Suvestinė redakcija nuo 2021-01-22

 

Įsakymas paskelbtas: TAR 2015-05-06, i. k. 2015-06797

 

 

LIETUVOS RESPUBLIKOS KRAŠTO APSAUGOS

MINISTRAS

 

ĮSAKYMAS

DĖL TECHNINIŲ KIBERNETINIO SAUGUMO PRIEMONIŲ DIEGIMO IR VALDYMO VALSTYBĖS INFORMACINIUOSE IŠTEKLIUOSE IR YPATINGOS SVARBOS INFORMACINĖJE INFRASTRUKTŪROJE TVARKOS APRAŠO PATVIRTINIMO

 

2015 m.  gegužės  5  d. Nr. V-461

Vilnius

 

 

Vadovaudamasis Lietuvos Respublikos kibernetinio saugumo įstatymo 6 straipsnio 9 dalimi,

Preambulės pakeitimai:

Nr. V-38, 2021-01-20, paskelbta TAR 2021-01-21, i. k. 2021-01008

 

t v i r t i n u Techninių kibernetinio saugumo priemonių diegimo ir valdymo valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėje infrastruktūroje tvarkos aprašą (pridedama).

 

 

 

Krašto apsaugos ministras                                                                                                Juozas Olekas

 

 

 

PATVIRTINTA

Lietuvos Respublikos

krašto apsaugos ministro

2015 m. gegužės 5 d.

įsakymu Nr. V-461

(Lietuvos Respublikos

krašto apsaugos ministro

2021 m. sausio 20 d.

įsakymo Nr. V-38 redakcija)

 

TECHNINIŲ KIBERNETINIO SAUGUMO PRIEMONIŲ DIEGIMO IR VALDYMO VALSTYBĖS INFORMACINIUOSE IŠTEKLIUOSE IR YPATINGOS SVARBOS INFORMACINĖJE INFRASTRUKTŪROJE TVARKOS APRAŠAS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.    Techninių kibernetinio saugumo priemonių diegimo ir valdymo valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėje infrastruktūroje tvarkos aprašas (toliau – Aprašas) nustato Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos valdomos techninės ir programinės įrangos, skirtos kibernetiniam saugumui užtikrinti, diegimo planavimo, vykdymo bei valdymo procedūras valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėje infrastruktūroje.

2.    Techninių kibernetinio saugumo priemonių (toliau – techninės KSP) diegimo tikslai – užtikrinti valstybės informacinių išteklių valdytojų ir (ar) tvarkytojų bei ypatingos svarbos informacinės infrastruktūros valdytojų (toliau – techninių KSP gavėjai) didesnį atsparumą kibernetiniams incidentams, techninėmis KSP identifikuojant, surenkant, perduodant duomenis iš ypatingos svarbos informacinės infrastruktūros ir valstybės informacinių išteklių, reikalingus kibernetiniams incidentams aptikti.

3.    Techninėmis KSP surenkami duomenys yra kaupiami ir tvarkomi Kibernetinio saugumo informaciniame tinkle, vadovaujantis Kibernetinio saugumo informacinio tinklo nuostatais, patvirtintais krašto apsaugos ministro 2019 m. lapkričio 27 d. įsakymu Nr. V-998 „Dėl Kibernetinio saugumo informacinio tinklo nuostatų patvirtinimo“.

4.    Aprašas taikomas Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos (toliau – NKSC), atliekančiam techninių KSP diegimą, priežiūrą ir valdymą, ir techninių KSP gavėjams.

5.    Techninių KSP diegimo procesas skirstomas į diegimo planavimą, diegimą ir valdymą (1 priedas).

6.    Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme ir jį įgyvendinančiuose teisės aktuose.

 

II SKYRIUS

TECHNINIŲ KIBERNETINIO SAUGUMO PRIEMONIŲ DIEGIMO PLANO RENGIMAS

 

7.    NKSC, su techninių KSP gavėjais suderinęs techninių KSP diegimo terminus, rengia techninių KSP diegimo planą (toliau – Planas) ir iki einamųjų metų pabaigos teikia tvirtinti krašto apsaugos ministrui.

