LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTRAS

ĮSAKYMAS

DĖL NEKILNOJAMOJO TURTO KADASTRO SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ PATVIRTINIMO

2019 m. balandžio 18 d. Nr. 3D-235

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7, 8 ir 12 punktais,

tvirtinu pridedamus:

1. Nekilnojamojo turto kadastro saugaus elektroninės informacijos tvarkymo taisykles.

2. Nekilnojamojo turto kadastro veiklos tęstinumo valdymo planą.

3. Nekilnojamojo turto kadastro naudotojų administravimo taisykles.

Žemės ūkio ministras Giedrius Surply

SUDERINTA

Nacionalinio kibernetikos saugumo centro

prie Krašto apsaugos ministerijos

2019 m. kovo 28 d. raštu Nr. (4.2)6K-212

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2019 m. balandžio 18 d. įsakymu Nr. 3D-235

NEKILNOJAMOJO TURTO KADASTRO Saugaus elektroninės informacijos tvarkymo taisyklės

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Nekilnojamojo turto kadastro saugaus elektroninės informacijos tvarkymo taisyklių (toliau – taisyklės) tikslas – nustatyti minimalius Nekilnojamojo turto kadastro (toliau – Kadastras) elektroninės informacijos tvarkymo, techninius ir kitus elektroninės informacijos saugos (kibernetinio saugumo) reikalavimus.

2. Taisyklėse vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Nekilnojamojo turto kadastro duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos žemės ūkio ministro 2018 m. spalio 9 d. įsakymu Nr. 3D-723 „Dėl Nekilnojamojo turto kadastro duomenų saugos nuostatų patvirtinimo“ (toliau – Duomenų saugos nuostatai), ir kituose teisės aktuose bei Lietuvos „Informacijos technologija. Saugumo metodai“ grupės standartuose.

3. Kadastre tvarkoma elektroninė informacija ir jos grupių sąrašas nurodomi Lietuvos Respublikos nekilnojamojo turto kadastro įstatyme.

4. Už Nekilnojamojo turto kadastre esančios elektroninės informacijos, priskirtos ypatingos svarbos elektroninės informacijos kategorijai, tvarkymą yra atsakingi Registrų centro direktoriaus paskirti darbuotojai, dirbantys pagal darbo sutartis.

5. Išoriniai kadastro naudotojai, pagal kompetenciją tvarkantys elektroninę informaciją ir atsakantys už elektroninės informacijos tvarkymą, nurodomi Lietuvos Respublikos nekilnojamojo turto kadastro nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2002 m. balandžio 15 d. nutarimu Nr. 534 „Dėl Lietuvos Respublikos nekilnojamojo turto kadastro nuostatų patvirtinimo“.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

6. Kompiuterinės įrangos saugos priemonės:

6.1. turi būti įdiegtos ir veikti automatizuotos įsibrovimo aptikimo sistemos, kurios stebėtų Kadastre gaunamą ir išsiunčiamą duomenų srautą bei vidinį srautą tarp svarbiausių tinklo paslaugų;

6.2. įvykus įtartinai veiklai, tai turi būti užfiksuojama audito įrašuose ir automatizuotai kuriamas pranešimas administratoriui. Sukurtas pranešimas turi būti klasifikuojamas pagal užfiksuotą įvykį;

6.3. įsilaužimo atakų pėdsakai (angl. attack signature) turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos, jeigu Kadastro valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio Kadastro veiklai vertinimas (testavimas);

6.4. pagrindinėse Kadastro tarnybinėse stotyse turi būti naudojamos vykdomo kodo kontrolės priemonės, automatiškai apribojančios ar informuojančios apie neautorizuoto programinio kodo vykdymą, ir įjungtos užkardos, sukonfigūruotos praleisti tik su Kadastro funkcionalumu ir administravimu susijusį duomenų srautą. Užkardų konfigūracijų dokumentacija turi būti saugoma kartu su Kadastro dokumentacija;

6.5. įsilaužimo aptikimo techninių sprendinių užkardos įvykių žurnalai turi būti reguliariai analizuojami, o saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos. Įsilaužimo aptikimo techninių sprendinių įgyvendinimas, konfigūracija ir kibernetinių incidentų aptikimo taisyklės turi būti saugomos elektronine forma atskirai nuo Kadastro techninės įrangos (kartu nurodant tam tikras datas (įgyvendinimo, atnaujinimo ir pan.), atsakingus asmenis, taikymo periodus ir pan.);

6.6. pagrindinė Kadastro kompiuterinė įranga turi būti dubliuota, turėti įtampos filtrą ir rezervinį maitinimo šaltinį, užtikrinantį kompiuterinės įrangos veikimą ne mažiau kaip 30 minučių ir apsaugantį nuo elektros srovės svyravimų;

6.7. pagrindinės Kadastro tarnybinės stotys turi būti sujungtos į telkinius;

6.8. Kadastro komponentų stebėjimo priemonės turi perspėti administratorių, kai pagrindinėje Kadastro kompiuterinėje įrangoje iki nustatytos pavojingos ribos sumažėja laisvos kompiuterio atminties ar vietos diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja, sutrinka kitų Kadastro komponentų įprastas veikimas;

6.9. svarbiausios kompiuterinės įrangos gedimai turi būti registruojami. Už gedimų registravimą atsakingi Kadastro komponentų administratoriai.

7. Sisteminės ir taikomosios programinės įrangos saugos priemonės:

7.1. turi būti reguliariai atliekami iš vidinio kompiuterinio tinklo ir viešųjų tinklų pasiekiamų tarnybinių stočių ir atsitiktinai atrinktų vidinių Kadastro naudotojų kompiuterinės įrangos operacinių sistemų, kitos naudojamos programinės įrangos pažeidžiamumų skenavimai;

7.2. turi būti reguliariai atliekama nesankcionuotų įrenginių paieška Kadastro kompiuteriniame tinkle;

7.3. vidinių Kadastro naudotojų darbo vietose gali būti naudojamos tik tarnybos (darbo) reikmėms skirtos išorinės duomenų laikmenos (pvz., USB atmintinės, kompaktiniai diskai ir kt.). Šios laikmenos negali būti naudojamos veiklai, nesusijusiai su teisėtu Kadastro tvarkymu;

7.4. atsarginės laikmenos su programine įranga turi būti laikomos nedegioje spintoje;

7.5. turi būti registruojami visi Kadastro duomenų bazės, taikomųjų programų veikimo ir kiti Kadastro darbo sutrikimai ir incidentai (toliau – IT incidentai). IT incidentų valdymo tvarką nustato Kadastro tvarkytojas.

8. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

8.1. kompiuterinis tinklas turi būti suskirstytas į skirtingo saugumo lygio segmentus pagal Kadastro komponentų atliekamas funkcijas. Kadastro duomenų bazė ir kadastro taikomoji programinė įranga negali būti tame pačiame tinklo segmente. Viešai prieinamos Kadastro funkciškai savarankiškos dalys turi būti atskirame tinklo segmente – demilitarizuotoje zonoje;

8.2. elektroninės informacijos perdavimo tinklo mazgai turi turėti rezervinį maitinimo šaltinį, užtikrinantį jų veikimą ne trumpiau kaip 30 minučių;

8.3. elektroninės informacijos perdavimo tinklo mazgai ir ryšio linijos turi būti dubliuoti ir jų techninė būklė nuolat stebima;

8.4. elektroninės informacijos perdavimo tinklo kabeliai turi būti apsaugoti nuo nesankcionuotos prieigos ir pažeidimo;

8.5. kitoms valstybės institucijoms, valstybės registrams ir valstybės informacinėms sistemoms, kitoms informacinėms sistemoms Kadastro elektroninė informacija turi būti perduodama saugiais elektroninių ryšių tinklais. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą, nurodyti Duomenų saugos nuostatų 40 punkte.

9. Kadastre naudojamų svetainių, pasiekiamų iš viešųjų elektroninių ryšių tinklų, saugumo ir kontrolės priemonės:

9.1. turi būti įgyvendinti atpažinties, tapatumo patvirtinimo ir naudojimosi Kadastru saugumo ir kontrolės reikalavimai, nustatyti Kadastro naudotojų administravimo taisyklėse;

9.2. draudžiama slaptažodžius saugoti programiniame kode;

9.3. svetainės, patvirtinančios nuotolinio prisijungimo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius;

9.4. turi būti įgyvendinti svetainės kriptografijos reikalavimai:

9.4.1. svetainės administravimo darbai turi būti atliekami ne trumpesniu kaip 128 bitų raktu;

9.4.2. šifruojant naudojami skaitmeniniai sertifikatai privalo būti išduoti patikimų sertifikavimo tarnybų. Sertifikato raktas turi būti ne trumpesnis kaip 2048 bitų;

9.4.3. turi būti naudojamas TLS (angl. transport layer security) standartas;

9.4.4. svetainės kriptografinės funkcijos turi būti įdiegtos tarnybinės stoties, kurioje yra svetainė, dalyje arba kriptografiniame saugumo modulyje (angl. hardware security module);

9.4.5. visi kriptografiniai moduliai turi gebėti saugiai sutrikti (angl. fail securely);

9.4.6. kriptografiniai raktai ir algoritmai turi būti valdomi pagal Duomenų saugos nuostatų 40.5 ir 40.6 papunkčiuose nustatytus reikalavimus;

9.5. tarnybinės stoties, kurioje yra svetainė, svetainės saugos parametrai turi būti teigiamai įvertinti naudojant Nacionalinio kibernetinio saugumo centro rekomenduojamą testavimo priemonę;

9.6. draudžiama tarnybinėje stotyje saugoti sesijos duomenis (identifikatorių) pasibaigus susijungimo sesijai;

9.7. turi būti naudojama svetainės užkarda (angl. web application firewall). Įsilaužimo atakų pėdsakai turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos, jeigu Kadastro tvarkytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio Kadastro veiklai vertinimas (testavimas);

9.8. turi būti naudojamos apsaugos nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), įterptinių instrukcijų atakų (angl. cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), paskirstyto atsisakymo aptarnauti (angl. DDOS) ir kitų, priemonės; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. the open web application security project, OWASP) interneto svetainėje www.owasp.org.;

9.9. turi būti naudojama svetainės naudotojo įvedamų duomenų tikslumo patikra (angl. validation);

9.10. tarnybinė stotis, kurioje yra svetainė, neturi rodyti svetainės naudotojui klaidų pranešimų apie svetainės programinį kodą ar tarnybinę stotį;

9.11. svetainės saugumo priemonės turi gebėti automatiškai uždrausti prieigą prie tarnybinės stoties iš IP adresų, iš kurių buvo vykdoma grėsminga veikla (nesankcionuoti mėginimai prisijungti, įterpti SQL intarpus ir pan.);

9.12. turi būti vykdomas Kadastro naudotojų ir administratorių atliekamų veiksmų auditas ir naudojami kontrolės reikalavimai;

9.13. tarnybinė stotis, kurioje yra svetainė, turi leisti tik svetainės funkcionalumui užtikrinti reikalingus HTTP protokolo metodus;

9.14. turi būti uždrausta naršyti svetainės kataloguose (angl. directory browsing);

9.15. turi būti įdiegta svetainės turinio nesankcionuoto pakeitimo (angl. defacement) stebėsenos sistema.

