2.1. elektroninė informacija – informacinėse sistemose tvarkomi duomenys, dokumentai ir informacija;

2.2. elektroninės informacijos sauga – elektroninė informacijos konfidencialumo, vientisumo, prieinamumo ir kibernetinio saugumo užtikrinimas;

2.3. informacinių sistemų administratorius – Valstybinė darbo inspekcijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis informacines sistemas ir (ar) informacinių sistemų infrastruktūrą, užtikrinantis jų veikimą, elektroninės informacijos saugą  ar kitas asmuo (asmenų grupė), kuriam (kuriai) Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos atskiros informacinių sistemų ir (ar) jų infrastruktūros priežiūros funkcijos;

2.4. informacinių sistemų išorės naudotojas – su Valstybine darbo inspekcija tarnybos (darbo) santykiais nesusijęs asmuo, kuris informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudoja ir (ar) tvarko elektroninę informaciją;

2.5. informacinių sistemų komponentai –kompiuterių tinklai, kompiuterių tinklo užkardos, įsilaužimų aptikimo ir prevencijos sistemos, virtualios ir fizinės tarnybinės stotys, duomenų saugyklos, duomenų bazės ir jų valdymo sistemos, informacinių sistemų naudojama elektroninio pašto valdymo sistema, kita techninė ir programinė įranga, pagrindu funkcionuoja informacinės sistemos, užtikrinama informacinėse sistemose tvarkomos elektroninės informacijos sauga ir kibernetinis saugumas (toliau – informacinių sistemų infrastruktūrą sudarantis komponentai), darbo vietų kompiuteriai, juose naudojamos operacinės sistemos, taikomosios programos, elektroninės informacijos saugos užtikrinimo programinė įranga (toliau – kompiuterizuotos darbo vietos), informacinių sistemų naudojamos interneto svetainės (toliau – informacinių sistemų interneto svetainės);

2.6. informacinių sistemų saugos įgaliotinis (toliau – saugos įgaliotinis) – informacinių sistemų valdytojos paskirtas valstybės tarnautojas ar darbuotojas dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis informacinių sistemų elektroninės informacijos saugos politikos įgyvendinimą;

2.7. informacinių sistemų vidaus naudotojas – Valstybinės darbo inspekcijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, ar kitas asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją;

2.8. kibernetinio saugumo vadovas – informacinių sistemų valdytojos paskirtas kompetentingas darbuotojas, valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, ar padalinys, atsakingas už informacinių sistemų kibernetinio saugumo organizavimą ir užtikrinimą;

2.9. saugos dokumentai – Saugos nuostatai, informacinių sistemų valdytojos patvirtinti informacinių sistemų saugos ir kibernetinio saugumo politiką įgyvendinantys dokumentai: informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklės, informacinių sistemų veiklos tęstinumo valdymo planas, informacinių sistemų naudotojų administravimo taisyklės;

2.10.  vartojama sąvoka galinis įrenginys suprantama taip, kaip ji apibrėžta Lietuvos Respublikos elektroninių ryšių įstatyme;

2.11.  kitos Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau - Bendrųjų saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“ (toliau - Kibernetinio saugumo reikalavimų aprašas), vartojamas sąvokas.

3.1. informacinių sistemų valdytojai ir tvarkytojai – Valstybinei darbo inspekcijai, Algirdo g. 19, Vilnius;

3.2. saugos įgaliotiniui, kibernetinio saugumo vadovui, informacinių sistemų administratoriams, informacinių sistemų naudotojams;

3.3. paslaugų, susijusių su informacinėmis sistemomis, teikėjams.

4.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti informacinių sistemų elektroninę informaciją;

4.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio neteisėto tvarkymo;

4.3. vykdyti elektroninės informacijos saugos ir kibernetinio saugumo incidentų (toliau – saugos incidentai) prevenciją, reaguoti į saugos incidentus ir juos operatyviai suvaldyti, atkuriant įprastą informacinių sistemų veiklą.

5.1. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo bei kibernetinio saugumo užtikrinimas;

5.2. informacinių sistemų veiklos tęstinumo užtikrinimas;

5.3. informacinėse sistemose tvarkomų asmens duomenų apsauga;

5.4. informacinių sistemų administratorių ir naudotojų mokymas elektroninės informacijos saugos klausimais;

5.5. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų elektroninės informacijos saugai užtikrinti, įgyvendinimas ir kontrolė.

