VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO

GENERALINIS DIREKTORIUS

 

ĮSAKYMAS

DĖL INTEGRUOTŲ PASLAUGŲ PLATFORMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

 

2024 m. sausio 4 d. Nr. VE-11(1.3E)

Vilnius

 

 

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo Nr. XI-1807 pakeitimo įstatymo 3 straipsnio 5 dalimi, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 44 straipsnio 2 dalimi, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11 ir 19 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 6 punktu:

1Tvirtinu Integruotų paslaugų platformos duomenų saugos nuostatus (pridedama).

2Skiriu:

2.1.    Prevencijos departamento Informacijos saugos skyriaus saugos įgaliotinę Loretą Tomickytę-Šajaukienę ir šio skyriaus saugos įgaliotinį Aurimą Malašinską Integruotų paslaugų platformos (toliau – IPP) saugos įgaliotinais;

2.2.    Prevencijos departamento vadovą Giedrių Cininą koordinuojančiu IPP saugos įgaliotiniu.

3Pavedu:

3.1.    Prevencijos departamento vadovui koordinuoti šio įsakymo 2.1 papunktyje nurodytų saugos įgaliotinių veiklą:

3.2.    šio įsakymo 2 punkte nurodytiems saugos įgaliotiniams per 4 mėnesius nuo šio įsakymo įsigaliojimo parengti IPP saugaus elektroninės informacijos tvarkymo taisyklių, IPP veiklos tęstinumo valdymo plano, IPP naudotojų administravimo taisyklių ir IPP pokyčių valdymo tvarkos aprašo projektus;

3.3.    Dokumentų valdymo skyriui pateikti šį įsakymą susipažinti valstybės įmonės Registrų centro darbuotojams.

 

 

 

Generalinis direktorius                                                                                   Adrijus Jusas

 

 

 

SUDERINTA

Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos

2023 m. lapkričio 8 d. raštu Nr. (4.1 E) 6K-872

 

PATVIRTINTA

valstybės įmonės Registrų centro

generalinio direktoriaus

2024 m. sausio 4 d.

įsakymu Nr. VE-11(1.3E)

 

 

INTEGRUOTŲ PASLAUGŲ PLATFORMOS DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1Integruotų paslaugų platformos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Integruotų paslaugų platformos (toliau – IPP) elektroninės informacijos saugos ir kibernetinio saugumo politiką.

2Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas).

3.  Saugos nuostatai, IPP saugaus elektroninės informacijos tvarkymo taisyklės, IPP pokyčių valdymo tvarkos aprašas, IPP veiklos tęstinumo valdymo planas, IPP naudotojų administravimo taisyklės (toliau visi kartu – saugos dokumentai) taikomos:

3.1. valstybės įmonei Registrų centrui (toliau – Registrų centras) (Lvivo g. 25-101, 09320 Vilnius) – IPP valdytojai ir tvarkytojai;

3.2. IPP saugos įgaliotiniui (-iams);

3.3. IPP administratoriams;

3.4. IPP naudotojams;

3.5. IPP funkcionuoti reikalingų paslaugų teikėjams.

4.  Saugos nuostatai yra vieši ir skelbiami Teisės aktų registre. IPP saugaus elektroninės informacijos tvarkymo taisyklių, IPP veiklos tęstinumo valdymo plano, IPP naudotojų administravimo taisyklių (toliau visi kartu – saugos politiką įgyvendinantys dokumentai) naudojimas yra ribojamas. IPP naudotojams, IPP funkcionuoti reikalingų paslaugų teikėjams ir kitiems tretiesiems asmenims suteikiama teisė susipažinti su šiais saugos dokumentais Saugos nuostatų V skyriuje nustatyta tvarka, vadovaujantis būtinumo žinoti principu.

