PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2017 m. birželio 27 d. įsakymu Nr. 3D-427

(Lietuvos Respublikos žemės ūkio ministro

2023 m. sausio 10 d. įsakymo Nr. 3D-9

redakcija)

VALSTYBĖS ĮMONĖS ŽEMĖS ŪKIO DUOMENŲ CENTRO ADMINISTRUOJAMŲ INFORMACINIŲ SISTEMŲ IR REGISTRŲ SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybės įmonės Žemės ūkio duomenų centro (toliau – ŽŪDC) administruojamų informacinių sistemų (toliau – IS) ir registrų (toliau – registrai) saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) nustato tvarką, užtikrinančią saugų elektroninės informacijos tvarkymą ir ŽŪDC duomenų saugos nuostatų įgyvendinimą.

2. Taisyklėse vartojamos sąvokos:

2.1. Kertinis infrastruktūros komponentas – ŽŪDC tarnybinės stotys, duomenų saugyklos ir ryšių tinklo įranga.

2.2. Kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, ir ŽŪDC IS ir registrų duomenų saugos nuostatuose.

3. ŽŪDC tvarkomos elektroninės informacijos (jos grupių) sąrašas pateikiamas ŽŪDC IS ir registrų nuostatuose.

4. Už ŽŪDC IS ir registrų duomenų saugų tvarkymą atsakingi ŽŪDC tvarkytojas, ŽŪDC IS ir registrų naudotojai (toliau – naudotojai) ir ŽŪDC IS ir registrų administratoriai (toliau – administratoriai).

5. Už Taisyklių įgyvendinimo kontrolę atsakingas ŽŪDC IS ir registrų saugos įgaliotinis (toliau – saugos įgaliotinis).

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

6. ŽŪDC IS ir registrų duomenys nuo duomenų praradimo, iškraipymo, neteisėto atskleidimo ar duomenų sunaikinimo apsaugomi techninėmis, organizacinėmis ir programinėmis priemonėmis.

7. Turi būti naudojamos šios kompiuterinės įrangos saugos priemonės:

7.1. tarnybinės stotys apsaugotos nuo elektros srovės nutrūkimo ir svyravimų naudojant rezervinius elektros įvadus, vietinius elektros generatorius, nenutrūkstamo maitinimo šaltinius (toliau – UPS), užtikrinančius tarnybinės stoties veikimą nuo 15 iki 60 min., priklausomai nuo UPS apkrovimo;

7.2. patalpose, kuriose yra kompiuterinė įranga, užtikrintos gamintojo nustatytos kompiuterinės įrangos darbo sąlygos, įranga prižiūrima ir eksploatuojama pagal gamintojo rekomendacijas;

7.3. kertinių infrastruktūros komponentų, taip pat ryšio linijų, kompiuterinio tinklo centrinių komponentų, elektroninio pašto sistemos, virtualizavimo platformos komponentų dubliavimas;

7.4. kompiuterinės įrangos gedimų registravimas. Už gedimų registravimą atsakingi ŽŪDC IS ir registrų administratoriai;

7.5. kompiuterinė įranga tvarkoma laikantis gamintojo rekomendacijų, ją prižiūri ir gedimus šalina kvalifikuoti specialistai;

7.6. kompiuterinėje įrangoje naudojama tik legali, automatiniu būdu pagal programinės įrangos gamintojų rekomendacijas atnaujinama ir darbo funkcijoms atlikti reikalinga programinė įranga;

7.7. leistinos naudoti programinės įrangos sąrašą rengia, derina su saugos įgaliotiniu, ir teikia tvirtinti ŽŪVC informacinių technologijų priežiūros ir projektų valdymo komitetui ŽŪDC informacinių technologijų departamentas (toliau – ITD). Šis sąrašas peržiūrimas periodiškai, ne rečiau kaip kartą per metus, ir prireikus atnaujinamas.

8. Turi būti naudojamos šios ŽŪDC IS ir registrų sisteminės ir taikomosios programinės įrangos saugos užtikrinimo priemonės:

8.1. programinę įrangą diegia tik ŽŪDC IS ir registrų administratoriai;

8.2. programinė įranga testuojama tik naudojant atskirą tam skirtą testavimo aplinką, izoliuotą nuo ŽŪDC IS ir registrų;

8.3. slaptažodžiai, suteikiantys teisę dirbti su ŽŪDC IS ir registrų sistemine programine įranga, yra žinomi tik ŽŪDC IS ir registrų administratoriams. Slaptažodžiai turi būti saugomi šifruoti saugioje aplinkoje;

8.4. ŽŪDC IS ir registrų naudotojų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai nustatyti Lietuvos Respublikos žemės ūkio ministro įsakymu tvirtinamose ŽŪDC IS ir registrų naudotojų administravimo taisyklėse;

8.5. jungtis prie ŽŪDC IS ir registrų sisteminės ir taikomosios programinės įrangos galima tik per interneto naršyklę, naudojant šifruotą https protokolą. ŽŪDC IS ir registrų naudotojams gali būti suteikiama nuotolinio prisijungimo prie ŽŪDC IS ir registrų galimybė, naudojant ŽŪDC IS ir registrų duomenų saugos nuostatuose nurodytas priemones ir elektroninės informacijos šifravimą;

8.6. ŽŪDC IS ir registrų administratoriai gali jungtis naudodami SSH ir RDP protokolus;

8.7. maksimali ŽŪDC IS ir registrų neveikimo trukmė, kiek ilgiausiai galima tęsti funkcijų, kurioms atlikti buvo sukurta IS / registras, vykdymą, nurodyta Lietuvos Respublikos žemės ūkio ministro įsakymu tvirtinamame ŽŪDC IS ir registrų veiklos tęstinumo valdymo plane.

9. Turi būti naudojamos šios duomenų perdavimo elektroninių ryšių tinklais saugumo užtikrinimo priemonės:

9.1. ŽŪDC IS ir registrų duomenų perdavimo tinklas nuo grėsmių iš interneto atskirtas užkardomis;

9.2. ŽŪDC vidiniame tinkle įdiegtos ir veikia automatinės įsilaužimo aptikimo sistemos;

9.3. ŽŪDC naudotojai ir administratoriai iš nutolusių darbo vietų prie ŽŪDC IS ir registrų jungiasi tik per virtualų privatų tinklą (VPN) (angl. Virtual private network);

9.4. prisijungimo prie ŽŪDC IS ir registrų vardai ir pirminio prisijungimo slaptažodžiai žinomi tik administratoriams ir tam naudotojui, kuriam jie yra skirti. Slaptažodžiai naudotojams perduodami tik tiesiogiai arba įsitikinus, kad naudotojas juos nedelsdamas pasikeis;

9.5. perduodamos ŽŪDC IS ir registrų elektroninės informacijos saugumas užtikrinamas naudojant VPN ir šifravimą.

10. Turi būti naudojamos šios pažeidžiamumų valdymo priemonės:

10.1. visi įrenginiai, kurie jungiasi prie ŽŪDC IS ir registrų, reguliariai skenuojami, siekiant įvertinti esamus pažeidžiamumus, nustatyti rizikų lygį, parengti pažeidžiamumų šalinimo ir rizikų valdymo planą;

10.2. pažeidžiamumams nustatyti naudojama specializuota programinė įranga (toliau – SPĮ), naudojanti viešai pripažįstamą bendrąją pažeidžiamumų vertinimo (angl. Common Vulnerability Scoring System) (toliau – CVSS) metodiką, pažeidžiamumo kritiškumui vertinti;

10.3. už SPĮ tinkamą veikimą yra atsakingas ŽŪDC kibernetinio saugumo vadovas;

10.4. po skenavimo SPĮ automatiškai sugeneruoja ataskaitą, kurią įvertina ir nustatytų trūkumų planą parengia atitinkamo ištekliaus administratorius;

10.5. nustatytas pažeidžiamumas turi būti išspręstas vadovaujantis šiais kriterijais:

Lygis	Apibūdinimas	Išsprendimo laikas
Kritinis	Kritinis pažeidžiamumas yra įvertinamas CVSS 8.0 arba daugiau balų. Tokiam pažeidžiamumui jau yra paruoštos viešai prieinamos išnaudojimo priemonės.	2 dienos
Aukštas	Aukšto prioriteto pažeidžiamumas CVSS įvertinamas 8 arba daugiau balų. Tokiam pažeidžiamumui nėra žinomos viešai prieinamos išnaudojimo priemonės.	30 dienų
Vidutinis	Pažeidžiamumas, kuris CVSS įvertinamas nuo 6 iki 8 balų, gali būti išspręstas per nurodytą laiką.	90 dienų
Žemas	Pažeidžiamumas, kuris CVSS įvertinamas nuo 4 iki 6 balų. Ne visada žemo lygio pažeidžiamumas gali būti išspręstas laiku dėl programinės įrangos arba operacinės sistemos funkcionalumo. Tokie atvejai turi būti tinkamai dokumentuoti, jeigu nėra galimybės pažeidžiamumo išspręsti.	180 dienų
Informacinis	Informacinio lygio pažeidžiamumas CVSS yra įvertinamas žemiau negu 4 balais. Jis yra vertinamas kaip rizikos, bet labiau traktuojamas kaip kryptis įrangai valdyti ir konfigūruoti.	Nenustatoma

10.6. Jei negalima išspręsti pažeidžiamumų, turi būti priimtos tinkamos riziką mažinančios priemonės.

11. Turi būti taikomos šios elektroninio pašto saugumo nuostatos:

11.1. ŽŪDC el. pašto naudotojų vardai (identifikatoriai) sudaromi susiejant juos su naudotojo vardu ir pavarde;

11.2. naudojamos šifravimo priemonės ryšiui tarp pašto dėžutės naudotojo taikomosios programos ir pašto serverio apsaugoti;

11.3. naudojamos apsaugos priemonės nuo nepageidaujamo turinio laiškų;

11.4. visi laiškai, prieš patenkant jiems į naudotojo pašto dėžutę, turi būti patikrinami dėl kenksmingo programinio kodo buvimo ir veikloje nenaudojamų bylų tipų;

11.5. ištrinti iš elektroninio pašto dėžutės laiškai pašto serveryje saugomi 14 dienų, o ištrinta pašto dėžutė saugoma 12 mėnesių.

