LIETUVOS RESPUBLIKOS

GENERALINIS PROKURORAS

 

įsakymas

DĖL Lietuvos Respublikos generalinio prokuroro 2016 m. rugsėjo
23
d. įsakymo Nr. I-226 „Dėl Informacinės prokuratūros sistemos saugaus elektroninės informacijos tvarkymo taisyklių, informacinės prokuratūros sistemos veiklos tęstinumo valdymo plano ir informacinės prokuratūros sistemos naudotojų administravimo taisyklių patvirtinimo“
pakeitimo

 

2021 m. sausio 19 d. Nr. I-10

Vilnius

 

 

P a k e i č i u Informacinės prokuratūros sistemos saugaus elektroninės informacijos tvarkymo taisykles, patvirtintas Lietuvos Respublikos generalinio prokuroro 2016 m. rugsėjo 23 d. įsakymu Nr. I-226 „Dėl Informacinės prokuratūros sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Informacinės prokuratūros sistemos veiklos tęstinumo valdymo plano ir Informacinės prokuratūros sistemos naudotojų administravimo taisyklių patvirtinimo“, ir jas išdėstau nauja redakcija (pridedama).

 

 

 

Generalinė prokurorė                                                                                                  Nida Grunskienė

 

 

 

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Lietuvos Respublikos krašto apsaugos ministerijos

2021 m. sausio 4 d. raštu Nr. (4.1 E) 6K-11

 

PATVIRTINTA

Lietuvos Respublikos generalinio

prokuroro 2016 m. rugsėjo 23 d.

įsakymu Nr. I-226

(Lietuvos Respublikos generalinio

prokuroro 2021 m. sausio 19 d.

įsakymo Nr. I-10 redakcija)

 

 

INFORMACINĖS PROKURATŪROS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.   Informacinės prokuratūros sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) nustato Informacinės prokuratūros sistemos (toliau – IPS) technines ir kitas saugos priemones, saugaus elektroninės informacijos tvarkymo tvarką ir reikalavimus, kurie keliami IPS funkcionuoti reikalingoms paslaugoms ir jų teikėjams.

2.   Taisyklėse vartojamos sąvokos atitinka Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Informacinės prokuratūros sistemos nuostatuose, patvirtintuose Lietuvos respublikos generalinio prokuroro 2008 m. gruodžio 31 d. įsakymu Nr. I-213 „Dėl Informacinės prokuratūros sistemos nuostatų patvirtinimo“ (toliau – Informacinės prokuratūros sistemos nuostatai), Informacinės prokuratūros sistemos duomenų saugos nuostatuose, patvirtintuose Lietuvos Respublikos generalinio prokuroro 2008 m. rugpjūčio 29 d. įsakymu Nr. I-114 „Dėl Informacinės prokuratūros sistemos saugos dokumentų patvirtinimo“ (toliau – Duomenų saugos nuostatai), vartojamas sąvokas.

3.   IPS tvarkomos elektroninės informacijos sąrašas nurodytas Informacinės prokuratūros sistemos nuostatų III skyriuje.

4.   Už IPS informacijos tvarkymą atsako IPS naudotojai, t. y. prokurorai, prokuratūros valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis (toliau – naudotojai), ir IPS administratoriai (toliau – administratoriai). Naudotojai atsako pagal jiems priskirtus įgaliojimus. Administratoriai atsako už IPS taikomosios programinės įrangos ir duomenų bazių administravimą, prieigos  naudotojams suteikimą ar panaikinimą, teisės naudotis IPS saugomais duomenimis suteikimą, pakeitimą ar panaikinimą.

 

II SKYRIUS

TAIKOMOS TECHNINĖS IR KITOS SAUGOS PRIEMONĖS

 

5.   Kompiuterinės įrangos saugos priemonės:

5.1. kompiuterinė įranga prižiūrima laikantis gamintojo rekomendacijų, užtikrinamas šios įrangos gamintojų garantinis aptarnavimas;

5.2. tarnybinės stotys apsaugotos nuo elektros srovės svyravimų ir (ar) nutrūkimo;

5.3. techninės įrangos keitimas atliekamas tik gavus Generalinės prokuratūros Informacinių technologijų skyriaus (toliau – Informacinių technologijų skyrius) vedėjo leidimą;

5.4. visi techninės įrangos gedimai ir keitimai registruojami prokuratūros intraneto svetainės Informacinių technologijų pagalbos sistemoje (toliau – ITPS);