5.  Elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo prioritetinės kryptys:

5.1. elektroninės informacijos saugos – elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo – užtikrinimas;

5.2. IPP kibernetinio saugumo užtikrinimas;

5.3. asmens duomenų apsauga;

5.4. IPP naudotojų mokymas.

6.  Elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo tikslai:

6.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti IPP elektroninę informaciją;

6.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

6.3. vykdyti elektroninės informacijos saugos ir kibernetinių incidentų, asmens duomenų saugumo pažeidimų prevenciją, reaguoti į elektroninės informacijos saugos ir kibernetinius incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai suvaldyti.

7IPP valdytojo ir tvarkytojo funkcijos:

7.1. atlikti Integruotų paslaugų platformos nuostatuose, patvirtintuose Registrų centro generalinio direktoriaus 2023 m. gruodžio 28 d. įsakymu Nr. VE-641 (1.3E) „Dėl Integruotų paslaugų platformos nuostatų patvirtinimo“ (toliau – IPP nuostatai), nustatytas funkcijas;

7.2. tvirtinti saugos dokumentus ir kitus teisės aktus, susijusius su IPP elektroninės informacijos sauga ir kibernetiniu saugumu;

7.3. užtikrinti saugos dokumentų ir kitų teisės aktų, susijusių su IPP elektroninės informacijos sauga ir kibernetiniu saugumu, tinkamą įgyvendinimą bei užtikrinti IPP elektroninės informacijos saugą ir kibernetinį saugumą;

7.4. atlikti elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų laikymosi priežiūrą ir kontrolę;

7.5. skirti IPP saugos įgaliotinį (-ius) ir IPP administratorius;

7.6. prižiūrėti IPP komponentus (kompiuterius, operacines sistemas ir kitus IPP komponentus, nurodytus Saugos nuostatų 14.3 papunktyje), užtikrinti jų veikimą;

7.7. teikti Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos (toliau – Nacionalinis kibernetinio saugumo centras) techninę informaciją, reikalingą IPP kibernetiniam saugumui įvertinti, Nacionalinio kibernetinio saugumo centro reikalavimu nurodytais formatais ir terminais arba savo iniciatyva;

7.8. atlikti kitas Saugos nuostatuose ir Saugos nuostatų 19 punkte nurodytuose teisės aktuose nustatytas IPP valdytojo funkcijas.

8.    Registrų centras pagal kompetenciją atsako už:

8.1. elektroninės informacijos saugą ir kibernetinį saugumą, 

8.2. elektroninės informacijos saugos ir kibernetinio saugumo politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.

8.3. reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi saugos dokumentuose nustatyta tvarka.

9.    IPP saugos įgaliotinis ir IPP administratorius gali būti paskiriami keliems IPP posistemiams, funkciškai savarankiškoms sudedamosioms dalims ar tam tikroms IPP saugos įgaliotinio ir IPP administratoriaus funkcijoms atlikti.

10.  Jeigu skiriami keli IPP saugos įgaliotiniai ir (arba) IPP administratoriai, teisės akte, kuriuo skiriami IPP saugos įgaliotiniai ir (arba) IPP administratoriai, turi būti aiškiai nurodyta:

10.1.  kokiam IPP posistemiui, funkciškai savarankiškoms sudedamosioms dalims ar kurioms IPP saugos įgaliotinio ir (arba) IPP administratoriaus funkcijoms atlikti paskiriamas konkretus saugos įgaliotinis ir (arba) administratorius;

10.2.  kuriam iš IPP saugos įgaliotinių ir (arba) IPP administratorių pavedama koordinuoti IPP saugos įgaliotinių ir (arba) IPP administratorių veiklą.

11.  Skiriant IPP saugos įgaliotinį (-ius) ir IPP administratorius turi būti užtikrintas tinkamas jų funkcijų atlikimas (pakankamos žinios, patirtis ir profesinė kvalifikacija, darbo funkcijų atlikimo vieta sutampa su darbovietės (tarnybos) vieta, funkcijų atskyrimas, siekiant išvengti interesų konfliktų, adekvatus registrų ir (ar) informacinių sistemų, kurių saugos įgaliotiniu ir (arba) administratoriumi skiriamas asmuo, skaičius ir pan.).