12. Turi būti laikomasi šių viešai prieinamų svetainių kriptografiniams raktams ir algoritmams taikomų reikalavimų:

12.1. naudojamas TLS 1.2 ir aukštesnis kriptografinis protokolas. Draudžiama naudoti TLS1.0, TLS 1.1 ir SSL3 dėl žinomų ir plačiai išnaudojimų pažeidžiamumų;

12.2. sertifikato šifravimo funkcijai naudojamas SHA2 ir aukštesnis algoritmas;

12.3. naudojamas sertifikatas, išduotas patikimos organizacijos, draudžiama naudoti pasirašytus neautorizuotos šifrų pasirašymo sistemos (angl. self-signed) sertifikatus;

12.4. sertifikato rakto ilgis ne mažiau negu 2048 bitų ilgio;

12.5. prieiga prie privačių šifravimo raktų ribojama ir griežtai kontroliuojama. Privatūs šifravimo raktai saugomi kaip įmanoma mažesniame vietų skaičiuje – tarnybinėje stotyje, o atsarginė kopija – atsarginių kopijų tarnybinėje stotyje.

13. Turi būti naudojamos šios ŽŪDC IS ir registrų patalpų ir aplinkos saugumo užtikrinimo priemonės:

13.1. tarnybinių stočių patalpų išorinės durys rakinamos, apsaugotos apsaugine įsilaužimo sistema (šis reikalavimas taikomas ir langams), įeigos kontrolė užtikrinama elektronine įeigos kontrolės sistema. Teisė patekti į patalpą suteikiama tik asmenims, turintiems teisę prižiūrėti šioje patalpoje esančią ŽŪDC IS ir registrų įrangą, ir apsaugą vykdantiems asmenims;

13.2. patekimas į tarnybinių stočių patalpas ribojamas pagal ŽŪDC patvirtintas Patekimo į tarnybinių stočių patalpas taisykles. Asmenų, galinčių patekti į tarnybinių stočių patalpas, sąrašas tvirtinamas ŽŪDC generalinio direktoriaus įsakymu;

13.3. tarnybinių stočių patalpose įrengta priešgaisrinė apsaugos sistema, yra ugnies gesintuvai ir (arba) speciali gesinimo įranga;

13.4. apsaugos ir priešgaisrinės sistemos davikliai yra prijungti prie bendrų pastato / patalpų apsauginių sistemų ir valdomi automatiniu būdu;

13.5. elektroninė įėjimo kontrolės sistema privalo turėti autonominį maitinimo šaltinį, užtikrinantį tinkamą sistemos veikimą laikinai nutrūkus elektros energijos tiekimui, arba, visiškai nutrūkus elektros energijos tiekimui, turi automatiniu būdu persijungti į avarinio evakavimo režimą;

13.6. tarnybinės stotys apsaugotos nuo elektros srovės nutrūkimo ir svyravimų;

13.7. rezervinio nenutrūkstamo maitinimo šaltinis užtikrina ŽŪDC pagrindinės kompiuterinės įrangos veikimą ne trumpiau nei 10 minučių pagrindinio nenutrūkstamo maitinimo šaltinio neveikimo atveju ir nutrūkus elektros energijos tiekimui tarnybinės stotys maitinamos nuo rezervinio dyzelinio generatoriaus;

13.8. tarnybinių stočių patalpose įrengtos šildymo, vėdinimo ir oro kondicionavimo sistemos. Jose palaikomas tarnybinių stočių gamintojų nustatytas santykinis oro drėgnumas;

13.9. tarnybinių stočių patalpose įrengtas šilumos daviklis, kuris aktyvinasi, jei patalpoje aplinkos temperatūra pakyla iki tokios, kuri gali pakenkti įrangos veiklai . Kad aktyvinosi šilumos daviklis, automatiniu būdu perduodama už ŽŪDC IS ir registrų įrangos priežiūrą atsakingiems asmenims;

13.10. patalpos, kuriose yra ŽŪDC IS ir registrų kertinė įranga, turi būti atskirtos nuo kitų patalpų;

13.11. ryšių kabeliai apsaugoti nuo neteisėto prisijungimo prie jų ir jų pažeidimo;

13.12. viešųjų tinklų (interneto, telefonijos) įvadas ir ryšio tiekėjo įranga nėra toje pačioje patalpoje kaip ir tarnybinės stotys.

14. Kitos priemonės, naudojamos ŽŪDC IS ir registrų elektroninės informacijos saugai užtikrinti:

14.1. ŽŪDC IS ir registrų naudotojams prieigos teisės suteikiamos Lietuvos Respublikos žemės ūkio ministro įsakymu tvirtinamose ŽŪDC IS ir registrų naudotojų administravimo taisyklėse nustatyta tvarka:

14.2. baigus darbą imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama, uždaroma programinė įranga, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai padedami į pašaliniams asmenims neprieinamą vietą.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

15. ŽŪDC IS ir registrų elektroninės informacijos keitimo, atnaujinimo, įrašymo ir naikinimo tvarka:

15.1. ŽŪDC IS ir registrų elektroninę informaciją turi teisę tvarkyti naudotojai, administratoriai, kibernetinio saugumo vadovas ir saugos įgaliotinis Lietuvos Respublikos žemės ūkio ministro įsakymu tvirtinamų ŽŪDC IS ir registrų duomenų saugos nuostatų nustatyta tvarka;

15.2. ŽŪDC IS ir registrų elektroninė informacija įrašoma, atnaujinama, keičiama ir naikinama vadovaujantis Lietuvos Respublikos žemės ūkio ministro įsakymu tvirtinamų ŽŪDC IS ir registrų duomenų saugos nuostatų nustatyta tvarka ir kitais teisės aktais, reglamentuojančiais ŽŪDC IS ir registrų elektroninės informacijos valdymą;

15.3. Visi ŽŪDC IS ir registrų duomenys ir jų atsarginės kopijos naikinimo metu turi būti visiškai sunaikintos, kad jų nebūtų galima atkurti standartinėmis ar specialiosiomis duomenų atkūrimo priemonėmis. Duomenų ir jų atsarginių kopijų sunaikinimo akte turi būti nurodomi sunaikinti duomenys, pagrindas, kuriuo remiantis buvo sunaikinti duomenys, sunaikinimo data (ir laikas, jei reikia), už sunaikinimą atsakingo asmens pareigos, vardas ir pavardė.

16. Saugaus ŽŪDC IS ir registrų elektroninės informacijos perkėlimo ir teikimo kitiems registrams ir informacinėms sistemoms, elektroninės informacijos gavimo iš jų tvarka:

16.1. ŽŪDC IS ir registrų elektroninė informacija teikiama įstatymų nustatytais atvejais ir vadovaujantis sutartimis;

16.2. ŽŪDC IS ir registrų elektroninė informacija, vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu, Europos Parlamento ir Tarybos 2016 m. balandžio 27 d. reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu teikiama ir gaunama automatizuotai elektroninių ryšių tinklais.

17. ŽŪDC IS ir registrų žurnalinių įrašų (arba audito įrašų) administravimo ir saugojimo reikalavimai:

17.1. žurnaliniai įrašai turi būti saugomi ne trumpiau kaip 2 mėnesius;

17.2. kiekviename žurnaliniame įraše turi būti fiksuojama:

17.2.1. įvykio data ir tikslus laikas;

17.2.2. įvykio rūšis / pobūdis;

17.2.3. naudotojo, administratoriaus ir (arba) įrenginio, susijusio su įvykiu, duomenys;

17.2.4. įvykio rezultatas.

17.3. Registruojami veiksmai:

17.3.1. tarnybinių stočių, taikomosios programinės įrangos įjungimas, išjungimas;

17.3.2. naudotojų, administratorių prisijungimas (ir nesėkmingi bandymai prisijungti) ir atsijungimas;

17.3.3. naudotojų, naudotojų grupių, administratorių teisių naudotis sistemos ir tinklo ištekliais pakeitimai;

17.3.4. ŽŪDC IS ir registrų sąsajoje su viešųjų elektroninių ryšių tinklu įvykiai, susiję su įeinančiais ir išeinančiais duomenų srautais;

17.3.5. audito funkcijos įjungimas / išjungimas;

17.3.6. žurnalinių įrašų trynimas, kūrimas ar keitimas;

17.3.7. ŽŪDC IS ir registrų ir tinklo parametrų, laiko ir (ar) datos pakeitimai;

17.3.8. audituojamų įrašų laiko žymos turi būti sinchronizuotos ne mažiau kaip vienos sekundės tikslumu;

17.3.9. esant galimybei, visi naudotojų vykdomi veiksmai (duomenų įvedimas, duomenų paieška ir t. t.);

17.4. žurnaliniai įrašai įrašomi automatiniu būdu ŽŪDC IS ir registrų veiksmų žurnale, apsaugotame nuo neteisėto jame esančių duomenų naudojimo, keitimo, iškraipymo, sunaikinimo;

17.5. draudžiama audito duomenis trinti, keisti, kol nesibaigęs 2 mėnesių audito įrašų saugojimo terminas;

17.6. žurnalinių įrašų duomenys turi būti analizuojami atsakingo asmens ne rečiau kaip kartą per savaitę. Siekiant nustatyti nesankcionuoto poveikio šaltinį, laiką, pakeitimus ar veiksmus ŽŪDC IS ir registrų programinei įrangai ir elektroninei informacijai, turi būti analizuojami:

17.6.1. ugniasienės užfiksuoti įvykiai;

17.6.2. veiksmai, atlikti administratoriaus paskyromis;

17.6.3. atlikti ŽŪDC IS ir registrų sąrankos pakeitimai;

17.6.4. atlikti pakeitimai apsaugose nuo kenksmingo programinio kodo (pvz., tarnybinės stoties ugniasienės išjungimas);

17.6.5. prisijungimai prie žurnalinių įrašų;

17.6.6. nesėkmingi prisijungimai prie ŽŪDC IS ir registrų.

17.7. ŽŪDC IS ir registrų duomenų bazės veiksmų žurnalo duomenys prieinami tik atitinkamas teises turintiems administratoriams, saugos įgaliotiniui ir kibernetinio saugumo vadovui;

17.8. žurnaliniai įrašai saugomi ne tose pačiose ŽŪDC IS ir registrų tarnybinėse stotyse, kur jie yra sukuriami.

