LIETUVOS RESPUBLIKOS EKONOMIKOS IR INOVACIJŲ MINISTRAS
ĮSAKYMAS
DĖL VALSTYBĖS INFORMACINIŲ TECHNOLOGIJŲ PASLAUGŲ VALDYMO INFORMACINĖS SISTEMOS SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ PATVIRTINIMO
2021 m. vasario 8 d. Nr. 4-92
Vilnius
Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo
43 straipsnio 2 dalimi, Lietuvos Respublikos kibernetinio saugumo įstatymo 11 straipsnio
1 dalies 1, 2, 3, 5 ir 6 punktais, įgyvendindama Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7 ir 8 punktų, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 6 punkto nuostatas,
1. Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;
2. Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos naudotojų administravimo taisykles;
3. Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos veiklos tęstinumo valdymo planą.
PATVIRTINTA
Lietuvos Respublikos ekonomikos ir inovacijų ministro
2021 m. vasario 8 d. įsakymu Nr. 4-92
VALSTYBĖS INFORMACINIŲ TECHNOLOGIJŲ PASLAUGŲ VALDYMO INFORMACINĖS SISTEMOS saugaus elektroninės informacijos tvarkymo taisyklės
I Skyrius
bendrosios nuostatos
1. Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) nustato minimalius Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos (toliau – VIPVIS) elektroninės informacijos tvarkymo, techninius ir kitus elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus.
2. Taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Aprašas), ir Lietuvos Respublikos krašto apsaugos ministro tvirtinamais Techniniais informacinių sistemų elektroninės informacijos saugos reikalavimais.
3. Taisyklių privalo laikytis VIPVIS naudotojai, VIPVIS administratoriai ir VIPVIS saugos įgaliotinis, kurie nustatyti Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos ekonomikos ir inovacijų ministro 2020 m. gegužės 28 d. įsakymu Nr. 4-369 „Dėl Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos nuostatų ir Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – VIPVIS nuostatai), ir Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos ekonomikos ir inovacijų ministro 2020 m. gegužės 28 d. įsakymu Nr. 4-369 „Dėl Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos nuostatų ir Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – VIPVIS saugos nuostatai). Už Taisyklių nuostatų įgyvendinimo organizavimą ir kontrolę atsako VIPVIS saugos įgaliotinis.
4. Taisyklėse vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), vartojamas sąvokas.
5. Vadovaujantis VIPVIS saugos nuostatų 19 ir 20 punktais, VIPVIS tvarkoma elektroninė informacija yra priskiriama vidutinės svarbos informacijos kategorijai, o VIPVIS priskiriama trečiajai informacinių sistemų kategorijai.
II SKYRIUS
TEchninių ir kitų saugos priemonių aprašymas
7. VIPVIS kompiuterinės įrangos saugos priemonės:
7.1. visuose serveriuose ir kompiuterizuotose darbo vietose turi būti įdiegta ir naudojama aktualiausia (naujausia) virusų ir kenkėjiško kodo aptikimo bei šalinimo programinės įrangos versija, skirta kompiuteriams ir laikmenoms tikrinti. Kompiuterizuotose darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, kurios reguliariai, ne rečiau kaip kartą per 24 valandas, atnaujinamos;
7.2. pagrindiniai serveriai, duomenų perdavimo tinklo mazgai ir ryšio linijos turi būti dubliuojami ir jų techninė būklė nuolat stebima;
7.3. serveriai ir elektroninės informacijos perdavimo tinklo mazgai turi turėti įtampos filtrą ir rezervinį elektros energijos tiekimo šaltinį. Rezervinis elektros energijos tiekimo šaltinis užtikrina serverių veikimą ne trumpiau kaip 1 valandą;
7.4. VIPVIS techninė įranga turi būti prižiūrima laikantis gamintojo rekomendacijų. Techninę priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – VIPVIS administratoriai arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai;
7.5. VIPVIS veikimo stebėjimo priemonės turi perspėti VIPVIS administratorius, kai pagrindinėje VIPVIS kompiuterinėje įrangoje iki nustatytos pavojingos ribos sumažėja laisvos kompiuterio atminties ar vietos diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja, sutrinka kitų VIPVIS komponentų įprastas veikimas;
8. Sisteminės ir taikomosios programinės įrangos saugos priemonės:
8.2. VIPVIS serveriuose neturi veikti sisteminė ir taikomoji programinė įranga, kuri yra nesusijusi su VIPVIS tvarkymu, VIPVIS naudotojų ir pačios įrangos administravimu;
8.3. turi būti operatyviai testuojami ir įdiegiami VIPVIS serverių ir vidinių VIPVIS naudotojų darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;
8.4. VIPVIS tvarkymo darbo vietose turi būti naudojama programinė įranga, skirta kovai su kenksmingojo kodo programomis, ir turi būti laiku atliekamas visos programinės įrangos atnaujinimas;
8.5. VIPVIS programinis kodas privalo būti apsaugotas, kad jis nebūtų atskleistas neturintiems teisės su juo susipažinti asmenims. VIPVIS programiniam kodui apsaugoti turi būti taikomos tos pačios saugos priemonės kaip ir VIPVIS elektroninei informacijai;
8.6. programinės įrangos diegimą, konfigūravimą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – VIPVIS administratoriai arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai;
8.7. programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;
8.9. turi būti užtikrintas VIPVIS prieinamumas ne mažiau kaip 95 proc. laiko darbo metu darbo dienomis;
8.10. atsarginės laikmenos su VIPVIS programinės įrangos kopijomis turi būti laikomos kitose patalpose arba kitame pastate, nei yra VIPVIS serveriai;
9. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:
9.1. serveriai, kompiuterizuotos darbo vietos ir kita kompiuterinė įranga, įjungta į elektroninės informacijos perdavimo tinklą, turi būti atskirta nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant saugasienes, automatinę įsilaužimų aptikimo ir prevencijos įrangą, paslaugos trikdymo atakų ir srautinių paslaugos trikdymo atakų įrangą;
9.2. saugasienės įvykių žurnalai (angl. Logs) turi būti reguliariai analizuojami, o saugasienės saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos;
9.3. elektroninės informacijos perdavimo tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešajame elektroninių ryšių tinkle naršančių VIPVIS naudotojų kompiuterinę įrangą nuo kenksmingo kodo;
9.4. elektroninės informacijos perdavimo tinklo kabeliai turi būti apsaugoti nuo neteisėto prisijungimo ar pažeidimo;
9.5. VIPVIS programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), paslaugos trikdymo (angl. DOS), srautinių paslaugos trikdymo (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org;
9.6. prie VIPVIS prisijungiant nuotoliniu būdu ar keičiantis informacija su kitais registrais ir informacinėmis sistemomis, viešaisiais elektroninių ryšių tinklais perduodamų duomenų konfidencialumas užtikrinamas naudojant virtualų privatų tinklą (angl. Virtual Private Network, VPN) ir kitus duomenų šifravimo būdus (TLS (angl. Transport Layer Security), HTTPS (angl. Hypertext Transfer Protocol Secure) ar lygiaverčius).
