Valstybinės geležinkelio inspekcijos
Prie Susisiekimo ministerijos
viršininkas
ĮSAKYMAS
DĖL VALSTYBINĖS GELEŽINKELIO INSPEKCIJOS PRIE SUSISIEKIMO MINISTERIJOS VIRŠININKO 2011 M. LIEPOS 18 D. ĮSAKYMO NR. V-439 „DĖL Geležinkelių transporto valstybinės priežiūros INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLių, GELEŽINKELIŲ TRANSPORTO VALSTYBINĖS PRIEŽIŪROS INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANo, GELEŽINKELIŲ TRANSPORTO VALSTYBINĖS PRIEŽIŪROS INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ PATVIRTINIMO“ PAKEITIMO
2016 m. gegužės 11 d. Nr. VE-67
Vilnius
Atsižvelgdamas į tai, kad buvo sukurtos dvi naujos Geležinkelių transporto valstybinės priežiūros informacinės sistemos modulio elektroninės paslaugos ir vadovaudamasis Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintų Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) 3 punktu:
1. P a k e i č i u Geležinkelių transporto valstybinės priežiūros informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles, patvirtintas Valstybinės geležinkelio inspekcijos prie Susiekimo ministerijos viršininko 2011 m. liepos 18 d. įsakymu Nr. V-439 „Dėl Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininko 2011 m. liepos 18 d. įsakymo Nr. V-439 „Dėl Geležinkelių transporto valstybinės priežiūros informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Geležinkelių transporto valstybinės priežiūros informacinės sistemos veiklos tęstinumo valdymo plano, Geležinkelių transporto valstybinės priežiūros informacinės sistemos naudotojų administravimo taisyklių patvirtinimo“ ir išdėstau jas nauja redakcija (pridedama);
2. P a k e i č i u Geležinkelių transporto valstybinės priežiūros informacinės sistemos naudotojų administravimo taisykles, patvirtintas Valstybinės geležinkelio inspekcijos prie Susiekimo ministerijos viršininko 2011 m. liepos 18 d. įsakymu Nr. V-439 „Dėl Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininko 2011 m. liepos 18 d. įsakymo Nr. V-439 „Dėl Geležinkelių transporto valstybinės priežiūros informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Geležinkelių transporto valstybinės priežiūros informacinės sistemos veiklos tęstinumo valdymo plano, Geležinkelių transporto valstybinės priežiūros informacinės sistemos naudotojų administravimo taisyklių patvirtinimo“ ir išdėstau jas nauja redakcija (pridedama);
3. P a k e i č i u Geležinkelių transporto valstybinės priežiūros informacinės sistemos veiklos tęstinumo valdymo planą, patvirtintą Valstybinės geležinkelio inspekcijos prie Susiekimo ministerijos viršininko 2011 m. liepos 18 d. įsakymu Nr. V-439 „Dėl Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininko 2011 m. liepos 18 d. įsakymo Nr. V-439 „Dėl Geležinkelių transporto valstybinės priežiūros informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Geležinkelių transporto valstybinės priežiūros informacinės sistemos veiklos tęstinumo valdymo plano, Geležinkelių transporto valstybinės priežiūros informacinės sistemos naudotojų administravimo taisyklių patvirtinimo“ ir išdėstau jį nauja redakcija (pridedama).
PATVIRTINTA
Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininko
2011 m. liepos 18 d. įsakymu Nr. V-439
(Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininko
2016 m. gegužės 11 d. įsakymo Nr. VE-67 redakcija)
Geležinkelių transporto valstybinės priežiūros INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS
I skyrius
BENDROSIOS NUOSTATOS
1. Geležinkelių transporto valstybinės priežiūros informacinės sistemos (toliau – VGI IS) saugaus elektroninės informacijos tvarkymo taisyklių (toliau – taisyklės) tikslas – nustatyti tvarką, užtikrinančią saugų VGI IS techninės, programinės įrangos funkcionavimą, saugų VGI IS informacijos tvarkymą.
2. Taisyklės parengtos vadovaujantis Valstybės informacinių išteklių valdymo įstatymu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, saugos dokumentų turinio gairių aprašo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo”, Geležinkelių transporto valstybinės priežiūros informacinės sistemos nuostatais, patvirtintais Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininko 2011 m. vasario 17 d. įsakymu Nr. V-57 „Dėl Geležinkelių transporto valstybinės priežiūros informacinės sistemos patvirtinimo“ (toliau – Nuostatai) ir Geležinkelių transporto valstybinės priežiūros informacinės sistemos duomenų saugos nuostatais, patvirtintais Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininko 2011 m. vasario 19 d. įsakymu Nr. V-73 „Dėl Geležinkelių transporto valstybinės priežiūros informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – VGI IS duomenų saugos nuostatai).
3. Taisyklėse vartojamos sąvokos:
VGI IS administratorius – VGI viršininko įsakymu paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis VGI IS ir jos infrastruktūrą, užtikrinantis VGI IS veikimą ir elektroninės informacijos saugą, naudotojų registravimą, VGI IS prieigos bei teisių suteikimą ir panaikinimą, atliekantis kitas jam priskirtas funkcijas, aprašytas VGI IS veiklą reglamentuojančiuose dokumentuose;
VGI IS saugos įgaliotinis – VGI viršininko įsakymu paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, įgyvendinantis elektroninės informacijos saugą VGI informacinėse sistemose.
4. Kitos taisyklėse vartojamos sąvokos atitinka taisyklių 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.
5. VGI IS saugoma elektroninė informacija yra skirstoma į šias grupes:
5.1. VGI IS administratoriaus tvarkoma informacija:
II skyrius
TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS
6. Saugiam VGI IS elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, programinės įrangos, fizinės, techninės ir organizacinės duomenų saugos priemonės.
7. Kompiuterinės įrangos saugos priemonės:
7.1. prieigos prie VGI IS tarnybinių stočių (serverių) kontrolė, užtikrinama suteikiant prieigos teises tik VGI IS administratoriui, jo veiksmai, užtikrinantys VGI IS duomenų apsaugą, aprašyti VGI IS duomenų saugos nuostatuose;
7.2. svarbiausios kompiuterinės įrangos sujungimas klasteriniu rėžimu (angl. computer cluster), t. y. dubliuojant svarbiausią kompiuterinę įrangą, šios kompiuterinės įrangos techninės būklės nuolatinė stebėsena;
7.3. VGI IS naudotojų naudojamos techninės kompiuterinės įrangos priežiūra ir tvarkymas, kurį atlieka VGI IS administratorius;
7.5. VGI IS naudotojams, VGI IS saugos įgaliotiniui pateikusiems tiesioginio vadovo patvirtintą prašymą gali būti suteikiama teisė naudoti kompiuterius tiesioginėms pareigoms atlikti ne VGI patalpose. VGI IS saugos įgaliotinis sudaro ir saugo VGI IS naudotojų, kuriems suteikta teisė naudoti kompiuterius ne VGI patalpose, sąrašą.
