INFORMATIKOS IR RYŠIŲ DEPARTAMENTO
PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS DIREKTORIAUS
ĮSAKYMAS
DĖL BENDRŲJŲ (VISIEMS VIENODŲ) ŽINYBINIŲ SAUGUMO PRIEŽIŪROS TARNYBŲ STEIGIMO IR VEIKLOS TAISYKLIŲ, DOKUMENTŲ, REIKALINGŲ LEIDIMUI AUTOMATIZUOTAI APDOROTI ĮSLAPTINTĄ INFORMACIJĄ IŠDUOTI, RENGIMO IR LEIDIMŲ AUTOMATIZUOTAI APDOROTI ĮSLAPTINTĄ INFORMACIJĄ IŠDAVIMO TAISYKLIŲ IR AUTOMATIZUOTO DUOMENŲ APDOROJIMO SISTEMŲ IR TINKLŲ, KURIUOSE BUS SAUGOMA, APDOROJAMA AR KURIAIS BUS PERDUODAMA ĮSLAPTINTA INFORMACIJA, SAUGUMO REIKALAVIMŲ APRAŠO PATVIRTINIMO
2010 m. lapkričio 29 d. Nr. 5V-138
Vilnius
Vadovaudamasis Lietuvos Respublikos Vyriausybės 2009 m. lapkričio 18 d. nutarimo Nr. 1545 „Dėl Nacionalinės komunikacijų apsaugos, Saugumo priežiūros, Nacionalinės šifrų paskirstymo tarnybų ir institucijų, užtikrinančių apsaugą nuo informatyviojo elektromagnetinio spinduliavimo, funkcijų atlikimo“ (Žin., 2009, Nr. 144-6363; 2010, Nr. 125-6409) 3.3 punktu,
1. Bendrąsias (visiems vienodas) žinybinių saugumo priežiūros tarnybų steigimo ir veiklos taisykles;
2. Dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, rengimo ir leidimų automatizuotai apdoroti įslaptintą informaciją išdavimo taisykles;
3. Automatizuoto duomenų apdorojimo sistemų ir tinklų, kuriuose bus saugoma, apdorojama ar kuriais bus perduodama įslaptinta informacija, saugumo reikalavimų aprašą.
PATVIRTINTA
Informatikos ir ryšių departamento prie
Lietuvos Respublikos vidaus reikalų
ministerijos direktoriaus
2010 m. lapkričio 29 d.
įsakymu Nr. 5V-138
BENDROSIOS (VISIEMS VIENODOS) ŽINYBINIŲ SAUGUMO PRIEŽIŪROS TARNYBŲ STEIGIMO IR VEIKLOS TAISYKLĖS
I. BENDROSIOS NUOSTATOS
1. Bendrosios (visiems vienodos) žinybinių saugumo priežiūros tarnybų steigimo ir veiklos taisyklės (toliau – Taisyklės) nustato žinybinių saugumo priežiūros tarnybų (toliau – žinybinė SPT) steigimą, funkcijas, atskaitomybę, veiklos koordinavimą, ir panaikinimą.
2. Taisyklėse vartojamos sąvokos:
Saugumo priežiūros tarnyba (toliau – SPT) – Lietuvos Respublikos Vyriausybės įgaliota valstybės institucija, vykdanti leidimų automatizuotai apdoroti ir perduoti įslaptintą informaciją automatizuoto duomenų apdorojimo (toliau vadinama – ADA) sistemomis ir tinklais išdavimo, šių sistemų ir tinklų apsaugos kontrolės paslapčių subjektuose ir kitas teisės aktuose numatytas funkcijas.
Žinybinė SPT – šiose Taisyklėse nustatyta tvarka paslapčių subjekto vadovo ar jo įgalioto asmens sprendimu įsteigtas arba įgaliotas struktūrinis paslapčių subjekto padalinys, institucija ar įstaiga, vykdanti ADA sistemų ir tinklų apsaugos kontrolės ir leidimų automatizuotai apdoroti ir perduoti įslaptintą informaciją paslapčių subjekto ADA sistemomis ir tinklais išdavimo funkcijas.
Kitos taisyklėse vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatyme (Žin., 1999, Nr. 105-3019; 2004, Nr. 4-29) bei kituose teisės aktuose.
3. Žinybinė SPT savo veikloje vadovaujasi Lietuvos Respublikos Konstitucija, Lietuvos Respublikos tarptautinėmis sutartimis, įstatymais, kitais Lietuvos Respublikos teisės aktais, NATO ir Europos Sąjungos (toliau – ES) įslaptintos informacijos apsaugą reglamentuojančiais dokumentais ir šiomis Taisyklėmis.
II. ŽINYBINIŲ SPT FUNKCIJOS
4. Žinybinė SPT atlieka šias funkcijas:
4.1. pagal kompetenciją bendradarbiauja su Lietuvos Respublikos, ES, NATO, kitų šalių bei tarptautinių organizacijų institucijomis, atsakingomis už įslaptintos informacijos apsaugą;
4.2. dalyvauja ir pagal kompetenciją atstovauja Lietuvos Respublikai NATO, ES, tarptautinių organizacijų ir užsienio valstybių organizuojamuose renginiuose, susijusiuose su įslaptintos informacijos apsauga;
4.3. pagal kompetenciją vykdo ADA sistemų ir tinklų atitikties nustatytiems apsaugos reikalavimams vertinimą;
4.5. išduoda leidimus, laikinus leidimus ir ribotus leidimus jos kompetencijai priklausančiam paslapčių subjektui, valdančiam ADA sistemas ir tinklus, automatizuotai apdoroti įslaptintą informaciją (toliau – leidimas);
4.6. atlieka jos kompetencijai priklausančio paslapčių subjekto ADA sistemų ir tinklų ADA sistemų ir tinklų, kuriems buvo išduoti leidimai, saugumo kontrolę;
4.7. teikia privalomus nurodymus ADA sistemų ir tinklų valdytojams, ADA sistemų ir tinklų personalui dėl saugumo incidentų tyrimo, esamos situacijos gerinimo, nuolatinio rizikos valdymo bei priimtinos rizikos lygio nustatymo;
4.8. pagal kompetenciją dalyvauja sujungtų ADA sistemų ir tinklų vertinimo ir patikrinimo tarybos veikloje;
4.9. pagal kompetenciją konsultuoja asmenis, atsakingus už paslapčių subjektų įslaptintos informacijos apsaugą, teikia jiems metodinę pagalbą;
III. ŽINYBINIŲ SPT STEIGIMAS
5. Paslapčių subjektas, siekiantis įsteigti žinybinę SPT, Lietuvos Respublikos paslapčių koordinavimo komisijai (toliau – komisija) turi pateikti motyvuotą prašymą dėl žinybinės SPT įsteigimo tikslingumo ir dokumentaciją, pagrindžiančią žinybinės SPT būtinumą, kurioje nurodoma paslapčių subjekto valdomų ADA sistemų ir tinklų skaičius, paskirtis, šių ADA sistemų ir tinklų slaptumo žymos, naudotojų kiekis, ADA sistemos ir tinklo aprėptis geografiniu požiūriu. Komisija turi teisę prašyti pateikti papildomą informaciją.
