VALSTYBĖS ĮMONĖS „REGITRA“
GENERALINIS DIREKTORIUS
ĮSAKYMAS
DĖL Transporto priemonių savininkų apskaitos informacinės sistemos SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ PATVIRTINIMO
2021 m. gruodžio 27 d. Nr. 1V-522
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 8 punktu, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 5.3 papunkčio ir 6 punkto nuostatose išdėstyta tvarka bei Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“:
1. T v i r t i n u pridedamus:
1.1. Transporto priemonių savininkų apskaitos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;
1.2. Transporto priemonių savininkų apskaitos informacinės sistemos naudotojų administravimo taisykles;
2. P a v e d u kibernetinio saugumo vyriausiajam specialistui su šiuo įsakymu supažindinti filialų direktorius, Informacinių technologijų departamento direktorių, Transporto priemonių registracijos skyriaus vadovą, Klientų aptarnavimo skyriaus vadovą, Transporto priemonių savininkų apskaitos informacinės sistemos (toliau – TPSAIS) veiklos tęstinumo valdymo grupės narius ir TPSAIS veiklos atkūrimo grupės narius.
PATVIRTINTA
Valstybės įmonės „Regitra“ generalinio
direktoriaus
2021 m. gruodžio 27 d. įsakymu Nr. 1V-522
Transporto priemonių savininkų apskaitos informacinės sistemos
SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Transporto priemonių savininkų apskaitos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) reglamentuoja Transporto priemonių savininkų apskaitos informacinės sistemos (toliau – TPSAIS) elektroninės informacijos (toliau – informacija) saugų tvarkymą.
2. Taisyklės parengtos vadovaujantis Transporto priemonių savininkų apskaitos informacinės sistemos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalaus ministro 2021 m. balandžio 28 d. įsakymu Nr. 1V-373 „Dėl Transporto priemonių savininkų apskaitos informacinės sistemos nuostatų patvirtinimo“ (toliau – Informacinės sistemos nuostatai), Transporto priemonių savininkų apskaitos informacinės sistemos duomenų saugos nuostatais, patvirtintais valstybės įmonės „Regitra“ generalinio direktoriaus 2021 m. balandžio 29 d. įsakymu Nr. 1V-248 „Dėl Transporto priemonių savininkų apskaitos informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – Saugos nuostatai), bei Lietuvos standartais: LST EN ISO/IEC 27002 ir LST EN ISO/IEC 27001.
3. TPSAIS tvarkoma informacija nurodyta Informacinės sistemos nuostatų 18 ir 19 punktuose. Visa TPSAIS tvarkoma informacija priskiriama vidutinės svarbos informacijos kategorijai. Priskyrimo elektroninės informacijos kategorijai kriterijai nustatyti Saugos nuostatuose.
II SKYRIUS
TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS
5. Visi naudotojų ir administratorių kompiuteriai privalo būti eksploatuojami patalpose, į kurias patekimas yra ribojamas ir (ar) kontroliuojamas. TPSAIS informacijos kopijų laikmenos turi būti saugomos kitose patalpose (fizinėje vietoje), nei yra įrenginys, kuriuo informacija buvo nukopijuota. Visi naudotojų ir administratorių kompiuteriai turi būti apskaitomi elektroniniame žurnale, nurodant kompiuterio konfigūraciją, administratorių ir naudotoją (-us). Už elektroninio žurnalo pildymą atsakingas koordinuojantysis administratorius.
6. Naudotojams patiems draudžiama atidarinėti kompiuterius ir keisti jų technines komponentes ar jų nustatymus. Naudotojai apie TPSAIS ir (ar) kompiuterių techninės ar programinės įrangos gedimus informuoja valstybės įmonės „Regitra“ (toliau – VĮ „Regitra“) Informacinių technologijų departamentą (toliau − ITD), naudodamiesi IT pagalbos tarnyba (el. paštu pagalba@regitra.lt ar telefonu).
7. Administratorių slaptažodžiai yra žinomi tik pačiam administratoriui ir saugomi seife VĮ „Regitra“ patalpose. Už saugojimą atsakingas koordinuojantysis administratorius.
8. Naudotojų kompiuteriuose turi būti nustatytas klaviatūros blokavimas po ne ilgesnio kaip 15 minučių neaktyvumo laikotarpio ir naudojama ekrano apsaugos programa (angl. screensaver) su slaptažodžiu.
9. Rekomenduojama kompiuterių monitorius nukreipti taip, kad pašaliniai asmenys, įeinantys į tarnybines patalpas, kuriose eksploatuojami kompiuteriai, ir jose esantys, negalėtų matyti kompiuterių monitoriuose rodomos informacijos.
10. Jautri informacija, susijusi su prisijungimo duomenimis (naudotojų vardais, slaptažodžiais ir pan.), turi būti saugoma taip, kad kiti asmenys negalėtų jos pamatyti ir (ar) pasinaudoti.
11. Naudotojams draudžiama patiems diegti programinę įrangą, keisti darbo vietos techninės ir programinės įrangos konfigūracijas (išskyrus estetines detales, neturinčias įtakos programinės įrangos veikimui).
12. Jei nėra gautas kitoks ITD darbuotojų, prižiūrinčių IT įrangą, nurodymas, baigę darbą naudotojai privalo išjungti kompiuterius.
13. Taisant naudotojų kompiuterius ne VĮ „Regitra“ patalpose arba perduodant juos tretiesiems asmenims, informacijos kaupikliai turi būti išimami arba iš jų ištrinama informacija.
14. TPSAIS kompiuterinėse darbo vietose ir tarnybinėse stotyse naudojama tik legali sisteminė ir taikomoji programinė įranga. Koordinuojantysis administratorius ne rečiau kaip kartą per metus turi parengti, peržiūrėti, atnaujinti, ir, suderinęs su saugos įgaliotiniu, patvirtinti naudojamos programinės įrangos sąrašą. Saugos įgaliotinis bet kuriuo metu turi teisę patikrinti naudojamą programinę įrangą.
15. Naudotojų kompiuterių apsaugai naudojama programinė įranga, veiksmingai sauganti nuo kenksmingos programinės įrangos (taip pat antivirusinės programos). Antivirusinės programos atnaujinamos automatiškai ne rečiau kaip kartą per dieną. Naudotojui apribota galimybė savarankiškai konfigūruoti antivirusinės sistemos nustatymus.
16. Tarnybinių stočių ir naudotojų darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos atnaujinimai valdomi pagal Valstybės įmonės „Regitra“ pažeidžiamumų valdymo tvarką, patvirtintą VĮ „Regitra“ generalinio direktoriaus 2020 m. liepos 7 d. įsakymu Nr. 1.1E-1V-320 „Dėl Valstybės įmonės „Regitra“ pažeidžiamumų valdymo tvarkos patvirtinimo ir atsakingų asmenų paskyrimo“.