7.1. tvirtina Saugos nuostatus, informacinių sistemų saugos politiką įgyvendinančius dokumentus, kitus dokumentus, susijusius su elektroninės informacijos sauga;

7.2. skiria saugos įgaliotinį, kibernetinio saugumo vadovą, informacinių sistemų administratorius;

7.3. prižiūri ir kontroliuoja, kad informacinės sistemos būtų tvarkomos vadovaujantis informacinių sistemų nuostatais, Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais;

7.4. priima sprendimus dėl techninių ir programinių priemonių, būtinų elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

7.5. priima sprendimus dėl informacinių technologijų rizikos ir atitikties saugos reikalavimams vertinimo atlikimo;

7.6. tvirtina informacinių sistemų rizikos įvertinimo ir rizikos valdymo priemonių planą ir informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą, esant poreikiui šie planai gali būti sujungti ir tvirtinamas bendras planas;

7.7. nagrinėja pasiūlymus dėl informacinių sistemų elektroninės informacijos saugos priemonių tobulinimo ir priima dėl jų sprendimus;

7.8. priima sprendimus dėl informacinių sistemų elektroninės informacijos saugos priemonių finansavimo;

7.9. atlieka kitas Valstybės informacinių išteklių valdymo įstatyme, Kibernetinio saugumo įstatyme, Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, informacinių sistemų nuostatuose bei saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

8.1. užtikrina tinkamą Saugos nuostatų, informacinių sistemų saugos politiką įgyvendinančių dokumentų, kitų dokumentų, susijusių su elektroninės informacijos sauga, įgyvendinimą;

8.2. užtikrina, kad informacinės sistemos veiktų nepertraukiamai;

8.3. užtikrina elektroninės informacijos, esančios informacinių sistemų duomenų bazėse, saugą;

8.4. užtikrina saugų elektroninės informacijos perdavimą elektroninių ryšių tinklais;

8.5. užtikrina informacinių sistemų sąveiką su susijusiais registrais ir informacinėmis sistemomis;

8.6. planuoja ir įgyvendina priemones, mažinančias duomenų atskleidimo ir praradimo riziką bei užtikrinančias prarastų duomenų atkūrimą ir duomenų apsaugą nuo klastojimo;

8.7. rengia informacinių sistemų rizikos įvertinimo ir rizikos valdymo priemonių planą ir informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą; esant poreikiui šie planai gali būti sujungti ir rengiamas bendras planas;

8.8. vykdo kibernetinio saugumo organizavimo ir užtikrinimo funkcijas, nustatytas Kibernetinio saugumo įstatyme, Kibernetinio saugumo reikalavimų apraše ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose;

8.9. atlieka kitas Valstybės informacinių išteklių valdymo įstatyme, Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, informacinių sistemų nuostatuose bei saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas

9.1. teikia informacinių sistemų valdytojos vadovui pasiūlymus dėl:

9.2. teikia informacinių sistemų valdytojos vadovui pasiūlymus dėl elektroninės informacijos saugos dokumentų priėmimo ir keitimo;

9.3. koordinuoja saugos incidentų tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, elektroninės informacijos saugos ir kibernetinio saugumo incidentus, neteisėtas veikas, susijusias su saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

9.4. teikia informacinių sistemų administratoriams ir informacinių sistemų naudotojams privalomus vykdyti nurodymus ir pavedimus dėl elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimo;

9.5. organizuoja informacinių sistemų rizikos ir informacinių technologijų saugos atitikties vertinimą;

9.6. organizuoja informacinių sistemų naudotojams ir administratoriams mokomuosius ir pažintinius kursus informacinių sistemų elektroninės informacijos saugos klausimais;

9.7. atlieka kitas Saugos nuostatuose, Bendrųjų saugos reikalavimų apraše ir kituose teisės aktuose saugos įgaliotiniui priskirtas funkcijas.

13.1.  koordinuojantis administratorius, kuris koordinuoja ir prižiūri informacinių sistemų administratorių veiklą, siekdamas užtikrinti tinkamą informacinių sistemų administratorių funkcijų vykdymą;

13.2.  informacinių sistemų naudotojų administratoriai, kurie atlieka informacinių sistemų naudotojų duomenų administravimo funkcijas:

13.3.  informacinių sistemų komponentų administratoriai, kurie atlieka funkcijas, susijusias su jų kompetencijai priskirtais informacinių sistemų komponentais:

15.1.  vykdyti visus saugos įgaliotinio ir kibernetinio saugumo vadovo nurodymus bei pavedimus dėl informacinių sistemų saugos užtikrinimo;

15.2.  pagal saugos dokumentuose ir pareigybių aprašymuose priskirtą kompetenciją reaguoti į saugos incidentus;

15.3.  nuolat teikti saugos įgaliotiniui ir kibernetinio saugumo vadovui informaciją apie saugą užtikrinančių informacinių sistemų komponentų būklę.