7. Paslapčių subjektas, siekdamas įregistruoti žinybinę SPT, turi pateikti SPT prašymą dėl žinybinės SPT įregistravimo, komisijos sprendimo dėl žinybinės SPT steigimo tikslingumo kopiją, žinybinės SPT nuostatus ir žinybinės SPT darbuotojų pareigybių aprašymus.
8. Žinybinė SPT savo veiklą gali pradėti tik tada, kai šiose Taisyklėse nustatyta tvarka yra įregistruojama SPT.
9. SPT ne vėliau kaip po 10 (dešimt) darbo dienų nuo dokumentų gavimo ir, prireikus atlikto žinybinės SPT patikrinimo, turi priimti vieną iš šių sprendimų:
9.1. įregistruoti žinybinę SPT ir apie tai informuoti šią žinybinę SPT steigiantį paslapčių subjektą ir komisiją;
10. Jeigu SPT priima taisyklių 9.2 punkte numatytą sprendimą, sprendimo motyvo kopija turi būti pateikta dėl žinybinės SPT įregistravimo besikreipiančiam paslapčių subjektui ir komisijai.
11. Atsisakius įregistruoti žinybinę SPT pakartotinis prašymas dėl žinybinės SPT įregistravimo SPT gali būti pateiktas tik pašalinus sprendimo motyve nurodytus trūkumus.
IV. Žinybinių SPT veiklos KOORDINAVIMAS
13. Žinybinė SPT privalo nedelsdama, bet ne vėliau kaip per 2 (dvi) darbo dienas, pranešti SPT apie žinybinės SPT išduotus leidimus automatizuotai apdoroti ir perduoti įslaptintą informaciją paslapčių subjekto ADA sistemomis ir tinklais.
14. Žinybinė SPT privalo nedelsdama pranešti SPT apie žinybinės SPT kompetencijai priskirtose ADA sistemose ir tinkluose įvykusius saugumo incidentus, keliančius grėsmę ADA sistemoms ir tinklams ar juose tvarkomai įslaptintai informacijai, ir imasi priemonių šiems incidentams likviduoti.
15. SPT, įregistravus žinybinę SPT arba jos registravimo metu bei kartą per trejus kalendorinius metus, atlieka žinybinės SPT veiklos, susijusios su ADA sistemų ir tinklų apsaugos kontrolės ir leidimų automatizuotai apdoroti ir perduoti įslaptintą informaciją paslapčių subjekto, ADA sistemomis ir tinklais išdavimo funkcijų vykdymu, patikrinimus.
16. Patikrinimo metu konstatavus, kad žinybinės SPT veikla neatitinka teisės aktuose nustatytų reikalavimų, SPT kreipiasi į paslapčių subjektą, kuriame yra įsteigta minėta žinybinė SPT, su prašymu pašalinti nustatytus trūkumus.
17. Laiku, be pateisinamų priežasčių, nepašalinus nurodytų trūkumų ir / ar apie tai nepranešus SPT, SPT inicijuoja žinybinės SPT išregistravimą. Trūkumų šalinimo metu gali būti sustabdyti ar panaikinti minėtos žinybinės SPT išduoti leidimai automatizuotai apdoroti ir perduoti įslaptintą informaciją paslapčių subjekto ADA sistemomis ir tinklais.
V. ŽINYBINIŲ SPT PANAIKINIMAS
18. Įsteigta žinybinė SPT gali būti panaikinta žinybinę SPT įsteigusio paslapčių subjekto sprendimu. Apie žinybinės SPT panaikinimą informuojama SPT ir komisija.
VI. BAIGIAMOSIOS NUOSTATOS
PATVIRTINTA
Informatikos ir ryšių departamento prie
Lietuvos Respublikos vidaus reikalų
ministerijos direktoriaus
2010 m. lapkričio 29 d.
įsakymu Nr. 5V-138
DOKUMENTŲ, REIKALINGŲ LEIDIMUI AUTOMATIZUOTAI APDOROTI ĮSLAPTINTĄ INFORMACIJĄ IŠDUOTI, RENGIMO IR LEIDIMŲ AUTOMATIZUOTAI APDOROTI ĮSLAPTINTĄ INFORMACIJĄ IŠDAVIMO TAISYKLĖS
I. BENDROSIOS NUOSTATOS
1. Dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, rengimo ir leidimų automatizuotai apdoroti įslaptintą informaciją išdavimo taisyklės nustato dokumentų, teikiamų paslapčių subjekto, valdančio automatizuoto duomenų apdorojimo (toliau – ADA) sistemą ir tinklą (toliau – valdytojas), siekiant gauti leidimą, automatizuotai apdoroti ir perduoti įslaptintą informaciją ADA sistemomis ir tinklais arba siekiant sujungti ADA sistemas ir tinklus, žymimas slaptumo žymomis „Konfidencialiai“, „Slaptai“ ir „Visiškai slaptai“ (toliau – įslaptinta informacija), turinį, leidimų rūšis ir jų išdavimo procedūrą .
2. Taisyklėse vartojamos sąvokos:
Saugumo aplinka – apibrėžta teritorija, patalpa ar erdvė, kurioje išdėstyta įranga, užtikrinanti įslaptintą informaciją tvarkančios ADA sistemos ir tinklo veikimą, kurioje nustatytos atitinkamos saugumo valdymo procedūros arba kurioje tvarkoma įslaptinta informacija.
Saugumo valdymo procedūros – Saugumo valdymo procedūrų apraše aprašytos įslaptintos informacijos apsaugos reikalavimų įgyvendinimo instrukcijos.
Globali saugumo aplinka – perimetro fizinės apsaugos priemonėmis apsaugota saugumo aplinka, kurioje įdiegti ADA sistema ir tinklai ar jų sudėtinės dalys.
Lokali saugumo aplinka – globalios saugumo aplinkos apsuptos I ir (ar) II klasių saugumo zonos, kuriose įdiegti ir arba eksploatuojami ADA sistemos ir tinklai ar jų sudėtinės dalys.
Elektroninė saugumo aplinka – saugumo aplinka, kurioje elektroniniu būdu tvarkoma įslaptinta informacija, kuri yra saugoma techninėmis ir programinėmis ADA sistemų ir tinklų apsaugos priemonėmis.
Grėsmė – vienos ar daugiau įslaptintos informacijos savybių – konfidencialumo, vientisumo ar prieinamumo – praradimo galimybė.
