LIETUVOS RESPUBLIKOS FINANSŲ MINISTRAS
ĮSAKYMAS
DĖL INFORMACINĖS SISTEMOS „E. SĄSKAITA“ SAUGOS POLITIKOS ĮGYVENDINIMO DOKUMENTŲ PATVIRTINIMO
2018 m. spalio 24 d. Nr. 1K-356
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7 ir 8 punktais ir atsižvelgdamas į Saugos dokumentų turinio gairių aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, ir Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, 5 punktą,
PATVIRTINTA
Lietuvos Respublikos finansų ministro
2018 m. spalio 24 d. įsakymu Nr. 1K-356
INFORMACINĖS SISTEMOS „E. SĄSKAITA“ Saugaus elektroninės informacijos tvarkymo taisyklės
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Informacinės sistemos „E. sąskaita“ saugaus elektroninės informacijos tvarkymo taisyklių (toliau – Taisyklės) tikslas – nustatyti minimalius informacinės sistemos „E. sąskaita“ (toliau – informacinė sistema) elektroninės informacijos (toliau – elektroninė informacija) tvarkymo, techninius ir kitus elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus.
2. Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinės sistemos, registrų ir kitų informacinės sistemos klasifikavimo gairių apraše (toliau – Klasifikavimo gairių aprašas), patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinės sistemos, registrų ir kitų informacinės sistemos klasifikavimo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimų patvirtinimo“, Informacinės sistemos „E. sąskaita“ duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos finansų ministro 2012 m. rugsėjo 6 d. įsakymu Nr. 1K-297 „Dėl informacinės sistemos „E. sąskaita“ nuostatų patvirtinimo“, ir kituose teisės aktuose bei Lietuvos ir tarptautiniuose „Informacijos technologija. Saugumo metodai“ grupės standartuose.
3. Informacinėje sistemoje tvarkoma elektroninė informacija ir jos grupių sąrašas pateikiami Informacinės sistemos „E. sąskaita“ nuostatų, patvirtintų Lietuvos Respublikos finansų ministro 2012 m. rugsėjo 6 d. įsakymu Nr. 1K-297 „Dėl informacinės sistemos „E. sąskaita“ nuostatų patvirtinimo“ (Lietuvos Respublikos finansų ministro 2014 m. spalio 31 d. įsakymo Nr. 1K-343 redakcija), 22–25 punktuose.
4. Už informacinėje sistemoje esančios elektroninės informacijos, priskirtos svarbios elektroninės informacijos kategorijai, tvarkymą atsakingi išoriniai informacinės sistemos naudotojai (toliau – išorinis naudotojas) ir vidiniai informacinės sistemos naudotojai (toliau – vidinis naudotojas).
II SKYRIUS
TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS
6. Kompiuterinės įrangos saugos priemonės:
6.1. turi būti įdiegtos ir veikti automatizuotos įsibrovimo aptikimo sistemos, kurios informacinėje sistemoje stebėtų įeinantį ir išeinantį duomenų srautą ir vidinį srautą tarp svarbiausių tinklo paslaugų;
6.2. įvykusi įtartina veikla turi būti užfiksuojama audito įrašuose ir automatiškai kuriamas pranešimas informacinės sistemos administratoriui (toliau – administratorius). Sukurtas pranešimas turi būti klasifikuojamas pagal užfiksuotą įvykį;
6.3. įsilaužimo atakų pėdsakai turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie juos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus valandos, jeigu informacinės sistemos valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio informacinės sistemos veiklai vertinimas (testavimas);
6.4. pagrindinėse informacinės sistemos tarnybinėse stotyse turi būti naudojamos vykdomo kodo kontrolės priemonės, automatiškai apribojančios ar informuojančios apie neautorizuoto programinio kodo vykdymą, ir įjungtos užkardos, sukonfigūruotos praleisti tik su informacinės sistemos funkcinėmis galimybėmis ir administravimu susijusį duomenų srautą. Užkardų konfigūracijų dokumentacija turi būti saugoma kartu su informacinės sistemos dokumentacija;
6.5. įsilaužimo aptikimo techninių sprendinių užkardos įvykių žurnalai turi būti reguliariai analizuojami, o saugaus elektroninės informacijos tvarkymo saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos. Įsilaužimo aptikimo techninių sprendinių įgyvendinimo tvarkos aprašas, konfigūracijos dokumentacija ir kibernetinių incidentų aptikimo taisyklės (kartu nurodant datas (įgyvendinimo, atnaujinimo ir pan.), atsakingus asmenis, taikymo periodus ir pan.) turi būti saugomos elektronine forma atskirai nuo informacinės sistemos techninės įrangos;
6.6. pagrindinė informacinės sistemos kompiuterinė įranga turi būti dubliuota, turėti įtampos filtrą ir rezervinį maitinimo šaltinį, užtikrinantį kompiuterinės įrangos veikimą ne trumpiau kaip 30 minučių ir apsaugantį nuo elektros srovės svyravimų;
6.8. informacinės sistemos komponentų stebėjimo priemonės turi perspėti administratorių, kai pagrindinėje informacinės sistemos kompiuterinėje įrangoje iki nustatytos pavojingos ribos sumažėja laisvos kompiuterio atminties ar vietos diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja, sutrinka kitų informacinės sistemos komponentų įprastas veikimas;
7. Sisteminės ir taikomosios programinės įrangos saugos priemonės:
7.1. turi būti reguliariai atliekami iš vidinio kompiuterių tinklo ir viešųjų tinklų pasiekiamų tarnybinių stočių ir atsitiktinai atrinktų vidinių naudotojų kompiuterinės įrangos operacinių sistemų, kitos naudojamos programinės įrangos pažeidžiamumų skenavimai;
7.2. turi būti reguliariai atliekama nesankcionuotų įrenginių paieška informacinės sistemos kompiuterių tinkle;
7.3. vidinių naudotojų darbo vietose gali būti naudojamos tik tarnybos (darbo) reikmėms skirtos išorinės duomenų laikmenos (pvz., USB atmintinės, kompaktiniai diskai ir kt.) ir jos negali būti naudojamos veiklai, nesusijusiai su teisėtu informacinės sistemos tvarkymu;
8. Elektroninės informacijos perdavimo tinklo saugumo užtikrinimo priemonės:
8.1. kompiuterių tinklas turi būti suskirstytas į skirtingo saugumo lygio segmentus pagal informacinės sistemos komponentų atliekamas funkcijas. Informacinės sistemos duomenų bazės ir informacinės sistemos taikomoji programinė įranga negali būti tame pačiame tinklo segmente. Viešai prieinamos informacinės sistemos funkciškai savarankiškos dalys turi būti atskirame tinklo segmente – demilitarizuotoje zonoje;
8.2. elektroninės informacijos perdavimo tinklo mazgai turi turėti rezervinį maitinimo šaltinį, užtikrinantį jų veikimą ne trumpiau kaip 30 minučių;
8.3. elektroninės informacijos perdavimo tinklo mazgai ir ryšio linijos turi būti dubliuoti ir jų techninė būklė nuolat stebima;
8.4. elektroninės informacijos perdavimo tinklo kabeliai turi būti apsaugoti nuo nesankcionuotos prieigos ir (ar) pažeidimo;
8.5. kitoms valstybės institucijoms, valstybės registrams ir valstybės informacinėms sistemoms, kitoms informacinėms sistemoms elektroninė informacija turi būti perduodama tik saugiais elektroninių ryšių tinklais. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą, nurodyti Informacinės sistemos „E. sąskaita“ duomenų saugos nuostatuose.