10. Belaidžio tinklo saugumas ir kontrolė:
10.1. leidžiama naudoti tik su VIPVIS saugos įgaliotiniu suderintus belaidžio tinklo įrenginius, atitinkančius techninius kibernetinio saugumo reikalavimus;
10.2. turi būti naudojamos priemonės, kurios apribotų neleistinus ar saugumo reikalavimų neatitinkančius belaidžius įrenginius arba informuotų VIPVIS saugos įgaliotinį apie neleistinos įrangos prijungimą prie VIPVIS infrastruktūros;
11. VIPVIS patalpų ir aplinkos saugumo užtikrinimo priemonės:
11.1. patalpos, kuriose yra VIPVIS serveriai, turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti gaisro gesinimo priemonės, turi būti įrengti gaisro ir judesio davikliai, prijungti prie pastato signalizacijos ir (arba) apsaugos tarnybos stebėjimo pulto, reguliariai atliekama gaisro aptikimo ir gesinimo priemonių patikra;
11.2. patalpose, kuriose yra VIPVIS serveriai, turi būti užtikrintos gamintojo rekomenduojamos techninės įrangos darbo sąlygos (aplinkos drėgnumas, darbo vietos temperatūra);
11.3. patalpos, kuriose yra VIPVIS serveriai, turi būti atskirtos nuo bendrojo naudojimo patalpų. Į patalpas patekti gali tik įgalioti asmenys, kitus asmenis turi lydėti VIPVIS administratorius arba saugos įgaliotinis;
11.4. prieiga prie patalpų, kuriose yra VIPVIS serveriai, turi būti kontroliuojama (registruojami įeinančių į patalpas ir išeinančių iš patalpų asmenų apsilankymai, kontroliuojamas patekimas į patalpas Taisyklių 11.3 papunktyje nustatyta tvarka);
12. VIPVIS naudojamų svetainių, pasiekiamų iš viešųjų elektroninių ryšių tinklų, saugumas ir kontrolė:
12.1. turi būti įgyvendinti atpažinties, tapatumo patvirtinimo ir naudojimosi VIPVIS kontrolės reikalavimai:
12.2. turi būti įgyvendinti svetainės kriptografijos reikalavimai:
12.2.1. svetainės administravimo darbai turi būti atliekami per šifruotą ryšio kanalą, šifruojant ne trumpesniu kaip 128 bitų raktu;
12.2.2. šifruojant naudojami skaitmeniniai sertifikatai privalo būti išduoti patikimų sertifikavimo tarnybų; sertifikato raktas turi būti ne trumpesnis kaip 2048 bitų;
12.4. serveris, kuriame yra svetainė, neturi rodyti svetainės naudotojui klaidų pranešimų apie svetainės programinį kodą ar serverį;
12.5. serveris, kuriame yra svetainė, turi leisti tik svetainės funkcionalumui užtikrinti reikalingus HTTP (angl. Hypertext Transfer Protocol) protokolo metodus;
13. Kitos priemonės, naudojamos siekiant užtikrinti VIPVIS elektroninės informacijos saugą:
13.1. prisiregistravimo prie VIPVIS ir išsiregistravimo iš jos duomenys (prisijungimo vardas, data, laikas) fiksuojami VIPVIS elektroniniuose veiksmų žurnaluose (toliau – veiksmų žurnalai), kurie prieinami tik VIPVIS administratoriui ir saugos įgaliotiniui. Veiksmų žurnalai yra saugojami VIPVIS duomenų bazėje ir jų apsaugai nuo neteisėto jų duomenų pakeitimo yra taikomos tos pačios saugos priemonės, kaip ir VIPVIS elektroninei informacijai. Už veiksmų žurnalų tvarkymą atsakingas VIPVIS administratorius;
13.2. VIPVIS turi būti įrašomi duomenys apie VIPVIS serverių, VIPVIS taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis VIPVIS serveriuose, VIPVIS taikomojoje programinėje įrangoje, visus VIPVIS naudotojų atliekamus veiksmus, kitus elektroninės informacijos saugai svarbius įvykius – nurodomas VIPVIS naudotojo ar administratoriaus identifikatorius ir elektroninės informacijos saugai svarbaus įvykio ar atlikto veiksmo laikas. Šie duomenys turi būti saugomi ne trumpiau kaip vienus metus kitoje, nei jie įrašomi, sistemoje ir analizuojami ne rečiau kaip kartą per savaitę;
13.3. prisijungimo vardai ir slaptažodžiai, leidžiantys dirbti su VIPVIS serverio programine įranga, turi būti žinomi tik įgaliotam asmeniui;
13.4. VIPVIS naudotojų tapatybei nustatyti ir prieigai prie elektroninės informacijos kontroliuoti būtina naudoti prisijungimo vardų, slaptažodžių ir teisių sistemą;
III SKYRIUS
SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
14. Saugaus elektroninės informacijos įvedimo, keitimo, atnaujinimo ir naikinimo tvarka:
14.1. VIPVIS tvarkomą elektroninę informaciją įrašyti, keisti, atnaujinti gali tik VIPVIS naudotojai ir VIPVIS administratoriai pagal suteiktas prieigos teises ir tik turint teisėtą tikslą ir pagrindą;
14.2. VIPVIS elektroninė informacija įrašoma, atnaujinama, keičiama ir naikinama vadovaujantis VIPVIS nuostatais, Saugos nuostatais ir kitais teisės aktais, reglamentuojančiais VIPVIS elektroninės informacijos tvarkymą;
14.3. VIPVIS naudotojui neatliekant jokių veiksmų VIPVIS 15 minučių, VIPVIS taikomoji programinė įranga automatiškai užsirakina ir naudotis VIPVIS galima tik pakartotinai patvirtinus savo tapatybę;
14.4. informacinės sistemos turi turėti įrašytos elektroninės informacijos tikslumo, užbaigtumo ir patikimumo tikrinimo priemones;
14.5. VIPVIS naudotojų duomenis įrašyti, keisti, atnaujinti gali tik VIPVIS naudotojų administratorius;
15. VIPVIS atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka:
15.1. VIPVIS elektroninės informacijos kopijos daromos ne rečiau kaip kartą per savaitę ir įrašomos į kompiuterines laikmenas;
15.2. elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, neleidžiančių panaudoti kopijas neteisėtai atkurti elektroninę informaciją;
15.3. VIPVIS elektroninės informacijos kopijos saugomos atskiroje patalpoje taip, kad prireikus būtų galima jas greitai atkurti;
15.4. duomenys apie VIPVIS elektroninės informacijos kopijų darymą (kopijos įrašymo data ir laikas, sistemos administratoriaus vardas, pavardė, pareigos, telefonas) fiksuojami kopijų darymo žurnale;
16. VIPVIS elektroninė informacija gali būti saugiai perkeliama ir teikiama susijusioms informacinėms sistemoms ir iš jų gaunama vadovaujantis VIPVIS nuostatų V skyriuje nustatyta tvarka ir sąlygomis.
