Suvestinė redakcija nuo 2018-08-29 iki 2018-12-05

 

Įsakymas paskelbtas: TAR 2017-05-22, i. k. 2017-08516

 

 

 

LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRAS

 

ĮSAKYMAS

DĖL VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO TVARKOMŲ REGISTRŲ IR INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2017 m. gegužės 22 d. Nr.  1R-132

Vilnius

 

 

Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 12, 19, 26, 31 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, 5 punktu, Tipinio kibernetinių incidentų valdymo ypatingos svarbos informacinėse infrastruktūrose plano,  patvirtinto Lietuvos Respublikos Vyriausybės 2016 m. liepos 20 d. nutarimu Nr. 746 „Dėl Tipinio kibernetinių incidentų valdymo ypatingos svarbos informacinėse infrastruktūrose plano patvirtinimo“, 9 punktu:

1Tvirtinu Valstybės įmonės Registrų centro tvarkomų registrų ir informacinių sistemų duomenų saugos nuostatus (pridedama).

2Pavedu valstybės įmonei Registrų centrui:

2.1. paskirti valstybės įmonės Registrų centro tvarkomų Įgaliojimų registro, Juridinių asmenų registro, Lietuvos Respublikos adresų registro, Lietuvos Respublikos gyventojų registro, Lietuvos Respublikos hipotekos registro, Nekilnojamojo turto kadastro, Nekilnojamojo turto registro, Neveiksnių ir ribotai veiksnių asmenų registro, Sutarčių registro, Testamentų registro, Turto arešto aktų registro, Vedybų sutarčių registro, Antstolių informacinės sistemos, Elektroninio dokumentų archyvo informacinės sistemos, Juridinių asmenų dalyvių informacinės sistemos, Licencijų informacinės sistemos, Metrikacijos ir gyvenamosios vietos deklaravimo informacinės sistemos, Piniginių lėšų apribojimų informacinės sistemos, Politinių partijų narių sąrašų informacinės sistemos, Teisinės pagalbos paslaugų informacinės sistemos (toliau – informacinės sistemos) saugos įgaliotinį;

Papunkčio pakeitimai:

Nr. 1R-163, 2018-08-28, paskelbta TAR 2018-08-28, i. k. 2018-13501

 

2.2. paskirti valstybės įmonės Registrų centro tvarkomų informacinių sistemų administratorius ir darbuotoją, kontroliuojantį informacinių sistemų priežiūros funkcijas teikiančio paslaugų teikėjo darbą, jei tokios funkcijos paslaugų teikėjui perduotos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka;

2.3. paskirti kompetentingą asmenį ar padalinį, atsakingą už kibernetinio saugumo organizavimą ir užtikrinimą;

2.4. per 3 mėnesius nuo šio įsakymo įsigaliojimo parengti ir pateikti Lietuvos Respublikos teisingumo ministerijai informacinių sistemų elektroninės informacijos saugos politiką įgyvendinančių dokumentų projektus.

3Skiriu Lietuvos Respublikos teisingumo ministerijos Teisinių institucijų departamento Informacinių išteklių koordinavimo skyriaus vyriausiąją specialistę Žaną Jerochovienę Politinių partijų narių sąrašų informacinės sistemos naudotojų administratore.

4Pripažįstu netekusiais galios:

4.1. Lietuvos Respublikos teisingumo ministro 2007 m. spalio 4 d. įsakymą Nr. 1R-389
„Dėl valstybės įmonės Registrų centro tvarkomų registrų duomenų saugos nuostatų patvirtinimo ir saugos įgaliotinio skyrimo“ su visais pakeitimais ir papildymais;

4.2. Lietuvos Respublikos teisingumo ministro 2011 m. sausio 20 d. įsakymą Nr. 1R-24 „Dėl Antstolių informacinės sistemos duomenų saugos nuostatų patvirtinimo“ su visais pakeitimais ir papildymais;

4.3. Lietuvos Respublikos teisingumo ministro 2015 m. balandžio 9 d. įsakymą Nr. 1R-96 „Dėl valstybės įmonės Registrų centro tvarkomų antros kategorijos informacinių sistemų duomenų saugos nuostatų patvirtinimo“;

4.4. Lietuvos Respublikos teisingumo ministro 2015 m. balandžio 22 d. įsakymą Nr. 1R-106 „Dėl valstybės įmonės Registrų centro tvarkomų Lietuvos Respublikos hipotekos, Turto arešto aktų, Testamentų, Vedybų sutarčių, Sutarčių, Neveiksnių ir ribotai veiksnių asmenų, Įgaliojimų registrų ir Politinių partijų narių sąrašų informacinės sistemos duomenų saugos nuostatų patvirtinimo, saugos įgaliotinio, administratorių skyrimo ir saugos politiką įgyvendinančių dokumentų rengimo“ su visais pakeitimais ir papildymais.

 

 

Teisingumo ministrė                                                                                                       Milda Vainiutė            

 

SUDERINTA                                                               SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos         Nacionalinio kibernetinio saugumo centro

2017-04-20 raštu Nr. 1D-2163                                     2017-03-14 raštu Nr. IS-198

 

 

SUDERINTA                                                              

Lietuvos antstolių rūmų    

2017-05-04 raštu Nr. S-19277-26632

 

PATVIRTINTA

Lietuvos Respublikos teisingumo ministro

2017 m. gegužės 22 d. d. įsakymu

Nr. 1R-132

 

VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO TVARKOMŲ REGISTRŲ IR INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Valstybės įmonės Registrų centro tvarkomų registrų ir informacinių sistemų duomenų saugos nuostatai (toliau – saugos nuostatai) reglamentuoja valstybės įmonės Registrų centro tvarkomų Įgaliojimų registro, Juridinių asmenų registro, Lietuvos Respublikos adresų registro, Lietuvos Respublikos gyventojų registro, Lietuvos Respublikos hipotekos registro, Nekilnojamojo turto kadastro, Nekilnojamojo turto registro, Neveiksnių ir ribotai veiksnių asmenų registro, Sutarčių registro, Testamentų registro, Turto arešto aktų registro, Vedybų sutarčių registro, Antstolių informacinės sistemos, Elektroninio dokumentų archyvo informacinės sistemos, Juridinių asmenų dalyvių informacinės sistemos, Licencijų informacinės sistemos, Metrikacijos ir gyvenamosios vietos deklaravimo informacinės sistemos, Piniginių lėšų apribojimų informacinės sistemos, Politinių partijų narių sąrašų informacinės sistemos, Teisinės pagalbos paslaugų informacinės sistemos (toliau – informacinės sistemos) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką.

