LIETUVOS RESPUBLIKOS

SOCIALINĖS APSAUGOS IR DARBO MINISTRAS

ĮSAKYMAS

DĖL SAUGAUS Socialinės paramos šeimai informacinės sistemos elektroninės informacijos tvarkymo TAISYKLIŲ PATVIRTINIMO

2021 sausio 4 d. Nr. A1-2

Vilnius

Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 43 straipsnio 2 dalimi, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 8 punktu:

1. T v i r t i n u Saugaus Socialinės paramos šeimai informacinės sistemos elektroninės informacijos tvarkymo taisykles (pridedama).

2. P a v e d u šio įsakymo vykdymo kontrolę ministerijos kancleriui.

Socialinės apsaugos ir darbo ministrė Monika Navickienė

PATVIRTINTA

Lietuvos Respublikos socialinės apsaugos

ir darbo ministro 2021 m. sausio 4 d.

įsakymu Nr. A1-2

Saugaus socialinės paramos šeimai informacinės sistemos elektroninės informacijos tvarkymo

TAISYKLĖS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Saugaus Socialinės paramos šeimai informacinės sistemos elektroninės informacijos tvarkymo taisyklės (toliau – Tvarkymo taisyklės) reglamentuoja Socialinės paramos šeimai informacinėje sistemoje (toliau – SPIS) tvarkomos elektroninės informacijos kategorijas, nustato tvarką, užtikrinančią saugų techninės, programinės įrangos funkcionavimą, elektroninės informacijos tvarkymą ir jos teikimą kitoms institucijoms.

2. Tvarkos taisyklės privalomos SPIS naudotojams ir administratoriams. Už Tvarkymo taisyklių įgyvendinimo organizavimą ir kontrolę atsako SPIS saugos įgaliotinis.

3. Tvarkymo taisyklėse vartojamos sąvokos:

3.1. SPIS administratorius – SPIS valdytojo pasitelktas paslaugų teikėjas, SPIS valdytojo vardu tvarkantis SPIS;

3.2. SPIS techninis administratorius – SPIS valdytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį (toliau kartu ‒ darbuotojas), arba SPIS valdytojo pasitelktas paslaugų teikėjas, SPIS infrastruktūros, kompiuterinės įrangos saugos ir priežiūros administratorius.

3.3. SPIS SI administratorius – savivaldybės institucijos (toliau – SI) darbuotojas atliekantis SPIS SI administratoriaus funkcijas;

3.4. SPIS administratorius, SPIS techninis administratorius ir SPIS SI administratorius kartu – administratoriai;

3.5. SPIS SI naudotojas - SPIS asmens duomenų tvarkytojas, savivaldybės institucijos (toliau – SI) darbuotojas, atliekantis SPIS SI naudotojo funkcijas;

3.6. SPIS VI naudotojas - SPIS asmens duomenų tvarkytojo SPIS duomenų gavėjo, įskaitant kitų įstaigų, pagal asmens duomenų tvarkymo ir duomenų teikimo sutartis tvarkančių gaunančių SPIS duomenis darbuotojas, atliekantis SPIS VII naudotojo funkcijas;

3.7. SPIS SI naudotojas ir SPIS VI naudotojas kartu – SPIS naudotojai.

4. Kitos Tvarkymo taisyklėse naudojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ “, kituose Lietuvos Respublikos įstatymuose ir Lietuvos standartuose LST ISO/IEC 27001:2017 ir LST ISO/IEC 27002:2017., , Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau ‒ Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas), Socialinės paramos šeimai informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2008 m. gegužės 29 d. įsakymu Nr. A1-172 „Dėl Socialinės paramos šeimai informacinės sistemos nuostatų ir Socialinės paramos šeimai informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau – SPIS nuostatai), Socialinės paramos šeimai informacinės sistemos duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2008 m. gegužės 29 d. įsakymu Nr. A1-172 „Dėl Socialinės paramos šeimai informacinės sistemos nuostatų ir Socialinės paramos šeimai informacinės sistemos duomenų saugos nuostatų patvirtinimo“ (toliau ‒ SPIS duomenų saugos nuostatai), ir kituose teisės aktuose naudojamas sąvokas.

5. Visa SPIS tvarkoma elektroninė informacija (jos sąrašas) nurodyta SPIS nuostatų III-IV skyriuose.

6. SPIS tvarkoma elektroninė informacija, atsižvelgiant į už jos tvarkymą atsakingų naudotojų grupes, yra skirstoma į šias kategorijas:

6.1. SPIS administratoriaus tvarkoma informacija:

6.1.1. SPIS klasifikatoriai,

6.1.2. SPIS naudotojų rolės,

6.1.3. SPIS SI administratorių teisės,

6.1.4. SPIS VI naudotojų teisės;

6.2. SPIS SI administratoriaus tvarkoma informacija:

6.2.1. SPIS SI naudotojų teisės,

6.2.2. SPIS SI naudotojų rolės;

6.3. SPIS naudotojų tvarkoma informacija – SPIS nuostatų III skyriuje nurodyta informacija.

7. SPIS naudotojams negali būti suteikiamos administratoriaus teisės.

8. SPIS priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą SPIS administravimo paskyrą, kuria naudojantis negalima atlikti SPIS naudotojo funkcijų.

