NACIONALINIO BENDRŲJŲ FUNKCIJŲ CENTRO DIREKTORIUS

ĮSAKYMAS

DĖL SĄSKAITŲ ADMINISTRAVIMO BENDROSIOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2024 m. gegužės 30 d. Nr. V-233

Vilnius

Vadovaudamasi Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, 7 punktu:

1. T v i r t i n u Sąskaitų administravimo bendrosios informacinės sistemos duomenų saugos nuostatus (pridedama).

2. S k i r i u Sąskaitų administravimo bendrosios informacinės sistemos saugos įgaliotiniu Veiklos organizavimo departamento patarėją kibernetiniam saugumui Arūną Cijūnaitį.

3. N u s t a t a u, kad šis įsakymas įsigalioja 2024 m. liepos 1 d.

Direktorė Valė Kulvinskienė

PATVIRTINTA

Nacionalinio bendrųjų funkcijų centro

direktoriaus

2024 m. gegužės 30 d. įsakymu

Nr. V-233

SĄSKAITŲ ADMINISTRAVIMO BENDROSIOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Sąskaitų administravimo bendrosios informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Sąskaitų administravimo bendrosios informacinės sistemos (toliau – SABIS) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką.

2. Saugos nuostatuose vartojamos sąvokos:

2.1. Sąskaitų administravimo bendrosios informacinės sistemos administratorius (toliau – administratorius) – Nacionalinio bendrųjų funkcijų centro darbuotojas, kuriam pavesta prižiūrėti Sąskaitų administravimo bendrąją informacinę sistemą ir (ar) jos infrastruktūrą, užtikrinti jų veikimą, elektroninės informacijos saugą ir kibernetinį saugumą, ar kitas asmuo (asmenų grupė), kuriam (kuriai) Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos Sąskaitų administravimo bendrosios informacinės sistemos ir (ar) jos infrastruktūros priežiūros funkcijos.

2.2. Sąskaitų administravimo bendrosios informacinės sistemos elektroninė informacija (toliau – elektroninė informacija) – duomenys, dokumentai ir informacija, tvarkomi Sąskaitų administravimo bendrojoje informacinėje sistemoje.

2.3. Sąskaitų administravimo bendrosios informacinės sistemos elektroninės informacijos saugos ir kibernetinio saugumo dokumentai (toliau – saugos dokumentai) – Nacionalinio bendrųjų funkcijų centro saugaus informacinių sistemų elektroninės informacijos tvarkymo taisyklės, Nacionalinio bendrųjų funkcijų informacinių sistemų veiklos tęstinumo valdymo planas, Nacionalinio bendrųjų funkcijų centro informacinių sistemų naudotojų administravimo taisyklės, Nacionalinio bendrųjų funkcijų centro informacinių sistemų duomenų saugos nuostatai, patvirtinti Nacionalinio bendrųjų funkcijų centro direktoriaus 2020 m. rugsėjo 4 d. įsakymu Nr. V-443 „Dėl Nacionalinio bendrųjų funkcijų centro informacinių sistemų saugos dokumentų patvirtinimo“.

2.4. Sąskaitų administravimo bendrosios informacinės sistemos kibernetinio saugumo vadovas (toliau – kibernetinio saugumo vadovas) – Nacionalinio bendrųjų funkcijų centro darbuotojas, kuriam pavesta organizuoti ir užtikrinti Sąskaitų administravimo bendrosios informacinės sistemos kibernetinį saugumą, ar kitas asmuo (asmenų grupė), kuriam (kuriai) Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos kibernetinio saugumo organizavimo ir užtikrinimo funkcijos.

2.5. Sąskaitų administravimo bendrosios informacinės sistemos komponentai (toliau – SABIS komponentai) – kompiuteriai, operacinės sistemos, duomenų bazės ir jų valdymo sistemos, taikomųjų programų sistemos, užkardos, įsilaužimų aptikimo ir prevencijos sistemos, elektroninės informacijos perdavimo tinklai, duomenų saugyklos, serveriai ir kita techninė ir programinė įranga, reikalinga Sąskaitų administravimo bendrajai informacinei sistemai funkcionuoti ir joje tvarkomos elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti.

2.6. Sąskaitų administravimo bendrosios informacinės sistemos naudotojas (toliau – naudotojas) – asmuo, Sąskaitų administravimo bendrosios informacinės sistemos veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis Sąskaitų administravimo bendrosios informacinės sistemos elektroninę informaciją.

2.7. Sąskaitų administravimo bendrosios informacinės sistemos saugos įgaliotinis (toliau – saugos įgaliotinis) – Nacionalinio bendrųjų funkcijų centro darbuotojas, kuriam pavesta koordinuoti ir prižiūrėti elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimą Sąskaitų administravimo bendrojoje informacinėje sistemoje.

2.8. Sąskaitų administravimo bendrosios informacinės sistemos vidinis naudotojas (toliau – vidinis naudotojas) – Nacionalinio bendrųjų funkcijų centro darbuotojas, Sąskaitų administravimo bendrosios informacinės sistemos veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis Sąskaitų administravimo bendrosios informacinės sistemos elektroninę informaciją.

