LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRAS

 

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS SVEIKATOS APSAUGOS MINISTRO 2014 M. LIEPOS 9 D. ĮSAKYMO NR. V-776 „DĖL TRAUMŲ IR NELAIMINGŲ ATSITIKIMŲ STEBĖSENOS INFORMACINĖS SISTEMOS NUOSTATŲ IR DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO

 

2018 m. gegužės 7 d. Nr. V-551

Vilnius

 

 

Pakeičiu Lietuvos Respublikos sveikatos apsaugos ministro 2014 m. liepos 9 d. įsakymą Nr. V-776 „Dėl Traumų ir nelaimingų atsitikimų stebėsenos informacinės sistemos nuostatų ir duomenų saugos nuostatų patvirtinimo“:

1. Pakeičiu preambulę ir ją išdėstau taip:

„Įgyvendindamas Lietuvos Respublikos sveikatos apsaugos ministro 2014 m. vasario 3 d. įsakymo Nr. V-153 „Dėl Traumų ir nelaimingų atsitikimų stebėsenos tvarkos aprašo patvirtinimo“ 2.1 ir 2.2 papunkčius ir vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsniu, 30 straipsnio 1 ir 2 dalimis, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 4 ir 11 punktais ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7 ir 19 punktais:“.

2. Pakeičiu nurodytu įsakymu patvirtintus Traumų ir nelaimingų atsitikimų stebėsenos informacinės sistemos nuostatus:

2.1. Papildau nauju 3.7 papunkčiu:

3.7. Lietuvos Respublikos kibernetinio saugumo įstatymas;“.

2.2. Papildau nauju 3.8 papunkčiu:

3.8. Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimas Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“;“.

2.3. Buvusius 3.7–3.11 papunkčius laikau atitinkamai 3.9–3.13 papunkčiais.

2.4. Pakeičiu 3.12 papunktį ir jį išdėstau taip:

3.12. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;“.

2.5. Pakeičiu 29 punktą ir jį išdėstau taip:

29. Informacinės sistemos organizacinės ir techninės duomenų saugos priemonės, skirtos Informacinės sistemos duomenų konfidencialumui, prieinamumui ir vientisumui užtikrinti, įgyvendinamos, vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Saugos dokumentų turinio gairių aprašu ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, patvirtintais Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“, Lietuvos standartais LST EN ISO / IEC 27002, LST ISO / IEC 27001, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, bei kitais duomenų saugą reglamentuojančiais Lietuvos Respublikos teisės aktais.“

3. Pakeičiu nurodytu įsakymu patvirtintus Traumų ir nelaimingų atsitikimų stebėsenos informacinės sistemos duomenų saugos nuostatus ir juos išdėstau nauja redakcija (pridedama).

 

 

 

Sveikatos apsaugos ministras                                                                                      Aurelijus Veryga

 

 

 

 

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2018 m. balandžio 12 d. raštu Nr. 6K-199

 

PATVIRTINTA

Lietuvos Respublikos sveikatos apsaugos ministro 2014 m. liepos 9 d.

įsakymu Nr. V-776

(Lietuvos Respublikos sveikatos apsaugos

ministro 2018 m. gegužės 7 d.

įsakymo Nr. V-551               

redakcija)

 

 

TRAUMŲ IR NELAIMINGŲ ATSITIKIMŲ STEBĖSENOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I skyrius

BENDROSIOS NUOSTATOS

 

1. Traumų ir nelaimingų atsitikimų stebėsenos informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos Respublikos sveikatos apsaugos ministerijos valdomos ir Higienos instituto tvarkomos Traumų ir nelaimingų atsitikimų stebėsenos informacinės sistemos (toliau – Informacinė sistema) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – elektroninės informacijos saugos politika).

2. Informacinės sistemos elektroninės informacijos saugos politika įgyvendinama pagal sveikatos apsaugos ministro tvirtinamus saugos politiką įgyvendinančius dokumentus: saugaus elektroninės informacijos tvarkymo taisykles, veiklos tęstinumo valdymo planą, naudotojų administravimo taisykles (toliau – saugos politiką įgyvendinantys dokumentai).

3. Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei struktūrai ir valstybės informaciniams ištekliams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei struktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), Lietuvos Respublikos „Informacijos technologija. Saugumo metodai“ grupės standartuose.

4. Informacinės sistemos elektroninės informacijos sauga – tai elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas.

5. Informacinės sistemos elektroninės informacijos saugos ir kibernetinio saugumo (toliau kartu – elektroninės informacijos sauga) užtikrinimo tikslai:

5.1. automatiniu būdu tvarkomos elektroninės informacijos saugumo užtikrinimas;

5.2. elektroninės informacijos patikimumo ir saugumo nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar neteisėto jos tvarkymo, užtikrinimas;

5.3. elektroninės informacijos saugos ir kibernetinių incidentų (toliau – saugos incidentai) prevencijos vykdymas.

6. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

6.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų Informacinės sistemos duomenų saugai užtikrinti, įgyvendinimas ir kontrolė;

6.2. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

6.3. Informacinės sistemos veiklos tęstinumo užtikrinimas.

7. Elektroninės informacijos saugai užtikrinti kompleksiškai naudojamos organizacinės, techninės ir programinės priemonės.

8. Saugos nuostatų reikalavimai yra taikomi:

8.1. Informacinės sistemos valdytojai – Lietuvos Respublikos sveikatos apsaugos ministerijai,  Vilnius, Vilniaus g. 33;

8.2. Informacinės sistemos tvarkytojui – Higienos institutui, Vilnius, Didžioji g. 22;

8.3. Informacinės sistemos tvarkytojo paskirtam saugos įgaliotiniui;

8.4. Informacinės sistemos tvarkytojo paskirtam administratoriui;

8.5. Informacinės sistemos kibernetinio saugumo vadovui;

8.6. Informacinės sistemos naudotojams.

9. Informacinės sistemos valdytojo funkcijos:

9.1. pagal kompetenciją atsako už elektroninės informacijos saugos politikos formavimą, jos įgyvendinimo organizavimą ir priežiūrą;

9.2. tvirtina Informacinės sistemos saugos nuostatus, saugos politiką įgyvendinančius dokumentus (toliau visi kartu – Saugos dokumentai) ir kitus teisės aktus, susijusius su Informacinės sistemos sauga;

9.3. priima sprendimus dėl Informacinės sistemos techninių ir programinių priemonių, būtinų Informacinės sistemos elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

9.4. nagrinėja Informacinės sistemos tvarkytojo pasiūlymus dėl Informacinės sistemos elektroninės informacijos saugos priemonių tobulinimo ir priima dėl jų sprendimus;

9.5. koordinuoja Informacinės sistemos tvarkytojo veiklą įgyvendinant elektroninės informacijos saugos reikalavimus;

9.6. vykdo kitas Valstybės informacinių išteklių valdymo įstatyme, Kibernetinio saugumo įstatyme, Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, Informacinės sistemos nuostatuose bei saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

10. Informacinės sistemos tvarkytojo funkcijos:

10.1. pagal kompetenciją atsako už Informacinės sistemos elektroninės informacijos tvarkymo teisėtumą ir saugą;

10.2. įgyvendina tinkamas organizacines ir technines priemones, skirtas elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

10.3. teikia pasiūlymus Informacinės sistemos valdytojui dėl Informacinės sistemos elektroninės informacijos saugos tobulinimo, Informacinės sistemos saugos dokumentų priėmimo, keitimo arba panaikinimo, taip pat rengia Informacinės sistemos saugos dokumentų projektus;

10.4. teikia pasiūlymus Informacinės sistemos valdytojui dėl Informacinės sistemos techninių ir programinių priemonių, būtinų Informacinės sistemos elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo, organizuoja jų įdiegimą ir modernizavimą;

10.5. atlieka Informacinės sistemos duomenų bazės techninę priežiūrą ir užtikrina nepertraukiamą Informacinės sistemos veikimą;

10.6. užtikrina saugią Informacinės sistemos sąveiką su kitomis informacinėmis sistemomis ir registrais;

