5.1. kompiuterinė įranga prižiūrima laikantis gamintojo rekomendacijų, užtikrinamas šios įrangos gamintojų garantinis aptarnavimas;

5.2. tarnybinės stotys apsaugotos nuo elektros srovės svyravimų ir (ar) nutrūkimo;

5.3. fizinė prieiga prie PTAKIS tarnybinės stoties suteikiama tik informacinių technologijų darbuotojams.

5.4. techninės įrangos keitimas atliekamas tik gavus Departamento direktoriaus leidimą;

6.1. naudojama tik legali sisteminė ir įteisinta taikomoji programinė įranga;

6.2. administratoriai ir naudotojai turi unikalų identifikatorių, sudarytą pagal administratorių ar naudotojų vardą ir slaptažodį. Unikalaus identifikatoriaus sudarymo ir naudojamo tvarką nustato PTAKIS naudotojų administravimo taisyklės, patvirtintos Departamento direktoriaus 2022 m.  vasario 4 d. įsakymu Nr. T1-15 „Dėl Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos naudotojų administravimo taisyklių patvirtinimo“ (toliau – Naudotojų administravimo taisyklės);

6.3. programinė įranga testuojama naudojant atskirą testavimo aplinką;

6.4. slaptažodžius, suteikiančius teisę administruoti PTAKIS ir jos naudotojus, gali žinoti tik administratoriai;

6.5. programinis kodas apsaugotas nuo neteisėtos prieigos. Apsaugai nuo neteisėtos prieigos taikomos tokios pačios priemonės kaip ir PTAKIS duomenims apsaugoti;

6.6. naudotojų tapatybei, jų veiksmams su PTAKIS nustatyti taikomos programinės priemonės;

6.7. PTAKIS sisteminės ir taikomosios programinės įrangos apsaugai nuo virusų ir kitų kenkėjiškų programų naudojama specializuota, nuolat automatiškai atnaujinama antivirusinė programinė įranga ir tinklo operacinių sistemų integruotos apsaugos priemonės;

7.1. kompiuterių tinklas turi būti atskirtas nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant ugniasienes, automatine įsilaužimų aptikimo ir prevencijos įranga;

7.2. PTAKIS tarnybinės stotys nuo grėsmių iš interneto apsaugotos užkardomis, naudojant ugniasienę, kuri turi būti periodiškai prižiūrima ir atnaujinama;

7.3. ryšių kabeliai apsaugoti nuo neteisėto prisijungimo prie jų ir pažeidimo;

7.4. pagrindinėse PTAKIS tarnybinėse stotyse įjungtos saugasienės (angl. Web Application Firewall), sukonfigūruotos blokuoti visą gaunamų ir siunčiamų duomenų srautą, išskyrus susijusį su informacinės sistemos funkcionalumu ir administravimu. Ne rečiau kaip kartą per mėnesį atliekama saugasienių užfiksuotų įvykių analizė ir šalinamos pastebėtos neatitiktys saugumo reikalavimams.

8.1. turi būti įgyvendinti atpažinties, tapatumo patvirtinimo ir naudojimosi PTAKIS saugumo ir kontrolės reikalavimai, nustatyti PTAKIS naudotojų administravimo taisyklėse;

8.2. svetainės administravimo darbai turi būti atliekami ne trumpesniu kaip 128 bitų raktu;

8.3. šifruojant naudojami skaitmeniniai sertifikatai turi būti išduoti patikimų sertifikavimo tarnybų. Sertifikato raktas negali būti trumpesnis kaip 2048 bitų;

8.4. privalomas TLS (angl. Transport Layer Security) standartas;

8.5. tarnybinės stoties, kurioje yra svetainė, svetainės saugos parametrai turi būti teigiamai įvertinti naudojant Nacionalinio kibernetinio saugumo centro rekomenduojamą testavimo priemonę;

8.6. turi būti naudojama svetainės saugasienė, įsilaužimo atakų pėdsakai atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus valandos, jeigu valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo poveikio ryšių ir informacinės sistemos veiklai vertinimas (testavimas);

8.7. turi būti naudojamos apsaugos priemonės nuo pagrindinių per tinklą vykdomų atakų (pvz.: struktūrizuotų užklausų kalbos įskverbties (angl. SQL injection), įterptinių instrukcijų (angl. XSS), internetinės paslaugos sutrikdymo (angl. DOS), paskirstyto atsisakymo aptarnauti (angl. DDOS) ir kitų). Pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas atviro tinklo programų saugumo projekto interneto svetainėje (www.owasp.org);

9.1. reikalavimai tarybinių stočių patalpoms:

9.2. patekti į tarybinių stočių patalpas gali tik tie asmenys, kuriems tai būtina nustatytoms funkcijoms atlikti;

9.3. įėjimo į tarybinių stočių patalpas kontrolę vykdo administratoriai;

9.4. trečiųjų šalių atstovai ir kiti asmenys į tarybinių stočių patalpas gali patekti ar dirbti jose tik lydimi administratoriaus;

9.5. už tarybinių stočių patalpų raktų saugojimą atsako Departamento Bendrųjų reikalų ir vidaus administravimo skyriaus vedėjas ir administratoriai.