9. Informacinėje sistemoje naudojamų svetainių, pasiekiamų iš viešųjų elektroninių ryšių tinklų, saugumo ir kontrolės priemonės:
9.1. turi būti įgyvendinti atpažinties, tapatumo patvirtinimo ir naudojimosi informacinėmis sistemomis saugumo ir kontrolės reikalavimai, nustatyti Informacinės sistemos „E. sąskaita“ naudotojų administravimo taisyklėse;
9.3. svetainės, patvirtinančios nuotolinio prisijungimo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius;
9.4. turi būti įgyvendinti svetainės kriptografijos reikalavimai:
9.4.2. šifruojant naudojami skaitmeniniai sertifikatai privalo būti išduoti patikimų sertifikavimo tarnybų. Sertifikato raktas turi būti ne trumpesnis kaip 2048 bitų;
9.4.4. svetainės kriptografinės funkcijos turi būti įdiegtos tarnybinės stoties, kurioje yra svetainė, dalyje arba kriptografiniame saugumo modulyje;
9.5. tarnybinės stoties, kurioje yra svetainė, svetainės saugos parametrai turi būti teigiamai įvertinti naudojant Nacionalinio kibernetinio saugumo centro rekomenduojamą testavimo priemonę;
9.6. draudžiama tarnybinėje stotyje saugoti sesijos duomenis (identifikatorių), pasibaigus susijungimo sesijai;
9.7. turi būti naudojama svetainės užkarda. Įsilaužimo atakų pėdsakai turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus valandos, jeigu informacinės sistemos valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio Ryšių ir informacinės sistemos veiklai vertinimas (testavimas);
9.8. turi būti naudojamos apsaugos priemonės nuo pagrindinių per tinklą vykdomų atakų: SQL intarpų įterpimas, įterptinių instrukcijų (XSS) atakų, internetinės paslaugos sutrikdymo (DoS) atakų, srautinių internetinės paslaugos sutrikdymo (DDoS) atakų ir kitų. Pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto interneto svetainėje www.owasp.org;
9.10. tarnybinė stotis, kurioje yra svetainė, neturi rodyti svetainės naudotojui klaidų pranešimų apie svetainės programinį kodą ar tarnybinę stotį;
9.11. svetainės saugumo priemonės turi būti tokios, kad automatiškai būtų uždraudžiama prieiga prie tarnybinės stoties iš IP adresų, iš kurių buvo vykdoma grėsminga veikla (nesankcionuoti mėginimai prisijungti, įterpti SQL intarpus ir pan.);
9.12. turi būti vykdomas informacinės sistemos naudotojų (toliau – naudotojas) ir administratorių atliekamų veiksmų auditas ir laikomasi kontrolės reikalavimų;
9.13. tarnybinė stotis, kurioje yra svetainė, turi leisti tik svetainės funkcinėms galimybėms užtikrinti reikalingus HTTP metodus;
10. Patalpų ir aplinkos saugumo užtikrinimo priemonės:
10.1. turi būti įrengta patalpų apsaugos signalizacija, kurios signalai persiunčiami patalpas saugančiai saugos tarnybai;
10.2. patalpos turi būti suskaidytos į sektorius. Teisė atrakinti ir (ar) užrakinti tam tikrą sektorių turi būti suteikiama tik darbuotojams, kuriems atliekant tarnybines funkcijas reikia lankytis tame sektoriuje;
10.4. patalpos ir jų sektoriai turi būti saugiai užrakinami, langai bei durys tinkamai apsaugoti nuo nesankcionuotos fizinės prieigos naudojant užraktus, apsaugos signalizaciją, vaizdo stebėjimo kameras;
10.6. visi lankytojai turi būti lydimi informacinės sistemos tvarkytojo darbuotojų, išskyrus atvejus, kai tokių lankytojų prieiga yra iš anksto patvirtinta. Lankytojams turi būti išduodama svečio kortelė;
10.7. naudotojų darbo vietų aplinka turi atitikti Lietuvos higienos normą HN 32:2004 „Darbas su videoterminalais. Saugos ir sveikatos reikalavimai“, patvirtintą Lietuvos Respublikos sveikatos apsaugos ministro 2004 m. vasario 12 d. įsakymu Nr. V-65 „Dėl Lietuvos higienos normos HN 32:2004 „Darbo su videoterminalais. Saugos ir sveikatos reikalavimai“ patvirtinimo“, ir kitus Lietuvos Respublikos teisės aktuose nustatytus reikalavimus;
11. Papildomos tarnybinių stočių patalpų apsaugos nuo neteisėto asmenų patekimo į jas ir kitos saugos užtikrinimo priemonės:
11.3. patalpose turi būti dubliuota oro kondicionavimo ir drėgmės kontrolės įranga. Temperatūros ir oro drėgnumo normos turi būti užtikrinamos pagal techninės įrangos gamintojų nustatytus reikalavimus. Patalpų oro kondicionavimo ir drėgmės kontrolės įranga turi turėti automatinę įspėjimo funkcija. Apie neužtikrinamas patalpų oro temperatūros ir oro drėgnumo normas turi būti automatiškai informuojami administratoriai, atliekantys techninės įrangos priežiūrą;
11.4. patalpose turi būti užtikrinamas nepertraukiamas elektros energijos tiekimas, naudojant alternatyvų elektros energijos tiekimo šaltinį, kurio veikimas turi būti patikrinamas ne rečiau kaip kartą per mėnesį imituojant elektros energijos dingimą. Alternatyvaus elektros energijos tiekimo šaltinio tikrinimai turi būti registruojami žurnale;
11.5. fizinė prieiga suteikiama tik Registrų centro direktoriaus įsakymu paskirtiems atsakingiems darbuotojams. Kiti darbuotojai arba tretieji asmenys gali patekti į šias patalpas tik lydimi atsakingų darbuotojų. Kiekvienas patekimas į patalpą turi būti fiksuojamas;
11.6. patalpų raktai turi būti saugomi seife. Pagrindiniai tarnybinių stočių patalpų raktai ir atsarginiai raktai turi būti saugomi atskiruose pastatuose;
11.7. patalpų sienos turi būti sumūrytos iš plytų ar blokelių, lubos turi būti iš gelžbetonio. Patalpose neturi būti langų arba naudojami didelio atsparumo langai specialiais rėmais ir grotomis;
11.8. patalpų durys privalo būti šarvuotos, apsaugotos bent dviem skirtingos konstrukcijos spynomis ir visada rakinamos;
11.9. patalpose turi būti automatinė gaisro gesinimo sistema, įrengti dūmų ir karščio davikliai, prijungti prie patalpų apsaugos signalizacijos ir saugos tarnybos stebėjimo pulto;
12. Kitos priemonės, naudojamos elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti:
12.1. informacinėje sistemoje turi būti įrašomi duomenys apie informacinės sistemos tarnybinių stočių, informacinės sistemos taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis informacinės sistemos tarnybinėse stotyse, informacinės sistemos taikomojoje programinėje įrangoje, apie visus naudotojų vykdomus veiksmus, kitus elektroninės informacijos saugai svarbius įvykius, nurodant naudotojo ar administratoriaus identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką. Šie duomenys turi būti saugomi ne trumpiau kaip vienus metus kitoje, nei jie įrašomi, sistemoje ir analizuojami ne rečiau kaip kartą per savaitę;
12.2. informacinės sistemos komponentų įvykių žurnalai turi būti apsaugoti nuo pažeidimo, praradimo, nesankcionuoto ar netyčinio pakeitimo ar sunaikinimo;
III SKYRIUS
SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
14. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo užtikrinimo tvarka:
14.1. elektroninė informacija į informacinę sistemą gali būti įvedama, joje keičiama, atnaujinama ir naikinama tik Taisyklių, Informacinės sistemos „E. sąskaita“ nuostatų, Informacinės sistemos „E. sąskaita“ duomenų saugos nuostatų ir kitų teisės aktų, reglamentuojančių informacinės sistemos veiklą ir elektroninės informacijos tvarkymą, nustatyta tvarka;
14.2. elektroninė informacija gali būti tvarkoma pagal naudotojams ir administratoriams suteiktas prieigos teises ir tik turint teisėtą tikslą ir pagrindą;
14.3. informacinėje sistemoje esančiomis elektroninės informacijos naikinimo priemonėmis turi būti užtikrinta, kad nebūtų galima atkurti sunaikintos elektroninės informacijos;
14.4. turi būti užtikrinama asmens duomenų, esančių išorinėse duomenų laikmenose ir elektroniniame pašte, saugos kontrolė ir ištrynimas po jų panaudojimo perkeliant į duomenų bazes ir pan.
14.5. turi būti fiksuojami šie naudotojų, kuriems suteikta teisė tvarkyti duomenis, prisijungimų prie duomenų bazės įrašai: prisijungimo identifikatorius, data, laikas, trukmė, jungimosi rezultatas (sėkmingas, nesėkmingas), bylos, prie kurių buvo jungtasi, ir su duomenimis atlikti veiksmai (įvedimas, peržiūra, keitimas, naikinimas ar kiti duomenų tvarkymo veiksmai). Šie įrašai turi būti saugomi ne trumpiau kaip 1 metus;
14.6. naudotojui prisijungus prie informacinės sistemos, bet neatliekant jokių veiksmų 15 minučių, informacinės sistemos taikomoji programinė įranga turi užsirakinti, kad toliau naudotis informacine sistema galima būtų tik pakartotinai atlikus savo tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;
14.7. naudotojui baigus darbą ar pasitraukus iš darbo vietos, turi būti automatiškai užtikrinama, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo informacinės sistemos, įjungiama ekrano užsklanda su slaptažodžiu; dokumentai ar jų kopijos darbo vietoje turi būti padedami į pašaliniams asmenims neprieinamą vietą;
15. Atsarginių elektroninės informacijos kopijų darymas, saugojimas, elektroninės informacijos atkūrimo iš atsarginių kopijų išbandymas vykdomas vadovaujantis Atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkos aprašu, kurį tvirtina Registrų centro direktorius. Šiame apraše nurodomi atsakingi už duomenų kopijų darymą, apsaugą, saugojimo kontrolę ir duomenų atkūrimą iš atsarginių duomenų kopijų asmenys.
16. Elektroninė informacija perkeliama ir teikiama į susijusius registrus ar kitas informacines sistemas ir iš jų gaunama vadovaujantis Taisyklių 3 punkte nurodytuose teisės aktuose nustatyta tvarka ir sąlygomis.
17. Neteisėtos veiklos – elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo – nustatymo tvarka:
17.1. siekiant nustatyti, ar su informacinėje sistemoje esančia elektronine informacija nėra vykdoma neteisėta veikla, visi elektroniniuose įvykių žurnaluose saugomi įrašai turi būti analizuojami ne rečiau kaip kartą per savaitę;
17.2. naudotojai, pastebėję informacinės sistemos kibernetinio saugumo ir (ar) elektroninės informacijos saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos ar kibernetinio saugumo užtikrinimo priemones, įvykius ar veiką, atitinkančią kibernetinio ar elektroninės informacijos saugos incidento požymius, arba apie tai gavę informacijos iš kitų informacijos šaltinių, privalo nedelsdami apie tai pranešti Registrų centro informacinių technologijų pagalbos tarnybai;
18. Informacinės sistemos programinės ir techninės įrangos keitimo, informacinės sistemos pokyčių valdymo tvarka nustatyta Taisyklių priede „Pokyčių valdymo aprašas“.
19. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (toliau – mobilieji įrenginiai) naudojimo tvarka:
19.1. mobiliesiems įrenginiams, naudojamiems informacinės sistemos valdytojo ar informacinės sistemos tvarkytojo patalpose, esantiems vidiniame informacinės sistemos kompiuterių tinkle, taikomi tokie patys elektroninės informacijos saugos ir kibernetinio saugumo reikalavimai kaip ir stacionariesiems kompiuteriams;
19.2. iš mobiliųjų įrenginių draudžiama tiesiogiai nuotoliniu būdu prisijungti prie informacinės sistemos informacinių technologijų infrastruktūros. Prisijungimas galimas tik per tarpinį įrenginį, naudojantis virtualiuoju privačiuoju tinklu (VPN), atitinkančiu saugos politikos įgyvendinimo dokumentuose nustatytus organizacinius ir techninius elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus;
19.3. prie tarpinio įrenginio leidžiamų prisijungti mobiliųjų įrenginių sąrašą tvirtina informacinės sistemos tvarkytojo vadovas;
19.4. turi būti reguliariai tikrinami tarpiniai įrenginiai, apie neleidžiamus ar saugumo reikalavimų neatitinkančius tarpinius įrenginius turi būti pranešama informacinės sistemos saugos įgaliotiniui arba informacinės sistemos kibernetinio saugumo vadovui;
19.5. turi būti parengti mobiliųjų įrenginių operacinių sistemų atvaizdžiai su saugumo nuostatomis, kuriuose nustatyti veiklai būtini operacinių sistemų komponentai (administravimo paskyros, paslaugos, taikomosios programos, tinklo prievadai, atnaujinimai, sisteminės priemonės). Atvaizdžiai turi būti reguliariai peržiūrimi, atnaujinami ir iškart atnaujinami nustačius naujų pažeidžiamų vietų ar atakų;
19.6. pagal parengtus atvaizdžius į mobiliuosius įrenginius turi būti įdiegiama operacinė sistema su saugumo nuostatomis;
19.7. mobilieji įrenginiai, kuriais naršoma internete, privalo būti apsaugoti nuo judriųjų programų keliamų grėsmių;
19.8. mobiliuosiuose įrenginiuose turi būti naudojamos vykdomojo kodo kontrolės priemonės, automatiškai apribojančios neleidžiamo vykdomojo kodo naudojimą ar informuojančios administratorių apie neleidžiamo vykdomojo kodo naudojimą;
19.10. mobilieji įrenginiai turi būti apsaugoti slaptažodžiu, sudaromu ir tvarkomu Informacinės sistemos „E. sąskaita“ naudotojų administravimo taisyklėse nustatyta tvarka. Jeigu mobiliajame įrenginyje naudojama mobiliojo ryšio kortelė, ji turi būti apsaugota PIN kodu, kuris neturi būti sudaromas iš asmeninės informacijos (pvz., gimimo datos ir pan.) ar lengvai atspėjamo skaičių derinio;
19.11. elektroninė informacija ir kita nevieša informacija, laikoma mobiliuosiuose įrenginiuose, turi būti užšifruota. Mobiliuosiuose įrenginiuose, jeigu jie naudojami ne informacinės sistemos valdytojo ar informacinės sistemos tvarkytojo patalpose, draudžiama saugoti ypatingus asmens duomenis;
19.12. mobiliųjų įrenginių kenksmingos programinės įrangos aptikimo, elektroninės informacijos šifravimo ir kita programinė įranga turi būti įsigyjama tik iš patikimų ir oficialių tiekėjų teisės aktų nustatyta tvarka;
19.13. mobiliuosiuose įrenginiuose turi būti išjungta belaidė prieiga, jeigu jos nereikia darbo funkcijoms atlikti, išjungta lygiarangių naudojimo funkcinė galimybė, belaidė periferinė prieiga;
IV SKYRIUS
REIKALAVIMAI, KELIAMI INFORMACINEI SISTEMAI FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS
20. Informacinei sistemai funkcionuoti reikalingų paslaugų teikėjas, darbų atlikėjas ar prekių tiekėjas (toliau – tiekėjas) turi atitikti informacinės sistemos veiklą reglamentuojančių teisės aktų, standartų, Taisyklių reikalavimus tiekėjo kompetencijai, patirčiai, teikiamoms paslaugoms, atliekamiems darbams ar tiekiamoms prekėms ir rekomendacijas dėl jų, iš anksto nustatytus paslaugų teikimo, darbų atlikimo ar įrangos tiekimo pirkimo dokumentuose.
21. Perkant paslaugas, darbus ar prekes, susijusius su informacine sistema, jos projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, pirkimo dokumentuose turi būti nustatoma, kad tiekėjas užtikrina atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, nustatytiems reikalavimams. Perkamos paslaugos, darbai ar prekės, susiję su informacine sistema, turi atitikti teisės aktų ir standartų, kuriais vadovaujamasi užtikrinant elektroninės informacijos saugą ir kibernetinį saugumą, reikalavimus, kurie iš anksto nustatomi paslaugų teikimo, darbų atlikimo ar prekių tiekimo pirkimo dokumentuose.
22. Tiekėjas, vykdydamas sutartinius įsipareigojimus, turi įgyvendinti tinkamas organizacines ir technines priemones, skirtas informacinei sistemai ir joje tvarkomai elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.
23. Tiekėjui prieiga prie informacinės sistemos gali būti suteikiama tik pasirašius sutartį, kurioje turi būti nustatytos tiekėjo teisės, pareigos, prieigos prie informacinės sistemos lygiai ir sąlygos, elektroninės informacijos saugos, kibernetinio saugumo, konfidencialumo reikalavimai ir atsakomybė už jų nesilaikymą. Administratorius turi supažindinti tiekėją su suteiktos prieigos prie informacinės sistemos saugos ir kibernetinio saugumo reikalavimais ir sąlygomis. Administratorius yra atsakingas už prieigos prie informacinės sistemos tiekėjui suteikimą ar panaikinimą pasirašius sutartį, pasibaigus sutarties su tiekėju galiojimo terminui ar kitais sutartyje nurodytais prieigos prie informacinės sistemos panaikinimo atvejais.
24. Tiekėjui suteikiamas tik toks prieigos prie informacinės sistemos lygis, kuris yra būtinas sutartyje nustatytiems įsipareigojimams vykdyti. Tiekėjo paskirti specialistai, kurie vykdys sutartį, turi pasirašyti konfidencialumo pasižadėjimus.
25. Iškilus poreikiui, siekdamas įsitikinti, ar tinkamai vykdoma sutartis, laikomasi elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų, informacinės sistemos tvarkytojas turi teisę atlikti tiekėjo teikiamų paslaugų stebėseną ir auditą, suteikti galimybę atlikti auditą trečiosioms šalims.
26. Tiekėjas privalo nedelsdamas informuoti informacinės sistemos tvarkytoją apie sutarties vykdymo metu pastebėtus elektroninės informacijos saugos ar kibernetinius incidentus, pastebėtas neveikiančias arba netinkamai veikiančias saugos ar kibernetinio saugumo užtikrinimo priemones, elektroninės informacijos saugos ar kibernetinio saugumo reikalavimų nesilaikymą, nusikalstamos veikos požymius, saugumo spragas, pažeidžiamas vietas, kitus svarbius saugai įvykius.
27. Informacinės sistemos tvarkytojas su interneto paslaugų teikėju (-ais) turi būti sudaręs sutartis dėl apsaugos nuo informacinės sistemos elektroninių paslaugų trikdžių, reagavimo į kibernetinius incidentus įprastomis darbo valandomis ir po darbo valandų, nepertraukiamo interneto paslaugos teikimo ir interneto paslaugos sutrikimų registravimo 24 valandas per parą, 7 dienas per savaitę.
_________________________
Informacinės sistemos „E. sąskaita“ saugaus elektroninės informacijos tvarkymo taisyklių priedas
POKYČIŲ VALDYMO TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Pokyčių valdymo tvarkos aprašas (toliau – Aprašas) nustato standartizuotą funkcinių, techninių, programinių, organizacinių ir administracinių informacinės sistemos „E. sąskaita“ (toliau – informacinė sistema) pokyčių (toliau – pokyčiai) valdymą ir kontrolę, siekiant sumažinti neigiamo pokyčių poveikio informacinės sistemos darbui riziką, užtikrinant saugų ir kokybišką reikalingų pokyčių įvykdymą.
2. Apraše nustatyti standartizuoti pokyčių valdymo planavimo procesai, apimantys pokyčių identifikavimą, inicijavimą ir suskirstymą į kategorijas pagal pokyčio tipą, įtakos vertinimą, pokyčių prioritetų nustatymą, pokyčių atlikimą, dokumentavimą, pokyčių valdymo efektyvumo vertinimą.
3. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, Valstybės informacinės sistemos, registrų ir kitų informacinės sistemos klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinės sistemos, registrų ir kitų informacinės sistemos klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimų patvirtinimo“, Informacinės sistemos „E. sąskaita“ duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos finansų ministro 2012 m. rugsėjo 6 d. įsakymu Nr. 1K-297 „Dėl informacinės sistemos „E. sąskaita“ nuostatų patvirtinimo“, ir kituose teisės aktuose bei Lietuvos ir tarptautiniuose „Informacijos technologija. Saugumo metodai“ grupės standartuose.
II SKYRIUS
POKYČIŲ IDENTIFIKAVIMAS
4. Pokyčiai identifikuojami analizuojant vidinę ir išorinę informacinės sistemos valdytojo ir tvarkytojo veiklos aplinką ir poreikius, kuriuos formuoja socialiniai, teisiniai, ekonominiai, technologiniai aspektai ir tendencijos, esama padėtis (informacinės sistemos sąranka, pažeidžiamumas, atitiktis teisės aktų ir standartų reikalavimams ir pan.).
5. Vidinė ir išorinė informacinės sistemos valdytojo ir informacinės sistemos tvarkytojo veiklos aplinkos analizė atliekama informacinės sistemos rizikos vertinimo, informacinių technologijų saugos atitikties vertinimo, informacinių technologijų audito, informacinės sistemos būklės, veiklos efektyvumo ir pajėgumo, elektroninių paslaugų kokybės, atitikties teisės aktų ir standartų reikalavimams ir kitų vertinimų, atliekamų Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo, Informacinės sistemos „E. sąskaita“ duomenų saugos nuostatų, Informacinės sistemos „E. sąskaita“ nuostatų ir kitų informacinės sistemos valdytojo, informacinės sistemos tvarkytojo veiklą reglamentuojančių teisės aktų nustatyta tvarka, metu.
6. Planuojami pokyčiai turi atitikti Lietuvos Respublikos Vyriausybės ar Lietuvos Respublikos Seimo patvirtintus planavimo dokumentus, Lietuvos Respublikos Vyriausybės nustatytas taikomų informacinių ir ryšių technologijų tobulinimo ir plėtros kryptis ir rekomenduojamus taikyti techninius reikalavimus (standartus), informacinės sistemos valdytojo strateginius veiklos planus, informacinių technologijų strategiją ir kitus planavimo dokumentus.
III SKYRIUS
POKYČIŲ INICIJAVIMAS IR SKIRSTYMAS Į KATEGORIJAS
7. Pokyčius inicijuoti turi teisę informacinės sistemos valdytojas, informacinės sistemos tvarkytojas, duomenų valdymo įgaliotinis, informacinės sistemos saugos įgaliotinis ir informacinės sistemos administratoriai (toliau – administratoriai). Funkciniai, techniniai ir programiniai informacinės sistemos pokyčiai, išskyrus organizacinius ir administracinius pokyčius, turi būti aprašomi rašytine forma ir registruojami valstybės įmonės Registrų centro (toliau – Registrų centras) tvarkomoje specializuotoje sistemoje JIRA. Organizaciniai ir administraciniai pokyčiai aprašomi laisva forma ir saugomi už personalo ir dokumentų valdymą atsakinguose informacinės sistemos valdytojo ar informacinės sistemos tvarkytojo struktūriniuose padaliniuose.
