TELŠIŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOS

DIREKTORIUS

 

 

ĮSAKYMAS

DĖL TIEKIMO GRANDINĖS SAUGUMO VALDYMO TVARKOS APRAŠO PATVIRTINIMO

 

 2026 m. liepos 2 d. Nr. A1-977  

Telšiai 

 

 

Vadovaudamasi Lietuvos Respublikos vietos savivaldos įstatymo 34 straipsnio 6 dalies 2 punktu, bei Nacionalinio kibernetinių incidentų valdymo plano, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 1 punktu:

1. T v i r t i n u Tiekimo grandinės saugumo valdymo tvarkos aprašą (pridedama).

 

 

Administracijos direktorė                                                                                           Lina Leinartienė

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Parengė    

 

Genovaitė Latakienė

2026-06-10

 

PATVIRTINTA

Telšių rajono savivaldybės administracijos direktoriaus

2026 m. liepos 2 d. įsakymu Nr. A1-977

 

TIEKIMO GRANDINĖS SAUGUMO VALDYMO TVARKOS APRAŠAS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Tiekimo grandinės saugumo valdymo tvarkos aprašas (toliau – Aprašas) reglamentuoja Telšių rajono savivaldybės administracijos (toliau – Administracija) trečiųjų šalių teikiamoms paslaugoms ir (ar) produktams (įrangai), susijusiems su tinklų ir informacinių sistemų projektavimu, kūrimu, diegimu, naudojimu, priežiūra ir modernizavimu ir (ar) kibernetinio saugumo užtikrinimu, kibernetinio saugumo, kokybės ir prieigos kontrolės reikalavimus.

2. Aprašas taikomas, kai Administracija bendradarbiauja (pvz., vykdo bendrus projektus, sudaro sutartis, vykdo paslaugų ir (ar) produktų pirkimą) arba planuoja bendradarbiauti su trečiąja šalimi, kurios paslaugos ir (ar) produktai, tiesiogiai ar netiesiogiai susiję su tinklų ir informacinių sistemų projektavimu, kūrimu, diegimu, naudojimu, priežiūra, naujinimu ar kibernetinio saugumo užtikrinimu, siekiant mažinti galimas kilti organizacijos tinklų ir informacinių sistemų kibernetinio saugumo rizikas.

3. Apraše vartojamos sąvokos:

3.1„Būtina žinoti“ – minimalus informacijos kiekis, kurį būtina žinoti prekėms pateikti, darbui atlikti ar paslaugai suteikti;

3.2Darbuotojas - pareigas einantis valstybės tarnautojas arba pagal darbo sutartį dirbantis asmuo;

3.3Kibernetinio saugumo vadovas – Administracijos darbuotojas atsakingas už kibernetinio saugumo subjekto  atitikties Kibernetinio saugumo įstatymo 14 ir 18 straipsniuose nustatytiems reikalavimams įgyvendinimą ir  atliekantis kitas kibernetinį saugumą  reglamentuojančiuose teisės aktuose nustatytas funkcijas arba iš trečiųjų šalių įsigytos paslaugos, kurių teikimo metu vykdomos kibernetinio saugumo vadovo funkcijos;

3.4Privalomas paslaugų teikimo lygis (angl. Service Level Agreement) (toliau – SLA) – sutartinis susitarimas tarp trečiosios šalies ir Administracijos, kuriame nustatomi konkretūs paslaugų teikimo kokybės, prieinamumo, reagavimo į incidentus, problemų sprendimo ir kiti su paslaugų teikimu susiję rodikliai;

3.5Sutartis – tarp Administracijos ir trečiosios šalies pasirašyta tinklų ir informacinių sistemų valdymo ir (ar) kibernetinio saugumo užtikrinimo paslaugų ir (ar) produktų pirkimo sutartis;

3.6Tinklų ir informacinė sistema (toliau – TIS) – elektroninių ryšių tinklas, bet koks prietaisas arba tarpusavyje sujungtų arba susijusių prietaisų, iš kurių vienas ar daugiau pagal programą automatiškai apdoroja skaitmeninius duomenis, grupė arba skaitmeniniai duomenys, saugomi, tvarkomi, atkuriami arba perduodami nurodytomis priemonėmis jų valdymo, naudojimo, apsaugos ir priežiūros tikslais;

3.7Trečioji šalis tai išorinė organizacija, asmuo ar subjektas, kuris teikia Administracijai TIS ir kibernetinio saugumo valdymo paslaugas, produktus ar vykdo veiklą, susijusią su organizacijos tinklais, informacinėmis sistemomis ar duomenimis pagal sudarytą sutartį.

