LIETUVOS RESPUBLIKOS

LIETUVOS RESPUBLIKOS

RYŠIŲ REGULIAVIMO TARNYBOS

DIREKTORIUS

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS RYŠIŲ REGULIAVIMO TARNYBOS DIREKTORIAUS 2011 M. GRUODŽIO 14 D. ĮSAKYMO NR. 1V-1287 „Dėl LIETUVOS RESPUBLIKOS RYŠIŲ REGULIAVIMO TARNYBOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO

2016 m. gegužės 20 d. Nr. 1V-594

Vilnius

Vadovaudamasis Lietuvos Respublikos elektroninių ryšių įstatymo 7 straipsnio 6 dalies 7 punktu:

1. Pakeičiu Lietuvos Respublikos ryšių reguliavimo tarnybos direktoriaus 2011 m. gruodžio 14 d. įsakymą Nr. 1V-1287 „Dėl Lietuvos Respublikos ryšių reguliavimo tarnybos informacinės sistemos duomenų saugos nuostatų patvirtinimo“ ir jį išdėstau nauja redakcija:

„LIETUVOS RESPUBLIKOS

RYŠIŲ REGULIAVIMO TARNYBOS

DIREKTORIUS

ĮSAKYMAS

Dėl LIETUVOS RESPUBLIKOS RYŠIŲ REGULIAVIMO TARNYBOS INFORMACINĖS SISTEMOS SAUGOS NUOSTATŲ PATVIRTINIMO

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 19 ir 26 punktais:

1. Tvirtinu Lietuvos Respublikos ryšių reguliavimo tarnybos informacinės sistemos saugos nuostatus (pridedama).

2. Skiriu:

2.1. Lietuvos Respublikos ryšių reguliavimo tarnybos Tinklų ir informacijos saugumo departamento Saugumo incidentų tyrimų skyriaus patarėją Sigitą Jurkevičių Lietuvos Respublikos ryšių reguliavimo tarnybos informacinės sistemos saugos įgaliotiniu;

2.2. Lietuvos Respublikos ryšių reguliavimo tarnybos Administracinio departamento Informacinių technologijų skyriaus vyriausiąjį specialistą Laimį Tamošiūną Lietuvos Respublikos ryšių reguliavimo tarnybos informacinės sistemos administratoriumi.

3. Pavedu Lietuvos Respublikos ryšių reguliavimo tarnybos Administracinio departamento Informacinių technologijų skyriui per 4 mėnesius nuo šio įsakymo įsigaliojimo dienos parengti, suderinti su Lietuvos Respublikos vidaus reikalų ministerija ir pateikti tvirtinimui:

3.1. Lietuvos Respublikos ryšių reguliavimo tarnybos informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;

3.2. Lietuvos Respublikos ryšių reguliavimo tarnybos informacinės sistemos veiklos tęstinumo valdymo planą;

3.3. Lietuvos Respublikos ryšių reguliavimo tarnybos informacinės sistemos naudotojų administravimo taisykles.“

2. N u r o d a u šį įsakymą paskelbti Teisės aktų registre.

Direktoriaus pavaduotojas, pavaduojantis Mindaugas Žilinskas

direktorių

SUDERINTA

Lietuvos Respublikos vidaus reikalų

ministerijos

2016 m. gegužės 18 d. raštu Nr. 3D-348

PATVIRTINTA

Lietuvos Respublikos ryšių

reguliavimo tarnybos direktoriaus

2011 m. gruodžio 14 d.

įsakymu Nr. 1V-1287

(Lietuvos Respublikos ryšių

reguliavimo tarnybos direktoriaus

2016 m. gegužės 20 d.

įsakymo Nr. 1V- 594

redakcija)

LIETUVOS RESPUBLIKOS RYŠIŲ REGULIAVIMO TARNYBOS INFORMACINĖS

SISTEMOS SAUGOS NUOSTATAI

I skyrius

BendroSIOS NUOSTATOS

1. Lietuvos Respublikos ryšių reguliavimo tarnybos informacinės sistemos saugos nuostatai (toliau  – Saugos nuostatai) reglamentuoja Lietuvos Respublikos ryšių reguliavimo tarnybos informacinės sistemos (toliau – IS) elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui ir IS naudotojų supažindinimo su saugos dokumentais principus.

