Nutarimas netenka galios 2024-11-12:
Lietuvos Respublikos Vyriausybė, Nutarimas
Nr. 945, 2024-11-06, paskelbta TAR 2024-11-11, i. k. 2024-19589
Dėl Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimo Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ pakeitimo
Suvestinė redakcija nuo 2023-07-20 iki 2024-11-11
Nutarimas paskelbtas: Žin. 2013, Nr. 86-4310, i. k. 1131100NUTA00000716
Nauja redakcija nuo 2023-07-20:
Nr. 573, 2023-07-19, paskelbta TAR 2023-07-19, i. k. 2023-14858
LIETUVOS RESPUBLIKOS VYRIAUSYBĖ
NUTARIMAS
DĖL BENDRŲJŲ ELEKTRONINĖS INFORMACIJOS SAUGOS REIKALAVIMŲ APRAŠO IR SAUGOS DOKUMENTŲ TURINIO GAIRIŲ APRAŠO PATVIRTINIMO
2013 m. liepos 24 d. Nr. 716
Vilnius
Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 4 straipsnio 3 punktu, 18 straipsnio 3 dalimi, 30 straipsnio 2 ir 3 dalimis ir 43 straipsnio 2 dalimi, Lietuvos Respublikos Vyriausybė nutaria:
Teisingumo ministras,
pavaduojantis Ministrą Pirmininką Juozas Bernatonis
ir vidaus reikalų ministrą
PATVIRTINTA
Lietuvos Respublikos Vyriausybės
2013 m. liepos 24 d. nutarimu Nr. 716
BENDRŲJŲ ELEKTRONINĖS INFORMACIJOS SAUGOS REIKALAVIMŲ APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
Pakeistas skyriaus pavadinimas:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
1. Bendrųjų elektroninės informacijos saugos reikalavimų aprašo (toliau – Aprašas) tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti valstybės registrų (kadastrų) (toliau – valstybės registras) ir žinybinių registrų duomenis, dokumentus ir informaciją, valstybės informacinių sistemų ir kitų informacinių sistemų informaciją.
2. Aprašo nuostatos privalomos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 1 straipsnio 3 dalyje nurodytoms institucijoms (toliau – institucijos).
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
4. Apraše vartojamos sąvokos:
4.1. Elektroninė informacija – duomenys, dokumentai ir informacija, tvarkomi valstybės registruose, žinybiniuose registruose, valstybės informacinėse sistemose ir kitose informacinėse sistemose, kurias steigia, kuria ir (arba) tvarko valstybės institucijos, valstybės įstaigos, valstybės įmonės, viešosios įstaigos (toliau – informacinė sistema).
4.2. Elektroninės informacijos sauga – elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas.
4.3. Elektroninės informacijos saugos incidentas – įvykis ar veiksmas, kurie gali sudaryti neteisėto prisijungimo prie informacinės sistemos galimybę, sutrikdyti ar pakeisti informacinės sistemos veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas neleistinai elektroninę informaciją pasisavinti, paskleisti ar kitaip panaudoti.
4.4. Elektroninės informacijos saugos politika (toliau – saugos politika) – pagrindiniai elektroninės informacijos saugos užtikrinimo ir valdymo principai, reikalavimai, į kuriuos atsižvelgiant turi būti derinami informacinės sistemos veiklos ir naudojimo procesai, procedūros ir rengiami juos reglamentuojantys dokumentai. Saugos politika išdėstoma informacinės sistemos valdytojo tvirtinamuose Informacinės sistemos duomenų saugos nuostatuose (toliau – Saugos nuostatai).
4.5. Informacinės sistemos administratorius (toliau – administratorius) – institucijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis informacinę sistemą ir (ar) jos infrastruktūrą, užtikrinantis jos veikimą ir elektroninės informacijos saugą, ar kitas asmuo (asmenų grupė), kuriam (kuriai) Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos informacinės sistemos ir (ar) jos infrastruktūros priežiūros funkcijos (toliau – paslaugų teikėjas).
4.6. Informacinės sistemos naudotojas – institucijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, ar kitas asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją.
4.7. Informacinės sistemos saugos įgaliotinis (toliau – saugos įgaliotinis) – institucijos valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis saugos politikos įgyvendinimą informacinėje sistemoje.
4.8. Konfidencialumas – elektroninės informacijos savybė – su informacinėje sistemoje tvarkoma elektronine informacija gali susipažinti tik tą daryti įgalioti asmenys.
