PATVIRTINTA
Lietuvos Respublikos susisiekimo ministro

2022 m. lapkričio 21 d. įsakymu Nr. 3-519

VALSTYBINĖS IR VIETINĖS REIKŠMĖS KELIŲ TURTO VALDYMO

INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) reglamentuoja tvarką, užtikrinančią Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos (toliau – KTVIS) techninės, programinės įrangos funkcionavimą, saugų KTVIS elektroninės informacijos tvarkymą ir jos teikimą elektroninės informacijos gavėjams pagal teisės aktų nustatytus reikalavimus.

2. Taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Aprašas), ir Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“.

3. Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, ir kituose teisės aktuose vartojamas sąvokas.

4. Taisyklės taikomos:

4.1. valstybės įmonės Lietuvos automobilių kelių direkcijos (toliau – Kelių direkcija) darbuotojams, dirbantiems pagal darbo sutartis ir turintiems teisę naudotis KTVIS ištekliais numatytoms funkcijoms atlikti (toliau – Kelių direkcijos darbuotojai);

4.2. Kelių direkcijos Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinkto juridinio asmens ar asmenų (asmenų grupės), kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos KTVIS ir (ar) jos infrastuktūros priežiūros funkcijos (toliau – KTVIS paslaugos teikėjas (-ai)), darbuotojams, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantiems ir (ar) tvarkantiems KTVIS elektroninę informaciją (toliau – KTVIS paslaugos teikėjo (-ų) darbuotojai);

4.3. Kelių direkcijos rangovų teisės aktų nustatyta tvarka paskirtiems atstovams arba laimėjusiems Kelių direkcijos skelbtus duomenų rinkimo, tikrinimo, tikslinimo ir analizavimo konkursus (toliau – rangovai) atstovams, vietinės reikšmės kelių valdytojų arba savininkų atstovams, valstybės tarnautojams ar darbuotojams, dirbantiems pagal darbo sutartis valstybės ar savivaldybių institucijose ar įstaigose, kurie naudojasi KTVIS elektronine paslauga (toliau – KTVIS išoriniai naudotojai);

4.4. KTVIS administratoriui (toliau – administratorius);

4.5. KTVIS paslaugos teikėjo (-ų) vadovo (-ų) paskirtam administratoriui (toliau – KTVIS paslaugos teikėjo administratorius);

4.6. KTVIS duomenų valdymo įgaliotiniui;

4.7. KTVIS saugos įgaliotiniui (toliau – saugos įgaliotinis);

4.8. asmeniui, atsakingam už kibernetinio saugumo organizavimą ir užtikrinimą (toliau – kibernetinio saugumo vadovas);

4.9. valstybės debesijos paslaugų teikėjui.

5. KTVIS tvarkoma elektroninė informacija yra priskiriama svarbios elektroninės informacijos kategorijai, o KTVIS pagal informacijos svarbą yra priskiriama antrai kategorijai.

6. KTVIS tvarkoma elektroninė informacija skirstoma į šias grupes:

6.1. administratoriaus tvarkoma informacija:

6.1.1. konfigūracijos parametrai;

6.1.2. Kelių direkcijos darbuotojų, KTVIS paslaugos teikėjo (-ų) darbuotojų (toliau kartu – KTVIS vidiniai naudotojai) ir KTVIS išorinių naudotojų registravimo, prieigos teisių ir veiksmų valdymo duomenys;

6.2. valstybės debesijos paslaugų teikėjo tvarkomos KTVIS atsarginės kopijos;

6.3. KTVIS vidinių naudotojų ir KTVIS išorinių naudotojų (toliau kartu – KTVIS naudotojai) tvarkoma elektroninė informacija, kurios sąrašas pateiktas KTVIS nuostatų, patvirtintų Lietuvos Respublikos susisiekimo ministro 2021 m. spalio 25 d. įsakymu Nr. 3-497 „Dėl Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos nuostatų ir Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“, III skyriuje.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

7. Saugiam KTVIS elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, sisteminės ir taikomosios programinės įrangos, duomenų perdavimo tinklų, fizinės, techninės ir organizacinės elektroninės informacijos saugos priemonės.

8. Kompiuterinės įrangos saugos priemonės:

8.1. visose KTVIS tarnybinėse stotyse ir kompiuterizuotose darbo vietose įdiegta ir reguliariai atnaujinama virusų ir kenkėjiško kodo aptikimo bei šalinimo programinė įranga, skirta kompiuteriams ir laikmenoms tikrinti; kompiuterizuotose darbo vietose naudojamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės yra reguliariai atnaujinamos;

8.2. KTVIS tarnybinės stotys apsaugomos nuo elektros srovės nutrūkimo ir svyravimų naudojant rezervinius elektros įvadus, vietinius elektros generatorius, nenutrūkstamo maitinimo šaltinius (UPS), skirtus svarbiausiai kompiuterinei įrangai, užtikrinančius šios įrangos veikimą ne mažiau kaip 30 minučių;

8.3. prieigos prie KTVIS tarnybinių stočių (serverių) kontrolės užtikrinamas suteikiant prieigos prie KTVIS tarnybinių stočių teises tik administratoriui, valstybės debesijos paslaugų teikėjo atstovui bei KTVIS paslaugos teikėjo (-ų) darbuotojui;

8.4. svarbiausios kompiuterinės įrangos, duomenų perdavimo tinklo mazgų ir ryšio linijų dubliavimas, jų techninės būklės nuolatinė stebėsena;

8.5. serverinės įrangos virtualizavimo ir šios įrangos techninės būklės nuolatinė stebėsena;

8.6. KTVIS naudotojų naudojamos techninės kompiuterinės įrangos priežiūra ir tvarkymas;

8.7. kompiuterinės įrangos gedimų registravimas kompiuterinės įrangos gedimų žurnale;

8.8. kontroliuojamas techninės įrangos įnešimas į KTVIS tvarkytojo patalpas ir išnešimas iš jų:

8.8.1. visa techninė įranga į tarnybinių stočių patalpas įnešama ir išnešama iš jų tik šią įrangą administruojantiems administratoriams leidus;

8.8.2. esant tarnybiniam būtinumui, mobilieji įrenginiai, naudojami prisijungti prie KTVIS, gali būti naudojami ne darbo vietos patalpose; už mobiliojo įrenginio fizinę saugą atsakingas mobiliojo įrenginio naudotojas;

8.9. kompiuterines laikmenas ir jose esančią KTVIS elektroninę informaciją sunaikina Kelių direkcijos darbuotojai, prižiūrintys kompiuterių techninę įrangą:

8.9.1. kompiuterinėse laikmenose esanti elektroninė informacija sunaikinama, užtikrinant tokį jose esamos elektroninės informacijos tinkamą sunaikinimą, kad jos nebūtų galima atkurti standartinėmis ar specialiosiomis duomenų atkūrimo priemonėmis;

8.9.2. neveikiančios kompiuterinės laikmenos sunaikinamos fiziškai taip, kad jose esančios elektroninės informacijos turinio negalima būtų atkurti (pvz., kompaktinio disko plokštelės smulkinamos į ne mažesnius nei 1 kv. cm gabalėlius) arba inicijuojamas perdirbimo paslaugų viešasis pirkimas;

8.10. iš stacionariųjų, nešiojamųjų kompiuterių, mobiliųjų įrenginių ar elektroninės informacijos laikmenų, kurios perduodamos remonto, techninės priežiūros paslaugų teikėjui, kitam KTVIS naudotojui arba yra nurašomos, turi būti neatkuriamai sunaikinta visa nevieša elektroninė informacija.

9. Sisteminės ir taikomosios programinės įrangos saugos priemonės:

9.1. KTVIS tarnybinėse stotyse, KTVIS vidinių naudotojų kompiuterinėse darbo vietose naudojama tik legali programinė įranga;

9.2. programinės įrangos diegimą, priežiūrą ir gedimų šalinimą atlieka tik kvalifikuoti specialistai, administratoriai;

9.3. rengiamas leistinos programinės įrangos sąrašas reguliariai atnaujinamas;

9.4. programinės įrangos įdiegimo į KTVIS vidinių naudotojų kompiuterius ribojimas ir nuolatinis KTVIS programinės įrangos stebėsenos vykdymas;

9.5. prisijungimo duomenys, suteikiantys teisę dirbti su KTVIS tarnybinėmis stotimis ir jų administravimo programine įranga, yra prieinami tik administratoriui ir KTVIS paslaugos teikėjo
(-ų) darbuotojui;

9.6. prieigos teisės KTVIS naudotojams dirbti su programine įranga suteikiamos KTVIS naudotojų administravimo taisyklių nustatyta tvarka;

9.7. KTVIS naudotojams jų naudojamų kompiuterių operacinėse sistemose suteikiamos teisės, būtinos tiesioginėms darbo (tarnybos) funkcijoms vykdyti;

9.8. KTVIS naudotojų tapatybei, KTVIS naudotojų veiksmams, atliekamiems KTVIS, nustatyti taikomos programinės priemonės;

9.9. KTVIS techninė ir programinė įranga prižiūrima laikantis gamintojo rekomendacijų;

9.10. programinė įranga testuojama naudojant atskirą testavimo aplinką;

9.11. KTVIS vidinių naudotojų darbo vietose gali būti naudojamos tik tarnybinėms reikmėms skirtos išorinės elektroninės informacijos laikmenos (pvz., USB, CD, DVD ir kt.); šios laikmenos negali būti naudojamos veiklai, nesusijusiai su teisėtu KTVIS tvarkymu.

10. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

10.1. KTVIS naudotojas internetu jungiasi prie ugniasiene (angl. Firewall) apsaugotų tarnybinių stočių, kuriose yra KTVIS, naudodamas unikalius identifikacinius prisijungimo duomenis;

10.2. saugus elektroninės informacijos teikimas ir (ar) gavimas iš kitų valstybės institucijų užtikrinamas naudojantis Saugiojo valstybinio duomenų perdavimo tinklo priemonėmis;

10.3. viešaisiais tinklais siunčiami KTVIS duomenys yra šifruojami;

10.4. KTVIS elektroninės informacijos perdavimo tinklas atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienę; DOS ir DDOS atakų prevencijai skirta įranga bei įsilaužimų aptikimo ir prevencijos įranga; ugniasienės įvykių žurnalai (angl. Logs) reguliariai analizuojami, o ugniasienės saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos;

10.5. prisijungti nuotoliniu būdu prie KTVIS galima naudojant virtualų privatų tinklą (angl. Virtual Private Network, VPN) ir kitus duomenų šifravimo būdus (SSL, HTTPS ar lygiaverčius).

11. KTVIS naudojamų svetainių, pasiekiamų iš viešųjų elektroninių ryšių tinklų, saugumas ir kontrolė:

11.1. atpažinties, tapatumo patvirtinimo ir naudojimosi kontrolės reikalavimai:

11.1.1. draudžiama slaptažodžius saugoti programiniame kode;

11.1.2. svetainės, patvirtinančios nuotolinio prisijungimo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius;

11.2. turi būti įgyvendinti svetainės kriptografijos reikalavimai:

11.2.1. svetainės administravimo darbai turi būti atliekami per šifruotą ryšio kanalą, šifruojant ne trumpesniu kaip 128 bitų raktu;

11.2.2. šifruojant naudojami skaitmeniniai sertifikatai privalo būti išduoti patikimų sertifikavimo tarnybų; sertifikato raktas turi būti ne trumpesnis kaip 2 048 bitų;

11.2.3. turi būti naudojamas TLS (angl. Transport Layer Security) standartas, užtikrinantis KTVIS naudotojo ir tarnybinės stoties abipusį tapatumo nustatymą, kad būtų užtikrintas šifruotas ryšys;

11.2.4. svetainės kriptografinės funkcijos turi būti įdiegtos tarnybinės stoties, kurioje yra svetainė, dalyje arba kriptografiniame saugumo modulyje (angl. Hardware Security Module);

11.3. draudžiama tarnybinėje stotyje saugoti sesijos duomenis (identifikatorių), pasibaigus susijungimo sesijai;

11.4. turi būti naudojama svetainės (angl. Web Application) ugniasienė; įsilaužimo atakų pėdsakai (angl. Attack Signature) turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius; naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos, jeigu KTVIS tvarkytojo įgalioto asmens sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio informacinės sistemos veiklai vertinimas (testavimas);

11.5. turi būti naudojamos apsaugos nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL Injection), įterptinių instrukcijų atakų (angl. Cross-site scripting, XSS), atkirtimo nuo paslaugos (angl. Denial of Service, DOS), paskirstyto atsisakymo aptarnauti (angl. Distributed Denial of Service, DDOS) ir kitų, priemonės; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project, OWASP) interneto svetainėje;

11.6. turi būti naudojama svetainės naudotojo įvedamų duomenų tikslumo kontrolė (angl. Validation);

11.7. tarnybinė stotis, kurioje yra svetainė, neturi rodyti svetainės naudotojui klaidų pranešimų apie svetainės programinį kodą ar tarnybinę stotį;

11.8. svetainės saugumo priemonės turi gebėti automatiškai uždrausti prieigą prie tarnybinės stoties iš IP adresų, vykdžiusių grėsmingą veiklą (nesankcionuoti mėginimai prisijungti, įterpti SQL intarpus ir panašiai);

11.9. tarnybinė stotis, kurioje yra svetainė, turi leisti tik svetainės funkcionalumui užtikrinti reikalingus HTTP metodus;

11.10. turi būti uždrausta naršyti svetainės aplankuose (angl. Directory Browsing);

11.11. turi būti įdiegta svetainės turinio nesankcionuoto pakeitimo (angl. Defacement) stebėsenos sistema.

