nacionalinio bendrųjų funkcijų centro

DIREKTORIUS

 

įsakymas

DĖL nacionalinio bendrųjų funkcijų centro informacinių sistemų saugos dokumentų patvirtinimo

 

2020 m. rugsėjo 4 d. Nr. V-443

Vilnius

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7, 8, 12 ir 19 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 6 punktu ir Nacionalinio bendrųjų funkcijų centro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2018 m. vasario 7 d. nutarimu Nr. 125 „Dėl biudžetinės įstaigos Nacionalinio bendrųjų funkcijų centro įsteigimo ir jo nuostatų patvirtinimo“, 15.3 papunkčiu:  

1. T v i r t i n u:

1.1. Nacionalinio bendrųjų funkcijų centro informacinių sistemų duomenų saugos nuostatus (pridedama);

1.2. Nacionalinio bendrųjų funkcijų centro informacinių sistemų saugaus elektroninės informacijos tvarkymo taisykles (pridedama);

1.3. Nacionalinio bendrųjų funkcijų centro informacinių sistemų naudotojų administravimo taisykles (pridedama);

1.4. Nacionalinio bendrųjų funkcijų centro informacinių sistemų veiklos tęstinumo valdymo planą (pridedama).

2. S k i r i u:

2.1. Nacionalinio bendrųjų funkcijų centro (toliau – NBFC) Veiklos skaitmeninimo grupės vadovą Andrių Papinigį NBFC informacinių sistemų saugos įgaliotiniu bei už kibernetinio saugumo organizavimą ir užtikrinimą NBFC atsakingu asmeniu;

2.2. NBFC Veiklos skaitmeninimo grupės informacinių sistemų specialistą Robertą Kliukovskį NBFC informacinių sistemų administratoriumi ir už informacinių technologijų išteklių registro tvarkymą atsakingu asmeniu.

3. Į p a r e i g o j u:

3.1. NBFC Veiklos skaitmeninimo grupės vadovą Andrių Papinigį dokumentų valdymo sistemos „Avilys“ priemonėmis su šiuo įsakymu ir jo pakeitimais supažindinti visus NBFC darbuotojus;

3.2. NBFC direktoriaus patarėją komunikacijai Mantą Banį paskelbti šį įsakymą NBFC interneto svetainėje;

3.3. NBFC Teisės ir administravimo grupės konsultantę (teisės klausimais) Jurgitą Petlickaitę paskelbti šį įsakymą Teisės aktų registre;

3.4. NBFC Veiklos skaitmeninimo grupės informacinių sistemų specialistą Robertą Kliukovskį:

3.4.1. iki 2020 m. spalio 9 d. sudaryti informacinių technologijų išteklių registrą, kuriame būtų pateikta informacija apie informacinių technologijų išteklių tipą (techninė, programinė, kompiuterinio tinklo įranga ar kt.), nurodyti informacinių technologijų išteklių pavadinimai ir buvimo vieta (fizinė ar elektroninė) bei informacija, kurie informacinių technologijų  ištekliai yra naudojami tvarkant asmens duomenis;

3.4.2. sudarius informacinių technologijų išteklių registrą, ne rečiau kaip kartą per 3 mėnesius jį peržiūrėti ir atnaujinti;

3.4.3. iki 2020 m. spalio 9 d. parengti pareigybių, turinčių prieigą prie informacinių technologijų  išteklių, sąrašą ir užtikrinti, kad jis būtų patvirtintas NBFC direktoriaus įsakymu.

 

 

 

Direktorius                                                                                                           Antanas Matusa

 

 

PATVIRTINTA

Nacionalinio bendrųjų funkcijų

centro direktoriaus

2020 m. rugsėjo 4 d. įsakymu Nr. V-443

 

 

NACIONALINIO BENDRŲJŲ FUNKCIJŲ CENTRO INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Nacionalinio bendrųjų funkcijų centro informacinių sistemų duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Nacionalinio bendrųjų funkcijų centro (toliau – NBFC) eksploatuojamų informacinių sistemų elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui ir informacinių sistemų naudotojų supažindinimo su saugos dokumentais principus.

2. Informacinių sistemų saugos politiką nustato Saugos nuostatai, Nacionalinio bendrųjų funkcijų centro informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklės, Nacionalinio bendrųjų funkcijų centro informacinių sistemų veiklos tęstinumo valdymo planas ir Nacionalinio bendrųjų funkcijų centro informacinių sistemų naudotojų administravimo taisyklės (toliau – saugos politikos įgyvendinamieji dokumentai).

3. Saugos nuostatai taikomi šioms NBFC eksploatuojamoms informacinėms sistemoms (toliau - Informacinės sistemos):

3.1. Dokumentų valdymo sistema Avilys (toliau – DVS); DVS valdytojas ir tvarkytojas – UAB „Asseco Lietuva“, j. a. kodas 302631095, buveinės adresas: Kalvarijų g. 125B, Vilnius;

3.2. Elektroninio pašto sistema @nbfcentras.lt; valdytojas ir tvarkytojas – BĮ Kertinis valstybės telekomunikacijų centras, j. a. kodas 121738687, buveinės adresas: Pilies g. 23, Vilnius;

3.3. Buhalterinės apskaitos sistema Steko alga. Valdytojas ir tvarkytojas – UAB „STEKAS“, j. a. kodas 120625932, buveinės adresas: J. Kubiliaus g. 6, Vilnius.

4. NBFC eksploatuojamai informacinei sistemai „E. sąskaita“ taikomi Informacinės sistemos „E. Sąskaita“ duomenų saugos nuostatai, patvirtinti NBFC direktoriaus 2019 m. rugpjūčio 26 d. įsakymu Nr. V-316 „Dėl informacinės sistemos „E. sąskaita“ nuostatų ir informacinės sistemos „E. sąskaita“ duomenų saugos nuostatų patvirtinimo“, kurie yra paskelbti Teisės aktų registre.

5. Saugos nuostatai parengti vadovaujantis Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ patvirtintais Bendrųjų elektroninės informacijos saugos reikalavimų aprašu (toliau ‒ Bendrųjų elektroninės informacijos saugos reikalavimų aprašas) ir Saugos dokumentų turinio gairių aprašu (toliau ‒ Saugos dokumentų turinio gairių aprašas) bei Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Aprašas).

6. Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Lietuvos standartuose LST ISO/IEC 27001 ir LST ISO/IEC 27002.

7. Saugos nuostatų tikslas – sudaryti tinkamas sąlygas saugiai tvarkyti Informacinių sistemų elektroninę informaciją automatiniu būdu ir užtikrinti Informacinių sistemų veiklos tęstinumą.

8. Informacinių sistemų elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo prioritetinės kryptys yra šios:

8.1. elektroninės informacijos konfidencialumo užtikrinimas;

8.2. elektroninės informacijos vientisumo užtikrinimas;

8.3. elektroninės informacijos prieinamumo užtikrinimas;

8.4. asmens duomenų apsauga;

8.5. Informacinių sistemų veiklos tęstinumo užtikrinimas;

8.6. prieigos prie Informacinių sistemų kontrolė;

8.7. rizikos valdymas;

8.8. Informacinių sistemų naudotojų mokymas elektroninės informacijos saugos ir kibernetinio saugumo klausimais;

8.9. organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti, įgyvendinimas ir kontrolė.

9. Saugos nuostatais privalo vadovautis Informacinių sistemų saugos įgaliotinis (toliau – saugos įgaliotinis), asmuo, atsakingas už kibernetinio saugumo organizavimą ir užtikrinimą NBFC (toliau – kibernetinio saugumo vadovas), Informacinių sistemų administratorius ir Informacinių sistemų naudotojai (toliau – naudotojai).

10. Informacinių sistemų valdytojas atsako už saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą bei atlieka šias funkcijas:

10.1. plėtoja Informacinių sistemų duomenų apsaugos teisinę bazę ir organizuoja jos įgyvendinimą;

10.2. užtikrina veiksmingą ir spartų Informacinių sistemų funkcijų pokyčių (toliau – pokyčiai) valdymo planavimą;

10.3. kontroliuoja, kad racionaliai ir taupiai būtų naudojami darbo, materialiniai ir finansiniai ištekliai, susiję su Informacinėmis sistemomis;

10.4. skiria saugos įgaliotinį ir kibernetinio saugumo vadovą;

10.5. atlikus rizikos analizės ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams, ne rečiau kaip kartą per metus organizuoja saugos politikos įgyvendinamųjų dokumentų peržiūrą;

10.6. užtikrina, kad perkant prekes, paslaugas ar darbus, susijusius su Informacinių sistemų projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose bus nustatyta, kad paslaugų teikėjas, darbų vykdytojas ar prekių tiekėjas užtikrins atitiktį Aprašo reikalavimams;

10.7. atsako už elektroninės informacijos saugos ir kibernetinio saugumo politikos formavimą.

11. Informacinių sistemų tvarkytojas atlieka šias funkcijas:

11.1. užtikrina informacinių sistemų duomenų apsaugą, elektroninės informacijos saugą ir kibernetinį saugumą saugos politikos įgyvendinamųjų dokumentų nustatyta tvarka ir atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą;

11.2. teikia pasiūlymus Informacinių sistemų valdytojui, kaip tobulinti informacinių sistemų apsaugą;

11.3. teikia metodinę ir informacinę pagalbą naudotojams informacinių sistemų saugos klausimais, organizuoja naudotojų mokymus ir teikia bendrą praktiką formuojančias rekomendacijas informacinių sistemų administratoriui ir naudotojams informacinių sistemų saugos klausimais.

12. Saugos įgaliotinis, koordinuodamas ir prižiūrėdamas, kaip Informacinėse sistemose įgyvendinama saugos politika, atlieka Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir saugos politikos įgyvendinamuosiuose dokumentuose saugos įgaliotiniui priskirtas funkcijas.

13. Kibernetinio saugumo vadovas atlieka šias funkcijas:

13.1. koordinuoja Informacinių sistemų elektroninės informacijos saugos incidentų tyrimą, bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;

13.2. kiekvienais metais ne vėliau kaip iki sausio 30 d. Informacinių sistemų tvarkytojo vadovui pateikia per praėjusius kalendorinius metus įvykusių kibernetinių incidentų (jeigu tokių buvo) valdymo patirties vertinimą;

13.3. atlieka kitas saugos politikos įgyvendinamuosiuose dokumentuose priskirtas funkcijas.

14. Saugos įgaliotiniu ir kibernetinio saugumo vadovu paskiriamas tas pats asmuo.

15. Informacinių sistemų administratorius atsako už Informacinių sistemų funkcionavimą užtikrinančios techninės ir programinės įrangos administravimą, naudotojų administravimą ir atlieka šias funkcijas:

15.1. įvertina naudotojų pasirengimą dirbti su Informacinėmis sistemomis;

15.2. atlieka naudotojams suteiktų teisių ir priskirtų funkcijų atitikties vertinimą;

15.3. nustato pažeidžiamas informacinių sistemų techninės ir programinės įrangos vietas;

15.4. reguliariai, tačiau ne rečiau kaip kartą per metus ir (arba) įvykus pokyčiams peržiūri Informacinės sistemos sąranką ir būsenos rodiklius;

15.5. tvarko Informacinių sistemų sudedamųjų dalių (virtualių mašinų, saugasienių, kitos kompiuterių tinklo įrangos, duomenų bazių valdymo sistemų, taikomųjų programų sistemų) sąranką;

15.6. atlieka Informacinėms sistemoms taikomų saugos reikalavimų atitikties vertinimą ir stebėseną;

15.7. konsultuoja naudotojus darbo su Informacinėmis sistemomis klausimais;

15.8. įvertina Informacinių sistemų kompiuterizuotų darbo vietų būklę, nustato pažeidžiamas vietas;

15.9. sprendžia kompiuterizuotose darbo vietose iškilusias problemas ir apie jas informuoja, saugos įgaliotinį ir kibernetinio saugumo vadovą;

15.10. konsultuoja naudotojus klausimais, susijusiais su mobiliųjų įrenginių naudojimu;

15.11. įvertina mobiliųjų įrenginių būklę, nustato pažeidžiamas vietas;

15.12. informuoja saugos įgaliotinį apie saugos politikos įgyvendinamųjų dokumentų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;

15.13. atlieka kitas saugos politikos įgyvendinamuosiuose dokumentuose priskirtas funkcijas.