Punkto pakeitimai:

Nr. 1R-163, 2018-08-28, paskelbta TAR 2018-08-28, i. k. 2018-13501

 

2.  Saugos nuostatuose vartojamos sąvokos:

2.1. elektroninė informacija duomenys, dokumentai ir informacija, tvarkomi Registrų centro tvarkomose informacinėse sistemose;

2.2. informacinių sistemų administratorius – Registrų centro darbuotojas, dirbantis pagal darbo sutartį, ar Lietuvos Respublikos teisingumo ministerijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis informacines sistemas ir (ar) jų infrastruktūrą, užtikrinantis jų veikimą, elektroninės informacijos saugą (kibernetinį saugumą), ar kitas asmuo (asmenų grupė), kuriam (kuriai) Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos informacinių sistemų ir (ar) jų infrastruktūros priežiūros funkcijos;

2.3. informacinių sistemų komponentai – kompiuteriai, operacinės sistemos, duomenų bazės ir jų valdymo sistemos, taikomųjų programų sistemos, užkardos, įsilaužimų aptikimo ir prevencijos sistemos, elektroninės informacijos perdavimo tinklai, duomenų saugyklos, bylų serveriai ir kita techninė ir programinė įranga, kurios pagrindu funkcionuoja informacinės sistemos ir užtikrinama jose tvarkomos elektroninės informacijos sauga (kibernetinis saugumas);

2.4. informacinių sistemų naudotojas – Registrų centro, asociacijos Lietuvos antstolių rūmų, Valstybės garantuojamos teisinės pagalbos tarnybos darbuotojas, dirbantis pagal darbo sutartį, ar Lietuvos Respublikos teisingumo ministerijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, ar kitas asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją;

Papunkčio pakeitimai:

Nr. 1R-163, 2018-08-28, paskelbta TAR 2018-08-28, i. k. 2018-13501

 

2.5. informacinių sistemų saugos įgaliotinis (toliau – saugos įgaliotinis) – informacinių sistemų tvarkytojo paskirtas darbuotojas, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis elektroninės informacijos saugos (kibernetinio saugumo) politikos įgyvendinimą informacinėse sistemose;

2.6. išorinis informacinių sistemų naudotojas – su Registrų centru, asociacija Lietuvos antstolių rūmais arba Lietuvos Respublikos teisingumo ministerija tarnybos (darbo) santykiais nesusijęs asmuo, kuris informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudoja ir (ar) tvarko elektroninę informaciją;

2.7. kibernetinio saugumo dokumentai, saugos dokumentai – informacinių sistemų duomenų saugos nuostatai, informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklės, informacinių sistemų veiklos tęstinumo valdymo planas, informacinių sistemų naudotojų administravimo taisyklės;

2.8. kibernetinio saugumo vadovas – informacinių sistemų tvarkytojo paskirtas kompetentingas darbuotojas, dirbantis pagal darbo sutartį, ar padalinys, atsakingas už kibernetinio saugumo organizavimą ir užtikrinimą;

2.9. vidinis informacinių sistemų naudotojas – Registrų centro, asociacijos Lietuvos antstolių rūmų, Valstybės garantuojamos teisinės pagalbos tarnybos darbuotojas, dirbantis pagal darbo sutartį, ar Lietuvos Respublikos teisingumo ministerijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją;

Papunkčio pakeitimai:

Nr. 1R-163, 2018-08-28, paskelbta TAR 2018-08-28, i. k. 2018-13501

 

2.10.  kitos saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše (toliau – Klasifikavimo gairių aprašas), patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, ir kituose teisės aktuose bei Lietuvos „Informacijos technologija. Saugumo metodai“ grupės standartuose.

3.  Kibernetinio saugumo dokumentų taikymas ir naudojimas:

3.1. Kibernetinio saugumo dokumentai taikomi:

3.1.1. Lietuvos Respublikos teisingumo ministerijai (Gedimino pr. 30, Vilnius) – Įgaliojimų registro, Juridinių asmenų registro, Lietuvos Respublikos adresų registro, Lietuvos Respublikos gyventojų registro, Lietuvos Respublikos hipotekos registro, Nekilnojamojo turto registro, Neveiksnių ir ribotai veiksnių asmenų registro, Sutarčių registro, Testamentų registro, Turto arešto aktų registro, Vedybų sutarčių registro, Antstolių informacinės sistemos, Elektroninio dokumentų archyvo informacinės sistemos, Juridinių asmenų dalyvių informacinės sistemos, Licencijų informacinės sistemos, Metrikacijos ir gyvenamosios vietos deklaravimo informacinės sistemos, Piniginių lėšų apribojimų informacinės sistemos, Politinių partijų narių sąrašų informacinės sistemos, Teisinės pagalbos paslaugų informacinės sistemos valdytojai ir Politinių partijų narių sąrašų informacinės sistemos tvarkytojai;

Papunkčio pakeitimai:

Nr. 1R-163, 2018-08-28, paskelbta TAR 2018-08-28, i. k. 2018-13501

 

3.1.2. Registrų centrui (Vinco Kudirkos g. 18-3, Vilnius) – informacinių sistemų tvarkytojui;

3.1.3. asociacijai Lietuvos antstolių rūmams (toliau – Lietuvos antstolių rūmai) (Konstitucijos pr. 15, Vilnius) – Antstolių informacinės sistemos tvarkytojai;

3.1.4. Valstybės garantuojamos teisinės pagalbos tarnybai (toliau – Tarnyba) (Odminių g. 3, Vilnius) – Teisinės pagalbos paslaugų informacinės sistemos tvarkytojai;

Papildyta papunkčiu:

Nr. 1R-163, 2018-08-28, paskelbta TAR 2018-08-28, i. k. 2018-13501

 

3.1.5. saugos įgaliotiniui, kibernetinio saugumo vadovui, informacinių sistemų administratoriams, informacinių sistemų naudotojams, informacinėms sistemoms funkcionuoti reikalingų paslaugų teikėjams.

Papunkčio numeracijos pakeitimas:

Nr. 1R-163, 2018-08-28, paskelbta TAR 2018-08-28, i. k. 2018-13501

 

3.2. Saugos nuostatai yra vieši ir skelbiami Lietuvos Respublikos teisės aktų registre. Informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių, informacinių sistemų veiklos tęstinumo valdymo plano, informacinių sistemų naudotojų administravimo taisyklių naudojimas yra ribojamas – informacinių sistemų naudotojams, informacinėms sistemoms funkcionuoti reikalingų paslaugų teikėjams ir kitiems tretiesiems asmenims suteikiama teisė susipažinti tik su šių kibernetinio saugumo dokumentų santrauka saugos nuostatų V skyriuje nustatyta tvarka.