2.9. Kitos Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimoׅ“, (toliau – Informacinių technologijų saugos atitikties vertinimo metodika) ir kituose teisės aktuose bei Lietuvos ir tarptautiniuose standartų rinkinio „Informacinės technologijos. Saugumo metodai“ standartuose.

3. Saugos dokumentai taikomi:

3.1. SABIS valdytojui ir tvarkytojui Nacionaliniam bendrųjų funkcijų centrui, kurio buveinės adresas: Vilnius, Geležinio Vilko g. 12, 03163;

3.2. saugos įgaliotiniui;

3.3. kibernetinio saugumo vadovui;

3.4. administratoriams;

3.5. naudotojams;

3.6. SABIS funkcionuoti reikalingų paslaugų teikėjams.

4. Saugos nuostatai yra vieši ir skelbiami Lietuvos Respublikos teisės aktų registre.

5. Prieiga prie saugos dokumentų yra ribota. Naudotojams, SABIS funkcionuoti reikalingų paslaugų teikėjams ir kitiems tretiesiems asmenims suteikiama teisė susipažinti su saugos dokumentų santrauka Saugos nuostatų V skyriuje nustatyta tvarka.

6. Už saugos dokumentų santraukos parengimą yra atsakingas kibernetinio saugumo vadovas.

7. Saugos dokumentai turi būti saugiai platinami ir prieinami su jais turinčioms teisę susipažinti suinteresuotoms šalims visais elektroninės informacijos saugos ar kibernetinio saugumo incidentų ar avarijų atvejais.

8. Elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo prioritetinės kryptys yra:

8.1. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

8.2. SABIS veiklos tęstinumo užtikrinimas;

8.3. asmens duomenų apsauga;

8.4. naudotojų mokymas;

8.5. organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti, įgyvendinimas ir kontrolė.

9. Elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo tikslai:

9.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją;

9.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

9.3. vykdyti elektroninės informacijos saugos ir kibernetinių incidentų prevenciją, reaguoti į elektroninės informacijos saugos ir kibernetinius incidentus ir juos operatyviai suvaldyti, atkuriant įprastinę SABIS veiklą.

10. SABIS valdytojo funkcijos kibernetinio saugumo srityje:

10.1. metodiškai koordinuoti administratorių veiksmus siekiant užtikrinti tinkamą SABIS funkcionavimą;

10.2. vertinti administratorių atliekamas funkcijas ir techninės bei programinės įrangos priežiūros paslaugas teikiančio paslaugų teikėjo, veikiančio Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka, teikiamas paslaugas bei kontroliuoti teikiamų paslaugų kokybę;

10.3. prižiūrėti, kaip laikomasi elektroninės informacijos tvarkymo ir elektroninės informacijos saugos bei kibernetinio saugumo reikalavimų;

10.4. nagrinėti naudotojų ir administratorių pasiūlymus dėl SABIS veiklos, elektroninės informacijos saugos ir kibernetinio saugumo gerinimo;

10.5. priimti sprendimus:

10.5.1. dėl SABIS veiklos, elektroninės informacijos saugos ir kibernetinio saugumo gerinimo;

10.5.2. dėl SABIS techninių ir programinių priemonių, būtinų elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti, įsigijimo, diegimo ir modernizavimo;

10.5.3. dėl elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo;

10.6. planuoti veiksmingą ir spartų SABIS pokyčių valdymą;

10.7. paskirti saugos įgaliotinį ir administratorius;

10.8. prireikus tvirtinti:

10.8.1. saugumo rizikos vertinimo ir rizikų valdymo priemonių planą;

10.8.2. grėsmių ir pažeidžiamumų, galinčių turėti įtakos ryšių ir SABIS kibernetiniam saugumui, rizikos vertinimo (toliau – ryšių ir SABIS rizikos vertinimas) ataskaitą;

10.8.3. SABIS informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą;

10.9. atlikti kitas Saugos nuostatuose ir kituose teisės aktuose informacinės sistemos valdytojui nustatytas atlikti funkcijas.

11. SABIS tvarkytojo funkcijos kibernetinio saugumo srityje:

11.1. užtikrinti:

11.1.1. SABIS nepertraukiamą veiklą;

11.1.2. elektroninės informacijos saugą, kibernetinį saugumą ir saugų elektroninės informacijos perdavimą elektroninių ryšių tinklais (automatiniu būdu);

11.1.3. SABIS sąveiką su susijusiais registrais ir susijusiomis informacinėmis sistemomis;

11.1.4. tinkamą SABIS valdytojo sprendimų ir rekomendacijų įgyvendinimą elektroninės informacijos saugos ir kibernetinio saugumo srityje;

11.2. teikti SABIS valdytojui pasiūlymus dėl elektroninės informacijos saugos ir kibernetinio saugumo gerinimo;

11.3. rengti ir įgyvendinti techninių ir programinių priemonių kūrimo ir plėtros planus, investicinius projektus;

11.4. ne rečiau kaip kartą per metus organizuoti saugos dokumentų peržiūrą;

11.5. organizuoti naudotojams mokomuosius ir pažintinius kursus elektroninės informacijos tvarkymo klausimais;

11.6. prireikus rengti:

11.6.1. saugumo rizikos vertinimo ir rizikų valdymo priemonių planą;

11.6.2. ryšių ir SABIS rizikos vertinimo ataskaitą;

11.6.3. SABIS informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą;

11.7. atlikti kitas Saugos nuostatuose ir kituose teisės aktuose informacinės sistemos tvarkytojui nustatytas atlikti funkcijas.