16. Informacinių sistemų administratorius privalo vykdyti visus saugos įgaliotinio ir kibernetinio saugumo vadovo nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimu, pagal kompetenciją reaguoti į elektroninės informacijos saugos ir kibernetinio saugumo incidentus ir nuolat teikti saugos įgaliotiniui ir kibernetinio saugumo vadovui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.

17. Naudotojai, vadovaudamiesi saugos politikos įgyvendinamaisiais dokumentais, pareigybių aprašymais ir kitais teisės aktais, naudojasi Informacinių sistemų informacija tvarkymo arba kitais su tiesioginių funkcijų vykdymu susijusiais tikslais.

18. Tvarkant Informacinių sistemų elektroninę informaciją ir užtikrinant jos saugą vadovaujamasi šiais teisės aktais:

18.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendruoju duomenų apsaugos reglamentu);

18.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

18.3. Lietuvos Respublikos kibernetinio saugumo įstatymu;

18.4. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

18.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

18.6. Saugos dokumentų turinio gairių aprašu;

18.7. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

18.8. Lietuvos standartais LST ISO/IEC 27001 ir LST ISO/IEC 27002;

18.9. Aprašu;

18.10. ir kitais teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą ir kibernetinį saugumą.

 

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

19. Vadovaujantis Saugos dokumentų turinio gairių aprašo 10 punktu, Informacinėse sistemose tvarkoma elektroninė informacija priskiriama mažiausios svarbos informacijai.

20. Vadovaujantis Saugos dokumentų turinio gairių aprašo 12.4 papunkčiu, Saugos nuostatų 3 punkte nurodytos Informacinės sistemos priskiriamos ketvirtos kategorijos Informacinėms sistemoms, nes jose tvarkoma mažiausios svarbos informacija.

21. Už Informacinių sistemų rizikos vertinimo organizavimą atsakingas saugos įgaliotinis. Saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuoja Informacinių sistemų rizikos vertinimą. Kartu su Informacinių sistemų rizikos vertinimu ir (ar) Saugos nuostatų 25 ir 26 punktuose nurodytu informacinių technologijų saugos atitikties vertinimu turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos Informacinių sistemų kibernetiniam saugumui, vertinimas pagal Saugos nuostatų 27 punkto nuostatas. Prireikus saugos įgaliotinis gali organizuoti neeilinį Informacinių sistemų rizikos vertinimą. Informacinių sistemų valdytojo rašytiniu pavedimu Informacinių sistemų rizikos vertinimą gali atlikti pats saugos įgaliotinis.

22. Informacinių sistemų rizikos vertinimo rezultatai išdėstomi rizikos vertinimo ataskaitoje, kuri pateikiama Informacinių sistemų valdytojo vadovui. Rizikos vertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai, galimą jų žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:

22.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

22.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Informacinėmis sistemomis elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, vagystės ir kita);

22.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

23. Atsižvelgdamas į rizikos vertinimo ataskaitą, Informacinių sistemų valdytojo vadovas prireikus tvirtina rizikos vertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

24. Elektroninės informacijos saugos ir kibernetinio saugumo gerinimo priemonės turi atitikti teisės aktų reikalavimus, būti parinktos atsižvelgiant į rizikos vertinimo rezultatus ir vadovaujantis šiais principais:

24.1. Liekamoji rizika turi būti sumažinta iki priimtino lygio.

24.2. Priemonės diegimo kaina turi būti adekvati tvarkomos elektroninės informacijos vertei;

24.3. Atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos ir kibernetinio saugumo priemonės.

25. Siekiant įgyvendinti saugos politikos įgyvendinamuosiuose dokumentuose nustatytus elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus ir užtikrinti jų kontrolę, ne rečiau kaip kartą per dvejus metus organizuojamas informacinių technologijų saugos atitikties vertinimas, atliekamas vadovaujantis Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Informacinių technologijų saugos atitikties vertinimo metodika), ir ne rečiau kaip kartą per metus – kibernetinio saugumo atitikties reikalavimams vertinimas, atliekamas vadovaujantis Aprašu.

26. Informacinių technologijų saugos atitikties vertinimo metu turi būti:

26.1. vertinama saugos politikos įgyvendinamųjų dokumentų atitiktis realiai informacijos saugos situacijai;

26.2. tikrinamas įdiegtos antivirusinės ir apsaugos nuo nepageidaujamos programinės įrangos filtravimo sistemų naudojimas, centralizuotas jų valdymas ir atnaujinimas;

26.3. tikrinamas virtualių mašinų ir duomenų perdavimo įrangos programinės įrangos naudojimas ir atnaujinimas;

26.4. tikrinama, kaip daromos atsarginės kopijos;

26.5. tikrinama naudotojų kompiuterizuotose darbo vietose įdiegta programinė įranga ir jos sąranka;

26.6. tikrinama (vertinama) naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

26.7. vertinamas pasirengimas užtikrinti Informacinių sistemų veiklos tęstinumą įvykus saugos incidentui;

26.8. rengiama informacinių technologijų saugos atitikties vertinimo ataskaita.

27. Kibernetinio saugumo atitikties reikalavimams vertinimo metu taip pat turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos Informacinių sistemų kibernetiniam saugumui, vertinimas, kurio metu imituojamos kibernetinės atakos ir vykdomos kibernetinių incidentų imitavimo pratybos. Kibernetinių atakų imitavimas turi būti atliekamas tokiais etapais:

27.1. Planavimo etapas. Parengiamas pažeidžiamumų nustatymo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtis, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (ar) pilkosios dėžės (angl. Grey Box), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (ar) techniniai įrankiai ir priemonės, naudojamos pažeidžiamumams nustatyti, nurodomos už pažeidžiamumų nustatymo plano vykdymą atsakingų asmenų teisės ir pareigos. Pažeidžiamumų nustatymo planas turi būti suderintas su Veiklos skaitmeninimo grupės vadovu.

27.2. Žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių virtualių mašinų ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą, konfigūracijas ir kitą sėkmingai kibernetinei atakai įvykdyti reikalingą informaciją.

27.3. Kibernetinių atakų imitavimo etapas. Atliekami pažeidžiamumų nustatymo plane numatyti testai.

27.4. Ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti pateikti kibernetinio saugumo atitikties reikalavimams vertinimo ataskaitoje. Pažeidžiamumų nustatymo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir turi būti pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

28.  Atlikus Saugos nuostatų 25 ir 27 punktuose nurodytus vertinimus, rengiamas pastebėtų trūkumų šalinimo planas, kuriame, atsižvelgiant į kibernetinių atakų imitavimo metu nustatytus trūkumus, Informacinių sistemų valdytojo vadovui teikiami pasiūlymai dėl kibernetinį saugumą reglamentuojančių teisės aktų ar kitų valdytojo vadovo patvirtintų dokumentų pakeitimo, kibernetinio saugumo būklės gerinimo ir papildomų kibernetinio saugumo priemonių įsigijimo. Pastebėtų trūkumų šalinimo planą tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato Informacinių sistemų valdytojo vadovas.

29. Informacinių sistemų rizikos vertinimo ataskaitos, rizikos vertinimo ir rizikos valdymo priemonių plano, informacinių technologijų saugos atitikties vertinimo ataskaitos, kibernetinio saugumo atitikties reikalavimams vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas Informacinių sistemų valdytojas ne vėliau kaip per penkias darbo dienas nuo minėtų dokumentų priėmimo dienos pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS) Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai), nustatyta tvarka.

30. Patvirtintų informacinių sistemų saugos politikos įgyvendinamųjų dokumentų ir jų pakeitimų kopijas Informacinių sistemų valdytojas ne vėliau kaip per penkias darbo dienas nuo jų patvirtinimo dienos pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

 

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

31.  Prieigos prie Informacinių sistemų tvarką nustato Informacinių sistemų valdytojas informacinių sistemų naudotojų administravimo taisyklėse.

32.  Informacinių sistemų virtualios mašinos ir kompiuterizuotos darbo vietos turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, nepageidaujamų elektroninių laiškų ir pan.). Apsaugai naudojama programinė įranga turi atsinaujinti automatiškai ne rečiau kaip kartą per parą.

33.  Turi būti operatyviai įdiegiami operacinės sistemos ir naudojamos programinės įrangos gamintojų rekomenduojami naujiniai.

34.  Draudžiama Informacinių sistemų virtualiose mašinose ar kompiuterizuotose darbo vietose:

34.1. naudoti programinę įrangą, nesusijusią su NBFC veikla ar naudotojo funkcijomis; virtualiose mašinose ir kompiuterizuotose darbo vietose turi būti naudojama tik legali programinė įranga;

34.2. saugoti su NBFC veikla nesusijusią informaciją.

35.    Siekiant apsaugoti sukauptus duomenis, nešiojamojo kompiuterio diskas turi būti šifruojamas aparatinio arba programinio šifravimo mechanizmais, o mobiliajame įrenginyje, jeigu įmanoma, turi būti įjungtas ekrano užraktas ir duomenys šifruojami išorinėse laikmenose.

36.    Elektroninei informacijai kitoms valstybės institucijoms teikti ir elektroninei informacijai iš jų gauti turi būti naudojamos VPN technologijos ir saugus HTTPS protokolas.

37. Siekiant aptikti įsibrovimus ir vykdyti jų prevenciją:

37.1. turi būti įdiegtos ir veikti automatizuotos įsibrovimo aptikimo sistemos, kurios stebėtų įeinantį ir išeinantį Informacinių sistemų duomenų srautą ir vidinį srautą tarp svarbiausių tinklo paslaugų;

37.2. įsilaužimo atakų pėdsakai (angl. attack signature) turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos, jeigu informacinių sistemų valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio Informacinių sistemų veiklai vertinimas;

37.3. Informacinių sistemų virtualiose mašinose turi būti įjungtos saugasienės, sukonfigūruotos blokuoti visą įeinantį ir išeinantį duomenų, išskyrus su Informacinių sistemų funkcionalumu ir administravimu susijusį duomenų srautą;

37.4. į viešuosius elektroninių ryšių tinklus įeinantis ir iš jų išeinantis duomenų srautas turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenkėjiškos programinės įrangos;

37.5. turi būti naudojama turinio filtravimo sistema, leidžianti tik būtiną NBFC veiklai duomenų srautą;

37.6. turi būti naudojamos taikomųjų programų kontrolės sistemos.

38. Informacinių sistemų administratorius diegti kibernetiniam saugumui užtikrinti reikalingas priemones ir / ar keisti šių priemonių parametrus gali tik suderinęs šį klausimą su kibernetinio saugumo vadovu.

39.  Atsarginės duomenų kopijos turi būti daromos ir duomenys iš atsarginių kopijų turi būti atkuriami laikantis Informacinių sistemų valdytojo patvirtintų elektroninės informacijos atsarginio kopijavimo ir atkūrimo iš atsarginių kopijų reikalavimų. Pagrindiniai elektroninės informacijos atsarginio kopijavimo ir atkūrimo reikalavimai yra šie:

39.1. Atsarginės elektroninės informacijos kopijos (toliau – kopijos) daromos automatiniu būdu periodiškai. Visų duomenų kopija daroma kartą per 24 valandas.

39.2. Prarasta, iškraipyta ar sunaikinta Informacinių sistemų elektroninė informacija atkuriama iš kopijų.

39.3. Informacinių sistemų (dokumentų valdymo sistemos Avilys, elektroninio pašto sistemos @nbfcentras.lt, buhalterinės apskaitos sistemos Steko alga,) elektroninė informacija turi būti kopijuojama ir saugoma taip, kad elektroninės informacijos praradimo atveju visišką Informacinių sistemų funkcionalumą ir veiklą būtų galima atnaujinti per 24 valandas.

