Galutinis kėlimui į ETAR

VALSTYBINĖS ATOMINĖS ENERGETIKOS SAUGOS INSPEKCIJOS VIRŠININKAS

ĮSAKYMAS

DĖL BRANDUOLINĖS SAUGOS REIKALAVIMŲ BSR-1.6.3-2024
„KIBERNETINIO SAUGUMO UŽTIKRINIMAS BRANDUOLINĖS ENERGETIKOS OBJEKTUOSE“ PATVIRTINIMO

2024 m. sausio 15 d. Nr. 22.3-11

Vilnius

Vadovaudamasis Lietuvos Respublikos branduolinės energijos įstatymo 22 straipsnio 1 dalies 3 punktu, Lietuvos Respublikos branduolinės saugos įstatymo 4 straipsnio 1, 2 ir 9 punktais:

1. Tvirtinu Branduolinės saugos reikalavimus BSR-1.6.3-2024 „Kibernetinio saugumo užtikrinimas branduolinės energetikos objektuose“ (pridedama).

2. Nustatau, kad šis įsakymas įsigalioja 2024 m. gegužės 1 dieną.

Viršininkas Michail Demčenko

PATVIRTINTA

Valstybinės atominės energetikos

saugos inspekcijos viršininko

2024 m. sausio 15 d.

įsakymu Nr. 22.3-11

BRANDUOLINĖS SAUGOS REIKALAVIMAI
BSR-1.6.3-2024
„Kibernetinio saugumo užtikrinimas branduolinės energetikos objektuose“

I SKYRIUS
BENDROSIOS NUOSTATOS

1. Branduolinės saugos reikalavimai BSR-1.6.3-2024 „Kibernetinio saugumo užtikrinimas branduolinės energetikos objektuose“ (toliau – Reikalavimai) reglamentuoja kibernetinio saugumo užtikrinimo branduolinės energetikos objektuose priemones ir yra privalomi ūkio subjektui, siekiančiam įgyti ar turinčiam Reikalavimų 6.2 papunktyje nurodyto teisės akto 22 straipsnio 1 dalies 1–5 punktuose nurodytas licencijas (toliau – Organizacija).

2. Šie Reikalavimai mutatis mutandis taikomi ūkio subjektams, teikiantiems paslaugas Organizacijai.

3. Reikalavimai Organizacijos valdomai ypatingos svarbos informacinei infrastruktūrai taikomi tiek, kiek jie neprieštarauja Reikalavimų 6.3 papunktyje nurodytam teisės aktui ir jį įgyvendinantiems teisės aktams.

4. Organizacijoje turi būti sukurtos, įdiegtos, išlaikomos ir nuolat gerinamos kibernetinio saugumo užtikrinimo priemonės visose Organizacijos vykdomose branduolinės energetikos srities veiklose, bei kitose veiklose su branduolinėmis ir branduolinio kuro ciklo medžiagomis. Šios priemonės turi užtikrinti:

4.1. saugai svarbios elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą;

4.2. tinkamą saugai svarbios programinės įrangos veikimą;

4.3. tinkamą šios branduolinės energetikos objekto įrangos veikimą:

4.3.1. normalaus eksploatavimo pramoninių procesų valdymo sistemų ir jų komponentų, skirtų vykdyti technologinius procesus su radioaktyviosiomis medžiagomis;

4.3.2. sistemų ir komponentų, atliekančių saugos funkcijas normalaus branduolinės energetikos objekto eksploatavimo metu, įvykus tikėtiniems eksploatavimo įvykiams ir branduolinės energetikos objekto projekte numatytoms avarijoms;

4.3.3. sistemų ir komponentų, skirtų branduolinėms ar radiologinėms avarijoms valdyti;

4.3.4. saugai svarbių konstrukcijų, sistemų ir komponentų priešgaisrinės saugos sistemų;

4.3.5. sistemų, skirtų vidinių pavojų ir vidinių įvykių prevencijai ir (ar) jų padarinių švelninimui;

4.3.6. sistemų, skirtų išorinių pavojų prevencijai ir padarinių švelninimui;

4.3.7. elektroninių ryšių, įskaitant telefono, pramoninio ryšio, pramoninės televizijos ir perspėjimo sistemų, naudojamų normaliam branduolinės energetikos objekto eksploatavimui užtikrinti, branduolinėms ar radiologinėms avarijoms valdyti ir avarinei parengčiai organizuoti;

