LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTRAS
ĮSAKYMAS
DĖL ŽEMĖS ŪKIO MINISTRO 2015 M. GEGUŽĖS 22 D. ĮSAKYMO NR. 3D-415 „DĖL INFORMACINĖS SISTEMOS SAUGOS POLITIKOS ĮGYVENDINIMO DOKUMENTŲ PATVIRTINIMO“ PAKEITIMO
2022 m. kovo 3 d. Nr. 3D-151
Vilnius
P a k e i č i u Lietuvos Respublikos žemės ūkio ministro 2015 m. gegužės 22 d. įsakymą Nr. 3D-415 „Dėl informacinės sistemos saugos politikos įgyvendinimo dokumentų patvirtinimo“ ir jį išdėstau nauja redakcija:
„LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTRAS
ĮSAKYMAS
DĖL ŽEMĖS ŪKIO MINISTERIJOS INFORMACINĖS SISTEMOS (ŽŪMIS) SAUGOS POLITIKOS ĮGYVENDINIMO DOKUMENTŲ PATVIRTINIMO
Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo“, 7.2–7.4 papunkčiais ir 8 punktu,
1. Žemės ūkio ministerijos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;
PATVIRTINTA
Lietuvos Respublikos žemės ūkio ministro
2015 m. gegužės 22 d. įsakymu Nr. 3D-415
(2022 m. kovo 3 d. įsakymo Nr. 3D-151
redakcija)
ŽEMĖS ŪKIO MINISTERIJOS INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Žemės ūkio ministerijos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių (toliau – Taisyklės) tikslas – nustatyti tvarką, užtikrinančią saugų Žemės ūkio ministerijos informacinės sistemos (toliau – ŽŪMIS) techninės, programinės įrangos funkcionavimą, saugų ŽŪMIS elektroninės informacijos – ŽŪMIS kaupiamų duomenų ir per ŽŪMIS iš duomenų teikėjų gaunamų ir duomenų gavėjams teikiamų duomenų iki to momento, kol jie perduodami tvarkyti į kitas informacines sistemas (toliau – ŽŪMIS duomenys), tvarkymą ir jų teikimą pagal teisės aktų nustatytus reikalavimus.
2. Taisyklėse vartojamos sąvokos ir trumpiniai:
2.2. IT paslaugų teikėjas – Informacinės visuomenės plėtros komitetas, Konstitucijos pr. 15-89, 09319 Vilnius.
2.3. ŽŪMIS administratorius – Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos paskirtas darbuotojas, turintis privilegijuotas teises ŽŪMIS sistemoje ir galintis administruoti ŽŪMIS tiek techniniu, tiek programiniu lygmeniu ir atlikti kitas administratoriaus teisių reikalaujančias funkcijas.
2.4. ŽŪMIS duomenų valdymo įgaliotinis – ŽŪMIS tvarkytojos struktūrinio padalinio, atsakingo už institucijai teisės aktų nustatytų funkcijų atlikimą, vadovas, jeigu tokio struktūrinio padalinio nėra, – darbuotojas, atsakingas už institucijai teisės aktuose nustatytų funkcijų atlikimą.
2.5. ŽŪMIS naudotojas – darbuotojas, darbo santykiais susijęs su ŽŪMIS valdytoja arba ŽŪMIS tvarkytoja.
2.6. ŽŪMIS naudotojų administratorius – ŽŪMIS tvarkytojos paskirtas darbuotojas, administruojantis ŽŪMIS naudotojų prieigos teisių valdymą ir atliekantis kitas teisės aktų nustatytas funkcijas.
2.7. ŽŪMIS paslaugos – Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos ŽŪMIS priemonėmis teikiamos elektroninės paslaugos, kurių sąrašas tvirtinamas Lietuvos Respublikos žemės ūkio ministro įsakymu.
2.9. ŽŪMIS saugos įgaliotinis – ŽŪMIS tvarkytojos paskirtas darbuotojas, koordinuojantis ir prižiūrintis elektroninės informacijos saugos politikos įgyvendinimą ŽŪMIS.
2.10. ŽŪMIS tvarkytoja – Nacionalinė mokėjimo agentūra prie Žemės ūkio ministerijos, adresas: Blindžių g. 17, 08111 Vilnius.
3. Taisyklėse vartojamos sąvokos atitinka Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Žemės ūkio ministerijos informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos žemės ūkio ministro 2012 m. spalio 2 d. įsakymu Nr. 3D-774 „Dėl Žemės ūkio ministerijos informacinės sistemos nuostatų patvirtinimo“ (toliau – ŽŪMIS nuostatai), kituose Lietuvos Respublikos įstatymuose ir teisės aktuose, reglamentuojančiuose organizacinius ir techninių kibernetinio saugumo ir elektroninės informacijos saugos reikalavimus, vartojamas sąvokas.
4. ŽŪMIS saugoma informacija yra skirstoma į šias kategorijas:
5. ŽŪMIS duomenų, priskirtų prie atskirų kategorijų, sąrašas:
5.1. ŽŪMIS administratorius atsakingas už šių ŽŪMIS duomenų tvarkymą:
5.1.6. duomenys, nurodyti ŽŪMIS nuostatų 22 punkte, Žemės ūkio ministerijos informacinės sistemos (ŽŪMIS) duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos žemės ūkio ministro 2021 m. spalio 14 d. įsakymu Nr. 3D-643 „Dėl Žemės ūkio ministerijos informacinės sistemos (ŽŪMIS) duomenų saugos nuostatų patvirtinimo“ nurodyta apimtimi;
II SKYRIUS
TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS
6. Saugiam ŽŪMIS duomenų tvarkymui užtikrinti naudojamos fizinės, techninės, programinės, organizacinės ir kitos duomenų saugos priemonės.