12. Už elektroninės informacijos saugą ir kibernetinį saugumą pagal kompetenciją atsako SABIS valdytojas ir tvarkytojas.

13. SABIS valdytojas atsako už elektroninės informacijos saugos ir kibernetinio saugumo politikos formavimą, jos įgyvendinimo organizavimą ir priežiūrą, elektroninės informacijos tvarkymo teisėtumą.

14. SABIS tvarkytojas atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą saugos dokumentuose nustatyta tvarka.

15. Saugos įgaliotinio funkcijos:

15.1. teikti SABIS tvarkytojo vadovui pasiūlymus dėl administratorių paskyrimo ir reikalavimų jiems nustatymo;

15.2. koordinuoti elektroninės informacijos saugos ir kibernetinio saugumo incidentų tyrimą, bendradarbiauti su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugos ir kibernetinio saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos ir kibernetinio saugumo incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos ar kibernetinio saugumo darbo grupės;

15.3. teikti administratoriams ir naudotojams nurodymus ir pavedimus dėl elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimo;

15.4. organizuoti SABIS rizikos ir SABIS informacinių technologijų saugos atitikties vertinimą;

15.5. atlikti kitas Saugos nuostatuose, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, ir kituose teisės aktuose saugos įgaliotiniui nustatytas atlikti funkcijas.

16. Kibernetinio saugumo vadovas atlieka Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas) ir kituose teisės aktuose kibernetinio saugumo vadovui nustatytas atlikti funkcijas. Kibernetinio saugumo vadovas ir saugos įgaliotinis gali būti tas pats asmuo.

17. Kibernetinio saugumo vadovas ir saugos įgaliotinis negali atlikti administratoriaus funkcijų.

18. Skiriami šie administratoriai:

18.1. koordinuojantysis administratorius – administratorius, prižiūrintis administratorių veiklą ir atsakantis už tinkamą jų funkcijų atlikimą;

18.2. naudotojų administratorius – administratorius, atliekantis naudotojų teisių valdymo funkcijas (naudotojų duomenų administravimas, klasifikatorių tvarkymas, naudotojų veiksmų ir registracijos žurnalų įrašų analizė, kt.);

18.3. SABIS komponentų administratorius – administratorius, atliekantis su SABIS komponentų tvarkymu ir jų sąranka susijusias funkcijas. SABIS komponentų administratoriai ir jų funkcijos:

18.3.1. kompiuterių tinklų administratorius:

18.3.1.1. užtikrina kompiuterių tinklų veikimą;

18.3.1.2. projektuoja kompiuterių tinklus;

18.3.1.3. diegia, konfigūruoja ir prižiūri kompiuterių tinklų aktyviąją įrangą;

18.3.1.4. užtikrina kompiuterių tinklų saugumą;

18.3.2. tarnybinių stočių administratorius:

18.3.2.1. užtikrina tarnybinių stočių veikimą;

18.3.2.2. konfigūruoja tarnybinių stočių tinklo prieigą;

18.3.2.3. administruoja tarnybinių stočių naudotojų registracijos duomenis;

18.3.2.4. stebi ir analizuoja tarnybinių stočių veiklą;

18.3.2.5. diegia ir konfigūruoja tarnybinių stočių programinę įrangą;

18.3.2.6. diegia tarnybinių stočių programinės įrangos naujinius;

18.3.2.7. užtikrina tarnybinių stočių saugą;

18.3.3. duomenų bazių administratorius:

18.3.3.1. užtikrina duomenų bazių veikimą;

18.3.3.2. tvarko duomenų bazių programinę įrangą;

18.3.3.3. administruoja duomenų bazių naudotojų registracijos duomenis;

18.3.3.4. kuria ir atkuria atsargines elektroninės informacijos kopijas;

18.3.3.5. stebi duomenų bazes ir optimizuoja jų veikimą;

18.4. saugos administratorius – administratorius, atliekantis SABIS pažeidžiamumo nustatymo ir saugumo reikalavimų atitikties nustatymo bei stebėsenos funkcijas.

19. Administratoriai yra atsakingi už tinkamą saugos dokumentuose informacinės sistemos administratoriui nustatytų funkcijų atlikimą.

20. Administratoriai privalo vykdyti visus kibernetinio saugumo vadovo ir saugos įgaliotinio nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimu, pagal kompetenciją reaguoti į elektroninės informacijos saugos ir kibernetinio saugumo incidentus ir nuolat teikti kibernetinio saugumo vadovui ir saugos įgaliotiniui informaciją apie pagrindinių SABIS komponentų būklę.

21. Atlikdami SABIS sąrankos pakeitimus, SABIS komponentų administratoriai turi laikytis pokyčių valdymo tvarkos, nustatytos Nacionalinio bendrųjų funkcijų centro saugaus elektroninės informacijos tvarkymo taisyklėse, patvirtintose Nacionalinio bendrųjų funkcijų centro direktoriaus 2020 m. rugsėjo 4 d. įsakymu Nr. V-443 „Dėl Nacionalinio bendrųjų funkcijų centro informacinių sistemų saugos dokumentų patvirtinimo“.

