NACIONALINĖS TEISMŲ ADMINISTRACIJOS

direktorius

ĮSAKYMAS

DĖL NACIONALINĖS TEISMŲ ADMINISTRACIJOS DIREKTORIAUS 2011 M. LAPKRIČIO 28 D. ĮSAKYMO NR. 6P-112-(1.1) „DĖL LIETUVOS TEISMŲ INFORMACINĖS SISTEMOS NUOSTATŲ IR LIETUVOS TEISMŲ INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO

2019 m. balandžio 23 d. Nr. 6P-54-(1.1)

Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu bei 11 punktu:

1. P a k e i č i u Lietuvos teismų informacinės sistemos duomenų saugos nuostatus, patvirtintus Nacionalinės teismų administracijos direktoriaus 2011 m. lapkričio 28 d. įsakymo Nr. 6P-112-(1.1) „Dėl Lietuvos teismų informacinės sistemos nuostatų ir Lietuvos teismų informacinės sistemos duomenų saugos nuostatų patvirtinimo“ 1.2 papunkčiu, ir išdėstau juos nauja redakcija (pridedama).

2. P a v e d u Lietuvos teismų informacinės sistemos (toliau – LITEKO) saugos įgaliotiniui per 2 mėnesius nuo šio įsakymo įsigaliojimo dienos pateikti Nacionalinės teismų administracijos direktoriui tvirtinti LITEKO duomenų saugos politiką įgyvendinančius dokumentus – Saugaus elektroninės informacijos tvarkymo taisykles, LITEKO veiklos tęstinumo valdymo planą, LITEKO naudotojų administravimo taisykles.

Direktorė Reda Molienė

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2019 m. balandžio 18 d. raštu Nr. (4.2 E) 6K-255

PATVIRTINTA

Nacionalinės teismų administracijos direktoriaus

2011 m. lapkričio 28 d. įsakymu Nr. 6P-112-(1.1)

(Nacionalinės teismų administracijos direktoriaus

2019 m. balandžio 23 d. įsakymo Nr. 6P-54-(1.1) redakcija)

LIETUVOS TEISMŲ INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos teismų informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos teismų informacinėje sistemoje (toliau – LITEKO) tvarkomos elektroninės informacijos (toliau – Elektroninė informacija) saugos valdymą, organizacinius, techninius, naudotojams keliamus reikalavimus ir LITEKO naudotojų supažindinimo su saugos dokumentais principus.

2. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Aprašas), Lietuvos teismų informacinės sistemos nuostatuose, patvirtintuose Nacionalinės teismų administracijos direktoriaus 2011 m. lapkričio 28 d. įsakymu Nr. 6P-112-(1.1) „Dėl Lietuvos teismų informacinės sistemos nuostatų ir Lietuvos teismų informacinės sistemos duomenų saugos nuostatų patvirtinimo“, ir kituose teisės aktuose vartojamas sąvokas.

3. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

3.1. Elektroninės informacijos konfidencialumo užtikrinimas;

3.2. Elektroninės informacijos prieinamumo užtikrinimas;

3.3. Elektroninės informacijos vientisumo užtikrinimas;

3.4. veiklos tęstinumo užtikrinimas;

3.5. asmens duomenų apsauga.

4. Elektroninės informacijos saugumo užtikrinimo tikslai:

4.1. sudaryti sąlygas automatiniu būdu saugiai tvarkyti Elektroninę informaciją;

4.2. užtikrinti, kad Elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar neteisėto jos tvarkymo.

5. LITEKO valdytojas yra Nacionalinė teismų administracija (toliau – Administracija), įsikūrusi adresu L. Sapiegos g. 15, Vilnius.

6. LITEKO valdytojo funkcijos:

6.1. pagal kompetenciją atsako už Elektroninės informacijos saugą;

6.2. atsako už LITEKO saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir Elektroninės informacijos tvarkymo teisėtumą;

6.3. skiria LITEKO saugos įgaliotinį ir už LITEKO kibernetinio saugumo organizavimą ir užtikrinimą atsakingą padalinį (kompetentingus asmenis);

6.4. skiria LITEKO taikomosios programinės įrangos administratorių ir LITEKO infrastruktūros administratorių;

6.5. užtikrina LITEKO pokyčių nustatymą, planavimą ir jų įgyvendinimą;

