HERB21

LIETUVOS RESPUBLIKOS APLINKOS MINISTRAS

ĮSAKYMAS

dėl LIETUVOS RESPUBLIKOS aplinkos ministerijos valdomų VALSTYBĖS Registrų ir iNFORMACINIŲ SISTEMŲ SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLių, VEIKLOS TĘSTINUMO VALDYMO PLANO ir NAUDOTOJŲ ADMINISTRAVIMO TAISYKLių patvirtinimo

2024 m. vasario 12 d. Nr. D1-50

Vilnius

Įgyvendindamas Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, 7 ir 8 punktus,

t v i r t i n u pridedamus:

1. Lietuvos Respublikos aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų saugaus elektroninės informacijos tvarkymo taisykles;

2. Lietuvos Respublikos aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų veiklos tęstinumo valdymo planą;

3. Lietuvos Respublikos aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų naudotojų administravimo taisykles.

Aplinkos ministras Simonas Gentvilas

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2024-02-02 raštu Nr. (4.1 E) 6K-99

PATVIRTINTA

Lietuvos Respublikos aplinkos ministro

2024 m. vasario 12 d. įsakymu Nr. D1-50

LIETUVOS RESPUBLIKOS APLINKOS MINISTERIJOS VALDOMŲ VALSTYBĖS Registrų ir INFORMACINIŲ SISTEMŲ SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos Respublikos aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės) reglamentuoja tvarką, užtikrinančią saugų Lietuvos Respublikos aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų, nurodytų Tvarkymo taisyklių priede (toliau – IS) techninės, programinės įrangos funkcionavimą, saugų IS elektroninės informacijos tvarkymą ir jos teikimą duomenų gavėjams pagal teisės aktų nustatytus reikalavimus.

2. Tvarkymo taisyklės taikomos tvarkant IS, išvardytas Tvarkymo taisyklių priede. Tvarkymo taisyklės taikomos Aplinkos ministerijai (toliau – IS valdytojas), IS nuostatuose aprašytiems duomenų tvarkytojams (toliau – IS tvarkytojai), fiziniams asmenims, IS veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantiems ir (ar) tvarkantiems IS elektroninę informaciją (toliau – IS naudotojai), IS pagrindinio tvarkytojo paskirtiems asmenims, prižiūrintiems IS, užtikrinantiems jų veikimą ir IS elektroninės informacijos saugą (toliau – IS administratoriai), IS pagrindinio tvarkytojo paskirtiems darbuotojams arba Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatyta tvarka IS pagrindinio tvarkytojo parinktiems paslaugos teikėjams, atsakingiems už IS techninės ir programinės įrangos priežiūrą (toliau – IS techniniai administratoriai), ir IS pagrindinio tvarkytojo vadovo įsakymu paskirtiems asmenims, koordinuojantiems ir prižiūrintiems saugos politikos įgyvendinimą (toliau – IS saugos įgaliotiniai).

3. Tvarkymo taisyklės parengtos vadovaujantis:

3.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

3.2. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;

3.3. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

3.4. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

3.5. Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ nuostatais, patvirtintais Lietuvos Respublikos aplinkos ministro 2004 m. rugsėjo 27 d. įsakymu Nr. D1-502 „Dėl Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos nuostatų patvirtinimo“;

3.6. Lietuvos Respublikos teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinės sistemos nuostatais, patvirtintais Lietuvos Respublikos aplinkos ministro 2012 m. sausio 11 d. įsakymu Nr. D1-21 „Dėl Lietuvos Respublikos teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinės sistemos nuostatų patvirtinimo“;

3.7. Lietuvos Respublikos teritorijų planavimo dokumentų registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 1996 m. birželio 19 d. nutarimu Nr. 721 „Dėl Lietuvos Respublikos teritorijų planavimo dokumentų registro nuostatų ir Lietuvos Respublikos teritorijų planavimo duomenų banko nuostatų patvirtinimo“;

3.8. Topografijos, inžinerinės infrastruktūros, teritorijų planavimo ir statybos elektroninių vartų informacinės sistemos nuostatais, patvirtintais Lietuvos Respublikos aplinkos ministro 2020 m. spalio 22 d. įsakymu Nr. D1-643 „Dėl Topografijos, inžinerinės infrastruktūros, teritorijų planavimo ir statybos elektroninių vartų informacinės sistemos steigimo, Topografijos, inžinerinės infrastruktūros, teritorijų planavimo ir statybos elektroninių vartų informacinės sistemos nuostatų patvirtinimo“;

3.9. Kai kurių Aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos aplinkos ministro 2022 m. rugpjūčio 8 d. įsakymu Nr. D1‑260 „Dėl kai kurių Aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų duomenų saugos nuostatų patvirtinimo“.

4. Tvarkymo taisyklėse vartojamos sąvokos atitinka IS nuostatuose ir Tvarkymo taisyklių 3 punkte išvardytuose teisės aktuose apibrėžtas sąvokas.

5. IS tvarkoma informacija skirstoma į šias kategorijas:

5.1. IS administratoriaus ir IS techninio administratoriaus tvarkoma informacija;

5.2. IS naudotojų tvarkoma informacija.

6. Elektroninės informacijos, priskirtos Tvarkymo taisyklių 5 punkte nurodytoms kategorijoms, sąrašas:

6.1. IS administratorių ir IS techninių administratorių tvarkoma informacija:

6.1.1. IS naudotojų, fizinių asmenų ir juridinių asmenų atstovų, naudojančių IS duomenis per IS elektronines paslaugas (toliau – IS paslaugų gavėjai), teisės;

6.1.2. IS techninės ir programinės įrangos parametrai;

6.1.3. kiti IS duomenys, nurodyti IS nuostatuose;

6.1.4. registruoti elektroninės paslaugos, programinės įrangos saugos incidentai;

6.1.5. IS naudotojų ir IS paslaugų gavėjų veiksmų registravimo duomenys;

6.1.6. rezervinės kopijos.

6.2. IS naudotojų tvarkoma informacija - IS duomenys, nurodyti IS nuostatuose.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠymAS

7. Saugiam IS elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, programinės įrangos, duomenų perdavimo tinklai, fizinės, techninės ir organizacinės duomenų ir informacijos saugumo priemonės.

8. IS naudojamų svetainių saugos priemonės:

8.1. svetainės turi atitikti Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo reikalavimus ir Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo nuostatas;

8.2. svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos (toliau – IS pagrindinis tvarkytojas) kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;

8.3. turi būti pakeistos numatytos prisijungimo prie svetainių TVS ir administravimo skydų (angl. Panel) nuorodos (angl. Default Path) ir slaptažodžiai;

8.4. turi būti užtikrinama, kad prie svetainių TVS ir administravimo skydų būtų galima jungtis naudojantis tik šifruotu ryšiu;

8.5. svetainių sauga turi būti vertinama IS rizikos vertinimo, atliekamo IS saugos nuostatų II skyriuje nustatyta tvarka, metu.

9. Kompiuterinės įrangos saugos priemonės:

9.1. prieigos prie IS tarnybinių stočių (serverių) kontrolė užtikrinama suteikiant prieigos prie IS tarnybinių stočių teises tik IS techniniam administratoriui, IS administratoriui ir IS saugos įgaliotiniui;

9.2. kompiuterinės įrangos sujungimas dubliavimo režimu (angl. Computer Cluster), t. y. kompiuterinės įrangos dubliavimas ir šios kompiuterinės įrangos techninės būklės nuolatinė stebėsena;

9.3. IS naudotojų naudojamos techninės kompiuterinės įrangos priežiūra ir tvarkymas, kurį atlieka IS tvarkytojai;

9.4. kompiuterinės įrangos gedimų registravimas kompiuterinės įrangos gedimų žurnale.

10. IS sisteminės ir taikomosios programinės įrangos (toliau – IS programinė įranga) saugos priemonės:

10.1. naudojama legali IS programinė įranga;

10.2. IS programinę įrangą įdiegia tik asmenys, turintys teisę atlikti programinės įrangos diegimą;

10.3. IS programinė įranga prižiūrima laikantis gamintojo rekomendacijų;

10.4. IS naudojamos autorizuotos programinės įrangos sąrašo rengimas ir reguliarus atnaujinimas, už kurį atsako IS saugos įgaliotinis. Sąrašas privalo būti suderintas su IS valdytoju;

10.5. neautorizuotos programinės įrangos įdiegimo į IS naudotojų kompiuterius ribojimas, nuolatinė naudojamos IS programinės įrangos stebėsena IS pagrindinio tvarkytojo prižiūrimose darbo vietose;

10.6. IS pagrindinio tvarkytojo prižiūrimose kompiuterinėse IS naudotojų darbo vietose naudojama pažeidžiamumų nustatymo programinė įranga ir centralizuotai valdomos kenkiančios programinės įrangos aptikimo priemonės, kurios automatiniu būdu atnaujinamos ne rečiau kaip kartą per 10 dienų;

10.7. ne rečiau kaip kartą per mėnesį įvertinami kibernetiniam saugumui užtikrinti naudojamų priemonių programiniai atnaujinimai, klaidų taisymai ir šie atnaujinimai diegiami;

10.8. prisijungimo duomenis, suteikiančius teisę administruoti IS tarnybines stotis, žino tik IS techninis administratorius;

10.9. prieigos teisė dirbti su IS programine įranga suteikiama IS naudotojams šiuo aplinkos ministro įsakymu patvirtintų Lietuvos Respublikos aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų naudotojų administravimo taisyklėse (toliau – IS naudotojų administravimo taisyklės) nustatyta tvarka;

10.10. IS pagrindiniam tvarkytojui pavaldiems IS naudotojams jų naudojamų kompiuterių operacinėse sistemose suteikiamos minimalios, tiesioginėms pareigoms vykdyti būtinos teisės;

10.11. IS naudotojų tapatybei, IS naudotojų veiksmams IS nustatyti taikomos programinės priemonės;

10.12. IS naudotojui 15 minučių neatliekant veiksmų IS, jo sesija pasibaigia; naudotis IS naudotojas gali tik pakartotinai prisijungęs;

10.13. IS techninis administratorius taiko perspėjimo priemones, jei IS tarnybinių stočių įrangoje iki nustatytos pavojingos ribos mažėja laisvos operatyvios atminties ar vietos standžiajame diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja.

11. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

11.1. IS naudotojai ir IS paslaugų gavėjai internetu jungiasi prie užkarda (angl. Firewall) apsaugotų tarnybinių stočių, kuriose yra IS sistemos, naudodami unikalius atpažinties prisijungimo duomenis;

11.2. IS duomenų perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų užkarda. Užkardos įvykių žurnalai (angl. Logs) turi būti reguliariai analizuojami, užkardos saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos;

11.3. viešaisiais ryšių tinklais perduodamos elektroninės informacijos konfidencialumas turi būti užtikrintas naudojant šifravimą;

11.4. nuotolinis prisijungimas prie IS turi būti vykdomas pagal protokolą, skirtą duomenims šifruoti ir (arba) virtualųjį privatųjį tinklą (angl. Virtual Private Network);

11.5. IS duomenų perdavimo tinkle turi būti įdiegtos ir veikti automatinės įsilaužimo (įsibrovimo) aptikimo ir prevencijos priemonės:

11.5.1. turi būti įdiegtos ir veikti automatizuotos įsibrovimo aptikimo sistemos, kurios stebėtų IS įeinantį ir išeinantį duomenų srautą ir vidinį srautą tarp svarbiausių tinklo paslaugų;

11.5.2. atlikus įtartiną veiklą, ji turi būti užfiksuojama audito įrašuose ir automatizuotai kuriamas pranešimas (jei leidžia techninės galimybės) IS techniniam administratoriui;

11.5.3. pranešimas turi būti klasifikuojamas pagal užfiksuotą įvykį;

11.5.4. įsilaužimo atakų pėdsakai (angl. Attack Signature) turi būti gaunami iš aktualią informaciją teikiančių šaltinių – patikimų saugios programinės įrangos gamintojų. Įsilaužimo atakų pėdsakai turi būti atnaujinami ne vėliau kaip per 24 valandas nuo saugos programinės įrangos gamintojo naujausių įsilaužimo atakų pėdsakų pateikimo arba ne vėliau kaip per 72 valandas nuo naujausių įsilaužimo atakų pėdsakų pateikimo, jeigu IS pagrindinio tvarkytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio IS veiklai vertinimas (testavimas);

11.5.5. įsilaužimo aptikimo techninio sprendinio įgyvendinimas, konfigūracija ir kibernetinių incidentų aptikimo algoritmai (taisyklės) (nurodant ir datas (įgyvendinimo, atnaujinimo ir panašiai), atsakingus asmenis, taikymo periodus ir pan.) turi būti saugomi elektroniniu formatu atskirai nuo IS techninės įrangos;

11.6. papildomos elektroninės informacijos perdavimo belaidžiais tinklais saugumo ir kontrolės užtikrinimo priemonės:

11.6.1. leidžiama naudoti tik su IS saugos įgaliotiniu suderintus belaidžio tinklo įrenginius ir belaidės prieigos taškus, atitinkančius techninius kibernetinio saugumo reikalavimus;

11.6.2. belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, IS pagrindinio tvarkytojo kontroliuojamoje zonoje;

11.6.3. vykdoma belaidžių įrenginių kontrolė, tikrinama, ar IS pagrindinio tvarkytojo eksploatuojami belaidžiai įrenginiai atitinka techninius kibernetinio saugumo reikalavimus;

11.6.4. naudojamos priemonės, kurios automatiškai apribotų neleistinus ar kibernetinio saugumo reikalavimų neatitinkančius belaidžius įrenginius;

11.6.5. naudojamos priemonės, kurios automatiškai apriboja neleidžiamus ar saugumo reikalavimų neatitinkančius belaidžius įrenginius arba apie tokių įrenginių aptikimą informuojamas IS saugos įgaliotinis;

11.6.6. prisijungiant prie belaidžio tinklo, turi būti taikomas naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) arba TLS (angl. Transport Layer Security) protokolas;

11.6.7. draudžiama belaidėje sąsajoje naudoti SNMP (angl. Simple Network Management Protocol) protokolą ir kitus nebūtinus valdymo protokolus;

11.6.8. turi būti išjungti nenaudojami TCP (angl. Transmission Control Protocol) ar UDP (angl. User Datagram Protocol) prievadai;

11.7. elektroninis paštas naudojamas IS pagrindinio tvarkytojo patvirtintuose dokumentuose nustatyta tvarka.

12. Patalpų, kuriose yra IS tarnybinės stotys (toliau – patalpos) ir aplinkos saugumo užtikrinimo priemonės:

12.1. turi būti užtikrinamas išorės poveikio šaltinių – transporto priemonių keliamos vibracijos, eismo įvykių, radijo stočių, specialiųjų gamyklų, kitų išorės šaltinių minimalus poveikis patalpoms ir jose esančiai techninei ir programinei įrangai;

12.2. patalpose įrengta langų ir durų fizinė apsauga: prie langų pritvirtintos žaliuzės ir metalinės grotos, įrengtos rakinamos šarvuotos ir ugniai atsparios durys, veikia durų ir langų signalizacija;

12.3. patalpos turi atitikti gaisrinės saugos reikalavimus, jose turi būti pirminių gaisro gesinimo priemonių, kurios kasmet turi būti patikrinamos;

12.4. patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybos stebėjimo pulto;

12.5. patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

12.6. patekti į patalpas gali tik IS valdytojo vadovo ir pagrindinio tvarkytojo viršininko įgalioti asmenys; kiti asmenys patekti į šias patalpas gali tik lydimi IS techninio administratoriaus ir užsiregistravę patekimo į patalpas žurnale;

12.7. IS tarnybinių stočių techninė įranga įnešama į patalpas ar išnešama iš patalpų tik leidus IS techniniam administratoriui;

12.8. IS tarnybinių stočių techninė įranga apsaugoma nuo elektros srovės svyravimų. Naudojami specialūs maitinimo šaltiniai, nenutrūkstamo maitinimo šaltinis su automatine apsauga nuo įtampos svyravimų;

12.9. rezervinio nenutrūkstamo maitinimo šaltinis turi užtikrinti IS tarnybinių stočių įrangos veikimą ne trumpiau kaip 30 minučių, jei neveiktų pagrindinis nenutrūkstamo maitinimo šaltinis;

12.10. ryšių kabeliai turi būti apsaugoti nuo nesankcionuoto prisijungimo prie jų ir jų pažeidimo;

12.11. įgyvendintos gamintojo nustatytos IS tarnybinių stočių techninės įrangos darbo sąlygos;

12.12. patalpose palaikoma +22 (±5) ºC temperatūra ir 50 (±10) proc. santykinis oro drėgnumas.

13. IS darbo apskaitos ir kitos elektroninės informacijos saugos priemonės:

13.1. programiniu būdu registruojami IS naudotojų, IS paslaugų gavėjų veiksmai su IS duomenimis;

13.2. IS naudotojams suteikiamos prieigos prie IS teisės atlikti veiksmus tik su jiems priskirtais duomenimis;

13.3. IS tarnybinių stočių įvykių žurnaluose registruojami, ne trumpiau kaip vienus metus saugomi ir ne rečiau kaip kartą per savaitę analizuojami duomenys nurodant įvykio laiką ir IS naudotojo unikalius atpažinties prisijungimo duomenis apie:

13.3.1. IS tarnybinių stočių ir IS įjungimą ir išjungimą;

13.3.2. sėkmingus ir nesėkmingus bandymus registruotis IS tarnybinėse stotyse ir IS;

13.3.3. bandymus prieiti prie IS informacinių išteklių;

13.3.4. kitus svarbius su IS tvarkomos elektroninės informacijos sauga susijusius įvykius.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

14. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo tvarka:

14.1. IS duomenis keisti, atnaujinti, įrašyti ir naikinti gali tik IS naudotojai, turintys teisę tai atlikti;

14.2. IS duomenys įrašomi, atnaujinami, keičiami ir naikinami vadovaujantis IS nuostatais ir IS saugos nuostatais.

15. IS naudotojų ir (arba) IS paslaugų gavėjų veiksmų registravimo tvarka:

15.1. IS naudotojų ir (arba) IS paslaugų gavėjų tapatybė ir visi veiksmai su IS duomenimis turi būti įrašomi automatiniu būdu IS duomenų bazės veiksmų žurnale, apsaugotame nuo neteisėto duomenų ir informacijos panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;

15.2. Prireikus atliekama IS duomenų bazės veiksmų žurnalo įrašų duomenų analizė; įrašų duomenys gali būti prieinami tik IS administratoriui.

16. Prarasti, iškraipyti ar sunaikinti IS duomenys turi būti atkuriami iš atsarginių IS duomenų kopijų. Atsarginės IS duomenų kopijos daromos ir saugomos; IS duomenys atkuriami iš atsarginių IS duomenų kopijų tokia tvarka:

16.1. už atsarginių IS duomenų kopijų darymą, elektroninės informacijos atkūrimą ir atsarginių IS duomenų kopijų apsaugą atsako IS techninis administratorius, kurio funkcijos aprašytos IS naudotojų administravimo taisyklėse ir kituose teisės aktuose, reglamentuojančiuose IS darbą;

16.2. turi būti kopijuojama ir saugoma tokia elektroninė informacija, kad praradus IS duomenis IS funkcionalumą ir veiklą būtų galima atstatyti per 16 valandų;

16.3. IS duomenys atsarginėse kopijose turi būti užšifruoti;

16.4. IS duomenų atsarginių kopijų darymas turi būti fiksuojamas atsarginių kopijų darymo žurnale;

16.5. IS archyvinės duomenų kopijos į rezervinio kopijavimo biblioteką turi būti įkeliamos vieną kartą per 24 valandas;

16.6. IS duomenų archyvinės kopijos turi būti saugomos užrakintoje nedegioje spintoje, kitoje patalpoje nei IS tarnybinių stočių įrenginys, kurio elektroninė informacija nukopijuota;

16.7. IS duomenų atkūrimo bandymai turi būti atliekami vieną kartą per metus;

16.8. IS duomenų atkūrimo bandymai turi būti vykdomi ne darbo valandomis ir prieš tai visus IS naudotojus informavus elektroniniu paštu;

16.9. už išsamius ir (ar) dalinius IS duomenų atkūrimo bandymus atsako IS techninis administratorius ir IS saugos įgaliotinis. IS techninis administratorius su IS saugos įgaliotiniu turi parengti ir suderinti IS duomenų atkūrimo bandymų metodus, užtikrinti atsarginių IS duomenų kopijų saugojimą ir atsarginių IS duomenų kopijų darymo kontrolę.

17. IS duomenų perkėlimo ir teikimo kitoms informacinėms sistemoms, registrams duomenų gavimo iš jų tvarka:

17.1. už IS naudotojų administravimą, iš susijusių registrų ir kitų informacinių sistemų teikiamų duomenų atnaujinimą IS atsako IS administratorius;

17.2. duomenų mainai tarp IS, susijusių registrų ir kitų informacinių sistemų turi būti vykdomi duomenų teikimo sutartyse numatytais būdais, terminais ir numatytos apimties;

17.3. likviduojant IS, elektroninė informacija turi būti saugiai perduodama kitai valstybės informacinei sistemai ar registrui, sunaikinami arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatyme nustatyta tvarka.

18. Duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo (toliau – neteisėti veiksmai) nustatymo tvarka:

18.1. IS administratorius ir IS techninis administratorius, užtikrindami IS duomenų vientisumą, privalo naudoti visas įmanomas fizines, programines ir organizacines priemones, skirtas IS ir jame tvarkomiems duomenims apsaugoti nuo neteisėtų veiksmų;

18.2. IS naudotojas, įtaręs, kad su IS duomenimis atlikti ar atliekami neteisėti veiksmai, privalo pranešti apie tai IS administratoriui. IS administratorius ir IS techninis administratorius, kilus įtarimų dėl neteisėtų veiksmų su IS duomenimis, pasinaudoję IS duomenų bazės veiksmų žurnalo įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su IS programine įranga ir (ar) duomenimis;

18.3. IS naudotojas, pastebėjęs įvykusį ar galimą asmens duomenų saugumo pažeidimą, apie tai praneša institucijos, kurioje jis dirba, nustatyta tvarka ir terminais;

18.4. IS saugos įgaliotinis, gavęs pranešimą apie įvykdytus ar vykdomus neteisėtus veiksmus su IS arba IS tvarkoma elektronine informacija, inicijuoja elektroninės informacijos saugos (kibernetinio) incidento valdymo procedūras, nustatytas šiuo aplinkos ministro įsakymu patvirtintame Lietuvos Respublikos aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų veiklos tęstinumo valdymo plane.

19. IS programinės ir techninės įrangos keitimo ir atnaujinimo tvarka ir IS funkcijų pokyčių (toliau – IS pokyčiai) valdymo tvarka:

19.1. IS pokyčiai identifikuojami pagal pokyčio tipą: administraciniai, organizaciniai ar techniniai;

19.2. IS pokyčiai, atsižvelgiant į jų svarbą, aktualumą ir poreikį, skirstomi į tokias kategorijas:

19.2.1. standartiniai IS pokyčiai, kurie nekelia rizikos kokybiškam elektroninių paslaugų teikimui arba visos informacinių technologijų infrastruktūros veikimui (pvz., naujos kompiuterinės darbo vietos parengimas IS naudotojui ar IS komponentų pakeitimas, standartinės programinės įrangos įdiegimas, atnaujinimas ar išdiegimas, saugumo spragų pataisų įdiegimas IS naudotojo kompiuterinėje darbo vietoje ir pan.);

19.2.2. skubūs IS pokyčiai, skirti aukščiausio prioriteto sutrikimams arba problemoms šalinti ir reikalauja ypatingos įvertinimo, patvirtinimo ir atlikimo skubos, avariniai pokyčiai (pvz., veiklos atkūrimas likviduojant IS saugos ar kibernetinio incidento, stichinės nelaimės, avarijos ar kitų ekstremalių situacijų padarinius);

19.2.3. plėtros (vystymo) IS pokyčiai, kai kuriamos arba modernizuojamos informacinių technologijų paslaugos ir su tuo susiję veiksmai nevisiškai aiškūs, pokyčiai susiję su tam tikra rizika teikiant elektronines paslaugas arba visai informacinių technologijų infrastruktūrai;

19.3. prioritetas turi būti skiriamas skubiems ir plėtros (vystymo) IS pokyčiams. IS pokyčių prioritetas nustatomas vertinant pokyčių poveikį;

19.4 pagal IS pokyčių poveikį vertinimo metu turi būti vertinama pokyčių nauda, pagrįstumas, įgyvendinamumas, reikalingos sąnaudos, taip pat IS darbo sutrikdymo ar sustabdymo rizika, elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo pažeidimo rizika;

19.5. IS programinės ir techninės įrangos keitimo ir atnaujinimo tvarką ar IS pokyčius, atsižvelgdamas į konkretų atvejį, derina IS techninis administratorius arba jie aprašomi paslaugų, susijusių su IS programinės ir techninės įrangos keitimu ir atnaujinimu, teikimo sutartyse;

19.6. prieš atlikdamas IS pokyčius, kurių metu gali kilti grėsmė IS duomenų ir IS konfidencialumui, vientisumui ar pasiekiamumui, IS techninis administratorius privalo planuojamus IS pokyčius ištestuoti;

19.7. numatomos IS veiklos atkūrimo procedūros nesėkmingai atlikus IS pokyčius;

19.8. atlikęs vykdomų IS pokyčių testavimą ir raštu gavęs IS pagrindinio tvarkytojo vadovo arba jo paskirto asmens sutikimą, IS techninis administratorius gali pradėti įgyvendinti IS pokyčius;

19.9. planuodamas IS pokyčius, kurių metu galimi ilgesni kaip 4 val. IS veikimo sutrikimai darbo metu, IS techninis administratorius privalo ne vėliau kaip prieš dvi darbo dienas iki IS pokyčių vykdymo pradžios informuoti IS naudotojus ir (arba) IS paslaugų gavėjus apie minėtų darbų pradžią ir galimus IS veikimo sutrikimus.

20. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (toliau – mobilieji įrenginiai), naudojamų IS naudotojų tarnybinėms ar darbo funkcijos vykdyti, naudojimo tvarka:

20.1. iš IS pagrindinio tvarkytojo patalpų išnešti mobilieji įrenginiai negali būti palikti be priežiūros viešose vietose; kelionėse mobilieji įrenginiai turi būti saugomi;

20.2. iš IS pagrindinio tvarkytojo patalpų išnešamiems mobiliesiems įrenginiams turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimai ir pan.);

20.3. duomenys, perduodami tarp mobiliojo įrenginio ir IS, turi būti šifruojami;

20.4. turi būti užtikrinta kompiuterinių laikmenų apsauga, t. y. esant techninėms galimybėms turi būti šifruojami duomenys ir mobiliųjų įrenginių laikmenose, ir išorinėse kompiuterinėse laikmenose. Draudžiama saugoti neužšifruotuose mobiliųjų įrenginių laikmenose konfidencialią informaciją ir (arba) asmens duomenis;

20.5. prieš perduodant mobilųjį įrenginį IS naudotojui, jis turi būti patikrinamas antivirusine programine įranga;

20.6. mobiliojo įrenginio grąžinimas ir antivirusinės programos tikrinimo rezultatai turi būti dokumentuojami;

20.7. už mobiliųjų įrenginių ir jame tvarkomų ar saugomų duomenų saugą teisės aktų nustatyta tvarka atsako naudotojas, kuriam šis įrenginys skirtas.

IV SKYRIUS

REIKALAVIMAI IS PASLAUGOMS IR JŲ TEIKĖJAMS

21. IS valdytojas ar pagrindinis tvarkytojas, pirkdami paslaugas, darbus ar įrangą, susijusius su IS, jų projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose ir sutartyse su tiekėju turi nustatyti, kad paslaugų teikėjas, darbų vykdytojas ar įrangos tiekėjas užtikrina, kad paslaugos, darbai ar įranga atitinka Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše nustatytus organizacinius ir techninius kibernetinio saugumo reikalavimus, kiek tai susiję su pirkimo objektu ir prieiga prie IS, taip pat suteikia pakankamai garantijų įgyvendinti tinkamas technines ir organizacines duomenų saugumo priemones pagal Reglamentą (ES) 2016/679.

22. Paslaugų teikėjų prieigos prie IS lygiai ir sąlygos:

22.1. IS techninis administratorius suteikia prieigos prie IS duomenų teisę (peržiūrėti IS duomenis, atlikti užklausas IS vykdyti veiksmus su IS duomenimis ir kt.), fizinę prieigą prie IS techninės ir programinės įrangos paslaugų teikėjo įgaliotam fiziniam asmeniui paslaugų teikimo sutartyje nustatytomis sąlygomis ir tvarka atlikti paslaugų teikėjo funkcijas;

22.2. IS techninis administratorius, suteikdamas prieigos prie IS duomenų teisę, paslaugų teikėjo įgaliotą fizinį asmenį pasirašytinai supažindina su IS nuostatais, IS saugos nuostatais ir kitais IS saugos politiką įgyvendinančiais dokumentais;

22.3. pasibaigus paslaugų teikimo sutarčiai ar šią sutartį nutraukus, IS techninis administratorius nedelsdamas, bet ne vėliau kaip kitą darbo dieną, panaikina paslaugų teikėjo įgalioto fizinio asmens prieigos prie IS duomenų teisę ir apie tai jį informuoja.

23. Reikalavimai IS tarnybinių stočių patalpų, IS programinės įrangos, IS priežiūrai ir kitoms paslaugoms:

23.1. reikalavimai paslaugų teikėjams ir jų teikiamoms IS priežiūros paslaugoms nustatomi šių paslaugų teikimo sutartyse;

23.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja IS programinę įrangą naudodamas:

23.2.1. įgyvendintas elektroninės informacijos saugos priemones, apsaugančias nuo neteisėto poveikio sisteminei, programinei įrangai ir patalpoms;

23.2.2. IS testinės duomenų bazės duomenis (IS programinei įrangai modifikuoti);

23.2.3. tik sertifikuotą IS programinę įrangą;

23.3. IS veiklą palaikančių sistemų (elektros energijos, šildymo, vėdinimo, oro kondicionavimo ir kitų sistemų) kokybė, atsižvelgiant į šių sistemų veiklai keliamus reikalavimus, turi būti reguliariai tikrinama siekiant tinkamo paslaugų teikimo ir sumažinant galimą šių paslaugų teikimo sutrikimą ir avarijos pasekmes.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

24. IS sauga turi būti vertinama IS saugos nuostatų II skyriuje nustatyta tvarka. Su IS rizikos įvertinimu ir (arba) informacinių technologijų saugos atitikties vertinimu turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos IS kibernetiniam saugumui, vertinimas.

25. IS informacinių technologijų saugos atitikties vertinimo metu turi būti atliekamas kibernetinių atakų imitavimas ir vykdomos kibernetinių incidentų imitavimo pratybos. Imituojant kibernetines atakas, rekomenduojama vadovautis tarptautiniu mastu pripažintų organizacijų (pvz., EC-COUNCIL, ISACA, NIST ir kt.) rekomendacijomis ir gerąja praktika. Kibernetinių atakų imitavimas atliekamas etapais:

25.1. planavimo etapas. Parengiamas kibernetinių atakų imitavimo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų mastas, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (arba) pilkosios dėžės (angl. Grey Box)), galimas neigiamas poveikis veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (arba) techniniai įrankiai ir priemonės, nurodomi už plano vykdymą atsakingi asmenys ir jų kontaktai. Kibernetinių atakų imitavimo planas turi būti suderintas su IS pagrindinio tvarkytojo Informacinių sistemų valdymo skyriaus vedėju ir atliekamas gavus jo rašytinį pritarimą;

25.2. žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių serverių, kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą ir konfigūracijas, kita sėkmingai kibernetinei atakai įvykdyti reikalinga informacija. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomą veiklą ir jos rezultatus;

25.3. kibernetinių atakų imitavimo etapas. Atliekami kibernetinių atakų imitavimo plane numatyti testai. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomą veiklą ir jos rezultatus;

25.4. ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai pateikiami informacinių technologijų saugos vertinimo ataskaitoje. Kibernetinių atakų imitavimo plane numatyti testų rezultatai turi būti aptariami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti aprašomas ir pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat IS nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

26. IS naudotojai, IS saugos įgaliotinis, IS administratorius ir IS techninis administratorius, pažeidę Tvarkymo taisyklių ir kitų saugos politikos įgyvendinamųjų teisės aktų nuostatas, atsako teisės aktuose nustatyta tvarka.

