NARKOTIKŲ, TABAKO IR ALKOHOLIO KONTROLĖS DEPARTAMENTO DIREKTORIUS
ĮSAKYMAS
DĖL NARKOTIKŲ, TABAKO IR ALKOHOLIO KONTROLĖS DEPARTAMENTO SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ, NARKOTIKŲ TABAKO IR ALKOHOLIO KONTROLĖS DEPARTAMENTO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANO, NARKOTIKŲ, TABAKO IR ALKOHOLIO KONTROLĖS DEPARTAMENTO INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ PATVIRTINIMO
2022 m. vasario 4 d. Nr. T1-15
Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 31 straipsnio 2 dalimi, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ 7 ir 8 punktais, t v i r t i n u pridedamas:
1. Narkotikų, tabako ir alkoholio kontrolės departamento saugaus elektroninės informacijos tvarkymo taisykles;
2. Narkotikų tabako ir alkoholio kontrolės departamento informacinės sistemos veiklos tęstinumo valdymo planą;
3. Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos naudotojų administravimo taisykles.
PATVIRTINTA
Narkotikų, tabako ir alkoholio kontrolės departamento direktoriaus
2022 m. vasario 4 d. įsakymu Nr. T1-15
NARKOTIKŲ, TABAKO IR ALKOHOLIO KONTROLĖS DEPARTAMENTO
SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Narkotikų, tabako ir alkoholio kontrolės departamento saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės) nustato saugų Narkotikų, tabako ir alkoholio departamento (toliau – Departamentas) Narkotinių ir psichotropinių medžiagų ir jų pirmtakų (prekursorių) teisėtos apyvartos kontrolės informacinės sistemos (toliau – PTAKIS) techninės, programinės įrangos funkcionavimą, saugų duomenų tvarkymą ir jų teikimą pagal teisės aktų nustatytus reikalavimus.
2. Tvarkymo taisyklėse vartojamos sąvokos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Departamento informacinės sistemos nuostatuose ir Departamento informacinės sistemos duomenų saugos nuostatuose, patvirtintuose Departamento direktoriaus 2014 m. spalio 8 d. įsakymu Nr. T1-328 „Dėl Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos nuostatų ir Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau atitinkamai – Informacinės sistemos nuostatai ir Saugos nuostatai).
4. Už PTAKIS duomenų saugų tvarkymą atsakingi PTAKIS naudotojai t.y. Departamento valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis PTAKIS ištekliais numatytoms funkcijoms atlikti (toliau – naudotojai) ir PTAKIS administratorius atliekantis Saugos nuostatose nurodytas funkcijas. Už Taisyklių įgyvendinimo organizavimą ir kontrolę atsakingas Saugos įgaliotinis atliekantis Saugos nuostatose nurodytas funkcijas.
II SKYRIUS
TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS
5. Kompiuterinės įrangos saugos priemonės:
5.1. kompiuterinė įranga prižiūrima laikantis gamintojo rekomendacijų, užtikrinamas šios įrangos gamintojų garantinis aptarnavimas;
5.3. fizinė prieiga prie PTAKIS tarnybinės stoties suteikiama tik informacinių technologijų darbuotojams.
6. Sisteminės ir taikomosios programinės įrangos saugos priemonės:
6.2. administratoriai ir naudotojai turi unikalų identifikatorių, sudarytą pagal administratorių ar naudotojų vardą ir slaptažodį. Unikalaus identifikatoriaus sudarymo ir naudojamo tvarką nustato PTAKIS naudotojų administravimo taisyklės, patvirtintos Departamento direktoriaus 2022 m. vasario 4 d. įsakymu Nr. T1-15 „Dėl Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos naudotojų administravimo taisyklių patvirtinimo“ (toliau – Naudotojų administravimo taisyklės);
6.4. slaptažodžius, suteikiančius teisę administruoti PTAKIS ir jos naudotojus, gali žinoti tik administratoriai;
6.5. programinis kodas apsaugotas nuo neteisėtos prieigos. Apsaugai nuo neteisėtos prieigos taikomos tokios pačios priemonės kaip ir PTAKIS duomenims apsaugoti;
7. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:
7.1. kompiuterių tinklas turi būti atskirtas nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant ugniasienes, automatine įsilaužimų aptikimo ir prevencijos įranga;
7.2. PTAKIS tarnybinės stotys nuo grėsmių iš interneto apsaugotos užkardomis, naudojant ugniasienę, kuri turi būti periodiškai prižiūrima ir atnaujinama;
7.4. pagrindinėse PTAKIS tarnybinėse stotyse įjungtos saugasienės (angl. Web Application Firewall), sukonfigūruotos blokuoti visą gaunamų ir siunčiamų duomenų srautą, išskyrus susijusį su informacinės sistemos funkcionalumu ir administravimu. Ne rečiau kaip kartą per mėnesį atliekama saugasienių užfiksuotų įvykių analizė ir šalinamos pastebėtos neatitiktys saugumo reikalavimams.
8. Naudojamų svetainių, pasiekiamų iš viešųjų elektroninių ryšių tinklų, saugumo ir kontrolės priemonės:
8.1. turi būti įgyvendinti atpažinties, tapatumo patvirtinimo ir naudojimosi PTAKIS saugumo ir kontrolės reikalavimai, nustatyti PTAKIS naudotojų administravimo taisyklėse;
8.3. šifruojant naudojami skaitmeniniai sertifikatai turi būti išduoti patikimų sertifikavimo tarnybų. Sertifikato raktas negali būti trumpesnis kaip 2048 bitų;
8.5. tarnybinės stoties, kurioje yra svetainė, svetainės saugos parametrai turi būti teigiamai įvertinti naudojant Nacionalinio kibernetinio saugumo centro rekomenduojamą testavimo priemonę;
8.6. turi būti naudojama svetainės saugasienė, įsilaužimo atakų pėdsakai atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus valandos, jeigu valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo poveikio ryšių ir informacinės sistemos veiklai vertinimas (testavimas);
8.7. turi būti naudojamos apsaugos priemonės nuo pagrindinių per tinklą vykdomų atakų (pvz.: struktūrizuotų užklausų kalbos įskverbties (angl. SQL injection), įterptinių instrukcijų (angl. XSS), internetinės paslaugos sutrikdymo (angl. DOS), paskirstyto atsisakymo aptarnauti (angl. DDOS) ir kitų). Pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas atviro tinklo programų saugumo projekto interneto svetainėje (www.owasp.org);
9. Patalpų ir aplinkos saugumo užtikrinimo priemonės:
9.1. reikalavimai tarybinių stočių patalpoms:
9.1.1. turi būti įrengtos nedegios metalinės, apsaugotos nuo įsilaužimo, savaime užsidarančios ir visada rakinamos durys;
9.1.2. turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti gaisro gesinimo priemonės, įrengtos šildymo, vėdinimo ir oro kondicionavimo sistemos;
9.1.4. oro kondicionavimo ir drėgmės kontrolės įranga turi būti dubliuota. Temperatūros ir oro drėgnumo normos užtikrinamos pagal techninės įrangos gamintojų nustatytus reikalavimus. Patalpų oro kondicionavimo ir drėgmės kontrolės įranga turi turėti automatinę perspėjimo funkciją;
9.1.5. turi būti užtikrinamas nepertraukiamas elektros energijos tiekimas, naudojant alternatyvų elektros energijos tiekimo šaltinį, kurio veikimas ne rečiau kaip du kartus per metus tikrinamas imituojant elektros energijos dingimą. Alternatyvaus elektros energijos tiekimo šaltinio patikrinimai registruojami žurnale;
9.2. patekti į tarybinių stočių patalpas gali tik tie asmenys, kuriems tai būtina nustatytoms funkcijoms atlikti;
9.4. trečiųjų šalių atstovai ir kiti asmenys į tarybinių stočių patalpas gali patekti ar dirbti jose tik lydimi administratoriaus;
10. Kitos priemonės, naudojamos PTAKIS elektroninės informacijos saugumui užtikrinti:
10.1. PTAKIS tarnybinių stočių įvykių žurnaluose registruojami (nurodant įvykio laiką ir naudotojo unikalų identifikatorių) ir ne mažiau kaip vienus metus saugomi duomenys apie:
10.2. naudojant programinę įrangą turi būti nuolat atliekama PTAKIS funkcionavimo analizė ir sutrikimų prevencija;
III SKYRIUS
SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
11. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo tvarka:
11.1. elektroninę informaciją įvesti į PTAKIS, joje keisti, atnaujinti ir tvarkyti gali tik naudotojai, kuriems suteiktos tokios prieigos teisės;
11.2. įvesti į PTAKIS, joje keisti ir naikinti naudotojų duomenis gali tik administratoriai, kuriems suteiktos naudotojų administravimo teisės;
11.3. įvesti, keisti, atnaujinti PTAKIS klasifikatorių duomenų bazėje tvarkomus duomenis gali tik administratorius pagal suteiktas prieigos teises;
11.4. naudotojų tapatybė ir veiksmai su PTAKIS elektronine informacija fiksuojami programinėmis priemonėmis;
11.5. naudotojų veiksmai automatiniu būdu įrašomi PTAKIS naudotojų veiksmų žurnale, kuris turi būti apsaugotas nuo neteisėto jame esančios informacijos panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;
11.5.1. veiksmų žurnaluose registruojami (nurodant įvykio laiką ir naudotojo unikalų identifikatorių) ir ne mažiau kaip vienus metus saugomi duomenys apie:
11.7. išorinėse duomenų laikmenose ir elektroniniame pašte esantys asmens duomenys po panaudojimo turi būti ištrinami;