6.6. koordinuoja, kontroliuoja LITEKO tvarkytojų funkcijų vykdymą ir metodiškai jiems vadovauja;

6.7. nagrinėja LITEKO tvarkytojų pasiūlymus dėl LITEKO veiklos tobulinimo ir priima sprendimus dėl jų įgyvendinimo;

6.8. rengia ir priima teisės aktus, susijusius su LITEKO veikla ir duomenų sauga, organizuoja jų įgyvendinimą;

6.9. atsižvelgdamas į rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą;

6.10. atlieka kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

7. LITEKO valdytojo vadovas sprendimu paskiria LITEKO saugos įgaliotinį, už LITEKO kibernetinio saugumo organizavimą ir užtikrinimą atsakingą padalinį, LITEKO taikomosios programinės įrangos administratorių ir (ar) LITEKO infrastruktūros administratorių. Teismo LITEKO administratorius skiriamas teismo pirmininko sprendimu.

8. LITEKO tvarkytojai:

8.1. Administracija;

8.2. Valstybės įmonė Registrų centras;

8.3. Lietuvos Aukščiausiasis Teismas;

8.4. Lietuvos apeliacinis teismas;

8.5. Lietuvos vyriausiasis administracinis teismas;

8.6. Vilniaus, Kauno, Klaipėdos, Šiaulių, Panevėžio apygardų teismai;

8.7. Vilniaus, Regionų apygardų administraciniai teismai;

8.8. apylinkių teismai (toliau Saugos nuostatų 8.3-8.8 papunkčiuose nurodyti teismai visi kartu – Teismai).

9. Administracijos, kaip LITEKO tvarkytojo, funkcijos:

9.1. užtikrina LITEKO duomenų saugą;

9.2. užtikrina LITEKO techninės ir programinės įrangos diegimą, funkcionavimą, atnaujinimą ir plėtrą;

9.3. rengia su LITEKO funkcionalumu, duomenų tvarkymu ir sauga susijusius teisės aktų projektus;

9.4. analizuoja teisines, technines, technologines, metodologines ir organizacines LITEKO tvarkymo problemas;

9.5. centralizuotai administruoja LITEKO naudotojų teises;

9.6. organizuoja LITEKO naudotojų ir LITEKO administratorių mokymus;

9.7. pagal kompetenciją metodiškai vadovauja LITEKO naudotojams ir koordinuoja jų veiklą, susijusią su LITEKO duomenų tvarkymu ir saugos priemonių įgyvendinimu;

9.8. atlieka kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

10. Administracija Saugos nuostatų 9.1-9.8 papunkčiuose numatytas LITEKO tvarkytojo funkcijas gali įgalioti atlikti LITEKO tvarkytoją, nurodytą Saugos nuostatų 8.2 papunktyje.

11. Teismų, kaip LITEKO tvarkytojų, funkcijos:

11.1. užtikrina LITEKO tvarkomų duomenų teisingumą ir apsaugą, duomenų tvarkymo teisėtumą;

11.2. pagal kompetenciją atsako už Elektroninės informacijos saugą;

11.3. atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą ir jų laikymąsi tvarkant LITEKO;

11.4. užtikrina tinkamą LITEKO valdytojo priimtų rekomendacijų įgyvendinimą;

11.5. teikia LITEKO valdytojui pasiūlymus dėl LITEKO veiklos tobulinimo;

11.6. atlieka kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

12. LITEKO saugos įgaliotinio funkcijos:

12.1. koordinuoja ir prižiūri LITEKO saugos politikos įgyvendinimą;

12.2. teikia LITEKO valdytojo vadovui pasiūlymus dėl:

12.2.1. LITEKO administratoriaus (administratorių) paskyrimo ir reikalavimų administratoriui (administratoriams) nustatymo;

12.2.2. LITEKO saugos atitikties vertinimo atlikimo Informacinių technologijų saugos atitikties vertinimo metodikoje nustatyta tvarka;

12.2.3. LITEKO saugos dokumentų priėmimo, keitimo;

12.3. koordinuoja Elektroninės informacijos saugos incidentų, įvykusių LITEKO, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, Elektroninės informacijos saugumo incidentus, neteisėtas veikas, susijusias su Elektroninės informacijos saugos incidentais;

12.4. teikia LITEKO administratoriui (administratoriams) ir LITEKO naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