12.  IPP saugos įgaliotinio funkcijos ir teisės:

12.1.  koordinuoti ir prižiūrėti elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimą saugos dokumentuose nustatyta tvarka;

12.2.  teikti IPP valdytojo vadovui pasiūlymus dėl:

12.2.1. saugos dokumentų priėmimo, keitimo;

12.2.2. informacinių technologijų saugos atitikties vertinimo atlikimo pagal Informacinių technologijų saugos atitikties vertinimo metodiką, patvirtintą Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Informacinių technologijų saugos atitikties vertinimo metodika);

12.3.  organizuoti rizikos ir informacinių technologijų saugos atitikties įvertinimą;

12.4.  koordinuoti elektroninės informacijos saugos incidentų ir kibernetinių incidentų tyrimą ir bendradarbiauti su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, elektroninės informacijos saugos incidentus ir kibernetinius incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais ir kibernetiniais incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos ir kibernetinio saugumo darbo grupės;

12.5.  teikti IPP administratoriams ir IPP naudotojams privalomus vykdyti nurodymus ir pavedimus dėl elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimo;

12.6.  turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus kitiems IPP valdytojo darbuotojams, dirbantiems pagal darbo sutartį (toliau – darbuotojai), jeigu tai būtina elektroninės informacijos saugos ir kibernetinio saugumo politikai įgyvendinti;

12.7.  atlikti Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas), nustatytas asmens, atsakingo už kibernetinio saugumo organizavimą ir užtikrinimą, funkcijas;

12.8.  atlikti kitas saugos dokumentuose ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše saugos įgaliotiniui nustatytas funkcijas.

13.  IPP saugos įgaliotinis negali atlikti IPP administratoriaus funkcijų.

14.  IPP administratoriai pagal atliekamas funkcijas skirstomi į grupes:

14.1.  koordinuojantysis administratorius, kuris prižiūri IPP administratorių veiklą, siekdamas užtikrinti tinkamą IPP administratorių funkcijų vykdymą;

14.2.  IPP naudotojų administratoriai, kurie atlieka funkcijas, susijusias su IPP naudotojų teisių valdymu;

14.3.  IPP komponentų administratoriai, kurie atlieka funkcijas, susijusias su IPP komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazėmis ir jų valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo ir prevencijos sistemomis, elektroninės informacijos perdavimo tinklais, duomenų saugyklomis, bylų serveriais ir kita technine ir programine įranga, kurios pagrindu funkcionuoja IPP ir užtikrinama joje tvarkomos elektroninės informacijos sauga ir kibernetinis saugumas bei IPP komponentų sąranka);

14.4.  IPP saugos administratoriai, kurie atlieka funkcijas, susijusias su IPP pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena.

15.  IPP administratoriai yra atsakingi už tinkamą saugos dokumentuose jiems nustatytų funkcijų vykdymą.

16.  IPP administratoriai privalo vykdyti visus IPP saugos įgaliotinio nurodymus ir pavedimus dėl IPP elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo, pagal kompetenciją reaguoti į elektroninės informacijos saugos ir kibernetinius incidentus ir nuolat teikti IPP saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.

17.  Atlikdami IPP sąrankos pakeitimus, IPP komponentų administratoriai turi laikytis IPP pokyčių valdymo tvarkos apraše, tvirtinamame IPP valdytojo, nustatytos pokyčių valdymo tvarkos.

18.  IPP komponentų administratoriai privalo patikrinti (peržiūrėti) IPP sąranką ir IPP būsenos rodiklius reguliariai – ne rečiau kaip kartą per metus ir (arba) po IPP pokyčių, kurių kategorijos nustatomos IPP pokyčių valdymo tvarkos apraše.