________________________

Lietuvos Respublikos aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių

priedas

LIETUVOS RESPUBLIKOS APLINKOS MINISTERIJOS VALDOMŲ VALSTYBĖS REGISTRŲ IR INFORMACINIŲ SISTEMŲ

SĄRAŠAS

Eil. Nr.	Informacinės sistemos pavadinimas	Valstybės informacinių išteklių rūšis
1.	Lietuvos Respublikos teritorijų planavimo dokumentų registras	svarbus
2.	Lietuvos Respublikos teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinė sistema	svarbus
3.	Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinė sistema „Infostatyba“	svarbus
4.	Topografijos, inžinerinės infrastruktūros, teritorijų planavimo ir statybos elektroninių vartų informacinė sistema	vidutinės svarbos

________________________

PATVIRTINTA

Lietuvos Respublikos aplinkos ministro

2024 m. vasario 12 d. įsakymu Nr. D1-50

LIETUVOS RESPUBLIKOS APLINKOS MINISTERIJOS VALDOMŲ VALSTYBĖS REGISTRŲ IR INFORMACINIŲ SISTEMŲ VEIKLOS TĘSTINUMO VALDYMO PLANAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos Respublikos aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų veiklos tęstinumo valdymo plano (toliau – Valdymo planas) tikslas – Aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų, nurodytų šiuo aplinkos ministro įsakymu patvirtintų Lietuvos Respublikos aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių priede (toliau – IS), pagrindinio tvarkytojo paskirto asmens, prižiūrinčio IS, užtikrinančio jų veikimą ir IS elektroninės informacijos saugą (toliau – IS administratorius), IS pagrindinio tvarkytojo paskirto darbuotojo arba Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatyta tvarka IS pagrindinio tvarkytojo parinkto paslaugos teikėjo, atsakingo už IS techninės ir programinės įrangos priežiūrą (toliau – IS techninis administratorius), IS pagrindinio tvarkytojo vadovo įsakymu paskirto asmens, koordinuojančio ir prižiūrinčio saugos politikos įgyvendinimą (toliau – IS saugos įgaliotinis) ir kitų asmenų veiksmus, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, kurio metu kyla pavojus IS duomenims, IS techninės, programinės įrangos funkcionavimui.

2. Valdymo planas taikomas tvarkant IS, nurodytas šiuo aplinkos ministro įsakymu patvirtintų Lietuvos Respublikos aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių priede.

3. Valdymo planas parengtas vadovaujantis:

3.1 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR);

3.3. Nacionaliniu kibernetinių incidentų valdymo planu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

3.4. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

3.5. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

3.6. Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ nuostatais, patvirtintais Lietuvos Respublikos aplinkos ministro 2004 m. rugsėjo 27 d. įsakymu Nr. D1-502 „Dėl Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos nuostatų patvirtinimo“;

3.7. Lietuvos Respublikos teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinės sistemos nuostatais, patvirtintais Lietuvos Respublikos aplinkos ministro 2012 m. sausio 11 d. įsakymu Nr. D1-21 „Dėl Lietuvos Respublikos teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinės sistemos nuostatų patvirtinimo“;

3.8. Lietuvos Respublikos teritorijų planavimo dokumentų registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 1996 m. birželio 19 d. nutarimu Nr. 721 „Dėl Lietuvos Respublikos teritorijų planavimo dokumentų registro nuostatų ir Lietuvos Respublikos teritorijų planavimo duomenų banko nuostatų patvirtinimo“;

3.9. Topografijos, inžinerinės infrastruktūros, teritorijų planavimo ir statybos elektroninių vartų informacinės sistemos nuostatais, patvirtintais Lietuvos Respublikos aplinkos ministro 2020 m. spalio 22 d. įsakymu Nr. D1-643 „Dėl Topografijos, inžinerinės infrastruktūros, teritorijų planavimo ir statybos elektroninių vartų informacinės sistemos steigimo, Topografijos, inžinerinės infrastruktūros, teritorijų planavimo ir statybos elektroninių vartų informacinės sistemos nuostatų patvirtinimo“;

3.10. Kai kurių Aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų duomenų saugos nuostatais, patvirtintais aplinkos ministro 2022 m. rugpjūčio 8 d. įsakymu Nr. D1-260 „Dėl kai kurių Aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų duomenų saugos nuostatų patvirtinimo“.

4. Valdymo plane vartojamos sąvokos atitinka Valdymo plano 3 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.

5. Valdymo plano reikalavimai privalomi Aplinkos ministerijai (toliau – IS valdytojas), IS nuostatuose aprašytiems duomenų tvarkytojams (toliau – IS tvarkytojai), IS saugos įgaliotiniams, IS administratoriams, IS techniniams administratoriams, visiems IS naudotojams, naudojantiems IS įrangą tarnybos ir darbo funkcijoms atlikti (toliau – IS naudotojai). Valdymo planas taikomas kiekvienam pastatui, kuriame tvarkomi IS duomenys.

6. Valdymo planas įsigalioja ir turi būti įgyvendinamas įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, kurio metu gali kilti pavojus IS duomenims, IS techninės, programinės įrangos funkcionavimui.

7. IS saugos įgaliotinio, IS administratoriaus ir IS techninio administratoriaus veiksmai, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, nurodyti Lietuvos Respublikos aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų veiklos atkūrimo detaliajame plane (1 priedas).

8. Elektroninės informacijos saugos (kibernetinio) incidento metu patirti nuostoliai atlyginami iš valstybės biudžeto ir kitų finansavimo šaltinių.

9. Kriterijai, pagal kuriuos nustatoma, kad IS veikla atkurta:

9.1. IS duomenų išsaugojimas;

9.2. IS duomenų atnaujinimas;

9.3. nuolatinis IS duomenų teikimas fiziniams, juridiniams asmenims ir kitiems registrams ar informacinėms sistemoms teisės aktų nustatyta tvarka.

10. Neveikiant IS ar veikiant iš dalies, jos veikla turi būti atkurta ne vėliau kaip per 16 val.

11. IS prieinamumas turi būti užtikrintas ne mažiau kaip 90 procentų laiko darbo metu darbo dienomis.

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

12. Valstybinė teritorijų planavimo ir statybos inspekcija prie Aplinkos ministerijos (toliau – IS pagrindinis tvarkytojas), įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, atlieka šias funkcijas:

12.1. užtikrina IS elektroninės informacijos saugos (kibernetinio) incidento valdymą ir tyrimą; registruoja įvykusius saugos incidentus ir nedelsdamas į juos reaguoja, organizacinėmis, techninėmis ir programinėmis priemonėmis saugos incidentus valdo, tiria ir šalina;

12.2. informuoja Nacionalinį kibernetinio saugumo centrą prie Krašto apsaugos ministerijos apie IS įvykusius kibernetinius saugos incidentus, nurodytus Nacionaliniame kibernetinių incidentų valdymo plane, ir taikytas kibernetinių saugos incidentų valdymo priemones vadovaujantis Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro informavimo tvarkos aprašu (3 priedas);

12.3. teikia policijai informaciją, reikalingą saugos incidentams, turintiems nusikalstamos veikos požymių, užkardyti ir tirti, policijos generalinio komisaro nustatyta tvarka ir sąlygomis;

12.4. kai kibernetinis saugumo incidentas susijęs su galimu asmens duomenų saugumo pažeidimu, praneša IS valdytojui BDAR, IS nuostatuose duomenų valdytojo kita nustatyta tvarka.

13. Elektroninės informacijos saugos (kibernetiniams) incidentams valdyti ir veiklai atkurti IS pagrindinio tvarkytojo įstaigos vadovo įsakymu sudaroma IS veiklos tęstinumo valdymo grupė (toliau – valdymo grupė) ir IS veiklos atkūrimo grupė (toliau – atkūrimo grupė).

14. Valdymo grupės tikslas – pagal IS saugos įgaliotinio gautą tarnybinį pranešimą apie elektroninės informacijos saugos (kibernetinį) incidentą tirti elektroninės informacijos saugos (kibernetinius) incidentus, ieškoti priemonių ir būdų sukeltiems padariniams ir žalai likviduoti, užtikrinti IS veiklos tęstinumą.

15. Valdymo grupės sudėtis:

15.1. IS pagrindinio tvarkytojo viršininkas (valdymo grupės vadovas);

15.2. IS pagrindinio tvarkytojo kancleris (valdymo grupės vadovo pavaduotojas);

15.3. IS pagrindinio tvarkytojo Informacinių sistemų valdymo skyriaus vedėjas;

15.4. už IS išteklių valdymą atsakingas asmuo;

15.5. IS saugos įgaliotinis;

15.6. IS techninis administratorius.

16. Valdymo grupės funkcijos:

16.1. elektroninės informacijos saugos (kibernetinių) incidentų analizė ir sprendimų duomenų veiklos tęstinumo valdymo klausimais priėmimas;

16.2. bendravimas su susijusių registrų ir informacinių sistemų veiklos tęstinumo valdymo grupėmis;

16.3. bendravimas su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;

16.4. bendravimas ir bendradarbiavimas su fiziniais asmenimis ir juridinių asmenų atstovais, naudojančiais IS duomenis per IS elektronines paslaugas (toliau – IS paslaugų gavėjai);

16.5. finansinių ir kitų išteklių, reikalingų IS veiklai atkurti, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, naudojimo kontrolė;

16.6. IS fizinės duomenų saugos užtikrinimo kontrolė, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui;

16.7. logistikos organizavimas (žmonių, daiktų, įrangos gabenimas ir jo organizavimas);

16.8. IS veiklos atkūrimo priežiūra ir koordinavimas;

16.9. kitos valdymo grupei pavestos funkcijos.

17. Atkūrimo grupės sudėtis:

17.1. IS pagrindinio tvarkytojo kancleris (atkūrimo grupės vadovas);

17.2. IS saugos įgaliotinis;

17.3. IS pagrindinio tvarkytojo Informacinių sistemų valdymo skyriaus vedėjas (atkūrimo grupės vadovo pavaduotojas);

17.4. už IS išteklių valdymą atsakingas asmuo;

17.5. IS techninis administratorius.

18. Atkūrimo grupės funkcijos:

18.1. IS tarnybinių stočių veikimo atkūrimo organizavimas;

18.2. kompiuterių tinklo veikimo atkūrimo organizavimas;

18.3. IS duomenų atkūrimo organizavimas;

18.4. IS taikomųjų programų tinkamo veikimo atkūrimo organizavimas;

18.5. darbo kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas;

18.6. kitos atkūrimo grupei pavestos funkcijos.