4. Kitos šiame Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžiamos Kibernetinio saugumo įstatyme.

 

II SKYRIUS

TREČIŲJŲ ŠALIŲ ATITIKTIES VALDYMAS

 

5.    Kibernetinio saugumo reikalavimai nustatomi vadovaujantis šiuo Aprašu ir aktualiais teisės aktais, reglamentuojančiais kibernetinį saugumą:

5.1Kibernetinio saugumo įstatymu;

5.2Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Nutarimas Nr. 818);

5.3Kitais teisės aktais, reglamentuojančiais kibernetinį saugumą ar visuotinai pripažintais gerosios praktikos standartais.

6.    Trečioji šalis privalo atitikti šiame Apraše ir kituose aktuose nustatytus reikalavimus, kurie perkeliami į sutartis ir viešojo pirkimo dokumentus.

 

III SKYRIUS

KOKYBĖS REIKALAVIMAI TREČIŲJŲ ŠALIŲ TEIKIAMOMS PASLAUGOMS IR (AR) PRODUKTAMS

 

7.    Administracijos darbuotojai, atsakingi už trečiųjų šalių paslaugų ir (ar) produktų įsigijimo inicijavimą, rengdami technines specifikacijas, užduoties aprašymus ar kitus dokumentus, turi nustatyti detalius įsigyjamų TIS valdymo ir (ar) kibernetinio saugumo užtikrinimo paslaugų ir (ar) produktų reikalavimus, kokybės vertinimo kriterijus bei SLA, tačiau neapsiribojant reagavimo į problemas ir problemų spendimo laikais. Kokybės vertinimo kriterijai padeda įvertinti, ar paslaugos ir (ar) produktai atitinka lūkesčius ir sutartus standartus:

- atitiktis techninei specifikacijai;

- atitiktis saugumo reikalavimams;

- dokumentacijos išsamumas ir kokybė;

- sertifikavimo atitikimas, pvz., paslaugos teikėjas turi būti sertifikuotas pagal ISO/IEC 27001.

SLA nusako, kokiu lygiu turi būti teikiamos paslaugos – reagavimo laikai, prieinamumas, pagalbos valandos ir kt:

- paslaugos prieinamumas (angl. Availability), pvz., ne mažiau kaip 99,9 % per kalendorinį mėnesį (leidžiama iki ~43 min. prastovų per mėn.);

- reagavimo į incidentus laikas (angl. Response Time): 1 prioritetas (kritinis) – ne ilgiau kaip 1 val., 2 prioritetas (vidutinis) – ne ilgiau kaip 4 val. ir 3 prioritetas (žemas) – ne ilgiau kaip 1 darbo diena;

- sprendimo laikas (angl. Resolution Time): – didelis incidentas – per 4 val. ir nedidelis incidentas – per 1 darbo dieną;

- pagalbos tarnybos darbo laikas, pvz., darbo dienomis nuo 8:00 iki 18:00, kritiniais atvejais – 24/7;

- duomenų atsarginių kopijų dažnis (angl. Backup frequency), pvz., ne rečiau kaip 1 kartą per 24 val.;

- ataskaitų teikimo dažnumas, pvz., mėnesinės ataskaitos apie paslaugos veikimą, incidentus ir SLA laikymąsi.

8.    Su trečiosiomis šalimis sudarant TIS valdymo ir (ar) kibernetinio saugumo užtikrinimo paslaugų ir (ar) produktų sutartis, į jas turi būti perkelti visi įsigyjamų paslaugų ir (ar) produktų kokybės vertinimo kriterijai ir SLA, o organizacijos  darbuotojai, atsakingi už sutarties su trečiosiomis šalimis įgyvendinimą, šiame Apraše numatyta tvarka turi užtikrinti įsigyjamų paslaugų ir (ar) produktų kokybės vertinimo atitiktį kriterijams ir SLA stebėjimą bei fiksavimą.

9.    Trečiosios šalies fizinė apsauga užtikrinama vadovaujantis fizinės apsaugos reikalavimais pagal Kibernetinio saugumo reikalavimų aprašą, patvirtintą Nutarimu Nr. 818 (toliau – Kibernetinio saugumo reikalavimo aprašas). Privaloma užtikrinti ne žemesnį fizinės apsaugos lygį nei nurodyta Fizinės apsaugos tvarkos apraše.

10. Trečioji šalis įsipareigoja saugoti organizacijos konfidencialią informaciją pasirašydama konfidencialumo ir duomenų neatskleidimo įsipareigojimus.