17. Prisijungti prie interneto tarnybiniu kompiuteriu, tvarkant TPSAIS duomenis ir dirbant VĮ „Regitra“ patalpose, galima tik naudojant VĮ „Regitra“ teritorinį kompiuterinį tinklą (WAN).
18. Visi naudotojų prisijungimai prie interneto fiksuojami ir prireikus analizuojami siekiant užtikrinti TPSAIS sistemos saugumą nuo įsilaužimų ir duomenų vagysčių, virusų, pavojingų interneto puslapių, kenksmingų programų ir pan.
19. Naudotojų prisijungimai prie interneto be išankstinio perspėjimo gali būti nutraukti, jei tai trukdo TPSAIS veiklai.
20. Naudotojams, administratoriams draudžiama elektroniniu paštu ar internetu siųsti, gauti ar platinti teisės aktų draudžiamą informaciją, platinti nusikalstamo pobūdžio informaciją, platinti kitiems asmenims nuorodas į tokio pobūdžio informaciją, platinti nelegalias kompiuterines programas ar programinę įrangą, perduoti tretiesiems asmenims TPSAIS informaciją.
21. Elektroninio pašto paskyra skiriama bendram VĮ „Regitra“ padaliniui arba naudotojui. Naudotojo pašto adresas sudaromas pagal šabloną vardas.pavarde@regitra.lt, nenaudojant lietuviškų raidžių su diakritiniais ženklais.
22. TPSAIS tarnybinėse stotyse turi būti naudojamos vykdomo kodo kontrolės priemonės, automatiškai apribojančios ar informuojančios apie nepatvirtinto programinio kodo vykdymą.
23. TPSAIS priežiūros funkcijoms atlikti naudojama naudotojų administratoriaus paskyra, kuria negalima atlikti TPSAIS naudotojo funkcijų.
24. Naudotojui 15 minučių neatliekant jokių TPSAIS tvarkymo veiksmų, TPSAIS prieiga užsirakina. Toliau tęsti darbą su TPSAIS galima tik pakartotinai įvedus naudotojo vardą ir slaptažodį.
25. Į TPSAIS įvestos informacijos tikslumas, užbaigtumas ir patikimumas užtikrinamas įdiegtomis TPSAIS kompleksinėmis programinėmis priemonėmis.
26. Svarbiausios kompiuterinės įrangos gedimus registruoja VĮ „Regitra“ ITD IT pagalbos tarnybos darbuotojai.
27. TPSAIS techninė įranga prižiūrima laikantis įrangos gamintojo reikalavimų. TPSAIS techninės ir programinės įrangos priežiūrą ir remontą atlieka tik ITD darbuotojai ir (ar) paslaugų teikėjai pagal galiojančias techninės ar programinės įrangos priežiūros sutartis.
28. TPSAIS tarnybinės stotys laikomos tik specialiai tam pritaikytose atskirose patalpose (serverinėse).
29. TPSAIS naudojama programinė įranga įspėja komponentų administratorius apie tarnybinių stočių laisvos atminties diske kritinį sumažėjimą, centrinio procesoriaus padidintą apkrovą ar kitus nesklandumus.
30. Svarbiausia kompiuterinė įranga, duomenų perdavimo tinklo mazgai ir ryšio linijos turi būti dubliuoti ir jų techninė būklė nuolat stebima.
31. TPSAIS elektroninės informacijos perdavimo tinklas yra atskirtas nuo viešųjų ryšių tinklų ugniasienėmis (angl. firewall) ir saugasienėmis (angl. Web application firewall). Ne rečiau kaip kartą per mėnesį komponentų administratoriai turi atlikti jų užfiksuotų įvykių analizę, o pastebėtos neatitiktys ar pažeidžiamumai turi būti pašalinti.
32. TPSAIS informacija su duomenų gavėjais ar teikėjais keičiamasi saugiu valstybiniu duomenų perdavimo tinklu, naudojant šifravimą, virtualų privatų tinklą (VPN), skirtines linijas ar kitas priemones.
33. TPSAIS kompiuterinio tinklo įrangos ir tarnybinių stočių darbo režimą palaiko nepertraukiamo maitinimo šaltiniai ir atsarginis autonominis elektros energijos šaltinis (generatorius), kurie atitinka šiuos reikalavimus:
33.1. nepertraukiamo maitinimo šaltinio veikimo trukmė, dingus elektros srovei, yra ne trumpesnė kaip 30 minučių;
33.2. atsarginio autonominio elektros energijos (generatoriaus) įsijungimas – ne vėliau kaip per 1 minutę dingus elektros tiekimui;
35. Patekimas į VĮ „Regitra“ patalpas su kompiuterinėmis darbo vietomis yra ribotas. VĮ „Regitra“ darbuotojai, galintys patekti į šias patalpas, turi juos identifikuojantį įrenginį.
36. Patekimas į serverines yra kontroliuojamas ir registruojamas. Galintys patekti į serverinę VĮ „Regitra“ darbuotojai turi elektroninius leidimus ir yra fiksuojami vaizdo įrašuose bei elektroniniame žurnale, kurio įrašai saugomi ne trumpiau kaip 6 mėnesius nuo įrašo padarymo dienos.
37. Galinčių patekti į serverines VĮ „Regitra“ darbuotojų sąrašą tvirtina VĮ „Regitra“ generalinis direktorius.
38. Valymo, tvarkymo ar kitos įrangos diegimo darbai serverinėse atliekami prižiūrint atsakingam ITD darbuotojui, turinčiam teisę patekti į serverinę.
39. VĮ „Regitra“ kompiuterių tinklo komponentai (maršruto parinktuvai ir pan.) yra įrengiami fiziškai apsaugotose patalpose. Visuose tinkliniuose įrenginiuose turi būti pakeisti įrangos gamintojo slaptažodžiai.
40. Fizinė serverinės apsauga užtikrinama įrengiant langų apsaugines žaliuzes arba grotas, rakinamas ir ugniai atsparias įėjimo šarvuotas duris.
41. Serverinėse įrengti judesio, temperatūros, gaisro ir įsilaužimo jutikliai yra prijungti prie apsauginės pastato signalizacijos.
42. Nuotolinis prisijungimas prie TPSAIS vykdomas protokolu, skirtu duomenims šifruoti. Nuotolinio prisijungimo galimybė suteikiama tik tiems naudotojams, kuriems tai būtina tiesioginėms pareigoms atlikti. Nuotolinio prisijungimo naudotojų sąrašą atnaujina komponentų administratoriai, suderinę su saugos įgaliotiniu.