Rizika – grėsmės pasireiškimo per tam tikrą laiko tarpą tikimybė.
Pažeidžiamumas –ADA sistemos ir tinklo savybė, sudaranti galimybę pasireikšti grėsmei.
Kitos taisyklėse vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatyme (Žin., 1999, Nr. 105-3019; 2004, Nr. 4-29) bei kituose teisės aktuose.
3. Leidimų automatizuotai apdoroti ir perduoti įslaptintą informaciją ADA sistemomis ir tinklais išdavimo procedūra apima:
3.1. dokumentų, reikalingų leidimams automatizuotai apdoroti ir perduoti įslaptintą informaciją ADA sistemomis ir tinklais gauti, parengimą ir pateikimą;
3.2. ADA sistemų ir tinklų atitikties šių taisyklių 5 punkte nustatytiems reikalavimams vertinimą (toliau – vertinimas);
4. Paslapčių subjektams, valdantiems ADA sistemas ir tinklus, gali būti išduoti trijų tipų leidimai automatizuotai apdoroti ir perduoti įslaptintą informaciją ADA sistemomis ir tinklais:
4.1. leidimas ADA sistemose ir tinkluose atlikti visas numatytas funkcijas (toliau – leidimas) (forma pridedama);
4.2. laikinas leidimas ADA sistemose ir tinkluose atlikti visas nustatytas funkcijas (toliau – laikinas leidimas) (forma pridedama);
5. ADA sistemų ir tinklų apsauga užtikrinama vadovaujantis Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymu (Žin., 1999, Nr. 105-3019; 2004, Nr. 4-29), Lietuvos Respublikos paslapčių apsaugos koordinavimo komisijos nustatytais reikalavimais, Saugumo priežiūros tarnybos patvirtintais Automatizuoto duomenų apdorojimo sistemų ir tinklų, kuriuose bus saugoma, apdorojama ar kuriais bus perduodama įslaptinta informacija, saugumo reikalavimais, Nacionalinės šifrų paskirstymo tarnybos bei Nacionalinės komunikacijų apsaugos tarnybos nustatytais reikalavimais ir kitais Lietuvos Respublikos, NATO ir Europos Sąjungos įslaptintos informacijos apsaugą reglamentuojančiais dokumentais.
II. DOKUMENTŲ, REIKALINGŲ LEIDIMAMS GAUTI, turinio reikalavimai ir PATEIKIMAS
6. Valdytojas, siekdamas gauti leidimą, žinybinei saugumo priežiūros tarnybai (toliau – žinybinė SPT) arba, jeigu žinybinė SPT nėra įsteigta – Saugumo priežiūros tarnybai (toliau – SPT), turi pateikti paraišką leidimui gauti. Kartu su paraiška leidimui gauti turi būti pateikiami šie ADA sistemos ir tinklo apsaugą aprašantys dokumentai:
7. Specifinių saugumo reikalavimų aprašas (toliau – SSRA) – tai ADA sistemos ir tinklo apsaugos organizavimo principų ir detalių saugumo reikalavimų sąvadas. SSRA tikslas yra apibrėžti saugios ADA sistemos ir tinklo būseną, jos saugumui kylančias grėsmes ir reikalavimus, keliamus ADA sistemos ir tinklo apsaugai. SSRA privalomai turi būti pateikta ši informacija:
7.1. ADA sistemos ir tinklo apibūdinimas:
7.1.3. Saugomos, apdorojamos bei perduodamos informacijos slaptumo žyma ir įslaptintos informacijos apimtys;
7.2. ADA sistemai ir tinklui keliamų saugumo reikalavimų aprašymas. ADA sistemai ir tinklui keliami saugumo reikalavimai aprašomi atsižvelgiant į:
7.2.2. gaunamos, saugomos, apdorojamos ir perduodamos įslaptintos informacijos ADA sistemoje ir tinkle svarbą;
7.3. Saugumo aplinkų aprašymas. Aprašomos šios ADA sistemos saugumo aplinkos:
7.3.1. globali saugumo aplinka ir joje nustatytos saugumo valdymo procedūros ir už jų vykdymą ir kontrolę atsakingi asmenys;
7.3.2. lokali saugumo aplinka ir joje nustatytos saugumo valdymo procedūros ir už jų vykdymą ir kontrolę atsakingi asmenys;
7.4. Saugumo priemonių aprašymas. Šiame skyriuje išdėstomos priemonės, kurios užtikrina ADA sistemos ir tinklo saugumą (toliau – priemonės). Turi būti išskirtos skirtingose saugumo aplinkose panaudotos prieigos kontrolės, identifikavimo ir autentifikavimo, apskaitos, fizinės, personalo, procedūrinės, ryšio priemonės, taip pat ADA sistemos ir tinklo vientisumą, prieinamumą ir konfidencialumą užtikrinančios priemonės.
7.5. Saugumo valdymo reikalavimų aprašymas. Šiame skyriuje aprašoma:
8. Saugumo valdymo procedūrų aprašas (toliau – SVPA) – tai dokumentas, kuriame tiksliai aprašomas SSRA įvardytų reikalavimų įgyvendinimas ir ADA sistemos ir tinklo apsaugos organizavimo užtikrinimo procedūros.