11.8. naudotojui neatliekant jokių veiksmų 15 minučių, taikomoji programinė įranga užsirakina, kad toliau naudotis galima būtų tik pakartotinai atlikus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;
11.9. naudotojui baigus darbą ar pasitraukus iš darbo vietos, turi būti automatiškai užtikrinama, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys (pvz., turi būti atsijungiama nuo PTAKIS, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai ar jų kopijos padedami į pašaliniams asmenims neprieinamą vietą);
11.10. keitimasis PTAKIS ir kitų informacinių sistemų elektronine informacija vykdomas pagal su jų valdytojais sudarytas duomenų teikimo sutartis, tokiose sutartyse nustatytais būdais ir terminais;
12. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo, perdavimo ar kitokios neteisėtos veiklos (toliau – neteisėta veikla) nustatymo tvarka:
12.1. siekiant nustatyti, ar su PTAKIS elektronine informacija nėra vykdoma neteisėta veikla, visi elektroniniuose įvykių žurnaluose saugomi įrašai turi būti analizuojami ne rečiau kaip kartą per mėnesį, taip pat nurodomas asmuo, atsakingas už įvykių žurnalų analizę. Siekiant nustatyti, ar su PTAKIS elektronine informacija nėra vykdoma neteisėta veikla, visi elektroniniuose įvykių žurnaluose saugomi įrašai turi būti analizuojami ne rečiau kaip kartą per mėnesį, taip pat nurodomas asmuo, atsakingas už įvykių žurnalų analizę;
12.2. PTAKIS naudotojai, pastebėję Tvarkymo taisyklėse, Duomenų saugos nuostatuose, administravimo taisyklėse, PTAKIS veiklos tęstinumo valdymo plane nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo priemones, įvykius ar veiką, atitinkančią kibernetinio ar elektroninės informacijos saugos incidento požymius, arba apie tai gavę informacijos iš kitų informacijos šaltinių, privalo nedelsdami pranešti apie tai administratoriui ir PTAKIS saugos įgaliotiniui;
13. Programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:
13.1. įdiegti PTAKIS kompiuterių, tarnybinių stočių techninę ir programinę įrangą, ją keisti ir atnaujinti gali tik administratoriai;
13.2. administratorius ne vėliau kaip prieš 4 valandas iki planuojamo PTAKIS techninės ir programinės įrangos pakeitimo, kurio metu galimi PTAKIS veikimo sutrikimai, privalo informuoti naudotojus apie tokių darbų pradžią ir galimus PTAKIS veikimo sutrikimus;
13.3. PTAKIS reikalinga taikomoji programinė įranga turi būti įsigyjama su visomis autorinėmis teisėmis (programos išeities kodais ir teisėmis juos keisti) ir nustatomas garantinio aptarnavimo laikas trūkumams ir klaidoms pašalinti;
13.5. perduodant remontuoti sugedusią techninę įrangą, turi būti išimamos duomenų laikmenos (kietieji diskai ir kt.) arba daromos jų kopijos ir laikmenose saugomi duomenys ištrinami;
14. PTAKIS pokyčių valdymo tvarka:
14.1. valdytojas turi planuoti PTAKIS pokyčius, t. y. juos identifikuoti ir suskirstyti į kategorijas pagal tipą (pvz., administracinis, organizacinis ar techninis), įtaką (pvz., svarbumas ir skubumas) ir prioritetus (pvz., eiliškumas);
14.2. pokyčiai turi būti identifikuojami nustačius naudotojų ir administratorių poreikius, apibendrinus priežiūros problemas ir kitais gerąja praktika laikytinais atvejais;
14.3. visi pokyčiai (projektavimas, kūrimas, testavimas, diegimas) turi būti atliekami tik valdytojo, saugos įgaliotinio ar PTAKIS administratoriaus iniciatyva;
14.4. pokyčių projektavimą ir kūrimą gali atlikti valstybės tarnautojas, pagal pareigybės aprašymą atsakingas už taikomosios programinės įrangos priežiūrą ir projektavimą tam skirtoje kūrimo aplinkoje, prireikus pasitelkdamas trečiąsias šalis;
14.5. inicijuoti pokyčius turi teisę PTAKIS valdytojas, PTAKIS tvarkytojai, duomenų valdymo įgaliotinis, saugos įgaliotinis, administratorius;
14.6. pokyčiai registruojami pokyčių registre po to, kai valdytojas juos įvertina ir nustato įtaką bei prioritetą;
14.7. pokyčiai, galintys sutrikdyti ar sustabdyti PTAKIS darbą, daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri atskirta nuo eksploatuojamos PTAKIS. Pokyčiai eksploatuojamoje PTAKIS aplinkoje gali būti vykdomi tik išimtiniais atvejais, kai dėl techninių, programinių ar kitų priežasčių (pvz., veiklos atkūrimo ar kitos avarinės situacijos) nėra galimybės jų patikrinti PTAKIS bandomojoje aplinkoje;
14.8. atlikus pokyčių bandymą PTAKIS bandomojoje aplinkoje, sėkmės atveju pokyčiai perkeliami į gamybinę aplinką;
14.9. administratoriai turi informuoti naudotojus apie pokyčius, jeigu juos įgyvendinant galimi PTAKIS darbo sutrikimai. Informuojama informacinės sistemos taikomosiose programose ar kitomis priemonėmis (pvz., raštu, elektroniniu paštu ir pan.) ne vėliau kaip likus vienai darbo dienai iki planuojamo pokyčio įgyvendinimo pradžios. Šis papunktis gali būti netaikomas, jeigu įgyvendinami skubūs pokyčiai.
15. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (toliau – mobilieji įrenginiai) naudojimo tvarka:
15.2. mobiliesiems įrenginiams, naudojamiems valdytojo ar tvarkytojo patalpose, taip pat esantiems vidiniame PTAKIS kompiuterių tinkle, taikomi tokie patys elektroninės informacijos saugos ir kibernetinio saugumo reikalavimai kaip ir stacionariesiems kompiuteriams;
15.3. leidžiama naudoti tik valdytojo nustatytus saugumo reikalavimus atitinkančius mobiliuosius įrenginius;
15.5. iš mobiliųjų įrenginių draudžiama tiesiogiai nuotoliniu būdu prisijungti prie PTAKIS informacinių technologijų infrastruktūros. Prisijungimas galimas tik per tarpinį įrenginį, taikant virtualaus privataus tinklo (angl. VPN) technologiją, atitinkančią saugos politikos įgyvendinimo dokumentuose nustatytus organizacinius ir techninius elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus;
15.6. turi būti naudojamos priemonės, kurios apribotų neleistinus ar saugumo reikalavimų neatitinkančius mobiliuosius įrenginius, reguliariai tikrinami tarpiniai ir mobilieji įrenginiai. Apie neleidžiamus ar saugumo reikalavimų neatitinkančius tarpinius ar mobiliuosius įrenginius būtina pranešti saugos įgaliotiniui;
15.7. privaloma parengti mobiliųjų įrenginių operacinių sistemų atvaizdus su saugumo nuostatomis. Atvaizde turi būti nustatyti tik veiklai būtini operacinių sistemų komponentai (administravimo paskyros, paslaugos, taikomosios programos, tinklo prievadai, atnaujinimai, sisteminės priemonės). Atvaizdai turi būti reguliariai peržiūrimi ir, nustačius naujų pažeidžiamų vietų ar atakų, iškart atnaujinami;
15.8. pagal parengtus atvaizdus į mobiliuosius įrenginius turi būti įdiegiama operacinė sistema su saugumo nuostatomis;
15.9. mobilieji įrenginiai, kuriais naršoma internete, privalo būti apsaugoti nuo judriųjų programų keliamų grėsmių;
15.10. mobiliuosiuose įrenginiuose turi būti naudojamos vykdomojo kodo kontrolės priemonės, automatiškai apribojančios neleistino vykdomojo kodo naudojimą ar informuojančios apie tokio kodo naudojimą administratorių;
15.11. mobilieji įrenginiai privalo būti apsaugoti slaptažodžiu, sudaromu ir tvarkomu Naudotojų administravimo taisyklėse nustatyta tvarka. Mobiliajame įrenginyje naudojama mobiliojo ryšio kortelė turi būti apsaugota PIN kodu, kuris neturi būti sudarytas iš asmeninės informacijos (pvz., gimimo datos ir pan.) arba lengvai atspėjamo skaičių derinio;
15.12. mobiliuosiuose įrenginiuose (pvz., mobiliųjų įrenginių, išorinėse kompiuterinėse laikmenose) laikoma elektroninė informacija ir kita nevieša informacija turi būti užšifruojama;
15.13. mobiliųjų įrenginių kenksmingos programinės įrangos aptikimo, elektroninės informacijos šifravimo ir kita programinė įranga gali būti įsigyjama tik iš patikimų ir oficialių tiekėjų teisės aktų nustatyta tvarka;
15.14. mobiliuosiuose įrenginiuose privaloma išjungti belaidę prieigą, jeigu jos nereikia darbo funkcijoms atlikti, taip pat lygiarangių (angl. peer-to-peer communications) naudojimo funkcinę galimybę, belaidę periferinę prieigą;
15.15. mobilieji įrenginiai viešose vietose negali būti palikti be priežiūros, mobilusis įrenginys, kuriuo nesinaudojama 15 minučių, turi automatiškai užsirakinti;
15.16. mobiliajame įrenginyje ar jo taikomojoje programinėje įrangoje turi būti uždrausta išsaugoti slaptažodį;
IV SKYRIUS
REIKALAVIMAI, KELIAMI DEPARTAMENTO INFORMACINĖS SISTEMOS FUNKCIONAVIMUI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS
16. Perkant su PTAKIS, jos projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu susijusias paslaugas, darbus ar prekes, pirkimo dokumentuose nustatoma, kad tiekėjas užtikrina jų atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, nustatytiems reikalavimams. Perkamos paslaugos, darbai ar prekės turi atitikti teisės aktų ir standartų, kuriais vadovaujamasi užtikrinant elektroninės informacijos saugą ir kibernetinį saugumą, reikalavimus, kurie iš anksto nustatomi paslaugų teikimo, darbų atlikimo ar prekių tiekimo pirkimo dokumentuose.