8.    NKSC technines KSP diegia tik pagal patvirtintą Planą, išskyrus Aprašo IV skyriuje nurodytus atvejus.

9.    Ypatingos svarbos informacinės infrastruktūros objektai į Planą įtraukiami prioritetą skiriant pagal suminio svarbos balo dydį, pradedant nuo aukščiausio svarbos balo. Svarbos balas nustatomas vadovaujantis Ypatingos svarbos informacinės infrastruktūros identifikavimo metodikos, patvirtintos Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos Kibernetinio saugumo įstatymo įgyvendinimo“, 2 priedo „Infrastruktūros objektų, užtikrinančių ypatingos svarbos paslaugų teikimą, vertinimo klausimynas“ duomenimis.

10.  Valstybės informaciniai ištekliai į Planą įtraukiami po ypatingos svarbos informacinės infrastruktūros objektų, prioritetą skiriant pagal informacinės sistemos svarbos kategoriją. Valstybės informacinių išteklių svarbos kategorijos nustatomos vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“.

11.  Plane nurodoma:

11.1.    techninių KSP gavėjai;

11.2.    ryšių ir informacinės sistemos, į kurias bus diegiamos techninės KSP arba iš kurių techninės KSP pašalinamos;

11.3.    diegimo arba pašalinimo pagrindimas;

11.4.    diegimo arba pašalinimo terminas.

12.  Planas atnaujinamas ne vėliau kaip per 30 dienų pasikeitus ypatingos svarbos informacinės infrastruktūros sąrašui, likvidavus instituciją, į kurios infrastruktūrą yra įdiegtos techninės KSP, NKSC ir (arba) Krašto apsaugos ministerijai gavus informaciją apie grėsmes Lietuvoje teikiamoms ypatingos svarbos paslaugoms, kurių stebėjimas ir valdymas būtų užtikrinamas įdiegus technines KSP.

 

III SKYRIUS

TECHNINIŲ KIBERNETINIO SAUGUMO PRIEMONIŲ DIEGIMAS

 

13.  Patvirtinus Planą NKSC apie diegimą raštu informuoja techninių KSP gavėjus. NKSC, informuodamas KSP gavėją, pateikia diegimo projektą, kuriame nurodoma principinė techninių KSP diegimo schema, diegimo etapai ir techniniai reikalavimai techninių KSP gavėjų ryšių ir informacinėms sistemoms.

14.  Techninių reikalavimų, skirtų techninių KSP gavėjų ryšių ir informacinėms sistemoms, sąraše nurodomi šie duomenys:

14.1.  komutacinės spintos reikalingumas ir talpa;

14.2.  reikalingų įjungimo į nepertraukiamo elektros srovės maitinimo įrenginį lizdų skaičius;

14.3.  maksimali naudojama elektros tinklo galia;

14.4.  kompiuterių tinklo prievadų tipas, greitaveika ir reikalingas skaičius;

14.5.  išorinių nefiltruojamų IP adresų skaičius.

15. Techninių KSP gavėjai iki Plane nurodyto KSP diegimo termino sudaro sąlygas įdiegti technines KSP pagal NKSC pateiktą diegimo projektą.

16. Techninių KSP fiziniai komponentai turi būti paženklinti NKSC saugumo užklijomis taip, kad būtų galima aiškiai jas atpažinti ir nebūtų galima atidaryti techninių KSP ar pakeisti atskirų jų mazgų nepažeidžiant užklijų.

17. Įdiegus technines KSP pasirašomas atliktų techninių kibernetinio saugumo priemonių (iš)diegimo darbų aktas (2 priedas).

 

IV SKYRIUS

TECHNINIŲ KIBERNETINIO SAUGUMO PRIEMONIŲ DIEGIMAS KIBERNETINIO INCIDENTO METU

 

18. Techninių KSP gavėjui pranešus NKSC apie kibernetinį incidentą ir neturint galimybių pašalinti kibernetinio incidento šaltinio, NKSC, siekdamas užtikrinti techninių KSP gavėjų teikiamų paslaugų tęstinumą, diegia technines KSP, gavęs sutikimą dėl kibernetinio saugumo priemonių diegimo (3 priedas).