22. SABIS komponentų administratoriai privalo ne rečiau kaip kartą per metus ir kaskart, kai įgyvendinamas SABIS pokytis, peržiūrėti SABIS sąranką ir SABIS būsenos rodiklius.

23. Tvarkant elektroninę informaciją ir užtikrinant jos saugą vadovaujamasi šiais teisės aktais:

23.1. Kibernetinio saugumo įstatymu;

23.2. Valstybės informacinių išteklių valdymo įstatymu;

23.3. Asmens duomenų teisinės apsaugos įstatymu;

23.4. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

23.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;

23.6. Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2023 m. liepos 19 d. nutarimu Nr. 576 „Dėl Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašo patvirtinimo“, (toliau – Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašas);

23.7. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu;

23.8. Lietuvos standartais LST EN ISO/IEC 27002:2017 ir LST EN ISO/IEC 27001:2017 bei kitais Lietuvos ir tarptautiniais standartais, reglamentuojančiais elektroninės informacijos saugą;

23.9. kitais teisės aktais, reglamentuojančiais elektroninės informacijos tvarkymą, elektroninės informacijos saugą, kibernetinį saugumą bei informacinės sistemos valdytojo ir tvarkytojo veiklą.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

24. SABIS tvarkoma elektroninė informacija priskiriama vidutinės svarbos valstybės informacinių išteklių rūšiai. Elektroninė informacija šiai informacinių išteklių rūšiai priskiriama vadovaujantis Valstybės informacinių išteklių svarbos vertinimo metodika.

25. SABIS pagal joje tvarkomos elektroninės informacijos svarbą, vadovaujantis Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašo 7.2 papunkčiu, priskiriama vidutinės svarbos informacinei sistemai.

26. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos parengtą Rizikos analizės vadovą ir vadovaudamasis Lietuvos ir tarptautiniais standartų rinkinio „Informacinės technologijos. Saugumo technika“ standartais, kasmet organizuoja SABIS rizikos vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį SABIS rizikos vertinimą. SABIS tvarkytojo rašytiniu pavedimu SABIS rizikos vertinimą gali atlikti pats saugos įgaliotinis. Kartu su SABIS rizikos vertinimu ir (arba) Saugos nuostatų 33 punkte nurodytu SABIS informacinių technologijų saugos atitikties vertinimu turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos SABIS saugumui, vertinimas.

27. SABIS rizikos vertinimo rezultatai išdėstomi ryšių ir SABIS rizikos vertinimo ataskaitoje, kuri pateikiama SABIS valdytojo vadovui ir SABIS tvarkytojo vadovui. Ryšių ir SABIS rizikos vertinimo ataskaita rengiama vertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:

27.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos, elektroninės informacijos ištrynimas, pateikta klaidinga elektroninė informacija, fiziniai informacinių technologijų sutrikimai, elektroninės informacijos perdavimo tinklais trikdžiai, programinės įrangos klaidos ar netinkamas veikimas ir kt.);

27.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kt.);

27.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

28. Atsižvelgdamas į ryšių ir SABIS rizikos vertinimo ataskaitą, SABIS valdytojas prireikus tvirtina saugumo rizikos vertinimo ir rizikų valdymo priemonių planą, kuriame, be kita ko, nustatomas techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

29. Ryšių ir SABIS rizikos vertinimo ataskaitos, saugumo rizikos vertinimo ir rizikų valdymo priemonių plano kopijas SABIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo dienos pateikia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatuose, patvirtintuose Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai) nustatyta tvarka.

30. Vadovaujantis Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo reikalavimais, kasmet arba įgyvendinus esminius organizacinius ar sisteminius pokyčius organizuojamas ryšių ir SABIS rizikos vertinimas. SABIS tvarkytojo rašytiniu pavedimu ryšių ir SABIS rizikos vertinimą gali atlikti saugos įgaliotinis. Ryšių ir SABIS rizikos vertinimo metu:

30.1. paskiriamas už rizikos vertinimą, rizikos vertinimo proceso priežiūrą ir nuolatinį tobulinimą atsakingas asmuo (asmenys) ir nustatomi jam (jiems) taikomi kvalifikaciniai reikalavimai;

30.2. nustatomi reikalavimai rizikos vertinimo procesui, rizikos išdėstymo pagal prioritetus kriterijai ir priimtinas rizikos lygis;

30.3. nustatomos grėsmės ir pažeidžiamumai, galintys turėti įtakos ryšių ir SABIS kibernetiniam saugumui, bei galimos grėsmių ir pažeidžiamumų poveikio vykdomai veiklai sritys;

30.4. įvertinama ryšių ir SABIS pažeidimo grėsmių tikimybė ir pasekmės, nustatomas rizikos lygis, įvertinamos ir prioriteto tvarka pagal svarbą, kuri nustatoma atsižvelgiant į atliktą rizikos vertinimą, išdėstomos nustatytų grėsmių tikimybės;

30.5. atsižvelgiant į atlikto rizikos vertinimo rezultatus, rengiami ir (ar) peržiūrimi teisės aktai, reglamentuojantys SABIS kibernetinio saugumo politiką ir jos įgyvendinimą.