5.5. IPS siunčia įspėjimą IPS administratoriui, kai kompiuterinėje įrangoje iki nustatytos pavojingos ribos sumažėja laisvos kompiuterio atminties ar vietos diske (diskuose), ilgą laiką (daugiau kaip 80 proc.) apkraunami kompiuterinės įrangos procesoriai ar kompiuterinio tinklo sąsaja;

5.6. prieigos prie IPS infrastruktūros techninės įrangos teisę turi ir dirbti su ja gali tik IPS administratoriai;

5.7. įdiegtos ir veikia automatizuotos įsibrovimo aptikimo sistemos, skirtos gaunamiems ir siunčiamiems duomenų srautams ir vidiniams svarbiausių tinklo paslaugų duomenų srautams stebėti;

5.8. pagrindinė IPS kompiuterinė įranga dubliuota, turi įtampos filtrą ir rezervinį maitinimo šaltinį, užtikrinantį kompiuterinės įrangos veikimą ne trumpiau kaip 30 minučių ir apsaugantį nuo elektros srovės svyravimų;

5.9. įsilaužimo atakų pėdsakai atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie juos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus valandos, jeigu IPS valdytojo (toliau – valdytojas) sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio informacinės sistemos veiklai vertinimas (testavimas);

5.10. pagrindinėse IPS tarnybinėse stotyse naudojamos vykdomo kodo kontrolės priemonės, automatiškai apribojančios ar informuojančios apie neautorizuoto programinio kodo vykdymą, ir įjungtos užkardos, sukonfigūruotos praleisti tik su informacinės sistemos funkcinėmis galimybėmis ir administravimu susijusį duomenų srautą. Užkardų konfigūracijos dokumentacija saugoma kartu su informacinės sistemos dokumentacija;

5.11. įsilaužimo aptikimo techninių sprendinių užkardos įvykių žurnalai reguliariai analizuojami, o saugaus elektroninės informacijos tvarkymo saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos. Įsilaužimo aptikimo techninių sprendinių įgyvendinimas, konfigūracija ir kibernetinių incidentų aptikimo taisyklės turi būti saugomos elektronine forma atskirai (kartu nurodant tam tikras datas (įgyvendinimo, atnaujinimo ir pan.), atsakingus asmenis, taikymo periodus ir pan.) nuo informacinės sistemos techninės įrangos.

6.   Sisteminės ir taikomosios programinės įrangos saugos priemonės:

6.1. naudojama tik legali sisteminė ir įteisinta taikomoji programinė įranga;

6.2. administratoriai ir naudotojai turi unikalų identifikatorių, sudarytą pagal administratorių ar naudotojų vardą ir slaptažodį. Unikalaus identifikatoriaus sudarymo ir naudojamo tvarką nustato Informacinės prokuratūros sistemos naudotojų administravimo taisyklės, patvirtintos Lietuvos Respublikos generalinio prokuroro 2020 m. vasario 5 d. įsakymu Nr. I-42 „Dėl Informacinės prokuratūros sistemos naudotojų administravimo taisyklių patvirtinimo“ (toliau – Naudotojų administravimo taisyklės);

6.3. programinė įranga testuojama naudojant atskirą testavimo aplinką;

6.4. slaptažodžius, suteikiančius teisę administruoti IPS ir jos naudotojus, gali žinoti tik  administratoriai;

6.5. administratoriaus slaptažodžiai užklijuotame voke perduodami saugoti saugos įgaliotiniui, vokas saugomas seife;

6.6. programinis kodas apsaugotas nuo neteisėtos prieigos. Apsaugai nuo neteisėtos prieigos taikomos tokios pačios priemonės kaip ir IPS duomenims apsaugoti;

6.7. naudotojų tapatybei, jų veiksmams su IPS nustatyti taikomos programinės priemonės;

6.8. IPS sisteminės ir taikomosios programinės įrangos apsaugai nuo virusų ir kitų kenkėjiškų programų naudojama specializuota, nuolat automatiškai atnaujinama antivirusinė programinė įranga ir tinklo operacinių sistemų integruotos apsaugos priemonės;

6.9. keisti ir atnaujinti IPS programinę įrangą gali tik administratoriai, gavę Informacinių technologijų skyriaus vedėjo leidimą. Visi IPS programinės įrangos keitimai, atnaujinimai, iškraipymai ir sunaikinimai registruojami tarnybinių stočių įvykių žurnaluose;