18. ŽŪDC IS ir registrų elektroninės informacijos atsarginių kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų reikalavimai:

18.1. ŽŪDC IS ir registrų elektroninės informacijos atsarginės kopijos programinėmis priemonėmis daromos ne rečiau kaip vieną kartą per savaitę;

18.2. pakartotinės ŽŪDC IS ir registrų elektroninės informacijos atsarginės kopijos daromos prieš ir po programinių atnaujinimų ar įvedus didelį kiekį naujos elektroninės informacijos;

18.3. atsarginės kopijos įrašomos į duomenų saugyklas, atskirtas nuo darbinės ŽŪDC IS ir registrų infrastruktūros, arba į trečiųjų šalių debesijos infrastruktūros saugyklas (angl. cloud infrastructure), jei minėtos paslaugos teikėjas gali užtikrinti tinkamą kopijų saugumą;

18.4. saugomos ne mažiau kaip trys paskutinės atsarginės kopijos.

18.5. atsarginių kopijų darymas fiksuojamas elektroninės informacijos atsarginių kopijų žurnale;

18.6. prarasta ar sunaikinta elektroninė informacija yra atkuriama iš atsarginių kopijų;

18.7. administratoriai yra atsakingi už ŽŪDC IS ir registrų elektroninės informacijos atsarginių kopijų darymą, elektroninės informacijos atkūrimą ir atsarginių kopijų apsaugą;

18.8. saugos įgaliotinis yra atsakingas už elektroninės informacijos atsarginės kopijos saugojimo kontrolę.

19. administratorius parengia ŽŪDC IS ir registrų sąrankos aprašus, kurie turi rodyti esamą ŽŪDC IS ir registrų būklę. ŽŪDC IS ir registrų sąrankos būklė bent kartą per metus arba po ŽŪDC IS ir registro pokyčio privalo būti administratoriaus patikrinama.

20. Siekiant nustatyti galimus ŽŪDC IS ir registrų elektroninės informacijos tvarkymo pažeidimus, informaciją apie ŽŪDC IS ir registrų naudotojus ir jų atliktus elektroninės informacijos tvarkymo veiksmus, ŽŪDC teikia pagal subjektų, turinčių teisę Lietuvos Respublikos įstatymų, kitų teisės aktų nustatyta tvarka gauti šiuos duomenis, raštu pateiktus paklausimus.

21. ŽŪDC IS ir registrų naudotojai, pastebėję elektroninės informacijos saugos pažeidimų, neteisėtos arba nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugą užtikrinančias priemones, privalo apie tai nedelsdami pranešti elektroniniu paštu pagalba@zudc.lt ir cert@zudc.lt.

22. ŽŪDC IS ir registrų programinės ir techninės įrangos keitimo ir atnaujinimo reikalavimai:

22.1. ŽŪDC IS ir registrams veikti reikalinga taikomoji programinė įranga perkama su autorių teisėmis (programos išeities kodais ir teisėmis juos keisti); nustatomas garantinio aptarnavimo laikas trūkumams ir klaidoms pašalinti;

22.2. ŽŪDC IS ir registrams veikti reikalinga nauja ar modernizuota programinė įranga derinama naudojant bandymams skirtą aplinką;

22.3. organizuojami ŽŪDC IS ir registrų naudotojų darbo su nauja programine ir technine įranga mokymai;

22.4. sugedusią techninę įrangą išvežant remontuoti, išimamos duomenų laikmenos (kietieji diskai ir kt.) arba daromos jų kopijos ir kartu perduodamose laikmenose saugomi duomenys ištrinami.

23. ŽŪDC IS ir registrų pokyčių valdymas apima IS ir registrų pokyčių identifikavimą, suskirstymą į kategorijas, įtakos IS ir registrui vertinimą ir pokyčių prioritetų nustatymo procesus. ŽŪDC IS ir registrų pokyčiai valdomi ŽŪDC patvirtinta tvarka.

24. Pokyčiai identifikuojami apibendrinus kylančias ŽŪDC IS ir registrų priežiūros problemas, naudotojų, administratorių ir kitų susijusių šalių poreikius. Prieš priimant sprendimą atlikti pokytį, įvertinama, kokią įtaką pokyčio įgyvendinimas turės ŽŪDC IS ir registrų veiklai.

25. Pokyčių prioritetai nustatomi atsižvelgiant į pokyčio kategorijas, tokias kaip: „didelis“, „vidutinis“, „smulkus“.

26. Prieš atliekant pokyčius, kurių metu gali iškilti grėsmė ŽŪDC IS ir registrų elektroninės informacijos konfidencialumui, vientisumui ar pasiekiamumui, visi pokyčiai išbandomi testavimo aplinkoje.

27. Administratoriai visą reikalingą informaciją apie ŽŪDC IS ir registrų naudojimo pakitimus pateikia kitiems naudotojams.

28. ŽŪDC nešiojamųjų įrenginių naudojimą, priežiūrą ir juose esančios elektroninės informacijos tvarkymą ir saugojimą reglamentuoja ŽŪDC Nešiojamųjų įrenginių naudojimo ir priežiūros taisyklės.

29. Naudojimąsi tarnybiniu el. paštu ir internetu reglamentuoja ŽŪDC Informacinių išteklių priimtino naudojimo taisyklės.

IV SKYRIUS

REIKALAVIMAI, KELIAMI FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

30. Siekdami užtikrinti informacinių technologijų paslaugų ir informacinių technologijų sistemų tęstinumą, ŽŪDC IS ir registrų duomenų valdymo įgaliotiniai turi užtikrinti, kad su trečiosiomis šalimis sudarytose sutartyse ir susitarimuose dėl paslaugų lygio (ir įprastomis aplinkybėmis, ir sutrikus paslaugų teikimui), be kita ko, būtų numatyta:

30.1. paslaugų teikėjas turi užtikrinti atitiktį kibernetinio saugumo reikalavimams, nustatytiems Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše;

30.2. tinkami ir proporcingi su informacijos saugumu susiję tikslai ir priemonės, numatyti Lietuvos Respublikos žemės ūkio ministro įsakymu tvirtinamuose ŽŪDC IS ir registrų duomenų saugos nuostatuose ir Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, tokie kaip: specifikacijos dėl duomenų saugojimo terminų, duomenų šifravimo, tinklo saugumo ir saugumo stebėsenos procesų, duomenų centrų buvimo vietos reikalavimai;

30.3. incidentų valdymo procedūros, įskaitant problemų sprendimo ir suinteresuotų šalių informavimo procedūras;

30.4. ŽŪDC teisė reikalauti, kad paslaugų teikėjas pateiktų įrodymus, kad yra laikomasi nustatytų informacijos saugumo reikalavimų, taip pat tikrinti paslaugų teikėjo paslaugų teikimo procesą, siekiant įsitikinti, kad laikomasi nustatytų informacijos saugumo reikalavimų .

31. Su visais paslaugų teikėjais pasirašomi konfidencialumo ir informacijos neatskleidimo susitarimai, taip pat duomenų tvarkymo sutartys (jeigu paslaugų tiekėjai yra ir duomenų tvarkytojai).

32. Administratoriai atsako už programinių, techninių ir kitų prieigos prie ŽŪDC IS ir registrų išteklių organizavimą, suteikimą ir panaikinimą ŽŪDC IS ir registrų techninės ir (arba) programinės priežiūros paslaugos teikėjui.

33. Administratoriai suteikia ŽŪDC IS ir registrų priežiūros paslaugos teikėjui tik tokią prieigą prie ŽŪDC IS ir registrų išteklių, kuri yra būtina, siekiant vykdyti sutartyje numatytus įsipareigojimus.

34. Paslaugų teikėjai gali patekti į ŽŪDC tarnybinių stočių ir tinklo perdavimo įrangos patalpas tik lydimi atsakingų ŽŪDC darbuotojų.

35. Pasibaigus sutarties su ŽŪDC IS ir registrų priežiūros paslaugos teikėju galiojimo terminui ar atsiradus kitoms sutartyje ar ŽŪDC saugos politiką įgyvendinančiuose dokumentuose įvardytoms sąlygoms ir už sutartį atsakingam asmeniui informavus, administratorius privalo nedelsdamas organizuoti suteiktos prieigos panaikinimą.

36. Visų ŽŪDC IS ir registrų veiklą palaikančių sistemų (elektros energijos, vandens teikimo, nuotekų šalinimo, šildymo, vėdinimo ir oro kondicionavimo sistemos) funkcionalumas, pajėgumas, patikimumas ir kitos savybės turi atitikti sistemų, kurias jos aptarnauja, reikalavimus.

37. Sutartyje su interneto paslaugų teikėjais turi būti nustatyta:

37.1. reagavimas į kibernetinius incidentus įprastomis darbo valandomis;

37.2. nepertraukiamas interneto paslaugos tiekimas 24 val. per parą 7 dienas per savaitę;

37.3. interneto paslaugų sutrikimo registravimas įprastomis darbo valandomis;

37.4. apsaugos nuo trikdymo taikymo (angl. Denial of Service, DoS).

38. ŽŪDC turi vykdyti nuolatinę trečiųjų šalių stebėseną (paslaugų lygio susitarimo vykdymo kontrolė, jei reikia auditai ir kitų įrodymų stebėsena), kad įsitikintų, jog taikomos ŽŪDC nustatytos priemonės, siekiami saugumo ir veikos tikslai.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

39. Taisyklės gali būti keičiamos dėl atsiradusių naujų poreikių ir pasikeitusių teisės aktų, reglamentuojančių ŽŪDC IS ir registrų administravimo ir informacijos saugumo sritį.

40. ŽŪDC IS ir registrų naudotojų administratoriai atsakingi už naudotojų supažindinimą su Taisyklėmis. Taip pat supažindinami ir su atsakomybe už Taisyklių laikymosi pažeidimus.

41. Asmenys, pažeidę šių taisyklių nuostatas, atsako teisės aktų nustatyta tvarka.

______________

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2017 m. birželio 27 d. įsakymu Nr. 3D-427

(Lietuvos Respublikos žemės ūkio ministro

2023 m. sausio 10 d. įsakymo Nr. 3D-9

redakcija)

VALSTYBĖS ĮMONĖS ŽEMĖS ŪKIO DUOMENŲ CENTRO ADMINISTRUOJAMŲ INFORMACINIŲ SISTEMŲ IR REGISTRŲ VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybės įmonės Žemės ūkio duomenų centro administruojamų informacinių sistemų ir registrų veiklos tęstinumo valdymo plano (toliau – Valdymo planas) tikslas – nustatyti valstybės įmonės Žemės ūkio duomenų centro (toliau – ŽŪDC) administruojamų informacinių sistemų (toliau – IS) ir registrų (toliau – registrai) administratoriaus, saugos įgaliotinio ir kitų darbuotojų veiksmus, esant IS ir registrų elektroninės informacijos saugos incidentui (kibernetiniam incidentui), kurio metu kyla pavojus IS ir registrų duomenims, techninės ir programinės įrangos funkcionavimui.