10.1. PTAKIS tarnybinių stočių įvykių žurnaluose registruojami (nurodant įvykio laiką ir naudotojo unikalų identifikatorių) ir ne mažiau kaip vienus metus saugomi duomenys apie:

10.2. naudojant programinę įrangą turi būti nuolat atliekama PTAKIS funkcionavimo analizė ir sutrikimų prevencija;

10.3. PTAKIS vienkartinis neveikimo laikotarpis negali trukti ilgiau nei 24 val., o per metus prieinamumas turi būti užtikrinamas ne mažiau kaip 70 proc. viso paros laiko.

11.1. elektroninę informaciją įvesti į PTAKIS, joje keisti, atnaujinti ir tvarkyti gali tik naudotojai, kuriems suteiktos tokios prieigos teisės;

11.2. įvesti į PTAKIS, joje keisti ir naikinti naudotojų duomenis gali tik administratoriai, kuriems suteiktos naudotojų administravimo teisės;

11.3. įvesti, keisti, atnaujinti PTAKIS klasifikatorių duomenų bazėje tvarkomus duomenis gali tik administratorius pagal suteiktas prieigos teises;

11.4. naudotojų tapatybė ir veiksmai su PTAKIS elektronine informacija fiksuojami programinėmis priemonėmis;

11.5. naudotojų veiksmai automatiniu būdu įrašomi PTAKIS naudotojų veiksmų žurnale, kuris turi būti apsaugotas nuo neteisėto jame esančios informacijos panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;

11.6. PTAKIS naudotojų veiksmų žurnalo duomenys gali būti prieinami tik administratoriams;

11.7. išorinėse duomenų laikmenose ir elektroniniame pašte esantys asmens duomenys po panaudojimo turi būti ištrinami;

11.8. naudotojui neatliekant jokių veiksmų 15 minučių, taikomoji programinė įranga užsirakina, kad toliau naudotis galima būtų tik pakartotinai atlikus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;

11.9. naudotojui baigus darbą ar pasitraukus iš darbo vietos, turi būti automatiškai užtikrinama, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys (pvz., turi būti atsijungiama nuo PTAKIS, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai ar jų kopijos padedami į pašaliniams asmenims neprieinamą vietą);

11.10. keitimasis PTAKIS ir kitų informacinių sistemų elektronine informacija vykdomas pagal su jų valdytojais sudarytas duomenų teikimo sutartis, tokiose sutartyse nustatytais būdais ir terminais;

11.11. PTAKIS elektroninė informacija kitiems registrams ir informacinėms sistemoms teikiama vadovaujantis Informacinės sistemos nuostatais ir kitais saugų elektroninės informacijos tvarkymą reglamentuojančiais teisės aktais;

12.1.  siekiant nustatyti, ar su PTAKIS elektronine informacija nėra vykdoma neteisėta veikla, visi elektroniniuose įvykių žurnaluose saugomi įrašai turi būti analizuojami ne rečiau kaip kartą per mėnesį, taip pat nurodomas asmuo, atsakingas už įvykių žurnalų analizę. Siekiant nustatyti, ar su PTAKIS elektronine informacija nėra vykdoma neteisėta veikla, visi elektroniniuose įvykių žurnaluose saugomi įrašai turi būti analizuojami ne rečiau kaip kartą per mėnesį, taip pat nurodomas asmuo, atsakingas už įvykių žurnalų analizę;

12.2.  PTAKIS naudotojai, pastebėję Tvarkymo taisyklėse, Duomenų saugos nuostatuose, administravimo taisyklėse, PTAKIS veiklos tęstinumo valdymo plane nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo priemones, įvykius ar veiką, atitinkančią kibernetinio ar elektroninės informacijos saugos incidento požymius, arba apie tai gavę informacijos iš kitų informacijos šaltinių, privalo nedelsdami pranešti apie tai administratoriui ir PTAKIS saugos įgaliotiniui;

12.3.  PTAKIS saugos įgaliotinis, įtaręs, kad su elektronine informacija, tvarkoma PTAKIS, vykdoma neteisėta veikla, inicijuoja elektroninės informacijos saugos ir kibernetinių incidentų valdymo procedūras.

13.1. įdiegti PTAKIS kompiuterių, tarnybinių stočių techninę ir programinę įrangą, ją keisti ir atnaujinti gali tik administratoriai;

13.2. administratorius ne vėliau kaip prieš 4 valandas iki planuojamo PTAKIS techninės ir programinės įrangos pakeitimo, kurio metu galimi PTAKIS veikimo sutrikimai, privalo informuoti naudotojus apie tokių darbų pradžią ir galimus PTAKIS veikimo sutrikimus;

13.3. PTAKIS reikalinga taikomoji programinė įranga turi būti įsigyjama su visomis autorinėmis teisėmis (programos išeities kodais ir teisėmis juos keisti) ir nustatomas garantinio aptarnavimo laikas trūkumams ir klaidoms pašalinti;

13.4. gali būti naudojama tik sertifikuota programinė ir techninė įranga;

13.5. perduodant remontuoti sugedusią techninę įrangą, turi būti išimamos duomenų laikmenos (kietieji diskai ir kt.) arba daromos jų kopijos ir laikmenose saugomi duomenys ištrinami;

13.6. įdiegus naują programinę ir techninę įrangą, turi būti organizuojami naudotojų mokymai.

