LIETUVOS RESPUBLIKOS TEISINGUMO MINISTRAS

ĮSAKYMAS

DĖL CENTRINĖS HIPOTEKOS ĮSTAIGOS TVARKOMŲ REGISTRŲ IR INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO, SAUGOS ĮGALIOTINIO, ADMINISTRATORIŲ SKYRIMO IR SAUGOS POLITIKĄ ĮGYVENDINANČIŲ DOKUMENTŲ RENGIMO

2015 m. balandžio 22 d. Nr. 1R-106

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7.1 papunkčiu ir 11, 12, 19, 26 punktais:

1. Tvirtinu Centrinės hipotekos įstaigos tvarkomų registrų ir informacinių sistemų duomenų saugos nuostatus (pridedama).

2. Skiriu Lietuvos Respublikos teisingumo ministerijos Teisinių institucijų departamento Informacinių išteklių koordinavimo skyriaus vyriausiąją specialistę Žaną Jerochovienę Politinių partijų narių sąrašų informacinės sistemos (toliau – PPNSIS) naudotojų administratore.

2.1. Pavedu Centrinei hipotekos įstaigai:

2.1.1. paskirti Centrinės hipotekos įstaigos tvarkomų Lietuvos Respublikos hipotekos, Turto arešto aktų, Testamentų, Vedybų sutarčių, Sutarčių, Neveiksnių ir ribotai veiksnių asmenų, Įgaliojimų registrų ir PPNSIS saugos įgaliotinį ir šių registrų bei PPNSIS administratorius;

2.1.2. paskirti valstybės tarnautoją ar darbuotoją, dirbantį pagal darbo sutartį, kuris kontroliuotų Centrinės hipotekos įstaigos tvarkomų Lietuvos Respublikos hipotekos, Turto arešto aktų, Testamentų, Vedybų sutarčių, Sutarčių, Neveiksnių ir ribotai veiksnių asmenų, Įgaliojimų registrų ir PPNSIS techninės ir programinės įrangos priežiūros funkcijas teikiančio paslaugų teikėjo darbą, jei tokios funkcijos paslaugų teikėjui perduotos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka;

2.1.3. ne vėliau kaip per 2 mėnesius nuo šio įsakymo įsigaliojimo dienos parengti ir pateikti Lietuvos Respublikos teisingumo ministrui tvirtinti saugos politiką įgyvendinančių dokumentų projektus.

3. Pripažįstu netekusiu galios Lietuvos Respublikos teisingumo ministro 2011 m. sausio 5 d. įsakymą Nr. 1R-1 „Dėl Centrinės hipotekos įstaigos tvarkomų registrų duomenų saugos nuostatų patvirtinimo, saugos įgaliotinio ir saugos dokumentų rengėjų skyrimo“ su visais pakeitimais ir papildymais.

Teisingumo ministras Juozas Bernatonis

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2015 m. balandžio 13 d. raštu Nr. 1D-3671

PATVIRTINTA

Lietuvos Respublikos teisingumo ministro

2015 m. balandžio 22 d. įsakymu Nr. 1R-106

CENTRINĖS HIPOTEKOS ĮSTAIGOS TVRARKOMŲ REGISTRŲ IR INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Centrinės hipotekos įstaigos tvarkomų registrų ir informacinių sistemų duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Centrinės hipotekos įstaigos tvarkomų Lietuvos Respublikos hipotekos, Turto arešto aktų, Testamentų, Vedybų sutarčių, Sutarčių, Neveiksnių ir ribotai veiksnių asmenų, Įgaliojimų registrų ir Politinių partijų narių sąrašų informacinės sistemos (toliau – informacinės sistemos) elektroninės informacijos saugos politiką.

2. Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, ir kituose teisės aktuose bei Lietuvos „Informacijos technologija. Saugumo metodai“ grupės standartuose.

3. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

3.1. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

3.2. informacinių sistemų veiklos tęstinumo užtikrinimas;

3.3. informacinių sistemų naudotojų mokymas;

3.4. asmens duomenų apsauga;

3.5. informacijos saugumo vadybos sistemos, atitinkančios Lietuvos standarto
LST ISO/IEC 27001:2013 reikalavimus, įdiegimas.

4. Elektroninės informacijos saugumo užtikrinimo tikslai:

4.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti informacinių sistemų elektroninę informaciją;

4.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

5. Saugos nuostatai taikomi informacinių sistemų valdytojai ir Politinių partijų narių sąrašų informacinės sistemos (toliau – PPNSIS) tvarkytojai – Lietuvos Respublikos teisingumo ministerijai (Gedimino pr. 30/1, Vilnius) – ir informacinių sistemų tvarkytojai – Centrinei hipotekos įstaigai (Tilto g. 17, Vilnius).

6. Lietuvos Respublikos teisingumo ministerijos funkcijos:

6.1. metodiškai vadovauti informacinių sistemų tvarkytojui ir koordinuoti informacinių sistemų funkcionavimą;

6.2. koordinuoti informacinių sistemų tvarkytojo ir techninės bei programinės įrangos priežiūros funkcijas teikiančio paslaugų teikėjo darbą, nustatyta tvarka atlikti jų veiklos priežiūrą;

6.3. atlikti elektroninės informacijos saugos reikalavimų laikymosi priežiūrą;

6.4. nagrinėti informacinių sistemų tvarkytojo pasiūlymus dėl informacinių sistemų elektroninės informacijos saugos tobulinimo ir priimti dėl jų sprendimus;

6.5. priimti įsakymus dėl informacinių sistemų elektroninės informacijos saugumo užtikrinimo;

6.6. užtikrinti veiksmingą ir spartų informacinių sistemų pokyčių valdymo planavimą;

6.7. skirti informacinių sistemų administratorius (toliau – administratoriai) arba pavesti juos paskirti informacinių sistemų tvarkytojui;

6.8. prireikus tvirtinti rizikos įvertinimo ir rizikos valdymo priemonių planą;

6.9. prireikus tvirtinti informacinių sistemų informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą;

6.10. atlikti kitas informacinių sistemų saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

7. Centrinės hipotekos įstaigos funkcijos:

7.1. užtikinti informacinių sistemų nepertraukiamą veikimą;

7.2. užtikrinti informacinių sistemų elektroninės informacijos saugą ir saugų jos perdavimą elektroninių ryšių tinklais;

7.3. užtikrinti informacinių sistemų valdytojo priimtų teisės aktų ir rekomendacijų tinkamą įgyvendinimą;

7.4. ne rečiau kaip kartą per metus organizuoti saugos dokumentų persvarstymą (peržiūrėjimą);

7.5. organizuoti informacinių sistemų naudotojams mokomuosius ir pažintinius kursus informacinių sistemų elektroninės informacijos tvarkymo klausimais;

7.6. atlikti kitas informacinių sistemų saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

8. Už elektroninės informacijos saugą pagal kompetenciją atsako informacinių sistemų valdytojas ir tvarkytojas.

9. Informacinių sistemų valdytojas atsako už saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.

10. Informacinių sistemų tvarkytojas atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatų ir saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.

11. Informacinių sistemų saugos įgaliotinio (toliau – saugos įgaliotinis), koordinuojančio ir prižiūrinčio informacinių sistemų saugos politikos įgyvendinimą, funkcijos:

11.1. teikti informacinių sistemų tvarkytojo vadovui pasiūlymus dėl:

11.1.1. administratorių paskyrimo ir reikalavimų administratoriams nustatymo;

11.1.2. informacinių technologijų saugos atitikties vertinimo pagal Informacinių technologijų saugos atitikties vertinimo metodiką, patvirtintą Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

11.2. teikti informacinių sistemų valdytojo vadovui pasiūlymus dėl saugos dokumentų priėmimo, keitimo;

11.3. koordinuoti informacinių sistemų elektroninės informacijos saugos incidentų tyrimą ir bendradarbiauti su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

11.4. teikti administratoriams ir informacinių sistemų naudotojams privalomus vykdyti nurodymus ir pavedimus dėl saugos politikos įgyvendinimo;

11.5. organizuoti rizikos ir informacinių technologijų saugos atitikties įvertinimą;

11.6. atlikti kitas Saugos nuostatuose, kituose teisės aktuose nustatytas ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, saugos įgaliotiniui priskirtas funkcijas.