17. Tiekėjui prieiga prie PTAKIS gali būti suteikiama tik tada, kai pasirašoma sutartis, kurioje nustatomos tiekėjo teisės, pareigos, prieigos prie PTAKIS lygiai ir sąlygos, elektroninės informacijos saugos, kibernetinio saugumo, konfidencialumo reikalavimai ir atsakomybė už jų nesilaikymą. Administratorius turi supažindinti tiekėją su suteiktos prieigos prie PTAKIS saugos ir kibernetinio saugumo reikalavimais ir sąlygomis. Administratorius yra atsakingas už prieigos prie PTAKIS tiekėjui suteikimą ar panaikinimą pasirašius sutartį, pasibaigus sutarties su tiekėju galiojimo terminui ar kitais sutartyje nurodytais prieigos prie PTAKIS panaikinimo atvejais.
18. Tiekėjui suteikiamas tik toks prieigos prie informacinės sistemos lygis, kuris yra būtinas sutartyje nustatytiems įsipareigojimams vykdyti. Tiekėjo paskirti specialistai, kurie vykdys sutartį, turi pasirašyti konfidencialumo pasižadėjimus.
19. Siekdamas įsitikinti, ar tinkamai vykdoma sutartis, laikomasi elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų, valdytojas prireikus gali atlikti tiekėjo teikiamų paslaugų stebėseną ir auditą, suteikti galimybę atlikti auditą trečiosioms šalims.
20. Tiekėjas privalo nedelsdamas informuoti valdytoją apie sutarties vykdymo metu pastebėtus elektroninės informacijos saugos ar kibernetinius incidentus, pastebėtas neveikiančias arba netinkamai veikiančias saugos ar kibernetinio saugumo užtikrinimo priemones, elektroninės informacijos saugos ar kibernetinio saugumo reikalavimų nesilaikymą, nusikalstamos veikos požymius, saugumo spragas, pažeidžiamas vietas, kitus svarbius saugai įvykius.
21. Valdytojas su interneto paslaugų teikėju turi būti sudaręs sutartis dėl apsaugos nuo informacinės sistemos elektroninių paslaugų trikdžių, reagavimo į kibernetinius incidentus įprastomis darbo valandomis ir po darbo valandų, nepertraukiamo interneto paslaugos teikimo ir interneto paslaugos sutrikimų registravimo 24 valandas per parą, 7 dienas per savaitę.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
23. Naudotojas privalo kuo greičiau informuoti Saugos įgaliotinį ar Informacinės sistemos administratorių apie pastebėtus saugumo incidentus: šių Taisyklių reikalavimų pažeidimus, informacinės sistemos veiklos sutrikimus arba neįprastą sistemos veikimą.
PATVIRTINTA
Narkotikų, tabako ir alkoholio kontrolės departamento direktoriaus
2022 m. vasario 4 d. įsakymu Nr. T1-15
NARKOTIKŲ TABAKO IR ALKOHOLIO KONTROLĖS DEPARTAMENTO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Narkotikų tabako ir alkoholio kontrolės departamento informacinės sistemos veiklos tęstinumo valdymo planas (toliau – Valdymo planas) reglamentuoja Narkotikų, tabako ir alkoholio kontrolės departamento (toliau – Departamentas) Narkotinių ir psichotropinių medžiagų ir jų pirmtakų (prekursorių) teisėtos apyvartos kontrolės informacinės sistemos (toliau – PTAKIS) veiklos tęstinumo užtikrinimą, nustato informacinės sistemos ir jos posistemių atkūrimo prioritetus ir atsakomybę, veiksmų detalųjį planą, saugos incidentų tyrimo tvarką, reikalavimus atsarginėms patalpoms, naudojamoms veiklai atkurti. Valdymo planas taip pat reglamentuoja informacinės sistemos naudotojų, administratoriaus, saugos įgaliotinio veiksmus esant elektroninės informacijos saugos incidentui, kurios metu gali kilti pavojus informacinės sistemos duomenims, kompiuterinės, programinės įrangos funkcionavimui.
2. Valdymo plane vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Departamento informacinės sistemos nuostatuose ir Departamento informacinės sistemos duomenų saugos nuostatuose, patvirtintuose Departamento direktoriaus 2014 m. spalio 8 d. įsakymu Nr. T1-328 „Dėl Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos nuostatų ir Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau atitinkamai – Informacinės sistemos nuostatai ir Saugos nuostatai).
3. Valdymo plane nustatyti veiksmai vykdomi, kai įvyksta incidentas, dėl kurio tvarkytojai negali naudotis PTAKIS ir būtina atkurti įprastą jos veiklą PTAKIS valdytojo (toliau – valdytojas), PTAKIS tvarkytojų (toliau – tvarkytojai) ar atsarginėse patalpose. Vykdymo planas įsigalioja įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, dėl kurio PTAKIS tvarkytojas (tvarkytojai) negali teikti PTAKIS elektroninių paslaugų daliai arba visiems PTAIS naudotojams ir būtina atkurti įprastą PTAKIS veiklą PTAKIS tvarkytojo (tvarkytojų) patalpose arba atsarginėse patalpose. Valdymo plano vykdymą atitinkamai inicijuoja PTAKIS tvarkytojo (tvarkytojų) paskirti atsakingi asmenys. Valdymo plano nuostatos taip pat taikomos po stichinės nelaimės, avarijos ar kitų ekstremalių situacijų, kai būtina atkurti įprastą PTAKIS veiklą.
4. Saugos įgaliotinio, administratoriaus ir tvarkytojų veiksmai elektroninės informacijos saugos incidento metu nurodyti PTAKIS veiklos tęstinumo valdymo detaliajame plane (1 priedas) (toliau – Detalusis planas).
5. Incidentų tyrimas atliekamas vadovaujantis Valdymo planu ir Nacionaliniu kibernetinių incidentų valdymo planu.
6. PTAKIS veiklos atkūrimo veiksmai, atsižvelgiant į incidento pavojingumą ir privalomų atlikti veiksmų pobūdį, turi būti atlikti per kaip įmanoma trumpesnį terminą.
7. Įvykus incidentui:
7.1. naudotojai vykdo PTAKIS veiklos tęstinumo valdymo grupės (toliau – veiklos tęstinumo valdymo grupė) ir PTAKIS veiklos atkūrimo grupės (toliau – veiklos atkūrimo grupė) reikalavimus;
7.2. administratorius, kai incidentas įvyksta PTAKIS tarnybinėje stotyje:
7.2.1. nedelsdamas imasi incidento sustabdymo ir padarinių likvidavimo veiksmų ir apie tai praneša saugos įgaliotiniui;
7.2.3. suderinęs su saugos įgaliotiniu, atlieka neatidėliotinus administravimo veiksmus, skirtus incidento plėtrai sustabdyti ir tyrimui būtinai informacijai surinkti;
7.2.4. surenka visą su incidentu susijusią informaciją ir jį aprašo, nurodydamas incidento vietą, laiką, pobūdį, atkuriamuosius darbus ir kitą susijusią informaciją;
7.2.5. dalyvauja veiklos tęstinumo valdymo grupei ir veiklos atkūrimo grupei atliekant Valdymo plane nurodytas funkcijas;
7.3. saugos įgaliotinis:
7.3.1. gavęs informaciją apie incidentą, įvertina jo svarbą ir pateikia informaciją veiklos tęstinumo valdymo grupės vadovui;
7.3.2. pagal kompetenciją bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, kibernetinius ir elektroninės informacijos saugos incidentus, neteisėtas veikas, susijusias su kibernetiniais ir elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka sudarytos elektroninės informacijos saugos ir kibernetinio saugumo darbo grupės;
7.3.3. pagal kompetenciją duoda privalomus nurodymus ir pavedimus valdytojui ir naudotojams, jeigu tai būtina elektroninės informacijos saugos ir kibernetinio saugumo politikai įgyvendinti;
8. Valdytojas:
9. Veiklos tęstinumo valdymo grupės vadovas, atsižvelgdamas į incidento pobūdį, gali inicijuoti išsamų tyrimą, pateikdamas valdytojo vadovui pasiūlymą sudaryti tyrimo komisiją, kuri per 10 darbo dienų turi ištirti incidento priežastis, nustatyti asmenis, dėl kurių veiksmų ir (ar) neveikimo jis įvyko, nustatyti pasekmes ar galimą žalą ir pateikti veiklos tęstinumo valdymo grupės vadovui tyrimo išvadą.
10. Veiklos tęstinumo valdymo grupės vadovas, atsižvelgdamas į tyrimo komisijos išvadą, turi teisę teikti valdytojo vadovui siūlymus dėl atsakomybės teisės aktų nustatyta tvarka taikymo.
11. Valdymo planas privalomas valdytojui ir tvarkytojams, saugos įgaliotiniui, duomenų valdymo įgaliotiniui, administratoriams, PTAKIS techninės ir programinės įrangos priežiūros paslaugų teikėjams Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme nustatytomis sąlygomis ir tvarka.
