2.1. Lietuvos Respublikoje įsteigtiems bankams, draudimo ir perdraudimo įmonėms, elektroninių pinigų įstaigoms, finansų maklerio įmonėms ir šių subjektų, licencijuotų ne Europos Sąjungos valstybėse narėse, filialams, mokėjimo įstaigoms, centrinėms kredito unijoms ir kredito unijoms (toliau – Įstaiga), išskyrus Aprašo 32, 53, 57 punktų ir IX skyriaus nuostatas, kurios taikomos šiems subjektams tuo atveju, jeigu jie yra mokėjimo paslaugų teikėjai (MPT), teikiantys mokėjimo paslaugas pagal Lietuvos Respublikos mokėjimų įstatymą (išskyrus 2.2 papunktyje nurodytus MPT);

Papunkčio pakeitimai:

Nr. 03-159, 2021-10-25, paskelbta TAR 2021-10-26, i. k. 2021-22232

2.2. Lietuvos Respublikoje įsteigtiems užsienio bankų, elektroninių pinigų įstaigų, mokėjimo įstaigų, licencijuotų Europos Sąjungos valstybėse narėse, filialams, teikiantiems mokėjimo paslaugas pagal Lietuvos Respublikos mokėjimų įstatymą, – Aprašo IX skyriaus nuostatos.

4.1.   informaciniai ištekliai – materialieji arba nematerialieji informaciniai rinkiniai, kurie turi būti apsaugoti;

4.2.  IRT ir saugumo rizika – rizika patirti nuostolių dėl duomenų konfidencialumo pažeidimo, sistemų ir duomenų vientisumo pažeidimo, sistemų ir duomenų netinkamumo ar jų neprieinamumo arba dėl negebėjimo per pagrįstą laiką ir patiriant pagrįstų sąnaudų pakeisti informacines technologijas (IT), kai pasikeičia aplinka ar verslo poreikiai. IRT ir saugumo rizika apima saugumo riziką, kylančią dėl netinkamų ar nevykusių vidaus procesų arba išorės įvykių, įskaitant kibernetines atakas arba nepakankamą fizinį saugumą;

4.3.   IRT paslaugos – vienam ar keliems vidaus arba išorės IRT sistemų vartotojams teikiamos paslaugos. Prie jų priskiriamos, pvz., duomenų įvedimo, saugojimo, apdorojimo ir ataskaitų teikimo paslaugos, taip pat stebėsenos, verslo paramos ir pagalbinės sprendimų priėmimo paslaugos;

4.4.   IRT projektas – bet koks projektas (arba jo dalis), kurį vykdant keičiamos, pašalinamos arba įgyvendinamos IRT sistemos ir paslaugos. IRT projektai gali būti didesnių IRT ar verslo keitimo programų dalis;

4.5.   IRT sistemos – IRT, įdiegtos kaip mechanizmo arba tarpusavyje susijusio tinklo, kuriuo palaikomos Įstaigos operacijos, dalis;

4.6.   IRT turtas – programinė arba techninė įranga, naudojama Įstaigos veikloje;

4.7.   operacinis arba saugumo incidentas – pavienis įvykis arba tarpusavyje susijusių įvykių, kurių Įstaiga neplanavo ir kurie turi arba, tikėtina, turės neigiamą poveikį paslaugų vientisumui, prieinamumui, konfidencialumui ir (arba) autentiškumui, grupė;

4.8.   priimtina rizika – bendrasis rizikos, kurią siekdamos savo strateginių tikslų Įstaigos nori prisiimti, lygis ir rūšys, atsižvelgiant į jų pajėgumą prisiimti riziką ir verslo modelį;

4.9.   trečioji šalis – subjektas, su kuriuo Įstaiga užmezgusi verslo santykius ar sudariusi sutartis dėl produkto ar paslaugos teikimo, įskaitant rangovus ir tieikėjus;

4.10.    Įstaigos organas – Įstaigos stebėtojų taryba, valdyba arba vienasmenis valdymo organas, kurie pagal teisės aktų reikalavimus ir Įstaigos vidaus dokumentus, yra atsakingi už Apraše nustatytų reikalavimų įgyvendinimą.

6.     Įstaiga turi užtikrinti, kad IRT ir saugumo rizikai valdyti Įstaiga turėtų tinkamą vidaus valdymo sistemą, o IRT ir saugumo rizikos nustatymas ir valdymas būtų įtrauktas į Įstaigos vidaus kontrolės sistemą.

7.     Įstaiga vidaus dokumentuose turi nustatyti aiškias su IRT užduotimis, informacijos saugumo rizikos valdymu ir veiklos tęstinumu susijusias funkcijas ir pareigas, įskaitant Įstaigos organo ir, jei taikoma, Įstaigoje įsteigtų komitetų funkcijas ir pareigas.