2. Saugos nuostatų tikslas – sudaryti sąlygas saugiai tvarkyti elektroninę informaciją, užtikrinti elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei tinklo įrangos funkcionavimą. IS saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo kėlimo, saugos priemonių projektavimo ir diegimo principus.

3. Saugos nuostatai apibrėžia IS elektroninės informacijos saugos politiką (toliau – IS saugos politika), kuri įgyvendinama pagal šiuos Lietuvos Respublikos ryšių reguliavimo tarnybos (toliau – Tarnyba) direktoriaus tvirtinamus teisės aktus (toliau – IS saugos politiką įgyvendinantys dokumentai):

3.1. IS saugaus elektroninės informacijos tvarkymo taisykles;

3.2. IS veiklos tęstinumo valdymo planą;

3.3. IS naudotojų administravimo taisykles.

4. Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), kituose teisės aktuose ir Lietuvos standartuose LST ISO/IEC 27002:2014 ir LST ISO/IEC 27001:2013.

5. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

5.1. elektroninės informacijos konfidencialumas;

5.2. elektroninės informacijos vientisumas;

5.3. elektroninės informacijos prieinamumas;

5.4. IS veiklos tęstinumas ir tinkamo kompiuterizuotų darbo vietų funkcionavimo užtikrinimas;

5.5. asmens duomenų apsauga.

5.6. IS naudotojų ir IS administratoriaus (toliau – administratorius) kompetencijų elektroninės informacijos saugos srityje didinimas.

6. IS valdytojas ir IS tvarkytojas yra Tarnyba (Algirdo g. 27A, Vilnius).

7. Tarnyba, kaip IS valdytoja ir IS tvarkytoja, atlieka šias funkcijas:

7.1. atsako už IS ir elektroninės informacijos saugą ir elektroninės informacijos tvarkymo teisėtumą;

7.2. užtikrina nepertraukiamą IS veikimą;

7.3. rengia, tvirtina teisės aktus, susijusius su IS elektroninės informacijos tvarkymu bei IS sauga, ir prižiūri, kaip jų laikomasi;

7.4. skiria IS saugos įgaliotinį (toliau – saugos įgaliotinis) ir administratorių;

7.5. priima sprendimus dėl IS saugos reikalavimų atitikties vertinimo;

7.6. atlieka kitas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

8. Saugos įgaliotinis, koordinuodamas ir prižiūrėdamas IS saugos politikos įgyvendinimą, atlieka šias funkcijas:

8.1. teikia Tarnybos direktoriui pasiūlymus dėl administratoriaus paskyrimo, IS saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo, Tarnybos informacinių technologijų saugos atitikties vertinimo Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 43 punkte nurodytoje metodikoje nustatyta tvarka;

8.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių IS, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;

8.3. teikia administratoriui ir IS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su IS saugos politikos įgyvendinimu;

8.4. organizuoja IS rizikos įvertinimą ir rengia IS rizikos įvertinimo ataskaitą;

8.5. periodiškai inicijuoja IS naudotojų mokymus elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problematiką;

8.6. atlieka kitas Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos nuostatuose ir kituose teisės aktuose jam priskirtas funkcijas, taip pat kitus pavedimus, susijusius su saugos įgaliotinio funkcijų vykdymu.