43. TPSAIS tarnybinių stočių elektroniniuose žurnaluose fiksuojama informacija apie įrašomus duomenis, apie TPSAIS įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis sistemoje, visus naudotojų vykdomus veiksmus, kitus saugai svarbius įvykius turi būti analizuojama ne rečiau kaip kartą per mėnesį, o įvykių žurnaluose duomenys turi būti saugomi ne trumpiau kaip vienerius metus.
44. Programinė įranga turi būti testuojama naudojant atskirą testavimui skirtą aplinką ir užtikrinta, kad informacinių sistemų testavimas nebūtų vykdomas su realiais asmens duomenimis, išskyrus būtinus atvejus, kurių metu būtų naudojamos organizacinės ir techninės duomenų saugumo priemonės, užtikrinančios realių asmens duomenų saugumą.
45. TPSAIS programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org.
47. TPSAIS turi būti taikomi ir kiti techniniai kibernetinio saugumo reikalavimai, apibrėžti Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Reikalavimų aprašas), 2 priede, skirti trečios kategorijos valstybės informaciniams ištekliams.
III SKYRIUS
SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
49. Informacijos kopijavimas ir atstatymas atliekamas vadovaujantis Valstybės įmonės „Regitra“ informacinių sistemų atsarginių kopijų kūrimo ir atstatymo tvarka, patvirtinta VĮ „Regitra“ generalinio direktoriaus 2021 m. sausio 18 d. įsakymu Nr. 1V-18 „Dėl Valstybės įmonės „Regitra“ informacinių sistemų atsarginių kopijų kūrimo ir atstatymo tvarkos patvirtinimo“. TPSAIS veiklos atkūrimo laikotarpis turi būti ne ilgesnis kaip 16 valandų.
50. Turėti prieigą prie atsarginių TPSAIS informacijos kopijų gali tik komponentų administratorius, įvedęs identifikatorių ir slaptažodį.
51. TPSAIS informacijos atsarginės kopijos elektroninės informacijos kaupimo priemonėse saugomos atsarginėje (rezervinėje) serverinėje. Galintys patekti į šią serverinę VĮ „Regitra“ darbuotojai turi elektroninius leidimus ir yra fiksuojami vaizdo įrašuose ir elektroniniame žurnale, kurio įrašai saugomi ne trumpiau kaip 6 mėnesius nuo jo padarymo dienos.
52. Atsarginių TPSAIS informacijos kopijų atkūrimas išbandomas reguliariai bent kartą per metus. Bandymų metu TPSAIS informacija atkuriama taip, kaip ji būtų atkuriama tuo atveju, jei būtų nenumatytai prarasta. Bandomojo atkūrimo TPSAIS informacija turi būti nuodugniai patikrinta ir įvertinta, ar bandymas buvo užbaigtas ir sėkmingas.
53. Per metus turi būti užtikrintas informacinės sistemos prieinamumas – ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis.
54. TPSAIS informaciją teikiant kitiems registrams, informacinėms sistemoms, saugos reikalavimai nustatomi informacijos (duomenų) teikimo sutartyse.
55. TPSAIS informacijos neteisėtas kopijavimas, keitimas, naikinimas ar perdavimas nustatomas stebint tarnybinių stočių ir kompiuterinių sistemų istorijos žurnalus. Stebėjimo analizė atliekama ne rečiau kaip vieną kartą per mėnesį – atsakingi komponentų administratoriai. TPSAIS informaciją perduodant elektroniniu paštu, naudojamas šifravimas, elektroninis parašas ar kitos priemonės, užtikrinančios elektroninės informacijos saugumą.
56. ITD IT infrastruktūros valdymo skyriaus specialistai nuolat atlieka įsibrovimų aptikimą ir naudoja prevencines priemones.
57. TPSAIS pokyčių valdymas atliekamas tokia tvarka:
57.1. VĮ „Regitra“ užtikrina TPSAIS pokyčių (toliau – pokyčiai) valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas pagal pokyčio tipą (administracinis, organizacinis ar techninis), įtakos vertinimą ir pokyčių prioritetų nustatymo procesus.
57.2. Visi pokyčiai, galintys sutrikdyti ar sustabdyti informacinės sistemos darbą, turi būti suderinti su TPSAIS duomenų valdymo įgaliotiniu ir vykdomi tik gavus jo raštišką pritarimą. Pokyčius turi teisę inicijuoti duomenų valdymo įgaliotinis, saugos įgaliotinis ar koordinuojantysis administratorius, o įgyvendinimą organizuoti – koordinuojantysis administratorius.
57.3. Informacinės sistemos sąrankos aprašai turi būti nuolat atnaujinami ir rodyti esamą TPSAIS sąrankos būklę.
58. Pokyčiai įgyvendinami pagal VĮ „Regitra“ patvirtintą „Valstybės įmonės „Regitra“ informacinių sistemų pakeitimų prašymų valdymo tvarkos aprašą“.
59. Belaidžio tinklo saugumui ir kontrolei užtikrinti turi būti taikomi Reikalavimų aprašo priedo 4 lentelėje „Belaidžio tinklo saugumas ir kontrolė“ nustatyti reikalavimai, taikomi trečios kategorijos valstybės informaciniams ištekliams.
60. Nešiojamiesiems kompiuteriams ir kitiems mobiliesiems įrenginiams, naudojamiems TPSAIS tvarkymui bei administravimui turi būti taikomi Reikalavimų aprašo priedo 5 lentelėje „Mobiliųjų įrenginių, naudojamų prisijungti prie valstybės informacinių išteklių ar ypatingos svarbos informacinės infrastruktūros, saugumas ir kontrolė“ nustatyti reikalavimai, taikomi trečios kategorijos valstybės informaciniams ištekliams.
61. TPSAIS naudojamai interneto svetainei turi būti taikomi Reikalavimų aprašo priedo 6 lentelėje „Valstybės informacinių išteklių ar ypatingos svarbos informacinės infrastruktūros naudojamos interneto svetainės, pasiekiamos iš viešųjų elektroninių ryšių tinklų, saugumas ir kontrolė“ nustatyti reikalavimai, taikomi trečios kategorijos valstybės informaciniams ištekliams.
62. Tvarkant TPSAIS duomenis nuotoliniu būdu, taikomi reikalavimai, aprašyti Valstybės įmonės „Regitra“ reikalavimų nuotolinei kompiuterinei darbo vietai apraše, patvirtintame valstybės įmonės „Regitra“ generalinio direktoriaus 2019 m. sausio 24 d. įsakymu Nr. V-17 „Dėl Valstybės įmonės „Regitra“ reikalavimų nuotolinei kompiuterinei darbo vietai aprašo patvirtinimo“.