12. Valdymo planas pagrįstas šiais pagrindiniais principais:
12.1. naudotojų gyvybės ir sveikatos apsauga (turi būti užtikrintas visų naudotojų saugumas, gyvybės ir sveikatos apsauga, kol trunka incidentas ir likviduojami jo padariniai);
12.3. naudotojų mokymas (naudotojai turi būti supažindinti su Valdymo planu ir jų atsakomybę nustatančiais teisės aktais;
13. Dėl finansinių ir kitokių išteklių, skirtų PTAKIS veiklai atkurti, šaltinių sprendžia veiklos tęstinumo valdymo grupė. PTAKIS veiklos atkūrimas finansuojamas iš Lietuvos Respublikos valstybės biudžeto ir kitų finansavimo šaltinių.
14. Kriterijai, pagal kuriuos nustatoma, ar PTAKIS veikla atkurta:
14.3. PTAKIS vykdo veiklą reglamentuojančiuose teisės aktuose, paslaugų teikimo sutartyse ir kituose teisės aktuose nustatytus uždavinius ir funkcijas;
II SKYRIUS
ORGANIZACINĖS NUOSTATOS
15. Veiklos tęstinumo valdymo grupė incidento metu koordinuoja grėsmių valdymą ir PTAKIS veiklos atkūrimo veiksmus.
16. Veiklos tęstinumo valdymo grupę sudaro šie Departamento atstovai:
16.4. kiti Departamento direktoriaus paskirti valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis;
17. Veiklos tęstinumo valdymo grupė:
17.2. bendrauja su viešosios informacijos rengėjų ir skleidėjų atstovais, susijusių informacinių sistemų (registrų) veiklos tęstinumo valdymo grupėmis, teisėsaugos ir kitomis institucijomis;
18. Veiklos atkūrimo grupė vykdo veiklos tęstinumo valdymo grupės pavedimus, PTAKIS veiklos atkūrimo ir veikimo užtikrinimo darbus ir yra atskaitinga veiklos tęstinumo valdymo grupei.
19. Veiklos atkūrimo grupę sudaro šie Departamento atstovai:
20. Veiklos atkūrimo grupė:
21. Įvykus incidentui, veiklos atkūrimo grupės narys turi apie tai informuoti veiklos atkūrimo grupės vadovą, o šis nedelsdamas informuoja veiklos tęstinumo valdymo grupės vadovą.
22. Incidentai valdomi vadovaujantis Detaliajame plane nurodytais PTAKIS veiklos atkūrimo veiksmais.
23. Įvykus incidentui, veiklos tęstinumo valdymo ir veiklos atkūrimo grupių pasitarimai vyksta pirmojo veiklos tęstinumo valdymo grupės susitikimo metu nustatytu dažnumu, šios grupės tarpusavyje bendrauja visomis tuo metu prieinamomis priemonėmis (pvz., elektroniniu paštu, stacionariuoju, judriuoju ryšiu ir pan.).
24. Reikalavimai atsarginėms patalpoms:
24.1. turi atitikti PTAKIS techninės įrangos gamintojų nustatytus aplinkos reikalavimus (pvz., oro temperatūros, drėgmės ir pan.);
24.2. patekimas į jas turi būti kontroliuojamas (pildomas registracijos žurnalas arba naudojamas koduotas identifikuojantis patekimo raktas);
24.6. turi turėti rezervinį elektros energijos šaltinį (PTAKIS kompiuterinei techninei įrangai ir duomenų perdavimo tinklo mazgams), užtikrinantį įrangos veikimą ne trumpiau kaip 30 minučių;
25. Jeigu įvykus incidentui pagrindinės PTAKIS tarnybinių stočių ir kitos telekomunikacijų įrangos patalpos tampa netinkamos naudoti, siekiant užtikrinti PTAKIS veiklą turi būti naudojamos kitos atsarginėms patalpoms keliamus reikalavimus atitinkančios patalpos.
26. Įvykus incidentui, nenumatytai situacijai ar esminiam organizaciniam PTAKIS ar jos komponentų pokyčiams, veiklos tęstinumo valdymo ir veiklos atkūrimo grupės turi organizuoti bendrą susirinkimą.
27. Veiklos tęstinumo valdymo grupė, atlikusi situacijos analizę, apie priimtus sprendimus informuoja veiklos atkūrimo grupę PTAKIS veiklos tęstinumo valdymo klausimais. Veiklos atkūrimo grupė, atsižvelgdama į veiklos tęstinumo valdymo grupės priimtus sprendimus, organizuoja PTAKIS veiklos atkūrimą.
III SKYRIUS
APRAŠOMOSIOS NUOSTATOS
29. PTAKIS veiklos tęstinumui užtikrinti parengiami ir saugomi:
29.2. pastato, kuriame yra PTAKIS įranga, aukštų patalpų brėžiniai, kuriuose pažymėta:
29.4. dokumentas, kuriame nurodytos elektroninės informacijos teikimo, kompiuterinės, techninės ir programinės įrangos priežiūros sutartys ir už jų įgyvendinimo priežiūrą atsakingi asmenys;
29.5. veiklos tęstinumo valdymo ir veiklos atkūrimo grupių narių sąrašai ir kontaktiniais duomenys, kad būtų galima susisiekti bet kuriuo paros metu;
29.6. PTAKIS programinės įrangos laikmenos ir laikmenos su atsarginėmis duomenų kopijomis saugomos pas PTAKIS administratorių;
29.7. minimalių funkcinių galimybių informacinių technologijų įrangos, tinkamos valdytojo ir tvarkytojų poreikius atitinkančiai PTAKIS veiklai užtikrinti, kai įvyksta incidentas arba nenumatyta situacija, specifikacija ir už tokios įrangos priežiūrą atsakingų administratorių sąrašas;
30. Už Valdymo plano 29 punkte nurodytų dokumentų parengimą, saugojimą, nuolatinį atnaujinimą ir kompiuterinės, techninės bei programinės įrangos sutarčių vykdymo priežiūrą atsakingas administratorius. Nurodyti dokumentai saugomi saugos įgaliotinio darbo vietoje ir administratoriaus darbo vietoje.
31. Administratorių pavaduojančio asmens minimalus kompetencijos ar žinių lygis negali būti mažesnis nei nustatytas administratoriaus pareigybės aprašyme.
32. Elektroninės informacijos teikimo, kompiuterinės, techninės ir programinės įrangos priežiūros sutartys saugomos Departamento Bendrųjų reikalų ir vidaus administravimo skyriuje.
IV SKYRIUS
VALDYMO PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS
34. Valdymo plano veiksmingumo išbandymo datą ir būdą nustato saugos įgaliotinis ir įrašo į Valdymo plano veiksmingumo išbandymų registracijos žurnalą (2 priedas).
35. Valdymo plano veiksmingumo išbandymas atliekamas ne rečiau kaip kartą per metus. Atsižvelgdamas į Valdymo plano veiksmingumo išbandymo rezultatus saugos įgaliotinis parengia Valdymo plano veiksmingumo išbandymo ataskaitą (toliau – ataskaita) (3 priedas), kurioje apibendrinami atliktų bandymų rezultatai, nurodomi pastebėti trūkumai ir priemonės jiems pašalinti. Kibernetinio ar elektroninės informacijos saugos incidento simuliacijos metu gauti rezultatai turi būti naudojami Valdymo planui atnaujinti. Ataskaita teikiama valdytojui.
36. Valdymo plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami remiantis efektyvumo, ekonomiškumo, rezultatyvumo ir operatyvumo principais.
38. Veiklos tęstinumo valdymo plano išbandymo ataskaitų kopijos ne vėliau kaip per penkias darbo dienas nuo šių dokumentų priėmimo pateikiamos Nacionaliniam kibernetinio saugumo centrui.
39. Veiklos tęstinumo valdymo procesams tobulinti turi būti matuojama ir vertinama:
Narkotikų tabako ir alkoholio kontrolės departamento
informacinės sistemos veiklos tęstinumo
valdymo plano
1 priedas
PTAKIS VEIKLOS TĘSTINUMO VALDYMO DETALUSIS PLANAS
1. PTAKIS veiklos tęstinumo valdymo detalusis planas (toliau – detalusis planas) nustato PTAKIS veiklos atkūrimo veiksmų vykdymo eiliškumą ir atsakingus vykdytojus.
2. Įsigaliojus detaliajam planui, veiklos tęstinumo valdymo grupė informuoja naudotojus ir suinteresuotus asmenis apie PTAKIS veikimo sutrikimus. Informacija teikiama elektroniniu paštu, telefonu ar kitomis priemonėmis.