19.  Teisės aktai, kuriais vadovaujamasi tvarkant IPP elektroninę informaciją, užtikrinant jos saugą ir kibernetinį saugumą:

19.1.  2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) ir kiti Europos Sąjungos teisės aktai, reglamentuojantys asmens duomenų apsaugą; 

19.2.  Lietuvos Respublikos kibernetinio saugumo įstatymas;

19.3.  Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

19.4.  Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

19.5.  Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

19.6.  Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2023 m. liepos 19 d. nutarimu Nr. 576 „Dėl Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašo patvirtinimo“;

19.7Valstybės informacinių išteklių svarbos vertinimo metodika, patvirtinta Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. liepos 19 d. įsakymu Nr. 4-418 „Dėl Valstybės informacinių išteklių svarbos vertinimo metodikos patvirtinimo“ (toliau – Metodika);

19.8.  Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas;

19.9.  Informacinių technologijų saugos atitikties vertinimo metodika;

19.10.  Lietuvos standartai LST EN ISO/IEC 27002 ir LST EN ISO/IEC 27001.

 

II skyrius

Elektroninės informacijos saugos valdymas

 

20.  IPP tvarkoma elektroninė informacija ir IPP priskiriama ypatingos svarbos valstybės informacinių išteklių rūšiai, vadovaujantis Metodikos 8.5.1 papunkčiu.

21.  Rizikos vertinimo organizavimas:

21.1.    IPP saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo metodai“ grupės standartus, kasmet arba po esminių organizacinių ar sisteminių pokyčių organizuoja IPP rizikos įvertinimą. IPP rizikos vertinimas gali būti atliekamas kartu su informacinių technologijų saugos atitikties vertinimu. Prireikus IPP saugos įgaliotinis gali organizuoti neeilinį IPP rizikos įvertinimą. Organizuojant rizikos vertinimą, rekomenduojama IPP rizikos vertinimą įtraukti į IPP valdytojo veiklos rizikos vertinimo procesus;

21.2.    organizuojant rizikos vertinimą turi būti paskirtas (-i) už rizikos vertinimą, rizikos vertinimo proceso priežiūrą bei nuolatinį tobulinimą atsakingas (-i) asmuo (-enys). Atsakingu (-ais) asmeniu (-imis) gali būti skiriamas (-i) IPP valdytojo darbuotojas (-ai) arba sudaroma sutartis su rizikos vertinimo, rizikos vertinimo proceso priežiūros bei nuolatinio tobulinimo paslaugas teikiančiu subjektu, kuriam reikalavimai kvalifikacijai nustatomi pirkimo dokumentuose.

21.3.    rizikos vertinimo metu turi būti:

21.3.1. nustatomos grėsmės ir pažeidžiamumai, galintys turėti įtakos IPP elektroninės informacijos saugai ir kibernetiniam saugumui;

21.3.2. nustatomos galimos grėsmių ir pažeidžiamumų poveikio vykdomai veiklai sritys;

21.3.3. įvertinama IPP pažeidimo grėsmių tikimybė ir pasekmės;

21.3.4. nustatomas rizikos lygis ir įvertinamos identifikuotos grėsmių tikimybės, kurios išdėstomos prioriteto tvarka pagal svarbą, kuri nustatoma atsižvelgiant į atliktą rizikos vertinimą;

21.4.    IPP rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama IPP valdytojo vadovui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos IPP elektroninės informacijos saugai ir kibernetiniam saugumui, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Rizikos veiksniai rizikos įvertinimo ataskaitoje išdėstomi pagal prioritetus ir priimtiną rizikos lygį. Svarbiausi rizikos veiksniai yra šie:

21.4.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais triktys, programinės įrangos klaidos, netinkamas veikimas ir kita);

21.4.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

21.4.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte;

21.5.    atsižvelgdamas į rizikos įvertinimo ataskaitą, IPP valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti;

21.6.    rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas IPP valdytojas ne vėliau kaip per 5 (penkias) darbo dienas nuo minėtų dokumentų priėmimo pateikia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai), nustatyta tvarka;