16.1.  atlikdami informacinių sistemų sąrankos pakeitimus turi laikytis informacinių sistemų pokyčių valdymo tvarkos, nustatytos informacinių sistemų valdytojos tvirtinamose informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse;

16.2.  privalo patikrinti (peržiūrėti) jiems priskirtų informacinių sistemų komponentų sąranką ir informacinių sistemų komponentų būsenos rodiklius ne rečiau kaip kartą per metus ir (arba) po informacinių sistemų pokyčio;

16.3.  pagal kompetenciją dalyvauja atliekant informacinių sistemų informacinių technologijų atitikties saugos reikalavimams vertinimą bei informacinių sistemų rizikos vertinimą..

17.1.  Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

17.2.  Lietuvos Respublikos kibernetinio saugumo įstatymas;

17.3.  Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

17.4.  Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (Bendrųjų saugos reikalavimų aprašas);

17.5.  Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas);

17.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“ (Kibernetinio saugumo reikalavimų aprašas);

17.7.  Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai reikalavimai);

17.8.  Bendrieji reikalavimai organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtinti Valstybės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai asmens duomenų saugumo priemonėms) ;

17.9.  Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos nuostatai, patvirtinti Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2014 m. kovo 28 d. įsakymu Nr. V-154 „Dėl Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2008 m. balandžio 17d. įsakymo Nr. V-110 „Dėl Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinės sistemos nuostatų patvirtinimo“ pakeitimo“;

17.10.  Potencialiai pavojingų įrenginių valstybės registro nuostatai, patvirtinti Lietuvos Respublikos Vyriausybės 2002 m. gegužės 9 d. nutarimu Nr. 645 „Dėl Potencialiai pavojingų įrenginių valstybės registro įsteigimo ir Potencialiai pavojingų įrenginių valstybės registro nuostatų patvirtinimo“;

17.11.  Darbuotojų saugos ir sveikatos klausimais atestavimo informacinės sistemos (DSSAS) nuostatai, patvirtinti Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2011 m. spalio 7 d. įsakymu Nr. V-235 „Dėl Darbuotojų saugos ir sveikatos klausimais atestavimo informacinės sistemos nuostatų patvirtinimo“;

17.12.  Lietuvos standartai LST EN ISO/IEC 27002:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST EN ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai.“, kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys elektroninės informacijos saugos valdymą;

17.13.  kiti teisės aktai, reglamentuojantys elektroninės informacijos saugos ir kibernetinio saugumo valdymą.

19.1.  Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinėje sistemoje tvarkomi ypatingi asmens duomenys priskiriami trečiajam saugos lygiui, vadovaujantis Bendrųjų reikalavimų asmens duomenų saugumo priemonėms 11.3 papunkčiu;

19.2.  Potencialiai pavojingų įrenginių registre automatiniu būdu tvarkomi asmens duomenys priskiriami antrajam saugos lygiui, vadovaujantis Bendrųjų reikalavimų asmens duomenų saugumo priemonėms 11.2 papunkčiu;

19.3.  Personalo pokyčių valdymo sistemoje automatiniu būdu tvarkomi asmens duomenys priskiriami pirmajam saugos lygiui, vadovaujantis Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms 11.1 papunkčiu.

21.1.  subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais triktys, programinės įrangos klaidos, netinkamas veikimas ir kita);

21.2.  subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacinėmis sistemomis elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

21.3.  veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

24.1.  informacinių sistemų informacinių technologijų saugos atitikties vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus, jei teisės aktai nenumato kitaip;

24.2.  informacinių sistemų atitikties Kibernetinio saugumo reikalavimų apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus.