12. Patalpų ir aplinkos saugumo užtikrinimo priemonės:

12.1. įrengta elektroninė perimetro kontrolės sistema; tarnybinių stočių patalpos turi atskirą elektroninę perimetro kontrolės sistemą;

12.2. įrengta tarnybinių stočių patalpų apsaugos signalizacija, kurios signalai, įvykus gaisrui ar įsilaužimui (bandymui įsilaužti), automatizuotu būdu perduodami už patalpų apsaugą atsakingiems asmenims;

12.3. patalpos turi atitikti priešgaisrinės saugos reikalavimus, turi būti gaisro gesinimo priemonės, atliekama gaisro gesinimo priemonių patikra.

13. Kitos priemonės, naudojamos elektroninės informacijos saugai užtikrinti:

13.1. programiniu būdu registruojami KTVIS naudotojų veiksmai, atliekami su KTVIS elektronine informacija;

13.2. KTVIS naudotojams suteikiamos minimalios prieigos prie KTVIS teisės tik tiesioginėms darbo (tarnybos) funkcijoms vykdyti;

13.3. KTVIS tarnybinių stočių įvykių žurnaluose, apsaugotuose nuo neteisėto juose esančių duomenų naudojimo, keitimo, iškraipymo, sunaikinimo, registruojami ir ne mažiau kaip vienus metus saugomi duomenys apie KTVIS tarnybinių stočių, informacinės sistemos taikomosios programinės įrangos įjungimą, išjungimą, audito funkcijos įjungimą, išjungimą, audito įrašų trynimą, kūrimą, keitimą, laiko ir (ar) datos pakeitimą, sėkmingus ir nesėkmingus bandymus registruotis informacinės sistemos tarnybinėse stotyse, KTVIS taikomojoje programinėje įrangoje, visus KTVIS naudotojų vykdomus veiksmus (elektroninės informacijos įvedimas, peržiūra, keitimas, atnaujinimas, naikinimas ir kiti elektroninės informacijos tvarkymo veiksmai), kitus elektroninės informacijos saugai svarbius įvykius, nurodant KTVIS naudotojo, administratoriaus ar KTVIS paslaugos teikėjo (-ų) darbuotojų identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo datą ir laiką, įvykio ar veiksmo rezultatą; šie duomenys saugomi ne toje pačioje informacinėje sistemoje, kurioje jie įrašomi, taip pat jie analizuojami administratoriaus ne rečiau kaip kartą per savaitę;

13.4. KTVIS naudotojų kompiuteriuose įdiegtos ekrano užsklandos (angl. Screensaver), apsaugotos slaptažodžiu (režimo aktyvavimo laikas – ne daugiau kaip 10 minučių);

13.5. KTVIS vidiniam naudotojui neatliekant jokių veiksmų KTVIS 15 minučių, KTVIS taikomoji programinė įranga užsirakina ir toliau naudotis KTVIS galima tik pakartotinai atlikus savo tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;

13.6. KTVIS saugos atitikties vertinimas atliekamas ne rečiau kaip kartą per metus.

III SKYRIUS

Saugus ELEKTRONINĖS INFORMACIJOS TVARKYMAS

14. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo užtikrinimo tvarka:

14.1. KTVIS elektroninę informaciją keisti, atnaujinti, įrašyti ir naikinti gali tik KTVIS naudotojai pagal suteiktas prieigos prie KTVIS teises;

14.2. KTVIS privalo turėti įvestos elektroninės informacijos tikslumo, užbaigtumo ir patikimumo tikrinimo priemones;

14.3. KTVIS naudotojų duomenis įrašyti, keisti, atnaujinti gali tik KTVIS naudotojų administratorius;

14.4. KTVIS elektroninė informacija įrašoma, atnaujinama, keičiama ir naikinama vadovaujantis KTVIS nuostatais, patvirtintais Lietuvos Respublikos susisiekimo ministro 2021 m. spalio 25 d. įsakymu Nr. 3-497 „Dėl Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos nuostatų ir Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“.

15. KTVIS naudotojų veiksmų registravimo tvarka:

15.1. KTVIS naudotojų tapatybė ir veiksmai su KTVIS įrašomi automatiniu būdu KTVIS duomenų bazės veiksmų žurnale, apsaugotame nuo neteisėto jame esančių duomenų panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;

15.2. KTVIS duomenų bazės veiksmų žurnalo duomenys prieinami tik administratoriui.

16. Prarasta, iškraipyta ar sunaikinta KTVIS elektroninė informacija atkuriama iš atsarginių kopijų. Atsarginės kopijos daromos, saugomos ir elektroninė informacija atkuriama iš atsarginių kopijų tokia tvarka:

16.1. už atsarginių KTVIS elektroninės informacijos kopijų darymą, jos atkūrimą ir atsarginių kopijų apsaugą yra atsakingas valstybės debesijos paslaugų teikėjas;

16.2. KTVIS elektroninė informacija privalo būti kopijuojama ir saugoma tokios apimties, kad elektroninės informacijos praradimo atveju visišką KTVIS funkcionalumą ir veiklą būtų galima atkurti ne ilgiau nei per 12 valandų;

16.3. elektroninė informacija atsarginėse kopijose privalo būti užšifruota; šifravimo raktai turi būti saugomi atskirai nuo atsarginių kopijų;

16.4. elektroninės informacijos atsarginių kopijų darymas fiksuojamas atsarginių kopijų darymo žurnale;

16.5. KTVIS duomenų saugykloje realiu laiku yra dubliuojama visa KTVIS elektroninė informacija;

16.6. visos KTVIS elektroninės informacijos kopijos į rezervinio kopijavimo biblioteką perkeliamos vieną kartą per 12 valandų;

16.7. visiški ir daliniai KTVIS elektroninės informacijos atkūrimo bandymai atliekami vieną kartą per metus;

16.8. už visiško ir dalinio KTVIS elektroninės informacijos atkūrimo bandymus yra atsakingi administratorius ir saugos įgaliotinis; administratorius su saugos įgaliotiniu parengia ir suderina visiško ir dalinio KTVIS elektroninės informacijos atkūrimo bandymų metodus ir kartu su valstybės debesijos paslaugų teikėjo atstovu užtikrina atsarginių KTVIS elektroninės informacijos kopijų saugojimo ir atsarginių kopijų darymo kontrolę.

17. Saugaus elektroninės informacijos perkėlimo ir teikimo susijusioms informacinėms sistemoms, elektroninės informacijos gavimo iš jų užtikrinimo tvarka:

17.1. už KTVIS naudotojų administravimą ir iš valstybės registrų ir kitų susijusių informacinių sistemų teikiamos elektroninės informacijos atnaujinimą KTVIS yra atsakingas administratorius;

17.2. elektroninės informacijos mainai tarp KTVIS ir susijusių informacinių sistemų vykdomi su šių informacinių sistemų valdytojais sudarytose duomenų teikimo sutartyse numatytais būdais, terminais ir numatytos apimties;

17.3. reorganizuojamos arba likviduojamos KTVIS elektroninė informacija privalo būti saugiai perduota kitai informacinei sistemai, valstybės archyvams arba sunaikinama Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

18. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neteisėti veiksmai) nustatymo tvarka:

18.1. administratorius, užtikrindamas KTVIS elektroninės informacijos vientisumą, privalo naudoti visas įmanomas fizines, programines ir organizacines priemones, skirtas KTVIS ir joje tvarkomai elektroninei informacijai apsaugoti nuo neteisėtų veiksmų;

18.2. KTVIS naudotojas, įtaręs, kad su KTVIS buvo atlikti ar yra atliekami neteisėti veiksmai, privalo pranešti apie tai saugos įgaliotiniui ir administratoriui, o šis, atsiradus įtarimų dėl neteisėtų veiksmų su KTVIS, naudodamasis KTVIS duomenų bazės veiksmų žurnalo įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su KTVIS programine įranga ir (ar) elektronine informacija;

18.3. administratorius, įtaręs, kad su KTVIS atliekami neteisėti veiksmai, privalo apie tai pranešti saugos įgaliotiniui;

18.4. saugos įgaliotinis, gavęs administratoriaus pranešimą apie įvykdytus ar vykdomus neteisėtus veiksmus su KTVIS arba su KTVIS tvarkoma elektronine informacija, inicijuoja saugos incidento valdymo procedūras, nustatytas KTVIS veiklos tęstinumo valdymo plane;

18.5. siekiant nustatyti, ar su KTVIS ar jos elektronine informacija nėra vykdoma neteisėta veikla, visus įvykių žurnaluose saugomus įrašus analizuoja administratorius ne rečiau kaip kartą per savaitę.

19. Programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:

19.1. tarnybinėse stotyse programinę įrangą, reikalingą KTVIS darbui, diegia ir tvarko administratorius;

19.2. organizuojami KTVIS naudotojų darbo su nauja programine ir technine įranga mokymai;

19.3. naudojama tik sertifikuota programinė ir techninė įranga;

19.4. naujinant techninę, programinę ir sisteminę įrangą galioja pokyčių valdymo tvarka;

19.5. programinės ir techninės įrangos keitimo ir atnaujinimo tvarką su KTVIS paslaugos teikėju (-ais), priklausomai nuo konkretaus atvejo, derina administratorius arba ji aprašoma paslaugų, susijusių su KTVIS programinės ir techninės įrangos keitimu ir atnaujinimu, teikimo sutartyse.

20. KTVIS pokyčių valdymo tvarka:

20.1. KTVIS tvarkytojas užtikrina pokyčių identifikavimą, pokyčių suskirstymą į kategorijas, atsižvelgiant į pokyčių svarbą, aktualumą, poreikį ir panašiai, pokyčių įtakos vertinimą, pokyčių prioritetų nustatymą, pokyčių atlikimą;

20.2. pokyčiai identifikuojami nustačius KTVIS naudotojų, administratoriaus poreikius, apibendrinus kylančias KTVIS priežiūros problemas ir kitais gerosios praktikos įvardijamais atvejais;

20.3. visi potencialūs pokyčiai registruojami pokyčių registre, KTVIS valdytojui ir tvarkytojui patvirtinus pokyčių įtakos vertinimą ir jų atlikimo prioritetus;

20.4. visi pokyčiai atliekami tik KTVIS valdytojo ir tvarkytojo, saugos įgaliotinio ar administratoriaus iniciatyva;

20.5. prieš atliekant pokyčius, kurių metu gali iškilti grėsmė KTVIS elektroninės informacijos konfidencialumui, vientisumui ar pasiekiamumui, visi pokyčiai privalo būti išbandomi testavimo aplinkoje, kuri yra identiška gamybinei aplinkai;

20.6. įgyvendinant pokyčius, kurių metu galimi KTVIS veikimo sutrikimai, administratorius privalo ne vėliau kaip prieš dvi darbo dienas iki planuojamų pokyčių pradžios (elektroniniu paštu ar kitomis priemonėmis) informuoti saugos įgaliotinį ir KTVIS naudotojus apie tokių darbų pradžią ir galimus sutrikimus;

20.7. atlikus pokyčių testavimą, jeigu testavimas sėkmingas, pokyčiai perkeliami į gamybinę aplinką;

20.8. visi pokyčiai, perkelti į gamybinę aplinką, registruojami ir apie tai informuojamas administratorius bei KTVIS naudotojai.

21. Nešiojamiesiems kompiuteriams ir kitiems mobiliesiems įrenginiams taikomi tokie patys elektroninės informacijos saugos ir kibernetinio saugumo reikalavimai kaip ir stacionariesiems kompiuteriams.