8. Registruojami pokyčiai, atsižvelgiant į jų svarbą, aktualumą ir poreikį, skirstomi į šias kategorijas:
8.1. standartiniai pokyčiai, kurie nekelia rizikos kokybiškam elektroninių paslaugų teikimui arba visos informacinių technologijų infrastruktūros veikimui (pvz., naujos kompiuterinės darbo vietos parengimas vidiniam informacinės sistemos naudotojui ar informacinės sistemos komponentų pakeitimas, standartinės programinės įrangos įdiegimas, atnaujinimas ar išdiegimas, saugumo spragų pataisų įdiegimas vidinio informacinės sistemos naudotojo kompiuterinėje darbo vietoje ir pan.). Standartiniai pokyčiai atliekami Apraše ir kituose informacinės sistemos valdytojo ir informacinės sistemos tvarkytojo priimtuose teisės aktuose nustatyta tvarka;
8.2. skubūs pokyčiai, kurie skirti aukščiausio prioriteto sutrikimams arba problemoms šalinti ir reikalauja ypatingos įvertinimo, patvirtinimo ir atlikimo skubos, taip pat avariniai pokyčiai (pvz., veiklos atkūrimas likviduojant informacinės sistemos elektroninės informacijos (toliau – elektroninė informacija) saugos ar kibernetinio incidento, stichinės nelaimės, avarijos ar kitų ekstremalių situacijų padarinius). Įvykus avariniams pokyčiams gali būti praleisti pokyčių įtakos vertinimo ir dokumentavimo etapai, tačiau jie turi būti atlikti pašalinus aukščiausio prioriteto sutrikimus arba problemas;
IV SKYRIUS
POKYČIŲ ĮTAKOS VERTINIMAS
10. Informacinės sistemos funkcinių, programinių ir techninių pokyčių įtaką pagal kompetenciją vertina Registrų centro Informacinių technologijų centras. Sudėtingų pokyčių įtakai įvertinti iš informacinės sistemos valdytojo ir tvarkytojo kompetentingų valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis (toliau – darbuotojai), prireikus – iš nepriklausomų ekspertų gali būti sudaroma darbo grupė.
11. Pokyčių įtakos vertinimo metu turi būti įvertinama pokyčių nauda, pagrįstumas, įgyvendinamumas ir alternatyvūs sprendimai, pokyčiams atlikti reikalingos sąnaudos, taip pat informacinės sistemos darbo sutrikdymo ar sustabdymo rizika, elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo pažeidimo rizika.
V SKYRIUS
POKYČIŲ ATLIKIMAS
13. Funkcinius, techninius, programinius informacinės sistemos pokyčius vykdo administratoriai arba Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka atrinktas paslaugų teikėjas. Organizacinius ir administracinius pokyčius vykdo už personalo ir dokumentų valdymą atsakingi informacinės sistemos valdytojo ar informacinės sistemos tvarkytojo administracijos padaliniai.
14. Visi pokyčiai, galintys sutrikdyti ar sustabdyti informacinės sistemos darbą, turi būti suderinti su duomenų valdymo įgaliotiniu ir vykdomi tik gavus jo ir Registrų centro direktoriaus rašytinį pritarimą.
15. Pokyčiai, galintys sutrikdyti ar sustabdyti informacinės sistemos darbą, daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri yra atskirta nuo eksploatuojamos informacinės sistemos. Eksploatuojamos informacinės sistemos aplinkoje pokyčiai gali būti vykdomi tik išimtiniais atvejais, kai dėl techninių, programinių ar kitų priežasčių (pvz., veiklos atkūrimo ar kitos avarinės situacijos) nėra galimybės jų patikrinti bandomojoje informacinės sistemos aplinkoje.
16. Nustačius, kad informacinės sistemos pokyčių bandomojoje aplinkoje rezultatas atitinka laukiamus rezultatus, pokyčiai gali būti atliekami eksploatuojamos informacinės sistemos aplinkoje.
17. Registrų centro nustatytu darbo laiku gali būti vykdomi tik skubūs ir standartiniai pokyčiai. Plėtros (vystymo) pokyčiai turi būti atliekami po darbo valandų arba savaitgaliais.
18. Administratoriai turi informuoti informacinės sistemos naudotojus, susijusių registrų ir kitų informacinių sistemų tvarkytojus, kitus suinteresuotus asmenis apie pokyčius, kuriuos įgyvendinant galimi informacinės sistemos darbo sutrikimai. Apie pokyčius informuojama informacinės sistemos tvarkytojo interneto svetainėje, informacinės sistemos taikomosiose programose ar kitomis priemonėmis (pvz., raštu, elektroniniu paštu ir pan.) ne vėliau kaip likus vienai darbo dienai iki planuojamo pokyčio įgyvendinimo pradžios. Šis punktas netaikomas, jeigu įgyvendinami skubūs pokyčiai.
VI SKYRIUS
POKYČIŲ DOKUMENTAVIMAS
19. Informacinės sistemos sąrankos aprašai turi rodyti esamą informacinės sistemos sąrankos būklę. Informacinės sistemos sąranka ir būsenos rodikliai turi būti tikrinami (peržiūrimi) reguliariai, ne rečiau kaip kartą per ketvirtį. Visi įgyvendinti pokyčiai, išskyrus avarinius, turi būti registruojami tam skirtame žurnale arba specializuotoje sistemoje.
20. Įgyvendinus pokytį eksploatuojamos informacinės sistemos aplinkoje, administratoriai turi patikrinti (peržiūrėti) informacinės sistemos sąranką ir būsenos rodiklius, palyginti ir pagal kompetenciją įvertinti, ar pokytis atitinka planuojamus rezultatus. Sudėtingų ir specifinių pokyčių rezultatams įvertinti gali būti pasitelkti ir kiti informacinės sistemos valdytojo ir informacinės sistemos tvarkytojo darbuotojai ar trečiosios šalies kompetentingi specialistai.
21. Koordinuojančiam administratoriui patvirtinus, kad pokytis atitinka planuotus rezultatus, administratoriai turi atnaujinti informacinės sistemos sąrankos aprašus ir prireikus inicijuoti kitų su pokyčiu susijusių dokumentų atnaujinimą ir pateikimą suinteresuotiems asmenims.
22. Pokyčiai, susiję su informacinės sistemos kūrimu ar modernizavimu, turi būti dokumentuojami informacinės sistemos techniniuose aprašuose (specifikacijose), tvirtinami ir derinami Valstybės informacinės sistemos steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinės sistemos steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, nustatyta tvarka.
VII SKYRIUS
POKYČIŲ VALDYMO EFEKTYVUMO VERTINIMAS
23. Siekiant efektyvaus pokyčių valdymo, turi būti analizuojami ir vertinami šie rodikliai:
23.1. informacinės sistemos veiklos sutrikimų ar elektroninės informacijos klaidų, kilusių dėl netikslios specifikacijos ar nepakankamo pokyčių įtakos vertinimo, skaičius;
23.2. informacinės sistemos taikomųjų programų ar informacinių technologijų infrastruktūros taisymų dėl netinkamos pokyčių specifikacijos skaičius;
VIII SKYRIUS
POKYČIŲ VALDYMO PROCESAS
25. Pokyčių valdymo veikla detalizuojama Pokyčių valdymo proceso apraše, kurį tvirtina informacinės sistemos tvarkytojas.
26. Pokyčių valdymo proceso aprašas rengiamas atsižvelgiant į Aprašo, Informacinių technologijų paslaugų valdymo metodikos, patvirtintos Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2013 m. birželio 19 d. įsakymu Nr. T-83 „Dėl Informacinių technologijų paslaugų valdymo metodikos patvirtinimo“, informacinių technologijų paslaugų valdymo standarto LST ISO/IEC 20000-1:2015 reikalavimus.
___________________________
PATVIRTINTA
Lietuvos Respublikos finansų ministro
2018 m. spalio 24 d. Nr. 1K-356
INFORMACINĖS SISTEMOS „E. SĄSKAITA“ Veiklos tęstinumo valdymo planas
I SKYRIUS
Bendrosios nuostatos
1. Informacinės sistemos „E. sąskaita“ veiklos tęstinumo valdymo planas (toliau – Planas) reglamentuoja informacinės sistemos „E. sąskaita“ (toliau – informacinė sistema) veiklos tęstinumo užtikrinimą.
2. Plane vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, Valstybės informacinės sistemos, registrų ir kitų informacinės sistemos klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinės sistemos, registrų ir kitų informacinės sistemos klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimų patvirtinimo“, Informacinės sistemos „E. sąskaita“ duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos finansų ministro 2012 m. rugsėjo 6 d. įsakymu Nr. 1K-297 „Dėl informacinės sistemos „E. sąskaita“ nuostatų patvirtinimo“, ir kituose teisės aktuose bei Lietuvos ir tarptautiniuose „Informacijos technologija. Saugumo metodai“ grupės standartuose.
3. Planas įsigalioja įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, dėl kurio informacinės sistemos tvarkytojas negali teikti viešųjų ir administracinių paslaugų visiems informacinės sistemos naudotojams (toliau – naudotojas) arba daliai jų ir būtina atkurti įprastą informacinės sistemos veiklą informacinės sistemos tvarkytojo patalpose arba atsarginėse patalpose. Kibernetinių ir elektroninės informacijos saugos incidentų tyrimas atliekamas vadovaujantis valstybės įmonės Registrų centro (toliau – Registrų centras) direktoriaus įsakymu tvirtinamu Kibernetinių ir elektroninės informacijos saugos incidentų valdymo tvarkos aprašu.
4. Plano nuostatos taip pat taikomos informacinės sistemos veiklai atkurti po stichinės nelaimės, avarijos ar kitų ekstremalių situacijų.
5. Informacinės sistemos saugos įgaliotinio (toliau – saugos įgaliotinis), informacinės sistemos kibernetinio saugumo vadovo (toliau – kibernetinio saugumo vadovas), informacinės sistemos administratoriaus (toliau – administratorius), naudotojų ir kitų asmenų veiksmai nustatyti šio Plano priede.
6. Įvykus kibernetiniam ar elektroninės informacijos saugos incidentui atsakingi asmenys atlieka šiuos veiksmus:
6.1. informacinės sistemos tvarkytojas:
6.1.1. organizuoja informacinės sistemos veiklos tęstinumo valdymo grupės (toliau – veiklos tęstinumo valdymo grupė) ir informacinės sistemos veiklos atkūrimo grupės (toliau – veiklos atkūrimo grupė) darbą. Šių grupių funkcijos nurodytos Plano 13 ir 15 punktuose;
6.1.3. analizuoja kibernetinių ir elektroninės informacijos saugos incidentų priežastis ir aplinkybes;
6.2. saugos įgaliotinis, kibernetinio saugumo vadovas:
6.2.1. pagal savo įgaliojimus bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, kibernetinius ir elektroninės informacijos saugos incidentus, neteisėtas veikas, susijusias su kibernetiniais ir elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka Registrų centre sudarytos elektroninės informacijos saugos ir kibernetinio saugumo darbo grupės;
6.2.2. pagal savo įgaliojimus duoda privalomus vykdyti nurodymus ir pavedimus informacinės sistemos valdytojo ir informacinės sistemos tvarkytojo darbuotojams, jeigu tai būtina elektroninės informacijos saugos ir kibernetinio saugumo politikai įgyvendinti;
6.3. administratorius:
7. Plano privalo laikytis informacinės sistemos valdytojas, tvarkytojas, saugos įgaliotinis, kibernetinio saugumo vadovas, duomenų valdymo įgaliotinis, administratoriai, naudotojai, informacinės sistemos techninės ir programinės įrangos priežiūros paslaugas teikiantys paslaugų teikėjai, jei tokios funkcijos paslaugų teikėjams perduotos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme nustatytomis sąlygomis ir tvarka.