6.10. naudotojams nesinaudojant IPS ar kompiuterių įranga ilgiau nei 15 minučių, kompiuteriai užsirakina automatiškai, iš naujo prie jų prisijungiama pakartotinai patvirtinus naudotojo tapatybę;

6.11. reguliariai atliekamas iš vidinio kompiuterių tinklo ir viešųjų tinklų pasiekiamų tarnybinių stočių bei atsitiktinai atrinktų naudotojų kompiuterinės įrangos operacinių sistemų, kitos naudojamos programinės įrangos pažeidžiamumo skenavimas;

6.12. naudotojų darbo vietose naudojamos tik tarnybos (darbo) reikmėms skirtos išorinės duomenų laikmenos (pvz., USB atmintinės, kompaktiniai diskai ir kt.) ir jos negali būti naudojamos veiklai, nesusijusiai su teisėtu informacinės sistemos tvarkymu;

6.13. registruojami visi IPS duomenų bazių, taikomųjų programų veikimo ir kiti darbo sutrikimai.

7.   Elektroninės informacijos perdavimo tinklais saugumo užtikrinimo priemonės:

7.1. IPS saugomos ir apdorojamos elektroninės informacijos konfidencialumui ir vientisumui užtikrinti tokia informacija teikiama ir priimama naudojant saugų valstybinį duomenų perdavimo tinklą (toliau – SVDPT) arba kitą saugų šifruotą duomenų perdavimo kanalą;

7.2. IPS tarnybinės stotys nuo grėsmių iš interneto apsaugotos užkardomis, naudojant ugniasienę, kuri turi būti periodiškai prižiūrima ir atnaujinama;

7.3. nuotolinis prisijungimas prie informacinės sistemos vykdomas taikant virtualaus privataus tinklo (angl. VPN) technologiją;

7.4. kompiuterių tinklas suskirstytas į skirtingo saugumo lygio segmentus pagal IPS komponentų atliekamas funkcijas. IPS duomenų bazės ir informacinės sistemos taikomoji programinė įranga negali būti tame pačiame tinklo segmente;

7.5. elektroninės informacijos perdavimo tinklo mazgai turi rezervinį maitinimo šaltinį, užtikrinantį jų veikimą ne trumpiau kaip 30 minučių;

7.6. ryšių kabeliai apsaugoti nuo neteisėto prisijungimo prie jų ir pažeidimo;

7.7. pagrindinėse IPS tarnybinėse stotyse įjungtos saugasienės (angl. Web Application Firewall), sukonfigūruotos blokuoti visą gaunamų ir siunčiamų duomenų srautą, išskyrus susijusį su informacinės sistemos funkcionalumu ir administravimu. Ne rečiau kaip kartą per mėnesį atliekama saugasienių užfiksuotų įvykių analizė ir šalinamos pastebėtos neatitiktys saugumo reikalavimams.

8.   Naudojamų svetainių, pasiekiamų iš viešųjų elektroninių ryšių tinklų, saugumo ir kontrolės priemonės:

8.1. svetainės administravimo darbai turi būti atliekami ne trumpesniu kaip 128 bitų raktu;

8.2. šifruojant naudojami skaitmeniniai sertifikatai turi būti išduoti patikimų sertifikavimo tarnybų. Sertifikato raktas negali būti trumpesnis kaip 2048 bitų;

8.3. privalomas TLS (angl. Transport Layer Security) standartas;

8.4. svetainės kriptografinės funkcijos turi būti įdiegtos tarnybinės stoties, kurioje yra svetainė, dalyje arba kriptografiniame saugumo modulyje;

8.5. tarnybinės stoties, kurioje yra svetainė, svetainės saugos parametrai turi būti teigiamai įvertinti naudojant Nacionalinio kibernetinio saugumo centro rekomenduojamą testavimo priemonę;

8.6. turi būti naudojama svetainės saugasienė, įsilaužimo atakų pėdsakai atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus valandos, jeigu valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo poveikio ryšių ir informacinės sistemos veiklai vertinimas (testavimas);

8.7. turi būti naudojamos apsaugos priemonės nuo pagrindinių per tinklą vykdomų atakų (pvz.: struktūrizuotų užklausų kalbos įskverbties (angl. SQL injection), įterptinių instrukcijų (angl. XSS), internetinės paslaugos sutrikdymo (angl. DOS), paskirstyto atsisakymo aptarnauti (angl. DDOS) ir kitų). Pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas atviro tinklo programų saugumo projekto interneto svetainėje (www.owasp.org);

8.8. tarnybinė stotis, kurioje yra svetainė:

8.8.1. neturi rodyti svetainės naudotojui klaidų pranešimų apie svetainės programinį kodą ar tarnybinę stotį;

8.8.2. turi leisti tik svetainės funkcinėms galimybėms užtikrinti reikalingus HTTP (angl. HyperText Transfer Protocol) protokolo metodus;

8.9. draudžiama naršyti svetainės aplankuose.