10. Patalpų ir aplinkos saugumo užtikrinimo priemonės:

10.1. turi būti įrengta patalpų apsaugos signalizacija, kurios signalai turi būti persiunčiami patalpas saugančiai saugos tarnybai;

10.2. patalpos turi būti suskaidytos į sektorius. Teisė atrakinti ir (ar) užrakinti tam tikrą sektorių turi būti suteikiama tik darbuotojams, kurie atlikdami tarnybines funkcijas būtinai turi lankytis tame sektoriuje;

10.3. patalpose turi būti įrengta įeigos kontrolės elektroninė sistema;

10.4. patalpos ir konkretūs jų sektoriai turi būti saugiai užrakinami, langai ir durys tinkamai apsaugoti nuo nesankcionuotos fizinės prieigos naudojant užraktus, apsaugos signalizaciją, vaizdo stebėjimo kameras;

10.5. paliekant patalpas ar darbo vietas turi būti užrakinamos durys ir uždaromi langai;

10.6. visi lankytojai turi būti lydimi Kadastro tvarkytojo darbuotojų, išskyrus atvejus, kai tokių lankytojų prieiga yra iš anksto patvirtinta. Lankytojams turi būti išduodamos svečio kortelės;

10.7. Kadastro naudotojų darbo vietų aplinka turi atitikti Lietuvos higienos normą HN 32:2004 „Darbas su videoterminalais. Saugos ir sveikatos reikalavimai“, patvirtintą Lietuvos Respublikos sveikatos apsaugos ministro 2004 m. vasario 12 d. įsakymu Nr. V-65 „Dėl Lietuvos higienos normos HN 32:2004 „Darbo su videoterminalais. Saugos ir sveikatos reikalavimai“ patvirtinimo“, ir kitus Lietuvos Respublikos teisės aktuose nustatytus reikalavimus;

10.8. visose patalpose ir konkrečiuose jų sektoriuose turi būti ugnies gesintuvai, įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato apsaugos signalizacijos ir saugos tarnybos stebėjimo pulto, reguliariai atliekama gaisro aptikimo ir gesinimo priemonių patikra.

11. Papildomos tarnybinių stočių patalpų apsaugos nuo neteisėto asmenų patekimo į jas ir kitos saugos užtikrinimo priemonės:

11.1. patalpa turi būti prijungta prie atskiros signalizacijos zonos;

11.2. patalpoje turi būti įrengta vaizdo stebėjimo sistema;

11.3. patalpose turi būti dubliuota oro kondicionavimo ir drėgmės kontrolės įranga. Temperatūros ir oro drėgnumo normos turi būti užtikrinamos pagal techninės įrangos gamintojų nustatytus reikalavimus. Patalpų oro kondicionavimo ir drėgmės kontrolės įranga turi turėti automatinę įspėjimo funkciją. Apie neužtikrinamas patalpų oro temperatūros ir oro drėgnumo normas turi būti automatiškai informuojami administratoriai, atliekantys techninės įrangos priežiūrą;

11.4. patalpose turi būti užtikrinamas nepertraukiamas elektros energijos tiekimas, naudojant alternatyvų elektros energijos tiekimo šaltinį, kurio veikimas turi būti tikrinamas ne rečiau kaip kartą per mėnesį imituojant elektros energijos dingimą. Alternatyvaus elektros energijos tiekimo šaltinio tikrinimai turi būti registruojami žurnale;

11.5. fizinė prieiga prie patalpos suteikiama tik Registrų centro direktoriaus įsakymu paskirtiems atsakingiems darbuotojams. Kiti darbuotojai arba tretieji asmenys gali patekti į šią patalpą tik lydimi atsakingų darbuotojų. Kiekvienas patekimas į patalpą turi būti fiksuojamas;

11.6. tarnybinių stočių patalpų raktai turi būti saugomi seife. Pagrindiniai tarnybinių stočių patalpos raktai ir atsarginiai raktai turi būti saugomi atskiruose pastatuose;

11.7. patalpos sienos turi būti sumūrytos iš plytų ar blokelių, lubos turi būti iš gelžbetonio. Patalpoje neturi būti langų arba naudojami didelio atsparumo langai specialiais rėmais ir grotomis;

11.8. patalpos durys privalo būti šarvuotos ir apsaugotos bent dviem skirtingos konstrukcijos spynomis, jos visada rakinamos;

11.9. patalpoje turi būti automatinė gaisro gesinimo sistema, įrengti dūmų ir karščio davikliai, prijungti prie patalpų apsaugos signalizacijos ir saugos tarnybos stebėjimo pulto;

11.10. kompiuterinio ryšio linijos apsaugotos nuo elektros išlydžių, perkūnijos ir elektros linijų avarijų naudojant apsauginius įtaisus su įžeminimo tašku.

12. Kitos priemonės, naudojamos Kadastro elektroninės informacijos saugai (kibernetiniam saugumui) užtikrinti:

12.1. Kadastre turi būti įrašomi duomenys apie Kadastro tarnybinių stočių, Kadastro taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis Kadastro tarnybinėse stotyse, Kadastro taikomojoje programinėje įrangoje, visus Kadastro naudotojų vykdomus veiksmus, kitus elektroninės informacijos saugai svarbius įvykius, nurodant Kadastro naudotojo ar administratoriaus identifikatorių ir elektroninės informacijos saugai svarbaus įvykio ar vykdyto veiksmo laiką. Šie duomenys turi būti saugomi ne trumpiau kaip vienus metus kitoje sistemoje, nei jie įrašomi, ir analizuojami ne rečiau kaip kartą per savaitę;

12.2. Kadastro komponentų įvykių žurnalai turi būti apsaugoti nuo pažeidimo, praradimo, nesankcionuoto ar netyčinio pakeitimo ar sunaikinimo;

12.3. turi būti naudojamos tinkamos audito duomenų rinkimo, analizės, išsaugojimo, autentiškumo užtikrinimo ir pateikimo kompetentingoms institucijoms priemonės (angl. chain of custody).

13. Kadastro veikimo užtikrinimas:

13.1. Kadastro vienkartinis neveikimo laikotarpis negali būti ilgesnis nei 8 val.;

13.2. Kadastro prieinamumas turi būti užtikrintas ne mažiau kaip 99 proc. laiko visą parą.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

14. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo užtikrinimo tvarka:

14.1. elektroninė informacija į Kadastrą gali būti įvedama, jame keičiama, atnaujinama ir naikinama tik šių taisyklių, Lietuvos Respublikos nekilnojamojo turto kadastro nuostatų, Duomenų saugos nuostatų ir kitų teisės aktų, reglamentuojančių Kadastro veiklą ir elektroninės informacijos tvarkymą, nustatyta tvarka;

14.2. elektroninė informacija gali būti tvarkoma pagal Kadastro naudotojams ir administratoriams suteiktas prieigos teises ir tik turint teisėtą tikslą ir pagrindą;

14.3. visi Kadastro naudotojų veiksmai registruojami taisyklių 12.1 papunktyje nustatyta tvarka;

14.4. kadastro naudotojui neatliekant jokių veiksmų informacinėse sistemose 15 minučių, kadastro taikomoji programinė įranga turi užsirakinti, kad toliau naudotis Kadastru galima būtų tik pakartotinai atlikus savo tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;

14.5. baigus darbą ar pasitraukus iš darbo vietos Kadastre turi būti imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo Kadastro, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai ar jų kopijos darbo vietoje turi būti padedami į pašaliniams asmenims neprieinamą vietą;

14.6. Kadastras turi turėti įvestos elektroninės informacijos tikslumo, užbaigtumo, patikimumo tikrinimo ir informavimo apie klaidas priemones.

15. Atsarginių elektroninės informacijos kopijų darymas, saugojimas, elektroninės informacijos atkūrimo iš atsarginių kopijų išbandymas vykdomas vadovaujantis Registrų centro direktoriaus įsakymu tvirtinamu atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkos aprašu, kuriame nurodomi atsakingi už duomenų kopijų darymą, apsaugą, saugojimo kontrolę ir duomenų atkūrimą iš atsarginių duomenų kopijų asmenys.

16. Elektroninė informacija perkeliama ir teikiama susijusiems registrams ar kitoms informacinėms sistemoms ir iš jų gaunama vadovaujantis Lietuvos Respublikos nekilnojamojo turto kadastro nuostatuose nustatyta tvarka ir sąlygomis.

17. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo, perdavimo ar kitokios neteisėtos veiklos (toliau – neteisėta veikla) nustatymo tvarka:

17.1. siekiant nustatyti, ar su Kadastre esančia elektronine informacija nėra vykdoma neteisėta veikla, visi elektroniniuose įvykių žurnaluose saugomi įrašai turi būti analizuojami ne rečiau kaip kartą per savaitę;

17.2. Kadastro naudotojai, pastebėję saugos dokumentuose arba kibernetinio saugumo dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo priemones, įvykius ar veiką, atitinkančią kibernetinio ar elektroninės informacijos saugos incidento požymius, arba apie tai gavę informacijos iš kitų informacijos šaltinių, privalo nedelsdami apie tai pranešti Registrų centro informacinių technologijų pagalbos tarnybai;

17.3. saugos įgaliotinis arba kibernetinio saugumo vadovas, įtaręs, kad su elektronine informacija vykdoma neteisėta veikla, inicijuoja elektroninės informacijos saugos incidentų valdymo procedūras.