25.1.  planavimo etapas. Parengiamas kibernetinių atakų imitavimo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtis, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (arba) pilkosios dėžės (angl. Grey Box)), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (arba) techniniai įrankiai ir priemonės, nurodomi už plano vykdymą atsakingi asmenys ir jų kontaktai. Kibernetinių atakų imitavimo planas turi būti suderintas su informacinių sistemų valdytojos vadovu ir vykdomas tik gavus jo rašytinį pritarimą;

25.2.  žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių serverių ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą, konfigūracijas ir kitą sėkmingai kibernetinei atakai įvykdyti reikalingą informaciją. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;

25.3.  kibernetinių atakų imitavimo etapas. Atliekami kibernetinių atakų imitavimo plane numatyti testai. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;

25.4.  ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti išdėstomi informacinių technologijų saugos vertinimo ataskaitoje. Kibernetinių atakų imitavimo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat informacinių sistemų valdytojos įstaigos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

28.1.  saugos priemonės turi būti valdomos centralizuotai;

28.2.  saugos priemonių diegimo kaina turi būti adekvati saugomos informacijos vertei;

28.3.  likutinė rizika turi būti sumažinta iki priimtino lygio;

28.4.  kur galima, būtina įdiegti prevencines informacijos saugos priemones.

29.1.  svetainės turi atitikti Techniniuose reikalavimuose ir Kibernetinio saugumo reikalavimų apraše nustatytus reikalavimus;

29.2.  svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio informacinių sistemų tvarkytojos kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;

29.3.  turi būti pakeistos gamintojo numatytos prisijungimo prie svetainių TVS ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) ir slaptažodžiai;

29.4.  turi būti užtikrinama, kad prie svetainių TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;

29.5.  svetainių sauga turi būti vertinama informacinių sistemų rizikos įvertinimo metu ir (arba) informacinių sistemų informacinių technologijų saugos atitikties vertinimo metu, atliekamų Saugos nuostatų II skyriuje nustatyta tvarka.

30.1.  tarnybinėse stotyse ir vidinių informacinių sistemų naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingos programinės įrangos aptikimo ir stebėjimo realiu laiku priemonės;

30.2.  elektroninio pašto tarnybinė stotis turi būti apsaugota nuo kenksmingos programinės įrangos ir nepageidaujamo turinio elektroninių laiškų;

30.3.  informacinių sistemų komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu patvirtinama, kad šių komponentų rizika yra priimtina;

30.4.  kenksmingos programinės įrangos aptikimo priemonės turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas. Informacinių sistemų komponentų administratoriai turi būti automatiškai informuojami elektroniniu paštu apie tai, kuriems informacinių sistemų posistemiams, funkciškai savarankiškoms sudedamosioms dalims, vidinių informacinių sistemų naudotojų kompiuteriams ir kitiems informacinių sistemų komponentams yra pradelstas kenksmingos programinės įrangos aptikimo priemonių atsinaujinimo laikas, kenksmingos programinės įrangos aptikimo priemonės netinkamai funkcionuoja arba yra išjungtos.

31.1.  informacinių sistemų tarnybinėse stotyse ir vidinių informacinių sistemų naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga;

31.2.  vidinių informacinių sistemų naudotojų kompiuteriuose naudojama programinė įranga turi būti įtraukta į su informacinių sistemų valdytoja suderintą leistinos naudoti programinės įrangos sąrašą. Leistinos programinės įrangos sąrašą turi parengti, ne rečiau kaip kartą per metus peržiūrėti ir prireikus atnaujinti saugos įgaliotinis;

31.3.  tarnybinių stočių ir vidinių informacinių sistemų naudotojų kompiuterių operacinės sistemos, kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;

31.4.  infrastruktūros administratorius ne rečiau kaip kartą per savaitę turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumo svarbos lygius informacinių sistemų posistemiuose, funkciškai savarankiškose informacinių sistemų sudedamosiose dalyse, informacinių sistemų vidinių naudotojų kompiuteriuose. Apie įvertinimo rezultatus saugos administratorius turi informuoti saugos įgaliotinį ir kibernetinio saugumo vadovą;

31.5.  programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;

31.6.  programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – informacinių sistemų komponentų administratoriai arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai;

31.7.  taikomoji programinė įranga turi būti testuojama naudojant atskirą testavimo aplinką, kurioje esantys asmens duomenys turi būti naudojami vadovaujantis Bendraisiais reikalavimais asmens duomenų saugumo priemonėms;

31.8.  informacinių sistemų programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org.