4.3.8. apšvietimo sistemų, naudojamų branduolinėms ar radiologinėms avarijoms valdyti ir avarinei parengčiai organizuoti;

4.3.9. saugos funkcijas atliekančių konstrukcijų, sistemų ir komponentų veikimą palaikančių sistemų;

4.3.10. avarinei parengčiai skirtos įrangos;

4.3.11. radiacinės kontrolės sistemų, užtikrinančių darbo vietų bei darbuotojų apšvitos stebėseną;

4.3.12. radiacinės kontrolės sistemų, užtikrinančių aplinkos radiologinę stebėseną;

4.3.13. fizinės saugos sistemų;

4.3.14. branduolinių medžiagų apskaitos ir kontrolės sistemų.

5. Kuriant, įdiegiant ir gerinat kibernetinio saugumo priemones rekomenduojama atsižvelgti į Tarptautinės atominės energijos agentūros (TATENA):

5.1. įgyvendinimo gaires „Branduolinio saugumo kibernetinis saugumas“, TATENA branduolinio saugumo serija Nr. 42-G, 2021 (angl. Computer Security for Nuclear Security, IAEA Nuclear Security Series No. 42-G);

5.2. technines gaires „Kompiuterinio saugumo priemonės branduolinės energetikos objektuose“, TATENA branduolinio saugumo serija Nr. 17-T, 2021 (angl. Computer Security Techniques for Nuclear Facilities, IAEA Nuclear Security Series No. 17-T (Rev. 1);

5.3. technines gaires „Branduolinės energetikos objektų matavimo ir valdymo sistemų kibernetinis saugumas“, TATENA branduolinio saugumo serija Nr. 33-T, 2018 (angl. Computer Security of Instrumentation and Control Systems at Nuclear Facilities, IAEA Nuclear Security Series No. 33-T);

5.4. dokumentą „Reagavimo į kompiuterinio saugumo incidentus planavimas branduoliniuose įrenginiuose“, IAEA-TDL-005, TATENA, 2016 (angl. Computer Security Incident Response Planning at Nuclear Facilities);

5.5. dokumentą „Kompiuterinio saugumo vertinimo branduoliniuose įrenginiuose atlikimas“, IAEA-TDL-006, TATENA, 2016 (angl. Conducting Computer Security Assessments at Nuclear Facilities);

5.6. dokumentą „Kompiuterinio saugumo metodai kibernetinių rizikų sumažinimui branduoliniuose įrenginiuose“, IAEA-TDL-011, TATENA, 2022 (angl. Computer Security Approaches to Reduce Cyber Risks in the Nuclear Supply Chain).

II SKYRIUS
NUORODOS

6. Reikalavimuose pateiktos nuorodos į šiuos teisės aktus:

6.1. Lietuvos Respublikos branduolinės energijos įstatymas;

6.2. Lietuvos Respublikos branduolinės saugos įstatymas;

6.3. Lietuvos Respublikos kibernetinio saugumo įstatymas;

6.4. Lietuvos Respublikos radiacinės saugos įstatymas;

6.5. Lietuvos Respublikos elektroninių ryšių įstatymas;

6.6. Branduolinės saugos reikalavimai BSR-1.4.1-2016 „Vadybos sistema“, patvirtinti Valstybinės atominės energetikos saugos inspekcijos (toliau – VATESI) viršininko 2010 m. birželio 21 d. įsakymu Nr. 22.3-56 „Dėl Branduolinės saugos reikalavimų BSR-1.4.1-2016 „Vadybos sistema“ patvirtinimo“;

6.7. Branduolinės saugos reikalavimai BSR-1.8.11-2021 „Elektros energijos tiekimas branduolinės energetikos objektui“, patvirtinti Valstybinės atominės energetikos saugos inspekcijos viršininko 2021 m. liepos 23 d. įsakymu Nr. 22.3-118 „Dėl Branduolinės saugos reikalavimų BSR-1.8.11-2021 „Elektros energijos tiekimas branduolinės energetikos objektui“ patvirtinimo“;