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

9. SPIS kompiuterinės įrangos saugos užtikrinimo priemonės:

9.1. visose SPIS tarnybinėse stotyse ir SPIS kompiuterizuotose darbo vietose įdiegta ir reguliariai atnaujinama virusų ir kenkėjiško kodo aptikimo bei šalinimo programinė įranga, skirta tikrinti kompiuterius ir išorines laikmenas;

9.2. kompiuterizuotose darbo vietose naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, kurios reguliariai atnaujinamos;

9.3. visa SPIS kompiuterinė įranga privalo turėti šios įrangos gamintojų garantinį arba pratęstą pogarantinį aptarnavimą;

9.4. kvalifikuoti specialistai atlieka SPIS kompiuterinės įrangos prižiūrą ir gedimų šalinimą laikantis gamintojo rekomendacijų;

9.5. kompiuterinėje įrangoje naudojama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga, kurios sąrašas peržiūrimas kartą per metus ir prireikus atnaujinamas;

9.6. patalpose, kuriose yra techninė įranga, užtikrintos gamintojo nustatytos techninės įrangos veikimo sąlygos, įranga prižiūrima ir eksploatuojama pagal gamintojo rekomendacijas;

9.7. SPIS tarnybinių stočių įrangos keitimas gali būti atliekamas tiktai gavus Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos (toliau ‒ Ministerija), kaip SPIS valdytojos, Informacinių technologijų skyriaus vedėjo raštišką sutikimą. SPIS kompiuterinės įrangos diegimą, keitimą ir gedimų šalinimą atlieka SPIS valdytojo vadovo įgalioti kvalifikuoti Ministerijos Informacinių technologijų skyriaus darbuotojai arba informacinių technologijų paslaugas pagal sutartį teikiančios įmonės (toliau – paslaugų teikėjas) specialistai. Visi svarbiausi SPIS kompiuterinės įrangos gedimai ir keitimai yra registruojami SPIS techninio administratoriaus

9.8. iš kompiuterinės įrangos, kuri perduota remontui ar techninei priežiūrai, turi būti pašalinta visa riboto naudojimo elektroninė informacija;

9.9. paslaugų tarnybinės stotys ir duomenų perdavimo tinklo mazgai apsaugoti nuo elektros srovės nutrūkimo ir svyravimų, naudojant rezervinius elektros įvadus, vietinis elektros generatorius turi turėti rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne mažiau kaip 30 min.;

9.10. kompiuterinė aparatinė įranga turi būti apsaugota nuo neteisėtos prieigos, jos sugadinimo ar neteisėto poveikio;

9.11. ryšių kabeliai apsaugoti nuo neteisėto prisijungimo ir pažeidimo;

9.12. SPIS turi perspėti SPIS techninį administratorių, kai SPIS tarnybinėse stotyse iki nustatytos pavojingos ribos sumažėja laisvos operatyviosios atminties, vietos diske (diskuose) ar duomenų saugykloje, ilgą laiką SPIS tarnybinių stočių procesoriai ar kompiuterių tinklo sąsaja apkraunami daugiau kaip 80 proc.;

9.13. pagrindinės tarnybinės stotys ir svarbiausi duomenų perdavimo tinklo mazgai ir ryšio linijos turi būti dubliuoti ir jų techninė būklė nuolat stebima;

9.14. kitos SPIS kompiuterinės įrangos saugos užtikrinimo priemonės nustatytos SPIS duomenų saugos nuostatuose;

10. Sisteminės ir taikomosios programinės įrangos saugos priemonės:

10.1. SPIS naudojama tiktai legali, autorizuota ir saugi sisteminė ir taikomoji programinė įranga;

10.2. programinę įrangą turi diegti tik SPIS valdytojo vadovo įgalioti asmenys;

10.3. SPIS programinės įrangos priežiūrą ir gedimų šalinimą atlieka kvalifikuoti specialistai;

10.4. programinės įrangos konfigūravimas yra apsaugotas slaptažodžiu;

10.5. programinė įranga testuojama tik tam skirtoje testavimo aplinkoje;

10.6. pirminiai slaptažodžiai, suteikiantys teisę dirbti su SPIS programine įranga, žinomi tik SPIS valdytojo ir saugomi seife užklijuotame voke;

10.7. atsarginės laikmenos su SPIS programinės įrangos kopijomis turi būti laikomos nedegioje spintoje, kitose patalpose arba kitame pastate nei yra SPIS tarnybinės stotys;

10.8. SPIS naudotojų ir administratorių kompiuterinėje įrangoje turi būti naudojama tik darbo funkcijoms atlikti reikalinga programinė įranga (SPIS saugos įgaliotinis turi parengti, su SPIS valdytoju suderinti ir ne rečiau kaip kartą per metus peržiūrėti bei prireikus atnaujinti leistinos programinės įrangos sąrašą);

10.9. SPIS tarnybinėse stotyse ir SPIS naudotojų, administratorių kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingosios programinės įrangos aptikimo, stebėjimo realiu laiku priemonės. Šios priemonės automatiškai turi informuoti SPIS techninį administratorių apie tai, kuriems SPIS posistemiams, funkciškai savarankiškoms sudedamosioms dalims yra pradelstas kenksmingosios programinės įrangos aptikimo priemonių atsinaujinimo laikas. SPIS komponentai be kenksmingo programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu yra patvirtinama, kad šių komponentų rizika yra priimtina;

10.10. operatyviai ištestuojami ir įdiegiami SPIS tarnybinių stočių ir SPIS naudotojų darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos programinės įrangos gamintojų rekomenduojami atnaujinimai. SPIS techninis administratorius reguliariai, ne rečiau kaip kartą per savaitę, turi įvertinti informaciją apie SPIS posistemiams, funkciškai savarankiškoms sudedamosioms dalims, SPIS naudotojų darbo vietų kompiuterinei įrangai neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumų svarbos lygius;

10.11. SPIS sisteminės ir taikomosios programinės įrangos apsaugai nuo virusų ir kitų kenkėjiškų programų naudojama specializuota, nuolat automatiškai atnaujinama antivirusinė programinė įranga;

10.12. taikomos programinės priemonės SPIS naudotojų ir administratorių tapatybei ir jų veiksmams su SPIS nustatyti;

10.13. pagrindinėse SPIS tarnybinėse stotyse naudojamos vykdomo kodo kontrolės priemonės, automatiškai atribojančios ar informuojančios apie neautorizuoto programinio kodo vykdymą;

10.14. įvykus įtartinai veiklai, tai turi būti užfiksuojama audito įrašuose ir automatizuotai kuriamas pranešimas SPIS techniniam administratoriui;

10.15. sukurtą pranešimą SPIS techninis administratorius klasifikuoja pagal užfiksuotą įvykį ir priskiria didelės, vidutinės reikšmės arba nereikšmingam kibernetiniam incidentui;

10.16. įsilaužimo aptikimo techninio sprendinio įgyvendinimas, konfigūracija ir kibernetinių incidentų aptikimo taisyklės turi būti saugomos elektronine forma atskirai nuo SPIS techninės įrangos, kartu vedant įrašus, kuriuose nurodomos atitinkamų įvykių datos (įgyvendinimo, atnaujinimo, atitinkamų priemonių taikymo ir pan.), darbus atlikę atsakingi asmenys (pareigos, vardas, pavardė), priemonių taikymo periodai).

