Lietuvos Respublikos Vyriausybė
nutarimas
DĖL LIETUVOS RESPUBLIKOS VYRIAUSYBĖS 2013 M. LIEPOS 24 D. NUTARIMO NR. 716 „DĖL BENDRŲJŲ ELEKTRONINĖS INFORMACIJOS SAUGOS REIKALAVIMŲ APRAŠO, SAUGOS DOKUMENTŲ TURINIO GAIRIŲ APRAŠO IR VALSTYBĖS INFORMACINIŲ SISTEMŲ, REGISTRŲ IR KITŲ INFORMACINIŲ SISTEMŲ KLASIFIKAVIMO IR ELEKTRONINĖS INFORMACIJOS SVARBOS NUSTATYMO GAIRIŲ APRAŠO PATVIRTINIMO“ PAKEITIMO
2016 m. rugpjūčio 11 d. Nr. 826
Vilnius
1. Pakeisti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimą Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ ir jį išdėstyti nauja redakcija (Bendrųjų elektroninės informacijos saugos reikalavimų aprašas ir Saugos dokumentų turinio gairių aprašas nauja redakcija nedėstomi):
„LIETUVOS RESPUBLIKOS VYRIAUSYBĖ
NUTARIMAS
DĖL BENDRŲJŲ ELEKTRONINĖS INFORMACIJOS SAUGOS REIKALAVIMŲ APRAŠO, SAUGOS DOKUMENTŲ TURINIO GAIRIŲ APRAŠO IR ELEKTRONINĖS INFORMACIJOS, SUDARANČIOS VALSTYBĖS INFORMACINIUS IŠTEKLIUS, SVARBOS ĮVERTINIMO IR VALSTYBĖS INFORMACINIŲ SISTEMŲ, REGISTRŲ IR KITŲ INFORMACINIŲ SISTEMŲ KLASIFIKAVIMO GAIRIŲ APRAŠO PATVIRTINIMO
Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 4 straipsnio 3 ir 4 punktais, 18 straipsnio 3 dalimi, 30 straipsnio 2 ir 3 dalimis ir 43 straipsnio 2 dalimi, Lietuvos Respublikos Vyriausybė nutaria:
2. Pakeisti nurodytu nutarimu patvirtintą Bendrųjų elektroninės informacijos saugos reikalavimų aprašą:
2.2. Pakeisti 2 punktą ir jį išdėstyti taip:
2.3. Pakeisti 4 punktą ir jį išdėstyti taip:
„4. Apraše vartojamos sąvokos:
4.1. Elektroninė informacija – duomenys, dokumentai ir informacija, tvarkomi valstybės registruose, žinybiniuose registruose, valstybės informacinėse sistemose ir kitose informacinėse sistemose, kurias steigia, kuria ir (arba) tvarko valstybės institucijos, valstybės įstaigos, valstybės įmonės, viešosios įstaigos (toliau – informacinė sistema).
4.2. Elektroninės informacijos sauga – elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas.
4.3. Elektroninės informacijos saugos incidentas – įvykis ar veiksmas, kurie gali sudaryti neteisėto prisijungimo prie informacinės sistemos galimybę, sutrikdyti ar pakeisti informacinės sistemos veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas neleistinai elektroninę informaciją pasisavinti, paskleisti ar kitaip panaudoti.
4.4. Elektroninės informacijos saugos politika (toliau – saugos politika) – pagrindiniai elektroninės informacijos saugos užtikrinimo ir valdymo principai, reikalavimai, į kuriuos atsižvelgiant turi būti derinami informacinės sistemos veiklos ir naudojimo procesai, procedūros ir rengiami juos reglamentuojantys dokumentai. Saugos politika išdėstoma informacinės sistemos valdytojo tvirtinamuose Informacinės sistemos duomenų saugos nuostatuose (toliau – Saugos nuostatai).
4.5. Informacinės sistemos administratorius (toliau – administratorius) – institucijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis informacinę sistemą ir (ar) jos infrastruktūrą, užtikrinantis jos veikimą ir elektroninės informacijos saugą, ar kitas asmuo (asmenų grupė), kuriam (kuriai) Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos informacinės sistemos ir (ar) jos infrastruktūros priežiūros funkcijos (toliau – paslaugų teikėjas).
4.6. Informacinės sistemos naudotojas – institucijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, ar kitas asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją.
4.7. Informacinės sistemos saugos įgaliotinis (toliau – saugos įgaliotinis) – institucijos valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis saugos politikos įgyvendinimą informacinėje sistemoje.
4.8. Konfidencialumas – elektroninės informacijos savybė – su informacinėje sistemoje tvarkoma elektronine informacija gali susipažinti tik tą daryti įgalioti asmenys.