3. Veiklos atkūrimo grupė PTAKIS veiklą atkuria pagal šiuos PTAKIS funkcijų prioritetus:
3.1. tarnybinių stočių veikimo atkūrimas:
4. PTAKIS veiklos atkūrimo veiksmai:
Pavojaus rūšys |
Pirmaeiliai veiksmai |
Veiklos atkūrimo veiksmai |
Atsakingi vykdytojai |
1. Oro sąlygos (klimatinių sąlygų poveikis informacinei sistemai) |
1.1. įvertinamos elektroninės informacijos saugos incidento pasekmės, sudaromas ir įgyvendinamas pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių planas |
1.1.1. įvertinama elektroninės informacijos saugos incidento metu padaryta žala |
veiklos tęstinumo valdymo grupė |
1.1.2. sudaromas ir paskelbiamas pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių planas |
veiklos atkūrimo grupė |
||
1.1.3. įgyvendinamas priemonių planas |
veiklos atkūrimo grupė |
||
1.2. paskiriami darbuotojai likviduoti elektroninės informacijos saugos incidento pasekmes |
1.2.1. paskiriami žalą likviduojantys darbuotojai ir sudaromas incidento likvidavimo grafikas |
veiklos atkūrimo grupė |
|
1.2.2. koordinuojami žalą likviduojančių darbuotojų veiksmai |
veiklos atkūrimo grupė |
||
1.3. sekama metrologinė informacija |
1.3.1. žalą likviduojančių darbuotojų instruktavimas |
Informacinės sistemos saugos įgaliotinis |
|
1.4. elektroninės informacijos saugos incidento metu teikiama informacija Informacinės sistemos naudotojams |
1.4.1. instruktuojami elektroninės informacijos saugos incidento pasekmes likviduojantys darbuotojai |
||
1.4.2. elektroninės informacijos saugos incidento pasekmes likviduojantys darbuotojai informuojami apie elgseną pavojaus vietoje |
|||
1.4.3. organizuojamas pirmosios pagalbos suteikimas nukentėjusiems darbuotojams |
veiklos atkūrimo grupė |
||
2. Gaisras |
2.1. informuojama priešgaisrinės apsaugos ir gelbėjimo tarnyba |
2.1.1. vykdomos priešgaisrinės apsaugos ir gelbėjimo tarnybos rekomendacijos |
veiklos atkūrimo grupė ir Informacinės sistemos saugos įgaliotinis |
2.2. evakuojami Informacinės sistemos naudotojai (esant būtinumui ar priešgaisrinės apsaugos ir gelbėjimo tarnybos nurodymu) |
2.2.1. Darbuotojų informavimas apie evakavimą, jei yra rekomendacija |
Valdymo grupė |
|
2.3. išjungiamos komunalinės komunikacijos, galinčios sukelti papildomą nenumatytą situaciją |
2.3.1. vykdomos priešgaisrinės ir gelbėjimo tarnybos rekomendacijos |
veiklos atkūrimo grupė |
|
2.4. gaisro gesinimas ankstyvoje stadijoje, jeigu yra priešgaisrinės ir gelbėjimo tarnybos rekomendacija dirbti pavojaus zonoje |
2.4.1. panaudojamos individualios gesinimo priemonės |
veiklos atkūrimo grupė |
|
3. Patalpų užgrobimas |
3.1. informuojamos teisėsaugos tarnybos |
3.1.1. nustatoma įvykio vieta, pranešama apie draudimą patekti į patalpas, jeigu yra teisėsaugos tarnybų rekomendacija |
veiklos atkūrimo grupė |
3.1.2. nagrinėjamos darbuotojų evakuacijos galimybės, jeigu yra teisėsaugos tarnybų rekomendacija |
veiklos tęstinumo valdymo grupė |
||
3.2. evakuojami darbuotojai (esant teisėsaugos tarnybų rekomendacijai) |
3.2.1. darbuotojai informuojami apie evakuaciją |
saugos įgaliotinis |
|
3.3. esant būtinumui išjungiama techninė įranga, užrakinamos patalpos, jeigu yra galimybė |
3.3.1. vykdomi teisėsaugos tarnybų nurodymai |
veiklos atkūrimo grupė |
|
3.4. vykdomi teisėsaugos tarnybų nurodymai |
3.4.1. darbuotojai informuojami apie nurodymų vykdymą |
veiklos atkūrimo grupė |
|
3.5. veikla perkeliama į kitas patalpas |
3.5.1. nagrinėjamos veiklos perkėlimo į kitas patalpas galimybės |
veiklos tęstinumo valdymo grupė |
|
3.5.2. veikla perkeliama į kitas patalpas |
veiklos atkūrimo grupė |
||
3.5.3. darbuotojai informuojami apie darbą naujose patalpose |
veiklos atkūrimo grupė saugos įgaliotinis |
||
3.6. likviduojama patalpoms padaryta žala |
3.6.1. įvertinama padaryta žala |
veiklos tęstinumo valdymo grupė |
|
3.6.2. sudaromas ir paskelbiamas padarytos žalos likvidavimo priemonių planas |
veiklos tęstinumo valdymo grupė |
||
3.6.3. vykdomas padarytos žalos likvidavimo priemonių planas |
veiklos atkūrimo grupė |
||
3.6.4. instruktuojami žalą likviduojantys darbuotojai |
veiklos atkūrimo grupė |
||
4. Elektros energijos tiekimo sutrikimas |
4.1. nustatoma elektros energijos tiekimo sutrikimo priežastis |
4.1.1. organizuojamas sutrikimų pašalinimas |
Informacinės sistemos saugos įgaliotinis ir Informacinės sistemos administratorius |
4.2. kreipiamasi į energijos tiekimo tarnybą dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių |
4.2.1. gaunamos rekomendacijos iš energijos tiekimo tarnybos |
Informacinės sistemos administratorius |
|
4.3. esant būtinumui išjungiamos tarnybinės stotys ir kita elektros energijos tiekimo sutrikimams jautri techninė įranga |
4.3.1. išjungiamas elektros energijos tiekimas tarnybinėms stotims ir kitai techninei įrangai |
Informacinės sistemos saugos įgaliotinis ir Informacinės sistemos administratorius |
|
4.4. šalinami sutrikimai |
4.4.1. sudaromas ir įgyvendinamas padarytos žalos likvidavimo priemonių planas |
Informacinės sistemos administratorius |
|
4.4.2. įvertinama padaryta žala |
valdymo grupė |
||
4.4.3. instruktuojami žalą likviduojantys darbuotojai |
veiklos atkūrimo grupė |
||
5. Vandentiekio ir šildymo sistemos sutrikimai |
5.1. informuojami vandentiekio ar šildymo paslaugų teikėjai |
5.1.1. pateikiamos užklausos kompetentingoms tarnyboms dėl rekomendacijų darbui |
veiklos atkūrimo grupė |
5.1.2. darbuotojai informuojami apie kompetentingų tarnybų rekomendacijas |
veiklos atkūrimo grupė saugos įgaliotinis |
||
5.2. skelbiama sutrikimo šalinimo prognozė, šalinamas sutrikimas |
5.2.1. įvertinama padaryta žala, darbuotojai informuojami apie sutrikimą ir jo likvidavimo trukmę |
veiklos atkūrimo grupė ir Informacinės sistemos saugos įgaliotinis |
|
6. Patalpos kondicionavimo įrangos gedimas |
6.1. informuojamos kompetentingos tarnybos apie kondicionavimo įrangos gedimą |
6.1.1. kreipimasis į kondicionavimo įrangą prižiūrinčią tarnybą ir rekomendacijų iš tarnybos gavimas |
Informacinės sistemos administratorius |
6.1.2. kondicionavimo įrangą prižiūrinčių tarnybų rekomendacijų įgyvendinimas |
Informacinės sistemos administratorius |
||
6.2. šalinamas kondicionavimo įrangos gedimas |
6.2.1. priemonių, kad gedimai nesikartotų, nustatymas ir įgyvendinimas |
Informacinės sistemos administratorius |
|
6.2.2. padarytos žalos įvertinimas |
valdymo grupė |
||
7. Ryšio sutrikimai |
7.1. nustatomos ryšio sutrikimo priežastys |
7.1.1. kreipimasis į ryšio paslaugos teikėją |
Informacinės sistemos administratorius |
7.1.2. ryšio paslaugų teikėjo rekomendacijų vykdymas |
Informacinės sistemos administratorius |
||
7.2. skelbiamos sutrikimo pašalinimo prognozės, šalinamas sutrikimas |
7.2.1. darbuotojai informuojami apie sutrikimą ir jo likvidavimo trukmę |
Informacinės sistemos administratorius |
|
7.2.2. nustatomos ir įgyvendinamos priemonės, kad sutrikimai nesikartotų |
|||
7.2.3. ryšio sutrikimo pašalinimas |
veiklos atkūrimo grupė |
||
8. Tarnybinių stočių ar komutacinės įrangos sugadinimas, sunaikinimas, praradimas |
8.1. apie įvykį informuojamos teisėsaugos tarnybos, draudimo bendrovės |
8.1.1. elektroninės informacijos saugos incidento pasekmei likviduoti atsakingais paskiriami Departamento darbuotojai, nustatomi jų veiksmai, vykdomas instruktavimas |
valdymo grupė |
8.2. šalinamos elektroninės informacijos saugos incidento pasekmės |
8.2.1. darbuotojai informuojami apie sutrikimą ir jo likvidavimo trukmę |
Informacinės sistemos administratorius |
|
8.2.2. įvertinama elektroninės informacijos saugos incidento metu padaryta žala |
valdymo grupė |
||
8.2.3. esant būtinumui kreipiamasi į įrangos tiekėjus dėl įrangos remonto ar naujos įrangos įsigijimo |
Informacinės sistemos administratorius |
||
8.2.5. įdiegiama įsigyta įranga |
veiklos atkūrimo grupė |
||
9. Programinės įrangos sugadinimas, praradimas |
9.1. informuojamos teisėsaugos tarnybos |
9.1.1. kreipiamasi į teisėsaugos tarnybas dėl programinės įrangos sugadinimo ar praradimo, vykdomi šių tarnybų nurodymai |
Informacinės sistemos saugos įgaliotinis |
9.2. įvertinamos elektroninės informacijos saugos incidento pasekmės, sudaromas pavojaus sustabdymo priemonių ir padarytos žalos likvidavimo planas |
9.2.1. įvertinama elektroninės informacijos saugos incidento metu padaryta žala |