10.17. SPIS naudotojų ir administratorių slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai nustatyti Socialinės paramos šeimai informacinės sistemos naudotojų administravimo taisyklėse, tvirtinamose socialinės apsaugos ir darbo ministro (toliau ‒ Naudotojų administravimo taisyklės);

10.18. kitos saugos priemonės, susijusios su SPIS programinės įrangos sauga, nustatytos SPIS duomenų saugos nuostatuose.

11. Duomenų perdavimo tinklais saugumo užtikrinimo priemonės:

11.1. tarnybinės stotys, kompiuterizuotos darbo vietos ir kita kompiuterinė įranga, įjungta į elektroninės informacijos perdavimo tinklą, yra atskirta nuo viešųjų telekomunikacinių tinklų naudojant ugniasienes;

11.2. SPIS elektroninės informacijos perdavimo tinklas yra segmentuotas pagal SPIS sudedamųjų dalių atliekamas funkcijas ir turi priskirtus IP adresų intervalus:

11.3. paslaugų tarnybinių stočių tinklas, skirtas taikomųjų programų tarnybinėms stotims;

11.4. SPIS kompiuterizuotų darbo vietų tinklai, skirti nutolusių SPIS naudotojų kompiuterinėms darbo vietoms ir kompiuterinei įrangai;

11.5. SPIS kūrimo, tobulinimo ir testavimo tinklas, skirtas naudojamoms tarnybinėms stotims ir duomenų bazių testavimo tarnybinėms stotims testuoti;

11.6. SPIS administratorių tinklas, skirtas darbuotojų, turinčių SPIS ir (ar) tarnybinių stočių administratoriaus teises, kompiuterizuotoms darbo vietoms;

11.7. SPIS elektroninės informacijos perdavimo tinklo aptarnavimo ir saugumo potinklis, skirtas tinklo stebėjimo, aptarnavimo, antivirusinių sistemų tarnybinėms stotims;

11.8. demilitarizuotosios zonos tinklas, skirtas tarnybinėms stotims, kurios turi ryšį su viešaisiais telekomunikacijų tinklais;

11.9. demilitarizuotoji zona tiek nuo išorinio, tiek nuo vidinio elektroninės informacijos perdavimo tinklo atskirta ugniasienėmis;

11.10. nutolę SPIS naudotojai perduoda informaciją naudodami saugias ryšio linijas;

11.11. SPIS taikomas elektroninės informacijos perdavimo tinklo trijų lygių saugumas – išorė, taikomosios programos, duomenų bazės, kiekvieną iš lygių atskiriant ugniasienėmis;

11.12. jungimasis prie SPIS iš viešųjų telekomunikacijų tinklų yra griežtai kontroliuojamas ir atliekamas tik per tarpines tarnybines stotis;

11.13. keitimasis informacija su kitais registrais ir informacinėmis sistemomis galimas tik naudojant saugius šifruotus ryšio kanalus (VPN, SSL) ir/ar tarpines tarnybines stotis;

11.14. informacinės sistemos tinkle turi būti įdiegtos ir veikti automatinės įsilaužimo aptikimo sistemos;

11.15. SPIS tinklo perimetro apsaugai naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių SPIS naudotojų kompiuterinę įrangą nuo kenksmingo kodo.

12. Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

12.1. siekiant užtikrinti SPIS saugomos ir apdorojamos elektroninės informacijos konfidencialumą ir vientisumą, šios informacijos teikimas bei priėmimas vykdomas naudojant saugų valstybinį duomenų perdavimo tinklą, naudojant šifravimą ir kitas saugumo užtikrinimo priemones;

12.2. SPIS naudotojų tapatybei nustatyti ir tiesioginei prieigai prie SPIS elektroninės informacijos kontroliuoti naudojama prisijungimo vardų, slaptažodžių ir teisių sistema bei VIISP tapatybės nustatymo paslauga;

12.3. prisijungimo prie SPIS vardai ir pirminio prisijungimo slaptažodžiai žinomi tik SPIS administratoriui ir SPIS SI administratoriui, kurie suteikia prieigas tam SPIS naudotojui ar administratoriui, kuriam jie yra skirti;

12.4. SPIS programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: struktūrizuotų užklausų kalbos įskverbties (angl. SQL injection), įterptinių instrukcijų atakų (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), paskirstyto atsisakymo aptarnauti (angl. DDOS) ir kitų, priemonės; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org ir kitos kenksmingos programinės įrangos;

12.5. SPIS tarnybinės stotys nuo grėsmių iš interneto yra apsaugotos užkardomis;

12.6. SPIS elektroninės informacijos perdavimo tinklas yra atskirtas nuo viešųjų ryšių tinklų naudojant ugniasienę. Pagrindinėse SPIS tarnybinėse stotyse turi būti įjungtos ugniasienės, sukonfigūruotos praleisti tik su SPIS funkcionalumu ir administravimu susijusį duomenų srautą;

12.7. ugniasienių žurnalai (angl. Logs) turi būti reguliariai analizuojami, o ugniasienės saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos. Ugniasienių konfigūracijų dokumentacija yra saugoma kartu su SPIS dokumentacija;

12.8. viešai prieinami SPIS duomenys talpinami atskirame kompiuterių potinklyje – demilitarizuotoje zonoje;

12.9. tarnybinės stotys apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto). Apsaugai naudojama programinė įranga atsinaujina automatiškai ne rečiau kaip kartą per parą;

12.10. kitos SPIS elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės nustatytos SPIS duomenų saugos nuostatuose.

