LIETUVOS RESPUBLIKOS

RYŠIŲ REGULIAVIMO TARNYBOS DIREKTORIAUS

Į S A K Y M A S

 

Dėl Viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų saugumo ir vientisumo užtikrinimo taisyklių PATVIRTINIMO

 

2011 m. spalio 21 d. Nr. 1V-1013

Vilnius

 

 

Vadovaudamasis Lietuvos Respublikos elektroninių ryšių įstatymo (Žin., 2004, Nr. 69-2382; 2011, Nr. 91-4327) 421 straipsniu ir įgyvendindamas 2002 m. kovo 7 d. Europos Parlamento ir Tarybos direktyvą 2002/21/EB dėl elektroninių ryšių tinklų ir paslaugų bendrosios reguliavimo sistemos (Pagrindų direktyva) (OL 2004 m. specialusis leidimas, 13 skyrius, 29 tomas, p. 349), su paskutiniais pakeitimais, padarytais 2009 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyva 2009/140/EB (OL 2009 L 337, p. 37):

1. T v i r t i n u Viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų saugumo ir vientisumo užtikrinimo taisykles (pridedama).

2. P r i p a ž į s t u netekusiu galios Lietuvos Respublikos ryšių reguliavimo tarnybos direktoriaus 2009 m. kovo 20 d. įsakymą Nr. 1V-348 „Dėl Nacionalinio elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimų padalinio veiklos nuostatų patvirtinimo“ (Žin., 2009, Nr. 36-1419).

3. N u r o d a u paskelbti šį įsakymą oficialiame leidinyje „Valstybės žinios“.

 

 

 

Direktorius                                                                        Feliksas Dobrovolskis

PATVIRTINTA

Lietuvos Respublikos

ryšių reguliavimo tarnybos direktoriaus

2011 m. spalio 21 d. įsakymu Nr. 1V-1013

 

Viešųjų ryšių tinklų ir Viešųjų elektroninių ryšių paslaugų saugumo ir vientisumo užtikrinimo taisyklės

 

I. BENDROSIOS NUOSTATOS

 

1. Viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų saugumo ir vientisumo užtikrinimo taisyklės (toliau – Taisyklės) reglamentuoja viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų (toliau – teikėjas) teises ir pareigas užtikrinant jų teikiamų viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų saugumą ir vientisumą bei saugumo incidentų tyrimo tvarką.

2. Taisyklės parengtos vadovaujantis Lietuvos Respublikos elektroninių ryšių įstatymo (Žin., 2004, Nr. 69-2382; 2011, Nr. 91-4327) 421 straipsniu ir įgyvendinant 2002 m. kovo 7 d. Europos Parlamento ir Tarybos direktyvą 2002/21/EB dėl elektroninių ryšių tinklų ir paslaugų bendrosios reguliavimo sistemos (Pagrindų direktyva) (OL 2004 m. specialusis leidimas, 13 skyrius, 29 tomas, p. 349) su paskutiniais pakeitimais, padarytais 2009 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyva 2009/140/EB (OL 2009 L 337, p. 37).

3. Taisyklėse vartojamos sąvokos:

Elektroninės paslaugos trikdymo ataka (angl. Denial of Service, DoS) – veiksmas, kuriuo trikdomas viešojo ryšių tinklo ir (ar) informacinės sistemos darbas arba viešuoju ryšių tinklu teikiamų paslaugų teikimas.

Elektroniniai duomenys – duomenys, pateikti tokia forma, kuri tinkama juos tvarkyti informacinėje sistemoje.

Elektroninių duomenų klastojimas – neteisėtas elektroninių duomenų iškraipymas ar neteisėtas pakeitimas kitais elektroniniais duomenimis.

Informacinės sistemos užvaldymas (angl. System Compromise) – neteisėtas informacinės sistemos išteklių naudojimas ir (arba) neteisėtas prisijungimas prie informacinės sistemos.

Kenkėjiškas adresas – viešojo ryšių tinklo identifikatorius, kurį naudojant vykdoma veikla, kelianti grėsmę viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų saugumui ir vientisumui.