18. Kadastro programinės ir techninės įrangos keitimo, Kadastro pokyčių valdymo tvarka nustatyta taisyklių priede.

19. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (toliau – mobilieji įrenginiai) naudojimo tvarka:

19.1. mobiliesiems įrenginiams, naudojamiems Kadastro valdytojo ar Kadastro tvarkytojo patalpose, esantiems vidiniame Kadastro kompiuterių tinkle, taikomi tokie patys elektroninės informacijos saugos (kibernetinio saugumo) reikalavimai, kaip ir stacionariesiems kompiuteriams;

19.2. iš mobiliųjų įrenginių draudžiama tiesiogiai nuotoliniu būdu prisijungti prie Kadastro informacinių technologijų infrastruktūros. Prisijungimas galimas tik virtualiojo privačiojo tinklo ryšiu per tarpinį įrenginį, atitinkantį saugos politiką įgyvendinančiuose dokumentuose nustatytus organizacinius ir techninius elektroninės informacijos saugos (kibernetinio saugumo) reikalavimus;

19.3. prie tarpinio įrenginio leistinų prisijungti mobiliųjų įrenginių sąrašą tvirtina Kadastro tvarkytojo vadovas;

19.4. turi būti reguliariai tikrinami tarpiniai įrenginiai, saugos įgaliotiniui arba kibernetinio saugumo vadovui pranešama apie neleistinus ar saugumo reikalavimų neatitinkančius tarpinius įrenginius;

19.5. turi būti parengti mobiliųjų įrenginių operacinių sistemų atvaizdai su saugumo nuostatomis. Atvaizde turi būti nustatyti tik veiklai būtini operacinių sistemų komponentai (administravimo paskyros, paslaugos (angl. services), taikomosios programos, tinklo prievadai, atnaujinimai, sisteminės priemonės). Atvaizdai turi būti reguliariai peržiūrimi ir atnaujinami, iškart atnaujinami nustačius naujų pažeidžiamumų ar atakų;

19.6. pagal parengtus atvaizdus į mobiliuosius įrenginius turi būti įdiegiama operacinė sistema su saugumo nuostatomis;

19.7. mobilieji įrenginiai, kuriais naršoma internete, privalo būti apsaugoti nuo judriųjų programų (angl. mobile code) keliamos grėsmės;

19.8. mobiliuosiuose įrenginiuose turi būti naudojamos vykdomojo kodo (angl. executable code) kontrolės priemonės, automatiškai apribojančios neleistino vykdomojo kodo naudojimą ar administratorių informuojančios apie neleistino vykdomojo kodo naudojimą;

19.9. mobiliuosiuose įrenginiuose nenaudojamos bevielio ryšio funkcijos turi būti išjungtos;

19.10. mobilieji įrenginiai turi būti apsaugoti slaptažodžiu, sudaromu ir tvarkomu informacinių sistemų naudotojų administravimo taisyklėse nustatyta tvarka. Jeigu mobiliajame įrenginyje naudojama judriojo ryšio kortelė, ji turi būti apsaugota PIN kodu, kuris neturi būti sudaromas iš asmeninės informacijos (pvz., gimimo datos ir pan.) ar lengvai atspėjamo skaičių derinio;

19.11. Kadastro elektroninė informacija ir kita nevieša informacija, laikoma mobiliuosiuose įrenginiuose, turi būti užšifruota;

19.12. mobiliųjų įrenginių kenksmingosios programinės įrangos aptikimo, elektroninės informacijos šifravimo ir kita programinė įranga turi būti įsigyjama tik iš patikimų ir oficialių tiekėjų teisės aktų nustatyta tvarka;

19.13. mobiliuosiuose įrenginiuose turi būti išjungta belaidė prieiga, jeigu jos nereikia darbo funkcijoms atlikti, išjungtas lygiarangis (angl. peer to peer) funkcionalumas, belaidė periferinė prieiga;

19.14. mobilieji įrenginiai viešose vietose negali būti palikti be priežiūros. Mobilusis įrenginys, kuriuo nesinaudojama 15 min., turi automatiškai užsirakinti.

IV SKYRIUS

REIKALAVIMAI, KELIAMI KADASTRUI FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

20. Kadastrui funkcionuoti reikalingų paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas (toliau – tiekėjas) turi atitikti Kadastro veiklą reglamentuojančių teisės aktų, standartų, šių taisyklių reikalavimus ir paslaugų teikimo, darbų atlikimo ar įrangos tiekimo pirkimo dokumentuose iš anksto nustatomas rekomendacijas tiekėjo kompetencijai, patirčiai, teikiamoms paslaugoms, atliekamiems darbams ar tiekiamai įrangai.

21. Perkant paslaugas, darbus ar įrangą, susijusius su Kadastru, jo projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi būti nustatoma, kad tiekėjas užtikrina atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams. Perkamos paslaugos, darbai ar įranga, susiję su Kadastru, turi atitikti teisės aktų ir standartų, kuriais vadovaujamasi užtikrinant Kadastro elektroninės informacijos saugą (kibernetinį saugumą), reikalavimus, kurie iš anksto nustatomi paslaugų teikimo, darbų atlikimo ar įrangos tiekimo pirkimo dokumentuose.

22. Tiekėjas, vykdydamas sutartinius įsipareigojimus, turi įgyvendinti tinkamas organizacines ir technines priemones, skirtas Kadastre ir jame tvarkomai elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

23. Tiekėjui prieiga prie Kadastro gali būti suteikiama tik pasirašius sutartį, kurioje turi būti nustatytos tiekėjo teisės, pareigos, prieigos prie Kadastro lygiai ir sąlygos, elektroninės informacijos saugos (kibernetinio saugumo), konfidencialumo reikalavimai ir atsakomybė už jų nesilaikymą. Administratorius turi supažindinti tiekėją su suteiktos prieigos Kadastro saugos (kibernetinio saugumo) reikalavimais ir sąlygomis. Administratorius yra atsakingas už prieigos prie Kadastro tiekėjui suteikimą ir panaikinimą pasirašius sutartį, pasibaigus sutarties su tiekėju galiojimo terminui ar kitais sutartyje nurodytais prieigos prie Kadastro panaikinimo atvejais.

24. Tiekėjui suteikiamas tik toks prieigos prie Kadastro lygmuo, kuris yra būtinas sutartyje nustatytiems įsipareigojimams vykdyti. Tiekėjo paskirti specialistai turi pasirašyti konfidencialumo pasižadėjimus.

25. Iškilus poreikiui, siekdamas įsitikinti, ar tinkamai vykdoma sutartis, laikomasi elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų, Kadastro tvarkytojas turi teisę atlikti tiekėjo teikiamų paslaugų stebėseną ir auditą, suteikti galimybę atlikti auditą trečiosioms šalims.

26. Tiekėjas privalo nedelsdamas informuoti Kadastro tvarkytoją apie sutarties vykdymo metu pastebėtus elektroninės informacijos saugos (kibernetinius) incidentus, pastebėtas neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo priemones, elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų nesilaikymą, nusikalstamos veikos požymius, saugumo spragas, pažeidžiamumus, kitus svarbius saugai įvykius.

27. Kadastro tvarkytojas su interneto paslaugų teikėju (-ais) turi būti sudaręs sutartis dėl apsaugos nuo informacinių sistemų elektroninių paslaugų trikdymo taikymo (angl. denial of service), reagavimo į kibernetinius incidentus įprastomis darbo valandomis ir po darbo valandų, nepertraukiamo interneto paslaugos teikimo ir interneto paslaugos sutrikimų registravimo 24 valandas per parą, 7 dienas per savaitę.

_________________________

Nekilnojamojo turto kadastro saugaus elektroninės informacijos tvarkymo taisyklių priedas

NEKILNOJAMOJO TURTO KADASTRO POKYČIŲ VALDYMO TVARKOS APRAŠAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Pokyčių valdymo tvarkos aprašas (toliau – aprašas) nustato standartizuotą funkcinių, techninių, programinių, organizacinių ir administracinių Nekilnojamojo turto kadastro (toliau – Kadastras) pokyčių (toliau – pokyčiai) valdymą ir kontrolę, siekiant sumažinti neigiamo pokyčių poveikio Kadastro veikimui riziką, užtikrinant saugų ir kokybišką reikalingų pokyčių įvykdymą.

2. Apraše nustatyti standartizuoti pokyčių valdymo planavimo procesai, apimantys pokyčių identifikavimą, inicijavimą ir suskirstymą į kategorijas pagal pokyčio tipą, įtakos vertinimą, pokyčių prioritetų nustatymą, pokyčių atlikimą, dokumentavimą, pokyčių valdymo efektyvumo vertinimą.

II SKYRIUS

POKYČIŲ IDENTIFIKAVIMAS

3. Pokyčiai identifikuojami analizuojant vidinę ir išorinę Kadastro valdytojo ir tvarkytojo veiklos aplinką ir poreikius, kuriuos formuoja socialiniai, teisiniai, ekonominiai, technologiniai aspektai ir tendencijos, esama padėtis (Kadastro sąranka, pažeidžiamumas, atitiktis teisės aktų ir standartų reikalavimams ir pan.).

4. Vidinė ir išorinė Kadastro valdytojo ir tvarkytojo veiklos aplinkos analizė atliekama Kadastro rizikos vertinimo, informacinių technologijų saugos atitikties vertinimo, informacinių technologijų audito, Kadastro būklės, veiklos efektyvumo ir pajėgumo, elektroninių paslaugų kokybės, atitikties teisės aktų ir standartų reikalavimams ir kitų vertinimų, atliekamų Valstybės informacinių išteklių valdymo įstatymo, Kadastro saugos nuostatų, Nekilnojamojo turto kadastro nuostatų ir kitų Kadastro valdytojo, Kadastro tvarkytojo veiklą reglamentuojančių teisės aktų nustatyta tvarka, metu.

5. Planuojami pokyčiai turi atitikti Lietuvos Respublikos Vyriausybės ar Lietuvos Respublikos Seimo patvirtintus planavimo dokumentus, Lietuvos Respublikos Vyriausybės nustatytas taikomų informacinių ir ryšių technologijų tobulinimo ir plėtros kryptis ir rekomenduojamus taikyti techninius reikalavimus (standartus), Kadastro valdytojo strateginius veiklos planus, informacinių technologijų strategiją ir kitus planavimo dokumentus.

III SKYRIUS

POKYČIŲ INICIJAVIMAS IR SKIRSTYMAS Į KATEGORIJAS

6. Pokyčius turi teisę inicijuoti Kadastro valdytojas, tvarkytojas, duomenų valdymo įgaliotinis, saugos įgaliotinis ir Kadastro administratoriai (toliau – administratoriai). Funkciniai, techniniai ir programiniai Kadastro pokyčiai, išskyrus organizacinius ir administracinius pokyčius, turi būti aprašomi ir registruojami specializuotoje projektų valdymo sistemoje (JIRA). Organizaciniai ir administraciniai pokyčiai aprašomi laisva forma ir saugomi už personalo ir dokumentų valdymą atsakinguose Kadastro valdytojo ar tvarkytojo struktūriniuose padaliniuose.

7. Registruojant pokyčius, atsižvelgiant į jų svarbą, aktualumą ir poreikį, pokyčiai skirstomi į šias kategorijas:

7.1. standartiniai pokyčiai, kurie nekelia rizikos siekiant užtikrinti kokybišką elektroninių paslaugų teikimą arba visos informacinių technologijų infrastruktūros veikimą (pvz., naujos kompiuterinės darbo vietos parengimas vidiniam Kadastro naudotojui ar jos komponentų pakeitimas, standartinės programinės įrangos įdiegimas, atnaujinimas ar pašalinimas, saugumo spragų pataisymų įdiegimas vidinio Kadastro naudotojo kompiuterinėje darbo vietoje ir pan.). Standartiniai pokyčiai atliekami apraše ir kituose Kadastro valdytojo ir tvarkytojo priimtuose teisės aktuose nustatyta tvarka;

7.2. skubūs pokyčiai, skirti aukščiausio prioriteto sutrikimams arba problemoms šalinti ir reikalaujantys ypatingos įvertinimo, patvirtinimo ir atlikimo skubos, taip pat avariniai pokyčiai (pvz., veiklos atkūrimas likviduojant elektroninės informacijos saugos (kibernetinio) incidento, stichinės nelaimės, avarijos ar kitų ekstremalių situacijų padarinius). Avarinių pokyčių atveju gali būti praleisti pokyčių įtakos vertinimo ir dokumentavimo etapai, tačiau jie turi būti atlikti pašalinus aukščiausio prioriteto sutrikimus arba problemas;

7.3. plėtros (vystymo) pokyčiai, kurių metu kuriamos arba modernizuojamos informacinių technologijų paslaugos, ir su tuo susiję jų atlikimo veiksmai nėra visiškai aiškūs, o pokyčių atlikimas susijęs su tam tikra rizika siekiant užtikrinti elektroninių paslaugų teikimą arba visos informacinių technologijų infrastruktūros veikimą.

