Valstybinės vaistų kontrolės tarnybos

Prie LIETUVOS RESPUBLIKOS sveikatos apsaugos ministerijos

viršininkas

ĮSAKYMAS

DĖL VALSTYBINĖS VAISTŲ KONTROLĖS TARNYBOS PRIE LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTERIJOS VIRŠININKO 2018 M. SAUSIO 25 D. ĮSAKYMO NR. (1.72E)1A-96 „DĖL VALSTYBINĖS VAISTŲ KONTROLĖS TARNYBOS PRIE LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTERIJOS VAISTINIŲ PREPARATŲ INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ, VALSTYBINĖS VAISTŲ KONTROLĖS TARNYBOS PRIE LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTERIJOS VAISTINIŲ PREPARATŲ INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANO, VALSTYBINĖS VAISTŲ KONTROLĖS TARNYBOS PRIE LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTERIJOS VAISTINIŲ PREPARATŲ INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ PATVIRTINIMO IR VALSTYBINĖS VAISTŲ KONTROLĖS TARNYBOS PRIE LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTERIJOS VAISTINIŲ PREPARATŲ INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO BEI VALSTYBINĖS VAISTŲ KONTROLĖS TARNYBOS PRIE LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTERIJOS VAISTINIŲ PREPARATŲ INFORMACINĖS SISTEMOS VEIKLOS ATKŪRIMO GRUPIŲ SUDARYMO“ PAKEITIMO

2022 m. gruodžio 7 d. Nr. (1.72E)1A-1462

Vilnius

Pakeičiu Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos viršininko 2018 m. sausio 25 d. įsakymą Nr. (1.72E)1A-96 „Dėl Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos vaistinių preparatų informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos vaistinių preparatų informacinės sistemos veiklos tęstinumo valdymo plano, Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos vaistinių preparatų informacinės sistemos naudotojų administravimo taisyklių patvirtinimo ir Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos vaistinių preparatų informacinės sistemos veiklos tęstinumo valdymo bei Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos vaistinių preparatų informacinės sistemos veiklos atkūrimo grupių sudarymo“:

1. Pakeičiu 2 punktą ir jį išdėstau taip:

„2. Sudarau šios sudėties Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos (toliau – Tarnyba):

2.1. vaistinių preparatų informacinės sistemos veiklos tęstinumo valdymo grupę:

2.1.1. Gytis Andrulionis– Tarnybos viršininkas (grupės vadovas, grupės vadovui laikinai negalint atlikti savo funkcijų, jo funkcijas atlieka grupės vadovo pavaduotojas);

2.1.2. Virginija Žurauskaitė-Mikutienė – Tarnybos Administravimo ir išteklių valdymo skyriaus (toliau – AIVS) vedėja (grupės vadovo pavaduotoja);

2.1.3. Stepas Gilys – Tarnybos AIVS patarėjas (grupės narys);

2.1.4. Erika Meškėlienė - Strateginio planavimo ir kokybės valdymo skyriaus patarėja (grupės narė);

2.1.5. Greta Nakutytė - Tarnybos Teisės ir žmogiškųjų išteklių skyriaus patarėja (grupės narė);

2.1.6. Aistė Tautvydienė – Tarnybos vyriausioji specialistė (grupės narė).

2.2. Vaistinių preparatų informacinės sistemos veiklos atkūrimo grupę:

2.2.1. Stepas Gilys – Tarnybos AIVS patarėjas (grupės vadovas, grupės vadovui laikinai negalint atlikti savo funkcijų , jo funkcijas atlieka grupės vadovo pavaduotojas);

2.2.2. Laimutis Dyra – Tarnybos AIVS vyriausiasis specialistas (grupės vadovo pavaduotojas).“

2. Pakeičiu 4 punktą ir jį išdėstau taip:

„4. Į p a r e i g o j u AIVS patarėją Stepą Gilį per 5 darbo dienas nuo šio įsakymo įsigaliojimo pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai šio įsakymo 1.1. - 1.3 papunkčiuose nurodytų saugos dokumentų pakeitimus.“

3. Pakeičiu nurodytu įsakymu patvirtintas Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos vaistinių preparatų informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles:

3.1. Pakeičiu 2 punktą ir jį išdėstau taip:

„2. Taisyklės parengtos vadovaujantis:

2.1. Lietuvos Respublikos valstybės informacinių išteklių įstatymu;

2.2. Lietuvos Respublikos kibernetinio saugumo įstatymu;

2.3. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

2.4. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.

