LIETUVOS AUTOMOBILIŲ KELIŲ DIREKCIJOS
PRIE SUSISIEKIMO MINISTERIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL INFORMACINĖS SISTEMOS „KELIŲ PROJEKTAI“ SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ PATVIRTINIMO
2015 m. gruodžio 16 d. Nr. VE-25
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimo aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7 ir 11 punktais:
1. Tvirtinu pridedamus:
2. Pripažįstu netekusiais galios:
2.1. Lietuvos automobilių kelių direkcijos prie Susisiekimo ministerijos generalinio direktoriaus 2007 m. rugpjūčio 6 d. įsakymą Nr. V-213 „Dėl Lietuvos automobilių kelių direkcijos prie Susisiekimo ministerijos informacinės sistemos „Kelių projektai“ naudotojų administravimo taisyklių patvirtinimo“;
2.2. Lietuvos automobilių kelių direkcijos prie Susisiekimo ministerijos generalinio direktoriaus 2007 m. rugpjūčio 6 d. įsakymą Nr. V-214 „Dėl Lietuvos automobilių kelių direkcijos prie Susisiekimo ministerijos informacinės sistemos „Kelių projektai“ saugaus elektroninės informacijos tvarkymo taisyklių patvirtinimo“;
PATVIRTINTA
Lietuvos automobilių kelių direkcijos
prie Susisiekimo ministerijos direktoriaus
2015 m. gruodžio 16 d. įsakymu Nr. VE-25
Informacinės sistemos „KELIŲ PROJEKTAI“
naudotojų administravimo taisyklės
I. Bendrosios nuostatos
1. Informacinės sistemos „Kelių projektai“ naudotojų administravimo taisyklių (toliau – taisyklės) tikslas – nustatyti Lietuvos automobilių kelių direkcijoje prie Susisiekimo ministerijos (toliau – LAKD) veikiančios informacinės sistemos „Kelių projektai“ (toliau – IS KP) naudotojų ir administratorių įgaliojimus, teises ir pareigas ir saugaus elektroninės informacijos teikimo IS KP naudotojams kontrolės tvarką.
2. Taisyklėse vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 (toliau – Techniniai reikalavimai), ir kituose teisės aktuose vartojamas sąvokas.
3. Taisyklės taikomos IS KP naudotojams, administratoriams ir saugos įgaliotiniui, kurių prieigos prie duomenų teisės paremtos IS KP duomenų saugumo, stabilumo, operatyvumo principais.
4. IS KP naudotojams prieiga prie IS KP duomenų suteikiama vadovaujantis šiais principais:
4.1. kiekvienas IS KP naudotojas turi savo prisijungimo vardą ir slaptažodį bei priklauso tam tikrai rolei;
4.4. IS KP priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą IS KP administratoriaus paskyrą, kuria naudojantis negalima atlikti IS KP naudotojo funkcijos;
5. Galima išskirti šias IS KP naudotojų roles:
5.1. administratoriai, kurie tvarko visų IS KP naudotojų prieigos prie informacinės sistemos duomenų teises;
5.3. LAKD Finansų ir apskaitos skyriaus darbuotojai, kurie gali tvarkyti savo skyriaus duomenis, tvarkyti visus klasifikatorius, valdyti ataskaitinius laikotarpius;
5.4. kitų LAKD skyrių darbuotojai, kurie gali tvarkyti visus, išskyrus rangovų, klasifikatorius, savo skyriaus duomenis, tvirtinti ir tvarkyti rangovų įvestus duomenis;
5.5. rangovai: valstybinės reikšmės kelius prižiūrinčios įmonės, miestų ir rajonų savivaldybių administracijos, kitos įmonės, pasirašiusios su LAKD sutartis dėl darbų kelių objektuose. Rangovai gali įvesti tik savo sutarčių objektų ir atliktų darbų duomenis. Po to, kai duomenys patvirtinami LAKD skyriaus darbuotojo, rangovai gali juos tik peržiūrėti.