8. Sisteminės ir taikomosios programinės įrangos saugos priemonės:
8.3. VGI IS naudojamos autorizuotos programinės įrangos sąrašo rengimas ir reguliarus atnaujinimas, už kurį atsakingas VGI IS administratorius;
8.4. neautorizuotos programinės įrangos įdiegimo į VGI IS naudotojų kompiuterius ribojimas bei nuolatinis VGI IS naudojamos programinės įrangos stebėsenos vykdymas, už kurį atsakingas VGI IS administratorius;
8.5. kompiuterinėse VGI IS naudotojų darbo vietose naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, kurios yra reguliariai atnaujinamos;
8.6. slaptažodžius, suteikiančius teisę dirbti su VGI IS tarnybinėmis stotimis ir jų administravimo programine įranga, žino tik VGI IS administratorius;
8.7. prieigos teisė dirbti su VGI IS taikomąja programine įranga suteikiama VGI IS naudotojams VGI IS naudotojų administravimo taisyklėse nustatyta tvarka;
8.8. VGI IS naudotojams jų naudojamų kompiuterių operacinėse sistemose suteikiamos minimalios, tik tiesioginėms pareigoms vykdyti būtinos teisės;
8.9. VGI IS duomenys nuo jų praradimo, iškraipymo, sunaikinimo, neteisėto panaudojimo galimybių apsaugomi techninėmis, organizacinėmis, programinėmis priemonėmis;
9. Elektroninės informacijos perdavimo tinklais apsaugos užtikrinimo priemonės:
9.1. VGI IS naudotojas internetu jungiasi prie užkarda (angl. firewall) apsaugotų tarnybinių stočių, naudodamas unikalius identifikacinius prisijungimo duomenis;
9.2. užtikrinamas saugus elektroninės informacijos teikimas ir (ar) gavimas iš kitų valstybės institucijų, naudojant Saugų valstybės duomenų perdavimo tinklą (toliau vadinama – SVDPT);
9.3. VGI IS naudotojų kompiuterių tinklai tenkina SVDPT saugos organizavimo, valdymo ir SVDPT naudotojų prijungimo reikalavimus, nustatytus Saugaus valstybinio duomenų perdavimo tinklo elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2007 m. birželio 5 d. įsakymu Nr. 1V-210 „Dėl Saugaus valstybinio duomenų perdavimo tinklo elektroninės informacijos saugos reikalavimų patvirtinimo“;
9.4. VGI IS duomenys, siunčiami per viešuosius tinklus bei VGI IS tvarkomi ypatingi asmens duomenys, perduodami elektroniniu paštu, yra šifruojami;
10. Patalpų, kuriose veikia VGI IS tarnybinės stotys ir aplinkos saugumo užtikrinimo priemonės:
10.1. užtikrinamas išorės poveikio šaltinių – transporto priemonių keliamos vibracijos, eismo įvykių, radijo stočių, specialiųjų gamyklų, kitų išorės šaltinių minimalus poveikis patalpoms ir jose esančiai techninei ir programinei įrangai;
10.2. patalpose įrengta langų ir durų fizinė apsauga: prie langų pritvirtintos žaliuzės ir metalinės grotos, rakinamos įrengtos šarvuotos ir ugniai atsparios durys, veikia durų ir langų signalizacija;
10.3. patalpos atitinka priešgaisrinės saugos reikalavimus, jose yra gaisro gesinimo priemonės. Periodiškai atliekama gaisro gesinimo priemonių patikra;
10.4. patalpose įrengti įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybų;
10.5. patalpos atskirtos nuo bendrojo naudojimo patalpų; asmenys patekti į šias patalpas gali tik lydimi VGI IS administratoriaus;
10.8. techninė įranga apsaugoma nuo elektros srovės svyravimų, nuo neteisėtos prieigos prie techninės įrangos, jos sugadinimo ar neteisėto poveikio jai. Naudojami specialūs maitinimo šaltiniai, nenutrūkstamo maitinimo šaltinis su automatine apsauga nuo įtampos svyravimų.
10.9. rezervinio nenutrūkstamo maitinimo šaltinis užtikrina VGI IS pagrindinės kompiuterinės įrangos veikimą ne trumpiau nei 30 minučių pagrindinio nenutrūkstamo maitinimo šaltinio neveikimo atveju;
11. VGI IS darbo apskaitos ir kitos elektroninės informacijos saugos priemonės:
11.2. VGI IS naudotojams suteikiama prieigos prie VGI IS teisė atlikti veiksmus tik su jiems priskirtais duomenimis.
11.3. VGI IS tarnybinių stočių įvykių žurnaluose turi būti registruojami ir ne mažiau kaip vienerius metus saugomi duomenys, nurodant įvykio laiką ir naudotojo identifikatorių, apie:
III SKYRIUS
SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
12. Saugaus VGI IS elektroninės informacijos paieškos, keitimo, atnaujinimo, įrašymo ir naikinimo užtikrinimo tvarka:
12.1. Atlikti VGI IS duomenų paiešką, keisti, atnaujinti, įrašyti ir naikinti VGI IS duomenis gali tik autorizuoti VGI IS naudotojai turintys teisę tai atlikti;
12.2. VGI IS naudotojams atliekant asmens duomenų paiešką, užklausoje privaloma nurodyti asmens duomenų naudojimo tikslą (-us);
12.3. VGI IS naudotojui teisė naudotis VGI IS suteikiama tik jam pasirašius pasižadėjimą (1 priedas) saugoti konfidencialią informaciją apie asmens duomenis;
12.4. VGI IS duomenys įrašomi, atnaujinami, keičiami ir naikinami vadovaujantis VGI IS duomenų saugos nuostatais;
12.5. VGI IS tvarkomi asmens duomenys, esantys atsarginėse kopijose, archyvuose ir išorinėse duomenų laikmenose turi būti šifruojami;
13. VGI IS naudotojų veiksmų registravimo tvarka:
13.1. VGI IS naudotojų tapatybė ir veiksmai su VGI IS duomenimis fiksuojami programinėmis priemonėmis;
13.2. VGI IS naudotojų tapatybė, bylos, prie kurių jie jungėsi, ir veiksmai su VGI IS duomenimis įrašomi automatiniu būdu VGI IS duomenų bazės veiksmų žurnale, apsaugotame nuo neteisėto jame esančių duomenų panaudojimo, pakeitimo, iškraipymo ar sunaikinimo, ir saugomi ne trumpiau kaip 1 metus. Šis žurnalas peržiūrimas ne rečiau kaip kartą per 1 mėnesį, peržiūros ataskaitos pateikiamos duomenų valdytojui;
13.3. VGI IS registruojami asmens duomenų kopijavimo ir atkūrimo jų avarinio praradimo atveju veiksmai (kada ir kas atliko šiuos veiksmus);
14. Atsarginių duomenų kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarka:
14.2. VGI IS administratoriaus funkcijos aprašytos VGI IS duomenų saugos nuostatuose, ir kituose teisės aktuose, reglamentuojančiuose VGI IS darbą;
14.3. prarasti, iškraipyti ar sunaikinti VGI IS duomenys atkuriami iš VGI IS duomenų atsarginių kopijų;
14.4. duomenys turi būti kopijuojami ir saugomi tokia apimtimi, kad duomenų praradimo atveju visišką VGI IS funkcionalumą ir veiklą būtų galima atstatyti per 1 valandą;
14.6. pilnos VGI IS duomenų kopijos į rezervinio kopijavimo juostų biblioteką daromos vieną kartą per savaitę;
14.7. kopijos saugomos užrakintoje nedegioje spintoje, kitose patalpose, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota;
14.9. visiški VGI IS duomenų atkūrimo bandymai vykdomi ne darbo valandomis ir prieš tai informavus visus VGI IS naudotojus;
15. Saugaus elektroninės informacijos perkėlimo ir teikimo kitoms informacinėms sistemoms, elektroninės informacijos gavimo iš jų užtikrinimo tvarka:
15.1. už VGI IS naudotojų administravimą ir iš valstybės registrų ir kitų susijusių informacinių sistemų teikiamų duomenų atnaujinimą VGI IS yra atsakingas VGI IS administratorius;
15.2. duomenų mainai tarp VGI IS ir kitų informacinių sistemų vykdomi su šių informacinių sistemų valdytojais sudarytose duomenų teikimo sutartyse numatytais būdais, terminais ir numatytos apimties;
16. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:
16.1. VGI IS administratorius, užtikrindamas VGI IS duomenų vientisumą, privalo naudoti visas įmanomas fizines, programines ir organizacines priemones, skirtas VGI IS ir joje tvarkomiems duomenims apsaugoti nuo neteisėtų veiksmų;
16.2. VGI IS naudotojas, įtaręs, kad su VGI IS duomenimis buvo atlikti neteisėti veiksmai, privalo pranešti apie tai VGI IS administratoriui. VGI IS administratorius, atsiradus įtarimams dėl neteisėtų veiksmų su VGI IS duomenimis, pasinaudojęs VGI IS duomenų bazės veiksmų žurnalo įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su VGI IS programine įranga ir (ar) duomenimis;
16.3. VGI IS administratorius, įtaręs, kad su VGI IS duomenimis vykdomi neteisėti veiksmai, privalo apie tai pranešti VGI IS saugos įgaliotiniui;
17. VGI IS programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:
18. VGI IS pokyčių valdymo tvarka:
18.2. užregistruoti VGI IS pokyčiai suskirstomi į kategorijas (administracinis, organizacinis ar techninis) ir nustatomi pokyčių prioritetai:
18.2.1. neesminiai – VGI IS pokyčiai, kurių metu atliekami pakeitimai, neturintys įtakos duomenų konfidencialumui, vientisumui ar VGI IS pasiekiamumui;
18.3. prieš atlikdamas esminius pokyčius, VGI IS administratorius privalo planuojamus VGI IS pokyčius ištestuoti;
18.4. programinės įrangos, kurioje įgyvendinti pokyčiai, testavimas atliekamas naudojant atskirą tam skirtą testavimo aplinką;
18.5. visi pokyčiai, galintys sutrikdyti ar sustabdyti VGI IS darbą, turi būti suderinti su VGI viršininku ar VGI IS saugos įgaliotiniu, atliekančiu duomenų valdymo įgaliotinio funkcijas, ir vykdomi tik gavus jų raštišką pritarimą;
18.6. planuodamas VGI IS pokyčius, kurių metu galimi VGI IS veikimo sutrikimai, VGI IS administratorius privalo ne vėliau kaip prieš dvi darbo dienas iki VGI IS pokyčių vykdymo pradžios elektroniniu paštu informuoti VGI IS naudotojus apie tokių darbų pradžią ir galimus VGI IS veikimo sutrikimus;
19. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių naudojimo tvarka:
19.1. visi nešiojamieji kompiuteriai ir kiti mobilūs įrenginiai turi būti apsaugoti saugiais slaptažodžiais;
19.4. nešiojamojo kompiuterio ir kito mobilaus įrenginio išdavimas ir grąžinimas turi būti registruojamas žurnale;
19.5. išvežti iš VGI patalpų nešiojamieji kompiuteriai ir kiti įrenginiai negali būti palikti be priežiūros;
19.6. visais atvejais turi būti laikomasi gamintojo nurodymų dėl įrenginių apsaugos (pvz., apsaugos nuo stiprių elektromagnetinių laukų);
19.7. mobiliuosiuose įrenginiuose (nešiojamuosiuose kompiuteriuose, planšetėse, išmaniuosiuose telefonuose ir pan.), jeigu jie naudojami ne VGI vidiniame kompiuterių tinkle, esantys ypatingi asmens duomenys ir prisijungimo prie VGI tvarkomų asmens duomenų informacija šifruojama ar apsaugoma tokiomis priemonėmis, kurios atitiktų asmens duomenų atskleidimo keliamą riziką.
IV SKYRIUS
REIKALAVIMAI, KELIAMI INFORMACINIŲ SISTEMŲ FUNKCIONAVIMUI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS
20. Paslaugų teikėjų prieigos prie VGI IS lygiai ir sąlygos:
20.1. VGI IS administratorius suteikia prieigos prie VGI IS duomenų teisę (peržiūrėti VGI IS duomenis, atlikti užklausas VGI IS, vykdyti veiksmus su VGI IS duomenimis ir kt.) ir fizinę prieigą prie techninės ir programinės įrangos paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje nurodytam laikotarpiui jam nustatytoms funkcijoms atlikti;
20.2. VGI IS administratorius, suteikdamas prieigos prie VGI IS duomenų teisę, paslaugų teikėjo įgaliotą fizinį asmenį supažindina su prieigos prie VGI IS duomenų sąlygomis;
21. Reikalavimai, keliami patalpoms, įrangai, informacinių sistemų priežiūrai, elektroninės informacijos perdavimui tinklais ir kitoms paslaugoms:
21.1. reikalavimai paslaugų teikėjams ir jų teikiamoms projektavimo ir VGI IS priežiūros paslaugoms nustatomi šių paslaugų teikimo sutartyse;
21.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja VGI IS taikomąją programinę įrangą, naudodamas:
21.2.1. įgyvendintas elektroninės informacijos saugos priemones, apsaugančias nuo neteisėto poveikio sisteminei, programinei įrangai ir patalpoms;
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
Geležinkelių transporto valstybinės priežiūros informacinės sistemos elektroninės informacijos tvarkymo taisyklių 1 priedas
(Pasižadėjimo saugoti konfidencialią informaciją apie asmens duomenis forma)
PASIŽADĖJIMAS
SAUGOTI KONFIDENCIALIĄ INFORMACIJĄ APIE ASMENS DUOMENIS
Nr.
(data) (registracijos numeris)
_________
(sudarymo vieta)
Aš suprantu:
· kad savo darbe tvarkysiu asmens duomenis, kurie visuomenės ir atskirų asmenų interesais gali būti atskleisti ar perduoti tik teisės aktų nustatyta tvarka įgaliotiems asmenims ir institucijoms;
· kad draudžiama perduoti neįgaliotiems asmenimis įstaigos viduje ar už jos ribų slaptažodžius ir kitus duomenis, leidžiančius programinių ir techninių priemonių pagalba sužinoti asmens duomenis ar kitaip sudaryti sąlygas susipažinti su asmens duomenimis;
· kad netinkamas asmens duomenų tvarkymas gali užtraukti atsakomybę pagal Lietuvos Respublikos įstatymus.
Aš pasižadu:
· saugoti asmens duomenų paslaptį;
· tvarkyti asmens duomenis, vadovaudamasis Lietuvos Respublikos įstatymais ir kitais teisės aktais, taip pat pareigybės aprašymu ir taisyklėmis, reglamentuojančiomis man patikėtas asmens duomenų tvarkymo funkcijas;
· neatskleisti, neperduoti tvarkomos informacijos nei vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija tiek įstaigos viduje, tiek už jos ribų;
· pranešti savo vadovui ir VGI IS administratoriui apie bet kokią įtartiną situaciją, kuri gali kelti grėsmę asmens duomenų saugumui.
Aš žinau:
· kad už šio pasižadėjimo nesilaikymą ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo pažeidimą turėsiu atsakyti pagal Lietuvos Respublikos įstatymus;
· kad asmuo, patyręs žalą dėl neteisėto asmens duomenų tvarkymo arba kitų duomenų valdytojo ar duomenų tvarkytojo, taip pat kitų asmenų veiksmų ar neveikimo, turi teisę reikalauti atlyginti jam padarytą turtinę ir neturtinę žalą (pagal Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 54 straipsnio 1 dalį);
· kad šis pasižadėjimas galios visą mano darbo laiką šioje įstaigoje, pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams (pagal Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 30 straipsnio 6 dalį).
Aš esu susipažinęs (-usi) su:
Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, Lietuvos Respublikos darbo kodeksu, Lietuvos Respublikos valstybės tarnybos įstatymu, Geležinkelių transporto valstybinės priežiūros informacinės sistemos duomenų saugos nuostatais ir kitais Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos veiklą reglamentuojančiais teisės aktais.
