ Informuojamos kompetentingos institucijos: ☐ Valstybinė duomenų apsaugos inspekcija ☐ Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos ☐ Lietuvos policija ☐ Kita
14.	Informacija apie tyrimą: ☐ Įrodymai surinkti ir išanalizuoti ☐ Analizė atlikta ☐ Taikytos organizacinės priemonės ☐ Inicijuotas įrangos / paslaugos įsigijimas ☐ Inicijuotas dokumentų (procedūrų) pakeitimas ☐ Kita ☐ Taikytos techninės priemonės ☐ Atlikti įrangos konfigūravimai ☐ Pakeista įranga ☐ Kita ☐ Nustatytos saugos incidento atsiradimo priežastys ☐ Programinės įrangos klaidos / netinkama veikla / funkcinių galimybių trūkumai ☐ Techninės įrangos gedimai / netinkama veikla / funkcinių galimybių trūkumai ☐ Žmogiškasis faktorius ☐ Kita
15.	Ataskaita, prevencinės priemonės, kad saugos incidentas nepasikartotų ateityje ☐ Teisinio reglamentavimo tobulinimas ☐ Organizacinių priemonių tobulinimas ☐ Techninių priemonių tobulinimas ☐ Kita

___________________________

Eil. Nr.	Kibernetinis ir (ar) elektroninės informacijos saugos incidentas (toliau – saugos incidentas)
Eil. Nr.	Europos Sąjungos investicijų administra-vimo informaci-nės sistemos (toliau – INVESTIS) naudotojas (vardas, pavardė)	Saugos incidento aprašymas	Pradžia (metai, mėnuo, diena, valanda, minutė)	Pabaiga (metai, mėnuo, diena, valanda, minutė)	Saugos incidentą pašalinęs (-ę) darbuotojas (-ai) (vardas (-ai), pavardė (-ės))	INVESTIS saugos įgaliotinis (vardas, pavardė, parašas)	Ar taikyti Nacionalinio kibernetinių incidentų valdymo plano, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, reikalavimai? (taip / ne)
1	2	3	4	5	6	7	8