LIETUVOS RESPUBLIKOS FINANSŲ MINISTRAS

 

ĮSAKYMAS

DĖL FINANSŲ MINISTRO 2007 M. SPALIO 3 D. ĮSAKYMO NR. 1K-289 „DĖL FINANSŲ MINISTERIJOS INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO

 

2022 m. rugpjūčio 3 d. Nr. 1K-283

Vilnius

 

1. P a k e i č i u Finansų ministerijos informacinių sistemų duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos finansų ministro 2007 m. spalio 3 d. įsakymu Nr. 1K-289 „Dėl Finansų ministerijos informacinių sistemų duomenų saugos nuostatų patvirtinimo“:

1.1. Pakeičiu 2 punktą ir jį išdėstau taip:

2. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), ir Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Techniniai elektroninės informacijos saugos reikalavimai).“

1.2. Papildau 6.8 papunkčiu:

6.8. vietiniams IS naudotojų administratoriams.“

1.3. Pakeičiu 14.2.1 papunktį ir jį išdėstau taip:

14.2.1.  IS administratorių, vietinių IS naudotojų administratorių skyrimo ir reikalavimų jiems nustatymo;“.

1.4. Pakeičiu 14.5 papunktį ir jį išdėstau taip:

14.5.   duoda IS administratoriui, vietiniam IS naudotojų administratoriui ar IS infrastruktūros administratoriui ir IS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentų įgyvendinimu;“.

1.5. Pakeičiu 14.7 papunktį ir jį išdėstau taip:

14.7. supažindina IS administratorius, vietinius IS naudotojų administratorius ir IS infrastruktūros administratorius su IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentuose nustatytais reikalavimais ir atsakomybe už reikalavimų nesilaikymą;“.

1.6. Papildau 151 punktu:

151. Vietinis IS naudotojų administratorius – IS tvarkytojo įstaigos darbuotojas:

151.1. registruoja savo įstaigos IS naudotojus, skiria registravimosi vardus, nustato IS naudotojams prieigos prie IS teises;

151.2. informuoja IS saugos įgaliotinį apie IS elektroninės informacijos saugos (kibernetinio saugumo) incidentus, teikia pasiūlymus dėl šių incidentų pašalinimo;

151.3. tvarkydamas asmens duomenis saugo tų duomenų ir informacijos paslaptį, neatskleidžia, neperduoda tvarkomų duomenų ir informacijos nė vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija. Ši pareiga galioja ir nutraukus su ministerijos IS duomenų, informacijos, dokumentų ir jų kopijų tvarkymu susijusią veiklą;

151.4. neturi teisės perduoti neįgaliotiems asmenims prisijungimo vardų ir slaptažodžių, IS naudotojo tapatybės kodų ar kitos informacijos, leidžiančios naudojantis programinėmis ir techninėmis priemonėmis sužinoti asmens duomenis ar kitą IS tvarkomą elektroninę informaciją, ir neturi teisės sudaryti sąlygų susipažinti su IS tvarkoma elektronine informacija.“

1.7. Papildau 16.12 papunkčiu:

16.12. registruoja AIS naudotojus, skiria registravimosi vardus, nustato naudotojų prieigos teises.“

1.8. Pakeičiu 17 punktą ir jį išdėstau taip:

17.      IS administratoriai, vietiniai IS naudotojų administratoriai ir IS infrastruktūros administratoriai, atlikdami jiems priskirtas funkcijas, vadovaujasi Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše nustatytais reikalavimais.“

1.9. Pakeičiu 18 punktą ir jį išdėstau taip:

18.      IS administratoriai, vietiniai IS naudotojų administratoriai ir IS infrastruktūros administratoriai atsakingi už tinkamą IS elektroninės informacijos saugos (kibernetinio saugumo) dokumentuose nustatytų funkcijų atlikimą.“

1.10. Pakeičiu 19 punktą ir jį išdėstau taip:

19.      IS administratoriai, vietiniai IS naudotojų administratoriai ir IS infrastruktūros administratoriai privalo vykdyti visus IS saugos įgaliotinio nurodymus ir pavedimus dėl IS elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo, pagal kompetenciją reaguoti į IS elektroninės informacijos saugos (kibernetinio saugumo) incidentus ir nuolat teikti IS saugos įgaliotiniui informaciją apie pagrindinių IS saugos užtikrinimo komponentų būklę.“       

1.11. Pakeičiu 23.8 papunktį ir jį išdėstau taip:

23.8. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Informacinių technologijų saugos atitikties vertinimo metodika);“.