6.8. Branduolinės saugos reikalavimai BSR-1.9.1-2017 „Radionuklidų išmetimo į aplinką iš branduolinės energetikos objektų normos ir reikalavimai radionuklidų išmetimo į aplinką planui“, patvirtinti Valstybinės atominės energetikos saugos inspekcijos viršininko 2017 m. spalio 31 d. įsakymu Nr. 22.3-198 „Dėl branduolinės saugos reikalavimų BSR-1.9.1-2017 „Radionuklidų išmetimo į aplinką iš branduolinės energetikos objektų normos ir reikalavimai radionuklidų išmetimo į aplinką planui“ patvirtinimo“;

6.9. Branduolinės saugos reikalavimai BSR-1.6.1-2019 „Branduolinės energetikos objektų, branduolinės energetikos objektų aikštelių, branduolinių ir branduolinio kuro ciklo medžiagų fizinė sauga“, patvirtinti Valstybinės atominės energetikos saugos inspekcijos viršininko 2012 m. balandžio 4 d. įsakymu Nr. 22.3-37 „Dėl Branduolinės saugos reikalavimų BSR-1.6.1-2019 „Branduolinės energetikos objektų, branduolinės energetikos objektų aikštelių, branduolinių ir branduolinio kuro ciklo medžiagų fizinė sauga“ patvirtinimo“.

III SKYRIUS
SĄVOKOS

7. Reikalavimuose vartojamos šios sąvokos:

7.1. Branduolinės energetikos objektų kibernetinis saugumas (angl. cyber security; toliau – kibernetinis saugumas) – visuma teisinių, informacijos sklaidos, organizacinių ir techninių priemonių, kuriomis siekiama išlaikyti atsparumą veiksniams, kibernetinėje erdvėje keliantiems grėsmę ryšių ir informacinėmis sistemomis perduodamos ar jose tvarkomos elektroninės informacijos prieinamumui, autentiškumui, vientisumui ir konfidencialumui, informacinėmis ir ryšių technologijomis grindžiamos įrangos (pavyzdžiui, kompiuterių, skaitmeninių valdiklių, mikrovaldiklių) valdomos branduolinės energetikos objekto įrangos netrikdomam veikimui arba valdymui, taip pat kuriomis siekiama atkurti įprastinę šios įrangos veiklą.

7.2. Reikalavimuose sąvokos „organizacijos vadovybė“, „saugumo kultūra“ suprantamos taip, kaip jos apibrėžtos Reikalavimų 6.6 papunktyje nurodytame teisės akte.

7.3. Reikalavimuose sąvokos „avarinė parengtis“, „branduolinė avarija“, „branduolinės energetikos objektas“, „branduolinės energetikos objektą eksploatuojanti organizacija“, ir „numatoma grėsmė“ suprantamos taip, kaip jos apibrėžtos Reikalavimų 6.1 papunktyje nurodytame teisės akte.

7.4. Reikalavimuose sąvokos „branduolinė medžiaga“, „saugai svarbūs branduolinės energetikos objekto konstrukcijos, sistemos ir komponentai“ suprantamos taip, kaip jos apibrėžtos Reikalavimų 6.2 papunktyje nurodytame teisės akte.

7.5. Reikalavimuose sąvokos „ypatingos svarbos informacinė infrastruktūra“, „kibernetinis saugumas“, „kibernetinis incidentas“, „kibernetinių incidentų valdymas“, „ryšių ir informacinė sistema“, „pramoninių procesų valdymo sistema“ suprantamos taip, kaip jos apibrėžtos Reikalavimų 6.3 papunktyje nurodytame teisės akte.

7.6. Reikalavimuose sąvokos „branduolinės energetikos objekto projekte numatyta avarija“, „branduolinių ir radiologinių avarijų valdymas“, „išorinis pavojus“, „pakopinės apsaugos principas“, „saugos funkcija“, „sistema“, „komponentas“, „konstrukcijų, sistemų ir komponentų veikimą palaikanti sistema“, „vidinis įvykis“, „vidinis pavojus“ suprantamos taip, kaip jos apibrėžtos Reikalavimų 6.7 papunktyje nurodytame teisės akte.

