INFORMATIKOS IR RYŠIŲ DEPARTAMENTO PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS DIREKTORIAUS
Į S A K Y M A S
dėl informatikos ir ryšių departamento prie lietuvos respublikos vidaus reikalų ministerijos direktoriaus 2010 m. lapkričio 29 d. įsakymo Nr. 5v-138 „DĖL BENDRŲJŲ (VISIEMS VIENODŲ) ŽINYBINIŲ SAUGUMO PRIEŽIŪROS TARNYBŲ STEIGIMO IR VEIKLOS TAISYKLIŲ, DOKUMENTŲ, REIKALINGŲ LEIDIMUI AUTOMATIZUOTAI APDOROTI ĮSLAPTINTĄ INFORMACIJĄ IŠDUOTI, RENGIMO IR LEIDIMŲ AUTOMATIZUOTAI APDOROTI ĮSLAPTINTĄ INFORMACIJĄ IŠDAVIMO TAISYKLIŲ IR AUTOMATIZUOTO DUOMENŲ APDOROJIMO SISTEMŲ IR TINKLŲ, KURIUOSE BUS SAUGOMA, APDOROJAMA AR KURIAIS BUS PERDUODAMA ĮSLAPTINTA INFORMACIJA, SAUGUMO REIKALAVIMŲ APRAŠO PATVIRTINIMO“ pakeitimo
2013 m. sausio 7 d. Nr. 5V-1
Vilnius
P a k e i č i u Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos direktoriaus 2010 m. lapkričio 29 d. įsakymą Nr. 5V-138 „Dėl Bendrųjų (visiems vienodų) žinybinių saugumo priežiūros tarnybų steigimo ir veiklos taisyklių, Dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, rengimo ir leidimų automatizuotai apdoroti įslaptintą informaciją išdavimo taisyklių ir Automatizuoto duomenų apdorojimo sistemų ir tinklų, kuriuose bus saugoma, apdorojama ar kuriais bus perduodama įslaptinta informacija, saugumo reikalavimų aprašo patvirtinimo“ (Žin., 2010, Nr. 142-7328):
1. Nurodytuoju įsakymu patvirtintose Dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, rengimo ir leidimų automatizuotai apdoroti įslaptintą informaciją išdavimo taisyklėse:
1.1. išdėstau 1 punktą taip:
„1. Dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, rengimo ir leidimų automatizuotai apdoroti įslaptintą informaciją išdavimo taisyklės (toliau – taisyklės) nustato dokumentų, kuriuos privalo pateikti automatizuoto duomenų apdorojimo (toliau – ADA) sistemų ir tinklų, kuriuose saugoma, apdorojama ar perduodama įslaptinta informacija, valdytojai, siekdami gauti leidimą automatizuotai apdoroti ir perduoti įslaptintą informaciją ADA sistemomis ir tinklais arba siekdami sujungti ADA sistemas ir tinklus, turinį, leidimų rūšis ir jų išdavimo procedūrą.“;
1.2. papildau 2 punktą šia sąvoka:
1.3. išdėstau 4 punktą taip:
1.4. išdėstau 6 punktą taip:
„6. ADA sistemos ar tinklo valdytojas, siekdamas gauti leidimą automatizuotai apdoroti ir perduoti įslaptintą informaciją, turi pateikti paraišką dėl leidimo automatizuotai apdoroti ir perduoti įslaptintą informaciją išdavimo žinybinei saugumo priežiūros tarnybai (toliau – žinybinė SPT) arba, jeigu žinybinė SPT nėra įsteigta, – Saugumo priežiūros tarnybai (toliau – SPT). Kartu su paraiška dėl leidimo automatizuotai apdoroti ir perduoti įslaptintą informaciją išdavimo turi būti pateikti ADA sistemos ar tinklo valdytojo įsakymu patvirtinti ADA sistemos ar tinklo nuostatai bei šie ADA sistemos ar tinklo valdytojo įsakymu patvirtinti saugos dokumentai:“;
1.6. papildau šiuo 61 punktu:
„61. Rangovo ADA sistemas ir tinklus, kuriuose numatoma automatizuotai apdoroti įslaptintą informaciją ar kuriais numatoma tokią informaciją perduoti, vertina ir leidimus automatizuotai apdoroti ir perduoti įslaptintą informaciją ADA sistemomis ir tinklais išduoda žinybinė SPT arba SPT įslaptintų sandorių saugumą užtikrinančios institucijos rašytiniu prašymu.“;
1.7. išdėstau 9.1.4 punktą taip:
1.8. išdėstau 9.5.6 punktą taip:
„9.5.6. apsaugos nuo informatyviojo elektromagnetinio spinduliavimo (TEMPEST) procedūros. Techninės įrangos pajungimo, išdėstymo patalpose ir periodinių patikrinimų procedūros bei už šių procedūrų įgyvendinimą atsakingi asmenys. Šio punkto nuostatos netaikomos ADA sistemoms ir tinklams, kuriuose saugoma, apdorojama ar perduodama įslaptinta informacija, žymima slaptumo žyma „Riboto naudojimo“;“;
1.9. papildau šiuo 9.5.8 punktu:
1.10. išdėstau 11 punktą taip:
1.11. išdėstau 11.5 punktą taip:
1.12. išdėstau 12 punktą taip:
1.13. išdėstau 12.1 punktą taip:
1.14. išdėstau 12.2 punktą taip:
1.15. išdėstau 12.3 punktą taip:
1.16. išdėstau 13 punktą taip:
„13. Visi taisyklių 6 punkte nurodyti dokumentai gali būti papildyti kita, su ADA sistemos ar tinklo saugumu susijusia informacija. Tuo atveju, jei II skyriuje reikalaujamos nurodyti nuostatos yra išdėstytos kituose teisės aktuose, turi būti pateikti šie teisės aktai, o taisyklių 6 punkte nustatytuose dokumentuose turi būti pateiktos nuorodos į minėtus teisės aktus.“;
1.17. papildau šiuo 141 punktu:
„141. ADA sistemos ar tinklo vertinimo ir patikrinimo metu įvertinama, ar parengti ir pateikti visi būtini ADA sistemos ar tinklo saugos dokumentai, ar saugos dokumentų nuostatos atitinka taisyklių 5 punkte nurodytų teisės aktų nuostatas ir reikalavimus, taip pat patikrinama, kaip ADA sistemoje ar tinkle įgyvendinti saugumo reikalavimai, atsižvelgiant į pateiktą ADA sistemos ar tinklo saugumo reikalavimų įgyvendinimo patikrinimo ataskaitą. Žinybinė SPT ar SPT nepriklausomai patikrina ir įvertina ADA sistemos ar tinklo atitiktį minėtiems reikalavimams. Žinybinė SPT ar SPT turi teisę pasitelkti Nacionalinės komunikacijų apsaugos tarnybos, Nacionalinės šifrų paskirstymo tarnybos ar institucijos, užtikrinančios apsaugą nuo informatyviojo elektromagnetinio spinduliavimo (TEMPEST), atstovus dėl saugumo reikalavimų, susijusių su šių institucijų kompetencija, patikrinimo.“;
1.18. išdėstau 15 punktą taip:
„15. Leidimas gali būti išduodamas tik vertinimo ir patikrinimo metu nustačius ADA sistemų ir tinklų atitiktį taisyklių 5 punkte nustatytiems reikalavimams. Leidimas turi būti išduodamas ne vėliau kaip per 3 mėnesius nuo ADA sistemos ar tinklo valdytojo paraiškos dėl leidimo automatizuotai apdoroti ir perduoti įslaptintą informaciją išdavimo gavimo žinybinėje SPT ar SPT dienos. ADA sistema ar tinklu leidžiamų atlikti funkcijų apimtis, atitiktis nustatytiems reikalavimams nurodoma ADA sistemos ar tinklo vertinimo ir patikrinimo išvadoje.“;
1.19. išdėstau 16 punktą taip:
„16. Laikinas leidimas išduodamas per taisyklių 15 punkte nustatytą terminą vertinimo metu nustačius ADA sistemų ir tinklų atitiktį taisyklių 5 punkte nustatytiems reikalavimams, tačiau dėl objektyvių priežasčių nesant galimybės atlikti patikrinimą, arba vertinimo ir patikrinimo metu nustačius ADA sistemų ir tinklų atitikties nustatytiems reikalavimams trūkumus, kurie nekelia kritinės grėsmės ADA sistemų ir tinklų saugumui, yra žinomi ADA sistemos ar tinklo valdytojui ir yra sudarytas ADA sistemos ar tinklo valdytojo vadovo įsakymu patvirtintas ADA sistemos ar tinklo atitikties nustatytiems reikalavimams trūkumų šalinimo planas. ADA sistema ar tinklu leidžiamų atlikti funkcijų apimtis, atitiktis nustatytiems reikalavimams, nustatyti trūkumai, kurie nekelia kritinės grėsmės ADA sistemos ar tinklo saugumui, bei jų pašalinimo terminai nurodomi ADA sistemos ar tinklo vertinimo ir patikrinimo išvadoje.“;
1.20. išdėstau 17 punktą taip:
„17. Ribotas leidimas išduodamas per taisyklių 15 punkte nustatytą terminą vertinimo ir patikrinimo metu nustačius ADA sistemų ir tinklų atitiktį taisyklių 5 punkte nustatytiems reikalavimams, atsižvelgiant į ADA sistemos ar tinklo valdytojo prašomų leisti atlikti vienkartinių veiksmų pobūdį, arba vertinimo ir patikrinimo metu nustačius ADA sistemų ir tinklų atitikties nustatytiems reikalavimams trūkumus, kurie nekelia kritinės grėsmės ADA sistemų ir tinklų saugumui ir yra žinomi ADA sistemos ar tinklo valdytojui. ADA sistema ar tinklu leidžiamų atlikti funkcijų (vienkartinių veiksmų) apimtis nurodoma ADA sistemos ar tinklo vertinimo ir patikrinimo išvadoje.“;
1.21. išdėstau 19 punktą taip:
„19. Žinybinė SPT ar SPT turi teisę bet kuriuo ADA sistemos ar tinklo vertinimo ar patikrinimo momentu reikalauti iš ADA sistemos ar tinklo valdytojo papildomų dokumentų, o per nustatytą terminą negavusi reikalaujamų dokumentų,– atsisakyti išduoti prašomą leidimą, laikiną leidimą ar ribotą leidimą.“;
1.22. išdėstau 20 punktą taip:
„20. Žinybinė SPT ar SPT per taisyklių 15–17 punktuose nustatytą terminą priima sprendimą:
20.1. išduoti leidimą, laikiną leidimą ar ribotą leidimą ir ADA sistemos ar tinklo valdytojui pateikia jį kartu su ADA sistemos ar tinklo vertinimo ir patikrinimo išvados, kurioje nurodomi ir nustatyti trūkumai, nekeliantys kritinės grėsmės ADA sistemos ar tinklo saugumui bei jų pašalinimo terminai, kopija;
1.23. papildau šiuo 271 punktu:
„271. Jeigu rangovas (subrangovas) jau turi išduotą galiojantį įmonės patikimumą patvirtinantį pažymėjimą (juridinio asmens) arba rangovo (subrangovo) leidimą dirbti ar susipažinti su įslaptinta informacija (fizinio asmens), leidimas, laikinas leidimas ar ribotas leidimas įsigalioja nuo jo išdavimo dienos ir galioja terminą, nurodytą taisyklių 27 punkte, bet ne ilgiau nei įmonės patikimumą patvirtinantis pažymėjimas arba rangovo (subrangovo) leidimas dirbti ar susipažinti su įslaptinta informacija ir netenka galios nuo įmonės patikimumą patvirtinančio pažymėjimo arba rangovo (subrangovo) leidimo dirbti ar susipažinti su įslaptinta informacija baigimo galioti arba panaikinimo dienos.
Jeigu rangovas (subrangovas) neturi išduoto galiojančio įmonės patikimumą patvirtinančio pažymėjimo (juridinio asmens) arba rangovo (subrangovo) leidimo dirbti ar susipažinti su įslaptinta informacija (fizinio asmens), leidimas, laikinas leidimas ar ribotas leidimas įsigalioja nuo įmonės patikimumą patvirtinančio pažymėjimo arba rangovo (subrangovo) leidimo dirbti ar susipažinti su įslaptinta informacija išdavimo dienos ir galioja terminą, nurodytą taisyklių 27 punkte, bet ne ilgiau nei įmonės patikimumą patvirtinantis pažymėjimas arba rangovo (subrangovo) leidimas dirbti ar susipažinti su įslaptinta informacija ir netenka galios nuo įmonės patikimumą patvirtinančio pažymėjimo arba rangovo (subrangovo) leidimo dirbti ar susipažinti su įslaptinta informacija baigimo galioti arba panaikinimo dienos.“;
1.24. išdėstau 28.1 punktą taip:
„28.1. jeigu ADA sistemoje ir tinkluose įvykdyti reikšmingi pakeitimai, kurie pagal Saugumo reikalavimų įgyvendinimo patikrinimo ataskaitos ir (arba) ADA sistemos ar tinklo valdytojo atlikto rizikos ir (ar) atitikties vertinimo rezultatus žinybinės SPT ar SPT sprendimu daro įtaką visos ADA sistemos ir tinklų ar sujungtų ADA sistemų ir tinklų saugumui;“;
2. Nurodytuoju įsakymu patvirtintame Automatizuoto duomenų apdorojimo sistemų ir tinklų, kuriuose bus saugoma, apdorojama ar kuriais bus perduodama įslaptinta informacija, saugumo reikalavimų apraše:
2.1. išdėstau 1 punktą taip:
„1. Automatizuoto duomenų apdorojimo sistemų ir tinklų, kuriuose bus saugoma, apdorojama ar kuriais bus perduodama įslaptinta informacija, saugumo reikalavimų aprašas (toliau – aprašas) nustato reikalavimus automatizuoto duomenų apdorojimo (toliau – ADA) sistemoms ir tinklams, kuriuose saugoma, apdorojama ar kuriais perduodama įslaptinta informacija, siekiant užtikrinti ADA sistemose saugomos, apdorojamos ir ADA tinklais perduodamos įslaptintos informacijos slaptumą (konfidencialumą), šios informacijos bei ADA sistemų ir tinklų paslaugų ir išteklių vientisumą ir prieinamumą viso ADA sistemų ir tinklų gyvavimo ciklo metu.“;
2.2. išdėstau 2 punktą taip:
„2. Apraše vartojamos sąvokos:
ADA sistemos ar tinklo valdytojas – ADA sistemos ar tinklo nuostatuose nurodytas paslapčių subjektas arba jo įgaliotas struktūrinis padalinys, arba rangovas (subrangovas), kuris valdo ADA sistemą ar tinklą, juos sukūręs ar užsakęs sukurti arba įsigijęs.
ADA sistemos ar tinklo tvarkytojas – ADA sistemos ar tinklo nuostatuose nurodytas paslapčių subjektas arba jo įgaliotas struktūrinis padalinys, arba rangovas (subrangovas), kuris pagal ADA sistemos ar tinklo nuostatus įgaliotas tvarkyti ADA sistemą ar tinklą, jų duomenis.
ADA sistemos ar tinklo naudotojas – asmuo, kuriam ADA sistemos ar tinklo valdytojas arba tvarkytojas, pagal ADA sistemos ar tinklo nuostatuose apibrėžtą kompetenciją, suteikė teisę naudotis ADA sistema ar tinklu.
ADA sistemos ar tinklo slaptumo žyma – aukščiausia slaptumo žyma, kuria pažymėta įslaptinta informacija gali būti saugoma, apdorojama ADA sistemoje ar perduodama ADA tinklu.
Įgaliotoji institucija – institucija, kuriai teisės aktais pavesta atlikti Nacionalinės komunikacijų apsaugos tarnybos arba Nacionalinės šifrų paskirstymo tarnybos, arba Saugumo priežiūros tarnybos, arba apsaugos nuo informatyviojo elektromagnetinio spinduliavimo (TEMPEST) funkcijas.
RN sistema ar tinklas – ADA sistema, kurioje saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Riboto naudojimo“, ar tinklas, kuriuo tokia informacija yra perduodama.
KF sistema ar tinklas – ADA sistema, kurioje saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Konfidencialiai“, ar tinklas, kuriuo tokia informacija yra perduodama.
S sistema ar tinklas – ADA sistema, kurioje saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Slaptai“, ar tinklas, kuriuo tokia informacija yra perduodama.
VS sistema ar tinklas – ADA sistema, kurioje saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Visiškai slaptai“, ar tinklas, kuriuo tokia informacija yra perduodama.
Saugos dokumentai – ADA sistemos ar tinklo valdytojo įsakymu patvirtinti teisės aktai, reglamentuojantys ADA sistemos ar tinklo saugą, nurodyti Dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, rengimo ir leidimų automatizuotai apdoroti įslaptintą informaciją išdavimo taisyklėse.
Saugumo incidentas – įvykis, veiksmas ar neveikimas, kuris sudaro ar gali sudaryti sąlygas neteisėtai prisijungti prie ADA sistemos ar tinklo, sutrikdyti ar pakeisti (įskaitant valdymo perėmimą) ADA sistemos ar tinklo veikimą, sunaikinti, sugadinti, ištrinti ar pakeisti įslaptintą informaciją, elektroninius duomenis, panaikinti ar apriboti galimybę naudotis įslaptinta informacija, elektroniniais duomenimis, taip pat sudaryti sąlygas pasisavinti, paskelbti, platinti ar kitaip neteisėtai naudoti įslaptintą informaciją, elektroniniais duomenimis.
