Suvestinė redakcija nuo 2024-06-14
Įsakymas paskelbtas: TAR 2017-05-22, i. k. 2017-08516
Nauja redakcija nuo 2024-06-14:
Nr. 1R-176, 2024-06-12, paskelbta TAR 2024-06-13, i. k. 2024-10778
LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRAS
ĮSAKYMAS
DĖL LIETUVOS RESPUBLIKOS TEISINGUMO MINISTERIJOS VALDOMŲ IR VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO TVARKOMŲ INFORMACINIŲ SISTEMŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2017 m. gegužės 22 d. Nr. 1R-132
Vilnius
Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, 7.1 papunkčiu, 12, 19, 26 ir 31 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 6 punktu:
1. Tvirtinu Lietuvos Respublikos teisingumo ministerijos valdomų ir valstybės įmonės Registrų centro tvarkomų informacinių sistemų saugos nuostatus (pridedama).
2. Pavedu valstybės įmonei Registrų centrui paskirti:
2.1. Lietuvos Respublikos adresų registro, Įgaliojimų registro, Juridinių asmenų registro, Lietuvos Respublikos gyventojų registro, Sutarčių ir teisių suvaržymo registro, Nekilnojamojo turto registro, Neveiksnių ir ribotai veiksnių asmenų registro, Testamentų registro, Turto arešto aktų registro, Vedybų sutarčių registro ir Politinių organizacijų narių registro informacinių sistemų, Antstolių informacinės sistemos, Juridinių asmenų dalyvių informacinės sistemos, Metrikacijos ir gyvenamosios vietos deklaravimo informacinės sistemos, Piniginių lėšų apribojimų informacinės sistemos, Politinių partijų narių sąrašų informacinės sistemos ir Teisinės pagalbos paslaugų informacinės sistemos (toliau – informacinės sistemos) saugos įgaliotinį (-ius) (asmenį (-is), atsakingą (-us) už kibernetinio saugumo organizavimą ir užtikrinimą);
Teisingumo ministrė Milda Vainiutė
SUDERINTA SUDERINTA
Lietuvos Respublikos vidaus reikalų ministerijos Nacionalinio kibernetinio saugumo centro
2017-04-20 raštu Nr. 1D-2163 2017-03-14 raštu Nr. IS-198
SUDERINTA
Lietuvos antstolių rūmų
2017-05-04 raštu Nr. S-19277-26632
PATVIRTINTA
Lietuvos Respublikos teisingumo ministro
2017 m. gegužės 22 d. įsakymu Nr. 1R-132
(Lietuvos Respublikos teisingumo ministro
2024 m. birželio 12 d. įsakymo Nr. 1R-176
redakcija)
LIETUVOS RESPUBLIKOS TEISINGUMO MINISTERIJOS VALDOMŲ IR VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO TVARKOMŲ INFORMACINIŲ SISTEMŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Lietuvos Respublikos teisingumo ministerijos valdomų ir valstybės įmonės Registrų centro tvarkomų informacinių sistemų saugos nuostatai (toliau – Saugos nuostatai) nustato Lietuvos Respublikos teisingumo ministerijos valdomų ir valstybės įmonės Registrų centro (toliau – Registrų centras) tvarkomų Lietuvos Respublikos adresų registro, Įgaliojimų registro, Juridinių asmenų registro, Lietuvos Respublikos gyventojų registro, Sutarčių ir teisių suvaržymo registro, Nekilnojamojo turto registro, Neveiksnių ir ribotai veiksnių asmenų registro, Politinių organizacijų narių registro, Testamentų registro, Turto arešto aktų registro ir Vedybų sutarčių registro informacinių sistemų, Antstolių informacinės sistemos (šią sistemą tvarko kartu su asociacija Lietuvos antstolių rūmais), Juridinių asmenų dalyvių informacinės sistemos, Metrikacijos ir gyvenamosios vietos deklaravimo informacinės sistemos, Piniginių lėšų apribojimų informacinės sistemos, Teisinės pagalbos paslaugų informacinės sistemos (šią sistemą tvarko kartu su Valstybės garantuojamos teisinės pagalbos tarnyba) ir Teisingumo ministerijos valdomos, kartu su Registrų centru tvarkomos Politinių partijų narių sąrašų informacinės sistemos (toliau kartu – informacinės sistemos) elektroninės informacijos saugos ir kibernetinio saugumo (toliau kartu – el. informacijos sauga) politiką.
2. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas).
3. Saugos nuostatai, atskiru teisingumo ministro įsakymu tvirtinami saugos politiką įgyvendinantys dokumentai (Teisingumo ministerijos valdomų ir Registrų centro tvarkomų informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklės (toliau – el. informacijos saugos taisyklės), informacinių sistemų veiklos tęstinumo valdymo planas ir šių sistemų naudotojų administravimo taisyklės) ir kiti el. informacijos saugos užtikrinimo dokumentai (toliau kartu – saugos dokumentai) taikomi:
3.1. Teisingumo ministerijai (Gedimino pr. 30, 01104 Vilnius) – Adresų registro, Įgaliojimų registro, Juridinių asmenų registro, Gyventojų registro, Sutarčių ir teisių suvaržymo registro, Nekilnojamojo turto registro, Neveiksnių ir ribotai veiksnių asmenų registro, Politinių organizacijų narių registro, Testamentų registro, Turto arešto aktų registro, Vedybų sutarčių registro informacinių sistemų, Antstolių informacinės sistemos, Juridinių asmenų dalyvių informacinės sistemos, Metrikacijos ir gyvenamosios vietos deklaravimo informacinės sistemos, Piniginių lėšų apribojimų informacinės sistemos, Teisinės pagalbos paslaugų informacinės sistemos valdytojai ir Politinių partijų narių sąrašų informacinės sistemos valdytojai (toliau – informacinių sistemų valdytojas) ir tvarkytojai;
3.2. Registrų centrui (Studentų g. 39, 08106 Vilnius) – informacinių sistemų tvarkytojui (toliau – pagrindinis informacinių sistemų tvarkytojas);
3.3. asociacijai Lietuvos antstolių rūmams (Konstitucijos pr. 15, 09237 Vilnius) – Antstolių informacinės sistemos tvarkytojai;
3.4. Valstybės garantuojamos teisinės pagalbos tarnybai (Odminių g. 3, 01122 Vilnius) – Teisinės pagalbos paslaugų informacinės sistemos tvarkytojai;
5. Saugos nuostatų 3 punkte nurodytų saugos politiką įgyvendinančių dokumentų naudojimas yra ribojamas. Informacinių sistemų naudotojams, šioms sistemoms funkcionuoti reikalingų paslaugų teikėjams ir kitiems tretiesiems asmenims suteikiama teisė susipažinti su saugos politiką įgyvendinančiais dokumentais Saugos nuostatų V skyriuje nustatyta tvarka, vadovaujantis būtinumo žinoti principu.
6. El. informacijos saugos užtikrinimo prioritetinės kryptys yra šios:
6.5. informacinių sistemų naudotojų mokymas elektroninės informacijos saugos (kibernetinio saugumo) klausimais;
7. El. informacijos saugos užtikrinimo tikslai yra šie:
7.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti informacinių sistemų elektroninę informaciją;
7.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;
8. Už el. informacijos saugą pagal kompetenciją atsako informacinių sistemų valdytojas ir šių sistemų tvarkytojai.
9. Informacinių sistemų valdytojas atsako už el. informacijos saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.
10. Informacinių sistemų tvarkytojai pagal kompetenciją atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi saugos dokumentuose nustatyta tvarka.