14.1. valdytojas turi planuoti PTAKIS pokyčius, t. y. juos identifikuoti ir suskirstyti į kategorijas pagal tipą (pvz., administracinis, organizacinis ar techninis), įtaką (pvz., svarbumas ir skubumas) ir prioritetus (pvz., eiliškumas);

14.2. pokyčiai turi būti identifikuojami nustačius naudotojų ir administratorių poreikius, apibendrinus priežiūros problemas ir kitais gerąja praktika laikytinais atvejais;

14.3. visi pokyčiai (projektavimas, kūrimas, testavimas, diegimas) turi būti atliekami tik valdytojo, saugos įgaliotinio ar PTAKIS administratoriaus iniciatyva;

14.4. pokyčių projektavimą ir kūrimą gali atlikti valstybės tarnautojas, pagal pareigybės aprašymą atsakingas už taikomosios programinės įrangos priežiūrą ir projektavimą tam skirtoje kūrimo aplinkoje, prireikus pasitelkdamas trečiąsias šalis;

14.5. inicijuoti pokyčius turi teisę PTAKIS valdytojas, PTAKIS tvarkytojai, duomenų valdymo įgaliotinis, saugos įgaliotinis, administratorius;

14.6. pokyčiai registruojami pokyčių registre po to, kai valdytojas juos įvertina ir nustato įtaką bei prioritetą;

14.7. pokyčiai, galintys sutrikdyti ar sustabdyti PTAKIS darbą, daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri atskirta nuo eksploatuojamos PTAKIS. Pokyčiai eksploatuojamoje PTAKIS aplinkoje gali būti vykdomi tik išimtiniais atvejais, kai dėl techninių, programinių ar kitų priežasčių (pvz., veiklos atkūrimo ar kitos avarinės situacijos) nėra galimybės jų patikrinti PTAKIS bandomojoje aplinkoje;

14.8. atlikus pokyčių bandymą PTAKIS bandomojoje aplinkoje, sėkmės atveju pokyčiai perkeliami į gamybinę aplinką;

14.9. administratoriai turi informuoti naudotojus apie pokyčius, jeigu juos įgyvendinant galimi PTAKIS darbo sutrikimai. Informuojama informacinės sistemos taikomosiose programose ar kitomis priemonėmis (pvz., raštu, elektroniniu paštu ir pan.) ne vėliau kaip likus vienai darbo dienai iki planuojamo pokyčio įgyvendinimo pradžios. Šis papunktis gali būti netaikomas, jeigu įgyvendinami skubūs pokyčiai.

15.1. mobilieji įrenginiai gali būti naudojami tik tarnybinėms funkcijoms vykdyti;

15.2. mobiliesiems įrenginiams, naudojamiems valdytojo ar tvarkytojo patalpose, taip pat esantiems vidiniame PTAKIS kompiuterių tinkle, taikomi tokie patys elektroninės informacijos saugos ir kibernetinio saugumo reikalavimai kaip ir stacionariesiems kompiuteriams;

15.3. leidžiama naudoti tik valdytojo nustatytus saugumo reikalavimus atitinkančius mobiliuosius įrenginius;

15.4. valdytojas turi teisę valdyti mobiliuosius įrenginius ir juose įdiegtą programinę įrangą;

15.5. iš mobiliųjų įrenginių draudžiama tiesiogiai nuotoliniu būdu prisijungti prie PTAKIS informacinių technologijų infrastruktūros. Prisijungimas galimas tik per tarpinį įrenginį, taikant virtualaus privataus tinklo (angl. VPN) technologiją, atitinkančią saugos politikos įgyvendinimo dokumentuose nustatytus organizacinius ir techninius elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus;

15.6. turi būti naudojamos priemonės, kurios apribotų neleistinus ar saugumo reikalavimų neatitinkančius mobiliuosius įrenginius, reguliariai tikrinami tarpiniai ir mobilieji įrenginiai. Apie neleidžiamus ar saugumo reikalavimų neatitinkančius tarpinius ar mobiliuosius įrenginius būtina pranešti saugos įgaliotiniui;

15.7. privaloma parengti mobiliųjų įrenginių operacinių sistemų atvaizdus su saugumo nuostatomis. Atvaizde turi būti nustatyti tik veiklai būtini operacinių sistemų komponentai (administravimo paskyros, paslaugos, taikomosios programos, tinklo prievadai, atnaujinimai, sisteminės priemonės). Atvaizdai turi būti reguliariai peržiūrimi ir, nustačius naujų pažeidžiamų vietų ar atakų, iškart atnaujinami;

15.8. pagal parengtus atvaizdus į mobiliuosius įrenginius turi būti įdiegiama operacinė sistema su saugumo nuostatomis;

15.9. mobilieji įrenginiai, kuriais naršoma internete, privalo būti apsaugoti nuo judriųjų programų keliamų grėsmių;

15.10. mobiliuosiuose įrenginiuose turi būti naudojamos vykdomojo kodo kontrolės priemonės, automatiškai apribojančios neleistino vykdomojo kodo naudojimą ar informuojančios apie tokio kodo naudojimą administratorių;

