LIETUVOS RESPUBLIKOS KRAŠTO APSAUGOS MINISTRAS
ĮSAKYMAS
DĖL KIBERNETINIO SAUGUMO INFORMACINIO TINKLO NUOSTATŲ PATVIRTINIMO
2019 m. lapkričio 27 d. Nr. V-998
Vilnius
Vadovaudamasis Lietuvos Respublikos kibernetinio saugumo įstatymo 6 straipsnio 11 punktu ir 8 straipsnio 2 dalies 8, 9, 10 ir 15 punktais,
PATVIRTINTA
Lietuvos Respublikos krašto apsaugos ministro
2019 m. lapkričio 27 d. įsakymu Nr. V-998
KIBERNETINIO SAUGUMO INFORMACINIO TINKLO NUOSTATAI
I skyrius
BENDROSIOS NUOSTATOS
1. Kibernetinio saugumo informacinio tinklo nuostatai (toliau – Nuostatai) reglamentuoja Kibernetinio saugumo informacinio tinklo (toliau – KSIT) steigimo teisinį pagrindą, tikslą, uždavinius, funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų teikimo ir naudojimo tvarką, duomenų saugos reikalavimus, asmens duomenų tvarkymą, finansavimą, modernizavimą ir likvidavimą.
2. KSIT steigimo pagrindas – Lietuvos Respublikos kibernetinio saugumo įstatymo 6 straipsnio 11 punktas ir 8 straipsnio 2 dalies 8, 9, 10 ir 15 punktai.
3. KSIT tikslas – informacinių technologijų priemonėmis kaupti ir apdoroti kibernetinių incidentų aptikimo duomenis, dalytis informacija apie galimus ir įvykusius kibernetinius incidentus, taip pat kita, su kibernetinio saugumo užtikrinimu susijusia, informacija.
4. KSIT uždaviniai:
4.1. automatizuoti duomenų apie kibernetinių incidentų požymius ir incidentus rinkimo, apdorojimo ir dalijimosi jais procesus;
4.2. automatizuoti rekomendacijų, nurodymų, techninių sprendimų ir kitų priemonių, gerinančių kibernetinį saugumą ir kibernetinio saugumo subjektų, kuriems suteikta prieiga prie KSIT (toliau – KSIT narys), bendradarbiavimą kibernetinio saugumo srityje, teikimo procesus;
5. KSIT funkcijos:
5.2. apdoroti, formuoti ir paskirstyti techninių kibernetinio saugumo priemonių fiksuojamus kibernetinius incidentus pagal jų svarbos kategorijas;
5.6. automatizuoti dalijimąsi kibernetinių incidentų požymių indikatoriais, informacija apie aptiktus pažeidžiamumus ir kita, su kibernetinio saugumo užtikrinimu susijusia, informacija;
6. Asmens duomenų tvarkymo KSIT tikslas – sudaryti sąlygas identifikuoti kibernetinius incidentus ir KSIT nariams keistis informacija apie kibernetinius incidentus, kibernetinių incidentų tyrimus.
7. KSIT steigiamas ir tvarkomas vadovaujantis:
7.4. Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymu;
7.5. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
7.6. Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklėmis, patvirtintomis Lietuvos Respublikos krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymu Nr. V-1253 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklių patvirtinimo“;
7.7. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;
7.8. Krašto apsaugos sistemos ryšių ir informacinių sistemų gyvavimo ciklo valdymo taisyklėmis, patvirtintomis Lietuvos Respublikos krašto apsaugos ministro 2015 m. lapkričio 12 d. įsakymu Nr. V-1158 „Dėl Krašto apsaugos sistemos ryšių ir informacinių sistemų gyvavimo ciklo valdymo taisyklių patvirtinimo“;
7.9. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
7.10. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
7.11. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
8. Nuostatuose vartojamos sąvokos:
8.1. kibernetinio incidento požymių indikatoriai – metaduomenys, pagal kuriuos ryšių ir informacinėse sistemose aptinkami kibernetinių incidentų požymiai;
8.2. metaduomenys – duomenys apie kitus duomenis, pavyzdžiui, tinklalapio, parašyto HTML kalba, antraštėje pateikiami metaduomenys, kurie svetainės lankytojui nėra matomi, bet apibūdinantys jo matomus duomenis: autorius, data, kalba, koduotė, reikšminiai žodžiai ir kt.;
8.3. techninės kibernetinio saugumo priemonės – KSIT narių ryšių ir informacinėse sistemose esanti techninė ir (arba) programinė įranga, stebinti KSIT narių ryšių ir informacinių sistemų duomenų srautą, pagal kibernetinio incidento požymių indikatorius aptinkanti kibernetinių incidentų požymius bei apdorojanti ir į KSIT perduodanti metaduomenis, reikalingus kibernetinių incidentų požymiams nustatyti;
II skyrius
KSIT organizacinė struktūra
9. KSIT valdytojas ir tvarkytojas, KSIT asmens duomenų valdytojas yra Nacionalinis kibernetinio saugumo centras prie Lietuvos Respublikos krašto apsaugos ministerijos (toliau – NKSC).
