Suvestinė redakcija nuo 2021-01-22
Įsakymas paskelbtas: TAR 2015-05-06, i. k. 2015-06797
LIETUVOS RESPUBLIKOS KRAŠTO APSAUGOS
MINISTRAS
ĮSAKYMAS
DĖL TECHNINIŲ KIBERNETINIO SAUGUMO PRIEMONIŲ DIEGIMO IR VALDYMO VALSTYBĖS INFORMACINIUOSE IŠTEKLIUOSE IR YPATINGOS SVARBOS INFORMACINĖJE INFRASTRUKTŪROJE TVARKOS APRAŠO PATVIRTINIMO
2015 m. gegužės 5 d. Nr. V-461
Vilnius
Vadovaudamasis Lietuvos Respublikos kibernetinio saugumo įstatymo 6 straipsnio 9 dalimi,
Preambulės pakeitimai:
Nr. V-38, 2021-01-20, paskelbta TAR 2021-01-21, i. k. 2021-01008
t v i r t i n u Techninių kibernetinio saugumo priemonių diegimo ir valdymo valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėje infrastruktūroje tvarkos aprašą (pridedama).
PATVIRTINTA
Lietuvos Respublikos
krašto apsaugos ministro
2015 m. gegužės 5 d.
įsakymu Nr. V-461
(Lietuvos Respublikos
krašto apsaugos ministro
2021 m. sausio 20 d.
įsakymo Nr. V-38 redakcija)
TECHNINIŲ KIBERNETINIO SAUGUMO PRIEMONIŲ DIEGIMO IR VALDYMO VALSTYBĖS INFORMACINIUOSE IŠTEKLIUOSE IR YPATINGOS SVARBOS INFORMACINĖJE INFRASTRUKTŪROJE TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Techninių kibernetinio saugumo priemonių diegimo ir valdymo valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėje infrastruktūroje tvarkos aprašas (toliau – Aprašas) nustato Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos valdomos techninės ir programinės įrangos, skirtos kibernetiniam saugumui užtikrinti, diegimo planavimo, vykdymo bei valdymo procedūras valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėje infrastruktūroje.
2. Techninių kibernetinio saugumo priemonių (toliau – techninės KSP) diegimo tikslai – užtikrinti valstybės informacinių išteklių valdytojų ir (ar) tvarkytojų bei ypatingos svarbos informacinės infrastruktūros valdytojų (toliau – techninių KSP gavėjai) didesnį atsparumą kibernetiniams incidentams, techninėmis KSP identifikuojant, surenkant, perduodant duomenis iš ypatingos svarbos informacinės infrastruktūros ir valstybės informacinių išteklių, reikalingus kibernetiniams incidentams aptikti.
3. Techninėmis KSP surenkami duomenys yra kaupiami ir tvarkomi Kibernetinio saugumo informaciniame tinkle, vadovaujantis Kibernetinio saugumo informacinio tinklo nuostatais, patvirtintais krašto apsaugos ministro 2019 m. lapkričio 27 d. įsakymu Nr. V-998 „Dėl Kibernetinio saugumo informacinio tinklo nuostatų patvirtinimo“.
4. Aprašas taikomas Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos (toliau – NKSC), atliekančiam techninių KSP diegimą, priežiūrą ir valdymą, ir techninių KSP gavėjams.
II SKYRIUS
TECHNINIŲ KIBERNETINIO SAUGUMO PRIEMONIŲ DIEGIMO PLANO RENGIMAS
7. NKSC, su techninių KSP gavėjais suderinęs techninių KSP diegimo terminus, rengia techninių KSP diegimo planą (toliau – Planas) ir iki einamųjų metų pabaigos teikia tvirtinti krašto apsaugos ministrui.
8. NKSC technines KSP diegia tik pagal patvirtintą Planą, išskyrus Aprašo IV skyriuje nurodytus atvejus.
9. Ypatingos svarbos informacinės infrastruktūros objektai į Planą įtraukiami prioritetą skiriant pagal suminio svarbos balo dydį, pradedant nuo aukščiausio svarbos balo. Svarbos balas nustatomas vadovaujantis Ypatingos svarbos informacinės infrastruktūros identifikavimo metodikos, patvirtintos Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos Kibernetinio saugumo įstatymo įgyvendinimo“, 2 priedo „Infrastruktūros objektų, užtikrinančių ypatingos svarbos paslaugų teikimą, vertinimo klausimynas“ duomenimis.
10. Valstybės informaciniai ištekliai į Planą įtraukiami po ypatingos svarbos informacinės infrastruktūros objektų, prioritetą skiriant pagal informacinės sistemos svarbos kategoriją. Valstybės informacinių išteklių svarbos kategorijos nustatomos vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“.