Kitos apraše vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatyme ir kituose teisės aktuose.“;
2.4. išdėstau 4 punktą taip:
„4. Užsienio valstybių, Europos Sąjungos ir tarptautinių organizacijų įslaptintos informacijos, ADA sistemų ir tinklų saugumui šis aprašas taikomas tiek, kiek neprieštarauja Lietuvos Respublikos tarptautinėms sutartims ir šiomis sutartimis grindžiamiems bei jas įgyvendinantiems tarptautinių organizacijų sprendimams ir Europos Sąjungos teisės aktams.“;
2.5. išdėstau 16.1 punktą taip:
2.6. išdėstau 16.2 punktą taip:
2.8. išdėstau 17.1 punktą taip:
2.9. išdėstau 17.2 punktą taip:
2.11. išdėstau 22 punktą taip:
„22. KF, S ir VS sistemų ir tinklų sudėtinės dalys, išskyrus teisės aktų nustatytas išimtis, turi būti įrengiamos ne žemesnėje kaip II klasės saugumo zonoje. Tokių ADA sistemų ir tinklų tarnybinės stotys, kriptografinė ryšio apsaugos įranga ir kiti kritiniai ADA sistemos ir tinklo komponentai turi būti įrengiami I klasės saugumo zonoje. KF ir S sistemų kriptografinę įrangą, kuri naudojama tik darbo valandomis ir aktyvuojama specialiomis lustinėmis kortelėmis arba raktais, leidžiama įrengti II klasės saugumo zonoje. RN sistemų ir tinklų sudėtinės dalys, išskyrus teisės aktų nustatytas išimtis, turi būti įrengiamos ne žemesnėje kaip administracinėje saugumo zonoje, o tokių ADA sistemų ir tinklų tarnybinės stotys ir kiti kritiniai ADA sistemos ir tinklo komponentai turi būti įrengiami ne žemesnėje kaip II klasės saugumo zonoje.“;
2.12. išdėstau 23 punktą taip:
„23. Prieigos prie ADA sistemos ar tinklo teisė suteikiama ADA sistemos ar tinklo valdytojo sprendimu, vadovaujantis principu „būtina žinoti“. ADA sistemos ar tinklo naudotojas privalo turėti galiojantį leidimą dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma, atitinkančia ADA sistemos ar tinklo slaptumo žymą arba aukštesne. Kiekvienas ADA sistemos ar tinklo naudotojas privalo turėti unikalų identifikatorių. ADA sistemos ar tinklo saugos įgaliotinis ir administratorius privalo turėti galiojantį leidimą dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma, atitinkančia ADA sistemos ar tinklo slaptumo žymą arba aukštesne.“;
2.13. išdėstau 25 punktą taip:
2.14. išdėstau 26 punktą taip:
„26. ADA sistemos ar tinklo naudotojui neatliekant jokių veiksmų (RN ir KF sistemoje ar tinkle – 15 min., S ir VS sistemoje ar tinkle – 10 min.), ADA sistema ar tinklas turi užtikrinti, kad toliau naudotis ADA sistema ar tinklu galima būtų tik pakartojus tapatybės nustatymo ir patvirtinimo veiksmus.“;
2.15. išdėstau 27 punktą taip:
2.16. išdėstau 30 punktą taip:
2.17. išdėstau 31 punktą taip:
„31. ADA sistemose ir tinkluose turi būti užtikrintas nuolatinis įvykių (ADA sistemos ar tinklo veiklos įrašų) registravimas, nurodant laiką ir susijusį naudotojo identifikatorių. Reikalaujamų registruoti įvykių sąrašą nustato Nacionalinė komunikacijų apsaugos tarnyba. ADA sistemos ar tinklo valdytojas, vadovaudamasis rizikos analize, gali savo sprendimu papildyti minėtą sąrašą. Įvykiai turi būti registruojami pagrindiniame ir rezerviniame (jei leidžia ADA sistemos ar tinklo funkcionalumas – nutolusiame) įvykių žurnaluose. Laikrodžiai, pagal kuriuos nustatomas įvykių laikas, turi būti sinchronizuoti, išskyrus ADA sistemas, kurias sudaro pavieniai, nesujungti kompiuteriai. Turi būti priemonės, leidžiančios nustatyti su įvykiais susijusius asmenis visą įvykių žurnalų saugojimo laiką.“;