8. Prioritetas turi būti skiriamas skubiems ir plėtros (vystymo) pokyčiams. Pokyčių prioritetas nustatomas pokyčių įtakos vertinimo metu.

IV SKYRIUS

POKYČIŲ ĮTAKOS VERTINIMAS

9. Kadastro funkcinių, programinių ir techninių pokyčių įtaką pagal kompetenciją vertina valstybės įmonės Registrų centro Informacinių technologijų centras. Sudėtingų pokyčių įtakai įvertinti gali būti sudaroma darbo grupė. Ši darbo grupė gali būti sudaroma iš Kadastro valdytojo ir tvarkytojo kompetentingų valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis (toliau – darbuotojai), prireikus – nepriklausomų ekspertų.

10. Pokyčių įtakos vertinimo metu turi būti įvertinama pokyčių nauda ir pagrįstumas, pokyčių įgyvendinamumas ir alternatyvūs sprendimai, pokyčiams atlikti reikalingos sąnaudos, taip pat Kadastro darbo sutrikdymo ar sustabdymo rizika, elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo pažeidimo rizika.

11. Jeigu pokyčių įtakos vertinimo metu nustatoma, kad Kadastrui kurti ar modernizuoti planuojama viršyti Lietuvos Respublikos Vyriausybės ar jos įgaliotos institucijos patvirtintą lėšų dydį, turi būti rengiama galimybių studija.

V SKYRIUS

POKYČIŲ ATLIKIMAS

12. Funkcinius, techninius, programinius Kadastro pokyčius vykdo administratoriai arba Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka atrinktas paslaugų teikėjas. Organizacinius ir administracinius pokyčius vykdo už personalo ir dokumentų valdymą atsakingi Kadastro valdytojo ar tvarkytojo struktūriniai padaliniai.

13. Visi pokyčiai, galintys sutrikdyti ar sustabdyti Kadastro darbą, turi būti suderinti su duomenų valdymo įgaliotiniu ir vykdomi tik gavus jo ir Registrų centro direktoriaus rašytinį pritarimą.

14. Pokyčiai, galintys sutrikdyti ar sustabdyti Kadastro darbą, daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri yra atskirta nuo eksploatuojamo Kadastro. Pokyčiai eksploatuojamoje aplinkoje gali būti vykdomi tik išimtiniais atvejais, kai dėl techninių, programinių ar kitų priežasčių (pvz., veiklos atkūrimo ar kitos avarinės situacijos) nėra galimybės jų patikrinti bandomojoje aplinkoje.

15. Nustačius, kad Kadastro pokyčių bandomojoje aplinkoje rezultatas atitinka laukiamus rezultatus, pokyčiai gali būti atliekami eksploatuojamoje aplinkoje.

16. Registrų centro nustatytu darbo laiku gali būti vykdomi tik skubūs ir standartiniai pokyčiai. Plėtros (vystymo) pokyčiai turi būti atliekami po darbo valandų arba savaitgaliais.

17. Administratoriai turi informuoti Kadastro naudotojus, susijusių registrų ir kitų informacinių sistemų tvarkytojus, kitus suinteresuotus asmenis apie pokyčius, kurių įgyvendinimo metu galimi Kadastro darbo sutrikimai. Apie pokyčius informuojama Kadastro tvarkytojo interneto svetainėje, Kadastro taikomosiose programose, kitomis priemonėmis (pvz., raštu, elektroniniu paštu ir pan.) ne vėliau kaip prieš vieną darbo dieną iki planuojamo pokyčio įgyvendinimo pradžios. Šio punkto gali būti nesilaikoma, jeigu įgyvendinami skubūs pokyčiai.

VI SKYRIUS

POKYČIŲ DOKUMENTAVIMAS

18. Kadastro sąrankos aprašai turi rodyti esamą Kadastro sąrankos būklę. Kadastro sąranka ir būsenos rodikliai turi būti tikrinami (peržiūrimi) reguliariai, tačiau ne rečiau kaip kartą per ketvirtį. Visi įgyvendinti pokyčiai, išskyrus avarinius, turi būti dokumentuojami ir registruojami tam skirtame žurnale arba specializuotoje sistemoje.

19. Įgyvendinus pokytį Kadastro eksploatuojamoje aplinkoje, administratoriai turi patikrinti (peržiūrėti) Kadastro sąranką ir būsenos rodiklius, palyginti ir pagal kompetenciją įvertinti, ar pokytis atitinka planuojamus rezultatus. Sudėtingų ir specifinių pokyčių rezultatams įvertinti gali būti pasitelkti ir kiti Kadastro valdytojo ir tvarkytojo darbuotojai ar trečiosios šalies kompetentingi specialistai.

20. Pokyčius koordinuojančiam administratoriui patvirtinus, kad pokytis atitinka planuotus rezultatus, administratoriai turi atnaujinti Kadastro sąrankos aprašus ir prireikus inicijuoti kitų, su pokyčiu susijusių dokumentų, atnaujinimą ir pateikimą suinteresuotiems asmenims.

21. Kadastro kūrimo ar modernizavimo pokyčiai turi būti dokumentuojami techniniuose aprašymuose (specifikacijose), tvirtinami ir derinami Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, nustatyta tvarka.

VII SKYRIUS

POKYČIŲ VALDYMO EFEKTYVUMO VERTINIMAS

22. Siekiant efektyvaus pokyčių valdymo, turi būti analizuojami ir vertinami šie rodikliai:

22.1. Kadastro veiklos sutrikimų ar elektroninės informacijos klaidų, kilusių dėl netikslios specifikacijos ar nepakankamo pokyčių įtakos vertinimo, skaičius;

22.2. Kadastro taikomųjų programų ar informacinių technologijų infrastruktūros pataisymai, kilę dėl netinkamos pokyčių specifikacijos;

22.3. pokyčių, kurie vyksta pagal aprašą, procentas.

23. Pokyčių valdymo efektyvumo vertinimą atlieka Informacinių technologijų centras.

VIII SKYRIUS

POKYČIŲ VALDYMO PROCESAS

24. Pokyčių valdymo veikla detalizuojama pokyčių valdymo proceso apraše, kurį tvirtina Kadastro tvarkytojas.

25. Pokyčių valdymo proceso aprašas rengiamas atsižvelgiant į šio aprašo, Informacinių technologijų paslaugų valdymo metodikos, patvirtintos Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2013 m. birželio 19 d. įsakymu Nr. T-83 „Dėl Informacinių technologijų paslaugų valdymo metodikos patvirtinimo“, ir informacinių technologijų paslaugų valdymo standarto LST ISO/IEC 20000 reikalavimus.

___________________

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2019 m. balandžio 18 d. įsakymu Nr. 3D-235

Nekilnojamojo turto kadastro Veiklos tęstinumo valdymo planas

I SKYRIUS

Bendrosios nuostatos

1. Nekilnojamojo turto kadastro veiklos tęstinumo valdymo planas (toliau – planas) reglamentuoja Nekilnojamojo turto kadastro (toliau – Kadastras) veiklos tęstinumo užtikrinimą.

2. Plane vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, ir kituose teisės aktuose bei Lietuvos „Informacijos technologija. Saugumo metodai“ grupės standartuose, Nekilnojamojo turto kadastro duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos žemės ūkio ministro 2018 m. spalio 9 d. įsakymu Nr. 3D-723 „Dėl Nekilnojamojo turto kadastro duomenų saugos nuostatų patvirtinimo“ (toliau – Duomenų saugos nuostatai).

3. Planas įsigalioja įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, dėl kurio Kadastro tvarkytojas negali teikti viešųjų ir administracinių paslaugų daliai arba visiems Kadastro naudotojams ir būtina atkurti įprastą Kadastro veiklą Kadastro tvarkytojo patalpose arba atsarginėse patalpose. Kibernetinių ir elektroninės informacijos saugos incidentų tyrimas atliekamas vadovaujantis valstybės įmonės Registrų centro (toliau – Registrų centras) direktoriaus įsakymu tvirtinamu Kibernetinių ir elektroninės informacijos saugos incidentų valdymo tvarkos aprašu.

4. Plano nuostatos taip pat taikomos po stichinės nelaimės, avarijos ar kitų ekstremalių situacijų, kai būtina atkurti įprastą Kadastro veiklą.

5. Atsakingų asmenų įgaliojimai įvykus kibernetiniam ar elektroninės informacijos saugos incidentui:

5.1. Kadastro saugos įgaliotinis (toliau – saugos įgaliotinis), kibernetinio saugumo vadovas turi teisę pagal savo įgaliojimus:

5.1.1. bendradarbiauti su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, kibernetinius ir elektroninės informacijos saugos incidentus, neteisėtas veikas, susijusias su kibernetiniais ir elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka Registrų centre sudarytos elektroninės informacijos saugos (kibernetinio saugumo) darbo grupės;

5.1.2. duoti privalomus vykdyti nurodymus ir pavedimus Kadastro valdytojo ir Kadastro tvarkytojo darbuotojams, jeigu tai būtina elektroninės informacijos saugos (kibernetinio saugumo) politikai įgyvendinti;

5.1.3. koordinuoti kibernetinių ir elektroninės informacijos saugos incidentų tyrimą;

5.2. Kadastro administratorius (toliau – administratorius):

5.2.1. dalyvauja atliekant plano 14 punkte nurodytas funkcijas;

5.2.2. vykdo kitus plane ir jo priede nurodytus veiksmus ir Kadastro veiklos tęstinumo valdymo grupės ar Kadastro veiklos atkūrimo grupės pavestas užduotis;

5.3. Kadastro naudotojai vykdo veiklos tęstinumo valdymo grupės nurodymus.

6. Planas privalomas Kadastro valdytojui, tvarkytojui, saugos įgaliotiniui, kibernetinio saugumo vadovui, duomenų valdymo įgaliotiniui, administratoriams, Kadastro naudotojams, Kadastro techninės ir programinės įrangos priežiūros funkcijas teikiantiems paslaugų teikėjams, jei tokios funkcijos paslaugų teikėjams perduotos Valstybės informacinių išteklių valdymo įstatyme nustatytomis sąlygomis ir tvarka.

7. Planas pagrįstas šiais pagrindiniais principais:

7.1. vidinių Kadastro naudotojų gyvybės ir sveikatos apsauga (būtina užtikrinti visų Kadastro naudotojų gyvybės ir sveikatos apsaugą ir saugumą, kol trunka kibernetinis ar elektroninės informacijos saugos incidentas ir likviduojami jų padariniai);

7.2. Kadastro veiklos atkūrimas per 8 val. Kadastro veikla atkuriama pagal Kadastro funkcijų prioritetą, nustatytą šio plano priede;

7.3. Kadastro naudotojų mokymas. Kadastro naudotojai supažindinami su planu ir teisės aktais, nustatančiais kiekvieno informacinės sistemos naudotojo atsakomybę;

7.4. reguliarus plano veiksmingumo išbandymas. Plano veiksmingumas reguliariai išbandomas teorinių ir (ar) praktinių mokymų metu, modeliuojant kibernetinį ar elektroninės informacijos saugos incidentą. Plano veiksmingumo išbandymas gali būti planinis arba neplaninis. Atsižvelgiant į gautus rezultatus, planas tikslinamas.

8. Įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, Kadastro veiklai atkurti naudojami rezerviniai Registrų centro, o prireikus – ir Lietuvos Respublikos žemės ūkio ministerijos finansiniai ir kitokie ištekliai.

9. Kadastro veiklos kriterijai, pagal kuriuos nustatoma, ar Kadastro veikla atkurta:

9.1. Kadastras priima elektroninę informaciją iš susijusių registrų, kitų informacinių sistemų, elektroninės informacijos teikėjų;

9.2. Kadastro elektroninė informacija nuolat atnaujinama ir išsaugoma;

9.3. užtikrintas Kadastro elektroninės informacijos vientisumas ir konfidencialumas;

9.4. Kadastro elektroninė informacija nuolat teikiama Kadastro naudotojams, susijusiems registrams ir kitoms informacinėms sistemoms;

9.5. užtikrintas Kadastro prieinamumas – ne mažiau kaip 99 proc. laiko visą parą.

II SKYRIUS

Organizacinės nuostatos

10. Kadastro veiklos tęstinumui užtikrinti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui sudaromos Kadastro veiklos tęstinumo valdymo grupė (toliau – veiklos tęstinumo valdymo grupė) ir Kadastro veiklos atkūrimo grupė (toliau – veiklos atkūrimo grupė).

11. Veiklos tęstinumo valdymo grupės sudėtis:

11.1. veiklos tęstinumo valdymo grupės vadovas – Registrų centro direktoriaus pirmasis pavaduotojas;

11.2. veiklos tęstinumo valdymo grupės vadovo pavaduotojai: Registrų centro Informacinių technologijų centro vadovas ir saugos įgaliotinis;

11.3. veiklos tęstinumo valdymo grupės nariai: Registrų centro direktoriaus pavaduotojas Juridinių asmenų registrui ir rinkodarai, Registrų centro direktoriaus pavaduotojas Nekilnojamojo turto kadastrui ir registrui, Registrų centro direktoriaus pavaduotojas turto vertinimui, Registrų centro direktoriaus pavaduotojas teisių registrams, Registrų centro Finansų valdymo departamento viršininkas; Registrų centro atstovas spaudai, Lietuvos Respublikos žemės ūkio ministerijos Nekilnojamojo turto kadastro ir geodezijos skyriaus vedėjas.

12. Veiklos tęstinumo valdymo grupės funkcijos:

12.1. situacijos analizė ir sprendimų Kadastro veiklos tęstinumo valdymo klausimais priėmimas;

12.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

12.3. bendravimas su susijusių registrų ir informacinių sistemų veiklos tęstinumo valdymo grupėmis;

12.4. bendravimas su teisėsaugos ir kitomis institucijomis, šių institucijų darbuotojais ir kitomis interesų grupėmis;

12.5. finansinių ir kitų išteklių, reikalingų Kadastro veiklai atkurti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, naudojimo kontrolė;

12.6. elektroninės informacijos fizinės saugos organizavimas įvykus elektroninės informacijos saugos ar kibernetinio saugumo incidentui;

12.7. logistika (asmenų, daiktų, įrangos gabenimo organizavimas).

13. Veiklos atkūrimo grupės sudėtis:

13.1. veiklos atkūrimo grupės vadovas Registrų centro Informacinių technologijų centro Infrastruktūros valdymo departamento viršininkas;

13.2. veiklos atkūrimo grupės vadovo pavaduotojai: Registrų centro Informacinių technologijų centro Kadastro konstravimo departamento viršininkas ir Registrų centro Informacinių technologijų centro Informacinės sistemos administravimo skyriaus vedėjas;

13.3. veiklos atkūrimo grupės nariai: Registrų centro Informacinių technologijų centro Duomenų banko eksploatavimo skyriaus vedėjas, Registrų centro Informacinių technologijų centro Kompiuterinių tinklų eksploatavimo skyriaus vedėjas, Registrų centro Techninio aptarnavimo skyriaus vedėjas, Registrų centro Informacinių technologijų centro Kadastro administravimo skyriaus Kadastro administratorius, Registrų centro Komunikacijos skyriaus vedėjas, Registrų centro Tiekimo ir ūkio skyriaus vedėjas; Kadastro priežiūros paslaugų teikėjų atstovai (ne mažiau kaip 3 (trys) specialistai), jei Kadastro techninės ir programinės įrangos priežiūros funkcijos perduotos paslaugų teikėjams Valstybės informacinių išteklių valdymo įstatyme nustatytomis sąlygomis ir tvarka.

14. Veiklos atkūrimo grupės funkcijos:

14.1. tarnybinių stočių veikimo atkūrimo organizavimas;

14.2. kompiuterių tinklo veikimo atkūrimo organizavimas;

14.3. Kadastro elektroninės informacijos atkūrimo organizavimas;

14.4. taikomųjų programų tinkamo veikimo atkūrimo organizavimas;

14.5. darbo kompiuterių veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas.

15. Personalinę veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės sudėtį tvirtina Registrų centro direktorius.

16. Veiklos tęstinumo valdymo grupės, veiklos atkūrimo grupės veiklą organizuoja ir koordinuoja šių grupių vadovai.

17. Kadastro veiklos atkūrimo detalusis planas pateikiamas šio plano priede.

18. Atsarginėms patalpoms, naudojamoms Kadastro veiklai atkurti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, keliami šie reikalavimai:

18.1. patalpos turi atitikti priešgaisrinės saugos reikalavimus;

18.2. patalpos turi atitikti Kadastro techninės įrangos gamintojų nustatytus reikalavimus įrangos darbo aplinkai (pvz., tinkama oro temperatūra, oro drėgmė ir kt.);

18.3. patalpose turi būti įrengtos langų, durų, Kadastro techninės įrangos, kabelių fizinės apsaugos priemonės;

18.4. patalpose turi būti įrengta patalpų apsaugos signalizacija, prijungta prie apsaugos tarnybų;

18.5. patalpos turi būti atskirtos nuo bendrojo naudojimo patalpų;

18.6. patalpose turi būti interneto ryšio prieiga;

18.7. patalpose turi būti įrengti nenutrūkstamą elektros tiekimą užtikrinantys maitinimo šaltiniai;

18.8. turi būti užtikrintas tinklais perduodamos elektroninės informacijos vientisumas ir konfidencialumas;

18.9. turi būti įdiegtos kitos priemonės, atitinkančios pirmosios ir antrosios kategorijų Kadastro veiklai ir jų saugumui užtikrinti keliamus reikalavimus.

19. Atsarginės patalpos, pritaikytos Kadastro veiklai atkurti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, yra Registrų centro Vilniaus filialo patalpos, esančios Lvovo g. 25. Į atsargines patalpas vykstama Kadastro valdytojo, Kadastro tvarkytojo transportu arba logistikos paslaugų teikėjo transportu.

20. Veiklos tęstinumo valdymo grupė ir veiklos atkūrimo grupė organizuoja bendrą susirinkimą, įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, nenumatytoms situacijoms arba įvykus esminiams organizaciniams Kadastro ar jų komponentų pokyčiams.

21. Veiklos tęstinumo valdymo grupė, atlikusi situacijos analizę, informuoja veiklos atkūrimo grupę apie priimtus sprendimus Kadastro veiklos tęstinumo valdymo klausimais. Veiklos atkūrimo grupė, atsižvelgdama į priimtus sprendimus, organizuoja Kadastro veiklos atkūrimą.

22. Veiklos tęstinumo valdymo ir veiklos atkūrimo grupės tarpusavyje bendrauja žodžiu, telefonu ir elektroniniu paštu.

III SKYRIUS

Aprašomosios nuostatos

23. Kadastro veiklos tęstinumui užtikrinti turi būti parengti ir saugomi šie dokumentai:

23.1. Kadastro dokumentacija, kurioje nurodyta Kadastro informacinių technologijų įranga ir jos parametrai, už ją atsakingi asmenys;

23.2. kiekvieno pastato, kuriame yra Kadastro įranga, aukštų patalpų brėžiniai ir juose pažymėta:

23.2.1. tarnybinės stotys;

23.2.2. kompiuterių tinklo ir telefonų tinklo mazgai;

23.2.3. kompiuterių tinklo ir telefonų tinklo tiesimo tarp pastato aukštų vietos;

23.2.4. elektros įvedimo pastate vietos;

23.2.5. Kadastro kompiuterių tinklo fizinio ir loginio sujungimo schemos;

23.3. kompiuterinės, techninės ir programinės įrangos sutarčių sąrašas;

23.4. elektroninės informacijos atsarginių kopijų darymo ir išbandymo tvarkos aprašas, kuriame turi būti nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos;

23.5. veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės narių sąrašas su kontaktiniais duomenimis, kuriais šiuos asmenis galima pasiekti bet kuriuo paros metu;

23.6. minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos Kadastro valdytojo ir tvarkytojo poreikius atitinkančiai Kadastro veiklai užtikrinti, įvykus kibernetiniam ar elektroninės informacijos saugos incidentui ar nenumatytai situacijai, specifikacija; už šios įrangos priežiūrą atsakingų administratorių sąrašas ir minimalūs reikiamos kompetencijos ar žinių lygio reikalavimai Kadastro veiklai atkurti nesant administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą;

23.7. elektroninės informacijos teikimo sutarčių sąrašas.

24. Už plano 23.1–23.6 papunkčiuose nurodytų dokumentų parengimą, saugojimą, nuolatinį atnaujinimą ir kompiuterinės, techninės ir programinės įrangos sutarčių vykdymo priežiūrą atsakingas Infrastruktūros valdymo departamento viršininko paskirtas administratorius. Šiame punkte nurodyti dokumentai saugomi išspausdinti Infrastruktūros valdymo departamente ir atsarginėse patalpose. Jeigu naudojama Kadastro įranga (pagal nuomos, panaudos ar kitas sutartis) priklauso trečiajai šaliai ir yra jos patalpose, sutarties su trečiąja šalimi kopija turi būti saugoma kartu su šiame punkte nurodytais dokumentais.

25. Už plano 23.7 papunktyje nurodyto dokumento parengimą, saugojimą, nuolatinį atnaujinimą ir elektroninės informacijos teikimo sutarčių vykdymo priežiūrą pagal kompetenciją atsakingas Rinkodaros ir sutarčių skyriaus vedėjas. Elektroninės informacijos teikimo sutarčių sąrašas saugomas išspausdintas Rinkodaros ir sutarčių skyriuje ir atsarginėse patalpose.

IV SKYRIUS

Plano veiksmingumo išbandymo nuostatos

26. Plano veiksmingumas išbandomas ne rečiau kaip kartą per metus kibernetinio ar elektroninės informacijos saugos incidento ar nenumatytos situacijos simuliacijos metu. Plano veiksmingumo išbandymą organizuoja saugos įgaliotinis.