15.11. mobilieji įrenginiai privalo būti apsaugoti slaptažodžiu, sudaromu ir tvarkomu Naudotojų administravimo taisyklėse nustatyta tvarka. Mobiliajame įrenginyje naudojama mobiliojo ryšio kortelė turi būti apsaugota PIN kodu, kuris neturi būti sudarytas iš asmeninės informacijos (pvz., gimimo datos ir pan.) arba lengvai atspėjamo skaičių derinio;

15.12. mobiliuosiuose įrenginiuose (pvz., mobiliųjų įrenginių, išorinėse kompiuterinėse laikmenose) laikoma elektroninė informacija ir kita nevieša informacija turi būti užšifruojama;

15.13. mobiliųjų įrenginių kenksmingos programinės įrangos aptikimo, elektroninės informacijos šifravimo ir kita programinė įranga gali būti įsigyjama tik iš patikimų ir oficialių tiekėjų teisės aktų nustatyta tvarka;

15.14. mobiliuosiuose įrenginiuose privaloma išjungti belaidę prieigą, jeigu jos nereikia darbo funkcijoms atlikti, taip pat lygiarangių (angl. peer-to-peer communications) naudojimo funkcinę galimybę, belaidę periferinę prieigą;

15.15. mobilieji įrenginiai viešose vietose negali būti palikti be priežiūros, mobilusis įrenginys, kuriuo nesinaudojama 15 minučių, turi automatiškai užsirakinti;

15.16. mobiliajame įrenginyje ar jo taikomojoje programinėje įrangoje turi būti uždrausta išsaugoti slaptažodį;

15.17. prie mobiliųjų įrenginių draudžiama prijungti jiems nepriklausančius įrenginius.

7.1. naudotojai vykdo PTAKIS veiklos tęstinumo valdymo grupės (toliau – veiklos tęstinumo valdymo grupė) ir PTAKIS veiklos atkūrimo grupės (toliau – veiklos atkūrimo grupė) reikalavimus;

7.2. administratorius, kai incidentas įvyksta PTAKIS tarnybinėje stotyje:

7.3. saugos įgaliotinis:

8.1.  organizuoja veiklos tęstinumo valdymo ir veiklos atkūrimo grupių darbą;

8.2. atkuria PTAKIS veiklą;

8.3. turi teisę naudoti rezervinius finansų ir kitus išteklius PTAKIS veiklai atkurti.

12.1. naudotojų gyvybės ir sveikatos apsauga (turi būti užtikrintas visų naudotojų saugumas, gyvybės ir sveikatos apsauga, kol trunka incidentas ir likviduojami jo padariniai);

12.2. veiklos atkūrimas per 24 val.;

12.3. naudotojų mokymas (naudotojai turi būti supažindinti su Valdymo planu ir jų atsakomybę nustatančiais teisės aktais;

12.4. Valdymo plano veiksmingumas reguliariai tikrinamas teorinių ir (ar) praktinių mokymų metu modeliuojant incidentą ir tikslinamas atsižvelgiant į rezultatus.

14.1. atkurtas incidento metu sutrikęs PTAKIS funkcionalumas ir prieinamumas naudotojams;

14.2. užtikrintas elektroninės informacijos konfidencialumas ir vientisumas;

14.3. PTAKIS vykdo veiklą reglamentuojančiuose teisės aktuose, paslaugų teikimo sutartyse ir kituose teisės aktuose nustatytus uždavinius ir funkcijas;

14.4. užtikrintas PTAKIS prieinamumas (per metus ne mažiau kaip 70 proc. viso paros laiko).

16.1. PTAKIS saugos įgaliotinis – Valdymo grupės vadovas;

16.2. Departamento direktorius;

16.3. Bendrųjų reikalų ir vidaus administravimo skyriaus vedėjas;

16.4. kiti Departamento direktoriaus paskirti valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis;

16.5. kitų institucijų ir įstaigų darbuotojai, jei veikos tęstinumui užtikrinti nepakanka Departamento turimų žmogiškųjų resursų ar nepakankamos darbuotojų žinios, gebėjimai, reikalingi Elektroninės informacijos saugos incidentui pašalinti.

17.1. analizuoja situaciją ir priima sprendimus PTAKIS veiklos tęstinumo valdymo klausimais;

17.2. bendrauja su viešosios informacijos rengėjų ir skleidėjų atstovais, susijusių informacinių sistemų (registrų) veiklos tęstinumo valdymo grupėmis, teisėsaugos ir kitomis institucijomis;

17.3. kontroliuoja finansinių ir kitų išteklių, reikalingų PTAKIS veiklai atkurti, naudojimą;

17.4. užtikrina PTAKIS elektroninės informacijos fizinę saugą;

17.5. rūpinasi logistika (žmonių, daiktų, įrangos gabenimas ir jo organizavimas);

17.6. prižiūri ir koordinuoja PTAKIS veiklos atkūrimą;

17.7. vykdo kitas pavestas funkcijas.

19.1. PTAKIS duomenų valdymo įgaliotinis (veiklos atkūrimo grupės vadovas);

19.2. PTAKIS administratoriai;

19.3. kiti Departamento direktoriaus paskirti valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis. Esant būtinybei į atkūrimo grupę gali būti įtraukti kitų įstaigų ar institucijų atstovai.