9.   Patalpų ir aplinkos saugumo užtikrinimo priemonės:

9.1. reikalavimai tarybinių stočių patalpoms:

9.1.1. turi būti įrengtos nedegios metalinės, apsaugotos nuo įsilaužimo, savaime užsidarančios ir visada rakinamos durys;

9.1.2. turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti gaisro gesinimo priemonės, įrengtos šildymo, vėdinimo ir oro kondicionavimo sistemos;

9.1.3. prieiga prie patalpų, kuriose yra tarnybinės stotys, kontroliuojama vaizdo stebėjimo kameromis;

9.1.4. turi būti įrengta į judesį reaguojanti garsinė signalizacija;

9.1.5. turi būti atskirtos nuo bendrojo naudojimo patalpų;

9.1.6. turi būti įrengtos vaizdo stebėjimo sistemos;

9.1.7. oro kondicionavimo ir drėgmės kontrolės įranga turi būti dubliuota. Temperatūros ir oro drėgnumo normos užtikrinamos pagal techninės įrangos gamintojų nustatytus reikalavimus. Patalpų oro kondicionavimo ir drėgmės kontrolės įranga turi turėti automatinę perspėjimo funkciją;

9.1.8. turi būti užtikrinamas nepertraukiamas elektros energijos tiekimas, naudojant alternatyvų elektros energijos tiekimo šaltinį, kurio veikimas ne rečiau kaip du kartus per metus tikrinamas imituojant elektros energijos dingimą. Alternatyvaus elektros energijos tiekimo šaltinio patikrinimai registruojami žurnale;

9.2. patekti į tarybinių stočių patalpas gali tik tie asmenys, kuriems tai būtina nustatytoms funkcijoms atlikti, kiekvienas patekimas fiksuojamas registracijos žurnale;

9.3. įėjimo į tarybinių stočių patalpas kontrolę vykdo administratoriai;

9.4. draudžiama tarybinių stočių patalpose asmeniui likti vienam;

9.5. trečiųjų šalių atstovai ir kiti asmenys į tarybinių stočių patalpas gali patekti ar dirbti jose tik lydimi administratoriaus, lankytojams išduodama svečio kortelė;

9.6. už tarybinių stočių patalpų raktų saugojimą atsako Informacinių technologijų skyriaus vedėjas ir administratoriai.

10. Kitos priemonės, naudojamos IPS elektroninės informacijos saugumui užtikrinti:

10.1. IPS tarnybinių stočių įvykių žurnaluose registruojami (nurodant įvykio laiką ir naudotojo unikalų identifikatorių) ir ne mažiau kaip vienus metus saugomi duomenys apie:

10.1.1. IPS tarnybinių stočių įjungimą ir išjungimą;

10.1.2. sėkmingus ir nesėkmingus bandymus registruotis IPS tarnybinėse stotyse;

10.1.3. bandymus atlikti veiksmus, kuriuos atlikti tam tikras naudotojas neturi teisės;

10.2. naudojant programinę įrangą turi būti nuolat atliekama IPS funkcionavimo analizė ir sutrikimų prevencija;

10.3. IPS vienkartinis neveikimo laikotarpis negali trukti ilgiau nei 24 val., o per metus prieinamumas turi būti užtikrinamas ne mažiau kaip 70 proc. viso paros laiko.