11. Plane nurodoma:
11.2. ryšių ir informacinės sistemos, į kurias bus diegiamos techninės KSP arba iš kurių techninės KSP pašalinamos;
12. Planas atnaujinamas ne vėliau kaip per 30 dienų pasikeitus ypatingos svarbos informacinės infrastruktūros sąrašui, likvidavus instituciją, į kurios infrastruktūrą yra įdiegtos techninės KSP, NKSC ir (arba) Krašto apsaugos ministerijai gavus informaciją apie grėsmes Lietuvoje teikiamoms ypatingos svarbos paslaugoms, kurių stebėjimas ir valdymas būtų užtikrinamas įdiegus technines KSP.
III SKYRIUS
TECHNINIŲ KIBERNETINIO SAUGUMO PRIEMONIŲ DIEGIMAS
13. Patvirtinus Planą NKSC apie diegimą raštu informuoja techninių KSP gavėjus. NKSC, informuodamas KSP gavėją, pateikia diegimo projektą, kuriame nurodoma principinė techninių KSP diegimo schema, diegimo etapai ir techniniai reikalavimai techninių KSP gavėjų ryšių ir informacinėms sistemoms.
14. Techninių reikalavimų, skirtų techninių KSP gavėjų ryšių ir informacinėms sistemoms, sąraše nurodomi šie duomenys:
15. Techninių KSP gavėjai iki Plane nurodyto KSP diegimo termino sudaro sąlygas įdiegti technines KSP pagal NKSC pateiktą diegimo projektą.
16. Techninių KSP fiziniai komponentai turi būti paženklinti NKSC saugumo užklijomis taip, kad būtų galima aiškiai jas atpažinti ir nebūtų galima atidaryti techninių KSP ar pakeisti atskirų jų mazgų nepažeidžiant užklijų.
IV SKYRIUS
TECHNINIŲ KIBERNETINIO SAUGUMO PRIEMONIŲ DIEGIMAS KIBERNETINIO INCIDENTO METU
18. Techninių KSP gavėjui pranešus NKSC apie kibernetinį incidentą ir neturint galimybių pašalinti kibernetinio incidento šaltinio, NKSC, siekdamas užtikrinti techninių KSP gavėjų teikiamų paslaugų tęstinumą, diegia technines KSP, gavęs sutikimą dėl kibernetinio saugumo priemonių diegimo (3 priedas).
V SKYRIUS
FUNKCIJOS, TEISĖS IR PAREIGOS
20. NKSC, įdiegęs ir valdydamas technines KSP, informuoja techninių KSP gavėjus apie techninėmis KSP užfiksuotus kibernetinius incidentus ir pagal kompetenciją teikia pagalbą juos valdant.
21. Techninių KSP gavėjų, į kurių ryšių ir informacines sistemas yra diegiamos ar yra įdiegtos NKSC valdomos techninės KSP, pareigos:
21.1. pagal Aprašo 14 ir 15 punktus pateikti reikalingą informaciją bei parengti infrastruktūrą techninėms KSP įdiegti;
21.2. paskirti technines KSP diegti padedantį asmenį ir už NKSC perduotas technines KSP atsakingą asmenį, kai šios susideda iš fizinių įrangos komponentų;
21.3. atlyginti žalą už sugadintas arba prarastas technines KSP, kai šios susideda iš fizinių įrangos komponentų;
21.5. prieš 2 kalendorines dienas pateikti NKSC informaciją apie keičiamą ryšių ir informacinių sistemų, kuriose yra įdiegtos techninės KSP, topologiją, informuoti apie planuojamus darbus ryšių ir informacinėse sistemose, o apie gedimus ir elektros tiekimo sutrikimus pranešti nedelsiant, bet ne vėliau kaip per 48 val.;
22. KSP gavėjams pateikus prašymą atidėti techninių KSP diegimo terminą ar pateikus kitą alternatyvų sprendimą, NKSC, vertindamas tokio prašymo pagrįstumą ar siūlomo sprendimo galimybę, turi teisę atvykti į techninių KSP gavėjų patalpas ir vietoje įvertinti siūlomo sprendimo pagrįstumą.
23. Techninės KSP išdiegiamos pagal Planą, techninėms KSP nusidėvėjus, sugedus arba pasikeitus technologinėms aplinkybėms, neleidžiančioms techninėms KSP efektyviai veikti, arba kai techninių KSP gavėjai nebeatitinka ypatingos svarbos informacinės infrastruktūros ar valstybės informacinių išteklių valdytojo ir (ar) tvarkytojo statuso.
Priedų pakeitimai:
1 priedas (nauja redakcija pagal V-38)
2 priedas (nauja redakcija pagal V-38)
3 priedas (nauja redakcija pagal V-38)
Pakeitimai:
1.
Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas
Nr. V-38, 2021-01-20, paskelbta TAR 2021-01-21, i. k. 2021-01008
Dėl Krašto apsaugos ministro 2015 m. gegužės 5 d. įsakymo Nr. V-461 „Dėl Techninių kibernetinio saugumo priemonių diegimo ir valdymo valstybės informaciniuose ištekliuose ir ypatingos svarbos informacinėje infrastruktūroje tvarkos aprašo patvirtinimo“ pakeitimo