II. IS KP naudotojų įgaliojimai, teisės ir pareigos
7. IS KP naudotojų įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją:
7.1. IS KP naudotojai gali naudotis tik tomis IS KP funkcijomis ir IS KP saugomais bei apdorojamais duomenimis, prie kurių prieigą jiems suteikė IS KP administratorius;
7.2. IS KP valdytojo bei naudotojų įgaliojimai, teisės ir pareigos nustatytos IS KP nuostatų, patvirtintų LAKD direktoriaus 2015 m. birželio 26 d. įsakymu Nr. V(E)-14, 10 punkte, IS KP duomenų saugos nuostatų, patvirtintų LAKD direktoriaus 2015 m. birželio 25 d. įsakymu Nr. V(E)- 13, 12 ir 29–33 punktuose, LAKD darbuotojų pareigybių aprašymuose;
7.3. IS KP naudotojai privalo užtikrinti jų naudojamų IS KP saugomų ir apdorojamų duomenų konfidencialumą bei vientisumą, savo veiksmais netrikdyti duomenų prieinamumo;
7.4. IS KP naudotojai privalo nedelsdami pranešti IS KP administratoriui ir saugos įgaliotiniui apie IS KP sutrikimus, neįprastą veikimą, esamus arba galimus informacijos saugumo reikalavimų pažeidimus bei kitų IS KP naudotojų netinkamus veiksmus;
8. IS KP administratoriaus prieigos prie IS KP lygiai:
8.1. IS KP administratoriaus įgaliojimai ir teisės suteikia galimybę matyti visų IS KP objektų duomenis, IS KP naudotojų su IS KP saugomais duomenimis atliktus veiksmus, atlikti IS KP duomenų užklausas pagal pasirinktus paieškos kriterijus;
8.3. IS KP administratorius atnaujina iš valstybinės reikšmės kelių informacinės sistemos LAKIS gautus duomenis;
8.4. IS KP administratorius metų pradžioje inicijuoja automatinį neperduotų praeitais metais atliktų darbų likučių perkėlimą į naujus metus;
III. Saugaus duomenų teikimo IS KP naudotojams kontrolės tvarka
9. Atsiradus poreikiui užregistruoti naują IS KP naudotoją, šio naudotojo vadovas turi pateikti raštišką prašymą IS KP administratoriui. Lokalaus arba nuotolinio naudotojo prieigos prie IS KP prašymų formos yra patvirtintos LAKD direktoriaus 2009 m. vasario 13 d. įsakymu Nr. V-51. Naujas naudotojas pasirašytinai supažindinamas su saugos dokumentais, jis turi būti apmokytas dirbti su informacine sistema. Tik tada naujam naudotojui suteikiamas prisijungimo prie IS KP vardas ir laikinas slaptažodis, kurį naudotojas privalo pakeisti prisijungęs prie IS KP pirmą kartą. Lokalaus naudotojo kompiuteryje įdiegiama IS KP kliento dalis. Nuotoliniam vartotojui siunčiamas prisijungimo sertifikatas.
10. Jei naudotojas turi būti išregistruotas iš IS KP, šio naudotojo vadovas turi pateikti IS KP administratoriui raštišką prašymą apie lokalaus arba nuotolinio naudotojo prieigos prie IS KP panaikinimą. Administratorius nedelsdamas skelbia naudotojo prisijungimo vardą negaliojančiu. Iš išregistruoto lokalaus naudotojo kompiuterio turi būti pašalinta įdiegta IS KP kliento dalis. Stabdomas išregistruoto nuotolinio naudotojo sertifikato galiojimas.
11. IS KP naudotojų tapatybė nustatoma:
12. IS KP naudotojų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai turi atitikti Techninių reikalavimų 5.14 punkto reikalavimams.
13. IS KP naudotojui teisė naudotis IS KP panaikinama:
PATVIRTINTA
Lietuvos automobilių kelių direkcijos
prie Susisiekimo ministerijos direktoriaus
2015 m. gruodžio 16 d. įsakymu Nr. VE-25
Informacinės sistemos „KELIŲ PROJEKTAI“
SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS
I. Bendrosios nuostatos
1. Informacinės sistemos „Kelių projektai“ saugaus elektroninės informacijos tvarkymo taisyklės (toliau – taisyklės) nustato tvarką, užtikrinančią saugų informacinės sistemos „Kelių projektai“ (toliau – IS KP) techninės, programinės įrangos funkcionavimą ir IS KP duomenų tvarkymą.