17. VIPVIS elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neteisėta veikla) nustatymo tvarka:
17.1. siekiant nustatyti, ar su VIPVIS esančia elektronine informacija nėra vykdoma neteisėta veikla, VIPVIS administratorius privalo ne rečiau nei kartą per mėnesį peržiūrėti visus VIPVIS veiksmų žurnaluose registruojamus įrašus;
17.2. kilus įtarimui, kad su VIPVIS ar jo elektronine informacija yra vykdoma neteisėta veikla, VIPVIS naudotojai privalo nedelsdami, bet ne vėliau kaip per 24 valandas, informuoti VIPVIS administratorių, kuris apie saugos pažeidimus elektroniniu paštu ne vėliau kaip per 24 valandas informuoja VIPVIS saugos įgaliotinį, imasi visų įmanomų veiksmų neteisėtai veiklai užkirsti bei ne vėliau kaip per 24 valandas išnagrinėja VIPVIS duomenų bazės veiksmų žurnalo įrašus, siekdamas nustatyti neteisėtos veiklos šaltinį, laiką ir veiksmus;
17.3. VIPVIS saugos įgaliotinis, ne rečiau kaip kartą per 2 metus:
17.3.1. atlieka VIPVIS saugos dokumentų ir realios informacijos saugos situacijos atitikties vertinimą;
17.3.3. patikrina VIPVIS administratoriaus kompiuterinėje darbo vietoje, VIPVIS serveriuose įdiegtas programas ir jų sąranką;
18. Programinės ir techninės VIPVIS įrangos keitimo ir atnaujinimo tvarka:
18.1. visi VIPVIS pokyčiai, susiję su programinės ir (arba) techninės įrangos keitimu ir (arba) atnaujinimu įgyvendinami tik raštiškai sutikus VIPVIS valdytojui;
18.2. prieš atliekant VIPVIS programinės ir (arba) techninės įrangos keitimą ir (arba) atnaujinimą, kurio metu galimi VIPVIS veikimo sutrikimai, VIPVIS administratorius ją įdiegia ir testuoja, jei tai leidžia programinės ir techninės galimybės, testavimo aplinkoje;
18.3. atlikus testavimą ir konstatavus keičiamos ir (arba) atnaujinamos VIPVIS programinės ir (arba) techninės įrangos sėkmingą veikimą realioje aplinkoje, VIPVIS administratorius pradeda rengti keičiamos ir (arba) atnaujinamos programinės ir (arba) techninės įrangos keitimo ir (arba) atnaujinimo planą, kuriame turi būti:
18.3.1. išdėstytas detalus veiksmų planas, nurodantis atliekamų darbų etapus, eiliškumą, apimtį ir trukmę valandų tikslumu;
18.3.2. paskirti ir nurodyti konkretūs asmenys (vardas, pavardė, pareigos, telefono numeris bei kita kontaktinė informacija), kurie atsakingi už detaliame veiksmų plane įvardytų darbų atlikimą;
18.3.3. išvardytos rizikos, atsirandančios keičiant ir (arba) atnaujinant VIPVIS programinę ir (arba) techninę įrangą, bei veiksmai ir priemonės, skirtos joms sumažinti arba visiškai pašalinti;
19. Visi pokyčiai, galintys sutrikdyti ar sustabdyti VIPVIS darbą, turi būti suderinti su VIPVIS valdytojo vadovu ar duomenų valdymo įgaliotiniu ir vykdomi tik gavus jų raštišką pritarimą. Pokyčius turi teisę inicijuoti VIPVIS duomenų valdymo įgaliotinis, VIPVIS saugos įgaliotinis ar administratorius, o įgyvendinti – VIPVIS administratorius.
20. VIPVIS pokyčių (toliau – pokyčiai) valdymo tvarka:
20.1. kiekvienas pokytis turi būti suplanuotas, atsižvelgiant į pokyčio svarbą, aktualumą, poreikį, ir apimti pokyčio identifikavimą, priskyrimą kategorijai pagal pokyčio tipą (administracinį, organizacinį funkcinį, programinį ar techninį), įtakos vertinimą, pokyčio prioriteto nustatymą bei pokyčio atlikimo tvarką;
20.2. pokyčius turi teisę inicijuoti VIPVIS duomenų valdymo įgaliotinis, VIPVIS saugos įgaliotinis ar VIPVIS administratorius (-iai), o įgyvendinti – VIPVIS administratorius (-iai);
20.3. pokyčius planuoja juos inicijavęs asmuo arba specialiai VIPVIS tvarkytojo vadovo sudaryta darbo grupė;
20.4. jei yra sudaroma paslaugų teikimo sutartis dėl papildomo funkcionalumo kūrimo ar modernizavimo, pokyčių įgyvendinimo tvarka nustatoma paslaugų teikimo sutartyje;
20.5. visi pokyčiai, galintys sutrikdyti ar sustabdyti VIPVIS darbą, suderinami su VIPVIS tvarkytojo vadovu;
20.6. įgyvendinant pokyčius, kurių metu galimi VIPVIS veikimo sutrikimai, VIPVIS administratorius privalo ne vėliau kaip prieš vieną darbo dieną iki planuojamų pokyčių vykdymo pradžios informuoti (raštu, elektroniniu paštu, faksu) VIPVIS naudotojus apie tokių darbų pradžią ir galimus sutrikimus;
20.7. pokyčiai, galintys daryti įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti testavimo aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri atskirta nuo eksploatuojamos VIPVIS;
21. VIPVIS sąrankos aprašai turi būti nuolat atnaujinami ir rodyti esamą informacinės sistemos sąrankos būklę.
22. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (išmaniųjų telefonų ir planšetinių kompiuterių, naudojančių „Android“ ar „iOS“ operacines sistemas), skirtų prisijungti prie informacinių sistemų, naudojimo tvarka:
22.2. išnešti iš patalpų nešiojamieji kompiuteriai ar kiti mobilieji įrenginiai negali būti palikti be priežiūros viešose vietose;
22.3. turi būti įdiegiami operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai. Už šių darbų atlikimą atsakingas VIPVIS komponentų administratorius;
22.4. duomenys, perduodami tarp mobiliojo įrenginio ir informacinės sistemos, turi būti šifruojami taikant VPN technologiją;
IV SKYRIUS
REIKALAVIMAI, KELIAMI INFORMACINĖMS SISTEMOMS FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS
23. VIPVIS funkcionuoti reikalingų paslaugų, darbų ir (ar) įrangos teikėjas (toliau – tiekėjas) turi atitikti VIPVIS veiklą reglamentuojančių teisės aktų, standartų, Taisyklių II skyriuje nurodytus reikalavimus ir paslaugų teikimo, darbų atlikimo ar įrangos tiekimo pirkimo dokumentuose iš anksto nustatomus reikalavimus tiekėjo kompetencijai, patirčiai, teikiamoms paslaugoms, atliekamiems darbams ar tiekiamai įrangai.
24. Perkant paslaugas, darbus ar įrangą, susijusius su VIPVIS, jos projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi būti nustatoma, kad tiekėjas užtikrina atitiktį Aprašo 10, 12, 16, 18–19 punktuose nustatytiems reikalavimams. Perkamos paslaugos, darbai ar įranga, susiję su VIPVIS, turi atitikti teisės aktų ir standartų, kuriais vadovaujamasi užtikrinant VIPVIS elektroninės informacijos saugą ir kibernetinį saugumą, reikalavimus, kurie iš anksto nustatomi paslaugų teikimo, darbų atlikimo ar įrangos tiekimo pirkimo dokumentuose.
25. Tiekėjas, vykdydamas sutartinius įsipareigojimus, turi įgyvendinti organizacines ir technines priemones, skirtas VIPVIS ir joje tvarkomai elektroninei informacijai apsaugoti nuo netyčinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jos.
26. Tiekėjui prieiga prie VIPVIS gali būti suteikiama tik pasirašius sutartį, kurioje turi būti nustatytos tiekėjo teisės, pareigos, prieigos prie VIPVIS lygiai ir sąlygos, elektroninės informacijos saugos, kibernetinio saugumo, konfidencialumo reikalavimai ir atsakomybė už jų nesilaikymą. VIPVIS saugos įgaliotinis supažindina tiekėją su suteiktos prieigos VIPVIS saugos ir kibernetinio saugumo reikalavimais ir sąlygomis. VIPVIS komponentų administratorius yra atsakingas už prieigos prie VIPVIS tiekėjui suteikimą ir panaikinimą pasirašius sutartį, pasibaigus sutarties su tiekėju galiojimo terminui ar kitais sutartyje nurodytais prieigos prie VIPVIS panaikinimo atvejais.
27. Tiekėjui suteikiamas tik toks prieigos prie VIPVIS lygmuo, kuris yra būtinas sutartyje nustatytiems įsipareigojimams vykdyti. Tiekėjo paskirti specialistai turi pasirašyti konfidencialumo pasižadėjimus.
28. Prireikus, siekiant įsitikinti, ar tinkamai vykdoma sutartis, laikomasi elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų, VIPVIS tvarkytojas turi teisę atlikti tiekėjo teikiamų paslaugų, reikalingų VIPVIS funkcionuoti, stebėseną ir auditą, suteikti galimybę atlikti auditą trečiosioms šalims.