11. Kibernetinio saugumo vadovas priklausomai nuo įsigyjamos paslaugos ir (ar) produktų turi teisę įsitikinti trečiosios šalies darbuotojų kvalifikacija prašydamas pateikti atitinkamus kvalifikaciją patvirtinančius įrodymus leidžiančius dirbti su  TIS.

12. Trečioji šalis, ne rečiau kaip kartą per metus, privalo organizuoti darbuotojų kibernetinio saugumo mokymus.

13. Administracija turi nustatyti trečiajai šaliai keliamus kvalifikacijos ir pajėgumų reikalavimus, įskaitant, tačiau neapsiribojant personalui reikalingais įgūdžiais, mokymais, sertifikatais, kvalifikacija, bei prašyti pateikti jų atitiktį pagrindžiančius dokumentus, pvz., įmonės sertifikatus, ekspertų gyvenimo aprašymus ir sertifikatus ir pan.). Šie reikalavimai turi būti aiškiai apibrėžti techninėje specifikacijoje, reikalavimų sąvade ar kituose pirkimo dokumentuose. Trečiajai šaliai galima numatyti reikalavimus, susijusius su teikiamomis paslaugomis ir (ar) produktais pvz.:

- organizacijai, teikiančiai kibernetinio saugumo paslaugas gali būti keliamas reikalavimas turėti Informacijos saugumo valdymo sistemą, atitinkančią standarto ISO/IEC ISO 27001 (aktuali versija) reikalavimus ir pateikti galiojantį ISO/IEC ISO 27001 (aktuali versija) sertifikatą;

- organizacijai teikiančiai IT valdymo paslaugas gali būti keliamas reikalavimus turėti Informacinių technologijų paslaugų valdymo sistemą, atitinkančią standarto ISO 20000-1 (aktuali versija) ir pateikti galiojantį ISO 20000-1 (aktuali versija) sertifikatą;

- organizacijai gali būti keliamas reikalavimas per pastaruosius 3 (tris) metus turi būti įgyvendinus sutartį dėl analoginių paslaugų ar produktų tiekimo. Prie trečiajai šaliai keliamų kvalifikacijos ir pajėgumų reikalavimų galima numatyti reikalavimus siūlomiems ekspertams, pvz. siūlomas projekto vadovas turi turėti projekto vadovo sertifikatą ir (ar) per pastaruosius 3 (tris) metus būti vadovavęs projektui (sutarčiai), kurios įgyvendinimo metu buvo suteiktos analogiškos paslaugos ar produktai.

14. Administracija turi užtikrinti, kad prieš paslaugų ir (ar) produktų įsigijimą trečiajai šaliai būtų aiškiai apibrėžti taikytini kibernetinio saugumo reikalavimai.

14.1.   trečiosios šalies prieiga prie TIS suteikiama tik sutartyje nurodytai paslaugai įgyvendinti, tiksliai apibrėžtam laikotarpiui.

14.2.   trečiosios šalies galimi, pagrįsti nukrypimai nuo reikalavimų turi būti aiškiai įvardinti ir dokumentuoti.

14.3.   trečioji šalis užtikrins:

14.3.1.    žurnalinių įrašų rinkimą, saugojimą ir prieinamumą;

14.3.2.    prieigos valdymo kontrolę ar audito vykdymo galimybes;

14.3.3.    įsipareigojimus dėl programinės įrangos atnaujinimų vykdymo.

15.    Trečioji šalis turi iš anksto pranešti apie bet kokį esminį paslaugų teikimo pakeitimą, įskaitant TIS pakeitimus (pvz., perkėlimas, techninės ar programinės įrangos pakeitimas ir perkonfigūravimas), kurie turi įtakos paslaugų teikimo sutarčiai, informacijos apdorojimui arba saugojimui naujoje geografinėje ar teisinėje jurisdikcijoje, sprendimui naudotis naujų subrangovų paslaugomis (įskaitant esamų subrangovų keitimą).

 

IV SKYRIUS

TREČIŲJŲ ŠALIŲ TINKLŲ IR INFORMACINIŲ SISTEMŲ KIBERNETINIO SAUGUMO RIZIKOS VALDYMAS

 

16.    Trečioji šalis, vadovaujantis Kibernetinio saugumo reikalavimo aprašo reikalavimais ne rečiau kaip kartą per metus arba įvykus esminiams organizaciniams ar kitiems reikšmingiems pokyčiams, taip pat įvykus dideliam kibernetiniam incidentui, nustatomam pagal Kibernetinių incidentų valdymo planą, turi atlikti TIS kibernetinio saugumo rizikos vertinimą.