 

III SKYRIUS

SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS

 

11.    Saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo tvarka:

11.1. elektroninę informaciją įvesti į IPS, joje keisti, atnaujinti ir tvarkyti gali tik naudotojai, kuriems suteiktos tokios prieigos teisės;

11.2. įvesti Į IPS, joje keisti ir naikinti naudotojų duomenis gali tik administratoriai, kuriems suteiktos naudotojų administravimo teisės;

11.3. įvesti, keisti, atnaujinti IPS klasifikatorių duomenų bazėje tvarkomus duomenis gali tik administratorius pagal suteiktas prieigos teises;

11.4. naudotojų tapatybė ir veiksmai su IPS elektronine informacija fiksuojami programinėmis priemonėmis;

11.5. naudotojų veiksmai automatiniu būdu įrašomi IPS naudotojų veiksmų žurnale, kuris turi būti apsaugotas nuo neteisėto jame esančios informacijos panaudojimo, pakeitimo, iškraipymo ar sunaikinimo;

11.6. IPS naudotojų veiksmų žurnalo duomenys gali būti prieinami tik administratoriams;

11.7. išorinėse duomenų laikmenose ir elektroniniame pašte esantys asmens duomenys po panaudojimo turi būti ištrinami;

11.8. naudotojui neatliekant jokių veiksmų 15 minučių, taikomoji programinė įranga užsirakina, kad toliau naudotis galima būtų tik pakartotinai atlikus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;

11.9. naudotojui baigus darbą ar pasitraukus iš darbo vietos, turi būti automatiškai užtikrinama, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys (pvz., turi būti atsijungiama nuo IPS, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai ar jų kopijos padedami į pašaliniams asmenims neprieinamą vietą);

11.10. atsarginės elektroninės informacijos kopijos daromos, saugomos ir elektroninė informacija iš atsarginių kopijų atkuriama vadovaujantis Lietuvos Respublikos prokuratūros duomenų atsarginių kopijų darymo tvarkos aprašu, patvirtintu Lietuvos Respublikos generalinio prokuroro 2014 m. birželio 17 d. įsakymu Nr. I-123 „Dėl Lietuvos Respublikos prokuratūros duomenų atsarginių kopijų darymo tvarkos aprašo patvirtinimo“, ir Duomenų saugos nuostatuose nustatyta tvarka;

11.11. keitimasis IPS ir kitų informacinių sistemų elektronine informacija vykdomas pagal su jų valdytojais sudarytas duomenų teikimo sutartis, tokiose sutartyse nustatytais būdais ir terminais;

11.12. IPS elektroninė informacija kitiems registrams ir informacinėms sistemoms teikiama vadovaujantis Informacinės prokuratūros sistemos nuostatais ir kitais saugų elektroninės informacijos tvarkymą reglamentuojančiais teisės aktais;

11.13. už iš valstybės registrų ir kitų susijusių informacinių sistemų teikiamos elektroninės informacijos atnaujinimą atsako administratoriai;

11.14. administratoriai, užtikrindami IPS elektroninės informacijos vientisumą, turi naudoti visas įmanomas technines, programines ir administracines priemones, skirtas IPS elektroninei informacijai nuo neteisėtų veiksmų apsaugoti;

11.15. naudotojai, pastebėję informacinės sistemos kibernetinio saugumo ir (ar) elektroninės informacijos saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias elektroninės informacijos saugos ar kibernetinio saugumo užtikrinimo priemones, įvykius ar veiką, atitinkančią kibernetinio ar elektroninės informacijos saugos incidento požymius, arba apie tai gavę informacijos iš kitų informacijos šaltinių, privalo nedelsdami apie tai pranešti saugos įgaliotiniui ir administratoriams;

11.16. administratoriai pagal IPS naudotojų veiksmų žurnalo įrašus turi nustatyti neteisėto poveikio šaltinį, laiką ir su IPS programine įranga ir (ar) duomenimis atliktus veiksmus. Nustatę Duomenų saugos nuostatų, saugos politikos įgyvendinimo dokumentų reikalavimų pažeidimus, privalo nedelsdami apie tai pranešti saugos įgaliotiniui;

11.17. įtaręs, kad su elektronine informacija vykdoma neteisėta veikla, saugos įgaliotinis turi inicijuoti elektroninės informacijos saugos ar kibernetinių incidentų valdymo procedūras.

12.         Programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:

12.1. įdiegti IPS kompiuterių, tarnybinių stočių techninę ir programinę įrangą, ją keisti ir atnaujinti gali tik administratoriai;

12.2. administratorius ne vėliau kaip prieš 4 valandas iki planuojamo IPS techninės ir programinės įrangos pakeitimo, kurio metu galimi IPS veikimo sutrikimai, privalo informuoti naudotojus apie tokių darbų pradžią ir galimus IPS veikimo sutrikimus;

12.3. IPS reikalinga taikomoji programinė įranga turi būti įsigyjama su visomis autorinėmis teisėmis (programos išeities kodais ir teisėmis juos keisti) ir nustatomas garantinio aptarnavimo laikas trūkumams ir klaidoms pašalinti;

12.4. gali būti naudojama tik sertifikuota programinė ir techninė įranga;

12.5. perduodant remontuoti sugedusią techninę įrangą, turi būti išimamos duomenų laikmenos (kietieji diskai ir kt.) arba daromos jų kopijos ir laikmenose saugomi duomenys ištrinami;

12.6. įdiegus naują programinę ir techninę įrangą, turi būti organizuojami naudotojų mokymai.