3.3. Už kibernetinio saugumo dokumentų santraukos parengimą atsakingas kibernetinio saugumo vadovas. Kibernetinio saugumo dokumentų santrauka rengiama remiantis būtinumo žinoti principu.

3.4. Informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklės, informacinių sistemų veiklos tęstinumo valdymo planas, informacinių sistemų naudotojų administravimo taisyklės turi būti saugiai platinami ir prieinami su jais turinčioms teisę susipažinti suinteresuotoms šalims visais elektroninės informacijos saugos (kibernetinio saugumo) incidentų ar avarijų atvejais.

4.  Elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo prioritetinės kryptys:

4.1. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

4.2. informacinių sistemų veiklos tęstinumo užtikrinimas;

4.3. asmens duomenų apsauga;

4.4. informacinių sistemų naudotojų mokymas;

4.5. organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų elektroninės informacijos saugai (kibernetiniam saugumui) užtikrinti, įgyvendinimas ir kontrolė.

5.  Elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo tikslai:

5.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti informacinių sistemų elektroninę informaciją;

5.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

5.3. vykdyti elektroninės informacijos saugos (kibernetinių) incidentų prevenciją, reaguoti į elektroninės informacijos saugos (kibernetinius) incidentus ir juos operatyviai suvaldyti, atkuriant įprastą informacinių sistemų veiklą.

6.  Teisingumo ministerijos funkcijos:

6.1. metodiškai vadovauti Registrų centrui ir Lietuvos antstolių rūmams, koordinuoti informacinių sistemų funkcionavimą;

6.2. koordinuoti Registrų centro, Lietuvos antstolių rūmų, Tarnybos ir techninės bei programinės įrangos priežiūros funkcijas teikiančio paslaugų teikėjo darbą, jei tokios funkcijos paslaugų teikėjui perduotos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka; nustatyta tvarka atlikti jų veiklos priežiūrą;

Papunkčio pakeitimai:

Nr. 1R-163, 2018-08-28, paskelbta TAR 2018-08-28, i. k. 2018-13501

 

6.3. atlikti informacinių sistemų elektroninės informacijos tvarkymo ir elektroninės informacijos saugos (kibernetinio) reikalavimų laikymosi priežiūrą ir kontrolę;

6.4. nagrinėti Registrų centro, Lietuvos antstolių rūmų ir Tarnybos pasiūlymus dėl informacinių sistemų veiklos, elektroninės informacijos saugos (kibernetinio saugumo) tobulinimo ir priimti dėl jų sprendimus;

Papunkčio pakeitimai:

Nr. 1R-163, 2018-08-28, paskelbta TAR 2018-08-28, i. k. 2018-13501

 

6.5. priimti sprendimus dėl informacinių sistemų techninių ir programinių priemonių, būtinų informacinių sistemų elektroninės informacijos saugai (kibernetiniam saugumui) užtikrinti, įsigijimo, diegimo ir modernizavimo;

6.6. priimti įsakymus dėl informacinių sistemų elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo;

6.7. užtikrinti veiksmingą ir spartų informacinių sistemų pokyčių valdymo planavimą;

6.8. skirti informacinių sistemų administratorius arba pavesti juos paskirti šių informacinių sistemų tvarkytojams;

6.9. prireikus tvirtinti rizikos įvertinimo ir rizikos valdymo priemonių planą;

6.10.  prireikus tvirtinti informacinių sistemų informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą;

6.11.  atlikti kitas saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

7.  Registrų centro funkcijos:

7.1. užtikinti nepertraukiamą informacinių sistemų veikimą;

7.2. užtikrinti informacinių sistemų elektroninės informacijos saugą (kibernetinį saugumą) ir saugų elektroninės informacijos perdavimą elektroninių ryšių tinklais (automatiniu būdu);

7.3. užtikrinti informacinių sistemų sąveiką su susijusiais registrais ir informacinėmis sistemomis;

7.4. užtikrinti tinkamą Teisingumo ministerijos priimtų teisės aktų ir rekomendacijų įgyvendinimą;

7.5. teikti Teisingumo ministerijai pasiūlymus dėl informacinių sistemų elektroninės informacijos saugos (kibernetinio saugumo) tobulinimo;

7.6. rengti ir įgyvendinti techninių ir programinių priemonių kūrimo ir plėtros planus, investicinius projektus;

7.7. skirti saugos įgaliotinį, kibernetinio saugumo vadovą ir informacinių sistemų administratorius;

7.8. ne rečiau kaip kartą per metus organizuoti kibernetinio saugumo dokumentų persvarstymą (peržiūrėjimą);

7.9. organizuoti informacinių sistemų naudotojams mokomuosius ir pažintinius kursus informacinių sistemų elektroninės informacijos tvarkymo klausimais;

7.10.  atlikti kitas saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

8.  Lietuvos antstolių rūmų funkcijos:

8.1. užtikrinti tinkamą Teisingumo ministerijos priimtų teisės aktų ir rekomendacijų įgyvendinimą;

8.2. teikti pasiūlymus Teisingumo ministerijai, kaip tobulinti Antstolių informacinės sistemos elektroninės informacijos saugą (kibernetinį saugumą).

81. Tarnybos funkcijos:

81.1. užtikrinti tinkamą Teisingumo ministerijos priimtų teisės aktų ir rekomendacijų įgyvendinimą;

81.2. teikti pasiūlymus Teisingumo ministerijai, kaip tobulinti Teisinės pagalbos paslaugų informacinės sistemos elektroninės informacijos saugą (kibernetinį saugumą).

Papildyta punktu:

Nr. 1R-163, 2018-08-28, paskelbta TAR 2018-08-28, i. k. 2018-13501

 

9.  Už elektroninės informacijos saugą (kibernetinį saugumą) pagal kompetenciją atsako informacinių sistemų valdytojas ir tvarkytojas.

10.  Informacinių sistemų valdytojas atsako už elektroninės informacijos saugos (kibernetinio saugumo) politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.

11.  Informacinių sistemų tvarkytojas atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi kibernetinio saugumo dokumentuose nustatyta tvarka.