39.4. Kopijos turi būti pažymėtos taip, kad jas būtų galima atpažinti.

39.5. Padarius kopijas, informacinių sistemų administratorius turi patikrinti sistemos sukurtus duomenų kopijavimo protokolus ir padaryti įrašą elektroninės informacijos atsarginio kopijavimo ir atkūrimo apskaitos žurnale.

39.6. Elektroninės informacijos visiško atkūrimo iš atsarginių kopijų bandymai privalo būti vykdomi ne rečiau kaip 1 kartą per metus.

39.7. Elektroninės informacijos visiško atkūrimo iš atsarginių kopijų bandymai vykdomi ne darbo valandomis. Apie planuojamus Informacinių sistemų ar jų dalių veikimo sustabdymą atkūrimo bandymams vykdyti informuojami visi Informacinių sistemų naudotojai.

39.8. Už kopijų darymą, saugojimą ir elektroninės informacijos iš kopijų atkūrimą atsakingas informacinių sistemų administratorius. Už atsarginių kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų kontrolę atsakingas saugos įgaliotinis.

39.9. Kopijos turi būti saugomos užrakintoje nedegioje spintoje, kitoje patalpoje ar kitame pastate, nei yra Informacinės sistemos.

 

IV SKYRIUS

REIKALAVIMAI PERSONALUI

 

40.    Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje ir savo darbe vadovautis saugos politikos įgyvendinamaisiais dokumentais, Informacinių technologijų saugos atitikties vertinimo metodika ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais ir kitais dokumentais, reglamentuojančiais informacinių sistemų duomenų tvarkymą, sugebėti prižiūrėti informacinių sistemų saugos politikos įgyvendinimą.

41.    Kibernetinio saugumo vadovas privalo išmanyti kibernetinio saugumo užtikrinimo principus, tobulinti kvalifikaciją kibernetinio saugumo srityje ir savo darbe vadovautis saugos politikos įgyvendinamaisiais dokumentais, Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais ir kitais dokumentais, reglamentuojančiais kibernetinį saugumą.

42. Saugos įgaliotiniu ir kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėjo mažiau kaip vieni metai. Saugos įgaliotinis negali atlikti informacinių sistemų administratoriaus funkcijų.

43. Informacinių sistemų administratorius privalo išmanyti elektroninės informacijos saugos politikos principus, mokėti administruoti kompiuterizuotas darbo vietas, mobiliuosius įrenginius, virtualias mašinas, kompiuterių tinklą ir kitą kompiuterių įrangą administruoti Informacinių sistemų naudotojus, būti susipažinęs su saugos politikos įgyvendinamaisiais dokumentais.

44.    Naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti duomenis, būti susipažinę su saugos politikos įgyvendinamaisiais dokumentais.

45.    Darbuotojų elektroninės informacijos saugos ir kibernetinio saugumo mokymai organizuojami vadovaujantis NBFC darbo reglamentu, patvirtintu NBFC direktoriaus 2018 m. liepos 3 d. įsakymu Nr. V-19 „Dėl Nacionalinio bendrųjų funkcijų centro darbo reglamento patvirtinimo“.

 

V SKYRIUS

INFORMACINIŲ SISTEMŲ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

46.    Saugos įgaliotinis kibernetinio saugumo vadovą, informacinių sistemų administratorių, ir naudotojus su saugos politikos įgyvendinamaisiais dokumentais supažindina per DVS.

47.    Tvarkyti Informacinių sistemų duomenis gali tik naudotojai, susipažinę su saugos politikos įgyvendinamaisiais dokumentais.

48. Pakartotinai su saugos politikos įgyvendinamaisiais dokumentais supažindinama per DVS, pasikeitus saugos politikos įgyvendinamiesiems dokumentams arba padažnėjus elektroninės informacijos saugos incidentų.

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

49.    Saugos įgaliotinis ne rečiau kaip kartą per metus inicijuoja saugos politikos įgyvendinamųjų dokumentų peržiūrą. Saugos politikos įgyvendinamieji dokumentai peržiūrimi atlikus rizikos analizę, informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Saugos politikos įgyvendinamieji dokumentai turi būti derinami su Nacionaliniu kibernetinio saugumo centru prie Lietuvos Respublikos krašto apsaugos ministerijos Aprašo nustatyta tvarka.

50. Už Saugos nuostatų laikymąsi saugos įgaliotinis, kibernetinio saugumo vadovas, informacinių sistemų administratorius ir naudotojai atsako teisės aktų nustatyta tvarka.

______________________________

 

 

PATVIRTINTA

Nacionalinio bendrųjų funkcijų

centro direktoriaus

2020 m. rugsėjo 4 d. įsakymu Nr. V-443

 

 

 

NACIONALINIO BENDRŲJŲ FUNKCIJŲ CENTRO SAUGAUS INFORMACINIŲ SISTEMŲ ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

 

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Nacionalinio bendrųjų funkcijų centro saugaus informacinių sistemų elektroninės informacijos tvarkymo taisyklės (toliau ‒ Taisyklės) nustato Nacionalinio bendrųjų funkcijų centro (toliau ‒ NBFC) eksploatuojamų informacinių sistemų (toliau – informacinės sistemos) technines ir kitas saugos priemones, saugaus elektroninės informacijos tvarkymo principus ir reikalavimus informacinių sistemų funkcionavimui užtikrinti reikalingoms paslaugoms ir šių paslaugų teikėjams.

2. Taisyklės parengtos vadovaujantis Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ patvirtintais Bendrųjų elektroninės informacijos saugos reikalavimų aprašu (toliau ‒ Bendrųjų elektroninės informacijos saugos reikalavimų aprašas) ir Saugos dokumentų turinio gairių aprašu (toliau ‒ Saugos dokumentų turinio gairių aprašas) bei Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Aprašas).

3. Taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir kituose saugų duomenų tvarkymą reglamentuojančiuose teisės aktuose vartojamas sąvokas.

4. Taisyklių tikslas ‒ užtikrinti techninių ir kitų saugos priemonių, kurios leis saugiai automatiniu būdu tvarkyti informacinėse sistemose elektroninę informaciją, naudojimą.

5. Informacinėse sistemose esanti informacija pagal konfidencialumo, vientisumo ir prieinamumo prie informacinių sistemų duomenų principus klasifikuojama į tris kategorijas:

5.1. I kategorija ‒ vieši informacinių sistemų duomenys, pasiekiami visoms naudotojų grupėms;

5.2. II kategorija ‒ atskiroms naudotojų grupėms pasiekiami informacinių sistemų duomenys;

5.3. III kategorija ‒ informacinių sistemų priežiūros duomenys, pasiekiami tik informacinių sistemų administratoriui.

6. I kategorijai priskirta elektroninė informacija ‒ tai informacinių sistemų žinynų duomenys.

7. II kategorijai priskirta elektroninė informacija ‒ tai atskiroms naudotojų grupėms pasiekiami informacinių sistemų duomenys. Už šios elektroninės informacijos tvarkymą atsakingi naudotojai, turintys šių duomenų tvarkymo teises.

8. III kategorijai priskirta elektroninė informacija ‒ tai informacinių sistemų priežiūros duomenys, pasiekiami tik informacinių sistemų administratoriui. Už šios elektroninės informacijos tvarkymą atsakingas informacinių sistemų administratorius.

 

II SKYRIUS

TECHNINIŲ IR KITŲ SAUGOS PRIEMONIŲ APRAŠYMAS

 

9. NBFC taikomos šios kompiuterinės įrangos saugos priemonės:

9.1. Tarnybinės stotys ir svarbiausi elektroninės informacijos perdavimo tinklo mazgai turi įtampos filtrą ir nenutrūkstamo maitinimo šaltinį. Nenutrūkstamo maitinimo šaltinis užtikrina tarnybinių stočių veikimą ne trumpiau kaip 30 min.

9.2. Prieigos teisę prie informacinių sistemų virtualių mašinų gali turėti tik informacinių sistemų administratorius.

9.3. Tarnybinės stotys, svarbiausi elektroninės informacijos perdavimo tinklo mazgai ir ryšio linijos yra dubliuojami, o jų techninė būklė nuolat stebima.         

9.4. Baigęs darbą, informacinių sistemų naudotojas privalo išjungti kompiuterį arba užrakinti terminalą (įjungti užsklandą) ir palikti darbo vietą tvarkingą, t. y. dokumentus ar jų kopijas padėti į pašaliniams asmenims neprieinamą vietą.

9.5. Informacinių sistemų naudotojams draudžiama ardyti jų darbo vietų kompiuterius ir keisti jų aparatinę konfigūraciją.

9.6. Taisant kompiuterius ne NBFC patalpose arba perduodant juos tretiesiems asmenims, informacijos kaupikliai išimami arba juose esanti informacija sunaikinama.

9.7. Informacinių sistemų techninė įranga turi būti prižiūrima laikantis įrangos gamintojo reikalavimų.

9.8. Visose tarnybinėse stotyse ir kompiuterizuotose darbo vietose yra įdiegta ir reguliariai atnaujinama virusų ir kenkimo kodo aptikimo ir šalinimo programinė įranga, skirta kompiuteriams ir laikmenoms tikrinti. Kompiuterizuotose darbo vietose naudojamos centralizuotai valdomos kenkimo programinės įrangos aptikimo priemonės, kurios reguliariai atnaujinamos.

10. NBFC taikomos šios sisteminės ir taikomosios programinės įrangos saugos priemonės:

10.1. Informacinių sistemų naudotojams suteikiamos minimalios teisės, būtinos nustatytoms funkcijoms vykdyti.

10.2. Informacinių sistemų naudotojui teisė naudotis informacinėmis sistemomis turi būti panaikinta nutrūkus darbo ar kitiems sutartiniams teisiniams santykiams, kurių pagrindu informacinių sistemų naudotojui buvo suteikta teisė naudotis šiomis sistemomis.

10.3. Informacinių sistemų virtualios mašinos ir naudotojų darbo vietos turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, nepageidaujamų elektroninių laiškų ir pan.). Apsaugai naudojama programinė įranga turi atsinaujinti automatiškai ne rečiau kaip kartą per parą. Turi būti operatyviai įdiegiami operacinės sistemos ir naudojamos programinės įrangos gamintojų rekomenduojami naujiniai.

10.4. Informacinių sistemų programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų.

10.5. Draudžiama informacinių sistemų virtualiose mašinose, naudotojų darbo vietose ir mobiliuosiuose įrenginiuose naudoti programinę įrangą, nesusijusią su NBFC veikla ar informacinių sistemų naudotojo funkcijomis. Informacinių sistemų virtualiose mašinose, naudotojų darbo vietose ir mobiliuosiuose įrenginiuose turi būti naudojama tik legali programinė įranga. Informacinių sistemų administratorius kartu su informacinių sistemų saugos įgaliotiniu (toliau – saugos įgaliotinis) parengia NBFC leistinos naudoti virtualiose mašinose, naudotojų darbo vietose ir mobiliuosiuose įrenginiuose programinės įrangos sąrašą (toliau – NBFC leistinos naudoti programinės įrangos sąrašas) (Taisyklių 2 priedas), kurį turi patvirtinti informacinių sistemų valdytojo vadovas. Vėliau, ne rečiau kaip kartą per metus informacinių sistemų administratorius turi teikti saugos įgaliotiniui pasiūlymus dėl naudojamos programinės įrangos sąrašo atnaujinimo. Saugos įgaliotinis, įvertinęs pasiūlymus, parengia atnaujintą leistinos naudoti virtualiose mašinose, naudotojų darbo vietose ir mobiliuosiuose įrenginiuose programinės įrangos sąrašą, kurį turi patvirtinti informacinių sistemų valdytojo vadovas.