19.  Techninės KSP kibernetinio incidento metu diegiamos 30 kalendorinių dienų periodui arba kol techninių KSP gavėjas įdiegs kibernetinio incidento rizikos valdymo priemones.

 

V SKYRIUS

FUNKCIJOS, TEISĖS IR PAREIGOS

 

20.  NKSC, įdiegęs ir valdydamas technines KSP, informuoja techninių KSP gavėjus apie techninėmis KSP užfiksuotus kibernetinius incidentus ir pagal kompetenciją teikia pagalbą juos valdant.

21.  Techninių KSP gavėjų, į kurių ryšių ir informacines sistemas yra diegiamos ar yra įdiegtos NKSC valdomos techninės KSP, pareigos:

21.1. pagal Aprašo 14 ir 15 punktus pateikti reikalingą informaciją bei parengti infrastruktūrą techninėms KSP įdiegti;

21.2. paskirti technines KSP diegti padedantį asmenį ir už NKSC perduotas technines KSP atsakingą asmenį, kai šios susideda iš fizinių įrangos komponentų;

21.3. atlyginti žalą už sugadintas arba prarastas technines KSP, kai šios susideda iš fizinių įrangos komponentų;

21.4. užtikrinti su techninių KSP diegimu ir eksploatavimu susijusios informacijos konfidencialumą;

21.5. prieš 2 kalendorines dienas pateikti NKSC informaciją apie keičiamą ryšių ir informacinių sistemų, kuriose yra įdiegtos techninės KSP, topologiją, informuoti apie planuojamus darbus ryšių ir informacinėse sistemose, o apie gedimus ir elektros tiekimo sutrikimus pranešti nedelsiant, bet ne vėliau kaip per 48 val.;

21.6. kai NKSC įdiegia technines KSP, susidedančias iš fizinių komponentų, savo lėšomis užtikrinti įrangai veikti reikalingo interneto ir elektros energijos tiekimą bei techninių KSP fizinę apsaugą.

22. KSP gavėjams pateikus prašymą atidėti techninių KSP diegimo terminą ar pateikus kitą alternatyvų sprendimą, NKSC, vertindamas tokio prašymo pagrįstumą ar siūlomo sprendimo galimybę, turi teisę atvykti į techninių KSP gavėjų patalpas ir vietoje įvertinti siūlomo sprendimo pagrįstumą.

23. Techninės KSP išdiegiamos pagal Planą, techninėms KSP nusidėvėjus, sugedus arba pasikeitus technologinėms aplinkybėms, neleidžiančioms techninėms KSP efektyviai veikti, arba kai techninių KSP gavėjai nebeatitinka ypatingos svarbos informacinės infrastruktūros ar valstybės informacinių išteklių valdytojo ir (ar) tvarkytojo statuso.

24.  Techninės KSP, susidedančios iš fizinės įrangos komponentų, laikomos išdiegtomis, kai techninių KSP gavėjo deleguotas atstovas ir NKSC už technines KSP materialiai atsakingas asmuo pasirašo atliktų techninių kibernetinio saugumo priemonių (iš)diegimo darbų aktą.

_______________________

 

 

 

Priedų pakeitimai:

 

1 priedas (nauja redakcija pagal V-38)

 

2 priedas (nauja redakcija pagal V-38)

 

3 priedas (nauja redakcija pagal V-38)

 

 

 

Pakeitimai:

 

1.

Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas

Nr. V-38, 2021-01-20, paskelbta TAR 2021-01-21, i. k. 2021-01008

Dėl Krašto apsaugos ministro 2015 m. gegužės 5 d. įsakymo Nr. V-461 „Dėl Techninių kibernetinio saugumo priemonių diegimo ir valdymo valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėje infrastruktūroje tvarkos aprašo patvirtinimo“ pakeitimo