9. SVPA privalomai turi būti nurodyta:
9.1. ADA sistemos ir tinklo saugumo administravimo ir valdymo procedūros:
9.1.1. trumpas ADA sistemos ir tinklo aprašymas, paminint ADA sistemos ir tinklo ryšius su kitomis sistemomis ir tinklais bei ADA sistemos ir tinklo funkcijas;
9.1.2. asmenys, atsakingi už ADA sistemos ir tinklo saugumo užtikrinimą, jų atsakomybės apibrėžimas;
9.1.3. teisių autorizuotiems naudotojams naudotis ADA sistema ir tinklu suteikimo, pakeitimo ar panaikinimo procedūrų apibrėžimas;
9.1.4. pastebėtų ADA sistemos ir tinklo saugumo pažeidimų pranešimų valdytojui bei SPT procedūrų nustatymas;
9.1.5. procedūrų, užtikrinančių viso personalo, dirbančio su ADA sistema ir tinklu, supažindinimą su saugumą užtikrinančiomis procedūromis, nustatymas;
9.2. ADA sistemos ir tinklo fizinės apsaugos procedūros:
9.2.1. ADA sistemų ir tinklų tarnybinių stočių ir darbo vietų patalpų, elektroninių dokumentų, kriptografinių duomenų saugojimo ir kitų ADA sistemos ir tinklo veikimui būtinų patalpų apibūdinimas;
9.2.2. spynų, kodų ir raktų saugojimo ir išdavimo procedūrų aprašymas, atsakingų asmenų identifikavimas;
9.2.3. procedūrų, užtikrinančių ADA sistemos ir tinklo fizinę apsaugą pasibaigus darbo valandoms, aprašymas;
9.2.4. procedūrų, užtikrinančių patalpų, kur įdiegta ADA sistemos ir tinklo sudėtinės dalys, lankytojų kontrolę, aprašymas;
9.2.5. leidimų lankytojams patekti į ADA sistemos ir tinklo tarnybines patalpas išdavimo procedūrų aprašymas, atsakingų asmenų identifikavimas;
9.2.6. naujos įrangos įdiegimo, saugojimo ir pašalinimo iš ADA sistemos ir tinklo procedūrų aprašymas;
9.2.7. fizinės apsaugos sistemų, signalizacijų testavimo procedūrų bei veiksmų pavojaus atveju aprašymas;
9.3. ADA sistemos ir tinklo personalo saugumo procedūros:
9.3.1. ADA sistemos ir tinklo personalo pareigos, funkcijos, leidime dirbti ar susipažinti su įslaptinta informacija nurodyta mažiausia slaptumo žyma;
9.3.2. naudotojų paskyrimo, jų grupių sudarymo, teisių ir prieigos prie ADA sistemos ir tinklo paslaugų ir išteklių valdymo principai;
9.3.3. būtiniausio ADA sistemos ir tinklo personalo sąrašas, jų pareigos, funkcijos, prieinamos informacijos apsaugos lygis;
9.3.5. informacija apie pagalbinio personalo veiklą ADA sistemų ir tinklų tarnybinėse ar pagalbinėse patalpose;
9.4. Įslaptintos informacijos (nepriklausomai nuo fiksavimo būdo ir formos) administravimo procedūros. Šiame skyriuje aprašoma:
9.4.2. procedūros, apibrėžiančios įslaptintų dokumentų registravimą, valdymą, saugojimą, šių procesų patikrinimą ir kontrolę ir už jų įgyvendinimą atsakingus asmenis;
9.5. ADA sistemos ir tinklo informacijos saugumo procedūros:
9.5.1. techninės įrangos saugumą užtikrinančios procedūros. Kompiuterinės įrangos eksploatavimo procedūros ir dokumentacija, specifiniai nustatymai, kompiuterinės įrangos gedimo metu atliekamos procedūros, darbo vietų prijungimo, atjungimo nuo ADA sistemos ir tinklo procedūros ir už šių procedūrų įgyvendinimą atsakingi asmenys;
9.5.2. programinės įrangos saugumą užtikrinančios procedūros. Naujų naudotojų sąskaitų sukūrimo, panaikinimo, slaptažodžių ir kriptografinių raktų valdymo procedūros, atsargumo priemonės, kurių turi būti imtasi atliekant tam tikrus darbus, operacinių sistemų ir kitos programinės įrangos valdymo procedūros ir už šių procedūrų įgyvendinimą atsakingi asmenys;
9.5.3. apsaugos nuo kompiuterinių virusų procedūros. Kompiuterinių virusų paieškos kompiuteriuose ir kitose kompiuterinėse terpėse, rastų kompiuterinių virusų sunaikinimo, kompiuterinių virusų aptikimo įvykių pranešimo procedūros ir už šių procedūrų įgyvendinimą atsakingi asmenys;
9.5.4. automatizuoto saugumo valdymo procedūros. ADA sistemos ir tinklo automatizuoto saugumo valdymo procedūros ir naudojama programinė įranga, gautų ataskaitų (apimant ir veiklos įrašus) saugojimo, peržiūrėjimo, sunaikinimo procedūros, veiksmai atliekami automatizuoto saugumo valdymo programinės įrangos gedimo metu ir už šių procedūrų įgyvendinimą atsakingi asmenys;
9.5.6. apsaugos nuo elektromagnetinio spinduliavimo (TEMPEST) procedūros. Techninės įrangos pajungimo, išdėstymo patalpose ir periodinių patikrinimų procedūros ir už šių procedūrų įgyvendinimą atsakingi asmenys;
9.6. ADA sistemos ir tinklo veiklos tęstinumo valdymo planas turi kompleksiškai apimti nenumatytų situacijų, likviduojamų avarijų padarinių valdymo, saugumo incidentų tyrimo, įstaigos veiklos atkūrimo nuostatas. ADA sistemos ir tinklo veiklos tęstinumo valdymo plane privalomai turi būti nurodyta:
9.6.1. atsarginių ADA sistemos ir tinklo duomenų kopijų darymo dažniu, jų saugojimo, perdavimo, bandomojo atkūrimo ir panaudojimo procedūromis;
9.6.2. veiksmų planu kompiuterinės, programinės įrangos gedimo, ADA sistemos sugadinimo, įsilaužimo, užpuolimo, telekomunikacinių ryšių praradimo, elektros dingimo, stichinių nelaimių atvejais;
9.6.5. ADA sistemos ir tinklo naudotojų mokymu ir nenumatytų situacijų metu vykdomų veiksmų lavinimu;
9.7. ADA sistemos ir tinklo programinės ir techninės įrangos (toliau – įranga) pakeitimų valdymas. Šiame skyriuje išdėstoma informacija yra susijusi su:
9.7.3. procedūromis, užtikrinančiomis saugų ADA sistemos ir tinklo įrangos pakeitimų įgyvendinimo procesą. Pakeitimai, galintys turėti neigiamos įtakos ADA sistemos ir tinklo ar saugomos, apdorojamos bei šiais tinklais perduodamos įslaptintos informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti išbandyti bandomojoje aplinkoje, kurioje nėra įslaptintų duomenų ir ji atskirta nuo eksploatuojamos ADA sistemos ir tinklo:
10. Rizikos analizės tikslas yra išsiaiškinti rizikos valdymo principus, galimas ADA sistemos ir tinklo grėsmes, pažeidžiamumus, įgyvendintas ir galimas įgyvendinti saugos priemones, taip pat priimtiną rizikos lygį ir liekamosios rizikos veiksnius. Rengiant rizikos analizę rekomenduojama vadovautis Vidaus reikalų ministerijos parengtu ir išleistu Rizikos analizės vadovu.