21.7.    atsižvelgiant į atlikto rizikos vertinimo rezultatus, taip pat jeigu Saugos nuostatų 22 punkte nustatyta tvarka atliekamo informacinių technologijų saugos atitikties vertinimo metu nustatoma kibernetinių incidentų valdymo ir šalinimo, IPP nepertraukiamos veiklos užtikrinimo trūkumų, atitinkamai turi būti tobulinamas IPP veiklos tęstinumo valdymo planas ir (arba) Kibernetinių ir elektroninės informacijos saugos incidentų valdymo tvarkos aprašas. Šių planų veiksmingumo išbandymo rezultatai išdėstomi šių planų veiksmingumo išbandymo ir pastebėtų trūkumų ataskaitose, kurių kopijos ne vėliau kaip per 5 (penkias) darbo dienas nuo šių dokumentų priėmimo pateikiamos Nacionaliniam kibernetinio saugumo centrui.

22.  Informacinių technologijų saugos atitikties vertinimo organizavimas:

22.1.  informacinių technologijų saugos atitikties vertinimas turi būti organizuojamas siekiant užtikrinti saugos dokumentuose nustatytų elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų įgyvendinimo organizavimą ir kontrolę;

22.2.  informacinių technologijų saugos atitikties vertinimas turi būti atliekamas ne rečiau kaip kartą per metus, jei teisės aktuose nenustatyta kitaip. Ne rečiau kaip kartą per trejus IPP informacinių technologijų saugos atitikties vertinimą turi atlikti nepriklausomi visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai;

22.3.  informacinių technologijų saugos atitikties vertinimas atliekamas Informacinių technologijų saugos atitikties vertinimo metodikoje nustatyta tvarka;

22.4.  IPP atitikties Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus;

22.5.  atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos vertinimo ataskaita ir pastebėtų trūkumų šalinimo planas (prireikus), kurie pateikiami IPP valdytojo vadovui. Pastebėtų trūkumų šalinimo planą prireikus tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato IPP valdytojo vadovas;

22.6.  informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas IPP valdytojas ne vėliau kaip per 5 (penkias) darbo dienas nuo minėtų dokumentų priėmimo pateikia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.

23.  Elektroninės informacijos saugos ir kibernetinio saugumo būklės gerinimas:

23.1.  techninės, programinės, organizacinės ir kitos IPP elektroninės informacijos saugos ir kibernetinio saugumo priemonės pasirenkamos atsižvelgiant į IPP valdytojo turimus išteklius, vadovaujantis šiais principais:

23.1.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

23.1.2. priemonės diegimo kaina turi būti adekvati tvarkomos elektroninės informacijos vertei;

23.2.  atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos ir kibernetinio saugumo priemonės.

 

III skyrius

Organizaciniai ir techniniai reikalavimai

 

24.  Organizaciniai ir techniniai elektroninės informacijos saugos ir kibernetinio saugumo reikalavimai nustatomi pagal Saugos nuostatų 20 punkte nustatytą IPP rūšį vadovaujantis Saugos nuostatų 19 punkte nurodytais teisės aktais ir standartais.

25.  Kibernetinio saugumo priemonės, nurodytos saugos dokumentuose pagal Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo priedą, turi būti diegiamos atsižvelgiant į naujausius technikos laimėjimus, vadovaujantis gamintojo pateikiama bent viena gerąja saugumo praktikos rekomendacija.

26.  Organizacinių ir techninių elektroninės informacijos saugos ir kibernetinio saugumo  priemonių užtikrinimas turi būti grindžiamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos IPP elektroninės informacijos saugai ir kibernetiniam saugumui, rizikos vertinimu, atsižvelgiant į naujausius technikos laimėjimus.