7.7. Reikalavimuose sąvoka „radioaktyvioji medžiaga“ suprantama kaip Reikalavimų 6.4 papunktyje nurodytame teisės akte.

7.8. Reikalavimuose sąvoka „fizinės saugos sistema“ suprantama kaip Reikalavimų 6.9 papunktyje nurodytame teisės akte.

7.9. Reikalavimuose sąvoka „tikėtinas eksploatavimo įvykis“ suprantama kaip Reikalavimų 6.8 papunktyje nurodytame teisės akte.

7.10. Reikalavimuose sąvoka „elektroniniai ryšiai“ suprantama kaip Reikalavimų 6.5 papunktyje nurodytame teisės akte.

7.11. Reikalavimuose sąvoka „techninė priežiūra“ suprantama taip, kaip Reikalavimų 6.7 papunktyje nurodytame teisės akte.

7.12. Reikalavimuose sąvoka „informaciniai ištekliai“ suprantama kaip organizacijos valdoma elektroninės informacijos ir ją apdorojančių informacinių technologijų priemonių, įskaitant kompiuterizuotą įrangą, visuma.

7.13. Reikalavimuose sąvoka „saugai svarbi programinė įranga“ suprantama kaip programinė įranga (angl. software), įdiegta stacionariuose darbo kompiuteriuose, nešiojamuose kompiuteriuose ar kituose įrenginiuose, kuri yra skirta saugai svarbių duomenų (pavyzdžiui, apšvitos dozių, branduolinei saugai svarbių parametrų) analizei, apskaičiavimui, atvaizdavimui ar kitokiam naudojimui.

7.14. Reikalavimuose sąvoka „operacinė įranga“ (angl. operational technologies), apima pramoninių procesų valdymo sistemas (angl. industrial control systems), įskaitant priežiūros kontrolės ir duomenų apdorojimo sistemas (SCADA), programuojamos logikos valdiklius (PLC), paskirstytų valdiklių sistemas (DCS), ir kitą informacinėmis ir ryšių technologijomis grindžiamą technologinę ar pagalbinę įrangą, kurios pagrindinė funkcija nėra informacijos perdavimas, jos saugojimas ar apdorojimas.

7.15. Reikalavimuose sąvoka „kompiuterizuota įranga“ suprantama kaip Reikalavimų 4.3 papunktyje nurodytame teisės akte nurodyta įranga, kuri yra valdoma informacinėmis ir ryšių technologijomis grindžiama įranga (pavyzdžiui, kompiuterių, skaitmeninių valdiklių, mikrovaldiklių). Kompiuterizuota įranga gali būti sudaryta iš operacinės įrangos sistemų, kitų ryšių ir informacinių sistemų, arba būti šių sistemų dalis.

7.16. Kitos šiuose Reikalavimuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžiamos Lietuvos Respublikos teisės aktuose, reglamentuojančiuose branduolinės energetikos objektų branduolinę, radiacinę ir fizinę saugą.

IV SKYRIUS
BENDRIEJI KIBERNETINIO SAUGUMO UŽTIKRINIMO ORGANIZACIJOJE REIKALAVIMAI

8. Organizacija turi paskirti darbuotoją, atsakingą už kibernetinio saugumo organizavimą ir užtikrinimą Organizacijoje.

9. Organizacija turi užtikrinti, kad Organizacijos informaciniais ištekliais naudosis tik tie asmenys, kuriems Organizacijos nustatyta tvarka yra suteikta tokia teisė.

10. Organizacija turi užtikrinti, kad Organizacijos kompiuterizuotą įrangą naudos, šią įrangą valdys bei šios įrangos techninę priežiūrą atliks tik Organizacijos nustatyta tvarka autorizuoti asmenys.

11. Organizacija turi skatinti ir plėtoti kibernetinio saugumo kultūrą, kaip neatsiejamą saugumo kultūros dalį.

12. Organizacija turi:

12.1. Organizacijos nustatyta tvarka įsivertinti Organizacijos informacinių išteklių įtaką Organizacijos vykdomos veiklos saugai. Šį vertinimą Organizacija turi periodiškai, bet nerečiau nei kartą per tris metus, peržiūrėti ir, esant būtinybei, atnaujinti;