7. ŽŪMIS tvarkytojos valdomos kompiuterinės įrangos saugos priemonės:
7.1. fizinės prieigos prie ŽŪMIS tarnybinių stočių kontrolė, užtikrinama vadovaujantis ŽŪMIS valdytojos ir IT paslaugų teikėjo sudaryta paslaugų sutartimi;
7.2. visų ŽŪMIS tarnybinių stočių ir ŽŪMIS tvarkytojos naudotojų darbo vietų apsauga nuo kenksmingosios programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto, prievadų skenavimo ir pan.);
7.4. tarnybinių stočių, svarbiausių duomenų perdavimo tinklo mazgų ir ryšio linijų dubliavimas ir jų techninės būklės stebėsena numatyta ŽŪMIS valdytojos ir IT paslaugų teikėjo sudarytoje sutartyje;
7.5. ŽŪMIS tvarkytojos naudotojų naudojamos techninės kompiuterinės įrangos priežiūra, tvarkymas ir atnaujinimas;
7.6. ŽŪMIS kompiuterinės įrangos veikimo stebėsena ir nustatytų gedimų šalinimas pagal registruotus incidentus;
8. Sisteminės ir taikomosios programinės įrangos saugos priemonės:
8.2. operatyviai įdiegiamos ŽŪMIS operacinės sistemos ir naudojami programinės įrangos gamintojų rekomenduojami atnaujinimai, prieš tai juos patikrinus. Diegimus atlieka ŽŪMIS administratorius;
8.3. ŽŪMIS naudojamos autorizuotos programinės įrangos reguliarus atnaujinimas, už kurį atsakinga ŽŪMIS tvarkytoja;
8.4. neautorizuotos programinės įrangos įdiegimo į ŽŪMIS naudotojų kompiuterius ribojimas bei nuolatinis ŽŪMIS naudojamos programinės įrangos stebėsenos vykdymas, už kurį atsakinga ŽŪMIS tvarkytoja;
8.5. kompiuterinėse ŽŪMIS naudotojų darbo vietose naudojamos kenksmingosios programinės įrangos aptikimo priemonės, kurios yra reguliariai atnaujinamos ŽŪMIS tvarkytojos;
8.6. prisijungimų teisę dirbti su ŽŪMIS tarnybinėmis stotimis ir jų administravimo programine įranga turi tik ŽŪMIS administratorius;
8.7. prieigos teisė dirbti su ŽŪMIS taikomąja programine įranga suteikiama ŽŪMIS naudotojams pagal naudotojams suteiktas teises ŽŪMIS naudotojų administravimo taisyklėse nustatyta tvarka;
8.8. ŽŪMIS duomenys nuo jų praradimo, iškraipymo, sunaikinimo, neteisėto panaudojimo galimybių apsaugomi techninėmis, organizacinėmis, programinėmis priemonėmis;
9. Duomenų perdavimo tinklais apsaugos užtikrinimo priemonės:
9.1. ŽŪMIS naudotojų prieiga prie kitų valstybės institucijų, žinybų kompiuterių tinklų ar interneto turi būti apsaugota užkardomis. Interneto turinys turi būti kontroliuojamas, išrenkama, išimama nepageidaujama informacija. Už tokios įrangos administravimą ir priežiūrą atsakinga ŽŪMIS tvarkytoja;
9.2. kompiuterius, turinčius prieigą prie ŽŪMIS, naudojant nustatytoms funkcijoms vykdyti ne naudotojo patalpose, turi būti įdiegiamos papildomos saugos priemonės (duomenų šifravimas, prisijungimo ribojimai);
9.3. užtikrinant saugų ŽŪMIS duomenų teikimą ir (ar) gavimą iš duomenų teikėjų, naudojamas SSL šifravimas ar kiti kanalai, užtikrinantys atitinkamą saugumo lygį. ŽŪMIS duomenys automatiniu būdu į ŽŪMIS teikiami ir (ar) per ŽŪMIS gaunami tik pagal duomenų teikimo sutartyse nustatytą tvarką ir sąlygas.
10. ŽŪMIS tarnybinių stočių, saugumo užtikrinimo priemonės apibrėžiamos ŽŪMIS valdytojos ir IT paslaugų teikėjo sutartyje, numatant, kad IT paslaugų teikėjas įsipareigoja teikti IT paslaugas vadovaujantis Kibernetinio saugumo įstatymu, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas) ir kitais teisės aktais, reglamentuojančiais organizacinius ir techninių kibernetinio saugumo ir elektroninės informacijos saugos reikalavimus, bei atsako už ŽŪMIS duomenų saugumo priemonių įgyvendinimą, kibernetinį saugumą ir elektroninės informacijos saugą IT paslaugų teikėjo valdomoje informacinių technologijų infrastruktūroje.
11. ŽŪMIS darbo apskaitos ir kitos elektroninės informacijos saugos priemonės:
11.2. ŽŪMIS naudotojams suteikiama prieigos prie ŽŪMIS teisė atlikti veiksmus tik pagal jų turimas teises;
11.3. ŽŪMIS tarnybinių stočių įvykių žurnaluose turi būti registruojami ir ne mažiau kaip vienerius metus saugomi duomenys, nurodant įvykio laiką ir naudotojo identifikatorių, apie:
III SKYRIUS
SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
12. ŽŪMIS duomenų (tik tų, kuriuos ŽŪMIS naudotojas gali koreguoti) keitimo, atnaujinimo, įvedimo ir naikinimo tvarka: ŽŪMIS duomenis keisti, atnaujinti, įrašyti ir naikinti gali tik autorizuoti ŽŪMIS naudotojai pagal suteiktas teises.