10.7 Informacinės sistemos valdytojo vadovo pavedimu skiria duomenų valdymo įgaliotinį, saugos įgaliotinį, administratorių;          

10.8. užtikrina, kad Informacinės sistemos naudotojai, turintys teisę naudotis Informacinės sistemos elektronine informacija, laikytųsi reikalavimų, nustatytų Informacinės sistemos saugos dokumentuose;

10.9. vykdo kibernetinio saugumo organizavimo ir užtikrinimo funkcijas, nustatytas Kibernetinio saugumo įstatyme, Kibernetinio saugumo reikalavimų apraše ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose;

10.10. vykdo kitas Valstybės informacinių išteklių valdymo įstatyme, Kibernetinio saugumo įstatyme, Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, Informacinės sistemos nuostatuose bei saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

11. Informacinės sistemos saugos įgaliotinio funkcijos:

11.1.  atsako už tinkamą Informacinės sistemos elektroninės informacijos saugos priemonių įgyvendinimą;

11.2. teikia Informacinės sistemos tvarkytojo vadovui pasiūlymus dėl:

11.2.1. keliamų reikalavimų Informacinės sistemos administratoriui nustatymo;

11.2.2. elektroninės informacijos saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;

11.2.3. Informacinės sistemos informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

11.3. teikia Informacinės sistemos valdytojo vadovui pasiūlymus dėl saugos dokumentų priėmimo, keitimo;

11.4. organizuoja Informacinės sistemos rizikos vertinimą (prireikus ir neeilinius rizikos vertinimus) ir parengia rizikos įvertinimo ataskaitą;

11.5. pagal kompetenciją teikia Informacinės sistemos administratoriui ir naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su Informacinės sistemos elektroninės informacijos saugos politikos įgyvendinimu;

11.6. supažindina Informacinės sistemos naudotojus su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais bei atsakomybe už šių reikalavimų nesilaikymą;

11.7. atsako už Informacinės sistemos saugos dokumentų reikalavimų vykdymą;

11.8. periodiškai organizuoja naudotojų mokymą elektroninės informacijos saugos klausimais, reguliariai primena saugos problemas, teikia konsultacijas ir rekomendacijas (elektroniniu paštu, telefonu ir kitais būdais), prireikus parengia atmintines naudotojams;

11.9. koordinuoja elektroninės informacijos saugos incidentų, įvykusių Informacinėje sistemoje, tyrimą;

11.10. vykdo kitas Valstybės informacinių išteklių valdymo įstatyme, Kibernetinio saugumo įstatyme, Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, Informacinės sistemos nuostatuose bei saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

12. Informacinės sistemos administratorius vykdo šias funkcijas:

12.1. atsako už Informacinės sistemos funkcionavimą užtikrinančios techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugų administravimą;

12.2. pagal kompetenciją rengia pasiūlymus dėl Informacinės sistemos kūrimo, palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir duomenų saugos užtikrinimo ir juos teikia Informacinės sistemos tvarkytojo vadovui;

12.3. registruoja Informacinės sistemos naudotojus ir suteikia prieigos teisę naudotis Informacinės sistemos infrastruktūra paskirtoms funkcijoms atlikti;

12.4. atlieka Informacinės sistemos sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, elektroninės informacijos perdavimo tinklais, bylų serveriais ir kitais) ir šių informacinės sistemos komponentų sąrankos administravimą, pažeidžiamų vietų nustatymą ir saugumo reikalavimų atitikties nustatymą ir stebėseną, reaguoja į elektroninės informacijos saugos incidentus, taip pat privalo vykdyti visus saugos įgaliotinio nurodymus ir pavedimus, susijusius su Informacinės sistemos saugos užtikrinimu, ir nuolat teikti saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę bei atsako už jų atitiktį Informacinės sistemos saugos politiką įgyvendinančių dokumentų reikalavimams;

12.5. daro atsargines Informacinės sistemos duomenų kopijas, tikrina šių kopijų atkūrimą;

12.6. dalyvauja atliekant Informacinės sistemos rizikos vertinimą ir Informacinės sistemos informacinių technologijų saugos atitikties vertinimą;

12.7. vykdo kitas Valstybės informacinių išteklių valdymo įstatyme, Kibernetinio saugumo įstatyme, Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, Informacinės sistemos nuostatuose bei saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

13. Informacinės sistemos kibernetinio saugumo vadovas vykdo kibernetinio saugumo organizavimo ir užtikrinimo funkcijas, nustatytas Kibernetinio saugumo įstatyme, Kibernetinio saugumo reikalavimų apraše ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose.