27.  Pagrindiniai organizaciniai ir techniniai elektroninės informacijos saugos ir kibernetinio saugumo reikalavimai:

27.1.  detalūs organizaciniai ir techniniai elektroninės informacijos saugos ir kibernetinio saugumo reikalavimai nustatomi saugos politiką įgyvendinančiuose dokumentuose;

27.2.  turi būti naudojama ir operatyviai atnaujinama programinė įranga, skirta apsaugoti informacinę sistemą nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamų elektroninių laiškų ir pan.). Detalios šios programinės įrangos naudojimo nuostatos ir jos atnaujinimo reikalavimai (ilgiausias leistinas programinės įrangos neatnaujinimo laikas ir kita) nustatomi IPP saugaus elektroninės informacijos tvarkymo taisyklėse;

27.3.  IPP techninėje įrangoje ir vidinių IPP naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga. Detalios programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos, jos atnaujinimo reikalavimai nustatomi IPP saugaus elektroninės informacijos tvarkymo taisyklėse;

27.4.  turi būti naudojama kompiuterių tinklo filtravimo įranga (užkardos, turinio kontrolės sistemos, įgaliotieji serveriai (angl. proxy) ir kita). Detalios kompiuterių tinklo filtravimo įrangos naudojimo nuostatos nustatomos IPP saugaus elektroninės informacijos tvarkymo taisyklėse;

27.5.  užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, turi būti naudojamas šifravimas, virtualus privatus tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą (nuotolinio prisijungimo prie IPP būdai, protokolai, elektroninės informacijos keitimosi formatai, šifravimo, elektroninės informacijos kopijų skaičiaus reikalavimai, reikalavimai teikti ir (ar) gauti elektroninę informaciją automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas ir panašiai), nustatyti IPP saugaus elektroninės informacijos tvarkymo taisyklėse;

27.6.  stacionarius kompiuterius leidžiama naudoti tik IPP valdytojo patalpose. Nešiojamiesiems kompiuteriams, išnešamiems iš IPP valdytojo patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimas ir panašiai).

28.  Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

28.1.  atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną IPP neveikimo laikotarpį (angl. recovery time objective);

28.2.  atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokia apimtimi, kad IPP veiklos sutrikimo, elektroninės informacijos saugos incidento, kibernetinio incidento ar elektroninės informacijos vientisumo praradimo atvejais neveikimo laikotarpis nebūtų ilgesnis nei teisės aktais nustatytas IPP rūšiai, nurodytai Saugos nuostatų 20 punkte, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus;

28.3.  atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau nei nustatyta IPP saugaus elektroninės informacijos tvarkymo taisyklėse;

28.4.  elektroninė informacija atsarginėse elektroninės informacijos kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo atsarginių elektroninės informacijos kopijų) arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos;

28.5.  atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje kitose patalpose nei yra IPP tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate;

28.6.  periodiškai, bet ne rečiau kaip kartą per pusmetį, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

28.7.  patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas IPP saugaus elektroninės informacijos tvarkymo taisyklėse nustatyta tvarka.

IV skyrius

REIKALAVIMAI PERSONALUI

 

29.  IPP naudotojų, IPP administratorių, IPP saugos įgaliotinio kvalifikaciniai reikalavimai:

29.1.  visi IPP naudotojai privalo turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti tvarkyti elektroninę informaciją, būti susipažinę su teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, IPP elektroninės informacijos tvarkymą. Asmenys, tvarkantys duomenis ir informaciją, privalo laikyti jų paslaptį ir būti pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą;

29.2.  IPP saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos ir kibernetinio saugumo srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų, reglamentuojančių elektroninės informacijos saugą ir kibernetinį saugumą, nuostatomis. Turi būti sudarytos sąlygos IPP saugos įgaliotiniui kelti kvalifikaciją. IPP saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikalstamas veikas, nurodytas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme.

29.3.  IPP administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo principus, mokėti užtikrinti informacinių sistemų ir jose tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą, administruoti ir prižiūrėti informacinių sistemų komponentus (stebėti informacinių sistemų komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti informacinių sistemų komponentų nepertraukiamą funkcionavimą ir pan.).