4.9. Prieinamumas – elektroninės informacijos savybė – elektroninė informacija gali būti tvarkoma reikiamu metu.
4.10. Vientisumas – elektroninės informacijos savybė – elektroninė informacija nebuvo atsitiktinai ar neteisėtai pakeista ar sunaikinta.
2.5. Pakeisti 6 punktą ir jį išdėstyti taip:
„6. Užtikrinant elektroninės informacijos saugą, rekomenduojama vadovautis Lietuvos standartais LST ISO/IEC 27001:2013 ir LST ISO/IEC 27002:2014, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų elektroninės informacijos tvarkymą.“
2.6. Pakeisti 7 punkto pirmąją pastraipą ir ją išdėstyti taip:
2.7. Pakeisti 8 punktą ir jį išdėstyti taip:
„8. Aprašo 7.2–7.4 papunkčiuose nurodytus saugos dokumentus (toliau – saugos politiką įgyvendinantys dokumentai) tvirtina informacinės sistemos valdytojas po to, kai patvirtina su Vidaus reikalų ministerija suderintus Saugos nuostatus. Kai Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 5 punkte nustatytu atveju informacinė sistema steigiama Lietuvos Respublikos Vyriausybės nutarimu, Lietuvos Respublikos Vyriausybė gali priimti ir nutarimą dėl Aprašo 7 punkte nurodytų dokumentų tvirtinimo.“
2.8. Pakeisti 9 punktą ir jį išdėstyti taip:
„9. Vidaus reikalų ministerijai teikiamus derinti Aprašo 7 punkte nurodytų dokumentų projektus, be rengėjo, turi vizuoti ir informacinės sistemos valdytojo vadovas. Aprašo 8 punkte nurodytu atveju parengtas Lietuvos Respublikos Vyriausybės nutarimo dėl Aprašo 7 punkte nurodytų dokumentų tvirtinimo projektas derinamas Lietuvos Respublikos Vyriausybės darbo reglamento, patvirtinto Lietuvos Respublikos Vyriausybės 1994 m. rugpjūčio 11 d. nutarimu Nr. 728 „Dėl Lietuvos Respublikos Vyriausybės darbo reglamento patvirtinimo“, nustatyta tvarka.“
2.9. Pakeisti 10 punktą ir jį išdėstyti taip:
„10. Vidaus reikalų ministerija išvadas, pastabas ir pasiūlymus dėl Aprašo 7 punkte nurodytų dokumentų projektų turi pateikti per 10 darbo dienų, esant didelės apimties teisės aktų projektams (daugiau kaip 10 puslapių teksto) – per 15 darbo dienų, o pakartotinai pateikus derinti Aprašo 7 punkte nurodytų dokumentų projektus – per 5 darbo dienas nuo jų gavimo.“
2.10. Pakeisti 12 punktą ir jį išdėstyti taip:
2.11. Pakeisti 14 punktą ir jį išdėstyti taip:
„14. Patvirtinęs Saugos nuostatus ar jų pakeitimus, informacinės sistemos valdytojas Registrų ir valstybės informacinių sistemų registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2012 m. spalio 16 d. nutarimu Nr. 1263 „Dėl Registrų sąrašo reorganizavimo į Registrų ir valstybės informacinių sistemų registrą ir Registrų ir valstybės informacinių sistemų registro nuostatų patvirtinimo“, nustatyta tvarka pateikia šiam registrui reikiamus duomenis ar dokumentų kopijas.“
2.12. Pakeisti 15 punktą ir jį išdėstyti taip:
„15. Patvirtintų saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas informacinės sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai vidaus reikalų ministro patvirtintų valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.“
2.14. Pakeisti 21 punktą ir jį išdėstyti taip:
„21. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti elektroninės informacijos saugos srities kvalifikaciją, darbe vadovautis Aprašo, kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reglamentuojančiomis elektroninės informacijos saugą.“
2.15. Pakeisti 22.6 papunktį ir jį išdėstyti taip:
2.18. Pakeisti 35 punktą ir jį išdėstyti taip:
„35. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, kuri skelbiama Vidaus reikalų ministerijos interneto svetainėje (http://vrm.lrv.lt/uploads/vrm/documents/files/Rizikos_analize.pdf), Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja visų informacinių sistemų rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį informacinių sistemų rizikos įvertinimą. Informacinės sistemos valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį, rašytiniu pavedimu informacinių sistemų rizikos įvertinimą gali atlikti pats saugos įgaliotinis.“
2.19. Pakeisti 36.3 papunktį ir jį išdėstyti taip:
„36.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.“
2.20. Pakeisti VI skyriaus pavadinimą ir jį išdėstyti taip:
2.21. Pakeisti VII skyriaus pavadinimą ir jį išdėstyti taip:
3. Pakeisti nurodytu nutarimu patvirtintą Saugos dokumentų turinio gairių aprašą:
3.2. Pakeisti 2 punktą ir jį išdėstyti taip:
3.3. Pakeisti II skyriaus pavadinimą ir jį išdėstyti taip:
3.4. Pakeisti 3.6 papunktį ir jį išdėstyti taip:
3.5. Pakeisti III skyriaus pavadinimą ir jį išdėstyti taip:
3.6. Pakeisti IV skyriaus pavadinimą ir jį išdėstyti taip:
3.7. Pakeisti 5.3.2 papunktį ir jį išdėstyti taip:
3.8. Pakeisti 5.3.3 papunktį ir jį išdėstyti taip:
4. Nustatyti, kad Lietuvos Respublikos Vyriausybės nutarimuose nuorodos į Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, atstoja nuorodas į Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašą.
