1.1. Sveikatos priežiūros įstaigos informacinės sistemos pavyzdines saugaus elektroninės informacijos tvarkymo taisykles;

1.2. Sveikatos priežiūros įstaigos informacinės sistemos pavyzdines naudotojų administravimo taisykles;

1.3. Sveikatos priežiūros įstaigos informacinės sistemos pavyzdinį veiklos tęstinumo valdymo planą.

2.1. sveikatos priežiūros įstaigoms (viešosioms įstaigoms ir biudžetinėms įstaigoms) rengiant įstaigos valstybės informacinės sistemos saugos dokumentus;

2.2. privačioms sveikatos priežiūros įstaigoms, kurių informacinės sistemos gauna duomenis iš valstybės informacinių sistemų ar registrų, rengiant privačios sveikatos priežiūros įstaigos informacinės sistemos saugos dokumentus.

1. Sveikatos priežiūros įstaigos (toliau – SPĮ) valdomos ir  tvarkomos informacinės  sistemos (toliau – IS)   saugaus elektroninės informacijos tvarkymo taisyklių (toliau – Taisyklės) tikslas – nustatyti  elektroninės informacijos tvarkymo, techninius ir kitus elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus.

2. Taisyklėse vartojamos sąvokos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ ir Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams,  aprašas).

3. IS tvarkoma elektroninė informacija ir jos grupių sąrašas nurodomi  SPĮ IS nuostatuose (toliau – Nuostatai), (pateikiamos nuorodos į konkrečius IS nuostatų punktus, kuriuose yra nurodyta IS tvarkoma elektroninė informacija).

4. Už IS esančios elektroninės informacijos, priskirtos ________     (įrašoma SPĮ IS duomenų saugos nuostatuose (toliau – Duomenų saugos nuostatai) nurodyta elektroninės informacijos svarbos kategorija) svarbos elektroninės informacijos kategorijai, tvarkymą yra atsakingi IS naudotojai ir IS administratoriai.

5.  Kompiuterinės įrangos saugos priemonės:

6.  Sisteminės ir taikomosios programinės įrangos saugos priemonės:

7.       Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

8.  IS naudojamų svetainių, pasiekiamų iš viešųjų elektroninių ryšių tinklų, saugumo ir kontrolės priemonės:

9.  Pagrindinio IS tvarkytojo patalpų ir aplinkos saugumo užtikrinimo priemonės:

10.     Kitų (galimų) IS tvarkytojų patalpų ir aplinkos saugumo užtikrinimo priemonės:

11.     Kitos priemonės, naudojamos IS elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti:

12.  IS veikimo užtikrinimas:

13.  Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo užtikrinimo tvarka:

14.  Atsarginių elektroninės informacijos kopijų darymas, saugojimas, elektroninės informacijos atkūrimo iš atsarginių elektroninės informacijos kopijų išbandymas vykdomas vadovaujantis IS tvarkytojo tvirtinamais atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių elektroninės informacijos kopijų tvarkos aprašais, kuriuose nurodomi atsakingi už duomenų kopijų darymą, apsaugą, saugojimo kontrolę ir duomenų atkūrimą iš atsarginių duomenų kopijų asmenys,  kas kiek laiko yra atliekami atkūrimo iš atsarginių kopijų bandymai, kur saugomos kopijos ir kaip užtikrinamas jų konfidencialumas (šifravimas ar fizinės saugos priemonės), kopijų darymo būdas (angl. full backup, incremental, differential). Atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių elektroninės informacijos kopijų tvarka gali būti nurodoma ir šiame dokumente.

15.  Elektroninė informacija perkeliama ir teikiama susijusiems registrams ir (ar) kitoms informacinėms sistemoms ir iš jų gaunama vadovaujantis Nuostatuose nustatyta tvarka ir sąlygomis.

16.  Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo, perdavimo ar kitokios neteisėtos veiklos (toliau – neteisėta veikla) nustatymo tvarka:

17.  IS programinės ir techninės įrangos keitimo, IS pokyčių valdymo tvarka nustatoma SPĮ IS pokyčių valdymo tvarkos apraše. IS pokyčių valdymo tvarka gali būti išdėstyta ir šiame dokumente.

18.  Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (toliau kartu – mobilieji įrenginiai) naudojimo tvarka:

19.  Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

20.  IS funkcionuoti reikalingų paslaugų, darbų ir (ar) įrangos tiekėjas (toliau – tiekėjas) turi atitikti IS veiklą reglamentuojančių teisės aktų, standartų, Taisyklių reikalavimus ir paslaugų teikimo, darbų atlikimo ar įrangos tiekimo pirkimo dokumentuose iš anksto nustatomus tiekėjo kompetencijos, patirties, teikiamų paslaugų, atliekamų darbų ar tiekiamos įrangos reikalavimus.