Kenkėjiška programinė įranga (angl. Virus, Worm) – programinė įranga ar jos dalis, sukurta neteisėtai prisijungti ar sudaryti sąlygas neteisėtai prisijungti prie informacinės sistemos ar viešojo ryšių tinklo, sutrikdyti ar pakeisti (taip pat perimti valdymą) informacinės sistemos ar viešojo ryšių tinklo veikimą, sunaikinti, sugadinti, ištrinti ar pakeisti elektroninius duomenis, panaikinti ar apriboti galimybę naudotis elektroniniais duomenimis, sudaryti sąlygas neteisėtai pasisavinti ar kitaip panaudoti neviešus elektroninius duomenis tokios teisės neturintiems asmenims.

Manipuliacija elektroniniais duomenimis – elektroninių duomenų pasisavinimas, platinimas, paskelbimas ar kitoks neteisėtas jų naudojimas.

Viešųjų ryšių tinklų ir paslaugų saugumo valdymo taisyklės – teikėjų pasitvirtintų dokumentų visuma, nustatanti technines ir organizacines priemones viešųjų ryšių tinklų ir (ar) viešųjų elektroninių ryšių paslaugų saugumui ir vientisumui užtikrinti.

Kitos Taisyklėse vartojamos sąvokos suprantamos taip, kaip jos yra apibrėžtos Lietuvos Respublikos elektroninių ryšių įstatyme.

 

II. SAUGUMO INCIDENTŲ TYRIMAS

 

4. Teikėjai privalo pranešti Tarnybai apie šiuos saugumo incidentus:

4.1. elektroninės paslaugos trikdymo atakas;

4.2. informacinių sistemų užvaldymą;

4.3. manipuliacijas elektroniniais duomenimis;

4.4. kenkėjišką programinę įrangą;

4.5. elektroninių duomenų klastojimą.

5. Teikėjai privalo:

5.1. įgyvendinti tinkamas technines ir organizacines priemones savo teikiamų viešųjų ryšių tinklų ir (ar) viešųjų elektroninių ryšių paslaugų saugumui ir vientisumui užtikrinti. Šios priemonės turi užtikrinti šiais tinklais teikiamų viešųjų elektroninių ryšių paslaugų nepertraukiamą teikimą, saugumo lygį, atitinkantį iškilusią grėsmę ir užkirsti kelią saugumo incidentams arba sumažinti jų poveikį viešųjų ryšių tinklams ir (ar) viešųjų elektroninių ryšių paslaugų gavėjams;

5.2. įgyvendinti tinkamas technines ir organizacines priemones savo teikiamų tinklų vientisumui užtikrinti, tokiu būdu užtikrinant šiais tinklais teikiamų viešųjų elektroninių ryšių paslaugų nepertraukiamą teikimą;

5.3. turėti patvirtintas, reguliariai atnaujinamas savo viešųjų ryšių tinklų ir paslaugų saugumo valdymo taisykles ir jų laikytis;

5.4. nedelsdami informuoti Tarnybą:

5.4.1. apie nustatytus viešojo ryšių tinklo ar jo dalies, viešųjų elektroninių ryšių paslaugų saugumo ar vientisumo pažeidimus, turėjusius didelės įtakos viešųjų ryšių tinklų ir (ar) viešųjų elektroninių ryšių paslaugų teikimui šių paslaugų gavėjams (pagal Taisyklių 1 priedą);

5.4.2. apie nustatytus saugumo incidentus, kurie kelia ar gali kelti grėsmę kitų teikėjų viešųjų ryšių tinklų ir (ar) viešųjų elektroninių ryšių paslaugų ar informacinių sistemų saugumui ir (ar) vientisumui;

5.5. ne vėliau kaip per vieną darbo dieną informuoti Tarnybą apie nustatytus saugumo incidentus, turėjusius vidutinės įtakos viešųjų ryšių tinklų ir (ar) viešųjų elektroninių ryšių paslaugų teikimui šių paslaugų gavėjams (pagal Taisyklių 1 priedą), kuriuos teikėjai išsprendė patys, elektroniniu būdu, aprašytu interneto svetainėje www.cert.lt/statins/;