8.     Įstaiga turi užtikrinti, kad jos darbuotojų skaičius ir įgūdžiai nuolat atitiktų IRT operacinius poreikius bei IRT ir saugumo rizikos valdymo procesus ir būtų pakankami, kad būtų užtikrintas IRT strategijos įgyvendinimas, ir turėti pakankamą biudžetą šiems tikslams įgyvendinti. Įstaiga turi užtikrinti, kad visi darbuotojai būtų kasmet arba prireikus dažniau tinkamai mokomi, kad turėtų IRT ir saugumo rizikos srities, įskaitant informacijos saugumo sritį, žinių.

9.     Įstaiga turi parengti, patvirtinti Įstaigos IRT strategiją ir ją suderinti su bendra Įstaigos veiklos strategija.

10.   IRT strategijoje, be kita ko, turi būti numatyta:

11.   Įstaiga turi parengti veiksmų planą su numatytomis priemonėmis, skirtomis IRT strategijos tikslams įgyvendinti, ir su juo supažindinti visus susijusius darbuotojus, įskaitant, jei taikoma, trečiąsias šalis. Veiksmų planas turi būti reguliariai persvarstomas, siekiant užtikrinti jo aktualumą ir tinkamumą.

12.   Įstaiga turi įdiegti IRT strategijos veiksmingumo ir įgyvendinimo stebėsenos ir vertinimo procesus.

13.   Įstaiga turi užtikrinti IRT ir saugumo rizikos mažinimo priemonių veiksmingumą, kaip numatyta jų rizikos valdymo sistemoje, įskaitant Apraše nustatytas priemones, kai operacinės mokėjimo paslaugų ir (arba) IRT paslaugų ir bet kurios veiklos rūšies IRT sistemų funkcijos užsakomos, be kita ko, iš Įstaigos grupei priklausančių subjektų arba kai pasitelkiamos trečiosios šalys.

14.   Siekdama užtikrinti IRT paslaugų ir IRT sistemų tęstinumą, Įstaiga turi užtikrinti, kad su trečiosiomis šalimis arba Įstaigos grupės subjektais sudarytose sutartyse ir susitarimuose dėl paslaugų lygio (ir įprastomis aplinkybėmis, ir sutrikus paslaugų teikimui), be kita ko, būtų numatyta:

15.   Įstaiga turi vykdyti nuolatinę trečiųjų šalių stebėseną, kad įsitikintų, jog taikomos Įstaigos nustatytos priemonės, siekiama saugumo ir veikos tikslų.

16.   Įstaiga IRT ir saugumo rizikai valdyti turi taikyti trijų veiksmingų gynybos linijų (vidaus valdymo ir kontrolės, rizikos valdymo ir vidaus audito) modelį.

17.   Įstaiga turi nustatyti ir valdyti savo IRT ir saugumo riziką. IRT funkcija (-os), kuriai priskirta atsakomybė už IRT sistemas, procesus ir saugumo operacijas, turi numatyti tinkamų procesų ir kontrolės priemonių įdiegimą siekiant užtikrinti, kad visų rūšių rizika būtų nustatoma, analizuojama, matuojama, stebima ir valdoma, kad apie ją būtų pranešama ir kad ji neviršytų Įstaigos priimtinos rizikos ribų, kad rengiami projektai ir sistemos, vykdoma veikla atitiktų teisės aktų ir Įstaigos vidaus dokumentų reikalavimus.

18. Įstaiga turi užtikrinti, kad atsakomybė už IRT ir saugumo rizikos valdymą ir priežiūrą būtų priskirta kontrolės funkcijai. Tokia kontrolės funkcija turi būti nepriklausoma ir objektyvi, atskirta nuo IRT vykdomų operacijų procesų. Už šią kontrolės funkciją turi būti tiesiogiai atsiskaitoma Įstaigos organui. Ši kontrolės funkcija turi apimti atsakomybę už IRT ir saugumo rizikos valdymo sistemos stebėseną ir kontrolę. Ji turi užtikrinti, kad IRT ir saugumo rizika nustatoma, matuojama, vertinama, valdoma ir stebima ir kad apie ją pranešama. Įstaiga, jei taikoma, turi užtikrinti, kad tokia kontrolės funkcija atskirta nuo vidaus audito funkcijos.

19.   Taikydamas rizika pagrįstą metodą, vidaus auditą atliekantis asmuo turi gebėti nepriklausomai peržiūrėti ir objektyviai įvertinti visos su IRT ir saugumu susijusios veiklos, įskaitant Įstaigos padalinių veiklą, atitiktį Įstaigos politikų, procedūrų ir teisės aktų reikalavimams.