13. ŽŪMIS naudotojų veiksmų registravimo tvarka:
13.1. ŽŪMIS naudotojų tapatybė ir veiksmai su ŽŪMIS duomenimis fiksuojami programinėmis priemonėmis;
13.2. ŽŪMIS naudotojų tapatybė ir veiksmai su ŽŪMIS duomenimis įrašomi automatiniu būdu ŽŪMIS duomenų bazės veiksmų žurnale, apsaugotame nuo neteisėto jame esančių duomenų panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;
14. Atsarginių duomenų kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarka apibrėžta ŽŪMIS valdytojos ir IT paslaugų teikėjo sutartyje, užsakant paslaugas, pasirinktas atsarginių kopijų darymo plane Backup 8 x 12 (IT paslaugų teikėjo paslaugos kodas BU8), kuris numato, kad kopijų kūrimo periodiškumas yra 8 val., o kopijų saugojimo laikas – 12 mėn. Atsarginės kopijos ir duomenų atstatymo procedūros apibrėžtos, dokumentuotos ir susietos su IT paslaugos teikėjo darbuotojų funkcijomis ir pareigomis. Atsarginės duomenų kopijos daromos reguliariai.
15. ŽŪMIS administratoriaus funkcijos aprašytos ŽŪMIS duomenų saugos nuostatuose, ŽŪMIS naudotojų administravimo taisyklėse ir kituose teisės aktuose, reglamentuojančiuose ŽŪMIS darbą.
16. Duomenų perkėlimo ir teikimo kitoms informacinėms sistemoms, duomenų gavimo iš jų tvarka:
16.1. duomenų mainai tarp ŽŪMIS ir kitų susijusių valstybės ar žinybinių registrų ir valstybės informacinių sistemų vykdomi su šių susijusių valstybės ar žinybinių registrų ir valstybės informacinių sistemų valdytojais sudarytose duomenų teikimo sutartyse numatytais būdais, terminais ir numatytos apimties;
17. Duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:
17.1. ŽŪMIS administratorius, užtikrindamas ŽŪMIS duomenų vientisumą, privalo naudoti visas įmanomas fizines, programines ir organizacines priemones, skirtas ŽŪMIS ir joje tvarkomiems duomenims apsaugoti nuo neteisėtų veiksmų;
17.2. ŽŪMIS naudotojas, įtaręs, kad su ŽŪMIS duomenimis buvo atlikti neteisėti veiksmai, privalo pranešti apie tai ŽŪMIS administratoriui. ŽŪMIS administratorius, atsiradus įtarimams dėl neteisėtų veiksmų su ŽŪMIS duomenimis, pasinaudojęs ŽŪMIS duomenų bazės veiksmų žurnalo įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su ŽŪMIS programine įranga ir (ar) ŽŪMIS duomenimis;
17.3. ŽŪMIS administratorius, įtaręs, kad su ŽŪMIS duomenimis vykdomi neteisėti veiksmai, privalo apie tai pranešti ŽŪMIS saugos įgaliotiniui;
18. ŽŪMIS programinės ir techninės įrangos keitimo ir atnaujinimo tvarka aprašyta Informacinės sistemos modulio keitimo taisyklėse, patvirtintose Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos direktoriaus 2004 m. lapkričio 30 d. įsakymu Nr. BR1-474 „Dėl Informacinės sistemos modulio keitimo taisyklių patvirtinimo“ bei Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos Informacinių technologijų departamento darbo procedūros aprašo, patvirtinto Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos direktoriaus 2007 m. birželio 8 d. įsakymu Nr. BR1-240 „Dėl Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos Informacinių technologijų departamento darbo procedūros aprašo patvirtinimo“, 3 priede „Pakeitimų atlikimo procedūros aprašymas“.
19. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių naudojimo tvarka:
IV SKYRIUS
REIKALAVIMAI, KELIAMI ŽŪMIS FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS
20. Paslaugų teikėjų prieigos prie ŽŪMIS lygiai ir sąlygos:
20.1. ŽŪMIS administratorius suteikia prieigos prie ŽŪMIS duomenų teisę (peržiūrėti ŽŪMIS duomenis, atlikti užklausas ŽŪMIS, vykdyti veiksmus su ŽŪMIS duomenimis ir kt.) programinės įrangos paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje nurodytam laikotarpiui jam nustatytoms funkcijoms atlikti;
20.2. ŽŪMIS administratorius, suteikdamas prieigos prie ŽŪMIS duomenų teisę, paslaugų teikėjo įgaliotą fizinį asmenį supažindina su prieigos prie ŽŪMIS duomenų sąlygomis. Taip pat paslaugos teikėjo įgaliotas asmuo yra supažindinamas pasirašytinai su duomenų saugos reikalavimais ir atsakomybe už šių reikalavimų pažeidimus, pasirašant ŽŪMIS tvarkytojos pateikiamą konfidencialumo pasižadėjimą;
21. Reikalavimai patalpų, įrangos, informacinių sistemų priežiūrai ir kitoms paslaugoms:
21.1. reikalavimai paslaugų teikėjams ir jų teikiamoms projektavimo ir ŽŪMIS priežiūros paslaugoms nustatomi šių paslaugų teikimo sutartyse;
21.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja ŽŪMIS taikomąją programinę įrangą, naudodamas:
21.2.1. įgyvendintas elektroninės informacijos saugos priemones, apsaugančias nuo neteisėto poveikio sisteminei, programinei įrangai ir patalpoms;
22. Perkant paslaugas, darbus ar įrangą, susijusią su informacinėmis sistemomis, pirkimo dokumentuose yra iš anksto nustatoma, kad paslaugų teikėjas turi užtikrinti atitiktį kibernetinio saugumo reikalavimams, nustatytiems Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
23. Taisyklės gali būti keičiamos dėl atsiradusių naujų poreikių ir pasikeitusių teisės aktų, reglamentuojančių ŽŪMIS administravimo ir informacijos saugumo sritį.