9. Saugos įgaliotinis negali atlikti administratoriaus funkcijų.

10. Administratorius atlieka šias funkcijas:

10.1. registruoja ir išregistruoja IS naudotojus;

10.2. užtikrina IS veikimą užtikrinančių serverių ir duomenų bazių tinkamą funkcionavimą, pažeidžiamų vietų nustatymą, saugos priemonių parinkimą ir jų atitiktį IS saugos politiką įgyvendinančių dokumentų reikalavimams;

10.3. diegia programinės įrangos atnaujinimus į serverius ir duomenų bazes, pagal poreikį nustato automatinio atnaujinimo procedūras;

10.4. ne rečiau kaip kartą per šešis mėnesius tikrina atsarginių elektroninės informacijos kopijų atitiktį originalams ir ne rečiau kaip kartą per šešis mėnesius atlieka elektroninės informacijos atkūrimo iš atsarginių kopijų bandymus;

10.5. seka pranešimus apie serverių operacinių sistemų bei duomenų bazių valdymo sistemų klaidas, informuoja saugos įgaliotinį apie pažeidžiamas IS vietas ir imasi visų būtinų priemonių galimiems gedimams išvengti;

10.6. imasi visų būtinų priemonių Tarnybos vietinio kompiuterinio tinklo saugumui užtikrinti;

10.7. jeigu administruojamas ne Tarnybos patalpose esantis serveris ir nustatomas jo veikimo sutrikimas, kurio negalima pašalinti nuotolinėmis priemonėmis, susisiekia su asmenimis, įgaliotais atlikti techninę ne Tarnybos patalpose esančio serverio priežiūrą, ir prižiūri tokių sutrikimų šalinimą;

10.8. rengia ir teikia saugos įgaliotiniui ir Tarnybos Administracinio departamento Informacinių technologijų skyriaus (toliau – IT skyrius) vedėjui pasiūlymus dėl IS kūrimo, palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir saugos užtikrinimo;

10.9. informuoja saugos įgaliotinį apie IS saugos politiką įgyvendinančių dokumentų pažeidimus, neveikiančias ar netinkamai veikiančias saugos užtikrinimo priemones;

10.10. užtikrina visų prisijungimo prie IS vardų ir slaptažodžių apsaugą, taip pat saugo seife visus jam žinomus Tarnybos serverių, duomenų bazių, programinės įrangos prisijungimo vardus ir slaptažodžius IT skyriaus vedėjo užantspauduotame ir pasirašytame voke;

10.11. imasi visų reikalingų organizacinių bei techninių priemonių, skirtų IS naudotojų duomenims, kitiems IS duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

10.12. atlieka būtinus IS techninės ir programinės įrangos priežiūros, diegimo ir atnaujinimo darbus, taip pat smulkius techninės įrangos modernizavimo darbus, jei tokia galimybė numatyta techninės įrangos gamintojo;

10.13. informuoja saugos įgaliotinį apie įvykusius elektroninės informacijos saugos incidentus;

10.14. vykdo saugos įgaliotinio nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos užtikrinimu;

10.15. atlieka kitas Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir kituose teisės aktuose administratoriui priskirtas funkcijas, taip pat kitus pavedimus, susijusius su administratoriaus funkcijų vykdymu.

11. Tvarkant elektroninę informaciją ir užtikrinant jos saugumą vadovaujamasi:

11.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

11.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

11.3. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

11.4. Saugos dokumentų turinio gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“;

11.5. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, (toliau – Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas);

11.6. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

11.7. Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“, (toliau – Bendrieji reikalavimai organizacinėms ir techninėms asmens duomenų saugumo priemonėms);

11.8. kitais teisės aktais, reglamentuojančiais elektroninės informacijos tvarkymo teisėtumą, IS naudotojų veiklą ir elektroninės informacijos saugos valdymą.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

12. IS tvarkoma elektroninė informacija priskirtina žinybinės elektroninės informacijos kategorijai, vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 4.3.1 ir 4.3.2 papunkčiuose aprašytais kriterijais.

13. IS priskirtina trečiajai kategorijai, vadovaujantis Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo 5.3 papunkčiu.

14. IS asmens duomenų tvarkymas automatiniu būdu priskirtinas antrajam saugumo lygiui, vadovaujantis Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms 11.2 papunkčiu.

15. Saugos įgaliotinis, atsižvelgdamas į Lietuvos Respublikos vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja IS rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį IS rizikos įvertinimą. IS rizikos veiksnių vertinimas atliekamas kokybiniu rizikos vertinimo metodu.