10. KSIT valdytojas ir tvarkytojas atlieka valstybės informacinės sistemos valdytojo ir valstybės informacinės sistemos tvarkytojo funkcijas bei turi teises ir pareigas, nurodytas Valstybės informacinių išteklių valdymo įstatyme.
11. KSIT valdytojas, kaip asmens duomenų valdytojas, atlieka Bendrajame duomenų apsaugos reglamente nustatytas asmens duomenų valdytojo ir tvarkytojo funkcijas, turi šiame reglamente nurodytas asmens duomenų valdytojo teises ir pareigas.
12. KSIT duomenų teikėjai yra kibernetinio saugumo subjektai, KSIT teikiantys duomenis, nekaupiamus kitose valstybės informacinėse sistemose ir registruose.
13. KSIT naudojantys asmenys yra KSIT nario darbuotojai, kuriems yra suteikta prieiga prie KSIT (toliau – KSIT naudotojas), turintys teisę teikti ir (ar) gauti Nuostatų 16.1–16.2.2, 16.2.5, 16.2.6, 16.2.8 papunkčiuose nurodytus duomenis ir tik tokia apimtimi, kiek tai yra susiję su jų atstovaujamų KSIT narių valdomomis ir (arba) tvarkomomis ryšių ir informacinėmis sistemomis.
14. KSIT naudotojai turi teisę:
III skyrius
KSIT informacinė struktūra
16. KSIT kaupiami duomenys:
16.1. KSIT narių ir KSIT naudotojų duomenys:
16.2. kibernetiniai incidentai:
17. KSIT tvarkomi asmens duomenys:
IV skyrius
KSIT funkcinė struktūra
19. KSIT funkcinę struktūrą sudaro:
19.1. kibernetinių incidentų automatizuoto aptikimo ir registravimo posistemė, kuri automatizuotu būdu gauna iš techninių kibernetinio saugumo priemonių metaduomenis apie KSIT narių ryšių ir informacinių sistemų komunikacijas ir pagal nustatytus taisyklių rinkinius automatizuotu būdu realiuoju laiku registruoja kibernetinių incidentų požymius;
19.2. kibernetinio saugumo duomenų kaupimo ir analizės posistemė, kurios funkcijos yra:
19.2.1. kaupti techninėmis kibernetinio saugumo priemonėmis surinktus metaduomenis apie KSIT narių ryšių ir informacinių sistemų komunikacijas;
19.2.2. apdoroti techninėmis kibernetinio saugumo priemonėmis surinktus metaduomenis apie KSIT narių ryšių ir informacinių sistemų komunikacijas, nustatyti, kurie iš jų gali identifikuoti kibernetinių incidentų požymius, ir juos priskirti kibernetinio incidento požymių indikatoriams;
19.2.3. pagal kibernetinio incidento požymių indikatorius, jų rinkinius ir techninėmis kibernetinio saugumo priemonėmis surinktus metaduomenis apie KSIT narių ryšių ir informacinių sistemų komunikacijas automatiniu būdu ir (arba) retrospektyviai identifikuoti kibernetinių incidentų požymius;
19.2.4. pateikti KSIT tvarkytojui techninėmis kibernetinio saugumo priemonėmis surinktus metaduomenis apie KSIT narių ryšių ir informacinių sistemų komunikacijas;
19.2.5. nustatyti, kad kibernetinių incidentų automatizuoto aptikimo ir registravimo posistemės užregistruoti kibernetinio incidento požymiai yra kibernetinis incidentas;
19.3. kibernetinių incidentų valdymo posistemė, kurios funkcijos yra:
19.3.3. teikti informaciją KSIT naudotojams apie jų organizacijos ryšių ir informacinėse sistemose techninėmis kibernetinio saugumo priemonėmis aptiktus kibernetinius incidentus;
19.3.4. teikti informaciją apie KSIT naudotojo ir (arba) KSIT tvarkytojo užregistruotą kibernetinį incidentą;
19.4. administravimo posistemė, kurios funkcijos yra:
19.5. KSIT narių savitarnos posistemė, kurios funkcijos yra:
V skyrius
KSIT duomenų teikimas ir naudojimas
20. KSIT duomenys yra vieši, tačiau viešai neskelbiami, išskyrus NKSC skelbiamus statistinius duomenis.
21. KSIT duomenys teikiami tik KSIT nariams neatlygintinai ir Nuostatų 13 punkte nurodyta apimtimi. Kitiems subjektams, vadovaujantis Kibernetinio saugumo įstatymo 15 straipsniu, KSIT duomenys neteikiami, išskyrus įstatymų ar jų pagrindu priimtų kitų norminių teisės aktų numatytais atvejais ir tvarka. KSIT tvarkytojo atsisakymas teikti duomenis gali būti skundžiamas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.
22. KSIT duomenys KSIT nariams teikiami elektroninių ryšių priemonėmis nuolat, nesudarant duomenų teikimo sutarties. KSIT duomenų teikimo pagrindas – Nuostatų 40 punkte nurodytas kibernetinio saugumo subjekto prašymas suteikti prieigą prie KSIT.
23. KSIT duomenys teikiami tokio turinio ir tokia forma, kokia jie tvarkomi KSIT. Jeigu KSIT teikiamų duomenų forma ir turinys neatitinka KSIT narių poreikių, jei yra techninės galimybės, KSIT tvarkytojas gali pateikti duomenis kita, KSIT nario prašyme nurodyta, forma.
24. Gavus KSIT nario sutikimą ir kai būtina informuoti visuomenę siekiant išvengti kibernetinio incidento arba vykstantį incidentą valdyti, viešai publikuojami ir pakartotinai naudoti teikiami duomenys, nurodyti 16.2.5–16.2.7 papunkčiuose.
25. KSIT kaupiami asmens duomenys teikiami KSIT nariams elektroninių ryšių priemonėmis tiek, kiek jie yra susiję su jų organizacija ir (ar) jos ryšių ir informacine sistema, išskyrus 16.1.1–16.1.6. papunkčiuose nurodytus duomenis, kurie yra prieinami ir kitiems KSIT nariams.
26. KSIT duomenys Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka.
27. KSIT tvarkytojas, nustatęs, kad KSIT pateikti duomenys, informacija, dokumentai ir (arba) jų kopijos netikslūs, neteisingi ar neišsamūs, raštu arba elektroninio ryšio priemonėmis per 5 darbo dienas nuo šių aplinkybių paaiškėjimo turi kreiptis į KSIT narius ir pareikalauti, kad šie duomenys ar informacija būtų patikslinti, ištaisyti ar papildyti per 5 darbo dienas nuo reikalavimo gavimo dienos. Jei KSIT nariui nėra suteiktos prieigos teisės patikslinti, ištaisyti ar papildyti nurodytus duomenis ar informaciją, jis privalo KSIT tvarkytojui raštu ar elektroninio ryšio priemonėmis pateikti patikslintus, ištaisytus ar papildytus duomenis, o KSIT tvarkytojas įrašo juos į duomenų bazę per 5 darbo dienas nuo patikslintų, papildytų ar ištaisytų duomenų gavimo dienos.