_________
(pareigų pavadinimas) (parašas) (vardas ir pavardė)
(data)
PATVIRTINTA
Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininko
2011 m. liepos 18 d. įsakymu Nr. V-439
(Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininko
2016 m. gegužės 11 d. įsakymo Nr. VE-67 redakcija)
GeležinkeliŲ transporto valstybinės priežiūros informacinės sistemos NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Geležinkelių transporto valstybinės priežiūros informacinės sistemos (toliau – VGI IS) naudotojų administravimo taisyklių (toliau – Taisyklės) tikslas – nustatyti VGI IS naudotojų administravimo tvarką.
2. Taisyklės parengtos vadovaujantis Valstybės informacinių išteklių valdymo įstatymu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Saugos dokumentų turinio gairių aprašu, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, saugos dokumentų turinio gairių aprašo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo”, Geležinkelių transporto valstybinės priežiūros informacinės sistemos nuostatais, patvirtintais Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininko 2011 m. vasario 17 d. įsakymu Nr. V-57 „Dėl Geležinkelių transporto valstybinės priežiūros informacinės sistemos patvirtinimo“, Geležinkelių transporto valstybinės priežiūros informacinės sistemos duomenų saugos nuostatais, patvirtintais Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininko 2011 m. vasario 19 d. įsakymu Nr. V-73 „Dėl Geležinkelių transporto valstybinės priežiūros informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – VGI IS duomenų saugos nuostatai) ir Geležinkelių transporto valstybinės priežiūros informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse, patvirtintose Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininko 2011 m. liepos 18 d. įsakymu Nr. V-439 „Dėl Geležinkelių transporto valstybinės priežiūros informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, geležinkelių transporto valstybinės priežiūros informacinės sistemos veiklos tęstinumo valdymo plano, geležinkelių transporto valstybinės priežiūros informacinės sistemos naudotojų administravimo taisyklių patvirtinimo“.
3. Taisyklėse vartojamos sąvokos atitinka Taisyklių 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.
4. Taisyklės taikomos visiems VGI IS naudotojams, VGI IS administratoriams VGI IS saugos įgaliotiniams, VGI IS duomenų valdymo įgaliotiniams, kurių prieigos prie duomenų teisės paremtos VGI IS duomenų saugumo, stabilumo, operatyvumo principais.
5. VGI IS naudotojams prieiga prie duomenų suteikiama vadovaujantis šiais principais:
5.1. Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos (toliau – VGI) darbuotojams, VGI IS naudotojams, prieiga turi būti suteikiama tik prie tų duomenų ir tik tokia apimtimi, kuri reikalinga pareigybės aprašyme nurodytoms funkcijoms atlikti;
5.2. kitiems VGI IS naudotojams prieiga turi būti suteikiama tik prie tų duomenų ir tik tokia apimtimi, kuri nurodyta duomenų teikimo sutartyse;
5.3. VGI IS saugomus duomenis gali keisti (sukurti, papildyti ar panaikinti) tik tokius įgaliojimus turintys VGI IS naudotojai;
ii SKYRIUS
informacinės sistemos NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS
6. VGI IS naudotojų įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją:
6.1. VGI IS naudotojai gali naudotis tik tomis VGI IS funkcijomis ir VGI IS tvarkomais duomenimis, prie kurių prieigą jiems suteikė VGI IS administratorius;
6.2. VGI IS naudotojai privalo užtikrinti jų naudojamų VGI IS tvarkomų duomenų konfidencialumą bei vientisumą, savo veiksmais netrikdyti VGI IS duomenų prieinamumo;
7. VGI IS administratoriaus įgaliojimai, teisės ir pareigos:
7.11. pagal kompetenciją užtikrinti nepertraukiamą VGI IS techninės ir sisteminės programinės įrangos veikimą;
8. VGI IS saugos įgaliotinio įgaliojimai, teisės ir pareigos:
8.1. VGI IS saugos įgaliotinis yra įgaliotas ir turi teisę:
8.3. VGI IS saugos įgaliotinis privalo:
8.3.2. kasmet organizuoti VGI IS rizikos vertinimą, rengti apibendrintą VGI IS rizikos įvertinimo ataskaitą;
8.3.3. atlikti VGI IS taikomų saugumo reikalavimų atitikties vertinimą, periodiškai inicijuoti VGI IS naudotojų supažindinimą informacijos saugos klausimais, informuoti juos apie informacijos saugos problematiką;
III SKYRIUS
SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO INFORMACINĖS SISTEMOS NAUDOTOJAMS KONTROLĖS TVARKA
9. VGI IS administratorius atsakingas už VGI IS naudotojų registravimą, išregistravimą, prieigos prie VGI IS teisių suteikimą ir panaikinimą.
10. VGI IS administratorius VGI IS naudotojams suteikia unikalius prisijungimo prie VGI IS vardą ir laikiną slaptažodį, kurį išsiunčia VGI IS naudotojui elektroniniu paštu.
11. VGI IS naudotojų prisijungimo prie VGI IS vardai ir slaptažodžiai saugomi VGI IS naudotojų prisijungimo vardų ir slaptažodžių saugykloje.
12. Prieigą prie VGI IS naudotojų prisijungimo vardų ir slaptažodžių saugyklos turi tik VGI IS administratorius. Duomenys šioje saugykloje yra šifruojami.
14. VGI IS naudotojo slaptažodžiui yra keliami šie reikalavimai:
14.1. slaptažodis turi būti iš ne trumpesnės kaip 8 simbolių kombinacijos, sudarytos iš raidžių, skaičių ir specialiųjų simbolių;
14.4. keičiant slaptažodį VGI IS turi neleisti pasirinkti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;
14.5. VGI IS naudotojas, pirmą kartą gavęs VGI IS administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie VGI IS, nedelsdamas slaptažodį pakeisti ir jį įsiminti;
14.7. VGI IS naudotojas, įtaręs, kad tretieji asmenys sužinojo slaptažodį, privalo nedelsdamas jį pakeisti;
15. VGI IS administratoriaus slaptažodžiams yra keliami šie reikalavimai:
15.1. VGI IS administratoriaus slaptažodis turi būti iš ne trumpesnės kaip 10 simbolių kombinacijos, sudarytos iš didžiųjų, mažųjų raidžių, skaitmenų ir specialiųjų simbolių;
16. VGI IS administratorius, iš VGI IS tvarkančios institucijos gavęs rašytinį prašymą apriboti VGI IS naudotojo prieigos teises, nedelsiant sustabdo nurodyto VGI IS naudotojo prieigą prie VGI IS.
17. VGI IS naudotojui teisė dirbti su konkrečia elektronine informacija VGI IS naudotojo tiesioginio vadovo nurodymu turi būti ribojama ar sustabdoma, kai VGI IS naudotojas nesinaudoja informacine sistema ilgiau kaip 3 mėnesius, kai įstatymų nustatytais atvejais VGI IS naudotojas nušalinamas nuo darbo (pareigų). VGI IS naudotojo tiesioginio vadovo nurodyme turi būti nurodyta:
17.1. VGI IS naudotojas, kurio atžvilgiu turi būti atliktas teisės dirbti su konkrečia elektronine informacija ribojimas ar sustabdymas;
17.2. teisės dirbti su konkrečia elektronine informacija ribojimo apimtis, jei prašoma šią teisę apriboti;
18. Kai VGI IS naudotojas perkeliamas į kitas pareigas, jam suteiktos VGI IS naudotojo teisės pakeičiamos atsižvelgiant į jo pareigybės aprašyme nurodytas funkcijas.
19. VGI IS naudotojui teisė naudotis VGI IS panaikinama:
20. VGI IS naudotojai prisijungti prie VGI IS gali tik su VGI IS administratoriaus suteiktais unikaliais vardu ir slaptažodžiu.