24. Taisyklės turi būti peržiūrimos ne rečiau kaip kartą per metus. Už Taisyklių peržiūrą ir valdymą atsakinga ŽŪMIS valdytoja.
PATVIRTINTA
Lietuvos Respublikos žemės ūkio ministro
2015 m. gegužės 22 d. įsakymu Nr. 3D-415
(2022 m. kovo 3 d. įsakymo Nr. 3D-151
redakcija)
ŽEMĖS ŪKIO MINISTERIJOS INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Žemės ūkio ministerijos informacinės sistemos naudotojų administravimo taisyklių (toliau – Taisyklės) tikslas – nustatyti Žemės ūkio ministerijos informacinės sistemos (toliau – ŽŪMIS) naudotojų administravimo tvarką.
2. Taisyklėse vartojamos sąvokos ir trumpiniai:
2.1. Prieiga prie ŽŪMIS (toliau – prieiga) – ŽŪMIS naudotojo galimybė pasinaudoti jo darbui reikalinga informacija.
2.2. ŽŪMIS administratorius – Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos paskirtas darbuotojas, turintis privilegijuotas teises ŽŪMIS sistemoje ir galintis administruoti ŽŪMIS tiek techniniu, tiek programiniu lygmeniu ir atlikti kitas administratoriaus teisių reikalaujančias funkcijas.
2.3. ŽŪMIS duomenų valdymo įgaliotinis – ŽŪMIS tvarkytojos struktūrinio padalinio, atsakingo už institucijai teisės aktų nustatytų funkcijų atlikimą, vadovas, jeigu tokio struktūrinio padalinio nėra, – darbuotojas, atsakingas už institucijai teisės aktuose nustatytų funkcijų atlikimą.
2.4. ŽŪMIS naudotojas – darbuotojas, darbo santykiais susijęs su ŽŪMIS valdytoja arba ŽŪMIS tvarkytoja.
2.5. ŽŪMIS naudotojų administratorius – ŽŪMIS tvarkytojos paskirtas darbuotojas, administruojantis ŽŪMIS naudotojų prieigos teisių valdymą ir atliekantis kitas teisės aktų nustatytas funkcijas.
2.6. ŽŪMIS paslaugos – Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos (toliau – NMA) ŽŪMIS priemonėmis teikiamos elektroninės paslaugos, kurių sąrašas tvirtinamas Lietuvos Respublikos žemės ūkio ministro įsakymu.
2.8. ŽŪMIS saugos įgaliotinis – ŽŪMIS tvarkytojos paskirtas darbuotojas, koordinuojantis ir prižiūrintis elektroninės informacijos saugos politikos įgyvendinimą ŽŪMIS.
2.9. ŽŪMIS tvarkytoja – Nacionalinė mokėjimo agentūra prie Žemės ūkio ministerijos, adresas: Blindžių g. 17, 08111 Vilnius.
3. Kitos Taisyklėse vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, kituose Lietuvos Respublikos įstatymuose.
4. Taisyklės taikomos visiems ŽŪMIS naudotojams, ŽŪMIS administratoriui, ŽŪMIS naudotojų administratoriui ir ŽŪMIS saugos įgaliotiniui, kurių prieigos prie ŽŪMIS duomenų teisės paremtos duomenų saugumo, stabilumo, operatyvumo principais, taip pat ŽŪMIS tvarkytojai. ŽŪMIS paslaugų gavėjų įsipareigojimai saugiai naudoti ŽŪMIS reglamentuojami Žemės ūkio ministerijos informacinės sistemos (ŽŪMIS) duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos žemės ūkio ministro 2021 m. spalio 14 d. įsakymu Nr. 3D-643 „Dėl Žemės ūkio ministerijos informacinės sistemos (ŽŪMIS) duomenų saugos nuostatų patvirtinimo“ (toliau – ŽŪMIS duomenų saugos nuostatai).
5. Prieinamumas prie ŽŪMIS naudotojams suteikiamas vadovaujantis šiais principais:
5.1. konfidencialumo – prie ŽŪMIS saugomų duomenų ir informacijos apdorojimo priemonių prieigą gali gauti tik tie naudotojai, kuriems tokia teisė buvo suteikta pagal jų vykdomas pareigas, atliekamas funkcijas ir sutartinius įsipareigojimus;
5.2. vientisumo – ŽŪMIS saugomus duomenis gali keisti (sukurti, ištrinti arba papildyti) tik tam teises turintys naudotojai;
5.3. prieinamumo – ŽŪMIS naudotojai savo veiksmais neturi sutrikdyti registrų, informacinių sistemų arba informacijos apdorojimo priemonių veiklos, nebent tokia teisė jiems buvo išskirtinai suteikta;
5.4. stebėsenos – administratoriai yra atsakingi už nenutrūkstamą sistemų veikimą ir sistemų naudojamų techninių resursų priežiūrą;
II SKYRIUS
INFORMACINĖS SISTEMOS NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS
6. ŽŪMIS naudotojų, ŽŪMIS paslaugos gavėjų ir ŽŪMIS administratorių įgaliojimai, teisės ir pareigos naudotis suteiktomis prieigomis yra nustatomi Žemės ūkio ministerijos informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos žemės ūkio ministro 2012 m. spalio 2 d. įsakymu Nr. 3D-774 „Dėl Žemės ūkio ministerijos informacinės sistemos nuostatų patvirtinimo“, ŽŪMIS duomenų saugos nuostatuose, ŽŪMIS saugos politiką įgyvendinančiuose dokumentuose (toliau – saugos dokumentai) ir kituose teisės aktuose, reglamentuojančiuose ŽŪMIS paslaugų teikimą.