32.1.  kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. Proxy) ir kt.) pagrindinės naudojimo nuostatos:

32.2.  belaidžio tinklo saugumo valdymo pagrindiniai reikalavimai:

33.1.  stacionarius kompiuterius leidžiama naudoti tik informacinių sistemų valdytojos ir tvarkytojos patalpose;

33.2.  nešiojamiesiems kompiuteriams, išnešamiems iš informacinių sistemų valdytojos ar informacinių sistemų tvarkytojos patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimai ir pan.);

33.3.  už nešiojamojo kompiuterio ir jame tvarkomų ar saugomų duomenų saugą teisės aktų nustatyta tvarka atsako naudotojas, kuriam šis kompiuteris yra skirtas;

33.4.  nešiojamieji informacinių sistemų naudotojų kompiuteriai ne informacinių sistemų valdytojo patalpose turi būti naudojami tik tiesioginėms informacinių sistemų naudotojų funkcijoms vykdyti;

33.5.  iš stacionarių ir nešiojamųjų kompiuterių ar elektroninės informacijos laikmenų, kurie perduodami remonto, techninės priežiūros paslaugų teikėjui arba nurašomi, turi būti neatkuriamai pašalinta visa nevieša elektroninė informacija.

34.1.  elektroninė informacija teikiama (daugkartinio teikimo atveju ir vienkartinio teikimo atveju) informacinių sistemų nuostatuose nustatyta tvarka;

34.2.  užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą naudojamas šifravimas, virtualus privatus tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Elektroninei informacijai teikti ir (ar) gauti gali būti naudojamas saugus valstybinis duomenų perdavimo tinklas;

34.3.  elektroninė informacija automatiniu būdu turi būti teikiama ir (ar) gaunama tik pagal informacinių sistemų nuostatuose, duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas;

34.4.  tiesioginė prieiga prie informacinių sistemų elektroninės informacijos suteikiama naudojant informacinių sistemų naudotojų autentifikavimo priemones – naudotojai savo tapatybę patvirtina slaptažodžiu ar kita autentifikavimo priemones;

34.5.  informacinių sistemų naudotojų vardų ir slaptažodžių sudarymą, apsaugą ir keitimą reglamentuoja informacinių sistemų naudotojų administravimo taisyklės;

34.6.  elektroninio pašto naudojimą ir administravimą reglamentuoja Elektroninio pašto sistemos naudojimo ir administravimo Lietuvos Respublikos valstybinėje darbo inspekcijoje prie Socialinės apsaugos ir darbo ministerijos tvarkos aprašas, patvirtintas Lietuvos Respublikos vyriausiojo valstybinio darbo inspektoriaus 2016 m. rugsėjo 30 d. įsakymu Nr. EV-313 „Dėl Elektroninio pašto sistemos naudojimo ir administravimo Lietuvos Respublikos valstybinėje darbo inspekcijoje prie Socialinės apsaugos ir darbo ministerijos tvarkos aprašo patvirtinimo“;

34.7.  nuotolinis prisijungimas prie informacinių sistemų galimas:

34.8.  šifro raktų ilgiai, šifro raktų generavimo algoritmai, šifro raktų apsikeitimo protokolai, sertifikato parašo šifravimo algoritmai ir kiti šifravimo algoritmai turi būti nustatomi atsižvelgiant į Lietuvos ir tarptautinių organizacijų ir standartų rekomendacijas, Techniniuose reikalavimuose ir Kibernetinio saugumo reikalavimų apraše nustatytus reikalavimus;

34.9.  naudojamų šifravimo priemonių patikimumas turi būti vertinamas neeilinio arba kasmetinio informacinių sistemų rizikos vertinimo metu. Šifravimo priemonės turi būti operatyviai keičiamos nustačius saugumo spragų šifravimo algoritmuose.

35.1.  atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objetive) ir priimtiną informacinių sistemų neveikimo laikotarpį (angl. recovery time objective);

35.2.  atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokios apimties, kad informacinių sistemų veiklos sutrikimo, saugos incidento ar elektroninės informacijos vientisumo praradimo atvejais informacinių sistemų neveikimo laikotarpis nebūtų ilgesnis, nei taikoma konkrečioms informacinių sistemų svarbos kategorijoms, nurodytoms Saugos nuostatų priede, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus;

35.3.  atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai, bet ne rečiau kaip atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkoje, nustatytoje informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse, nurodytais terminais;

35.4.  elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos;

35.5.  atsarginės elektroninės informacijos kopijos turi būti saugomos kitose patalpose, nei yra informacinių sistemų tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate. Atsarginių elektroninės informacijos kopijų saugojimo terminai nustatomi atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkoje;

35.6.  atsarginių elektroninės informacijos kopijų darymas turi būti fiksuojamas;

35.7.  ne rečiau kaip kartą per pusmetį, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

35.8.  patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas.