17.    Administracijos prašymu trečioji šalis turi neatlygintinai sudaryti sąlygas  kibernetinio saugumo vadovui ar saugos įgaliotiniui atlikti TIS kibernetinio saugumo rizikos vertinimą ar kitus kibernetinio saugumo patikrinimo veiksmus potencialių pažeidžiamumų nustatymui.

18.    Trečioji šalis neatlygintinai turi pateikti duomenis, kurie reikalingi įsitikinti, jog trečioji šalis atitinka ir laikosi sutartyje, kibernetinį saugumą ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose ir visuotinai pripažintuose gerosios praktikos standartuose nustatytų reikalavimų.

 

V SKYRIUS

PRIEIGŲ VALDYMAS

 

19.    Trečiųjų šalių prieigos yra valdomos vadovaujantis Prieigų valdymo tvarkos aprašu, papildomai įgyvendinant šiame Apraše toliau numatytus reikalavimus.

20.    Trečioji šalis gali gauti prieigas prie TIS tik pasirašę sutartį ir konfidencialumo, duomenų neatskleidimo įsipareigojimus su organizacija, įskaitant abiejų šalių atsakomybes dėl organizacijos informacijos saugumo reikalavimų įgyvendinimo užtikrinimo bei baudų už įsipareigojimų nevykdymą.

21.    Prieigos suteikimo faktas turi būti aprašytas sutartyje nurodant kaip identifikuojami asmenys, kurie turės prieigą, prieigos naudotojų teisės, suteikiamos prieigos laikotarpis ir prieigos aktyvumo periodas (pvz., darbo valandas).

22.    Suteikus trečiajai šaliai galimybę dirbti kompiuterinėje darbo vietoje priklausančioje trečiajai šaliai, bei suteikiant nuotolinę prieigą prie  TIS, privaloma:

22.1.   kompiuterinę darbo vietą sukonfigūruoti taip, jog prisijungti prie  TIS būtų galima tik naudojant VPN (angl. Virtual Private Network) arba alternatyvią, didesnį ar tą patį saugumą užtikrinančią technologiją;

22.2.   įsitikinti, kad TIS iš kurios jungiamasi per nuotolį yra saugi (atnaujinta operacinė sistema ir kita programinė įranga, įdiegta, aktyvuota ir nuolatos atnaujinama antivirusinė programinė įranga, įjungta ir sukonfigūruota ugniasienė ir t. t.);

22.3.   užtikrinti nuolatinę prieigos teisių kontrolę;

22.4.   vykdyti nuolatinį veiksmų stebėjimą ir kontrolę arba rinkti ir ne trumpiau kaip 6 mėnesius saugoti žurnalinius įrašus apie atliktus veiksmus, užtikrinant jų vientisumą, konfidencialumą ir prieinamumą pagal pareikalavimą;

22.5.   užtikrinti organizacijos viešai neskelbtinos informacijos apsaugą organizacinėmis ir techninėmis priemonėmis;

22.6.   užtikrinti, kad nuotolinio prisijungimo ryšys būtų kontroliuojamas ir sutaptų su iš anksto tarpusavyje suderintais keliamais tikslais;

22.7.   užtikrinti, kad prisijungimas per nuotolinį ryšį ir nuotolinės prieigos suteikimas vyktų vadovaujantis principu „būtina žinoti“ bei turėtų sutartą galiojimo terminą, kuris būtų nurodytas sutartyje;

22.8.   kiekvienam vartotojui turi būti sukurtas individualus prisijungimo identifikatorius;

22.9.   prisijungdama nuotoline prieiga prie TIS trečioji šalis privalo patvirtinti savo tapatybę slaptažodžiu ir papildoma tapatumo nustatymo priemone (kelių veiksnių tapatumo nustatymo priemonės, angl. Multi-factor authentication);

22.10.   prisijungimo slaptažodis trečiajai šaliai privalo būti perduotas atskirai nuo naudotojo prisijungimo identifikatoriaus, naudojant saugius ryšio kanalus.

23.    Bet kokia nuotolinė prieiga neatitinkanti šiame skyriuje aprašytų reikalavimų prie TIS yra draudžiama.

24.    Pasibaigus sutarties terminui ar pilnai suteikus paslaugas prieš sutarties pasibaigimo terminą, trečiųjų šalių prieigos prie TIS turi būti nedelsiant sustabdytos ir (ar) panaikintos.