7. ŽŪMIS naudotojų įgaliojimai, teisės ir pareigos:
7.1. ŽŪMIS naudotojai turi teisę:
7.1.1. naudotis tik tomis ŽŪMIS funkcijomis ir per ŽŪMIS iš duomenų teikėjų gaunama ir duomenų gavėjams teikiama elektronine informacija (toliau – ŽŪMIS elektroninė informacija) bei ŽŪMIS kaupiama elektronine informacija iki to momento, kol ji perduodama tvarkyti į kitas informacines sistemas, prie kurios prieigą jiems suteikė ŽŪMIS naudotojų administratorius;
7.1.2. tik pagal jiems priskirtas teises gali keisti (sukurti, papildyti ar panaikinti) ŽŪMIS elektroninę informaciją;
7.2. ŽŪMIS naudotojai privalo:
7.2.1. užtikrinti ŽŪMIS elektroninės informacijos saugumą ir tvarkyti duomenis vadovaudamiesi teisės aktais ir duomenų teikimo sutartimis;
7.2.2. užtikrinti jų naudojamos ŽŪMIS elektroninės informacijos konfidencialumą bei vientisumą, savo veiksmais netrikdyti ŽŪMIS elektroninės informacijos prieinamumo;
7.2.3. saugoti tvarkomų asmens duomenų paslaptį Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka;
7.2.5. naudotojas, pastebėjęs neleistinus kitų naudotojų veiksmus, kurie neatitinka patvirtintų procedūrų aprašų ar sutartyse prisiimtų įsipareigojimų ir atsakomybių bei funkcijų, privalo informuoti ŽŪMIS naudotojų administratorių;
7.3. ŽŪMIS naudotojams draudžiama:
7.3.1. naudotojų vardai ir slaptažodžiai yra skirti naudotojui asmeniškai ir draudžiama juos perduoti kitiems net ir laikinam naudojimui;
7.3.2. atskleisti duomenis ir suteikti kitokią galimybę bet kokia forma su jais susipažinti tokios teisės neturintiems asmenims;
7.3.3. keistis prisijungimo vardais, slaptažodžiais, prisijungti prie ŽŪMIS pasinaudojus kito naudotojo prisijungimo duomenimis;
7.3.4. prisijungimo duomenis laikyti bet kuriose laikmenose (pvz., užrašytus ant popieriaus darbo vietoje, elektroninėje laikmenoje ar tinklinėje saugykloje);
7.3.6. išnaudoti ŽŪMIS pažeidžiamumą, įskaitant (bet neapsiribojant) prieigą prie duomenų, kurie neskirti naudotojui prisijungti prie ŽŪMIS ar jos dalies, nebent taip būtų atliekamos teisėtos darbo ar veiklos funkcijos (ŽŪMIS priežiūra, informacijos saugos incidentų tyrimas ir pan.);
7.3.9. savavališkai diegti taikomosios programinės įrangos pakeitimus ir naujas versijas neturint tam teisės;
7.3.10. sudaryti sąlygas pasinaudoti ŽŪMIS technine ir programine įranga tokios teisės neturintiems asmenims (pvz., paliekant darbo vietą būtina užrakinti darbalaukį);
7.3.11. naudoti duomenis kitokiais nei ŽŪMIS nuostatuose, kituose teisės aktuose ar duomenų teikimo sutartyje nurodytais tikslais;
8. ŽŪMIS paslaugos gavėjo įgaliojimai, teisės ir pareigos:
8.1. ŽŪMIS paslaugų gavėjas turi teisę:
8.2. ŽŪMIS paslaugos gavėjas privalo:
8.2.2. ŽŪMIS paslaugos gavėjas, kuriam nutraukti arba pasibaigė įgaliojimai, negali tvarkyti įgaliotų asmenų duomenų;
8.2.3. pastebėjęs neleistinus kitų asmenų veiksmus, kurie neatitinka patvirtintų procedūrų aprašų ar kitų įsipareigojimų, privalo informuoti ŽŪMIS tvarkytoją;
9. ŽŪMIS naudotojų administratoriaus įgaliojimai, teisės ir pareigos:
9.1. ŽŪMIS naudotojų administratorius yra įgaliotas ir turi teisę:
9.2. ŽŪMIS naudotojų administratorius privalo:
9.2.4. aptikęs prieigos prie ŽŪMIS pažeidžiamumą, pranešti apie tokį pažeidžiamumą ŽŪMIS saugos įgaliotiniui;
10. ŽŪMIS administratoriaus įgaliojimai, teisės ir pareigos:
10.1. atsako už prieigų prie ŽŪMIS vidinių techninių išteklių, tinklo prieigų, informacijos apdorojimo priemonių ir (ar) duomenų bazių teisių suteikimą ir atėmimą pagal ŽŪMIS valdymo įgaliotinio priimtus sprendimus;
10.2. užtikrina ŽŪMIS funkcionavimą, negali suvesti, keisti, naikinti ŽŪMIS duomenų ir prieigų be ŽŪMIS duomenų valdymo įgaliotinio leidimo;
III SKYRIUS
SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO INFORMACINĖS SISTEMOS NAUDOTOJAMS KONTROLĖS TVARKA
11. Prieigų kontrolė yra priemonių visuma, kuri nustato:
12. ŽŪMIS įdiegtas mažiausios privilegijos principas, t. y. kai naudotojai turi teisę pasiekti tik tą elektroninę informaciją ir duomenis, kuri jiems būtina pavestoms funkcijoms vykdyti pagal patvirtintus procedūrų aprašus ir naudojimosi instrukcijas bei saugos dokumentus.