12Saugos įgaliotinio funkcijos:

12.1.  teikti informacinių sistemų tvarkytojo vadovui pasiūlymus dėl:

12.1.1. informacinių sistemų administratorių paskyrimo ir reikalavimų jiems nustatymo;

12.1.2. informacinių technologijų saugos atitikties vertinimo pagal Informacinių technologijų saugos atitikties vertinimo metodiką, patvirtintą Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

12.2teikti informacinių sistemų valdytojo vadovui pasiūlymus dėl kibernetinio saugumo dokumentų priėmimo, keitimo;

12.3.  koordinuoti elektroninės informacijos saugos (kibernetinio saugumo) incidentų tyrimą ir bendradarbiauti su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugos (kibernetinio saugumo) incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos (kibernetinio saugumo) incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos (kibernetinio saugumo) darbo grupės;

12.4.  teikti informacinių sistemų administratoriams ir informacinių sistemų naudotojams privalomus vykdyti nurodymus ir pavedimus dėl elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimo;

12.5.  organizuoti rizikos ir informacinių technologijų saugos atitikties įvertinimą;

12.6.  atlikti kitas saugos nuostatuose, kituose teisės aktuose nustatytas ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, saugos įgaliotiniui priskirtas funkcijas.

13.  Kibernetinio saugumo vadovas atlieka Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, ir kituose teisės aktuose nustatytas funkcijas. Kibernetinio saugumo vadovas ir saugos įgaliotinis gali būti tas pats asmuo.

14.  Saugos įgaliotinis ir kibernetinio saugumo vadovas negali atlikti informacinių sistemų administratoriaus funkcijų.

15.  Informacinių sistemų administratoriai skiriami kelioms informacinių sistemų valdytojo valdomoms informacinėms sistemoms, posistemiams, funkciškai savarankiškoms sudedamosioms dalims ar tam tikroms informacinių sistemų administratoriaus funkcijoms atlikti.

16.  Informacinių sistemų administratoriai skirstomi į šias grupes:

16.1.  koordinuojantis administratorius, kuris prižiūri informacinių sistemų administratorių veiklą siekdamas užtikrinti tinkamą informacinių sistemų administratorių funkcijų vykdymą;

16.2.  informacinių sistemų naudotojų administratorius, kuris atlieka informacinių sistemų naudotojų teisių valdymo funkcijas (informacinių sistemų naudotojų duomenų administravimas, klasifikatorių tvarkymas, informacinių sistemų naudotojų veiksmų, registracijos žurnalų įrašų analizė ir kt.);

16.3.  informacinių sistemų komponentų administratoriai, kurie atlieka funkcijas, susijusias su informacinių sistemų komponentais, šių informacinių sistemų komponentų sąranka:

16.3.1. kompiuterinių tinklų administratorius atlieka šias funkcijas:

16.3.1.1.                 užtikrina kompiuterinių tinklų veikimą;

16.3.1.2.                 projektuoja kompiuterinius tinklus;

16.3.1.3.                 diegia, konfigūruoja ir prižiūri kompiuterinių tinklų aktyviąją įrangą;

16.3.1.4.                 užtikrina kompiuterinių tinklų saugumą;

16.3.2. tarnybinių stočių administratorius atlieka šias funkcijas:

16.3.2.1.                 užtikrina tarnybinių stočių veikimą;

16.3.2.2.                 konfigūruoja tarnybinių stočių tinklo prieigą;

16.3.2.3.                 kuria ir administruoja tarnybinių stočių naudotojų registracijos į tarnybines stotis duomenis;

16.3.2.4.                 stebi ir analizuoja tarnybinių stočių veiklą;

16.3.2.5.                 diegia ir konfigūruoja tarnybinių stočių programinę įrangą;

16.3.2.6.                 diegia tarnybinių stočių programinės įrangos atnaujinimus;

16.3.2.7.                 užtikrina tarnybinių stočių saugą;

16.3.3. duomenų bazių administratorius atlieka šias funkcijas:

16.3.3.1.                 užtikrina duomenų bazių veikimą;

16.3.3.2.                 tvarko duomenų bazių programinę įrangą;

16.3.3.3.                 kuria ir administruoja duomenų bazių naudotojų registracijos į duomenų bazes duomenis;

16.3.3.4.                 kuria ir atkuria atsargines elektroninės informacijos kopijas;

16.3.3.5.                 stebi duomenų bazes ir optimizuoja jų funkcionavimą;

16.3.4. saugos administratorius, kuris atlieka informacinių sistemų pažeidžiamų vietų nustatymo, saugumo reikalavimų atitikties nustatymo ir stebėsenos funkcijas;

16.3.5. kitų informacinių sistemų komponentų administratoriai atlieka funkcijas, susijusias su kitų saugos nuostatų 2.3 papunktyje nurodytų informacinių sistemų komponentų sąranka, veikimo stebėsena ir analize, profilaktine priežiūra, programinės įrangos diegimu ir konfigūravimu, trikdžių diagnostika ir šalinimu, nepertraukiamo informacinių sistemų veikimo užtikrinimu, pasiūlymų dėl jų veikimo optimizavimo teikimu.

17.  Informacinių sistemų administratoriai yra atsakingi už tinkamą kibernetinio saugumo dokumentuose nustatytų funkcijų vykdymą.

18.  Informacinių sistemų administratoriai privalo vykdyti visus saugos įgaliotinio ir kibernetinio saugumo vadovo nurodymus ir pavedimus dėl informacinių sistemų saugos (kibernetinio saugumo) užtikrinimo, pagal kompetenciją reaguoti į elektroninės informacijos saugos (kibernetinio saugumo) incidentus ir nuolat teikti saugos įgaliotiniui ir kibernetinio saugumo vadovui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.

19.  Atlikdami informacinių sistemų sąrankos pakeitimus, informacinių sistemų komponentų administratoriai turi laikytis informacinių sistemų pokyčių valdymo tvarkos, nustatytos informacinių sistemų valdytojo tvirtinamose informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse.

20.  Informacinių sistemų komponentų administratoriai privalo patikrinti (peržiūrėti) informacinių sistemų sąranką ir informacinių sistemų būsenos rodiklius reguliariai – ne rečiau kaip kartą per metus ir (arba) po informacinių sistemų pokyčio.

21.  Teisės aktai, kuriais vadovaujamasi tvarkant informacinių sistemų elektroninę informaciją ir užtikrinant jos saugą:

21.1.  Lietuvos Respublikos kibernetinio saugumo įstatymas;

21.2.  Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

21.3.  Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

21.4.  Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

21.5.  Klasifikavimo gairių aprašas; 

21.6.  Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

21.7. Neteko galios nuo 2018-08-29

Papunkčio naikinimas:

Nr. 1R-163, 2018-08-28, paskelbta TAR 2018-08-28, i. k. 2018-13501

 

21.8.  Lietuvos standartai LST ISO/IEC 27002 ir LST ISO/IEC 27001, kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugą; kiti teisės aktai, reglamentuojantys informacinių sistemų elektroninės informacijos tvarkymą, elektroninės informacijos saugą, kibernetinį saugumą bei informacinių sistemų valdytojo ir tvarkytojo veiklą.