 

VI SKYRIUS

SUTARČIŲ SUDARYMO REIKALAVIMAI

 

25.    Organizacijos darbuotojai, įgyvendindami organizacijos sutarčių sudarymo ir trečiųjų šalių valdymo procesus, privalo užtikrinti, kad perkant TIS ar kibernetinio saugumo valdymo paslaugas ir (ar) produktus būtų derinamos sutarties sąlygos su organizacijos kibernetinio saugumo vadovu ar saugos įgaliotiniu, siekiant įtraukti kibernetinio saugumo reikalavimus.

26.    Organizacijos sutartyse su trečiosiomis šalimis (tiekėjais, įskaitant subtiekėjus), kiek tai susiję su teikiamomis paslaugomis ir (ar) produktais, turi numatyti:

26.1.   trečiosios šalies atitiktį Kibernetinio saugumo reikalavimų aprašo reikalavimams;

26.2.   trečiosios šalies personalui reikalingus įgūdžius, mokymus, sertifikatus, kvalifikaciją;

26.3.   trečiosios šalies pareigą ne rečiau kaip kartą per metus arba įvykus esminiams trečiosios šalies organizaciniams ar kitiems reikšmingiems pokyčiams, taip pat įvykus dideliam kibernetiniam incidentui atlikti TIS kibernetinio saugumo rizikos vertinimą (toliau – Rizikos vertinimas), parengti ir organizacijos atsakingiems darbuotojams pateikti rizikos vertinimo ataskaitą ir rizikų valdymo planą;

26.4.   trečiosios šalies pareigą pranešti organizacijai apie visus didelius ir kitus incidentus, susijusius su organizacijos TIS, kai tik trečioji šalis sužino apie incidentą, ir neatlygintinai pateikti organizacijai kibernetinio incidento tyrimo ataskaitą pagal Kibernetinių incidentų valdymo tvarkos aprašą;

26.5.   teisę organizacijai arba jo įgaliotiems paslaugų teikėjams atlikti trečiosios šalies Kibernetinio saugumo reikalavimų aprašo auditą (įskaitant neplaninį) ir trečiosios šalies pareigą neatlygintinai sudaryti sąlygas tokiam auditui atlikti sutarties vykdymo laikotarpiu ar įvykus dideliam incidentui;

26.6.   trečiosios šalies pareigą užtikrinti spragų, keliančių riziką  TIS, valdymą;

26.7.   trečiosios šalies konfidencialumo ir duomenų neatskleidimo įsipareigojimus pagal Turto valdymo tvarkos aprašą;

26.8.   trečiajai šaliai taikomą SLA;

26.9.   apibrėžti trečiosios šalies prieigos (loginės ir fizinės) prie TIS lygius ir sąlygas pagal šio Aprašo V skyrių;

26.10.   numatyti reikalavimus, keliamus trečiosios šalies patalpoms, įrangai, TIS priežiūrai, informacijos perdavimui tinklais;

26.11.   numatyti trečiosios šalies ir organizacijos teises ir pareigas.

27.    Administracija su interneto paslaugos, jei duomenų perdavimo paslauga yra esminė paslaugai teikti, teikėju turi būti sudariusi sutartį (-is), kurioje (-iose) būtų numatyta:

- reagavimas į kibernetinius incidentus įprastomis darbo valandomis;

- reagavimas į kibernetinius incidentus po darbo valandų;

- nepertraukiamas interneto paslaugos teikimas: 24 valandas per parą, 7 dienas per savaitę;

- paslaugos sutrikimų registravimas: 24 valandas per parą, 7 dienas per savaitę;

- apsaugos nuo TIS trikdymo taikymas (angl. Denial of Service, DoS).

 

VII SKYRIUS

TREČIŲJŲ ŠALIŲ SĄRAŠO VALDYMAS

 

28.    Organizacijos darbuotojai, atsakingi už sutarties su trečiosiomis šalimis įgyvendinimą pagal Trečiųjų šalių sąrašo formą (žr. 1 priedą) rengia ir nuolat atnaujina Trečiųjų šalių sąrašą, kuriame pateikia informaciją apie trečiąją šalį, jos teikiamas paslaugas ir (ar) produktus, atsakingus asmenis, apie sutartį ir joje numatytus pagrindinius SLA bei įvykusius incidentus.

29.    Trečiųjų šalių sąrašas turi būti peržiūrimas ir atnaujinamas inicijuojant numatytus IT ir kibernetinio saugumo reikalavimų pakeitimus naujoms sutartims ir pasikeitus sutartims arba kai įvyksta reikšmingi pokyčiai ar reikšmingi incidentai, susiję su trečiosiomis šalimis.