10.6. Programinę įrangą informacinių sistemų virtualiose mašinose, informacinių sistemų naudotojų darbo vietose ir mobiliuosiuose įrenginiuose diegia, šalina ir prižiūri tik informacinių sistemų administratorius.

11. NBFC taikomos šios elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

11.1. Turi būti suteikiama minimali būtina prieiga prie tinklo išteklių ir užtikrinamas minimalus būtinas tinklo funkcionalumas.

11.2. Prieiga prie informacinių sistemų iš kitų kompiuterių tinklų turi būti apsaugota saugasienėmis, sukonfigūruotomis visam įeinančiam ir išeinančiam duomenų srautui, išskyrus susijusį su informacinių sistemų funkcionalumu ir administravimu, blokuoti.

11.3. Informacinių sistemų administratorius ne rečiau kaip kartą per mėnesį atlieka saugasienių užfiksuotų įvykių analizę ir šalina pastebėtas neatitiktis saugumo reikalavimams.

11.4. Visas elektroninės informacijos srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenkimo programinės įrangos.

11.5. Turi būti naudojama turinio filtravimo sistema, leidžianti tik būtiną NBFC veiklai tinklo srautą.

11.6. Turi būti naudojamos taikomųjų programų kontrolės sistemos.

11.7. Elektroninei informacijai kitoms valstybės institucijoms teikti ir elektroninei informacijai iš jų gauti naudojamos VPN technologijos ir saugus HTTPS protokolas.

11.8. Visi informacinių sistemų naudotojų prisijungimo prie viešųjų tinklų atvejai turi būti fiksuojami ir ši informacija turi būti saugoma 6 (šešis) mėnesius.

11.9. Informacinių sistemų naudotojų prisijungimo sesija prie viešųjų tinklų be išankstinio perspėjimo gali būti nutraukta, jei tai trukdo informacinių sistemų veiklai.

11.10. Jungiantis prie informacinių sistemų nuotoliniu būdu turi būti naudojamas protokolas, skirtas duomenims šifruoti.

12. Patalpų, kuriose yra sumontuoti NBFC kompiuterių tinklo komutatorius, maršrutizatorius ir kita kompiuterių tinklo įranga (toliau – Patalpos), saugumo užtikrinimo priemonės yra šios:

12.1. Patalpos turi atitikti gaisrinės saugos reikalavimus.

12.2. Turi būti įgyvendintos gamintojo nustatytos techninės įrangos darbo sąlygos.

12.3. Techninė įranga turi būti apsaugota nuo elektros srovės svyravimų naudojant įtampos filtrus ir (arba) nepertraukiamo maitinimo šaltinius.

13. Kitos priemonės, naudojamos elektroninės informacijos saugai užtikrinti, yra šios:

13.1. Turi būti įrašomi ir 6 (šešis) mėnesius saugomi duomenys apie informacinių sistemų virtualių mašinų, informacinių sistemų taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis informacinės sistemos virtualiose mašinose, informacinės sistemos taikomojoje programinėje įrangoje, visus informacinių sistemų naudotojų ir informacinių sistemų administratoriaus atliekamus veiksmus, kitus elektroninės informacijos saugai svarbius įvykius ir nurodomas informacinės sistemos naudotojo identifikatorius, elektroninės informacijos saugai svarbus įvykis ar atliktas veiksmas bei įvykio ar veiksmo atlikimo laikas. Šie duomenys turi būti saugomi ne toje pačioje informacinėje sistemoje, kurioje jie įrašomi, be to, įvykus elektroninės informacijos saugos incidentui arba ne rečiau kaip kartą per pusę metų jie turi būti analizuojami informacinių sistemų administratoriaus .

13.2. Turi būti užtikrintas informacinių sistemų prieinamumas ne mažiau kaip 95 proc. darbo laiko per metus.

 

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

 

14. Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo tvarka:

14.1. Keisti, atnaujinti, įvesti ir naikinti informacinių sistemų duomenis gali tik informacinių sistemų naudotojai. Jeigu daugiau kaip vienas naudotojas pagal rašymo ir redagavimo teises turi prieigą prie tų pačių duomenų, už elektroninės informacijos autentiškumą atsako naudotojas, redagavęs elektroninę informaciją.

14.2. Tvarkydami informacinių sistemų duomenis naudotojai privalo vadovautis informacinių sistemų naudotojo vadovais, o informacinių sistemų administratorius ‒ informacinių sistemų administratoriaus vadovais. Naudotojai su informacinių sistemų naudotojo ir administratoriaus vadovais gali susipažinti dokumentų valdymo sistemoje.

14.3. Prieš pašalinant bet kokią duomenų laikmeną, sunaikinami visi joje esantys duomenys, naudojant tam skirtą programinę įrangą, kuri palaiko patikimus duomenų naikinimo algoritmus. Jei to padaryti neįmanoma, duomenų laikmenos sunaikinamos fiziškai, be galimybės jas atkurti. Duomenų laikmenos, kuriose buvo saugomi, kaupiami asmens duomenys, naikinamos tam skirtais smulkintuvais.

14.4. Darbuotojai privalo ištrinti nebeaktualią ir nebereikalingą darbo funkcijoms atlikti informaciją.

15. Informacinių sistemų naudotojų, informacinių sistemų administratoriaus veiksmų registravimo tvarka, auditas ir kontrolė:

15.1. Informacinių sistemų duomenų tvarkytojų tapatybė ir jų veiksmai su informacinių sistemų duomenimis atpažįstami programinėmis priemonėmis ir įrašomi elektroniniuose žurnaluose.

15.2. Turi būti įrašomi ir 6 (šešis) mėnesius saugomi duomenys apie visus informacinių sistemų naudotojų ir informacinių sistemų administratoriaus atliktus veiksmus.

15.3. Informacinių sistemų naudotojų, informacinių sistemų administratoriaus atliekamų veiksmų auditui ir kontrolei turi būti taikomi Aprašo priede nurodyti ketvirtos kategorijos informacinėms sistemoms numatyti reikalavimai.

16. Saugaus elektroninės informacijos perkėlimo ir teikimo susijusioms informacinėms sistemoms, elektroninės informacijos gavimo iš jų užtikrinimo tvarka:

16.1. Už informacinių sistemų naudotojų administravimą ir iš kitų informacinių sistemų gaunamos elektroninės informacijos atnaujinimą informacinėse sistemose yra atsakingas informacinių sistemų administratorius;

16.2. Duomenų mainai tarp NBFC eksploatuojamų informacinių sistemų ir kitų informacinių sistemų vykdomi su šių informacinių sistemų valdytojais sudarytose duomenų teikimo sutartyse numatytais būdais, terminais ir numatytos apimties;

16.3. Reorganizuojant arba likviduojant informacines sistemas, elektroninė informacija turi būti saugiai perduota kitam informacinių sistemų valdytojui, valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka arba sunaikinama.

17. Elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:

17.1. Informacinių sistemų naudotojas, įtaręs, kad su informacinių sistemų duomenimis buvo atlikti neteisėti veiksmai, apie tai turi pranešti saugos įgaliotiniui arba informacinių sistemų administratoriui;

17.2. Informacinių sistemų administratorius, atsiradus įtarimų dėl neteisėtų veiksmų su informacinių sistemų duomenimis, nustato neteisėto poveikio šaltinį, laiką, veiksmus ir informuoja saugos įgaliotinį;

17.3. Saugos įgaliotinis, gavęs pranešimą apie neteisėtus veiksmus su informacinės sistemos duomenimis, inicijuoja elektroninės informacijos saugos incidento valdymo procedūras.

18. Programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:

18.1. Kiekvienų metų ketvirtąjį ketvirtį rengiamas ateinančių metų programinės ir techninės įrangos keitimo ir atnaujinimo darbų planas.

18.2. Atnaujinama ar keičiama programinė ir techninė įranga turi būti testuojama.

18.3. Turi būti įvertinamas informacinių sistemų programinės ir techninės įrangos keitimo ir atnaujinimo poveikis informacinių sistemų saugai.

18.4. Su informacija apie planuojamus atlikti programinės ir techninės įrangos atnaujinimus ar keitimus informacinių sistemų administratorius turi supažindinti saugos įgaliotinį, visus naudotojus, paslaugų teikėjus.

19. Informacinių sistemų pokyčių (toliau ‒ pokyčiai) valdymo tvarka:

19.1. Visi pokyčiai atliekami tik informacinių sistemų valdytojo iniciatyva.

19.2. Informacinių sistemų administratorius užtikrina, kad pokyčiai būtų sparčiai identifikuojami ir suskirstomi į kategorijas, įvertina įtaką Informacinėms sistemoms ir nustato prioritetus.

19.3. Pokyčiai, galintys turėti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti testavimo aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri yra atskirta nuo eksploatuojamų informacinių sistemų;

19.4. Prieš atlikdamas pokyčius, kurių metu galimi informacinių sistemų veikimo sutrikimai, informacinių sistemų administratorius privalo ne vėliau kaip prieš vieną darbo dieną iki planuojamų pokyčių vykdymo pradžios informuoti (elektroniniu paštu ar kitomis priemonėmis) informacinių sistemų naudotojus apie tokių darbų pradžią ir galimus sutrikimus;

19.5. Atlikęs informacinių sistemų pokyčių testavimą arba jeigu dėl programinių ir (ar) techninių priežasčių nebuvo galima jo atlikti, informacinių sistemų administratorius gali pradėti inicijuoti ir įgyvendinti pokyčius;

19.6. Visi pokyčiai turi būti registruojami informacinių sistemų pokyčių žurnale (1 priedas).

20. Belaidžio tinklo įrenginių saugumo ir kontrolės reikalavimai:

20.1. Leidžiama naudoti tik su asmeniu, atsakingu už kibernetinio saugumo organizavimą ir užtikrinimą NBFC (toliau – kibernetinio saugumo vadovas) suderintus belaidės prieigos taškus ir belaidžio tinklo įrenginius, atitinkančius Aprašo priede nurodytus reikalavimus.

20.2. Informacinių sistemų administratorius, vykdydamas belaidžių įrenginių kontrolę, turi nedelsdamas informuoti kibernetinio saugumo vadovą apie eksploatuojamus belaidžius įrenginius, kurie yra neleistini arba neatitinka Aprašo priede nurodytų reikalavimų.

20.3. Informacinių sistemų administratorius belaidės prieigos taškus gali diegti tik atskirame potinklyje, kontroliuojamoje zonoje.

20.4. Informacinių sistemų naudotojams jungiantis prie belaidžio tinklo turi būti taikomas EAP (angl. Extensible Authentication Protocol) / TLS (angl. Transport Layer Security) patvirtinimo protokolas.

20.5. Siekiant apsaugoti sukauptus duomenis, nešiojamojo kompiuterio diskas turi būti šifruojamas aparatinio arba programinio šifravimo mechanizmais.

20.6. Belaidžio tinklo saugumas ir kontrolė turi būti užtikrinami ir pagal kitus belaidžiui tinklui Aprašo priede nurodytus reikalavimus, kai naudojamos ketvirtos kategorijos informacinės sistemos.

21. Mobiliųjų įrenginių saugumo ir kontrolės reikalavimai:

21.1. Leidžiama naudoti tik su kibernetinio saugumo vadovu suderintus mobiliuosius įrenginius, atitinkančius Aprašo priede nurodytus reikalavimus.

21.2. Tik informacinių sistemų administratorius turi teisę valdyti mobiliuosius įrenginius ir juose įdiegtą programinę įrangą.

21.3. Informacinių sistemų administratorius, vykdydamas mobiliųjų įrenginių kontrolę, turi informuoti kibernetinio saugumo vadovą apie eksploatuojamus mobiliuosius įrenginius, kurie yra neleistini arba neatitinka Aprašo priede nurodytų reikalavimų.