 

II skyrius

Elektroninės informacijos saugos valdymas

 

22.  Registrų centro tvarkomuose registruose ir informacinėse sistemose tvarkoma elektroninė informacija priskiriama šioms elektroninės informacijos svarbos kategorijoms:

22.1.  Lietuvos Respublikos adresų registre, Juridinių asmenų registre, Lietuvos Respublikos gyventojų registre, Lietuvos Respublikos hipotekos registre, Nekilnojamojo turto registre, Nekilnojamojo turto kadastre, Turto arešto aktų registre tvarkoma elektroninė informacija priskiriama ypatingos svarbos elektroninės informacijos kategorijai. Lietuvos Respublikos adresų registro ir Turto arešto aktų registro elektroninė informacija šiai kategorijai priskiriama vadovaujantis Klasifikavimo gairių aprašo 7.1 ir 7.2 papunkčių nuostatomis, Juridinių asmenų registro, Lietuvos Respublikos gyventojų registro, Lietuvos Respublikos hipotekos registro, Nekilnojamojo turto registro, Nekilnojamojo turto kadastro ir  Elektroninio dokumentų archyvo informacinės sistemos – Klasifikavimo gairių aprašo 7.1–7.3 papunkčių nuostatomis;

22.2.  Įgaliojimų registre, Neveiksnių ir ribotai veiksnių asmenų registre, Sutarčių registre, Testamentų registre, Vedybų sutarčių registre, Antstolių informacinėje sistemoje, Juridinių asmenų dalyvių informacinėje sistemoje, Licencijų informacinėje sistemoje, Piniginių lėšų apribojimų informacinėje sistemoje, Politinių partijų narių sąrašų informacinėje sistemoje tvarkoma elektroninė informacija priskiriama svarbios elektroninės informacijos kategorijai. Įgaliojimų registro ir Testamentų registro elektroninė informacija šiai kategorijai priskiriama vadovaujantis Klasifikavimo gairių aprašo 8.1–8.3 papunkčių nuostatomis, Neveiksnių ir ribotai veiksnių asmenų registro, Sutarčių registro,  Vedybų sutarčių registro ir Piniginių lėšų apribojimų informacinės sistemos – Klasifikavimo gairių aprašo 8.2 ir 8.3 papunkčių nuostatomis, Antstolių informacinės sistemos, Juridinių asmenų dalyvių informacinės sistemos, Licencijų informacinės sistemos, Politinių partijų narių sąrašų informacinės sistemos – Klasifikavimo gairių aprašo 8.3 ir 8.5 papunkčių nuostatomis;

22.3.  Elektroninio dokumentų archyvo informacinėje sistemoje tvarkoma skirtingos svarbos – ypatingos svarbos ir svarbi – elektroninė informacija. Elektroninio dokumentų archyvo informacinėje sistemoje tvarkomi iš kitų Registrų centro tvarkomų informacinių sistemų gauti elektroniniai dokumentai, popierinių dokumentų duomenys ir jų skaitmeninės kopijos, kurių svarbos kategorijos ir priskyrimo tam tikrai svarbos kategorijai kriterijai nurodyti saugos nuostatų 22.1 ir 22.2 papunkčiuose.

23.  Registrų centro tvarkomi registrai ir informacinės sistemos pagal juose tvarkomos informacijos svarbą priskiriami šioms kategorijoms:

23.1. Juridinių asmenų registras, Lietuvos Respublikos adresų registras, Lietuvos Respublikos gyventojų registras, Lietuvos Respublikos hipotekos registras, Nekilnojamojo turto registras, Nekilnojamojo turto kadastras, Turto arešto aktų registras, Metrikacijos ir gyvenamosios vietos deklaravimo informacinė sistema ir Elektroninio dokumentų archyvo informacinė sistema, vadovaujantis Klasifikavimo gairių aprašo 12.1 papunkčiu, priskiriami pirmajai kategorijai;

Papunkčio pakeitimai:

Nr. 1R-163, 2018-08-28, paskelbta TAR 2018-08-28, i. k. 2018-13501

 

23.2.  Įgaliojimų registras, Neveiksnių ir ribotai veiksnių asmenų registras, Sutarčių registras, Testamentų registras, Vedybų sutarčių registras, Antstolių informacinė sistema, Juridinių asmenų dalyvių informacinė sistema, Licencijų informacinė sistema, Piniginių lėšų apribojimų informacinė sistema, Politinių partijų narių sąrašų informacinė sistema, vadovaujantis Klasifikavimo gairių aprašo 12.2 papunkčiu, priskiriami antrajai kategorijai;

23.3.      Teisinės pagalbos paslaugų informacinė sistema, vadovaujantis Klasifikavimo gairių aprašo 12.3 papunkčiu, priskiriama trečiajai kategorijai.

Papildyta papunkčiu:

Nr. 1R-163, 2018-08-28, paskelbta TAR 2018-08-28, i. k. 2018-13501

 

24. Neteko galios nuo 2018-08-29

Punkto naikinimas:

Nr. 1R-163, 2018-08-28, paskelbta TAR 2018-08-28, i. k. 2018-13501

 

25. Saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo technika“ standartus, kasmet organizuoja informacinių sistemų rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį informacinių sistemų rizikos įvertinimą. Informacinių sistemų tvarkytojo rašytiniu pavedimu informacinių sistemų rizikos įvertinimą gali atlikti pats saugos įgaliotinis. Kartu su informacinių sistemų rizikos įvertinimu ir (arba) saugos nuostatų 29 punkte nurodytu informacinių technologijų saugos atitikties vertinimu turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos informacinių sistemų kibernetiniam saugumui, vertinimas.