63. Atliekant TPSAIS duomenų teikimą turi būti taikomi tokie pat saugumo reikalavimai kaip ir teikiant registrų duomenis, vadovaujantis Valstybės įmonės „Regitra“ registrų duomenų teikimo tvarkos aprašo, patvirtinto valstybės įmonės „Regitra“ generalinio direktoriaus 2018 m. spalio 4 d. įsakymu Nr. V-163 „Dėl Valstybės įmonės „Regitra“ registrų duomenų teikimo tvarkos aprašo patvirtinimo“, 5 priedu „Duomenų teikimo saugos reikalavimai“.
IV SKYRIUS
REIKALAVIMAI, KELIAMI TPSAIS VEIKIMUI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS
64. Reikalavimai paslaugų teikėjams ir jų teikiamoms TPSAIS plėtros ar priežiūros paslaugoms nustatomi šių paslaugų teikimo sutartyse.
65. Paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja (keičia) TPSAIS programinę ar techninę įrangą, teikia prieglobos paslaugas, naudodamas elektroninės informacijos saugos priemones, apsaugančias nuo neteisėto poveikio sisteminei, programinei įrangai ir patalpoms.
66. Paslaugų teikėjų prieigos prie TPSAIS lygiai ir sąlygos:
66.1. naudotojų administratorius suteikia prieigos prie TPSAIS elektroninės informacijos teisę (matyti TPSAIS elektroninę informaciją, atlikti užklausas TPSAIS, vykdyti veiksmus su TPSAIS elektronine informacija ir kt.) bei fizinę prieigą prie techninės ir programinės įrangos paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje nurodytam laikotarpiui jo nustatytoms funkcijoms atlikti;
66.2. naudotojų administratorius, suteikdamas prieigos prie TPSAIS elektroninės informacijos teisę, paslaugų teikėjo įgaliotą fizinį asmenį supažindina su prieigos prie TPSAIS elektroninės informacijos sąlygomis;
67. Patalpos, įranga, TPSAIS priežiūra, informacijos perdavimas tinklais ir kitos paslaugos turi atitikti Taisyklėse nustatytus reikalavimus.
68. Interneto paslaugų ir (ar) svetainės prieglobos teikėjas turi užtikrinti Reikalavimų aprašo 2 priedo lentelėse „Valstybės informacinių išteklių ar ypatingos svarbos informacinės infrastruktūros naudojamos interneto svetainės, pasiekiamos iš viešųjų elektroninių ryšių tinklų, saugumas ir kontrolė“ ir „Valstybės informacinių išteklių ar ypatingos svarbos informacinės infrastruktūros naudojamo interneto saugumas ir kontrolė“ nustatytus reikalavimus, taikomus trečios kategorijos valstybės informaciniams ištekliams.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
PATVIRTINTA
Valstybės įmonės „Regitra“ generalinio
direktoriaus
2021 m. gruodžio 27 d. įsakymu Nr. 1V-522
TRANSPORTO PRIEMONIŲ SAVININKŲ APSKAITOS INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Transporto priemonių savininkų apskaitos informacinės sistemos naudotojų administravimo taisyklės (toliau – Taisyklės) reglamentuoja Transporto priemonių savininkų apskaitos informacinės sistemos (toliau – TPSAIS) naudotojų administravimo tvarką.
2. Taisyklės parengtos vadovaujantis Transporto priemonių savininkų apskaitos informacinės sistemos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalaus ministro 2021 m. balandžio 28 d. įsakymu Nr. 1V-373 „Dėl Transporto priemonių savininkų apskaitos informacinės sistemos nuostatų patvirtinimo“ (toliau – informacinės sistemos nuostatai), Transporto priemonių savininkų apskaitos informacinės sistemos duomenų saugos nuostatais , patvirtintais Valstybės įmonės „Regitra“ generalinio direktoriaus 2021 m. balandžio 29 d. įsakymu Nr. 1V-248 „Dėl Transporto priemonių savininkų apskaitos informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – Saugos nuostatai), bei Lietuvos standartais: LST EN ISO/IEC 27002 ir LST EN ISO/IEC 27001.
3. Taisyklės taikomos TPSAIS valdytojui, tvarkytojui, duomenų valdymo ir saugos įgaliotiniams, naudotojams bei naudotojų administratoriui.
4. Prieinamumas prie TPSAIS duomenų bazės TPSAIS naudotojams (toliau – naudotojas) užtikrinamas vadovaujantis šiais duomenų saugos principais:
4.1. prie TPSAIS elektroninės informacijos (toliau – informacija) prieigą turi tik tie naudotojai, kuriems tokią teisę suteikė TPSAIS naudotojų administratorius (toliau – administratorius);
4.2. TPSAIS informaciją keičia (kuria, naikina arba papildo) tik tokius įgaliojimus turintis naudotojas;
II SKYRIUS
TPSAIS NAUDOTOJŲ IR ADMINISTRATORIAUS ĮGALIOJIMAI,
TEISĖS IR PAREIGOS
5. Prieigos prie TPSAIS informacijos teises suteikia ir administruoja administratorius, vadovaudamasis šiais prieigos prie informacijos principais:
5.1. TPSAIS priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą administratoriaus paskyrą, kuria naudojantis negalima atlikti naudotojo funkcijos;
6. Administratorius turi teisę:
6.1. matyti visų naudotojų identifikavimo ir suteiktų teisių informaciją bei naudotojų atliktus veiksmus;
7. Administratorius privalo:
7.1. registruoti naujas, naikinti esamas naudotojų paskyras, suteikti, naikinti, koreguoti jiems prieigos prie TPSAIS informacijos teises;
8. Naudotojai turi teisę:
8.1. naudotis tik tomis TPSAIS funkcijomis ir tvarkyti tik tą TPSAIS informaciją, prie kurios prieigos teises jiems suteikė administratorius;
9. Naudotojai privalo:
9.1. užtikrinti tvarkomos TPSAIS informacijos konfidencialumą bei vientisumą ir savo veiksmais netrikdyti informacijos prieinamumo;
9.2. iškart pranešti administratoriui arba saugos įgaliotiniui apie TPSAIS sutrikimus, neįprastą jo veikimą, esamus arba galimus duomenų saugos reikalavimų pažeidimus bei kitų naudotojų neteisėtus veiksmus;
III SKYRIUS
SAUGAUS DUOMENŲ TEIKIMO TPSAIS NAUDOTOJAMS KONTROLĖS TVARKA
10. Naudotojų registravimo bei išregistravimo ar teisių ribojimo procedūra vykdoma šia tvarka:
10.1. VĮ „Regitra“ padalinio vadovas, kurio darbuotojui reikia suteikti naudotojo teises, pateikia būsimam naudotojui ir TPSAIS saugos įgaliotiniui užpildytą Informacinių sistemų ir (ar) registrų naudotojo vardo suteikimo formą, patvirtintą VĮ „Regitra“ generalinio direktoriaus 2021 m. lapkričio 19 d. įsakymu Nr. 1V-472 „Dėl Prieigos prie valstybės įmonės „Regitra“ ryšių ir informacinių sistemų teisių valdymo tvarkos aprašo patvirtinimo“, pasirašymui dokumentų valdymo sistemos (toliau – DVS) priemonėmis. DVS dokumento metaduomenų kortelėje būtina nurodyti TPSAIS administratorių kaip suinteresuotą asmenį.