21.  Perkant paslaugas, darbus ar įrangą, susijusius su IS, jos projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi būti nustatoma, kad tiekėjas užtikrina atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, nustatytiems reikalavimams. Perkamos paslaugos, darbai ar įranga, susiję su IS, turi atitikti teisės aktų ir standartų, kuriais vadovaujamasi užtikrinant IS elektroninės informacijos saugą ir kibernetinį saugumą, reikalavimus, kurie iš anksto nustatomi paslaugų teikimo, darbų atlikimo ar įrangos tiekimo pirkimo dokumentuose.

22.  Tiekėjas, vykdydamas sutartinius įsipareigojimus, turi įgyvendinti tinkamas organizacines ir technines priemones, skirtas IS ir jose tvarkomai elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

23.  Tiekėjui prieiga prie IS gali būti suteikiama tik pasirašius sutartį, kurioje turi būti nustatytos tiekėjo teisės, pareigos, prieigos prie informacinių sistemų lygiai ir sąlygos, elektroninės informacijos saugos, kibernetinio saugumo, konfidencialumo reikalavimai ir atsakomybė už jų nesilaikymą. IS saugos įgaliotinis turi supažindinti tiekėją su suteiktos prieigos IS saugos ir kibernetinio saugumo reikalavimais ir sąlygomis. IS saugos administratorius yra atsakingas už prieigos prie IS tiekėjui suteikimą ir panaikinimą pasirašius sutartį, pasibaigus sutarties su tiekėju galiojimo terminui ar kitais sutartyje nurodytais prieigos prie IS panaikinimo atvejais.

24.  Tiekėjui suteikiamas tik toks prieigos prie IS lygmuo, kuris yra būtinas sutartyje nustatytiems įsipareigojimams vykdyti. Tiekėjo paskirti specialistai turi pasirašyti konfidencialumo pasižadėjimus.

25.  Iškilus poreikiui, siekiant įsitikinti, ar tinkamai vykdoma sutartis, laikomasi elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų, IS tvarkytojas turi teisę atlikti tiekėjo teikiamų paslaugų stebėseną ir auditą, suteikti galimybę atlikti auditą trečiosioms šalims.

26.  Tiekėjas privalo nedelsdamas informuoti IS tvarkytoją apie sutarties vykdymo metu pastebėtus elektroninės informacijos saugos ar kibernetinius incidentus, pastebėtas neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos ir (ar) kibernetinio saugumo užtikrinimo priemones, elektroninės informacijos saugos ir (ar) kibernetinio saugumo reikalavimų nesilaikymą, nusikalstamos veikos požymius, saugumo spragas, pažeidžiamumus, kitus svarbius saugai įvykius.

27.  IS tvarkytojas su interneto paslaugų teikėju (-ais) turi būti sudaręs sutartis dėl apsaugos nuo IS  elektroninių paslaugų trikdymo taikymo (angl. denial of service), reagavimo į elektroninės informacijos saugos ir kibernetinius incidentus įprastomis darbo valandomis ir po darbo valandų, nepertraukiamo interneto paslaugos teikimo ir interneto paslaugos sutrikimų registravimo 24 valandas per parą, 7 dienas per savaitę.

_________________________

1. Sveikatos priežiūros įstaigos (toliau – SPĮ) valdomos ir tvarkomos  informacinės sistemos (toliau – IS)  naudotojų administravimo taisyklės (toliau – Taisyklės) reglamentuoja SPĮ IS  naudotojų ir IS administratorių įgaliojimus, teises, pareigas, prieigos prie elektroninės informacijos principus, saugaus elektroninės informacijos teikimo IS naudotojams kontrolės tvarką.

2. Taisyklėse vartojamos sąvokos:

3. Taisyklės taikomos visiems IS naudotojams, IS administratoriams ir IS tvarkytojo (-jų) saugos įgaliotiniams.

4. Prieigos prie elektroninės informacijos principai:

5. IS naudotojų (išskyrus pacientus) ir IS administratorių įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją ir prieigos prie elektroninės informacijos lygiai nustatomi pagal IS nuostatus, elektroninės informacijos teikimo sutartis, IS naudotojų ir IS  administratorių pareiginius nuostatus bei kitus teisės aktus, reglamentuojančius IS veiklą ir IS elektroninės informacijos tvarkymą.

6. IS naudotojų – pacientų įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją ir prieigos prie elektroninės informacijos lygiai nustatomi IS naudojimo licencijose (susipažinimo formose).