22. Nešiojamųjų kompiuterių, naudojamų prisijungti prie KTVIS, naudojimo tvarka:

22.1. nešiojamieji kompiuteriai negali būti palikti be priežiūros; jei įmanoma, KTVIS naudotojas turi laikyti nešiojamąjį kompiuterį prie savęs visą laiką, ypač viešosiose vietose;

22.2. nešiojamąjį kompiuterį naudojant ne darbo vietos patalpoje, patalpa, kurioje jis paliekamas, turi būti užrakinama net ir trumpam jį paliekant; nešiojamąjį kompiuterį paliekant ilgesniam laikui, jis turi būti išjungiamas;

22.3. prie nešiojamojo kompiuterio gali būti jungiami tik KTVIS naudotojų tarnybinėms funkcijoms atlikti reikalingi įrenginiai;

22.4. turi būti įdiegiami operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;

22.5. turi būti parengti nešiojamųjų kompiuterių operacinių sistemų atvaizdai su saugumo nuostatomis; atvaizde turi būti nustatyti tik veiklai būtini operacinių sistemų komponentai (administravimo paskyros, paslaugos (angl. Services), taikomosios programos, tinklo prievadai, atnaujinimai, sisteminės priemonės); atvaizdai turi būti reguliariai peržiūrimi ir atnaujinami, nedelsiant atnaujinami nustačius naujų pažeidimo galimybių ar atakų;

22.6. duomenys, perduodami tarp nešiojamojo kompiuterio ir KTVIS, turi būti šifruojami taikant VPN technologiją;

22.7. turi būti užtikrinta laikmenų apsauga (turi būti šifruojami duomenys tiek nešiojamųjų kompiuterių laikmenose, tiek išorinėse kompiuterinėse laikmenose).

23. Mobiliųjų įrenginių (išmaniųjų telefonų ir (ar) planšečių), naudojamų prisijungti prie KTVIS, naudojimo tvarka:

23.1. mobilieji įrenginiai negali būti palikti be priežiūros; jei įmanoma, KTVIS naudotojas turi laikyti mobilųjį įrenginį prie savęs visą laiką, ypač viešosiose vietose;

23.2. mobilųjį įrenginį naudojant ne darbo vietos patalpoje, patalpa, kurioje jis paliekamas, turi būti užrakinama net ir trumpam jį paliekant; mobilųjį įrenginį paliekant ilgesniam laikui, jis turi būti išjungiamas;

23.3. mobilieji įrenginiai turi būti apsaugoti saugiais slaptažodžiais; esant galimybei, mobilusis įrenginys užrakinamas naudojant PIN kodą, atrakinimo piešinį, slaptažodį ar biometrinius duomenis;

23.4. turi būti naudojamos priemonės, kurios automatiškai apribotų neleistinus ar saugumo reikalavimų neatitinkančius mobiliuosius įrenginius arba informuotų administratorių apie neleistinos mobiliosios įrangos prijungimą prie KTVIS;

23.5. esant galimybei mobiliajame įrenginyje įdiegiama kenksmingos programinės įrangos aptikimo programinė įranga ir programinė įranga, leidžianti mobiliojo įrenginio vagystės ar praradimo atveju nuotoliniu būdu užrakinti mobilųjį įrenginį ir (ar) iš jo pašalinti elektroninę informaciją;

23.6. turi būti įdiegiami operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;

23.7. mobiliuosiuose įrenginiuose nenaudojamos belaidžio ryšio funkcijos yra išjungtos;

23.8. mobilieji įrenginiai, kuriais naršoma internete, privalo būti apsaugoti nuo judriųjų programų (angl. Mobile Code) keliamų grėsmių;

23.9. duomenys, perduodami tarp mobiliojo įrenginio ir KTVIS, turi būti šifruojami taikant VPN technologiją.

IV SKYRIUS

REIKALAVIMAI, KELIAMI KTVIS FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

24. Paslaugų teikėjas – KTVIS funkcionuoti reikalingų paslaugų teikėjas, darbų vykdytojas ar prekių (įrangos) tiekėjas turi atitikti standartų, Taisyklių nustatytus paslaugų teikėjo, rangovo ar įrangos tiekėjo kompetencijos ir patirties reikalavimus.

25. Perkant paslaugas, darbus ar prekes (įrangą), susijusius su KTVIS, jos projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi būti nustatoma, kad paslaugų teikėjas užtikrina atitiktį Apraše nustatytiems reikalavimams. Perkamos paslaugos, darbai ar prekės (įranga), susiję su KTVIS, turi atitikti teisės aktų ir standartų, kuriais vadovaujamasi užtikrinant elektroninės informacijos saugą ir kibernetinį saugumą, reikalavimus, kurie iš anksto nustatomi paslaugų teikimo, darbų atlikimo ar įrangos pirkimo dokumentuose.

26. Paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria, modifikuoja KTVIS programinę įrangą ar teikia paslaugas naudodamas:

26.1. KTVIS įgyvendintas elektroninės informacijos saugos priemones, apsaugančias nuo neteisėto poveikio sisteminei programinei įrangai ir patalpoms;

26.2. KTVIS tęstinės duomenų bazės duomenis (programinei įrangai modifikuoti);

26.3. tik legalią programinę įrangą.

27. Paslaugų teikėjui prieiga prie KTVIS gali būti suteikiama tik pasirašius sutartį, kurioje turi būti nustatytos paslaugų teikėjo teisės, pareigos, prieigos prie KTVIS lygiai ir sąlygos, elektroninės informacijos saugos, kibernetinio saugumo, konfidencialumo reikalavimai, reikalavimai, keliami paslaugų teikėjų patalpoms, įrangai, KTVIS priežiūrai, duomenų perdavimui tinklais ir kitoms paslaugoms, ir atsakomybė už jų nesilaikymą, reagavimas į paslaugos teikimo sutrikimus, elektroninės informacijos saugos incidentus ar kibernetinius incidentus (toliau – saugos incidentai).

28. Administratorius turi supažindinti paslaugų teikėją su suteiktos prieigos prie KTVIS saugos ir kibernetinio saugumo reikalavimais ir sąlygomis. Administratorius yra atsakingas už prieigos prie KTVIS paslaugų teikėjui suteikimą pasirašius sutartį ar panaikinimą pasibaigus sutarties su paslaugų teikėju galiojimo terminui, paslaugos teikėjui baigus pagal sutartį numatytus darbus ir (ar) suteikus numatytas paslaugas, paslaugų teikėjo darbuotojams nutraukus darbo santykius ar atitinkamų funkcijų, kurioms buvo būtina prieiga, vykdymą arba atsiradus kitoms sutartyje ar KTVIS saugos dokumentuose nurodytoms sąlygoms.

29. Paslaugų teikėjui suteikiamas tik toks prieigos prie KTVIS lygis, kuris yra būtinas sutartyje nustatytiems įsipareigojimams vykdyti. Paslaugų teikėjo paskirtiems specialistams prieiga suteikiama paslaugų teikimo sutartyje nurodytam laikotarpiui jų nustatytoms funkcijoms atlikti, jie turi pasirašyti konfidencialumo pasižadėjimus ir pasirašytinai susipažinti su KTVIS nuostatais ir KTVIS duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos susisiekimo ministro 2021 m. spalio 25 d. įsakymu Nr. 3-497 „Dėl Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos nuostatų ir Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“.

30. Praėjus suteiktam prieigos prie KTVIS laikui, paslaugų teikėjų prieiga nedelsiant nutraukiama ir panaikinama.

31. Sutartis su paslaugų teikėjais administruojantys darbuotojai privalo užtikrinti, kad:

31.1. sutarties vykdymo metu paslaugas teiktų tik paslaugų teikėjo nurodyti specialistai (darbuotojai) ir tik pasirašę konfidencialumo pasižadėjimus;

31.2. paslaugų teikėjo specialistams, kuriems sutarčiai vykdyti yra būtina prieiga prie patalpų, kuriose yra įrengtų (įdiegtų) KTVIS tarnybinių stočių ar kitų komponentų, tokia prieiga būtų suteikiama tik KTVIS tvarkytojo nustatyta tvarka;

31.3. pasibaigus sutartiniams santykiams iš paslaugų teikėjo būtų reikalaujama grąžinti visą KTVIS tvarkytojo turtą, jeigu toks buvo patikėtas sutarties vykdymo laikotarpiu, ir (arba) gautą informaciją, įskaitant kopijas, jeigu tokia buvo patikėta (perduota) sutarties vykdymo metu.

32. Reikalavimai valstybės debesijos paslaugų teikėjo infrastruktūrai, kuri yra reikalinga KTVIS funkcionavimui užtikrinti, ir jo teikiamoms paslaugoms nustatomi šių paslaugų teikimo sutartyse, kuriose turi būti nurodyta:

32.1. pasirinkta debesijos paslaugos rūšis, virtualių serverių tarpusavio sąveikos schema, virtualių serverių konfigūracijos parametrai, reikalingi virtualizuotų tarnybinių stočių, duomenų saugojimo ir duomenų perdavimo tinklo ištekliai;

32.2. reikalavimai virtualizuotas tarnybines stotis prižiūrinčiai infrastruktūrai (duomenų archyvavimas, atkūrimas ir kt.).

33. KTVIS veiklą palaikančių sistemų (elektros energijos, šildymo, vėdinimo ir oro kondicionavimo bei kitos sistemos, naudojamos valstybės debesijos paslaugų teikėjo, KTVIS valdytojo ir tvarkytojo patalpose) kokybė, atsižvelgiant į šių sistemų veiklai keliamus reikalavimus, turi būti reguliariai tikrinama, siekiant užtikrinti tinkamą šių paslaugų teikimą ir sumažinti galimas šių paslaugų teikimo sutrikimo ir avarijos pasekmes.

34. Valstybės debesijos paslaugų teikėjas turi užtikrinti patalpų, techninės ir programinės įrangos bei elektroninės informacijos saugos priemones, išdėstytas Taisyklių II ir III skyriuose, ir yra atsakingas už KTVIS elektroninės informacijos kopijų darymą, saugojimą bei KTVIS elektroninės informacijos iš kopijų atkūrimą.

35. Paslaugų teikėjas, vykdydamas sutartinius įsipareigojimus, turi įgyvendinti tinkamas organizacines ir technines priemones, skirtas KTVIS ir joje tvarkomai elektroninei informacijai apsaugoti nuo netyčinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jos.

36. Kelių direkcija su interneto paslaugų teikėju (-ais) turi būti sudariusi sutartis dėl apsaugos nuo KTVIS elektroninių paslaugų trikdžių, reagavimo į kibernetinius incidentus įprastomis darbo valandomis ir po darbo valandų, nepertraukiamo interneto paslaugos teikimo ir interneto paslaugos teikimo sutrikimų registravimo 24 valandas per parą, 7 dienas per savaitę.

37. Paslaugų teikėjas privalo nedelsdamas informuoti Kelių direkciją apie sutarties vykdymo metu pastebėtus saugos incidentus, pastebėtas neveikiančias arba netinkamai veikiančias saugos ar kibernetinio saugumo užtikrinimo priemones, elektroninės informacijos saugos ar kibernetinio saugumo reikalavimų nesilaikymą, nusikalstamos veikos požymius, saugumo spragas, pažeidžiamas vietas, kitus svarbius saugai įvykius.

38. Už paslaugų teikimo kontrolę ir saugos priemonių auditą atsakinga Kelių direkcija. Iškilus poreikiui, siekdama įsitikinti, ar tinkamai vykdoma sutartis, laikomasi elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų, Kelių direkcija turi teisę atlikti paslaugos teikėjo teikiamų paslaugų stebėseną ir auditą, suteikti galimybę atlikti auditą trečiosioms šalims.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

39. Asmenys, pažeidę Taisyklių reikalavimus, atsako teisės aktų nustatyta tvarka.

________________________

PATVIRTINTA
Lietuvos Respublikos susisiekimo ministro

2022 m. lapkričio 21 d. įsakymu Nr. 3-519

VALSTYBINĖS IR VIETINĖS REIKŠMĖS KELIŲ TURTO VALDYMO

INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos veiklos tęstinumo valdymo planas (toliau – Valdymo planas) nustato Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos (toliau – KTVIS) saugos įgaliotinio, administratoriaus ir kitų asmenų veiksmus, įvykus elektroninės informacijos saugos ar kibernetinio saugumo incidentui (toliau – incidentas), kurio metu iškyla pavojus KTVIS elektroninei informacijai, KTVIS techninės ir programinės įrangos funkcionavimui, ir Valdymo plano veiksmingumo išbandymo nuostatas.