12.5. turi teisę pagal savo įgaliojimus teikti privalomus vykdyti nurodymus ir pavedimus kitiems LITEKO valdytojo ir LITEKO tvarkytojų darbuotojams, jeigu tai būtina saugos politikai įgyvendinti;

12.6. organizuoja ir (ar) šių Saugos nuostatų 18 punkte nustatyta tvarka atlieka rizikos įvertinimą;

12.7. periodiškai organizuoja LITEKO naudotojų mokymą Elektroninės informacijos saugos klausimais, įvairiais būdais (elektroniniu paštu ir pan.) informuoja juos apie Elektroninės informacijos saugos problemas;

12.8. atlieka kitas Saugos nuostatuose, Apraše ir kituose teisės aktuose nustatytas saugos įgaliotiniui priskirtas funkcijas.

13. Už LITEKO kibernetinio saugumo organizavimą ir užtikrinamą atsakingas padalinys atlieka šias funkcijas:

13.1. užtikrina kibernetinių incidentų, įvykusių LITEKO, valdymą ir tyrimą;

13.2. organizuoja ir atlieka LITEKO atitikties reikalavimams, numatytiems Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 5 d. nutarimu Nr. 1209 „Dėl Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimo Nr. 818 „Dėl Nacionalinės kibernetinio saugumo strategijos patvirtinimo“ pakeitimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas), vertinimą;

13.3. organizuoja ir atlieka grėsmių ir pažeidžiamumų, galinčių turėti įtakos LITEKO kibernetiniam saugumui, vertinimą.

14. LITEKO priežiūrą atlieka administratoriai: LITEKO taikomosios programinės įrangos administratorius, LITEKO infrastruktūros administratorius, Teismų LITEKO administratoriai. Pagal atliekamų funkcijų pobūdį bei prieigos prie LITEKO lygį:

14.1. LITEKO taikomosios programinės įrangos administratorius atlieka šias funkcijas:

14.1.1. administruoja LITEKO taikomąją programinę įrangą ir duomenų bazes;

14.1.2. suteikia ar panaikina teismų LITEKO administratorių prieigas prie LITEKO, tvarko jų duomenis;

14.1.3. konsultuoja LITEKO naudotojus dėl LITEKO veikimo ir kitais su LITEKO susijusiais klausimais;

14.1.4. stebi duomenų bazes ir optimizuoja jų funkcionavimą;

14.1.5. analizuoja LITEKO naudotojų veiksmų registracijos žurnalų įrašus;

14.1.6. vykdo kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

14.2. LITEKO infrastruktūros administratorius atlieka šias funkcijas:

14.2.1. diegia, konfigūruoja ir aptarnauja LITEKO komponentus – tarnybines stotis, operacines sistemas, duomenų bazių valdymo sistemas, taikomųjų programų sistemas, ugniasienes, įsilaužimų aptikimo sistemas, Elektroninės informacijos perdavimo terpę; valdo šių komponentų sąranką (konfigūraciją);

14.2.2. užtikrina LITEKO pažeidžiamų vietų nustatymą;

14.2.3. užtikrina infrastruktūros saugumo reikalavimų atitikties nustatymą ir stebėseną;

14.2.4. reaguoja į Elektroninės informacijos saugos incidentus;

14.2.5. vykdo visus LITEKO saugos įgaliotinio nurodymus ir pavedimus, susijusius su LITEKO saugos užtikrinimu;

14.2.6. nuolat teikia LITEKO saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę;

14.2.7. atlikdamas LITEKO sąrankos pakeitimus, turi laikytis LITEKO pokyčių valdymo tvarkos;

14.2.8. reguliariai (ne rečiau kaip kartą per metus ir (arba) po LITEKO pokyčio) privalo patikrinti (peržiūrėti) LITEKO sąranką ir LITEKO būsenos rodiklius;

14.2.9. užtikrina LITEKO duomenų atsarginių kopijų darymą;

14.2.10. vykdo kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

14.3. Teismų LITEKO administratoriai atlieka šias funkcijas:

14.3.1. kuria ir administruoja teismo LITEKO naudotojų registracijos LITEKO duomenis;

14.3.2. konsultuoja teismo LITEKO naudotojus;

14.3.3. koordinuoja ir prižiūri saugos priemonių įgyvendinimą LITEKO naudotojų darbo vietose;