11. Rizikos analizė turi būti atliekama tam tikslui sistemos valdytojo sudarytos, įvairių ADA sistemos ir tinklo sričių specialistų grupės (toliau – specialistų grupė). Rizikos analizėje turi būti pateikiama ši informacija:
11.1. identifikuojama ADA sistemos ir tinklo galimos rizikos aplinka ir pažeidžiamumai. Tam tikslui pasinaudojama GSA, LSA ir ESA aprašymuose pateikta informacija;
11.3. įvairiais įslaptintos informacijos apsaugos aspektais (fizinė apsauga, personalo patikimumas, įslaptintos informacijos administravimas, ADA sistemų ir tinklų apsauga ir kt.) įvertinamos ADA sistemoje ir tinkle įgyvendintos saugumo priemonės;
11.4. identifikuojamos ADA sistemai ir tinklui siūlomos diegti apsaugos priemonės, nustatomi rizikos mažinimo ir valdymo principai;
12. Saugumo reikalavimų įgyvendinimo patikrinimo plano tikslas – patikrinti informaciją apie SSRA ir SVPA nurodytų apsaugos priemonių įgyvendinimą ADA sistemoje ir tinkle. Saugumo reikalavimų įgyvendinimo patikrinimo plane turi būti pateikiama ši informacija:
III. ADA SISTEMŲ ir TINKLŲ IR SUJUNGTŲ ADA SISTEMŲ VERTINIMAS IR PATIKRINIMAS, LEIDIMŲ ADA SISTEMOMS IR TINKLAMS IŠDAVIMAS
14. Sprendimą dėl leidimo, laikino leidimo ar riboto leidimo išdavimo, neišdavimo, galiojimo sustabdymo, anuliavimo ar atsisakymo vertinti ADA sistemą ir tinklus priima žinybinė saugumo priežiūros tarnyba (toliau – žinybinė SPT) ar saugumo priežiūros tarnyba (toliau – SPT).
15. Leidimas gali būti išduodamas tik vertinimo ir patikrinimo išdavoje nustačius ADA sistemų ir tinklų atitiktį šių taisyklių 5 punkte nustatytiems reikalavimams. Leidimas turi būti išduodamas ne vėliau kaip per 3 mėnesius nuo paslapčių subjekto kreipimosi. ADA sistema ar tinklu leidžiamų atlikti funkcijų apimtis, atitiktis nustatytiems reikalavimams nustatoma ADA sistemos ar tinklo vertinimo ir patikrinimo išvadoje.
16. Laikinas leidimas išduodamas vertinimo išdavoje nustačius ADA sistemų ir tinklų atitiktį šių taisyklių 5 punkte nustatytiems reikalavimams, tačiau dėl objektyvių sąlygų nesant galimybės atlikti patikrinimą arba vertinimo ir patikrinimo išdavoje nustačius ADA sistemų ir tinklų atitikties nustatytiems reikalavimams trūkumus, kurie nekelia kritinės grėsmės ADA sistemų ir tinklų saugumui, yra žinomi tikrinamo paslapčių subjekto ir sudarytas paslapčių subjekto vadovo patvirtintas trūkumų šalinimo planas. ADA sistema ar tinklu leidžiamų atlikti funkcijų apimtis, atitiktis nustatytiems reikalavimams nustatyti trūkumai, kurie nekelia kritinės grėsmės ADA sistemos ir tinklo saugumui, nustatoma ADA sistemos ar tinklo vertinimo ir patikrinimo išvadoje.
17. Ribotas leidimas išduodamas vertinimo ir patikrinimo išdavoje nustačius ADA sistemų ir tinklų atitiktį šių taisyklių 5 punkte nustatytiems reikalavimams pagal paslapčių subjekto prašomų leisti atlikti veiksmų apimtį arba vertinimo ir patikrinimo išdavoje nustačius ADA sistemų ir tinklų atitikties nustatytiems reikalavimams trūkumus, kurie nekelia kritinės grėsmės ADA sistemų ir tinklų saugumui ir yra žinomi tikrinamo paslapčių subjekto. ADA sistema ar tinklu leidžiamų atlikti funkcijų apimtis nustatoma ADA sistemos ar tinklo vertinimo ir patikrinimo išvadoje.
18. Prireikus vertinti ir patikrinti ADA sistemą ir tinklą, žinybinė SPT ar SPT teisės aktų nustatyta tvarka gali inicijuoti vertinimo ir patikrinimo darbo grupės sudarymą ar inicijuoti kreipimąsi į nepriklausomus ekspertus.
19. Žinybinė SPT ar SPT turi teisę bet kuriuo ADA sistemos ir tinklo vertinimo ar patikrinimo momentu reikalauti iš sistemos valdytojo papildomų dokumentų, o per nustatytą terminą negavus reikalaujamų dokumentų atsisakyti išduoti prašomą leidimą, laikiną leidimą ar ribotą leidimą.
20. Žinybinė SPT ar SPT per 5 darbo dienas nuo ADA sistemos ir tinklo patikrinimo arba, jei toks patikrinimas buvo atliktas vertinimo ir patikrinimo darbo grupės, nuo jų pateiktų rezultatų gavimo sistemos valdytojui pateikia:
20.1 leidimą, laikiną leidimą ar ribotą leidimą kartu su motyvuotos išvados apie ADA sistemos atitiktį šių taisyklių 5 punkte nustatytiems reikalavimams kopija;
21. Leidimų, laikinų leidimų ir ribotų leidimų geografiškai nutolusiomis, priklausančiomis skirtingoms institucijoms ar valstybėms ADA sistemomis ir tinklais automatizuotai apdoroti įslaptintą informaciją, išdavimui turi būti sukurta sujungtų ADA sistemų ir tinklų vertinimo ir patikrinimo taryba (toliau – akreditavimo taryba). Akreditavimo tarybą gali sudaryti žinybinės (-ių) SPT, SPT, institucijų, atliekančių Nacionalinės komunikacijų apsaugos tarnybos, Nacionalinės šifrų paskirstymo tarnybos, apsaugos nuo elektromagnetinio spinduliavimo tarnybų funkcijas, Paslapčių apsaugos koordinavimo komisijos, asmenys, atsakingi už ADA sistemos ir tinklo saugumą (toliau – akreditavimo tarybos nariai). Akreditavimo tarybos veikla remiasi tarp akreditavimo tarybos narių pasirašytu susitarimu, kuriame nusakoma akreditavimo tarybos narių įgaliojimai, akreditavimo tarybos funkcijos. Akreditavimo taryba ADA sistemos ir tinklo vertinime ir patikrinime turi vadovautis šiomis taisyklėmis ir kitais Lietuvos Respublikos teisės aktais.
22. Akreditavimo taryba turi būti sudaryta prieš pradedant sujungtų ADA sistemų ir tinklų vertinimą ir patikrinimą, o panaikinta panaikinus ADA sistemų ir tinklų sujungimą. Akreditavimo taryba turi būti suburta, kuomet įvykdomi esminiai pakeitimai ADA sistemose ir tinkluose, veikiantys sujungtų ADA sistemų ir tinklų saugumą, arba likus iki leidimo galiojimo pabaigos ne mažiau kaip 4 mėnesiams.