1.12. Pakeičiu 42.12 papunktį ir jį išdėstau taip:

42.12.   Turi būti įgyvendinta prievolė sudaryti slaptažodžius vadovaujantis slaptažodžių sudarymo reikalavimais. IS naudotojų slaptažodžiai turi būti keičiami ne rečiau kaip kas tris mėnesius, IS administratorių, vietinių IS naudotojų administratorių ir IS infrastruktūros administratorių slaptažodžiai – ne rečiau kaip kas du mėnesius.“

1.13. Papildau 55.5 papunkčiu:

55.5. IS vidiniams naudotojams jungiantis prie VBAMS Valstybės iždo konsoliduoto sąskaitų valdymo posistemio (toliau – VIKSVA posistemis) E. iždo funkcinės srities vidinės dalies, naudojama Valstybės informacinių išteklių sąveikumo platformos (VIISP) autentifikacija, o nesant galimybės ja naudotis – alternatyvius vidinės dalies autentifikavimo funkcinis sprendimas.“

1.14. Pakeičiu 56.2 papunktį ir jį išdėstau taip:

56.2.   Prieigos prie IS elektroninės informacijos teises gali suteikti IS administratorius arba vietinis IS naudotojų administratorius. IS naudotojams suteikiamos tik jų funkcijoms atlikti būtinos teisės.“

1.15. Papildau 56.15 papunkčiu:

56.15. Vykdant mokėjimo nurodymus (išskyrus mokėjimo nurodymus į kitą VIKSVA posistemyje esančią sąskaitą) VIKSVA E. iždo modulyje turi būti naudojamas kvalifikuotas elektroninis parašas.“

1.16. Pakeičiu 61 punkto pirmąją pastraipą ir ją išdėstau taip:

61. IS saugos įgaliotinio, IS administratorių, vietinių IS naudotojų administratorių ir IS infrastruktūros administratorių, IS naudotojų kvalifikacijos reikalavimai:“.

1.17. Pakeičiu 61.5 papunktį ir jį išdėstau taip:

61.5. IS vidiniai naudotojai turi būti susipažinę su teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, Saugos nuostatais, IS naudotojų administravimo taisyklėmis ir IS saugaus elektroninės informacijos tvarkymo taisyklėmis, sutikę laikytis šių teisės aktų, taip pat turi būti susipažinę su kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą (kibernetinį saugumą). Su IS veiklos tęstinumo valdymo planu susipažįsta ministerijos darbuotojai ir IS vidiniai naudotojai, kuriems toks planas yra privalomas.“

1.18. Pakeičiu 61.7 papunktį ir jį išdėstau taip:

61.7. IS saugos įgaliotinis, IS infrastruktūros administratorius, IS administratorius, vietinis IS naudotojų administratorius ir IS naudotojai pagal kompetenciją privalo išmanyti pagrindinius informacijos saugos principus, mokėti saugiai tvarkyti elektroninę informaciją, nuolat kelti kvalifikaciją saugaus elektroninės informacijos tvarkymo kursuose, mokymuose, seminaruose.