12.2. atsižvelgdama į numatomos grėsmės dokumente įvardintas kibernetines grėsmes bei pažeidėjų charakteristikas, motyvaciją ir ketinimus, atlikti informacinių išteklių, kurie vadovaujantis šių Reikalavimų 12.1 papunktyje nurodytu vertinimu identifikuoti kaip svarbūs užtikrinant branduolinės energetikos objekto saugą, pažeidžiamumų vertinimą ir identifikuoti būtinus apsaugoti informacinius išteklius. Šį vertinimą Organizacija turi atnaujinti atnaujinus šių Reikalavimų 12.1 papunktyje nurodytą vertinimą;

12.3. įdiegti ir išlaikyti prevencines organizacines ir technines priemones informacinių išteklių, nustatytų vadovaujantis šių Reikalavimų 12.2 papunkčiu, kibernetiniam saugumui užtikrinti.

13. Organizacija turi užtikrinti, kad prie ryšių ir informacinių sistemų įrenginių ir kompiuterizuotos įrangos bei jos valdymo įrenginių (angl. controls) galėtų patekti tik tie asmenys, kuriems Organizacijos nustatyta tvarka yra suteikta tokia teisė. Šios priemonės turi būti įdiegtos ir išlaikomos vadovaujantis proporcingumo principu atsižvelgiant į Reikalavimų 12.1 ir 12.2 papunkčiuose nurodytus vertinimus.

14. Organizacija turi užtikrinti kibernetinių incidentų valdymą ir įgytos kibernetinių incidentų valdymo patirties taikymą įdiegiant ir palaikant organizacines ir technines kibernetinio saugumo priemones.

15. Organizacija vadybos sistemos dokumentų nustatytais terminais ir tvarka turi nuolat tikrinti kibernetinio saugumo priemonių veiksmingumą. Taip pat, siekiant patvirtinti techninių ir organizacinių kibernetinio saugumo priemonių veiksmingumą, Organizacija turi rengti kibernetinio saugumo pratybas ir (arba) dalyvauti kitų kompetentingų organizacijų organizuojamose kibernetinio saugumo pratybose.

16. Organizacija turi užtikrinti iš informacinių technologijų tiekėjų gaunamų produktų ar paslaugų atitiktį šiems Reikalavimams, kitiems branduolinės saugos normatyviniams techniniams dokumentams ir Organizacijos vadybos dokumentams, nustatantiems kibernetinio saugumo aspektus.

V SKYRIUS
KIBERNETINIO SAUGUMO VADYBA

17. Organizacija turi nustatyti kibernetinio saugumo politiką ir procesus, kurie turi būti Organizacijos vadybos sistemos, sukurtos vadovaujantis Reikalavimų 6.6 nurodytu teisės aktu, dalis. Kibernetinio saugumo politika ir procesai turi užtikrinti, jog bus pasiekti Reikalavimų 4 punkte nustatyti tikslai. Kibernetinio saugumo politika turi būti patvirtinta Organizacijos vadovybės. Kibernetinio saugumo politika ir procesai turi būti dokumentuoti, nuolat vertinami ir gerinami.

18. Kibernetinio saugumo politika bei jos įgyvendinimo dokumentai turi būti suderinti su Organizacijos fizinės saugos ir branduolinės saugos politikomis.

19. Kibernetinio saugumo politikos įgyvendinimo dokumentuose turi būti nustatyti:

19.1. bendrieji aspektai:

19.1.1. kibernetinio saugumo politikos ir jos įgyvendinimo dokumentų taikymas, patvirtinimas ir naudojimas;

19.1.2. Organizacijos išteklių, skirtų kibernetiniam saugumui užtikrinti, priskyrimas;

19.1.3. sąryšis su kitais Organizacijos procesais;

19.1.4. kibernetinio saugumo būklės Organizacijoje gerinimas;

19.1.5. periodinė kibernetinio saugumo politikos ir jos įgyvendinimo dokumentų peržiūra;

19.2. personalo vadybos aspektai:

19.2.1. atsakomybių ir kompetencijų, susijusių su kibernetiniu saugumu, nustatymas;

19.2.2. darbuotojų priėmimo, perkėlimo į kitas pareigas, atleidimo valdymas;

19.2.3. informacinių išteklių naudotojų grupių sudarymas, teisių ir prieigos prie šių išteklių suteikimas ir valdymas;

19.2.4. darbuotojų konsultavimas ir mokymai kibernetinio saugumo klausimais;