19. Įvykus elektroninės informacijos saugos (kibernetiniam) incidentui:

19.1. IS naudotojai, IS administratorius ar IS techninis administratorius privalo nedelsdami žodžiu ar raštu pranešti IS saugos įgaliotiniui apie elektroninės informacijos saugos (kibernetinį) incidentą. IS naudotojai neturi teisės imtis kitų su incidentu susijusių veiksmų;

19.2. IS saugos įgaliotinis, gavęs pranešimą apie elektroninės informacijos saugos (kibernetinį) incidentą, nedelsdamas turi imtis veiksmų, reikalingų elektroninės informacijos saugos (kibernetiniam) incidentui stabdyti. Įvykis aprašomas nurodant elektroninės informacijos saugos (kibernetinio) incidento vietą, laiką, pobūdį ir kitą susijusią informaciją;

19.3. IS saugos įgaliotinis nustato prioritetus kibernetiniams incidentams valdyti, tirti ir šalinti; apie juos informuoja Nacionalinį kibernetinio saugumo centrą prie Krašto apsaugos ministerijos Valdymo plano 3 priede nustatyta tvarka;

19.4. IS saugos įgaliotinis apie elektroninės informacijos saugos (kibernetinį) incidentą nedelsdamas informuoja IS pagrindinio tvarkytojo vadovą;

19.5. IS saugos įgaliotinis įrašo informaciją apie elektroninės informacijos saugos (kibernetinį) incidentą į IS elektroninės informacijos saugos (kibernetinių) incidentų registravimo žurnalą (2 priedas), vadovauja IS veiklos atkūrimo detaliajame plane nurodytiems veiksmams;

19.6. IS techninis administratorius užtikrina, kad būtų atkurtas IS techninės ir programinės įrangos veikimas, kompiuterių tinklo veikla, IS duomenys, IS techninės, sisteminės ir taikomosios programinės įrangos funkcionavimas ir nedelsdamas apie atliktus veiksmus informuoja IS saugos įgaliotinį;

19.7. IS saugos įgaliotinis kartu su IS techniniu administratoriumi organizuoja žalos įvertinimą IS duomenims, IS techninei, programinei įrangai, koordinuoja IS veiklai atkurti reikalingos techninės, sisteminės ir taikomosios programinės įrangos įsigijimą;

19.8. elektroninės informacijos saugumo (kibernetiniam) incidentui išplitus už IS pagrindinio tvarkytojo įstaigos ribų, IS techninis administratorius nedelsdamas informuoja su elektroninės informacijos saugos (kibernetiniu) incidentu susijusius paslaugų teikėjus ir (ar) kitas institucijas, atsižvelgia į jų rekomendacijas.

20. Techninė, sisteminė ir taikomoji programinė įranga, reikalinga norint pakeisti elektroninės informacijos saugos (kibernetinio) incidento metu sunaikintą ar sugadintą įrangą, įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo, viešuosius pirkimus reglamentuojančių poįstatyminių teisės aktų (ar) ir IS valdytojo ar IS tvarkytojo patvirtintų dokumentų nustatyta tvarka.

21. Atsarginėms patalpoms, naudojamoms IS veiklai atkurti įvykus elektroninės informacijos saugos (kibernetinio) incidentui, keliami šie reikalavimai:

21.1. patekimas į atsargines patalpas turi būti registruojamas patekimo į patalpas, kuriose yra tarnybinės stotys, žurnale;

21.2. atsarginės patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

21.3. atsarginės patalpos turi atitikti gaisrinės saugos reikalavimus ir jose turi būti pirminių gaisro gesinimo priemonių;

21.4. atsarginėse patalpose turi būti įrengtas rezervinis elektros energijos šaltinis IS techninei įrangai ir duomenų perdavimo tinklo mazgams, užtikrinantis minėtos įrangos veikimą ne trumpiau kaip 30 minučių, jei neveiktų pagrindinio elektros energijos šaltinis;

21.5. ryšių kabeliai turi būti apsaugoti nuo nesankcionuoto prisijungimo;

21.6. patalpoje nuolat turi veikti oro temperatūros reguliavimo įranga (oro kondicionavimo sistema), palaikoma +22 (±5) ºC temperatūra.

22. Atsarginių patalpų, naudojamų IS veiklai atkurti kilus elektroninės informacijos (saugos) incidentui, vieta – valstybinio duomenų centro atsarginės patalpos arba kita vieta, atitinkanti patalpoms keliamus reikalavimus.

23. Valdymo grupė ir atkūrimo grupė bendrauja el. paštu ir (ar) telefonu. Ne rečiau kaip kartą per metus organizuojamas šių grupių susitikimas, kuriame aptariama esama situacija ir suderinami galimi jos gerinimo būdai.

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

24. Informacija apie IS techninę ir programinę įrangą ir jos parametrus nurodyta IS techninės ir programinės įrangos specifikacijoje.

25. Už IS techninės ir programinės įrangos priežiūrą atsako IS techninis administratorius.

26. IS administratorius parengia ir saugo:

26.1. dokumentą, kuriame nurodyti informacinių technologijų įrangos parametrai ir už šios įrangos priežiūrą atsakingas IS techninis administratorius, minimalus IS veiklai atkurti nesant IS techninio administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, reikiamos kompetencijos ar žinių lygis;

26.2. dokumentą, kuriame nurodyta minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos IS pagrindinio tvarkytojo poreikius atitinkančiai IS veiklai užtikrinti, įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, specifikacija, kuri turi atitikti pagrindinę IS techninės ir programinės įrangos specifikaciją;

26.3. dokumentą, kuriame nurodytos kompiuterių tinklo fizinio ir loginio sujungimo schemos;

26.4. dokumentą, kuriame nurodytos duomenų teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigos;

26.5. dokumentą, kuriame nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis IS duomenų kopijomis saugojimo vieta, šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos.

27. Programinės įrangos laikmenos ir laikmenos su atsarginėmis IS duomenų kopijomis saugomos užrakintoje nedegioje spintoje, kitoje patalpoje nuo įrenginio, kurio elektroninė informacija nukopijuota. IS techninis administratorius kartą per savaitę atsargines IS duomenų kopijas perkelia į saugojimo vietą.

28. IS saugos įgaliotinis ir IS techninis administratorius parengia, patvirtina ir saugo valdymo grupės ir atkūrimo grupės narių sąrašus su kontaktiniais duomenimis. Minėtų grupių narių sąrašai turi būti atnaujinami pasikeitus informacijai.

29. IS saugos įgaliotinis ne rečiau kaip kartą per mėnesį:

29.1. atlieka užfiksuotų kibernetinių incidentų analizę, prireikus organizuoja pastebėtų neatitikčių saugumo reikalavimams šalinimą;

29.2. atlieka kibernetinių incidentų valdymo patirties vertinimą;

29.3. atlieka užkardose (angl. Firewall) užfiksuotų įvykių analizę, organizuoja pastebėtų neatitikčių saugumo reikalavimams šalinimą;

29.4. įvertina kibernetiniam saugumui užtikrinti naudojamų priemonių programinius atnaujinimus, klaidų taisymus, organizuoja atnaujinimų diegimą.

IV SKYRIUS

Valdymo PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

30. Valdymo plano veiksmingumas turi būti išbandomas kartą per dvejus metus imituojant elektroninės informacijos saugos (kibernetinio). Jo metu už elektroninės informacijos saugos (kibernetinio) incidento padarinių likvidavimą atsakingi asmenys atlieka minėtų padarinių likvidavimo veiksmus. Iš atsarginių IS duomenų kopijų atkuriami IS duomenys.

31. Kibernetinių incidentų imitavimo pratybos turi būti organizuojamos ne rečiau kaip kartą per metus. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, Valdymo planas tobulinamas.

32. Pagal bandymų rezultatus IS saugos įgaliotinis, IS techninis administratorius parengia IS įvertinimo ataskaitą (toliau – ataskaita), kurioje apibendrinami bandymų rezultatai, aprašomi pastebėti trūkumai, pasiūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina IS pagrindinio tvarkytojo įstaigos vadovas. Ataskaitų kopijos ne vėliau kaip per 5 darbo dienas jas patvirtinus pateikiamos Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos.

33. IS saugos įgaliotinis nuolat kontroliuoja ataskaitoje nurodytų trūkumų šalinimo priemonių įgyvendinimą.

34. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami laikantis šių principų:

34.1. operatyvumo: kuo greičiau išspręsti ir pašalinti trūkumus. Atliekant trūkumų šalinimo veiklą, turi būti atsižvelgiama į trūkumų sudėtingumą ir apimtį. IS saugos įgaliotinis kartu su IS techniniu administratoriumi nusprendžia ir nustato, per kiek laiko turi būti atliktas konkretus trūkumų šalinimo veiksmas ir pašalinti trūkumai;

34.2. veiksmingumo: trūkumų šalinimas turi reikšmingai paveikti IS veiklą. Trūkumų šalinimas laikomas veiksmingu, jei pavyko sumažinti konkretaus trūkumo neigiamą poveikį;

34.3. ekonomiškumo: siekis pašalinti visus trūkumus taupiai naudojant išteklius.

__________________________

Lietuvos Respublikos aplinkos ministerijos

valdomų valstybės registrų ir informacinių

sistemų veiklos tęstinumo valdymo plano

1 priedas

LIETUVOS RESPUBLIKOS APLINKOS MINISTERIJOS VALDOMŲ VALSTYBĖS registrų ir INFORMACINIŲ SISTEMŲ VEIKLOS ATKŪRIMO DETALUSIS PLANAS