4.9. Prieinamumas – elektroninės informacijos savybė – elektroninė informacija gali būti tvarkoma reikiamu metu.
4.10. Vientisumas – elektroninės informacijos savybė – elektroninė informacija nebuvo atsitiktinai ar neteisėtai pakeista ar sunaikinta.
4.11. Kitos Apraše vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme ir Lietuvos Respublikos kibernetinio saugumo įstatyme.
Papunkčio pakeitimai:
Nr. 573, 2023-07-19, paskelbta TAR 2023-07-19, i. k. 2023-14858
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
5. Elektroninės informacijos sauga informacinėse sistemose turi atitikti Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, nustatytus reikalavimus.
Punkto pakeitimai:
Nr. 20, 2018-01-03, paskelbta TAR 2018-01-09, i. k. 2018-00337
Nr. 573, 2023-07-19, paskelbta TAR 2023-07-19, i. k. 2023-14858
II SKYRIUS
SAUGOS UŽTIKRINIMAS
Pakeistas skyriaus pavadinimas:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
6. Užtikrinant elektroninės informacijos saugą, rekomenduojama vadovautis Lietuvos standartais LST ISO/IEC 27001: 2017 ir LST ISO/IEC 27002: 2017, taip pat kitais naujausiais Lietuvos ir tarptautiniais grupės „Informacinės technologijos. Saugumo metodai“ standartais, apibūdinančiais saugų elektroninės informacijos tvarkymą.
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
Nr. 573, 2023-07-19, paskelbta TAR 2023-07-19, i. k. 2023-14858
7. Informacinės sistemos valdytojas privalo turėti pagal Lietuvos Respublikos Vyriausybės patvirtintą Saugos dokumentų turinio gairių aprašą parengtus, su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką, suderintus ir patvirtintus šiuos saugos dokumentus:
Punkto pakeitimai:
Nr. 20, 2018-01-03, paskelbta TAR 2018-01-09, i. k. 2018-00337
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
8. Aprašo 7.2–7.4 papunkčiuose nurodytus saugos dokumentus (toliau – saugos politiką įgyvendinantys dokumentai) tvirtina informacinės sistemos valdytojas po to, kai patvirtina su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką, suderintus Saugos nuostatus. Kai Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 5 punkte nustatytu atveju informacinė sistema steigiama Lietuvos Respublikos Vyriausybės nutarimu, Lietuvos Respublikos Vyriausybė gali priimti ir nutarimą dėl Aprašo 7 punkte nurodytų dokumentų tvirtinimo.
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
Nr. 20, 2018-01-03, paskelbta TAR 2018-01-09, i. k. 2018-00337
9. Krašto apsaugos ministro įgaliotai institucijai, įgyvendinančiai valstybės informacinių išteklių saugos politiką, teikiamus derinti Aprašo 7 punkte nurodytų dokumentų projektus, be rengėjo, turi vizuoti ir informacinės sistemos valdytojo vadovas. Aprašo 8 punkte nurodytu atveju parengtas Lietuvos Respublikos Vyriausybės nutarimo dėl Aprašo 7 punkte nurodytų dokumentų tvirtinimo projektas derinamas Lietuvos Respublikos Vyriausybės darbo reglamento, patvirtinto Lietuvos Respublikos Vyriausybės 1994 m. rugpjūčio 11 d. nutarimu Nr. 728 „Dėl Lietuvos Respublikos Vyriausybės darbo reglamento patvirtinimo“, nustatyta tvarka.
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
Nr. 20, 2018-01-03, paskelbta TAR 2018-01-09, i. k. 2018-00337
10. Krašto apsaugos ministro įgaliota institucija, įgyvendinanti valstybės informacinių išteklių saugos politiką, išvadas, pastabas ir pasiūlymus dėl Aprašo 7 punkte nurodytų dokumentų projektų turi pateikti per 7 darbo dienas, dėl didelės apimties teisės aktų projektų (daugiau kaip 10 puslapių teksto) – per 12 darbo dienų, o dėl pakartotinai pateiktų derinti Aprašo 7 punkte nurodytų dokumentų projektų – per 5 darbo dienas nuo jų gavimo.