2.18. išdėstau 34 punktą taip:
„34. ADA sistemos ar tinklo įvykių žurnalų įrašai turi būti saugomi S sistemose ir tinkluose – 5 metus, VS sistemose ir tinkluose – 10 metų, RN ir KF sistemoms ir tinklams reikalavimas netaikomas. Jeigu ADA sistema ar tinklas likviduojami, įvykių žurnalas turi būti saugomas atitinkamai 5 metus arba 10 metų nuo likvidavimo dienos.“;
2.19. išdėstau 40.1 punktą taip:
2.20. išdėstau 40.2 punktą taip:
2.21. išdėstau 42 punktą taip:
„42. Laikmenos, kurios ADA sistemos ar tinklo naudotojų prijungiamos prie ADA sistemos ar tinklo kompiuterio ar įdedamos į ADA sistemos ar tinklo kompiuteryje esantį nuskaitymo įrenginį, turi būti įregistruotos Lietuvos Respublikos Vyriausybės nustatyta tvarka Įslaptintai informacijai įrašyti skirtų laikmenų registre. ADA sistemos ar tinklo kompiuteriuose turi būti išjungta automatinė laikmenų paleistis (angl. autorun). Rekomenduojama naudoti programinę įrangą, skirtą USB laikmenų kontrolei. Prieš prijungiant ar įdedant tokią laikmeną, ji turi būti patikrinta kenkėjiškos programinės įrangos aptikimo priemonėmis atskirame tam skirtame neprijungtame prie ADA sistemos ar tinklo kompiuteryje. Jungti laikmenas prie S ir VS sistemų ar tinklų šių sistemų ar tinklų naudotojams leidžiama tik įslaptintų dokumentų administravimo punktuose įrengtose darbo vietose.“;
2.22. išdėstau 43 punktą taip:
„43. Turi būti užtikrinta visų ADA sistemos ar tinklo kompiuterių apsauga nuo kenkėjiškos programinės įrangos. Programinės įrangos, skirtos apsaugai nuo kenkėjiškos programinės įrangos, sąrašą tvirtina Nacionalinė komunikacijų apsaugos tarnyba. ADA sistemos ar tinklo kompiuterių, prijungtų prie vietinio kompiuterių tinklo, apsauga nuo kenkėjiškos programinės įrangos turi būti valdoma ir atnaujinama centralizuotai. Išjungti ar pašalinti šią apsaugą leidžiama tik ADA sistemos administravimo tikslu. Ši apsauga turi būti atnaujinama gamintojo rekomenduojamu periodiškumu. Neprijungtų prie vietinio kompiuterių tinklo kompiuterių apsauga turi būti atnaujinama rankiniu būdu, naudojant tik tam skirtas laikmenas. Jeigu toks kompiuteris naudojamas rečiau, nei apsaugos gamintojo rekomenduojamas atnaujinimo periodas, apsauga turi būti atnaujinama nedelsiant po šio kompiuterio įjungimo ir naudotojo tapatybės nustatymo operacinėje sistemoje.“;
2.23. išdėstau 45 punktą taip:
2.25. papildau šiuo 50 punktu:
„50. Jei dėl ADA sistemos ar tinklo ypatumų nėra galimas ar tikslingas atskirų šiame apraše išdėstytų reikalavimų įgyvendinimas, ADA sistemos ar tinklo valdytojas privalo atskirai įvertinti kiekvieno tokio reikalavimo neįgyvendinimo riziką ir šią informaciją pateikti žinybinei Saugumo priežiūros tarnybai, o jei tokia neįsteigta – Saugumo priežiūros tarnybai, kuri sprendžia dėl atitinkamo reikalavimo netaikymo ir apie priimtą sprendimą informuoja ADA sistemos ar tinklo valdytoją.“
Dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, rengimo ir leidimų automatizuotai apdoroti įslaptintą informaciją išdavimo taisyklių
1 priedas
(LEIDIMO AUTOMATIZUOTAI APDOROTI ĮSLAPTINTĄ INFORMACIJĄ FORMA)
20 m. d. Nr.