20.   Siekdama užtikrinti, kad IRT ir saugumo rizikos valdymo sistema būtų veiksminga, Įstaiga turi apibrėžti ir priskirti pagrindines funkcijas ir pareigas bei nustatyti atitinkamas atskaitomybės linijas. Tokia sistema turi būti visiškai integruota į bendrus Įstaigos rizikos valdymo procesus ir su jais suderinta.

21.   IRT ir saugumo rizikos valdymo sistemoje turi būti įdiegti procesai, kad būtų galima:

22.   Įstaiga turi dokumentuoti IRT ir saugumo rizikos valdymo sistemą ir nuolat ją atnaujinti vadovaudamasi patirtimi, įgyta ją įgyvendinant ir vykdant jos stebėseną. Įstaigos IRT ir saugumo rizikos valdymo sistema turi būti ne rečiau kaip kartą per metus peržiūrima ir patvirtinama Įstaigos organo.

23.   Siekdama nustatyti kiekvieno su IRT ir saugumo rizika susijusio tarpusavio priklausomybės ryšio svarbą, Įstaiga turi parengti ir nuolat atnaujinti savo veiklos funkcijų, atsakingų vykdytojų ir pagalbinių procesų žemėlapį.

24.   Siekdama valdyti bent kritinių veiklos funkcijų ir procesų informacinius išteklius, Įstaiga turi parengti ir nuolat atnaujinti informacinių išteklių, kuriais grindžiamos jos veiklos funkcijos ir pagalbiniai procesai (IRT sistemos, darbuotojai, rangovai, trečiosios šalys ir priklausomybė nuo kitų vidaus ir išorės sistemų ir procesų), registrą. Informacinių išteklių registre turi būti aiškiai priskirta Įstaigos darbuotojų atskaitomybė ir atsakomybė už kiekvieną informacinį išteklių (inventorizavimas, klasifikavimas, apsauga, prieigų valdymas, tinkamas tvarkymas, kai išteklius pašalinamas ar sunaikinamas, ir pan.).

25.   Įstaiga turi klasifikuoti veiklos funkcijas, pagalbinius procesus ir informacinius išteklius pagal jų svarbą, atsižvelgdama į konfidencialumo, vientisumo ir prieinamumo reikalavimus.

26.   Įstaiga turi įvertinti IRT ir saugumo riziką, darančią poveikį nustatytoms ir pagal svarbą klasifikuotoms veiklos funkcijoms, pagalbiniams procesams ir informaciniams ištekliams. Toks rizikos vertinimas turi būti atliekamas ir dokumentuojamas ne rečiau kaip kartą per metus. Rizikos vertinimas taip pat turi būti atliekamas iš esmės pasikeitus infrastruktūrai, procesams ar procedūroms, darančioms poveikį veiklos funkcijoms, pagalbiniams procesams arba informaciniams ištekliams, ir tada atitinkamai atnaujinamas galiojantis Įstaigos rizikos vertinimas.

27.   Atlikdama rizikos vertinimą, Įstaiga turi persvarstyti, ar informaciniai ištekliai klasifikuojami tinkamai, ir peržiūrėti su tuo susijusius dokumentus.

28.   Įstaiga turi užtikrinti, kad būtų nuolat vykdoma grėsmių ir pažeidžiamumo stebėsena, susijusi su jos veiklos procesais, pagalbinėmis funkcijomis ir informaciniais ištekliais, ir reguliariai persvarstyti poveikį jai darančius rizikos scenarijus.

29.   Vadovaudamasi rizikos vertinimu, Įstaiga turi nustatyti, kokių priemonių reikia imtis siekiant sumažinti nustatytą IRT ir saugumo riziką iki priimtino lygio ir ar būtina keisti esamus veiklos procesus, kontrolės priemones, IRT sistemas ir IRT paslaugas. Įstaiga turi įvertinti, kiek laiko reikia tokiems pokyčiams įgyvendinti ir kiek laiko reikia, kad būtų imtasi tinkamų rizikos mažinimo priemonių, siekiant kuo labiau sumažinti IRT ir saugumo riziką, neviršijant Įstaigai priimtinos IRT ir saugumo rizikos.

30.   Įstaiga turi apibrėžti ir įgyvendinti nustatytas IRT ir saugumo rizikos mažinimo ir informacinių išteklių apsaugos priemones, atsižvelgdama į jų svarbą, nustatytą klasifikavimo metu.

31.   Įstaigos organui rizikos vertinimo rezultatai turi būti pateikiami vidaus dokumentuose nustatytu periodiškumu.

32.   MPT, atlikęs Aprašo 26 punkte nurodytą rizikos vertinimą, ne vėliau kaip per 14 dienų Lietuvos bankui elektroninėmis priemonėmis turi pateikti atnaujintą ir pagal Aprašo priedą parengtą Operacinės ir saugumo rizikos vertinimo ataskaitą.