11. Informacinių sistemų valdytojas atlieka šias funkcijas:
11.2. koordinuoja informacinių sistemų tvarkytojų darbą įgyvendinant el. informacijos saugos reikalavimus;
11.4. nagrinėja informacinių sistemų tvarkytojų pasiūlymus dėl el. informacijos saugos priemonių tobulinimo ir priima dėl jų sprendimus;
11.5. prireikus tvirtina informacinių sistemų rizikos vertinimo ir jos valdymo priemonių planą bei informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą;
12. Pagrindinis informacinių sistemų tvarkytojas atlieka šias funkcijas:
12.1. užtikrina tinkamą saugos dokumentų ir kitų informacinių sistemų valdytojo priimtų teisės aktų, susijusių su el. informacijos sauga, įgyvendinimą;
12.2. teikia informacinių sistemų valdytojui pasiūlymus dėl tvarkomų informacinių sistemų el. informacijos saugos priemonių tobulinimo;
12.4. pagal kompetenciją teikia Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos (toliau – Nacionalinis kibernetinio saugumo centras) techninę informaciją, reikalingą informacinių sistemų kibernetiniam saugumui įvertinti, šio centro reikalavimu nurodytais formatais ir terminais arba savo iniciatyva;
12.5. organizuoja ir atlieka informacinių sistemų rizikos ir informacinių technologijų saugos atitikties vertinimą Saugos nuostatų, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas) ir Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos Lietuvos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, (toliau – Saugos atitikties vertinimo metodika) nustatyta tvarka;
12.6. rengia informacinių sistemų rizikos vertinimo ir jos valdymo priemonių planą bei informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą;
12.7. pagal Teisingumo ministerijos, asociacijos Lietuvos antstolių rūmų ir Valstybės garantuojamos teisinės pagalbos tarnybos (toliau – kiti informacinių sistemų tvarkytojai) prašymus suteikia jiems teisę administruoti savo tvarkomų informacinių sistemų naudotojus;
13. Kiti informacinių sistemų tvarkytojai atlieka šias funkcijas:
13.1. užtikrina tinkamą saugos dokumentų ir kitų informacinių sistemų valdytojo priimtų teisės aktų, susijusių su el. informacijos sauga, įgyvendinimą;
13.2. teikia informacinių sistemų valdytojui ir pagrindiniam informacinių sistemų tvarkytojui pasiūlymus dėl tvarkomų informacinių sistemų el. informacijos saugos priemonių tobulinimo;
13.3. užtikrina jų informacinių sistemų naudotojų (darbuotojų) darbo vietose naudojamų administracinių, techninių ir programinių priemonių, užtikrinančių el. informacijos saugą, diegimą ir priežiūrą;
13.4. pagal kompetenciją teikia Nacionaliniam kibernetinio saugumo centrui techninę informaciją, reikalingą informacinių sistemų kibernetiniam saugumui įvertinti, šio centro reikalavimu nurodytais formatais ir terminais;
13.5. pagrindiniam informacinių sistemų tvarkytojui suteikus teisę, registruoja savo tvarkomų informacinių sistemų naudotojus ir suteikia jiems šių sistemų prieigos teises;
14. Pagrindinio informacinių sistemų tvarkytojo paskirtas (-i) saugos įgaliotinis (-iai) atlieka šias funkcijas:
14.1. teikia informacinės sistemos valdytojo vadovui pasiūlymus dėl saugos dokumentų priėmimo ir keitimo;
14.4. koordinuoja el. informacijos saugos incidentų tyrimą ir bendradarbiauja su kompetentingoms institucijoms, tiriančiomis elektroninių ryšių tinklų, elektroninės informacijos saugos incidentus, neteisėtas veikas, susijusias su šiais incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka el. informacijos saugos darbo grupės;
14.5. teikia pagrindinio informacinių sistemų tvarkytojo vadovui pasiūlymus dėl informacinių sistemų administratorių paskyrimo ir reikalavimų jiems nustatymo;
14.6. teikia pagrindinio informacinių sistemų tvarkytojo vadovui pasiūlymus dėl informacinių technologijų saugos atitikties bei rizikos vertinimo;
14.8. pagal kompetenciją teikia kitų informacinių sistemų tvarkytojų paskirtiems saugos įgaliotiniams, šių sistemų administratoriams ir kitiems informacinių sistemų valdytojo ir tvarkytojų darbuotojams privalomus vykdyti nurodymus ir pavedimus, jeigu tai būtina el. informacijos saugos politikai įgyvendinti;
14.9. ne rečiau kaip kartą per kalendorinius metus organizuoja pagrindinio informacinių sistemų tvarkytojo paskirtų informacinių sistemų administratorių ir šių sistemų naudotojų saugos mokymus, reguliariai informuoja juos apie el. informacijos saugos problemas, teikia konsultacijas ir rekomendacijas šios saugos klausimais;
14.10. turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus pagrindinio informacinių sistemų tvarkytojo darbuotojams, jo paskirtiems informacinių sistemų administratoriams ir šių sistemų naudotojams, jeigu tai būtina el. informacijos saugos politikai įgyvendinti;
14.11. teikia pagrindinio informacinių sistemų tvarkytojo paskirtiems informacinių sistemų administratoriams ir šių sistemų naudotojams privalomus vykdyti nurodymus ir pavedimus dėl el. informacijos saugos politikos įgyvendinimo;
14.12. supažindina su saugos dokumentais ir atsakomybe už juose nustatytų reikalavimų nesilaikymą informacinių sistemų (išskyrus Antstolių informacinę sistemą, Teisinės pagalbos paslaugų informacinę sistemą ir Politinių partijų narių sąrašų informacinę sistemą), kurių saugos įgaliotiniu (-iais) jis (jie) yra paskirtas (-iais), naudotojus;
15. Kitų informacinių sistemų tvarkytojų paskirti už el. informacijos saugą atsakingi asmenys koordinuoja ir prižiūri, kaip įgyvendinami el. informacijos saugos reikalavimai jų informacinių sistemų naudotojų (darbuotojų) darbo vietose.