13.  IPS pokyčių valdymo tvarka:

13.1. valdytojas turi planuoti IPS pokyčius, t. y. juos identifikuoti ir suskirstyti į kategorijas pagal tipą (pvz., administracinis, organizacinis ar techninis), įtaką (pvz., svarbumas ir skubumas) ir prioritetus (pvz., eiliškumas);

13.2. pokyčiai turi būti identifikuojami nustačius naudotojų ir administratorių poreikius, apibendrinus priežiūros problemas ir kitais gerąja praktika laikytinais atvejais;

13.3. visi pokyčiai (projektavimas, kūrimas, testavimas, diegimas) turi būti atliekami tik valdytojo, saugos įgaliotinio ar IBPS administratoriaus iniciatyva;

13.4. pokyčių projektavimą ir kūrimą gali atlikti valstybės tarnautojas, pagal pareigybės aprašymą atsakingas už taikomosios programinės įrangos priežiūrą ir projektavimą tam skirtoje kūrimo aplinkoje, prireikus pasitelkdamas trečiąsias šalis;

13.5. inicijuoti pokyčius turi teisę IPS valdytojas, IPS tvarkytojai, duomenų valdymo įgaliotinis, saugos įgaliotinis, administratorius;

13.6. pokyčiai registruojami pokyčių registre po to, kai valdytojas juos įvertina ir nustato įtaką bei prioritetą;

13.7. pokyčiai, galintys sutrikdyti ar sustabdyti IPS darbą, daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri atskirta nuo eksploatuojamos IPS. Pokyčiai eksploatuojamoje IPS aplinkoje gali būti vykdomi tik išimtiniais atvejais, kai dėl techninių, programinių ar kitų priežasčių (pvz., veiklos atkūrimo ar kitos avarinės situacijos) nėra galimybės patikrinti IPS bandomojoje aplinkoje;

13.8. atlikus pokyčių bandymą IPS bandomojoje aplinkoje, sėkmės atveju pokyčiai perkeliami į gamybinę aplinką;

13.9. administratoriai turi informuoti naudotojus apie pokyčius, jeigu juos įgyvendinant galimi IPS darbo sutrikimai. Informuojama IPS intraneto svetainėje, informacinės sistemos taikomosiose programose ar kitomis priemonėmis (pvz., raštu, elektroniniu paštu ir pan.) ne vėliau kaip likus vienai darbo dienai iki planuojamo pokyčio įgyvendinimo pradžios. Šis papunktis gali būti netaikomas, jeigu įgyvendinami skubūs pokyčiai.

14. Nešiojamųjų kompiuterių ir kitų mobiliųjų įrenginių (toliau – mobilieji įrenginiai) naudojimo tvarka:

14.1. mobilieji įrenginiai gali būti naudojami tik tarnybinėms funkcijoms vykdyti;

14.2. mobiliesiems įrenginiams, naudojamiems valdytojo ar tvarkytojo patalpose, taip pat esantiems vidiniame IPS kompiuterių tinkle, taikomi tokie patys elektroninės informacijos saugos ir kibernetinio saugumo reikalavimai kaip ir stacionariesiems kompiuteriams;

14.3. leidžiama naudoti tik valdytojo nustatytus saugumo reikalavimus atitinkančius mobiliuosius įrenginius;

14.4. valdytojas turi teisę valdyti mobiliuosius įrenginius ir juose įdiegtą programinę įrangą;

14.5. iš mobiliųjų įrenginių draudžiama tiesiogiai nuotoliniu būdu prisijungti prie IPS informacinių technologijų infrastruktūros. Prisijungimas galimas tik per tarpinį įrenginį, taikant virtualaus privataus tinklo (angl. VPN) technologiją, atitinkančią saugos politikos įgyvendinimo dokumentuose nustatytus organizacinius ir techninius elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus;