33.   Įstaigos valdymą, sistemas ir procesus, susijusius su jos IRT ir saugumo rizika, turi reguliariai tikrinti nepriklausomi ir pakankamai žinių, įgūdžių ir patirties IRT ir saugumo rizikos ir mokėjimų srityje turintys vidaus ar išorės auditoriai ir Įstaigos organui pateikti nepriklausomą išvadą dėl jų veiksmingumo. Tokių auditų dažnio ir srities parinkimas turi būti proporcingas IRT ir saugumo rizikai.

34.   Įstaiga į Įstaigos organo tvirtinamą audito planą turi įtraukti visus numatomus IRT auditus ir svarbius jo pakeitimus. Audito planas ir jo įgyvendinimas, įskaitant audito dažnį, turi atspindėti Įstaigai būdingą IRT ir saugumo riziką ir būti jai proporcingas bei reguliariai atnaujinamas.

35.   Įstaiga turi įgyvendinti audito ataskaitoje nustatytų trūkumų pašalinimo pažangos stebėjimo procesą, apimantį kritinių IRT audito pastabų patikrinimą ir ištaisymą laiku.

36.   Įstaiga turi patvirtinti informacijos saugumo politiką (toliau – Politika), kurioje nustatyti principai ir taisyklės, skirtos apsaugoti Įstaigos ir jos klientų duomenų ir informacijos konfidencialumą, vientisumą ir prieinamumą. Politika turi atitikti Įstaigos informacijos saugumo tikslus ir būti grindžiama atitinkamais rizikos vertinimo rezultatais, su Politika turi būti supažindinti visi Įstaigos darbuotojai ir trečiosios šalys.

37.   Politikoje, be kita ko, turi būti:

38.   Vadovaudamasi Politika, Įstaiga turi sukurti ir įgyvendinti saugumo priemones, kuriomis būtų mažinama jai kylanti IRT ir saugumo rizika. Šios priemonės turėtų apimti:

39.   Įstaiga turi apibrėžti, dokumentuoti ir įgyvendinti loginės prieigos kontrolės (tapatybės ir prieigos valdymo) procedūras. Šios procedūros turi būti įgyvendinamos, kontroliuojamos, stebimos ir reguliariai persvarstomos bei apimti anomalijų stebėsenos kontrolės priemones. Tokiose procedūrose turi būti bent jau šie elementai:

40.   Elektroninė taikomųjų programų prieiga prie duomenų ir IRT sistemų turi būti kuo labiau ribojama ir suteikiama tik tada, kai tai yra būtina tam tikrai paslaugai teikti.

41.   Siekiant apsaugoti Įstaigos patalpas, duomenų centrus ir kitas saugumo zonas, t. y. vietas, kuriose laikoma įslaptinta ar ypač svarbi informacija arba informacijos apdorojimo priemonės, nuo nesankcionuotos prieigos ir aplinkos pavojų, turi būti įgyvendintos Įstaigos vidaus dokumentuose apibrėžtos fizinio saugumo priemonės.

42.   Fizinė prieiga prie IRT sistemų turi būti leidžiama tik įgaliotiems asmenims. Įgaliojimai turi būti suteikiami atsižvelgiant į asmeniui priskirtas užduotis ir atsakomybės sritis ir tik asmenims, kurie yra tinkamai išmokyti ir prižiūrimi. Siekiant užtikrinti, kad nereikalingos prieigos teisės būtų greitai panaikinamos, fizinė prieiga turi būti reguliariai peržiūrima.

43.   Tinkamos apsaugos nuo aplinkos pavojų priemonės turi atitikti pastatų ir tuose pastatuose vykdomų operacijų ar esančių IRT sistemų svarbą.

44.   Siekdama užkirsti kelią saugumo problemoms, Įstaiga turi sukurti ir įgyvendinti procedūras, mažinančias IRT sistemų ir IRT paslaugų saugumo įvykių poveikį IRT. Šios procedūros turi apimti:

45.   Įstaiga turi nuolat vertinti, ar veiklos aplinkos pokyčiai turi įtakos įgyvendinamoms saugumo priemonėms arba ar reikia taikyti papildomas priemones, siekiant tinkamai mažinti susijusią riziką. Šie pakeitimai turi būti įtraukti į Įstaigos pokyčių valdymo procesą, jie turi būti tinkamai planuojami, testuojami, registruojami dokumentuose, tvirtinami ir taikomi.