8. Planas pagrįstas šiais pagrindiniais principais:
8.1. vidinių informacinės sistemos naudotojų (toliau – vidinis naudotojas) gyvybės ir sveikatos apsauga (būtina užtikrinti visų naudotojų gyvybės ir sveikatos apsaugą ir saugumą, kol trunka kibernetinis ar elektroninės informacijos saugos incidentas ir likviduojami jo padariniai);
8.2. informacinės sistemos veiklos atkūrimas per 12 val., vadovaujantis informacinės sistemos funkcijų prioritetu, nustatytu šio Plano priede;
8.3. vidinių naudotojų mokymas. Vidiniai naudotojai supažindinami su Planu ir teisės aktais, nustatančiais kiekvieno naudotojo atsakomybę;
9. Įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, informacinės sistemos veiklai atkurti naudojami rezerviniai Registrų centro, o prireikus – ir Lietuvos Respublikos finansų ministerijos finansiniai ir kitokie ištekliai.
10. Informacinės sistemos veiklos kriterijai, pagal kuriuos nustatoma, ar informacinės sistemos veikla atkurta:
10.1. informacinė sistema priima elektroninę informaciją iš susijusių registrų, kitų informacinių sistemų, elektroninės informacijos teikėjų;
10.2. informacinės sistemos elektroninė informacija (toliau – elektroninė informacija) nuolat atnaujinama ir išsaugoma;
10.4. elektroninė informacija nuolat teikiama naudotojams, susijusiems registrams ir kitoms informacinėms sistemoms;
II SKYRIUS
Organizacinės nuostatos
11. Informacinės sistemos veiklos tęstinumui užtikrinti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui sudaroma veiklos tęstinumo valdymo grupė ir veiklos atkūrimo grupė.
12. Veiklos tęstinumo valdymo grupės sudėtis:
12.1. veiklos tęstinumo valdymo grupės vadovas – Registrų centro direktoriaus pirmasis pavaduotojas;
12.2. veiklos tęstinumo valdymo grupės vadovo pavaduotojai: Registrų centro Informacinių technologijų centro vadovas ir saugos įgaliotinis;
12.3. veiklos tęstinumo valdymo grupės nariai:
13. Veiklos tęstinumo valdymo grupės funkcijos:
13.1. situacijos analizė ir sprendimų informacinės sistemos veiklos tęstinumo valdymo klausimais priėmimas;
13.4. bendravimas su teisėsaugos ir kitomis institucijomis, šių institucijų darbuotojais ir kitomis interesų grupėmis;
13.5. finansinių ir kitų išteklių, reikalingų informacinės sistemos veiklai atkurti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, naudojimo kontrolė;
13.6. elektroninės informacijos fizinės saugos organizavimas, įvykus elektroninės informacijos saugos incidentui ar nenumatytai situacijai;
14. Veiklos atkūrimo grupės sudėtis:
14.1. veiklos atkūrimo grupės vadovas – Registrų centro Informacinių technologijų centro Infrastruktūros valdymo departamento viršininkas;
14.2. veiklos atkūrimo grupės vadovo pavaduotojai: Registrų centro Informacinių technologijų centro Informacinės sistemos konstravimo departamento viršininkas ir Registrų centro Informacinių technologijų centro Informacinės sistemos administravimo skyriaus vedėjas;
14.2.1. veiklos atkūrimo grupės nariai: Registrų centro Informacinių technologijų centro Duomenų banko eksploatavimo skyriaus vedėjas, Kompiuterių tinklų eksploatavimo skyriaus vedėjas, Informacinės sistemos administravimo skyriaus sistemos administratorius, Registrų centro Techninio aptarnavimo skyriaus vedėjas, Registrų centro Visuomenės informavimo skyriaus vedėjas, Registrų centro Tiekimo ir ūkio skyriaus vedėjas ir informacinės sistemos priežiūros paslaugų teikėjų atstovai (ne mažiau kaip trys specialistai), jei informacinės sistemos techninės ir programinės įrangos priežiūros funkcijos perduotos paslaugų teikėjams Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme nustatytomis sąlygomis ir tvarka.
15. Veiklos atkūrimo grupės funkcijos:
16. Personalinę veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės sudėtį tvirtina Registrų centro direktorius.
17. Veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės veiklą organizuoja ir koordinuoja šių grupių vadovai.
19. Atsarginėms patalpoms, naudojamoms informacinės sistemos veiklai atkurti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, keliami šie reikalavimai:
19.2. atsarginės patalpos turi atitikti informacinės sistemos techninės įrangos gamintojų nustatytus reikalavimus įrangos darbo aplinkai (pvz., tinkama oro temperatūra, oro drėgmė ir kt.);
19.3. atsarginėse patalpose turi būti įrengtos langų, durų, informacinės sistemos techninės įrangos, kabelių fizinės apsaugos priemonės;
19.4. atsarginėse patalpose turi būti įrengta patalpų apsaugos signalizacija, kurios signalai persiunčiami patalpas saugančiai saugos tarnybai;
19.7. atsarginėse patalpose turi būti įrengti nenutrūkstamą elektros tiekimą užtikrinantys maitinimo šaltiniai;
19.8. atsarginėse patalpose turi būti užtikrintas tinklais perduodamos elektroninės informacijos vientisumas ir konfidencialumas;
20. Atsarginės patalpos, pritaikytos informacinės sistemos veiklai atkurti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, yra Registrų centro Vilniaus filialo patalpos, esančios Lvovo g. 25. Į atsargines patalpas vykstama informacinės sistemos valdytojo, tvarkytojo arba logistikos paslaugų teikėjo transportu.
21. Veiklos tęstinumo valdymo grupė ir veiklos atkūrimo grupė įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, nenumatytoms situacijoms arba įvykus esminiams organizaciniams informacinės sistemos ar jos komponentų pokyčiams organizuoja bendrą susirinkimą.
22. Veiklos tęstinumo valdymo grupė, atlikusi situacijos analizę, informuoja veiklos atkūrimo grupę apie priimtus sprendimus informacinės sistemos veiklos tęstinumo valdymo klausimais. Veiklos atkūrimo grupė, atsižvelgdama į veiklos tęstinumo valdymo grupės priimtus sprendimus, organizuoja informacinės sistemos veiklos atkūrimą.
III SKYRIUS
Aprašomosios nuostatos
24. Informacinės sistemos veiklos tęstinumui užtikrinti turi būti parengti ir saugomi šie dokumentai:
24.1. informacinės sistemos dokumentacija, kurioje nurodyta informacinės sistemos informacinių technologijų įranga ir jos parametrai;
24.2. kiekvieno pastato, kuriame yra informacinės sistemos įranga, aukštų patalpų brėžiniai, kuriuose pažymėta:
24.4. elektroninės informacijos atsarginių kopijų darymo ir išbandymo tvarkos aprašas, kuriame nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos;
24.5. veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės narių sąrašas su kontaktiniais duomenimis, kuriais šiuos asmenis galima pasiekti bet kuriuo paros metu;
24.6. minimalių funkcinių galimybių informacinių technologijų įrangos, tinkamos informacinės sistemos valdytojo ir tvarkytojo poreikius atitinkančiai informacinės sistemos veiklai užtikrinti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui ar nenumatytai situacijai, specifikacija; už šios įrangos priežiūrą atsakingų administratorių sąrašas ir dokumentas, kuriame nurodomi minimalūs reikiamos kompetencijos ar žinių lygio reikalavimai informacinės sistemos veiklai atkurti nesant administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą;
25. Už Plano 24.1–24.6 papunkčiuose nurodytų dokumentų parengimą, saugojimą, nuolatinį atnaujinimą ir kompiuterinės, techninės ir programinės įrangos sutarčių vykdymo priežiūrą atsakingas Registrų centro Infrastruktūros valdymo departamento viršininko paskirtas administratorius. Minėti dokumentai saugomi išspausdinti Registrų centro Infrastruktūros valdymo departamente ir atsarginėse patalpose. Jeigu naudojama informacinės sistemos įranga (pagal nuomos, panaudos ar kitas sutartis) priklauso ir yra trečiosios šalies patalpose, sutarties su trečiąja šalimi kopija turi būti saugoma kartu su minėtais dokumentais.
26. Už Plano 24.7 papunktyje nurodyto dokumento parengimą, saugojimą, nuolatinį atnaujinimą ir elektroninės informacijos teikimo sutarčių vykdymo priežiūrą pagal kompetenciją atsakingas Registrų centro Rinkodaros ir sutarčių skyriaus vedėjas. Elektroninės informacijos teikimo sutarčių sąrašas saugomas išspausdintas Registrų centro Rinkodaros ir sutarčių skyriuje ir atsarginėse patalpose.
IV SKYRIUS
Plano veiksmingumo išbandymo nuostatos
27. Plano veiksmingumas išbandomas ne rečiau kaip kartą per metus kibernetinio ar elektroninės informacijos saugos incidento ar nenumatytos situacijos simuliacijos metu. Plano veiksmingumo išbandymą organizuoja saugos įgaliotinis.
28. Kibernetinio ar elektroninės informacijos saugos incidento simuliacijos metu gauti rezultatai turi būti naudojami Planui atnaujinti. Nustačius Plano veiksmingumo trūkumų, rengiama pastebėtų trūkumų šalinimo ataskaita. Už Plano veiksmingumo išbandymo metu pastebėtų trūkumų ataskaitos parengimą ir pateikimą informacinės sistemos valdytojui yra atsakingas saugos įgaliotinis.
29. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami remiantis efektyvumo, ekonomiškumo, rezultatyvumo ir operatyvumo principais.
30. Veiklos tęstinumo valdymo procesams tobulinti turi būti matuojami ir vertinami šie rodikliai:
Informacinės sistemos „E. sąskaita“
veiklos tęstinumo valdymo plano
priedas
INFORMACINĖS SISTEMOS „E. SĄSKAITA“ VEIKLOS ATKŪRIMO
DETALUSIS PLANAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Informacinės sistemos „E. sąskaita“ veiklos atkūrimo detalusis planas (toliau – Atkūrimo planas) reglamentuoja informacinės sistemos „E. sąskaita“ (toliau – informacinė sistema) atkūrimo veiksmų vykdymo eiliškumą ir atsakingus vykdytojus.