30.  IPP naudotojų ir IPP administratorių mokymo planavimo, organizavimo ir vykdymo tvarka, mokymo dažnumo reikalavimai:

30.1.  IPP naudotojams turi būti įvairiais būdais primenama apie elektroninės informacijos saugos ir kibernetinio saugumo problemas (pavyzdžiui, priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems IPP naudotojams, IPP administratoriams ir panašiai);

30.2.  mokymai elektroninės informacijos saugos ir kibernetinio saugumo klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), IPP saugos įgaliotinio, IPP naudotojų ar IPP administratorių poreikius;

30.3.  mokymai gali būti vykdomi tiesioginiu (pavyzdžiui: paskaitos, seminarai, konferencijos ir kiti teminiai renginiai) ar nuotoliniu (pavyzdžiui: vaizdo konferencijos, mokomosios medžiagos pateikimas elektroniniu paštu, elektroninėje erdvėje ir panašiai) būdu;

30.4.  mokymai IPP naudotojams turi būti organizuojami periodiškai, bet ne rečiau kaip kartą per metus. Už IPP naudotojų mokymų organizavimo koordinavimą atsakingas IPP saugos įgaliotinis;

30.5.  mokymai IPP saugos įgaliotiniui ir IPP administratoriams turi būti organizuojami pagal poreikį.

 

V SKYRIUS

IPP naudotojų supažindinimo su saugos dokumentais principai

 

31IPP naudotojų, IPP administratorių ir kitų asmenų supažindinimą su saugos dokumentais ir atsakomybe už saugos dokumentų nuostatų pažeidimus organizuoja IPP saugos įgaliotinis.

32Supažindinimo su saugos dokumentais būdai turi būti pasirenkami atsižvelgiant į IPP specifiką (pavyzdžiui, asmens vietą, organizacinių ir (ar) techninių priemonių, leidžiančių identifikuoti su saugos dokumentais susipažinusį asmenį ir užtikrinančių supažindinimo procedūros įrodomąją (teisinę) galią, panaudojimo galimybes ir panašiai). Asmenys su saugos dokumentais supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą. IPP funkcionuoti reikalingų paslaugų teikėjus ir kitus trečiuosius asmenis su saugos dokumentais, atsakomybe už jų reikalavimų pažeidimus supažindina už sutarties vykdymą atsakingas asmuo.

33.  Pakartotinai supažindinimas su saugos dokumentais vyksta tik iš esmės pasikeitus IPP arba elektroninės informacijos saugą ar kibernetinį saugumą reglamentuojantiems teisės aktams.

34.  Tvarkyti IPP elektroninę informaciją gali tik IPP naudotojai, kurie yra susipažinę su saugos dokumentais ir sutikę laikytis jų reikalavimų.

35.  Saugos nuostatų 31 punkte nurodyti asmenys atsako už IPP ir joje tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą pagal kompetenciją. IPP naudotojai, IPP administratoriai, IPP saugos įgaliotinis ir kiti asmenys, pažeidę saugos dokumentų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

36.  IPP valdytojas saugos dokumentus gali keisti savo arba IPP saugos įgaliotinio iniciatyva. Saugos dokumentai turi būti derinami su Nacionaliniu kibernetinio saugumo centru. Keičiami saugos dokumentai gali būti nederinami su Nacionaliniu kibernetinio saugumo centru tais atvejais, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar elektroninės informacijos saugos politikos ir kibernetinio saugumo politikos nekeičiantys pakeitimai arba taisoma teisės technika. Tokiais atvejais Nacionaliniam kibernetinio saugumo centrui turi būti pateiktos šių dokumentų kopijos.

37.  Saugos dokumentai turi būti persvarstomi (peržiūrėti) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems IPP valdytojo pokyčiams. Persvarsčius (peržiūrėjus) saugos dokumentus, turi būti nustatoma, kuriuos iš juose nustatytų elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų būtina atnaujinti ir (ar) įgyvendinti pirmiausia, siekiant užtikrinti IPP saugą ir kibernetinį saugumą.

 

____________