14.6. turi būti naudojamos priemonės, kurios apribotų neleistinus ar saugumo reikalavimų neatitinkančius mobiliuosius įrenginius, reguliariai tikrinami tarpiniai ir mobilieji įrenginiai. Apie neleidžiamus ar saugumo reikalavimų neatitinkančius tarpinius ar mobiliuosius įrenginius būtina pranešti saugos įgaliotiniui;

14.7. privaloma parengti mobiliųjų įrenginių operacinių sistemų atvaizdus su saugumo nuostatomis. Atvaizde turi būti nustatyti tik veiklai būtini operacinių sistemų komponentai (administravimo paskyros, paslaugos, taikomosios programos, tinklo prievadai, atnaujinimai, sisteminės priemonės). Atvaizdai turi būti reguliariai peržiūrimi ir, nustačius naujų pažeidžiamų vietų ar atakų, iškart atnaujinami;

14.8. pagal parengtus atvaizdus į mobiliuosius įrenginius turi būti įdiegiama operacinė sistema su saugumo nuostatomis;

14.9. mobilieji įrenginiai, kuriais naršoma internete, privalo būti apsaugoti nuo judriųjų programų keliamų grėsmių;

14.10. mobiliuosiuose įrenginiuose turi būti naudojamos vykdomojo kodo kontrolės priemonės, automatiškai apribojančios neleistino vykdomojo kodo naudojimą ar informuojančios apie tokio kodo naudojimą administratorių;

14.11. mobilieji įrenginiai privalo būti apsaugoti slaptažodžiu, sudaromu ir tvarkomu Naudotojų administravimo taisyklėse nustatyta tvarka. Mobiliajame įrenginyje naudojama mobiliojo ryšio kortelė turi būti apsaugota PIN kodu, kuris neturi būti sudarytas iš asmeninės informacijos (pvz., gimimo datos ir pan.) arba lengvai atspėjamo skaičių derinio;

14.12. mobiliuosiuose įrenginiuose (pvz., mobiliųjų įrenginių, išorinėse kompiuterinėse laikmenose) laikoma elektroninė informacija ir kita nevieša informacija turi būti užšifruojama;

14.13. mobiliųjų įrenginių kenksmingos programinės įrangos aptikimo, elektroninės informacijos šifravimo ir kita programinė įranga gali būti įsigyjama tik iš patikimų ir oficialių tiekėjų teisės aktų nustatyta tvarka;

14.14. mobiliuosiuose įrenginiuose privaloma išjungti belaidę prieigą, jeigu jos nereikia darbo funkcijoms atlikti, taip pat lygiarangių (angl. peer-to-peer communications) naudojimo funkcinę galimybę, belaidę periferinę prieigą;

14.15. mobilieji įrenginiai viešose vietose negali būti palikti be priežiūros, mobilusis įrenginys, kuriuo nesinaudojama 15 minučių, turi automatiškai užsirakinti;

14.16. mobiliajame įrenginyje ar jo taikomojoje programinėje įrangoje turi būti uždrausta išsaugoti slaptažodį;

14.17. prie mobiliųjų įrenginių draudžiama prijungti jiems nepriklausančius įrenginius.

15. Belaidžio tinklo saugumo priemonės:

15.1. leidžiama naudoti tik su kompetentingu asmeniu ar padaliniu, atsakingu už kibernetinio saugumo organizavimą ir užtikrinimą, suderintus belaidžio tinklo įrenginius, atitinkančius techninius kibernetinio saugumo reikalavimus;

15.2. privaloma tikrinti eksploatuojamus belaidžius įrenginius, pranešti kompetentingam asmeniui ar padaliniui, atsakingam kibernetinio saugumo organizavimą ir užtikrinimą, apie neleistinus ar techninių kibernetinio saugumo reikalavimų neatitinkančius belaidžius įrenginius;

15.3. turi būti naudojamos priemonės, apribojančios neleistinus ar saugumo reikalavimų neatitinkančius belaidžius įrenginius arba informuojančios kompetentingą asmenį ar padalinį, atsakingą už kibernetinio saugumo organizavimą ir užtikrinimą;

15.4. belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, kontroliuojamoje zonoje;

15.5. prisijungiant prie belaidžio tinklo, turi būti taikomas ryšių ir naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) arba TLS (angl. Transport Layer Security) protokolas;

15.6. draudžiama belaidėje sąsajoje naudoti SNMP (angl. Simple Nehwork Management Protocol) protokolą;

15.7. draudžiami visi nebūtini valdymo protokolai;

15.8. privaloma išjungti nenaudojamą TCP (angl. Transmission Control Protocol) arba UDP (angl. User Datagram ProtocoT) prievadą;

15.9. draudžiamas lygiarangis funkcionalumas, neleidžiantis belaidžiais įrenginiais palaikyti ryšį tarpusavyje;

15.10. belaidis ryšys turi būti šifruojamas mažiausiai 128 bitų ilgio raktu;

15.11. prieš pradedant šifruoti belaidį ryšį, belaidės prieigos stotelėje privaloma pakeisti standartinius gamintojo raktus.