20.1. organizuoja tarnybinių stočių veikimo atkūrimą;

20.2. organizuoja kompiuterių tinklo veikimo atkūrimą;

20.3. organizuoja PTAKIS elektroninės informacijos atkūrimą;

20.4. organizuoja taikomųjų programų tinkamo veikimo atkūrimą;

20.5. organizuoja darbo kompiuterių veikimo atkūrimą ir prijungimą prie kompiuterių tinklo;

20.6. vykdo kitas pavestas funkcijas.

24.1.  turi atitikti PTAKIS techninės įrangos gamintojų nustatytus aplinkos reikalavimus (pvz., oro temperatūros, drėgmės ir pan.);

24.2. patekimas į jas turi būti kontroliuojamas (pildomas registracijos žurnalas arba naudojamas koduotas identifikuojantis patekimo raktas);

24.3. turi būti atskirtos nuo bendro naudojimo patalpų;

24.4. turi atitikti priešgaisrinės saugos reikalavimus (turi būti priemonės gaisrui gesinti);

24.5. turi būti apsaugotos nuo vandens, žaibo, elektros energijos sutrikimų;

24.6. turi turėti rezervinį elektros energijos šaltinį (PTAKIS kompiuterinei techninei įrangai ir duomenų perdavimo tinklo mazgams), užtikrinantį įrangos veikimą ne trumpiau kaip 30 minučių;

24.7. ryšių kabeliai turi būti apsaugoti nuo nesankcionuoto prisijungimo;

24.8. turi būti internetinio ryšio prieiga;

24.9. turi būti užtikrintas tinklais perduodamos elektroninės informacijos vientisumas ir konfidencialumas.

29.1. PTAKIS dokumentacija, kurioje nurodyta informacinių technologijų įranga ir parametrai;

29.2. pastato, kuriame yra PTAKIS įranga, aukštų patalpų brėžiniai, kuriuose pažymėta:

29.3. dokumentas, kuriame nurodytos kompiuterių tinklo fizinio ir loginio sujungimo schemos;

29.4. dokumentas, kuriame nurodytos elektroninės informacijos teikimo, kompiuterinės, techninės ir programinės įrangos priežiūros sutartys ir už jų įgyvendinimo priežiūrą atsakingi asmenys;

29.5. veiklos tęstinumo valdymo ir veiklos atkūrimo grupių narių sąrašai ir kontaktiniais duomenys, kad būtų galima susisiekti bet kuriuo paros metu;

29.6. PTAKIS programinės įrangos laikmenos ir laikmenos su atsarginėmis duomenų kopijomis saugomos pas PTAKIS administratorių;

29.7. minimalių funkcinių galimybių informacinių technologijų įrangos, tinkamos valdytojo ir tvarkytojų poreikius atitinkančiai PTAKIS veiklai užtikrinti, kai įvyksta incidentas arba nenumatyta situacija, specifikacija ir už tokios įrangos priežiūrą atsakingų administratorių sąrašas;

29.8. dokumentas, kuriame nurodomi minimalūs reikiamos kompetencijos ar žinių lygio reikalavimai PTAKIS veiklai atkurti nesant administratoriaus, jei jis dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą.

39.1. PTAKIS neprieinamumas valandomis per metus;

39.2. PTAKIS veiklos atkūrimo, įvykus incidentui ar nenumatytai situacijai, trukmė.

3.1.1. duomenų bazių tarnybinių stočių veikimo atkūrimas;

3.1.2. taikomųjų programų tarnybinių stočių veikimo atkūrimas;

6.1. priskiria jam grupę ir kategoriją pagal Nacionalinio kibernetinių incidentų valdymo plano (toliau – Planas), patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, priede pateiktus kriterijus;

6.2. registruoja saugos incidentą elektroniniame PTAKIS žurnale ir pagal 5.1 papunktyje kibernetinio incidento nustatytą jo reikšmingumą (pavojingi kibernetiniai incidentai; didelio poveikio kibernetiniai incidentai; vidutinio poveikio kibernetiniai incidentai; nereikšmingo poveikio kibernetiniai incidentai) praneša apie jį Nacionaliniam kibernetinio saugumo centrui (toliau – NKSC) Plane nustatyta forma ir terminais;

6.3. atlieka saugos incidento vertinimą ir pateikia jo ataskaitą NKSC Plane nustatytais terminais;

6.4. informuoja NKSC apie saugos incidento sustabdymą ir pašalinimą Plane nustatyta tvarka.

10.1. apžiūrėti saugos incidento vietą;

10.2. apklausti su saugos incidentu galimai susijusius naudotojus;

10.3. susipažinti su saugos incidento tyrimui reikiamais dokumentais;

10.4. gauti kitą, su saugos incidentu susijusią informaciją.

12.1. vadovaudamasi surinkta tyrimo medžiaga, surašo saugos incidento tyrimo išvadą, kurioje išdėsto saugos incidento aplinkybes, jų priežastis ir jas pagrindžiančius įrodymus, taip pat nurodo asmenis, dėl kurių neteisėtos veiklos įvyko saugos incidentas, ir šiuos duomenis teikia Narkotikų, tabako ir alkoholio kontrolės departamento direktorius pavaduotojui;

12.2. atsižvelgdama į saugos incidento priežastis ir jo padarinius, vertina incidento valdymo patirtį ir prireikus iškart rengia PTAKIS veiklos atkūrimo detaliojo plano pakeitimo projektą, kuris teikiamas Narkotikų, tabako ir alkoholio kontrolės departamento direktorius pavaduotojui.