Pavojaus rūšys	Pirmiausia atliekami veiksmai	Informacinės sistemos ar registro (toliau – IS) veiklos atkūrimo veiksmai	Už IS veiklos atkūrimą atsakingi asmenys	Terminas
1. Oro sąlygos (smarkus lietus, labai smarki audra, viesulas, škvalas, kruša, žemės drebėjimas, speigas)	1.1. Elektroninės informacijos saugos incidento pasekmių įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	1.1.1. Elektroninės informacijos saugos incidento metu padarytos žalos įvertinimas	IS saugos įgaliotinis, IS techninis administratorius	1 diena po incidento nustatymo
		1.1.2. Pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas	IS saugos įgaliotinis, IS techninis administratorius	2 dienos po incidento nustatymo
		1.1.3. Priemonių plano įgyvendinimas	IS saugos įgaliotinis, IS techninis administratorius	Atsižvelgiant į sutrikimų šalinimo darbų pobūdį
	1.2. Darbuotojų paskyrimas likviduoti elektroninės informacijos saugos incidento pasekmes	1.2.1. Žalą likviduojančių darbuotojų instruktavimas	valdymo grupė	Sudarius ir paskelbus padarytos žalos likvidavimo priemonių planą
		1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas	valdymo grupė	Nedelsiant instruktavus darbuotojus
	1.3. Pavojaus vietų ženklinimas	1.3.1. Darbuotojų informavimas 1.3.2. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis	1 val. po incidento nustatymo
	1.3. Pavojaus vietų ženklinimas		IS saugos įgaliotinis	1 val. po incidento nustatymo
2. Gaisras	2.1. Priešgaisrinės gelbėjimo tarnybos informavimas	2.1.1. Įvykio vietos lokalizavimas, jei buvo rekomenduota	IS saugos įgaliotinis	Nedelsiant
	2.1. Priešgaisrinės gelbėjimo tarnybos informavimas	2.1.2. Galimybių evakuoti darbuotojus paieška, jei rekomenduojama	IS saugos įgaliotinis	Nedelsiant
	2.2. Darbuotojų evakavimas (jei Priešgaisrinė gelbėjimo tarnyba rekomenduoja)	2.2.1. Darbuotojų informavimas apie evakavimą, jei rekomenduojama	IS saugos įgaliotinis	Nedelsiant
	2.3. Išjungimas komunikacijų, sukeliančių pavojų, gaisro gesinimas ankstyvoje stadijoje, jei rekomenduojama dirbti pavojaus zonoje	2.3.1. Priešgaisrinės gelbėjimo tarnybos nurodymų vykdymas	IS saugos įgaliotinis	Nedelsiant
3. Patalpų užgrobimas	3.1. Teisėsaugos institucijų informavimas	3.1.1. Įvykio vietos lokalizavimas, jei rekomenduoja teisėsaugos institucijos	IS saugos įgaliotinis	Nedelsiant
	3.1. Teisėsaugos institucijų informavimas	3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei rekomenduojama	IS saugos įgaliotinis	Nedelsiant
	3.2. Darbuotojų evakavimas, jei yra teisėsaugos institucijos rekomendacija	3.2.1. Darbuotojų informavimas apie evakavimą	IS saugos įgaliotinis	Nedelsiant
	3.3. Jei įmanoma, užrakinti patalpas	3.3.1. Teisėsaugos institucijos nurodymų vykdymas	IS saugos įgaliotinis	Nedelsiant
	3.4. Teisėsaugos institucijos nurodymų vykdymas	3.4.1. Darbuotojų informavimas kaip vykdyti nurodymus	IS saugos įgaliotinis	Nedelsiant
	3.5. Veiksmai išlaisvinus užgrobtas patalpas	3.5.1. Žalos įvertinimas	valdymo grupė	1 diena po incidento nustatymo
		3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, vykdymas	veiklos atkūrimo grupė	2 dienos po incidento nustatymo
		3.5.3. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis	1 diena po incidento nustatymo
4. Patalpai padaryta žala arba patalpos sunaikinimas	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.1. Suinteresuotos tarnybos rekomendacijos dėl galimybės dirbti pavojaus zonoje	IS saugos įgaliotinis	1 val. po incidento nustatymo
	4.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį	4.1.2. Darbuotojų informavimas apie rekomendacijas	IS saugos įgaliotinis	Nedelsiant
	4.2. IS įrangos perkėlimas į atsargines patalpas	4.2.1. Darbuotojų informavimas apie darbą patalpose	IS saugos įgaliotinis	5 darbo dienos po incidento nustatymo
5. Energijos tiekimo sutrikimai	5.1. Energijos tiekimo sutrikimo priežasčių nustatymas, tarnybinių stočių, kitos techninės įrangos energijos maitinimo išjungimas	5.1.1. Sutrikimų šalinimo organizavimas	atkūrimo grupė	Nedelsiant
	5.2. Užklausa energijos tiekimo įmonei dėl pavojaus trukmės ir sutrikimo pašalinimo galimybių	5.2.1. Energijos tiekimo įmonės rekomendacijos	valdymo grupė, atkūrimo grupė	1 val. po incidento nustatymo
	5.3. Sutrikimų pašalinimas	5.3.1. Pavojaus panaikinimas, žalos likvidavimo priemonių plano sudarymas ir įgyvendinimas	IS techninis administratorius, IS saugos įgaliotinis	Atsižvelgiant į sutrikimų šalinimo darbų pobūdį
		5.3.2. Žalos įvertinimas	valdymo grupė	1 diena po incidento nustatymo
		5.3.3. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis	Nedelsiant po padarytos žalos likvidavimo priemonių plano sudarymo
6. Vandentiekio ir šildymo sistemos sutrikimai	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.1. Vandentiekio ar šildymo paslaugų teikėjų rekomendacijos dėl galimybės dirbti	IS saugos įgaliotinis	Nustačius incidentą
	6.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas	6.1.2. Darbuotojų informavimas apie rekomendacijas	IS saugos įgaliotinis	Nedelsiant
	6.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas	6.2.1. Žalos įvertinimas, sutrikimo sustabdymo ir žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas	valdymo grupė, atkūrimo grupė	Atsižvelgiant į sutrikimų šalinimo darbų pobūdį
		6.2.2. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis	Nedelsiant po padarytos žalos likvidavimo priemonių plano sudarymo
7. Ryšio sutrikimai	7.1. Ryšio sutrikimo priežasčių nustatymas	7.1.1. Ryšio paslaugos teikėjo informavimas	IS techninis administratorius, IS saugos įgaliotinis	Nedelsiant
	7.2. Ryšio paslaugų teikėjo informavimas, sutrikimo trukmės ir pašalinimo prognozės	7.2.1. Priemonių, apsaugančių nuo ryšio sutrikimų pasikartojimo, nustatymas ir įgyvendinimas	IS saugos įgaliotinis	5 darbo dienos po incidento nustatymo
	7.3. Sutrikimo pašalinimas	7.3.1. Kreipimasis į kitą ryšio paslaugos teikėją, jei sutrikimas nepašalintas	IS saugos įgaliotinis	1 diena po incidento nustatymo
8. Tarnybinės stoties, komutacinės įrangos sugadinimas, praradimas	8.1. Pranešimai teisėsaugos institucijai ir draudimo bendrovei apie įvykį	8.1.1. Darbuotojų paskyrimas elektroninės informacijos saugos incidento pasekmėms likviduoti, instruktavimas, jų veiksmų nustatymas	IS saugos įgaliotinis	1 diena po incidento nustatymo
	8.2. Elektroninės informacijos saugos incidento pasekmių šalinimas	8.2.1. Įrangos remontas arba naujos įrangos pirkimas	IS administratorius	3 darbo dienos po incidento nustatymo
		8.2.2. Įsigytos įrangos diegimas	IS techninis administratorius, IS saugos įgaliotinis	3 darbo dienos po incidento nustatymo
9. Programinės įrangos sugadinimas, praradimas	9.1. Elektroninės informacijos saugos (kibernetinių) incidento pasekmių įvertinimas, priemonių plano pavojui sustabdyti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas	9.1.1. Elektroninės informacijos saugos (kibernetinio) incidento metu padarytos žalos įvertinimas	valdymo grupė, atkūrimo grupė	1 diena po incidento nustatymo
		9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas	valdymo grupė, atkūrimo grupė	Atsižvelgiant į sutrikimų šalinimo darbų kiekį
	9.2. Darbuotojų paskyrimas elektroninės informacijos saugos (kibernetinio) incidento pasekmėms likviduoti, žalą likviduojančių darbuotojų instruktavimas, jų veiksmų koordinavimas	9.2.1. Žalą likviduojančių darbuotojų instruktavimas	IS saugos įgaliotinis	Nedelsiant sudarius incidento likvidavimo priemonių planą
2.		9.2.2. Teisėsaugos institucijų informavimas apie sugadintą ar prarastą programinę įrangą ir jų nurodymų vykdymas	IS techninis administratorius, IS saugos įgaliotinis	1 diena po incidento nustatymo
10. Duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas	10.1. Duomenų apsaugos pareigūno ir kitų įstaigoje paskirtų asmenų informavimas, elektroninės informacijos saugos (kibernetinio) incidento pasekmių įvertinimas	10.1.1. Prarastų, iškraipytų ar sunaikintų IS duomenų atkūrimas	atkūrimo grupė	1 diena po incidento nustatymo
		10.1.2. Prarastų, iškraipytų ar sunaikintų IS duomenų atkūrimo kontrolė	valdymo grupė	1 diena po incidento nustatymo
11. Darbuotojų praradimas	11.1. Elektroninės informacijos saugos incidento pasekmių įvertinimas	11.1.1. Trūkstamų darbuotojų paieška ir priėmimas į darbą	Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos Informacinių sistemų valdymo skyriaus vedėjas ir kancleris	60 dienų po incidento

__________________________

Lietuvos Respublikos aplinkos ministerijos valdomų

valstybės registrų ir informacinių sistemų veiklos

tęstinumo valdymo plano

2 priedas

(Lietuvos Respublikos aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų elektroninės informacijos saugos (kibernetinių) incidentų registravimo žurnalo forma)

LIETUVOS RESPUBLIKOS APLINKOS MINISTERIJOS VALDOMŲ VALSTYBĖS REGISTRŲ IR INFORMACINIŲ SISTEMŲ ELEKTRONINĖS INFORMACIJOS SAUGOS (kibernetinių) INCIDENTŲ REGISTRAVIMO ŽURNALAS

Pradėta pildyti 20___m.___________________d.

Eil. Nr.	Elektroninės informacijos saugos incidentas
Eil. Nr.	Įstaigos pavadinimas	Pavojaus rūšies numeris	Įvykio aprašymas	Pradžia (metai, mėnuo, diena, valanda)	Pabaiga (metai, mėnuo, diena, valanda)	Incidentą pašalino (vardas, pavardė ir pareigos)	IS saugos įgaliotinis (vardas, pavardė, parašas)
1.
2.
3.
4.
5.

Elektroninės informacijos saugos incidento pavojaus rūšys:

1 - oro sąlygos; 2 - gaisras; 3 - patalpų užgrobimas; 4 - patalpai padaryta žala arba patalpos sunaikinimas; 5 - energijos tiekimo sutrikimai; 6 - vandentiekio ir šildymo sistemos sutrikimai; 7 - ryšio sutrikimai; 8 - tarnybinės stoties, komutacinės įrangos sugadinimas, praradimas; 9 - programinės įrangos sugadinimas, praradimas; 10 - duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas; 11 - darbuotojų praradimas.

_____________

Lietuvos Respublikos aplinkos ministerijos valdomų

valstybės registrų ir informacinių sistemų veiklos

tęstinumo valdymo plano

3 priedas

KIBERNETINIŲ INCIDENTŲ VALDYMO IR NACIONALINIO KIBERNETINIO SAUGUMO CENTRO PRIE KRAŠTO APSAUGOS MINISTERIJOS INFORMAVIMO TVARKOS APRAŠAS

1. Kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos informavimo tvarkos aprašas reglamentuoja kibernetinių incidentų valdymo ir Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos (toliau – Centras) informavimo apie šiuo aplinkos ministro įsakymu patvirtintų Lietuvos Respublikos aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų veiklos tęstinumo valdymo plano (toliau – valdymo planas) 2 punkte nurodytose informacinėse sistemose ir valstybės registre (toliau – IS) įvykusius kibernetinius incidentus tvarką.