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
Nr. 20, 2018-01-03, paskelbta TAR 2018-01-09, i. k. 2018-00337
11. Teisės akte, kuriuo tvirtinami Saugos nuostatai, nurodomi saugos politiką įgyvendinančių dokumentų rengėjai ir dokumentų parengimo terminai. Saugos politiką įgyvendinantys dokumentai turi būti patvirtinti ne vėliau kaip per 6 mėnesius nuo Saugos nuostatų patvirtinimo dienos.
12. Informacinės sistemos valdytojas gali tvirtinti visų ar kelių jo valdomų informacinių sistemų bendrus saugos dokumentus.
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
13. Saugos dokumentai institucijoje turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per metus informacinės sistemos valdytojo vadovo nustatyta tvarka. Saugos dokumentai taip pat turi būti persvarstomi (peržiūrimi) po to, kai atliekamas rizikos įvertinimas ar informacinių technologijų saugos atitikties vertinimas arba institucijoje įvyksta esminių organizacinių, sisteminių ar kitokių pokyčių. Keičiami saugos dokumentai derinami su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką, Aprašo nustatyta tvarka. Keičiami saugos dokumentai gali būti su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką, nederinami tais atvejais, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar saugos politikos nekeičiantys pakeitimai arba taisoma teisės technika.
Punkto pakeitimai:
Nr. 20, 2018-01-03, paskelbta TAR 2018-01-09, i. k. 2018-00337
14. Patvirtinęs Saugos nuostatus ar jų pakeitimus, informacinės sistemos valdytojas Registrų ir valstybės informacinių sistemų registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2012 m. spalio 16 d. nutarimu Nr. 1263 „Dėl Registrų sąrašo reorganizavimo į Registrų ir valstybės informacinių sistemų registrą ir Registrų ir valstybės informacinių sistemų registro nuostatų patvirtinimo“, nustatyta tvarka pateikia šiam registrui reikiamus duomenis ar dokumentų kopijas.
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
15. Patvirtintų saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas informacinės sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai krašto apsaugos ministro patvirtintų valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
Nr. 20, 2018-01-03, paskelbta TAR 2018-01-09, i. k. 2018-00337
III SKYRIUS
SAUGOS ORGANIZAVIMAS
Pakeistas skyriaus pavadinimas:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
16. Už elektroninės informacijos saugą pagal kompetenciją atsako informacinės sistemos valdytojas ir informacinės sistemos tvarkytojas (-ai).
17. Informacinės sistemos valdytojas atsako už saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.
18. Informacinės sistemos tvarkytojas (-ai) atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.
19. Informacinės sistemos valdytojas teisės aktu, kuriuo tvirtinami Saugos nuostatai, skiria saugos įgaliotinį arba paveda jį paskirti informacinės sistemos tvarkytojui.
20. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
21. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti elektroninės informacijos saugos srities kvalifikaciją, darbe vadovautis Aprašo, kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reglamentuojančiomis elektroninės informacijos saugą.
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
22. Saugos įgaliotinis, koordinuodamas ir prižiūrėdamas saugos politikos įgyvendinimą informacinėje sistemoje, atlieka šias funkcijas:
22.1. teikia informacinės sistemos valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį, vadovui pasiūlymus dėl:
22.1.1. administratoriaus (administratorių) paskyrimo ir reikalavimų administratoriui (administratoriams) nustatymo;
22.2. teikia informacinės sistemos valdytojo vadovui pasiūlymus dėl saugos dokumentų priėmimo, keitimo;
22.3. koordinuoja elektroninės informacijos saugos incidentų, įvykusių informacinėje sistemoje, tyrimą ir bendradarbiauja su kompetentingoms institucijoms, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;
22.4. teikia administratoriui (administratoriams) ir informacinės sistemos naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;
22.6. atlieka kitas Saugos nuostatuose, kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, nustatytas ir Aprašo jam priskirtas funkcijas.
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
24. Saugos įgaliotinis, atlikdamas savo funkcijas, turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems informacinės sistemos valdytojo ir tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti.
25. Saugos įgaliotinis periodiškai organizuoja informacinės sistemos naudotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas. Mokymo ir informavimo būdai pasirenkami atsižvelgiant į informacinės sistemos specifiką. Mokymas planuojamas, organizuojamas ir vykdomas informacinės sistemos valdytojo tvirtinamuose Saugos nuostatuose nustatyta tvarka.