7. IS naudotojai ir IS administratoriai privalo rūpintis IS ir jose tvarkomos elektroninės informacijos sauga ir kibernetiniu saugumu, tvarkyti elektroninę informaciją vadovaudamiesi IS veiklą reglamentuojančiais teisės aktais ir elektroninės informacijos teikimo sutartyse ar IS naudojimo licencijose arba susipažinimo formose nustatytais reikalavimais ir sąlygomis, savo veiksmais nepažeisti elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo.

8. IS naudotojai ir IS administratoriai turi teises naudotis tik tais IS ištekliais, kurios jiems buvo suteiktos Taisyklių III skyriuje nustatyta tvarka.

9. IS naudotojai ir IS administratoriai, pastebėję Duomenų saugos nuostatuose, Taisyklėse ir kituose IS saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos ir (ar) kibernetinio saugumo užtikrinimo priemones, privalo nedelsdami kreiptis į SPĮ informacinių technologijų pagalbos tarnybą ar kitą kompetentingą padalinį arba asmenį, atliekantį informacinių technologijų pagalbos tarnybos funkcijas.

10.  Jeigu IS tvarkytojo saugos įgaliotinis nebuvo informuotas apie Taisyklių 9 punkte nurodytus pažeidimus, apie tai informuojamas kitas kompetentingas padalinys arba asmuo, atliekantis informacinių technologijų pagalbos tarnybos funkcijas. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią IS saugą ir (ar) kibernetinį saugumą, IS tvarkytojo saugos įgaliotinis apie tai turi pranešti IS valdytojo vadovui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, elektroninės informacijos saugos ir kibernetinius incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos ar kibernetiniais incidentais.

11.  IS administratorių prieigos prie IS lygiai ir juose taikomi saugos reikalavimai:

12.  Už IS naudotojų ir IS administratorių registravimą ir išregistravimą atsakingi informacinių sistemų naudotojų administratoriai. Už Taisyklių 15 punkte nurodytos informacijos, reikalingos IS naudotojų ir IS administratorių registravimo ir išregistravimo veiksmams atlikti, pateikimą IS naudotojų administratoriams atsakingi IS naudotojų ir IS administratorių tiesioginiai vadovai.

13.  IS naudotojai ir IS administratoriai registruojami arba išregistruojami IS posistemiuose ir komponentuose atitinkamai suteikiant jiems prieigos prie IS teises arba jas panaikinant.

14.  Vidinio IS naudotojo tapatybė gali būti nustatoma naudojantis Valstybės informacinių išteklių sąveikumo platformos (toliau – VIISP) ar kitomis  autentifikavimo priemonėmis.

15.  Išoriniai IS naudotojai prie IS jungiasi naudodamiesi VIISP arba kitomis  asmenų autentifikavimo  priemonėmis. Išoriniai IS naudotojai gali naudotis tik išorinio informacinių sistemų naudotojo paskyromis.

16.  IS naudotojų ir IS administratorių paskyrų kontrolės priemonės:

17.  Kiekvienas IS naudotojas ir IS administratorius turi būti IS unikaliai atpažįstamas. IS naudotojo ir IS administratoriaus identifikacija turi būti pagrįsta naudotojo vardu, naudotojo kodu arba kita identifikacijos priemone, vienareikšmiškai apibrėžiančia IS naudotoją ar IS administratorių.

18.  Sudarant IS naudotojo ar IS administratoriaus identifikatorių didžiosios ir mažosios raidės neturi būti skiriamos.

19.  IS naudotojas ir IS administratorius turi patvirtinti savo tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone. IS administratorių tapatumui patvirtinti turi būti naudojamos dviejų veiksnių tapatumo patvirtinimo priemonės, jeigu IS komponentai palaiko tokį funkcionalumą.

20.  IS naudotojų ir IS administratorių slaptažodžių, jų sudarymo, galiojimo trukmės ir keitimo bendrieji reikalavimai:

21.  Specialieji reikalavimai IS naudotojų slaptažodžiams:

22. Specialieji IS administratorių slaptažodžių reikalavimai:

23. Nuotolinis IS naudotojų prisijungimas prie IS turi būti vykdomas naudojant patikimus elektroninės informacijos šifravimo protokolus.

___________________________

1.  Sveikatos priežiūros įstaigos (toliau – SPĮ) valdomos ir tvarkomos informacinės sistemos (toliau – IS) veiklos tęstinumo valdymo planas (toliau – Planas) reglamentuoja SPĮ IS  veiklos tęstinumo užtikrinimą.

2.  Plane vartojamos sąvokos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ ir Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarime Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Nutarimas).