2. Valdymo planas parengtas vadovaujantis Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu ir Nacionaliniu kibernetinių incidentų valdymo planu, patvirtintais Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Aprašas).

3. Valdymo plane vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme ir Apraše.

4. Valdymo plano paskirtis – užtikrinti nepertraukiamą KTVIS funkcionavimą.

5. Valdymo planas įsigalioja įvykus incidentui, kurio metu gali kilti pavojus KTVIS elektroninei informacijai, KTVIS techninės, programinės įrangos funkcionavimui ar būtina atkurti įprastą KTVIS veiklą. Valdymo plano vykdymą inicijuoja KTVIS veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) vadovas. Valdymo plano nuostatos taip pat taikomos po stichinės nelaimės, avarijos ar kitų ekstremaliųjų situacijų, kai būtina atkurti įprastą KTVIS veiklą.

6. Valdymo planas yra privalomas KTVIS tvarkytojui, KTVIS valdytojui, duomenų valdymo įgaliotiniui, KTVIS saugos įgaliotiniui (toliau – saugos įgaliotinis), asmeniui, atsakingam už kibernetinio saugumo organizavimą ir užtikrinimą (toliau – kibernetinio saugumo vadovas), KTVIS administratoriui (toliau – administratorius), KTVIS tvarkytojo Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinkto juridinio asmens ar asmenų (asmenų grupės), kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos KTVIS ir (ar) jos infrastuktūros priežiūros funkcijos (toliau – KTVIS paslaugos teikėjas), vadovo paskirtam administratoriui (toliau – KTVIS paslaugos teikėjo administratorius), KTVIS vidiniams naudotojams ir valstybės debesijos paslaugų teikėjui.

7. KTVIS naudotojai apie incidentą privalo nedelsdami žodžiu ar raštu pranešti administratoriui ir saugos įgaliotiniui (esant įsteigtai informacinių technologijų pagalbos tarnybai – šiai tarnybai). Jeigu apie incidentą buvo informuotas tik administratorius arba pagalbos tarnyba, administratorius arba pagalbos tarnyba privalo apie incidentą informuoti saugos įgaliotinį (kibernetinio saugumo vadovą). Saugos įgaliotinio, kibernetinio saugumo vadovo, administratoriaus, KTVIS paslaugos teikėjo administratoriaus funkcijos, įgaliojimai ir veiksmai:

7.1. Saugos įgaliotinis:

7.1.1. įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią KTVIS saugą, nedelsdamas informuoja KTVIS valdytojo ir tvarkytojo vadovus, kompetentingas institucijas, tiriančias elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais (pvz., Nacionalinį kibernetinio saugumo centrą prie Krašto apsaugos ministerijos (toliau – NKSC), Lietuvos policiją), esant poreikiui, valstybės debesijos paslaugų teikėjo atstovą ir kitus su incidentu susijusius paslaugų teikėjus ir (ar) kitas institucijas;

7.1.2. apie incidentą nedelsdamas informuoja Valdymo grupės vadovą ir informaciją, susijusią su incidentu, registruoja Informacijos saugumo įvykių ir incidentų registre (toliau – Incidentų registras, bylos indeksas 5.17) bei Informacijos saugumo būklės vertinimo ir informacijos saugumo incidentų tyrimų dokumentų byloje (bylos indeksas 5.18E); incidentų registras pildomas elektronine forma; prireikus, atsižvelgiant į incidento tyrimo metu nustatytas aplinkybes, Incidentų registre esanti informacija gali būti papildoma ir (arba) patikslinama; kai dėl techninių kliūčių nėra galimybės registruoti ar pildyti informacijos elektronine forma, saugos įgaliotinis visą informaciją apie incidentą fiksuoja raštu (taip pat ir elektroniniu būdu), užpildydamas 3 priede pateiktą lentelę, o vėliau šią informaciją įveda į Incidentų registrą;

7.1.3. duoda privalomus vykdyti nurodymus ir pavedimus KTVIS vidiniams naudotojams, administratoriui, KTVIS paslaugos teikėjo administratoriui, valstybės debesijos paslaugų teikėjui, jeigu tai būtina elektroninės informacijos saugos politikai įgyvendinti;

7.1.4. koordinuoja elektroninės informacijos saugos incidentų tyrimą;

7.1.5. organizuoja žalos KTVIS elektroninei informacijai, KTVIS techninei, programinei įrangai poveikio vertinimą.

7.2. Kibernetinio saugumo vadovas:

7.2.1. bendradarbiauja su kompetentingomis institucijomis, tiriančiomis kibernetinius incidentus, neteisėtas veikas, susijusias su kibernetiniais incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka KTVIS kibernetinio saugumo darbo grupė;

7.2.2. koordinuoja kibernetinių incidentų tyrimą;

7.2.3. duoda privalomus vykdyti nurodymus ir pavedimus KTVIS valdytojo ir KTVIS tvarkytojo darbuotojams, jeigu tai būtina kibernetinio saugumo politikai įgyvendinti.

7.3. Administratorius:

7.3.1. organizuoja KTVIS veiklai atkurti reikalingos įrangos užsakymą Valstybės duomenų centre;

7.3.2. organizuoja KTVIS elektroninės informacijos atkūrimą;

7.3.3. informuoja KTVIS vidinius naudotojus ar KTVIS naudojančius asmenis apie veiklos sutrikimus ir jų atkūrimo laiką.

7.4. KTVIS paslaugos teikėjo administratorius:

7.4.1. organizuoja KTVIS sisteminės ir taikomosios programinės įrangos nustatymų atkūrimą ir užtikrina jos stabilų veikimą;

7.4.2. atlieka KTVIS audito žurnalų analizę siekdamas aptikti galimas KTVIS veikimo ir saugos problemas;

7.4.3. atkuria išgadintus (sugadintus) duomenis, kai gedimo priežastis yra diegėjo pateiktos programinės įrangos netinkamas veikimas.

7.5. Administratorius kartu su valstybės debesijos paslaugų teikėjo atsakingais specialistais atkuria KTVIS tarnybinės (-ių) stoties (-čių) veikimą, KTVIS elektroninę informaciją, KTVIS techninės, sisteminės ir taikomosios programinės įrangos funkcionavimą ir apie tai nedelsdamas informuoja saugos įgaliotinį (kibernetinio saugumo vadovą).

8. Elektroninės informacinės saugos incidento atveju vadovaujamasi Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos veiklos atkūrimo detaliajame plane (toliau – Detalusis planas) nurodytais veiksmais (1 priedas), kibernetinio saugumo incidento atveju, vadovaujamasi Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos kibernetinių saugumo incidentų valdymo, tyrimo, šalinimo ir informavimo tvarkos aprašu (5 priedas).

9. Incidento metu patirti nuostoliai padengiami iš valstybės biudžeto ir kitų finansinių išteklių.

10. Kriterijai, pagal kuriuos nustatoma, kad KTVIS veikla atkurta:

10.1. veikia KTVIS tarnybinės (-ių) stoties (-čių) administravimo techninė, sisteminė programinė ir taikomoji programinė įranga;

10.2. nuolat atnaujinama KTVIS elektroninė informacija;

10.3. išsaugoma atnaujinta KTVIS elektroninė informacija;

10.4. susijusių registrų ir informacinių sistemų nuolat teikiama elektroninė informacija yra atnaujinama ir išsaugoma KTVIS;

10.5. KTVIS duomenų gavėjams elektroninė informacija formuojama ir teikiama sutartyse numatytomis sąlygomis;

10.6. užtikrinamas KTVIS elektroninės informacijos vientisumas, konfidencialumas ir prieinamumas;

10.7. atliekamas KTVIS elektroninės informacijos rezervinis kopijavimas.

11. Neveikiančios ar tik iš dalies veikiančios KTVIS veikla turi būti atkurta per 12 valandų. KTVIS veikla atkuriama pagal 2 priede numatytus prioritetus.

12. KTVIS turi būti technologiškai funkcionali pagal principą „24 valandos per dieną, 7 dienos per savaitę, 365 dienos per metus“, užtikrinant KTVIS prieinamumą ne mažiau kaip 96 proc. laiko visą parą.

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

13. Už KTVIS veiklos tęstinumą ir KTVIS veiklos atkūrimą incidentų atveju atsakinga Valdymo grupė ir KTVIS veiklos atkūrimo grupė (toliau – Atkūrimo grupė).

14. Valdymo grupės vadovas organizuoja incidento įvertinimą ir priima sprendimą dėl Detaliojo plano vykdymo.

15. Tuo atveju, kai vykdomas Detalusis planas, jo vykdymui vadovauja Valdymo grupės vadovas.

16. Valdymo grupės tikslas – pagal saugos įgaliotinio gautą pranešimą apie incidentą tirti incidentus, ieškoti priemonių ir būdų sukeltiems padariniams bei žalai likviduoti, užtikrinti KTVIS veiklos tęstinumą.

17. Valdymo grupėje, priklausomai nuo incidento pobūdžio, dalyvauja:

17.1. valstybės įmonės Lietuvos automobilių kelių direkcijos (toliau – Kelių direkcija) Intelektinių ir informacinių technologijų departamento vadovas (toliau – Valdymo grupės vadovas);

17.2. Kelių direkcijos Prevencijos ir rizikos valdymo skyriaus vadovas (toliau – Valdymo grupės vadovo pavaduotojas);

17.3. Kelių direkcijos Intelektinių ir informacinių technologijų departamento Informacinių technologijų skyriaus vadovas;

17.4. Informacinės visuomenės plėtros komiteto Valstybės informacinių technologijų paslaugų departamento atstovas;

17.5. saugos įgaliotinis;

17.6. kibernetinio saugumo vadovas;

17.7. Kelių direkcijos Bendrųjų reikalų skyriaus vadovas.

18. Valdymo grupės vadovas turi teisę kaip konsultantus pasitelkti kitus Kelių direkcijos darbuotojus, KTVIS valdytojo atstovus, susijusius su KTVIS funkcionavimo užtikrinimu, taip pat pagal sutartis dėl KTVIS funkcionavimo paslaugų teikimo veikiančių juridinių asmenų atstovus.

19. Valdymo grupės funkcijos:

19.1. situacijos analizė ir sprendimų KTVIS veiklos tęstinumo valdymo klausimais priėmimas;

19.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

19.3. bendravimas su susijusių valstybės registrų ir informacinių sistemų veiklos tęstinumo valdymo grupėmis;

19.4. bendravimas su teisėsaugos ir kitomis institucijomis, darbuotojais ir kitomis interesų grupėmis;

19.5. finansinių ir kitų išteklių, reikalingų KTVIS veiklai atkurti, įvykus incidentui, naudojimo kontrolė;

19.6. KTVIS elektroninės informacijos fizinės saugos, įvykus incidentui, užtikrinimas;

19.7. logistika (žmonių, daiktų, įrangos gabenimo organizavimas);

19.8. KTVIS veiklos atkūrimo priežiūra ir koordinavimas.

20. Įvykus incidentui, KTVIS veiklą atkuria Atkūrimo grupė, kurią sudaro:

20.1. Kelių direkcijos Intelektinių ir informacinių technologijų departamento Intelektinių transporto sistemų skyriaus vadovas (Atkūrimo grupės vadovas);

20.2. Kelių direkcijos Intelektinių ir informacinių technologijų departamento Informacinių technologijų skyriaus vadovas (Atkūrimo grupės vadovo pavaduotojas);

20.3. kibernetinio saugumo vadovas;

20.4. administratorius;

20.5. Kelių direkcijos Intelektinių ir informacinių technologijų departamento Informacinių technologijų skyriaus specialistai (pagal kompetenciją);

20.6. Informacinės visuomenės plėtros komiteto Valstybės informacinių technologijų paslaugų departamento specialistai (pagal kompetenciją);

20.7. KTVIS paslaugos teikėjo administratorius (pagal kompetenciją).

21. Atkūrimo grupės funkcijos:

21.1. tarnybinių stočių veikimo atkūrimo organizavimas (pvz., komunikavimas su valstybės debesijos paslaugų teikėjo specialistais);

21.2. kompiuterių tinklo ir (ar) saugiojo valstybinio duomenų perdavimo tinklo veikimo atkūrimo organizavimas (pvz., komunikavimas su Kertinio valstybinio telekomunikacijų centro specialistais);

21.3. KTVIS elektroninės informacijos atkūrimo organizavimas;

21.4. taikomųjų programų tinkamo veikimo atkūrimo organizavimas;

21.5. kompiuterių tinklo veikimo atkūrimo organizavimas;

21.6. darbo kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas;

21.7. kitos Atkūrimo grupei pavestos funkcijos.