16. IS rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje, kuri pateikiama Tarnybos direktoriui. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai yra šie:

16.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

16.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis IS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, IS saugumo pažeidimai, vagystės ir kita);

16.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

17. IS rizikos veiksniai vertinami nustatant jų įtakos elektroninės informacijos saugai laipsnius:

17.1. Žemas (Ž) – elektroninės informacijos pažeidimo poveikis yra nedidelis, padariniai nepavojingi – elektroninė informacija išsiųsta kitam adresatui, įvesta netiksli elektroninė informacija, dingo dalis elektroninės informacijos ar ji buvo prarasta po paskutinio kopijavimo ir ją galima greitai atstatyti iš turimų atsarginių kopijų, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema kompiuterizuotose darbo vietose;

17.2. Vidutinis (V) – elektroninės informacijos pažeidimo poveikis didelis, padariniai rimti – elektroninė informacija netiksli ar sugadinta, bet ją įmanoma atstatyti iš turimų atsarginių kopijų, duomenų bazės įrašai pakeisti, sunku rasti klaidas ir suklastotą elektroninę informaciją, neveikia kompiuterinė programinė įranga ir (ar) operacinė sistema tarnybinėse stotyse);

17.3. Aukštas (A) – elektroninės informacijos pažeidimo poveikis labai didelis, padariniai labai rimti – visiškai sugadinta elektroninė informacija, prarasta dėl vagystės, gaisro, užliejimo ar kitų veiksnių ne tik elektroninė informacija iš duomenų bazės, bet ir jos atsarginės kopijos, neveikia visa IS).

18. IS rizikos įvertinimo metu atliekami darbai:

18.1. IS sudarančių informacinių išteklių inventorizacija;

18.2. rizikos veiksnių įtakos IS vertinimas;

18.3. grėsmių ir pažeidimų analizė;

18.4. liekamosios rizikos įvertinimas.

19. Atsižvelgdamas į rizikos įvertinimo ataskaitą, Tarnybos direktorius tvirtina rizikos veiksnių valdymo planą, kuriame numatomas techninių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

20. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:

20.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

20.2. elektroninės informacijos saugos priemonės diegimo kaina turi būti adekvati saugomos elektroninės informacijos vertei;

20.3. kur galima, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos priemonės.

21. Siekdamas užtikrinti Saugos nuostatuose ir IS saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų laikymosi kontrolę, saugos įgaliotinis, vadovaudamasis Lietuvos Respublikos vidaus reikalų ministerijos patvirtinta metodika, ne rečiau kaip kartą per metus organizuoja Tarnybos informacinių technologijų saugos atitikties vertinimą, kurio metu:

21.1. įvertinama realios elektroninės informacijos saugos situacijos Tarnyboje atitiktis Saugos nuostatuose ir IS saugos politiką įgyvendinančiuose dokumentuose nustatytiems reikalavimams;

21.2. inventorizuojama IS techninė ir programinė įranga;

21.3. tikrinama IS serveriuose, administratoriaus ir kompiuterizuotose darbo vietose įdiegta programinė įranga ir jos sąranka;

21.4. peržiūrima administratoriui ir IS naudotojams suteiktų teisių atitiktis jų atliekamoms funkcijoms;

21.5. įvertinamas pasirengimas užtikrinti IS veiklos tęstinumą įvykus elektroninės informacijos saugos incidentui;

21.6. atliekamas IS kylančios rizikos įvertinimas ir, jei būtina, koreguojama rizikos įvertinimo ataskaita.