17. Pagrindinio informacinių sistemų tvarkytojo paskirti informacinių sistemų administratoriai pagal atliekamas funkcijas skirstomi į šias grupes:
17.1. informacinių sistemų naudotojų administratoriai, kurie atlieka funkcijas, susijusias su informacinių sistemų naudotojų teisių valdymu;
17.2. komponentų administratoriai, kurie atlieka funkcijas, susijusias su informacinių sistemų komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazėmis ir jų valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo ir prevencijos sistemomis, elektroninės informacijos perdavimo tinklais, duomenų saugyklomis, bylų serveriais ir kita technine ir programine įranga, kurios pagrindu funkcionuoja informacinės sistemos ir užtikrinama jose tvarkomos el. informacijos sauga bei informacinių sistemų komponentų sąranka);
18. Pagrindinio informacinių sistemų tvarkytojo paskirti informacinių sistemų administratoriai privalo vykdyti visus pagrindinio informacinių sistemų tvarkytojo paskirto (-ų) saugos įgaliotinio (-ių) nurodymus ir pavedimus dėl el. informacijos saugos užtikrinimo, pagal kompetenciją reaguoti į el. saugos incidentus ir nuolat teikti šiam saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.
19. Informacinių sistemų administratoriai, atlikdami informacinių sistemų sąrankos pakeitimus, turi laikytis informacinių sistemų pokyčių valdymo tvarkos apraše, tvirtinamame informacinių sistemų valdytojo, nustatytos pokyčių valdymo tvarkos.
20. Informacinių sistemų administratoriai privalo reguliariai – ne rečiau kaip kartą per metus ir (arba) po informacinių sistemų pokyčių, kurių kategorijos nustatomos informacinių sistemų valdytojo tvirtinamame informacinių sistemų pokyčių valdymo tvarkos apraše, tikrinti (peržiūrėti) informacinių sistemų sąranką ir jų būsenos rodiklius.
21. Saugos įgaliotiniai ir informacinių sistemų administratoriai gali būti skiriami kelioms pagrindinio informacinių sistemų tvarkytojo tvarkomoms informacinėms sistemoms, posistemiams, funkciškai savarankiškoms sudedamosioms dalims ar tam tikroms saugos įgaliotinio ir administratoriaus funkcijoms atlikti. Jeigu skiriami saugos įgaliotiniai ir administratoriai atskirai kiekvienai tvarkomai informacinei sistemai, posistemiui, funkciškai savarankiškoms sudedamosioms dalims ar tam tikroms saugos įgaliotinio ir administratoriaus funkcijoms atlikti, teisės akte, kuriuo jie skiriami, turi būti aiškiai nurodyta, kokiai informacinei sistemai, posistemiui, funkciškai savarankiškoms sudedamosioms dalims ar kurioms saugos įgaliotinio ir administratoriaus funkcijoms atlikti paskiriamas konkretus saugos įgaliotinis ir administratorius. Taip pat šiuo teisės aktu turi būti pavesta vienam iš saugos įgaliotinių ir informacinių sistemų administratorių koordinuoti šių saugos įgaliotinių ir administratorių veiklą.