2.5. VAPRIS nuostatais, patvirtintais Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos viršininko 2011 m. sausio 14 d. įsakymu Nr. 1A-33 „Dėl Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos vaistinių preparatų informacinės sistemos nuostatų patvirtinimo“ (toliau – VAPRIS nuostatai);

2.6. VAPRIS duomenų saugos nuostatais, patvirtintais Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos viršininko 2011 m. sausio 13 d. įsakymu Nr. 1A-21 „Dėl Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos vaistinių preparatų informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – Duomenų saugos nuostatai);

2.7. kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą;

2.8. LST ISO/IEC 27001 (aktualios redakcijos) „Informacijos saugumo valdymo sistemos. Reikalavimai“.“

3.2. Pakeičiu 9.6 papunktį ir jį išdėstau taip:

„9.6. vidinių VAPRIS naudotojų kompiuterinėje įrangoje turi būti naudojama tik darbo funkcijoms atlikti reikalinga programinė įranga;“

3.3. Pakeičiu 10.7 papunktį ir jį išdėstau taip:

„10.7. programinė įranga testuojama naudojant atskirą testavimui skirtą aplinką, kurioje esantys asmens duomenys turi būti tvarkomi vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB ir Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;“

3.4. Pakeičiu 13 punktą ir jį išdėstau taip:

„13. VAPRIS tarnybinių stočių patalpų saugos priemonės užtikrinamos vadovaujantis Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėmis, patvirtintomis Lietuvos Respublikos ekonomikos ir inovacijų ministro 2021 m. vasario 8 d. įsakymu Nr. 4-92 „Dėl valstybės informacinių technologijų paslaugų valdymo informacinės sistemos saugos politiką įgyvendinančių dokumentų patvirtinimo“;“

3.5. Pripažįstu netekusiais galios 13.1-13.1.7 papunkčius.

3.6. Pripažįstu netekusiu galios 14 punktą.

3.7. Pakeičiu 17 punktą ir jį išdėstau taip:

„17. Atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka nustatyta Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse, patvirtintose Lietuvos Respublikos ekonomikos ir inovacijų ministro 2021 m. vasario 8 d. įsakymu Nr. 4-92 „Dėl valstybės informacinių technologijų paslaugų valdymo informacinės sistemos saugos politiką įgyvendinančių dokumentų patvirtinimo“.“

3.8. Pripažįstu netekusiu galios 18 punktą.

3.9. Pakeičiu 20 punktą ir jį išdėstau taip:

„20. Elektroninės informacijos atsarginės kopijos bei atsarginės laikmenos su VAPRIS programinės įrangos kopijomis saugomos vadovaujantis Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėmis, patvirtintomis Lietuvos Respublikos ekonomikos ir inovacijų ministro 2021 m. vasario 8 d. įsakymu Nr. 4-92 „Dėl valstybės informacinių technologijų paslaugų valdymo informacinės sistemos saugos politiką įgyvendinančių dokumentų patvirtinimo“.“

3.10. Pripažįstu netekusiu galios 21 punktą.

4. Pakeičiu nurodytu įsakymu patvirtintą Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos vaistinių preparatų informacinės sistemos veiklos tęstinumo valdymo planą:

4.1. Pakeičiu 2 punktą ir jį išdėstau taip:

„2. Planas parengtas vadovaujantis:

2.1. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

2.2. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

2.3. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“.