14.3.4. vykdo kitas Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

15. Tvarkant Elektroninę informaciją ir užtikrinant jos saugumą vadovaujamasi:

15.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

15.2. Lietuvos Respublikos kibernetinio saugumo įstatymu;

15.3. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

15.4. Aprašu;

15.5. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Gairių aprašas);

15.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašu;

15.7. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

15.8. Lietuvos standartais LST ISO/IEC 27002 ir LST ISO/IEC 27001, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, nustatančiais saugų informacinės sistemos duomenų tvarkymą;

15.9. kitais teisės aktais, kurie reglamentuoja elektroninės informacijos saugumo politiką ir duomenų tvarkymo teisėtumą, valstybės informacinių sistemų tvarkytojų veiklą bei duomenų saugos valdymą.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

16. Vadovaujantis Gairių aprašo 7.1 ir 7.2 papunkčiais, LITEKO tvarkoma Elektroninė informacija priskiriama ypatingos svarbos elektroninės informacijos kategorijai.

17. Vadovaujantis Gairių aprašo 12.1 papunkčiu, LITEKO pagal joje apdorojamos Elektroninės informacijos svarbos kategoriją priskiriama pirmai kategorijai.

18. LITEKO saugos įgaliotinis, atsižvelgdamas į krašto apsaugos ministro nustatytą Informacinių technologijų saugos atitikties vertinimo metodiką, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja LITEKO rizikos įvertinimą. Prireikus LITEKO saugos įgaliotinis gali organizuoti neeilinį LITEKO rizikos įvertinimą. LITEKO valdytojo vadovo rašytiniu pavedimu LITEKO rizikos įvertinimą gali atlikti pats LITEKO saugos įgaliotinis.

19. LITEKO rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama LITEKO valdytojo vadovui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos Elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai yra šie:

19.1. subjektyvūs netyčiniai (Elektroninės informacijos tvarkymo klaidos ir apsirikimai, Elektroninės informacijos ištrynimas, klaidingas Elektroninės informacijos teikimas, fiziniai Elektroninės informacijos technologijų sutrikimai, Elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

19.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis LITEKO Elektroninei informacijai gauti, Elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

19.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

20. LITEKO rizikos veiksniai vertinami nustatant jų įtakos LITEKO Elektroninės informacijos saugai laipsnius:

20.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – informacija išsiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, kurią galima greitai atstatyti iš turimų atsarginių kopijų, prarasta informacija po paskutinio kopijavimo. Neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterinėse darbo vietose;

20.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar sugadinti, bet juos įmanoma atkurti iš turimų atsarginių kopijų. Duomenų bazių įrašai pakeisti, sunku rasti klaidas ar suklastotą informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse;

20.3. A – aukštas. Duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti – duomenys visiškai sugadinti, dėl vagystės, gaisro ar užliejimo prarasti ne tik duomenys iš duomenų bazių, bet ir atsarginės kopijos, neveikia visa informacinė sistema.

21. LITEKO rizikos vertinimo metu atliekami darbai:

21.1. LITEKO sudarančių informacinių išteklių inventorizacija;

21.2. įtakos LITEKO veiklai vertinimas;

21.3. grėsmės ir pažeidimų analizė;

21.4. liekamosios rizikos vertinimas.

22. LITEKO valdytojas, atsižvelgdamas į rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

23. Pagrindiniai Elektroninės informacijos saugos priemonių parinkimo principai yra šie:

23.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

23.2. informacijos saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

23.3. kur galima, turi būti įdiegtos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

24. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų Saugos nuostatų įgyvendinimo kontrolę, ne rečiau kaip kartą per metus organizuojamas informacinių technologijų saugos atitikties vertinimas, kurio metu:

24.1. įvertinama esamos informacijos saugos padėties atitiktis Saugos nuostatų ir saugos politiką įgyvendinančių teisės aktų reikalavimams;

24.2. inventorizuojama LITEKO techninė ir programinė įranga;

24.3. tikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų LITEKO naudotojų ir administratorių darbo vietų bei visų tarnybinių stočių programinė įranga ir jų sąranka;

24.4. įvertinama ne mažiau kaip 10 procentų atsitiktinai parinktų LITEKO naudotojų suteiktų teisių atitiktis vykdomoms funkcijoms;

24.5. įvertinamas pasirengimas užtikrinti LITEKO veiklos tęstinumą įvykus saugos incidentui.