14. Informacinės sistemos naudotojai, vadovaudamiesi saugos politiką įgyvendinančiais dokumentais, pareigybių aprašymais ir kitais teisės aktais, naudojasi Informacinės sistemos elektronine informacija tvarkymo arba kitais su tiesioginių funkcijų vykdymu susijusiais tikslais.

15. Teisės aktai, kuriais vadovaujantis tvarkoma Informacinės sistemos elektroninė informacija ir užtikrinama jos sauga:

15.1. Valstybės informacinių išteklių valdymo įstatymas;

15.2. Kibernetinio saugumo įstatymas;

15.3. Bendrųjų saugos reikalavimų aprašas;

15.4. Kibernetinio saugumo reikalavimų aprašas;

15.5. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d įsakymu Nr. 1V-832 „Dėl techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

15.6. Informacinės sistemos nuostatai;

15.7. Lietuvos standartai LST EN ISO / IEC 27002 ir LST EN ISO / IEC 27001 bei Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, reglamentuojantys saugų elektroninės informacijos tvarkymą;

15.8. kiti teisės aktai, reglamentuojantys elektroninės informacijos tvarkymo teisėtumą ir elektroninės informacijos saugos valdymą.

 

II skyrius

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

16. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Elektroninės informacijos svarbos nustatymo gairių aprašas), 9.1 ir 9.2 papunkčiais, Informacinėje sistemoje tvarkoma elektroninė informacija priskiriama prie vidutinės svarbos informacijos kategorijos.

17. Vadovaujantis Elektroninės informacijos svarbos nustatymo gairių aprašo 12.3 papunkčiu, Informacinė sistema priskiriama prie trečiosios kategorijos informacinių sistemų – Informacinėje sistemoje tvarkoma vidutinės svarbos informacija.

18. Informacinės sistemos saugos priemonės parenkamos įvertinus galimus rizikos veiksnius elektroninės informacijos vientisumui, konfidencialumui ir prieinamumui.

19. Informacinės sistemos kaupiamų ir apdorojamų duomenų rinkimo tvarka, kriterijai bei sąrašas pateikiami Informacinės sistemos nuostatuose.

20. Informacinės sistemos saugos įgaliotinis, vadovaudamasis Lietuvos Respublikos vidaus reikalų ministerijos metodine priemone „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais, kasmet organizuoja Informacinės sistemos rizikos vertinimą. Prireikus Informacinės sistemos saugos įgaliotinis gali organizuoti neeilinį Informacinės sistemos rizikos vertinimą. Informacinės sistemos saugos įgaliotinį paskyrusio tvarkytojo vadovo rašytiniu pavedimu Informacinės sistemos rizikos vertinimą gali atlikti pats Informacinės sistemos saugos įgaliotinis.

21. Informacinės sistemos rizikos vertinimui atlikti naudojama Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistema (toliau – ARSIS).

22. Informacinės sistemos rizikos vertinimo informacija pateikiama ataskaitoje. Informacinės sistemos rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos Informacinės sistemos informacijos saugai. Svarbiausi rizikos veiksniai:

22.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

22.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);

22.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

23. Prireikus, Informacinės sistemos tvarkytojo vadovas, atsižvelgdamas į Informacinės sistemos rizikos įvertinimo ataskaitą, tvirtina Informacinės sistemos saugos įgaliotinio parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti, nurodomi atsakingi vykdytojai, priemonių įgyvendinimo terminai.

24. Siekiant įvertinti Informacinės sistemos saugos dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę kartą per metus organizuojamas Informacinės sistemos informacinių technologijų saugos atitikties vertinimas.