2. ŽŪDC kibernetiniai incidentai nustatomi, apie kibernetinius incidentus informuojama, kibernetiniai incidentai tiriami ir kibernetinių incidentų analizė, baigus kibernetinių incidentų tyrimą, atliekama, vadovaujantis Nacionaliniame kibernetinių incidentų valdymo plane, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Nacionalinis planas), nustatyta tvarka, o Valdymo plano nuostatos taikomos tiek, kiek kibernetinių incidentų valdymo nereglamentuoja Nacionalinis planas.

3. Valdymo plane vartojamos sąvokos:

3.1. Ekstremalioji situacija – dėl kibernetinio incidento, kritinio techninio gedimo, avarijos, katastrofos ar kitų techninių, gamtinių ar socialinių įvykių susidariusi padėtis, kai kyla grėsmė ŽŪDC veiklai ir IS ir registrams;

3.2. Elektroninė informacija – IS ir registruose tvarkomi duomenys, dokumentai ir informacija;

3.3. Elektroninės informacijos saugos incidentas (kibernetinis incidentas) – įvykis ar veiksmas, kuris gali sudaryti neteisėto prisijungimo prie IS ir registrų galimybę, sutrikdyti ar pakeisti IS ir registrų veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas neleistinai elektroninę informaciją pasisavinti, paskleisti ar kitaip panaudoti;

3.4. Kibernetinio saugumo specialistas – ŽŪDC paskirtas darbuotojas, dirbantis pagal darbo sutartį, atliekantis ŽŪDC IS ir registrų pažeidžiamų vietų nustatymo, saugumo reikalavimų atitikties nustatymo, stebėsenos ir reagavimo funkcijas;

3.5. Kibernetinio saugumo vadovas – ŽŪDC paskirtas darbuotojas, dirbantis pagal darbo sutartį, ar padalinys, atsakingas už ŽŪDC IS ir registrų kibernetinio saugumo organizavimą ir užtikrinimą;

3.6. ŽŪDC IS ir registrų administratorius (toliau – administratorius) – privilegijuotas teises turintis ŽŪDC darbuotojas (toliau – darbuotojas), galintis administruoti IS ir registrus techniniu ir programiniu lygmeniu ir atlikti kitas administratoriaus teisių reikalaujančias funkcijas;

3.7. ŽŪDC IS ir registrų duomenų valdymo įgaliotinis (toliau – duomenų valdymo įgaliotinis) – ŽŪDC struktūrinio padalinio, atsakingo už ŽŪDC teisės aktuose nustatytų funkcijų atlikimą, vadovas, o jei tokio struktūrinio padalinio nėra, – darbuotojas, atsakingas už ŽŪDC teisės aktuose nustatytų funkcijų atlikimą;

3.8. ŽŪDC IS ir registrų duomenys (toliau – duomenys) – informacija, kurią gali apdoroti žmogus;

3.9. ŽŪDC IS ir registrų saugos įgaliotinis (toliau – saugos įgaliotinis) – ŽŪDC paskirtas darbuotojas, dirbantis pagal darbo sutartį ar padalinys, koordinuojantis ir prižiūrintis elektroninės informacijos saugos (kibernetinio saugumo) politikos įgyvendinimą IS ir registruose;

3.10. ŽŪDC IS ir registrų veiklos atkūrimo grupė – grupė, užtikrinanti ŽŪDC veiklos ir (arba) IS ir registrų atkūrimą ir veikimą, atskaitinga ŽŪDC IS ir registrų veiklos tęstinumo valdymo grupei, esant ekstremaliajai situacijai (toliau – Atkūrimo grupė);

3.11. ŽŪDC IS ir registrų veiklos tęstinumo valdymo grupė – grupė, užtikrinanti ŽŪDC veiklos ir (arba) jos informaciniams ištekliams kylančių grėsmių valdymą ir ŽŪDC IS ir registrų atkūrimo koordinavimą, esant ekstremaliajai situacijai (toliau – Valdymo grupė).

4. Kitos Valdymo plane vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir Saugos dokumentų turinio gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, ŽŪDC administruojamų informacinių sistemų ir registrų duomenų saugos nuostatuose, kituose Lietuvos Respublikos įstatymuose ir teisės aktuose, reglamentuojančiuose IS ir registrų administravimą ir informacijos saugumą, vartojamas sąvokas.

5. Valdymo planas pradedamas taikyti saugos įgaliotiniui nustačius elektroninės informacijos saugos incidentą (toliau – Incidentas), kurio metu gali kilti pavojus IS ir registrų duomenims, techninės ir programinės įrangos funkcionavimui.

6. Ekstremaliąją situaciją (visoje įmonėje ar padalinyje) skelbia ŽŪDC generalinis direktorius.

7. Incidentų lygiai ir Valdymo plano įsigaliojimas:

7.1. 1 lygis: Didelis poveikis – kritinis poveikis ŽŪDC vykstantiems veiklos procesams. Tokiu atveju rizika paveikia reikšmingas infrastruktūros dalis, ŽŪDC IS ir registrus, labai didelį naudotojų veiklos procesų skaičių vienoje arba keliose ŽŪDC vietose. ŽŪDC taikomi arba turėtų būti taikomi ekstremaliosios situacijos valdymo veiksmai. Apie veiklos proceso sutrikimą reikia informuoti atsakingas valdžios arba priežiūros institucijas. Nepavyksta atkurti ŽŪDC IS ir registrų veikimo ar jų dalies per nustatytus terminus.

7.2. 2 lygis: Vidutinis poveikis – didelis poveikis ŽŪDC vykstantiems veiklos procesams. Tokiu atveju rizika paveikia infrastruktūros dalis, didelį naudotojų ir operacijų skaičių vienoje arba keliose ŽŪDC vietose, pvz., sustabdoma didžioji veiklos dalis (aktyvinama Valdymo plano veikla). Dirbama pagal Nacionalinį planą.

7.3. 3 lygis: Nereikšmingas poveikis – ribotas poveikis ŽŪDC vykstantiems veiklos procesams. Tokiu atveju rizika paveikia ribotą naudotojų ir operacijų skaičių, pvz., paveikia ribotą infrastruktūros, veiklos sričių, paslaugų teikimo, operacijų ir kt. dalį. Dirbama pagal Nacionalinį planą.

8. Valdymo plano nuostatos privalomos ŽŪDC IS ir registrų tvarkytojui, duomenų valdymo įgaliotiniams, saugos įgaliotiniui, kibernetinio saugumo vadovui, kibernetinio saugumo specialistui, administratoriams ir ŽŪDC IS ir registrų naudotojams.

9. Administratorių, saugos įgaliotinio, kibernetinio saugumo vadovo ir kitų vykdytojų funkcijos ir veiksmai reglamentuoti ŽŪDC administruojamų informacinių sistemų ir registrų duomenų saugos nuostatuose, Detaliajame ekstremaliosios situacijos valdymo ir veiklos atkūrimo plane (1 priedas).

10. Incidento metu patirti nuostoliai padengiami iš ŽŪDC lėšų, valstybės biudžeto ir kitų finansavimo šaltinių.

11. Pranešimas apie Incidentus, jų tyrimas, šalinimas ir analizė atliekami pagal Nacionalinį planą.

12. Per metus turi būti užtikrintas ŽŪDC IS ir registrų prieinamumas ne mažiau kaip:

12.1. Ypatingos svarbos informacinės infrastruktūros (toliau – YSII) ir pirmos kategorijos – ne mažiau kaip 99 proc. laiko visą parą;

12.2. antros kategorijos – ne mažiau kaip 96 proc. laiko darbo metu;

12.3. trečios kategorijos – ne mažiau kaip 90 proc. laiko darbo metu.

13. Kasmetinio ŽŪDC rizikos vertinimo metu ŽŪDC IS ir registrų duomenų valdymo įgaliotiniai įvertina, kiek ŽŪDC ilgiausiai gali vykdyti savo funkcijas neveikiant ŽŪDC IS ir registrams ar jų daliai. ŽŪDC IS ir registrų duomenų valdymo įgaliotiniai gali nustatyti toleruotiną ŽŪDC IS ir registrų neveikimo laiką (angl. Recovery Time Objective). Atsižvelgiant į ŽŪDC IS ir registrų informacijos svarbos kategoriją, nurodytą ŽŪDC administruojamų informacinių sistemų ir registrų duomenų saugos nuostatuose, ŽŪDC IS ir registrų atkūrimo laikotarpis negali būti ilgesnis nei:

13.1. YSII ir pirmos kategorijos – 8 valandos;

13.2. antros kategorijos – 12 valandų;

13.3. trečios kategorijos – 16 valandų.

14. ŽŪDC IS ir registrų veikla yra laikoma atkurta tada, kai visi ŽŪDC IS ir registrų naudotojai vėl gali atlikti savo funkcijas įprastu būdu.

II SKYRIUS

VALDYMO PLANO ORGANIZACINĖS NUOSTATOS

15. Incidentams valdyti ir ŽŪDC IS ir registrų veiklai atkurti yra sudaromos dvi grupės: Valdymo grupė ir Atkūrimo grupė.

16. Valdymo grupės ir Atkūrimo grupės narių sąrašai su pilnais kontaktiniais duomenimis (vardais, pavardėmis, pareigomis, darbo mob. tel. Nr.), leidžiančiais pasiekti šiuos asmenis bet kuriuo paros metu, tvirtinami ŽŪDC generalinio direktoriaus įsakymu. Už minėtų sąrašų peržiūrą ir nuolatinį atnaujinimą, esant pasikeitimams, atsakingas saugos įgaliotinis.

17. Valdymo grupės tikslai – tirti incidentus, ieškoti priemonių ir būdų sukeltiems padariniams ir žalai likviduoti, užtikrinti ŽŪDC IS ir registrų veiklos tęstinumą. Valdymo grupės sudėtis ir kontaktai (pareigybės ir el. pašto adresai) pateikti Valdymo plano 2 priede.