IV SKYRIUS
BAIGIAMOSIOS NUOSTATOS
PATVIRTINTA
Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininko
2011 m. liepos 18 d. įsakymu Nr. V-439
(Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininko
2016 m. gegužės 11 d. įsakymo Nr. VE-67 redakcija)
Geležinkelių transporto valstybinės priežiūros informacinės sistemos VEIKLOS TĘSTINUMO VALDYMO PLANAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Geležinkelių transporto valstybinės priežiūros informacinės sistemos veiklos tęstinumo valdymo plano (toliau – Valdymo planas) tikslas – nustatyti Geležinkelių transporto valstybinės priežiūros informacinės sistemos (toliau – VGI IS) VGI IS administratoriaus, VGI IS saugos įgaliotinio ir kitų asmenų veiksmus, esant elektroninės informacijos saugos incidentui, kurio metu iškyla pavojus VGI IS duomenims, VGI IS techninės, programinės įrangos funkcionavimui.
2. Valdymo planas parengtas vadovaujantis Valstybės informacinių išteklių valdymo įstatymu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, saugos dokumentų turinio gairių aprašo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo”, Geležinkelių transporto valstybinės priežiūros informacinės sistemos nuostatais, patvirtintais Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininko 2011 m. vasario 17 d. įsakymu Nr. V-57 „Dėl Geležinkelių transporto valstybinės priežiūros informacinės sistemos patvirtinimo“ ir Geležinkelių transporto valstybinės priežiūros informacinės sistemos duomenų saugos nuostatais, patvirtintais Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos viršininko 2011 m. vasario 19 d. įsakymu Nr. V-73 „Dėl Geležinkelių transporto valstybinės priežiūros informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – VGI IS duomenų saugos nuostatai).
3. Vartojamos sąvokos:
VGI IS administratorius – Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos (toliau – VGI) viršininko įsakymu paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis VGI IS ir jos infrastruktūrą, užtikrinantis VGI IS veikimą ir elektroninės informacijos saugą, naudotojų registravimą, VGI IS prieigos bei teisių suteikimą ir panaikinimą, atliekantis kitas jam priskirtas funkcijas, aprašytas VGI IS veiklą reglamentuojančiuose dokumentuose;
VGI IS saugos įgaliotinis – VGI viršininko įsakymu paskirtas valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, įgyvendinantis elektroninės informacijos saugą VGI informacinėse sistemose.
4. Kitos Valdymo plane vartojamos sąvokos atitinka Valdymo plano 2 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.
6. Valdymo plano vykdymas yra privalomas visiems VGI IS naudotojams elektroninės informacijos saugos incidentų atveju, kurių metu gali kilti pavojus VGI IS duomenims, VGI IS techninės, programinės įrangos funkcionavimui. Be to, jis privalomas VGI IS tvarkytojui, VGI IS valdytojui, VGI IS saugos įgaliotiniui, VGI IS administratoriui ir VGI IS naudotojams.
7. Už Valdymo plano įgyvendinimą atsakingas VGI IS tvarkytojas ir jo paskirti VGI IS naudotojai, saugos įgaliotinis ir administratorius.
9. VGI IS saugos įgaliotinio ir VGI IS administratoriaus veiksmai elektroninės informacijos saugos incidento metu yra nurodyti VGI IS veiklos tęstinumo detaliajame plane (Valdymo plano 1 priedas).
10. VGI IS saugos įgaliotinis, įtaręs neteisėtą veiklą, pažeidžiančią VGI IS saugą, privalo imtis reikiamų priemonių, kad nebūtų pažeista elektroninės informacijos sauga ir apie tai pranešti VGI vadovybei.
11. VGI IS administratorius informuoja VGI IS saugos įgaliotinį apie pastebėtus VGI IS veiklos sutrikimus, neveikiančias ar netinkamai veikiančias duomenų saugos užtikrinimo priemones, taip pat dalyvauja šalinant VGI IS veiklos sutrikimus.
12. VGI IS naudotojai, pastebėję VGI IS veiklos sutrikimus, neveikiančias ar netinkamai veikiančias duomenų saugos užtikrinimo priemones, turi nedelsdami apie tai pranešti atsakingam VGI IS administratoriui ir (ar) VGI IS saugos įgaliotiniui.
13. Elektroninės informacijos saugos incidento metu patirti nuostoliai padengiami iš valstybės biudžeto ir kitų finansavimo šaltinių.
14. Kriterijai, pagal kuriuos nustatoma, kad VGI IS veikla atkurta:
II SKYRIUS
ORGANIZACINĖS NUOSTATOS
17. VGI IS veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) sudėtis:
18. Valdymo grupės funkcijos:
18.1. elektroninės informacijos saugos incidentų analizė ir sprendimų VGI IS veiklos tęstinumo valdymo klausimais priėmimas;
18.2. bendravimas su VGI IS naudotojais, viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais, kitų informacinių sistemų veiklos tęstinumo valdymo grupėmis;
18.4. bendravimas ir su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;
18.5. finansinių ir kitų išteklių, reikalingų VGI IS veiklai atkurti, įvykus elektroninės informacijos saugos incidentui, panaudojimo kontrolė;
18.6. VGI IS fizinės duomenų saugos užtikrinimo kontrolė, įvykus elektroninės informacijos saugos incidentui;
19. VGI IS veiklos atkūrimo grupės (toliau – Atkūrimo grupė) sudėtis:
20. Atkūrimo grupės funkcijos:
20.1. VGI IS veiklos atkūrimo priežiūra ir koordinavimas (vykdo Atkūrimo grupės vadovas ir pavaduotojas);
20.2. VGI IS tarnybinių stočių veikimo atkūrimo organizavimas (vykdo Atkūrimo grupės vadovo pavaduotojas ir VGI IS administratorius);
20.3. kompiuterių tinklo veikimo atkūrimo organizavimas (vykdo Atkūrimo grupės vadovo pavaduotojas ir VGI IS administratorius);
20.4. VGI IS elektroninės informacijos atkūrimo organizavimas (vykdo Atkūrimo grupės vadovo pavaduotojas ir VGI IS administratorius);
20.5. VGI IS taikomųjų programų tinkamo veikimo atkūrimo organizavimas (vykdo Atkūrimo grupės vadovo pavaduotojas ir VGI IS administratorius);
20.6. kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas (vykdo VGI IS administratorius ir VGI IS administratorius);
20.7. Valdymo grupės informavimas apie vykdomas ir įvykdytas Atkūrimo grupės veiklas (vykdo Atkūrimo grupės vadovas ir pavaduotojas);
21. Valdymo ir Atkūrimo grupės tarpusavyje bendrauja el. paštu ar telefonu. Ne rečiau negu kartą per metus organizuojamas šių dviejų grupių susitikimas, kuriame aptariama esama situacija ir suderinami galimi jos pagerinimo būdai.
22. Įvykus elektroninės informacijos saugos incidentui:
22.1. VGI IS administratorius nedelsdamas informuoja apie elektroninės informacijos saugos incidentą VGI IS saugos įgaliotinį;
22.2. VGI IS saugos įgaliotinis apie elektroninės informacijos saugos incidentą nedelsdamas informuoja VGI viršininką;
22.3. VGI IS saugos įgaliotinis informaciją įrašo į VGI IS elektroninės informacijos saugos incidentų registravimo žurnalą (Valdymo plano 2 priedas), koordinuoja VGI IS veiklos tęstinumo detaliajame plane (Valdymo plano 1 priedas) nurodytus veiksmus;
22.4. VGI IS administratorius atkuria VGI IS techninės ir programinės įrangos veikimą, kompiuterių tinklo veiklą, VGI IS duomenis, VGI IS techninės, sisteminės ir taikomosios programinės įrangos funkcionavimą ir nedelsdamas informuoja VGI IS saugos įgaliotinį;
23. Atsarginėms patalpoms, naudojamoms VGI IS veiklai atkurti elektroninės informacijos saugos incidento atveju, keliami šie reikalavimai:
23.3. patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti įrengtos gaisro gesinimo priemonės;
23.4. patalpose turi būti įrengtas rezervinis elektros energijos šaltinis VGI IS techninei įrangai ir duomenų perdavimo tinklo mazgams, užtikrinantis įrangos veikimą ne trumpiau kaip 30 min., pagrindinio maitinimo šaltinio neveikimo atveju;
24. VGI IS veiklai atkurti elektroninės informacijos saugos incidento atveju bus naudojamasi atsarginėse patalpose, kurios yra geografiškai nutolę nuo pagrindinės VGI IS saugojimo patalpos, esančia rezervine technine įranga. Atsarginių patalpų adresas ir būdai, kaip iki jų nuvykti pateikti Valdymo plano 3 priede.