29. Tiekėjas privalo nedelsdamas, bet ne vėliau kaip per 24 valandas, informuoti VIPVIS tvarkytoją apie sutarties vykdymo metu pastebėtus elektroninės informacijos saugos ar kibernetinius incidentus, pastebėtas neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos ir (ar) kibernetinio saugumo užtikrinimo priemones, elektroninės informacijos saugos ir (ar) kibernetinio saugumo reikalavimų nesilaikymą, nusikalstamos veikos požymius, saugumo spragas, pažeidžiamumus, kitus svarbius saugai įvykius.
PATVIRTINTA
Lietuvos Respublikos ekonomikos ir
inovacijų ministro
2021 m. vasario 8 d. įsakymu Nr. 4-92
Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos NAUDOTOJŲ ADMINISTRAVIMO taisyklės
I Skyrius
bendrosios nuostatos
1. Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos naudotojų administravimo taisyklės (toliau – Naudotojų administravimo taisyklės) nustato Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos (toliau – VIPVIS) naudotojų įgaliojimus, teises, pareigas ir kontrolės tvarką.
2. Naudotojų administravimo taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, ir Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.
3. Naudotojų administravimo taisyklėse vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, apibrėžtas sąvokas.
4. Naudotojų administravimo taisyklės taikomos visiems VIPVIS naudotojams, tarp jų ir naudotojams, kuriems Naudotojų administravimo taisyklių nustatyta tvarka suteikta prieiga prie informacinės sistemos ar jos komponentų, suteikianti galimybę atlikti veiksmus, galinčius sukelti riziką informacinei sistemai, jos komponentams ar joje tvarkomiems duomenims (toliau – privilegijuotas naudotojas), VIPVIS administratoriams, VIPVIS saugumo įgaliotiniui.
5. VIPVIS naudotojams prieiga prie VIPVIS elektroninės informacijos suteikiama vadovaujantis šiais principais:
5.1. VIPVIS naudotojų ir VIPVIS administratorių prieiga prie elektroninės informacijos grindžiama būtinumo žinoti principu. Šis principas reiškia, kad VIPVIS naudotojams ir VIPVIS administratoriams prieiga suteikiama tik prie tos elektroninės informacijos, kuri reikalinga vykdant tiesioginę jų veiklą. Tvarkyti elektroninę informaciją gali tik tie VIPVIS naudotojai ir VIPVIS administratoriai, kuriems Naudotojų administravimo taisyklių III skyriuje nustatyta tvarka suteiktos prieigos prie elektroninės informacijos teisės ir priemonės (identifikavimo priemonės, slaptažodžiai ar kitos tapatybės nustatymo priemonės ir pan.);
5.2. kiekvienas VIPVIS naudotojas turi būti VIPVIS unikaliai identifikuojamas (asmens kodas negali būti naudojamas kaip naudotojo identifikatorius). VIPVIS naudotojų prieigos prie elektroninės informacijos teisė realizuota tik per jų registravimo ir slaptažodžių administravimo sistemą;
5.3. VIPVIS naudotojų ir VIPVIS administratorių prieigos prie elektroninės informacijos lygmuo grindžiamas mažiausios privilegijos principu. Šis principas reiškia, kad turi būti suteikiamos tik minimalios VIPVIS naudotojų ir VIPVIS administratorių tiesioginei veiklai vykdyti reikalingos prieigos teisės bei organizacinėmis ir techninėmis priemonėmis užtikrinama minimalių prieigos teisių naudojimo kontrolė (pavyzdžiui, prieigos prie informacinės sistemos ar jos komponentų, suteikiančios galimybę atlikti veiksmus, galinčius sukelti riziką informacinei sistemai, jos komponentams ar joje tvarkomiems duomenims (toliau – privilegijuota prieiga), teisės neturi būti naudojamos veiklai, kuriai atlikti pakanka žemesnio lygio prieigos teisių, ir pan.);
5.4. pareigų atskyrimo principas. Šis principas reiškia, kad VIPVIS naudotojui, VIPVIS administratoriams negali būti pavesta atlikti ar kontroliuoti visų pagrindinių elektroninės informacijos tvarkymo ar VIPVIS priežiūros funkcijų, VIPVIS naudotojams negali būti suteikiamos VIPVIS administratoriaus teisės, VIPVIS priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą VIPVIS administratoriaus paskyrą, kuria naudojantis negalima atlikti VIPVIS naudotojo funkcijų ir pan.
II SKYRIUS
VIPVIS naudotojų ir VIPVIS administratorių įgaliojimai, teisės ir pareigos
6. VIPVIS naudotojai rinkdami, tvarkydami, perduodami, saugodami, naikindami ar kitaip naudodami elektroninę informaciją gali naudotis tik tais VIPVIS posistemiais ir juose tvarkoma elektronine informacija, prie kurios prieigą jiems suteikė VIPVIS naudotojų administratorius.
7. Prireikus tam pačiam asmeniui Naudotojų administravimo taisyklių 17 punkte nustatyta tvarka gali būti sukuriamos atskiros VIPVIS naudotojo paskyros (naudotojo ir privilegijuoto naudotojo), kurios reikalingos tiesioginėms darbo (tarnybos) funkcijoms atlikti.
8. Privilegijuotam naudotojui be jokių apribojimų suteikiama prieiga prie jo funkcijoms atlikti reikalingų VIPVIS, VIPVIS naudotojų duomenų bei visų VIPVIS posistemių valdymo techninių parametrų bei teisė juos skaityti, redaguoti, atnaujinti, kopijuoti ar naikinti, kai tai reikalinga šios sistemos veikimui užtikrinti.
9. VIPVIS naudotojams draudžiama savavališkai rinkti, tvarkyti, perduoti, saugoti ar kitaip naudoti VIPVIS elektroninę informaciją.
10. VIPVIS naudotojai, vadovaudamiesi Naudotojų administravimo taisyklių 6, 9, ir 11–14 punktuose apibrėžtais reikalavimais, privalo užtikrinti jų naudojamo VIPVIS posistemio ir jame tvarkomos elektroninės informacijos konfidencialumą, vientisumą ir pasiekiamumą.
11. VIPVIS naudotojai privalo saugoti tvarkomų asmens duomenų ir informacijos paslaptį, vadovaudamiesi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) nustatyta tvarka ir kitų teisės aktų, reglamentuojančių asmens duomenų tvarkymą ir saugumą, reikalavimais.
12. Kiekvienas VIPVIS naudotojas ar VIPVIS administratorius, jungdamasis prie VIPVIS, privalo atlikti tapatumo nustatymo procedūrą, t. y. nurodyti VIPVIS naudotojo vardą ir slaptažodį.
13. VIPVIS naudotojams draudžiama savavališkai leisti tretiesiems asmenimis naudotis VIPVIS naudotojams suteikta VIPVIS prieiga.
14. VIPVIS naudotojai, pastebėję Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos ekonomikos ir inovacijų ministro 2020 m. gegužės 28 d. įsakymu Nr. 4-369 „Dėl Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos nuostatų ir Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“, ir VIPVIS saugos politikos įgyvendinamuosiuose dokumentuose (toliau kartu – saugos dokumentai) nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos ir (ar) kibernetinio saugumo užtikrinimo priemones, privalo nedelsdami, bet ne vėliau kaip per 24 valandas, telefonu arba elektroniniu paštu pranešti apie tai VIPVIS naudotojų administratoriui, kuris apie tai informuoja VIPVIS saugos įgaliotinį.
15. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią VIPVIS saugą ir (ar) kibernetinį saugumą, VIPVIS saugos įgaliotinis apie tai turi pranešti VIPVIS valdytojo vadovui raštu ir informuoti kompetentingas institucijas, tiriančias elektroninių ryšių tinklų, elektroninės informacijos saugos ir kibernetinius incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos ar kibernetiniais incidentais, šių kompetentingų institucijų nustatyta tvarka.
16. VIPVIS administratorių prieigos prie VIPVIS lygiai ir juose taikomi saugos reikalavimai:
16.1. VIPVIS administratoriai VIPVIS ir jos komponentus gali pasiekti naudodamiesi tiesiogine, vietinio tinklo arba nuotoline prieiga. VIPVIS administratorių prieiga ir jos lygiai kontroliuojami per fizinius (įeigos kontrolės sistemos, užtvaros ir kita) ir loginius (užkardos, domeno valdikliai ir kita) prieigos taškus. Kontrolės priemonės turi būti taikomos visuose VIPVIS sandaros sluoksniuose (kompiuterių tinkle, platformose ar operacinėse sistemose, duomenų bazėse ir taikomųjų programų sistemose);
16.2. VIPVIS administratoriams prieiga prie VIPVIS komponentų, elektroninės informacijos ir teisė atlikti elektroninės informacijos tvarkymo veiksmus (elektroninės informacijos skaitymas, kūrimas, atnaujinimas, šalinimas, VIPVIS naudotojų informacijos, prieigos teisių redagavimas ir panašiai) suteikiama pagal VIPVIS saugos nuostatuose nustatytas VIPVIS administratorių grupes, remiantis Naudotojų administravimo taisyklių 7 punkte nustatytais prieigos prie elektroninės informacijos principais;
16.3. VIPVIS koordinuojantis administratorius pagal kompetenciją turi teisę prieiti prie visų VIPVIS komponentų ir jų sąrankos;
16.4. VIPVIS naudotojų administratoriams suteikiama prieiga prie VIPVIS naudotojų prieigos teisių valdymo sistemų;
16.5. VIPVIS komponentų administratoriams pagal kompetenciją suteikiama prieiga prie kompiuterių, operacinių sistemų, duomenų bazių ir jų valdymo sistemų, taikomųjų programų sistemų, saugasienių, įsilaužimų aptikimo ir prevencijos sistemų, elektroninės informacijos perdavimo tinklų, duomenų saugyklų ir kitos techninės ir programinės įrangos bei jų sąrankos.
III SKYRIUS
Saugaus ELEKTRONINĖS INFORMACIJOS teikimo VIPVIS naudotojams kontrolės tvarka
17. VIPVIS naudotojų (tarp jų ir privilegijuotų) registravimo ir išregistravimo tvarka:
17.1. VIPVIS tvarkytojo ar VIPVIS techninę priežiūrą vykdančios įmonės darbuotojai, pagal VIPVIS saugos dokumentų nuostatas pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį ir pasirašytinai susipažinę su saugos dokumentais, norėdami savo tiesioginėms funkcijoms atlikti gauti prieigą (taip pat ir privilegijuotą) prie atitinkamų VIPVIS komponentų, turi pateikti VIPVIS tvarkytojui prašymą (Naudotojų administravimo taisyklių priedas), kuriame turi būti nurodyti prašančio suteikti prieigą asmens duomenys, prieigos suteikimo pagrindas, VIPVIS komponentai, prie kurių suteikiama prieiga, ir prieigos suteikimo laikotarpis;
17.2. VIPVIS naudotojui VIPVIS naudotojų administratorius suteikia VIPVIS naudotojo vardą ir laikiną slaptažodį bei nustato nurodytos apibrėžties prieigą prie elektroninės informacijos;
17.4. kiekvienas VIPVIS naudotojas privalo naudoti tik jam suteiktą VIPVIS naudotojo vardą ir nesudaryti galimybės juo naudotis tretiesiems asmenims;
18. VIPVIS naudotojų slaptažodžių, jų galiojimo trukmės, keitimo ir saugojimo reikalavimai:
18.1. slaptažodis VIPVIS naudotojui negali būti perduodamas neužšifruotas ar užšifruojamas nepatikimais algoritmais;
18.2. tik laikinas slaptažodis gali būti perduodamas neužšifruotas, tačiau atskirai nuo prisijungimo vardo, jei naudotojas neturi techninių galimybių iššifruoti gauto slaptažodžio ar nėra techninių galimybių VIPVIS naudotojui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu;
18.3. pirmojo prisijungimo prie VIPVIS metu iš VIPVIS naudotojo turi būti reikalaujama, kad jis pakeistų laikiną slaptažodį;
18.4. kilus įtarimui, kad slaptažodis galėjo būti atskleistas, VIPVIS naudotojas turi nedelsdamas slaptažodį pakeisti;
18.6. slaptažodį turi sudaryti trijų grupių iš galimų keturių (didžiosios ir mažosios raidės, skaičiai bei specialūs ženklai) simboliai;
18.7. slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius (VIPVIS naudotojų teisės sustabdomos, jei slaptažodis nepakeičiamas laiku);
18.8. slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija (pavyzdžiui, gimimo data, šeimos narių vardai, adresai ir panašiai);
18.9. VIPVIS naudotojas slaptažodį turi įsiminti, draudžiama slaptažodį užsirašyti ar pasakyti kitam asmeniui;
18.10. naudotojui klaidingai suvedus slaptažodį 5 kartus vartotojo prieiga turi būti blokuojama ir atkuriama tik VIPVIS naudotojų administratoriaus;
18.11. pasirinkdamas ar keisdamas slaptažodį, VIPVIS naudotojas turi bent kartą slaptažodį pakartoti;
19. Papildomi privilegijuotų naudotojų slaptažodžių reikalavimai:
20. VIPVIS naudotojų prieigos prie informacinių sistemų sustabdymo atvejai:
20.1. nustačius VIPVIS elektroninės informacijos konfidencialumo ar vientisumo pažeidimą arba kitų VIPVIS elektroninės informacijos saugą ir tvarkymą reglamentuojančių teisės aktų pažeidimą;
21. VIPVIS duomenų tvarkymas yra atliekamas naudojantis interneto naršykle arba specialia programine įranga.
22. VIPVIS naudotojo teisė dirbti su konkrečia elektronine informacija turi būti sustabdoma, kai jis nesinaudoja VIPVIS ilgiau kaip 3 mėnesius. Nutrūkus darbo, sutartiniams ar kitiems santykiams, VIPVIS naudotojo teisė naudotis VIPVIS turi būti nedelsiant panaikinta.
Valstybės informacinių
technologijų paslaugų valdymo
informacinės sistemos naudotojų
administravimo taisyklių
priedas
(Prašymo suteikti ar panaikinti naudotojo prieigos prie Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos teises forma)
________________________________________________________________________________
(įstaigos pavadinimas)
Informacinės visuomenės plėtros komitetui
PRAŠYMAS
SUTEIKTI AR PANAIKINTI NAUDOTOJO PRIEIGOS PRIE VALSTYBĖS INFORMACINIŲ TECHNOLOGIJŲ PASLAUGŲ VALDYMO INFORMACINĖS SISTEMOS TEISES
|
Nr. |
|
||
(data) |
|
(registracijos numeris) |
||
|
|
|
||
|
(sudarymo vieta) |
|
||
Prašau suteikti / panaikinti (pabraukti reikalingą variantą) prieigos prie Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos (toliau – VIPVIS) teises šiam asmeniui: |
________________________________________________________________________________________________, |
(valstybės tarnautojo ar darbuotojo vardas, pavardė)
_______________________________________________________________________________________________,
(valstybės tarnautojo ar darbuotojo pareigos)
dirbančiam (-iai) _______________________________________________________________________________________________ ,
(įstaigos struktūrinio padalinio pavadinimas)
_______________________________________________________________________________________________ ,
(darbo vietos adresas, kabineto ir telefono numeriai, elektroninio pašto adresas)
ir suteikti / panaikinti jam (jai) (pabraukti reikalingą variantą) prieigą prie VIPVIS komponento šiomis prieigos teisėmis:
Eil. Nr. |
VIPVIS komponento pavadinimas |
Prieigos teisės |
|
Suteikti |
Panaikinti |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(įstaigos vadovo ar jo įgalioto asmens pareigos) |
|
(parašas) |
|
(vardas, pavardė) |
____________________________
PATVIRTINTA
Lietuvos Respublikos ekonomikos ir
inovacijų ministro
2021 m. vasario 8 d. įsakymu Nr. 4-92
Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos VEIKLOS TĘSTINUMO VALDYMO PLANAS
I Skyrius
bendrosios nuostatos
1. Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos veiklos tęstinumo valdymo planas (toliau – Planas) reglamentuoja Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos (toliau – VIPVIS) veiklos tęstinumo užtikrinimą, siekiant tinkamai valdyti VIPVIS elektroninės informacijos saugos ir kibernetinius incidentus (toliau – Incidentas).