22. Atlikus Tarnybos informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita ir pastebėtų trūkumų šalinimo planas, kurie pateikiami Tarnybos direktoriui. Trūkumų šalinimo planas yra tvirtinamas Tarnybos direktoriaus įsakymu, kuriuo taip pat paskiriami už trūkumų šalinimą atsakingi vykdytojai ir nustatomi terminai, per kuriuos pastebėti trūkumai turi būti pašalinti.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

23. Programinės įrangos, skirtos IS apsaugoti nuo kenkimo programinės įrangos (virusų, šnipinėjimo programinės įrangos ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

23.1. serveriuose ir kompiuterizuotose darbo vietose privalo būti įdiegta apsauga nuo kenkimo programinės įrangos (virusų, šnipinėjimo programinės įrangos ir panašiai);

23.2. apsaugos nuo kenkimo programinės įrangos duomenų bazės privalo būti nuolatos atnaujinamos pagal programinės įrangos gamintojo rekomendacijas ir atitikti einamąsias grėsmes.

24. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:

24.1. naudojama tik legali ir Saugos nuostatų 25 punkte nurodyta programinė įranga;

24.2. naudojama tik IS funkcijoms vykdyti būtina programinė įranga;

24.3. programinė įranga yra nuolatos atnaujinama laikantis gamintojo reikalavimų;

24.4. programinės įrangos diegimą, šalinimą ir konfigūravimą kompiuteriuose ir serveriuose atlieka tik administratorius.

25. Kompiuteriuose ir serveriuose gali būti diegiama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga. Saugos įgaliotinis turi parengti, su Tarnybos direktoriumi suderinti ir ne rečiau kaip kartą per metus peržiūrėti bei prireikus atnaujinti leistinos programinės įrangos sąrašą.

26. Kompiuterių tinklo filtravimo įrangos pagrindinės naudojimo nuostatos:

26.1. Tarnybos vietinis kompiuterių tinklas turi būti atskirtas užkardomis nuo viešųjų ryšių tinklų ir interneto, taip pat turi būti naudojama paslaugos trikdymo (angl. Denial of Service) ir paskirstytųjų paslaugos trikdymo (angl. Distributed Denial of Service) atakų prevencijai skirta įranga, taip pat įsilaužimų aptikimo ir jų prevencijos įranga;

26.2. viešųjų ryšių tinklų ir interneto užkardos turi būti sukonfigūruotos naudojant principą „draudžiama viskas, išskyrus“, t. y. turi būti leidžiami tik būtini prisijungimai prie Tarnybos vietinio kompiuterių tinklo;

26.3. visas duomenų srautas į ir iš interneto turi būti filtruojamas ir registruojamas, siekiant nustatyti galimus tyčinius ar netyčinius kompiuterių tinklo trikdžius.

27. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

27.1. prieiga prie IS yra ribojama užkardomis; Tarnybos valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis, (toliau – darbuotojai) turi teisę prisijungti prie IS tik iš Tarnybos vietinio kompiuterių tinklo;

27.2. teikti ir (ar) gauti elektroninę informaciją galima tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas.

28. Kompiuterizuotose darbo vietose įrengti kompiuteriai naudojami tik IS naudotojais esančių darbuotojų tiesioginėms funkcijoms vykdyti.

29. Darbuotojams, kurių tiesioginėms funkcijoms vykdyti būtinas prisijungimas prie IS ne Tarnybos patalpose, suteikiama teisė prisijungti prie Tarnybos vietinio kompiuterių tinklo nuotoliniu būdu naudojant saugius ryšio kanalus.

30. Teisę nuotoliniu būdu prisijungti prie Tarnybos vietinio kompiuterių tinklo suteikia ir panaikina, darbuotojų, turinčių teisę nuotoliniu būdu prisijungti prie Tarnybos vietinio kompiuterių tinklo sąrašą sudaro ir tvarko administratorius. Darbuotojų, nustojusių eiti pareigas, kurių tiesioginėms funkcijoms vykdyti buvo būtinas nuotolinis prisijungimas prie Tarnybos vietinio kompiuterių tinklo, teisė nuotoliniu būdu prisijungti prie Tarnybos vietinio kompiuterių tinklo turi būti nedelsiant panaikinama.