27. Kibernetinio ar elektroninės informacijos saugos incidento metu gauti rezultatai turi būti naudojami planui atnaujinti. Nustačius plano veiksmingumo trūkumų, rengiama pastebėtų trūkumų šalinimo ataskaita. Už plano veiksmingumo išbandymo metu pastebėtų trūkumų ataskaitos parengimą ir pateikimą Kadastro valdytojui atsakingas saugos įgaliotinis.

28. Plano veiksmingumo išbandymo metu pastebėti trūkumai šalinami remiantis efektyvumo, ekonomiškumo, rezultatyvumo ir operatyvumo principais.

29. Veiklos tęstinumo valdymo procesams tobulinti turi būti nustatomi ir vertinami šie rodikliai:

29.1. Kadastro neprieinamumas valandomis per metus;

29.2. Kadastro veiklos atkūrimo, įvykus kibernetiniam ar elektroninės informacijos saugos incidentui ar nenumatytai situacijai, trukmė.

__________________________

Nekilnojamojo turto kadastro veiklos tęstinumo valdymo plano

priedas

NEKILNOJAMOJO TURTO KADASTRO VEIKLOS ATKŪRIMO DETALUSIS PLANAS

1. Nekilnojamojo turto kadastro veiklos atkūrimo detaliajame plane (toliau – atkūrimo planas) reglamentuojamas Nekilnojamojo turto kadastro (toliau – Kadastras) atkūrimo veiksmų vykdymo eiliškumas, nurodomi atsakingi vykdytojai.

2. Įsigaliojus Kadastro veiklos tęstinumo valdymo planui veiklos tęstinumo valdymo grupė informuoja Kadastro naudotojus, susijusių registrų ir kitus Kadastro tvarkytojus, kitus suinteresuotus asmenis apie Kadastro veikimo sutrikimus. Informacija teikiama Kadastro tvarkytojo interneto svetainėje, Kadastro taikomosiose programose, kitomis priemonėmis (pvz., raštu, elektroniniu paštu ir pan.).

3. Veiklos atkūrimo grupė Kadastro veiklą atkuria pagal šiuos Kadastro funkcijų prioritetus:

3.1. tarnybinių stočių veikimo atkūrimas:

3.1.1. duomenų bazių veikimo atkūrimas;

3.1.2. taikomųjų programų veikimo atkūrimas;

3.2. kompiuterių tinklo veikimo atkūrimas;

3.3. elektroninės informacijos atkūrimas;

3.4. taikomųjų programų veikimo atkūrimas;

3.5. interneto ryšio atkūrimas;

3.6. kompiuterinių darbo vietų veikimo atkūrimas.

4. Kadastro veiklos atkūrimo veiksmai, atsižvelgiant į kibernetinio ar elektroninės informacijos saugos incidento tipą ir mastą, veiklos atkūrimo veiksmų pobūdį, turi būti atlikti per kuo trumpesnį terminą, kuris neturi būti ilgesnis kaip 8 val. Kadastro veiklos atkūrimo veiksmai nurodyti lentelėje.

Lentelė

Situacija	Pirminiai veiksmai	Veiklos atkūrimo veiksmai	Atsakingi vykdytojai
1. Manipuliacija elektronine informacija (pvz., elektroninės informacijos, įskaitant Kadastro programinę įrangą, pakeitimas kita elektronine informacija, elektroninės informacijos iškraipymas, ištrynimas ar kitoks neteisėtas jos naudojimas).	1.1. Incidento analizė.	1.1.1. Nustatomas atakos šaltinis, kibernetinio ar elektroninės informacijos saugos incidento padariniai, identifikuojama pakeista, sunaikinta ar kitaip neteisėtai tvarkyta elektroninė informacija. 1.1.2. Stabdomas pažeistos elektroninės informacijos teikimas. 1.1.3. Nustatomos elektroninės informacijos vientisumo pažeidimo, neteisėto tvarkymo priežastys. 1.1.4. Informuojamos kompetentingos institucijos, kitos suinteresuotos šalys.	Veiklos atkūrimo grupės vadovas
	1.2. Veiksmų plano sudarymas.	1.2.1. Sudaromas veiksmų planas manipuliacijos elektronine informacija padariniams likviduoti, Kadastro veiklai atkurti ir informacinėms sistemoms apsaugoti.	Veiklos tęstinumo valdymo grupės vadovas, veiklos atkūrimo grupės vadovas
	1.3. Padarinių likvidavimas ir veiklos atkūrimas.	1.3.1. Imamasi veiksmų neteisėtai veikai sustabdyti. 1.3.2. Likviduojami kibernetinio ar elektroninės informacijos saugos incidento padariniai, atkuriamas Kadastro veikimas, diegiamos Kadastro apsaugos priemonės. 1.3.3. Jeigu Kadastro veiklos atkūrimo metu elektroninė informacija atkuriama iš atsarginių kopijų, tikrinama, ar atkurta elektroninė informacija yra teisinga. 1.3.4. Jeigu nėra galimybės elektroninės informacijos tinkamai atkurti iš atsarginių kopijų, duomenų teikėjų prašoma pateikti elektroninę informaciją iš naujo. 1.3.5. Atkuriamas elektroninės informacijos paslaugų teikimas. 1.3.6. Prireikus veikla atkuriama atsarginėse patalpose.	Veiklos atkūrimo grupės vadovas
2. Ryšio sutrikimas.	2.1. Ryšio sutrikimo priežasties nustatymas.	2.1.1. Aiškinamasi ryšio sutrikimo priežastis. Jeigu nustatoma, kad ryšys sutriko ne dėl įstaigos įrangos gedimo, kreipiamasi į ryšio paslaugų teikėją dėl ryšio sutrikimo pašalinimo.	Veiklos atkūrimo grupės vadovas
	1. 2.2. Ryšio tarnybų informavimas, paklausimo dėl sutrikimo trukmės ir pašalinimo prognozės.	2.2.1. Priemonių nustatymas sutrikimams pašalinti.	Veiklos atkūrimo grupės vadovas
	1. 2.3. Ryšio sutrikimo pašalinimas.	2.3.1. Priemonių įgyvendinimas.	Veiklos atkūrimo grupės vadovas
3. Kritinės techninės įrangos gedimas, praradimas (pvz., techninis serverio, duomenų saugyklos, tinklo paskirstymo komponento, tinklo sietuvo, tinklo sąsajos, oro kondicionavimo įrangos gedimas, šios įrangos vagystė arba sugadinimas).	3.1. Incidento analizė.	3.1.1. Nustatomas techninės įrangos gedimas, sugadinta ar prarasta techninė įranga.	Veiklos atkūrimo grupės vadovas
	3.1. Incidento analizė.	3.1.2. Nustatomi ir įvertinami įvykio padariniai, žala.	Veiklos tęstinumo valdymo grupės vadovas
	3.2. Veiksmų plano sudarymas.	3.2.1. Sudaromas veiksmų planas ir, atsižvelgiant į techninės įrangos gedimo, sugadinimo ar praradimo mastą, pasirenkamas optimalus veiklos atkūrimo scenarijus. Galimi veiklos atkūrimo scenarijai: 3.2.1.1. naudoti kitos turimos techninės įrangos išteklius; 3.2.1.2. kreiptis į techninės įrangos garantinių paslaugų teikėją; 3.2.1.3. užsakyti reikalingą techninę įrangą pagal įrangos tiekimo sutartis; 3.2.1.4. vykdyti viešąjį techninės įrangos pirkimą; 3.2.1.5. atkurti veiklą atsarginėse patalpose (naudoti atsarginėse patalpose esančią infrastruktūrą arba šiose patalpose įrengti reikiamą įrangą). 3.2.2. Prireikus numatomas finansinių ir kitokių išteklių poreikis informacinių sistemų veiklai atkurti.	Veiklos tęstinumo valdymo grupės vadovas
	3.3. Padarinių likvidavimas ir veiklos atkūrimas.	3.3.1. Kadastro veikla atkuriama pagrindinėse patalpose arba atsarginėse patalpose pagal pasirinktą veiklos atkūrimo scenarijų.	Veiklos atkūrimo grupės vadovas
4. Stichinė nelaimė, avarija, patalpų praradimas, pažeidimas (pvz., žemės drebėjimas, potvynis, gaisras, sprogimas, teroristinis išpuolis, didelio kiekio pavojingų medžiagų išsiveržimas į aplinką).	4.1. Standartinių veiksmų vykdymas.	4.1.1. Veiksmų, nustatytų darbuotojų saugos ir sveikatos įvadinėse instrukcijose, vykdymas.	Kadastro valdytojo, Kadastro tvarkytojo darbuotojai, kiti asmenys
5. Patalpų užgrobimas.	5.1. Teisėsaugos institucijų informavimas.	5.1.1. Apie neteisėtą įsibrovimą į patalpas informuojamos teisėsaugos institucijos. 5.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra teisėsaugos institucijos nurodymas.	Veiklos tęstinumo valdymo grupės vadovas
5. Patalpų užgrobimas.	5.2. Darbuotojų evakavimas, jei yra teisėsaugos institucijų rekomendacija.	5.2.1. Draudimas įeiti į patalpas bet kuriems asmenims, jei yra teisėsaugos institucijos nurodymai. 5.2.2. Darbuotojų informavimas apie evakavimą.	Veiklos tęstinumo valdymo grupės vadovas
	5.3. Patalpų užrakinimas, jei yra galimybė.	5.3.1. Teisėsaugos institucijų nurodymų vykdymas.	Veiklos tęstinumo valdymo grupės vadovas
	5.3. Patalpų užrakinimas, jei yra galimybė.
	5.4. Teisėsaugos institucijų kitų nurodymų vykdymas, jei yra rekomendacija.	5.4.1. Darbuotojų informavimas apie nurodymų vykdymą.	Veiklos atkūrimo grupės vadovas
	5.5. Veiksmai atlaisvinus užgrobtas patalpas.	5.5.1. Padarytos žalos įvertinimas. 5.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas, paskelbimas, darbuotojų instruktavimas ir plano vykdymas.	Veiklos tęstinumo valdymo grupės vadovas, veiklos atkūrimo grupės vadovas
6. Komunalinių paslaugų teikimo sutrikimai (nutrūksta elektros energijos, šildymo, vandens tiekimas).	6.1. Incidento analizė.	6.1.1. Pagal kompetenciją nustatomos galimos komunalinių paslaugų teikimo sutrikimo priežastys. 6.1.2. Informuojami komunalinių paslaugų teikėjai.	Tiekimo ir ūkio skyriaus vedėjas
	6.2. Veiksmų plano sudarymas.	6.2.1. Sudaromas veiksmų planas paslaugų teikimo sutrikimams pašalinti.	Veiklos tęstinumo valdymo grupės vadovas
	6.3. Padarinių likvidavimas ir veiklos atkūrimas.	6.3.1. Organizuojamas komunalinių paslaugų teikimo sutrikimų pagal veiksmų planą šalinimas.	Veiklos atkūrimo grupės vadovas
7. Darbuotojų praradimas (pvz., nėra darbuotojų, galinčių vykdyti svarbius įstaigos veiklos procesus).	7.1. Incidento analizė.	7.1.1. Nustatoma, kokie žmogiškieji ištekliai, būtini svarbiems procesams vykdyti, yra prarasti. 7.1.2. Nustatoma, kokia darbuotojų kompetencija reikalinga svarbiems procesams vykdyti.	Tiekimo ir ūkio skyriaus vedėjas
	7.2. Veiklos atkūrimas.	7.2.1. Trūkstamas personalas pakeičiamas pakaitiniais darbuotojais. Prireikus išmokomi esami darbuotojai. 7.2.2. Vykdoma naujų darbuotojų paieška ir atliekamos įdarbinimo procedūros.	Tiekimo ir ūkio skyriaus vedėjas

______________________________

PATVIRTINTA

Lietuvos Respublikos žemės ūkio ministro

2019 m. balandžio 18 d. įsakymu Nr. 3D-235

NEKILNOJAMOJO TURTO KADASTRO NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

I SKYRIUS

Bendrosios nuostatos

1. Nekilnojamojo turto kadastro naudotojų administravimo taisyklės (toliau – taisyklės) reglamentuoja Nekilnojamojo turto kadastro (toliau – Kadastras) naudotojų ir administratorių įgaliojimus, teises, pareigas, prieigos prie elektroninės informacijos principus, saugaus elektroninės informacijos teikimo Kadastro naudotojams tvarką, organizacinius ir techninius kibernetinio saugumo reikalavimus prieigai valdyti ir kontroliuoti.