 

VIII SKYRIUS

TREČIŲJŲ ŠALIŲ INCIDENTŲ IR TEIKIAMŲ PASLAUGŲ IR (AR) PRODUKTŲ KOKYBĖS VALDYMAS

 

30.    Organizacijos darbuotojai, atsakingi už sutarties su trečiosiomis šalimis įgyvendinimą, pateiktame Trečiųjų šalių incidentų ir SLA neatitikčių valdymo registre (žr. 2 priedą) turi fiksuoti visus pas trečiąsias šalis įvykusius incidentus ir SLA neatitikimus, susijusius su trečiųjų šalių teikiamomis paslaugomis ir (ar) produktais. Kibernetinio saugumo vadovas ar saugos įgaliotinis privalo pateikti organizacijos darbuotojui, atsakingam už sutarties įgyvendinimą, reikiamą informaciją apie įvykusius trečiųjų šalių incidentus, kurie turėjo įtakos organizacijos naudojamomis trečiųjų šalių teikiamomis paslaugomis ir (ar) produktais.

31.    Organizacijos darbuotojai, atsakingi už sutarties su trečiosiomis šalimis įgyvendinimą, turi vertinti trečiųjų šalių incidentų ir SLA neatitikčių valdymo registre užfiksuotus trečiųjų šalių SLA neatitikimus, susijusius su trečiųjų šalių teikiamomis paslaugomis ir (ar) produktais bei nutarti, ar šie neatitikimai organizacijai yra priimtini. Nustačius, kad trečiųjų šalių neatitikimai organizacijai yra nepriimtini, organizacijos darbuotojai, atsakingi už sutarties su trečiosiomis šalimis įgyvendinimą, turi inicijuoti sutartyje numatytų sankcijų taikymą ir (ar) sutarties su trečiąja šalimi nutraukimą.

32.    Kibernetinio saugumo vadovas ar saugos įgaliotinis periodiškai (ne rečiau kaip vieną kartą per ketvirtį) turi vertinti trečiųjų šalių incidentų ir SLA neatitikčių valdymo registre fiksuotus incidentus, susijusius su trečiųjų šalių teikiamomis paslaugomis ir (ar) produktais bei nutarti, ar rizika dėl pas trečiąsias šalis įvykusių incidentų, susijusių su trečiųjų šalių teikiamomis paslaugomis ir (ar) produktais, organizacijai vis dar yra priimtina. Nustačius, kad pas trečiąsias šalis įvykę incidentai organizacijai yra nepriimtini, kibernetinio saugumo vadovas turi inicijuoti sutartyje numatytų sankcijų taikymą ir (ar) sutarties su trečiąja šalimi nutraukimą.

 

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

33.    Sutartyse dėl paslaugų ir (ar) produktų pirkimo privaloma numatyti, kad šio Aprašo reikalavimai yra neatsiejama sutarties dalis. Taip pat organizacija ir trečioji šalis gali susitarti dėl šio Aprašo reikalavimų taikymo papildomais susitarimais.

34.    Aprašo reikalavimai trečiajai šaliai galioja tol, kol galioja sutartis.

35.    Jei kuri nors šio Aprašo nuostata pripažįstama negaliojančia dėl prieštaravimo imperatyvioms teisės aktų nuostatoms, ji keičiama vadovaujantis sutartyje nustatyta tvarka.

36.    Šis Aprašas turi būti peržiūrimas ir atnaujinamas bent kartą per metus arba kai atsiranda esminiai pokyčiai Administracijoje, kurie turi įtakos šiam Aprašui. Už šio Aprašo peržiūrėjimą ir atnaujinimą yra atsakingas kibernetinio saugumo vadovas.

______________________

 


 

 

TIEKIMO GRANDINĖS SAUGUMO VALDYMO TVARKOS APRAŠO PERŽIŪRA

 

Dokumento versija

Veiklos data

Statusas

Dokumento savininkas

Pagrindinės korekcijos

Patvirtinimo data ir Nr.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

______________________

______________________

 

 

 

 

 

 

 

 

 

 

 

 

 

Telšių rajono savivaldybės administracijos

Tiekimo grandinės saugumo valdymo tvarkos aprašo

1 priedas

 

TREČIŲJŲ ŠALIŲ SĄRAŠAS

(Trečiųjų šalių sąrašo forma)

Eil. Nr.

Informacija paie sutartį

Prieiga

Incidentai

Privalomas paslaugų teikimo lygiai (angl. SLA)

Trečiosios šalies pavadinimas

Teikiamos paslaugos ir (ar) produkto pobūdis

Trečiosios šalies
kontaktinis asmuo

Už sutarties vykdymą atsakingas darbuotojas

Sutarties numeris

Sutarties terminas

Kokybės reikalavimai

Suteiktos prieigos prie tinklų ir informacinių sistemų

Ar įvyko incidentas (Taip/ Ne)

Incidentų skaičius

Paslaugų prieinamumas proc. (sutartyje)

Paslaugų prieinamumas proc. (pagal faktą)

1.