10.2. VĮ „Regitra“ padalinio vadovas, kurio darbuotojui reikia suteikti naudotojo teises, teikdamas užpildytą Informacinių sistemų naudotojo vardo suteikimo formą, užtikrina, kad prašoma suteikti prieigos teisė reikalinga darbuotojo darbo funkcijų vykdymui bei darbuotojas yra supažindintas su TPSAIS duomenų saugos nuostatais ir kitais duomenų saugos politiką įgyvendinančiais teisės aktais (toliau – duomenų saugą reglamentuojantys teisės aktai).
10.3. Saugos įgaliotinis patikrina ar naudotojas, kuriam prašoma suteikti prieigos teisę, yra susipažinęs su duomenų saugą reglamentuojančiais teisės aktais. Jeigu būsimasis naudotojas nėra susipažinęs su duomenų saugą reglamentuojančiais teisės aktais, būsimąjį naudotoją saugos įgaliotinis supažindina DVS priemonėmis. Naudotoją supažindinus su duomenų saugą reglamentuojančiais teisės aktais ar įsitikinus, kad naudotojas su jais yra susipažinęs, saugos įgaliotinis tai patvirtina DVS priemonėmis.
10.4. Saugos įgaliotiniui patvirtinus, kad naudotojas yra susipažinęs su duomenų saugą reglamentuojančiais teisės aktais ir naudotojui pasirašius Informacinių sistemų naudotojo vardo suteikimo formą administratorius per 3 (tris) darbo dienas užregistruoja naudotoją sistemoje, sukuria jam naudotojo vardą, suteikia prieigos teises, laikiną slaptažodį ir praneša jam prisijungimo duomenis.
10.6. Naudotojai išregistruojami:
10.6.1. Personalo ir darbuotojų saugos skyriui pateikus kreipinį naudojantis kreipinių valdymo sistema (toliau – KVS), kuriame informuojama apie darbuotoją su kuriuo nutraukiama darbo sutartis. Informacija pateikiama ne vėliau kaip paskutinę darbuotojo darbo dieną.
11. Naudotojai identifikuojami ir patvirtinami pagal naudotojų prisijungimo vardus ir slaptažodžius. Slaptažodžiams keliami tokie reikalavimai:
11.3. TPSAIS programinė įranga, atliekanti nutolusio prisijungimo autentikavimą, turi drausti automatiškai išsaugoti slaptažodžius;
11.4. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius – ne didesnis nei 5 kartai. Slaptažodį, neteisingai įvedus didžiausią leistiną skaičių, TPSAIS prieiga turi užsirakinti ir neleisti naudotojui autentifikuotis 15 minučių;
11.5. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais; saugos įgaliotinio sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo, jei:
11.6. papildomi reikalavimai naudotojo slaptažodžiams:
11.6.3. keičiant slaptažodį sistema negali leisti sudaryti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;
11.7. papildomi reikalavimai administratorių slaptažodžiams:
12. Naudotojas neturi teisės niekam atskleisti savo slaptažodžio. Už veiksmus, atliktus TPSAIS naudojantis naudotojo identifikatoriumi ir slaptažodžiu, atsako pats naudotojas.
13. Nutolusiems naudotojams prisijungiant prie TPSAIS naudojamas saugus HTTPS protokolas ar virtualaus privataus tinklo (VPN) prieiga.
14. TPSAIS naudotojams turi būti taikomi ir kiti techniniai kibernetinio saugumo reikalavimai, apibrėžti Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 2 priede, skirti trečios kategorijos valstybės informaciniams ištekliams.
IV SKYRIUS
BAIGIAMOSIOS NUOSTATOS
PATVIRTINTA
Valstybės įmonės „Regitra“ generalinio
direktoriaus
2021 m. gruodžio 27 d. įsakymu Nr. 1V-522
TRANSPORTO PRIEMONIŲ SAVININKŲ APSKAITOS INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Transporto priemonių savininkų apskaitos informacinės sistemos veiklos tęstinumo valdymo planas (toliau – Valdymo planas) reglamentuoja Transporto priemonių savininkų apskaitos informacinės sistemos (toliau – TPSAIS) saugos įgaliotinio, TPSAIS administratorių, TPSAIS naudotojų (toliau – naudotojai) funkcijas, įgaliojimus ir veiksmus atkuriant TPSAIS veiklą, elektroninės informacijos saugos incidentų, įvykusių TPSAIS, tyrimo tvarką.
2. Valdymo planas parengtas, vadovaujantis Transporto priemonių savininkų apskaitos informacinės sistemos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalaus ministro 2021 m. balandžio 28 d. įsakymu Nr. 1V-373 „Dėl Transporto priemonių savininkų apskaitos informacinės sistemos nuostatų patvirtinimo“, (toliau – informacinės sistemos nuostatai), Transporto priemonių savininkų apskaitos informacinės sistemos duomenų saugos nuostatais, patvirtintais Valstybės įmonės „Regitra“ generalinio direktoriaus 2021 m. balandžio 29 d. įsakymu Nr. 1V-248 „Dėl Transporto priemonių savininkų apskaitos informacinės sistemos duomenų saugos nuostatų patvirtinimo“, (toliau – Saugos nuostatai), bei Lietuvos standartais: LST EN ISO/IEC 27002 ir LST EN ISO/IEC 27001.
3. Valdymo planas vykdomas įvykus TPSAIS elektroninės informacijos saugos ar kibernetinio saugumo (toliau – saugos) incidentui, kuris gali turėti įtakos TPSAIS veiklai.
4. TPSAIS saugos įgaliotinis ar kibernetinio saugumo vadovas (toliau – saugos įgaliotinis), įtaręs neteisėtą veiklą, pažeidžiančią TPSAIS saugą, privalo imtis reikiamų priemonių, kad nebūtų pažeista sauga, ir apie tai pranešti VĮ „Regitra“ generaliniam direktoriui.
5. Administratoriai informuoja saugos įgaliotinį apie pastebėtus TPSAIS veiklos sutrikimus, neveikiančias ar netinkamai veikiančias duomenų saugos užtikrinimo priemones, dalyvauja šalinant TPSAIS veiklos sutrikimus.