13. Loginė prieigų kontrolė nustato ne tik kokie naudotojai turi prieigos teisę prie konkrečių informacinių resursų, bet ir prieigų pobūdį. Loginė prieigų kontrolė vykdoma pagal priskirtus vaidmenis informacinėje sistemoje.
14. ŽŪMIS naudotojų prieiga prie ŽŪMIS kompiuterinių tinklų ir tinklo išteklių grindžiama mažiausios privilegijos principu ir visi naudotojai turi būti autentifikuojami ir išskiriami.
15. ŽŪMIS prieigų kontrolei įdiegta ugniasienė (ugniasienių sistema), kuri užtikrina interneto prieigos kontrolę ir apribojimus.
16. ŽŪMIS naudotojų prieigą prie draudžiamų ir potencialiai pavojingų interneto tinklalapių blokuoja ugniasienė.
17. Visi ugniasienės konfigūracijos pakeitimai, taip pat kenkėjiški veiksmai (bandymai pakeisti ugniasienės konfigūracijos parametrus, bandymai išvengti ugniasienės ir pan.) privalo būti registruojami. Registravimo įrašai saugomi ne mažiau kaip šešis mėnesius.
18. ŽŪMIS naudotojas, atlikęs neteisėtus ar potencialiai pavojingus veiksmus, gali sulaukti įspėjimo arba be perspėjimo gali būti užblokuota jo prieiga prie informacinių resursų.
19. ŽŪMIS naudotojų teisės administruojamos vadovaujantis Informacinės sistemos naudotojų teisių sukūrimo, keitimo ir panaikinimo taisyklėmis, patvirtintomis Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos direktoriaus 2005 m rugsėjo 16 d. įsakymu Nr. BR1-663 „Dėl informacinės sistemos naudotojų teisių sukūrimo, keitimo ir panaikinimo taisyklių patvirtinimo“ (toliau – Informacinės sistemos naudotojų teisių sukūrimo, keitimo ir panaikinimo taisyklės).
20. Darbuotojas, siekiantis, kad jam būtų suteikta teisė būti įregistruotam ŽŪMIS naudotoju, suteikta ar pakeista prieigos prie ŽŪMIS teisė, turi pateikti prašymą, ŽŪMIS tvarkytojos Teisių valdymo sistemoje.
21. Elektroninės informacijos saugumui užtikrinti naudojami saugūs autentifikavimo ir autorizavimo metodai:
21.1. pirmą kartą jungiantis prie ŽŪMIS, gali būti naudojami suteikti laikini prisijungimo vardai ir slaptažodžiai arba prisijungimas per elektroninius valdžios vartus;
21.2. ŽŪMIS naudotojų prisijungimo prie ŽŪMIS vardai ir slaptažodžiai saugomi ŽŪMIS duomenų saugykloje;
21.3. prieigą prie visų ŽŪMIS naudotojų vardų ir slaptažodžių saugyklos turi tik ŽŪMIS naudotojų administratorius. Duomenys saugykloje yra šifruojami;
21.4. reikalavimai prisijungimo prie ŽŪMIS slaptažodžiams:
21.5. papildomi reikalavimai prisijungimo prie ŽŪMIS slaptažodžiams:
21.5.1. ŽŪMIS naudotojų slaptažodžiams:
21.5.1.3. keičiant slaptažodį, ŽŪMIS turi neleisti pasirinkti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;
21.5.2. ŽŪMIS naudotojų administratoriaus ir ŽŪMIS administratoriaus slaptažodžiams:
23. ŽŪMIS naudotojas, įtaręs, kad tretieji asmenys sužinojo slaptažodį, privalo nedelsdamas jį pakeisti.
24. Kai ŽŪMIS naudotojas perkeliamas į kitas pareigas, jam suteiktos ŽŪMIS naudotojo teisės pakeičiamos atsižvelgiant į jo pareigybės aprašyme nurodytas funkcijas. Prašymas dėl ŽŪMIS naudotojo prieigos prie ŽŪMIS teisės pakeitimo teikiamas, svarstomas ir sprendimas dėl jo priimamas tokia tvarka, kaip aprašyta Informacinės sistemos naudotojų teisių sukūrimo, keitimo ir panaikinimo taisyklėse.
25. ŽŪMIS naudotojui teisė dirbti su konkrečia elektronine informacija turi būti sustabdoma, kai ŽŪMIS naudotojas nesinaudoja informacine sistema ilgiau kaip 3 mėnesius, kai įstatymų nustatytais atvejais vidinis informacinės sistemos naudotojas nušalinamas nuo darbo (pareigų).
26. ŽŪMIS naudotojui teisė naudotis ŽŪMIS nedelsiant panaikinama:
27. ŽŪMIS naudotojų administratorius, gavęs iš ŽŪMIS naudotojo rašytinį prašymą apriboti, sustabdyti ar panaikinti prieigos teises, nedelsdamas apriboja, sustabdo ar panaikina prieigą prie ŽŪMIS.
29. Nuotoliniu būdu prisijungti prie ŽŪMIS tvarkytojos naudotojams leidžiama tik iš ŽŪMIS tvarkytojos kompiuterinio tinklo.
IV SKYRIUS
BAIGIAMOSIOS NUOSTATOS
32. Taisyklės gali būti keičiamos dėl atsiradusių naujų poreikių ir pasikeitusių teisės aktų, reglamentuojančių ŽŪMIS administravimo ir informacijos saugumo sritį.
33. Taisyklės turi būti peržiūrimos ne rečiau kaip kartą per metus. Už Taisyklių peržiūrą ir valdymą atsakingas ŽŪMIS saugos įgaliotinis.