26. Informacinės sistemos valdytojas arba jo įgaliotas informacinės sistemos tvarkytojas turi paskirti administratorių (administratorius). Jeigu administratoriaus funkcijos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos paslaugos teikėjui, informacinės sistemos valdytojas ar informacinės sistemos tvarkytojas paskiria darbuotoją, kontroliuojantį šio paslaugos teikėjo darbą.
27. Administratorius (administratoriai) atlieka funkcijas, susijusias su informacinės sistemos naudotojų teisių valdymu, informacinės sistemos komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo sistemomis, elektroninės informacijos perdavimu tinklais, bylų serveriais ir kitais), šių informacinės sistemos komponentų sąranka, informacinių sistemų pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena, reagavimu į elektroninės informacijos saugos incidentus, taip pat privalo vykdyti visus saugos įgaliotinio nurodymus ir pavedimus, susijusius su informacinės sistemos saugos užtikrinimu, ir nuolat teikti saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.
28. Atlikdamas (-i) informacinės sistemos sąrankos pakeitimus, administratorius (administratoriai) turi laikytis informacinės sistemos valdytojo nustatytos informacinės sistemos pokyčių valdymo tvarkos, nustatytos informacinės sistemos valdytojo tvirtinamose Saugaus elektroninės informacijos tvarkymo taisyklėse.
29. Administratorius (administratoriai) privalo patikrinti (peržiūrėti) informacinės sistemos sąranką ir informacinės sistemos būsenos rodiklius reguliariai, ne rečiau kaip kartą per metus ir (arba) po informacinės sistemos pokyčio.
30. Informacinių sistemų valdytojas, valdantis daugiau kaip dvi informacines sistemas ar informacines sistemas, kurias sudaro ne mažiau kaip du posistemiai ar funkciškai savarankiškos sudedamosios dalys, gali sudaryti elektroninės informacijos saugos darbo grupes, koordinuosiančias saugos politikos įgyvendinimą institucijoje, elektroninės informacijos saugos priemonių ir metodų taikymą institucijoje ir jos valdomose informacinėse sistemose, analizuosiančias ir koordinuosiančias institucijų informacinėse sistemose įvykusių elektroninės informacijos saugos incidentų tyrimą ir tvarkysiančias saugos dokumentaciją.
31. Saugos įgaliotinis ir administratorius gali būti paskiriami kelioms informacinės sistemos valdytojo valdomoms informacinėms sistemoms, posistemiams, funkciškai savarankiškoms sudedamosioms dalims ar tam tikroms saugos įgaliotinio ir administratoriaus funkcijoms atlikti, tačiau turi būti užtikrintas tinkamas saugos įgaliotinio ir administratoriaus funkcijų atlikimas. Jeigu skiriami saugos įgaliotiniai ir administratoriai atskirai kiekvienai valdomai informacinei sistemai, posistemiui, funkciškai savarankiškoms sudedamosioms dalims ar tam tikroms saugos įgaliotinio ir administratoriaus funkcijoms atlikti, turi būti aiškiai nurodyta, kokiai informacinei sistemai, posistemiui, funkciškai savarankiškoms sudedamosioms dalims ar kurioms saugos įgaliotinio ir administratoriaus funkcijoms atlikti paskiriamas konkretus saugos įgaliotinis ir administratorius, taip pat vienam iš saugos įgaliotinių ir administratorių pavesta koordinuoti šių saugos įgaliotinių ir administratorių veiklą.
IV SKYRIUS
SAUGOS INCIDENTŲ VALDYMAS
Pakeistas skyriaus pavadinimas:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
32. Informacinės sistemos naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai administratoriui, saugos įgaliotiniui arba jeigu valstybės institucijoje įsteigta informacinių technologijų pagalbos tarnyba – šiai tarnybai.
33. Jeigu saugos įgaliotinis nebuvo informuotas apie Aprašo 32 punkte nurodytus pažeidimus, administratorius arba informacinių technologijų pagalbos tarnyba informuoja saugos įgaliotinį apie šiuos pažeidimus. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią informacinės sistemos saugą, saugos įgaliotinis apie tai turi pranešti informacinės sistemos valdytojo vadovui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais.
V SKYRIUS
RIZIKOS ĮVERTINIMAS
Pakeistas skyriaus pavadinimas:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
35. Saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja visų informacinių sistemų rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį informacinių sistemų rizikos įvertinimą. Informacinės sistemos valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį, rašytiniu pavedimu informacinių sistemų rizikos įvertinimą gali atlikti pats saugos įgaliotinis.