2.4. VAPRIS duomenų saugos nuostatais, patvirtintais Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos viršininko 2011 m. sausio 13 d. įsakymu Nr. 1A-21 „Dėl Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos vaistinių preparatų informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – Duomenų saugos nuostatai);

2.5. kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą;

2.6. Lietuvos standartais LST ISO/IEC 27002 (aktualios redakcijos) „Informacijos saugumo valdymo praktikos kodeksas“, LST ISO/IEC 27001 (aktualios redakcijos) „Informacijos saugumo valdymo sistemos. Reikalavimai “.“

4.2. Pakeičiu 13 punktą ir jį išdėstau taip:

„13. VAPRIS veiklos tęstinumo valdymo grupė, kurią sudaro vadovas, jo pavaduotojas ir kiti nariai (iš viso grupėje ne mažiau kaip 5 asmenys) sudaroma Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos (toliau – Tarnyba) viršininko įsakymu. VAPRIS veiklos tęstinumo valdymo grupės funkcijas gali atlikti Krizių valdymo grupė, kuri sudaroma, vadovaujantis Tarnybos viršininko 2006 m. sausio 10 d. patvirtinta Krizių valdymo procedūra Nr. 1/P-07 (jos aktualia redakcija). Į Veiklos tęstinumo valdymo grupės sudėtį turi būti įtraukiami – Tarnybos vadovybės atstovas, VAPRIS saugos įgaliotinis, Administravimo ir išteklių valdymo skyriaus vedėjas, finansininkas, teisininkas, Tarnybos atstovas, atsakingas už komunikaciją.“

4.3. Pakeičiu 16 punktą ir jį išdėstau taip:

„16. VAPRIS veiklos atkūrimo grupė sudaroma Tarnybos viršininko įsakymu iš struktūrinio padalinio, atsakingo už VAPRIS techninės ir programinės įrangos priežiūrą, atsakingo darbuotojo ir VAPRIS priežiūrą atliekančio administratoriaus, kitų Tarnybos darbuotojų, atliekančių informacinių technologijų priežiūrą. Įsakyme nurodoma, kas yra grupės vadovas ir jo pavaduotojas (-ai), taip pat kiti nariai.“

4.4. Pripažįstu netekusiu galios 19-22 punktus.

4.5. Pakeičiu 23 punktą ir jį išdėstau taip:

„23. VAPRIS veiklos tęstinumo valdymo ir veiklos atkūrimo grupės susitinka periodiškai, bet ne rečiau nei kartą per metus, VAPRIS veiklos tęstinumo plano testavimui. Atlikus testavimą, rengiama jo ataskaita. Grupių veiklą organizuoja ir koordinuoja šių grupių vadovai. Įvykus elektroninės informacijos saugos incidentui, VAPRIS veiklos tęstinumo valdymo ir veiklos atkūrimo grupės nariai grupių viduje ir tarpusavyje palaiko nuolatinį ryšį, komunikuoja visomis tuo metu prieinamomis priemonėmis (el. paštu, mobiliojo ryšio priemonėmis ir kt.). Įvykus Incidentui, jų vykdymo eiliškumas, terminai ir atsakingi vykdytojai nurodyti Plano 1 priede.“

4.6. Pripažįstu netekusiais galios 23.1.ir 23.2 papunkčius.

4.7. Pakeičiu 27 punktą ir jį išdėstau taip:

„ 27. Plano ir detalios informacijos kopijos atspausdinta forma saugoma Tarnybos viršininko, VAPRIS saugos įgaliotinio ir administratoriaus darbo vietose.“

5. Pakeičiu Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos vaistinių preparatų informacinės sistemos veiklos tęstinumo valdymo plano 1 priedą ir išdėstau jį nauja redakcija (pridedama).

6. Pakeičiu nurodytu įsakymu patvirtintas Valstybinės vaistų kontrolės tarnybos prie Lietuvos Respublikos sveikatos apsaugos ministerijos vaistinių preparatų informacinės sistemos naudotojų administravimo taisykles:

6.1. Pakeičiu 2 punktą ir išdėstau jį taip:

„2. Taisyklės parengtos vadovaujantis:

2.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

2.2. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

2.3. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

2.4. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Elektroninės informacijos saugos reikalavimų aprašas);

2.5. Lietuvos standartais LST ISO/IEC 27002 (aktualios redakcijos) „Informacijos saugumo valdymo praktikos kodeksas“, LST ISO/IEC 27001 (aktualios redakcijos) „Informacijos saugumo valdymo sistemos. Reikalavimai“;