Vilnius
Šis leidimas išduotas |
|
|||||||||||||||
|
|
|||||||||||||||
(paslapčių subjekto pavadinimas arba rangovo (subrangovo) pavadinimas) |
|
|||||||||||||||
ir patvirtina, kad automatizuoto duomenų apdorojimo sistema ar tinklas |
|
|||||||||||||||
, |
|
|||||||||||||||
(automatizuoto duomenų apdorojimo sistemos ar tinklo pavadinimas) |
|
|||||||||||||||
valdoma (-as) |
|
|
||||||||||||||
|
(automatizuoto duomenų apdorojimo sistemos ar tinklo valdytojo pavadinimas) |
|
||||||||||||||
|
|
|||||||||||||||
|
, |
|
||||||||||||||
|
(automatizuoto duomenų apdorojimo sistemos ar tinklo valdytojo adresas) |
|
||||||||||||||
turi teisę atlikti visas teisės aktų nustatytas funkcijas ir automatizuotai apdoroti įslaptintą informaciją, žymimą slaptumo žyma (žymomis) |
|
|
||||||||||||||
|
ir žemesne (žemesnėmis). |
|
||||||||||||||
(slaptumo žyma ar žymos) |
|
|
||||||||||||||
Leidimas išduotas vadovaujantis Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymo (Žin., 1999, Nr. 105-3019; 2004, Nr. 4-29) 40 str. 3 d. ir šiais teisės aktais: |
|
|
||||||||||||||
1. |
|
|
||||||||||||||
|
(SPT ar žinybinės SPT funkcijas atliekančios institucijos, surašiusios išvadą dėl leidimo išdavimo, pavadinimas, išvados data ir numeris) |
|
||||||||||||||
2. |
|
|
||||||||||||||
|
(Specifinių saugumo reikalavimų aprašo pavadinimas, teisės aktą, kuriuo jis patvirtintas, priėmusios institucijos pavadinimas, teisės akto rūšis, numeris, priėmimo data) |
|
||||||||||||||
3. |
|
|
||||||||||||||
|
(Saugumo valdymo procedūrų aprašo pavadinimas, teisės aktą, kuriuo jis patvirtintas, priėmusios institucijos pavadinimas, teisės akto rūšis, numeris, priėmimo data) |
|
||||||||||||||
4. |
|
|
||||||||||||||
|
(Rizikos analizės pavadinimas, teisės aktą, kuriuo jis patvirtintas, priėmusios institucijos pavadinimas, teisės akto rūšis, numeris, priėmimo data) |
|
||||||||||||||
5. |
|
|
||||||||||||||
|
(kiti teisės aktai) |
|
||||||||||||||
Leidimas galioja: |
|
|
|
|||||||||||||
(leidimo galiojimo terminas) |
|
|
|
|||||||||||||
|
|
|
|
|
|
|||||||||||
(leidimą išdavusios SPT ar žinybinės SPT vadovo pareigos) |
|
(parašas) |
|
(vardas, pavardė) |
|
|||||||||||
Dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, rengimo ir leidimų automatizuotai apdoroti įslaptintą informaciją išdavimo taisyklių
2 priedas
(LAIKINO LEIDIMO AUTOMATIZUOTAI APDOROTI ĮSLAPTINTĄ INFORMACIJĄ FORMA)
20 m. d. Nr.
Vilnius
Šis laikinas leidimas išduotas |
||||||||||||
|
||||||||||||
(paslapčių subjekto pavadinimas arba rangovo (subrangovo) pavadinimas) |
||||||||||||
ir patvirtina, kad automatizuoto duomenų apdorojimo sistema ar tinklas |
||||||||||||
, |
||||||||||||
(automatizuoto duomenų apdorojimo sistemos ar tinklo pavadinimas) |
||||||||||||
valdoma (-as) |
|
|||||||||||
|
(automatizuoto duomenų apdorojimo sistemos ar tinklo valdytojo pavadinimas) |
|||||||||||
|
, |
|||||||||||
|
(automatizuoto duomenų apdorojimo sistemos ar tinklo valdytojo adresas) |
|||||||||||
turi teisę atlikti šio leidimo 1 p. nurodytoje išvadoje nustatytas funkcijas nurodyta apimtimi ir sąlygomis ir automatizuotai apdoroti įslaptintą informaciją, žymimą slaptumo žyma (žymomis) |
||||||||||||
|
ir žemesne (žemesnėmis). |
|||||||||||
(slaptumo žyma ar žymos) |
|
|||||||||||
Laikinas leidimas išduotas vadovaujantis Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymo (Žin., 1999, Nr. 105-3019; 2004, Nr. 4-29) 40 str. 3 d. ir šiais teisės aktais: |