22. Teisės aktai, kuriais vadovaujamasi tvarkant informacinių sistemų elektroninę informaciją ir užtikrinant el. informacijos saugą:
22.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) su visais pakeitimais;
22.6. Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2023 m. liepos 19 d. nutarimu Nr. 576 „Dėl Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašo patvirtinimo“;
22.7. Valstybės informacinių išteklių svarbos vertinimo metodika, patvirtinta Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. liepos 19 d. įsakymu Nr. 4-418 „Dėl Valstybės informacinių išteklių svarbos vertinimo metodikos patvirtinimo“;
22.10. Techninių ir organizacinių reikalavimų, taikomų valstybiniams duomenų centrams ir Lietuvos Respublikoje ar kitose Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (ar) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esantiems duomenų centrams, kuriuose laikomi valstybės informaciniai ištekliai, aprašas, patvirtintas Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. gegužės 10 d. įsakymu Nr. 4-249 „Dėl Techninių ir organizacinių reikalavimų, taikomų valstybiniams duomenų centrams ir Lietuvos Respublikoje ar kitose Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (ar) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esantiems duomenų centrams, kuriuose laikomi valstybės informaciniai ištekliai, aprašo ir Valstybinių duomenų centrų sąrašo patvirtinimo“;
II skyrius
Elektroninės informacijos saugos valdymas
23. Informacinėse sistemose tvarkoma elektroninė informacija priskiriama šių rūšių valstybės informaciniams ištekliams:
23.1. ypatingos svarbos valstybės informaciniams ištekliams – Adresų registro, Juridinių asmenų registro, Gyventojų registro, Sutarčių ir teisių suvaržymo registro, Turto arešto aktų registro, Nekilnojamojo turto registro, Neveiksnių ir ribotai veiksnių asmenų registro informacinėse sistemose ir Metrikacijos ir gyvenamosios vietos deklaravimo informacinėje sistemoje tvarkoma elektroninė informacija;
23.2. svarbiems valstybės informaciniams ištekliams – Įgaliojimų registro, Testamentų registro ir Vedybų sutarčių registro informacinėse sistemose, Antstolių informacinėje sistemoje, Juridinių asmenų dalyvių informacinėje sistemoje ir Piniginių lėšų apribojimų informacinėje sistemoje tvarkoma elektroninė informacija;
24. Informacinių sistemų rizikos vertinimas organizuojamas taip:
24.1. Pagrindinio informacinių sistemų tvarkytojo paskirtas (-i) saugos įgaliotinis (-iai), atsižvelgdamas (-i) į Nacionalinio kibernetinio saugumo centro interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo technika“ standartus, kasmet arba po esminių organizacinių ar sisteminių informacinių sistemų pokyčių, organizuoja informacinių sistemų rizikos vertinimą. Šis vertinimas gali būti atliekamas kartu su informacinių technologijų saugos atitikties vertinimu. Prireikus pagrindinio informacinių sistemų tvarkytojo paskirtas (-i) saugos įgaliotinis (-iai) gali organizuoti neeilinį informacinių sistemų rizikos vertinimą. Informacinių sistemų rizikos vertinimą rekomenduojama įtraukti į informacinių sistemų tvarkytojų veiklos rizikos vertinimo procesus.
24.2. Organizuojant rizikos vertinimą turi būti paskirtas už rizikos vertinimą, rizikos vertinimo proceso priežiūrą ir nuolatinį tobulinimą atsakingas asmuo. Atsakingu asmeniu gali būti skiriamas informacinių sistemų tvarkytojo darbuotojas arba sudaroma sutartis su rizikos vertinimo, rizikos vertinimo proceso priežiūros ir nuolatinio tobulinimo paslaugas teikiančiu subjektu, kurio kvalifikacijos reikalavimai nustatomi pirkimo dokumentuose.