25. Atlikus Saugos nuostatų 24 punkte nurodytą vertinimą, rengiamas trūkumų šalinimo planas, kurį tvirtina, atsakingus asmenis paskiria ir įgyvendinimo terminus nustato LITEKO valdytojas.

26. Neeilinis LITEKO rizikos vertinimas turi būti atliekamas:

26.1. įvykus pokyčiams LITEKO techninėje ar programinėje įrangoje, kurie galėtų įtakoti LITEKO veikimą;

26.2. paaiškėjus naujoms tendencijoms informacinių technologijų saugos srityje, dėl kurių kiltų grėsmė LITEKO techninei, programinei įrangai ar LITEKO tvarkomiems duomenims;

26.3. po saugos incidento, kurio metu būtų sutrikdyta LITEKO veikla, sugadinti ar prarasti LITEKO duomenys.

27. LITEKO rizikos įvertinimo ataskaitos, rizikos valdymo priemonių plano, informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas LITEKO valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

28. Elektroninės informacijos saugos priemonės nustatomos Saugaus elektroninės informacijos tvarkymo taisyklėse ir yra parenkamos atsižvelgiant į poreikį ir LITEKO valdytojo turimus resursus. Saugos priemonių parinkimo principas – užtikrinti LITEKO veiksmingumą ir elektroninės informacijos saugą pagal Saugos nuostatų 4 punkte apibrėžtus tikslus ir Saugos nuostatų III skyriuje numatytus reikalavimus, siekiant patirti kuo mažiau išlaidų.

29. Elektroninės informacijos saugumą užtikrina LITEKO techninė ir programinė įranga, kompetentingi LITEKO tvarkytojai, LITEKO saugos įgaliotinis, LITEKO administratoriai.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

30. LITEKO tarnybinėse stotyse, LITEKO naudotojų bei administratorių kompiuterinėse darbo vietose įdiegiama antivirusinė programinė įranga, skirta apsisaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir pan.). Antivirusinė programinė įranga turi būti atnaujinama ne rečiau kaip kartą per 24 valandas.

31. LITEKO tarnybinėse stotyse ir kompiuterinėse darbo vietose nustatomas automatinis operacinės sistemos atnaujinimas atliekamas pagal techninės ir programinės įrangos gamintojo rekomendacijas.

32. LITEKO tarnybinėse stotyse ir kompiuterizuotose darbo vietose gali būti naudojama tik legali, autorizuota ir saugi programinė įranga.

33. LITEKO funkcionuoti būtina programinė tarnybinių stočių ir kompiuterinėse darbo vietose esanti programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kt.) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijų.

34. Programinės įrangos diegimą, šalinimą ir konfigūravimą atlieka LITEKO infrastruktūros administratorius. Programinės įrangos konfigūravimas yra apsaugotas slaptažodžiu.

35. LITEKO tarnybinėse stotyse turi būti naudojama tik su tarnybine veikla susijusi programinė įranga.

36. LITEKO objektų duomenims saugiai rinkti, apdoroti, kaupti, saugoti, teikti informacinėms sistemoms, suinteresuotiems fiziniams ir juridiniams asmenims LITEKO naudotojai turi naudoti programinės ir techninės įrangos saugos priemones, kuriose ne mažiau kaip:

36.1. realizuota galimybė LITEKO naudotojams naudoti tik legalią programinę įrangą;

36.2. realizuota LITEKO naudotojams prieigos prie LITEKO duomenų galimybė tik per registravimosi ir slaptažodžių sistemą;

36.3. realizuota prievolė LITEKO naudotojams reguliariai keisti slaptažodžius;

36.4. realizuota galimybė identifikuoti LITEKO naudotojus, fiksuoti ir kaupti jų duomenų tvarkymo veiksmus;

36.5. realizuota galimybė LITEKO naudotojų užklausas į LITEKO duomenų bazę fiksuoti programiniu būdu;

36.6. apribotas programinės įrangos, nesusijusios su LITEKO naudotojų funkcijomis (žaidimai, bylų siuntimo, internetinių pokalbių programos ir kt.), naudojimas;

36.7. draudžiama LITEKO naudotojams nešiojamuosius kompiuterius naudoti LITEKO duomenų perdavimui kompiuterių tinklais ne savo darbo vietoje.