19.2.5. kibernetinio saugumo kultūros skatinimas ir plėtojimas;

19.2.6. sąryšis su kitais personalo valdymo Organizacijoje procesais;

19.3. rizikos, pažeidžiamumo ir atitikties vertinimas:

19.3.1. grėsmių ir pažeidžiamumų, susijusių su informaciniais ištekliais, vertinimas ir periodinis vertinimas;

19.3.2. kibernetinio saugumo auditų procedūros ir jų dokumentavimas;

19.4. informacinių išteklių kibernetinio saugumo valdymas:

19.4.1. kibernetinio saugumo priemonių dokumentavimas;

19.4.2. informacinių išteklių naudotojų vardų ir slaptažodžių sudarymas, apsauga ir keitimas;

19.4.3. naudojimasis belaidžiu tinklu;

19.4.4. elektroninio pašto naudojimas;

19.5. mobiliųjų įrenginių, naudojamų prisijungti prie informacinių išteklių, saugus naudojimas ir kontrolė:

19.5.1. duomenų, esančių mobiliuosiuose įrenginiuose, šifravimo nuostatos;

19.5.2. informacinių išteklių naudojimas už Organizacijos ribų ir (arba) mobiliaisiais įrenginiais;

19.6. įsibrovimų aptikimas ir prevencija:

19.6.1. kibernetinio saugumo priemonių veiksmingumo tikrinimas ir kibernetinio saugumo pratybos;

19.7. kibernetinių incidentų valdymas:

19.7.1. kibernetinių incidentų valdymo organizavimas, įskaitant šių incidentų nustatymą, vertinimą, sustabdymą, jų padarinių šalinimą ir įprastos Organizacijos veiklos atkūrimą;

19.7.2. įgytos kibernetinių incidentų valdymo patirties vertinimas ir panaudojimas kibernetinio saugumo gerinimui.

20. Organizacija turi užtikrinti, kad joje visada būtų pakankamai kvalifikuotų darbuotojų, užtikrinančių kibernetinio saugumo priemonių veiksmingumą ir atitiktį šiems Reikalavimams, kitiems branduolinės saugos normatyviniams techniniams dokumentams ir Organizacijos vadybos dokumentams, nustatantiems kibernetinio saugumo aspektus.

21. Organizacijoje turi būti nustatyti ir dokumentuoti kompetencijos kibernetinio saugumo srityje reikalavimai visiems darbuotojams, turintiems prieigą prie informacinių išteklių, atsižvelgiant į konkrečiam darbuotojui priskirtas funkcijas.

22. Kompetencijos kibernetinio saugumo srityje lygis turi būti palaikomas ir keliamas mokymais ar kitomis priemonėmis. Organizacijoje turi būti atliekamas mokymų ar kitų priemonių, skirtų darbuotojų kompetencijai kibernetinio saugumo srityje palaikyti ar kelti, efektyvumo vertinimas.

23. Organizacija turi užtikrinti, kad darbuotojai, atliekantys funkcijas, susijusias su saugos užtikrinimu, supranta kibernetinių incidentų riziką ir potencialius jų padarinius, geba tinkamai elgtis įvykus tokiems incidentams.

24. Darbuotojai, Organizacijoje atsakingi už kibernetinio saugumo užtikrinimą, turi būti įgiję tinkamą pareigoms vykdyti išsilavinimą, įgūdžius, žinias ir (ar) patirtį, kurių minimalūs reikalavimai turi būti nurodyti darbuotojų pareigybių aprašymuose.

VI SKYRIUS
KIBERNETINIO SAUGUMO UŽTIKRINIMAS PROJEKTUOJANT, PRIPAŽĮSTANT TINKAMA EKSPLOATUOTI IR EKSPLOATUOJANT KOMPIUTERIZUOTĄ ĮRANGĄ

25. Kompiuterizuota įranga turi būti suprojektuota ir eksploatuojama taip, kad jos pagalbinių funkcijų vykdymas (pavyzdžiui, diagnostika, bandymai, papildomos informacijos teikimas) negalėtų pakenkti kibernetinio saugumo užtikrinimui.

26. Branduolinės energetikos objektą pripažįstant tinkamu eksploatuoti ir atliekant su kibernetiniu saugumu susijusias branduolinės energetikos objekto modifikacijas kompiuterizuotos įrangos kibernetinio saugumo priemonių veiksmingumas turi būti patikrintas.