3.1. Vidinis PTAKIS naudotojas – valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, taip pat ir samdomas darbuotojas, turintis teisę naudotis informacinės sistemos ištekliais pareigybės aprašyme ar sutartyje numatytoms funkcijoms atlikti.

3.2. Išorinis PTAKIS naudotojas – su PTAKIS valdytoju arba PTAKIS tvarkytoju (-ais) tarnybos ar darbo santykiais nesusijęs asmuo, kuris PTAKIS veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudoja ir (ar) tvarko elektroninę informaciją.

3.3. Kitos administravimo taisyklėse vartojamos sąvokos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme,  Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos nuostatuose ir Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos duomenų saugos nuostatuose, patvirtintose Narkotikų, tabako ir alkoholio kontrolės departamento direktoriaus 2014 m. spalio 8 d. įsakymu Nr. T1-328 „Dėl Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos nuostatų ir Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau atitinkamai – Informacinės sistemos nuostatai ir Saugos nuostatai) ir kituose Lietuvos Respublikos teisės aktuose, reglamentuojančiuose informacinių išteklių valdymą, vartojamos sąvokos.

5.1. PTAKIS naudotojų ir PTAKIS administratorių prieiga prie elektroninės informacijos grindžiama būtinumo žinoti principu. Šis principas reiškia, kad PTAKIS naudotojams ir PTAKIS administratoriams prieiga suteikiama tik prie tos elektroninės informacijos, kuri reikalinga vykdant tiesioginę jų veiklą. Tvarkyti elektroninę informaciją gali tik tie PTAKIS naudotojai ir PTAKIS administratoriai, kuriems administravimo taisyklių III skyriuje nustatyta tvarka suteiktos prieigos prie elektroninės informacijos teisės ir priemonės (identifikavimo priemonės, slaptažodžiai ar kitos tapatybės nustatymo priemonės ir panašiai);

5.2. PTAKIS naudotojų ir PTAKIS administratorių prieigos prie elektroninės informacijos lygmuo grindžiamas mažiausios privilegijos principu. Šis principas reiškia, kad turi būti suteikiamos tik minimalios PTAKIS naudotojų ir PTAKIS administratorių tiesioginei veiklai vykdyti reikalingos prieigos teisės bei organizacinėmis ir techninėmis priemonėmis užtikrinama minimalių prieigos teisių naudojimo kontrolė (pavyzdžiui, privilegijuotos prieigos teisės neturi būti naudojamos veiklai, kuriai atlikti pakanka žemesnio lygio prieigos teisių, ir panašiai);

5.3. Pareigų atskyrimo principas. Šis principas reiškia, kad PTAKIS naudotojui, PTAKIS administratoriui ar jų grupei negali būti pavesta atlikti ar kontroliuoti visų pagrindinių elektroninės informacijos tvarkymo ar PTAKIS priežiūros funkcijų. PTAKIS naudotojams negali būti suteikiamos PTAKIS administratoriaus teisės. PTAKIS priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą PTAKIS administratoriaus paskyrą, kuria naudojantis negalima atlikti kasdienių PTAKIS naudotojo funkcijų, PTAKIS kūrimo, modernizavimo funkcijos turi būti atskirtos nuo PTAKIS priežiūros funkcijų ir panašiai;

5.4. Pareigų rotacijos principas. Šis principas reiškia, kad PTAKIS administratoriui negali būti pavesta nuolat atlikti tas pačias PTAKIS administratoriaus funkcijas. Siekiant išvengti subjektyviai tyčinių ir (arba) subjektyviai netyčinių rizikos veiksnių, PTAKIS tvarkytojai pagal galimybes turi užtikrinti PTAKIS administratorių rotaciją.

12.1.  PTAKIS administratoriai PTAKIS ir jų komponentus gali pasiekti naudodamiesi tiesiogine, vietinio tinklo prieiga. PTAKIS administratorių prieiga ir jos lygiai kontroliuojami per fizinius (įeigos kontrolės sistemos, barjerai ir kita) ir loginius (užkardos, domeno valdikliai ir kita) prieigos taškus. Kontrolės priemonės turi būti taikomos visuose PTAKIS sandaros sluoksniuose (kompiuterinis tinklas, platformos ar operacinės sistemos, duomenų bazės ir taikomųjų programų sistemos);

12.2.  PTAKIS administratoriams prieiga prie PTAKIS komponentų, elektroninės informacijos ir teisė atlikti elektroninės informacijos tvarkymo veiksmus (elektroninės informacijos skaitymas, kūrimas, atnaujinimas, šalinimas, PTAKIS naudotojų informacijos, prieigos teisių redagavimas ir pan.) suteikiama pagal Duomenų saugos nuostatuose nustatytas PTAKIS administratorių grupes, remiantis administravimo taisyklių 4 punkte nustatytais prieigos prie elektroninės informacijos principais;

12.3.  koordinuojančiam administratoriui pagal kompetenciją gali būti suteikta prieiga prie visų PTAKIS komponentų ir jų sąrankos;