22. Tuo atveju, kai nevykdomas Detalusis planas, Valdymo grupės nariai įvertina ir pašalina incidento sukeltus padarinius. Pašalinus incidento sukeltus padarinius, saugos įgaliotinis apie tai pažymi Incidentų registre.

23. Atkūrus KTVIS veiklą, Valdymo grupės nariai įvertina, ar pašalinti incidento sukelti padariniai. Jeigu padariniai pašalinti, saugos įgaliotinis apie tai pažymi Incidentų registre.

24. Esant incidentui Valdymo ir Atkūrimo grupės organizuoja pasitarimus, atsižvelgdamos į Valdymo grupės pirmojo susitikimo metu nustatytą susitikimų dažnumą, palaiko ryšius visomis tuo metu prieinamomis priemonėmis (el. paštu ir (ar) telefonu, kt.). Ne rečiau negu kartą per metus organizuojamas šių dviejų grupių susitikimas, kuriame aptariama esama KTVIS saugumo situacija ir suderinami galimi jos gerinimo būdai.

25. Atsarginės patalpos, naudojamoms KTVIS veiklai atkurti saugos incidento atveju, turi atitikti šiuos reikalavimus:

25.1. patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

25.2. patalpos turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti įrengtos gaisro gesinimo priemonės;

25.3. ryšių kabeliai turi būti apsaugoti nuo nesankcionuoto prisijungimo.

26. Atsarginių patalpų, naudojamų KTVIS veiklai atkurti incidento atveju, adresą ir būdus, kaip iki jų nuvykti, pateikia Informacinės visuomenės plėtros komiteto Valstybės informacinių technologijų paslaugų departamentas.

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

27. KTVIS veiklos tęstinumo vykdymui užtikrinti turi būti surinkta ir naudojama detali bei aktuali informacija, būtina KTVIS veiklai atkurti.

28. Detalią informaciją sudaro:

28.1. dokumentas, kuriame nurodyti KTVIS informacinių technologijų įrangos sąrašai su šios įrangos parametrais ir už šios įrangos priežiūrą atsakingas (-i) administratorius (-iai), minimalus KTVIS veiklai atkurti, nesant administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, reikiamos kompetencijos ar žinių lygis;

28.2. dokumentas, kuriame nurodyta minimalaus KTVIS funkcionalumo informacinių technologijų įrangos, tinkamos institucijos poreikius atitinkančiai KTVIS veiklai užtikrinti, įvykus incidentui, specifikacija (specifikacija turi būti lygiavertė arba geresnė nei pagrindinė KTVIS techninės ir programinės įrangos specifikacija);

28.3. dokumentas, kuriame nurodytos elektroninės informacijos teikimo, debesijos paslaugų, techninės ir programinės įrangos priežiūros paslaugų teikimo sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigos, kontaktinė informacija;

28.4. dokumentas, kuriame nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos;

28.5. dokumentas, kuriame nurodytas Valdymo grupės ir Atkūrimo grupės narių sąrašas su kontaktiniais duomenimis, leidžiančiais pasiekti šiuos asmenis bet kuriuo metu.

29. Už Valdymo plano 28 punkte nurodytų dokumentų parengimą, atnaujinimą ir saugojimą atsako administratorius.

30. Valdymo plano 28.5 papunktyje nurodyto dokumento kopija turi būti pateikiama saugos įgaliotiniui.

IV SKYRIUS

VALDYMO PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

31. Valdymo plano veiksmingumas turi būti išbandomas ne rečiau kaip vieną kartą per metus. Valdymo plano veiksmingumas išbandomas incidento teorinio modeliavimo, simuliacinio žaidimo ar kitu būdu. Valdymo plano išbandymo būdą ir datą turi nustatyti (patvirtinti) KTVIS tvarkytojo vadovas saugos įgaliotinio teikimu.

32. Saugos įgaliotinis kartu su administratoriumi per 10 darbo dienų po Valdymo plano veiksmingumo išbandymo parengia Valdymo plano išbandymų ataskaitą (toliau – Ataskaita) (4 priedas), kurioje yra apibendrinami atliktų bandymų rezultatai, apibrėžiami pastebėti trūkumai ir pasiūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina KTVIS tvarkytojo vadovas.

33. Saugos įgaliotinis nuolat kontroliuoja Ataskaitoje nurodytų trūkumų šalinimo priemonių įgyvendinimą.

34. Valdymo plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami laikantis šių principų:

34.1. operatyvumo – kiek galima greičiau išspręsti ir pašalinti trūkumus; atliekant trūkumų šalinimo veiklą, turi būti atsižvelgiama į trūkumų sudėtingumą ir apimtį; saugos įgaliotinis kartu su administratoriumi nusprendžia ir nustato, per kiek laiko turi būti atliktas konkretus trūkumų šalinimo veiksmas ir pašalinti trūkumai;

34.2. veiksmingumo – trūkumų šalinimas turi padaryti esminę įtaką KTVIS veiklai; trūkumų šalinimas laikomas veiksmingu, jei jo metu pavyko sumažinti konkretaus trūkumo neigiamą poveikį;

34.3. ekonomiškumo – taupiai naudojant turimus išteklius pašalinti visus trūkumus.

35. Ataskaitų kopijos ne vėliau kaip per penkias darbo dienas nuo šių dokumentų priėmimo pateikiamos NKSC.

________________________

Valstybinės ir vietinės reikšmės kelių turto valdymo

informacinės sistemos veiklos tęstinumo valdymo plano

1 priedas

VALSTYBINĖS IR VIETINĖS REIKŠMĖS KELIŲ TURTO VALDYMO INFORMACINĖS SISTEMOS

veiklos atkūrimo DETALUSIS planas

Grėsmės tipas (kilmė)	Pirmaeiliai veiksmai esant incidentui	KTVIS veiklos atkūrimo veiksmai	KTVIS veiklos atkūrimo veiksmų atsakingi vykdytojai
1. Gamtinės sąlygos (gamtos įvykiai)	1.1. Incidento įvertinimas, žalos (pasekmių) įvertinimas, priemonių plano incidentui ar jo padarytai žalai stabdyti sudarymas ir įgyvendinimas	1.1.1. Žalos įvertinimas	Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos (toliau – KTVIS) veiklos tęstinumo valdymo grupė (toliau – Valdymo grupė) KTVIS veiklos atkūrimo grupė (toliau – Atkūrimo grupė) Valstybės debesijos paslaugų teikėjas, atsakingas už Valstybės duomenų centro duomenų teikimą (toliau – paslaugų teikėjas), jeigu incidentas susijęs su Valstybės duomenų centro (toliau – VDC) teikiamomis paslaugomis (pvz., VDC patalpomis ar šiose patalpose įdiegta KTVIS įranga)
		1.1.2. Pavojaus plitimo stabdymas, priemonių plano sudarymas ir įgyvendinimas	Valdymo grupė Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
		1.1.3. Priemonių plano įgyvendinimo kontrolė	Valdymo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
	1.2. KTVIS veiklos atkūrimo veiksmus atliekančių darbuotojų paskyrimas, jų budėjimo grafiko nustatymas ir informavimas	1.2.1. Darbuotojų paskyrimas, grafiko incidento pasekmėms likviduoti sudarymas	Valdymo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
		1.2.2. Pasekmes likviduojančių darbuotojų instruktavimas	Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
		1.2.3. Pasekmes likviduojančių darbuotojų veiksmų koordinavimas
	1.3. Meteorologinės informacijos sekimas	1.3.1. Pasekmes likviduojančių darbuotojų informavimas apie esamą situaciją	Valdymo grupės vadovo paskirtas atsakingas asmuo Paslaugų teikėjo atsakingas asmuo, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
	1.4. KTVIS naudotojams rekomenduojamo elgesio incidento metu skelbimas žodžiu arba ryšio priemonėmis, pirmosios pagalbos suteikimas (kai toks yra būtinas)	1.4.1. Incidento pasekmes likviduojančių darbuotojų, KTVIS naudotojų, instruktavimas, informavimas apie elgseną incidento vietoje	Valdymo grupės vadovo paskirtas atsakingas asmuo Paslaugų teikėjo atsakingas asmuo, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
		1.4.2. Pirmosios pagalbos suteikimo organizavimas nukentėjusiems darbuotojams
		1.4.3. Nukentėjusių darbuotojų gabenimo į gydymo įstaigą organizavimas
	1.5. Pavojingų vietų ženklinimas, informacinių lentelių ar kt. informacinių pranešimų paruošimas	1.5.1. Incidento pasekmes likviduojančių darbuotojų instruktavimas, KTVIS naudotojų informavimas	Valdymo grupės vadovo paskirtas atsakingas asmuo Paslaugų teikėjo atsakingas asmuo, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
	1.6. Alternatyvių energijos tiekimo priemonių ar alternatyvaus ryšio organizavimas (jei būtina), KTVIS techninės ir programinės įrangos, duomenų galimam pavojui išvengti / likviduoti paruošimas	1.6.1. Kompetentingų tarnybų rekomendacijų vykdymas	Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
		1.6.2. Kreipimasis į ryšio paslaugų tekėjus ar kt. (jei būtina)
		1.6.3. KTVIS tarnybinių stočių, kitos techninės įrangos išjungimas, paruošimas ar kt.
2. Gaisras	2.1. Esant būtinumui, KTVIS naudotojų, kitų darbuotojų evakavimas	2.1.1. evakuacijos organizavimas, įvykio vietos lokalizavimas, jei yra rekomendacija	Valdymo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
	2.2. Priešgaisrinės apsaugos ir gelbėjimo tarnybos (PAGT) informavimas, gaisro gesinimas nekeliant pavojaus KTVIS naudotojų gyvybei	2.2.1. PAGT informavimas, nurodymų vykdymas
	2.3. Darbas pavojaus zonoje	2.3.1. PAGT paklausimas dėl leidimo dirbti incidento zonoje, rekomendacijų darbui gavimas, KTVIS naudotojų informavimas apie rekomenduojamus darbo būdus ar saugų darbą pavojaus zonoje
	2.4. Komunalinių komunikacijų, galinčių sukelti papildomą pavojų, išjungimas	2.4.1. PAGT nurodymų vykdymas
	2.5. Veiksmų, nurodytų šio priedo 1.1, 1.2, 1.4–1.6 papunkčiuose, atlikimas	2.5.1. Veiksmų, nurodytų šio priedo 1.1.1–1.1.3, 1.2.1–1.2.3, 1.4.1–1.6.3 papunkčiuose, atlikimas	Valdymo grupė Valdymo grupės vadovo paskirtas atsakingas asmuo Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
3. Patalpų užgrobimas	3.1. Teisėsaugos tarnybos informavimas	3.1.1. Informavimas apie incidentą	Valdymo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
	3.1. Teisėsaugos tarnybos informavimas	3.1.2. Įvykio vietos lokalizavimas, galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija
	3.2. Esant teisėsaugos institucijos rekomendacijai, darbuotojų evakavimas	3.2.1. Darbuotojų informavimas apie evakavimą ir evakavimas	Valdymo grupės vadovo paskirtas atsakingas asmuo Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
	3.3. Esant būtinumui KTVIS techninės įrangos išjungimas ir patalpų užrakinimas	3.3.1. KTVIS tarnybinių stočių, kitos techninės įrangos išjungimas, patalpų užrakinimas (jei yra galimybė)	Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
	3.4. Teisėsaugos institucijų nurodymų vykdymas, jei yra rekomendacija	3.4.1. Darbuotojų informavimas apie teisėsaugos institucijų nurodymų vykdymą	Valdymo grupės vadovo paskirtas atsakingas asmuo Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
	3.5. Veiksmų, nurodytų šio priedo 1.1, 1.2, 1.4–1.6 papunkčiuose, atlikimas	3.5.1. Veiksmų, nurodytų šio priedo 1.1.1–1.1.3, 1.2.1–1.2.3, 1.4.1–1.6.3 papunkčiuose, atlikimas	Valdymo grupė Valdymo grupės vadovo paskirtas atsakingas asmuo Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
4. Patalpai padaryta žala arba patalpos sugadinimas	4.1. Avarinių arba teisėsaugos institucijų informavimas atsižvelgiant į iškilusio pavojaus pobūdį	4.1.1. Atitinkamos institucijos (tarnybos) informavimas ir paklausimas dėl galimybės dirbti pavojaus zonoje ir rekomendacijų gavimas	Valdymo grupės vadovo paskirtas atsakingas asmuo Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
		4.1.2. Darbuotojų informavimas apie rekomendacijas
	4.2. Veiksmų, nurodytų šio priedo 1.1, 1.2, 1.4–1.6 papunkčiuose, atlikimas	4.2.1. Veiksmų, nurodytų šio priedo 1.1.1–1.1.3, 1.2.1–1.2.3, 1.4.1–1.6.3 papunkčiuose, atlikimas	Valdymo grupė Valdymo grupės vadovo paskirtas atsakingas asmuo Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
5. Elektros energijos tiekimo sutrikimai	5.1. Elektros energijos tiekimo sutrikimo priežasčių nustatymas. Techninės įrangos energijos maitinimo išjungimas	5.1.1. Elektros tiekimo sistemos patikrinimas	Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
		5.1.2. Sutrikimų šalinimo organizavimas
	5.2. Kreipimasis į elektros energijos tiekimo tarnybą dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių	5.2.1. Rekomendacijų iš elektros energijos tiekimo tarnybos gavimas	Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
	5.3. Sutrikimo pašalinimo trukmės prognozės skelbimas KTVIS naudotojams	5.3.1. KTVIS naudotojų informavimas apie esamą situaciją bei numatomas darbo sąlygas	Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
	5.4. Veiksmų, nurodytų šio priedo 1.1, 1.2, 1.4–1.6 papunkčiuose, atlikimas	5.4.1. Veiksmų, nurodytų šio priedo 1.1.1–1.1.3, 1.2.1–1.2.3, 1.4.1–1.6.3 papunkčiuose, atlikimas	Valdymo grupė Valdymo grupės vadovo paskirtas atsakingas asmuo Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
6. Vandentiekio ir (ar) šildymo sistemos sutrikimai	6.1. Sutrikimo priežasčių nustatymas	6.1.1. Vandentiekio sistemos patikrinimas	Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
	6.1. Sutrikimo priežasčių nustatymas	6.1.2. Sutrikimų šalinimo organizavimas	Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
	6.2. Vandentiekio ir (ar) šildymo paslaugų teikėjų (avarinių tarnybų) informavimas	6.2.1. Atitinkamos tarnybos informavimas apie sutrikimus, paklausimas dėl leidimo dirbti ir rekomendacijų gavimas	Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
		6.2.2. Darbuotojų informavimas apie rekomendacijas	Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
	6.3. Sutrikimo pašalinimo trukmės prognozės skelbimas KTVIS naudotojams	6.3.1. KTVIS naudotojų informavimas apie esamą situaciją bei numatomas darbo sąlygas	Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
	6.4. Veiksmų, nurodytų šio priedo 1.1, 1.2, 1.4–1.6 papunkčiuose, atlikimas	6.4.1. Veiksmų, nurodytų šio priedo 1.1.1–1.1.3, 1.2.1–1.2.3, 1.4.1–1.6.3 papunkčiuose, atlikimas	Valdymo grupė Valdymo grupės vadovo paskirtas atsakingas asmuo Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis

7. Ryšio sutrikimai	7.1. Ryšio sutrikimo priežasčių nustatymas	7.1.1. Ryšio sutrikimo priežasčių nustatymas. Kreipimasis į ryšio paslaugos teikėją	Valdymo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
	7.2. Ryšio paslaugų teikėjų informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės pateikimas	7.2.1. KTVIS naudotojų informavimas apie esamą situaciją bei numatomas darbo sąlygas
	7.3. Sutrikimo pašalinimas, alternatyvaus ryšio organizavimas	7.3.1. Kreipimasis į kitą ryšio paslaugos teikėją, jei sutrikimas nepašalintas
8. Techninės įrangos sugadinimas (gedimas, sunaikinimas ar praradimas)	8.1. Incidento įvertinimas, teisėsaugos institucijų, draudimo bendrovės informavimas apie įvykį (priklausomai nuo incidento)	8.1.1. Priežasčių nustatymas, esant būtinumui, kreipimasis į teisėsaugos institucijas dėl techninės įrangos sugadinimo ar praradimo ir jų nurodymų vykdymas	Valdymo grupė Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
		8.1.2. Darbuotojų incidento pasekmei likviduoti paskyrimas, instruktavimas, jų veiksmų nustatymas
	8.2. Rezervinės KTVIS įrangos naudojimas, incidento pasekmių šalinimas	8.2.1. Esamos techninės įrangos išteklių perskirstymas KTVIS veiklai užtikrinti	Valdymo grupė Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
		8.2.2. Kreipimasis į įrangos tiekėjus dėl įrangos remonto ar naujos įsigijimo
		8.2.3. Įsigytos įrangos diegimas
9. Programinės įrangos sugadinimas (gedimas, sunaikinimas ar praradimas)	9.1. Incidento įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas	9.1.1. Incidento įvertinimas	Valdymo grupė Atkūrimo grupė
		9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimo kontrolė	Valdymo grupė Atkūrimo grupė
	9.2. Darbuotojų incidento pasekmei likviduoti paskyrimas, instruktavimas, jų veiksmų koordinavimas	9.2.1. Žalą likviduojančių darbuotojų instruktavimas	Valdymo grupė Atkūrimo grupė
		9.2.2. Esant būtinumui, kreipimasis į teisėsaugos institucijas dėl programinės įrangos sugadinimo ar praradimo ir jų nurodymų vykdymas	Valdymo grupė Atkūrimo grupė
	9.3. KTVIS programinės įrangos atkūrimas iš atsarginių kopijų	9.3.1. Sugadintos ar prarastos programinės įrangos atkūrimo organizavimas	Valdymo grupė Atkūrimo grupė
10. Dokumentų praradimas	10.1. Incidento įvertinimas	10.1.1. Incidento įvertinimas, esant neteisėtam KTVIS duomenų pakeitimui, sunaikinimui ar atskleidimui, kreipimasis į teisėsaugos institucijas ir jų nurodymų vykdymas	Valdymo grupė Atkūrimo grupė
	10.2. Informacijos atkūrimas ir atkūrimo kontrolė	10.2.1. KTVIS nustojus funkcionuoti dėl duomenų pakeitimo ar sunaikinimo, duomenų atkūrimas iš duomenų kopijų	Atkūrimo grupė Atkūrimo grupės vadovo paskirtas administratorius Valdymo grupė
		10.2.2. Prarastų dokumentų atkūrimo kontrolė
		10.2.3. Nesant galimybių atkurti
		pakeistų ar sunaikintų duomenų iš duomenų kopijų, KTVIS duomenų gavėjų informavimas dėl būtinumo sugadintus ar prarastus duomenis iš naujo įrašyti į duomenų bazes
11. Personalas	11.1. Incidento, susijusio su personalu (pvz., personalo nebuvimu, neprižiūrimu darbuotojų darbu ar kt.), įvertinimas	11.1.1. Priklausomai nuo incidento pobūdžio vykdomi atitinkami veiksmai (pvz., darbuotojų paieška, priėmimas į darbą, mokymai, kaita, sutarčių dėl paslaugų teikimo peržiūra ar pan.).	Valdymo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
12. Dalinis KTVIS veiklos sutrikimas dėl neaiškių priežasčių	12.1. Saugos įgaliotinio ir administratoriaus informavimas	12.1.1. Padarytos žalos įvertinimas	Atkūrimo grupė
		12.1.2. Likviduojančių darbuotojų instruktavimas apie padarytą žalą
		12.1.3. Elektroninės informacijos saugos incidento pasekmių likvidavimas
	12.2. Techninių specialistų pasitarimo problemai nustatyti organizavimas
	12.3. Problemos lokalizavimas
	12.4. Problemos šalinimas
13. Pavojingas (įtartinas) radinys	13.1. Pavojingų medžiagų šalinimo tarnybos informavimas, esant būtinumui, PAGT ir Teisėsaugos tarnybų informavimas apie įvykį	13.1.1. Informavimas ir paklausimas dėl leidimo dirbti saugos incidento zonoje, rekomendacijų darbui gavimas ir KTVIS naudotojų informavimas apie rekomenduojamus darbo būdus	Valdymo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis
13. Pavojingas (įtartinas) radinys	13.2. Veiksmų, nurodytų šio priedo 1.1, 1.2, 1.4–1.6 papunkčiuose, atlikimas	13.2.1. Veiksmų, nurodytų šio priedo 1.1.1–1.1.3, 1.2.1–1.2.3, 1.4.1–1.6.3 papunkčiuose, atlikimas	Valdymo grupė Valdymo grupės vadovo paskirtas atsakingas asmuo Atkūrimo grupė Paslaugų teikėjas, jeigu incidentas susijęs su VDC teikiamomis paslaugomis

_______________________

PATVIRTINTA
Lietuvos Respublikos susisiekimo ministro

2022 m. lapkričio 21 d. įsakymu Nr. 3-519

VALSTYBINĖS IR VIETINĖS REIKŠMĖS KELIŲ TURTO VALDYMO

INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos naudotojų administravimo taisyklių (toliau – Taisyklės) tikslas – nustatyti Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos (toliau – KTVIS), kurios valdytoja yra Lietuvos Respublikos susisiekimo ministerija, o tvarkytoja yra valstybės įmonė Lietuvos automobilių kelių direkcija (toliau – Kelių direkcija), naudotojų ir administratorių įgaliojimus, teises, pareigas ir saugaus elektroninės informacijos teikimo KTVIS naudotojams kontrolės tvarką.

2. Taisyklės parengtos vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, ir Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.

4. Taisyklės taikomos:

4.1. Kelių direkcijos darbuotojams, dirbantiems pagal darbo sutartis ir turintiems teisę naudotis KTVIS ištekliais numatytoms funkcijoms atlikti (toliau – Kelių direkcijos darbuotojai);

4.2. Kelių direkcijos Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka išrinkto juridinio asmens ar asmenų (asmenų grupės), kuriems Valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos KTVIS ir (ar) jos infrastruktūros priežiūros funkcijos (toliau – KTVIS paslaugos teikėjas (-ai)), darbuotojams, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantiems ir (ar) tvarkantiems KTVIS elektroninę informaciją (toliau – KTVIS paslaugos teikėjo (-ų) darbuotojai);

4.4. KTVIS administratoriams (toliau – administratorius);

4.5. saugos įgaliotiniui;

4.6. asmeniui, atsakingam už kibernetinio saugumo organizavimą ir užtikrinimą (toliau – kibernetinio saugumo vadovas).

5. Prieigos prie KTVIS ir joje tvarkomos elektroninės informacijos suteikimas:

5.1. Kelių direkcijos darbuotojų, KTVIS paslaugos teikėjo (-ų) darbuotojų (toliau kartu – KTVIS vidiniai naudotojai), KTVIS išorinių naudotojų ir administratorių prieiga prie KTVIS elektroninės informacijos grindžiama principu „Būtina žinoti“, kuris reiškia, kad KTVIS vidiniams naudotojams ir KTVIS išoriniams naudotojams (toliau kartu – KTVIS naudotojai), administratoriams suteikiama prieiga tik prie tos KTVIS elektroninės informacijos, kuri reikalinga vykdant tiesiogines jų darbo (tarnybos) funkcijas; tvarkyti KTVIS elektroninę informaciją gali tik tie KTVIS naudotojai, administratoriai, kuriems Taisyklių III skyriuje nustatyta tvarka suteiktos prieigos prie KTVIS elektroninės informacijos teisės ir priemonės (pvz., identifikavimo priemonės, slaptažodžiai ar kitos autentifikavimo priemonės ir pan.);

5.2. kiekvienas KTVIS naudotojas, administratorius turi būti KTVIS unikaliai identifikuojamas (asmens kodas negali būti naudojamas kaip naudotojo identifikatorius);

5.3. KTVIS naudotojų, administratorių prieigos prie KTVIS elektroninės informacijos lygis grindžiamas mažiausios privilegijos principu, kuris reiškia, kad turi būti suteikiamos tik minimalios KTVIS naudotojų ar administratorių tiesioginėms darbo (tarnybos) funkcijoms vykdyti reikalingos prieigos teisės ir organizacinėmis bei techninėmis priemonėmis užtikrinama minimalių prieigos teisių naudojimo kontrolė (pvz., privilegijuotos prieigos teisės neturi būti naudojamos veiklai, kuriai atlikti pakanka žemesnio lygio prieigos teisių, ir pan.);

5.4. vadovaujamasi pareigų atskyrimo principu, kuris reiškia, kad KTVIS naudotojui negali būti pavesta atlikti ar kontroliuoti visų pagrindinių KTVIS elektroninės informacijos tvarkymo ar KTVIS priežiūros funkcijų (pvz., KTVIS naudotojams negali būti suteikiamos administratoriaus teisės, susijusios su sprendimais dėl informacijos teikimo ir jos skelbimo, ir asmenų, tvarkančių duomenis, informaciją, dokumentus ir (arba) jų kopijas, teisių ir pareigų nustatymo, KTVIS priežiūros funkcijos turi būti atliekamos naudojant atskiras tam skirtas administratoriaus paskyras, kuriomis naudojantis negalima atlikti kasdienių KTVIS naudotojo funkcijų, ir pan.).