6. Naudotojai, pastebėję TPSAIS veiklos sutrikimų, neveikiančias ar netinkamai veikiančias saugos užtikrinimo priemones, iškart turi apie tai pranešti administratoriams ir (ar) saugos įgaliotiniui.
7. Valdymo planas privalomas TPSAIS valdytojui ir tvarkytojui, naudotojams, administratoriams bei saugos įgaliotiniui.
8. Konkretūs saugos įgaliotinio, administratorių ir kitų VĮ „Regitra“ darbuotojų veiksmai bei funkcijos įvykus saugos incidentui nurodyti Transporto priemonių savininkų apskaitos informacinės sistemos veiklos atkūrimo detaliajame plane (Valdymo plano 1 priedas).
9. Įvykus bet kokiam TPSAIS elektroninės informacijos saugos incidentui, pirmiausia užtikrinamas VĮ „Regitra“ darbuotojų saugumas, paskui stengiamasi išsaugoti TPSAIS duomenų bazės kopijas bei techninius išteklius.
10. TPSAIS elektroninės informacijos saugos (kibernetinių) incidentų tyrimo tvarka reglamentuota Transporto priemonių savininkų apskaitos informacinės sistemos elektroninės informacijos saugos (kibernetinių) incidentų tyrimo tvarkos apraše (Valdymo plano 2 priedas).
11. TPSAIS veiklos atkūrimas, įvykus saugos incidentui, finansuojamas iš VĮ „Regitra“ įmonės lėšų ir (ar) kitų finansavimo šaltinių.
II SKYRIUS
ORGANIZACINĖS NUOSTATOS
13. TPSAIS veiklos atkūrimo ir kitiems Valdymo plane numatytiems veiksmams vadovauja TPSAIS veiklos tęstinumo valdymo grupė (toliau – valdymo grupė).
14. Valdymo grupės sudėtis:
15. Valdymo grupė atlieka šias funkcijas:
15.1. analizuoja saugos incidento atsiradimo priežastis, pasekmes bei šių priežasčių šalinimo būdus, koordinuoja, kaip atliekami Transporto priemonių savininkų apskaitos informacinės sistemos veiklos atkūrimo detaliajame plane numatyti veiksmai;
15.5. įvertina finansinių išteklių, reikalingų TPSAIS veiklai atkurti, įvykus saugos incidentui, poreikį ir kontroliuoja, kaip jie naudojami;
16. Įvykus saugos incidentui, TPSAIS veiklą atkuria TPSAIS veiklos atkūrimo grupė (toliau – atkūrimo grupė).
17. Atkūrimo grupės sudėtis:
17.1. VĮ „Regitra“ Informacinių technologijų departamento (toliau – ITD) vadovas (atkūrimo grupės vadovas);
17.3. VĮ „Regitra“ ITD IT infrastruktūros valdymo skyriaus vadovas (atkūrimo grupės vadovo pavaduotojas);
18. Atkūrimo grupės funkcijos:
18.1. TPSAIS tarnybinių stočių veiklos atkūrimo organizavimas (atsakingas – IT infrastruktūros valdymo skyriaus vadovas);
18.2. kompiuterių tinklo veikimo atkūrimo organizavimas (atsakingas – IT infrastruktūros valdymo skyriaus vadovas);
18.3. TPSAIS elektroninės informacijos atkūrimo organizavimas (atsakingas – IT sprendimų valdymo vadovas);
18.4. TPSAIS taikomųjų programų tinkamo veikimo atkūrimo organizavimas (atsakingas – IT sprendimų valdymo vadovas);
18.5. TPSAIS kompiuterių darbo vietų veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas (atsakingas – IT infrastruktūros valdymo skyriaus vadovas);
19. Atkūrimo grupė vykdo valdymo grupės nurodytus veiksmus pagal TPSAIS veiklos atkūrimo detalųjį planą (Valdymo plano 1 priedas).
20. TPSAIS saugos incidento metu valdymo ir atkūrimo grupių nariai bendrauja asmeniškai, telefonais arba elektroniniu paštu. Visi grupių nariai turi turėti kitų narių mobiliojo ryšio telefono numerius ir elektroninio pašto adresus. Prireikus valdymo ir atkūrimo grupės rengia bendrus susirinkimus.
21. Įvykus saugos incidentui, atkūrimo grupės vadovas privalo valdymo grupės vadovą bei VĮ „Regitra“ generalinį direktorių periodiškai informuoti, kaip atkuriama TPSAIS veikla.
22. Įvykus saugos incidentui, valdymo grupės vadovas arba jo pavaduotojas raštu kreipiasi į VĮ „Regitra“ generalinį direktorių su prašymu įsigyti sugadintai (sugedusiai) TPSAIS techninei, programinei įrangai taisyti reikalingas prekes ar paslaugas ar įsigyti naują TPSAIS techninę, programinę įrangą, skirtą sunaikintai (sugedusiai) įrangai pakeisti. TPSAIS techninė, programinė įranga taisoma ar įsigyjama nauja Lietuvos Respublikos viešųjų pirkimų įstatyme nustatyta tvarka.