3. Taisyklės taikomos Kadastro naudotojams, administratoriams, saugos įgaliotiniui ir kibernetinio saugumo vadovui.

4. Prieigos prie elektroninės informacijos principai:

4.1. Kadastro naudotojų ir administratorių prieiga prie elektroninės informacijos grindžiama būtinumo žinoti principu. Šis principas reiškia, kad Kadastro naudotojams ir administratoriams prieiga suteikiama tik prie tos elektroninės informacijos, kuri reikalinga vykdant tiesioginę jų veiklą. Tvarkyti elektroninę informaciją gali tik tie Kadastro naudotojai ir administratoriai, kuriems taisyklių III skyriuje nustatyta tvarka suteiktos prieigos prie elektroninės informacijos teisės ir priemonės (identifikavimo priemonės, slaptažodžiai ar kitos tapatybės nustatymo priemonės ir pan.);

4.2. Kadastro naudotojų ir administratorių prieigos prie elektroninės informacijos lygmuo grindžiamas mažiausios privilegijos principu. Šis principas reiškia, kad turi būti suteikiamos tik minimalios Kadastro naudotojų ir administratorių tiesioginei veiklai vykdyti reikalingos prieigos teisės bei organizacinėmis ir techninėmis priemonėmis užtikrinama minimalių prieigos teisių naudojimo kontrolė (pvz., privilegijuotos prieigos teisės neturi būti naudojamos veiklai, kuriai atlikti pakanka žemesnio lygio prieigos teisių, ir pan.);

4.3. pareigų atskyrimo principas. Šis principas reiškia, kad Kadastro naudotojui, administratoriui ar jų grupei negali būti pavesta atlikti ar kontroliuoti visų pagrindinių elektroninės informacijos tvarkymo ar Kadastro priežiūros funkcijų (pvz., elektroninės informacijos registro teikėjui gali būti suteikta teisė įrašyti duomenis ir informaciją, tačiau negali būti suteikta teisė priimti sprendimo dėl jų registravimo (registro objekto registravimo), Kadastro naudotojams negali būti suteikiamos administratoriaus teisės, Kadastro priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą administratoriaus paskyrą, kuria naudojantis negalima atlikti kasdienių Kadastro naudotojo funkcijų, Kadastro kūrimo, modernizavimo funkcijos turi būti atskirtos nuo Kadastro priežiūros funkcijų ir pan.).

II SKYRIUS

Kadastro naudotojų IR administratorių

įgaliojimai, teisės ir pareigos

5. Kadastro naudotojų ir administratorių įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją ir prieigos prie elektroninės informacijos lygiai nustatomi pagal Kadastro valdytojo tvirtinamus Kadastro nuostatus, elektroninės informacijos teikimo sutartis, vidinių Kadastro naudotojų ir administratorių pareiginius nuostatus bei kitus teisės aktus, reglamentuojančius Kadastro veiklą ir Kadastro elektroninės informacijos teikimą.

6. Kadastro naudotojai ir administratoriai privalo rūpintis Kadastro ir jame tvarkomos elektroninės informacijos sauga (kibernetiniu saugumu), tvarkyti elektroninę informaciją vadovaudamiesi Kadastro veiklą reglamentuojančiais teisės aktais, pareiginiais nuostatais ir elektroninės informacijos teikimo sutartyse nustatytais reikalavimais, savo veiksmais nepažeisti elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo.

7. Kadastro naudotojai ir administratoriai turi teisę naudotis tik tais Kadastro ištekliais, prie kurių jiems prieigos teises suteikė Kadastro naudotojų administratoriai taisyklių III skyriuje nustatyta tvarka.

8. Kadastro naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos (kibernetinio saugumo) užtikrinimo priemones, privalo nedelsdami kreiptis į paslaugų tarnybą VĮ Registrų centro interneto (išoriniams Kadastro naudotojams) ar intraneto (vidiniams Kadastro naudotojams) svetainėse nurodytais kontaktais.

9. Jeigu saugos įgaliotinis ar kibernetinio saugumo vadovas nebuvo informuotas apie taisyklių 8 punkte nurodytus pažeidimus, apie tai juos informuoja VĮ Registrų centro Informacinių technologijų pagalbos tarnyba. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią Kadastro saugą (kibernetinį saugumą), saugos įgaliotinis ar kibernetinio saugumo vadovas apie tai turi pranešti Kadastro valdytojo vadovui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, elektroninės informacijos saugos (kibernetinius) incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos (kibernetiniais) incidentais.

10. Administratorių prieigos prie Kadastro lygiai ir juose taikomi saugos reikalavimai:

10.1. administratoriai Kadastrą ir jo komponentus gali pasiekti naudodamiesi tiesiogine, vietinio tinklo arba nuotoline prieiga. Administratorių prieiga ir jos lygiai kontroliuojami per fizinius (įeigos kontrolės sistemos, barjerai ir kt.) ir loginius (užkardos, domeno valdikliai ir kt.) prieigos taškus. Kontrolės priemonės turi būti taikomos visuose Kadastro sandaros sluoksniuose (tinklas, platformos ar operacinės sistemos, duomenų bazės ir taikomųjų programų sistemos);

10.2. administratoriams prieiga prie Kadastro komponentų, elektroninės informacijos ir teisė atlikti elektroninės informacijos tvarkymo veiksmus (elektroninės informacijos skaitymas, kūrimas, atnaujinimas, šalinimas, Kadastro naudotojų informacijos, prieigos teisių redagavimas ir pan.) suteikiama pagal Kadastro duomenų saugos nuostatuose nustatytas Kadastro administratorių grupes, remiantis taisyklių 4 punkte nustatytais prieigos prie elektroninės informacijos principais;

10.3. koordinuojančiam administratoriui pagal kompetenciją gali būti suteikta prieiga prie visų Kadastro komponentų ir jų sąrankos;

10.4. Kadastro naudotojų administratoriams suteikiama prieiga prie vidinių ir išorinių Kadastro naudotojų prieigos teisių valdymo sistemų;

10.5. Kadastro komponentų administratoriams pagal kompetenciją suteikiama prieiga prie kompiuterių, operacinių sistemų, duomenų bazių ir jų valdymo sistemų, taikomųjų programų sistemų, užkardų, įsilaužimų aptikimo ir prevencijos sistemų, elektroninės informacijos perdavimo tinklų, duomenų saugyklų, bylų serverių ir kitos techninės ir programinės įrangos bei jų sąrankos;

10.6. saugos administratoriams suteikiama prieiga prie Kadastro pažeidžiamumų skenavimo, Kadastro stebėsenos ir saugos atitikties nustatymo ir įvertinimo, saugos informacijos ir įvykių stebėjimo, apsaugos nuo elektroninės informacijos nutekinimo priemonių ir kitų priemonių, kuriomis atliekamas Kadastro pažeidžiamų vietų nustatymas, saugumo reikalavimų atitikties nustatymas ir stebėsena.

III skyrius

SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO Kadastro NAUDOTOJAMS KONTROLĖS TVARKA

11. Už Kadastro naudotojų ir administratorių registravimą ir išregistravimą atsakingi Kadastro naudotojų administratoriai. Už taisyklių 13 punkte nurodytos informacijos, reikalingos Kadastro naudotojų ir administratorių registravimo ir išregistravimo veiksmams atlikti, pateikimą Kadastro naudotojų administratoriams atsakingi Kadastro naudotojų ir administratorių tiesioginiai vadovai.

12. Kadastro naudotojai ir administratoriai registruojami arba išregistruojami Kadastro posistemiuose ir komponentuose suteikiant jiems prieigos prie Kadastro teises arba jas panaikinant.

13. Vidinių Kadastro naudotojų ir administratorių registravimo ir išregistravimo tvarka:

13.1. vidinių Kadastro naudotojų administratorius prieigos teises suteikia arba pakeičia gavęs vidinio Kadastro naudotojo ar administratoriaus tiesioginio vadovo rašytinį prašymą, suderintą su Kadastro tvarkytojo vadovo įsakymu paskirtu konkrečios informacinės sistemos elektroninės informacijos savininku. Administratorius prieigos teises turi suteikti arba pakeisti ne vėliau kaip per 1 darbo dieną nuo rašytinio prašymo gavimo arba ne vėliau kaip iki prašyme nurodyto termino pabaigos, jei terminas nurodomas. Prašyme turi būti patvirtinama, kad vidinis Kadastro naudotojas ar administratorius yra pasirašęs pasižadėjimą saugoti duomenų ir informacijos paslaptį ir pasirašytinai susipažinęs su saugos dokumentais ar jų santrauka ir sutikęs laikytis jų reikalavimų;

13.2. teisė tvarkyti elektroninę informaciją gali būti suteikiama tik įsitikinus, kad vidinis Kadastro naudotojas arba administratorius yra pasirašęs pasižadėjimą saugoti duomenų ir informacijos paslaptį ir pasirašytinai susipažinęs su saugos dokumentais ar jų santrauka ir sutikęs laikytis jų reikalavimų. Vidinių Kadastro naudotojų pasižadėjimai saugoti duomenų ir informacijos paslaptį, dokumentai, įrodantys susipažinimą su saugos dokumentais ar jų santrauka (jeigu, atsižvelgiant į Kadastro specifiką, vidiniai Kadastro naudotojai ir administratoriai su saugos dokumentais ar jų santrauka supažindinami ne elektroniniu būdu), saugomi už personalo valdymą atsakinguose Kadastro valdytojo ir tvarkytojo struktūriniuose padaliniuose;

13.3. administratorius prieigos teises sustabdo nedelsdamas, gavęs vidinio Kadastro naudotojo ar administratoriaus tiesioginio vadovo elektroniniu paštu pateiktą informaciją apie tai, kad teisės aktų nustatytais atvejais vidinis Kadastro naudotojas ar administratorius nušalinamas nuo darbo (pareigų), neatitinka teisės aktuose nustatytų Kadastro naudotojo ar administratoriaus kvalifikacinių reikalavimų, yra nėštumo ir gimdymo, tėvystės ar vaiko priežiūros atostogose;

