NACIONALINĖS TEISMŲ ADMINISTRACIJOS

DIREKTORIUS

 

įsakymas

Dėl TEISĖJŲ IR PRETENDENTŲ Į TEISĖJUS informacinės sistemos duomenų saugos nuostatų patvirtinimo

 

2024 m. lapkričio 7 d. Nr. 6P-101-(1.1.E)

Vilnius

 

Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 3 dalimi, 30 straipsniu, 33 straipsnio 1 dalimi, 43 straipsnio 3 dalimi, 44 straipsnio 2 dalimi, Lietuvos Respublikos teismų įstatymo 124 straipsnio 2 dalies 3–4 punktais, Lietuvos Respublikos Nacionalinės teismų administracijos įstatymo 2 straipsnio 8–12, 22 punktais, įgyvendindama Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktą ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių patvirtinimo“, 7.1 papunktį, 11, 19 ir 26 punktus:

1. Tvirtinu Teisėjų ir pretendentų į teisėjus informacinės sistemos duomenų saugos nuostatus (pridedama).

2.    S k i r i u:

2.1. Nacionalinės teismų administracijos Technologijų ir išteklių valdymo departamento Informacinių technologijų skyriaus patarėją Ligitą Velykienę Teisėjų ir pretendentų į teisėjus informacinės sistemos saugos įgaliotine;

2.2. Nacionalinės teismų administracijos Technologijų ir išteklių valdymo departamento Informacinių technologijų skyriaus informacinių technologijų sistemų administratorių-konsultantą Laisvį Cininą Teisėjų ir pretendentų į teisėjus informacinės sistemos administratoriumi.

 

 

Direktorė                                                                   Natalija Kaminskienė

 

 

 

 

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Lietuvos Respublikos krašto

apsaugos ministerijos

2024-07-23 raštu Nr. (4.1 E) 6K-527

 

 

PATVIRTINTA

Nacionalinės teismų administracijos direktoriaus

2024 m. lapkričio 7 d. įsakymu

Nr. 6P-101-(1.1.E)

 

TEISĖJŲ IR PRETENDENTŲ Į TEISĖJUS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Teisėjų ir pretendentų į teisėjus informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato Teisėjų ir pretendentų į teisėjus informacinės sistemos (toliau – TERIS) elektroninės informacijos saugos ir kibernetinio saugumo politiką.

2. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas).

3. Elektroninės informacijos saugumo užtikrinimo prioritetinės sritys:

3.1. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

3.2. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų TERIS elektroninės informacijos saugai (kibernetiniam saugumui) užtikrinti, įgyvendinimas ir kontrolė;

3.3. asmens duomenų apsauga;

3.4. naudotojų mokymas;

3.5. veiklos tęstinumo užtikrinimas.

4. Elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo tikslai:

4.1. sudaryti sąlygas saugiai elektroniniu būdu tvarkyti TERIS elektroninę informaciją;

4.2. užtikrinti TERIS elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

4.3. vykdyti elektroninės informacijos saugos bei kibernetinių incidentų, asmens duomenų saugumo pažeidimų prevenciją, reaguoti į elektroninės informacijos saugos, kibernetinius incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai suvaldyti.

5Tvarkant TERIS elektroninę informaciją ir užtikrinant jos saugumą, vadovaujamasi šiais teisės aktais:

5.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

5.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

5.3. Lietuvos Respublikos kibernetinio saugumo įstatymu;

5.4. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

5.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

5.6. Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2023 m. liepos 19 d. nutarimu Nr. 576 „Dėl Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašo patvirtinimo“;

5.7. Valstybės informacinių išteklių svarbos vertinimo metodika, patvirtinta Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. liepos 19 d. įsakymu Nr. 4-418 „Dėl Valstybės informacinių išteklių svarbos vertinimo metodikos patvirtinimo“;

5.8. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas);

5.9. atsižvelgiama į Lietuvos standartus LST EN ISO/IEC 27002 ir LST EN ISO/IEC 27001.