28. KSIT narys turi teisę reikalauti ištaisyti netikslius duomenis. Pastebėjęs jam perduotų duomenų netikslumus, patikslina juos KSIT priemonėmis, o jeigu tokios teisės KSIT tvarkytojas jam nėra suteikęs, raštu arba elektroninio ryšio priemonėmis ne vėliau kaip per 5 darbo dienas apie tai praneša KSIT tvarkytojui, kartu pateikdamas netikslumus pagrindžiančius dokumentus. KSIT tvarkytojas privalo per 10 darbo dienų nuo informacijos apie KSIT duomenų netikslumus ir juos pagrindžiančių dokumentų gavimo dienos patikrinti pateiktą informaciją. Informacijai pasitvirtinus, KSIT tvarkytojas privalo ištaisyti netikslumus ir raštu arba elektroninio ryšio priemonėmis pranešti apie tai KSIT nariui. Jei informacija, kad yra netikslumų, nepasitvirtinta – raštu arba elektroninio ryšio priemonėmis pranešti ją pateikusiam KSIT nariui, kad duomenis keisti atsisakoma ar kad duomenys nebus keičiami.
VI skyrius
KSIT duomenų sauga
29. Už KSIT elektroninės informacijos saugą, KSIT duomenų tvarkymo ir KSIT duomenų teikimo teisėtumą, KSIT duomenų saugos reikalavimų nustatymą, KSIT duomenų saugą (konfidencialumą, vientisumą ir prieinamumą) pagal kompetenciją atsako KSIT valdytojas ir KSIT tvarkytojas. KSIT besinaudojantys asmenys, pažeidę saugų informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.
30. KSIT duomenų saugos reikalavimus nustato KSIT valdytojo patvirtinti KSIT duomenų saugos nuostatai.
32. KSIT duomenų sauga užtikrinama vadovaujantis:
32.1. KSIT duomenų saugos nuostatais, KSIT saugos politiką įgyvendinančiais dokumentais, parengtais vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;
32.2. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
32.3. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
32.4. Lietuvos standartais LST ISO/IEC „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo priemonių praktikos nuostatai“ ir LST ISO/IEC „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;
34. Asmenys, kurie tvarko KSIT asmens duomenis, privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys nėra skirti skelbti viešai. Pareiga KSIT naudotojui saugoti asmens duomenų paslaptį galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.
35. Duomenų saugojimo KSIT duomenų bazėje terminai:
35.1. KSIT narių pateikti duomenys apie jų atstovus, nurodyti 16.1.1–16.1.10 papunkčiuose, saugomi 1 metus nuo informavimo apie asmens duomenų pasikeitimą ir (arba) KSIT nario pasitraukimą iš KSIT;
VII skyrius
KSIT finansavimas
VIII skyrius
KSIT modernizavimas ir likvidavimas
38. KSIT modernizuojamas ir likviduojamas Valstybės informacinių išteklių valdymo įstatymo, Kibernetinio saugumo įstatymo, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo ir Krašto apsaugos sistemos ryšių ir informacinių sistemų gyvavimo ciklo valdymo taisyklių nustatyta tvarka.
IX SKYRIUS
BAIGIAMOSIOS NUOSTATOS
40. KSIT nariu turi teisę tapti kibernetinio saugumo subjektai, raštu pateikę prašymą NKSC suteikti prieigą prie KSIT.
41. Kibernetinio saugumo subjektui prieiga prie KSIT suteikiama, jeigu subjektas atitinka šiuos reikalavimus:
41.1. yra patvirtinęs teisės aktus, reglamentuojančius valstybės informacinių išteklių ar ypatingos svarbos informacinės infrastruktūros kibernetinio saugumo politiką ir jos įgyvendinimą, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių paslaugų kibernetinio saugumo valdymo taisykles, skaitmeniniu būdu teikiamų paslaugų kibernetinio saugumo valdymo taisykles;
41.2. yra įgyvendinęs organizacinius ir techninius kibernetinio saugumo reikalavimus, nustatytus Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše arba su NKSC yra suderinęs organizacinių ir techninių kibernetinio saugumo reikalavimų įgyvendinimo planą.
42. Atsijungti nuo KSIT galima raštu pateikus prašymą NKSC ir nurodžius, jog KSIT narys neatitinka kibernetinio saugumo subjekto sąvokos apibrėžimo.
43. Asmens duomenys tvarkomi ir duomenų subjekto teisės įgyvendinamos vadovaujantis Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklėmis, patvirtintomis Lietuvos Respublikos krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymu Nr. V-1253 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklių patvirtinimo“.