III SKYRIUS
APRAŠOMOSIOS NUOSTATOS
25. Informacija apie VGI IS techninę ir programinę įrangą ir jos parametrus nurodyta VGI IS techniniame aprašyme (specifikacijoje).
27. VGI IS administratorių pavaduojančio asmens minimalus kompetencijos ar žinių lygis negali būti žemesnis už VGI IS administratoriui keliamų reikalavimų lygį, kuris yra nurodytas VGI IS duomenų saugos nuostatuose.
28. Minimalaus funkcionalumo informacinių technologijų įrangos, VGI poreikius atitinkančiai VGI IS veiklai užtikrinti elektroninės informacijos saugos incidento metu, charakteristikos turi būti lygiavertės, arba geresnės, nei pagrindinės VGI IS techninės ir programinės įrangos charakteristikos. Šios informacinių technologijų įrangos charakteristikos pateiktos VGI IS techniniame aprašyme (specifikacijoje).
29. Patalpų brėžinius ir šiose patalpose esančios įrangos bei komunikacijų sąrašą parengia ir saugo VGI IS administratorius. Patalpų brėžiniuose turi būti pažymėta:
30. Kompiuterių tinklo fizinio ar loginio sujungimo schemas parengia ir saugo VGI IS administratorius.
31. Elektroninės informacijos teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartis saugo VGI IS administratorius.
32. Programinės įrangos laikmenos ir laikmenos su atsarginėmis duomenų kopijomis saugomos užrakintoje nedegioje spintoje, kitose patalpose, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. Atsargines duomenų kopijas VGI IS administratorius perkelia į saugojimo vietą kartą per savaitę.
33. VGI IS administratorius parengia ir saugo VGI darbuotojų sąrašą, kuriame nurodyti darbuotojų darbo telefonai, o Valdymo grupės ir Atkūrimo grupės narių – tarnybinių mobiliųjų ir namų telefonų numeriai bei gyvenamosios vietos adresai, taip užtikrinant galimybę pasiekti šiuos asmenis bet kuriuo metu.
IV SKYRIUS
PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS
34. Plano veiksmingumo išbandymo data nustatoma kiekvienų metų sausio mėnesį. Nustatytą dieną Valdymo grupės imituojamas elektroninės informacijos saugos incidentas. Jo metu už elektroninės informacijos saugos incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus. Iš atsarginių VGI IS duomenų kopijų atkuriami VGI IS duomenys.
35. Pagal bandymų rezultatus VGI IS saugos įgaliotinis parengia Valdymo plano įvertinimo ataskaitą (toliau – Ataskaita), kurioje yra atliktų bandymų rezultatai, pastebėti trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina Valdymo grupės vadovas.
36. VGI IS saugos įgaliotinis kontroliuoja Ataskaitoje nurodytų trūkumų šalinimo priemonių įgyvendinimą.
Geležinkelių transporto valstybinės priežiūros
informacinės sistemos veiklos tęstinumo
valdymo plano 1 priedas
GELEŽINKELIŲ TRANSPORTO VALSTYBINĖS PRIEŽIŪROS INFORMACINĖS SISTEMOS (VGI IS)
VEIKLOS TĘSTINUMO DETALUSIS PLANAS
Pavojaus rūšys |
Galimo pavojaus signalai |
Pasekmės likvidavimo veiksmai |
Atsakingi pasekmės likvidavimo vykdytojai |
Terminai |
1 |
2 |
3 |
4 |
5 |
1. VGI IS veikimo sutrikimas dėl gamtos reiškinių (sniego, didelio vėjo, lietaus ar žaibo išlydžio pavojus) ar vandentiekio, nuotekų ir šildymo sistemų gedimų
|
1. VGI IS saugos įgaliotinis ir administratorius informuojami automatine SMS žinute (panešimas apie netinkamą temperatūrą, oro cirkuliaciją, vandens atsiradimą, įtampos sutrikimą, apsaugos ir gaisro signalizacijos suveikimą) 2. Apie VGI IS veikimo sutrikimus praneša išoriniai sistemos naudotojai, VGI darbuotojai ar sistemos garantinės priežiūros teikėjai 3. Apie incidentą VGI IS serverinėje praneša tame pačiame pastate dirbantys ar gyvenantys žmonės 4. Suveikia VGI IS serverinės apsaugos signalizacija 5. Apie incidentą VGI IS serverinėje praneša apsaugos tarnyba
|
1.1. Įvertinama pirminė situacija ir apie tai informuojami VGI IS saugos įgaliotinis (tel. 8 682 17718) bei administratorius (tel. 8 607 94278) |
Pirmasis incidentą pastebėjęs VGI darbuotojas |
Per 15 min. nuo incidento nustatymo |
1.2. Esant poreikiui, apsaugoma įranga nuo tolimesnės žalos (pvz. atjungiama nuo elektros energijos tiekimo, pašalinamas vanduo iš patalpų, normalizuojama temperatūra,) ir/arba atliekami VGI IS saugos įgaliotinio ar administratoriaus nurodymai |
VGI darbuotojas |
Per 30 min. nuo incidento nustatymo |
||
1.3. Apie esamą situaciją informuojamas vienas iš Valstybinės geležinkelio inspekcijos prie Susisiekimo ministerijos (toliau - VGI) viršininko pavaduotojų (tel. 8 615 45929 arba 8 686 92737) |
VGI IS saugos įgaliotinis |
Per 30 min. nuo incidento nustatymo |
||
1.4. Nesant galimybei pašalinti sutrikimo, informuojama atitinkama tarnyba: vandentiekio (tel. 8 5 266 4371) šildymo tinklų (tel. 1899) |
VGI IS administratorius |
Per 30 min. nuo incidento nustatymo |
||
1.5. VGI interneto svetainėje (www.vgi.lt) patalpinamas informacinis pranešimas apie VGI IS sutrikimus ir jų pašalinimo laiką |
VGI IS administratorius |
Per 1 val. nuo incidento nustatymo |
||
1.6. Jei VGI turi galimybes, atstatomos VGI IS serverinės darbinės aplinkos sąlygos (pvz. elektros energijos atstatymas, drėgmės ir temperatūros normalizavimas, oro ventiliacijos angų atidengimas nuo pripustyto sniego ar vėjo prineštų šiukšlių ir kt.) |
VGI IS saugos įgaliotinis, VGI IS administratorius |
Per 2 val. nuo incidento nustatymo |
||
1.7. Jei VGI neturi galimybės atstatyti VGI IS serverinės darbinės aplinkos sąlygų be išorinės pagalbos, kreipiamasi į techninio aptarnavimo centrą dėl techninės įrangos priežiūros ar jos atstatymo paslaugų įsigijimo pagal poreikį |
VGI IS administratorius, VGI IS saugos įgaliotinis |
Iš karto nustačius, kad VGI neturi galimybės atstatyti VGI IS serverinės darbinės aplinkos sąlygų |
||
1.8. Koordinuojama, kad techninės įrangos priežiūros ar jos atstatymo paslaugos būtų suteiktos tinkamai ir laiku |
VGI IS administratorius, VGI IS saugos įgaliotinis |
Per 14 darbo dienų |
||