6. Saugos nuostatai taikomi:

6.1. TERIS valdytojai ir tvarkytojai (toliau – TERIS valdytojas) – Nacionalinei teismų administracijai (L. Sapiegos g. 15, 10312 Vilnius);

6.2. TERIS saugos įgaliotiniui;

6.3. TERIS administratoriams;

6.4. TERIS naudotojams.

7. TERIS valdytojo funkcijos:

7.1. atlikti Valstybės informacinių išteklių valdymo įstatyme ir TERIS nuostatuose nustatytas funkcijas;

7.2. skirti TERIS saugos įgaliotinį ir TERIS administratorius;

7.3. užtikrinti Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir kitų teisės aktų, susijusių su TERIS elektroninės informacijos sauga ir kibernetiniu saugumu, TERIS nuostatų įgyvendinimą;

7.4. užtikrinti TERIS elektroninės informacijos saugą ir kibernetinį saugumą;

7.5. atlikti kitas Saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugumo politiką ir duomenų tvarkymo teisėtumą, valstybės informacinių sistemų valdytojų veiklą bei duomenų saugos valdymą, nustatytas TERIS valdytojo funkcijas.

8. TERIS saugos įgaliotinio funkcijos:

8.1. koordinuoti ir prižiūrėti elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimą saugos dokumentuose nustatyta tvarka;

8.2. atlikti Bendrųjų elektroninės informacijos saugos reikalavimų apraše nustatytas funkcijas ir Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše nustatytas už kibernetinio saugumo organizavimą ir užtikrinimą atsakingo asmens funkcijas.

9. TERIS administratoriai pagal atliekamas funkcijas skirstomi į šias grupes:

9.1. TERIS naudotojų administratoriai, kurie atlieka funkcijas, susijusias su TERIS naudotojų teisių valdymu;

9.2. TERIS komponentų administratoriai, kurie atlieka funkcijas, susijusias su TERIS komponentais – kompiuteriais, operacinėmis sistemomis, duomenų bazėmis ir jų valdymo sistemomis, užkardomis, įsilaužimų aptikimo ir prevencijos sistemomis, elektroninės informacijos perdavimo tinklais, duomenų saugyklomis ir kita technine ir programine įranga, kurios pagrindu funkcionuoja TERIS ir užtikrinama joje tvarkomos elektroninės informacijos sauga ir kibernetinis saugumas bei TERIS komponentų sąranka:

9.2.1. TERIS komponentų administratorius yra atsakingas už TERIS komponentų sąrankos aprašymo dokumentų parengimą ir pakeitimą, TERIS pažeidžiamų vietų nustatymą ir TERIS saugos priemonių parinkimą ir įdiegimą bei jų atitiktį Saugos nuostatų ir kitų saugos dokumentų reikalavimams. TERIS komponentų administratorius registruoja elektroninės informacijos saugos incidentus ir informuoja apie juos TERIS saugos įgaliotinį, teikia TERIS valdytojui pasiūlymus dėl elektroninės informacijos saugos incidentų pašalinimo;

9.2.2. atlikdamas TERIS sąrankos pakeitimus, TERIS komponentų administratorius turi laikytis TERIS pokyčių valdymo tvarkos, nustatytos TERIS valdytojo tvirtinamose TERIS saugaus elektroninės informacijos tvarkymo taisyklėse;

9.2.3. TERIS komponentų administratorius TERIS sąranką ir TERIS būsenos rodiklius privalo patikrinti (peržiūrėti) reguliariai – ne rečiau kaip kartą per metus ir (arba) įvykus TERIS pasikeitimams;

9.3. TERIS taikomosios programinės įrangos administratoriai, kurie atlieka funkcijas, susijusias su informacinės sistemos taikomosios programinės įrangos konfigūravimu, atnaujinimu bei priežiūra.

10. TERIS administratoriai privalo vykdyti visus TERIS saugos įgaliotinio nurodymus ir pavedimus dėl TERIS saugos ir kibernetinio saugumo užtikrinimo, pagal kompetenciją reaguoti į elektroninės informacijos saugos ir kibernetinius incidentus ir nuolat teikti TERIS saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.

 

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

11. Vadovaujantis Valstybės informacinių išteklių svarbos vertinimo metodika, TERIS ir joje tvarkoma elektroninė informacija priskiriami mažos svarbos valstybės informacinių išteklių rūšiai.