25. Atlikus Informacinės sistemos informacinių technologijų saugos atitikties vertinimą, rengiama Informacinės sistemos informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama Informacinės sistemos tvarkytojo vadovui.

26. Atsižvelgdamas į Informacinės sistemos informacinių technologijų saugos atitikties vertinimo ataskaitą, Informacinės sistemos saugos įgaliotinis prireikus parengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Informacinės sistemos tvarkytojas.

27. Informacinės sistemos grėsmių ir pažeidžiamumų, galinčių turėti įtakos Informacinės sistemos saugumui, vertinimas atliekamas kartu su Informacinės sistemos rizikos ir / arba Informacinės sistemos informacinių technologijų saugos atitikties vertinimu. Informacinės sistemos rizikos ir / arba informacinių technologijų saugos atitikties vertinimo metu gali būti atliekamas pažeidžiamumų testavimas imituojant kibernetines atakas bei vykdant kibernetinių incidentų imitavimo pratybas. Imituojant kibernetines atakas rekomenduojama vadovautis tarptautiniu mastu pripažintų organizacijų (pavyzdžiui, EC-COUNCIL, ISACA, NIST ir kt.) rekomendacijomis ir gerąja praktika.

28. Informacinės sistemos rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano, Informacinės sistemos informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas Informacinės sistemos valdytojas arba jos įgaliotas Informacinės sistemos tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

29. Elektroninės informacijos saugos būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis Informacinės sistemos elektroninės informacijos saugos priemonėmis, kurios pasirenkamos atsižvelgiant į Informacinės sistemos valdytojo skiriamus išteklius, vadovaujantis šiais principais:

29.1. likutinė rizika turi būti sumažinta iki priimtino lygio;

29.2. elektroninės informacijos saugos priemonės diegimo kaina turi atitikti saugomos elektroninės informacijos vertę;

29.3. esant galimybei, turi būti įdiegtos prevencinės elektroninės informacijos saugos priemonės.

 

III skyrius

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

30. Programinės įrangos, skirtos apsaugoti Informacinę sistemą nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

30.1. Informacinės sistemos tarnybinėse stotyse ir kompiuterizuotose darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo, stebėjimo realiu laiku priemonės;

30.2. apsaugai naudojama programinė įranga turi atsinaujinti automatiniu būdu ne rečiau kaip kartą per 24 valandas;

30.3. apsaugai naudojama programinė įranga privalo automatiškai elektroniniu paštu informuoti Informacinės sistemos administratorių apie kompiuterizuotas darbo vietas ir tarnybines stotis, kuriose apsaugos sistema netinkamai funkcionuoja, yra išjungta arba neatsinaujino per 24 valandas;

30.4. programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu.

31. Programinės įrangos, įdiegtos Informacinės sistemos tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:

31.1. naudojama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga;

31.2. programinės įrangos priežiūrą ir gedimų šalinimą atlieka tik Informacinės sistemos administratorius arba kitas Informacinės sistemos tvarkytojo įgaliotas asmuo;

31.3. turi būti įdiegta galimybė fiksuoti ir kaupti informaciją apie asmenų, kurie naudojosi prieiga prie Informacinės sistemos elektroninės informacijos, atliktus veiksmus;

31.4. Informacinės sistemos neveikimo laikotarpis negali būti ilgesnis nei 16 valandų. Per šį laikotarpį turi būti užtikrintas Informacinės sistemos veiklos atnaujinimas.

32. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos:

32.1. Informacinės sistemos elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienes, ugniasienių įvykių žurnalai turi būti reguliariai analizuojami, o ugniasienės saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos;

32.2. Informacinės sistemos programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS);

32.3. Informacinės sistemos tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių Informacinės sistemos naudotojų kompiuterinę įrangą nuo kenksmingo kodo;

32.4. viešaisiais ryšių tinklais perduodamos Informacinės sistemos elektroninės informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą, virtualų privatų tinklą (angl. virtual private network), skirtines linijas, saugų elektroninių ryšių tinklą ar kitas priemones.