[Nurodykite trečiosios šalies pavadiminimą]

[Nurodykite trečiosios šalies teikiamą paslaugą ir (ar) produktą]

[Nurodykite trečiosios šalies teikiamą paslaugą ir (ar) produktą]

[Už sutarties vykdymą atsakingą darbuotoją]

[Nurodykite sutarties numerį]

[Nurodykite, kad baisis sutarties galiojimas]

[Nurodykite kokybės reikalavimus, pvz. ISO 27001 sertifikatas]

[Nurodykite suteiktas prieigas prie tinklų ir informacinių sistemų]

[Nurodykite, ar įvyko incidentas (-ai) - Taip arba Ne]

[Nurodykite įvykusių incidentų skaičių]

[Nurodykite paslaugų prieinąmumą, pvz., 99% per mėnesį ar metus]

[Nurodykite koks buvo paslaugų prieinamumas pagal faktą po incidentų]

2.

3.

....

______________________

 

 

 

 

 

 

 

Telšių rajono savivaldybės administracijos

Tiekimo grandinės saugumo valdymo tvarkos aprašo

2 priedas

 

TREČIŲJŲ ŠALIŲ INCIDENTŲ IR SLA NEATITIKČIŲ VALDYMO REGISTRAS

(Trečiųjų šalių incidentų ir SLA neatitikčių valdymo registro forma)

Eil. Nr.

Informacija apie incidentus

Incidentų valdymas

Trečiosios šalies pagalbos tarnyba

Trečiosios šalies pavadinimas

Eil. Nr.

Incidento data

Incidento aprašymas

Incidento lygis - didelis, nedidelis

Reakcijos į incidentą laikas (sutartyje)

Reakcijos į incidentą laikas
(pagal faktą)

Problemų sprendimo laikas (sutartyje)

Problemų sprendimo laikas
(pagal faktą)

Maksimalus leistinas nepasiekiamumo laikas (sutartyje)

Maksimali leistina nepasiekiamumo trukmė
(pagal faktą)

Duomenų atsarginės kopijos atkūrimo laikas (sutartyje)

Duomenų atsarginės kopijos ir atkūrimo laikas (pagal faktą)

Pagalbos tarnybos darbo valandos (sutartyje)

Pagalbos tarnybos kontaktai

1.

[Nurodykite organizacijos pavadinimą, kurioje įvyko incidentas, pvz., UAB „XXX“]

1,1

[Nurodykite incidento datą]

[Trumpai apibūdinkite incidentą, pvz., XXX IS nepasiekiama. 50 darbuotojų negali vykdyti darbo funkcijų]

[Nurodykite kos incidentas įvyko - didelis arba nedidelis]

[Nurodykite reakcijos į incidentą laiką remdamiesi sutarties sąlygomis, pvz., per 30 minučių]

[Nurodykite reakcijos į incidentą laiką pagal faktą, pvz., 50 minučių]

[Nurodykite problemos sprendimo laiką remdamiesi sutarties sąlygomis, pvz., per 4 valandas]

[Nurodykite problemos sprendimo laiką pagal faktą, pvz., per 6 valandas]

[Nurodykite maksimalų leistinas nepasiekiamumo laiką remdamiesi sutarties sąlygomis, pvz., 1 val. per mėnesį]

[Nurodykite maksimalus nepasiekiamumo laiką pagal faktą po incidento pvz., 2 val.]

[Nurodykite duomenų atsarginės kopijos atkūrimo laiką remdamiesi sutarties sąlygomis, pvz., per 12 val]

[Nurodykite duomenų atsarginės kopijos atkūrimo laiką pagal faktą po incidento, pvz., per 16 val]

[Nurodykite Pagalbos tarnybos darbo valandas, pvz., 24/7 arba 8/5]

[Nurodykite Pagalbos tarnybos kontaktus, pvz., tel. xxxxx;
Interneto adresas: www.xxxx.xxx]

1,2

[Nurodykite incidento datą]

[Eilučių skaičius kuriamas pagal įvykusių incidentų skaičių]

1.3.

[Nurodykite incidento datą]

[Eilučių skaičius kuriamas pagal įvykusių incidentų skaičių]

2.