27. Kibernetinio saugumo priemonės neturi kliudyti saugai svarbių sistemų ir komponentų veikimui.

VII SKYRIUS
OPERACINĖS ĮRANGOS KIBERNETINIO SAUGUMO UŽTIKRINIMO PRIEMONĖS

28. Siekiant apsaugoti operacinę įrangą nuo kibernetinių incidentų, vadovaujantis proporcingumo principu ir atsižvelgiant į Reikalavimų 12.1 ir 12.2 papunkčiuose nurodytus vertinimus turi būti taikomos šios prevencinės kibernetinio saugumo priemonės:

28.1. projektuojant operacinę įrangą turi būti numatytos kibernetinio saugumo zonos ir, vadovaujantis pakopinės apsaugos principu, šiose zonose turi būti sukurtos kelių lygių kibernetinio saugumo priemonės. Kibernetinio saugumo zonos ir apsaugos lygių skaičius jose turi būti pasirinkti atsižvelgus į įrangos svarbą saugos užtikrinimui;

28.2. draudimas duomenų srautams iš išorinių elektroninių ryšių tinklų patekti į kibernetinio saugumo zoną. Prioritetas įgyvendinant šią priemonę turi būti skiriamas techninės įrangos (angl. hardware) panaudojimui;

28.3. operacinės įrangos fizinis atjungimas nuo viešųjų ryšių tinklų;

28.4. nuotolinės valdymo ir aptarnavimo prieigos prie operacinės įrangos apribojimas, įskaitant ir draudimą, jeigu toks yra būtinas kibernetiniam saugumui užtikrinti, ir prieigos kontrolė;

28.5. vartotojų prieigos prie operacinės įrangos funkcijų kontrolė (pavyzdžiui, vartotojo vardo ir slaptažodžių naudojimas, vartotojų skaitmeninis identifikavimas asmenine kortele);

28.6. operacinės įrangos parametrų modifikavimo (pavyzdžiui, nuostačių (angl. setpoints) koeficientų pakeitimas) patvirtinimas dviejų ar daugiau darbuotojų, kuris turi būti užtikrinamas techninėmis prieigos kontrolės priemonėmis;

28.7. veiksmų operacinės įrangoje stebėsena ir registravimas;

28.8. išorinių duomenų laikmenų (pavyzdžiui, USB laikmenų) ir kitų išorinių įrenginių fizinio prijungimo prie operacinės įrangos draudimas arba kontrolė;

28.9. belaidžio prisijungimo (pavyzdžiui, WiFi, Bluetooth) prie operacinės įrangos draudimas;

28.10. operacinės įrangos programinės įrangos (angl. software, firmware) modifikavimo kontrolė.

VIII SKYRIUS
RYŠIŲ IR INFORMACINIŲ SISTEMŲ KIBERNETINIO SAUGUMO UŽTIKRINIMO PRIEMONĖS

29. Siekiant apsaugoti ryšių ir informacines sistemas, vadovaujantis proporcingumo principu ir atsižvelgiant į Reikalavimų 12.1 ir 12.2 papunkčiuose nurodytus vertinimus, Organizacija turi užtikrinti, kad:

29.1. visose ryšių ir informacinių sistemų tarnybinėse stotyse ir kompiuterizuotose darbo vietose yra įdiegta ir reguliariai atnaujinama virusų ir kenkimo kodo aptikimo bei šalinimo programinė įranga, skirta kompiuteriams ir išorinėms laikmenoms tikrinti. Informacinių sistemų komponentai be kenkimo programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu vertinant riziką patvirtinama, kad šių komponentų pažeidžiamumo rizika yra priimtina;

29.2. ryšių ir informacinių sistemų diegimą, priežiūrą ir gedimų šalinimą atlieka tik atitinkamą kvalifikaciją turintys specialistai, laikydamiesi gamintojo rekomendacijų;

29.3. ryšių ir informacinėse sistemose naudojama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga;

29.4. patalpose, kuriose yra ryšių ir informacinių sistemų techninė įranga, užtikrintos gamintojo nustatytos techninės įrangos veikimo sąlygos, įranga prižiūrima ir eksploatuojama pagal įrangos gamintojo rekomendacijas;

29.5. informacinių sistemų kompiuterizuota įranga turi turėti įtampos filtrą ir rezervinį maitinimo šaltinį, užtikrinantį kompiuterizuotos įrangos veikimą ir apsaugantį nuo elektros srovės svyravimų.