12. Rizikos veiksmų vertinimo organizavimas:

12.1. TERIS saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo technika“ standartus, nustatančius saugų informacinės sistemos duomenų tvarkymą, kasmet arba įvykus organizacinių ar sisteminių pokyčių organizuoja TERIS rizikos vertinimą. TERIS rizikos vertinimas gali būti atliekamas kartu su informacinių technologijų saugos atitikties vertinimu.

12.2. Prireikus saugos įgaliotinis gali organizuoti neeilinį TERIS rizikos vertinimą. TERIS valdytojo vadovo rašytiniu pavedimu TERIS rizikos vertinimą gali atlikti pats saugos įgaliotinis.

12.3. Rizikos vertinimo metu turi būti:

12.3.1. nustatomos grėsmės ir pažeidžiamumai, galintys turėti įtakos TERIS elektroninės informacijos saugai ir kibernetiniam saugumui;

12.3.2. nustatomos galimos grėsmių ir pažeidžiamumų poveikio vykdomai veiklai sritys;

12.3.3. vertinama TERIS pažeidimo grėsmių tikimybė ir pasekmės.

12.4. Rizikos veiksniai rizikos vertinimo ataskaitoje turi būti išdėstyti pagal prioritetus ir priimtiną rizikos lygį. TERIS rizikos vertinimo rezultatai išdėstomi rizikos vertinimo ataskaitoje, kuri pateikiama TERIS valdytojo vadovui. Rengiant rizikos vertinimo ataskaitą, vertinami rizikos veiksniai, galintys turėti įtakos TERIS elektroninės informacijos saugai ir kibernetiniam saugumui, jų galima žala, pasireiškimo tikimybė ir pobūdis, galimi rizikos valdymo būdai, rizikos priimtinumo kriterijai. Svarbiausi rizikos veiksniai yra šie:

12.4.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais triktys, programinės įrangos klaidos, netinkamas veikimas ir kita);

12.4.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita).

12.5. Atsižvelgdamas į rizikos vertinimo ataskaitą, TERIS valdytojas prireikus tvirtina rizikos vertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

12.6. Rizikos vertinimo ataskaitos, rizikos vertinimo ir rizikos valdymo priemonių plano kopijas TERIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemoje.

13. Informacinių technologijų saugos atitikties vertinimo organizavimas:

13.1. Siekiant užtikrinti Saugos dokumentuose nustatytų elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų įgyvendinimo organizavimą ir kontrolę, ne rečiau kaip kartą per metus turi būti organizuojamas TERIS informacinių technologijų saugos atitikties vertinimas.

13.2. Informacinių technologijų saugos atitikties vertinimas atliekamas Informacinių technologijų atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka.

13.3. Saugos atitikties vertinimo metu taip pat patikrinama ir Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše nustatytų organizacinių ir techninių kibernetinio saugumo reikalavimų atitiktis.

13.4. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos vertinimo ataskaita, parengta ataskaita pateikiama TERIS valdytojui kartu su pastebėtų trūkumų šalinimo planu, kurį tvirtina, atsakingus vykdytojus skiria ir įgyvendinimo terminus nustato TERIS valdytojas.

13.5. Informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas TERIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai.

14. Elektroninės informacijos saugos ir kibernetinio saugumo būklės gerinimas:

14.1. Techninės, programinės, organizacinės ir kitos TERIS elektroninės informacijos saugos ir kibernetinio saugumo priemonės pasirenkamos atsižvelgiant į TERIS valdytojo turimus išteklius, vadovaujantis šiais principais:

14.1.1. liekamoji rizika turi būti sumažinta;

14.1.2. priemonės diegimo kaina turi būti tapati tvarkomos elektroninės informacijos vertei.

14.2. Atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos ir kibernetinio saugumo priemonės.

 

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

15. Organizaciniai ir kibernetinio saugumo reikalavimai nustatomi pagal TERIS svarbos kategoriją, vadovaujantis Saugos nuostatų 5 punkte nurodytais teisės aktais ir atsižvelgiant į nurodytus standartus.