46.   Įstaiga turi turėti procedūras, skirtas neįprastiems veiksmams, kurie gali daryti poveikį Įstaigos informacijos saugumui, nustatyti ir tinkamai reaguoti į tokius įvykius. Vykdydama nuolatinę stebėseną, Įstaiga turi įdiegti tinkamas ir veiksmingas fizinio ir loginio įsibrovimo ir informacinių išteklių konfidencialumo, vientisumo ir prieinamumo pažeidimų nustatymo ir pranešimo apie juos priemones. Nuolatinės stebėsenos ir nustatymo procesai, be kita ko, turi apimti:

47.   Įstaiga turi sukurti ir įgyvendinti procesus ir turėti organizacinę struktūrą  saugumo grėsmėms, galinčioms daryti reikšmingą poveikį jos gebėjimams teikti paslaugas, nustatyti ir nuolatinei jų stebėsenai. Įstaiga turi nuolat stebėti technologijų vystymąsi, rinkti informaciją apie saugumo riziką, taip pat įgyvendinti saugumo grėsmių aptikimo priemones, siekiant aptikti galimą informacijos nutekėjimą, kenkėjišką kodą ir kitas saugumo grėsmes, taip pat viešai žinomus programinės ir techninės įrangos pažeidžiamumus, ir tikrinti, ar yra įdiegti atitinkami nauji saugumo atnaujinimai.

48.   Vykdydama saugumo stebėseną, Įstaiga turi išnagrinėti operacinių ar saugumo incidentų prigimtį, nustatyti šių incidentų raidos tendencijas ir atlikti incidentų priežaščių nustatymo tyrimus.

49.   Siekdama užtikrinti veiksmingą IRT sistemų ir IRT paslaugų pažeidžiamumų nustatymą, Įstaiga turi atlikti įvairias informacijos saugumo peržiūras, vertinimus ir testavimus (pvz., atlikti grėsmių analizę, vadovaudamasi informacijos saugumo standartais, atitikties peržiūromis, vidaus ir išorės informacinių sistemų auditais arba fizinio saugumo peržiūromis). Įstaiga turi nagrinėti gerosios praktikos pavyzdžius, t. y. programinio kodo peržiūras, pažeidžiamumų vertinimus, įsiskverbimų testavimus ir raudonosios komandos pratybas (angl. red team excercise).

50.   Įstaiga turi sukurti ir įdiegti informacijos saugumo testavimo sistemą, kurioje būtų patvirtinamas jų informacijos saugumo priemonių patikimumas ir veiksmingumas, ir užtikrinti, kad sistemoje būtų nagrinėjamos grėsmės ir pažeidžiamumai, nustatytos grėsmių stebėsenos ir IRT ir saugumo rizikos vertinimo procese.

51.   Įstaiga turi užtikrinti, kad informacijos saugumo testavimai:

52.   Įstaiga turi atlikti einamuosius ir pakartotinius saugumo priemonių testavimus. Visų kritinių IRT sistemų atveju tokie testavimai turi būti atliekami ne rečiau kaip kartą per metus. Nekritinės sistemos turi būti testuojamos reguliariai, taikant rizika pagrįstą metodą, bet ne rečiau kaip kartą per trejus metus.

53.   MPT einamieji ir pakartotiniai saugumo priemonių testavimai atliekami vykdant išsamų su teikiamomis mokėjimo paslaugomis susijusios saugumo rizikos vertinimą.

54.   Įstaiga turi užtikrinti, kad saugumo priemonių testavimai būtų atliekami pasikeitus infrastruktūrai, procesams ar procedūroms ir padarius pakeitimus dėl svarbių operacinių ar saugumo incidentų arba pradėjus naudoti naujas ar iš esmės pakeistas kritines internetines taikomąsias programas.

55.   Atlikdama testavimus, Įstaiga turi remtis pastebėtomis saugumo grėsmėmis, atsižvelgti į padarytus pakeitimus ir įtraukti svarbių ir žinomų potencialių atakų scenarijus.

56.   Įstaiga turi stebėti ir vertinti saugumo testavimų rezultatus ir atitinkamai atnaujinti savo saugumo priemones ir, jeigu tai susiję su kritinių IRT sistemų priemonėmis, tai daryti nedelsdama.

57.   MPT testavimo sistema, be kita ko, turi apimti saugumo priemones, susijusias su:

58.   Siekdama užtikrinti visų darbuotojų ir trečiųjų šalių pasirengimą vykdyti savo pareigas laikantis atitinkamos saugumo politikos ir procedūrų, Įstaiga turi parengti jiems skirtą mokymo programą, įskaitant periodinio informuotumo saugumo klausimais didinimo programą, kad būtų sumažinta žmonių klaidų, vagystės, sukčiavimo, piktnaudžiavimo ar nuostolių atvejų ir pašalinta su informacijos saugumu susijusi rizika. Įstaiga turi užtikrinti, kad pagal mokymo programą visi darbuotojai ir trečiosios šalys būtų mokomi ne rečiau kaip kartą per metus.