23. ADA sistemų ir tinklų valdytojai, siekiantys gauti leidimą sujungtomis ADA sistemomis ir tinklais apdoroti ir perduoti įslaptintą informaciją, ADA sistemų vertinimo ir patikrinimo tarybai pateikia šių taisyklių 6 punkte nurodytus dokumentus ir papildo juos ADA sistemų ir tinklų ribų apsaugos mechanizmų reikalavimais, numatytais institucijos, atliekančios Nacionalinės komunikacijų apsaugos tarnybos funkcijas, nustatyta tvarka. Leidimo sujungtai ADA sistemai ir tinklui išdavimo procesas gali būti pradėtas tik ADA sistemoms ir tinklams, kurie jau turi leidimus, laikinus leidimus ar ribotus leidimus ir pateikus šių leidimų kopijas akreditavimo tarybai.
24. Sujungtų ADA sistemų vertinimas ir patikrinimas vykdomas šių taisyklių nustatyta bendra ADA sistemų ir tinklų vertinimo ir patikrinimo tvarka.
25. Jei leidimas, laikinas leidimas ar ribotas leidimas yra išduotas žinybinės SPT sprendimu, atitinkamo leidimo kopija per 2 darbo dienas nuo leidimo įregistravimo turi būti nusiųsta SPT.
26. Priėmus sprendimą neišduoti leidimo, laikino leidimo ar riboto leidimo arba anuliavus leidimo, laikino leidimo ar riboto leidimo išdavimą, pakartotinai paraiška gali būti teikiama ne anksčiau kaip po 3 mėnesių nuo šiame punkte nurodyto sprendimo priėmimo ir tik pašalinus motyvuotoje išvadoje ar sprendime dėl leidimo, laikino leidimo ar riboto leidimo anuliavimo nurodytus trūkumus.
27. Leidimas išduodamas ne ilgesniam nei 3 metų terminui. Laikinas leidimas gali būti išduodamas ne ilgesniam kaip 1 metų terminui. Riboto leidimo trukmė nustatoma priklausomai nuo funkcijų svarbos ir apimties, kurias leidžiama atlikti ADA sistema ir tinklu, tačiau negali būti ilgesnė nei 3 mėnesiai.
IV. PAKARTOTINIS LEIDIMŲ ADA SISTEMOMS IR TINKLAMS IŠDAVIMAS
28. ADA sistemos ir tinklų valdytojas privalo kreiptis pakartotinai dėl leidimo ar laikino leidimo išdavimo:
28.1. jeigu ADA sistemoje ir tinkluose įvykdyti reikšmingi pakeitimai, kurie pagal Saugumo reikalavimų įgyvendinimo patikrinimo plano ir (arba) ADA sistemos ar tinklo valdytojo atlikto rizikos ir (ar) atitikties vertinimo rezultatus žinybinės SPT ar SPT sprendimu daro įtaką visos ADA sistemos ir tinklų ar sujungtų ADA sistemų ir tinklų saugumui;
V. BAIGIAMOSIOS NUOSTATOS
30. Leidimų, laikinų leidimų ar ribotų leidimų ADA sistemoms ir tinklams, ir sujungtoms ADA sistemoms ir tinklams dirbti su įslaptinta informacija apskaitą tvarko žinybinė SPT (jei tokios nėra įsteigta – SPT).
31. SPT ir žinybinė SPT pildo išduotų leidimų, laikinų leidimų ar ribotų leidimų žurnalus bei saugo leidimų, laikinų leidimų ar ribotų leidimų kopijas kartu su leidimui, laikinam leidimui ar ribotam leidimui gauti pateiktais dokumentais.
32. SPT saugo žinybinių SPT išduotų leidimų, laikinų leidimų ar ribotų leidimų ADA sistemoms ir tinklams, ir sujungtoms ADA sistemoms ir tinklams kopijas.
Dokumentų, reikalingų leidimui
automatizuotai apdoroti įslaptintą
informaciją išduoti, rengimo ir leidimų
automatizuotai apdoroti įslaptintą
informaciją išdavimo taisyklių
1 priedas
(LEIDIMO AUTOMATIZUOTAI APDOROTI ĮSLAPTINTĄ INFORMACIJĄ FORMA)
20 m. ...................... ......d. Nr. ........
Vilnius
Šis leidimas patvirtina, kad automatizuoto duomenų apdorojimo sistema ir tinklas (toliau – ADA sistema ir tinklas):
___________________________________________________________________________
(automatizuoto duomenų apdorojimo sistemos pavadinimas)
valdoma____________________________________________________________________
(paslapčių subjekto, valdančio automatizuoto duomenų apdorojimo sistemas ir tinklus, pavadinimas)
___________________________________________________________________________
(paslapčių subjekto, valdančio automatizuoto duomenų apdorojimo sistemas ir tinklus, adresas)
turi teisę atlikti visas patikrinimo išvadoje numatytas funkcijas ir automatizuotai apdoroti įslaptintą informaciją, žymimą slaptumo žyma
__________________________________________________________________ ir žemesne.
1. ___________________________________________________ pateiktomis išvadomis
___________ Nr. _________ __________________________________________________
(data)
2. Paslapčių subjekto, vadovaujančio ADA sistemoms ir tinklams (toliau – sistemos valdytojas), pateiktu specifinių saugumo reikalavimų aprašu:
___________ Nr. _________ __________________________________________________
(data)
3. Sistemos valdytojo pateiktu saugumo valdymo procedūrų aprašu:
___________ Nr. _________ __________________________________________________
(data)
4. Sistemos valdytojo pateikta rizikos analize:
___________ Nr. _________, __________________________________________________
(data)
leidimas galioja iki: ___________________________________________________________
(data)
____________________________ _____________
(leidimą išduodančios SPT ar (parašas) (vardas, pavardė)
žinybinės SPT vadovo pareigos)
Dokumentų, reikalingų leidimui
automatizuotai apdoroti įslaptintą
informaciją išduoti, rengimo ir leidimų
automatizuotai apdoroti įslaptintą
informaciją išdavimo taisyklių
2 priedas
(LAIKINO LEIDIMO AUTOMATIZUOTAI APDOROTI ĮSLAPTINTĄ INFORMACIJĄ FORMA)
20 m. ...................... ......d. Nr. ........