21.4. Informacinių sistemų administratorius operatyviai turi įdiegti operacinių sistemų ir kitos naudojamos programinės įrangos gamintojų rekomenduojamus naujinius.

21.5. Mobiliųjų įrenginių saugumas ir kontrolė turi būti užtikrinami ir pagal kitus mobiliesiems įrenginiams Aprašo priede nurodytus reikalavimus, kai naudojamos ketvirtos kategorijos informacinės sistemos.

22. Išnešti iš NBFC patalpų nešiojamieji kompiuteriai ar kiti mobilieji įrenginiai negali būti palikti be priežiūros viešose vietose.

23. Visi nešiojamieji kompiuteriai ar kiti mobilieji įrenginiai turi būti apsaugoti saugiais slaptažodžiais, sudėtingumu atitinkančiais Nacionalinio bendrųjų funkcijų centro informacinių sistemų naudotojų administravimo taisyklėse nustatytus reikalavimus.

            24. Informacinėse sistemose naudojamų interneto svetainių, pasiekiamų iš viešųjų elektroninių ryšių tinklų, saugumo ir kontrolės reikalavimai:

24.1. Svetainės turi atitikti Aprašo priede nurodytus reikalavimus interneto svetainėms, naudojamoms ketvirtos kategorijos informacinėse sistemose, ir Techninius valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus, patvirtintus Lietuvos Respublikos vidaus reikalų ministro 2013 m spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“.

24.2. Turi būti užtikrinama, kad prie svetainių turinio valdymo sistemų ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu.

24.3. Informacinėse sistemose naudojamų svetainių sauga turi būti vertinama informacinių sistemų rizikos įvertinimo metu ir informacinių technologijų saugos atitikties vertinimo metu.

25. Interneto ryšio paslaugos teikėjas turi užtikrinti interneto saugumą ir kontrolę pagal Aprašo priede nurodytus reikalavimus ketvirtos kategorijos informacinėms sistemoms.

26. Įsibrovimų aptikimo ir prevencijos reikalavimai:

26.1. Turi būti įdiegta ir veikti įsibrovimo aptikimo sistema, kuri stebėtų į informacines sistemas įeinantį ir iš jų išeinantį duomenų srautą bei vidinį srautą tarp svarbiausių tinklo paslaugų.

26.2. Įsilaužimo aptikimo konfigūracijos ir kibernetinių incidentų aptikimo taisyklės turi būti saugomos elektronine forma atskirai nuo informacinių sistemų infrastruktūros techninės įrangos (kartu nurodant atitinkamas datas (įgyvendinimo, atnaujinimo ir panašiai), atsakingus asmenis, taikymo periodus ir panašiai).

 

IV SKYRIUS

REIKALAVIMAI, KELIAMI INFORMACINIŲ SISTEMŲ FUNKCIONAVIMUI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

 

27. Reikalavimai, keliami informacinių sistemų funkcionavimui reikalingoms paslaugoms ir jų tiekėjams, nustatomi paslaugų teikimo sutartyse.

28. Paslaugų teikėjams, kurie teikia paslaugas, susijusias su informacinių sistemų funkcionalumo užtikrinimu, yra suteikiama tokia prieiga prie informacinių sistemų, kuri yra būtina norint įvykdyti paslaugų teikimo sutartyje nustatytus įsipareigojimus ir kuri neprieštarauja įstatymų ir kitų teisės aktų reikalavimams.

29. Paslaugų teikimo sutartyse, susijusiose su informacinių sistemų funkcionalumo užtikrinimu, turi būti nurodyti:

29.1. paslaugų teikėjų prieigos prie informacinių sistemų lygiai ir sąlygos;

29.2. reikalavimai, keliami paslaugų teikėjų patalpoms, įrangai, informacinių sistemų priežiūrai, duomenų perdavimui tinklais ir kitoms paslaugoms.

30. Pasibaigus sutarties su paslaugų teikėjais galiojimo terminui ar atsiradus paslaugų teikimo sutartyje ar saugos politikos įgyvendinamuosiuose dokumentuose įvardytų kitų sąlygų, informacinių sistemų administratorius nedelsdamas privalo panaikinti suteiktą prieigą.

31. Už programinių, techninių ir kitų prieigos prie informacinės sistemos išteklių priemonių organizavimą, suteikimą paslaugų teikėjui ir panaikinimą atsakingas informacinių sistemų administratorius.

__________________________

 

Nacionalinio bendrųjų funkcijų centro

informacinių sistemų saugaus elektroninės

informacijos tvarkymo taisyklių

1 priedas 

 

INFORMACINIŲ SISTEMŲ POKYČIŲ ŽURNALAS

 

Eil. Nr.

Data

Virtuali mašina ar kita kompiuterių tinklo įranga

(pavadinimas, IP adresas)

Informacinių sistemų pokyčio aprašymas

Informacinių sistemų pokytį atlikęs darbuotojas

(vardas, pavardė)

Pastabos

1.

 

 

 

 

 

2.

 

 

 

 

 

3.

 

 

 

 

 

4.

 

 

 

 

 

5.

 

 

 

 

 

6.

 

 

 

 

 

7.

 

 

 

 

 

 

__________________________

 

Nacionalinio bendrųjų funkcijų centro

informacinių sistemų saugaus elektroninės

informacijos tvarkymo taisyklių

2 priedas

 

NACIONALINIAME BENDRŲJŲ FUNKCIJŲ CENTRE LEISTINOS NAUDOTI PROGRAMINĖS ĮRANGOS SĄRAŠAS

 

 

 

1. 7-Zip;

2. Abbyy eFormFiler;

3. Adobe Acrobat Reader DC;

4. Dameware;

5. F-secure;

6. FortiClient;

7. Google Chrome;

8. Java 6/8;

9. Microsoft Office;

10. Microsoft Teams;

11. Microsoft Visual C++;

12. Mozilla Firefox;

13. NetSetMan;

14. Notepad ++;

15. Signa 2010;

16. Teamviewer;

17. Total Commander;

18. UltraViewer;

19. Microsoft Windows 10;

20. Microsoft Outlook;

21. Android 8 ir naujesnės „Android“ versijos.

__________________________

 

PATVIRTINTA

Nacionalinio bendrųjų funkcijų

centro direktoriaus

2020 m. rugsėjo 4 d. įsakymu Nr. V-443

 

 

NACIONALINIO BENDRŲJŲ FUNKCIJŲ CENTRO INFORMACINIŲ SISTEMŲ NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Nacionalinio bendrųjų funkcijų centro informacinių sistemų naudotojų administravimo taisyklės (toliau – Taisyklės) nustato Nacionalinio bendrųjų funkcijų centro (toliau – NBFC) eksploatuojamų informacinių sistemų (toliau – informacinės sistemos) naudotojų ir informacinių sistemų administratoriaus įgaliojimus, teises ir pareigas, saugaus elektroninės informacijos teikimo informacinių sistemų naudotojams kontrolės tvarką.

2. Taisyklės parengtos vadovaujantis Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ patvirtintais Bendrųjų elektroninės informacijos saugos reikalavimų aprašu (toliau ‒ Bendrųjų elektroninės informacijos saugos reikalavimų aprašas) ir Saugos dokumentų turinio gairių aprašu (toliau ‒ Saugos dokumentų turinio gairių aprašu) bei Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.

3. Taisyklėse vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Lietuvos standartuose LST ISO/IEC 27001 ir LST ISO/IEC 27002.

4. Taisyklių tikslas – sudaryti tinkamas sąlygas saugiai tvarkyti elektroninę informaciją automatiniu būdu.

5. Taisyklės yra taikomos visiems pagal darbo sutartį dirbantiems NBFC darbuotojams, kurie naudojasi informacinėmis sistemomis (dokumentų valdymo sistema Avilys, elektroninio pašto sistema @nbfcentras.lt, buhalterinės apskaitos sistema Steko alga, informacine sistema „E. sąskaita“) (toliau – naudotojai).

6. Naudotojams prieiga prie informacinių sistemų elektroninės informacijos suteikiama vadovaujantis šiais prieinamumo prie elektroninės informacijos principais:

6.1. Prieigos prie informacinių sistemų teisė naudotojams suteikiama tik tuo atveju, jei jiems pavesta tvarkyti informacinių sistemų elektroninę informaciją arba jiems numatytoms funkcijoms vykdyti būtina naudotis informacinių sistemų elektronine informacija.

6.2. Naudotojams negali būti suteikiamos informacinių sistemų administratoriaus teisės.

6.3. Informacinių sistemų priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą informacinių sistemų administratoriaus paskyrą, kuria naudojantis negalima atlikti naudotojo funkcijų.

6.4. Prieiga prie informacinėse sistemose saugomos elektroninės informacijos ir teisė ją keisti suteikiama tik identifikavus naudotoją ir patvirtinus jo tapatybę slaptažodžiu.

6.5. Kiekvienas naudotojas turi būti unikaliai identifikuojamas (asmens kodas negali būti naudojamas naudotojui identifikuoti).

 

II SKYRIUS

NAUDOTOJŲ IR INFORMACINIŲ SISTEMŲ ADMINISTRATORIAUS ĮGALIOJIMAI, TEISĖS IR PAREIGOS

 

7. Naudotojai rinkdami, tvarkydami, perduodami, saugodami, naikindami ar kitaip naudodami elektroninę informaciją gali naudotis tik tais informacinių sistemų posistemiais ir juose tvarkoma elektronine informacija, prie kurios prieigą jiems suteikė informacinių sistemų administratorius.

8. Naudotojai, vadovaudamiesi Taisyklėse apibrėžtais reikalavimais, privalo užtikrinti jų naudojamo informacinių sistemų posistemio ir jame tvarkomos elektroninės informacijos konfidencialumą, vientisumą ir pasiekiamumą.

9. Naudotojai privalo nedelsdami pranešti informacinių sistemų saugos įgaliotiniui (toliau – saugos įgaliotinis), asmeniui, atsakingam už kibernetinio saugumo organizavimą ir užtikrinimą NBFC (toliau – kibernetinio saugumo vadovas), informacinių sistemų administratoriui apie informacinių sistemų sutrikimus, neįprastą jų veikimą, esamus arba galimus informacijos saugos reikalavimų pažeidimus.

10. Naudotojas negali keisti jam suteiktų prieigos prie duomenų teisių ir priskirtos naudotojų grupės.

11. Su asmens duomenimis galima atlikti tik tuos veiksmus ir tik tais tikslais, kuriais naudotojui yra suteiktos teisės. Naudotojui turi būti suteikiamos minimalios teisės, būtinos priskirtoms funkcijoms vykdyti.

12. Už prieigos prie elektroninės informacijos suteikimą, keitimą ir panaikinimą yra atsakingas informacinių sistemų administratorius. Prieiga prie informacinių sistemų elektroninės informacijos suteikiama vadovaujantis šiais duomenų saugos principais: konfidencialumo, vientisumo ir prieinamumo.

13. Informacinių sistemų administratorius, atlikdamas duomenų archyvavimo, atkūrimo, naudotojų prieigos prie elektroninės informacijos tvarkymo ir kitus administravimo darbus, turi teisę prieiti prie visų informacinių sistemų duomenų.

14. Kiekvienas naudotojas priklauso vienai arba kelioms informacinių sistemų posistemių naudotojų grupėms. Kiekviena naudotojų grupė turi skirtingas prieigos prie informacinių sistemų elektroninės informacijos teises.

14.1. Dokumentų valdymo sistemos Avilys (toliau – DVS) naudotojų grupės:

14.1.1. „DVS administratorius“ – informacinių sistemų administratorius, kuris gali prižiūrėti DVS ir (ar) jos infrastruktūros veikimą, atlikti DVS naudotojų priežiūrą;

14.1.2. „DVS naudotojas“ – NBFC darbuotojas, atsakingas už DVS elektroninės informacijos tvarkymą.