valdymo grupė |
|
9.2.2. sudaromas, paskelbiamas ir įgyvendinamas priemonių planas |
valdymo grupė veiklos atkūrimo grupė |
||
9.2.3. instruktuojami žalą likviduojantys darbuotojai, koordinuojami jų veiksmai |
Informacinės sistemos administratorius |
||
9.2.4. organizuojamas sugadintos ar prarastos programinės įrangos atkūrimas |
Informacinės sistemos administratorius |
||
9.3. iš atsarginių kopijų atkuriama programinė įranga |
9.3.1. iš programinės įrangos kopijų atkuriama sugadinta ar prarasta programinė įranga |
Informacinės sistemos administratorius |
|
10. Įsilaužimas į vidinį kompiuterių tinklą |
10.1. apie įvykį informuojamos teisėsaugos tarnybos |
10.1.1. kreipiamasi į teisėsaugos tarnybas dėl įsilaužimo į vidinį kompiuterių tinklą, vykdomi šių tarnybų nurodymai |
Informacinės sistemos saugos įgaliotinis ir Informacinės sistemos administratorius |
10.2. sudaromas ir įgyvendinamas elektroninės informacijos saugos incidento užkardymo priemonių planas. |
10.2.1. elektroninės informacijos saugos incidento pasekmių likvidavimas |
veiklos atkūrimo grupė |
|
11. Vagystė iš duomenų bazės ar jos fizinis sunaikinimas |
11.1. apie įvykį informuojamos teisėsaugos tarnybos |
11.1.1. kreipiamasi į teisėsaugos tarnybas, vykdomi šių tarnybų nurodymai |
Informacinės sistemos saugos įgaliotinis ir Informacinės sistemos administratorius |
11.2. sudaromas ir įgyvendinamas elektroninės informacijos saugos incidento užkardymo priemonių planas. |
11.2.1. padarytos žalos įvertinimas. |
valdymo grupė |
|
11.2.2. vagystės padarinių likvidavimas |
veiklos atkūrimo grupė |
||
12. Dokumentų praradimas |
12.1. Departamento vadovybės informavimas |
12.1.1. Prarastų dokumentų gavimas |
Informacinės sistemos saugos įgaliotinis Informacinės sistemos administratorius |
13. Darbuotojų praradimas |
13.1. Elektroninės informacijos saugos incidento pasekmės įvertinimas |
13.1.1. Trūkstamų darbuotojų paieška ir priėmimas į darbą |
veiklos atkūrimo grupė |
Narkotikų tabako ir alkoholio kontrolės departamento
informacinės sistemos veiklos tęstinumo
valdymo plano
2 priedas
(Narkotikų tabako ir alkoholio kontrolės departamento Informacinės sistemos elektroninės informacijos saugos incidentų registracijos žurnalo forma)
PTAKIS VEIKLOS TĘSTINUMO VALDYMO PLANO VEIKSMINGUMO IŠBANDYMŲ REGISTRACIJOS ŽURNALAS
Eil. Nr. |
Plano išbandymo būdas |
Data |
Atsakingo asmens vardas, pavardė |
Atsakingo asmens pareigos |
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
__________________
(Atsakingo asmens parašas)__
Narkotikų tabako ir alkoholio kontrolės departamento
informacinės sistemos veiklos tęstinumo
valdymo plano
3 priedas
(Narkotikų tabako ir alkoholio kontrolės departamento Informacinės sistemos veiklos tęstinumo valdymo plano veiksmingumo išbandymo ataskaitos formos pavyzdys)
PTAKIS VEIKLOS TĘSTINUMO VALDYMO PLANO VEIKSMINGUMO IŠBANDYMO ATASKAITA
20____ m. ____________ __d. Nr.___
Vilnius
Valdymo plano veiksmingumo išbandyme dalyvavę Veiklos tęstinumo valdymo grupės nariai: |
1. |
2. |
Valdymo plano veiksmingumo išbandyme dalyvavę Veiklos atkūrimo grupės nariai: |
1. |
2. |
Elektroninės informacijos saugos incidento apibūdinimas |
|
|
Elektroninės informacijos saugos incidento poveikis Informacinei sistemai |
|
|
Incidento valdymo ir pašalinimo eiga |
|
|
Nustatyti valdymo plano trūkumai |
|
|
Pasiūlymai keisti ar papildyti valdymo planą |
|
|
Veiklos tęstinumo valdymo grupės vadovas |
|||||
|
(vardas, pavardė) |
|
(parašas) |
||
Veiklos atkūrimo grupės vadovas |
|
|
|||
|
(vardas, pavardė) |
|
(parašas) |
||
Saugos įgaliotinis |
|
|
|||
|
(vardas, pavardė) |
|
(parašas) |
||
Narkotikų tabako ir alkoholio kontrolės departamento
informacinės sistemos veiklos tęstinumo
valdymo plano
4 priedas
NARKOTIKŲ, TABAKO IR ALKOHOLIO KONTROLĖS DEPARTAMENTO INFORMACINĖS SISTEMOS ELEKTRONINĖS INFORMACIJOS SAUGOS (KIBERNETINIŲ) INCIDENTŲ TYRIMO TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos elektroninės informacijos saugos (kibernetinių) incidentų tyrimo tvarkos aprašas (toliau – Aprašas) reglamentuoja Narkotinių ir psichotropinių medžiagų ir jų pirmtakų (prekursorių) teisėtos apyvartos kontrolės informacinės sistemos (toliau – PTAKIS) elektroninės informacijos saugos (kibernetinių) incidentų (toliau – saugos incidentai) tyrimo tvarką.
II SKYRIUS
PRANEŠIMŲ APIE SAUGOS INCIDENTUS REGISTRAVIMAS IR NEATIDĖLIOTINI SAUGOS INCIDENTŲ PLĖTROS SUSTABDYMO VEIKSMAI
2. Naudotojas apie saugos incidentus nedelsdamas praneša PTAKIS sistemos administratoriui ir saugos įgaliotiniui.
3. Gautą pranešimą apie saugos incidentą PTAKIS sistemos administratorius registruoja informacinėje sistemoje.
4. PTAKIS sistemos administratorius apie užregistruotą pranešimą apie saugos incidentą telefonu iškart informuoja saugos įgaliotinį ir koordinuojantįjį administratorių (toliau – administratorius).
5. Administratorius iškart analizuoja gautą informaciją apie saugos incidentą, nustato jo pobūdį ir, suderinęs su saugos įgaliotiniu, numato ir vykdo neatidėliotinus PTAKIS administravimo veiksmus, susijusius su saugos incidento plėtros sustabdymu.
6. Saugos įgaliotinis, nustatęs, kad tai saugos incidentas, atlieka šiuos veiksmus:
6.1. priskiria jam grupę ir kategoriją pagal Nacionalinio kibernetinių incidentų valdymo plano (toliau – Planas), patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, priede pateiktus kriterijus;
6.2. registruoja saugos incidentą elektroniniame PTAKIS žurnale ir pagal 5.1 papunktyje kibernetinio incidento nustatytą jo reikšmingumą (pavojingi kibernetiniai incidentai; didelio poveikio kibernetiniai incidentai; vidutinio poveikio kibernetiniai incidentai; nereikšmingo poveikio kibernetiniai incidentai) praneša apie jį Nacionaliniam kibernetinio saugumo centrui (toliau – NKSC) Plane nustatyta forma ir terminais;
III SKYRIUS
SAUGOS INCIDENTŲ TYRIMAS
7. Saugos incidento, trukusio ne ilgiau kaip 1 valandą, tyrimą atlieka koordinuojantis administratorius ir apie jo rezultatus raštu kitą dieną informuoja saugos įgaliotinį. Saugos incidento, trukusio ilgiau kaip vieną valandą, tyrimas atliekamas Aprašo 6–11 punktuose nustatyta tvarka.
8. Ne vėliau kaip kitą darbo dieną nuo ilgiau nei vieną valandą trukusio saugos incidento įregistravimo Aprašo 3 punkte nustatyta tvarka saugos įgaliotinis kviečia PTAKIS veiklos tęstinumo valdymo grupės (toliau – valdymo grupė) posėdį.
9. Siekdamas nustatyti saugos incidento aplinkybes, priežastis ir asmenis, dėl kurių galbūt neteisėtų veiksmų įvyko saugos incidentas, saugos įgaliotinis valdymo grupės nariams skiria saugos incidento tyrimo užduotis.
10. Valdymo grupės nariai turi teisę:
11. Valdymo grupės nariai informaciją apie užduoties įvykdymo rezultatus raštu teikia PTAKIS saugos įgaliotiniui.
12. Valdymo grupė:
12.1. vadovaudamasi surinkta tyrimo medžiaga, surašo saugos incidento tyrimo išvadą, kurioje išdėsto saugos incidento aplinkybes, jų priežastis ir jas pagrindžiančius įrodymus, taip pat nurodo asmenis, dėl kurių neteisėtos veiklos įvyko saugos incidentas, ir šiuos duomenis teikia Narkotikų, tabako ir alkoholio kontrolės departamento direktorius pavaduotojui;
IV SKYRIUS
BAIGIAMOSIOS NUOSTATOS
PATVIRTINTA
Narkotikų, tabako ir alkoholio kontrolės departamento direktoriaus
2022 m. vasario 4 d. įsakymu Nr. T1-15
NARKOTIKŲ, TABAKO IR ALKOHOLIO KONTROLĖS DEPARTAMENTO INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos naudotojų administravimo taisyklės (toliau – administravimo taisyklės) reglamentuoja naudotojų prieigos prie Narkotikų, tabako ir alkoholio kontrolės departamento (toliau – Departamentas) Narkotinių ir psichotropinių medžiagų ir jų pirmtakų (prekursorių) teisėtos apyvartos kontrolės informacinės sistemos (toliau – PTAKIS) valdymą, taip užtikrinant informacijos saugumą Departamento informacinėje sistemoje.
2. Taisyklės yra taikomos visiems Departamento bei kitų institucijų valstybės tarnautojams ir darbuotojams, dirbantiems pagal darbo sutartį, kurie naudojasi Departamento valdoma informacine sistema, reglamentuoja PTAKIS naudotojų ir PTAKIS administratorių įgaliojimus, teises, pareigas, prieigos prie elektroninės informacijos principus, saugaus elektroninės informacijos teikimo PTAKIS naudotojams kontrolės tvarką.