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
Nr. 20, 2018-01-03, paskelbta TAR 2018-01-09, i. k. 2018-00337
36. Informacinių sistemų rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama informacinės sistemos valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį, vadovui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai yra šie:
36.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
36.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
36.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
37. Atsižvelgdamas į rizikos įvertinimo ataskaitą, informacinės sistemos valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
38. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas informacinės sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
VI SKYRIUS
INFORMACINĖS SISTEMOS POKYČIŲ VALDYMAS
Pakeistas skyriaus pavadinimas:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
39. Informacinės sistemos valdytojas užtikrina informacinės sistemos pokyčių (toliau – pokyčiai) valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas pagal pokyčio tipą (administracinis, organizacinis ar techninis), įtakos vertinimą ir pokyčių prioritetų nustatymo procesus. Su tuo susijusios nuostatos numatomos informacinės sistemos valdytojo tvirtinamose Saugaus elektroninės informacijos tvarkymo taisyklėse ar kitame informacinės sistemos valdytojo patvirtintame teisės akte.
40. Visi pokyčiai, galintys sutrikdyti ar sustabdyti informacinės sistemos darbą, turi būti suderinti su informacinės sistemos valdytojo vadovu ar duomenų valdymo įgaliotiniu ir vykdomi tik gavus jų raštišką pritarimą. Pokyčius turi teisę inicijuoti duomenų valdymo įgaliotinis, saugos įgaliotinis ar administratorius, o įgyvendinti – administratorius.
41. Informacinės sistemos sąrankos aprašai turi būti nuolat atnaujinami ir rodyti esamą informacinės sistemos sąrankos būklę.
VII SKYRIUS
INFORMACINIŲ TECHNOLOGIJŲ SAUGOS ATITIKTIES VERTINIMAS
Pakeistas skyriaus pavadinimas:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
43. Informacinių technologijų saugos atitikties vertinimo metodiką nustato krašto apsaugos ministras.
Punkto pakeitimai:
Nr. 20, 2018-01-03, paskelbta TAR 2018-01-09, i. k. 2018-00337
44. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama informacinės sistemos valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį, vadovui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato informacinės sistemos valdytojo vadovas.
45. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas informacinės sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
VIII SKYRIUS
INFORMACINĖS SISTEMOS NAUDOTOJŲ ATSAKOMYBĖ
Pakeistas skyriaus pavadinimas:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
46. Tvarkyti informacinės sistemos elektroninę informaciją gali tik informacinės sistemos naudotojai, susipažinę su saugos dokumentais ir sutikę laikytis jų reikalavimų.
47. Informacinės sistemos naudotojų supažindinimą su saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą organizuoja saugos įgaliotinis. Supažindinimo būdai pasirenkami atsižvelgiant į informacinės sistemos specifiką, tačiau turi būti užtikrintas susipažinimo įrodomumas.
48. Informacinės sistemos naudotojai, pažeidę Aprašo ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako įstatymų nustatyta tvarka.
PATVIRTINTA
Lietuvos Respublikos Vyriausybės
2013 m. liepos 24 d. nutarimu Nr. 716
SAUGOS DOKUMENTŲ TURINIO GAIRIŲ APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
Pakeistas skyriaus pavadinimas:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
1. Saugos dokumentų turinio gairių apraše (toliau – Aprašas) nustatomas valstybės registro (kadastro), žinybinio registro, valstybės informacinės sistemos ir kitų informacinių sistemų (toliau – informacinė sistema) duomenų saugos nuostatų, Saugaus elektroninės informacijos tvarkymo taisyklių, Informacinės sistemos veiklos tęstinumo valdymo plano ir Informacinės sistemos naudotojų administravimo taisyklių (toliau – saugos dokumentai) turinys.
2. Apraše vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos Vyriausybės patvirtintame Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir Lietuvos standartuose LST ISO/IEC 27001:2013 ir LST ISO/IEC 27002:2014.