70.1.   incidentų nustatymo, sekimo, įrašymo į žurnalą (angl. log), suskirstymo į kategorijas ir klasifikavimo pagal prioritetus procedūras, atsižvelgiant į jų svarbą veiklai;

70.2.   funkcijas ir pareigas pagal įvairius incidentų scenarijus (pvz., susijusius su klaidomis, trikdžiais, kibernetinėmis atakomis);

70.3.   problemų valdymo procedūras, naudojamas siekiant nustatyti, analizuoti ir pašalinti pagrindinę vieno ar kelių incidentų priežastį (Įstaiga turi analizuoti operacinius ar saugumo incidentus, galinčius padaryti poveikį Įstaigai, kurie buvo nustatyti ir (arba) įvyko organizacijos viduje ir (arba) už jos ribų, ir, siekdama sumažinti būsimų incidentų tikimybę arba poveikį, turi nagrinėti tokios analizės išvadas ir atitinkamai atnaujinti saugumo priemones);

70.4.  veiksmingus vidaus komunikacijos planus, įskaitant pranešimo apie incidentus ir eskalavimo procedūras, apimančius ir su saugumu susijusius klientų skundus, siekiant užtikrinti, kad apie incidentus, galinčius padaryti didelį neigiamą poveikį kritinėms IRT sistemoms ir IRT paslaugoms, būtų pranešama su incidentu susijusio padalinio vadovybei ir IRT vadovybei ir kad ad hoc pagrindu Įstaigos organui būtų pranešama apie didelius incidentus ar bent jau apie poveikį, reagavimą ir papildomas kontrolės priemones, kurias reikia nustatyti dėl incidentų;

70.5.   reagavimo į incidentus procedūras, siekiant sumažinti su incidentais susijusį poveikį ir užtikrinti, kad paslaugos būtų vėl teikiamos laiku ir saugiai;

70.6.   konkrečius išorės komunikacijos planus, susijusius su kritinėmis veiklos funkcijomis ir procesais, skirtus komunikuoti ir bendradarbiauti su suinteresuotomis šalimis, kad būtų veiksmingai reaguojama į incidentą ir atkuriama veikla, laiku pateikiama reikiama informacija išorės šalims (pvz., klientams, kitiems rinkos dalyviams, priežiūros institucijoms), laikantis teisės aktuose nustatytų reikalavimų.

71.   Įstaiga turi įgyvendinti programą ir (arba) projektų valdymo procesą, kuriame būtų apibrėžtos funkcijos, pareigos ir atsakomybės sritys, siekiant užtikrinti veiksmingą IRT strategijos įgyvendinimą.

72.   Įstaiga turi tinkamai stebėti ir mažinti IRT projektų portfelyje kylančią riziką (programų valdymas), kartu atsižvelgdama į riziką, kuri gali kilti dėl įvairių projektų tarpusavio priklausomybės ryšių ir daugelio projektų priklausomybės nuo tų pačių išteklių ir (arba) ekspertų.

73.   Įstaiga turi parengti ir įgyvendinti IRT projektų valdymo politiką, kurioje, be kita ko, būtų nustatyta:

74.   IRT projektų valdymas turi užtikrinti, kad informacijos saugumo reikalavimus analizuotų ir tvirtintų už IRT ir saugumo rizikos valdymą ir priežiūrą atsakingas asmuo, nepriklausomas nuo kūrimo funkciją atliekančio asmens.

75.   Įstaiga turi užtikrinti, kad į projekto grupę būtų įtraukti visų su IRT projektu susijusių sričių atstovai ir kad projekto grupė turėtų žinių, kurių reikia saugiam ir sėkmingam projekto įgyvendinimui užtikrinti.

76.   Įstaiga IRT projektų riziką turi įtraukti į savo rizikos valdymo sistemą. Apie IRT projektų pradžią ir pažangą ir su jais susijusią riziką Įstaigos organas turi būti informuojamas pateikiant individualius arba apibendrintus duomenis, priklausomai nuo IRT projektų svarbos ir dydžio, reguliariai ir prireikus ad hoc pagrindu.

77.   Įstaiga turi sukurti ir įgyvendinti IRT sistemų įsigijimo, kūrimo ir palaikymo valdymo procesą. Šis procesas turi būti paremtas rizika pagrįstu metodu.

78.   Įstaiga turi užtikrinti, kad prieš įsigyjant ar sukuriant IRT sistemas, būtų aiškiai apibrėžti funkciniai ir nefunkciniai reikalavimai (įskaitant informacijos saugumo reikalavimus) ir kad šie reikalavimai būtų patvirtinti IRT sistemą užsakančio padalinio vadovo.

79.   Įstaiga turi užtikrinti, kad būtų įdiegtos priemonės, kuriomis būtų mažinama nenumatyto IRT sistemų pakeitimo arba tyčinio manipuliavimo jomis rizika IRT sistemų kūrimo ir įdiegimo į gamybos aplinką metu.