18. Valdymo grupės funkcijos:

18.1. analizuoja situaciją ir priima sprendimus ŽŪDC IS ir registrų veiklos tęstinumo valdymo klausimais;

18.2. skelbia ir atšaukia ekstremaliąją situaciją (Valdymo grupės vadovas);

18.3. bendrauja su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

18.4. bendrauja su susijusių informacinių sistemų veiklos tęstinumo valdymo grupėmis;

18.5. bendrauja su teisėsaugos ir kitomis institucijomis ir (arba) įstaigomis, institucijos ir (arba) įstaigos darbuotojais ir kitomis interesų grupėmis, atsakingomis už elektroninių ryšių tinklų ir informacijos saugumą Nacionalinio plano nustatyta tvarka;

18.6. kontroliuoja finansinių ir kitų išteklių, reikalingų ŽŪDC IS ir registrų veiklai atkurti, susidarius ekstremaliajai situacijai, naudojimą;

18.7. organizuoja ir užtikrina elektroninės informacijos fizinę saugą, susidarius ekstremaliajai situacijai;

18.8. organizuoja žmonių, daiktų, įrangos gabenimą į tam iš anksto numatytą saugią vietą;

18.9. prižiūri ir koordinuoja ŽŪDC IS ir registrų veiklos atkūrimą;

18.10. atlieka kitus veiksmus, būtinus ŽŪDC IS ir registrų veiklos tęstinumui kylančioms grėsmėms valdyti ir ŽŪDC IS ir registrų veiklos atkūrimui, susidarius ekstremaliajai situacijai, koordinuoti.

19. Paskelbus ekstremaliąją situaciją, jei būtina, Valdymo grupė turi parengti ir išsiųsti informacinius pranešimus:

19.1. visiems ŽŪDC IS ir registrų naudotojams. Jame turi būti pateiktos rekomendacijos, kaip elgtis, paskelbtus ekstremalią situaciją, nurodomi telefono Nr., kuriais galima gauti papildomos informacijos, ir paskelbiamas kontaktinis asmuo;

19.2. duomenų gavėjams ir teikėjams;

19.3. viešosios informacijos skleidėjams apie susidariusią situaciją;

19.4. teisėsaugos institucijoms.

20. Ekstremalioji situacija atšaukiama, kai:

20.1. priežastys, kurios sukėlė ekstremaliąją situaciją, yra pašalinamos;

20.2. atkuriamas ŽŪDC IS ir registrų funkcionalumas, būtinas ŽŪDC vykdyti priskirtas funkcijas.

21. Atšaukus ekstremaliąją situaciją:

21.1. Atkūrimo grupė parengia ŽŪDC IS ir registrų veiklos eigos ataskaitą, kurioje, be kitos informacijos, nurodo, kas, kada ir kokius duomenų atkūrimo veiksmus vykdė, ir pateikia ją Valdymo grupei;

21.2. Valdymo grupė parengia ekstremaliosios situacijos valdymo eigos ataskaitą, kurioje turi būti pateiktos išvados ir pasiūlymai dėl Valdymo plano atnaujinimo;

21.3. Valdymo grupė, jei būtina, parengia ir išsiunčia informacinius pranešimus ŽŪDC administracijos padaliniams, duomenų gavėjams ir teikėjams, viešosios informacijos skleidėjams.

22. ŽŪDC IS ir registrų veiklos atkūrimo procesui vadovauja ir ŽŪDC IS ir registrų veiklą atkuria Atkūrimo grupė, kurios sudėtis ir kontaktai (pareigybės ir el. pašto adresai) pateikti Valdymo plano 3 priede. Į Atkūrimo grupę neskiriami asmenys, įeinantys į Valdymo grupę (išskyrus išimtinius atvejus, kai nepakanka žmogiškųjų išteklių Atkūrimo grupei sudaryti).

23. Atkūrimo grupės funkcijos:

23.1. ŽŪDC tarnybinių stočių veikimo atkūrimo organizavimas;

23.2. kompiuterių tinklo tarp ŽŪDC ir susijusių institucijų veikimo atkūrimo organizavimas;

23.3. duomenų atkūrimo organizavimas;

23.4. ŽŪDC paslaugas užtikrinančių sąsajų atkūrimas;

23.5. ŽŪDC taikomųjų programų ir modulių tinkamo veikimo atkūrimo organizavimas;

23.6. IS ir registrų veiklos atkūrimas;

23.7. kompiuterių veikimo atkūrimo ir prijungimo prie ŽŪDC kompiuterių tinklo organizavimas;

23.8. logistikos organizavimas (žmonių, daiktų, įrangos gabenimo organizavimas ir jų gabenimas);

23.9. kitos Atkūrimo grupei pavestos funkcijos.

24. Įvykus incidentui, Valdymo grupės vadovas organizuoja Valdymo grupės susirinkimą.

25. Valdymo grupė, atlikusi situacijos analizę, susisiekia su Atkūrimo grupe ir perduoda informaciją apie esamą padėtį ir priimtus sprendimus dėl veiklos atkūrimo.

26. Valdymo grupės ir Atkūrimo grupės nariai tarpusavyje bendrauja asmeniškai, el. paštu, telefonu ir kitomis ryšio priemonėmis.

27. Valdymo ir Atkūrimo grupių vadovai turi teisę kaip konsultantus pasitelkti kitus ŽŪDC darbuotojus, ŽŪDC IS ir registrų valdytojo atstovus, taip pat pagal sutartis dėl ŽŪDC IS ir registrų funkcionavimo paslaugų teikimo veikiančių juridinių asmenų atstovus.

28. Jei ŽŪDC yra paskelbta ekstremalioji padėtis, Valdymo ir Atkūrimo grupės organizuoja pasitarimus, atsižvelgdamos į Valdymo grupės pirmojo susitikimo metu nustatytą dažnumą, palaiko ryšius visomis tuo metu prieinamomis priemonėmis (žodžiu, telefonu, el. paštu, mobiliuoju ryšiu ir kt.).

29. Paskelbus ekstremaliąją situaciją, apie susidariusią padėtį visomis tuo metu prieinamomis priemonėmis (žodžiu, telefonu, el. paštu, mobiliuoju ryšiu ir kt.) informuojami ŽŪDC darbuotojai (toliau – darbuotojai) ir interesų grupės.

30. Už informacinių pranešimų siuntimą atsakingas Klientų aptarnavimo skyrius (toliau – KAS). Informaciją KAS pateikia Valdymo grupės vadovas.

31. Reaguojant į elektroninės informacijos saugos incidentus ir juos valdant, turi būti vadovaujamasi veiksmais, išdėstytais Detaliajame ekstremaliosios padėties valdymo ir veiklos atkūrimo plane (1 priedas), ir šiais principais:

31.1. Darbuotojų gyvybės ir sveikatos apsauga. Būtina kontroliuoti ir padėti užtikrinti visų darbuotojų gyvybės ir sveikatos apsaugą, kol trunka ekstremalioji situacija ir likviduojami elektroninės informacijos saugos incidento padariniai.

31.2. IS ir registrų veiklos atkūrimu. Paskelbus ekstremaliąją situaciją, jei būtina, organizuojamas IS ir registrų veiklos atkūrimas. Pirmiausia atkuriamos kritiškiausios IS ir registrai ir užtikrinamas jų prieinamumas.

31.3. Darbuotojų mokymu. Darbuotojai, dirbantys su IS ir registrais, turi būti pasirašytinai supažindinti su Valdymo planu ir kitais teisės aktais, nustatančiais kiekvieno darbuotojo atsakomybę ekstremaliosios situacijos atveju.

31.4. Valdymo plano arba jo dalių veiksmingumu. Valdymo plano arba jo dalių veiksmingumas turi būti reguliariai išbandomas Valdymo grupės iniciatyva ir, jei būtina, tikslinamas, atsižvelgiant į nustatytus trūkumus.

32. Patalpų, naudojamų IS ir registrų veiklai atkurti elektroninės informacijos saugos incidento atveju, adresas ir vieta žemėlapyje yra pateikti Valdymo plano 5 priede.

33. Techninė, sisteminė ir taikomoji programinė įranga, sunaikinta per incidentą, iš naujo įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka.

34. Atsarginėms tarnybinių stočių patalpoms (toliau – patalpos), naudojamoms IS ir registrų veiklai atkurti elektroninės informacijos saugos incidento atveju, keliami reikalavimai aprašyti 6 priede.

III SKYRIUS

VALDYMO PLANO APRAŠOMOSIOS NUOSTATOS

35. ŽŪDC IS ir registrų veiklos tęstinumui užtikrinti turi būti parengta ir saugoma ši informacija:

35.1. ŽŪDC techninės ir programinės įrangos ir jos parametrų informacija nurodyta ŽŪDC patvirtintame Kompiuterinio tinklo konfigūravimo ir stebėsenos tvarkos apraše, o kompiuterių tinklo ir užkardų priežiūra atliekama pagal ŽŪDC patvirtintą kompiuterinio tinklo konfigūravimo ir stebėsenos tvarkos aprašą. Atsakingas - Informacinių sistemų administravimo skyrius (toliau – ISAS);

35.2. patalpų brėžiniai ir šiose patalpose esančios įrangos ir komunikacijų sąrašas (juose pažymimos telefonų tinklo vedimo tarp pastato aukštų vietos, elektros įvedimo pastate vietos). Už nurodytų dokumentų parengimą, saugojimą ir nuolatinį atnaujinimą, esant pasikeitimams, atsakingas Personalo ir administravimo skyrius (toliau – PAS);

35.3. kompiuterių tinklo fizinio ir loginio sujungimo schemos. Už schemų parengimą, saugojimą ir nuolatinį atnaujinimą, esant pasikeitimams, atsakingas ISAS;

35.4. ryšio paslaugų teikėjų sąrašas. Už sąrašo parengimą, saugojimą ir nuolatinį atnaujinimą, esant pasikeitimams, atsakingas ISAS;

35.5. elektroninės informacijos duomenų teikimo sutarčių ir trečiųjų šalių IT paslaugų teikėjų sutarčių sąrašai. Už sąrašų parengimą, saugojimą ir nuolatinį atnaujinimą, esant pasikeitimams, atsakingas PAS;

36. Už ŽŪDC techninės ir programinės įrangos priežiūrą yra atsakingas administratorius. Administratoriaus nesant darbe jo funkcijas vykdo Atkūrimo grupės vadovo paskirtas ŽŪDC darbuotojas, kurio kompetencijos ar žinių lygis negali būti mažesnis už administratoriui keliamų reikalavimų lygį.

37. Svarbiausių veiklos duomenų ir kitos informacijos atsarginių kopijų laikmenos saugomos užrakintoje nedegioje spintoje, kitose patalpose, nei yra įrašymo įrenginys, kurio elektroninė informacija buvo nukopijuota. Svarbiausių veiklos duomenų ir kitos informacijos atsarginės kopijos yra perkeliamos į saugojimo vietą kartą per savaitę. Atsakingas – ISAS.