13.4. administratorius prieigos teises panaikina, gavęs vidinio Kadastro naudotojo ar administratoriaus tiesioginio vadovo elektroniniu paštu pateiktą informaciją apie vidinio Kadastro naudotojo ar administratoriaus darbo (tarnybos) santykių pasibaigimą. Kadastro naudotojų administratorius prieigos teises turi panaikinti paskutinę Kadastro naudotojo ar administratoriaus tarnybos (darbo) dieną, tačiau ne vėliau kaip iki darbo (tarnybos) dienos pabaigos. Priverstinio darbo (tarnybos) santykių nutraukimo atveju ir kitais atvejais, kai yra rizika, kad Kadastro naudotojas ar administratorius gali atlikti tyčinius veiksmus (pakeisti ar sunaikinti elektroninę informaciją, sutrikdyti elektroninės informacijos perdavimą informacinių technologijų duomenų perdavimo tinklais, pažeisti Kadastro saugumą, įvykdyti vagystę ir kt.), prieigos teisės turi būti panaikintos prieš Kadastro naudotojui ar administratoriui pateikiant informaciją apie darbo (tarnybos) santykių pabaigą;

13.5. tiesioginiai vidinių Kadastro naudotojų ir administratorių vadovai ne rečiau kaip kartą per metus arba keičiantis vidinio Kadastro naudotojo ar administratoriaus funkcijoms turi peržiūrėti šiems darbuotojams suteiktas teises, įvertinti jų atitiktį vykdomoms funkcijoms ir parengti rašytinį prašymą dėl prieigos teisių vidiniam Kadastro naudotojui ar administratoriui pakeitimo, jeigu suteiktos prieigos teisės neatitinka vykdomų funkcijų.

14. Išorinių Kadastro naudotojų registravimo ir išregistravimo tvarka:

14.1. Kadastro naudotojų administratorius prieigos teises suteikia arba pakeičia gavęs elektroninės informacijos teikimo (keitimosi) sutartį arba jos priedą, kuriame nurodyti Kadastro naudotojų vardai, pavardės, pareigos, prieigos teisės ir kita Kadastro naudotojui įregistruoti būtina informacija. Kadastro naudotojų administratorius prieigos teises turi suteikti arba pakeisti elektroninės informacijos teikimo (keitimosi) sutartyje nustatytais terminais;

14.2. Kadastro naudotojų administratorius prieigos teises sustabdo šiais atvejais:

14.2.1. gavęs rašytinį išorinio Kadastro naudotojo prašymą sustabdyti prieigos teises arba dokumentą, kuriuo sustabdomi išorinio Kadastro naudotojo įgaliojimai. Kadastro naudotojų administratorius sustabdo arba atnaujina prieigos teises prašymo arba dokumento, kuriuo sustabdomi (atnaujinami) išorinio Kadastro naudotojo įgaliojimai, gavimo dieną arba rašytiniame prašyme nurodytu terminu;

14.2.2. kilus įtarimui, kad išorinis Kadastro naudotojas suteikė tretiesiems asmenims galimybę naudotis prisijungimo duomenimis. Prieigos teisių sustabdymas turi būti panaikintas tyrimo metu nenustačius išorinio Kadastro naudotojo neteisėtos veikos požymių;

14.2.3. kitais elektroninės informacijos teikimo (keitimosi) sutartyje nustatytais atvejais, kai prieiga prie elektroninės informacijos turi būti sustabdoma;

14.3. administratorius prieigos teises panaikina šiais atvejais:

14.3.1. gavęs Kadastro tvarkytojo struktūrinio padalinio, atsakingo už konkrečios informacinės sistemos elektroninės informacijos teikimo (keitimosi) sutarčių administravimą, elektroniniu paštu pateiktą pranešimą apie elektroninės informacijos teikimo (keitimosi) sutarties galiojimo pabaigą arba elektroninės informacijos teikimo sutartį sudariusio asmens įgaliojimų pasibaigimą;

14.3.2. gavęs elektroninės informacijos teikimo sutartį sudariusio asmens prašymą panaikinti prieigos teises. Elektroninės informacijos teikimo sutartį sudaręs asmuo privalo informuoti Kadastro tvarkytoją, kai įstatymų nustatytais atvejais išorinis Kadastro naudotojas nušalinamas nuo darbo (pareigų), neatitinka kituose teisės aktuose nustatytų išorinio Kadastro naudotojo kvalifikacinių reikalavimų, taip pat kai pasibaigia jo darbo (tarnybos) santykiai ar jis praranda patikimumą. Administratorius prieigos teises turi panaikinti nedelsdamas;

14.3.3. kitais elektroninės informacijos teikimo (keitimosi) sutartyje nustatytais atvejais, kai prieiga prie elektroninės informacijos turi būti panaikinama.

15. Kadastro naudotojų ir administratorių paskyrų kontrolės priemonės:

15.1. paskyrų galiojimas turi būti laikinai sustabdomas, kai vidinis Kadastro naudotojas nesinaudoja informacinėmis sistemomis ilgiau kaip 90 dienų (administratorius ilgiau kaip 60 dienų), jeigu Kadastro dalys turi tokią funkciją;

15.2. turi būti patvirtinti asmenų, kuriems suteiktos administratoriaus teisės prisijungti prie Kadastro, sąrašai, periodiškai peržiūrimi saugos įgaliotinio arba kibernetinio saugumo vadovo. Sąrašas turi būti nedelsiant peržiūrėtas, kai įstatymų nustatytais atvejais administratorius nušalinamas nuo darbo (pareigų);

15.3. turi būti naudojamos Kadastro naudotojų paskyrų kontrolės priemonės ir automatizuotos administratorių paskyrų kontrolės priemonės, kurios atliktų paskyrų patikrinimą ir apie nepatvirtintas Kadastro naudotojų ir administratorių paskyras praneštų saugos įgaliotiniui arba kibernetinio saugumo vadovui. Apie nepatvirtintas administratorių paskyras turi būti pranešama nedelsiant;

15.4. nereikalingos ar nenaudojamos Kadastro naudotojų ir administratorių paskyros turi būti blokuojamos nedelsiant ir pašalinamos praėjus audito duomenų saugojimo terminui, nustatytam Kadastro saugaus elektroninės informacijos tvarkymo taisyklėse, arba elektroninės informacijos teikimo sutartyje nustatytam išorinių Kadastro naudotojų paskyrų saugojimo terminui.

16. Kiekvienas Kadastro naudotojas ir administratorius informacinėse sistemose turi būti unikaliai identifikuojamas. Asmens kodas, numatytasis prisijungimo vardas (pvz., user, administrator, admin ir pan.) negali būti naudojami kaip Kadastro naudotojo ar administratoriaus identifikatoriai. Kadastro naudotojo ir administratoriaus identifikacija turi būti pagrįsta naudotojo vardu, naudotojo kodu arba kita identifikacijos priemone, vienareikšmiškai leidžiančia identifikuoti Kadastro naudotoją ar administratorių.

17. Sudarant Kadastro naudotojo ar administratoriaus identifikatorių didžiosios ir mažosios raidės neturi būti skiriamos.

18. Kadastro naudotojas ir administratorius turi patvirtinti savo tapatybę slaptažodžiu, slaptažodžiais arba kitomis priemonėmis (jeigu naudojamos ir (ar) taikomos dviejų veiksnių tapatumo patvirtinimo priemonės). Administratorių tapatumui patvirtinti turi būti naudojamos dviejų veiksnių tapatumo patvirtinimo priemonės, jeigu Kadastro dalys turi tokią funkciją.

19. Kadastro naudotojų ir administratorių slaptažodžių, jų sudarymo, galiojimo trukmės ir keitimo bendrieji reikalavimai:

19.1. slaptažodis turi būti sudarytas iš raidžių, skaičių ir specialiųjų simbolių;

19.2. slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija (pvz., vardas, pavardė, gimimo data, šeimos narių vardai, prisijungimo vardas, gyvenamosios vietos adresas ar jo sudedamosios dalys, telefono numeris ir kt.);

19.3. draudžiama slaptažodžius atskleisti tretiesiems asmenims;

19.4. kilus įtarimui dėl slaptažodžio konfidencialumo pažeidimo, slaptažodis turi būti nedelsiant pakeistas;

19.5. Kadastro dalys, atliekančios nuotolinio prisijungimo tapatybės nustatymą, turi neleisti automatiškai išsaugoti slaptažodžių;

19.6. didžiausias leistinas mėginimų įvesti teisingą slaptažodį skaičius pirmosios kategorijos informacinėse sistemose turi būti ne didesnis nei 3 kartai (antrosios kategorijos informacinėse sistemose – 5 kartai). Viršijus leistiną mėginimų įvesti teisingą slaptažodį skaičių, informacinės sistemos turi užsirakinti ir neleisti prisijungti prie paskyros ne trumpiau nei 15 minučių. Apie Kadastro naudotojų paskyrų užsirakinimą automatiškai turi būti informuojamas administratorius, jeigu Kadastro dalys turi tokią funkciją. Kadastro naudotojo ar administratoriaus prašymu Kadastro naudotojų administratorius gali leisti identifikuotis informacinėje sistemoje per trumpesnį laiką tik prieš tai patikrinęs Kadastro naudotojo ar administratoriaus tapatybę (tikrinamas vardas, pavardė, naudotojo vardas ar kodas ir kiti Kadastro naudotojo ar administratoriaus duomenys);

19.7. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais;

19.8. saugos įgaliotinio ar kibernetinio saugumo vadovo sprendimu laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo naudotojo vardo ar identifikavimo kodo, jei Kadastro naudotojas ar administratorius neturi galimybių iššifruoti gauto užšifruoto slaptažodžio arba nėra techninių galimybių Kadastro naudotojui ar administratoriui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu.

20. Papildomi reikalavimai Kadastro naudotojų slaptažodžiams:

20.1. slaptažodį turi sudaryti ne mažiau kaip 8 simboliai;

20.2. slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius;

20.3. keičiant slaptažodį informacinės sistemos neturi leisti sudaryti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;

20.4. pirmojo prisijungimo prie Kadastro metu informacinės sistemos turi automatiškai inicijuoti laikino slaptažodžio pakeitimą.

21. Papildomi administratorių slaptažodžių reikalavimai:

21.1. slaptažodį turi sudaryti ne mažiau kaip 12 simbolių;

21.2. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

21.3. keičiant slaptažodį informacinės sistemos neturi leisti sudaryti slaptažodžio iš buvusių 3 paskutinių slaptažodžių;

21.4. draudžiama Kadastro techninėje ir programinėje įrangoje naudoti gamintojo nustatytus slaptažodžius, jie turi būti pakeisti ir atitikti administratorių slaptažodžiams taikomus reikalavimus.

22. Nuotolinis Kadastro naudotojų prisijungimas prie Kadastro turi būti vykdomas naudojant patikimus elektroninės informacijos šifravimo protokolus.

______________________