|
|||||||||||
1. |
|
|||||||||||
|
(SPT ar žinybinės SPT funkcijas atliekančios institucijos, surašiusios išvadą dėl laikino leidimo išdavimo, pavadinimas, išvados data ir numeris) |
|||||||||||
2. |
|
|||||||||||
|
(Specifinių saugumo reikalavimų aprašo pavadinimas, teisės aktą, kuriuo jis patvirtintas, priėmusios institucijos pavadinimas, teisės akto rūšis, numeris, priėmimo data) |
|||||||||||
3. |
|
|||||||||||
|
(Saugumo valdymo procedūrų aprašo pavadinimas, teisės aktą, kuriuo jis patvirtintas, priėmusios institucijos pavadinimas, teisės akto rūšis, numeris, priėmimo data) |
|||||||||||
4. |
|
|||||||||||
|
(Rizikos analizės pavadinimas, teisės aktą, kuriuo jis patvirtintas, priėmusios institucijos pavadinimas, teisės akto rūšis, numeris, priėmimo data) |
|||||||||||
5. |
|
|||||||||||
(kiti teisės aktai) |
||||||||||||
Laikinas leidimas galioja: |
|
|
||||||||||
|
(laikino leidimo galiojimo terminas) |
|
||||||||||
|
|
|
|
|
||||||||
(laikiną leidimą išdavusios SPT ar žinybinės SPT vadovo pareigos) |
|
(parašas) |
|
(vardas, pavardė) |
||||||||
Dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, rengimo ir leidimų automatizuotai apdoroti įslaptintą informaciją išdavimo taisyklių
3 priedas
(RIBOTO LEIDIMO AUTOMATIZUOTAI APDOROTI ĮSLAPTINTĄ INFORMACIJĄ FORMA)
20 m. d. Nr.
Vilnius
Šis ribotas leidimas išduotas |
||||||||||||
|
||||||||||||
(paslapčių subjekto pavadinimas arba rangovo (subrangovo) pavadinimas) |
||||||||||||
ir patvirtina, kad automatizuoto duomenų apdorojimo sistema ar tinklas |
||||||||||||
, |
||||||||||||
(automatizuoto duomenų apdorojimo sistemos ar tinklo pavadinimas) |
||||||||||||
valdoma (-as) |
|
|||||||||||
|
(automatizuoto duomenų apdorojimo sistemos ar tinklo valdytojo pavadinimas) |
|||||||||||
, |
|
|||||||||||
(automatizuoto duomenų apdorojimo sistemos ar tinklo valdytojo adresas) |
|
|||||||||||
turi teisę atlikti šio leidimo 1 p. nurodytoje išvadoje nustatytus vienkartinius veiksmus nurodyta apimtimi ir sąlygomis ir automatizuotai apdoroti įslaptintą informaciją, žymimą slaptumo žyma (žymomis) |
|
|||||||||||
|
ir žemesne (žemesnėmis). |
|||||||||||
(slaptumo žyma ar žymos) |
|
|||||||||||
Ribotas leidimas išduotas vadovaujantis Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymo (Žin., 1999, Nr. 105-3019; 2004, Nr. 4-29) 40 str. 3 d. ir šiais teisės aktais: |
|
|||||||||||
1. |
|
|||||||||||
|
(SPT ar žinybinės SPT funkcijas atliekančios institucijos, surašiusios išvadą dėl riboto leidimo išdavimo, pavadinimas, išvados data ir numeris) |
|||||||||||
2. |
|
|||||||||||
|
(Specifinių saugumo reikalavimų aprašo pavadinimas, teisės aktą, kuriuo jis patvirtintas, priėmusios institucijos pavadinimas, teisės akto rūšis, numeris, priėmimo data) |
|||||||||||
3. |
|
|||||||||||
|
(Saugumo valdymo procedūrų aprašo pavadinimas, teisės aktą, kuriuo jis patvirtintas, priėmusios institucijos pavadinimas, teisės akto rūšis, numeris, priėmimo data) |
|||||||||||
4. |
|
|||||||||||
|
(Rizikos analizės pavadinimas, teisės aktą, kuriuo jis patvirtintas, priėmusios institucijos pavadinimas, teisės akto rūšis, numeris, priėmimo data) |
|||||||||||
5. |
|
|||||||||||
|
(kiti teisės aktai) |
|||||||||||
Ribotas leidimas galioja: |
|
|
||||||||||
|
(riboto leidimo galiojimo terminas) |
|
||||||||||
|
|
|
|
|
||||||||
(ribotą leidimą išdavusios SPT ar žinybinės SPT vadovo pareigos) |
|
(parašas) |
|
(vardas, pavardė) |
||||||||