2. Taisyklėse vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 (toliau – Techniniai reikalavimai), ir kituose teisės aktuose vartojamas sąvokas.
3. IS KP tvarkoma elektroninė informacija yra priskirta žinybinės svarbos elektroninei informacijai, o IS KP – trečiai kategorijai.
4. IS KP tvarkoma elektroninė informacija skirstoma į šias grupes:
4.1. IS KP administratoriaus tvarkoma informacija:
II. TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS
5. Kompiuterinės įrangos saugos priemonės:
5.1. IS KP tarnybinės stotys turi būti apsaugotos ugniasiene ir būti vidinėje jos pusėje arba apsaugotoje demilitarizuotoje (angl. DMZ) zonoje;
5.3. lokaliose darbo vietose turi būti įrengti nepertraukiamo maitinimo šaltiniai su programine valdymo įranga, įspėjančia apie maitinimo problemas. Šių šaltinių baterijos turi užtikrinti darbo vietos funkcionalumą bent 5 min., kad vartotojas spėtų išsaugoti duomenis ir užbaigti darbą su sistema;
6. Sisteminės ir taikomosios programinės įrangos saugos priemonės:
6.1. naudojama legali IS KP sisteminė ir taikomoji programinė įranga, IS KP saugos įgaliotinis turi parengti, su IS KP valdytojo vadovu suderinti ir ne rečiau kaip kartą per metus peržiūrėti ir prireikus atnaujinti leistinos programinės įrangos sąrašą;
6.2. sisteminės ir programinės įrangos diegimą atlieka tik asmenys, turintys teisę ir gebėjimus atlikti tokios įrangos diegimą;
6.3. IS KP tarnybinėse stotyse ir kompiuterinėse darbo vietose naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, kurios yra automatiniu būdu atnaujinamos ne rečiau kaip kartą per 10 dienų;
6.4. prisijungimo duomenis, suteikiančius teisę dirbti su IS KP tarnybinėmis stotimis ir jų administravimo programine įranga, žino tik IS KP administratorius;
6.6. IS KP slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai turi atitikti nustatytus teisės aktų reikalavimus;
6.7. IS KP programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org.
7. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:
7.1. IS KP naudotojai internetu jungiasi prie užkarda (angl. firewall) apsaugotų tarnybinių stočių, naudodamiesi unikaliais identifikaciniais prisijungimo duomenimis;
7.2. nuotolinių naudotojų prieigai prie IS KP turi būti naudojamas tik saugus duomenų perdavimo protokolas https;
7.3. naudotojams autorizuoti turi būti naudojami ne ilgiau kaip metus laiko galiojantys prisijungimo sertifikatai;
8. Patalpų ir aplinkos saugumo užtikrinimo priemonės taikomos patalpoms, kuriose veikia IS KP tarnybinės stotys:
8.1. IS KP tarnybinės stotys turi būti laikomos specialioje patalpoje su rakinamomis šarvuotomis durimis, kurioje įrengta signalizacija;
8.2. šioje patalpoje turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir (arba) apsaugos tarnybos stebėjimo pulto, pastatyti gesintuvai, tinkami gesinti kompiuterinę įrangą;
8.3. patalpoje turi būti sumontuota reikalingos oro temperatūros ir drėgmės palaikymo įranga bei signalizacija, suveikianti temperatūrai pasiekus kritinę ribą;
9. Per metus turi būti užtikrintas ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis IS KP prieinamumas.
11. IS KP informacinių technologijų saugos atitikties vertinimas turi būti atliekamas ne rečiau kaip kartą per dvejus metus.
12. IS KP turi būti įrašomi ir saugomi duomenys apie IS KP tarnybinių stočių, IS KP taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis IS KP tarnybinėse stotyse, IS KP taikomojoje programinėje įrangoje, visus IS KP naudotojų vykdomus veiksmus, kitus elektroninės informacijos saugai svarbius įvykius, nurodant IS KP naudotojo identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką. Šie duomenys turi būti saugomi ne mažiau kaip 12 mėnesių ir ne toje pačioje IS KP, kurioje jie įrašomi, taip pat jie turi būti analizuojami ne rečiau kaip kartą per savaitę.
III. SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
13. IS KP duomenų keitimo, atnaujinimo, įrašymo ir naikinimo tvarka:
13.1. IS KP duomenis keisti, atnaujinti, įrašyti ir naikinti gali tik tą atlikti turintys teisę autorizuoti naudotojai;
13.2. IS KP saugomi ir apdorojami duomenys įrašomi, atnaujinami, keičiami ir naikinami vadovaujantis IS KP nuostatais, IS KP duomenų saugos nuostatais ir IS KP naudojimosi taisyklėmis;
14. IS KP naudotojų veiksmų registravimo tvarka:
14.1. IS KP naudotojų tapatybė ir veiksmai su IS KP duomenimis fiksuojami programinėmis priemonėmis;
14.2. jie įrašomi automatiniu būdu IS KP duomenų bazės veiksmų žurnale, apsaugotame nuo neteisėto jame esančių duomenų panaudojimo, pakeitimo, iškraipymo, sunaikinimo;
15. IS KP atsarginių duomenų kopijų (toliau – IS KP kopijos) darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarka:
15.1. už IS KP kopijų darymą, duomenų atkūrimą ir IS KP kopijų apsaugą yra atsakingas IS KP administratorius;
15.2. IS KP duomenys turi būti kopijuojami ir saugomi tokios apimties, kad IS KP duomenų praradimo atveju visišką IS KP funkcionalumą ir veiklą būtų galima atkurti per 16 valandų;
15.5. IS KP kopijos saugomos užrakintoje nedegioje spintoje, esančioje kitose patalpose, nei yra IS KP tarnybinių stočių įrenginys, kurio elektroninė informacija buvo nukopijuota;
16. IS KP duomenų perkėlimo ir teikimo kitoms informacinėms sistemoms, duomenų gavimo iš jų tvarka:
16.1. už IS KP naudotojų administravimą ir iš kitų susijusių informacinių sistemų teikiamų duomenų atnaujinimą IS KP yra atsakingas IS KP administratorius;
17. Duomenų neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:
17.1. IS KP administratorius, užtikrindamas IS KP duomenų vientisumą, privalo naudoti visas įmanomas aparatines, programines ir administracines priemones, skirtas IS KP ir joje saugomiems ir apdorojamiems duomenims apsaugoti nuo neteisėtų veiksmų;
17.2. IS KP naudotojas, įtaręs, kad su IS KP duomenimis buvo atlikti neteisėti veiksmai, privalo pranešti apie tai IS KP administratoriui. IS KP administratorius, atsiradus įtarimų dėl neteisėtų veiksmų su IS KP duomenimis, pasinaudojęs IS KP duomenų bazės veiksmų žurnalo įrašais, nustato neteisėto poveikio šaltinį, laiką ir veiksmus, atliktus su IS KP programine įranga ir duomenimis;
17.3. IS KP administratorius, įtaręs, kad su IS KP duomenimis vykdomi neteisėti veiksmai, privalo apie tai pranešti saugos įgaliotiniui;
18. IS KP programinės ir techninės įrangos keitimo ir atnaujinimo tvarka (toliau – pokyčiai):
18.1. identifikavus IS KP veikimo netikslumus ar siekiant gerinti IS KP našumą, pokyčius inicijuoja duomenų valdymo įgaliotinis, saugos įgaliotinis ar administratorius;
18.2. atsiradus poreikiui, pokyčius taip pat gali inicijuoti IS KP naudotojai, raštu teikdami pastabas ir pasiūlymus IS KP administratoriui;
18.3. IS KP administratorius užregistruoja pokyčius ir suskirsto juos į kategorijas pagal svarbą, poreikį ir aktualumą;
18.4. IS KP administratorius įvertina pokyčių įtaką, prioritetus, pokyčių atlikimo paslaugų vertės skaičiavimus ir derina numatytų pokyčių planą su duomenų valdymo įgaliotiniu;
18.5. priklausomai nuo pokyčių paslaugų vertės, pokyčius gali atlikti IS KP priežiūros paslaugas atliekantis teikėjas arba turi būti parengta medžiaga pokyčių atlikimo paslaugų konkursui;
18.6. pokyčiai, galintys turėti neigiamos įtakos IS KP konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių duomenų ir kuri atskirta nuo eksploatuojamos IS KP;
19. IS KP naudotojai, savo darbo funkcijoms vykdyti naudojantys nešiojamuosius kompiuterius ar kitus mobiliuosius įrenginius, IS KP duomenims perduoti kompiuterių ir kitų mobiliųjų įrenginių tinklais ne savo darbo vietoje turi naudoti kompiuterio įjungimo slaptažodį ir papildomą IS KP naudotojo tapatybės patvirtinimą.