3. Šiose taisyklėse vartojamos sąvokos:
3.1. Vidinis PTAKIS naudotojas – valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, taip pat ir samdomas darbuotojas, turintis teisę naudotis informacinės sistemos ištekliais pareigybės aprašyme ar sutartyje numatytoms funkcijoms atlikti.
3.2. Išorinis PTAKIS naudotojas – su PTAKIS valdytoju arba PTAKIS tvarkytoju (-ais) tarnybos ar darbo santykiais nesusijęs asmuo, kuris PTAKIS veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudoja ir (ar) tvarko elektroninę informaciją.
3.3. Kitos administravimo taisyklėse vartojamos sąvokos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos nuostatuose ir Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos duomenų saugos nuostatuose, patvirtintose Narkotikų, tabako ir alkoholio kontrolės departamento direktoriaus 2014 m. spalio 8 d. įsakymu Nr. T1-328 „Dėl Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos nuostatų ir Narkotikų, tabako ir alkoholio kontrolės departamento informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau atitinkamai – Informacinės sistemos nuostatai ir Saugos nuostatai) ir kituose Lietuvos Respublikos teisės aktuose, reglamentuojančiuose informacinių išteklių valdymą, vartojamos sąvokos.
4. Taisyklės taikomos visiems PTAKIS naudotojams, PTAKIS administratoriams ir PTAKIS tvarkytojo (-jų) saugos įgaliotiniams.
5. Prieigos prie elektroninės informacijos principai:
5.1. PTAKIS naudotojų ir PTAKIS administratorių prieiga prie elektroninės informacijos grindžiama būtinumo žinoti principu. Šis principas reiškia, kad PTAKIS naudotojams ir PTAKIS administratoriams prieiga suteikiama tik prie tos elektroninės informacijos, kuri reikalinga vykdant tiesioginę jų veiklą. Tvarkyti elektroninę informaciją gali tik tie PTAKIS naudotojai ir PTAKIS administratoriai, kuriems administravimo taisyklių III skyriuje nustatyta tvarka suteiktos prieigos prie elektroninės informacijos teisės ir priemonės (identifikavimo priemonės, slaptažodžiai ar kitos tapatybės nustatymo priemonės ir panašiai);
5.2. PTAKIS naudotojų ir PTAKIS administratorių prieigos prie elektroninės informacijos lygmuo grindžiamas mažiausios privilegijos principu. Šis principas reiškia, kad turi būti suteikiamos tik minimalios PTAKIS naudotojų ir PTAKIS administratorių tiesioginei veiklai vykdyti reikalingos prieigos teisės bei organizacinėmis ir techninėmis priemonėmis užtikrinama minimalių prieigos teisių naudojimo kontrolė (pavyzdžiui, privilegijuotos prieigos teisės neturi būti naudojamos veiklai, kuriai atlikti pakanka žemesnio lygio prieigos teisių, ir panašiai);
5.3. Pareigų atskyrimo principas. Šis principas reiškia, kad PTAKIS naudotojui, PTAKIS administratoriui ar jų grupei negali būti pavesta atlikti ar kontroliuoti visų pagrindinių elektroninės informacijos tvarkymo ar PTAKIS priežiūros funkcijų. PTAKIS naudotojams negali būti suteikiamos PTAKIS administratoriaus teisės. PTAKIS priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą PTAKIS administratoriaus paskyrą, kuria naudojantis negalima atlikti kasdienių PTAKIS naudotojo funkcijų, PTAKIS kūrimo, modernizavimo funkcijos turi būti atskirtos nuo PTAKIS priežiūros funkcijų ir panašiai;
5.4. Pareigų rotacijos principas. Šis principas reiškia, kad PTAKIS administratoriui negali būti pavesta nuolat atlikti tas pačias PTAKIS administratoriaus funkcijas. Siekiant išvengti subjektyviai tyčinių ir (arba) subjektyviai netyčinių rizikos veiksnių, PTAKIS tvarkytojai pagal galimybes turi užtikrinti PTAKIS administratorių rotaciją.
II SKYRIUS
INFORMACINĖS SISTEMOS NAUDOTOJŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS
6. PTAKIS naudotojų ir PTAKIS administratorių įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją ir prieigos prie elektroninės informacijos lygiai nustatomi pagal PTAKIS nuostatus, elektroninės informacijos teikimo sutartis, PTAKIS naudotojų ir PTAKIS administratorių pareiginius nuostatus bei kitus teisės aktus, reglamentuojančius PTAKIS veiklą ir PTAKIS elektroninės informacijos tvarkymą.
7. Išorinių PTAKIS naudotojų – įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją ir prieigos prie elektroninės informacijos lygiai nustatomi PTAKIS naudojimo licencijose (susipažinimo formose).
8. PTAKIS naudotojai ir PTAKIS administratoriai privalo rūpintis PTAKIS tvarkomos elektroninės informacijos sauga ir kibernetiniu saugumu, tvarkyti elektroninę informaciją vadovaudamiesi PTAKIS veiklą reglamentuojančiais teisės aktais ir elektroninės informacijos teikimo sutartyse ar PTAKIS naudojimo licencijose arba susipažinimo formose nustatytais reikalavimais ir sąlygomis, savo veiksmais nepažeisti elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo.
9. PTAKIS naudotojai ir PTAKIS administratoriai turi teises naudotis tik tais PTAKIS ištekliais, kurios jiems buvo suteiktos administravimo taisyklių III skyriuje nustatyta tvarka.
10. PTAKIS naudotojai ir PTAKIS administratoriai, pastebėję Duomenų saugos nuostatuose, saugos taisyklėse, administravimo taisyklėse ir kituose PTAKIS saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos ir (ar) kibernetinio saugumo užtikrinimo priemones, privalo nedelsdami kreiptis į PTAKIS saugos įgaliotinį arba asmenį, atliekantį informacinių technologijų pagalbos tarnybos funkcijas.
11. Jeigu PTAKIS saugos įgaliotinis nebuvo informuotas apie administravimo taisyklių
10 punkte nurodytus pažeidimus, apie tai informuojamas kitas kompetentingas padalinys arba asmuo, atliekantis informacinių technologijų pagalbos tarnybos funkcijas. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią PTAKIS saugą ir (ar) kibernetinį saugumą, PTAKIS tvarkytojo saugos įgaliotinis apie tai turi pranešti PTAKIS valdytojo vadovui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, elektroninės informacijos saugos ir kibernetinius incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos ar kibernetiniais incidentais.
12. PTAKIS administratorių prieigos prie PTAKIS lygiai ir juose taikomi saugos reikalavimai:
12.1. PTAKIS administratoriai PTAKIS ir jų komponentus gali pasiekti naudodamiesi tiesiogine, vietinio tinklo prieiga. PTAKIS administratorių prieiga ir jos lygiai kontroliuojami per fizinius (įeigos kontrolės sistemos, barjerai ir kita) ir loginius (užkardos, domeno valdikliai ir kita) prieigos taškus. Kontrolės priemonės turi būti taikomos visuose PTAKIS sandaros sluoksniuose (kompiuterinis tinklas, platformos ar operacinės sistemos, duomenų bazės ir taikomųjų programų sistemos);
12.2. PTAKIS administratoriams prieiga prie PTAKIS komponentų, elektroninės informacijos ir teisė atlikti elektroninės informacijos tvarkymo veiksmus (elektroninės informacijos skaitymas, kūrimas, atnaujinimas, šalinimas, PTAKIS naudotojų informacijos, prieigos teisių redagavimas ir pan.) suteikiama pagal Duomenų saugos nuostatuose nustatytas PTAKIS administratorių grupes, remiantis administravimo taisyklių 4 punkte nustatytais prieigos prie elektroninės informacijos principais;
12.3. koordinuojančiam administratoriui pagal kompetenciją gali būti suteikta prieiga prie visų PTAKIS komponentų ir jų sąrankos;
12.4. PTAKIS naudotojų administratoriams suteikiama prieiga prie PTAKIS naudotojų prieigos teisių valdymo sistemų;
12.5. PTAKIS komponentų administratoriams pagal kompetenciją suteikiama prieiga prie kompiuterių, operacinių sistemų, duomenų bazių ir jų valdymo sistemų, taikomųjų programų sistemų, užkardų, įsilaužimų aptikimo ir prevencijos sistemų, elektroninės informacijos perdavimo tinklų, duomenų saugyklų, bylų serverių ir kitos techninės ir programinės įrangos bei jų sąrankos;
12.6. PTAKIS saugos administratoriams suteikiama prieiga prie PTAKIS pažeidžiamumų skenavimo, PTAKIS stebėsenos ir saugos atitikties nustatymo ir įvertinimo, saugos informacijos ir įvykių stebėjimo, apsaugos nuo elektroninės informacijos nutekinimo priemonių, kitos saugos užtikrinimo įrangos ir kitų priemonių, kuriomis atliekamas informacinių sistemų pažeidžiamų vietų nustatymas, saugumo reikalavimų atitikties nustatymas ir stebėsena. Saugos administratoriai turi teisę gauti prieigą ir prie kitų PTAKIS komponentų, jeigu tai būtina jų funkcijoms, susijusioms su saugumo reikalavimų atitikties nustatymu ir stebėsena, atlikti.