12. Saugos įgaliotinis negali atlikti administratoriaus funkcijų.

13. Saugos įgaliotinis, atlikdamas savo funkcijas, turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems informacinių sistemų valdytojo ir informacinių sistemų tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti.

14. Administratoriai skiriami kelioms informacinių sistemų valdytojo valdomoms informacinėms sistemoms, posistemiams, funkciškai savarankiškoms sudedamosioms dalims ar tam tikroms administratoriaus funkcijoms atlikti.

15. Administratoriai skirstomi į šias grupes:

15.1. koordinuojantis administratorius, kuris prižiūri administratorių veiklą siekdamas užtikrinti tinkamą administratorių funkcijų vykdymą;

15.2. informacinių sistemų naudotojų administratorius, kuris atlieka funkcijas, susijusias su informacinių sistemų naudotojų teisių valdymu;

15.3. informacinių sistemų komponentų administratorius, kuris atlieka funkcijas, susijusias su informacinių sistemų komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo sistemomis, elektroninės informacijos perdavimu tinklais, bylų serveriais ir kitais komponentais), šių informacinių sistemų komponentų sąranka;

15.4. saugos administratorius, kuris atlieka funkcijas, susijusias su informacinių sistemų pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena.

16. Administratorių skaičius nustatomas informacinių sistemų valdytojo, kai jis skiria administratorius, arba informacinių sistemų tvarkytojo įsakyme dėl administratorių skyrimo.

17. Administratoriai privalo vykdyti visus saugos įgaliotinio nurodymus ir pavedimus dėl informacinių sistemų saugos užtikrinimo, pagal kompetenciją reaguoti į elektroninės informacijos saugos incidentus ir nuolat teikti saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.

18. Atlikdamas informacinių sistemų sąrankos pakeitimus, informacinių sistemų komponentų administratorius turi laikytis informacinių sistemų valdytojo informacinių sistemų pokyčių valdymo tvarkos, nustatytos informacinių sistemų valdytojo tvirtinamose informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse.

19. Informacinių sistemų komponentų administratoriai privalo patikrinti (peržiūrėti) informacinių sistemų sąranką ir informacinių sistemų būsenos rodiklius reguliariai – ne rečiau kaip kartą per metus ir (arba) po informacinių sistemų pokyčio.

20. Teisės aktai, kuriais vadovaujamasi tvarkant elektroninę informaciją ir užtikrinant jos saugą:

20.1. Lietuvos Respublikos kibernetinio saugumo įstatymas;

20.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

20.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

20.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

20.5. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

20.6. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

20.7. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

20.8. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“;

20.9. Lietuvos standartai LST ISO/IEC 27002:2014 ir LST ISO/IEC 27001:2013 bei kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugą; kiti teisės aktai, reglamentuojantys informacinių sistemų elektroninės informacijos tvarkymą ir saugą bei informacinių sistemų valdytojo ir tvarkytojo veiklą.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

21. Centrinės hipotekos įstaigos tvarkomuose registruose ir PPNSIS tvarkoma elektroninė informacija priskiriama šioms elektroninės svarbos kategorijoms:

21.1. Lietuvos Respublikos hipotekos registre tvarkoma elektroninė informacija priskiriama ypatingos svarbos elektroninės informacijos kategorijai. Elektroninė informacija šiai kategorijai priskiriama vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Gairių aprašas), 4.1.5, 4.1.7 papunkčių nuostatomis;

21.2. Turto arešto aktų, Testamentų, Vedybų sutarčių, Sutarčių, Neveiksnių ir ribotai veiksnių asmenų, Įgaliojimų registruose ir PPNSIS tvarkoma elektroninė informacija, vadovaujantis Gairių aprašo 4.2.4, 4.2.5 papunkčių nuostatomis, priskiriama svarbios elektroninės informacijos kategorijai.