IV. Reikalavimai, keliami informacinių sistemų funkcionavimui reikalingoms paslaugoms ir jų teikėjams
20. Paslaugų teikėjų prieigos prie IS KP lygiai ir sąlygos:
20.1. IS KP administratorius suteikia paslaugų teikėjo įgaliotam fiziniam asmeniui prieigą prie IS KP duomenų teisę (matyti duomenis, atlikti užklausas, vykdyti veiksmus su duomenimis ir kt.) paslaugų teikimo sutartyje nurodytam laikotarpiui jo nustatytoms funkcijoms atlikti;
20.2. paslaugų teikėjas, atliekantis IS KP priežiūrą, gali atlikti tik priežiūros sutartyje numatytus darbus, kurie atliekami tik dalyvaujant IS KP administratoriui;
21. Patalpų, įrangos, informacinių sistemų priežiūros, duomenų perdavimo tinklais ir kitų paslaugų reikalavimai:
21.1. reikalavimai IS KP paslaugų teikėjams ir jų teikiamoms projektavimo ir IS KP priežiūros paslaugoms nustatomi šių paslaugų teikimo sutartyse;
21.2. paslaugų teikimo sutartyje turi būti nurodoma, kad paslaugų teikėjas kuria ar modifikuoja IS KP taikomąją programinę įrangą, naudodamas:
21.2.1. įgyvendintas elektroninės informacijos saugos priemones, apsaugančias nuo neteisėto poveikio sisteminei, programinei įrangai ir patalpoms;
PATVIRTINTA
Lietuvos automobilių kelių direkcijos
prie Susisiekimo ministerijos direktoriaus
2015 m. gruodžio 16 d. įsakymu Nr. VE-25
INFORMACINĖS SISTEMOS „KELIŲ PROJEKTAI“ VEIKLOS TĘSTINUMO VALDYMO PLANAS
I. BENDROSIOS NUOSTATOS
1. Informacinės sistemos „Kelių projektai“ veiklos tęstinumo valdymo plano (toliau – valdymo planas) tikslas – nustatyti informacinės sistemos „Kelių projektai“ (toliau – IS KP) administratoriaus, saugos įgaliotinio ir naudotojų veiksmus, esant elektroninės informacijos saugos incidentui (toliau – saugos incidentas), kurio metu iškyla pavojus IS KP duomenims, IS KP techninės ir programinės įrangos funkcionavimui.
2. Valdymo plane vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 (toliau – Techniniai reikalavimai), ir kituose teisės aktuose vartojamas sąvokas.
3. Valdymo planas įsigalioja įvykus saugos incidentui ir yra privalomas IS KP valdytojui, IS KP saugos įgaliotiniui, IS KP administratoriui ir visiems IS KP naudotojams.
4. Įgyvendinant valdymo planą įgaliojimai suteikiami šiems asmenims:
4.1. IS KP saugos įgaliotinis teikia informaciją apie saugos incidentą IS KP valdytojui, LAKD darbuotojams, kompetentingoms institucijoms, koordinuoja LAKD IS KP veiklos tęstinumo valdymo ir veiklos atkūrimo grupių veiklą;
4.3. jei būtina, IS KP administratorius gali kreiptis pagalbos į paslaugų teikėją, kuris atlieka IS KP priežiūros paslaugas;
5. IS KP saugos įgaliotinio, IS KP administratoriaus ir kitų asmenų veiksmai yra nurodyti IS KP veiklos atkūrimo detaliajame plane (1 priedas).