[Nurodykite organizacijos pavadinimą, kurioje įvyko incidentas, pvz., Všį „XXX“]

2,1

[Nurodykite incidento datą]

[Trumpai apibūdinkite incidentą, pvz., XXX interneto puslapis neveikia]

[Nurodykite kos incidentas įvyko - didelis arba nedidelis]

[Nurodykite reakcijos į incidentą laiką remdamiesi sutarties sąlygomis, pvz., per 30 minučių]

[Nurodykite reakcijos į incidentą laiką pagal faktą, pvz., 50 minučių]

[Nurodykite problemos sprendimo laiką remdamiesi sutarties sąlygomis, pvz., per 4 valandas]

[Nurodykite problemos sprendimo laiką pagal faktą, pvz., per 6 valandas]

[Nurodykite maksimalų leistinas nepasiekiamumo laiką remdamiesi sutarties sąlygomis, pvz., 1 val. per mėnesį]

[Nurodykite maksimalus nepasiekiamumo laiką pagal faktą po incidento pvz., 2 val.]

[Nurodykite duomenų atsarginės kopijos atkūrimo laiką remdamiesi sutarties sąlygomis, pvz., per 12 val]

[Nurodykite duomenų atsarginės kopijos atkūrimo laiką pagal faktą po incidento, pvz., per 12 val]

[Nurodykite Pagalbos tarnybos darbo valandas, pvz., 24/7 arba 8/5]

[Nurodykite Pagalbos tarnybos kontaktus, pvz., tel. xxxxx;
Interneto adresas: www.xxxx.xxx]

2,2

[Nurodykite incidento datą]

3.

[Nurodykite organizacijos pavadinimą, kurioje įvyko incidentas, pvz., AB „XXX“]

3,1

[Nurodykite incidento datą]

[Trumpai apibūdinkite incidentą, pvz., nutekinti slaptažodžiai]

[Nurodykite kos incidentas įvyko - didelis arba nedidelis]

[Nurodykite reakcijos į incidentą laiką remdamiesi sutarties sąlygomis, pvz., per 30 minučių]

[Nurodykite reakcijos į incidentą laiką pagal faktą, pvz., 50 minučių]

[Nurodykite problemos sprendimo laiką remdamiesi sutarties sąlygomis, pvz., per 4 valandas]

[Nurodykite problemos sprendimo laiką pagal faktą, pvz., per 6 valandas]

[Nurodykite maksimalų leistinas nepasiekiamumo laiką remdamiesi sutarties sąlygomis, pvz., 1 val. per mėnesį]

[Nurodykite maksimalus nepasiekiamumo laiką pagal faktą po incidento pvz., 2 val.]

[Nurodykite duomenų atsarginės kopijos atkūrimo laiką remdamiesi sutarties sąlygomis, pvz., per 12 val]

[Nurodykite duomenų atsarginės kopijos atkūrimo laiką pagal faktą po incidento, pvz., per 12 val]

[Nurodykite Pagalbos tarnybos darbo valandas, pvz., 24/7 arba 8/5]

[Nurodykite Pagalbos tarnybos kontaktus, pvz., tel. xxxxx;
Interneto adresas: www.xxxx.xxx]

4.

[Nurodykite organizacijos pavadinimą, kurioje įvyko incidentas, pvz., UAB „XXX“]

4,1

[Nurodykite incidento datą]

[Trumpai apibūdinkite incidentą, pvz., duomenų bazėje dingo klientų asmens duomenys]

[Nurodykite kos incidentas įvyko - didelis arba nedidelis]

[Nurodykite reakcijos į incidentą laiką remdamiesi sutarties sąlygomis, pvz., per 30 minučių]

[Nurodykite reakcijos į incidentą laiką pagal faktą, pvz., 50 minučių]

[Nurodykite problemos sprendimo laiką remdamiesi sutarties sąlygomis, pvz., per 4 valandas]

[Nurodykite problemos sprendimo laiką pagal faktą, pvz., per 6 valandas]

[Nurodykite maksimalų leistinas nepasiekiamumo laiką remdamiesi sutarties sąlygomis, pvz., 1 val. per mėnesį]

[Nurodykite maksimalus nepasiekiamumo laiką pagal faktą po incidento pvz., 2 val.]

[Nurodykite duomenų atsarginės kopijos atkūrimo laiką remdamiesi sutarties sąlygomis, pvz., per 12 val]

[Nurodykite duomenų atsarginės kopijos atkūrimo laiką pagal faktą po incidento, pvz., per 12 val]

[Nurodykite Pagalbos tarnybos darbo valandas, pvz., 24/7 arba 8/5]

[Nurodykite Pagalbos tarnybos kontaktus, pvz., tel. xxxxx;
Interneto adresas: www.xxxx.xxx]

5.

....

______________________