Punkto pakeitimai:

Nr. 1R-128, 2018-07-18, paskelbta TAR 2018-07-18, i. k. 2018-12149

 

26.  Informacinių sistemų rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama informacinių sistemų valdytojo vadovui ir informacinių sistemų tvarkytojo vadovui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:

26.1.  subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais triktys, programinės įrangos klaidos, netinkamas veikimas ir kita);

26.2.  subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacinėmis sistemomis elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

26.3.  veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

27.  Atsižvelgdamas į rizikos vertinimo ataskaitą, informacinių sistemų valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

28. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas informacinės sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

Punkto pakeitimai:

Nr. 1R-128, 2018-07-18, paskelbta TAR 2018-07-18, i. k. 2018-12149

 

29.  Siekiant užtikrinti saugos dokumentuose nustatytų elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų įgyvendinimo organizavimą ir kontrolę, turi būti organizuojamas informacinių sistemų informacinių technologijų saugos atitikties vertinimas:

29.1.  informacinių sistemų informacinių technologijų saugos atitikties vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus, jei teisės aktuose nenustatyta kitaip. Pirmosios kategorijos informacinių sistemų informacinių technologijų saugos atitikties vertinimą ne rečiau kaip kartą per trejus metus turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai;

29.2.  informacinių sistemų atitikties Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus.

30.  Informacinių sistemų informacinių technologijų saugos atitikties vertinimo metu turi būti atliekamas kibernetinių atakų imitavimas ir vykdomos kibernetinių incidentų imitavimo pratybos. Imituojant kibernetines atakas rekomenduojama vadovautis tarptautiniu mastu pripažintų organizacijų (pvz., EC-COUNCIL, ISACA, NIST ir kt.) rekomendacijomis ir gerąja praktika. 

31.  Kibernetinių atakų imitavimas atliekamas šiais etapais:

31.1.  planavimo etapas. Parengiamas kibernetinių atakų imitavimo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtis, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (arba) pilkosios dėžės (angl. Grey Box)), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (arba) techniniai įrankiai ir priemonės, nurodomi už plano vykdymą atsakingi asmenys ir jų kontaktai. Kibernetinių atakų imitavimo planas turi būti suderintas su informacinių sistemų tvarkytojo vadovu ir vykdomas tik gavus jo rašytinį pritarimą;

31.2.  žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių serverių ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą, konfigūracijas ir kitą sėkmingai kibernetinei atakai įvykdyti reikalingą informaciją. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;

31.3.  kibernetinių atakų imitavimo etapas. Atliekami kibernetinių atakų imitavimo plane numatyti testai. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;

31.4.  ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti išdėstomi informacinių technologijų saugos vertinimo ataskaitoje. Kibernetinių atakų imitavimo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertimu. Jeigu  nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

32.  Informacinių sistemų saugos atitikties vertinimas atliekamas Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka. Atlikus informacinių technologijų saugos atitikties vertinimą, saugos įgaliotinis rengia ir teikia informacinės sistemos tvarkytojo vadovui informacinių technologijų saugos vertinimo ataskaitą. Atsižvelgdamas į informacinių technologijų saugos atitikties vertinimo ataskaitą, saugos įgaliotinis prireikus parengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato informacinių sistemų valdytojo vadovas.

33. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas informacinių sistemų valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

Punkto pakeitimai:

Nr. 1R-128, 2018-07-18, paskelbta TAR 2018-07-18, i. k. 2018-12149

 

34. Elektroninės informacijos saugos (kibernetinio saugumo) būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis informacinių sistemų elektroninės informacijos saugos (kibernetinio saugumo) priemonėmis, kurios pasirenkamos atsižvelgiant į informacinių sistemų valdytojo turimus išteklius, vadovaujantis šiais principais:

34.1.    liekamoji rizika turi būti sumažinta iki priimtino lygio;

34.2.    priemonės diegimo kaina turi būti adekvati tvarkomos elektroninės informacijos vertei;

34.3. atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos (kibernetinio saugumo)  priemonės.

 

III skyrius

Organizaciniai ir techniniai reikalavimai

 

35.  Informacinėse sistemose naudojamų svetainių saugos valdymo reikalavimai:

35.1.  svetainės turi atitikti Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“,  reikalavimus, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus, patvirtintus Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

35.2.  svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio informacinių sistemų tvarkytojo kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;

35.3.  turi būti pakeistos numatytos prisijungimo prie svetainių TVS ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) ir slaptažodžiai;

35.4.  turi būti užtikrinama, kad prie svetainių TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;

35.5.  informacinėse sistemose naudojamų svetainių sauga turi būti vertinama informacinių sistemų rizikos įvertinimo metu ir (arba) informacinių sistemų informacinių technologijų saugos atitikties vertinimo metu, atliekamų saugos nuostatų II skyriuje nustatyta tvarka.

36.  Programinės įrangos, skirtos informacinėms sistemoms apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

36.1.  tarnybinėse stotyse ir vidinių informacinių sistemų naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingos programinės įrangos aptikimo, stebėjimo realiu laiku priemonės;

36.2.  informacinių sistemų komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu patvirtinama, kad šių komponentų rizika yra priimtina;

36.3.  kenksmingos programinės įrangos aptikimo priemonės turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas. Informacinių sistemų komponentų administratorius turi būti automatiškai informuojamas elektroniniu paštu apie tai, kuriems informacinių sistemų posistemiams, funkciškai savarankiškoms sudedamosioms dalims, vidinių informacinių sistemų naudotojų kompiuteriams ir kitiems informacinių sistemų komponentams yra pradelstas kenksmingos programinės įrangos aptikimo priemonių atsinaujinimo laikas, kenksmingos programinės įrangos aptikimo priemonės netinkamai funkcionuoja arba yra išjungtos.

37.  Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:

37.1.  informacinių sistemų tarnybinėse stotyse ir vidinių informacinių sistemų naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga;

37.2.  vidinių informacinių sistemų naudotojų kompiuteriuose naudojama programinė įranga turi būti įtraukta į su informacinių sistemų valdytoju suderintą leistinos naudoti programinės įrangos sąrašą. Leistinos programinės įrangos sąrašą turi parengti, ne rečiau kaip kartą per metus peržiūrėti ir prireikus atnaujinti saugos įgaliotinis;

37.3.  tarnybinių stočių ir vidinių informacinių sistemų naudotojų kompiuterių operacinės sistemos, kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;

37.4.  saugos administratorius reguliariai, ne rečiau kaip kartą per savaitę, turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumo svarbos lygius informacinių sistemų posistemiuose, funkciškai savarankiškose sudedamosiose dalyse, vidinių informacinių sistemų naudotojų kompiuteriuose. Apie įvertinimo rezultatus saugos administratorius turi informuoti saugos įgaliotinį ir kibernetinio saugumo vadovą;

37.5.  programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;

37.6.  programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – informacinių sistemų komponentų administratoriai arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai;

37.7. programinė įranga turi būti testuojama naudojant atskirą testavimo aplinką, kurioje esantys asmens duomenys turi būti naudojami vadovaujantis Bendraisiais reikalavimais asmens duomenų saugumo priemonėms;

37.8.  informacinių sistemų programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org;

37.9. elektroninės informacijos saugos (kibernetinio saugumo) priemonių nustatymai turi būti atlikti vadovaujantis šių priemonių gamintojo ir bent viena gerąja saugumo praktikos rekomendacija.