2. Planas parengtas vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu ir Nacionaliniu kibernetinių incidentų valdymo planu, patvirtintais Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.
3. Plane vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos visuomenės informavimo įstatyme ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše.
4. Planas taikomas įvykus Incidentui iki tol, kol bus atkurta VIPVIS veikla. Plano vykdymą inicijuoja VIPVIS veiklos tęstinumo valdymo grupės vadovas. Plano nuostatos taip pat taikomos po stichinės nelaimės, avarijos ar kitų ekstremaliųjų situacijų, kai būtina atkurti įprastą VIPVIS veiklą.
5. Planas yra privalomas VIPVIS valdytojui, VIPVIS tvarkytojui, VIPVIS saugos įgaliotiniui, VIPVIS administratoriams ir VIPVIS naudotojams (tarp jų ir naudotojams, kuriems Naudotojų administravimo taisyklių nustatyta tvarka suteikta prieiga prie informacinės sistemos ar jos komponentų, suteikianti galimybę atlikti veiksmus, galinčius sukelti riziką informacinei sistemai, jos komponentams ar joje tvarkomiems duomenims (toliau – privilegijuoti naudotojai)).
6. VIPVIS saugos įgaliotinio, VIPVIS administratorių bei VIPVIS naudotojų funkcijos, įgaliojimai ir veiksmai:
6.1. VIPVIS saugos įgaliotinis:
6.1.1. koordinuoja Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos veiklos atkūrimo detaliajame plane, kuris pateiktas Plano 1 priede, nurodytų veiksmų atlikimą;
6.1.3. duoda privalomus vykdyti nurodymus ir pavedimus VIPVIS valdytojo ir VIPVIS tvarkytojo darbuotojams, jeigu tai būtina elektroninės informacijos saugos politikai įgyvendinti;
6.1.5. bendradarbiauja su kompetentingomis institucijomis, tiriančiomis Incidentus, neteisėtas veikas, susijusias su Incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka VIPVIS valdytojo arba VIPVIS tvarkytojo sudarytos VIPVIS elektroninės informacijos saugos ir kibernetinio saugumo darbo grupės;
6.2. VIPVIS administratoriai:
6.2.5. informuoja VIPVIS naudotojų ir duomenų gavėjus apie veiklos sutrikimus ir veiklos atkūrimo laiką;
6.3. VIPVIS techninės priežiūros paslaugų teikėjų atsakingi darbuotojai:
8. VIPVIS veikla laikoma atkurta, jeigu yra atkuriamas Incidento metu sutrikdytas VIPVIS veikimas, užtikrintas jo duomenų prieinamumas, konfidencialumas ir vientisumas, o VIPVIS naudotojai gali atlikti savo funkcijas. VIPVIS veiklos atkūrimas turi trukti ne ilgiau kaip 16 valandų.
9. VIPVIS veiklos kriterijai, pagal kuriuos nustatoma, ar VIPVIS veikla atkurta:
9.1. VIPVIS priima elektroninę informaciją iš informacinių sistemų, elektroninės informacijos teikėjų;
II SKYRIUS
OrganizacinIAI REIKALAVIMAI
10. VIPVIS veiklos tęstinumui užtikrinti, įvykus Incidentui, sudaromos Veiklos tęstinumo valdymo grupė (toliau – VTVG) ir Veiklos atkūrimo grupė (toliau – VAG), kurios užtikrina veiklos tęstinumui kylančių grėsmių valdymą ir informacinių sistemų atkūrimo koordinavimą.
11. VTVG sudėtis:
11.1. VTVG vadovas – VIPVIS tvarkytojo – Informacinės visuomenės plėtros komiteto (toliau – IVPK) direktorius arba direktoriaus pavaduotojas;
11.3. VTVG nariai:
12. VTVG funkcijos:
12.1. Incidento priežasties ir esamos situacijos analizė ir sprendimų VIPVIS veiklos tęstinumo valdymo klausimais priėmimas;
12.3. bendravimas su susijusių registrų ir (arba) informacinių sistemų veiklos tęstinumo valdymo grupėmis arba administratoriais;
12.4. bendravimas su teisėsaugos ir kitomis institucijomis, šių institucijos darbuotojais ir kitomis interesų grupėmis;
12.5. finansinių ir kitų išteklių, reikalingų VIPVIS veiklai atkurti įvykus Incidentui, naudojimo kontrolė;
13. VAG sudėtis:
15. VAG funkcijos:
15.5. kompiuterizuotų darbo vietų veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas;
18. Veiksmai, reikalingi VIPVIS veiklai atkurti įvykus Incidentui, jų vykdymo eiliškumas, terminai ir atsakingi vykdytojai nurodyti Plano 1 priede nustatytame Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos veiklos atkūrimo detaliajame plane.
19. Jeigu Incidentas turi kibernetinio incidento požymių, Incidentas yra valdomas, vertinamas bei apie Incidentą yra pranešama, vadovaujantis Nacionaliniu kibernetinių incidentų valdymo planu. Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos kibernetinių incidentų valdymo planas yra pateiktas Plano 2 priede.
20. Įvykus Incidentui, nenumatytoms situacijoms arba įvykus esminiams organizaciniams VIPVIS ar jų komponentų pokyčiams, VTVG ir VAG ne vėliau kaip per 24 valandas nuo jų nustatymo organizuoja bendrą susirinkimą.
21. VTVG, atlikusi Incidento priežasties ir esamos situacijos analizę, informuoja VAG apie priimtus sprendimus VIPVIS veiklos tęstinumo valdymo klausimais. VAG, atsižvelgdama į priimtus sprendimus, organizuoja VIPVIS veiklos atkūrimą.
III SKYRIUS
vIPVIS VEIKLOS UŽTIKRINIMAS
26. VIPVIS veiklos tęstinumui užtikrinti turi būti parengti ir saugomi šie dokumentai:
26.1. VIPVIS kompiuterinės ir programinės įrangos sąrašas ir šios įrangos parametrai (dokumentas, kuriame nurodyti informacinių technologijų įrangos parametrai ir už šios įrangos priežiūrą atsakingi administratoriai, minimalus informacinės sistemos veiklai atkurti, nesant administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, reikiamos kompetencijos ar žinių lygis);
26.2. VIPVIS minimalus funkcijų sąrašas (dokumentas, kuriame nurodyta minimalaus informacinių technologijų įrangos funkcijų, skirtų VIPVIS veiklai užtikrinti įvykus Incidentui, sąrašas);
26.3. VIPVIS techninė dokumentacija (dokumentas, kuriame nurodyti pastato, kuriame yra VIPVIS įranga, aukšto patalpų brėžiniai ir juose pažymėti serveriai, kompiuterių tinklo ir telefonų tinklo mazgai, kompiuterių tinklo ir telefonų tinklo laidų vedimo tarp pastato aukštų vietos, elektros įvedimo pastate vietos);
26.5. sutarčių, susijusių su VIPVIS, sąrašas (dokumentas, kuriame nurodytos elektroninės informacijos teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingi už šių sutarčių įgyvendinimo priežiūrą asmenys);
26.6. VIPVIS elektroninės informacijos kopijavimo laikmenų sąrašas (dokumentas, kuriame nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos);
27. Už Plano 25.1–25.4 ir 25.6 papunkčiuose nurodytų dokumentų parengimo organizavimą, nuolatinį atnaujinimą yra atsakingas VIPVIS administratorius. Už Plano 25.5 ir 25.7 papunkčiuose nurodytų dokumentų parengimo organizavimą, nuolatinį atnaujinimą yra atsakingas VIPVIS saugos įgaliotinis.