1.9. Atkuriamas VGI IS darbas. Pašalinamas informacinis pranešimas VGI interneto svetainėje (www.vgi.lt) |
VGI IS administratorius |
Per 1 val. nuo VGI IS darbo atkūrimo |
||
2. VGI IS veikimo sutrikimas dėl gaisro |
1. VGI IS saugos įgaliotinis ir administratorius informuojami automatine SMS žinute (pranešimas apie gaisro signalizacijos suveikimą) 2. Suveikia VGI IS serverinės gaisro signalizacija 3. Apie gaisrą praneša tame pačiame pastate dirbantys ar gyvenantys žmonės 4. Apie gaisrą praneša tame pačiame pastate dirbantys VGI darbuotojai 5. Apie gaisrą praneša apsaugos tarnyba
|
2.1. Jei yra galimybė, paspaudžiamas gaisro pavojaus mygtukas, esantis koridoriuje prie išėjimo durų |
Pirmasis incidentą pastebėjęs VGI darbuotojas |
Iš karto įvykus incidentui |
2.2. Apie esamą situaciją pranešama bendrajam pagalbos centrui (tel. 112) ir VGI darbuotojui atsakingam už priešgaisrinę saugą (tel. 8 682 17718) |
Pirmasis incidentą pastebėjęs VGI darbuotojas |
Iš karto įvykus incidentui |
||
2.3. Apie esamą situaciją informuojamas vienas iš VGI viršininko pavaduotojų (tel. 8 615 45929 arba 8 686 92737), VGI IS saugos įgaliotinis (tel. 8 682 17718) bei administratorius (tel. 8 607 94278) |
Už priešgaisrinę saugą atsakingas VGI darbuotojas |
Iš karto įvykus incidentui |
||
2.4. Įvertinus gaisro mastą, jei nekyla pavojus sveikatai, naudojami patalpose esantys gesintuvai gaisrui gesinti |
VGI darbuotojas |
Iš karto įvykus incidentui |
||
2.5. Jei kyla pavojus sveikatai, nedelsiant paliekamas pastatas, pranešant visiems pastate esantiems darbuotojams bei gyventojams |
VGI darbuotojas |
Iš karto įvykus incidentui |
||
2.6. Įvertinama pirminė situacija po gaisro užgesinimo |
VGI IS administratorius, VGI IS saugos įgaliotinis |
Per 3 val. po gaisro užgesinimo |
||
2.7. Atkuriamas VGI IS darbas vadovaujantis 1.5, 1.6, 1.7, 1.8, 1.9 punktais. |
VGI IS administratorius, VGI IS saugos įgaliotinis |
Priklausomai nuo įrangos atstatymo darbų apimties |
||
3. VGI IS veikimo sutrikimas dėl trečiųjų asmenų padarytos fizinės žalos (patalpų užgrobimas, teroristinė veikla, vandalizmas, vagystė) |
1. VGI IS saugos įgaliotinis ir administratorius informuojami automatine SMS žinute (pranešimas apie apsaugos signalizacijos suveikimą) 2. Suveikia VGI IS serverinės apsaugos signalizacija 3. Apie incidentą VGI IS serverinėje praneša apsaugos tarnyba 4. Apie VGI IS veikimo sutrikimus praneša išoriniai sistemos naudotojai, VGI darbuotojai ar sistemos garantinės priežiūros teikėjai 5. Apie incidentą VGI IS serverinės patalpose praneša tame pačiame pastate dirbantys ar gyvenantys žmonės 6. Apie incidentą VGI IS serverinės patalpose praneša tame pačiame pastate dirbantys VGI darbuotojai |
3.1. Nustatomas situacijos kritiškumas (pvz. ar yra akivaizdi grėsmė darbuotojų saugumui) |
Pirmasis incidentą pastebėjęs VGI darbuotojas |
Iš karto įvykus incidentui |
3.2. Apie esamą situaciją pranešama bendrajam pagalbos centrui (tel. 112) |
Pirmasis incidentą pastebėjęs VGI darbuotojas |
Iš karto įvykus incidentui |
||
3.3. Esant galimybėms, nedelsiant paliekamas pastatas, pranešant visiems pastate esantiems darbuotojams bei gyventojams. |
VGI darbuotojas |
Iš karto įvykus incidentui |
||
3.4. Esant galimybėms, užrakinamos patalpos. |
VGI darbuotojas |
Iš karto įvykus incidentui |
||
3.5. Apie esamą situaciją informuojami VGI IS saugos įgaliotinis (tel. 8 682 17718) bei VGI IS administratorius (tel. 8 607 94278) |
VGI darbuotojas |
Per 15 min. nuo incidento nustatymo |
||
3.6. Apie esamą situaciją informuojamas vienas iš VGI viršininko pavaduotojų (tel. 8 615 45929 arba 8 686 92737) |
VGI IS saugos įgaliotinis |
Per 30 min. nuo incidento nustatymo |
||
3.7. Gavus specialiųjų tarnybų leidimą įvertinama pirminė situacija po incidento |
VGI IS administratorius |
Per 1 val. po specialiųjų tarnybų leidimo |
||
3.8. Atkuriamas VGI IS darbas vadovaujantis 1.5, 1.6, 1.7, 1.8, 1.9 punktais. |
VGI IS administratorius VGI IS saugos įgaliotinis |
Priklausomai nuo įrangos atstatymo darbų apimties |
||
4. VGI IS veikimo sutrikimas dėl elektros energijos tiekimo ar interneto ryšio sutrikimo |
1. VGI IS saugos įgaliotinis ir administratorius informuojami automatine SMS žinute (pranešimas apie netinkamą temperatūrą, oro cirkuliaciją, vandens atsiradimą, įtampos sutrikimą, apsaugos ir gaisro signalizacijos suveikimą) 2. Apie VGI IS veikimo sutrikimus praneša išoriniai sistemos naudotojai, VGI darbuotojai ar sistemos garantinės priežiūros teikėjai 3. Apie sutrikimą praneša tame pačiame pastate dirbantys VGI darbuotojai
|
4.1. Įvertinamas sutrikimas (ar sutrikimas kelia grėsmę darbuotojams, ar sudėtinga pašalinti sutrikimą) ir apie susidariusią situaciją informuojami VGI IS saugos įgaliotinis (tel. 8 682 17718) bei VGI IS administratorius (tel. 8 607 94278) |
Pirmasis sutrikimą pastebėjęs VGI darbuotojas |
Per 15 min. nuo sutrikimo nustatymo |
4.2. Esant galimybei sutrikimas pašalinamas nesikreipiant išorinės pagalbos |
VGI IS administratorius VGI IS saugos įgaliotinis |
Per 30 min. nuo sutrikimo nustatymo |
||
4.3. Apie esamą situaciją informuojamas vienas iš VGI viršininko pavaduotojų (tel. 8 615 45929 arba 8 686 92737) |
VGI IS saugos įgaliotinis |
Per 30 min. nuo sutrikimo nustatymo |
||
4.4. Nesant galimybei pašalinti sutrikimo, informuojama atitinkama tarnyba: elektros energijos tiekimo (tel. 1876), interneto tiekimo (tel. 8 5 239 1727) |
VGI IS administratorius
|
Per 1 val. nuo sutrikimo nustatymo |
||
4.5. VGI interneto svetainėje (www.vgi.lt) patalpinamas informacinis pranešimas apie VGI IS sutrikimus ir jų pašalinimo laiką |
VGI IS administratorius |
Per 1 val. nuo sutrikimo nustatymo |
||
4.6. Atkuriamas VGI IS darbas vadovaujantis 1.7, 1.8, 1.9 punktais. |
VGI IS administratorius, VGI IS saugos įgaliotinis |
Priklausomai nuo įrangos atstatymo darbų apimties |
||
5. VGI IS veikimo sutrikimas dėl techninės ar programinės įrangos gedimo |