36.1.  registruojami informacinėse sistemose įvykę saugos incidentai ir nedelsiant į juos reaguojama, techninėmis ir programinėmis priemonėmis saugos incidentai valdomi, tiriami ir šalinami bei atkuriama informacinių sistemų veikla;

36.2.  Nacionaliniam kibernetinio saugumo centrui ir kitoms atsakingoms institucijoms pagal kompetenciją pranešama apie įvykusius saugos incidentus, jų vertinimą ir suvaldymą.

37.1.  pirkimo dokumentuose iš anksto būtų nustatyta, kad paslaugų teikėjas, darbų vykdytojas ar įrangos tiekėjas privalo laikytis informacinių sistemų saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį nustatytiems elektroninės informacijos saugos ir kibernetinio saugumo reikalavimams;

37.2.  į paslaugų pirkimo sutartį būtų įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant paslaugų pirkimo sutartį, išskyrus tiek, kiek būtina sutarties vykdymui, o taip pat nenaudoti konfidencialios informacijos asmeniniams ar trečiųjų asmenų poreikiams laikantis principo, kad visa paslaugų teikėjui suteikta informacija (įskaitant informacinėse sistemose tvarkomą elektroninę informaciją) yra konfidenciali, išskyrus kai raštu patvirtinama, kad tam tikra pateikta informacija nėra konfidenciali.

38.1.  saugos įgaliotiniu, kibernetinio saugumo vadovu ar administratoriumi negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai;

38.2.  saugos įgaliotinis ir kibernetinio saugumo vadovas privalo išmanyti elektroninės informacijos saugos, kibernetinio saugumo užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos, kibernetinio saugumo srityje, savo darbe vadovautis Bendrųjų saugos reikalavimų aprašu, Kibernetinio saugumo reikalavimų aprašu ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reglamentuojančiomis elektroninės informacijos saugą, kibernetinį saugumą;

38.3.  informacinių sistemų administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, mokėti užtikrinti informacinių sistemų ir jose tvarkomos elektroninės informacijos saugą, administruoti ir prižiūrėti jų kompetencijai priskirtus informacinių sistemų komponentus (stebėti informacinių sistemų komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti informacinių sistemų komponentų nepertraukiamą funkcionavimą, atlikti kitas Saugos nuostatuose jiems priskirtas funkcijas).

38.4.  saugos įgaliotinis, kibernetinio saugumo vadovas ir administratoriai turi būti susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą, kibernetinį saugumą.

39.1.  naudotojai, tvarkantys elektroninę informaciją, privalo įsipareigoti saugoti informacijos paslaptį, įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą bei valstybės tarnybos ar darbo santykius;

39.2.  naudotojai, atliekantys tarnybines funkcijas, susijusias su asmens duomenų tvarkymu bei teikimu, pasirašytinai įpareigojami saugoti asmens duomenų paslaptį, asmens duomenų paslaptį naudotojai privalo saugoti ir pasibaigus darbo (tarnybos) santykiams, nustatytą asmens duomenų teisinės apsaugos laiką, jei kiti teisės aktai nenustato kitaip;

39.3.  naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai administratoriui ar saugos įgaliotiniui;

39.4.  informacinių sistemų naudotojai privalo:

39.5.  informacinių sistemų naudotojams draudžiama:

40.1.  informacinių sistemų naudotojams turi būti organizuojami mokymai elektroninės informacijos saugos klausimais, įvairiais būdais primenama apie elektroninės informacijos saugos problemas.

40.2.  mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), informacinių sistemų naudotojų ar informacinių sistemų administratorių poreikius;

40.3.  mokymai gali būti vykdomi tiesioginiu ar nuotoliniu būdu. Mokymus gali vykdyti saugos įgaliotinis ar kitas informacinių sistemų valdytojos ir informacinių sistemų tvarkytojos darbuotojas, išmanantis elektroninės informacijos saugos užtikrinimo principus, arba elektroninės informacijos saugos mokymų paslaugų teikėjas;

40.4.  mokymai informacinių sistemų naudotojams turi būti organizuojami ne rečiau kaip kartą per dvejus metus. Mokymai informacinių sistemų administratoriams turi būti organizuojami pagal poreikį. Už mokymų organizavimą atsakingas saugos įgaliotinis;

40.5.  saugos įgaliotinis ne rečiau kaip kartą per dvejus metus organizuoja mokymus informacinių sistemų naudotojams elektroninės informacijos saugos ir kibernetinio saugumo klausimais;

40.6.  saugos įgaliotinis informacinių sistemų naudotojus nuolatos informuoja apie aktualias elektroninės informacijos saugos problemas.