Vaistų registracijos skyriaus vedėja,

laikinai vykdanti viršininko funkcijas Kristina Povilaitienė

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2022-11-29 raštu Nr. (4.1 E) 6K-997

Valstybinės vaistų kontrolės tarnybos prie

Lietuvos Respublikos sveikatos apsaugos

ministerijos vaistinių preparatų

informacinės sistemos veiklos tęstinumo

valdymo plano

1 priedas

VALSTYBINĖS VAISTŲ KONTROLĖS TARNYBOS PRIE LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTERIJOS VAISTINIŲ PREPARATŲ INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO DETALUSIS PLANAS

Elektroninės informacijos saugos incidentas	VAPRIS veiklos atkūrimo veiksmai	Atsakingi vykdytojai	Terminai
1. Nepasiekiamos patalpos (vykdoma evakuacija dėl gaisro, patalpų užpuolimo, pavojingų medžiagų patalpose, patalpų pažeidimo arba praradimo, stichinės nelaimės, oro sąlygų, avarijų, karo veiksmų)	1.1. Evakuojami darbuotojai ir atliekami kiti veiksmai pagal civilinės saugos planą, priešgaisrinę instrukciją ir pan.	Veiklos tęstinumo valdymo grupė	Nedelsiant
	1.2. Įvertinama, ar kyla pavojus nepertraukiamai VAPRIS veiklai. Jei ne, toliau vykdomi veiksmai, numatyti 1.9 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 1.3 papunktyje.	Veiklos tęstinumo valdymo grupė	Per 30 min. po incidento nustatymo
	1.3. Įvertinama, ar reikia išjungti VAPRIS. Jei ne, toliau vykdomi veiksmai, numatyti 1.5 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 1.4 papunktyje.	Veiklos tęstinumo valdymo grupė	Per 30 min. po incidento nustatymo
	1.4. Jei reikia, išjungiamas VAPRIS (gali būti nuotoliniu būdu vykdoma)	Veiklos atkūrimo grupė	Per 30 min. po incidento nustatymo
	1.5. Nustatoma, ar pasiekiamas duomenų centras. Jei ne, toliau vykdomi veiksmai, numatyti 1.6 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 1.7 papunktyje.	Veiklos atkūrimo grupė	Per 30 min. po incidento nustatymo
	1.6. Vykdomi veiksmai, numatyti pagal 2 scenarijų.	Veiklos atkūrimo grupė	Terminai numatyti 2 scenarijuje
	1.7. Priimamas sprendimas, ar reikia atkurti VAPRIS. Jei ne, toliau vykdomi veiksmai, numatyti 1.9 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 1.8 papunktyje.	Veiklos tęstinumo valdymo grupė	Per dvi darbo valandas po incidento nustatymo
	1.8. Atkuriamas VAPRIS.	Veiklos atkūrimo grupė	Per tris darbo dienas po incidento nustatymo
	1.9. Įvertinama, ar reikia imtis papildomų priemonių. Jei ne, laikoma, kad VAPRIS veikla atkurta. Jei taip, toliau vykdomi veiksmai, numatyti 1.10 papunktyje.	Veiklos tęstinumo valdymo grupė	Per dvi darbo valandas po incidento nustatymo
	1.10. Taikomos papildomos priemonės.	Veiklos atkūrimo grupė	Per penkias darbo dienas po incidento nustatymo
	1.11 Informuojami darbuotojai apie patalpų pasiekiamumą, kai gaunama informacija, kad patalpos tinkamos naudoti.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento pašalinimo
2. Nepasiekiamas duomenų centras (dėl gaisro pastato dalyje, kurioje yra duomenų centras, dėl inžinerinių sistemų gedimo (rezervinės elektros maitinimo, kondicionavimo ir vėdinimo ir pan.)	2.1. Nustatoma, kad nepasiekiamas duomenų centras.	Veiklos atkūrimo grupė	Per 30 min. po incidento nustatymo
	2.2. Įvertinama, ar reikia atkurti VAPRIS veiklą atsarginiame duomenų centre. Jei ne, toliau vykdomi veiksmai, numatyti 2.4 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 2.3 papunktyje.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
	2.3. VAPRIS atkūrimas atsarginiame duomenų centre. Toliau vykdomi veiksmai, numatyti 2.4 papunktyje.	Veiklos atkūrimo grupė	Per penkias darbo dienas po incidento nustatymo