33. Leistinos kompiuterių naudojimo ribos:

33.1. Informacinės sistemos naudotojų kompiuteriai privalo būti naudojami tik tiesioginėms pareigoms atlikti. Iš kompiuterių, kurie perduodami remontuoti ar techninei priežiūrai atlikti, turi būti pašalinti visi Informacinės sistemos duomenys ir Informacinės sistemos informacija;

33.2. Informacinės sistemos duomenų naudotojai privalo naudotis visomis saugumo priemonėmis, siekiant apsaugoti kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo.

34. Nešiojamuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose Informacinės sistemos programinė įranga nėra diegiama.

35. Metodai, kuriais užtikrinamas saugus Informacinės sistemos elektroninės informacijos teikimas ir (ar) gavimas:

35.1. elektroninė informacija iš susijusių registrų ir informacinių sistemų gaunama tik pagal duomenų teikimo ir gavimo sutartyse nustatytas perduodamų duomenų specifikacijas, perdavimo sąlygas ir tvarką;

35.2. prieigos prie Informacinės sistemos elektroninės informacijos teises gali suteikti tik Informacinės sistemos administratorius. Informacinės sistemos naudotojams suteikiamos tik jų funkcijoms vykdyti būtinos teisės;

35.3. prieiga prie Informacinės sistemos elektroninės informacijos suteikiama tik naudotojui patvirtinus savo tapatybę (įvedus Informacinės sistemos naudotojo vardą ir slaptažodį). Prieigos prie Informacinės sistemos elektroninės informacijos valdymas apibrėžtas Informacinės sistemos naudotojų administravimo taisyklėse;

35.4. įstatymų numatytais atvejais nušalinus Informacinės sistemos naudotoją ar Informacinės sistemos administratorių nuo darbo, neatitinkant kituose teisės aktuose nustatytų Informacinės sistemos naudotojui ir Informacinės sistemos administratoriui keliamų kvalifikacinių reikalavimų, taip pat pasibaigus jų darbo santykiams, praradus patikimumą, Informacinės sistemos naudotojo ar Informacinės sistemos administratoriaus teisė naudotis Informacine sistema turi būti panaikinta.

36. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

36.1. atsarginės elektroninės informacijos kopijos (toliau – kopijos) daromos automatiškai;

36.2. kopijas turi teisę tvarkyti Informacinės sistemos administratorius;

36.3. laikmenos, kuriose yra kopijos, saugomos kitoje patalpoje nei Informacinės sistemos tarnybinės stotys;

36.4. atkurti elektroninę informaciją iš kopijų turi teisę tik Informacinės sistemos administratorius.

37. Turi būti užtikrintas saugos incidentų, įvykusių Informacinėje sistemoje, registravimas, valdymas ir tyrimas Kibernetinių saugumo reikalavimo aprašo bei Informacinės sistemos veiklos tęstinumo valdymo plano nustatyta tvarka:

37.1. registruojami Informacinėje sistemoje įvykę saugos incidentai ir nedelsiant į juos reaguojama, techninėmis ir programinėmis priemonėmis saugos incidentai valdomi, tiriami ir šalinami bei atkuriama Informacinės sistemos veikla;

37.2. Nacionalinio kibernetinio saugumo centrui prie Krašto apsaugos ministerijos ir kitoms atsakingoms institucijoms pagal kompetenciją pranešama apie įvykusius saugos incidentus, jų vertinimą ir suvaldymą.

 

IV skyrius

REIKALAVIMAI PERSONALUI

 

38. Informacinės sistemos saugos įgaliotinis ir Informacinės sistemos kibernetinio saugumo vadovas privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Informacinės sistemos saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą. Informacinės sistemos saugos įgaliotinis ar Informacinės sistemos kibernetinio saugumo vadovas pažeidęs Saugos nuostatų ar kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

39. Informacinės sistemos administratorius privalo išmanyti darbą su duomenų perdavimo tinklais, mokėti užtikrinti jų saugą, administruoti ir prižiūrėti duomenų bazes, turi būti susipažinęs su Informacinės sistemos nuostatais, Informacinės sistemos saugos dokumentais ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą. Informacinės sistemos administratorius, pažeidęs Saugos nuostatų ar kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