12.4.  PTAKIS naudotojų administratoriams suteikiama prieiga prie PTAKIS naudotojų prieigos teisių valdymo sistemų;

12.5.  PTAKIS komponentų administratoriams pagal kompetenciją suteikiama prieiga prie kompiuterių, operacinių sistemų, duomenų bazių ir jų valdymo sistemų, taikomųjų programų sistemų, užkardų, įsilaužimų aptikimo ir prevencijos sistemų, elektroninės informacijos perdavimo tinklų, duomenų saugyklų, bylų serverių ir kitos techninės ir programinės įrangos bei jų sąrankos;

12.6.  PTAKIS saugos administratoriams suteikiama prieiga prie PTAKIS pažeidžiamumų skenavimo, PTAKIS stebėsenos ir saugos atitikties nustatymo ir įvertinimo, saugos informacijos ir įvykių stebėjimo, apsaugos nuo elektroninės informacijos nutekinimo priemonių, kitos saugos užtikrinimo įrangos ir kitų priemonių, kuriomis atliekamas informacinių sistemų pažeidžiamų vietų nustatymas, saugumo reikalavimų atitikties nustatymas ir stebėsena. Saugos administratoriai turi teisę gauti prieigą ir prie kitų PTAKIS komponentų, jeigu tai būtina jų funkcijoms, susijusioms su saugumo reikalavimų atitikties nustatymu ir stebėsena, atlikti.

15.1.  PTAKIS naudotojų ir PTAKIS administratorių registravimo ir išregistravimo tvarka:

15.2.  PTAKIS naudotojų administratorius prieigos teises suteikia arba pakeičia gavęs PTAKIS naudotojo ar PTAKIS administratoriaus tiesioginio vadovo rašytinį prašymą, suderintą su savo organizacijoje paskirtais IS ir (arba) elektroninės informacijos savininkais (angl. System Owner/Data Owner);

15.3.  teisė tvarkyti elektroninę informaciją gali būti suteikiama tik įsitikinus, kad PTAKIS naudotojas arba PTAKIS administratorius yra pasirašęs pasižadėjimą saugoti duomenų ir informacijos paslaptį ir pasirašytinai susipažinęs su saugos dokumentais ar jų santrauka ir sutikęs laikytis jų reikalavimų;

15.4.  PTAKIS naudotojų administratorius prieigos teises sustabdo nedelsdamas, gavęs iš PTAKIS tvarkytojo padalinio arba kito kompetentingo padalinio arba kompetentingo darbuotojo pateiktą informaciją apie tai, kad teisės aktų nustatytais atvejais PTAKIS naudotojas ar PTAKIS administratorius nušalinamas nuo darbo (pareigų), neatitinka teisės aktuose nustatytų PTAKIS naudotojo ar PTAKIS administratoriaus kvalifikacinių reikalavimų, praranda patikimumą, yra nėštumo ir gimdymo (motinystės) ar vaiko priežiūros atostogose ir pan.;

15.5.  administratorius prieigos teises panaikina gavęs PTAKIS valdytojo, PTAKIS tvarkytojo padalinio arba kito kompetentingo padalinio arba darbuotojo pateiktą informaciją apie PTAKIS naudotojo ar PTAKIS administratoriaus darbo (tarnybos) santykių pasibaigimą. PTAKIS naudotojų administratorius prieigos teises turi panaikinti paskutinę PTAKIS naudotojo ar PTAKIS administratoriaus darbo dieną, tačiau ne vėliau kaip iki darbo (tarnybos) dienos pabaigos. Priverstinio darbo (tarnybos) santykių nutraukimo atveju ir kitais atvejais, kai yra rizika, kad PTAKIS naudotojas ar PTAKIS administratorius gali atlikti tyčinius veiksmus (pakeisti ar sunaikinti elektroninę informaciją, sutrikdyti elektroninės informacijos perdavimą informacinių technologijų duomenų perdavimo tinklais, pažeisti PTAKIS saugumą, įvykdyti vagystę ir kita), prieigos teisės turi būti panaikintos nedelsiant;

15.6.  tiesioginiai PTAKIS naudotojų ir PTAKIS administratorių vadovai kartu su savo organizacijoje paskirtais PTAKIS ir (arba) elektroninės informacijos savininkais ne rečiau kaip kartą per metus arba keičiantis PTAKIS naudotojo ar PTAKIS administratoriaus pareigoms ar funkcijoms turi peržiūrėti šiems darbuotojams suteiktas teises, įvertinti jų atitiktį vykdomoms funkcijoms. Tiesioginiai PTAKIS naudotojų ir PTAKIS administratorių vadovai turi parengti rašytinį prašymą dėl prieigos teisių vidiniam PTAKIS naudotojui ar PTAKIS administratoriui pakeitimo, jeigu suteiktos prieigos teisės neatitinka vykdomų funkcijų.