Papildyta papunkčiu:

Nr. 1R-128, 2018-07-18, paskelbta TAR 2018-07-18, i. k. 2018-12149

 

38.  Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių ir kt.) pagrindinės naudojimo nuostatos:

38.1.  kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant užkardas, automatinę įsilaužimų aptikimo ir prevencijos įrangą, atkirtimo nuo paslaugos, dedikuoto atkirtimo nuo paslaugos įrangą;

38.2.  kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuose ryšių tinkluose naršančių vidinių informacinių sistemų naudotojų kompiuterinę įrangą nuo kenksmingo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

38.3.  apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga;

38.4.  turi būti naudojamos turinio filtravimo sistemos;

38.5.  turi būti naudojamos taikomųjų programų kontrolės sistemos.

39.  Leistinos kompiuterių naudojimo ribos:

39.1.                       stacionarius kompiuterius leidžiama naudoti tik informacinių sistemų valdytojo ir informacinių sistemų tvarkytojo patalpose;

39.2.  nešiojamiesiems kompiuteriams, išnešamiems iš informacinių sistemų valdytojo ar informacinių sistemų tvarkytojo patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimai ir pan.);

39.3.  iš stacionarių ir nešiojamųjų kompiuterių ar elektroninės informacijos laikmenų, kurie perduodami remonto, techninės priežiūros paslaugų teikėjui arba nurašomi, turi būti neatkuriamai pašalinta visa nevieša elektroninė informacija.

40.  Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

40.1.  elektroninė informacija teikiama (daugkartinio teikimo atveju ir vienkartinio teikimo atveju) informacinių sistemų nuostatuose nustatyta tvarka;

40.2.  užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą naudojamas šifravimas, virtualus privatus tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Elektroninei informacijai teikti ir (ar) gauti gali būti naudojamas saugus valstybinis duomenų perdavimo tinklas;

40.3.  elektroninė informacija automatiniu būdu turi būti teikiama ir (ar) gaunama tik pagal informacinių sistemų nuostatuose, duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas;

40.4.  nuotolinis prisijungimas prie informacinių sistemų galimas:

40.4.1. naudojant transporto lygmens protokolus (angl. Transport Layer Secure) (toliau – TLS), reglamentuojančius informacinių sistemų naudotojo ir serverio abipusį tapatumo nustatymą, kad būtų užtikrintas šifruotas ryšys. Siekiant, kad elektroninės informacijos perdavimas iš serverio į interneto naršyklę ir iš interneto naršyklės į serverį būtų saugus, naudojamas TLS sertifikatas, patvirtinantis elektroninės informacijos šaltinio tapatumą ir šifruojantis informacinių sistemų naudotojo ir serverio siunčiamą ir gaunamą elektroninę informaciją. Informacinių sistemų interneto svetainėse TLS šifruota HTTP (angl. HyperText Transfer Protocol) protokolo elektroninė informacija perduodama saugiu HTTPS (angl. HyperText Transfer Protocol Secure) protokolu;

40.4.2. naudojant virtualų privatų tinklą. Virtualiame tinkle turi būti naudojamas IPsec (angl. Internet Protocol Security) protokolų rinkinys;

40.4.3. naudojant saugaus apvalkalo protokolą (angl. Secure Shell) ir nuotolinio darbalaukio protokolą (angl. Remote Desktop Protocol). Šia galimybe gali būti pasinaudota tik informacinių sistemų administravimo tikslais;

40.5.  šifro raktų ilgiai, šifro raktų generavimo algoritmai, šifro raktų apsikeitimo protokolai, sertifikato parašo šifravimo algoritmai ir kiti šifravimo algoritmai turi būti nustatomi atsižvelgiant į Lietuvos ir tarptautinių organizacijų ir standartų rekomendacijas, Organizacinius ir techninius kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, reikalavimus, Techninius valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus, patvirtintus Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

40.6.  naudojamų šifravimo priemonių patikimumas turi būti vertinamas neeilinio arba kasmetinio informacinių sistemų rizikos vertinimo metu. Šifravimo priemonės turi būti operatyviai keičiamos nustačius saugumo spragų šifravimo algoritmuose.

41.  Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

41.1.  atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objetive) ir priimtiną informacinių sistemų neveikimo laikotarpį (angl. recovery time objective);

41.2.  atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokios apimties, kad informacinių sistemų veiklos sutrikimo, elektroninės informacijos saugos (kibernetinio) incidento ar elektroninės informacijos vientisumo praradimo atvejais informacinių sistemų neveikimo laikotarpis nebūtų ilgesnis, nei taikoma konkrečioms informacinių sistemų svarbos kategorijoms, nurodytoms saugos nuostatų 23 punkte, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus;

41.3.  atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau kaip atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkoje, nustatytoje informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse, nurodytais terminais;

41.4.  elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos;

41.5.  atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje kitose patalpose, nei yra informacinių sistemų tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate. Atsarginių elektroninės informacijos kopijų žymėjimo tvarka ir saugojimo terminai nustatomi atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkoje;

41.6.  atsarginių elektroninės informacijos kopijų darymas turi būti fiksuojamas;

41.7.  periodiškai, bet ne rečiau kaip kartą per pusmetį, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

41.8.  patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas.

42Informacinių sistemų valdytojas ir (arba) informacinių sistemų tvarkytojas, pirkdamas paslaugas, darbus ar įrangą, susijusius su informacinėmis sistemomis, jų projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi nustatyti, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas užtikrina atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, reikalavimams.