12.11. Mobiliųjų įrenginių naudojimo tvarka):

12.11.1. leidžiama naudoti tik leistinus mobiliuosius įrenginius, atitinkančius SPIS valdytojo nustatytus saugumo reikalavimus;

12.11.2. turi būti tikrinami naudojami mobilieji įrenginiai, SPIS kibernetinio saugumo vadovui (toliau – Kibernetinio saugumo vadovas) raštu ar elektroninėmis ryšio priemonėmis pranešama apie neleistinus ar saugumo reikalavimų neatitinkančius mobiliuosius įrenginius (

12.11.3. turi būti naudojamos priemonės, kurios automatiškai apribotų neleistinus ar saugumo reikalavimų neatitinkančius mobiliuosius įrenginius ar Kibernetinio saugumo vadovą informuotų apie neleistinos mobiliosios įrangos prijungimą prie SPIS;

12.11.4. mobiliuosiuose įrenginiuose privalo būti naudojamos centralizuotai valdomos ir atnaujinamos kenkimo programinės įrangos aptikimo, užkardymo ir stebėjimo realiuoju laiku priemonės;

12.11.5. mobiliuosiuose įrenginiuose turi būti naudojamos vykdomojo kodo (angl. Executable code) kontrolės priemonės, automatiškai apribojančios neleistino vykdomojo kodo naudojimą ar SPIS techninį administratorių informuojančios apie neleistino vykdomojo kodo naudojimą;

12.11.6. turi būti parengti mobiliųjų įrenginių operacinių sistemų atvaizdai su saugumo nuostatomis. Atvaizde turi būti nustatyti tik veiklai būtini operacinių sistemų komponentai (administravimo paskyros, paslaugos (angl. Services), taikomosios programos, tinklo prievadai, atnaujinimai, sisteminės priemonės). Atvaizdai turi būti reguliariai peržiūrimi ir atnaujinami, iškart atnaujinami nustačius naujų pažeidžiamumų ar atakų;

12.11.7. pagal parengtus atvaizdus į mobiliuosius įrenginius turi būti įdiegiama operacinė sistema su saugumo nuostatomis;

12.11.8. mobilieji įrenginiai, kuriais naršoma internete, privalo būti apsaugoti nuo judriųjų programų (angl. Mobile code) keliamų grėsmių;

12.11.9. prie mobiliųjų įrenginių draudžiama prijungti kitus SPIS nepriklausančius įrenginius;

12.11.10. SPIS valdytojo sprendimu prie mobiliųjų įrenginių gali būti jungiami kiti įrenginiai. SPIS techninio administratoriaus parengtą, su Kibernetinio saugumo vadovu suderintą leistinų jungti įrenginių sąrašą tvirtina SPIS valdytojas;

12.11.11. duomenys, tarp mobiliojo įrenginio ir SPIS, perduodami naudojant saugius šifruotus ryšio kanalus (VPN, SSL);

12.11.12. jungiantis prie SPIS išteklių, turi būti patvirtinamas tapatumas;

12.11.13. mobiliajame įrenginyje ar jo taikomojoje programinėje įrangoje turi būti uždrausta automatiškai išsaugoti slaptažodį;

12.11.14. mobilusis įrenginys, kuriuo nesinaudojama nustatytą laiką, naudotojui neatliekant jokių veiksmų 5 (penkias) min. , turi automatiškai užsirakinti;

12.11.15. mobiliuosiuose įrenginiuose privalo būti įdiegtos priemonės, leisiančios nuotoliniu būdu neatkuriamai ištrinti duomenis;

12.11.16. turi būti užtikrinta kompiuterinių laikmenų apsauga;

12.11.17. turi būti šifruojami duomenys tiek mobiliųjų įrenginių laikmenose, tiek išorinėse kompiuterinėse laikmenose.

12.12. Leidžiama naudoti tik su Kibernetinio saugumo vadovu suderintus belaidžio tinklo įrenginius, atitinkančius techninius kibernetinio saugumo reikalavimus.

12.13. Turi būti vykdoma belaidžių įrenginių kontrolė:

12.13.1. jei eksploatuojami belaidžiai įrenginiai, Kibernetinio saugumo vadovui raštu ar elektroninėmis ryšio priemonėmis pranešama apie neleistinus ar techninių kibernetinio saugumo reikalavimų neatitinkančius belaidžius įrenginius);

12.13.2. naudojamos priemonės, kurios automatiškai apribotų neleistinus ar saugumo reikalavimų neatitinkančius belaidžius įrenginius arba informuotų Kibernetinio saugumo vadovą;

12.13.3. leidžiama naudoti tik su Kibernetinio saugumo vadovu suderintus belaidės prieigos taškus, atitinkančius techninius kibernetinio saugumo reikalavimus;

12.13.4. belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, kontroliuojamoje zonoje;

12.13.5. prisijungiant prie belaidžio tinklo, turi būti taikomas naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) / TLS (angl. Transport Layer Security) protokolas;

12.13.6. turi būti uždrausta belaidėje sąsajoje naudoti SNMP (angl. Simple Network Management Protocol) protokolą;

12.13.7. turi būti uždrausti visi nebūtini valdymo protokolai;

12.13.8. turi būti išjungti nenaudojami TCP (angl. Transmission Control Protocol) / UDP (angl. User Datagram Protocol) prievadai;

12.13.9. turi būti uždraustas lygiarangis (angl. peer to peer) funkcionalumas, neleidžiantis belaidžiais įrenginiais tarpusavyje palaikyti ryšį;

12.13.10. belaidis ryšys turi būti šifruojamas mažiausiai 128 bitų ilgio raktu;

12.13.11. prieš pradedant šifruoti belaidį ryšį, turi būti pakeisti belaidės prieigos stotelėje standartiniai gamintojo raktai;

12.13.12. kompiuteriuose, mobiliuosiuose įrenginiuose turi būti išjungta belaidė prieiga, jeigu jos nereikia darbo funkcijoms atlikti, išjungtas lygiarangis (angl. peer to peer) funkcionalumas, belaidė periferinė prieiga.