6. Prieigos prie KTVIS ir joje tvarkomos elektroninės informacijos teisės suteikiamos vadovaujantis dokumentuotais KTVIS naudotojų ar administratorių vaidmenimis ir kiekvienam vaidmeniui priskirtomis teisėmis, kurios yra tokios:

6.1. KTVIS administratorius, vykdydamas KTVIS ir (ar) jos infrastruktūros priežiūrą, užtikrindamas KTVIS tvarkomos elektroninės informacijos saugą, turi galimybę matyti visų KTVIS objektų elektroninę informaciją, KTVIS naudotojų su KTVIS saugoma elektronine informacija atliktus veiksmus, atlikti KTVIS elektroninės informacijos užklausas pagal pasirinktus paieškos kriterijus, tvarko visų KTVIS naudotojų prieigos prie elektroninės informacijos teises ir KTVIS klasifikatorius;

6.2. Kelių direkcijos administracija gali matyti visą KTVIS elektroninę informaciją, reikalingą valdymo ir kontrolės funkcijoms vykdyti, bet negali jos koreguoti;

6.3. Kelių direkcijos skyriaus darbuotojas gali pagal skyriaus kompetenciją tvarkyti ir tvirtinti savivaldybių administracijų ir rangovų įvestą elektroninę informaciją;

6.4. valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį valstybės ar savivaldybės institucijoje ar įstaigoje, gali tvarkyti savivaldybės teritorijoje esančių vietinės reikšmės kelių elektroninę informaciją; elektroninė informacija, patvirtinta atsakingo savivaldybės administracijos darbuotojo, teikiama derinti Kelių direkcijai; kai elektroninė informacija suderinama su Kelių direkcijos atsakingu darbuotoju, savivaldybių administracijų darbuotojai gali ją tik peržiūrėti;

6.5. rangovo atstovas gali pateikti KTVIS elektroninę informaciją bei dokumentus, susijusius su kelių plėtros, tvarkymo, priežiūros, remonto ir kitų rangos darbų atlikimu, ją peržiūri ir tvirtina atsakingi Kelių direkcijos darbuotojai; kai elektroninė informacija patvirtinama Kelių direkcijos darbuotojo, rangovai gali ją tik peržiūrėti.

7. KTVIS naudotojai pagal prisijungimo prie KTVIS būdą skirstomi į:

7.1. vidinius naudotojus (Kelių direkcijos darbuotojus, KTVIS paslaugos teikėjo (-ų) darbuotojus);

7.2. išorinius naudotojus (rangovų atstovus, vietinės reikšmės kelių valdytojų arba savininkų atstovus, valstybės tarnautojus ar darbuotojus, dirbančius pagal darbo sutartį valstybės ar savivaldybių institucijose ar įstaigose, kurie naudojasi KTVIS elektronine paslauga).

8. Kiekvienas KTVIS naudotojas ar administratorius yra unikaliai atpažįstamas (identifikuojamas) KTVIS (pvz., pagal KTVIS naudotojo prisijungimo vardą ir slaptažodį).

II SKYRIUS

KTVIS NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI,

TEISĖS IR PAREIGOS

9. KTVIS naudotojų įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją:

9.1. KTVIS naudotojai gali naudotis tik tomis KTVIS funkcijomis, naudoti ir (ar) tvarkyti pagal kompetenciją tik tą KTVIS elektroninę informaciją, prie kurios prieigą jiems suteikė administratorius;

9.2. KTVIS naudotojų įgaliojimai, teisės ir pareigos nustatytos KTVIS nuostatuose ir KTVIS duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos susisiekimo ministro 2021 m. spalio 25 d. įsakymu Nr. 3-497 „Dėl Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos nuostatų ir Valstybinės ir vietinės reikšmės kelių turto valdymo informacinės sistemos duomenų saugos nuostatų patvirtinimo“, Kelių direkcijos darbuotojų pareigybių aprašymuose;

9.3. KTVIS naudotojai privalo:

9.3.1. rūpintis KTVIS ir joje tvarkomos elektroninės informacijos sauga ir kibernetiniu saugumu, tvarkyti KTVIS elektroninę informaciją vadovaudamiesi KTVIS veiklą reglamentuojančiais teisės aktais, savo veiksmais nepažeisti elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo;

9.3.2. saugoti prisijungimo prie KTVIS duomenis (pvz., naudotojo vardą ir (ar) slaptažodį), neatskleisti jų tretiesiems asmenims;

9.3.3. nesudaryti sąlygų kitiems asmenims neteisėtai susipažinti su KTVIS saugoma elektronine informacija ir (ar) pasinaudoti KTVIS ištekliais (pvz., pačiam įvedus prisijungimo prie KTVIS naudotojo vardą ir slaptažodį leisti atlikti elektroninės informacijos tvarkymo veiksmus kitam asmeniui);

9.3.4. baigę darbą arba pasitraukdami iš darbo vietos, atsijungti nuo KTVIS ir įjungti ekrano užsklandą, apsaugotą slaptažodžiu;

9.3.5. nedelsdami pranešti administratoriui ir saugos įgaliotiniui apie KTVIS sutrikimus, neįprastą veikimą bei kitų KTVIS naudotojų netinkamus veiksmus;

9.4. KTVIS naudotojai turi teisę gauti informaciją apie jų naudojamos elektroninės informacijos apsaugos lygį ir taikomas apsaugos priemones, rekomenduoti papildomas apsaugos priemones.

10. Administratorius, pastebėjęs KTVIS duomenų saugos nuostatuose ir KTVIS saugos politikos įgyvendinamuosiuose dokumentuose (toliau visi kartu – saugos dokumentai) nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos ir (ar) kibernetinio saugumo užtikrinimo priemones, privalo nedelsdamas apie tai pranešti saugos įgaliotiniui (kibernetinio saugumo vadovui).

11. KTVIS naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias KTVIS saugos ir (ar) kibernetinio saugumo užtikrinimo priemones, privalo nedelsdami apie tai pranešti administratoriui, saugos įgaliotiniui (kibernetinio saugumo vadovui) (esant įsteigtai informacinių technologijų pagalbos tarnybai – šiai tarnybai). Jeigu saugos įgaliotinis (kibernetinio saugumo vadovas) nebuvo informuotas apie šiame punkte nurodytus pažeidimus, administratorius arba informacinių technologijų pagalbos tarnyba privalo informuoti saugos įgaliotinį (kibernetinio saugumo vadovą) apie šiuos pažeidimus. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią KTVIS saugą, saugos įgaliotinis (kibernetinio saugumo vadovas) apie tai turi pranešti KTVIS valdytojo ir tvarkytojo vadovui, kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais (pvz., Nacionalinį kibernetinio saugumo centrą prie Krašto apsaugos ministerijos (toliau – NKSC), Lietuvos policiją), esant poreikiui, valstybės debesijos paslaugų teikėjo atstovą ir kitus su incidentu susijusius paslaugų teikėjus ir (ar) kitas institucijas.

12. KTVIS paslaugos teikėjo administratorius, pastebėjęs saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias KTVIS saugos ir (ar) kibernetinio saugumo užtikrinimo priemones, privalo nedelsdamas apie tai pranešti administratoriui.

13. Administratoriaus prieigos prie KTVIS lygiai:

13.1. KTVIS kelių turto valdymo posistemio administratorius – IBM „Maximo“ programinės įrangos komponentų administravimas ir konfigūravimas, KTVIS naudotojų administravimas;

13.2. KTVIS kelių turto valdymo posistemio taikomųjų programų serverio administratorius – IBM „Websphere“ taikomųjų programų serverio administravimas ir konfigūravimas;

13.3. KTVIS kelių turto valdymo posistemio duomenų bazės administratorius – IBM „Maximo“ duomenų bazės administravimas ir konfigūravimas;

13.4. KTVIS elektroninių paslaugų posistemio administratorius – elektroninių paslaugų portalo programinės įrangos administravimas ir konfigūravimas, KTVIS naudotojų administravimas;

13.5. KTVIS elektroninių paslaugų posistemio duomenų bazės administratorius – elektroninių paslaugų portalo DBVS administravimas ir konfigūravimas;

13.6. KTVIS geografinės informacijos tvarkymo posistemio administratorius – „ArcGIS“ programinės įrangos komponentų administravimas ir konfigūravimas, KTVIS naudotojų administravimas;

13.7. KTVIS geografinės informacijos tvarkymo posistemio duomenų bazės administratorius –GIS duomenų bazės administravimas ir konfigūravimas;

13.8. KTVIS „Windows“ serverių administratorius – kelių turto valdymo posistemio programinės įrangos ir DBVS administravimas, konfigūravimas, diegimas ir atnaujinimas; geografinės informacijos tvarkymo posistemio DBVS administravimas ir konfigūravimas; „Windows“ atnaujinimų diegimas; žurnalų įrašų peržiūra;

13.9. KTVIS „Linux“ serverių administratorius – programinės įrangos diegimas ir atnaujinimas; elektroninių paslaugų posistemio programinės įrangos ir DBVS administravimas, konfigūravimas, atnaujinimų diegimas; „Linux“ atnaujinimų diegimas; „Apache Web Server“ administravimas ir konfigūravimas;

13.10. KTVIS elektroninio statybos darbų žurnalo posistemio administratorius – programinės įrangos ir DBVS administravimas, konfigūravimas, diegimas ir atnaujinimas, KTVIS naudotojų administravimas.

III SKYRIUS

SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO KTVIS NAUDOTOJAMS KONTROLĖS TVARKA

14. KTVIS naudotojų prieigos teises prie KTVIS suteikia, pakeičia ar sustabdo administratorius, gavęs naudotojo vadovo raštišką prašymą.

15. Naujam KTVIS naudotojui prieiga prie KTVIS ir joje saugomos elektroninės informacijos gali būti suteikiama tik jam pasirašytinai susipažinus su saugos dokumentais.

16. Administratorius naujam KTVIS vidiniam naudotojui suteikia prisijungimo prie KTVIS vardą ir laikiną slaptažodį, KTVIS vidinis naudotojas laikiną slaptažodį privalo pakeisti pirmo prisijungimo prie KTVIS metu.

17. KTVIS išorinio naudotojo prisijungimas prie KTVIS galimas tik per Valstybės informacinių išteklių sąveikumo platformą (toliau – VIISP), t. y. naudojantis VIISP elektroninių paslaugų gavėjų tapatybės nustatymo paslauga.

18. Jei KTVIS naudotojas turi būti išregistruotas iš KTVIS, šio naudotojo vadovas turi pateikti administratoriui raštišką prašymą apie KTVIS vidinio ir (arba) išorinio naudotojo prieigos prie KTVIS panaikinimą.

19. Prieiga prie KTVIS ir (ar) teisė dirbti su KTVIS ir joje saugoma elektronine informacija stabdoma, kai:

19.1. KTVIS naudotojas nesinaudoja KTVIS ilgiau kaip 90 dienų; KTVIS automatiškai sustabdo KTVIS naudotojo teisę dirbti su konkrečia elektronine informacija praėjus 90 dienų nuo paskutinio KTVIS naudotojo prisijungimo prie KTVIS;

19.2. įstatymų nustatytais atvejais KTVIS naudotojas nušalinamas nuo darbo (pareigų); administratorius KTVIS naudotojo teisę dirbti su konkrečia elektronine informacija sustabdo nedelsdamas arba ne vėliau kaip iki prašyme nurodyto nušalinimo termino pradžios, jei terminas nurodomas, o teisių sustabdymą panaikina pasibaigus nušalinimo terminui; apie būtinybę sustabdyti KTVIS naudotojo teisę naudotis KTVIS elektronine informacija administratoriui pranešama elektroniniu paštu;

19.3. KTVIS vidinis naudotojas atostogauja (pvz., tikslinės atostogos), yra laikinai nedarbingas ar dėl kitų pateisinamų priežasčių negali vykdyti savo pareigų ilgiau kaip 30 dienų; administratorius KTVIS vidinio naudotojo teisę dirbti su konkrečia elektronine informacija sustabdo paskutinę KTVIS vidinio naudotojo darbo dieną (darbo dienos pabaigoje) ar pirmą apie sužinotą laikinojo nedarbingumo dieną, o teisių sustabdymą panaikina pirmą darbo dieną (darbo dienos pradžioje) po KTVIS vidinio naudotojo atostogų, laikinojo nedarbingumo ar pan.; apie KTVIS vidinio naudotojo atostogas, laikinąjį nedarbingumą ar kitas pateisinamas priežastis administratorius informuojamas elektroniniu paštu.