3.  Planas parengtas pagrindinio IS tvarkytojo (toliau – tvarkytojas) patalpoms, esančioms _____________ (nurodomas adresas), kuriose yra pagrindinė IS informacinių technologijų infrastruktūra, reikalinga IS veiklai. IS komponentų, kurie yra IS kitų tvarkytojų (toliau – tvarkytojai) organizacijose, veiklos tęstinumo valdymą ir veiklos atkūrimą reglamentuoja IS kitų tvarkytojų veiklos tęstinumo valdymą reglamentuojantys dokumentai.

4.  Planas įsigalioja įvykus elektroninės informacijos saugos (kibernetiniam) incidentui, dėl kurio IS tvarkytojas (tvarkytojai) negali teikti IS elektroninių paslaugų daliai arba visiems IS naudotojams ir būtina atkurti įprastą IS veiklą IS tvarkytojo (tvarkytojų) patalpose arba atsarginėse patalpose. Plano vykdymą atitinkamai inicijuoja IS tvarkytojo (tvarkytojų) paskirti atsakingi asmenys. Plano nuostatos taip pat taikomos po stichinės nelaimės, avarijos ar kitų ekstremalių situacijų, kai būtina atkurti įprastą IS veiklą.

5.  Įvykus kibernetiniam incidentui vadovaujamasi Nacionaliniu kibernetinių incidentų valdymo planu, patvirtintu Nutarimu.

6.  Kibernetinių ir elektroninės informacijos saugos incidentų tyrimas atliekamas vadovaujantis IS tvarkytojo (tvarkytojų) patvirtintais teisės aktais, reglamentuojančiais kibernetinių ir elektroninės informacijos saugos incidentų valdymo veiksmus IS  tvarkytojo (tvarkytojų) įstaigose.

7.  Identifikavus kibernetinį incidentą, atliekamas incidento vertinimas pagal poveikį ir incidento priskyrimas vienai iš šių kategorijų: didelio, vidutinio ar nereikšmingo. Kriterijai, pagal kuriuos incidentas priskiriamas tam tikrai kategorijai, yra nurodyti Nacionaliniame kibernetinių incidentų valdymo plane, patvirtintame Nutarimu.

8.  Atsakingų asmenų įgaliojimai įvykus kibernetiniam ar elektroninės informacijos saugos incidentui:

9.  Nurodomi asmenys, atsakingi už kibernetinių incidentų tyrimą ir pranešimą apie kibernetinius incidentus kompetentingoms institucijoms: Nacionaliniam kibernetinio saugumo centrui, Valstybinei duomenų apsaugos inspekcijai, Lietuvos policijai, taip pat būdai, kuriais pranešama apie kibernetinį incidentą kompetentingoms institucijoms (pvz., Nacionaliniam kibernetinio saugumo centrui pranešama užpildant specialią formą interneto svetainėje www.nksc.lt, rašant el. paštu [email protected] arba skambinant trumpuoju numeriu 1843).

10.  Planas privalomas IS valdytojui, IS tvarkytojui (tvarkytojams), saugos įgaliotiniams, IS duomenų valdymo įgaliotiniams, administratoriams, IS naudotojams, IS techninės ir programinės įrangos priežiūros funkcijas teikiantiems paslaugų teikėjams, jei tokios funkcijos paslaugų teikėjams perduotos Valstybės informacinių išteklių valdymo įstatyme nustatytomis sąlygomis ir tvarka.

11.  Įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, dėl kurio IS tvarkytojas (tvarkytojai) negali teikti IS elektroninių paslaugų daliai arba visiems IS naudotojams ir būtina atkurti įprastą IS veiklą IS tvarkytojo (tvarkytojų) patalpose arba atsarginėse patalpose, veiklai atkurti naudojami IS valdytojo ir IS tvarkytojo (tvarkytojų) finansiniai ir kitokie ištekliai.

12.  IS veiklos kriterijai, pagal kuriuos nustatoma, ar IS veikla atkurta:

13.  IS veiklos tęstinumui užtikrinti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui sudaromos Veiklos tęstinumo valdymo grupė ir Veiklos atkūrimo grupė. Veiklos tęstinumo valdymo grupės vadovas ir Veiklos atkūrimo grupės vadovai turi teisę į šių grupių veiklą pasitelkti ir kitus IS valdytojo ir IS tvarkytojo (tvarkytojų) darbuotojus ar trečiosios šalies kompetentingus specialistus, jeigu tai būtina IS veiklai atkurti ir (ar) IS veiklos tęstinumui užtikrinti.