2. Įsigaliojus Atkūrimo planui informacinės sistemos veiklos tęstinumo valdymo grupė (toliau – veiklos tęstinumo valdymo grupė) informuoja informacinės sistemos naudotojus, susijusių registrų ir kitų informacinių sistemų tvarkytojus, kitus suinteresuotus asmenis apie informacinės sistemos veikimo sutrikimus. Informacija teikiama informacinės sistemos tvarkytojo interneto svetainėje, informacinės sistemos taikomosiose programose ar kitomis priemonėmis (pvz., raštu, elektroniniu paštu ir pan.).
3. Informacinės sistemos veiklos atkūrimo grupė (toliau – veiklos atkūrimo grupė) informacinės sistemos veiklą atkuria pagal šiuos informacinės sistemos funkcijų prioritetus:
3.1. tarnybinių stočių veikimo atkūrimas:
4. Informacinės sistemos veiklos atkūrimo veiksmai:
| Situacija |
Pirminiai veiksmai |
Veiklos atkūrimo veiksmai |
Atsakingi vykdytojai |
| 1. Manipulia-cija elektronine informacija (pvz., elektroninės informacijos, įskaitant informacinės sistemos programinę įrangą, pakeitimas kita elektronine informacija, elektroninės informacijos iškraipymas, ištrynimas ar kitoks neteisėtas jos naudojimas) |
1.1. Situacijos analizė |
1.1.1. nustatomas atakos šaltinis, kibernetinio ar elektroninės informacijos saugos incidento padariniai, identifikuojama pakeista, sunaikinta ar kitaip neteisėtai tvarkyta elektroninė informacija;
1.1.2. sustabdomas pažeistos elektroninės informacijos teikimas;
1.1.3. nustatomos elektroninės informacijos vientisumo pažeidimo, neteisėto tvarkymo priežastys;
1.1.4. informuojamos kompetentingos institucijos, kitos suinteresuotos šalys. |
Veiklos atkūrimo grupės vadovas |
| 1.2. Veiksmų plano sudarymas |
1.2.1. sudaromas veiksmų planas manipuliacijos elektronine informacija padariniams likviduoti, informacinės sistemos veiklai atkurti ir informacinei sistemai apsaugoti. |
Veiklos tęstinumo valdymo grupės vadovas, veiklos atkūrimo grupės vadovas |
|
| 1.3. Padarinių likvidavimas ir veiklos atkūrimas |
1.3.1. imamasi veiksmų neteisėtai veikai sustabdyti;
1.3.2. likviduojami kibernetinio ar elektroninės informacijos saugos incidento padariniai, atkuriamas informacinės sistemos veikimas, diegiamos informacinės sistemos apsaugos priemonės;
1.3.3. jeigu informacinės sistemos veiklos atkūrimo metu elektroninė informacija atkuriama iš atsarginių kopijų, tikrinama, ar atkurta elektroninė informacija yra teisinga;
1.3.4. jeigu nėra galimybės elektroninės informacijos tinkamai atkurti iš atsarginių kopijų, duomenų teikėjų prašoma pateikti elektroninę informaciją iš naujo;
1.3.5. atkuriamas elektroninės informacijos paslaugų teikimas;
1.3.6. prireikus informacinės sistemos veikla atkuriama atsarginėse patalpose. |
Veiklos atkūrimo grupės vadovas |
|
| 2. Ryšio sutrikimas |
2.1. Ryšio sutrikimo priežasties nustatymas |
2.1.1. aiškinamasi ryšio sutrikimo priežastis. Jeigu nustatoma, kad ryšys sutriko ne dėl įstaigos įrangos gedimo, kreipiamasi į ryšio paslaugų teikėją dėl ryšio sutrikimo pašalinimo.
|
Veiklos atkūrimo grupės vadovas |
| 1. 2.2. Ryšio tarnybų informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės |
2.2.1. priemonių sutrikimams pašalinti nustatymas. |
Veiklos atkūrimo grupės vadovas |
|
| 1. 2.3. Ryšio sutrikimo pašalinimas |
2.3.1. priemonių sutrikimams pašalinti įgyvendinimas. |
Veiklos atkūrimo grupės vadovas |
|
| 3. Kritinės techninės įrangos gedimas, praradimas (pvz., techninis serverio, duomenų saugyklos, tinklo paskirstymo komponento, tinklo sietuvo, tinklo sąsajos, oro kondicionavi-mo įrangos gedimas, šios įrangos vagystė arba sugadinimas)
|
3.1. Situacijos analizė |
3.1.1. identifikuojamas techninės įrangos gedimas, sugadinta ar prarasta techninė įranga; |
Veiklos atkūrimo grupės vadovas
|
| 3.1.2. nustatomi ir įvertinami įvykio padariniai, žala. |
Veiklos tęstinumo valdymo grupės vadovas |
||
| 3.2. Veiksmų plano sudarymas |
3.2.1. sudaromas veiksmų planas ir, atsižvelgiant į techninės įrangos gedimo, sugadinimo ar praradimo mastą, pasirenkamas optimalus veiklos atkūrimo scenarijus. Galimi veiklos atkūrimo scenarijai:
3.2.1.1. naudoti kitos turimos techninės įrangos išteklius;
3.2.1.2. kreiptis į techninės įrangos garantinių paslaugų teikėją;
3.2.1.3. užsakyti reikalingą techninę įrangą pagal įrangos tiekimo sutartis;
3.2.1.4. vykdyti viešąjį techninės įrangos pirkimą;
3.2.1.5. atkurti veiklą atsarginėse patalpose (naudoti atsarginėse patalpose esančią infrastruktūrą arba šiose patalpose įrengti reikiamą įrangą);
3.2.2. prireikus numatomas finansinių ir kitokių išteklių poreikis informacinės sistemos veiklai atkurti. |
Veiklos tęstinumo valdymo grupės vadovas |
|
| 3.3. Padarinių likvidavimas ir veiklos atkūrimas |
3.3.1. informacinės sistemos veikla atkuriama pagrindinėse patalpose arba atsarginėse patalpose pagal pasirinktą veiklos atkūrimo scenarijų. |
Veiklos atkūrimo grupės vadovas |
|
| 4. Stichinė nelaimė, avarija, patalpų praradimas, pažeidimas (pvz., žemės drebėjimas, potvynis, gaisras, sprogimas, teroristinis išpuolis, didelio pavojingų medžiagų kiekio išsiveržimas į aplinką) |
4.1. Standartinių veiksmų vykdymas
|
4.1.1. veiksmų, nustatytų darbuotojų saugos ir sveikatos įvadinėse instrukcijose, vykdymas. |
Informacinės sistemos valdytojo, informacinės sistemos tvarkytojo darbuotojai, kiti asmenys |
| 5. Patalpų užgrobimas |
5.1. Teisėsaugos institucijų informavimas |
5.1.1. apie neteisėtą įsibrovimą į patalpas informuojamos teisėsaugos institucijos;
5.1.2. galimybių evakuoti darbuotojus nagrinėjimas, jei yra teisėsaugos institucijos nurodymas. |
Veiklos tęstinumo valdymo grupės vadovas |
| 5.2. Darbuotojų evakavimas, jei yra teisėsaugos institucijų rekomendacija |
5.2.1. draudimas įeiti į patalpas bet kuriems asmenims, jei yra teisėsaugos institucijos nurodymai;
5.2.2. darbuotojų informavimas apie evakavimą. |
Veiklos tęstinumo valdymo grupės vadovas |
|
|
|
5.3. Patalpų užrakinimas, jei yra galimybė |
5.3.1. teisėsaugos institucijų nurodymų vykdymas. |
Veiklos tęstinumo valdymo grupės vadovas |
|
|
|
|
|
|
|
5.4. Teisėsaugos institucijų kitų nurodymų vykdymas, jei yra rekomendacija |
5.4.1. darbuotojų informavimas apie nurodymų vykdymą. |
Veiklos atkūrimo grupės vadovas |
| 5.5. Veiksmai, atlaisvinus užgrobtas patalpas
|
5.5.1. padarytos žalos įvertinimas;
5.5.2. padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, darbuotojų instruktavimas ir plano vykdymas. |
Veiklos tęstinumo valdymo grupės vadovas, veiklos atkūrimo grupės vadovas |
|
| 6. Komunali-nių paslaugų teikimo sutrikimai (nutrūksta elektros energijos, šildymo, vandens tiekimas)
|
6.1. Situacijos analizė |
6.1.1. pagal kompetenciją nustatomos galimos komunalinių paslaugų teikimo sutrikimo priežastys;
6.1.2. informuojami komunalinių paslaugų teikėjai. |
Registrų centro Tiekimo ir ūkio skyriaus vedėjas |
| 6.2. Veiksmų plano sudarymas |
6.2.1. sudaromas veiksmų planas paslaugų teikimo sutrikimams pašalinti. |
Veiklos tęstinumo valdymo grupės vadovas |
|
| 6.3. Padarinių likvidavimas ir veiklos atkūrimas |
6.3.1. organizuojamas komunalinių paslaugų teikimo sutrikimų pagal veiksmų planą šalinimas. |
Veiklos atkūrimo grupės vadovas |
|
| 7. Darbuotojų praradimas (pvz., nėra darbuotojų, galinčių vykdyti svarbius įstaigos veiklos procesus) |
7.1. Situacijos analizė |
7.1.1. nustatoma, kokie žmogiškieji ištekliai, būtini svarbiems procesams vykdyti, yra prarasti;
7.1.2. nustatoma, kokia darbuotojų kompetencija reikalinga svarbiems procesams vykdyti. |
Registrų centro Tiekimo ir ūkio skyriaus vedėjas |
| 7.2. Veiklos atkūrimas |
7.2.1. trūkstamas personalas pakeičiamas pakaitiniais darbuotojais. Prireikus apmokomi esami darbuotojai;
7.2.2. vykdomos naujų darbuotojų paieškos ir įdarbinimo procedūros. |
Registrų centro Tiekimo ir ūkio skyriaus vedėjas |
______________________________
PATVIRTINTA
Lietuvos Respublikos finansų ministro
2018 m. spalio 24 d. įsakymu Nr. 1K-356
INFORMACINĖS SISTEMOS „E. SĄSKAITA“ NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS
I SKYRIUS
Bendrosios nuostatos
1. Informacinės sistemos „E. sąskaita“ naudotojų administravimo taisyklės (toliau – Taisyklės) reglamentuoja informacinės sistemos „E. sąskaita“ (toliau – informacinė sistema) naudotojų (toliau – naudotojas) ir informacinės sistemos administratorių (toliau – administratorius) įgaliojimus, teises, pareigas, prieigos prie informacinės sistemos elektroninės informacijos (toliau – elektroninė informacija) principus, saugaus elektroninės informacijos teikimo naudotojams tvarką, organizacinius ir techninius kibernetinio saugumo reikalavimus prieigos valdymui ir kontrolei.