22. Centrinės hipotekos įstaigos tvarkomi registrai ir PPNSIS priskiriami šioms svarbos kategorijoms:

22.1. Lietuvos Respublikos hipotekos registras, vadovaujantis Gairių aprašo 5.1 papunkčiu, priskiriamas pirmai kategorijai;

22.2. Turto arešto aktų, Testamentų, Vedybų sutarčių, Sutarčių, Neveiksnių ir ribotai veiksnių asmenų, Įgaliojimų registras ir PPNSIS, vadovaujantis Gairių aprašo 5.2 papunkčiu, priskiriami antrai svarbos kategorijai.

23. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo technika“ standartus, kasmet organizuoja informacinių sistemų rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį informacinių sistemų rizikos įvertinimą. Informacinių sistemų tvarkytojo rašytiniu pavedimu informacinių sistemų rizikos įvertinimą gali atlikti pats saugos įgaliotinis.

24. Informacinių sistemų rizikai įvertinti gali būti naudojamos interaktyvios priemonės (kompiuterinės programos ir pan.).

25. Informacinių sistemų rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama informacinių sistemų tvarkytojo vadovui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai yra šie:

25.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

25.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

25.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

26. Rizikos vertinimo metu atliekamų darbų apimtis:

26.1. informacines sistemas sudarančių vertybių inventorizacija;

26.2. neigiamos įtakos informacinių sistemų veiklai vertinimas;

26.3. grėsmių ir pažeidžiamumų analizė;

26.4. liekamosios rizikos vertinimas.

27. Elektroninės informacijos saugos priemonių parinkimo principai:

27.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

27.2. informacijos saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

27.3. atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos administracinės, techninės, programinės ar organizacinės elektroninės informacijos saugos užtikrinimo priemonės.

28. Atsižvelgdamas į rizikos įvertinimo ataskaitą, informacinių sistemų valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

29. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas informacinių sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

30. Siekiant užtikrinti saugos dokumentuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, ne rečiau kaip kartą per metus, jei teisės aktuose nenustatyta kitaip, organizuojamas informacinių technologijų saugos atitikties vertinimas. Ne rečiau kaip kartą per trejus metus informacinių technologijų saugos atitikties vertinimą turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.

31. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama informacinių sistemų tvarkytojo vadovui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato informacinių sistemų valdytojas.

32. Informacinių technologijų saugos atitikties vertinimo ataskaitas, pastebėtų trūkumų šalinimo plano kopijas informacinių sistemų valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

33. Programinės įrangos, skirtos informacinėms sistemoms apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

33.1. tarnybinėse stotyse ir vidinių informacinių sistemų naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingos programinės įrangos aptikimo, stebėjimo realiu laiku priemonės;

33.2. informacinių sistemų komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu yra patvirtinama, kad šių komponentų rizika yra priimtina;

33.3. kenksmingos programinės įrangos aptikimo priemonės turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas. Informacinių sistemų komponentų administratorius turi būti automatiškai informuojamas, kurie informacinių sistemų posistemiai, funkciškai savarankiškos sudedamosios dalys neatsinaujino laiku dėl kenksmingos programinės įrangos aptikimo.

34. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:

34.1. vidinių informacinių sistemų naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga, įtraukta į su informacinių sistemų valdytoju suderintą leistinos programinės įrangos sąrašą. Leistinos programinės įrangos sąrašą turi parengti ir ne rečiau kaip kartą per metus peržiūrėti bei prireikus atnaujinti saugos įgaliotinis;

34.2. vidinių informacinių sistemų naudotojų kompiuterinėje įrangoje turi būti naudojama tik darbo (tarnybos) funkcijoms atlikti reikalinga programinė įranga;

34.3. tarnybinių stočių ir vidinių informacinių sistemų naudotojų darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai turi būti operatyviai išbandomi ir įdiegiami;

34.4. saugos administratorius reguliariai, ne rečiau kaip kartą per savaitę, turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumo svarbos lygius informacinių sistemų posistemiuose, funkciškai savarankiškose sudedamosiose dalyse, vidinių informacinių sistemų naudotojų darbo vietų kompiuterinėje įrangoje. Apie įvertinimo rezultatus saugos administratorius turi informuoti saugos įgaliotinį;

34.5. programinė įranga turi būti prižiūrima laikantis gamintojo rekomendacijų;

34.6. programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – informacinių sistemų komponentų administratoriai arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai;

34.7. programinė įranga turi būti testuojama naudojant atskirą testavimo aplinką, kurioje esantys asmens duomenys turi būti naudojami vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“.

35. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių ir kitos) pagrindinės naudojimo nuostatos:

35.1. kompiuterių tinklas turi būti atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienes, apsaugos nuo pagrindinių per tinklą vykdomų atakų, atkirtimo nuo paslaugos, dedikuoto atkirtimo nuo paslaugos įrangą ir kt.;

35.2. kompiuterių tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešajame ryšių tinkle naršančių vidinių informacinių sistemų naudotojų kompiuterinę įrangą nuo kenksmingo kodo;

35.3. apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga, galinti iššifruoti įeinančių ir išeinančių duomenų srautų duomenis.

36. Leistinos kompiuterių naudojimo ribos:

36.1. stacionarius kompiuterius leidžiama naudoti tik informacinių sistemų valdytojo ir informacinių sistemų tvarkytojo patalpose;

36.2. nešiojamiesiems kompiuteriams, išnešamiems iš informacinių sistemų valdytojo ar informacinių sistemų tvarkytojo patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, papildomas tapatybės patvirtinimas, prisijungimo ribojimai, rakinimo įrenginių naudojimas);

36.3. iš stacionarių ir nešiojamųjų kompiuterių ar elektroninės informacijos laikmenų, kurie perduodami remonto, techninės priežiūros paslaugų teikėjui arba nurašomi, turi būti nebeatkuriamai pašalinta visa nevieša elektroninė informacija.

37. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

37.1. elektroninė informacija teikiama (daugkartinio teikimo atveju ir vienkartinio teikimo atveju) informacinių sistemų nuostatuose nustatyta tvarka;

37.2. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą naudojamas šifravimas, virtualus privatus tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas;

37.3. elektroninė informacija automatiniu būdu turi būti teikiama ir (ar) gaunama tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas.

38. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

38.1. išsamios atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai kartą per savaitę, dalinės atsarginės duomenų kopijos – kiekvieną darbo dieną;

38.2. atsarginių kopijų darymas turi būti fiksuojamas;

38.3. periodiškai, bet ne rečiau kaip kartą per pusmetį, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

38.4. atsarginės elektroninės informacijos kopijos turi būti saugomos kitose patalpose nei įrenginys, kuriuo elektroninė informacija buvo nukopijuota, arba kitame pastate, ir saugomos užrakintoje nedegioje spintoje;

38.5. atsarginės laikmenos su informacinių sistemų programinės įrangos kopijomis turi būti laikomos kitose patalpose arba kitame pastate nei informacinių sistemų tarnybinės stotys;

38.6. atsarginių kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti;

38.7. elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos;

38.8. patekimas į informacinių sistemų tarnybinių stočių patalpas ir patalpas, kuriose saugomos atsarginės kopijos, turi būti kontroliuojamas.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

39. Informacinių sistemų naudotojų, administratorių ir saugos įgaliotinio kvalifikaciniai reikalavimai:

39.1. vidinių informacinių sistemų naudotojų, administratorių, saugos įgaliotinio kvalifikacija turi atitikti bendruosius ir specialiuosius reikalavimus, nustatytus jų pareigybių aprašymuose;

39.2. visi informacinių sistemų naudotojai privalo turėti darbo kompiuteriu, taikomosiomis programomis įgūdžių;

39.3. saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis;

39.4. administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, darbą su kompiuterių tinklais, gebėti užtikrinti jų saugą, išmanyti informacinių sistemų komponentų administravimo ir priežiūros pagrindus, būti susipažinę su saugos dokumentais ir sutikęs laikytis jų reikalavimų.