PATVIRTINTA
Lietuvos Respublikos Vyriausybės
2013 m. liepos 24 d. nutarimu Nr. 716
(Lietuvos Respublikos Vyriausybės,
2016 m. rugpjūčio 11 d. nutarimo Nr. 826
redakcija)
ELEKTRONINĖS INFORMACIJOS, sudarančios valstybės informAcinius išteklius, SVARBOS ĮVERTINIMO IR valstybės informacinių sistemų, registrų iR kitų informacinių sistemų klasifikavimo gairIŲ APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas (toliau – Aprašas) nustato elektroninės informacijos (toliau – informacija), sudarančios valstybės informacinius išteklius, svarbos nustatymo kriterijus, valstybės informacinių sistemų, registrų ir kitų informacinių sistemų (toliau – informacinės sistemos) klasifikavimo pagal informacijos svarbą tvarką.
3. Apraše vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos mobilizacijos ir priimančiosios šalies paramos įstatyme, Lietuvos Respublikos Vyriausybės patvirtintame Bendrųjų elektroninės informacijos saugos reikalavimų apraše (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas).
II SKYRIUS
INFORMACIJOS SVARBOS ĮVERTINIMAS
4. Informacijos svarba nustatoma pagal jos konfidencialumo, vientisumo ir (ar) prieinamumo galimo praradimo neigiamą poveikį valstybės ir Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 1 straipsnio 3 dalyje nurodytų institucijų (toliau – institucijos) veiklai.
5. Informacijos konfidencialumo, vientisumo ir (ar) prieinamumo galimo praradimo neigiamas poveikis įvertinamas vadovaujantis šiais kriterijais:
5.2. gyvybiškai svarbių valstybės funkcijų, nurodytų Gyvybiškai svarbių valstybės funkcijų sąraše, patvirtintame Lietuvos Respublikos Vyriausybės 2012 m. gegužės 29 d. nutarimu Nr. 631 „Dėl Gyvybiškai svarbių valstybės funkcijų sąrašo patvirtinimo“ (toliau – gyvybiškai svarbios valstybės funkcijos), sutrikdymo mastas: visos valstybės, keliems ministrams ar vienam ministrui pavestų valdymo sričių;
6. Įvertinus informacijos konfidencialumo, vientisumo ir (ar) prieinamumo galimo praradimo neigiamą poveikį, informacija priskiriama vienai iš 4 kategorijų:
7. Ypatingos svarbos informacijos kategorijai priskiriama informacija, jeigu ji atitinka bent 2 iš šių kriterijų, tai yra jeigu dėl informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimo gali kilti grėsmė, kad prasidės procesai, galintys:
7.1. sukelti pavojų žmogaus gyvybei arba kitaip pažeisti daugiau nei pusės valstybės gyventojų kitas teises ir teisėtus interesus;
7.2. lemti, kad nebus atliekama (-os) kuri nors (kurios nors) gyvybiškai svarbi (-ios) valstybės funkcija (-os) visos valstybės mastu;
7.5. sukelti pavojų valstybės suverenitetui, teritorijos vientisumui ir konstitucinei santvarkai ar viešajam saugumui daugiau nei 5 apskrityse;
8. Svarbios informacijos kategorijai priskiriama informacija, jeigu ji atitinka bent 2 iš šių kriterijų, tai yra jeigu dėl informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimo gali kilti grėsmė, kad prasidės procesai, galintys:
8.1. sudaryti sąlygas kilti pavojui žmogaus gyvybei arba sukelti pavojų žmogaus sveikatai ar kitaip pažeisti daugiau kaip 5 procentų, bet ne daugiau nei pusės valstybės gyventojų kitas teises ir teisėtus interesus;
8.2. lemti, kad nebus atliekama (-os) kuri nors (kurios nors) gyvybiškai svarbi (-ios) funkcija (-os) daugiau nei vienam ministrui pavestose valdymo srityse;
8.3. vienai ar kelioms institucijoms padaryti finansinių nuostolių, didesnių nei 300 000 eurų, bet ne didesnių nei 3 000 000 eurų;
9. Vidutinės svarbos informacijos kategorijai priskiriama informacija, jeigu ji atitinka bent 2 iš šių kriterijų, tai yra jeigu dėl informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimo gali kilti grėsmė, kad prasidės procesai, galintys:
9.1. pažeisti daugiau nei 1 procento, bet ne daugiau nei 5 procentų valstybės gyventojų teises ir teisėtus interesus;
9.2. lemti, kad nebus atliekama (-os) kuri nors (kurios nors) gyvybiškai svarbi (-ios) funkcija (-os) vienam ministrui pavestoje valdymo srityje;
9.3. vienai ar kelioms institucijoms padaryti finansinių nuostolių, didesnių nei 30 000 eurų, bet ne didesnių nei 300 000 eurų;
10. Mažiausios svarbos informacijos kategorijai priskiriama informacija, kuri nepatenka į Aprašo 6.1–6.3 papunkčiuose nurodytas kategorijas.