30. Organizacija turi taikyti šias sisteminės ir taikomosios programinės įrangos kibernetinio saugumo užtikrinimo priemones:

30.1. turi būti naudojama tik legali, autorizuota ir saugi sisteminė ir taikomoji programinė įranga;

30.2. programinės įrangos diegimą, priežiūrą ir gedimų šalinimą turi atlikti tik atitinkamą kvalifikaciją turintys specialistai;

30.3. programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu;

30.4. turi būti operatyviai testuojami ir įdiegiami naudotojų darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos programinės įrangos (pavyzdžiui, apsaugos nuo virusų ir kitų kenkimo programų naudojama programinė įranga) gamintojų rekomenduojami atnaujinimai;

30.5. turi būti taikomos programinės priemonės naudotojų ir administratorių tapatybei ir jų veiksmams nustatyti.

31. Organizacija turi taikyti šias duomenų perdavimo tinklo kibernetinio saugumo užtikrinimo priemones:

31.1. tarnybinės stotys, kompiuterizuotos darbo vietos ir kita kompiuterinė įranga, įjungta į elektroninės informacijos perdavimo tinklą, turi būti atskirtos nuo viešųjų telekomunikacinių tinklų. Esant būtinybei įrangą jungti prie viešųjų telekomunikacinių tinklų, turi būti naudojamos užkardos (angl. firewall). Tokiu atveju informacinių sistemų tarnybinėse stotyse turi būti įjungtos užkardos, sukonfigūruotos praleisti tik su informacinių sistemų funkcionalumu ir administravimu susijusį duomenų srautą;

31.2. užkardos žurnalai (angl. logs) turi būti reguliariai analizuojami, o užkardos saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos;

31.3. jungimasis prie kompiuterizuotos įrangos informacinių sistemų iš viešųjų telekomunikacinių tinklų turi būti griežtai kontroliuojamas ir atliekamas tik per tarpines tarnybines stotis (angl. proxy server). Duomenų perdavimas galimas tik naudojant saugius šifruotus ryšio kanalus (VPN, SSL);

31.4. kompiuterizuotos įrangos informacinių sistemų tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešajame ryšių tinkle naršančių informacinių sistemų naudotojų kompiuterinę įrangą nuo kenkimo kodo;

31.5. belaidžio tinklo sauga ir kontrolė:

31.5.1. leidžiama naudoti tik su atsakingu už kibernetinio saugumo organizavimą ir užtikrinimą Organizacijoje darbuotoju arba kitu įgaliotu Organizacijos darbuotoju suderintus belaidžio tinklo įrenginius, atitinkančius techninius kibernetinio saugumo reikalavimus;

31.5.2. belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, kontroliuojamoje zonoje;

31.5.3. prisijungiant prie belaidžio tinklo, turi būti taikomas naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) / TLS (angl. Transport Layer Security) protokolas;

31.5.4. turi būti uždrausta belaidėje sąsajoje naudoti SNMP (angl. Simple Network Management Protocol) protokolą;

31.5.5. turi būti uždrausti visi nebūtini valdymo protokolai;

31.5.6. turi būti išjungti nenaudojami TCP (angl. Transmission Control Protocol) / UDP (angl. User Datagram Protocol) prievadai;

31.5.7. turi būti uždraustas lygiarangių (angl. peer to peer) funkcionalumas, neleidžiantis belaidžiais įrenginiais tarpusavyje palaikyti ryšio;

31.5.8. belaidis ryšys turi būti šifruojamas mažiausiai 128 bitų ilgio raktu;

31.5.9. prieš pradedant šifruoti belaidį ryšį, belaidės prieigos stotelėje turi būti pakeisti standartiniai gamintojo raktai;

31.6. ryšių kabeliai turi būti apsaugoti nuo neteisėto prisijungimo ar pažeidimo.

IX SKYRIUS
BAIGIAMOSIOS NUOSTATOS

32. Asmuo, pažeidęs Reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.

_______________________