13. Patalpų ir aplinkos saugumo užtikrinimo priemonės:

13.1. pastate, kuriame yra SPIS tarnybinių stočių patalpos, yra budėtojas;

13.2. SPIS tarnybinių stočių patalpos yra apsaugotos nuo neteisėto asmenų patekimo į jas; šios patalpos atskirtos nuo bendrojo naudojimo patalpų, į šias patalpas patekti gali tik įgalioti asmenys, kiti asmenys į šias patalpas gali patekti tik lydimi įgalioto asmens;

13.3. patekimas į SPIS tarnybinių stočių patalpas ir patalpas, kuriose saugomos SPIS duomenų atsarginės kopijos, turi būti kontroliuojamas naudojant vaizdo stebėjimo sistemą. Ministerijos darbuotojas, atrakinęs patalpos duris, nustatytos formos žurnale (priedas) užregistruoja asmenis, įeinančius į šias patalpas:

13.3.1. į SPIS tarnybinių stočių patalpas gali patekti tik Ministerijos darbuotojai, kuriems tai būtina atliekant nustatytas funkcijas. Ministerijos vadovas tvirtina asmenų, kuriems leidžiama patekti į tarnybinių stočių patalpas, sąrašą, kuriame nurodomos asmens pareigos, vardas ir pavardė;

13.3.2. trečiųjų šalių atstovai ir kiti asmenys į patalpas gali patekti ar dirbti jose tik lydimi SPIS techninio administratoriaus arba kito Ministerijos vadovo įgalioto asmens;

13.3.3. tarnybinių stočių patalpose įrengtos priešgaisrinės signalizacijos ir automatinės gaisro gesinimo sistemos, yra ugnies gesintuvai ir speciali gesinimo įranga, įrengti įsilaužimo davikliai, nustatoma įeinančių į patalpas ir išeinančių iš jų asmenų tapatybė (naudojamos Ministerijos vadovo išduotos elektroninės tapatybės nustatymo kortelės). Gaisro ir įsilaužimo davikliai prijungti prie pastato signalizacijos ir apsaugos tarnybų;

13.3.4. tarnybinių stočių patalpose įrengtos nedegios, metalinės, atsparios laužimui ir visada rakinamos durys, visos išorinės durys ir langai tarnybinių stočių patalpose turi būti apsaugoti taip, kad niekas į jas nepatektų;

13.4. patalpos atitinka priešgaisrinės saugos reikalavimus, jose yra gaisro gesinimo priemonės; periodiškai atliekama gaisro gesinimo priemonių patikra;

13.5. SPIS tarnybinių stočių patalpose yra oro kondicionavimo ir drėgmės kontrolės įranga;

13.6. patalpose palaikoma ne aukštesnė kaip 24 °C temperatūra;

13.7. SPIS valdytojas Socialinės paramos šeimai informacinės sistemos veiklos tęstinumo valdymo plane, tvirtinamame socialinės apsaugos ir darbo ministro (toliau ‒ Veiklos tęstinumo planas) turi numatyti atsargines patalpas, į kurias galėtų laikinai perkelti SPIS įrangą, nesant galimybių tęsti veiklą pagrindinėse patalpose;

13.8. ryšių kabeliai apsaugoti nuo neteisėto prisijungimo ar pažeidimo;

13.9. atsarginės patalpos turi tenkinti pagrindinėms patalpoms keliamus reikalavimus arba atitikti Veiklos tęstinumo valdymo plane numatytas nuostatas.

13.10. Papildomi svetainės, pasiekiamos iš viešųjų elektroninių ryšių tinklų, saugumo ir kontrolės reikalavimai:

13.10.1. svetainės administravimo darbai turi būti atliekami ne trumpesniu kaip 128 bitų raktu;

13.10.2. šifruojant naudojami skaitmeniniai sertifikatai privalo būti išduoti patikimų sertifikavimo tarnybų. Sertifikato raktas turi būti ne trumpesnis kaip 2048 bitų;

13.10.3. turi būti naudojamas TLS (angl. Transport Layer Security) standartas;

13.10.4. svetainės kriptografinės funkcijos turi būti įdiegtos tarnybinės stoties, kurioje yra svetainė, dalyje arba kriptografiniame saugumo modulyje (angl. Hardware security module);

13.10.5. visi kriptografiniai moduliai turi gebėti saugiai sutrikti (angl. fail securely);

13.10.6. kriptografiniai raktai ir algoritmai turi būti valdomi pagal SPIS valdytojo reikalavimus;

13.10.7. tarnybinės stoties, kurioje yra svetainė, svetainės saugos parametrai turi būti teigiamai įvertinti naudojant Nacionalinio kibernetinio saugumo centro rekomenduojamas testavimo priemones;

13.10.8. draudžiama tarnybinėje stotyje saugoti sesijos duomenis (identifikatorių), pasibaigus susijungimo sesijai;

13.10.9. turi būti naudojama svetainės saugasienė (angl. Web Application Firewall). Įsilaužimo atakų pėdsakai (angl. attack signature) turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos, jeigu SPIS valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio veiklai vertinimas (testavimas);

13.10.10. turi būti naudojama svetainės naudotojo įvedamų duomenų tikslumo kontrolė (angl. Validation);

13.10.11. tarnybinė stotis, kurioje yra svetainė, neturi rodyti svetainės naudotojui klaidų pranešimų apie svetainės programinį kodą ar tarnybinę stotį;

13.10.12. svetainės saugumo priemonės turi gebėti automatiškai uždrausti prieigą prie tarnybinės stoties iš IP adresų, vykdžiusių grėsmingą veiklą (nesankcionuoti mėginimai prisijungti, įterpti SQL intarpus ir panašiai);

13.10.13. tarnybinė stotis, kurioje yra svetainė, turi leisti tik svetainės funkcionalumui užtikrinti reikalingus HTTP metodus;

13.10.14. turi būti uždrausta naršyti svetainės aplankuose (angl. Directory browsing);

13.10.15. turi būti įdiegta svetainės turinio nesankcionuoto pakeitimo (angl. Defacement) stebėsenos sistema.