2. Centras informuojamas apie IS įvykusius:

2.1. didelio poveikio kibernetinius incidentus – ne vėliau kaip per 1 valandą nuo jų nustatymo;

2.2. vidutinio poveikio kibernetinius incidentus – ne vėliau kaip per 4 valandas nuo jų nustatymo;

2.3. nereikšmingo poveikio kibernetinius incidentus – kiekvieno mėnesio pirmąją darbo dieną.

3. Centras informuojamas apie didelio ar vidutinio poveikio kibernetinius incidentus kibernetinio saugumo subjekto pranešimu, kuriame nurodoma:

3.1. kibernetinio incidento grupė (grupės) ir poveikio kategorija pagal Valdymo plano 4 priede pateiktus kriterijus;

3.2. trumpas kibernetinio incidento apibūdinimas;

3.3. tikslus laikas, kada kibernetinis incidentas įvyko ir buvo nustatytas;

3.4. kibernetinio incidento šalinimo tvarka (prioritetas ar ne);

3.5. tikslus laikas, kada bus teikiama kibernetinio incidento tyrimo ataskaita.

4. Informuojant apie nereikšmingą kibernetinį incidentą, pateikiamas nuo paskutinio pranešimo pateikimo dienos įvykusių kiekvienos grupės incidentų skaičius.

5. Centrui pateikiama incidento tyrimo ataskaita apie:

5.1. didelės reikšmės kibernetinio incidento valdymo būklę – ne vėliau kaip per 4 valandas nuo jo nustatymo ir ne rečiau kaip kas keturias valandas atnaujinta informacija, kol kibernetinis incidentas suvaldomas ar baigiasi;

5.2. vidutinės reikšmės kibernetinio incidento valdymo būklę – ne vėliau kaip per 24 valandas nuo jo nustatymo ir ne rečiau kaip kas dvidešimt keturias valandas atnaujintą informaciją, iki kibernetinis incidentas suvaldomas ar baigiasi;

5.3. didelio ar vidutinio poveikio kibernetinių incidentų suvaldymą ar pabaigą – ne vėliau kaip per 4 valandas nuo jų suvaldymo ar pabaigos.

6. Didelės ir vidutinės reikšmės kibernetinio incidento tyrimo ataskaitoje pateikiama žinoma informacija:

6.1. kibernetinio incidento grupė (grupės) ir poveikio kategorija;

6.2. IS komponento, kuriame nustatytas kibernetinis incidentas, tipas (registras, informacinė sistema, posistemė, elektroninių ryšių tinklas, tarnybinė stotis ir pan.);

6.3. kibernetinio incidento trukmė;

6.4. kibernetinio incidento šaltinis;

6.5. kibernetinio incidento požymiai;

6.6. kibernetinio incidento veikimo metodas;

6.7. galimos kibernetinio incidento pasekmės;

6.8. kibernetinio incidento poveikio pasireiškimo (galimo išplitimo) mastas;

6.9. kibernetinio incidento būsena (aktyvus, pasyvus);

6.10. priemonės, kuriomis kibernetinis incidentas nustatytas;

6.11. galimos kibernetinio incidento valdymo priemonės;

6.12. tikslus laikas, kada bus teikiama pakartotinė kibernetinio incidento tyrimo ataskaita.

7. Apie didelės ir vidutinės reikšmės kibernetinio incidento sustabdymą ir pašalinimą Centrui pranešama ne vėliau kaip per 8 valandas sustabdžius ir pašalinus kibernetinį incidentą.

8. Apie kibernetinius incidentus Centras informuojamas naudojantis Kibernetinio saugumo informaciniu tinklu, jei to padaryti neįmanoma, – Centro nurodytais kontaktais (tel. 1843, el. p. cert@nksc.lt).

9. Kriterijai, kuriais vadovaujantis kibernetiniai incidentai priskiriami konkrečiai kategorijai, nustatyti valdymo plano 4 priede.

__________________________

Lietuvos Respublikos aplinkos ministerijos valdomų

valstybės registrų ir informacinių sistemų veiklos

tęstinumo valdymo plano

4 priedas

KIBERNETINIŲ INCIDENTŲ KATEGORIJŲ SĄRAŠAS

Eil. Nr.	Kibernetinis incidentas
Eil. Nr.	Grupė	Apibūdinimas	Kategorija
1.	Kenkianti programinė įranga (angl. Malicious Software)	Kenkianti programinė įranga, kai darbo ar tarnybines stotis aktyviai kontroliuoja įsibrovėliai (pavyzdžiui, užpakalinės durys (angl. Back Door). Modernios kenkiančios programinės įrangos (angl. Advanced Persistent Threat, APT) aptikimas informacinėse sistemose ir valstybės registre (toliau – IS). Kenkianti programinė įranga, trikdanti IS kibernetinio saugumo priemonių darbą.	Didelės reikšmės kibernetinis incidentas (toliau – D)
		Kenkianti programinė įranga, kurios neaptinka IS darbo stotyje veikianti antivirusinė programinė įranga. IS veikianti kenkianti programinė įranga, kurią aptinka antivirusinė programinė įranga reguliariai tikrinant.	Vidutinės reikšmės kibernetinis incidentas (toliau – V)
		IS laikmenose ar darbo ir tarnybinėse stotyse veikianti kenkianti programinė įranga, kurią iš karto aptinka antivirusinė programinė įranga. Socialinės inžinerijos metodų naudojimas (manipuliavimas IS naudotojų emocijomis, pastabumo stoka, technologijų neišmanymu), kai bandoma įtikinti IS naudotoją atlikti grėsmę IS keliančius veiksmus, tačiau IS naudotojas atpažįsta grėsmę ir neatlieka kenkiančią programinę įrangą aktyvinančių veiksmų.	Nereikšmingas kibernetinis incidentas (toliau – N)
2.	Įsilaužimas	Vidinė IS žvalgyba ar kita įtartina veikla (prievadų skenavimas, slaptažodžių parinkimas, kita), aptikta IS (išskyrus kenkiančią programinę įrangą), sutrikdžiusi IS veiklą. Piktybiniai veiksmai norint pakenkti IS kibernetiniam saugumui.	D
2.	Įsilaužimas	Vidinė IS žvalgyba ar kita įtartina veikla (prievadų skenavimas, slaptažodžių parinkimas, kita), aptikta IS infrastruktūroje.	V
3.	IS perimetro žvalgyba	Aktyvi (slaptažodžių parinkimas, bandymai pasinaudoti pažeidžiamumais, kita) IS perimetro žvalgyba ar įtartina veikla (išskyrus kenkiančią programinę įrangą) mėginant paveikti IS kibernetinio saugumo priemones.	V
3.	IS perimetro žvalgyba	IS perimetro priemonių žvalgyba (nebandant įsilaužti).	N
4.	IS trikdymas	Veiksmas, ilgiau kaip 4 valandoms sutrikdęs IS veiklą.	D
4.	IS trikdymas	Veiksmas, kuriuo trikdoma (angl. Denial of Service, DoS) IS veikla.	V
5.	Neteisėta veika	Vagystė, apgavystė ir panašūs kriminalinio pobūdžio kibernetiniai incidentai.	V
6.	Vientisumo pažeidimas	IS ar jų dalies pažeidimas, sutrikdantis IS teikiamų paslaugų nepertraukiamą teikimą, galintis turėti įtakos tvarkomų duomenų ir teikiamų paslaugų patikimumui, iškreipti turinį ir mažinti IS paslaugų gavėjų pasitikėjimą	V

__________________________

PATVIRTINTA

Lietuvos Respublikos aplinkos ministro

2024 m. vasario 12 d. įsakymu Nr. D1-50

LIETUVOS RESPUBLIKOS APLINKOS MINISTERIJOS VALDOMŲ VALSTYBĖS REGISTRŲ IR INFORMACINIŲ SISTEMŲ NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos Respublikos aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų naudotojų administravimo taisyklės (toliau – Administravimo taisyklės) nustato Aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų, nurodytų šiuo aplinkos ministro įsakymu patvirtintų Lietuvos Respublikos aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių priede (toliau – IS), fizinių asmenų IS veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojančių ir (ar) tvarkančių IS elektroninę informaciją (toliau – IS naudotojai), Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos (toliau – IS pagrindinio tvarkytojo) paskirtų asmenų, prižiūrinčių IS, užtikrinančių jų veikimą ir IS elektroninės informacijos saugą (toliau – IS administratoriai) įgaliojimus, teises ir pareigas, saugaus duomenų ir informacijos teikimo fiziniams asmenims ir juridinių asmenų atstovams, naudojantiems IS duomenis per IS elektronines paslaugas (toliau – IS paslaugų gavėjai) kontrolės tvarką.

2. Administravimo taisyklės taikomos tvarkant IS, nurodytas šiuo aplinkos ministro įsakymu patvirtintų Lietuvos Respublikos aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių priede.

3. Administravimo taisyklės parengtos vadovaujantis:

3.1. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu ir Saugos dokumentų turinio gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;

3.2. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

3.3. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

3.4. Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos „Infostatyba“ nuostatais, patvirtintais Lietuvos Respublikos aplinkos ministro 2004 m. rugsėjo 27 d. įsakymu Nr. D1-502 „Dėl Lietuvos Respublikos statybos leidimų ir statybos valstybinės priežiūros informacinės sistemos nuostatų patvirtinimo“;

3.5. Lietuvos Respublikos teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinės sistemos nuostatais, patvirtintais aplinkos ministro 2012 m. sausio 11 d. įsakymu Nr. D1-21 „Dėl Lietuvos Respublikos teritorijų planavimo dokumentų rengimo ir teritorijų planavimo proceso valstybinės priežiūros informacinės sistemos nuostatų patvirtinimo“;

3.6. Lietuvos Respublikos teritorijų planavimo dokumentų registro nuostatais, patvirtintais Lietuvos Respublikos Vyriausybės 1996 m. birželio 19 d. nutarimu Nr. 721 „Dėl Lietuvos Respublikos teritorijų planavimo dokumentų registro nuostatų ir Lietuvos Respublikos teritorijų planavimo duomenų banko nuostatų patvirtinimo“;

3.7. Topografijos, inžinerinės infrastruktūros, teritorijų planavimo ir statybos elektroninių vartų informacinės sistemos nuostatais, patvirtintais aplinkos ministro 2020 m. spalio 22 d. įsakymu Nr. D1-643 „Dėl Topografijos, inžinerinės infrastruktūros, teritorijų planavimo ir statybos elektroninių vartų informacinės sistemos steigimo, Topografijos, inžinerinės infrastruktūros, teritorijų planavimo ir statybos elektroninių vartų informacinės sistemos nuostatų patvirtinimo“;

3.8. Kai kurių Aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos aplinkos ministro 2022 m. rugpjūčio 8 d. įsakymu Nr. D1-260 „Dėl kai kurių Aplinkos ministerijos valdomų valstybės registrų ir informacinių sistemų duomenų saugos nuostatų patvirtinimo“.