6. Saugos incidento metu patirti nuostoliai padengiami iš Kelių priežiūros ir plėtros programos (toliau – KPPP) lėšų ir kitų finansavimo šaltinių.
7. Kriterijai, pagal kuriuos nustatoma, kad IS KP veikla atkurta, yra šie:
II. ORGANIZACINĖS NUOSTATOS
8. LAKD IS KP veiklos tęstinumo valdymo grupės sudėtis:
8.2. Informacinių technologijų (toliau – IT) skyriaus vedėjas (veiklos tęstinumo valdymo grupės vadovo pavaduotojas);
9. Veiklos tęstinumo valdymo grupės funkcijos:
9.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijų darbuotojais ir kitomis interesų grupėmis;
9.5. finansinių išteklių, reikalingų IS KP veiklai atkurti įvykus saugos incidentui, naudojimo kontrolė;
10. LAKD IS KP veiklos atkūrimo grupės sudėtis:
11. Veiklos atkūrimo grupės funkcijos:
12. Įvykus saugos incidentui LAKD patalpose, kuriose yra IS KP tarnybinių stočių administravimo techninė ir programinė įranga:
12.1. IS KP naudotojai, pastebėję saugos dokumentų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti IS KP administratoriui;
12.2. IS KP administratorius nedelsdamas turi imtis veiksmų, reikalingų elektroninės informacijos saugos incidentui stabdyti, padariniams likviduoti, ir informuoti apie nenumatytą situaciją IS KP saugos įgaliotinį ir IT skyriaus vedėją;
12.3. IS KP saugos įgaliotinis apie nenumatytą situaciją nedelsdamas informuoja LAKD direktoriaus pavaduotoją;
12.4. esant reikalui, IS KP saugos įgaliotinis parengia ir išplatina IS KP naudotojams informacinius pranešimus, kuriuose pateikia rekomendacijas, kaip elgtis esant saugos incidentui, nurodo atsakingus darbuotojus ir jų kontaktus;
12.5. IS KP saugos įgaliotinis kartu su IT skyriaus vedėju organizuoja žalos IS KP duomenims, techninei, programinei įrangai vertinimą, koordinuoja techninės, sisteminės ir taikomosios programinės įrangos, reikalingos IS KP veiklai atkurti, įsigijimą;
12.6. IS KP administratorius arba kitas IT skyriaus darbuotojas, įtrauktas į veiklos atkūrimo grupę, atkuria IS KP tarnybinių stočių, kompiuterių tinklo veiklą, informacinės sistemos duomenis, informacinės sistemos techninės, sisteminės ir taikomosios programinės įrangos funkcionavimą, vadovaudamasis informacinės sistemos „Kelių projektai“ veiklos atkūrimo vadovu (24.6 p.), atkuriamuosius darbus registruoja IS KP elektroninės informacijos saugos incidentų registravimo žurnale (2 priedas);
12.7. atlikęs 12.6 punkte nurodytus veiksmus, IS KP administratorius apie tai nedelsdamas informuojama IT skyriaus vedėją ir saugos įgaliotinį;
14. LAKD direktoriaus pavaduotojas, atsižvelgdamas į saugos incidento pobūdį, gali inicijuoti išsamų tyrimą.
15. Nusprendęs pradėti įvykio, kuris gali būti laikomas neteisėtu informacinės sistemos duomenų kopijavimu, keitimu, naikinimu ar perdavimu, tyrimą, LAKD direktoriaus pavaduotojas sudaro tyrimo komisiją, kuri per penkiolika darbo dienų turi:
16. Elektroninės informacijos saugos incidento metu sunaikinta techninė, sisteminė ir taikomoji programinė įranga keičiama turima rezervine arba testine IS KP aplinkos įranga, vėliau įsigyjama Viešųjų pirkimų įstatymo nustatyta tvarka. Naujos įrangos įsigijimo ištekliai padengiami iš KPPP lėšų ir kitų šaltinių.