24.3. Rizikos vertinimo metu turi būti:
24.3.1. nustatomos grėsmės ir pažeidžiamumai, galintys turėti įtakos informacinių sistemų el. informacijos saugai;
24.3.4. nustatomi rizikos vertinimo proceso reikalavimai, rizikos išdėstymo pagal prioritetus kriterijai ir priimtinas rizikos lygis;
24.4. Informacinių sistemų rizikos vertinimo rezultatai išdėstomi rizikos vertinimo ataskaitoje, kuri pateikiama informacinių sistemų valdytojo ir pagrindinio tvarkytojo vadovams. Ši ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos el. informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Rizikos veiksniai ataskaitoje išdėstomi pagal prioritetus ir priimtiną rizikos lygį. Svarbiausi rizikos veiksniai yra šie:
24.4.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas šios informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais triktys, programinės įrangos klaidos, netinkamas veikimas ir kita);
24.4.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
24.4.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
25. Informacinių sistemų informacinių technologijų saugos atitikties vertinimas turi būti:
25.1. organizuojamas siekiant užtikrinti saugos dokumentuose nustatytų el. informacijos saugos reikalavimų įgyvendinimo organizavimą ir kontrolę;
26. Rizikos vertinimo ataskaita ir prireikus pastebėtų trūkumų šalinimo planas pateikiami informacinių sistemų valdytojo vadovui. Prireikus pastebėtų trūkumų šalinimo planą tvirtina, atsakingus vykdytojus paskiria ir šio plano įgyvendinimo terminus nustato informacinių sistemų valdytojo vadovas.
27. Pagrindinis informacinių sistemų tvarkytojas rizikos vertinimo ataskaitos, informacinių technologijų saugos atitikties vertinimo ataskaitos, rizikos vertinimo ir jos valdymo priemonių plano ir pastebėtų trūkumų šalinimo plano kopijas ne vėliau kaip per 5 darbo dienas nuo šių dokumentų patvirtinimo dienos pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. nutarimu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.
28. Atsižvelgiant į atlikto rizikos vertinimo rezultatus, taip pat jeigu atliekamų informacinių sistemų informacinių technologijų saugos atitikties vertinimo metu nustatoma kibernetinių incidentų valdymo ir šalinimo ar informacinių sistemų tvarkytojų nepertraukiamos veiklos užtikrinimo trūkumų, atitinkamai turi būti tobulinami teisingumo ministro įsakymu tvirtinami Teisingumo ministerijos valdomų ir Registrų centro tvarkomų informacinių sistemų veiklos tęstinumo valdymo planas ir (arba) kibernetinių ir elektroninės informacijos saugos incidentų valdymo planas. Šių planų veiksmingumo išbandymo rezultatai išdėstomi informacinių sistemų veiklos tęstinumo planų valdymo veiksmingumo išbandymo ir pastebėtų trūkumų ataskaitose, kurių kopijos ne vėliau kaip per 5 darbo dienas nuo šių dokumentų patvirtinimo dienos pateikiamos Nacionaliniam kibernetinio saugumo centrui.
29. El. informacijos saugos būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis el. informacijos saugos priemonėmis vadovaujantis šiais principais:
III skyrius
Organizaciniai ir techniniai reikalavimai
30. Organizaciniai ir techniniai el. informacijos saugos reikalavimai nustatomi pagal Saugos nuostatų 23 punkte nurodytas valstybės informacinių išteklių rūšis (svarbumą) ir vadovaujantis Saugos nuostatų 22 punkte nurodytais teisės aktais.
31. Kibernetinio saugumo priemonės, nurodytos saugos dokumentuose, remiantis Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo priedu, turi būti diegiamos atsižvelgiant į naujausius technikos laimėjimus, vadovaujantis gamintojo pateikiama bent viena gerąja saugumo praktikos rekomendacija.
32. Organizacinių ir techninių el. informacijos saugos priemonių užtikrinimas turi būti grindžiamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos el. informacijos saugai, rizikos vertinimu, atsižvelgiant į naujausius technikos laimėjimus.
33. Pagrindiniai organizaciniai ir techniniai el. informacijos saugos reikalavimai:
33.1. Turi būti naudojama ir operatyviai atnaujinama programinė įranga, skirta informacinei sistemai apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamų elektroninių laiškų ir pan.). Šios programinės įrangos naudojimo ir atnaujinimo reikalavimai (ilgiausias leistinas programinės įrangos neatnaujinimo laikas ir kita) nustatomi el. informacijos saugos taisyklėse.