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
II SKYRIUS
INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ TURINIO REIKALAVIMAI
Pakeistas skyriaus pavadinimas:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
3. Informacinės sistemos duomenų saugos nuostatus (toliau – saugos nuostatai) sudaro šie skyriai:
3.1. „Bendrosios nuostatos“, kuriame turi būti nurodyta:
3.1.2. informacinės sistemos valdytojo ir tvarkytojo (tvarkytojų), kitų subjektų, kuriems taikomi saugos nuostatų reikalavimai, pavadinimai ir adresai (jeigu dėl didelio skaičiaus ar kitų priežasčių neįmanoma išvardyti visų subjektų, būtina nurodyti jų grupes pagal veiklos ar pavaldumo pobūdį);
3.1.3. informacinės sistemos valdytojo ir tvarkytojo (tvarkytojų), informacinės sistemos saugos įgaliotinio (toliau – saugos įgaliotinis), informacinės sistemos administratoriaus (toliau – administratorius) funkcijos (jeigu paskiriami keli saugos įgaliotiniai ar administratoriai, turi būti atskirai nurodytos kiekvieno saugos įgaliotinio ir administratoriaus funkcijos);
3.2. „Elektroninės informacijos saugos valdymas“, kuriame turi būti nurodyta:
3.2.1. Neteko galios nuo 2023-07-20
Punkto naikinimas:
Nr. 573, 2023-07-19, paskelbta TAR 2023-07-19, i. k. 2023-14858
3.2.2. valstybės informacinių išteklių rūšis, kuriai priskiriama informacinė sistema;
Punkto pakeitimai:
Nr. 573, 2023-07-19, paskelbta TAR 2023-07-19, i. k. 2023-14858
3.2.3. pagrindinės informacinės sistemos valdytojo nuostatos dėl rizikos veiksnių vertinimo, pagrindinių rizikos vertinimo kriterijų apibūdinimas (rizikos veiksnių vertinimo metodika, naudojami rizikos vertinimo dokumentai (vadovai, brošiūros, klausimynai, rekomendacijos, interaktyvios priemonės (kompiuterinės programos) ir panašiai), vertinimo periodiškumas, vertinimo apimtis ir kita);
3.3. „Organizaciniai ir techniniai reikalavimai“, kuriame turi būti nurodyta:
3.3.1. programinės įrangos, skirtos apsaugoti informacinę sistemą nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai (nurodomas ilgiausias leistinas neatnaujinimo laikas);
3.3.3. kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos;
3.3.4. leistinos kompiuterių (ypač nešiojamųjų) naudojimo ribos (jeigu kompiuterius leidžiama naudoti nustatytoms funkcijoms atlikti ne institucijos patalpose, turi būti nurodytos papildomos saugos priemonės, taikytinos tokiems kompiuteriams (šifravimas, papildomas tapatybės patvirtinimas, prisijungimo ribojimai, rakinimo įrenginių naudojimas ir panašiai);
3.3.5. metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą (nurodomas nuotolinio prisijungimo prie informacinės sistemos būdas, protokolas, elektroninės informacijos keitimosi formatai, šifravimo, elektroninės informacijos kopijų skaičiaus reikalavimai, reikalavimas teikti ir (ar) gauti elektroninę informaciją automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas ir panašiai);
3.4. „Reikalavimai personalui“, kuriame turi būti nurodyta:
3.4.1. informacinės sistemos naudotojų, administratoriaus (administratorių) ir saugos įgaliotinio kvalifikaciniai reikalavimai;
3.5. „Informacinės sistemos naudotojų supažindinimo su saugos dokumentais principai“, kuriame turi būti nurodyti supažindinimo ir pakartotinio supažindinimo su saugos dokumentais, kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, ir atsakomybe už saugos dokumentų nuostatų pažeidimus, pagrindiniai reikalavimai, būdai.
3.6. Prireikus ir kitos Lietuvos standartuose LST ISO/IEC 27001:2013 ir LST ISO/IEC 27002:2014 esančios saugaus elektroninės informacijos tvarkymo nuostatos.
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
III SKYRIUS
SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ TURINIO REIKALAVIMAI
Pakeistas skyriaus pavadinimas:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
4. Saugaus elektroninės informacijos tvarkymo taisykles sudaro šie skyriai:
4.1. „Bendrosios nuostatos“, kuriame turi būti nurodyta:
4.1.1. informacinėje sistemoje tvarkomų duomenų ar jų grupių sąrašas ir valstybės informacinių išteklių rūšis, kuriai priskirta informacinė sistema ir joje tvarkomi duomenys ar jų grupės;
Punkto pakeitimai:
Nr. 573, 2023-07-19, paskelbta TAR 2023-07-19, i. k. 2023-14858
4.1.2. už informacinėje sistemoje tvarkomų duomenų ar jų grupių tvarkymą atsakingų informacinės sistemos naudotojų ar informacinės sistemos naudotojų grupių sąrašas.