17. Atsarginėms patalpoms, naudojamoms IS KP veiklai atkurti saugos incidento atveju, keliami šie reikalavimai:
17.4. patalpose turi būti įrengtas rezervinis elektros energijos šaltinis IS KP kompiuterinei techninei įrangai ir duomenų perdavimo tinklo mazgams, užtikrinantis įrangos veikimą ne trumpiau kaip 30 min.;
18. Atsarginės patalpos, naudojamos IS KP veiklai atkurti saugos incidento atveju, bus naujai įrengtame Eismo informacijos centre adresu Šviesos g. 4A, Vilnius. Atsarginių patalpų vieta ir būdas, kaip iki jų nuvykti nurodyti žemėlapyje (3 priedas).
III. APRAŠOMOSIOS NUOSTATOS
20. IS KP minimalūs reikalavimai techninei įrangai, atkūrimui reikalingi instaliaciniai diskai, duomenų bazių kopijos ir dokumentai aprašyti atkūrimo vadove (24.6 p.).
21. IS KP administratorių pavaduojančio asmens minimalus kompetencijos ar žinių lygis negali būti žemesnis už IS KP administratoriui keliamų reikalavimų lygį.
22. Visa IS KP kompiuterinė ir programinė įranga yra LAKD patalpose, esančiose adresu J. Basanavičiaus g. 36, Vilnius. Detalius patalpų planus, kuriuose pažymėtos tarnybinės stotys, kompiuterių tinklo ir telefonų tinklo mazgai, kompiuterių tinklo ir telefonų tinklo laidų vedimo tarp pastato aukštų vietos, elektros įvado pastate vietos, rengia ir saugo IT ir Ūkio skyriai.
23. Programinės įrangos laikmenos ir laikmenos su atsarginėmis elektroninės informacijos kopijomis saugomos kitose patalpose, nei yra IS KP tarnybinės stotys. Šios patalpos priklauso Ūkio skyriui. Naujausios atsarginės duomenų kopijos perkeliamos į saugojimo vietą kiekvieną darbo dieną. IS KP atsarginių duomenų kopijos daromos LAKD direktoriaus pavaduotojo patvirtintame dokumente „Duomenų rezervinio kopijavimo procedūros“ nurodyta tvarka. Už IS KP atsarginių duomenų kopijų darymą, saugojimą, duomenų iš IS KP atsarginių duomenų kopijų atkūrimą atsako IS KP administratorius.
24. Už parengtų IS KP dokumentų saugojimą ir atnaujinimą atsakingas IS KP administratorius. IS KP dokumentų sąrašas:
25. IS KP duomenų, programinės įrangos sukūrimo, modernizavimo, priežiūros, kitų paslaugų teikimo sutartys saugomos Viešųjų pirkimų skyriuje. Šių dokumentų kopijas turi turėti IS KP administratoriaus.
IV. PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS
27. Valdymo planas turi būti išbandytas ne rečiau kaip kartą per metus. Atlikus paskutinį plano veiksmingumo išbandymą, nustatoma kito planuojamo valdymo plano išbandymo data.
28. Nustatytą dieną imituojamos nenumatytos situacijos, jų metu atsakingi pasekmių likvidavimo vykdytojai atlieka tokiu atveju numatytus veiksmus. Rezervinėje LAKD tarnybinėje stotyje iš atsarginių IS KP duomenų kopijose esančių duomenų atkuriami IS KP duomenys.
29. Saugos įgaliotinis yra atsakingas už ataskaitos apie valdymo plano išbandymo rezultatus ir pastebėtus trūkumus parengimą ir pateikimą LAKD direktoriaus pavaduotojui.