11. Finansinės žalos verčių, nurodytų Aprašo 7.3, 7.6, 8.3, 8.6, 9.3, 9.6 papunkčiuose, nustatymo principai:
11.1. įvertinama tiesioginė žala, atsižvelgiant į šiuos aspektus:
11.1.1. galimos tiesioginės informacijos konfidencialumo, vientisumo ir prieinamumo visiško atkūrimo sąnaudos;
11.2. įvertinama netiesioginė žala, atsižvelgiant į šiuos aspektus:
11.2.1. nuostoliai ir žala, kuriuos patirtų tiesiogiai organizaciškai ir technologiškai susiję institucijos ir ūkio subjektai; nustatomas susijusių subjektų kiekis ir galimos žalos kiekvienai subjektų grupei vidutinis dydis, jeigu tokias grupes tikslinga išskirti; suskaičiuotos grupių nuostolių vertės sudedamos;
11.2.2. nuostoliai ir žala, kurią netiesiogiai patirtų kiti subjektai, susiję per tiesiogiai organizaciškai ir technologiškai susijusias institucijas ir ūkio subjektus; nustatomas susijusių subjektų kiekis ir galimos žalos kiekvienai subjektų grupei vidutinis dydis, jeigu tokias grupes tikslinga išskirti atskirai; suskaičiuotos grupių nuostolių vertės sudedamos;
III SKYRIUS
INFORMACINIŲ SISTEMŲ KLASIFIKAVIMAS pagal informacijos svarbĄ
12. Informacinės sistemos pagal jose tvarkomos informacijos svarbą skirstomos į 4 kategorijas (pirmoji – aukščiausioji, ketvirtoji – žemiausioji kategorija):
12.1. pirmajai kategorijai priskiriamos informacinės sistemos, kuriose tvarkoma ypatingos svarbos informacija;
12.3. trečiajai kategorijai priskiriamos informacinės sistemos, kuriose tvarkoma vidutinės svarbos informacija;
IV SKYRIUS
INFORMACIJOS IR INFORMACINĖS SISTEMOS PRISKYRIMAS SVARBOS KATEGORIJAI
13. Informacinėje sistemoje tvarkomos informacijos svarbą vertina šios informacinės sistemos valdytojas, vadovaudamasis Aprašo nuostatomis, ir informacinėje sistemoje tvarkomos informacijos ir informacinės sistemos svarbos kategorijas nurodo rengiamame informacinės sistemos duomenų saugos nuostatų projekte.
14. Informacinės sistemos valdytojas, Bendrųjų elektroninės informacijos saugos reikalavimų apraše nustatyta tvarka teikdamas derinti informacinės sistemos duomenų saugos nuostatų projektą Lietuvos Respublikos vidaus reikalų ministerijai (toliau – Vidaus reikalų ministerija), lydimuosiuose dokumentuose pagrindžia informacinėje sistemoje tvarkomos informacijos priskyrimą konkrečiai svarbos kategorijai, atsižvelgdamas į konkrečios informacinės sistemos ypatumus, sąsajas su kitomis informacinėmis sistemomis ir jų vartotojų interesais.
15. Vidaus reikalų ministerija, derindama informacinės sistemos duomenų saugos nuostatų projektą, įvertina informacinės sistemos valdytojo atliktą informacinėje sistemoje tvarkomos informacijos priskyrimo konkrečiai svarbos kategorijai pagrįstumą ir prireikus pateikia savo išvadas. Vidaus reikalų ministerija turi teisę paprašyti papildomos informacijos, pagrindžiančios informacinėje sistemoje tvarkomos informacijos priskyrimą konkrečiai svarbos kategorijai.