33.2. Informacinių sistemų techninėje įrangoje ir vidinių informacinių sistemų naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo ir atnaujinimo reikalavimai nustatomi el. informacijos saugos taisyklėse.
33.3. Turi būti naudojama kompiuterių tinklo filtravimo įranga (užkardos, turinio kontrolės sistemos, įgaliotieji serveriai (angl. proxy) ir kita). Kompiuterių tinklo filtravimo įrangos naudojimo tvarka nustatoma el. informacijos saugos taisyklėse.
33.4. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, turi būti naudojamas šifravimas, virtualus privatus tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą (nuotolinio prisijungimo prie informacinių sistemų būdai, protokolai, elektroninės informacijos keitimosi formatai, šifravimo, elektroninės informacijos kopijų skaičiaus reikalavimai, reikalavimai teikti ir (ar) gauti elektroninę informaciją automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas ir panašiai), nustatomi el. informacijos saugos taisyklėse.
33.5. Stacionarius kompiuterius leidžiama naudoti tik informacinių sistemų valdytojo ir informacinių sistemų tvarkytojų patalpose. Nešiojamiesiems kompiuteriams, išnešamiems iš informacinių sistemų valdytojo ar informacinių sistemų tvarkytojų patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimas ir panašiai).
34. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
34.1. Atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną informacinių sistemų neveikimo laikotarpį (angl. recovery time objective).
34.2. Atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokia apimtimi, kad informacinių sistemų veiklos sutrikimo, el. informacijos saugos incidento ar elektroninės informacijos vientisumo praradimo atvejais šių sistemų neveikimo laikotarpis nebūtų ilgesnis, nei teisės aktais nustatyta valstybės informacinių sistemų ištekliams, nurodytiems Saugos nuostatų 23 punkte, atsižvelgus į jų svarbumą.
34.3. Atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau, nei nustatyta el. informacijos saugos taisyklėse.
34.4. Elektroninė informacija atsarginėse elektroninės informacijos kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo atsarginių elektroninės informacijos kopijų) arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos.
34.5. Atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje kitose patalpose, nei yra informacinių sistemų tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate.
34.6. Periodiškai, bet ne rečiau kaip kartą per pusmetį turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai.
IV skyrius
REIKALAVIMAI PERSONALUI
35. Informacinių sistemų naudotojų, saugos įgaliotinių ir pagrindinio informacinių sistemų tvarkytojo skiriamų informacinių sistemų administratorių kvalifikaciniai reikalavimai yra šie:
35.1. Visi informacinių sistemų naudotojai privalo turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti tvarkyti elektroninę informaciją, būti susipažinę su teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, informacinių sistemų elektroninės informacijos tvarkymą. Asmenys, tvarkantys duomenis ir informaciją, privalo saugoti jų paslaptį ir būti pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą.
35.2. Informacinių sistemų saugos įgaliotinis (asmuo, atsakingas už kibernetinį saugumą) privalo išmanyti el. informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją el. informacijos saugos srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų, reguliuojančių el. informacijos saugą, nuostatomis. Turi būti sudarytos sąlygos saugos įgaliotiniui kelti kvalifikaciją. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikalstamas veikas (pavyzdžiui, už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui), taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo šių ryšių tinklo veikimui, už savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
35.3. Informacinių sistemų administratoriai pagal kompetenciją privalo išmanyti el. informacijos saugos užtikrinimo principus, mokėti užtikrinti informacinių sistemų ir jose tvarkomos el. informacijos saugą, administruoti ir prižiūrėti informacinių sistemų komponentus (stebėti šių sistemų komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti informacinių sistemų komponentų nepertraukiamą funkcionavimą ir pan.).
36. Informacinių sistemų naudotojų mokymų planavimas ir organizavimas:
36.1. Saugos įgaliotiniai savo organizacijose periodiškai, kartą į metus, inicijuoja, organizuoja ir koordinuoja informacinių sistemų naudotojų mokymus el. informacijos saugos klausimais, periodiškai informuodami juos apie šios saugos problemas (pavyzdžiui, priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems informacinių sistemų naudotojams).