	2.4. Įvertinama, ar reikia imtis papildomų priemonių. Jei ne, toliau vykdomi veiksmai, numatyti 2.6 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 2.5 papunktyje.	Veiklos tęstinumo valdymo grupė	Per dvi darbo valandas po VAPRIS veiklos atkūrimo atsarginiame duomenų centre.
	2.5. Taikomos papildomos priemonės. Toliau vykdomi veiksmai, numatyti 2.4 papunktyje.	Veiklos atkūrimo grupė	Per dvi darbo dienas po VAPRIS veiklos atkūrimo atsarginiame duomenų centre.
	2.6. Įvertinama, ar galima grįžti į duomenų centrą. Jei ne, toliau vykdomi veiksmai, numatyti 2.4 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 2.7 papunktyje.	Veiklos tęstinumo valdymo grupė	Per dvi darbo valandas po VAPRIS veiklos atkūrimo
	2.7. VAPRIS atstatymas duomenų centre. VAPRIS veikla atkurta.	Veiklos atkūrimo grupė	Per penkiolika valandų po incidento nustatymo
3. Nepasiekiama techninė įranga (dėl techninės įrangos gedimo, neturint rezervinės įrangos, kai nepavyko atkurti VAPRIS veikimo per 1 val. po įvykio ir manoma, kad nepavyks atkurti VAPRIS veikimo pagal teisės aktų nustatytus terminus)	3.1. Nustatoma, kad nepasiekiama techninė įranga.	Veiklos atkūrimo grupė	Per 30 min. po incidento nustatymo
	3.2. Situacijos vertinimas, jei reikia, draudimo įmonės, kitų institucijų informavimas.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
	3.3. Nustatoma, ar yra pakankamai resursų (techninių) funkcijoms perkelti. Jei ne, toliau vykdomi veiksmai, numatyti 3.5 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 3.4 papunktyje.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
	3.4. Funkcijos perkeliamos į laisvus resursus. Toliau vykdomi veiksmai, numatyti 3.5 papunktyje.	Veiklos atkūrimo grupė	Per penkiolika valandų po incidento nustatymo
	3.5. Nustatoma, ar pasiekiama techninė įranga. Jei ne, toliau vykdomi veiksmai, numatyti pagal 2 scenarijų. Jei taip, toliau vykdomi veiksmai, numatyti 3.6 papunktyje.	Veiklos atkūrimo grupė	Per vieną darbo valandą
	3.6. Nustatoma, ar reikia įsigyti papildomų resursų. Jei ne, toliau vykdomi veiksmai, numatyti 3.8 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 3.7 papunktyje.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą
	3.7. Papildomų resursų įsigijimas.	Veiklos tęstinumo valdymo grupė	Per penkias darbo dienas
	3.8. Nustatoma, ar reikia imtis papildomų priemonių. Jei ne, toliau vykdomi veiksmai, numatyti 3.10 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 3.9 papunktyje.	Veiklos tęstinumo valdymo grupė	Per vieną darbo dieną po papildomų išteklių įsigijimo
	3.9. Papildomų priemonių taikymas. Toliau vykdomi veiksmai, numatyti 3.8 papunktyje.	Veiklos atkūrimo grupė	Per vieną darbo dieną po papildomų išteklių įsigijimo
	3.10. Priimamas sprendimas, kad funkcijos atkurtos.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po funkcijų atkūrimo
4. Nepasiekiami ar sugadinti duomenys (kai pažeistas duomenų bazės integralumas, sugadinti duomenys atsarginėse kopijose, dėl kenksmingos programinės įrangos, dėl elektromagnetinio poveikio)	4.1. Nustatoma, kad duomenys nepasiekiami.	Veiklos atkūrimo grupė	Per vieną darbo valandą po incidento nustatymo
	4.2. Įvertinama, ar reikia atkurti techninę įrangą. Jei ne, toliau vykdomi veiksmai, numatyti 4.3 papunktyje. Jei taip, toliau vykdomi veiksmai pagal 3 scenarijų.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
	4.3. Nustatoma, ar yra duomenų atsarginės kopijos. Jei ne, toliau vykdomi veiksmai, numatyti 4.5 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 4.4 papunktyje.	Veiklos atkūrimo grupė	Per vieną darbo valandą po incidento nustatymo