80.   Įstaigoje turi būti įgyvendinta IRT sistemų testavimo ir patvirtinimo, prieš pradedant jas naudoti, metodika. Metodikoje turi būti atsižvelgiama į veiklos procesų ir išteklių svarbą. Įstaiga turi užtikrinti, kad, atlikus testavimus, naujos IRT sistemos veiktų, kaip numatyta. Testavimo metu turi būti naudojama aplinka, atitinkanti gamybos aplinką.

81.   Įstaiga turi atlikti IRT sistemų, IRT paslaugų ir informacijos saugumo priemonių testavimus, kad nustatytų galimus saugumo trūkumus, pažeidimus ir incidentus.

82.   Įstaiga turi įdiegti atskirą IRT aplinką, kad užtikrintų tinkamą pareigų atskyrimą ir sumažintų nepatikrintų pokyčių gamybos sistemoms poveikį, t. y. Įstaiga turi užtikrinti gamybos aplinkos atskyrimą nuo kūrimo, testavimo ir kitos ne gamybos aplinkos. Įstaiga turi užtikrinti gamybos duomenų vientisumą ir konfidencialumą ne gamybos aplinkoje. Prieiga prie gamybos duomenų turi būti suteikta tik leidimus turintiems IRT sistemų vartotojams.

83.   Įstaiga turi įdiegti Įstaigos viduje kuriamų IRT sistemų programinių kodų vientisumo apsaugos priemones. Siekdama sumažinti priklausomybę nuo konkrečių sričių ekspertų, Įstaiga taip pat turi išsamiai dokumentuoti IRT sistemų kūrimą, diegimą, veikimą ir (arba) konfigūravimą. IRT sistemų dokumentacija, jei taikoma, turi apimti IRT sistemų vartotojų instrukciją, techninę sistemų dokumentaciją ir eksploatacijos procedūras.

84.   Įstaigoje įdiegti IRT sistemų įsigijimo ir kūrimo procesai taip pat turi būti taikomi IRT sistemoms, kurias, taikydami rizika pagrįstą metodą, kuria arba valdo IRT organizacinei struktūrai nepriklausantys vartotojai (pvz., vartotojo skaičiavimo programos). Įstaiga turi pildyti tokių taikomųjų programų, palaikančių kritines veiklos funkcijas ar procesus, registrą.

85.   Siekdama užtikrinti, kad visi IRT sistemų pakeitimai būtų registruojami, testuojami, vertinami, patvirtinami, įdiegiami ir patikrinami užtikrinant kontrolę, Įstaiga turi sukurti ir įgyvendinti IRT pokyčių valdymo procesą. Įstaiga turi valdyti IRT pokyčius ekstremaliųjų situacijų atveju (t. y. pokyčius, kuriuos reikia įdiegti kuo skubiau), laikydamasi procedūrų, kurios užtikrina tinkamas apsaugos priemones.

86.   Įstaiga turi vertinti, ar dabartinės veiklos aplinkos pokyčiai daro įtaką turimoms saugumo priemonėms arba reikalauja papildomų susijusios rizikos mažinimo priemonių. Tokie pokyčiai turi būti vykdomi pagal vidaus dokumentuose įtvirtintą Įstaigos pokyčių valdymo procesą.

89.   Siekdama užtikrinti patikimą veiklos tęstinumo valdymą, Įstaiga turi atlikti poveikio veiklai analizę, vertindama jai kylančią rimtų veiklos sutrikimų riziką, kiekybiškai ir kokybiškai vertindama jų galimą poveikį konfidencialumui, vientisumui ir prieinamumui, remdamasi vidaus ir (arba) išorės duomenimis (pvz., trečiųjų šalių duomenimis, kurie yra svarbūs veiklos procesui, arba viešai prieinamais duomenimis, kurie gali būti svarbūs poveikio veiklai analizei) ir scenarijų analize. Atliekant poveikio veiklai analizę taip pat turi būti atsižvelgta į nustatytų ir klasifikuotų veiklos funkcijų, pagalbinių procesų, trečiųjų šalių ir informacinių išteklių svarbą ir jų tarpusavio priklausomybės ryšius.

90.   Įstaiga turi užtikrinti, kad jos IRT sistemos ir IRT paslaugos būtų sukurtos atsižvelgiant į poveikio veiklai analizę, pavyzdžiui, numatant tam tikrų kritinių komponentų dubliavimą, kad būtų užkirstas kelias sutrikimams dėl įvykių, darančių poveikį tiems komponentams.