38. Valdymo plano 35 punkte ir jo papunkčiuose nurodyti dokumentai turi būti papildomai saugomi ŽŪDC išskirtoje vietoje (debesijos sprendimas arba diske). Prieigą prie šio ištekliaus turi tik Valdymo ir Veiklos atkūrimo grupių nariai.

IV SKYRIUS

VALDYMO PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

39. Valdymo grupė kiekvienų metų sausio mėnesį nustato Valdymo plano veiksmingumo išbandymo datą. Nustatytą dieną imituojamas elektroninės informacijos saugos incidentas. Jo metu už IS ir registrų elektroninės informacijos saugos incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus. Iš atsarginių IS ir registrų duomenų kopijų atkuriami IS ir registrų duomenys.

40. Bandymų rezultatai pateikiami saugos įgaliotiniui. Atsakingas – Atkūrimo grupės vadovas.

41. Pagal bandymų rezultatus saugos įgaliotinis parengia Valdymo plano ataskaitą (toliau – Ataskaita) (4 priedas), kurioje yra apibendrinami atliktų bandymų rezultatai, akcentuojami pastebėti trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Su Ataskaita supažindinamas Valdymo grupės vadovas.

42. Saugos įgaliotinis nuolat kontroliuoja Ataskaitoje nurodytų prevencinių priemonių įgyvendinimą ir jų veiksmingumo išbandymo eigą.

43. Valdymo plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami remiantis operatyvumo, veiksmingumo ir ekonomiškumo principais.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

44. Valdymo planas įsigalioja nuo jo patvirtinimo ŽŪDC generalinio direktoriaus įsakymu dienos.

45. Už Valdymo plano peržiūrą ir atnaujinimą atsakingas saugos įgaliotinis.

46. Su Valdymo planu pasirašytinai supažindinami visi ŽŪDC struktūrinių padalinių vadovai.

47. Už kitų veiklos tęstinumo valdymo procese dalyvaujančių darbuotojų supažindinimą su Valdymo planu atsakingas saugos įgaliotinis.

48. Valdymo planas turi būti peržiūrimas ne rečiau kaip kartą per metus.

49. Nesilaikant Valdymo plano reikalavimų gali būti skiriamos drausminės nuobaudos Lietuvos Respublikos teisės aktų nustatyta tvarka.

______________

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2017 m. birželio 27 d. įsakymu Nr. 3D-427

(Lietuvos Respublikos žemės ūkio ministro

2023 m. sausio 10 d. įsakymo Nr. 3D-9

redakcija)

VALSTYBĖS ĮMONĖS ŽEMĖS ŪKIO DUOMENŲ CENTRO ADMINISTRUOJAMŲ INFORMACINIŲ SISTEMŲ IR REGISTRŲ NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybės įmonės Žemės ūkio duomenų centro administruojamų informacinių sistemų ir registrų naudotojų administravimo taisyklės (toliau – Taisyklės) – dokumentas, reglamentuojantis valstybės įmonės Žemės ūkio duomenų centro (toliau – ŽŪDC) administruojamų informacinių sistemų (toliau – IS) ir registrų (toliau – registrai) naudotojų bei ŽŪDC vidinių tinklo ir techninių resursų, duomenų bazių, testavimo aplinkų ir kitų resursų prieigos teisių valdymą ir nustatantis tvarką, kurios tikslas yra mažinti grėsmių ir nesankcionuotos prieigos galimybes bei užtikrinti saugų informacijos tvarkymą.

2. Taisyklės yra parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, ŽŪDC administruojamų informacinių sistemų ir registrų duomenų saugos nuostatuose ir kituose duomenų saugą reglamentuojančiuose teisės aktuose.

3. Taisyklės yra privalomos administruojant visus ŽŪDC naudotojus, nepriklausomai nuo jų vykdomų funkcijų ir naudojamų informacijos apdorojimo priemonių.

4. Taisyklės apima ir detalizuoja šiuos naudotojų administravimo etapus: naudotojų prieigų suteikimą, keitimą ir panaikinimą.

5. Taisyklėmis privalo vadovautis visi ŽŪDC darbuotojai (toliau – darbuotojai) ir naudotojai.

6. Šiose Taisyklėse vartojami sutrumpinimai:

DDAS – Darbuotojų duomenų administravimo sistema;

ISAS – Informacinių sistemų administravimo skyrius;

KAS – Klientų aptarnavimo skyrius;

VPN – šifruotas duomenų perdavimo tinklas, leidžiantis saugiai nuotoliniu būdu prisijungti internetu prie vietinio kompiuterių tinklo.

7. Šiose Taisyklėse vartojamos sąvokos:

7.1. Administratorius – Informacinių sistemų administravimo skyriaus darbuotojas, atsakingas už IS arba registro techninę priežiūrą ir veikimo užtikrinimą;

7.2. Konfidencialumo pasižadėjimas – rašytinis pasižadėjimas, kad naudotojas tretiesiems asmenims neteiks informacijos, kurios atskleidimas gali pažeisti ŽŪDC teisinius interesus ir turėti įtakos ŽŪDC informacijos saugumui;

7.3. Paslaugos gavėjai – kiti fiziniai ir juridiniai asmenys, naudojantys ŽŪDC teikiamas paslaugas, viešosios prieigos programinę įrangą arba kitaip gaunantys informaciją iš ŽŪDC reikiamiems veiksmams, turintiems teisinį pagrindą, atlikti;

7.4. Prieiga – naudotojo galimybė pasinaudoti jo darbui reikalinga atitinkama informacija;

7.5. Tretieji asmenys – visi fiziniai ir juridiniai asmenys arba jų grupės (išskyrus naudotojus);

7.6. ŽŪDC informacijos saugos specialistas (toliau – ISS) – darbuotojas, atsakingas už Informacijos saugumo valdymo sistemos (toliau – ISVS) politikos formavimą ir įgyvendinimą, informacijos klasifikavimą, periodinį rizikos vertinimą, įskaitant kasmetinį informacijos saugos priemonių testavimą, darbuotojų mokymą ir instruktavimą informacijos saugos klausimais. ISS vykdo saugos įgaliotinio funkcijas: įgyvendina elektroninės informacijos saugą IS arba registro techninėje dalyje;

7.7. ŽŪDC IS ir registrų vidinis naudotojas (toliau – vidinis naudotojas) – darbuotojas, kuriam yra suteikta prieiga prie ŽŪDC informacijos, IS ir registrų, duomenų bazių darbo sutartyje, darbuotojo skyriaus nuostatuose ir pareiginėje instrukcijoje numatytoms funkcijoms atlikti;

7.8. ŽŪDC IS ir registrų išorinis naudotojas (toliau – išorinis naudotojas) – išorinių organizacijų atstovas, rangovų atstovas ar kitas fizinis arba juridinis asmuo, dirbantis pagal informacijos teikimo sutartį, kuriam sutarties ar galiojančių teisės aktų pagrindu yra suteikta prieiga prie ŽŪDC informacijos, IS ir registrų, informacijos apdorojimo priemonių, duomenų bazių sutartyje ar galiojančiuose teisės aktuose numatytoms funkcijoms atlikti;

7.9. ŽŪDC IS ir registrų naudotojų administratorius (toliau – naudotojų administratorius) – duomenų valdymo įgaliotinio paskirtas asmuo, atsakingas už naudotojų sukūrimą, panaikinimą, teisių suteikimą ir priežiūrą;

7.10. ŽŪDC IS ir registrų naudotojas (toliau – naudotojas) – vidinis arba išorinis ŽŪDC IS ir registrų naudotojas;

7.11. ŽŪDC IS ir registrų duomenų valdymo įgaliotinis (toliau – duomenų valdymo įgaliotinis) – ŽŪDC struktūrinio padalinio, atsakingo už ŽŪDC teisės aktuose nustatytų funkcijų atlikimą, vadovas, o jei tokio struktūrinio padalinio nėra, – darbuotojas, atsakingas už ŽŪDC teisės aktuose nustatytų funkcijų atlikimą;

7.12. ŽŪDC informacija (toliau – informacija) – visa ŽŪDC gaunama, tvarkoma, kuriama, valdoma ir naudojama žodinė, rašytinė ir elektroninė informacija (dokumentai, ŽŪDC administruojamų IS ir registrų, duomenų bazių duomenys ir pan.).

8. Kitos Taisyklėse vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos įstatymuose ir kituose teisės aktuose, reglamentuojančiuose IS ir registrų administravimą ir informacijos saugumą, bei ISO 27001 standarte.

9. Prieinamumas prie IS ir registrų bei kitų informacijos apdorojimo priemonių naudotojams suteikiamas vadovaujantis šiais duomenų saugos principais:

9.1. Konfidencialumu – prie IS ir registruose saugomų duomenų ir informacijos apdorojimo priemonių prieigą gali gauti tik tie naudotojai, kuriems tokia teisė buvo suteikta pagal jų vykdomas pareigas, atliekamas funkcijas ir sutartinius įsipareigojimus;

9.2. Vientisumu – IS ir registruose saugomus duomenis gali keisti (sukurti, ištrinti arba papildyti) tik tam teises turintys naudotojai;

9.3. Pasiekiamumu – naudotojai savo veiksmais neturi sutrikdyti IS ir registrų arba informacijos apdorojimo priemonių veiklos, nebent tokia teisė jiems buvo išskirtinai suteikta;

9.4. Stebėsena – administratoriai yra atsakingi už nenutrūkstamą IS ir registrų veikimą bei naudojamų techninių resursų priežiūrą;

9.5. Atsekamumu – naudotojų veiksmai yra fiksuojami, taip užtikrinant naudotojų atsakomybę už atliktus veiksmus.

II SKYRIUS

NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS

10. Naudotojų įgaliojimai, teisės ir pareigos naudotis suteiktomis prieigomis yra nustatomi IS arba registrų nuostatuose, IS ir registrų duomenų saugos nuostatuose ir IS ir registrų saugos politiką įgyvendinančiuose dokumentuose (toliau – Saugos dokumentai).

11. Naudotojų vardai, kodai, slaptažodžiai, patalpų apsaugos signalizacijos kodai, elektroniniai raktai, darbo pažymėjimai ir kiti susiję daiktai yra skirti naudotojui asmeniškai ir draudžiama juos perduoti kitiems net ir laikinai naudoti.