2. Taisyklėse vartojamos sąvokos:
2.1. Išorinis informacinės sistemos naudotojas (toliau – išorinis naudotojas) – su valstybės įmone Registrų centru (toliau – Registrų centras) arba Lietuvos Respublikos finansų ministerija tarnybos ar darbo santykiais nesusijęs asmuo, kuris informacinės sistemos veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudoja ir (ar) tvarko elektroninę informaciją.
2.2. Kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinės sistemos, registrų ir kitų informacinės sistemos klasifikavimo gairių apraše (toliau – Klasifikavimo gairių aprašas), patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinės sistemos, registrų ir kitų informacinės sistemos klasifikavimo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinės sistemos ir kitų informacinės sistemos elektroninės informacijos saugos reikalavimų patvirtinimo“, Informacinės sistemos „E. sąskaita“ duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos finansų ministro 2012 m. rugsėjo 6 d. įsakymu Nr. 1K-297 „Dėl informacinės sistemos „E. sąskaita“ nuostatų patvirtinimo“, ir kituose teisės aktuose bei Lietuvos ir tarptautiniuose „Informacijos technologija. Saugumo metodai“ grupės standartuose.
3. Taisyklės taikomos naudotojams, administratoriams, informacinės sistemos saugos įgaliotiniui (toliau – saugos įgaliotinis) ir informacinės sistemos kibernetinio saugumo vadovui (toliau – kibernetinio saugumo vadovas).
4. Prieigos prie elektroninės informacijos principai:
4.1. naudotojų ir administratorių prieiga prie elektroninės informacijos grindžiama būtinumo žinoti principu, kuris reiškia, kad naudotojams ir administratoriams suteikiama prieiga tik prie tos elektroninės informacijos, kuri reikalinga vykdant tiesioginę jų veiklą. Tvarkyti elektroninę informaciją gali tik tie naudotojai ir administratoriai, kuriems Taisyklių III skyriuje nustatyta tvarka suteiktos prieigos prie elektroninės informacijos teisės ir priemonės (pvz., identifikavimo priemonės, slaptažodžiai ar kitos autentifikavimo priemonės ir pan.);
4.2. naudotojų ir administratorių prieigos prie elektroninės informacijos lygis grindžiamas mažiausios privilegijos principu, kuris reiškia, kad turi būti suteikiamos tik minimalios naudotojų ir administratorių tiesioginei veiklai vykdyti reikalingos prieigos teisės ir organizacinėmis bei techninėmis priemonėmis užtikrinama minimalių prieigos teisių naudojimo kontrolė (pvz., privilegijuotos prieigos teisės neturi būti naudojamos veiklai, kuriai atlikti pakanka žemesnio lygio prieigos teisių, ir pan.);
4.3. pareigų atskyrimo principas, kuris reiškia, kad naudotojui, administratoriui ar jų grupei negali būti pavesta atlikti ar kontroliuoti visų pagrindinių elektroninės informacijos tvarkymo ar informacinės sistemos priežiūros funkcijų (pvz., elektroninės informacijos teikėjui gali būti suteikta teisė įrašyti duomenis ir informaciją, tačiau negali būti suteikta teisė priimti sprendimą dėl jų įrašymo; naudotojams negali būti suteikiamos administratoriaus teisės, informacinės sistemos priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą administratoriaus paskyrą, kuria naudojantis negalima atlikti kasdienių naudotojo funkcijų; informacinės sistemos kūrimo, modernizavimo funkcijos turi būti atskirtos nuo informacinės sistemos priežiūros funkcijų ir pan.).
II SKYRIUS
naudotojų IR administratorių
įgaliojimai, teisės ir pareigos
5. Naudotojų ir administratorių įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją bei prieigos prie elektroninės informacijos lygiai nustatomi pagal Informacinės sistemos „E. sąskaita“ nuostatus, patvirtintus Lietuvos Respublikos finansų ministro 2012 m. rugsėjo 6 d. įsakymu Nr. 1K-297 „Dėl Informacinės sistemos „E. sąskaita“ nuostatų patvirtinimo“, elektroninės informacijos teikimo (keitimosi ja) sutartis, vidinių informacinės sistemos naudotojų (toliau – vidinis naudotojas) ir administratorių pareiginius nuostatus bei kitus teisės aktus, reglamentuojančius informacinės sistemos veiklą ir elektroninės informacijos teikimą.
6. Naudotojai ir administratoriai privalo rūpintis informacinės sistemos ir jose tvarkomos elektroninės informacijos sauga ir kibernetiniu saugumu, tvarkyti elektroninę informaciją vadovaudamiesi informacinės sistemos veiklą reglamentuojančiais teisės aktais, pareiginiais nuostatais ir elektroninės informacijos teikimo (keitimosi ja) sutartyse nustatytais reikalavimais, savo veiksmais nepažeisti elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo principų.
7. Naudotojai ir administratoriai turi teisę naudotis tik tais informacinės sistemos ištekliais, prie kurių jiems prieigos teises suteikė informacinės sistemos naudotojų administratoriai (toliau – naudotojų administratorius) Taisyklių III skyriuje nustatyta tvarka.
8. Naudotojai, pastebėję informacinės sistemos kibernetinio saugumo ir (ar) elektroninės informacijos saugos dokumentuose (toliau – saugos dokumentai) nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos ar kibernetinio saugumo užtikrinimo priemones, privalo nedelsdami kreiptis į informacinių technologijų pagalbos tarnybą Registrų centro interneto (išoriniams naudotojams) ar intraneto (vidiniams naudotojams) svetainėse nurodytais kontaktais.
9. Informacinių technologijų pagalbos tarnyba turi informuoti saugos įgaliotinį ar kibernetinio saugumo vadovą apie Taisyklių 8 punkte nurodytus pažeidimus. Gavęs informaciją ir įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią informacinės sistemos saugą ir (ar) kibernetinį saugumą, saugos įgaliotinis ar kibernetinio saugumo vadovas apie tai turi pranešti informacinės sistemos valdytojo vadovui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, elektroninės informacijos saugos ir kibernetinius incidentus, neteisėtas veikas, susijusias su elektroninės informacijos sauga ir kibernetiniu saugumu.
10. Administratorių prieigos prie informacinės sistemos lygiai ir jų saugos reikalavimai:
10.1. administratoriai informacinę sistemą ir jos komponentus gali pasiekti naudodamiesi tiesiogine vietinio tinklo arba nuotoline prieiga. Administratorių prieiga ir jos lygiai kontroliuojami per fizinius (įeigos kontrolės sistemos, barjerai ir kt.) ir loginius (užkardos, domeno valdikliai ir kt.) prieigos taškus. Kontrolės priemonės turi būti taikomos visuose informacinės sistemos architektūros sluoksniuose (tinklas, platformos ar operacinės sistemos, duomenų bazės ir aplikacijų sistemos);
10.2. administratoriams prieiga prie informacinės sistemos komponentų, elektroninės informacijos ir teisė atlikti elektroninės informacijos tvarkymo veiksmus (elektroninės informacijos skaitymas, kūrimas, atnaujinimas, naikinimas, naudotojų informacijos, prieigos teisių redagavimas ir pan.) suteikiama pagal Informacinės sistemos „E. sąskaita“ duomenų saugos nuostatuose nustatytas administratorių grupes, vadovaujantis Taisyklių 4 punkte nustatytais prieigos prie elektroninės informacijos principais;
10.3. koordinuojančiajam administratoriui pagal kompetenciją suteikiama prieiga prie visų informacinės sistemos komponentų ir jų sąrankos;
10.4. naudotojų administratoriui suteikiama prieiga prie vidinių ir išorinių naudotojų prieigos teisių valdymo sistemų;
10.5. informacinės sistemos komponentų administratoriams pagal kompetenciją suteikiama prieiga prie kompiuterių, operacinių sistemų, duomenų bazių ir jų valdymo sistemų, taikomųjų programų sistemų, užkardų, įsilaužimų aptikimo ir prevencijos sistemų, elektroninės informacijos perdavimo tinklų, duomenų saugyklų, bylų serverių ir kitos techninės ir programinės įrangos bei jų sąrankos;
10.6. saugos administratoriui suteikiama prieiga prie informacinės sistemos pažeidžiamumų skenavimo, informacinės sistemos stebėsenos, saugos atitikties nustatymo ir įvertinimo, saugos informacijos ir įvykių stebėjimo, apsaugos nuo elektroninės informacijos nutekinimo priemonių ir kitų priemonių, kuriomis vykdomas informacinės sistemos pažeidžiamų vietų nustatymas, saugumo reikalavimų atitikties nustatymas ir stebėsena.
III skyrius
SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO NAUDOTOJAMS KONTROLĖS TVARKA
11. Už naudotojų ir administratorių įregistravimą ir išregistravimą atsakingas naudotojų administratorius. Už informacijos, reikalingos naudotojų ir administratorių įregistravimo ir išregistravimo veiksmams atlikti, kuri nurodyta Taisyklių 13 punkte, naudotojų administratoriui pateikimą atsakingi naudotojų ir administratorių tiesioginiai vadovai.
12. Naudotojai ir administratoriai įregistruojami informacinės sistemos posistemiuose ir komponentuose arba išregistruojami iš jų suteikiant jiems prieigos prie informacinės sistemos teises arba jas panaikinant.