31. Organizuojant ryšių ir SABIS rizikos vertinimą, vadovaujamasi Lietuvos ir tarptautiniais standartais ar metodikomis, reglamentuojančiais rizikos valdymą.

32. Ryšių ir SABIS rizikos vertinimas gali būti atliekamas kartu su SABIS rizikos vertinimu arba SABIS informacinių technologijų saugos atitikties vertinimu.

33. Siekiant užtikrinti tinkamą saugos dokumentuose nustatytų elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų įgyvendinimo organizavimą ir kontrolę, turi būti organizuojamas SABIS informacinių technologijų saugos atitikties vertinimas:

33.1. SABIS informacinių technologijų saugos atitikties vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus, jei teisės aktuose nenustatyta kitaip.

33.2. Ne rečiau kaip kartą per trejus metus SABIS informacinių technologijų saugos atitikties vertinimą turi atlikti nepriklausomi visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.

33.3. SABIS atitikties Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus.

34. SABIS informacinių technologijų saugos atitikties vertinimo metu turi būti vykdomos kibernetinių atakų imitavimo pratybos. Imituojant kibernetines atakas, vadovaujamasi tarptautiniu mastu pripažintų organizacijų (pvz., EC-COUNCIL, ISACA, NIST ir kt.) rekomendacijomis ir gerąja praktika.

35. Kibernetinės atakos imituojamos etapais:

35.1. Planavimo etape parengiamas kibernetinių atakų imitavimo planas, kuriame nurodomi kibernetinių atakų imitavimo tikslai ir darbų mastas, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ar vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės, baltosios dėžės ar pilkosios dėžės), galima neigiama įtaka SABIS veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (arba) techniniai įrankiai ir priemonės, nurodomi už plano vykdymą atsakingi asmenys ir jų kontaktiniai duomenys. Kibernetinių atakų imitavimo planas turi būti suderintas su SABIS tvarkytojo vadovu ir vykdomas tik gavus jo raštišką pritarimą.

35.2. Žvalgybos ir aptikimo etape surenkama informacija apie tinklo perimetrą, tinklo mazgus, tinklo mazguose veikiančių serverių ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas, pažeidžiamas vietas, konfigūracijas ir kitą sėkmingai kibernetinei atakai įvykdyti reikalingą informaciją. Šiame etape turi būti teikiamos tarpinės vykdomų veiklų ir jų rezultatų ataskaitos;

35.3. Kibernetinių atakų imitavimo etape atliekami kibernetinių atakų imitavimo plane numatyti darbai. Šiame etape turi būti teikiamos tarpinės vykdomų veiklų ir jų rezultatų ataskaitos.

35.4. Rezultatų apibendrinimo etape rengiama SABIS informacinių technologijų saugos atitikties vertinimo ataskaita, kurioje atliktų darbų rezultatai detalizuojami ir palyginami su planuotais kibernetinių atakų imitavimo plane, kiekviena aptikta pažeidžiama vieta detalizuojama ir pateikiamos rekomendacijos pažeidžiamumui pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos vertinimu. Jeigu nustatoma incidentų valdymo ir šalinimo ar nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

36. SABIS saugos atitikties vertinimas atliekamas Informacinių technologijų saugos atitikties vertinimo metodikoje nustatyta tvarka.

37. Atlikus SABIS informacinių technologijų saugos atitikties vertinimą, saugos įgaliotinis rengia ir SABIS tvarkytojo vadovui teikia SABIS informacinių technologijų saugos atitikties vertinimo ataskaitą. Atsižvelgdamas į SABIS informacinių technologijų saugos atitikties vertinimo ataskaitos rezultatus, saugos įgaliotinis prireikus rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato SABIS valdytojo vadovas.

38. SABIS informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas SABIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

39. Siekiant gerinti elektroninės informacijos saugos ir kibernetinio saugumo būklę, techninės, programinės, organizacinės ir kitos elektroninės informacijos saugos ir kibernetinio saugumo priemonės pasirenkamos atsižvelgiant į SABIS valdytojo turimus išteklius ir vadovaujantis šiais principais:

39.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

39.2. priemonės diegimo kaina turi būti adekvati tvarkomos elektroninės informacijos vertei;

39.3. atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, aptikimo ir korekcinės elektroninės informacijos saugos ir kibernetinio saugumo priemonės.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

40. SABIS naudojamoms svetainėms taikomi šie jų saugos valdymo reikalavimai:

40.1. Svetainės turi atitikti Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo reikalavimus.

40.2. Svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų būtų galima jungtis tik iš vidinio SABIS tvarkytojo kompiuterių tinklo arba nustatytų IP adresų.

40.3. Turi būti pakeisti numatytieji prisijungimo prie svetainių turinio valdymo sistemų ir administravimo skydelių slaptažodžiai ir adresai.

40.4. Turi būti užtikrinama, kad prie svetainių turinio valdymo sistemų ir administravimo skydelių būtų galima jungtis tik naudojantis šifruotuoju ryšiu.