14. Kitos priemonės, naudojamos elektroninės informacijos saugai užtikrinti:

14.1. saugiam SPIS elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, programinės įrangos fizinės, techninės ir organizacinės duomenų saugos priemonės, kuriomis užtikrinamas:

14.2. SPIS prieinamumas per metus ne mažiau kaip 90 proc. laiko visą parą;

14.3. ne ilgesnis nei 16 val. SPIS neveikimo laikotarpis;

14.4. naudojantis programine įranga, nuolat atliekama SPIS funkcionavimo analizė ir SPIS funkcionavimo sutrikimų prevencija;

14.5. įdiegiama SPIS programinės įrangos apsauga nuo pagrindinių per tinklą valdomų SPIS atakų;

14.6. SPIS registruoja duomenų bazių informacijos ir tarnybinių stočių operacinės sistemos pakeitimus. SPIS fiksuoja visus elektroninės informacijos pakeitimus, pakeitimą atlikusius SPIS naudotojus bei atliktų pakeitimų datą ir laiką;

14.7. SPIS naudotojams ir administratoriams neatliekant jokių veiksmų 15 (penkiolika) min., visos kompiuterizuotos darbo vietos ir tarnybinės stotys automatiškai užsirakina ir naudotis SPIS galima tik pakartojus vartotojo tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus.

14.8. SPIS yra įdiegtos elektroninės informacijos tikslumo, užbaigtumo ir patikimumo tikrinimo priemonės;

14.9. pagrindinių tarnybinių stočių įvykių žurnaluose (angl. event log) registruojami ir 36 mėnesius saugomi duomenys apie: SPIS įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis ir prieiti prie informacinių išteklių, kitus svarbius saugai įvykius, nurodant SPIS naudotojų ir administratorių identifikatorių ir įvykio laiką. Ši informacija analizuojama įvykus SPIS elektroninės informacijos saugos incidentui ar asmens duomenų saugumo pažeidimui;

14.10. informacija apie SPIS įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis, visus SPIS naudotojų ir administratorių vykdomus veiksmus, kitus SPIS elektroninės informacijos saugai svarbius įvykius analizuojama ne rečiau kaip kartą per mėnesį, įvykių žurnaluose duomenys saugomi 1 metus;

14.11. SPIS tarnybinės stotys apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto). Apsaugai naudojama programinė įranga atsinaujina automatiškai ne rečiau kaip kartą per parą;

14.12. programiniu būdu auditui registruojami šie SPIS naudotojų ir administratorių veiksmai su SPIS tvarkomais duomenimis:

14.12.1. SPIS elementų įjungimas / išjungimas ar perkrovimas;

14.12.2. SPIS naudotojų, administratorių prisijungimas (ir nesėkmingi bandymai prisijungti) / atsijungimas;

14.12.3. SPIS VI ir SPIS SI naudotojų / naudotojų grupių / administratorių teisių naudotis sistemos / tinklo ištekliais pakeitimai;

14.12.4. sistemos / tinklo parametrų, laiko ir (ar) datos pakeitimai.

14.13. SPIS tarnybinių stočių įvykių žurnaluose registruojama informacija apie šiuos įvykius:

14.13.1. SPIS tarnybinių stočių įjungimą bei išjungimą;

14.13.2. sėkmingus ir nesėkmingus bandymus registruotis prie SPIS tarnybinių stočių;

14.13.3. informacija apie SPIS įrašomus duomenis (angl. Logs)();

14.13.4. bandymus atlikti veiksmus, kurių atlikti SPIS naudotojams ir administratoriams teisė nesuteikta;

14.13.5. kitus svarbius su SPIS saugomos ir apdorojamos elektroninės informacijos sauga susijusius įvykius.

14.14. Kiekviename audito duomenų įraše turi būti fiksuojama:

14.14.1. įvykio data ir tikslus laikas;

14.14.2. įvykio rūšis / pobūdis;

14.14.3. naudotojo / administratoriaus ir (arba) įrenginio, susijusio su įvykiu, duomenys;

14.14.4. įvykio rezultatas.

14.15. Audituojamų įrašų laiko žymos turi būti sinchronizuotos ne mažiau kaip vienos sekundės tikslumu.

14.16. Turi būti naudojami mažiausiai 2 laiko sinchronizavimo šaltiniai.

14.17. Priemonės, naudojamos SPIS sąsajoje su viešųjų elektroninių ryšių tinklu, turi būti nustatytos taip, kad fiksuotų visus įvykius, susijusius su įeinančiais ir išeinančiais duomenų srautais.

14.18. Fiksuojami įvykiai turi būti centralizuotai saugomi techninėje ar programinėje įrangoje, pritaikytoje audito duomenims saugoti.

14.19. Dėl įvairių trikdžių nustojus fiksuoti auditui skirtus duomenis, apie tai nedelsiant turi būti informuojamas SPIS techninis administratorius ir Kibernetinio saugumo vadovas, nurodant audito duomenų fiksavimo sustojimo laiką.

14.20. Audito duomenys turi būti saugomi 365 dienas, užtikrinant visas prasmingas jų turinio reikšmes (pavyzdžiui, SPIS VI ir SPIS SI naudotojo, su kuriuo nutraukti darbo ar tarnybos santykiai ir kuris pašalintas iš SPIS, atpažinties duomenys turi būti išsaugoti visą audito duomenų saugojimo laiką).

14.21. Draudžiama audito duomenis trinti, keisti, kol nesibaigęs audito duomenų saugojimo terminas.

14.22. Audito duomenys turi būti archyvuojami. Archyve saugomi duomenys turi būti apsaugoti nuo pažeidimo, praradimo, nesankcionuoto pakeitimo ar sunaikinimo.

14.23. Naudojimasis audito duomenimis turi būti kontroliuojamas ir fiksuojamas. Audito duomenys turi būti pasiekiami tik SPIS techniniam administratoriui ir Kibernetinio saugumo vadovui (peržiūros teisėmis).

14.24. SPIS techninis administratorius kartą per savaitę turi išanalizuoti SPIS įvykių žurnaluose užregistruotą informaciją ir apie analizės rezultatus SPIS duomenų saugos nuostatų nustatyta tvarka informuoti Kibernetinio saugumo vadovą.

14.25. SPIS veikla atkuriama vadovaujantis Veiklos tęstinumo valdymo planu.

15. Darbo apskaitos priemonės:

15.1. SPIS naudotojams ir administratoriams suteikiama prieigos teisė atlikti veiksmus tik su jiems priskirtais SPIS duomenimis Naudotojų administravimo taisyklėse nustatyta tvarka;

15.2. elektroniniuose žurnaluose registruojami SPIS naudotojų ir administratorių veiksmai su SPIS duomenimis.