Vilnius
Šis laikinas leidimas patvirtina, kad automatizuoto duomenų apdorojimo sistema ir tinklas (toliau – ADA sistema ir tinklas):
___________________________________________________________________________
(automatizuoto duomenų apdorojimo sistemos pavadinimas)
valdoma ____________________________________________________________________
(paslapčių subjekto, valdančio automatizuoto duomenų apdorojimo sistemas ir tinklus, pavadinimas)
___________________________________________________________________________
(paslapčių subjekto, valdančio automatizuoto duomenų apdorojimo sistemas ir tinklus, adresas)
turi teisę laikinai atlikti visas patikrinimo išvadoje nustatytas funkcijas ir automatizuotai apdoroti įslaptintą informaciją, žymimą slaptumo žyma
__________________________________________________________________ ir žemesne.
1. ___________________________________________________ pateiktomis išvadomis
___________ Nr. _________ __________________________________________________
(data)
2. Paslapčių subjekto, vadovaujančio ADA sistemoms ir tinklams (toliau – sistemos valdytojas), pateiktu specifinių saugumo reikalavimų aprašu:
___________ Nr. _________ __________________________________________________
(data)
3. Sistemos valdytojo pateiktu saugumo valdymo procedūrų aprašu:
___________ Nr. _________ __________________________________________________
(data)
4. Sistemos valdytojo pateikta rizikos analize:
___________ Nr. _________, __________________________________________________
(data)
leidimas galioja iki: ___________________________________________________________
(data)
____________________________ _____________
(laikiną leidimą išduodančios SPT (parašas) (vardas, pavardė)
ar žinybinės SPT vadovo pareigos)
Dokumentų, reikalingų leidimui
automatizuotai apdoroti įslaptintą
informaciją išduoti, rengimo ir leidimų
automatizuotai apdoroti įslaptintą
informaciją išdavimo taisyklių
3 priedas
(RIBOTO LEIDIMO AUTOMATIZUOTAI APDOROTI ĮSLAPTINTĄ INFORMACIJĄ FORMA)
20 m. ...................... ......d. Nr. ........
Vilnius
Šis ribotas leidimas patvirtina, kad automatizuoto duomenų apdorojimo sistema ir tinklas (toliau – ADA sistema ir tinklas):
___________________________________________________________________________
(automatizuoto duomenų apdorojimo sistemos pavadinimas)
valdoma ____________________________________________________________________
(paslapčių subjekto, valdančio automatizuoto duomenų apdorojimo sistemas ir tinklus, pavadinimas)
___________________________________________________________________________
(paslapčių subjekto, valdančio automatizuoto duomenų apdorojimo sistemas ir tinklus, adresas)
turi teisę atlikti patikrinimo išvadoje numatytus vienkartinius veiksmus ir automatizuotai apdoroti įslaptintą informaciją, žymimą slaptumo žyma
__________________________________________________________________ ir žemesne.
1. ___________________________________________________ pateiktomis išvadomis
___________ Nr. _________ __________________________________________________
(data)
2. Paslapčių subjekto, vadovaujančio ADA sistemoms ir tinklams (toliau – sistemos valdytojas), pateiktu specifinių saugumo reikalavimų aprašu:
___________ Nr. _________ __________________________________________________
(data)
3. Sistemos valdytojo pateiktu saugumo valdymo procedūrų aprašu:
___________ Nr. _________ __________________________________________________
(data)
4. Sistemos valdytojo pateikta rizikos analize:
___________ Nr. _________, __________________________________________________
(data)
leidimas galioja iki: ___________________________________________________________
(data)
____________________________ _____________
(ribotą leidimą išduodančios SPT (parašas) (vardas, pavardė)
ar žinybinės SPT vadovo pareigos)
PATVIRTINTA
Informatikos ir ryšių departamento prie
Lietuvos Respublikos vidaus reikalų
ministerijos direktoriaus
2010 m. lapkričio 29 d.
įsakymu Nr. 5V-138
AUTOMATIZUOTO DUOMENŲ APDOROJIMO sistemų ir tinklų, kuriuose BUS saugoma, apdorojama ar kuriais BUS perduodama įslaptinta informacija, saugumo reikalavimų aprašas
I. BENDROSIOS NUOSTATOS
1. Automatizuoto duomenų apdorojimo sistemų ir tinklų, kuriuose bus saugoma, apdorojama ar kuriais bus perduodama įslaptinta informacija, saugumo reikalavimų aprašo (toliau – reikalavimai) tikslas – nustatyti reikalavimus automatizuoto duomenų apdorojimo (toliau – ADA) sistemoms ir tinklams, kuriuose saugoma, apdorojama ar kuriais perduodama įslaptinta informacija, žymima slaptumo žymomis „Konfidencialiai“, „Slaptai“ ir „Visiškai slaptai“, siekiant užtikrinti ADA sistemose saugomos, apdorojamos ir ADA tinklais perduodamos įslaptintos informacijos slaptumą (konfidencialumą), šios informacijos bei ADA sistemų ir tinklų paslaugų ir išteklių vientisumą ir prieinamumą viso ADA sistemų ir tinklų gyvavimo ciklo metu.
2. Reikalavimuose vartojamos sąvokos:
ADA sistemos ar tinklo valdytojas – paslapčių subjektas, kuris nustato ADA sistemos ar tinklo tikslus, užsako, sukuria arba įsigyja ir valdo ADA sistemą ar tinklą.
ADA sistemos ar tinklo tvarkytojas – paslapčių subjektas, struktūrinis paslapčių subjekto padalinys, kuris ADA sistemos ar tinklo valdytojo parengtų teisės aktų nustatyta tvarka, tikslais ir sąlygomis tvarko ADA sistemą ar tinklą.
ADA sistemos ar tinklo naudotojas – asmuo, kuriam ADA sistemos ar tinklo valdytojas ar tvarkytojas, jam suteiktos kompetencijos ribose, suteikė teisę naudotis ADA sistema ar tinklu.
ADA sistemos ar tinklo slaptumo žyma – aukščiausia slaptumo žyma, kuria pažymėta įslaptinta informacija gali būti saugoma, apdorojama ADA sistemoje ar perduodama ADA tinklu.
KF sistema ar tinklas – ADA sistema ar tinklas, kuriame saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Konfidencialiai“, ar tokia informacija yra perduodama.
S sistema ar tinklas – ADA sistema ar tinklas, kuriame saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Slaptai“ , ar tokia informacija yra perduodama.
VS sistema – ADA sistema, kuriame saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Visiškai slaptai“.
Saugos dokumentai – ADA sistemos ar tinklo valdytojo ar tvarkytojo patvirtinti teisės aktai, reglamentuojantys ADA sistemos ar tinklo saugą, taip pat leidimų automatizuotai apdoroti ir perduoti įslaptintą informaciją ADA sistemomis ir tinklais gavimui reikalingi dokumentai, nurodyti Dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, rengimo ir leidimų automatizuotai apdoroti įslaptintą informaciją išdavimo taisyklėse.
Konfidencialumas – įslaptintos informacijos (ADA sistemos ar tinklo paslaugos ar ištekliaus) savybė – su įslaptinta informacija gali susipažinti (ADA sistemos ar tinklo paslauga ar ištekliumi gali naudotis) tik tam įgalioti asmenys.
Vientisumas – įslaptintos informacijos (ADA sistemos ar tinklo paslaugos ar ištekliaus) savybė – įslaptinta informacija (ADA sistemos ar tinklo paslauga ar išteklius) nėra atsitiktiniu ar neteisėtu būdu pakeista (pakeistas) ar sunaikinta (sunaikintas).