1. VGI IS saugos įgaliotinis ir administratorius informuojami automatine SMS žinute (pranešimas apie netinkamą temperatūrą, oro cirkuliaciją, vandens atsiradimą, įtampos sutrikimą, apsaugos ir gaisro signalizacijos suveikimą) 2. Apie VGI IS veikimo sutrikimus praneša išoriniai sistemos naudotojai, VGI darbuotojai ar sistemos garantinės priežiūros teikėjai 3. Apie gedimą praneša tame pačiame pastate dirbantys ar gyvenantys žmonės 4. Apie gedimą praneša tame pačiame pastate dirbantys VGI darbuotojai 5. Klaidingai suveikia VGI IS serverinės apsaugos signalizacija 6. Klaidingai suveikia VGI IS serverinės gaisro signalizacija |
5.1. Įvertinama situacija ir apie tai informuojami VGI IS saugos įgaliotinis (tel. 8 682 17718) bei VGI IS administratorius (tel. 8 607 94278) |
Pirmasis gedimą pastebėjęs VGI darbuotojas |
Per 15 min. nuo gedimo nustatymo |
5.2. Jei įmanoma, nustatoma, koks techninės ar programinės įrangos gedimas įvyko. |
VGI IS saugos įgaliotinis, VGI IS administratorius |
Per 30 min. nuo gedimo nustatymo |
||
5.3. Įvertinama, ar galima atstatyti techninės/programinės įrangos darbą be išorinės pagalbos |
VGI IS saugos įgaliotinis, VGI IS administratorius |
Per 30 min. nuo gedimo nustatymo |
||
5.4. Apie esamą situaciją informuojamas vienas iš VGI viršininko pavaduotojų (tel. 8 615 45929 arba 8 686 92737) |
VGI IS saugos įgaliotinis
|
Per 30 min. nuo gedimo nustatymo |
||
5.5. Jei išorinė pagalba nebūtina, gedimas pašalinami panaudojant VGI resursus |
VGI IS saugos įgaliotinis VGI IS administratorius |
Per 4 val. nuo gedimo nustatymo |
||
5.6. VGI interneto svetainėje (www.vgi.lt) patalpinamas informacinis pranešimas apie VGI IS sutrikimus ir jų pašalinimo laiką |
VGI IS administratorius
|
Per 1 val. nuo gedimo nustatymo |
||
5.7. Atkuriamas VGI IS darbas vadovaujantis 1.7, 1.8, 1.9 punktais.
|
VGI IS administratorius, VGI IS saugos įgaliotinis |
Priklausomai nuo gedimo šalinimo darbų pobūdžio |
||
6. VGI IS duomenų manipuliavimas (elektroninių duomenų pasisavinimas, platinimas, paskelbimas, pakeitimas kitais elektroniniais duomenimis, elektroninių duomenų iškraipymas) |
1. Apie VGI IS saugomų duomenų nebuvimą ar klaidas praneša išoriniai sistemos naudotojai, VGI darbuotojai ar sistemos garantinės priežiūros teikėjai
|
6.1. Įvertinama situacija ir apie tai informuojami VGI IS saugos įgaliotinis (tel. 8 682 17718) bei VGI IS administratorius (tel. 8 607 94278) |
Pirmasis incidentą pastebėjęs VGI darbuotojas |
Per 15 min. nuo incidento nustatymo |
6.2. Nustatomos susidariusią situaciją sukėlusios priežastys (pvz. ar duomenys prarasti kibernetinio įsilaužimo metu) |
VGI IS saugos įgaliotinis, VGI IS administratorius |
Per 1 val. nuo incidento nustatymo |
||
6.3. Apie esamą situaciją informuojamas vienas iš VGI viršininko pavaduotojų (tel. 8 615 45929 arba 8 686 92737) |
VGI IS saugos įgaliotinis |
Per 30 min. nuo incidento nustatymo |
||
6.4. Informuojamos už kibernetinį saugumą atsakingos tarnybos: Nacionalinis kibernetinio saugumo centras (tel. 8 5 210 3849), Lietuvos Respublikos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys (tel. 8 5 210 5679) |
VGI IS saugos įgaliotinis |
Per 4 val. nuo incidento nustatymo |
||
6.5. VGI interneto svetainėje (www.vgi.lt) patalpinamas informacinis pranešimas apie VGI IS sutrikimus ir jų pašalinimo laiką |
VGI IS administratorius |
Per 30 min. nuo incidento nustatymo |
||
6.6. Vykdomi atsakingos tarnybos nurodymai |
VGI IS saugos įgaliotinis, VGI IS administratorius |
Iš karto gavus nurodymus |
||
6.7. Jei išorinė pagalba nebūtina, sutrikimai pašalinami panaudojant VGI resursus |
VGI IS saugos įgaliotinis, VGI IS administratorius |
Per 4 val. nuo incidento nustatymo |
||
6.8. Jei nėra galimybės atstatyti veiklos be išorinės pagalbos, kreipiamasi į išorinius tiekėjus dėl sistemos atstatymo/sutaisymo, detalizuojant jos gedimus |
VGI IS saugos įgaliotinis |
Per 1 val. nuo incidento nustatymo |
||
6.9. Atstatomas VGI IS veikimas |
VGI IS saugos įgaliotinis, VGI IS administratorius |
Priklausomai nuo sutrikimų atstatymo darbų pobūdžio |
||
6.10. Pašalinamas informacinis pranešimas VGI interneto svetainėje (www.vgi.lt) |
VGI IS administratorius |
Per 15 min. nuo VGI IS veikimo atstatymo |
Geležinkelio transporto valstybinės priežiūros informacinės sistemos veiklos tęstinumo valdymo plano
2 priedas
(Elektroninės informacijos saugos incidentų registravimo žurnalo formos pavyzdys)
GELEŽINKELIO TRANSPORTO VALSTYBINĖS PRIEŽIŪROS INFORMACINĖS SISTEMOS
Elektroninės informacijos saugos incidentų REGISTRAVIMO ŽURNALAS
Pildymo pradžia 20___m.___________________d.
Eil. Nr. |
Elektroninės informacijos saugos incidentas |
||||||
VGI IS tvarkymo įstaigos pavadinimas |
Požymio kodas |
Įvykio aprašymas |
Pradžia (metai, mėnuo, diena, valanda) |
Pabaiga (metai, mėnuo, diena, valanda) |
Pašalino (vardas, pavardė) |
Saugos įgaliotinis (vardas, pavardė, parašas) |
|
1 |
|
|
|
|
|
|
|
2 |
|
|
|
|
|
|
|
3 |
|
|
|
|
|
|
|
4 |
|
|
|
|
|
|
|
5 |
|
|
|
|
|
|
|
6 |
|
|
|
|
|
|
|
Elektroninės informacijos saugos incidento situacijos požymiai:
1. oro sąlygos; 2. gaisras; 3. patalpų užgrobimas; 4. patalpai padaryta žala arba patalpos praradimas; 5. energijos tiekimo sutrikimai; 6. vandentiekio ir šildymo sistemos sutrikimai; 7. ryšio sutrikimai; 8. tarnybinės stoties, komutacinės įrangos sugadinimas, praradimas; 9. programinės įrangos sugadinimas, praradimas; 10. duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas; 11. darbuotojų praradimas.
Geležinkelio transporto valstybinės priežiūros informacinės sistemos veiklos tęstinumo valdymo plano
3 priedas
ATSARGINIŲ PATALPŲ, NAUDOJAMŲ GELEŽINKELIO TRANSPORTO VALSTYBINĖS PRIEŽIŪROS INFORMACINĖS SISTEMOS VEIKLAI ATKURTI ELEKTRONINĖS INFORMACIJOS SAUGOS INCIDENTO ATVEJU, ADRESAS IR BŪDAI, KAIP IKI JŲ NUVYKTI