14.2. Buhalterinės apskaitos sistema Steko alga (toliau – BAS):

14.2.1. „BAS administratorius“ – informacinių sistemų administratorius, kuris gali prižiūrėti BAS ir (ar) jos infrastruktūros veikimą, atlikti BAS naudotojų priežiūrą;

14.2.2. „BAS naudotojas“ – NBFC darbuotojas, atsakingas už BAS elektroninės informacijos tvarkymą.

14.3. Elektroninio pašto sistema @nbfcentras.lt (toliau − el. pašto sistema):

14.3.1. „El. pašto sistemos administratorius“ – informacinių sistemų administratorius, kuris gali prižiūrėti el. pašto sistemą ir (ar) jos infrastruktūros veikimą, atlikti el. pašto sistemos naudotojų priežiūrą;

14.3.2. „El. pašto naudotojas“ – NBFC darbuotojas, atsakingas už el. pašto sistemos elektroninės informacijos tvarkymą.

14.4. Informacinė sistema „E. sąskaita“ (toliau – „E. sąskaita“):

14.4.1. „E. sąskaita“ administratorius – informacinių sistemų administratorius, kuris gali prižiūrėti „E. sąskaitą“ ir (ar) jos infrastruktūros veikimą, atlikti „E. sąskaitos“ naudotojų priežiūrą;

14.4.2. „E. sąskaita“ naudotojas – NBFC darbuotojas, atsakingas už „E. sąskaitos“ elektroninės informacijos tvarkymą.

 

III SKYRIUS

SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO INFORMACINIŲ SISTEMŲ NAUDOTOJAMS KONTROLĖS TVARKA

 

15. NBFC darbuotojui, atsakingam už personalo administravimą, pateikus informacinių sistemų administratoriui informaciją el. paštu apie darbuotojo priėmimą į darbą, informacinių sistemų administratorius per tris darbo dienas sukuria naudotojo kompiuterines korteles aktyvių katalogų domene, elektroninio pašto sistemoje @nbfcentras.lt ir DVS. Atsižvelgdamas į darbuotojo pareigybę, informacinių sistemų administratorius suteikia prieigos prie elektroninės informacijos teises.

16. NBFC darbuotojui, atsakingam už personalo administravimą, pateikus informacinių sistemų administratoriui informaciją el. paštu apie pasikeitusias darbuotojo funkcijas, informacinių sistemų administratorius nedelsdamas, bet ne vėliau kaip per vieną darbo dieną turi peržiūrėti darbuotojo prieigos prie informacinių sistemų elektroninės informacijos teises. Naudotojui turi būti paliekamos tik minimalios teisės, būtinos priskirtoms funkcijoms vykdyti.

17. Informacinių sistemų administratorius, gavęs iš NBFC darbuotojo, atsakingo už personalo administravimą, informaciją el. paštu apie darbuotojo atleidimą iš darbo, darbuotojo atleidimo dieną panaikina naudotojo kompiuterines korteles ir prieigos prie elektroninės informacijos teises.

18. Naudotojų prieiga prie informacinių sistemų duomenų realizuota tik per naudotojų identifikavimo ir slaptažodžių sistemą.

19. Kiekvienam DVS, BAS, el. pašto sistemos naudotojui suteikiamas naudotojo vardas ir slaptažodis.

20. Naudotojo slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai:

20.1. slaptažodis turi būti sudarytas iš ne mažiau kaip 8 simbolių;

20.2. slaptažodis turi būti sudaromas naudojant didžiųjų ir mažųjų raidžių, skaičių ir specialiųjų simbolių kombinacijas;

20.3. slaptažodis neturi būti lengvai nuspėjamas, neturi būti naudojama asmeninio pobūdžio informacija (šeimos narių vardai, gimimo datos, telefonų numeriai ir pan.);

20.4. sudarant slaptažodį reikėtų vengti prasminių žodžių ar jų junginių, esančių lietuvių kalbos ar kitų kalbų žodynuose;

20.5. sudarant slaptažodį nenaudoti iš eilės einančių tokių pat simbolių arba tik skaitmeninių ar tik abėcėlinių grupių;

20.6. slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius;

20.7. keičiant slaptažodį turi būti neleidžiama pasirinkti slaptažodžio iš buvusių 10 pastarųjų slaptažodžių;

20.8. naudotojas, pirmą kartą gavęs ar gavęs naują informacinių sistemų administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie informacinių sistemų, nedelsdamas pakeisti slaptažodį ir jį įsiminti;

20.9. draudžiama slaptažodį, prieigos vardą ir kitus prieigos duomenis atskleisti tretiesiems asmenims;

20.10. naudotojas, įtardamas, kad tretieji asmenys sužinojo slaptažodį, privalo nedelsdamas jį pakeisti;

20.11. naudotojas neturi teisės užrašyto slaptažodžio palikti matomoje vietoje;

20.12. jungiantis prie informacinės sistemos, naudotojui turi būti leidžiama mėginti įvesti neteisingą slaptažodį ne daugiau kaip 3 kartus, vėliau prieiga prie informacinės sistemos turi būti blokuojama, o ją vėliau atkurti turi būti leidžiama tik informacinių sistemų administratoriui. Atkūrus prieigą prie informacinių sistemų, naudotojui yra suteikiamas laikinas slaptažodis, kurį pirmo prisijungimo prie informacinių sistemų metu naudotojas turi pakeisti į nuolatinį slaptažodį, vadovaudamasis Taisyklių 20 punkte nurodytais reikalavimais;

20.13. draudžiama slaptažodį siųsti elektroniniu paštu arba perduoti kitomis komunikacinėmis priemonėmis. Kibernetinio saugumo vadovo sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo.

21. Papildomi reikalavimai informacinių sistemų administratoriaus slaptažodžiams:

21.1. slaptažodis turi būti ne trumpesnis kaip 12 simbolių;

21.2. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius.

22. Naudotojo teisė dirbti su konkrečia elektronine informacija turi būti sustabdoma, kai naudotojas nesinaudoja atitinkama informacine sistema ilgiau kaip 3 mėnesius. Nutrūkus darbo, sutartiniams ar kitiems santykiams, naudotojo teisė naudotis informacinėmis sistemomis turi būti nedelsiant panaikinta.

23. Draudžiama informacinių sistemų techninėje ir programinėje įrangoje naudoti gamintojo nustatytus slaptažodžius, jie turi būti pakeisti pagal Taisyklių 20 ir 21 punktuose nustatytus reikalavimus.

24. Informacinių sistemų dalys, patvirtinančios naudotojo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius.

25. Jei naudotojas abejoja informacinėse sistemose įdiegtų saugumo priemonių patikimumu, jis nedelsdamas privalo kreiptis į NBFC Veiklos skaitmeninimo grupės vadovą, kad būtų įvertintos turimos saugumo priemonės ir, jei reikia, inicijuotas papildomų priemonių įsigijimas ir (ar) įdiegimas.

26. Nuotolinis prisijungimas prie el. pašto sistemos galimas tik su informacinių sistemų administratoriaus suteiktu unikaliu naudotojo vardu ir slaptažodžiu ir saugiu HTTPS protokolu arba naudojant VPN technologijas.

27. Nuotolinis prisijungimas prie DVS, BAS ir interneto svetainės administravimo modulio galimas tik naudojant VPN technologijas.

28. Informacinių sistemų administratoriaus teisė dirbti su konkrečia elektronine informacija turi būti sustabdoma, jeigu informacinių sistemų administratorius nesinaudoja atitinkama informacine sistema ilgiau kaip 2 mėnesius. Informacinių sistemų administratoriaus teisė naudotis informacinėmis sistemomis turi būti nedelsiant panaikinta nutrūkus darbo, sutartiniams ar kitiems santykiams arba kai informacinių sistemų administratorius praranda patikimumą.

29. Informacinių sistemų administratorius ne rečiau kaip kartą per mėnesį tikrina, ar nėra nepatvirtintų administratorių ar naudotojų paskyrų tose informacinėse sistemose, kurios turi paskyrų patvirtinimo funkciją, ir praneša kibernetinio saugumo vadovui apie nepatvirtintas paskyras.

 

IV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

30. Informacinių sistemų administratorius, pastebėjęs Taisyklių nuostatų pažeidimus ar veiksmus, galinčius turėti įtakos informacinių sistemų elektroninės informacijos saugai, gali apriboti naudotojo teisę dirbti su konkrečia elektronine informacija ir sustabdyti visas naudotojui suteiktas prieigos prie informacinių sistemų teises, kol pažeidimai ar veiksniai bus pašalinti.

______________________________

 

PATVIRTINTA

Nacionalinio bendrųjų funkcijų

centro direktoriaus

2020 m. rugsėjo 4 d. įsakymu Nr. V-443

 

 

NACIONALINIO BENDRŲJŲ FUNKCIJŲ CENTRO INFORMACINIŲ SISTEMŲ VEIKLOS TĘSTINUMO VALDYMO PLANAS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Nacionalinio bendrųjų funkcijų centro informacinių sistemų veiklos tęstinumo valdymo planas (toliau – Valdymo planas) nustato Nacionalinio bendrųjų funkcijų centro (toliau – NBFC) eksploatuojamų informacinių sistemų (toliau – informacinės sistemos) naudotojų, informacinių sistemų administratoriaus, saugos įgaliotinio ir asmens, atsakingo už kibernetinio saugumo organizavimą ir užtikrinimą NBFC (toliau – kibernetinio saugumo vadovas), veiksmus elektroninės informacijos saugos incidento ar kibernetinio incidento (toliau – elektroninės informacijos saugos incidentas) metu, kilus pavojui informacinių sistemų duomenims, techninės ir programinės įrangos funkcionavimui.

2. Valdymo planas parengtas vadovaujantis Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ patvirtintais Bendrųjų elektroninės informacijos saugos reikalavimų aprašu (toliau ‒ Bendrųjų elektroninės informacijos saugos reikalavimų aprašas) ir Saugos dokumentų turinio gairių aprašu (toliau ‒ Saugos dokumentų turinio gairių aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, bei Nacionaliniu kibernetinių incidentų valdymo planu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau ‒ Nacionalinis kibernetinių incidentų valdymo planas).

3. Valdymo plane vartojamos sąvokos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Lietuvos standartuose LST ISO/IEC 27001 ir LST ISO/IEC 27002.

4. Valdymo plano tikslas – užtikrinti informacinių sistemų veiklos tęstinumą elektroninės informacijos saugos incidento metu, kilus pavojui informacinių sistemų duomenims, techninės ir programinės įrangos funkcionavimui.

5. Valdymo planas taikomas įvykus elektroninės informacijos saugos incidentui ir yra privalomas informacinių sistemų saugos įgaliotiniui (toliau – saugos įgaliotinis), informacinių sistemų administratoriui, kibernetinio saugumo vadovui ir visiems pagal darbo sutartį dirbantiems NBFC darbuotojams (toliau – darbuotojai), kurie naudojasi NBFC informacinėmis sistemomis.

6. Kilus kibernetiniams incidentams, jų nustatymas, informavimas apie kibernetinius incidentus, kibernetinių incidentų tyrimas ir kibernetinių incidentų analizė, baigus kibernetinių incidentų tyrimą, vykdomi Nacionaliniame kibernetinių incidentų valdymo plane nustatyta tvarka, o Valdymo plano nuostatos taikomos tiek, kiek kibernetinių incidentų valdymo nereglamentuoja Nacionalinis kibernetinių incidentų valdymo planas.

7. Saugos įgaliotinis atsako už Valdymo plano įgyvendinimo organizavimą ir kontrolę.

8. Naudotojai, kibernetinio saugumo vadovas ir informacinių sistemų administratorius yra atsakingi už Valdymo plano įgyvendinimą.

9. Elektroninės informacijos saugos incidento metu patirti nuostoliai padengiami teisės aktų nustatyta tvarka.

10. Informacinių sistemų veikla atkuriama vadovaujantis šiomis nuostatomis:

10.1. Informacinių sistemų veikla atkuriama pagal šios sistemos atliekamų funkcijų prioritetus, stabdant visą neesminę veiklą.