37. Draudžiama naudoti programinę įrangą, nesusijusią su LITEKO tvarkytojo ir naudotojo atliekamomis funkcijomis.

38. Prieigai prie LITEKO naudojami kompiuteriai gali būti naudojami ir kitoms LITEKO naudotojo funkcijoms atlikti.

39. LITEKO naudotojų prieiga prie kitų valstybės institucijų informacinių sistemų, registrų ar interneto turi būti apsaugota užkardomis. Interneto turinys turi būti kontroliuojamas, filtruojant nepageidaujamą informaciją.

40. Kompiuterius, turinčius prieigą prie LITEKO, naudojant nustatytoms funkcijoms vykdyti ne institucijos patalpose, įdiegiamos papildomos saugos priemonės (duomenų šifravimas, prisijungimo ribojimai).

41. LITEKO tarnybinių stočių infrastruktūra turi būti pajungta prie interneto naudojant ugniasienes. Ugniasienių sąranka turi būti nustatyta taip, kad jos praleistų tiktai LITEKO veikimui reikalingą elektroninių duomenų srautą.

42. Kompiuterinėse darbo vietose turi būti įdiegtos priemonės, leidžiančios riboti USB ir kito tipo laikmenų naudojimą veiklai, nesusijusiai su teisėtu LITEKO tvarkymu.

43. LITEKO naudotojams draudžiama naudoti nešiojamuosius kompiuterius elektroninės informacijos perdavimui kompiuterių tinklais ne savo darbo vietoje. Naudotojams, savo tarnybinėms funkcijoms vykdyti naudojantiems nešiojamuosius kompiuterius ne savo darbo vietoje, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis.

44. Stacionarūs ir nešiojamieji LITEKO naudotojų kompiuteriai turi būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai. Iš kompiuterių, kurie perduoti remontui ar techninei priežiūrai, turi būti pašalinta visa riboto naudojimo elektroninė informacija.

45. Metodai, kuriais turi būti užtikrinamas saugus LITEKO duomenų teikimas ir (ar) gavimas:

45.1. LITEKO duomenys perduodami automatiniu būdu naudojant saugų valstybinį duomenų perdavimo tinklą pagal LITEKO duomenų teikimo sutartis, kuriose nustatytos perduodamų duomenų specifikacijos, perdavimo sąlygos ir tvarka;

45.2. LITEKO duomenis duomenų teikėjai teikia pagal sudarytas sutartis, kuriose nustatytos duomenų teikimo sąlygos;

45.3. prieiga prie LITEKO yra ribojama ugniasienėmis pagal sutartyse numatytus kriterijus (IP adresus).

46. LITEKO programinis kodas saugomas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.

47. Atsarginės duomenų kopijos daromos laikantis Duomenų atsarginių kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarkos apraše, patvirtintame Administratoriaus direktoriaus 2014 m. birželio 18 d. įsakymu Nr. 6P-134-(1.1) „Dėl Duomenų atsarginių kopijų darymo, saugojimo ir duomenų atkūrimo iš atsarginių duomenų kopijų tvarkos aprašo patvirtinimo“, nustatytos tvarkos.

48. Už Elektroninės informacijos atsarginių kopijų darymą, jų saugojimą ir atstatymą yra atsakingas LITEKO infrastruktūros administratorius. LITEKO elektroninės informacijos kopijos saugomos pagal teisės aktų nustatytus reikalavimus.

49. Prarasti, iškraipyti, sunaikinti LITEKO duomenys atkuriami iš atsarginių duomenų kopijų.

50. Elektroninės informacijos atkūrimo iš atsarginių kopijų testavimas turi būti atliekamas ne rečiau kaip kartą per metus.

51. Nedelsiant reaguojama į LITEKO įvykusius kibernetinius incidentus, techninėmis ir programinėmis priemonėmis kibernetiniai incidentai valdomi, tiriami ir šalinami.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

52. LITEKO naudotojai ir LITEKO administratoriai turi turėti naudojimosi kompiuteriu įgūdžių, būti susipažinę su Saugos nuostatais ir kitais LITEKO saugos dokumentais.

53. LITEKO saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Aprašo, kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis.

54. LITEKO saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

55. Už LITEKO kibernetinio saugumo organizavimą ir užtikrinimą atsakingi asmenys privalo turėti tinkamą kvalifikaciją ir sudaromos sąlygos ją kelti.