36.2. Mokymai el. informacijos saugos klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į el. informacijos saugos užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas diegti technologijas (techninę ar programinę įrangą), informacinių sistemų naudotojų poreikius.
36.3. Mokymai gali būti vykdomi tiesiogiai (paskaitos, seminarai, konferencijos, kiti teminiai renginiai) ar nuotoliniu būdu (vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.).
V SKYRIUS
INFORMACINIŲ SISTEMŲ naudotojų, administratorių ir kitų suinteresuotų šalių supažindinimo su saugos dokumentais principai
38. Informacinių sistemų naudotojų ir šių sistemų administratorių supažindinimą su saugos dokumentais ir atsakomybe už saugos dokumentų nuostatų pažeidimus organizuoja saugos įgaliotiniai.
39. Supažindinimo su saugos dokumentais būdai turi būti pasirenkami atsižvelgiant į informacinių sistemų specifiką (pavyzdžiui, organizacinių ir (ar) techninių priemonių, leidžiančių identifikuoti su saugos dokumentais susipažinusį asmenį ir užtikrinančių supažindinimo procedūros įrodomąją (teisinę) galią, panaudojimo galimybes). Asmenys su saugos dokumentais supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą. Informacinių sistemų funkcionavimą užtikrinančius paslaugų teikėjus ir kitus trečiuosius asmenis su saugos dokumentais, atsakomybe už jų reikalavimų pažeidimus supažindina už sutarties vykdymą atsakingas asmuo.
40. Pakartotinai su saugos dokumentais informacinių sistemų naudotojai, šių sistemų administratoriai ir kiti asmenys supažindinami tik iš esmės pasikeitus informacinių sistemų ir (arba) el. informacijos saugą reglamentuojantiems teisės aktams.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
42. Saugos įgaliotiniai, informacinių sistemų administratoriai, naudotojai, šių sistemų priežiūros paslaugų teikėjai, pažeidę saugos dokumentų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.
43. Saugos dokumentai turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos vertinimą ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems informacinių sistemų valdytojo pokyčiams. Persvarsčius (peržiūrėjus) saugos dokumentus, turi būti nustatoma, kuriuos iš juose nustatytų el. informacijos saugos reikalavimų būtina atnaujinti ir (ar) įgyvendinti pirmiausia, siekiant užtikrinti informacinių sistemų saugą ir kibernetinį saugumą.
Pakeitimai:
1.
Lietuvos Respublikos teisingumo ministerija, Įsakymas
Nr. 1R-128, 2018-07-18, paskelbta TAR 2018-07-18, i. k. 2018-12149
Dėl teisingumo ministro 2017 m. gegužės 22 d. įsakymo Nr. 1R-132 „Dėl Valstybės įmonės registrų centro tvarkomų registrų ir informacinių sistemų duomenų saugos nuostatų patvirtinimo“ pakeitimo
2.
Lietuvos Respublikos teisingumo ministerija, Įsakymas
Nr. 1R-163, 2018-08-28, paskelbta TAR 2018-08-28, i. k. 2018-13501
Dėl teisingumo ministro 2017 m. gegužės 22 d. įsakymo Nr. 1R-132 „Dėl Valstybės įmonės Registrų centro tvarkomų registrų ir informacinių sistemų duomenų saugos nuostatų patvirtinimo“ pakeitimo
3.
Lietuvos Respublikos teisingumo ministerija, Įsakymas
Nr. 1R-264, 2018-12-05, paskelbta TAR 2018-12-05, i. k. 2018-19787
Dėl teisingumo ministro 2017 m. gegužės 22 d. įsakymo Nr.1R-132 „Dėl Valstybės įmonės Registrų centro tvarkomų registrų ir informacinių sistemų duomenų saugos nuostatų patvirtinimo“ pakeitimo
4.
Lietuvos Respublikos teisingumo ministerija, Įsakymas
Nr. 1R-176, 2024-06-12, paskelbta TAR 2024-06-13, i. k. 2024-10778
Dėl teisingumo ministro 2017 m. gegužės 22 d. įsakymo Nr. 1R-132 „Dėl valstybės įmonės Registrų centro tvarkomų registrų ir informacinių sistemų duomenų saugos nuostatų patvirtinimo“ pakeitimo