12. Naudotojai privalo:

12.1. užtikrinti ŽŪDC informacijos saugą ir tvarkyti duomenis vadovaudamiesi teisės aktais ir duomenų teikimo sutartimis;

12.2. užtikrinti savo naudojamos ir tvarkomos ŽŪDC elektroninės informacijos konfidencialumą, vientisumą, savo veiksmais netrikdyti ŽŪDC elektroninės informacijos prieinamumo;

12.3. saugoti tvarkomų asmens duomenų paslaptį Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka;

12.4. naudoti tik tas prieigos prie duomenų teises, kurios buvo suteiktos;

12.5. pamiršę slaptažodį kreiptis į KAS el. paštu pagalba@zudc.lt;

12.6. kilus įtarimų, kad kažkas galėjo pasinaudoti ŽŪDC naudotojo prisijungimo vardu, nedelsdami pakeisti slaptažodį ir pranešti KAS el. paštu pagalba@zudc.lt;

12.7. išorinis naudotojas, kuriam pasibaigė sutartiniai įsipareigojimai, panaikintos vykdomos funkcijos, nutraukti darbo santykiai, privalo apie tai pranešti KAS el. paštu pagalba@zudc.lt;

12.8. Naudotojas ar paslaugos gavėjas, aptikęs prieigos prie IS ir registro arba kitos ŽŪDC informacijos pažeidžiamumą, privalo pranešti apie tokį pažeidžiamumą KAS el. paštu pagalba@zudc.lt;

12.9. Naudotojas ar paslaugos gavėjas, pastebėjęs neleistinus kitų naudotojų veiksmus, kurie neatitinka patvirtintų procedūrų aprašų, pareiginių instrukcijų ar sutartyse prisiimtų įsipareigojimų ir atsakomybių bei funkcijų, privalo informuoti KAS el. paštu pagalba@zudc.lt;

12.10. pastebėję informacijos saugos įvykių, pavyzdžiui, el. laiškų su įtartinu arba kenksmingu programiniu kodu priede arba nuorodoje; informacijos vientisumo, konfidencialumo ar prieinamumo pažeidimų; saugos politikos nesilaikymo atvejų; fizinės apsaugos priemonių pažeidimų (pvz., neteisėto patekimo į ŽŪDC patalpas ar svetimų raktų ir (arba) įėjimo kortelių naudojimą); prieigos valdymo priemonių pažeidimų, privalo apie tai nedelsdami pranešti el. paštu pagalba@zudc.lt ir cert@zudc.lt;

13. Naudotojams draudžiama:

13.1. atskleisti duomenis ir suteikti kitokią galimybę bet kokia forma su jais susipažinti tokios teisės neturintiems asmenims;

13.2. atskleisti prisijungimo duomenis ir išvestinius elementus (prisijungimo vardus, sesijų raktus, el. parašo šifrus ir t. t.);

13.3. keistis prisijungimo vardais, slaptažodžiais, prisijungti prie informacijos, registrų, informacinių sistemų, informacijos apdorojimo priemonių ir / ar duomenų bazių pasinaudojus kito naudotojo prisijungimo duomenimis;

13.4. prisijungimo duomenis laikyti bet kuriose laikmenose (pvz., užrašytus ant popieriaus darbo vietoje, elektroninėje laikmenoje ar tinklinėje saugykloje);

13.5. bandyti išvengti naudotojo prisijungimo prie informacijos tapatybės nustatymo mechanizmų;

13.6. išnaudoti informacinių sistemų pažeidžiamumą, įskaitant (bet neapsiribojant) prieigą prie duomenų, kurie neskirti naudotojui prisijungti prie IS ar jos dalies, nebent taip būtų atliekamos teisėtos darbo ar veiklos funkcijos (IS priežiūra, informacijos saugos incidentų tyrimas ir pan.);

13.7. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti ar sunaikinti duomenys;

13.8. atlikti bet kokius kitus neteisėtus duomenų tvarkymo veiksmus;

13.9. vidiniams naudotojams draudžiama savavališkai diegti taikomosios programinės įrangos pakeitimus ir naujas versijas neturint tam teisės;

13.10. vidiniams naudotojams draudžiama sudaryti sąlygas pasinaudoti ŽŪDC technine ir programine įranga tokios teisės neturintiems asmenims (pvz., paliekant darbo vietą būtina užrakinti darbalaukį);

13.11. naudoti duomenis kitokiais nei informacinių sistemų ir registrų nuostatuose, kituose teisės aktuose ar duomenų teikimo sutartyje nurodytais tikslais;

13.12. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti ar sunaikinti duomenys;

13.13. atlikti bet kokius kitus neteisėtus duomenų tvarkymo veiksmus.

14. Administratoriai atsakingi už prieigų prie ŽŪDC vidinių techninių resursų, tinklo prieigų, spausdintuvų, elektroninio pašto, informacijos apdorojimo priemonių ir / ar duomenų bazių teisių suteikimą ir atėmimą pagal duomenų valdymo įgaliotinių priimtus sprendimus.

15. Administratoriai užtikrina IS ir registrų funkcionavimą ir negali suvesti, keisti, naikinti IS ir registrų duomenų ir prieigų be duomenų valdymo įgaliotinio leidimo.

16. Naudotojų administratoriai atsakingi už prieigų prie IS ir registrų suteikimą ir panaikinimą, teisių priskyrimą ir atėmimą pagal pateiktus naudotojų prašymus ir naudotojų vykdomas funkcijas.

17. Prieigos teisės prie ŽŪDC techninių resursų VPN būdu naudotojams suteikiamos ŽŪDC generalinio direktoriaus sprendimu. VPN prieiga suteikiama tik prie naudotojui prieinamų techninių resursų. Už prieigų teisių suteikimą atsakingi administratoriai.

III SKYRIUS

SAUGAUS DUOMENŲ TEIKIMO INFORMACINĖS SISTEMOS NAUDOTOJAMS KONTROLĖS TVARKA

18. Prieigų kontrolė yra priemonių visuma, kuri nustato:

18.1. kokie naudotojai gali naudotis IS ir registrais bei vidiniais ŽŪDC resursais;

18.2. kokie naudotojai prie kokios informacijos ir duomenų turi prieigas bei kokius veiksmus gali atlikti.

19. ŽŪDC įdiegtas mažiausios privilegijos principas, t. y. kai naudotojai turi teisę pasiekti tik tą informaciją ir duomenis, kuri jiems būtina pavestoms funkcijoms vykdyti pagal patvirtintus procedūrų aprašus ir naudojimosi instrukcijas bei saugos dokumentus.

20. Loginė prieigų kontrolė nustato ne tik kokie naudotojai turi prieigos teisę prie konkrečių informacinių resursų, bet ir prieigų pobūdį. Loginė prieigų kontrolė vykdoma pagal priskirtus vaidmenis IS ir registruose.

21. Vidinių naudotojų prieiga prie ŽŪDC kompiuterinių tinklų ir tinklo resursų grindžiama mažiausios privilegijos principu ir visi naudotojai turi būti autentifikuojami ir išskiriami. Prieiga prie vidinio ŽŪDC kompiuterinio tinklo gali būti suteikiama tik vidiniams naudotojams.

22. Nuotolinė prieiga prie vidinių ŽŪDC išteklių (išskyrus išorines svetaines) galima tik VPN prisijungimo būdu ir tik iš tarnybinių centralizuotai valdomų įrenginių.

23. ŽŪDC išorės prieigų kontrolei įdiegta ugniasienė (ugniasienių sistema), kuri užtikrina interneto prieigos kontrolę ir apribojimus.

24. Vidinių naudotojų prieigą prie draudžiamų ir potencialiai pavojingų interneto tinklalapių blokuoja ugniasienė. Bet koks bandymas išvengti ugniasienės užtraukia drausminę atsakomybę.

25. Visi ugniasienės konfigūracijos pakeitimai, taip pat kenkėjiški veiksmai (bandymai pakeisti ugniasienės konfigūracijos parametrus, bandymai išvengti ugniasienės ir pan.) privalo būti registruojami. Registravimo įrašai saugomi ne mažiau kaip šešis mėnesius.

26. Naudotojas, atlikęs neteisėtus ar potencialiai pavojingus veiksmus, gali sulaukti įspėjimo arba be perspėjimo gali būti užblokuota jo prieiga prie ŽŪDC informacijos.

IV SKYRIUS

PRIEMONĖS INFORMACINĖS SISTEMOS NAUDOTOJŲ TAPATYBEI NUSTATYTI

27. Naudotojų identifikavimas yra viena iš esminių informacijos saugumą užtikrinančių kontrolės priemonių, todėl naudotojo indentifikavimas, autorizavimas, jo atliktų veiksmų istorijos saugojimas yra organizuotas ir griežtai kontroliuojamas procesas.

28. Elektroninės informacijos saugumui užtikrinti naudojami saugūs autentifikavimo ir autorizavimo metodai.

29. Pirmą kartą jungiantis prie IS ir registro gali būti naudojami ŽŪDC suteikti laikini prisijungimo vardai ir slaptažodžiai arba Elektroninių valdžios vartų prisijungimas.

30. Pirmojo prisijungimo metu iš IS ir registro naudotojo reikalaujama, kad jis pasikeistų laikiną slaptažodį.

31. Naudotojų prisijungimo vardai ir slaptažodžiai (toliau – prisijungimo duomenys) kuriami laikantis nustatytų reikalavimų.

32. Prisijungimui prie IS ir registrų naudojami prisijungimo slaptažodžiai turi būti:

32.1. žinomi tik pačiam naudotojui;

32.2. sudaryti nenaudojant naudotojo asmens duomenų (vardo, pavardės, telefono numerio, gimimo datos ir pan.) ir nenuspėjami net tiems, kurie gerai pažįsta naudotoją;

32.3. sudaryti ne mažiau kaip iš 8 simbolių;

32.4. jį sudarant turi būti panaudota didžiosios, mažosios raidės, skaitmenys bei specialieji simboliai;

32.5. keičiami bent kartą per du mėnesius;

32.6. naudojamas slaptažodis turi būti unikalus ir galimas pakartoti tik po 6 mėn.

33. Naudotojams prisijungimo slaptažodžiai turi būti perduodami asmeniškai. Jeigu nėra galimybės slaptažodį perduoti asmeniškai, turi būti naudojamas siuntimas asmeniškai naudotojui. Griežtai draudžiama teikti slaptažodžius per kitus naudotojus ar trečiuosius asmenis.