40.5. SABIS naudojamų svetainių sauga turi būti vertinama SABIS rizikos vertinimo, ryšių ir SABIS rizikos vertinimo ir (arba) SABIS informacinių technologijų saugos atitikties vertinimo, atliekamų Saugos nuostatų II skyriuje nustatyta tvarka, metu.

41. Programinės įrangos, skirtos SABIS nuo kenkimo programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir kt.) apsaugoti, naudojimo nuostatos ir atnaujinimo reikalavimai:

41.1. Tarnybinėse stotyse ir vidinių naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenkimo programinės įrangos aptikimo, stebėjimo realiuoju laiku priemonės.

41.2. SABIS komponentai be kenkimo programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo ar ryšių ir SABIS rizikos vertinimo metu yra patvirtinama, kad šių komponentų rizika yra priimtina.

41.3. Kenkimo programinės įrangos aptikimo priemonės turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas. SABIS komponentų administratorius turi būti automatiškai informuojamas elektroniniu paštu apie tai, kurių SABIS posistemių, funkciškai savarankiškų sudedamųjų dalių, vidinių naudotojų kompiuterių ir kitų SABIS komponentų kenkimo programinės įrangos aptikimo priemonių atsinaujinimo laikas yra pradelstas, ir apie tai, kad kenkimo programinės įrangos aptikimo priemonės funkcionuoja netinkamai arba yra išjungtos.

42. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:

42.1. SABIS tarnybinėse stotyse ir vidinių naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga.

42.2. Vidinių naudotojų kompiuteriuose naudojama programinė įranga turi būti įtraukta į suderintą su SABIS valdytoju leidžiamos naudoti programinės įrangos sąrašą, kurį turi parengti ir ne rečiau kaip kartą per metus peržiūrėti bei prireikus atnaujinti saugos įgaliotinis.

42.3. Ne rečiau kaip kartą per mėnesį turi būti įvertinami tarnybinių stočių ir vidinių naudotojų kompiuterių operacinės sistemos kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami naujiniai, klaidų taisymai turi būti operatyviai išbandomi ir įdiegiami.

42.4. Saugos administratorius reguliariai, bet ne rečiau kaip kartą per savaitę turi įvertinti informaciją apie neįdiegtus gamintojų rekomenduojamus naujinius ir susijusius saugos pažeidžiamumo svarbos lygius SABIS posistemiuose, funkciškai savarankiškose sudedamosiose dalyse, vidinių naudotojų kompiuteriuose. Apie įvertinimo rezultatus turi būti informuojamas saugos įgaliotinis ir kibernetinio saugumo vadovas.

42.5. Programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų.

42.6. Programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – SABIS komponentų administratoriai arba tokias paslaugas teikiantys paslaugų teikėjai.

42.7. Programinė įranga turi būti testuojama naudojant testavimo aplinką, kurioje neturi būti naudojami realūs asmens duomenys arba turi būti užtikrinamos priemonės saugiam tokių duomenų naudojimui.

42.8. SABIS programinė įranga turi būti apsaugota nuo pagrindinių per tinklą vykdomų atakų (SQL intarpų įterpimo, įterptinių instrukcijų (XSS) atakų, internetinės paslaugos sutrikdymo (DoS) atakų, srautinių internetinės paslaugos sutrikdymo (DDoS) atakų ir kt.), kurių sąrašas skelbiamas Atviro tinklo programų saugumo projekto interneto svetainėje www.owasp.org.

43. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių ir kt.) naudojimo nuostatos:

43.1. Kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant užkardas, automatinę įsilaužimų aptikimo ir prevencijos įrangą, apsaugos nuo internetinės paslaugos sutrikdymo atakų ir srautinių internetinės paslaugos sutrikdymo atakų įrangą.

43.2. Kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuosiuose ryšių tinkluose naršančių vidinių naudotojų kompiuterinę įrangą nuo kenkimo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenkimo programinės įrangos.

43.3. Apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga.

43.4. Turi būti naudojamos turinio filtravimo sistemos.

43.5. Turi būti naudojamos taikomųjų programų kontrolės sistemos.

44. Leidžiamos kompiuterių naudojimo ribos:

44.1. Stacionariuosius kompiuterius leidžiama naudoti tik SABIS valdytojo ir SABIS tvarkytojo patalpose.

44.2. Nešiojamiesiems kompiuteriams, išnešamiems iš SABIS valdytojo ar SABIS tvarkytojo patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimai ir pan.).

44.3. Iš stacionariųjų ir nešiojamųjų kompiuterių ar elektroninės informacijos laikmenų, kurie perduodami remonto ar techninės priežiūros paslaugų teikėjui arba nurašomi, turi būti neatkuriamai pašalinta visa nevieša elektroninė informacija.

45. Saugus elektroninės informacijos teikimas ir (ar) gavimas užtikrinamas šiais būdais:

45.1. Elektroninė informacija teikiama Sąskaitų administravimo bendrosios informacinės sistemos nuostatuose, patvirtintuose Nacionalinio bendrųjų funkcijų centro direktoriaus 2023 m. birželio 21 d. įsakymu Nr. V-223 „Dėl Sąskaitų administravimo bendrosios informacinės sistemos nuostatų patvirtinimo“, (toliau – SABIS nuostatai) nustatyta tvarka.