	4.4. Duomenų atkūrimas iš atsarginių kopijų.	Veiklos atkūrimo grupė	Per vieną darbo dieną po incidento nustatymo
	4.5. Nustatoma, ar reikia duomenis suvesti. Jei ne, toliau vykdomi veiksmai, numatyti 4.7 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 4.6 papunktyje.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
	4.6. Duomenų suvedimas rankiniu būdu arba importavimas iš kitų šaltinių.	Veiklos atkūrimo grupė	Per penkiolika valandų
	4.7. Nustatoma, ar reikia imtis papildomų priemonių Jei ne, toliau vykdomi veiksmai, numatyti 4.9 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 4.8 papunktyje.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
	4.8. Papildomų priemonių taikymas.	Veiklos atkūrimo grupė	Per vieną darbo dieną po incidento nustatymo
	4.9. Duomenys pasiekiami.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po duomenų atkūrimo
5. Nepasiekiami ryšiai (dėl dingusio ryšio su paslaugų tiekėju (interneto), optinių kabelių nutrūkimas, neveikia sąsajos su išorinėmis sistemomis, dėl kibernetinių atakų)	5.1. Nustatoma, kad ryšiai nepasiekiami.	Veiklos atkūrimo grupė	Per vieną darbo valandą
	5.2. Situacijos analizė ir naudotojų informavimas apie sutrikimus.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
	5.3. Nustatoma, ar reikia organizuoti alternatyvius ryšius. Jei ne, toliau vykdomi veiksmai, numatyti 5.5 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 5.4 papunktyje.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
	5.4. Alternatyvių ryšio priemonių organizavimas.	Veiklos atkūrimo grupė	Per penkiolika valandų po incidento nustatymo
	5.5. Nustatoma, ar reikia imtis papildomų priemonių. Jei ne, toliau vykdomi veiksmai, numatyti 5.7 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 5.6 papunktyje.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
	5.6. Papildomų priemonių taikymas.	Veiklos atkūrimo grupė	Per vieną darbo dieną po incidento nustatymo
	5.7. Ryšiai atkurti.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
6. Nepasiekiami darbuotojai (kai negali atvykti į darbą daugiau nei penktadalis darbuotojų dėl oro sąlygų, stichinių nelaimių, avarijų, epidemijų, mobilizacijos, cheminės atakos, karo veiksmų ir pan.)	6.1. Nustatoma, kad darbuotojai nepasiekiami.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po incidento nustatymo
	6.2. Situacijos analizė.	Veiklos tęstinumo valdymo grupė	Per vieną darbo dieną po incidento nustatymo
	6.3. Nustatoma, ar reikia samdyti išorinius tiekėjus. Jei ne, toliau vykdomi veiksmai, numatyti 6.5 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 6.4 papunktyje.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po situacijos analizės
	6.4. Išorinių tiekėjų samdymas.	Veiklos tęstinumo valdymo grupė	Per teisės aktuose numatytą terminą
	6.5. Nustatoma, ar reikia samdyti papildomų darbuotojų. Jei ne, toliau vykdomi veiksmai, numatyti 6.7 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 6.6 papunktyje.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą po situacijos analizės
	6.6. Papildomų darbuotojų samdymas.	Veiklos tęstinumo valdymo grupė	Per teisės aktuose numatytą terminą
	6.7. Nustatoma, ar reikia imtis papildomų priemonių. Jei ne, toliau vykdomi veiksmai, numatyti 6.9 papunktyje. Jei taip, toliau vykdomi veiksmai, numatyti 6.8 papunktyje.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą
	6.8. Papildomų priemonių taikymas.	Veiklos tęstinumo valdymo grupė	Per vieną darbo dieną
	6.9. Laikoma, kad funkcijos atkurtos.	Veiklos tęstinumo valdymo grupė	Per vieną darbo valandą“

__________________________________