III SKYRIUS
SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO IS NAUDOTOJAMS KONTROLĖS TVARKA
13. Už PTAKIS naudotojų ir PTAKIS administratorių registravimą ir išregistravimą atsakingi informacinių sistemų naudotojų administratoriai. Už administravimo taisyklių 16 punkte nurodytos informacijos, reikalingos PTAKIS naudotojų ir PTAKIS administratorių registravimo ir išregistravimo veiksmams atlikti, pateikimą PTAKIS naudotojų administratoriams atsakingi PTAKIS naudotojų ir PTAKIS administratorių tiesioginiai vadovai.
14. PTAKIS naudotojai ir PTAKIS administratoriai registruojami arba išregistruojami PTAKIS posistemiuose ir komponentuose atitinkamai suteikiant jiems prieigos prie PTAKIS teises arba jas panaikinant.
15. Vidinio PTAKIS naudotojo tapatybė gali būti nustatoma naudojantis Valstybės informacinių išteklių sąveikumo platformos (toliau – VIISP) arba slaptažodžiu.
15.2. PTAKIS naudotojų administratorius prieigos teises suteikia arba pakeičia gavęs PTAKIS naudotojo ar PTAKIS administratoriaus tiesioginio vadovo rašytinį prašymą, suderintą su savo organizacijoje paskirtais IS ir (arba) elektroninės informacijos savininkais (angl. System Owner/Data Owner);
15.3. teisė tvarkyti elektroninę informaciją gali būti suteikiama tik įsitikinus, kad PTAKIS naudotojas arba PTAKIS administratorius yra pasirašęs pasižadėjimą saugoti duomenų ir informacijos paslaptį ir pasirašytinai susipažinęs su saugos dokumentais ar jų santrauka ir sutikęs laikytis jų reikalavimų;
15.4. PTAKIS naudotojų administratorius prieigos teises sustabdo nedelsdamas, gavęs iš PTAKIS tvarkytojo padalinio arba kito kompetentingo padalinio arba kompetentingo darbuotojo pateiktą informaciją apie tai, kad teisės aktų nustatytais atvejais PTAKIS naudotojas ar PTAKIS administratorius nušalinamas nuo darbo (pareigų), neatitinka teisės aktuose nustatytų PTAKIS naudotojo ar PTAKIS administratoriaus kvalifikacinių reikalavimų, praranda patikimumą, yra nėštumo ir gimdymo (motinystės) ar vaiko priežiūros atostogose ir pan.;
15.5. administratorius prieigos teises panaikina gavęs PTAKIS valdytojo, PTAKIS tvarkytojo padalinio arba kito kompetentingo padalinio arba darbuotojo pateiktą informaciją apie PTAKIS naudotojo ar PTAKIS administratoriaus darbo (tarnybos) santykių pasibaigimą. PTAKIS naudotojų administratorius prieigos teises turi panaikinti paskutinę PTAKIS naudotojo ar PTAKIS administratoriaus darbo dieną, tačiau ne vėliau kaip iki darbo (tarnybos) dienos pabaigos. Priverstinio darbo (tarnybos) santykių nutraukimo atveju ir kitais atvejais, kai yra rizika, kad PTAKIS naudotojas ar PTAKIS administratorius gali atlikti tyčinius veiksmus (pakeisti ar sunaikinti elektroninę informaciją, sutrikdyti elektroninės informacijos perdavimą informacinių technologijų duomenų perdavimo tinklais, pažeisti PTAKIS saugumą, įvykdyti vagystę ir kita), prieigos teisės turi būti panaikintos nedelsiant;
15.6. tiesioginiai PTAKIS naudotojų ir PTAKIS administratorių vadovai kartu su savo organizacijoje paskirtais PTAKIS ir (arba) elektroninės informacijos savininkais ne rečiau kaip kartą per metus arba keičiantis PTAKIS naudotojo ar PTAKIS administratoriaus pareigoms ar funkcijoms turi peržiūrėti šiems darbuotojams suteiktas teises, įvertinti jų atitiktį vykdomoms funkcijoms. Tiesioginiai PTAKIS naudotojų ir PTAKIS administratorių vadovai turi parengti rašytinį prašymą dėl prieigos teisių vidiniam PTAKIS naudotojui ar PTAKIS administratoriui pakeitimo, jeigu suteiktos prieigos teisės neatitinka vykdomų funkcijų.
16. Išoriniai PTAKIS naudotojai prie PTAKIS jungiasi naudodamiesi VIISP arba kitomis asmenų autentifikavimo priemonėmis. Išoriniai PTAKIS naudotojai gali naudotis tik išorinio informacinių sistemų naudotojo paskyromis.
17. PTAKIS naudotojų ir PTAKIS administratorių paskyrų kontrolės priemonės:
17.1. paskyrų galiojimas turi būti laikinai sustabdomas, kai vidinis PTAKIS naudotojas nesinaudoja PTAKIS ilgiau kaip 120 dienų (PTAKIS administratorius – 90 dienų);
17.2. PTAKIS tvarkytojai turi patvirtinti asmenų, kuriems suteiktos PTAKIS naudotojo ir PTAKIS administratoriaus teisės prisijungti prie PTAKIS, sąrašai periodiškai (ne rečiau kaip kartą per pusmetį) peržiūrimi PTAKIS tvarkytojų saugos įgaliotinių savo organizacijose. Sąrašas turi būti nedelsiant peržiūrėtas, kai įstatymų nustatytais atvejais PTAKIS administratorius nušalinamas nuo darbo (pareigų);
17.3. turi būti naudojamos PTAKIS naudotojų paskyrų kontrolės priemonės ir administratorių paskyrų kontrolės priemonės, kurios atliktų paskyrų patikrinimą ir apie nepatvirtintas PTAKIS naudotojų ir administratorių paskyras praneštų PTAKIS saugos įgaliotiniui. Apie nepatvirtintas administratorių paskyras turi būti pranešama nedelsiant;
18. Kiekvienas PTAKIS naudotojas ir PTAKIS administratorius turi būti PTAKIS unikaliai atpažįstamas. PTAKIS naudotojo ir PTAKIS administratoriaus identifikacija turi būti pagrįsta naudotojo vardu, naudotojo kodu arba kita identifikacijos priemone, vienareikšmiškai apibrėžiančia PTAKIS naudotoją ar PTAKIS administratorių.
19. Sudarant PTAKIS naudotojo ar PTAKIS administratoriaus identifikatorių didžiosios ir mažosios raidės neturi būti skiriamos.
20. PTAKIS naudotojas ir PTAKIS administratorius turi patvirtinti savo tapatybę slaptažodžiu arba VIISP. PTAKIS administratorių tapatumui patvirtinti turi būti naudojamos dviejų veiksnių tapatumo patvirtinimo priemonės, jeigu PTAKIS komponentai palaiko tokį funkcionalumą.
21. PTAKIS naudotojų ir PTAKIS administratorių slaptažodžių, jų sudarymo, galiojimo trukmės ir keitimo bendrieji reikalavimai:
21.2. slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija (pavyzdžiui, vardas, pavardė, gimimo data, šeimos narių vardai, prisijungimo vardas, gyvenamosios vietos adresas ar jo sudedamosios dalys, telefono numeris ir kita);
21.4. kilus įtarimui dėl slaptažodžio konfidencialumo pažeidimo, slaptažodis turi būti nedelsiant pakeistas;
21.5. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius turi būti ne didesnis nei 5 kartai. Viršijus leistiną mėginimų įvesti teisingą slaptažodį skaičių, paskyra turi užsirakinti ir neleisti identifikuotis ne trumpiau nei 60 minučių. Apie PTAKIS naudotojų paskyrų užsirakinimą automatiškai turi būti informuojamas PTAKIS administratorius;
21.6. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais;
21.7. PTAKIS tvarkytojo saugos įgaliotinio sprendimu laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo naudotojo vardo ar identifikavimo kodo, jei PTAKIS naudotojas ar PTAKIS administratorius neturi galimybių iššifruoti gauto užšifruoto slaptažodžio arba nėra techninių galimybių PTAKIS naudotojui ar PTAKIS administratoriui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu.
22. Specialieji reikalavimai PTAKIS naudotojų slaptažodžiams:
22.3. keičiant slaptažodį PTAKIS neturi leisti sudaryti slaptažodžio iš buvusių 3 paskutinių slaptažodžių;
23. Specialieji PTAKIS administratorių slaptažodžių reikalavimai:
24. Naudotojų tapatybė informacinėje sistemoje yra nustatoma pagal unikalų vartotojo vardą ir slaptažodį, kuriuos naudotojui sukuria administratorius.
25. Administratorius panaikina prieigos teisę prie konkrečios informacinės sistemos arba jos dalies, jeigu:
IV SKYRIUS
INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS TVARKA
27. Informacinės sistemos Saugos įgaliotinis privalo supažindinti naudotojus su Saugos nuostatais, Saugaus elektroninės informacijos Tvarkymo taisyklėmis ir šiomis taisyklėmis.
28. Naudotojo supažindinimas su saugos dokumentais turi būti vykdomas šiais atvejais:
29. Supažindinimo su saugos dokumentais formą administratorius nustato savo nuožiūra, atsižvelgdamas į šias rekomendacijas:
29.1. jei supažindinamas vienas naudotojas, leisti naudotojui su dokumentais susipažinti savarankiškai ir susitikimo metu įsitikinti, ar dokumentų turinys buvo tinkamai suprastas;
30. Administratorius privalo vesti vidinių naudotojų susipažinimo su saugos dokumentais žurnalą, kuriame naudotojai pasirašytų.
31. Informacinės sistemos administratoriaus funkcijos:
31.3.užtikrina nenutrūkstamą informacinės sistemos kompiuterių techninės ir programinės įrangos veikimą;
31.4.sprendžia informacinės sistemos incidentus, susijusius su sistemos veiklos sutrikimais, techninės ir programinės įrangos gedimais ir pan.;