45.2. Teikiant ir (ar) gaunant elektroninę informaciją naudojamas šifravimas, virtualusis privatusis tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Elektroninei informacijai teikti ir (ar) gauti gali būti naudojamas saugus valstybinis duomenų perdavimo tinklas.

45.3. Elektroninė informacija automatiniu būdu turi būti teikiama ir (ar) gaunama tik pagal SABIS nuostatuose, elektroninės informacijos teikimo (keitimosi ja) sutartyse nustatytas specifikacijas ir sąlygas.

45.4. Nuotolinis prisijungimas prie SABIS galimas šiais atvejais:

45.4.1. naudojant transporto lygmens protokolus (TLS), reglamentuojančius abipusį naudotojo ir serverio tapatumo nustatymą, kad būtų užtikrintas šifruotasis ryšys. Saugiam elektroninės informacijos perdavimui iš serverio į interneto naršyklę arba atvirkščiai naudojamas TLS sertifikatas, patvirtinantis elektroninės informacijos šaltinio tapatumą ir šifruojantis naudotojo ir serverio siunčiamą elektroninę informaciją. SABIS interneto svetainėse TLS šifruota HTTP protokolo elektroninė informacija perduodama saugiu HTTPS protokolu;

45.4.2. naudojant virtualųjį privatųjį tinklą. Virtualiajame tinkle turi būti naudojamas IPsec protokolų rinkinys;

45.4.3. naudojant saugaus apvalkalo protokolą ir nuotolinio darbalaukio protokolą. Šia galimybe gali būti pasinaudota tik SABIS administravimo tikslais;

45.5. nustačius Lietuvos ir tarptautinių organizacijų bei standartų rekomendacijas, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo reikalavimus atitinkantį šifro raktų ilgį, šifro raktų generavimo algoritmus, šifro raktų apsikeitimo protokolus, sertifikato parašo šifravimo algoritmus ir kitus šifravimo algoritmus;

45.6. kai naudojamų šifravimo priemonių patikimumas yra įvertinamas atliekant neeilinį arba kasmetinį SABIS rizikos vertinimą ar ryšių ir SABIS rizikos vertinimą. Nustačius saugumo spragų šifravimo algoritmuose, šifravimo priemonės turi būti operatyviai keičiamos.

46. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

46.1. Atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą ir priimtiną SABIS neveikimo laikotarpį.

46.2. Atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokia apimtimi, kad SABIS veiklos sutrikimo, elektroninės informacijos saugos ar kibernetinio incidento arba elektroninės informacijos vientisumo praradimo atvejais SABIS neveikimo laikotarpis nebūtų ilgesnis nei nustatytas vidutinės svarbos informacinei sistemai, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus.

46.3. Atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai ir periodiškai ne rečiau kaip Nacionalinio bendrųjų funkcijų centro saugaus informacinių sistemų elektroninės informacijos tvarkymo taisyklėse, patvirtintose Nacionalinio bendrųjų funkcijų centro direktoriaus 2020 m. rugsėjo 4 d. įsakymu Nr. V-443 „Dėl Nacionalinio bendrųjų funkcijų centro informacinių sistemų saugos dokumentų patvirtinimo,“ nurodytais terminais.

46.4. Elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai saugomi atskirai nuo kopijų) arba turi būti taikomos kitos priemonės, neleidžiančios neteisėtai atkurti elektroninės informacijos.

46.5. Atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje kitose patalpose, nei yra SABIS tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate.

46.6. Atsarginių elektroninės informacijos kopijų darymas turi būti fiksuojamas.

46.7. Periodiškai, bet ne rečiau kaip kartą per pusmetį turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai.

46.8. Galimybė patekti į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojama.

47. SABIS valdytojas ir (arba) tvarkytojas, pirkdamas paslaugas, darbus ar prekes, susijusias su SABIS, jos projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi nustatyti, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas užtikrina atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo reikalavimams.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

48. Naudotojams, administratoriams, saugos įgaliotiniui ir kibernetinio saugumo vadovui keliami šie kvalifikacijos ir patirties reikalavimai:

48.1. Naudotojų, administratorių, saugos įgaliotinio, kibernetinio saugumo vadovo kvalifikacija turi atitikti bendruosius ir specialiuosius reikalavimus, nustatytus jų pareigybės aprašyme.

48.2. Visi naudotojai privalo turėti pagrindinius darbo kompiuteriu, taikomosiomis programomis įgūdžius, mokėti tvarkyti elektroninę informaciją, būti susipažinę su Asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais asmens duomenų ir elektroninės informacijos tvarkymą. Naudotojai, tvarkantys asmens duomenis ir elektroninę informaciją, privalo būti pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį ir jo laikytis. Pasižadėjimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą.

48.3. Saugos įgaliotinis ir kibernetinio saugumo vadovas privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, tobulinti elektroninės informacijos saugos ir kibernetinio saugumo srities kvalifikaciją, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų, reglamentuojančių elektroninės informacijos saugą ir kibernetinį saugumą, nuostatomis. SABIS tvarkytojas turi sudaryti sąlygas saugos įgaliotiniui ir kibernetinio saugumo vadovui kelti kvalifikaciją.