40. Informacinės sistemos saugos įgaliotiniu, Informacinės sistemos kibernetinio saugumo vadovu, Informacinės sistemos administratoriumi negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

41. Informacinės sistemos naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti Informacinės sistemos duomenis Informacinės sistemos nuostatų nustatyta tvarka, būti susipažinę su Informacinės sistemos saugos dokumentais ir pasirašę pasižadėjimus saugoti konfidencialią elektroninę informaciją (toliau – Pasižadėjimas). Informacinės sistemos naudotojai, pažeidę Informacinės sistemos saugos dokumentų reikalavimus ar kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

42.  Informacinės sistemos saugos įgaliotinio, Informacinės sistemos kibernetinio saugumo vadovo, Informacinės sistemos naudotojų ir Informacinės sistemos administratoriaus mokymo planavimo, organizavimo ir vykdymo tvarka, mokymo dažnumo reikalavimai:

42.1.  Informacinės sistemos saugos įgaliotiniui, Informacinės sistemos kibernetinio saugumo vadovui, Informacinės sistemos naudotojams ir Informacinės sistemos administratoriui turi būti organizuojami mokymai elektroninės informacijos saugos klausimais;

42.2.  Informacinės sistemos naudotojams turi būti įvairiais būdais (pavyzdžiui, priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems Informacinės sistemos naudotojams ir Informacinės sistemos administratoriui ir panašiai) primenama apie elektroninės informacijos saugos problemas;

42.3.  mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į prioritetines elektroninės informacijos saugos užtikrinimo kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), Informacinės sistemos saugos įgaliotinio, Informacinės sistemos kibernetinio saugumo vadovo, Informacinės sistemos naudotojų ar Informacinės sistemos administratoriaus poreikius;

42.4.  mokymai gali būti vykdomi tiesioginiu (pavyzdžiui, paskaitos, seminarai, konferencijos ir kiti teminiai renginiai) ar nuotoliniu būdu (pavyzdžiui, vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir panašiai);

42.5.  Informacinės sistemos naudotojų ir Informacinės sistemos administratoriaus mokymus gali vykdyti Informacinės sistemos saugos įgaliotinis ar kitas Informacinės sistemos valdytojo ar Informacinės sistemos tvarkytojo darbuotojas, išmanantis elektroninės informacijos saugos užtikrinimo principus, arba elektroninės informacijos saugos mokymų paslaugų teikėjas. Informacinės sistemos saugos įgaliotinio ir Informacinės sistemos kibernetinio saugumo vadovo mokymus gali vykdyti tik aukštos kvalifikacijos elektroninės informacijos saugos mokymų paslaugų teikėjas;

42.6.  Informacinės sistemos naudotojų mokymai turi būti organizuojami periodiškai, ne rečiau kaip kartą per dvejus metus. Informacinės sistemos saugos įgaliotinio, Informacinės sistemos kibernetinio saugumo vadovo ir Informacinės sistemos administratoriaus mokymai turi būti organizuojami pagal poreikį. Už mokymų organizavimą atsakingas Informacinės sistemos saugos įgaliotinis ar kitas Informacinės sistemos tvarkytojo paskirtas darbuotojas.

 

V SKYRIUS

INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

43. Tvarkyti Informacinės sistemos elektroninę informaciją gali tik įgalioti Informacinės sistemos naudotojai, susipažinę su Informacinės sistemos saugos dokumentais ir pasirašę Pasižadėjimus.

44. Už Informacinės sistemos naudotojų supažindinimą su Informacinės sistemos saugos dokumentais ir kitais saugos politiką įgyvendinančiais teisės aktais bei Pasižadėjimų registravimą yra atsakingas Informacinės sistemos saugos įgaliotinis. Pakartotinai su Informacinės sistemos saugos dokumentais Informacinės sistemos naudotojai supažindinami tik iš esmės jiems pasikeitus.

45. Saugos nuostatai skelbiami Informacinės sistemos tvarkytojo interneto svetainėje.

 

_______________________