10.2. Naudotojai pagal galimybes privalo užtikrinti, kad būtų vykdomi informacinių sistemų saugos politikos įgyvendinamuosiuose dokumentuose nustatyti reikalavimai.

11. Kriterijai, pagal kuriuos nustatoma, kad informacinių sistemų veikla yra atkurta, yra šie:

11.1. informacinių sistemų duomenys yra prieinami naudotojams;

11.2. tvarkant informacinių sistemų duomenis užtikrinamas jų konfidencialumas ir vientisumas;

11.3. užtikrint virtualių mašinų, tinklo įrangos ir darbo vietų kompiuterių techninės ir programinės įrangos veikla ir teikiamos kokybiškos paslaugos.

 

II SKYRIUS

ORGANIZACINĖS NUOSTATOS

 

12. Saugos incidentams valdyti ir informacinių sistemų veiklai atkurti sudaromos dvi grupės: Informacinių sistemų veiklos tęstinumo valdymo grupė (toliau – Veiklos tęstinumo valdymo grupė) ir Informacinių sistemų veiklos atkūrimo grupė (toliau – Veiklos atkūrimo grupė).

13. Veiklos tęstinumo valdymo grupės tikslai – tirti saugos incidentus, ieškoti priemonių ir būdų sukeltiems padariniams ir žalai likviduoti, užtikrinti informacinių sistemų veiklos tęstinumą.

14.   Veiklos tęstinumo valdymo grupės sudėtis:

14.1. vadovas ‒ NBFC Veiklos skaitmeninimo grupės vadovas;

14.2. vadovo pavaduotojas ‒ NBFC direktorius;

14.3. kibernetinio saugumo vadovas;

14.4. darbuotojas, atsakingas už NBFC ūkinę veiklą;

14.5. duomenų apsaugos pareigūnas;

14.6. Buhalterinės apskaitos departamento direktorius;

14.7. Personalo apskaitos departamento direktorius;

14.8. patarėjas komunikacijai.

15. Veiklos tęstinumo valdymo grupė atlieka šias funkcijas:

15.1.  analizuoja elektroninės informacijos saugos incidentų priežastis ir priima sprendimus informacinių sistemų veiklos tęstinumo valdymo klausimais;

15.2.  bendradarbiauja su teisėsaugos ir kitų institucijų darbuotojais, pagal kompetenciją teikia informaciją informacinių sistemų naudotojams;

15.3.  nustato finansinių ir kitų išteklių poreikį informacinių sistemų veiklai atkurti, įvykus elektroninės informacijos saugos incidentui, ir vykdo jų naudojimo kontrolę;

15.4. užtikrina informacinių sistemų duomenų fizinę saugą, įvykus elektroninės informacijos saugos incidentui;

15.5. organizuoja logistiką (žmonių, daiktų, įrangos pervežimą);

15.6. prižiūri ir koordinuoja informacinių sistemų veiklos atkūrimo procesus;

15.7. atlieka kitas Veiklos tęstinumo valdymo grupei pavestas funkcijas.

16. Veiklos atkūrimo grupės tikslas – likviduoti saugos incidentus.

17. Veiklos atkūrimo grupės sudėtis:

17.1. vadovas ‒ NBFC Veiklos skaitmeninimo grupės vadovas;

17.2. vadovo pavaduotojas ‒ informacinių sistemų administratorius;

17.3. darbuotojas, atsakingas už NBFC ūkinę veiklą.

18. Veiklos atkūrimo grupė atlieka šias funkcijas:

18.1. organizuoja virtualių mašinų ir kompiuterių tinklo veiklos atkūrimo darbus (informacinių sistemų administratorius);

18.2. organizuoja informacinių sistemų elektroninės informacijos atkūrimo darbus (informacinių sistemų administratorius);

18.3. organizuoja taikomųjų programų veiklos atkūrimo darbus (informacinių sistemų administratorius);

18.4. organizuoja kompiuterizuotų darbo vietų veiklos atkūrimo ir prijungimo prie kompiuterių tinklo darbus (informacinių sistemų administratorius);

18.5. atlieka kitas Veiklos atkūrimo grupei pavestas funkcijas (informacinių sistemų administratorius ir darbuotojas, atsakingas už NBFC ūkinę veiklą).

19. Veiklos tęstinumo valdymo grupės ir Veiklos atkūrimo grupės sudėtis yra tvirtinama NBFC direktoriaus įsakymu.

20. Įvykus elektroninės informacijos saugos incidentui NBFC arba duomenų centro paslaugas teikiančio subjekto patalpose, kai tai turi įtakos šiame duomenų centre esančioms NBFC virtualioms mašinoms, atliekami šie veiksmai:

20.1. Informacinių sistemų administratorius ar kitas saugos incidentą nustatęs asmuo nedelsdamas informuoja apie elektroninės informacijos saugos incidentą saugos įgaliotinį, kibernetinio saugumo vadovą ir Veiklos tęstinumo valdymo grupės vadovą. Jei įvyko asmens duomenų saugumo pažeidimas, apie šį incidentą ir saugumo priemones, kurių imtasi siekiant apsaugoti asmens duomenis, nedelsiant informuojamas NBFC duomenų apsaugos pareigūnas.

20.2. Informacinių sistemų administratorius nedelsdamas informuoja apie elektroninės informacijos saugos incidentą informacinės sistemos naudotojus.

20.3. Naudotojai, kibernetinio saugumo vadovas, informacinių sistemų administratorius ir elektroninės informacijos saugos įgaliotinis nedelsdami įgyvendina NBFC informacinių sistemų veiklos atkūrimo detaliajame plane (1 priedas) numatytas priemones. Saugos įgaliotinis, kibernetinio saugumo vadovas, informacinių sistemų administratorius, o jo nurodymu ir naudotojai atlieka kitus neatidėliotinus veiksmus, skirtus saugos incidento plėtrai sustabdyti ir jo tyrimui būtinai informacijai surinkti.

20.4. Veiklos tęstinumo valdymo grupės vadovas nedelsdamas privalo, o tais atvejais, kai elektroninės informacijos saugos incidentas yra susijęs tik su vienu fiziniu asmeniu, turi teisę, organizuoti Veiklos tęstinumo valdymo grupės susirinkimą.

20.5. Veiklos tęstinumo valdymo grupė, atlikusi incidento analizę, susisiekia su Veiklos atkūrimo grupe ir informuoja apie esamą padėtį ir priimtus sprendimus dėl veiklos atkūrimo.

20.6. Veiklos atkūrimo grupė įgyvendina Veiklos tęstinumo valdymo grupės priimtus sprendimus dėl veiklos atkūrimo, nustato konkrečius informacinių sistemų atkūrimo darbus ir paskiria asmenis, kurie turi atlikti šiuo darbus, bei nustato terminus, per kuriuos turi būti atlikti veiklos atkūrimo darbai.

20.7. Veiklos atkūrimo grupės paskirti asmenys atlieka informacinių sistemų atkūrimo darbus ir apie tai nedelsdami informuoja Veiklos atkūrimo grupės vadovą, o Veiklos atkūrimo grupės vadovas apie atliktus darbus informuoja Veiklos tęstinumo valdymo grupės vadovą. Veiklos tęstinumo valdymo grupės vadovas nuolat informuoja kitus šios grupės narius apie informacinių sistemų veiklos atkūrimo eigą.

20.8. Veiklos tęstinumo valdymo grupės vadovas ne vėliau kaip per 2 darbo dienas nuo saugos incidento pašalinimo darbų atlikimo dienos informaciją apie elektroninės informacijos saugos incidentą užregistruoja dokumentų valdymo sistemos „Avilys“ elektroninėje byloje „Elektroninės informacijos saugos incidentų registravimo žurnalas“, užpildydamas Valdymo plano 2 priede pateiktą formą, nurodydamas įvykio aprašymą, pradžią, pabaigą, elektroninės informacijos saugos incidento pašalinimo darbus atlikusių darbuotojo (-ų) vardą (-us), pavardę (-es), elektroninės informacijos saugos incidento poveikio mažinimo priemones. Elektroninės informacijos saugos incidentų registravimo žurnale turi pasirašyti saugos įgaliotinis ir elektroninės informacijos saugos incidento pašalinimo darbus atlikęs (-ę) darbuotojas (-ai).

21. Atkūrimo darbus atliekantys darbuotojai, atsakingi už tinkamą techninių priemonių, reikalingų informacinių sistemų darbui, veikimą, vykdo informacinių sistemų veiklos atkūrimo darbus pagal Valdymo plano nuostatas ir darbų vykdymo instrukcijas, t. y. informacinių sistemų programinės ir techninės įrangos konfigūracijas, kurios saugomos NBFC patalpose, esančiose Geležinio Vilko g. 12, Vilnius, 511 kabinete, seife.

22. Veiklos tęstinumo valdymo grupės vadovas organizuoja žalos informacinių sistemų duomenims, techninei ir programinei įrangai vertinimą, koordinuoja informacinių sistemų veiklai atkurti reikalingos techninės, sisteminės ir taikomosios programinės įrangos įsigijimo procesą.

23. Techninė ir programinė įranga, skirta elektroninės informacijos saugos incidento metu sunaikintai įrangai pakeisti, įsigyjama Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka.

24. Įvykus elektroninės informacijos saugos incidentui ir nesant galimybių atkurti informacines sistemas pas esamą duomenų centro paslaugų teikėją, viešojo pirkimo būdu, skubos tvarka, gali būti įsigytos duomenų centro paslaugos.

25. Veiklos tęstinumo valdymo grupės ir Veiklos atkūrimo grupės nariai tarpusavyje bendrauja asmeniškai, elektroniniu paštu ir telefonu ir kitomis ryšio priemonėmis.

26. Elektroninės informacijos saugos incidentui paveikus ne NBFC valdomas informacines sistemas, Veiklos tęstinumo valdymo grupės vadovas informuoja elektroninės informacijos saugos incidento poveikį patyrusius ar galinčius patirti paslaugų tiekėjus ir (ar) kitas institucijas ir vykdo jų teisėtus nurodymus bei, NBFC direktoriaus sprendimu, atsižvelgia į jų pateiktas rekomendacijas.

 

III SKYRIUS

APRAŠOMOSIOS NUOSTATOS

 

27. Parengtų ir saugomų dokumentų sąrašas:

27.1. NBFC informacinių sistemų kompiuterinės ir programinės įrangos ir šios įrangos parametrų sąrašas (dokumentas, kuriame nurodyti informacinių technologijų įrangos parametrai, minimalus informacinės sistemos veiklai atkurti, nesant informacinių sistemų administratoriaus, reikiamos kompetencijos ar žinių lygis);

27.2. NBFC informacinių sistemų minimalus funkcijų sąrašas (dokumentas, kuriame nurodyta minimalaus informacinių technologijų įrangos funkcijų, skirtų informacinės sistemos veiklai užtikrinti įvykus elektroninės informacijos saugos incidentui, sąrašas);

27.3. NBFC informacinių sistemų techninė dokumentacija (dokumentas, kuriame nurodyti NBFC patalpų brėžiniai ir juose pažymėti kompiuterių tinklo mazgai, elektros įvedimo vietos);

27.4. NBFC kompiuterio tinklo fizinio ir loginio sujungimo schemos;

27.5. sutarčių, susijusių su NBFC informacinėmis sistemomis, sąrašas (dokumentas, kuriame nurodytos elektroninės informacijos teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingi už šių sutarčių įgyvendinimo priežiūrą asmenys);

27.6. Programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis žurnalas, kuriame nurodoma programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos;

27.7. Veiklos tęstinumo valdymo grupės ir Veiklos atkūrimo grupės narių sąrašas su kontaktiniais duomenimis.

28. Už dokumentų, nurodytų Valdymo plano 27.1–27.6 papunkčiuose, parengimą, saugojimą ir prireikus atnaujinimą yra atsakingas informacinių sistemų administratorius.