48.4. Saugos įgaliotiniu ir kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį arba nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinės sistemos saugumui, paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą arba savavališką prisijungimą prie tinklo ar galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

48.5. Administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, mokėti užtikrinti SABIS ir joje tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą, administruoti ir prižiūrėti SABIS komponentus (stebėti SABIS komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti SABIS komponentų nepertraukiamą funkcionavimą ir pan.). Administratoriai turi būti susipažinę su saugos dokumentais.

49. Saugos įgaliotinio, kibernetinio saugumo vadovo, naudotojų ir administratorių mokymų planavimo, organizavimo ir vykdymo tvarka, mokymų dažnumo reikalavimai:

49.1. Saugos įgaliotiniui, kibernetinio saugumo vadovui, naudotojams ir administratoriams turi būti organizuojami mokymai elektroninės informacijos saugos ir kibernetinio saugumo klausimais.

49.2. Naudotojams turi būti įvairiais būdais (pvz., priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems naudotojams ir administratoriams ir pan.) primenama apie elektroninės informacijos saugos ar kibernetinio saugumo problemas.

49.3. Mokymai elektroninės informacijos saugos ir kibernetinio saugumo klausimais turi būti planuojami ir jų būdai parenkami atsižvelgiant į prioritetines elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), saugos įgaliotinio, kibernetinio saugumo vadovo, naudotojų ar administratorių poreikius.

49.4. Mokymai gali būti vykdomi tiesiogiai (pvz., paskaitos, seminarai, konferencijos ir kiti teminiai renginiai) arba nuotoliniu būdu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.).

49.5. Naudotojų ir administratorių mokymus gali vykdyti saugos įgaliotinis ar kitas SABIS valdytojo ar tvarkytojo darbuotojas, išmanantis elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, arba elektroninės informacijos saugos ir kibernetinio saugumo mokymų paslaugų teikėjas. Saugos įgaliotinio ir kibernetinio saugumo vadovo mokymus gali vykdyti tik aukštos kvalifikacijos elektroninės informacijos saugos ir kibernetinio saugumo mokymų paslaugų teikėjas.

49.6. Naudotojų mokymai turi būti organizuojami periodiškai, bet ne rečiau kaip kartą per dvejus metus.

49.7. Saugos įgaliotinio, kibernetinio saugumo vadovo ir administratorių mokymai turi būti organizuojami pagal poreikį.

49.8. Už mokymų organizavimą atsakingas saugos įgaliotinis.

V SKYRIUS

NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

50. Naudotojus su saugos dokumentais ar jų santrauka, atsakomybe už saugos dokumentų nuostatų pažeidimus supažindina saugos įgaliotinis.

51. Naudotojų supažindinimo su saugos dokumentais ar jų santrauka būdai turi būti pasirenkami atsižvelgiant į SABIS specifiką (pvz., SABIS ir jos naudotojų vietą, organizacinių ar techninių priemonių, leidžiančių identifikuoti su saugos dokumentais ar jų santrauka susipažinusį asmenį ir užtikrinančių supažindinimo procedūros įrodomąją (teisinę) galią, panaudojimo galimybes ir pan.). Naudotojai su saugos dokumentais ar jų santrauka turi būti supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą.

52. Pakartotinai su saugos dokumentais ar jų santrauka naudotojai supažindinami tik iš esmės pasikeitus SABIS arba elektroninės informacijos saugą ir kibernetinį saugumą reglamentuojantiems teisės aktams.

53. Tvarkyti elektroninę informaciją gali tik tie naudotojai, kurie yra susipažinę su saugos dokumentais ir sutikę laikytis jų reikalavimų.

54. Naudotojai atsako už SABIS ir joje tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą pagal savo kompetenciją. Naudotojai, administratoriai ir saugos įgaliotinis, pažeidę saugos dokumentų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

55. SABIS valdytojas Saugos nuostatus gali keisti savo arba saugos įgaliotinio iniciatyva. Saugos nuostatai turi būti derinami su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką. Keičiami Saugos nuostatai gali būti nederinami su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių saugos politiką, tais atvejais, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar elektroninės informacijos saugos politikos ir kibernetinio saugumo politikos nekeičiantys pakeitimai arba pakeitimai, susiję su teisės technika.

56. Patvirtinęs Saugos nuostatus ar jų pakeitimus, SABIS valdytojas Registrų ir valstybės informacinių sistemų registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2012 m. spalio 16 d. nutarimu Nr. 1263 „Dėl Registrų sąrašo reorganizavimo į Registrų ir valstybės informacinių sistemų registrą ir Registrų ir valstybės informacinių sistemų registro nuostatų patvirtinimo“, nustatyta tvarka pateikia šiam registrui reikiamus duomenis ar dokumentų kopijas.

57. Patvirtintų Saugos nuostatų ir jų pakeitimų kopijas SABIS valdytojas ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo turi pateikti į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

58. SABIS tvarkytojas Saugos nuostatus turi peržiūrėti ne rečiau kaip kartą per kalendorinius metus. Saugos nuostatai taip pat turi būti peržiūrimi atlikus SABIS rizikos vertinimą, ryšių ir SABIS rizikos vertinimą ar SABIS informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems SABIS valdytojo ar SABIS tvarkytojo pokyčiams.

______________________