IV SKYRIUS
Plano veiksmingumo išbandymo REIKALAVIMAI
30. Plano veiksmingumas išbandomas ne rečiau kaip kartą per vienus metus, modeliuojant saugos incidentą. Plano veiksmingumo išbandymą organizuoja VIPVIS saugos įgaliotinis.
31. Prieš įdiegiant naujus VIPVIS komponentus arba pasikeitus VIPVIS veiklos aplinkai, VIPVIS saugos įgaliotinis turi peržiūrėti Planą ir prireikus atlikti neeilinį Plano veiksmingumo išbandymą simuliavimo būdu pagal Incidento situacijos scenarijų.
32. Plano veiksmingumo išbandyme turi dalyvauti visi VTVG ir VAG nariai. Prireikus į Plano veiksmingumo išbandymą gali būti pakviesti ekspertai, paslaugų teikėjų atstovai.
33. Išbandžius Plano veiksmingumą, VIPVIS saugos įgaliotinis per 15 darbo dienų parengia Plano veiksmingumo išbandymo ataskaitą (toliau – ataskaita) ir per 5 darbo dienas pateikia ją VTVG. Kito išbandymo data nurodoma ataskaitoje.
Valstybės informacinių technologijų
paslaugų valdymo informacinės sistemos
veiklos tęstinumo valdymo plano
1 priedas
Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos VEIKLOS ATKŪRIMO DETALUSIS PLANAS
1. Valstybės informacinių technologijų paslaugų valdymo informacinės sistemos (toliau – VIPVIS) veiklos atkūrimo detalaus plane pateikiami galimi esminių sutrikimų scenarijai VIPVIS tvarkytojo patalpose. Tais atvejais, kuomet esminiai sutrikimai įvyksta VIPVIS serverių patalpose, turi būti vadovaujamasi VIPVIS prieglobos paslaugų teikėjo veiklos tęstinumo planu, o VTVG ir VAG turi bendradarbiauti su VIPVIS prieglobos paslaugų teikėju sprendžiant esminio sutrikimo scenarijus.
2. Galimi esminių sutrikimų scenarijai VIPVIS tvarkytojo patalpose:
2.1. Gaisras VIPVIS tvarkytojo patalpose. Reagavimo veiksmai ir VIPVIS veiklos atkūrimo veiksmai gaisro atveju pateikiami šio priedo 1 ir 2 lentelėse:
1 lentelė. Reagavimo veiksmai gaisro VIPVIS tvarkytojo patalpose atveju.
Eil. Nr. |
Reagavimo veiksmai |
Atsakingi asmenys |
1. |
Esant būtinumui, pavojaus skelbimas, elgsenos nenumatytos situacijos metu rekomendavimas ir darbuotojų evakavimas |
VTVG vadovas (jo nesant – VIPVIS saugos įgaliotinis) |
2. |
Ugniagesių, gelbėjimo, greitosios pagalbos ar kitų tarnybų informavimas |
VTVG vadovas (jo nesant – VIPVIS saugos įgaliotinis) |
3. |
Pirmosios medicininės pagalbos suteikimas pagal poreikį |
Visi VIPVIS tvarkytojo darbuotojai |
4. |
Gaisro gesinimas ankstyvojoje stadijoje, nekeliant pavojaus darbuotojų gyvybei |
Visi VIPVIS tvarkytojo darbuotojai |
5. |
Komunalinių komunikacijų, galinčių sukelti papildomą pavojų, atjungimas |
VTVG vadovas (jo nesant – VIPVIS saugos įgaliotinis) |
6. |
Koordinuojančių ir operatyvią veiklą vykdančių darbuotojų paskyrimas |
VTVG vadovas |
2 lentelė. VIPVIS veiklos atkūrimo veiksmai gaisro VIISP tvarkytojo patalpose atveju.
Eil. Nr. |
VIPVIS veiklos atkūrimo veiksmai |
Atsakingi asmenys |
1. |
Ugniagesių tarnybos paklausimas dėl leidimo dirbti pavojaus zonoje, rekomendacijų darbui gavimas ir darbuotojų informavimas apie rekomenduojamus darbo būdus |
VAG vadovas |
2. |
Darbo perkėlimas į alternatyvias darbo vietas (pvz., namuose) |
VTVG vadovas |
3. |
Žalos įvertinimas, priemonių plano įvykio pasekmėms likviduoti sudarymas ir įgyvendinimas |
VAG vadovas |
4. |
Darbo funkcijų grąžinimas į esamas ar naujas patalpas |
VTVG vadovas |
2.2. Energijos tiekimo sutrikimai VIPVIS tvarkytojo patalpose. Reagavimo veiksmai ir VIPVIS veiklos atkūrimo veiksmai energijos tiekimo sutrikimų atvejais pateikiami šio priedo 3 ir 4 lentelėse:
3 lentelė. Reagavimo veiksmai energijos tiekimo sutrikimų VIPVIS tvarkytojo patalpose atvejais.
Eil. Nr. |
Reagavimo veiksmai |
Atsakingi asmenys |
1. |
Energijos tiekimo sistemos veiklos patikrinimas |
VIPVIS administratorius |
2. |
Esant būtinumui, serverių ir kitos techninės įrangos, jautrios energijos tiekimo sutrikimams, išjungimas |
VIPVIS administratorius |
3. |
Kreipimasis į savo elektros energijos tiekimo tarnybą dėl sutrikimo pašalinimo trukmės prognozės |
IVPK administratorius |
4. |
Sutrikimo pašalinimo trukmės prognozės ir rekomenduojamos elgsenos nenumatytos situacijos metu skelbimas |
VTVG vadovas |
5. |
Prireikus atsarginių patalpų VIPVIS tvarkytojo veiklai užtikrinti ir darbo vietoms išdėstyti suradimas (pvz., darbo vietos perkėlimas į namus) |
VTVG vadovas |
4 lentelė. VIPVIS veiklos atkūrimo veiksmai energijos tiekimo sutrikimų VIPVIS tvarkytojo patalpose atvejais.
Eil. Nr. |
Veiklos atkūrimo veiksmai |
Atsakingi asmenys |
1. |
Pažeisto vietos elektros tinklo, užtikrinančio VIPVIS tvarkytojo veiklą, atkūrimo organizavimas |
VAG vadovas |
2. |
Išjungtų serverių ir kitos techninės įrangos įjungimas |
VIPVIS administratorius |
3. |
Žalos įvertinimas, priemonių plano įvykio pasekmėms likviduoti sudarymas ir įgyvendinimas |
VAG vadovas |
2.3. Ryšio sutrikimai VIPVIS tvarkytojo patalpose. Reagavimo veiksmai ir VIPVIS veiklos atkūrimo veiksmai ryšio sutrikimų atvejais pateikiami šio priedo 5 ir 6 lentelėse:
5 lentelė. Reagavimo veiksmai ryšio sutrikimų VIPVIS tvarkytojo patalpose atvejais.