31. Nuotolinio prisijungimo prie Tarnybos vietinio kompiuterių tinklo techninis sprendimas privalo užtikrinti:

31.1. ne žemesnį saugumo lygį nei užtikrinamas jungiantis prie Tarnybos vietinio kompiuterių tinklo Tarnyboje;

31.2. elektroninės informacijos konfidencialumą;

31.3. elektroninės informacijos vientisumą.

32. Atsarginių kopijų darymo ir atkūrimo reikalavimai:

32.1. elektroninės informacijos saugai užtikrinti daromos IS duomenų bazėje kaupiamos ir saugomos elektroninės informacijos atsarginės kopijos;

32.2. atsarginės kopijos daromos kiekvienos darbo dienos pabaigoje (toliau – dienos atsarginės kopijos) ir kiekvienos savaitės pabaigoje (toliau – savaitės atsarginės kopijos);

32.3. nurodoma kiekvienos atsarginės kopijos padarymo data ir laikas;

32.4. turi būti užtikrinta atsarginių kopijų kokybė;

32.5. savaitės atsarginės kopijos saugomos mėnesį nuo jų padarymo dienos;

32.6. dienos atsarginės kopijos saugomos savaitę nuo jų padarymo dienos;

32.7. atsarginės kopijos turi būti daromos automatiškai, jas atkurti turi teisę tik serverių administratorius;

32.8. kas 6 mėnesius turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

32.9. išsami atsarginių kopijų darymo, saugojimo ir atkūrimo tvarka nustatoma Saugos nuostatų 3.1 papunktyje nurodytose IS saugaus elektroninės informacijos tvarkymo taisyklėse.

iv SKYRIUS

REIKALAVIMAI PERSONALUI

33. IS naudotojai privalo turėti darbo kompiuteriu įgūdžių, būti susipažinę su Saugos nuostatais ir IS saugos politiką įgyvendinančiais dokumentais. IS naudotojai, pagal kompetenciją atsakingi už elektroninės informacijos tvarkymą, taip pat privalo IS saugaus elektroninės informacijos tvarkymo taisyklių nustatyta tvarka mokėti tvarkyti elektroninę informaciją.

34. IS naudotojai, pažeidę Saugos nuostatų ar IS saugos politiką įgyvendinančių dokumentų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

35. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais. Saugos įgaliotinis privalo sugebėti prižiūrėti, kaip įgyvendinama IS saugos politika. Saugos įgaliotinis privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje.

36. Administratorius privalo turėti aukštąjį universitetinį ar jam prilygintą išsilavinimą, išmanyti darbą su kompiuterių tinklais, duomenų bazėmis, mokėti užtikrinti jų saugumą, taip pat mokėti administruoti ir prižiūrėti duomenų bazes, būti susipažinęs su Saugos nuostatais ir IS saugos politiką įgyvendinančiais dokumentais.

37. Saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja IS naudotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugą.

V SKYRIUS

IS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

38. Už IS naudotojų supažindinimą su Saugos nuostatais ir IS saugos politiką įgyvendinančiais dokumentais bei atsakomybe už juose įtvirtintų reikalavimų nesilaikymą yra atsakingas saugos įgaliotinis.

39. Saugos įgaliotinis raštu informuoja IS naudotojus apie tai, kur jie gali susipažinti su Saugos nuostatais ir IS saugos politiką įgyvendinančiais dokumentais. IS naudotojai gali naudotis IS tik patvirtinę savo susipažinimą su Saugos nuostatais ir IS saugos politiką įgyvendinančiais dokumentais.

40. Saugos nuostatai, Lietuvos Respublikos kibernetinio saugumo įstatymas ir IS saugos politiką įgyvendinantys dokumentai skelbiami viešai IS naudotojams pasiekiamoje interneto svetainėje.

41. Iš esmės pasikeitus Saugos nuostatams ir (ar) IS saugos politiką įgyvendinantiems dokumentams, IS naudotojai su jais supažindinami pakartotinai. Informacija apie Saugos nuostatų ir (ar) IS saugos politiką įgyvendinančių dokumentų pasikeitimus IS naudotojams siunčiama elektroniniu būdu.

_______________________