23. TPSAIS saugos incidento metu šalinant incidento padarinius, TPSAIS veiklai atkurti prireikus gali būti naudojamos atsarginės patalpos, kurioms keliami šie reikalavimai:
23.1. atsarginės patalpos turi būti fiziškai apsaugotos nuo nepatvirtinto patekimo į jas. Jos turi būti rakinamos, o raktus gali turėti tik atkūrimo grupės nariai;
23.2. atsarginės patalpos turi turėti nuolatinį elektros energijos ir interneto ryšį, taip pat ryšį su VĮ „Regitra“ kompiuterių tinklu;
III SKYRIUS
APRAŠOMOSIOS NUOSTATOS
25. TPSAIS veiklai atkurti reikalingų dokumentų sąrašas, jų rengėjai ir saugojimo vietos:
25.1. naudojamos IT techninės ir programinės įrangos su už šios įrangos priežiūrą atsakingais administratoriais sąrašas bei minimalūs reikalavimai kompetencijoms ar žinioms TPSAIS veiklai atkurti nesant administratorių. Dokumentą rengia ITD IT sprendimų valdymo ir IT infrastruktūros valdymo skyriai. Dokumentas saugomas ITD vadovo seife, o jo kopija – rezervinėje serverinėje, esančioje VĮ „Regitra“ Vilniaus filialo patalpose adresu: Lentvario g. 7; Vilnius;
25.2. IT techninės ir programinės įrangos minimalūs techninės specifikacijos reikalavimai TPSAIS funkcionalumui užtikrinti, įvykus elektroninės informacijos saugos incidentui. Dokumentą rengia ITD IT sprendimų valdymo ir IT infrastruktūros valdymo skyriai. Dokumentas saugomas ITD vadovo seife, o jo kopija – rezervinėje serverinėje;
25.3. VĮ „Regitra“ direkcijos pastato, kuriame yra pagrindinės tarnybinės stotys, aukštų patalpų brėžiniai saugomi VĮ „Regitra“ dokumentų archyve, adresu: Liepkalnio g. 97, Vilnius, kopijos – Administravimo departamento Turto valdymo skyriuje. Už šių dokumentų parengimą ir saugojimą atsakingas Administravimo departamento Turto valdymo skyrius;
25.4. IT tarnybinių stočių ir kompiuterių tinklo fizinio ir loginio sujungimo schemos laikomos ITD. Dokumentą rengia IT infrastruktūros valdymo skyrius. Dokumentas saugomas ITD vadovo seife, o jo kopija – rezervinėje serverinėje;
25.5. kompiuterių tinklų ir telefonų tinklo laidų techninių sprendimų (projektų) schemos, elektros įvado schemos saugomos VĮ „Regitra“ dokumentų archyve, kopijos – Administravimo departamento Turto valdymo skyriuje. Už šių dokumentų parengimą ir saugojimą atsakingas Administravimo departamento Turto valdymo skyrius;
25.6. elektroninės informacijos teikimo ir IT techninės ir programinės įrangos priežiūros sutartys saugomos VĮ „Regitra“ dokumentų archyve, kopijos – Transporto priemonių registracijos ir ITD infrastruktūros valdymo skyriuose. Už šių dokumentų parengimą atsakingi Transporto priemonių registracijos skyrius ir ITD;
25.7. už elektroninių laikmenų saugojimą bei atsarginių kopijų atlikimą reglamentuojančių dokumentų parengimą, saugojimą bei kasmetinę peržiūrą ir atnaujinimą atsakingas IT infrastruktūros valdymo skyrius. Programinės įrangos laikmenos ir laikmenos su atsarginėmis elektroninės informacijos kopijomis saugomos seife VĮ „Regitra“ patalpose. Šių laikmenų kopijos saugomos rezervinėje serverinėje. Elektroninį kopijų apskaitos žurnalą prižiūri IT infrastruktūros valdymo skyrius;
25.8. valdymo grupės ir atkūrimo grupės narių sąrašai su kontaktiniais duomenimis saugomi pas atitinkamų grupių vadovus, o jų kopijos – pas saugos įgaliotinį. Už jų parengimą atsakingas saugos įgaliotinis;
26. TPSAIS operacinių sistemų ir TPSAIS duomenų bazės slaptažodžiai yra žinomi ITD administratoriams ir laikomi voke, kuris saugomas TPSAIS saugos įgaliotinio seife ir pas IT infrastruktūros valdymo skyriaus vadovą.
IV SKYRIUS
VALDYMO PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS
28. Saugos įgaliotinis kasmet organizuoja Valdymo plano ar jo atskirų dalių veiksmingumo išbandymą ar kibernetinio saugumo valdymo pratybas (toliau – pratybos), kur imituojamos nenumatytos situacijos, o administratoriai atlieka būtinus veiksmus. Valdymo plano ar pratybų išbandymo scenarijų rengia saugos įgaliotinis.
29. Neplaninis Valdymo plano veiksmingumo išbandymas (pratybos) gali būti atliekamas po saugos incidento ar kilus įtarimui dėl gresiančio saugos incidento.
30. Saugos įgaliotinis yra atsakingas už Valdymo plano veiksmingumo išbandymo (pratybų) rezultatų ir pastebėtų trūkumų ataskaitų parengimą bei jų pateikimą įmonės vadovybei. Šių ataskaitų kopijos ne vėliau kaip per penkias darbo dienas nuo dokumentų priėmimo pateikiamos Nacionaliniam kibernetinio saugumo centrui.
Transporto priemonių savininkų
apskaitos informacinės sistemos veiklos
tęstinumo valdymo plano
1 priedas
DETALUSIS TRANSPORTO PRIEMONIŲ SAVININKŲ APSKAITOS INFORMACINĖS SISTEMOS VEIKLOS ATKŪRIMO PLANAS
| Saugos incidentų rūšys |
Pirmaeiliai saugos incidentų likvidavimo veiksmai |
Atsakingi vykdytojai |
|
| 1. Gamtos reiškiniai (potvynis, uraganas ir kt. oro sąlygos). |
1.1. Transporto priemonių savininkų apskaitos informacinės sistemos (toliau – TPSAIS) elektroninės informacijos saugos incidentų (toliau – saugos incidentai) padarinių įvertinimas, priemonių plano saugos incidentui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas |
Valstybės įmonės „Regitra“(toliau – VĮ „Regitra“) IT departamento (toliau – ITD) vadovas, saugos įgaliotinis, administratoriai VĮ „Regitra“ Administravimo departamento Turto valdymo skyriaus vadovas |
|
| 1.2. Saugos incidento padarinius likviduojančių darbuotojų paskyrimas |
Saugos įgaliotinis VĮ „Regitra“ ITD vadovas VĮ „Regitra“ Administravimo departamento Turto valdymo skyriaus vadovas |
||
| 1.3. Saugos incidento vietoje dirbantiems darbuotojams rekomenduojamos elgsenos skelbimas ir pagalba |
VĮ „Regitra“ Personalo ir darbuotojų saugos skyriaus specialistas |
||
| 2. Gaisras |
2.1. Priešgaisrinės gelbėjimo tarnybos informavimas |
VĮ „Regitra“ Personalo ir darbuotojų saugos skyriaus specialistas |
|
| 2.2. Darbuotojų evakavimas (pagal priešgaisrinės gelbėjimo tarnybos rekomendaciją) |