91.   Remdamasi atlikta poveikio veiklai analize, Įstaiga turi parengti veiklos tęstinumą užtikrinančius planus (veiklos tęstinumo planus), juos turi patvirtinti Įstaigos organas. Planuose turi būti išsamiai nagrinėjama rizika, kuri galėtų padaryti neigiamą poveikį IRT sistemoms ir IRT paslaugoms. Planai turi padėti apsaugoti ir, jei būtina, naujai apibrėžti veiklos funkcijų, pagalbinių procesų ir informacinių išteklių konfidencialumą, vientisumą ir prieinamumą. Rengdama tokius planus, Įstaiga, kai reikia, turi tai koordinuoti su atitinkamomis suinteresuotosiomis šalimis.

92.   Įstaiga turi įgyvendinti veiklos tęstinumo planus, kad užtikrintų gebėjimą tinkamai reaguoti į galimų sutrikimų scenarijus ir pašalinus sutrikimus vėl pradėtų vykdyti savo kritinę veiklą, neviršydama nustatyto atkūrimo termino (t. y. ilgiausio laikotarpio, per kurį sistemą ar procesą būtina atkurti po incidento (RTO) ir nustatyto atkūrimo momento (t. y. ilgiausio laikotarpio, per kurį dėl incidento duomenų praradimas laikomas priimtinu (RPO).

93.   Atsiradus reikšmingų veiklos sutrikimų, kai tenka laikytis konkrečių veiklos tęstinumo planų, remdamasi rizika pagrįstu metodu, Įstaiga turi teikti pirmenybę veiklos tęstinumo veiksmams, atsižvelgdama į atliktą rizikos vertinimą.

94.   Įstaiga veiklos tęstinumo planuose turi numatyti įvairius scenarijus, įskaitant kraštutinius, bet įmanomus, su kuriais jai gali tekti susidurti, įskaitant kibernetinės atakos scenarijų, ir įvertinti galimą tokių scenarijų poveikį. Remdamasi tokiais scenarijais, Įstaiga turi aprašyti, kaip užtikrinamas IRT sistemų ir paslaugų tęstinumas ir Įstaigos informacijos saugumas.

95.   Remdamasi poveikio veiklai analize ir įmanomais scenarijais, Įstaiga turi parengti reagavimo ir atkūrimo planus. Šiuose planuose turi būti numatyta, kokiomis sąlygomis jie gali būti taikomi ir kokių veiksmų reikia imtis siekiant užtikrinti bent kritinių Įstaigoje įdiegtų IRT sistemų ir IRT paslaugų prieinamumą, tęstinumą ir atkūrimą. Reagavimo ir atkūrimo planais turi būti siekiama įgyvendinti Įstaigos operacijų atkūrimo tikslus.

96.   Reagavimo ir atkūrimo planuose turi būti numatyti trumpalaikiai ir ilgalaikiai atkūrimo scenarijai. Planai turi būti:

97.   Reagavimo ir atkūrimo planuose taip pat turi būti vertinamos alternatyvos, kai trumpalaikis atkūrimas gali būti neįmanomas dėl sąnaudų, rizikos, logistikos ar kitų nenumatytų aplinkybių.

98.   Reagavimo ir atkūrimo planuose Įstaiga turi numatyti tęstinumo priemones, švelninančias trečiųjų šalių, kurios yra itin svarbios Įstaigos IRT paslaugų tęstinumui, veiklos sutrikimus.

99.   Įstaiga turi reguliariai atlikti savo veiklos tęstinumo planų testavimus. Įstaiga turi užtikrinti, kad kritinių veiklos funkcijų, pagalbinių procesų, informacinių išteklių ir jų tarpusavio priklausomybės ryšių (įskaitant, jei taikytina, trečiąsias šalis) veiklos tęstinumo planai būtų testuojami ne rečiau kaip kartą per metus.

100. Veiklos tęstinumo planus Įstaiga turi atnaujinti ne rečiau kaip kartą per metus, remdamasi testavimų rezultatais, surinktais duomenimis apie grėsmes ir su ankstesniais įvykiais susijusia patirtimi, taip pat pasikeitus atkūrimo tikslams (RTO ir RPO) ir (arba) pasikeitus veiklos funkcijoms, pagalbiniams procesams ir informaciniams ištekliams.

101. Atlikdama veiklos tęstinumo planų testavimus, Įstaiga turi įsitikinti, kad geba išlaikyti savo veiklos gyvybingumą, kol bus atkurtos kritinės operacijos. Veiklos tęstinumo planai turi atitikti šiuos reikalavimus:

102. Testavimų rezultatus Įstaiga turi dokumentuoti, visus per testavimus nustatytus trūkumus išnagrinėti ir pašalinti bei apie juos pranešti Įstaigos organui.

103. Sutrikus veiklai arba susiklosčius nenumatytai situacijai, įgyvendindama veiklos tęstinumo planus, Įstaiga turi būti įsidiegusi veiksmingas informavimo krizės atveju priemones, kad visos suinteresotosios šalys būtų laiku ir tinkamai informuotos.