Punkto pakeitimai:
Nr. 573, 2023-07-19, paskelbta TAR 2023-07-19, i. k. 2023-14858
4.2. „Techninių ir kitų saugos priemonių aprašymas“, kuriame turi būti nurodyta:
4.2.4. patalpų ir aplinkos saugumo užtikrinimo priemonės (įėjimo kontrolė, elektros tiekimas, aplinkos drėgnumas, darbo vietos temperatūra, priešgaisrinė sauga);
4.3. „Saugus elektroninės informacijos tvarkymas“, kuriame turi būti nurodyta:
4.3.1. saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo užtikrinimo tvarka;
4.3.3. atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka;
4.3.4. saugaus elektroninės informacijos perkėlimo ir teikimo susijusioms informacinėms sistemoms, elektroninės informacijos gavimo iš jų užtikrinimo tvarka;
4.3.5. elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka;
4.3.7. informacinės sistemos pokyčių (toliau – pokyčiai) valdymo tvarka, apimanti šiuos procesus:
4.3.7.2. pokyčių suskirstymas į kategorijas, atsižvelgiant į pokyčių svarbą, aktualumą, poreikį ir panašiai;
4.3.8. jeigu pokyčių valdymo tvarka išdėstyta kitame informacinės sistemos valdytojo patvirtintame teisės akte, pateikiama nuoroda į konkretų teisės aktą;
4.4. „Reikalavimai, keliami informacinėms sistemoms funkcionuoti reikalingoms paslaugoms ir jų teikėjams“, kuriame turi būti nurodyta:
IV SKYRIUS
INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANO TURINIO REIKALAVIMAI
Pakeistas skyriaus pavadinimas:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
5. Informacinės sistemos veiklos tęstinumo valdymo planą (toliau – planas) sudaro šie skyriai:
5.1. „Bendrosios nuostatos“, kuriame turi būti nurodyta:
5.1.2. saugos įgaliotinio, administratoriaus (administratorių), informacinės sistemos naudotojų ir kitų asmenų įgaliojimai ir veiksmai pagal planą, tai yra įvykus elektroninės informacijos saugos incidentui;
5.1.3. nuostata, kad planas privalomas informacinės sistemos tvarkytojams, valdytojui, saugos įgaliotiniui, administratoriui (administratoriams) ir informacinės sistemos naudotojams;
5.1.4. finansinių ir kitokių išteklių, numatomų informacinės sistemos veiklai atkurti įvykus elektroninės informacijos saugos incidentui, šaltiniai;
5.2. „Organizacinės nuostatos“, kuriame turi būti nurodyta:
5.2.1. informacinės sistemos veiklos tęstinumo valdymo grupės (toliau – veiklos tęstinumo valdymo grupė) sudėtis (vadovas, pavaduotojas ir kiti nariai);
5.2.2. veiklos tęstinumo valdymo grupės funkcijos:
5.2.2.1. situacijos analizė ir sprendimų informacinės sistemos veiklos tęstinumo valdymo klausimais priėmimas;
5.2.2.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;
5.2.2.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;
5.2.2.5. finansinių ir kitų išteklių, reikalingų informacinės sistemos veiklai atkurti, įvykus elektroninės informacijos saugos incidentui, naudojimo kontrolė;
5.2.3. informacinės sistemos veiklos atkūrimo grupės (toliau – veiklos atkūrimo grupė) sudėtis (vadovas, pavaduotojas ir kiti nariai (nurodomos asmenų, atsakingų už tam tikrų funkcijų atlikimą, ne mažiau kaip 2 kiekvienai funkcijai atlikti, pareigybės); į veiklos atkūrimo grupę neturėtų būti įtraukiami asmenys, įeinantys į veiklos tęstinumo valdymo grupės sudėtį (išskyrus išimtinius atvejus, kai nepakanka žmogiškųjų išteklių veiklos atkūrimo grupei sudaryti);
5.2.4. veiklos atkūrimo grupės funkcijos:
5.2.5. informacinės sistemos veiklos atkūrimo detalusis planas, kuriame nurodyti veiksmų vykdymo eiliškumas, terminai, atsakingi vykdytojai; rekomenduojama numatyti atskirus plano scenarijus informacinės sistemos veiklai atkurti po skirtingo pobūdžio ir masto elektroninės informacijos saugos incidentų;
5.2.6. reikalavimai, keliami atsarginėms patalpoms, naudojamoms informacinės sistemos veiklai atkurti įvykus elektroninės informacijos saugos incidentui, atsarginių patalpų adresas ir būdai, kaip iki jų nuvykti;
5.3. „Aprašomosios nuostatos“, kuriame turi būti nurodyta:
5.3.1. parengtų ir saugomų dokumentų sąrašas:
5.3.1.1. dokumentas, kuriame nurodyti informacinių technologijų įrangos parametrai ir už šios įrangos priežiūrą atsakingas (-i) administratorius (administratoriai), minimalus informacinės sistemos veiklai atkurti nesant administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, reikiamos kompetencijos ar žinių lygis;
5.3.1.2. dokumentas, kuriame nurodyta minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos institucijos poreikius atitinkančiai informacinės sistemos veiklai užtikrinti įvykus elektroninės informacijos saugos incidentui, specifikacija;
5.3.1.3. dokumentas, kuriame nurodyti kiekvieno pastato, kuriame yra informacinės sistemos įranga, aukšto patalpų brėžiniai ir juose pažymėti:
5.3.1.5. dokumentas, kuriame nurodytos elektroninės informacijos teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigas;
5.3.1.6. dokumentas, kuriame nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos;
5.3.2. už Aprašo 5.3.1 papunktyje nurodytų dokumentų parengimą atsakingo asmens pareigos;
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
5.3.3. už Aprašo 5.3.1 papunktyje nurodytų dokumentų saugojimą atsakingas (-i) administratorius (administratoriai);
Punkto pakeitimai:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
5.3.4. kai institucija naudoja (pagal nuomos, panaudos ar kitas sutartis) visą informacinės sistemos techninę įrangą ar jos dalį, priklausančias ir esančias trečiosios šalies patalpose – sutarties su trečiąja šalimi data ir numeris; sutarties kopija turi būti saugoma administratoriaus (administratorių).
5.4. „Plano veiksmingumo išbandymo nuostatos“, kuriame turi būti nurodyta:
5.4.2. asmuo, atsakingas už išbandant plano veiksmingumą pastebėtų trūkumų ataskaitos parengimą ir pateikimą informacinės sistemos valdytojui;
V SKYRIUS
INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ TURINIO REIKALAVIMAI
Pakeistas skyriaus pavadinimas:
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
6. Informacinės sistemos naudotojų administravimo taisykles sudaro šie skyriai:
6.1. „Bendrosios nuostatos“, kuriame turi būti nurodyta:
6.2. „Informacinės sistemos naudotojų ir administratorių įgaliojimai, teisės ir pareigos“, kuriame turi būti nurodyta:
6.2.1. informacinės sistemos naudotojų įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją;
6.2.2. informacinės sistemos administratoriaus (administratorių) prieigos prie informacinės sistemos lygiai ir juose taikomi elektroninės informacijos saugos reikalavimai (elektroninės informacijos skaitymas, kūrimas, atnaujinimas, naikinimas, informacinės sistemos naudotojų informacijos, prieigos teisių redagavimas ir panašiai).
6.3. „Saugaus elektroninės informacijos teikimo informacinės sistemos naudotojams kontrolės tvarka“, kuriame turi būti nurodyta:
6.3.1. tvarka, kuria bus registruojami ir išregistruojami informacinės sistemos naudotojai, ir už šių veiksmų atlikimą atsakingas asmuo;
6.3.3. informacinės sistemos naudotojų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai;
6.3.4. sąlygos ir atvejai, kai panaikinama informacinės sistemos naudotojų teisė dirbti su konkrečia elektronine informacija;
Pakeitimai:
1.
Lietuvos Respublikos Vyriausybė, Nutarimas
Nr. 826, 2016-08-11, paskelbta TAR 2016-08-18, i. k. 2016-22452
Dėl Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimo Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ pakeitimo
2.
Lietuvos Respublikos Vyriausybė, Nutarimas
Nr. 20, 2018-01-03, paskelbta TAR 2018-01-09, i. k. 2018-00337
Dėl Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimo Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ pakeitimo
3.
Lietuvos Respublikos Vyriausybė, Nutarimas
Nr. 573, 2023-07-19, paskelbta TAR 2023-07-19, i. k. 2023-14858
Dėl Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimo Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ pakeitimo