PATVIRTINTA
Lietuvos Respublikos žemės ūkio ministro
2015 m. gegužės 22 d. įsakymu Nr. 3D-415
(2022 m. kovo 3 d. įsakymo Nr. 3D-151
redakcija)
ŽEMĖS ŪKIO MINISTERIJOS INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Žemės ūkio ministerijos informacinės sistemos veiklos tęstinumo valdymo plano (toliau – Valdymo planas) tikslas – nustatyti Žemės ūkio ministerijos informacinės sistemos (toliau – ŽŪMIS) administratoriaus, ŽŪMIS saugos įgaliotinio, ŽŪMIS naudotojų ir kitų asmenų veiksmus, esant ŽŪMIS elektroninės informacijos – ŽŪMIS kaupiamų duomenų ir per ŽŪMIS iš duomenų teikėjų gaunamų ir duomenų gavėjams teikiamų duomenų iki to momento, kol jie perduodami tvarkyti į kitas informacines sistemas (toliau – ŽŪMIS duomenys), saugos incidentui, kurio metu iškyla pavojus ŽŪMIS duomenims, ŽŪMIS techninės, programinės įrangos funkcionavimui.
2. Valdymo plane vartojamos sąvokos ir trumpiniai:
2.2. IT paslaugų teikėjas – Informacinės visuomenės plėtros komitetas, Konstitucijos pr. 15-89, 09319 Vilnius.
2.3. ŽŪMIS administratorius – Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos paskirtas darbuotojas, turintis privilegijuotas teises ŽŪMIS sistemoje ir galintis administruoti ŽŪMIS tiek techniniu, tiek programiniu lygmeniu ir atlikti kitas administratoriaus teisių reikalaujančias funkcijas.
2.4. ŽŪMIS naudotojas – darbuotojas, darbo santykiais susijęs su ŽŪMIS valdytoja arba ŽŪMIS tvarkytoja.
2.5. ŽŪMIS naudotojų administratorius – ŽŪMIS tvarkytojos paskirtas darbuotojas, administruojantis ŽŪMIS naudotojų prieigos teisių valdymą ir atliekantis kitas teisės aktų nustatytas funkcijas.
2.7. ŽŪMIS saugos įgaliotinis – ŽŪMIS tvarkytojos paskirtas darbuotojas, koordinuojantis ir prižiūrintis elektroninės informacijos saugos politikos įgyvendinimą ŽŪMIS.
2.8. ŽŪMIS tvarkytoja – Nacionalinė mokėjimo agentūra prie Žemės ūkio ministerijos, adresas: Blindžių g. 17, 08111 Vilnius.
3. Kitos Valdymo plane vartojamos sąvokos atitinka Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Žemės ūkio ministerijos informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos žemės ūkio ministro 2012 m. spalio 2 d. įsakymu Nr. 3D-774 „Dėl Žemės ūkio ministerijos informacinės sistemos nuostatų patvirtinimo“, kituose Lietuvos Respublikos įstatymuose ir teisės aktuose, reglamentuojančiuose organizacinius ir techninių kibernetinio saugumo ir elektroninės informacijos saugos reikalavimus, vartojamas sąvokas.
4. Valdymo planas įsigalioja ŽŪMIS saugos įgaliotiniui nustačius elektroninės informacijos saugos incidento atvejį, jo vykdymas yra privalomas ŽŪMIS informacijos saugos incidentų atveju, kurių metu gali kilti pavojus ŽŪMIS duomenims, ŽŪMIS techninės, programinės įrangos funkcionavimui.
5. ŽŪMIS saugos įgaliotinio, ŽŪMIS administratoriaus ir kitų vykdytojų veiksmai yra nurodyti ŽŪMIS veiklos tęstinumo detaliajame plane (1 priedas).
6. ŽŪMIS informacijos saugos incidento metu patirti nuostoliai padengiami iš valstybės biudžeto ir kitų finansavimo šaltinių.
7. Kriterijai, pagal kuriuos nustatoma, kad ŽŪMIS veikla atkurta:
II SKYRIUS
ORGANIZACINĖS NUOSTATOS
8. ŽŪMIS veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) sudėtis:
9. Valdymo grupės funkcijos:
9.2. ŽŪMIS informacijos saugos incidentų analizė ir sprendimų ŽŪMIS veiklos tęstinumo valdymo klausimais priėmimas;
9.3. bendravimas ir bendradarbiavimas su kitų informacinių sistemų / registrų veiklos tęstinumo valdymo grupėmis;
9.4. bendravimas ir bendradarbiavimas su teisėsaugos ir kitomis institucijomis bei kitomis interesų grupėmis;
9.5. finansinių išteklių, reikalingų ŽŪMIS veiklai atkurti, įvykus ŽŪMIS informacijos saugos incidentui, panaudojimo kontrolė;
10. ŽŪMIS veiklos atkūrimo grupės (toliau – Atkūrimo grupė) sudėtis:
10.1. ŽŪMIS tvarkytojos Informacinių sistemų administravimo skyriaus vadovas (Atkūrimo grupės vadovas);
10.5. kiti žemės ūkio ministro įsakymu paskirti specialistai arba pagal sutartį veikiantys juridinių asmenų atstovai;
11. Atkūrimo grupės funkcijos:
11.2. kompiuterių tinklo veikimo atkūrimo organizavimas, ŽŪMIS paslaugų teikimo ŽŪMIS paslaugų gavėjams atkūrimui;
12. Valdymo ir Atkūrimo grupės tarpusavyje bendrauja el. paštu ar telefonu. Pagal poreikį organizuojamas šių dviejų grupių susitikimas, kuriame aptariama esama situacija ir suderinami galimi jos pagerinimo būdai.