1.19. Pakeičiu 62 punktą ir jį išdėstau taip:

62. IS administratoriai, vietiniai IS naudotojų administratoriai ir IS infrastruktūros administratoriai, kuriems suteikta prieiga prie IS komponentų, tvarkantys duomenis ir informaciją, įskaitant ir asmens duomenis, privalo saugoti jų paslaptį ir turi būti pasirašę finansų ministro nustatytos formos įsipareigojimą saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir nutraukus su šių duomenų ir informacijos tvarkymu susijusią veiklą.“

1.20. Pakeičiu 65 punktą ir jį išdėstau taip:

65.      IS vidinių naudotojų ir IS administratorių mokymo planavimo, organizavimo ir vykdymo tvarka, mokymo periodiškumo reikalavimai:

65.1.    IS vidiniams naudotojams turi būti įvairiais būdais primenama apie IS elektroninės informacijos saugos (kibernetinio saugumo) problemas (pavyzdžiui, priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems IS vidiniams naudotojams, IS administratoriams ir pan.).

65.2.    Mokymai IS elektroninės informacijos saugos (kibernetinio saugumo) klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į IS elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), IS saugos įgaliotinio, IS administratorių, IS infrastruktūros administratorių ir IS vidinių naudotojų poreikius.

65.3.    Mokymai gali būti vykdomi fiziškai susirenkant (pavyzdžiui, paskaitos, seminarai, konferencijos ir kiti teminiai renginiai) ar nuotoliniu būdu (pavyzdžiui, vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.).

65.4.    Mokymai IS vidiniams naudotojams turi būti organizuojami periodiškai, bet ne rečiau kaip kartą per metus. Už mokymų organizavimą atsakingas IS saugos įgaliotinis. Mokymai IS saugos įgaliotiniui, IS administratoriams ir IS infrastruktūros administratoriams turi būti organizuojami pagal poreikį.“

1.21.    Pakeičiu 67 punktą ir jį išdėstau taip:

67.   IS naudotojų, IS administratorių, vietinių IS naudotojų administratorių ir IS infrastruktūros administratorių supažindinimą su Saugos nuostatais, kitais IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentais ir atsakomybe už tokiuose dokumentuose nustatytų reikalavimų nesilaikymą organizuoja IS saugos įgaliotinis.“

1.22.    Pakeičiu 68 punktą ir jį išdėstau taip:

68.      IS naudotojų, IS administratorių, vietinių IS naudotojų administratorių ir IS infrastruktūros administratorių supažindinimo su IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentais tvarka nustatyta IS naudotojų administravimo taisyklėse.“

1.23.    Pakeičiu 69 punktą ir jį išdėstau taip:

69.      Pakartotinai su Saugos nuostatais ir IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentais IS naudotojai, IS administratorius, vietinis IS naudotojų administratorius ir IS infrastruktūros administratorius supažindinami tik iš esmės pasikeitus šiems dokumentams.“

1.24. Pakeičiu 73 punktą ir jį išdėstau taip:

73. Supažindinimo su Saugos nuostatais, IS naudotojų administravimo taisyklėmis ir IS saugaus elektroninės informacijos tvarkymo taisyklėmis būdai turi būti pasirenkami atsižvelgiant į IS specifiką (t. y. IS ir jos naudotojų buvimo vietą, organizacinių ar techninių priemonių, leidžiančių identifikuoti su šiais dokumentais susipažinusį asmenį ir užtikrinančių supažindinimo procedūros įrodomumą, panaudojimo galimybes). IS naudotojai, IS administratoriai, vietiniai IS naudotojų administratoriai ir IS infrastruktūros administratoriai su šiais dokumentais turi būti supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą.

1.25.    Pakeičiu 74 punktą ir jį išdėstau taip:

74.      IS naudotojai, IS infrastruktūros administratoriai, IS administratoriai, vietiniai IS naudotojų administratoriai, IS saugos įgaliotinis ir ministerijos IS plėtros ir palaikymo paslaugų teikėjai yra atsakingi už IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentuose nustatytų reikalavimų laikymąsi.“

2. N u s t a t a u, kad šio įsakymo 1.13 ir 1.15 papunkčiai įsigalioja 2023 m. sausio 1 d.

 

 

 

Finansų ministrė                                                                                                          Gintarė Skaistė

 

 

 

 

 

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2021 m. spalio 13 d. raštu Nr. S-12737