4. Administravimo taisyklėse vartojamos sąvokos atitinka Administravimo taisyklių 3 punkte išvardytuose teisės aktuose apibrėžtas sąvokas.

5. Administravimo taisyklės taikomos visiems IS naudotojams, IS administratoriui, IS pagrindinio tvarkytojo vadovo įsakymu paskirtam asmeniui, koordinuojančiam ir prižiūrinčiam saugos politikos įgyvendinimą (toliau – IS saugos įgaliotinis), kurių prieigos prie IS duomenų teisės paremtos IS duomenų saugumo, stabilumo, operatyvumo principais.

6. IS naudotojams prieiga prie IS duomenų suteikiama vadovaujantis šiais principais:

6.1. IS naudotojams prieiga turi būti suteikiama tik prie tų IS duomenų ir tokia apimtimi, kiek reikia IS naudotojo pareigybės aprašyme nurodytoms funkcijoms atlikti;

6.2. IS duomenis gali keisti (sukurti, papildyti ar panaikinti) tik tokią teisę turintys IS naudotojai;

6.3. prieiga prie IS duomenų ir teisė ją keisti suteikiama tik atlikus IS naudotojo atpažinimą.

II SKYRIUS

IS NAUDOTOJŲ ir IS administratoriAUS

įgaliojimai, TEISĖS IR PAREIGOS

7. IS naudotojai turi teisę:

7.1. naudotis IS funkcijomis ir IS duomenimis, prie kurių prieigą jiems suteikė IS administratorius;

7.2. gauti informaciją apie jų naudojamų IS duomenų apsaugos lygį ir taikomas apsaugos priemones, teikti siūlymus dėl papildomų apsaugos priemonių;

7.3. kreiptis į IS administratorių ar IS saugos įgaliotinį dėl neveikiančio ar netinkamai veikiančio IS;

7.4. IS naudotojai turi teisę atlikti kitus veiksmus, numatytus IS saugos politikos įgyvendinamuosiuose teisės aktuose.

8. IS naudotojai privalo:

8.1. naudoti IS duomenis tik tarnybinėms arba darbo funkcijoms atlikti;

8.2. nedelsiant pranešti IS administratoriui ir IS saugos įgaliotiniui apie IS saugos politikos įgyvendinamųjų teisės aktų pažeidimus, nusikalstamos veikos požymių turinčius veiksmus, neveikiančias arba netinkamai veikiančias duomenų ir informacijos saugos užtikrinimo priemones, apie pastebėtus galimus asmens duomenų saugumo pažeidimus pranešti institucijos, kurioje dirba naudotojas, nustatyta tvarka;

8.3. užtikrinti jų naudojamų IS duomenų konfidencialumą ir vientisumą, savo veiksmais netrikdyti IS duomenų prieinamumo;

8.4. baigus darbą ar pasitraukiant iš darbo vietos, imtis priemonių, kad su IS duomenimis negalėtų susipažinti pašaliniai asmenys: atsijungti nuo IS, įjungti ekrano užsklandą su slaptažodžiu, dokumentus ar jų kopijas darbo vietoje padėti į pašaliniams asmenims neprieinamą vietą;

8.5. raštu susipažinti ir laikytis IS saugos nuostatų, IS saugaus elektroninės informacijos tvarkymo taisyklių, IS veiklos tęstinumo valdymo plano ir Administravimo taisyklių reikalavimų;

8.6. pranešti IS administratoriui, jei užblokuoja ar pamiršta slaptažodį;

8.7. IS naudotojai privalo vykdyti kitas pareigas, nustatytas IS saugos politikos įgyvendinamuosiuose teisės aktuose.

9. IS naudotojui draudžiama:

9.1. leisti prisijungti prie IS ne IS naudotojui ar kitais nei Administravimo taisyklėse nurodytais būdais;

9.2. be priežiūros palikti kompiuterį neužrakintu ekranu;

9.3. platinti IS esančią informaciją, išskyrus viešą turinio informaciją;

9.4. IS naudotojams negali būti suteikiamos IS administratoriaus teisės.

10. IS administratorius turi teisę:

10.1. matyti visų IS naudotojų atpažinties ir suteiktų teisių duomenis;

10.2. matyti IS naudotojų su IS duomenimis atliktus veiksmus;

10.3. atlikti užklausas IS pagal pasirinktus paieškos kriterijus.

11. IS pagrindinio tvarkytojo paskirtas darbuotojas arba Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatyta tvarka IS pagrindinio tvarkytojo parinktas paslaugos teikėjas, atsakingas už IS techninės ir programinės įrangos priežiūrą (toliau – IS techninis administratorius), turi teisę:

11.1. fiziškai prieiti prie techninės ir sisteminės programinės įrangos;

11.2. vykdyti IS techninės priežiūros funkcijas.

12. IS administratorius privalo:

12.1. registruoti naujus IS naudotojus;

12.2. tvarkyti esamų IS naudotojų duomenis;

12.3. periodiškai tikrinti, ar yra IS administratoriaus nepatvirtintų paskyrų;

12.4. tikrinti, ar yra IS naudotojų nepatvirtintų paskyrų; apie nepatvirtintas IS naudotojų paskyras pranešti IS saugos įgaliotiniui;

12.5. konsultuoti IS naudotojus apie IS veikimą ir kitais susijusiais klausimais;

12.6. IS priežiūros funkcijas atlikti naudojant atskirą paskyrą, kuri negali būti naudojama įprastoms IS naudotojo funkcijoms atlikti.

13. IS techninis administratorius privalo:

13.1. pagal kompetenciją užtikrinti nepertraukiamą IS techninės ir sisteminės programinės įrangos veikimą;

13.2. dalyvauti vertinant IS rizikos veiksnius, rengiant IS rizikos veiksnių įvertinimo ataskaitą, rizikos veiksnių įvertinimo ir rizikos veiksnių valdymo priemonių planą;

13.3. atlikti IS taikomų saugumo reikalavimų atitikties vertinimą.

14. IS administratoriui draudžiama suteikti ne IS naudotojams prieigos teises prie IS duomenų, išskyrus viešąją turinio informaciją.

15. IS administratoriaus, IS techninio administratoriaus, IS saugos įgaliotinio funkcijos reglamentuotos IS saugos nuostatuose ir kituose IS saugos politikos įgyvendinamuosiuose teisės aktuose.

III SKYRIUS

SAUGAUS elektroninės informacijos TEIKIMO IS NAUDOTOJAMS KONTROLĖS TVARKA

16. IS administratorius yra atsakingas už IS naudotojų registravimą, išregistravimą, prieigos prie IS teisių suteikimą ir panaikinimą.

17. IS naudotojams suteikiamas unikalus prisijungimo prie IS vardas ir atsitiktiniu būdu sugeneruotas slaptažodis su galimybe jį pasikeisti. Prieigas prie IS tarnybinių stočių IS naudotojams suteikia IS administratorius.

18. IS paslaugų gavėjams informacija teikiama IS nuostatuose nustatyta tvarka.

19. Slaptažodžiai negali būti saugomi ar perduodami atviru tekstu. Saugos įgaliotinio sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo ir tik jei nėra techninių galimybių IS naudotojui perduoti slaptažodžio šifruotu kanalu ar saugiu elektroninių ryšių tinklu.

20. IS dalys, patvirtinančios IS naudotojo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius.

21. IS naudotojai prisijungti prie IS tarnybinių stočių gali tik su IS administratoriaus suteiktais unikaliais vardais ir slaptažodžiais.

22. IS naudotojų prisijungimo prie IS vardai ir slaptažodžiai saugomi atitinkamos IS duomenų bazėje.

23. Prieigą prie duomenų bazės turi tik IS administratorius. Duomenys duomenų bazėje šifruojami.

24. Slaptažodį IS naudotojai, prisijungę prie IS, turi teisę pasikeisti savarankiškai.

25. IS naudotojo slaptažodžiui keliami reikalavimai:

25.1. slaptažodis turi būti iš ne trumpesnės kaip 12 simbolių kombinacijos, sudarytos iš didžiųjų ir mažųjų raidžių, skaitmenų ir specialiųjų simbolių;

25.2. slaptažodžiams neturi būti naudojama asmeninio pobūdžio informacija;

25.3. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

25.4. keičiant slaptažodį neleidžiama pasirinkti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;

25.5. IS naudotojas, pirmą kartą gavęs IS administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie IS ir iš karto slaptažodį pasikeisti;

25.6. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius – 5 kartai. IS naudotojui 5 kartus neteisingai įvedus slaptažodį, IS sistema užsirakina ir IS naudotojui 15 minučių neleidžiama prisijungti;

25.7. IS naudotojas privalo saugoti slaptažodį;

25.8. IS naudotojas, įtaręs, kad kiti asmenys sužinojo slaptažodį, privalo nedelsdamas jį pakeisti.

26. IS administratoriaus ir IS techninio administratoriaus slaptažodis:

26.1. turi būti ne trumpesnis kaip 12 simbolių, sudarytas iš didžiųjų ir mažųjų raidžių, skaitmenų ir specialiųjų simbolių;

26.2. turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

26.3. keičiant neleidžiama pasirinkti slaptažodžio iš buvusių 6 paskutinių slaptažodžių.

27. IS administratorius, iš Aplinkos ministerijos (toliau – IS valdytojas) ar IS nuostatuose aprašyto duomenų tvarkytojo (toliau – IS tvarkytojas) gavęs rašytinį prašymą apriboti IS naudotojo prieigos teises, nedelsdamas apriboja nurodyto IS naudotojo prieigą prie IS.

28. Kai IS naudotojas nevykdo IS funkcijų, jam teisė dirbti su atitinkama IS elektronine informacija sustabdoma.

29. Pasibaigus darbo santykiams, IS naudotojui panaikinama IS naudotojo paskyra.

30. IS administratoriaus ir IS techninio administratoriaus teisė dirbti su IS turi būti sustabdoma, kai IS administratorius ir IS techninis administratorius nesinaudoja IS ilgiau kaip 2 mėnesius (jeigu IS dalys palaiko tokį funkcionalumą).

31. Leistinas nuotolinio IS naudotojų prisijungimo prie IS būdas yra virtualaus kompiuterių tinklo (angl. Virtual Private Network) paslauga.

IV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

32. IS naudotojai, IS administratorius, IS techninis administratorius ir IS saugos įgaliotinis, pažeidę Administravimo taisyklių ir kitų saugos politikos įgyvendinamųjų teisės aktų nuostatas, atsako teisės aktuose nustatyta tvarka.

________________________