VĮ „Regitra“ Administravimo departamento Turto valdymo skyriaus vadovas |
||
| 2.3. Darbas gaisro pavojaus zonoje |
VĮ „Regitra“ Personalo ir darbuotojų saugos skyriaus specialistas |
||
| 2.4. TPSAIS komunikacijų, sukeliančių saugos incidentą, išjungimas. Kilusio gaisro gesinimas (jei rekomenduojama dirbti gaisro pavojaus zonoje) |
Administratoriai, VĮ „Regitra“ Administravimo departamento Turto valdymo skyriaus specialistas VĮ „Regitra“ Personalo ir darbuotojų saugos skyriaus specialistas |
||
| 3. Energijos tiekimo sutrikimai |
3.1. Elektros energijos tiekimo sutrikimo priežasčių nustatymas. TPSAIS tarnybinės stoties, kitos techninės įrangos energijos maitinimo išjungimas |
VĮ „Regitra“ Administravimo departamento Turto valdymo skyriaus specialistas, Administratoriai |
|
|
|
3.2. Kreipimasis į energijos tiekėjo dėl energijos tiekimo sutrikimo trukmės ir energijos tiekimo sutrikimo pašalinimo galimybių |
VĮ „Regitra“ Administravimo departamento Turto valdymo skyriaus vadovas |
|
|
|
|||
| 3.3. Energijos tiekimo sutrikimų pašalinimas |
VĮ „Regitra“ Administravimo departamento Turto valdymo skyriaus specialistas, VĮ „Regitra“ ITD vadovas |
||
| 4. Vandentiekio, šildymo ir kondicionavimo sistemos sutrikimai |
4.1. Vandentiekio, šildymo ar kondicionavimo paslaugų teikėjų informavimas |
VĮ „Regitra“ Administravimo departamento Turto valdymo skyriaus specialistas |
|
| 4.2. Vandentiekio, šildymo ar kondicionavimo paslaugų sutrikimo šalinimo prognozės skelbimas, šio sutrikimo pašalinimas |
VĮ „Regitra“ Administravimo departamento Turto valdymo skyriaus specialistas |
||
| 5. Ryšio sutrikimai |
5.1. Ryšio sutrikimo priežasčių nustatymas |
VĮ „Regitra“ ITD vadovas Administratoriai |
|
|
|
5.2. Ryšio sutrikimo trukmės ir jo pašalinimo prognozių nustatymas |
Administratorius |
|
| 6. Programinės įrangos sugadinimas ar praradimas |
6.1. Saugos incidento padarinių įvertinimas, priemonių saugos incidentui sustabdyti ir jo padarytai žalai likviduoti plano sudarymas |
VĮ „Regitra“ ITD vadovas, Administratoriai |
|
| 6.2. Saugos incidento padarinius likviduojančių darbuotojų paskyrimas. Žalą likviduojančių darbuotojų instruktavimas, jų veiksmų koordinavimas |
Saugos įgaliotinis |
||
| VĮ „Regitra“ Valdymo grupės vadovas, VĮ „Regitra“ ITD vadovas |
Lietuvos Respublikos kelių transporto priemonių
informacinės sistemos veiklos tęstinumo valdymo
plano
2 priedas
TRANSPORTO PRIEMONIŲ SAVININKŲ APSKAITOS INFORMACINĖS SISTEMOS ELEKTRONINĖS INFORMACIJOS SAUGOS (KIBERNETINIŲ) INCIDENTŲ TYRIMO TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Transporto priemonių savininkų apskaitos informacinės sistemos elektroninės informacijos saugos incidentų tyrimo tvarkos aprašas (toliau – Aprašas) reglamentuoja Transporto priemonių savininkų apskaitos informacinės sistemos (toliau – TPSAIS) elektroninės informacijos saugos (kibernetinių) incidentų (toliau – saugos incidentai) tyrimo tvarką.
II SKYRIUS
PRANEŠIMŲ APIE SAUGOS INCIDENTUS REGISTRAVIMAS IR NEATIDĖLIOTINI SAUGOS INCIDENTŲ PLĖTROS SUSTABDYMO VEIKSMAI
2. Naudotojas apie saugos incidentus nedelsdamas praneša valstybės įmonės „Regitra“ (toliau – VĮ „Regitra“) IT pagalbos tarnybai elektroniniu paštu pagalba@regitra.lt ar telefonu ir saugos įgaliotiniui elektroniniu paštu itsauga@regitra.lt ar telefonu.
3. IT pagalbos tarnyba gautą pranešimą apie saugos incidentą registruoja VĮ „Regitra“ IT pagalbos tarnybos informacinėje sistemoje.
4. ITD apie užregistruotą pranešimą apie saugos incidentą telefonu iškart informuoja saugos įgaliotinį ir koordinuojantįjį administratorių (toliau – administratorius).
5. Administratorius iškart analizuoja gautą informaciją apie saugos incidentą, nustato jo pobūdį ir, suderinęs su saugos įgaliotiniu, numato ir vykdo neatidėliotinus TPSAIS administravimo veiksmus, susijusius su saugos incidento plėtros sustabdymu.
6. Saugos įgaliotinis, nustatęs, kad tai saugos incidentas, atlieka šiuos veiksmus:
6.1. priskiria jam grupę ir kategoriją pagal Nacionalinio kibernetinių incidentų valdymo plano (toliau – Planas), patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, priede pateiktus kriterijus;
6.2. registruoja saugos incidentą elektroniniame VĮ „Regitra“ žurnale ir pagal 6.1 papunktyje kibernetinio incidento nustatytą jo reikšmingumą (pavojingi kibernetiniai incidentai; didelio poveikio kibernetiniai incidentai; vidutinio poveikio kibernetiniai incidentai; nereikšmingo poveikio kibernetiniai incidentai) praneša apie jį Nacionaliniam kibernetinio saugumo centrui (toliau – NKSC) Plane nustatyta forma ir terminais;
III SKYRIUS
SAUGOS INCIDENTŲ TYRIMAS
7. Saugos incidento, trukusio ne ilgiau kaip 1 valandą, tyrimą atlieka koordinuojantis administratorius ir apie jo rezultatus raštu kitą dieną informuoja saugos įgaliotinį. Saugos incidento, trukusio ilgiau kaip vieną valandą, tyrimas atliekamas Aprašo 7–12 punktuose nustatyta tvarka.
8. Ne vėliau kaip kitą darbo dieną nuo ilgiau nei vieną valandą trukusio saugos incidento įregistravimo Aprašo 3 punkte nustatyta tvarka saugos įgaliotinis kviečia TPSAIS veiklos tęstinumo valdymo grupės (toliau – valdymo grupė) posėdį.
9. Siekdamas nustatyti saugos incidento aplinkybes, priežastis ir asmenis, dėl kurių galbūt neteisėtų veiksmų įvyko saugos incidentas, saugos įgaliotinis valdymo grupės nariams skiria saugos incidento tyrimo užduotis.
10. Valdymo grupės nariai turi teisę:
11. Valdymo grupės nariai informaciją apie užduoties įvykdymo rezultatus raštu teikia TPSAIS saugos įgaliotiniui.
12. Valdymo grupė:
12.1. vadovaudamasi surinkta tyrimo medžiaga, surašo saugos incidento tyrimo išvadą, kurioje išdėsto saugos incidento aplinkybes, jų priežastis ir jas pagrindžiančius įrodymus, taip pat nurodo asmenis, dėl kurių neteisėtos veiklos įvyko saugos incidentas, ir šiuos duomenis teikia VĮ „Regitra“ generaliniam direktoriui;
IV SKYRIUS
BAIGIAMOSIOS NUOSTATOS