 

IV SKYRIUS

REIKALAVIMAI, KELIAMI INFORMACINEI SISTEMAI FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS

 

16. Perkant su IPS, jos projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu susijusias paslaugas, darbus ar prekes, pirkimo dokumentuose nustatoma, kad tiekėjas užtikrina jų atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. gruodžio 5 d. nutarimu Nr. 1209 „Dėl Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimo Nr. 818 „Dėl Nacionalinės kibernetinio saugumo strategijos patvirtinimo“ pakeitimo“, nustatytiems reikalavimams. Perkamos paslaugos, darbai ar prekės turi atitikti teisės aktų ir standartų, kuriais vadovaujamasi užtikrinant elektroninės informacijos saugą ir kibernetinį saugumą, reikalavimus, kurie iš anksto nustatomi paslaugų teikimo, darbų atlikimo ar prekių tiekimo pirkimo dokumentuose.

17. Tiekėjui prieiga prie IPS gali būti suteikiama tik tada, kai pasirašoma sutartis, kurioje nustatomos tiekėjo teisės, pareigos, prieigos prie IPS lygiai ir sąlygos, elektroninės informacijos saugos, kibernetinio saugumo, konfidencialumo reikalavimai ir atsakomybė už jų nesilaikymą. Administratorius turi supažindinti tiekėją su suteiktos prieigos prie IPS saugos ir kibernetinio saugumo reikalavimais ir sąlygomis. Administratorius yra atsakingas prieigos prie IPS tiekėjui suteikimą ar panaikinimą pasirašius sutartį, pasibaigus sutarties su tiekėju galiojimo terminui ar kitais sutartyje nurodytais prieigos prie IPS panaikinimo atvejais.

18. Tiekėjui suteikiamas tik toks prieigos prie informacinės sistemos lygis, kuris yra būtinas sutartyje nustatytiems įsipareigojimams vykdyti. Tiekėjo paskirti specialistai, kurie vykdys sutartį, turi pasirašyti konfidencialumo pasižadėjimus.

19. Siekdamas įsitikinti, ar tinkamai vykdoma sutartis, laikomasi elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų, valdytojas prireikus gali atlikti tiekėjo teikiamų paslaugų stebėseną ir auditą, suteikti galimybę atlikti auditą trečiosioms šalims.

20. Tiekėjas privalo nedelsdamas informuoti valdytoją apie sutarties vykdymo metu pastebėtus elektroninės informacijos saugos ar kibernetinius incidentus, pastebėtas neveikiančias arba netinkamai veikiančias saugos ar kibernetinio saugumo užtikrinimo priemones, elektroninės informacijos saugos ar kibernetinio saugumo reikalavimų nesilaikymą, nusikalstamos veikos požymius, saugumo spragas, pažeidžiamas vietas, kitus svarbius saugai įvykius.

21. Valdytojas su interneto paslaugų teikėju turi būti sudaręs sutartis dėl apsaugos nuo informacinės sistemos elektroninių paslaugų trikdžių, reagavimo į kibernetinius incidentus įprastomis darbo valandomis ir po darbo valandų, nepertraukiamo interneto paslaugos teikimo ir interneto paslaugos sutrikimų registravimo 24 valandas per parą, 7 dienas per savaitę.

22.       Administratorius atsako už programinių, techninių ir kitų prieigos prie IPS išteklių organizavimą, suteikimą ir panaikinimą IPS infrastruktūros ir (ar) taikomosios programinės įrangos priežiūros paslaugų teikėjui.

23. Administratorius užtikrina, kad paslaugų teikėjo darbuotojai nebūtų palikti vieni valdytojo patalpose.

 

V SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

24.       Už Taisyklių pažeidimus naudotojai, administratoriai ir saugos įgaliotinis atsako teisės aktų nustatyta tvarka.

_______________________