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

16. Saugaus elektroninės informacijos įrašymo, keitimo, atnaujinimo, ir naikinimo užtikrinimo tvarka:

16.1. SPIS duomenis įrašyti, keisti, atnaujinti ir naikinti gali tik tokią teisę turintys SPIS naudotojai;

16.2. SPIS tvarkomi duomenys įvedami, atnaujinami, keičiami ir naikinami vadovaujantis SPIS nuostatais, SPIS duomenų saugos nuostatais ir kitais teisės aktais, reglamentuojančiais SPIS elektroninės informacijos tvarkymą;

16.3. SPIS turi turėti įvestos elektroninės informacijos tikslumo, užbaigtumo ir patikimumo tikrinimo priemones;

16.4. baigus darbą ar pasitraukiant iš darbo vietos imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo SPIS, įjungiama ekrano užsklanda su slaptažodžiu; dokumentai ar jų kopijos darbo vietoje turi būti padedami į pašaliniams asmenims neprieinamą vietą;

16.5. SPIS naudotojams ir administratoriams ilgiau kaip 15 (penkiolika) min. neatliekant jokių veiksmų SPIS, taikomoji programinė įranga turi užsirakinti, kad toliau naudotis SPIS galima būtų tik pakartotinai patvirtinus savo tapatybę.

17. SPIS naudotojų ir administratorių veiksmų registravimo tvarka:

17.1. SPIS naudotojų ir administratorių veiksmai su SPIS duomenimis automatiniu būdu įrašomi SPIS duomenų bazės įvykių žurnale, apsaugotame nuo neteisėto jame esančių duomenų panaudojimo, pakeitimo, iškraipymo ir sunaikinimo;

17.2. SPIS duomenų bazės įvykių žurnalo duomenys prieinami SPIS techniniam administratoriui ir SPIS administratoriui.

18. Atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka:

18.1. už SPIS tvarkomų duomenų atsarginių kopijų darymą yra atsakingas SPIS techninis administratorius;

18.2. atsarginės SPIS elektroninės informacijos kopijos (toliau – kopijos), daromos automatiškai kiekvieną dieną. Visos SPIS elektroninės informacijos kopija daroma darbo dienomis nuo 23 val. iki 5 val.;

18.3.atsarginės kopijos laikomos kitose patalpose, nei yra SPIS tarnybinės stotys.

19. SPIS duomenų saugos nuostatuose nustatyta tvarka turi būti daromos atsarginės kopijos, kurios turi būti saugomos kitose patalpose nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate;

19.1. elektroninė informacija kopijose turi būti apsaugota spynomis ir slaptažodžiais arba turi būti imtasi kitų priemonių, neleidžiančių panaudoti kopijų neteisėtai atkurti elektroninę informaciją;

19.2. elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, neleidžiančių panaudoti kopijų neteisėtai atkurti elektroninę informaciją;

19.3. prarasti, iškraipyti, sunaikinti SPIS tvarkomi duomenys atkuriami iš SPIS atsarginių duomenų kopijų;

19.4. ne rečiau kaip vieną kartą per metus atliekami elektroninės informacijos atkūrimo iš duomenų atsarginių kopijų bandymai.

20. Saugaus elektroninės informacijos perkėlimo ir teikimo susijusioms informacinėms sistemoms, elektroninės informacijos gavimo iš jų užtikrinimo tvarka:

20.1. už iš valstybės registrų bei kitų susijusių informacinių sistemų teikiamų duomenų atnaujinimą SPIS yra atsakingas SPIS techninis administratorius;

20.2. SPIS elektroninė informacija teikiama tik teisės aktuose nustatytais atvejais;

20.3. duomenų mainai tarp SPIS ir kitų informacinių sistemų ar valstybės registrų vykdomi su šių informacinių sistemų (registrų) valdytojais ar tvarkytojais sudarytose duomenų teikimo sutartyse pagal jose nustatytas technines specifikacijas ir sąlygas;

20.4. SPIS elektroninė informacija, įskaitant asmens duomenis, vadovaujantis Valstybės informacinių išteklių valdymo įstatymu ir 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), teikiama ir gaunama:

20.4.1. leidžiamosios kreipties būdu internetu;

20.4.2. automatiniu būdu elektroninių ryšių tinklais;

20.4.3.kitais SPIS nuostatuose nustatytais būdais ir formomis.

21. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:

21.1. SPIS techninis administratorius, užtikrindamas SPIS duomenų vientisumą, privalo naudoti visas įmanomas aparatines, programines ir administracines priemones, skirtas apsaugoti SPIS tvarkomą elektroninę informaciją nuo neteisėtų veiksmų;

21.2. SPIS duomenų saugos pažeidimo, neleistinos arba nusikalstamos veikos požymių, neveikiančios arba netinkamai veikiančios duomenų saugą užtikrinančios priemonės registravimas apibrėžtas Naudotojų administravimo taisyklėse.

21.3. SPIS saugos įgaliotinis, gavęs pranešimą apie vykdomus neteisėtus veiksmus su SPIS tvarkoma elektronine informacija, inicijuoja elektroninės informacijos saugos incidento valdymo procedūras detalizuotas Veiklos tęstinumo plane.

22. Programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:

22.1. SPIS kompiuterių techninės ir programinės įrangos keitimas ir atnaujinimas atliekamas vadovaujantis Socialinės paramos šeimai informacinės sistemos pokyčių valdymo tvarkos aprašu, tvirtinamu socialinės apsaugos ir darbo ministro (toliau ‒ Socialinės paramos šeimai informacinės sistemos pokyčių valdymo tvarkos aprašas);

22.2. planuodamas SPIS programinės ir techninės įrangos keitimą, kurio metu galimi SPIS veikimo sutrikimai, SPIS techninis administratorius arba SPIS administratorius privalo ne vėliau kaip prieš 2 (dvi) darbo dienas iki šios įrangos keitimo pradžios informuoti SPIS naudotojus apie tokių darbų pradžią ir galimus SPIS veikimo sutrikimus.

23. SPIS pokyčių valdymo tvarka yra išdėstyta Socialinės paramos šeimai informacinės sistemos pokyčių valdymo tvarkos apraše.