13. Įvykus ŽŪMIS informacijos saugos incidentui patalpose, kuriose yra saugoma ŽŪMIS techninė ir programinė įranga, vykdant ŽŪMIS paslaugų teikimą:
13.1. IT paslaugų teikėjas pastebėjęs galimą informacijos saugos incidentą, nedelsdamas informuoja apie jį ŽŪMIS saugos įgaliotinį;
13.2. gavęs informaciją apie galimai įvykusį informacijos saugos incidentą, ŽŪMIS saugos įgaliotinis sprendžia, ar inicijuoti veiklos tęstinumo plano vykdymą;
13.3. ŽŪMIS saugos įgaliotinis apie ŽŪMIS informacijos saugos incidentą nedelsdamas informuoja ŽŪMIS tvarkytojos vadovą;
13.6. ŽŪMIS saugos įgaliotinis informaciją apie ŽŪMIS informacijos saugos incidentą registruoja pagal ŽŪMIS tvarkytojos patvirtintą Incidentų valdymo procedūros aprašą;
13.7. ŽŪMIS administratorius kartu su IT paslaugų teikėju atkuria ŽŪMIS techninės ir programinės įrangos veikimą, kompiuterių tinklo veiklą, ŽŪMIS techninės, sisteminės programinės įrangos funkcionavimą, ŽŪMIS duomenis;
13.8. ŽŪMIS administratorius kartu su IT paslaugų teikėju atkuria ŽŪMIS paslaugą užtikrinančių sąsajų veikimą, atkuria ŽŪMIS tvarkytojos lygiu duomenis ir taikomosios programinės įrangos veikimą ir nedelsdamas informuoja ŽŪMIS saugos įgaliotinį. Nesant ŽŪMIS administratoriaus, funkciją vykdo šio Valdymo plano 10.4 papunktyje nurodytas asmuo;
13.9. ŽŪMIS saugos įgaliotinis kartu su ŽŪMIS administratoriumi organizuoja žalos ŽŪMIS duomenims ir programinei įrangai vertinimą, koordinuoja ŽŪMIS veiklai atkurti reikalingos sisteminės ir taikomosios programinės įrangos įsigijimą. Rezultatus ŽŪMIS saugos įgaliotinis pateikia Valdymo grupės vadovui.
14. Kibernetinių incidentų valdymas atliekamas vadovaujantis Kibernetinių incidentų valdymo ir nacionalinio kibernetinio saugumo centro informavimo tvarkos aprašu, patvirtintu Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos direktoriaus 2013 m. gruodžio 30 d. įsakymu Nr. BR1-1404 „Dėl Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos vadybos sistemų vadovo patvirtinimo“.
15. Atsarginėms tarnybinių stočių patalpoms, naudojamoms ŽŪMIS veiklai atkurti ŽŪMIS informacijos saugos incidento atveju, keliami reikalavimai aprašyti Valdymo plano 4 priede.
III SKYRIUS
APRAŠOMOSIOS NUOSTATOS
17. Informacija apie ŽŪMIS techninę ir programinę įrangą ir jos parametrus nurodyta ŽŪMIS detaliosios analizės dokumente, projektavimo dokumente ir specifikacijoje.
18. Už ŽŪMIS techninės įrangos priežiūrą yra atsakingas IT paslaugų teikėjas, už programinės – ŽŪMIS administratorius. Jų nesant darbe, ŽŪMIS administratoriaus funkcijas vykdo asmuo, nurodytas šio Valdymo plano 10.4 papunktyje, jo nesant – asmuo, nurodytas šio Valdymo plano 10.6 papunktyje.
19. ŽŪMIS administratorių pavaduojančio asmens minimalus kompetencijos ar žinių lygis negali būti žemesnis už ŽŪMIS administratoriui keliamų reikalavimų lygį.
20. Minimalaus funkcionalumo informacinių technologijų įrangos institucijos poreikius atitinkančiai informacinės sistemos veiklai užtikrinti ŽŪMIS saugos incidento metu specifikacija turi būti lygiavertė arba geresnė nei pagrindinė ŽŪMIS techninės ir programinės įrangos specifikacija.
21. Patalpų brėžinius ir šiose patalpose esančios įrangos bei komunikacijų sąrašą parengia ir saugo IT paslaugų teikėjas ir, jei būtina, ŽŪMIS administratorius.
22. Kompiuterių tinklo fizinio ar loginio sujungimo schemas saugo IT paslaugų teikėjas, ir jei būtina, ŽŪMIS administratorius.
23. Duomenų teikimo bei kompiuterinės, techninės ir programinės įrangos priežiūros sutartis saugo ŽŪMIS tvarkytoja.
24. Programinės įrangos laikmenos ir laikmenos su atsarginėmis duomenų kopijomis pagal pasitvirtintą tvarką saugomos IT paslaugų teikėjo.
IV SKYRIUS
VALDYMO PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS
26. Valdymo plano veiksmingumo išbandymo data nustatoma kiekvienų metų sausio mėnesį. Nustatytą dieną imituojamas ŽŪMIS informacijos saugos incidentas. Jo metu už ŽŪMIS informacijos saugos incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus. Iš atsarginių ŽŪMIS duomenų kopijų atkuriami ŽŪMIS duomenys.
27. Pagal bandymų rezultatus ŽŪMIS saugos įgaliotinis parengia ŽŪMIS rizikos ataskaitą (toliau – Ataskaita) (2 priedas), kurioje yra apibendrinami atliktų bandymų rezultatai, akcentuojami pastebėti trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Ataskaita tvirtinama ŽŪMIS tvarkytojos saugos dokumentuose nustatyta tvarka.
28. ŽŪMIS saugos įgaliotinis nuolat kontroliuoja Ataskaitoje nurodytų prevencinių priemonių įgyvendinimą ir veiksmingumo išbandymo eigą.
29. Valdymo plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami remiantis operatyvumo, veiksmingumo ir ekonomiškumo principais.