40. Informacinių sistemų naudotojų ir administratorių mokymo planavimo, organizavimo ir vykdymo tvarka, mokymo dažnumo reikalavimai:

40.1. informacinių sistemų naudotojams, administratoriams turi būti periodiškai, bet ne rečiau kaip kartą per metus, organizuojami mokymai elektroninės informacijos saugos klausimais, įvairiais būdais primenama apie elektroninės informacijos saugos problemas (pvz., priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems informacinių sistemų naudotojams, administratoriams ir pan.);

40.2. mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugumo užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), informacinių sistemų naudotojų ar administratorių poreikius;

40.3. mokymai turi būti vykdomi pagal informacinių sistemų tvarkytojo patvirtintą mokymų planą. Mokymai gali būti vykdomi tiesioginiu (pvz., paskaitos, seminarai, konferencijos ir kt. teminiai renginiai) ar nuotoliniu būdu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.). Mokymus gali vykdyti saugos įgaliotinis ar kitas informacinių sistemų valdytojo ar informacinių sistemų tvarkytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis elektroninės informacijos saugos užtikrinimo principus, arba elektroninės informacijos saugos mokymų paslaugų teikėjas;

40.4. Už mokymų organizavimą atsakingas saugos įgaliotinis.

V SKYRIUS

INFORMACINIŲ SISTEMŲ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

41. Informacinių sistemų naudotojų supažindinimą su saugos dokumentais ir atsakomybe už saugos dokumentų nuostatų pažeidimus organizuoja saugos įgaliotinis. Informacinių sistemų naudotojai atsako už informacinių sistemų ir jose tvarkomos elektroninės informacijos saugumą pagal savo kompetenciją.

42. Informacinių sistemų naudotojų supažindinimo su saugos dokumentais būdai turi būti pasirenkami atsižvelgiant į informacinių sistemų specifiką. Vidinius informacinių sistemų naudotojus su saugos dokumentais supažindina saugos įgaliotinis. Kiti informacinių sistemų naudotojai su saugos dokumentais supažindinami elektroniniu būdu informacinėse sistemose.

43. Informacinių sistemų naudotojai pirmojo prisijungimo prie informacinių sistemų metu turi patvirtinti, kad susipažino su saugos dokumentais ir sutinka laikytis jų reikalavimų. Informacinių sistemų naudotojų patvirtinimai saugomi informacinių sistemų elektroniniuose įvykių žurnaluose siekiant užtikrinti susipažinimo su saugos dokumentais įrodomumą.

44. Pakartotinai su saugos dokumentais informacinių sistemų naudotojai supažindinami tik iš esmės pasikeitus informacinėms sistemoms arba elektroninės informacijos saugą reglamentuojantiems teisės aktams.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

45. Informacinių sistemų valdytojas saugos dokumentus gali keisti savo arba saugos įgaliotinio iniciatyva. Keičiami saugos dokumentai turi būti derinami su Lietuvos Respublikos vidaus reikalų ministerija. Keičiami saugos dokumentai gali būti nederinami su Lietuvos Respublikos vidaus reikalų ministerija tais atvejais, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar saugos politikos nekeičiantys pakeitimai arba taisoma teisės technika.

46. Informacinių sistemų tvarkytojas saugos dokumentus turi persvarstyti (peržiūrėti) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems informacinių sistemų tvarkytojo pokyčiams.

____________________