24. Pokyčiai, galintys daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri atskirta nuo eksploatuojamos SPIS.

25. Pokyčius turi teisę inicijuoti SPIS saugos įgaliotinis, SPIS techninis administratorius, ir SPIS naudotojas, o įgyvendinti – SPIS techninis administratorius. Visi pokyčiai, galintys sutrikdyti ar sustabdyti SPIS darbą, turi būti suderinti su SPIS valdytojo vadovu ar jo įgaliotu asmeniu ir vykdomi tik gavus jo raštišką pritarimą.

26. SPIS valdytojo vadovas užtikrina pokyčių valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas, atsižvelgiant į pokyčių svarbą, aktualumą, poreikį, įtakos vertinimą, pokyčių prioritetų nustatymo procesus.

IV SKYRIUS

REIKALAVIMAI, KELIAMI INFORMACINĖMS SISTEMOMS FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

27. Reikalavimai SPIS funkcionavimui reikalingoms paslaugoms (toliau – paslaugos) ir paslaugų teikėjams nustatomi paslaugų teikimo sutartyse.

28. Paslaugų teikėjo prieiga prie SPIS yra leidžiama tik pasirašius paslaugų teikimo sutartį, kurioje nustatytos paslaugų teikėjo teisės, pareigos ir būtinos saugos priemonės, jeigu paslaugų teikimas susijęs su asmens duomenų tvarkymu ‒ ir SPIS asmens duomenų tvarkymo sutartį, parengtą vadovaujantis Reglamentu (ES) 2016/679 ir Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos asmens duomenų apsaugos politika, patvirtinta Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2018 m. spalio 31 d. įsakymu Nr. A1-610 „Dėl Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos asmens duomenų apsaugos politikos patvirtinimo“, skelbiama SPIS valdytojo interneto puslapyje https://socmin.lrv.lt/lt/. Prieiga suteikiama remiantis „būtina žinoti“ principu.

29. Paslaugų teikėjų prieigos prie SPIS lygiai ir sąlygos:

29.1. paslaugų teikėjams suteikiamos prieigos prie SPIS teisės, kurios reikalingos paslaugoms atlikti;

29.2. SPIS techninis administratorius yra atsakingas už prieigos prie SPIS ir teisių naudotis SPIS ištekliais suteikimą ir panaikinimą paslaugų teikėjui;

29.3. SPIS techninis administratorius, suteikdamas prieigą prie SPIS, paslaugų teikėjo įgaliotą darbuotoją pasirašytinai supažindina su prieigos prie SPIS tvarkomos elektroninės informacijos sąlygomis ir duomenų saugos reikalavimais, nustato prieigos prie SPIS duomenų teises, kurios reikalingos paslaugoms atlikti;

29.4. pasibaigus paslaugų teikimo sutartyje nurodytam laikotarpiui, SPIS techninis administratorius nedelsiant panaikina paslaugų teikėjo įgalioto darbuotojo prieigos prie SPIS teisę ir apie tai jį informuoja.

30. Paslaugų teikimo sutartyse be kitų nuostatų turi būti nurodoma, kad:

30.1. paslaugų teikėjas kuria ar modifikuoja SPIS taikomąją programinę įrangą, naudodamas saugias ir patvirtintas elektroninės informacijos saugos priemones, apsaugančias nuo neteisėto poveikio sisteminei programinei įrangai;

30.2. SPIS taikomajai programinei įrangai modifikuoti naudojama SPIS testinė duomenų bazė;

30.3. paslaugų teikėjas teikdamas paslaugas turi užtikrinti pritaikytosios duomenų apsaugos ir standartizuotosios duomenų apsaugos reikalavimų įgyvendinimą ir turėti tai pagrindžiančius dokumentus.

31. SPIS valdytojas, pirkdamas paslaugas, darbus ar įrangą, susijusius su SPIS, jos projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi nustatyti, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas užtikrina atitiktį Tvarkymo taisyklėms.

32. SPIS valdytojas su interneto tiekėju privalo sudaryti šias sutartis:

32.1. reagavimo į kibernetinius incidentus įprastomis darbo valandomis;

32.2. reagavimo į kibernetinius incidentus po darbo valandų;

32.3. nepertraukiamo interneto paslaugos teikimo 24 valandas per parą, 7 dienas per savaitę;

32.4. interneto paslaugos sutrikimų registravimo:

32.4.1. įprastomis darbo valandomis;

32.4.2. 24 valandas per parą, 7 dienas per savaitę.

33. Paslaugų, darbų ar įrangos, susijusių su SPIS kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, pirkimo dokumentuose turi būti nustatyta, kad paslaugų teikėjas turi užtikrinti atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše nustatytiems reikalavimams.

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

34. SPIS saugos įgaliotinis organizuoja Tvarkymo taisyklių peržiūrą ne rečiau kaip vieną kartą per metus. Tvarkymo taisyklės turi būti peržiūrimos atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.

35. SPIS informacinių technologijų saugos atitikties vertinimas atliekamas ne rečiau kaip kartą per dvejus metus.

36. SPIS administratorius, SPIS techninis administratorius privalo nedelsdamas raštu ar elektroninėmis ryšio priemonėmis informuoti SPIS saugos įgaliotinį ar SPIS valdytoją apie pastebėtus saugumo incidentus (informuojant nurodomos asmens pareigos, vardas, pavardė, pastebėtas saugumo incidentas (jo aprašymas) ir saugumo incidento data).

37. Asmenys, pažeidę Tvarkymo taisyklių nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

______________________________

Saugaus Socialinės paramos

šeimai informacinės sistemos

elektroninės informacijos tvarkymo taisyklių priedas

(Tarnybinių stočių patalpos lankytojų registracijos žurnalo forma)

TARNYBINIŲ STOČIŲ PATALPOS ___________________NR.

LANKYTOJŲ REGISTRACIJOS ŽURNALAS

Eil. Nr.	Data	Patalpą atidarė (vardas, pavardė, parašas)	Lankytojas (vardas, pavardė, parašas)	Lankymo tikslas	Įėjimo laikas	Išėjimo laikas
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.