 

IV skyrius

REIKALAVIMAI PERSONALUI

 

43.  Reikalavimai informacinių sistemų naudotojų, informacinių sistemų administratorių,  saugos įgaliotinio ir kibernetinio saugumo vadovo kvalifikacijai ir patirčiai:

43.1.  vidinių informacinių sistemų naudotojų, administratorių, saugos įgaliotinio, kibernetinio saugumo vadovo kvalifikacija turi atitikti bendruosius ir specialiuosius reikalavimus, nustatytus jų pareiginiuose nuostatuose;

43.2.  visi informacinių sistemų naudotojai privalo turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti tvarkyti elektroninę informaciją, būti susipažinę su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, informacinių sistemų elektroninės informacijos tvarkymą. Asmenys, tvarkantys duomenis ir informaciją, privalo saugoti jų paslaptį ir būti pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą;

43.3.  saugos įgaliotinis ir kibernetinio saugumo vadovas privalo išmanyti elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos (kibernetinio saugumo) srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reglamentuojančiomis elektroninės informacijos saugą (kibernetinį saugumą). Informacinių tvarkytojas turi sudaryti sąlygas kelti saugos įgaliotinio ir kibernetinio saugumo vadovo kvalifikaciją;

43.4.  saugos įgaliotiniu ar kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai;

43.5.  informacinių sistemų administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, mokėti užtikrinti informacinių sistemų ir jose tvarkomos elektroninės informacijos saugą (kibernetinį saugumą), administruoti ir prižiūrėti informacinių sistemų komponentus (stebėti informacinių sistemų komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti informacinių sistemų komponentų nepertraukiamą funkcionavimą ir pan.). Informacinių  sistemų administratoriai turi būti susipažinę su saugos dokumentais.

44.  Informacinių sistemų naudotojų ir informacinių sistemų administratorių mokymo planavimo, organizavimo ir vykdymo tvarka, mokymo dažnumo reikalavimai:

44.1.  informacinių sistemų naudotojams turi būti organizuojami mokymai elektroninės informacijos saugos (kibernetinio saugumo) klausimais, įvairiais būdais primenama apie elektroninės informacijos saugos (kibernetinio saugumo) problemas (pvz., priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems informacinių sistemų naudotojams, informacinių sistemų administratoriams ir pan.);

44.2.  mokymai elektroninės informacijos saugos (kibernetinio saugumo) klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), informacinių sistemų naudotojų ar informacinių sistemų administratorių poreikius;

44.3.  mokymai gali būti vykdomi tiesioginiu (pvz., paskaitos, seminarai, konferencijos ir kiti teminiai renginiai) ar nuotoliniu būdu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.). Mokymus gali vykdyti saugos įgaliotinis ar kitas informacinių sistemų valdytojo ar informacinių sistemų tvarkytojo darbuotojas, išmanantis elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, arba elektroninės informacijos saugos (kibernetinio saugumo) mokymų paslaugų teikėjas;

44.4.  mokymai informacinių sistemų naudotojams turi būti organizuojami periodiškai, bet ne rečiau kaip kartą per dvejus metus. Mokymai informacinių sistemų administratoriams turi būti organizuojami pagal poreikį. Už mokymų organizavimą atsakingas saugos įgaliotinis;

44.5.  saugos įgaliotinis periodiškai, bet ne rečiau kaip kartą per dvejus metus, organizuoja mokymus informacinės sistemos naudotojams elektroninės informacijos saugos ir kibernetinio saugumo klausimais, įvairiais būdais primena apie saugumo problemas (pvz., pranešimai elektroniniu paštu, naujų darbuotojų instruktavimas ir pan.).

 

V SKYRIUS

INFORMACINIŲ SISTEMŲ naudotojų supažindinimo su saugos dokumentais principai

 

45.  Informacinių sistemų naudotojų supažindinimą su saugos dokumentais ar jų santrauka,  atsakomybe už saugos dokumentų nuostatų pažeidimus organizuoja saugos įgaliotinis.

46.  Informacinių sistemų naudotojų supažindinimo su saugos dokumentais ar jų santrauka būdai turi būti pasirenkami atsižvelgiant į informacinių sistemų specifiką (pvz., informacinių sistemų ir jų naudotojų buvimo vietą, organizacinių ar techninių priemonių, leidžiančių identifikuoti su saugos dokumentais ar jų santrauka susipažinusį asmenį ir užtikrinančių supažindinimo procedūros įrodomąją (teisinę) galią, panaudojimo galimybes ir pan.). Informacinių sistemų naudotojai su saugos dokumentais ar jų santrauka turi būti supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą.

47.  Pakartotinai su saugos dokumentais ar jų santrauka informacinių sistemų naudotojai supažindinami tik iš esmės pasikeitus informacinėms sistemoms arba elektroninės informacijos saugą (kibernetinį saugumą) reglamentuojantiems teisės aktams.

48.  Tvarkyti informacinių sistemų elektroninę informaciją gali tik tie asmenys, kurie yra susipažinę su saugos dokumentais ir sutikę laikytis jų reikalavimų.

49.  Informacinių sistemų naudotojai atsako už informacinių sistemų ir jose tvarkomos elektroninės informacijos saugą (kibernetinį saugumą) pagal savo kompetenciją. Informacinių sistemų naudotojai, informacinių sistemų administratoriai ir saugos įgaliotinis, pažeidę saugos dokumentų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

50. Informacinių sistemų valdytojas saugos dokumentus gali keisti savo arba saugos įgaliotinio iniciatyva. Saugos dokumentai turi būti derinami su Nacionaliniu kibernetinio saugumo centru, išskyrus atvejus, kai keičiant minėtus dokumentus atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar elektroninės informacijos saugos politikos ir kibernetinio saugumo politikos nekeičiantys pakeitimai arba taisoma teisės technika. Nacionaliniam kibernetinio saugumo centrui turi būti pateiktos keičiamų saugos dokumentų kopijos.

Punkto pakeitimai:

Nr. 1R-128, 2018-07-18, paskelbta TAR 2018-07-18, i. k. 2018-12149

 

51.  Informacinių sistemų tvarkytojas saugos dokumentus turi persvarstyti (peržiūrėti) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems informacinių sistemų valdytojo ar tvarkytojo pokyčiams.

___________________

 

 

Pakeitimai:

 

1.

Lietuvos Respublikos teisingumo ministerija, Įsakymas

Nr. 1R-128, 2018-07-18, paskelbta TAR 2018-07-18, i. k. 2018-12149

Dėl teisingumo ministro 2017 m. gegužės 22 d. įsakymo Nr. 1R-132 „Dėl Valstybės įmonės registrų centro tvarkomų registrų ir informacinių sistemų duomenų saugos nuostatų patvirtinimo“ pakeitimo

 

2.

Lietuvos Respublikos teisingumo ministerija, Įsakymas

Nr. 1R-163, 2018-08-28, paskelbta TAR 2018-08-28, i. k. 2018-13501

Dėl teisingumo ministro 2017 m. gegužės 22 d. įsakymo Nr. 1R-132 „Dėl Valstybės įmonės Registrų centro tvarkomų registrų ir informacinių sistemų duomenų saugos nuostatų patvirtinimo“ pakeitimo