Informacinės sistemos „Kelių projektai“
veiklos tęstinumo valdymo plano
1 priedas
IS KP VEIKLOS ATKŪRIMO DETALUSIS PLANAS
Saugos incidentas |
Veiksmai |
Vykdytojas |
1. Nustatytas patalpų pažeidimas ir (ar) pavojus darbuotojų sveikatai ar gyvybei (gamtos reiškiniai, gaisras, vandentiekio ir šildymo sistemos sutrikimai) |
1. Pranešti atitinkamoms tarnyboms ir vykdyti jų nurodymus |
IS KP saugos įgaliotinis |
2. Parengti priemonių planą užkirsti kelią kilusiam pavojui |
IS KP saugos įgaliotinis IT skyriaus vedėjas Ūkio skyriaus vedėjas |
|
3. Informuoti LAKD darbuotojus |
IS KP saugos įgaliotinis |
|
4. Įvertinti padarytą žalą, sudaryti ir vykdyti žalos likvidavimo priemonių planą |
IT skyriaus vedėjas Ūkio skyriaus vedėjas IS KP saugos įgaliotinis |
|
2. Nustatyti elektros energijos tiekimo arba ryšio linijų sutrikimai, dėl kurių IS KP nustoja funkcionuoti |
1. Nustatyti sutrikimų priežastis |
Ūkio skyriaus vedėjas |
2. Organizuoti sutrikimų šalinimą |
Ūkio skyriaus vedėjas |
|
3. Nustatyti, ar IS KP veikla atkurta. Jei ne – tikslinti situaciją. |
IS KP administratorius |
|
3. Nustatytas IS KP techninės įrangos sugadinimas arba praradimas |
1. Parengti atkūrimui būtiną minimalią rezervinę techninę įrangą |
IT skyriaus vedėjas IT skyriaus specialistas IS KP administratorius |
2. Organizuoti sugadintos techninės įrangos remontą ar naujos techninės įrangos įsigijimą |
IT skyriaus vedėjas Ūkio skyriaus vedėjas |
|
3. Atkurti techninės, programinės įrangos veiklą |
IT skyriaus specialistas IS KP administratorius |
|
4. Atkurti prarastus duomenis |
IS KP administratorius |
|
4. Nustatytas IS KP programinės įrangos sugadinimas arba praradimas |
1.Atkurti programinės įrangos veiklą 2. Atkurti prarastus duomenis |
IS KP administratorius |
5. Nustatytas IS KP elektroninės informacijos sugadinimas arba praradimas |
Atkurti prarastus duomenis |
IS KP administratorius |
6. Nustatytas įsilaužimas į IS KP (kibernetinis incidentas) |
1. Pranešti kompetentingai institucijai apie įvykį |
IS KP saugos įgaliotinis |
2. Įvertinti ir likviduoti IS KP elektroninei informacijai padarytą žalą |
IS KP saugos įgaliotinis IT skyriaus vedėjas IT skyriaus specialistas |
|
7. Nustatytas IS KP dokumentų praradimas |
Atkurti prarastus dokumentus |
IS KP administratorius |
______________________________________
Informacinės sistemos „Kelių projektai“
veiklos tęstinumo valdymo plano
2 priedas
IS KP ELEKTRONINĖS INFORMACIJOS SAUGOS INCIDENTŲ
REGISTRAVIMO ŽURNALAS
Eil. Nr. |
IS KP naudotojo padalinio pavadinimas |
Saugos incidento aprašymas |
Pradžia (data, valanda) |
Pabaiga (data, valanda) |
Pašalino (v., pavardė) |
Saugos įgaliotinis (v., pavardė, parašas) |
1. |
|
|
|
|
|
|
2. |
|
|
|
|
|
|
3. |
|
|
|
|
|
|
4. |
|
|
|
|
|
|
5. |
|
|
|
|
|
|
... |
|
|
|
|
|
|
______________________________________
Informacinės sistemos „Kelių projektai“
veiklos tęstinumo valdymo plano
3 priedas
ATSARGINIŲ PATALPŲ, NAUDOJAMŲ IS KP VEIKLAI ATKURTI ELEKTRONINĖS INFORMACIJOS SAUGOS INCIDENTO ATVEJU, ADRESAS IR BŪDAI, KAIP IKI JŲ NUVYKTI
1. Atsarginių patalpų adresas: Šviesos g. 4A, Vilnius.
2. Būdas nuvykti automobiliu:
3. Būdas nuvykti pėsčiomis:
______________________________________