16. Kibernetinio saugumo priemonės, nurodytos Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo priede, turi būti diegiamos atsižvelgiant į naujausius technologinius sprendimus, vadovaujantis gamintojo pateikiama bent viena gerosios saugumo praktikos rekomendacija.

17. Organizacinių ir techninių elektroninės informacijos saugos ir kibernetinio saugumo priemonių užtikrinimas turi būti grindžiamas grėsmių ir pažeidžiamumo, galinčio turėti įtakos TERIS elektroninės informacijos saugai ir kibernetiniam saugumui, rizikos vertinimu, atsižvelgiant į naujausius technikos laimėjimus.

18. Programinės įrangos, skirtos TERIS apsaugoti nuo kenkėjiškos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

18.1. tarnybinėse stotyse ir TERIS vidinių naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenkėjiškos programinės įrangos aptikimo, stebėjimo realiu laiku priemonės;

18.2.  TERIS komponentai be kenkėjiškos programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu patvirtinama, kad šių komponentų rizika yra priimtina;

18.3. kenkėjiškos programinės įrangos aptikimo priemonės turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas. TERIS komponentų administratorius turi būti automatiškai informuojamas elektroniniu paštu apie tai, kuriems TERIS posistemiams, funkciškai savarankiškoms sudedamosioms dalims ir kitiems TERIS komponentams yra pradelstas kenkėjiškos programinės įrangos aptikimo priemonių atsinaujinimo laikas, taip pat jei kenkėjiškos programinės įrangos aptikimo priemonės netinkamai veikia arba yra išjungtos.

19. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:

19.1. TERIS tarnybinėse stotyse turi būti naudojama tik legali programinė įranga;

19.2. TERIS vidinių naudotojų kompiuteriuose naudojama programinė įranga turi būti suderinta su TERIS saugos įgaliotiniu;

19.3. tarnybinių stočių ir TERIS vidinių naudotojų kompiuterių operacinės sistemos, kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti išbandomi ir įdiegiami;

19.4. programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;

19.5. programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – TERIS komponentų arba taikomosios programinės įrangos administratorius arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai;

19.6. programinė įranga turi būti testuojama naudojant atskirą testavimo terpę, kurioje esantys asmens duomenys turi būti naudojami vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

19.7. TERIS programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), paslaugos trikdymo (angl. DOS), srautinių paslaugų trikdymo (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org.

20. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių ir kita) pagrindinės naudojimo nuostatos:

20.1. kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant užkardas, automatinę įsilaužimų aptikimo ir prevencijos įrangą, paslaugos trikdymo, srautinių paslaugos trikdymo atakų įrangą;

20.2. kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuose ryšių tinkluose naršančių TERIS naudotojų kompiuterinę įrangą nuo kenkimo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenkėjiškos programinės įrangos;

20.3. apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga;

20.4. turi būti naudojamos filtravimo sistemos;

20.5. turi būti naudojamos taikomųjų programų kontrolės sistemos.

21. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, turi būti naudojamas šifravimas, virtualus privatusis tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą (nuotolinio prisijungimo prie TERIS būdai, protokolai, elektroninės informacijos keitimosi formatai, šifravimo, elektroninės informacijos kopijų skaičiaus reikalavimai, reikalavimai teikti ir (ar) gauti elektroninę informaciją automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas, sąlygas ir panašiai), nustatyti TERIS saugaus elektroninės informacijos tvarkymo taisyklėse.

22. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (išmaniųjų telefonų ir planšetinių kompiuterių) (toliau – mobilieji įrenginiai), naudojamų prisijungti prie TERIS, pagrindinės saugos nuostatos:

22.1. mobiliuosiuose įrenginiuose turi būti naudojamos tapatumo patvirtinimo priemonės;

22.2. mobilieji įrenginiai viešose vietose negali būti palikti be priežiūros;

22.3. darbo su TERIS metu mobiliuosiuose įrenginiuose turi būti išjungta belaidė prieiga, jeigu jos nereikia darbo funkcijoms atlikti, išjungta lygiarangė (angl. peer to peer) funkcija, neleidžianti belaidžiais įrenginiais palaikyti ryšio tarpusavyje, belaidė periferinė prieiga.

23. Organizaciniai ir kibernetinio saugumo reikalavimai išsamiai aprašyti TERIS saugumo politikos įgyvendinamuosiuose dokumentuose.

24. Atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

24.1. atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną TERIS neveikimo laikotarpį (angl. recovery time objective);

24.2. atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokiu mastu, kad TERIS veiklos sutrikimo, elektroninės informacijos saugos ir kibernetinio incidento ar elektroninės informacijos vientisumo praradimo atvejais TERIS neveikimo laikotarpis nebūtų ilgesnis, nei nustatyta TERIS svarbos kategorijai, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus;

24.3. atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau, nei nustatyta TERIS saugaus elektroninės informacijos tvarkymo taisyklėse;

24.4. elektroninė informacija atsarginėse elektroninės informacijos kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo atsarginių elektroninės informacijos kopijų) arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos;

24.5. atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje kitose patalpose, nei yra TERIS tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate;

24.6. periodiškai, bet ne rečiau kaip kartą per pusmetį, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

24.7. patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas.

 

IV SKYRIUS

REIKALAVIMAI PERSONALUI

 

25. TERIS naudotojų, TERIS administratorių, TERIS saugos įgaliotinio kvalifikacijos ir patirties reikalavimai:

25.1. TERIS naudotojų, TERIS administratorių, TERIS saugos įgaliotinio kvalifikacija turi atitikti jų pareiginiuose nuostatuose, jei tokie yra, nustatytus reikalavimus.

25.2. TERIS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, tobulinti elektroninės informacijos saugos ir kibernetinio saugumo srities kvalifikaciją, savo darbe vadovautis Lietuvos Respublikos ir Europos Sąjungos teisės aktų, reglamentuojančių elektroninės informacijos saugą ir kibernetinį saugumą, nuostatomis. TERIS valdytojas turi sudaryti sąlygas kelti TERIS saugos įgaliotinio kvalifikaciją.

25.3. TERIS administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, mokėti užtikrinti TERIS ir joje tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą, administruoti naudotojus, administruoti ir prižiūrėti TERIS komponentus (stebėti TERIS komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti nepertraukiamą TERIS komponentų veikimą ir panašiai), administruoti ir prižiūrėti TERIS taikomąją programinę įrangą. TERIS administratoriai turi būti susipažinę su Saugos nuostatais.

26. TERIS valdytojas užtikrina TERIS saugos įgaliotinio, TERIS administratorių kvalifikacijos kėlimą.

27. TERIS saugos įgaliotinis periodiškai, ne rečiau kaip kartą per metus, organizuoja TERIS naudotojų mokymus elektroninės informacijos saugos klausimais, informuoja juos apie elektroninės informacijos saugos reikalavimus (elektroniniu paštu, paskelbdamas informaciją TERIS valdytojo interneto svetainėje ar intranete ir pan.).

 

V SKYRIUS

INFORMACINĖS SISTEMOS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

28. TERIS naudotojų ir TERIS administratorių supažindinimą su saugos dokumentais ar jų santrauka, atsakomybe už saugos dokumentų nuostatų pažeidimus organizuoja TERIS saugos įgaliotinis.

29. TERIS naudotojų supažindinimo su saugos dokumentais ar jų santrauka būdai turi būti pasirenkami atsižvelgiant į TERIS specifiką (TERIS naudotojų buvimo vietą, organizacinių ir (ar) techninių priemonių, leidžiančių identifikuoti su saugos dokumentais ar jų santrauka susipažinusį asmenį ir užtikrinančių supažindinimo procedūros įrodomąją galią, panaudojimo galimybes ir panašiai).

30. Pakartotinai su saugos dokumentais ar jų santrauka TERIS naudotojai supažindinami tik pasikeitus elektroninės informacijos saugą ir kibernetinį saugumą reglamentuojantiems teisės aktams.

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

31. TERIS naudotojai, TERIS saugos įgaliotinis, TERIS administratoriai pagal kompetenciją atsako už TERIS tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą. Saugos dokumentų ir kitų elektroninės informacijos saugą ir kibernetinį saugumą reglamentuojančių teisės aktų nuostatas pažeidę TERIS naudotojai, TERIS saugos įgaliotinis, TERIS administratoriai atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

 

_____________________