5.6. informuoti Tarnybą apie teikėjui žinomus saugumo incidentus, susijusius su kito teikėjo viešaisiais ryšių tinklais ar viešosiomis elektroninių ryšių paslaugomis;

5.7. pranešdami Tarnybai apie įvykius, nurodytus Taisyklių 5.4 ir 5.6 punktuose, pateikti pranešimą elektroniniu būdu interneto svetainėje www.cert.lt arba elektroninio pašto adresu cert@cert.lt pagal Taisyklių 2 priede pateiktą formą;

5.8. nedelsdami informuoti viešųjų elektroninių ryšių paslaugų gavėjus apie dėl saugumo incidento kilusius viešųjų ryšių tinklų ir (ar) viešųjų elektroninių ryšių paslaugų teikimo sutrikimus, atitinkančius Taisyklių 1 priede nustatytą kategoriją „vidutinė“ ir „didelė“;

5.9. informuoti viešųjų elektroninių ryšių paslaugų gavėjus apie priemones, kuriomis viešųjų elektroninių ryšių paslaugų gavėjai gali pasinaudoti saugumo incidentų grėsmei, susijusiai su viešųjų elektroninių ryšių paslaugų gavėjų galiniais įrenginiais, pašalinti, ir nurodyti tikėtinas išlaidas, susijusias su tokių priemonių panaudojimu;

5.10. pateikti Tarnybai kontaktinę informaciją, taip pat ir elektroninio pašto adresą, kad būtų operatyviai apsikeista informacija apie saugumo incidentus tarp Tarnybos ir teikėjo;

5.11. teikti techninę informaciją (į šią informaciją nepatenka asmens duomenys ir srauto duomenys) Tarnybai, reikalingą Lietuvos viešųjų ryšių tinklų infrastruktūros saugumo ir vientisumo būsenos stebėsenai, arba sudaryti sąlygas Tarnybai gauti tokią informaciją iš teikėjo viešųjų ryšių tinklų infrastruktūros elementų, Tarnybos ir teikėjo iš anksto nustatyta tvarka ir sąlygomis.

6. Teikėjai turi teisę:

6.1. imtis neatidėliotinų priemonių, įskaitant laikiną viešųjų ryšių tinklų ir (ar) viešųjų elektroninių ryšių paslaugų teikimo viešųjų elektroninių ryšių paslaugų gavėjams apribojimą, kai incidentas įvykęs arba yra akivaizdi saugumo incidento grėsmė;

6.2. informuoti Tarnybą apie kitus teikėjo nuožiūra svarbius įvykius, susijusius su viešųjų ryšių tinklų ir (ar) viešųjų elektroninių ryšių paslaugų saugumu ir vientisumu.

7. Tarnyba, pagal Taisyklių 1 priedą įvertinusi užregistruoto saugumo incidento pavojingumo laipsnį, imasi būtinų veiksmų saugumo incidentui ištirti bei visoms teikėjo pranešimuose nurodytoms aplinkybėms išsiaiškinti:

7.1. saugumo incidentų, kurie yra priskirti prie turinčių didelę įtaką (pagal Taisyklių 1 priedą), tyrimai pradedami nedelsiant po to, kai gaunamas teikėjo pranešimas;

7.2. saugumo incidentų, kurie yra priskirti prie turinčių vidutinę įtaką (pagal Taisyklių 1 priedą), tyrimai pradedami tik atlikus turinčių didelę įtaką saugumo incidentų (pagal Taisyklių 1 priedą) tyrimus arba ne vėliau kaip per 3 darbo dienas nuo teikėjo pranešimo apie saugumo incidentą gavimo;

7.3. saugumo incidentų, kurie yra priskirti prie turinčių nedidelę įtaką (pagal Taisyklių 1 priedą), tyrimai pradedami tik atlikus turinčių didelę įtaką saugumo incidentų (pagal Taisyklių 1 priedą) tyrimus arba ne vėliau kaip per 5 darbo dienas nuo teikėjo pranešimo apie saugumo incidentą gavimo.