20. Prieiga prie KTVIS ir (ar) teisė dirbti su KTVIS ir joje saugoma elektronine informacija panaikinama nedelsiant, kai:

20.1. KTVIS naudotojas nustoja vykdyti darbo (tarnybos) funkcijas, kurioms vykdyti jam buvo suteikta prieiga naudotis KTVIS ir (ar) dirbti su konkrečia KTVIS elektronine informacija; administratorius KTVIS naudotojo teisę dirbti su konkrečia KTVIS elektronine informacija panaikina paskutinę KTVIS naudotojo darbo su jam patikėta KTVIS elektronine informacija dieną, tačiau ne vėliau kaip iki darbo (tarnybos) dienos pabaigos; apie KTVIS naudotojo prieigos teisių panaikinimą administratoriui pranešama elektroniniu paštu;

20.2. administratoriaus ir saugos įgaliotinio (kibernetinio saugumo vadovo) teikimu, KTVIS tvarkytojo vadovo sprendimu, incidento atveju, jeigu nustatoma, kad KTVIS naudotojo veiksmai galėjo turėti rimtų pasekmių KTVIS ištekliams, jų saugumui, sutrikdyti ar turėti neigiamos įtakos KTVIS veiklai.

21. Administratoriui teisė dirbti su konkrečia KTVIS elektronine informacija turi būti sustabdoma, jeigu administratorius nesinaudoja KTVIS ilgiau kaip 2 mėnesius, taip pat kai teisės aktų nustatytais atvejais administratorius nušalinamas nuo darbo (pareigų), yra nėštumo ir gimdymo (motinystės) ar vaiko priežiūros atostogose. Administratoriui teisė naudotis KTVIS turi būti nedelsiant panaikinta baigus darbo santykius arba kai administratorius praranda patikimumą.

22. KTVIS naudotojų tapatybė nustatoma:

22.1. vidinių naudotojų – pagal naudotojo vardą ir slaptažodį;

22.2. išorinių naudotojų – pagal naudotojo naudojamą, VIISP pasirinktą elektroninių paslaugų gavėjo elektroninės atpažinties priemonę (pvz., naudojant asmens tapatybės kortelę, valstybės tarnautojo kortelę, elektroninės bankininkystės priemonę).

23. Už KTVIS naudotojų registravimą ir išregistravimą atsakingas administratorius:

23.1. tikrina, ar nėra nepatvirtintų KTVIS naudotojų paskyrų;

23.2. naudoja KTVIS naudotojų paskyrų kontrolės priemones, kurios periodiškai tikrina KTVIS naudotojų paskyras; apie nepatvirtintas paskyras praneša saugos įgaliotiniui (kibernetinio saugumo vadovui).

24. Prisijungimo prie KTVIS slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai:

24.1. slaptažodis turi būti sudarytas iš raidžių, skaičių ir specialiųjų simbolių;

24.2. KTVIS vidinio naudotojo ir administratoriaus slaptažodį turi sudaryti ne mažiau kaip 12 simbolių;

24.3. slaptažodžiui sudaryti neturi būti naudojama asmeninio pobūdžio informacija (pvz., gimimo data, šeimos narių vardai ir pan.);

24.4. slaptažodžiui sudaryti negalima naudoti klaviatūros sekos (pvz.: 123456, qwerty);

24.5. KTVIS vidinio naudotojo pirmojo prisijungimo prie KTVIS metu iš naudotojo turi būti reikalaujama, kad jis pakeistų slaptažodį;

24.6. KTVIS vidinio naudotojo slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius; administratorių slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

24.7. didžiausias leistinas KTVIS vidinio naudotojo mėginimų įvesti teisingą slaptažodį skaičius yra 5 kartai. Neteisingai įvedus slaptažodį daugiau kaip 5 kartus iš eilės, KTVIS vidinio naudotojo paskyra užrakinama ir neleidžiama KTVIS vidiniam naudotojui identifikuotis per laiko tarpą, ne trumpesnį nei 15 minučių; jeigu KTVIS vidinis naudotojas pamiršo slaptažodį, dėl naujo, laikino slaptažodžio suteikimo KTVIS vidinis naudotojas turi kreiptis į administratorių;

24.8. KTVIS vidiniam naudotojui keičiant slaptažodį, KTVIS neturi leisti sudaryti slaptažodžio iš buvusių 6 paskutinių slaptažodžių; administratoriui – iš buvusių 3 paskutinių slaptažodžių;

24.9. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu; kai nėra techninių galimybių KTVIS vidiniam naudotojui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu, saugos įgaliotinio (kibernetinio saugumo vadovo) sprendimu laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo;

24.10. draudžiama slaptažodžius, prieigos vardus ir kitus prisijungimo duomenis atskleisti tretiesiems asmenims;

24.11. kilus įtarimui dėl slaptažodžio konfidencialumo pažeidimo, slaptažodis turi būti nedelsiant pakeistas;

24.12. KTVIS dalys, atliekančios nutolusio prisijungimo autentifikavimą, neleidžia automatiškai išsaugoti slaptažodžių;

24.13. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais;

24.14. pirmojo prisijungimo prie KTVIS metu KTVIS automatiškai inicijuoja laikino slaptažodžio pakeitimą.

25. Leistini nuotolinio KTVIS naudotojų prisijungimo prie KTVIS būdai nurodyti KTVIS duomenų saugos nuostatų 43 ir 44 punktuose. Nuotoliniams prisijungimams naudojama techninė ir programinė įranga turi būti detaliai administruojama ir kontroliuojama už šios įrangos priežiūrą atsakingų Kelių direkcijos administratorių.

IV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

26. Asmenys, pažeidę Taisyklių reikalavimus, atsako teisės aktų nustatyta tvarka.

________________________

Eil. Nr.	Aprašymas	Vykdytojai, atsakingi už funkcijos atkūrimą
1.	Duomenų bazių atkūrimas	Administratorius, valstybės debesijos paslaugų teikėjo specialistai, KTVIS paslaugų teikėjo specialistai
2.	Tarnybinių stočių veikimo atkūrimas:
2.1.	Duomenų bazių tarnybinės stotys	Administratorius, valstybės debesijos paslaugų teikėjo specialistai, KTVIS paslaugų teikėjo specialistai
2.2.	Taikomųjų programų tarnybinės stotys	Administratorius, valstybės debesijos paslaugų teikėjo specialistai, KTVIS paslaugų teikėjo specialistai
2.3.	Saityno tarnybinės stotys (angl. WEB server)	Administratorius, valstybės debesijos paslaugų teikėjo specialistai, KTVIS paslaugų teikėjo specialistai
2.4.	Virtualios gamybinės tarnybinės stotys	Administratorius, valstybės debesijos paslaugų teikėjo specialistai, KTVIS paslaugų teikėjo specialistai
2.5.	Virtualios taikomųjų programų kūrimo tarnybinės stotys	Administratorius, valstybės debesijos paslaugų teikėjo specialistai, KTVIS paslaugų teikėjo specialistai
2.6.	Kitos tarnybinės stotys	Administratorius, valstybės debesijos paslaugų teikėjo specialistai
3.	Vidinio kompiuterių tinklo veikimo atkūrimas	Administratorius, kompiuterių tinklo įrangos techninės priežiūros paslaugų teikėjo specialistai
4.	Taikomųjų programų tinkamo veikimo atkūrimas	Administratorius, KTVIS paslaugų teikėjo specialistai
5.	Kelių direkcijos kompiuterinių darbo vietų veikimo atkūrimas ir prijungimas prie kompiuterių tinklo	Kelių direkcijos Intelektinių ir informacinių technologijų departamento Informacinių technologijų skyriaus IT sistemų administratorius ir (arba) specialistai

Eil. Nr.	Registre fiksuojama informacija apie incidentą
1.	Incidento identifikacinis numeris (ID) (kai fiksuojama pagalbos tarnyboje (angl. HelpDesk))
2.	Informacija apie incidento identifikavimą: (Kas identifikavo incidentą: vardas, pavardė, pareigos, kokia forma pranešta: telefonu ar kt., kam pranešta: data ir laikas, kada pranešta: data ir laikas)
3.	Incidento data ir laikas:
4.	Incidento nustatymo data ir laikas:
5.	Incidento tipas (grupė): ☐ Nepageidaujamų laiškų, klaidinančios ar žeidžiančios informacijos platinimas ☐ Kenkimo programinė įranga (angl. malicious software / code) ☐ Informacijos rinkimas (angl. information gathering); ☐ Mėginimas įsilaužti (angl. intrusion attempts) ☐ Įsilaužimas (angl. intrusions) ☐ Paslaugų trikdymas, prieinamumo pažeidimai (angl. availability) ☐ Informacijos turinio saugumo pažeidimai (angl. information content security) ☐ Neteisėta veikla, sukčiavimas (angl. fraud) ☐ Kiti incidentai, kurie neatitinka nė vieno iš nurodytų požymių
6.	Incidento kilmės požymis: ☐ Gamtinės sąlygos ☐ Gaisras ☐ Patalpų užgrobimas ☐ Patalpai padaryta žala arba patalpos praradimas ☐ Elektros energijos tiekimo sutrikimai ☐ Vandentiekio ir šildymo sistemos sutrikimai ☐ Ryšio sutrikimai ☐ Techninės įrangos sugadinimas ☐ Programinės įrangos sugadinimas ☐ Dokumentų praradimas ☐ Personalas ☐ Dalinis informacinio ištekliaus veiklos sutrikimas dėl neaiškių priežasčių ☐ Pavojingas (įtartinas) radinys ☐ Kita
7.	Incidento vieta: (pvz., informacinė sistema (nurodyti pavadinimą))
8.	Informacija apie suinteresuotas, su incidentu susijusias šalis: (pvz., ryšių ir informacinės sistemos teikiamų paslaugų gavėjai, valstybės institucijos ir pan.)
9.	Incidento tipas (pagal poveikį objektui): ☐ Konfidencialumas ☐ Prieinamumas ☐ Vientisumas ☐ Mišrus
10.	Incidento rūšis (pažymėti tinkamą (-us)): ☐ Kibernetinis incidentas ☐ Informacinės sistemos ir jose tvarkomos informacijos saugumo pažeidimas ☐ Fizinio saugumo pažeidimas ☐ Asmens duomenų saugumo pažeidimas ☐ Mišrus
11.	Organizacinės ir techninės priemonės, kurių imtasi siekiant apsaugoti informaciją, informacines sistemas, duomenis, įrangą ir pan. nuo incidento poveikio
12.	Incidento poveikio (rizikos) vertinimas: ☐ Nereikšmingo poveikio (N) ☐ Vidutinio poveikio (V) ☐ Didelio poveikio (D) ☐ Pavojingo poveikio (P)
13.	Incidento vertinimas atsižvelgiant į įvertintą poveikį ir rizikas: ☐ Incidentas uždaromas (jeigu nustatoma, kad įvyko ne incidentas) ☐ Pradedamas incidento tyrimas ☐ Informuojamos kompetentingos institucijos: ☐ Valstybinė duomenų apsaugos inspekcija ☐ Nacionalinis kibernetinio saugumo centras ☐ Lietuvos policija ☐ Kita
14.	Informacija apie tyrimą: ☐ Įrodymai surinkti ir išanalizuoti ☐ Analizė atlikta ☐ Taikytos organizacinės priemonės ☐ Inicijuotas įrangos / paslaugos įsigijimas ☐ Inicijuotas dokumentų (procedūrų) pakeitimas ☐ Kita ☐ Taikytos techninės priemonės ☐ Atlikti įrangos konfigūravimai ☐ Pakeista įranga ☐ Kita ☐ Nustatytos incidento atsiradimo priežastys ☐ Programinės įrangos klaidos / netinkama veikla / funkcionalumų trūkumai ☐ Techninės įrangos gedimai / netinkama veikla / funkcionalumų trūkumai ☐ Žmogiškasis faktorius ☐ Kita
15.	Ataskaita, prevencinės priemonės, kad incidentas nepasikartotų ateityje ☐ Teisinio reglamentavimo tobulinimas ☐ Organizacinių priemonių tobulinimas ☐ Techninių priemonių tobulinimas ☐ Kita