17.1.  paskyrų galiojimas turi būti laikinai sustabdomas, kai vidinis PTAKIS naudotojas nesinaudoja PTAKIS ilgiau kaip 120 dienų (PTAKIS administratorius – 90 dienų);

17.2.  PTAKIS tvarkytojai turi patvirtinti asmenų, kuriems suteiktos PTAKIS naudotojo ir PTAKIS administratoriaus teisės prisijungti prie PTAKIS, sąrašai periodiškai (ne rečiau kaip kartą per pusmetį) peržiūrimi PTAKIS tvarkytojų saugos įgaliotinių savo organizacijose. Sąrašas turi būti nedelsiant peržiūrėtas, kai įstatymų nustatytais atvejais PTAKIS administratorius nušalinamas nuo darbo (pareigų);

17.3.  turi būti naudojamos PTAKIS naudotojų paskyrų kontrolės priemonės ir administratorių paskyrų kontrolės priemonės, kurios atliktų paskyrų patikrinimą ir apie nepatvirtintas PTAKIS naudotojų ir administratorių paskyras praneštų PTAKIS saugos įgaliotiniui. Apie nepatvirtintas administratorių paskyras turi būti pranešama nedelsiant;

17.4.  nereikalingos ar nenaudojamos  PTAKIS naudotojų ir PTAKIS administratorių paskyros turi būti blokuojamos nedelsiant ir ištrinamos praėjus audito duomenų saugojimo terminui, nustatytam PTAKIS saugaus elektroninės informacijos Tvarkymo taisyklėse.

21.1.  slaptažodis turi būti sudarytas iš raidžių, skaičių ir specialiųjų simbolių;

21.2.  slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija (pavyzdžiui, vardas, pavardė, gimimo data, šeimos narių vardai, prisijungimo vardas, gyvenamosios vietos adresas ar jo sudedamosios dalys, telefono numeris ir kita);

21.3.  draudžiama slaptažodžius atskleisti tretiesiems asmenims;

21.4.  kilus įtarimui dėl slaptažodžio konfidencialumo pažeidimo, slaptažodis turi būti nedelsiant pakeistas;

21.5.  didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius turi būti ne didesnis nei 5 kartai. Viršijus leistiną mėginimų įvesti teisingą slaptažodį skaičių, paskyra turi užsirakinti ir neleisti identifikuotis ne trumpiau nei 60 minučių. Apie PTAKIS naudotojų paskyrų užsirakinimą automatiškai turi būti informuojamas PTAKIS administratorius;

21.6.  slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais;

21.7.  PTAKIS  tvarkytojo saugos įgaliotinio sprendimu laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo naudotojo vardo ar identifikavimo kodo, jei PTAKIS naudotojas ar PTAKIS administratorius neturi galimybių iššifruoti gauto užšifruoto slaptažodžio arba nėra techninių galimybių PTAKIS naudotojui ar PTAKIS administratoriui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu.

22.1.  slaptažodį turi sudaryti ne mažiau kaip 8 simboliai;

22.2.  slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius;

22.3.  keičiant slaptažodį PTAKIS neturi leisti sudaryti slaptažodžio iš buvusių 3 paskutinių slaptažodžių;

22.4.  pirmojo prisijungimo prie PTAKIS metu PTAKIS turi automatiškai inicijuoti laikino slaptažodžio pakeitimą.

23.1. slaptažodį turi sudaryti ne mažiau kaip 12 simbolių;

23.2. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

23.3. keičiant slaptažodį PTAKIS neturi leisti sudaryti slaptažodžio iš buvusių slaptažodžių;

23.4. draudžiama PTAKIS techninėje ir programinėje įrangoje naudoti gamintojo nustatytus slaptažodžius, jie turi būti nedelsiant pakeisti ir atitikti PTAKIS administratorių slaptažodžiams taikomus reikalavimus.

25.1.  naudotojas nutraukia darbo santykius su Departamentu;

25.2.to paprašo naudotojo tiesioginis vadovas;

25.3.administratoriui kyla įtarimų, kad naudotojas piktnaudžiauja suteiktomis prieigos teisėmis ir gali pažeisti informacinės sistemos arba joje apdorojamų duomenų saugumą.

28.1. prieš suteikiant naudotojui prieigą prie informacinės sistemos;

28.2. pakeitus saugos dokumentaciją;

28.3. periodiškai, informacijos saugos mokymų metu, ne rečiau kaip kartą per du metus.

29.1. jei supažindinamas vienas naudotojas, leisti naudotojui su dokumentais susipažinti savarankiškai ir susitikimo metu įsitikinti, ar dokumentų turinys buvo tinkamai suprastas;

29.2. jei supažindinama grupė naudotojų, surengti trumpus mokymus, kurių metu būtų pristatomi saugos dokumentai, apžvelgiamas jų turinys, užduodami klausimai naudotojams ir atsakoma į naudotojų klausimus.

31.1.vykdo Saugos nuostatuose nustatytas funkcijas;

31.2.konsultuoja naudotojus dėl informacinės sistemos veikimo ir kitais susijusiais klausimais;

31.3.užtikrina nenutrūkstamą informacinės sistemos kompiuterių techninės ir programinės įrangos veikimą;

31.4.sprendžia informacinės sistemos incidentus, susijusius su sistemos veiklos sutrikimais, techninės ir programinės įrangos gedimais ir pan.;

31.5.atlieka kitas informacinės sistemos saugos politikos įgyvendinamuosiuose dokumentuose, elektroninės informacijos saugą reglamentuojančiuose teisės aktuose nustatytas funkcijas.