34. Nustačius, kad slaptažodis pasidarė žinomas pašaliniams asmenims arba turint įtarimų, kad slaptažodis buvo atskleistas, jis nedelsiant turi būti pakeistas.

35. Naudotojas, pamiršęs, praradęs arba kitaip netekęs savo prisijungimo prie duomenų vardo ir / arba slaptažodžio, turi nedelsdamas informuoti KAS el. paštu pagalba@zudc.lt.

36. Vidinio naudotojo jungimasis prie kompiuterizuotos darbo vietos yra blokuojamas, kai slaptažodis per pusvalandį yra 3 kartus iš eilės įvedamas klaidingai. Tokiu atveju vidinis naudotojas privalo kreiptis į KAS el. paštu pagalba@zudc.lt ir pakartotinai prisijungti administratoriui leidus.

37. Vidinių naudotojų kompiuteriuose turi būti nustatytas automatinis ekrano užsklandos režimas, įsijungiantis 15 minučių nesinaudojant kompiuteriu.

V SKYRIUS

ŽŪDC VIDINIŲ NAUDOTOJŲ SUKŪRIMAS IR PANAIKINIMAS, TEISIŲ PAKEITIMAS

38. Priimant į darbą ŽŪDC naują darbuotoją, pastarasis pasirašo konfidencialumo pasižadėjimą (1 priedas) bei yra supažindinamas su ŽŪDC Informacijos saugumo politika ir kitais informacijos ir kibernetinį saugumą, reglamentuojančiais teisės aktais.

39. Dėl naujo vidinio naudotojo sukūrimo ir / arba papildomos prieigos prie ŽŪDC vidinių tinklo ir techninių resursų, duomenų bazių, testavimo aplinkų ir kitų resursų teisės suteikimo vidiniam naudotojui pildomas prieigos suteikimo prašymas, kurio forma pateikiama taisyklių 3 priede.

40. Prieigos suteikimo prašymą pasirašo vidinio naudotojo struktūrinio padalinio vadovas.

41. Prieigos suteikimo prašymas derinamas su duomenų valdymo įgaliotiniu ir ISS, kurie turi patvirtinti, kad vidiniam naudotojui leidžiama naudotis nurodyta prieiga.

42. Jei prieigos suteikimo prašyme pažymimas tinklo prieigos, spausdintuvo, prieigos prie tarnybinės stoties ir pan. resursas, struktūrinio padalinio vadovas teikia prašymą ISAS vadovui, kuris turi patvirtinti, kad vidiniam naudotojui leidžiama naudotis nurodyta prieiga.

43. Suderintas prašymas teikiamas administratoriui, kuris suteikia prieigą ir apie prieigos suteikimą pažymi prašyme.

44. Jei tinklo, spausdintuvo, tarnybinės stoties ir pan. resursų prieiga negali būti suteikta, administratorius tarnybiniu pranešimu informuoja vidinio naudotojo struktūrinio padalinio vadovą apie nesuteiktą prieigą, nurodydamas priežastį, kodėl prieiga negali būti suteikta.

45. Administratoriai prieigos suteikimo prašymus privalo saugoti ne trumpiau nei 1 metus.

46. Periodinė prieigų kontrolė vykdoma pagal ŽŪDC patvirtintas Periodinės prieigų patikros taisykles.

47. Vidiniam naudotojui išėjus iš darbo ar pakeitus darbo pobūdį prieigos prie vidinių tinklo ir techninių resursų, duomenų bazių, testavimo aplinkų ir kitų resursų panaikinimas:

47.1. vidiniam naudotojui parašius prašymą išeiti iš darbo ar keičiant darbo pobūdį ir ŽŪDC generaliniam direktoriui jį teigiamai vizavus, personalo inspektorius į DDAS įveda paskutinę darbuotojo darbo dieną;

47.2. DDAS automatiškai el. paštu administratoriui išsiunčia pranešimą apie vidinio naudotojo prieigų panaikinimą;

47.3. paskutinę darbo dieną darbuotojas grąžina darbo pažymėjimą personalo inspektoriui;

47.4. administratorius panaikina visas vidinio naudotojo prieigas.

48. Vidiniam naudotojui išėjus iš darbo ar pakeitus darbo pobūdį prieigos prie registrų / informacinių sistemų panaikinimas:

48.1. vidiniam naudotojui parašius prašymą išeiti iš darbo ar keičiant darbo pobūdį ir ŽŪDC generaliniam direktoriui jį teigiamai vizavus, vidinio naudotojo struktūrinio padalinio vadovas tarnybiniu pranešimu visiems duomenų valdymo įgaliotiniams praneša apie poreikį ir laiką, nuo kada privaloma užblokuoti visas naudotojo prieigas prie IS ir registrų;

48.2. IS ir registro naudotojų administratorius panaikina visas vidinio naudotojo prieigas prie IS ir registro.

49. Dėl naujo vidinio naudotojo sukūrimo ir / arba papildomos prieigos prie IS ir registro teisės suteikimo vidiniam naudotojui pastarasis turi pateikti IS ir registro prieigos suteikimo prašymą, kurio forma pateikiama taisyklių 4 priede.

50. IS ir registro prieigos suteikimo prašymą pasirašo vidinio naudotojo struktūrinio padalinio vadovas.

51. IS ir registro prieigos suteikimo prašymą vidinis naudotojas pateikia IS arba registro duomenų valdymo įgaliotiniui, kuris turi patvirtinti, kad vidiniam naudotojui leidžiama naudotis nurodyta prieiga, ir nurodyti prieigos teises.

52. Jei prieiga prie IS ir registro negali būti suteikta, duomenų valdymo įgaliotinis tarnybiniu pranešimu informuoja vidinio naudotojo struktūrinio padalinio vadovą apie nesuteiktą prieigą, nurodydamas priežastį, kodėl prieiga negali būti suteikta.

53. Suderintas prašymas teikiamas naudotojų administratoriui, kuris suteikia prieigą ir pažymi apie prieigos suteikimą prašyme.

54. Administratoriai prieigos suteikimo prašymus privalo saugoti ne trumpiau nei 1 metus.

VI SKYRIUS

ŽŪDC IŠORINIŲ NAUDOTOJŲ SUKŪRIMAS IR PANAIKINIMAS, TEISIŲ PAKEITIMAS

55. Dėl prieigos suteikimo asmuo parašo prašymą ir jį pateikia ŽŪDC. Prašyme jis nurodo ŽŪDC administruojamą IS ar registrą, ar kitą ŽŪDC informacinį išteklių, prie kurio turi būti suteikta prieiga, vardą, pavardę, el. pašto adresą, kontaktinį telefoną, įmonės, įstaigos ar organizacijos (toliau kartu – įstaiga) pavadinimą ir pareigas. Jeigu reikia, nurodomas aptarnaujamas regionas.

56. Duomenų valdymo įgaliotinis, išnagrinėjęs prašymą ir nustatęs, kad prašyme nurodyta prieiga yra nereikalinga funkcijoms atlikti arba kad prašoma tokios prieigos, kurios sukūrimas gali daryti neigiamą įtaką ŽŪDC veiklai ar informacijos saugumui, priima sprendimą prašymo netenkinti ir apie tai per 5 (penkias) darbo dienas nuo prašymo gavimo dienos informuoja išorinį naudotoją, nurodydamas atsisakymo suteikti prieigą motyvus.

57. Duomenų valdymo įgaliotinis, išnagrinėjęs prašymą ir priėmęs sprendimą jį patenkinti, įpareigoja naudotojų administratorių suteikti prašyme nurodytam išoriniam naudotojui prisijungimo prie ŽŪDC informacinių išteklių vardą ir laikinąjį slaptažodį. Informacija apie sukurtą prieigą išoriniam naudotojui išsiunčiama asmeniškai el. paštu.

58. Prieigą prie ŽŪDC informacinių išteklių gali turėti tik asmenys, pasirašytinai įpareigoti saugoti asmens duomenų paslaptį (asmenys, pasirašę Konfidencialumo pasižadėjimą) (2 priedas) (išskyrus atvejus, kai yra peržiūrimi savo paties asmens duomenys). Asmens duomenų paslaptis saugoma įstatymuose numatyta tvarka per visą asmens duomenų teisinės apsaugos laiką nepriklausomai nuo susiklostančių darbo santykių.

59. Suteikus prieigą, išoriniam naudotojui pateikiamos nuorodos, kur jis privalo susipažinti su ŽŪDC informacijos saugumo politikos santrauka, IS ir registrų duomenų saugos nuostatais, Saugos dokumentais ir kitais ŽŪDC informacijos saugumą reglamentuojančiais dokumentais.

60. ŽŪDC informacijos saugumo politikos santrauka skelbiama ŽŪDC interneto svetainėje. Ji yra prieinama ir privaloma visiems išoriniams naudotojams.

61. Išoriniam naudotojui pakeitus darbo pobūdį, pasibaigus sutartiniams įsipareigojimams arba panaikinus atliekamas funkcijas, jo prieiga yra nedelsiant panaikinama.

62. Du kartus per metus (kas 6 mėnesius) naudotojų administratorius suformuoja išorinių naudotojų, kurie nebuvo nė vieno karto prisijungę prie IS ir registrų, sąrašus ir užklausia išorinių naudotojų įstaigos, ar šie išoriniai naudotojai dar atlieka funkcijas.

63. Gavęs atsakymą iš išorinių naudotojų įstaigos, kad naudotojai funkcijų neatlieka, naudotojų administratorius panaikina neaktyvias prieigas.

64. Bendradarbiavimo ir duomenų teikimo sutartyse nurodytiems asmenims prieigos sukuriamos ir panaikinamos pagal šių sutarčių prieduose esančią informaciją.

65. Išorinių naudotojų įgaliojimai, teisės ir pareigos aprašytos, o saugaus elektroninės informacijos teikimo išoriniams naudotojams kontrolė vykdoma vadovaujantis ŽŪDC patvirtintomis Išorinių naudotojų administravimo taisyklėmis.

VII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

66. Taisyklės gali būti keičiamos priklausomai nuo atsiradusių naujų poreikių ir pasikeitusių teisės aktų, reglamentuojančių IS ir registrų administravimo ir informacijos saugumo sritį.

67. IS ir registrų naudotojai, paslaugų gavėjai, duomenų valdymo įgaliotiniai, saugos įgaliotinis, administratoriai ir naudotojų administratoriai pažeidę šių taisyklių ir kitų saugos politiką įgyvendinančių teisės aktų dokumentų nuostatas, atsako teisės aktų nustatyta tvarka.

__________________