8. Tarnyba užtikrina saugumo incidentų tyrimo metu gautos konfidencialios informacijos apsaugą nuo neteisėto šios informacijos paviešinimo, taip pat užtikrina, kad ši informacija nebūtų atskleista, kopijuojama ar naudojama kitiems tikslams, kurie gali sukelti neigiamų padarinių konfidencialią informaciją pateikusiam asmeniui, išskyrus teisės aktuose numatytus atvejus.

9. Prireikus apie įvykusį viešojo ryšių tinklo ar jo dalies, viešųjų elektroninių ryšių paslaugų saugumo ar vientisumo pažeidimą Tarnyba praneša kitų Europos Sąjungos valstybių narių nacionalinėms reguliavimo institucijoms, Europos tinklų ir informacijos apsaugos agentūrai bei visuomenei.

10. Tarnyba nuolat kaupia informaciją apie jai pateiktus teikėjų pranešimus ir įvykdytus veiksmus bei kasmet pateikia apibendrintą informaciją Europos Komisijai ir Europos tinklų ir informacijos apsaugos agentūrai.

 

III. BAIGIAMOSIOS NUOSTATOS

 

11. Tarnybos veiksmai ir neveikimas, susiję su Taisyklių taikymu ir įgyvendinimu, gali būti skundžiami Lietuvos Respublikos įstatymų nustatyta tvarka.

12. Už Taisyklių pažeidimus teikėjai atsako teisės aktų nustatyta tvarka.

 

_________________

Viešųjų ryšių tinklų ir viešųjų elektroninių

ryšių paslaugų saugumo ir vientisumo

užtikrinimo taisyklių

1 priedas

 

VIEŠŲJŲ RYŠIŲ TINKLŲ IR (AR) VIEŠŲJŲ ELEKTRONINIŲ RYŠIŲ PASLAUGŲ PATEIKIAMUMO SUTRIKIMŲ PASLAUGŲ GAVĖJAMS ĮTAKOS VERTINIMO LENTELĖ

 

Paslaugos sutrikimo trukmė

>1 val.

> 2 val.

> 4 val.

Paslaugų gavėjų skaičius arba % nuo bendro teikėjo paslaugų gavėjų skaičiaus

Įtaka

 

 

>1000 arba > 5 %

Nedidelė

Vidutinė

Didelė

 

_________________

Viešųjų ryšių tinklų ir viešųjų elektroninių

ryšių paslaugų saugumo ir vientisumo

užtikrinimo taisyklių

2 priedas

 

PRANEŠIMO APIE SAUGUMO INCIDENTĄ FORMA

 

Lietuvos Respublikos ryšių reguliavimo tarnybai

Algirdo g. 27A, LT-03219 Vilnius

tel. (8 5) 210 5679, faks. (8 5) 216 1564

el. paštas: cert@cert.lt

 

Kontaktinė informacija

Teikėjo pavadinimas:

Asmens vardas, pavardė:

Pareigos:

Adresas:

Telefonas, el. pašto adresas:

Saugumo incidento apibūdinimas

Tipas:

Laikas:

Pažeistų viešųjų ryšių tinklų ir (ar) viešųjų elektroninių ryšių paslaugų, informacinių sistemų, programinės įrangos ir pan. aprašas:

Informacija apie saugumo incidento priežastis (IP adresas ar kita):

Saugumo incidento aprašymas (nurodyti kiek įmanoma detalesnę informaciją):

Paslaugų gavėjų, kuriems saugumo incidentas padarė žalos, apytikris skaičius arba išraiška procentais nuo bendro teikėjo paslaugų gavėjų skaičiaus:

Saugumo incidento valdymas

Veiksmai, kurių imtasi (arba planuojama imtis) šalinant saugumo incidentą:

Kita svarbi informacija

 

Data

 

 

_________________