14.  Veiklos tęstinumo valdymo grupės sudėtis:

15.  Veiklos tęstinumo valdymo grupės funkcijos:

16.  Veiklos atkūrimo grupės sudėtis:

17.  Veiklos atkūrimo grupės funkcijos:

18.  Personalinę Veiklos tęstinumo valdymo grupės ir Veiklos atkūrimo grupės sudėtį tvirtina pagrindinio IS tvarkytojo vadovas.

19.  Veiklos tęstinumo valdymo grupės, Veiklos atkūrimo grupės veiklą organizuoja ir koordinuoja šių grupių vadovai.

20.  Veiksmai, reikalingi IS veiklai atkurti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, jų vykdymo eiliškumas, terminai ir atsakingi vykdytojai nurodyti Plano priede nustatytame IS veiklos atkūrimo detaliajame plane. 

21.  Atsarginėms patalpoms, naudojamoms IS veiklai atkurti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, keliami šie reikalavimai:

22.  Atsarginės patalpos, pritaikytos IS atkurti įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, yra __________  patalpos, esančios ______________. Veiklos tęstinumo valdymo grupė ir Veiklos atkūrimo grupė organizuoja bendrą susirinkimą, įvykus kibernetiniam ar elektroninės informacijos saugos incidentui, nenumatytoms situacijoms arba įvykus esminiams organizaciniams IS ar jų komponentų pokyčiams.

23.  Veiklos tęstinumo valdymo grupė, atlikusi situacijos analizę, informuoja Veiklos atkūrimo grupę apie priimtus sprendimus IS veiklos tęstinumo valdymo klausimais. Veiklos atkūrimo grupė, atsižvelgdama į priimtus sprendimus, organizuoja IS veiklos atkūrimą.

24.  Veiklos tęstinumo valdymo ir Veiklos atkūrimo grupės tarpusavyje bendrauja žodžiu, telefonu ir elektroniniu paštu.

25.  IS veiklos tęstinumui užtikrinti turi būti parengti ir saugomi šie dokumentai:

26.  Už Plano 25.1.–25.6. papunkčiuose nurodytų dokumentų parengimo organizavimą, saugojimą, nuolatinį atnaujinimą ir kompiuterinės, techninės ir programinės įrangos sutarčių vykdymo priežiūrą atsakingas IS administratorius. Šiame punkte nurodyti dokumentai saugomi išspausdinti ______________. Jeigu naudojama IS įranga (pagal nuomos, panaudos ar kitas sutartis) priklauso trečiajai šaliai ir yra jos patalpose, sutarties su trečiąja šalimi kopija turi būti saugoma kartu su šiame punkte nurodytais dokumentais.

27.  Už Plano 25.7. papunktyje nurodyto dokumento parengimą, saugojimą, nuolatinį atnaujinimą ir elektroninės informacijos teikimo sutarčių vykdymo priežiūrą pagal kompetenciją atsakingas __________ . Elektroninės informacijos teikimo sutarčių sąrašas saugomas išspausdintas ____________ patalpose.

28.    Plano veiksmingumas išbandomas ne rečiau kaip kartą per metus teorinių ir (ar) praktinių mokymų metu, modeliuojant kibernetinį ar elektroninės informacijos saugos incidentą.  Plano veiksmingumo išbandymas gali būti planinis arba neplaninis. Plano veiksmingumo išbandymą organizuoja saugos įgaliotiniai.

29.  Plano veiksmingumo išbandymo rezultatai turi būti naudojami Planui atnaujinti. Nustačius Plano veiksmingumo trūkumų, rengiama pastebėtų Plano veiksmingumo trūkumų šalinimo ataskaita. Už Plano veiksmingumo trūkumų šalinimo ataskaitos parengimą ir pateikimą IS valdytojui atsakingi saugos įgaliotiniai.

30.  Plano veiksmingumo išbandymo metu pastebėti Plano veiksmingumo trūkumai šalinami remiantis efektyvumo, ekonomiškumo, rezultatyvumo ir operatyvumo principais.

31.  Veiklos tęstinumo valdymo procesams tobulinti turi būti nustatomi ir vertinami šie rodikliai:

3.1. tarnybinių stočių veikimo atkūrimas:

3.2.     kompiuterių tinklo veikimo atkūrimas;

3.3.     elektroninės informacijos atkūrimas;

3.4.     taikomųjų programų veikimo atkūrimas;

3.5.     interneto ryšio atkūrimas;

3.6.    pagrindinio IS tvarkytojo kompiuterinių darbo vietų veikimo atkūrimas;

3.7.    kitų IS tvarkytojų kompiuterinių darbo vietų veikimo atkūrimas.