29. Informacinių sistemų techninės ir programinės įrangos, kuri yra paslaugų teikėjų patalpose, nuomos, panaudos ir kt. sutarčių sąrašą ir sutarčių kopijas saugo informacinių sistemų administratorius.

 

IV SKYRIUS

VALDYMO PLANO VEIKSMINGUMO IŠBANDYMO NUOSTATOS

 

30. Valdymo plano veiksmingumas turi būti išbandytas per 6 mėnesius nuo jo patvirtinimo dienos. Valdymo plano veiksmingumo patikrinimas atliekamas ne rečiau kaip kartą per vienerius metus, modeliuojant saugos incidentą. Valdymo plano bandymo būdą ir datą, atsižvelgiant į per vienerius metus įvykusius saugos incidentus, įrašytus saugos incidentų registravimo žurnale, saugos įgaliotinio teikimu tvirtina NBFC direktorius.

31. Informacinių sistemų administratorius per 15 darbo dienų po Valdymo plano veiksmingumo bandymo parengia Valdymo plano veiksmingumo bandymo metu pastebėtų trūkumų ataskaitą ir priemonių planą pastebėtiems trūkumams pašalinti, kuriuos suderina su saugos įgaliotiniu ir pateikia tvirtinti NBFC direktoriui.

32. Valdymo plano veiksmingumo bandymo metu pastebėtų trūkumų šalinami vadovaujantis veiksmingumo, operatyvumo ir ekonomiškumo principais.

______________________________

 

Nacionalinio bendrųjų funkcijų centro

informacinių sistemų veiklos tęstinumo

valdymo plano 1 priedas

 

 

 

NACIONALIO BENDRŲJŲ FUNKCIJŲ CENTRO INFORMACINIŲ SISTEMŲ VEIKLOS ATKŪRIMO DETALUSIS PLANAS

 

Elektroninės informacijos saugos incidentas

Veiklos atkūrimo veiksmai

Atsakingi vykdytojai

1. Nenugalima jėga (force majeure)

1.1. Atitinkamos tarnybos informavimas apie pavojaus pobūdį.

Vykdymo terminas – 10 minučių.

Darbuotojas, atsakingas už NBFC ūkinę veiklą

 

1.2. Komunikacijų, keliančių pavojų, išjungimas. Vykdymo terminas – 1 valanda.

Informacinių sistemų administratorius, darbuotojas, atsakingas už NBFC ūkinę veiklą

1.3. Darbuotojų informavimas.

Vykdymo terminas – 10 minučių.

Darbuotojas, atsakingas už NBFC ūkinę veiklą

1.4. Elektroninės informacijos saugos incidento padarinių įvertinimas, priemonių plano padarytai žalai likviduoti sudarymas ir įgyvendinimas.

Vykdymo terminas – 24 valandos.

Saugos įgaliotinis, kibernetinio saugumo vadovas,

darbuotojas, atsakingas už NBFC ūkinę veiklą,

informacinių sistemų administratorius

 

2. Gaisras

2.1. Ugniagesių tarnybos informavimas.

Vykdymo terminas – 10 minučių.

Darbuotojas, atsakingas už NBFC ūkinę veiklą

 

2.2. Darbuotojų evakavimas (pagal ugniagesių tarnybos rekomendaciją).

Vykdymo terminas – 30 minučių.

Darbuotojas, atsakingas už NBFC ūkinę veiklą

2.3. Komunikacijų, keliančių pavojų, išjungimas. Vykdymo terminas – 1 valanda.

Informacinių sistemų administratorius, darbuotojas, atsakingas už NBFC ūkinę veiklą

2.4. Darbuotojų informavimas.

Vykdymo terminas – 10 minučių.

Darbuotojas, atsakingas už NBFC ūkinę veiklą

2.5. Elektroninės informacijos saugos incidento padarinių įvertinimas, priemonių plano padarytai žalai likviduoti sudarymas ir įgyvendinimas.

Vykdymo terminas – 24 valandos.

Saugos įgaliotinis, kibernetinio saugumo vadovas,

darbuotojas, atsakingas už NBFC ūkinę veiklą,

informacinių sistemų administratorius

3. Elektros energijos tiekimo sutrikimai

3.1. Energijos tiekimo sutrikimo priežasčių nustatymas.

Vykdymo terminas – 1 valanda.

Darbuotojas, atsakingas už NBFC ūkinę veiklą

3.2. Kreipimasis į energijos tiekimo tarnybą dėl sutrikimo trukmės ir pašalinimo galimybių.

Vykdymo terminas – 10 minučių.

Darbuotojas, atsakingas už NBFC ūkinę veiklą

3.3. Techninės įrangos elektros energijos maitinimo išjungimas.

Vykdymo terminas – 30 minučių.

Informacinių sistemų administratorius,

darbuotojas, atsakingas už NBFC ūkinę veiklą

3.4. Darbuotojų informavimas.

Vykdymo terminas – 10 minučių.

Darbuotojas, atsakingas už NBFC ūkinę veiklą

3.5. Elektroninės informacijos saugos incidento padarinių įvertinimas, priemonių plano padarytai žalai likviduoti sudarymas ir įgyvendinimas.

Vykdymo terminas – 24 valandos.

Saugos įgaliotinis, kibernetinio saugumo vadovas,

darbuotojas, atsakingas už NBFC ūkinę veiklą,

informacinių sistemų administratorius

4. Vandentiekio ir šildymo sistemų sutrikimai

4.1. Vandentiekio ir šildymo sistemos sutrikimų priežasčių nustatymas.

Vykdymo terminas – 1 valanda.

Darbuotojas, atsakingas už NBFC ūkinę veiklą

 

4.2. Kreipimasis į vandentiekio ir šildymo sistemos paslaugų teikimo tarnybą dėl sutrikimo trukmės ir pašalinimo galimybių.

Vykdymo terminas – 10 minučių.

Darbuotojas, atsakingas už NBFC ūkinę veiklą

 

4.3. Komunikacijų, keliančių pavojų, išjungimas. Vykdymo terminas – 1 valanda.

Informacinių sistemų administratorius,

darbuotojas, atsakingas už NBFC ūkinę veiklą

4.4. Darbuotojų informavimas.

Vykdymo terminas – 10 minučių.

Darbuotojas, atsakingas už NBFC ūkinę veiklą

4.5. Elektroninės informacijos saugos incidento padarinių įvertinimas, priemonių plano padarytai žalai likviduoti sudarymas ir įgyvendinimas.

Vykdymo terminas – 24 valandos.

Saugos įgaliotinis, kibernetinio saugumo vadovas,

darbuotojas, atsakingas už NBFC ūkinę veiklą,

informacinių sistemų administratorius

5. Telekomunikacijų ir kitų ryšio tinklų sutrikimai

5.1. Telekomunikacijų ir kitų ryšio tinklų sutrikimų priežasčių nustatymas.

Vykdymo terminas – 1 valanda.

Informacinių sistemų administratorius

 

 

5.2. Kreipimasis į telekomunikacijų ir kitų ryšio tinklų paslaugų teikimo tarnybą dėl sutrikimo trukmės ir pašalinimo galimybių.

Vykdymo terminas – 10 minučių.

Informacinių sistemų administratorius

 

5.3. Darbuotojų informavimas.

Vykdymo terminas – 10 minučių.

Informacinių sistemų administratorius

5.4. Elektroninės informacijos saugos incidento padarinių įvertinimas, priemonių plano padarytai žalai likviduoti sudarymas ir įgyvendinimas.

Vykdymo terminas – 24 valandos.

Saugos įgaliotinis, kibernetinio saugumo vadovas,

informacinių sistemų administratorius

6. Kompiuterių tinklo įrangos sugadinimas

6.1. Kompiuterių tinklo įrangos sugadinimo priežasčių nustatymas.

Vykdymo terminas – 1 valanda.

Informacinių sistemų administratorius

 

6.2. Kreipimasis į įrangos tiekėjus dėl įrangos remonto arba naujos įrangos įsigijimo.

Vykdymo terminas – 10 minučių.

Informacinių sistemų administratorius

6.3. Darbuotojų informavimas.

Vykdymo terminas – 10 minučių.

Informacinių sistemų administratorius

6.4. Elektroninės informacijos saugos incidento padarinių įvertinimas, priemonių plano padarytai žalai likviduoti sudarymas ir įgyvendinimas.

Vykdymo terminas – 24 valandos.

Saugos įgaliotinis, kibernetinio saugumo vadovas,

informacinių sistemų administratorius

7. Įsilaužimas į vidinį kompiuterių tinklą

7.1. Įsilaužimo būdo nustatymas.

Vykdymo terminas – 1 valanda.

Informacinių sistemų administratorius

7.2. Aptikto įsilaužimo užkardymas.

Vykdymo terminas – 10 minučių.

Informacinių sistemų administratorius

7.3. Viso vidinio tinklo patikra ir papildomų saugumo trūkumų analizė.

Vykdymo terminas – 48 valandos.

Saugos įgaliotinis, kibernetinio saugumo vadovas,

informacinių sistemų administratorius

8. Programinės įrangos sugadinimas, praradimas

8.1. Programinės įrangos sugadinimo priežasčių nustatymas.

Vykdymo terminas – 2 valandos.

Informacinių sistemų administratorius

 

8.2. Sugadintos ar prarastos programinės įrangos atkūrimas.

Vykdymo terminas – 20 valandų.

Informacinių sistemų administratorius

8.3. Darbuotojų informavimas.

Vykdymo terminas – 10 minučių.

Informacinių sistemų administratorius

8.4. Elektroninės informacijos saugos incidento padarinių įvertinimas, priemonių plano padarytai žalai likviduoti sudarymas ir įgyvendinimas.

Vykdymo terminas – 24 valandos.

Saugos įgaliotinis, kibernetinio saugumo vadovas,

informacinių sistemų administratorius

* Apie kibernetinius incidentus Nacionalinis kibernetinio saugumo centras turi būti informuojamas užpildant pranešimo apie incidentą formą, esančią interneto svetainėje https://nksc.lt, arba išsiunčiant informaciją apie incidentą el. paštu cert@nksc.lt, arba skambinant telefonu 1805.

** Kibernetinių incidentų kategorijos nurodytos Nacionaliniame kibernetinių incidentų valdymo plane, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.

 

______________________________

 

Nacionalinio bendrųjų funkcijų centro

informacinių sistemų veiklos tęstinumo

valdymo plano 2 priedas

 

 

ELEKTRONINĖS INFORMACIJOS SAUGOS INCIDENTŲ REGISTRAVIMO ŽURNALAS

 

 

 

 

Eil. Nr.

 

Elektroninės informacijos saugos incidentas

 

 

 

Požymio kodas*

 

Elektroninės informacijos saugos incidento aprašymas

Pradžia

(data, laikas)

Pabaiga

(data, laikas)

Elektroninės informacijos saugos incidentą pašalinęs (-ę) darbuotojas (-ai)

(vardas (-ai), pavardė (-ės), parašas (-ai))

Saugos įgaliotinis

(vardas, pavardė, parašas)

Elektroninės informacijos saugos incidento poveikio mažinimo priemonės

 

1.

 

 

 

 

 

 

 

 

 

2.

 

 

 

 

 

 

 

 

 

3.

 

 

 

 

 

 

 

 

 

4.

 

 

 

 

 

 

 

 

 

5.

 

 

 

 

 

 

 

 

 

6.

 

 

 

 

 

 

 

 

 

* Elektroninės informacijos saugos incidento požymio kodai:

 

1. nenugalima jėga; 2. gaisras; 3. elektros energijos tiekimo sutrikimai; 4. vandentiekio ir šildymo sistemų sutrikimai; 5. telekomunikacijų ir kitų ryšio tinklų sutrikimai; 6. kompiuterių tinklo įrangos sugadinimas; 7. įsilaužimas į vidinį kompiuterių tinklą; 8. programinės įrangos sugadinimas.

 

__________________________