13. Vidinių naudotojų ir administratorių įregistravimo ir išregistravimo tvarka:
13.1. vidinių naudotojų prieigos teises administratorius suteikia arba pakeičia, gavęs vidinio naudotojo ar administratoriaus tiesioginio vadovo rašytinį prašymą, suderintą su informacinės sistemos tvarkytojo vadovo įsakymu paskirtu konkrečios informacinės sistemos elektroninės informacijos savininku. Administratorius prieigos teises turi suteikti arba pakeisti ne vėliau kaip per 1 darbo dieną nuo rašytinio prašymo gavimo dienos arba ne vėliau kaip iki prašyme nurodyto termino pabaigos, jei terminas buvo nurodytas. Prašyme turi būti patvirtinama, kad vidinis naudotojas ar administratorius yra pasirašęs pasižadėjimą saugoti duomenų ir informacijos paslaptį ir pasirašytinai susipažinęs su saugos dokumentais ar jų santrauka ir sutikęs laikytis jų reikalavimų;
13.2. teisė tvarkyti elektroninę informaciją gali būti suteikiama tik įsitikinus, kad vidinis naudotojas arba administratorius yra pasirašęs pasižadėjimą saugoti duomenų ir informacijos paslaptį ir pasirašytinai susipažinęs su saugos dokumentais ar jų santrauka ir sutikęs laikytis jų reikalavimų. Vidinių naudotojų pasižadėjimai saugoti duomenų ir informacijos paslaptį, dokumentai, įrodantys susipažinimą su saugos dokumentais ar jų santrauka (jeigu, atsižvelgiant į informacinės sistemos specifiką, vidiniai naudotojai ir administratoriai su saugos dokumentais ar jų santrauka supažindinami ne elektroniniu būdu), saugomi už personalo valdymą atsakinguose informacinės sistemos valdytojo ir tvarkytojo struktūriniuose padaliniuose;
13.3. administratorius prieigos teises sustabdo nedelsdamas, gavęs vidinio naudotojo ar administratoriaus tiesioginio vadovo elektroniniu paštu pateiktą informaciją apie tai, kad teisės aktų nustatytais atvejais vidinis naudotojas ar administratorius nušalinamas nuo darbo (pareigų), neatitinka teisės aktuose nustatytų naudotojo ar administratoriaus kvalifikacinių reikalavimų, yra nėštumo, gimdymo, tėvystės ar vaiko priežiūros atostogose;
13.4. administratorius prieigos teises panaikina, gavęs vidinio naudotojo ar administratoriaus tiesioginio vadovo elektroniniu paštu pateiktą informaciją apie vidinio naudotojo ar administratoriaus darbo (tarnybos) santykių pasibaigimą. Naudotojų administratorius prieigos teises turi panaikinti ne vėliau kaip iki paskutinės naudotojo ar administratoriaus darbo (tarnybos) dienos pabaigos. Priverstinio darbo (tarnybos) santykių nutraukimo atveju ir kitais atvejais, kai yra rizika, kad naudotojas ar administratorius gali atlikti tyčinius veiksmus (pakeisti ar sunaikinti elektroninę informaciją, sutrikdyti elektroninės informaciją perdavimą informacinių technologijų duomenų perdavimo tinklais, pažeisti informacinės sistemos saugumą, įvykdyti vagystę ir kt.), prieigos teisės turi būti panaikintos prieš naudotojui ar administratoriui pateikiant informaciją apie darbo (tarnybos) santykių pabaigą;
13.5. tiesioginiai vidinių naudotojų ir administratorių vadovai ne rečiau kaip kartą per metus arba keičiantis vidinio naudotojo ar administratoriaus funkcijoms turi peržiūrėti šiems darbuotojams suteiktas teises, įvertinti, ar jie toliau gali vykdyti funkcijas, ir parengti rašytinį prašymą dėl prieigos teisių vidiniam naudotojui ar administratoriui pakeitimo, jeigu suteiktos prieigos teisės neatitinka vykdomų funkcijų.
14. Išorinių naudotojų įregistravimo ir išregistravimo tvarka:
14.1. naudotojų administratorius prieigos teises išoriniam naudotojui suteikia arba pakeičia gavęs elektroninės informacijos teikimo (keitimosi ja) sutartį arba jos priedą, kuriuose nurodyti naudotojų vardai, pavardės, pareigos, prieigos teisės ir kita naudotojui įregistruoti būtina informacija. Naudotojų administratorius prieigos teises turi suteikti arba pakeisti elektroninės informacijos teikimo (keitimosi ja) sutartyje nustatytais terminais;
14.2. naudotojų administratorius prieigos teises sustabdo šiais atvejais:
14.2.1. gavęs rašytinį išorinio naudotojo prašymą sustabdyti prieigos teises arba dokumentą, kuriuo sustabdomi išorinio naudotojo įgaliojimai, – jų gavimo dieną arba prašyme ar dokumente nurodytu terminu;
14.2.2. kilus įtarimui, kad išorinis naudotojas suteikė tretiesiems asmenims galimybę naudotis prisijungimo duomenimis. Prieigos teisių sustabdymas turi būti panaikintas, jei atlikus tyrimą nenustatoma neteisėtos išorinio naudotojo veikos požymių;
14.3. naudotojų administratorius prieigos teises panaikina šiais atvejais:
14.3.1. gavęs informacinės sistemos tvarkytojo struktūrinio padalinio, atsakingo už konkrečios informacinės sistemos elektroninės informacijos teikimo (keitimosi ja) sutarčių administravimą, elektroniniu paštu pateiktą pranešimą apie elektroninės informacijos teikimo (keitimosi ja) sutarties galiojimo pabaigą arba elektroninės informacijos teikimo (keitimosi ja) sutartį sudariusio asmens įgaliojimų pasibaigimą;
14.3.2. gavęs elektroninės informacijos teikimo (keitimosi ja) sutartį sudariusio asmens prašymą panaikinti prieigos teises. Elektroninės informacijos teikimo (keitimosi ja) sutartį sudaręs asmuo privalo informuoti informacinės sistemos tvarkytoją, kai teisės aktų nustatytais atvejais išorinis naudotojas nušalinamas nuo darbo (pareigų), neatitinka kituose teisės aktuose nustatytų išorinio naudotojo kvalifikacinių reikalavimų arba pasibaigia jo darbo (tarnybos) santykiai ar jis praranda patikimumą. Šiuo atveju prieigos teisės turi būti panaikinamos nedelsiant;
15. Naudotojų ir administratorių paskyrų kontrolės priemonės:
15.1. paskyrų galiojimas turi būti laikinai sustabdomas, kai vidinis naudotojas nesinaudoja informacine sistema ilgiau kaip 90 dienų (administratorius – 60 dienų), jeigu informacinėje sistemoje įdiegtos tokios funkcinės galimybės;
15.2. turi būti patvirtinti asmenų, kuriems suteiktos administratoriaus teisės prisijungti prie informacinės sistemos, sąrašai, periodiškai peržiūrimi saugos įgaliotinio arba kibernetinio saugumo vadovo. Sąrašai turi būti nedelsiant peržiūrėti, kai įstatymų nustatytais atvejais administratorius nušalinamas nuo darbo (pareigų);
15.3. turi būti naudojamos naudotojų paskyrų kontrolės priemonės ir automatizuotos administratorių paskyrų kontrolės priemonės, kurios atliktų paskyrų patikrinimą ir apie nepatvirtintas naudotojų ir administratorių paskyras praneštų saugos įgaliotiniui arba kibernetinio saugumo vadovui. Apie nepatvirtintas administratorių paskyras turi būti pranešama nedelsiant;
15.4. nereikalingos ar nenaudojamos naudotojų ir administratorių paskyros turi būti blokuojamos nedelsiant ir ištrinamos praėjus audito duomenų saugojimo terminui, nustatytam Informacinės sistemos „E. sąskaita“ saugaus elektroninės informacijos tvarkymo taisyklėse, arba elektroninės informacijos teikimo (keitimosi ja) sutartyje nustatytam išorinių naudotojų paskyrų saugojimo terminui.
16. Kiekvienas naudotojas ir administratorius informacinėje sistemoje turi būti unikaliai identifikuojamas. Asmens kodas ir numatytas prisijungimo vardas negali būti naudojami kaip naudotojo ar administratoriaus identifikatorius. Sudarant naudotojo ar administratoriaus identifikatorių didžiosios ir mažosios raidės neturi būti skiriamos.
17. Naudotojas ir administratorius turi patvirtinti savo tapatybę slaptažodžiu, slaptažodžiais arba kitomis priemonėmis (jeigu naudojamos ir (ar) taikomos dviejų veiksnių tapatumo patvirtinimo priemonės). Administratorių tapatumui patvirtinti turi būti naudojamos dviejų veiksnių tapatumo patvirtinimo priemonės, jeigu informacinėje sistemoje įdiegtos tokios funkcinės galimybės.
18. Bendrieji reikalavimai naudotojų ir administratorių slaptažodžiams, jų sudarymui, galiojimo trukmei ir keitimui:
18.2. slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija (pvz., vardas, pavardė, gimimo data, šeimos narių vardai, prisijungimo vardas, gyvenamosios vietos adresas ar jo sudėtinės dalys, telefono numeris ir kt.);
18.4. kilus įtarimui dėl slaptažodžio konfidencialumo pažeidimo, slaptažodis turi būti nedelsiant pakeistas;
18.5. informacinės sistemos dalys, atliekančios nuotolinio prisijungimo autentifikavimą, turi neleisti automatiškai išsaugoti slaptažodžių;
18.6. didžiausias leidžiamas mėginimų įvesti teisingą slaptažodį skaičius turi būti ne didesnis nei 3 kartai. Viršijus leidžiamą mėginimų įvesti teisingą slaptažodį skaičių, informacinė sistema turi užsirakinti ir neleisti identifikuotis ne trumpiau nei 15 minučių. Apie informacinės sistemos naudotojų paskyrų automatišką užsirakinimą turi būti informuojamas administratorius, jeigu informacinėje sistemoje įdiegtos tokios funkcinės galimybės. Naudotojo ar administratoriaus prašymu naudotojų administratorius gali leisti identifikuotis informacinėje sistemoje per trumpesnį laiką, tik prieš tai patikrinęs naudotojo ar administratoriaus tapatybę (tikrinamas vardas, pavardė, naudotojo vardas ar kodas ir kiti naudotojo ar administratoriaus duomenys);
18.7. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais;
18.8. saugos įgaliotinio ar kibernetinio saugumo vadovo sprendimu laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo naudotojo vardo ar identifikavimo kodo, jei naudotojas ar administratorius neturi galimybių iššifruoti gauto užšifruoto slaptažodžio arba nėra techninių galimybių naudotojui ar administratoriui perduoti slaptažodžio šifruotuoju ryšiu ar saugiu elektroninių ryšių tinklu.
19. Papildomi reikalavimai naudotojų slaptažodžiams:
19.3. keičiant slaptažodį informacinė sistema neturi leisti jo sudaryti iš buvusių 6 paskutinių slaptažodžių;
20. Papildomi reikalavimai administratorių slaptažodžiams:
20.3. keičiant slaptažodį informacinė sistema neturi leisti jo sudaryti iš buvusių 3 paskutinių slaptažodžių;