56. LITEKO administratoriai turi gerai išmanyti LITEKO veikimą.

57. LITEKO infrastruktūros administratorius privalo sugebėti užtikrinti informacinės sistemos techninės ir programinės įrangos nepertraukiamą funkcionalumą, mokėti administruoti ir prižiūrėti duomenų bazes, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų diagnostiką ir šalinimą, išmanyti elektroninės informacijos saugos principus, turi būti susipažinęs su Saugos nuostatais bei kitais saugos politiką įgyvendinančiais dokumentais.

58. LITEKO saugos įgaliotinis periodiškai, ne rečiau kaip kartą per dvejus metus, organizuoja mokymus ir seminarus elektroninės informacijos saugos, kibernetinio saugumo klausimais. LITEKO naudotojų mokymai Elektroninės informacijos saugos tema gali būti vykdomi pagal poreikį.

59. Administracija ir Teismai sudaro galimybes LITEKO taikomosios programinės įrangos administratoriui, LITEKO infrastruktūros administratoriui, Teismų LITEKO administratoriams ir LITEKO naudotojams dalyvauti LITEKO saugos įgaliotinio organizuojamuose mokymuose ir seminaruose.

V SKYRIUS

NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

60. LITEKO saugos įgaliotinis ir jo pavedimu teismo LITEKO administratorius yra atsakingi už LITEKO naudotojų supažindinimą su Saugos nuostatais ir kitais šią politiką įgyvendinančiais teisės aktais, reglamentuojančiais LITEKO duomenų tvarkymą ir Elektroninės informacijos saugą, taip pat supažindina LITEKO naudotojus su atsakomybe už minėtų reikalavimų nesilaikymą.

61. LITEKO duomenų saugos politika, šią politiką įgyvendinantys dokumentai, kiti su duomenų sauga susiję teisės aktai, su kuriais privalo susipažinti LITEKO naudotojai, viešai skelbiami vidinėje teismų sistemos interneto svetainėje, skiltyje „Informacinės technologijos“.

62. LITEKO saugos įgaliotinis elektroniniu paštu ar kitu būdu (paštu, faksu) informuoja LITEKO naudotojus apie priimtus naujus teisės aktus ir teisės aktų pakeitimus, reglamentuojančius LITEKO duomenų saugos politikos įgyvendinimą, apie LITEKO naudotojams organizuojamus mokymus ir seminarus.

63. LITEKO naudotojai su saugos dokumentais privalo būti supažindinti:

63.1. prieš suteikiant naudotojui prieigą prie LITEKO;

63.2. pakeitus LITEKO duomenų saugos politiką ar šią politiką įgyvendinančius dokumentus.

64. LITEKO naudotojų supažindinimas su LITEKO duomenų saugos politika ir ją įgyvendinančiais dokumentais registruojamas žurnale, kurio forma nustatyta Saugos nuostatų 1 priede.

65. LITEKO naudotojai su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais bei atsakomybe už šių reikalavimų nesilaikymą supažindinami pasirašytinai. Už teismo LITEKO naudotojų supažindinimo su duomenų saugos politika ir ją įgyvendinančiais dokumentais žurnalo pildymą atsakingas teismo LITEKO administratorius.

66. Už Administracijos LITEKO naudotojų supažindinimo su duomenų saugos politika ir ją įgyvendinančiais dokumentais žurnalo pildymą yra atsakingas LITEKO saugos įgaliotinis.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

67. Saugos įgaliotinis organizuoja LITEKO saugos dokumentų peržiūrą ne rečiau kaip kartą per metus. Saugos dokumentai turi būti peržiūrimi atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.

68. Patvirtintų LITEKO saugos politikos įgyvendinamųjų dokumentų ir jų pakeitimų kopijas informacinių sistemų valdytojas ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

69. LITEKO naudotojai, administratoriai ar saugos įgaliotinis, pažeidę LITEKO saugos dokumentų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

______________

Lietuvos teismų informacinės

sistemos duomenų saugos nuostatų

1 priedas

_________________________________________________________________________

(Įstaigos pavadinimas ir adresas)

LIETUVOS TEISMŲ INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS POLITIKA IR JĄ ĮGYVENDINANČIAIS DOKUMENTAIS ŽURNALAS

Eil. Nr.	Supažindinimo data	LITEKO naudotojo vardas, pavardė	LITEKO naudotojo pareigos	Parašas
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.

______________________________