Eil. Nr. |
Reagavimo veiksmai |
Atsakingi asmenys |
1. |
Paslaugų teikėjų informavimas, atsižvelgus į sutrikimo pobūdį |
VIPVIS administratorius |
2. |
Sutrikimo pašalinimo prognozės skelbimas ir darbuotojų informavimas apie darbo sustabdymą dėl nepalankių sąlygų |
VTVG vadovas |
3. |
Alternatyvaus ryšio ar alternatyvių darbo sąlygų organizavimas |
VTVG vadovas |
4. |
Infrastruktūros pakeitimai pagal poreikį |
VIPVIS administratorius |
6 lentelė. VIPVIS veiklos atkūrimo veiksmai ryšio sutrikimų VIPVIS tvarkytojo patalpose atvejais.
Eil. Nr. |
Veiklos atkūrimo veiksmai |
Atsakingi asmenys |
1. |
Žalos bei panašaus pobūdžio įvykių įvertinimas |
VAG vadovas |
2. |
Pagal poreikį kreipimasis į kitus ryšio paslaugų teikėjus |
VTVG vadovas |
Valstybės informacinių technologijų
paslaugų valdymo informacinės sistemos
veiklos tęstinumo valdymo plano
2 priedas
VALSTYBĖS INFORMACINIŲ TECHNOLOGIJŲ PASLAUGŲ VALDYMO INFORMACINĖS SISTEMOS KIBERNETINIŲ INCIDENTŲ VALDYMO PLANAS
1 lentelė. Kibernetinio incidento valdymo planas.
Kibernetinis incidentas |
Informavimo šaltinis |
Veiksmai |
Atsakomybės |
Reakcijos laikas |
VIPVIS duomenų manipuliavimas (elektroninių duomenų pasisavinimas, platinimas, paskelbimas, pakeitimas kitais elektroniniais duomenimis, elektroninių duomenų iškraipymas) |
Apie VIPVIS saugomų duomenų nebuvimą ar klaidas praneša VIPVIS naudotojai, VIPVIS tvarkytojo darbuotojai ar VIPVIS techninės priežiūros teikėjai
|
1. Įvertinama situacija ir apie tai informuojami VIPVIS saugos įgaliotinis bei VIPVIS administratorius |
Pirmasis incidentą pastebėjęs VIPVIS tvarkytojo darbuotojas |
Per 15 min. nuo incidento nustatymo |
2. Apie esamą situaciją informuojamas VTVG vadovas |
VIPVIS saugos įgaliotinis
|
Per 30 min. nuo incidento nustatymo |
||
3. Nustatomos susidariusią situaciją sukėlusios priežastys (pvz., ar duomenys prarasti kibernetinio įsilaužimo metu) |
VIPVIS saugos įgaliotinis, VIPVIS administratorius, VIPVIS techninę priežiūrą vykdančios įmonės atsakingas darbuotojas |
Per 1 val. nuo incidento nustatymo |
||
4. Informuojamas Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos* (toliau – NKSC). Pranešime apie didelės ir vidutinės reikšmės kibernetinį incidentą NKSC turi būti nurodyta: kibernetinio incidento grupė ir kategorija**, trumpas kibernetinio incidento apibūdinimas, tikslus laikas, kada kibernetinis incidentas įvyko ir buvo nustatytas, kibernetinio incidento šalinimo tvarka (turi būti nurodyta, ar tai prioritetas, ar ne).
Pranešime apie nereikšmingą kibernetinį incidentą NKSC turi būti nurodyta ir pateikta informacija apie kiekvienos grupės incidentų, įvykusių nuo paskutinio pranešimo pateikimo dienos, skaičių. |
VIPVIS saugos įgaliotinis |
Per 1 val. nuo didelės reikšmės kibernetinio incidento nustatymo; per 4 val. nuo vidutinės reikšmės kibernetinio incidento nustatymo
Pranešama periodiškai kiekvieno kalendorinio mėnesio pirmą darbo dieną (teikiant apibendrintą informaciją) |
||
5. VIPVIS portale (https://servicedesk.vitc.lt) skelbiamas informacinis pranešimas apie VIPVIS sutrikimus ir jų pašalinimo laiką |
VIPVIS administratorius |
Per 30 min. nuo incidento nustatymo |
||
6. Vykdomi atsakingos tarnybos nurodymai |
VIPVIS saugos įgaliotinis, VIPVIS administratorius, VIPVIS techninę priežiūrą vykdančios įmonės atsakingas darbuotojas |
Iš karto gavus nurodymus |
||
7. Jei išorinė pagalba nebūtina, sutrikimai pašalinami panaudojant IVPK išteklius |
VIPVIS saugos įgaliotinis, VIPVIS administratorius, VIPVIS techninę priežiūrą vykdančios įmonės atsakingas darbuotojas |
Per 4 val. nuo incidento nustatymo |
||
8. Jei nėra galimybės atkurti veiklos be išorinės pagalbos, kreipiamasi į išorinius tiekėjus dėl sistemos atkūrimo / sutaisymo, detalizuojant jos gedimus |
VIPVIS saugos įgaliotinis, VIPVIS techninę priežiūrą vykdančios įmonės atsakingas darbuotojas |
Per 1 val. nuo incidento nustatymo |
||
9. Atkuriamas VIPVIS veikimas |
VIPVIS saugos įgaliotinis, VIPVIS administratorius, VIPVIS techninę priežiūrą vykdančios įmonės atsakingas darbuotojas |
Priklausomai nuo sutrikimų šalinimo darbų pobūdžio |
||
10. Pašalinamas informacinis pranešimas VIPVIS portale https://servicedesk.vitc.lt |
VIPVIS administratorius |
Per 15 min. nuo VIPVIS veikimo atkūrimo |
||
11. NKSC pateikiama didelės ir vidutinės reikšmės kibernetinio incidento vertinimo ataskaita, kurioje nurodoma: 11.1. informacinė infrastruktūra ir valstybės informaciniai ištekliai, kuriuose nustatytas kibernetinis incidentas, tipas (informacinė sistema, elektroninių ryšių tinklas, serveris ir panašiai); 11.2. kibernetinio incidento veikimo trukmė; 11.3. kibernetinio incidento šaltinis; 11.4. kibernetinio incidento požymiai; 11.5. kibernetinio incidento veikimo metodas; 11.6. galimos kibernetinio incidento pasekmės; 11.7. kibernetinio incidento poveikio pasireiškimo (galimo išplitimo) mastas; 11.8. kibernetinio incidento būsena (aktyvus, pasyvus); 11.9. priemonės, kuriomis kibernetinis incidentas nustatytas; 11.10. galimos kibernetinio incidento valdymo priemonės; 11.11. tikslus laikas, kada bus teikiama pakartotinė kibernetinio incidento tyrimo ataskaita |
VIPVIS saugos įgaliotinis |
Per 2 val. nuo didelės reikšmės kibernetinio incidento nustatymo; per 24 val. nuo vidutinės reikšmės kibernetinio incidento nustatymo
|
||
12. NKSC pranešama apie didelės ir vidutinės reikšmės kibernetinio incidento sustabdymą ir pašalinimą |
VIPVIS saugos įgaliotinis |
Per 2 val. nuo didelės ir vidutinės reikšmės kibernetinio incidento sustabdymo ir pašalinimo |
||
* Apie kibernetinius incidentus NKSC turi būti informuojamas naudojantis Kibernetinio saugumo informaciniu tinklu, o nesant galimybės – NKSC interneto svetainėje nurodytais kontaktais. ** Kibernetinių incidentų kategorijos nurodytos Nacionaliniame kibernetinių incidentų valdymo plane, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“. |