Prieinamumas – įslaptintos informacijos (ADA sistemos ar tinklo paslaugos ar ištekliaus) savybė – įslaptinta informacija gali būti tvarkoma (ADA sistemos ar tinklo paslauga ar ištekliumi gali būti naudojamasi) reikiamu teisėtam naudotojui metu.
Įgaliotoji institucija – institucija, teisės aktais įgaliota vykdyti Nacionalinės komunikacijų apsaugos tarnybos, arba Nacionalinės šifrų paskirstymo tarnybos, arba Saugumo priežiūros tarnybos, arba apsaugos nuo informatyviojo elektromagnetinio spinduliavimo (TEMPEST) funkcijas.
Saugumo incidentas – įvykis, veiksmas ar neveikimas, kuris sukelia ar gali sudaryti sąlygas neteisėtai prisijungti prie ADA sistemos ar tinklo, sutrikdyti ar pakeisti (įskaitant valdymo perėmimą) ADA sistemos ar tinklo veikimą, sunaikinti, sugadinti, ištrinti ar pakeisti įslaptintą informaciją, panaikinti ar apriboti galimybę naudotis ja, taip pat sudaryti sąlygas pasisavinti, paskelbti, platinti ar kitaip naudoti įslaptintą informaciją tokios teisės neturintiems asmenims.
Kitos reikalavimuose vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatyme ir kituose teisės aktuose.
3. Reikalavimai skirti užtikrinti:
3.5. tyčinių ar atsitiktinių ADA sistemoje tvarkomos ir tinklais perduodamos įslaptintos informacijos, ADA sistemos ar tinklo paslaugų ir išteklių konfidencialumo, vientisumo ir prieinamumo pažeidimų fiksavimą;
3.6. galimybę greitai atkurti ADA sistemos ar tinklo veikimą ir pasiekti svarbius išteklius ar paslaugas sugedus vienam ar keliems ADA sistemos ar tinklo komponentams arba praradus jų kontrolę;
4. Užsienio valstybių, Europos Sąjungos ar tarptautinių organizacijų įslaptintos informacijos, ADA sistemų ir tinklų saugumui šie reikalavimai taikomi tiek, kiek neprieštarauja Lietuvos Respublikos tarptautinėms sutartims ir šiomis sutartimis grindžiamiems bei jas įgyvendinantiems tarptautinių organizacijų sprendimams ir Europos Sąjungos teisės aktams.
II. REIKALAVIMAI ADA sistemų ir tinklų saugos valdymO ORGANIZAVIMUI
5. Turi būti paskirtas ADA sistemos ar tinklo saugos įgaliotinis (toliau – saugos įgaliotinis), kuris atsako už ADA sistemos ar tinklo saugos reikalavimų įgyvendinimo organizavimą ir kontrolę. Esant poreikiui, gali būti skiriami saugos įgaliotiniai struktūriniuose ADA sistemos ar tinklo tvarkytojo padaliniuose (toliau – tvarkytojo saugos įgaliotinis), kurie atlieka saugos įgaliotinio funkcijas saugos įgaliotinio nustatytos kompetencijos ribose ir yra jam atskaitingi.
6. Turi būti paskirtas ADA sistemos ar tinklo administratorius (toliau – administratorius). Administratoriai yra atskaitingi saugos įgaliotiniui. Saugos įgaliotinį skirti administratoriumi draudžiama. Administratoriaus funkcijas gali būti pavesta vykdyti ADA sistemos ar tinklo valdytojo struktūriniam padaliniui.
7. Jeigu ADA sistemoje ar tinkle naudojamos kriptografinės priemonės, turi būti paskirtas ADA sistemos ar tinklo kriptografinių priemonių administratorius (administratorius) (toliau – kriptografinių priemonių administratorius). Kriptografinių priemonių administratoriai yra atskaitingi saugos įgaliotiniui. Saugos įgaliotinį skirti kriptografinių priemonių administratoriumi draudžiama.
8. Saugos įgaliotinis, administratorius ir kriptografinių priemonių administratorius gali turėti pavaduotojus.
9. Saugos įgaliotinis, administratorius ir kriptografinių priemonių administratorius įgyvendina atsakingo asmens funkcijas organizuojant ADA sistemų ir tinklų apsaugą ADA sistemos ar tinklo valdytojo institucijoje nustatytas Valstybės ir tarnybos paslapčių įstatyme.
10. ADA sistemos ar tinklo valdytojo funkcijos ir atsakomybė:
10.1. skiria saugos įgaliotinį, administratorių ir, esant poreikiui, kriptografinių priemonių administratorių ar jų pavaduotojus;
10.2. skiria ADA sistemos ar tinklo tvarkytoją (tvarkytojus) ir nustato jo (jų) kompetencijos ribas tvarkant ADA sistemą ar tinklą;
10.5. atsako už dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, pateikimą laiku;
11. ADA sistemos ar tinklo valdytojas turi teisę įgalioti ADA sistemos ar tinklo tvarkytoją atlikti tam tikras savo funkcijas.
12. Saugos įgaliotinio funkcijos ir atsakomybė:
12.1. teikia ADA sistemos ar tinklo valdytojo vadovui arba jo įgaliotiems asmenims siūlymus dėl:
12.1.3. ADA sistemos ar tinklo rizikos vertinimo ir atitikties įslaptintos informacijos saugumo reikalavimams vertinimo (toliau – atitikties vertinimas) atlikimo;
12.4. organizuoja ADA sistemos ar tinklo naudotojų pasirašytiną supažindinimą su ADA sistemos ar tinklo saugos dokumentais ir teisės aktais bei su atsakomybe už nustatytų reikalavimų nesilaikymą;
12.5. organizuoja ADA sistemos ar tinklo naudotojų apmokymus, susijusius su ADA sistemos ar tinklo naudojama technine bei programine įranga;
12.8. informuoja ADA sistemos ar tinklo valdytojo vadovą arba jo įgaliotus asmenis apie saugumo incidentus, koordinuoja jų tyrimą ir dalyvauja jame;
12.9. inicijuoja ir koordinuoja reguliarius ADA sistemos ir tinklo veiklos tęstinumo valdymo plano bandymus;
12.10. teikia administratoriams, kriptografinių priemonių administratoriams ir ADA sistemos ar tinklo valdytojo darbuotojams, užtikrinantiems ADA sistemos ar tinklo funkcionavimą, privalomus vykdyti nurodymus ir pavedimus;
12.11. koordinuoja ir kontroliuoja tvarkytojo saugos įgaliotinių veiklą jiems priskirtos kompetencijos ribose;
13. Administratoriaus atsakomybė ir funkcijos:
13.3. įvertina ADA sistemos ar tinklo naudotojų pasirengimą dirbti su ADA sistemos ar tinklo įranga ir suteikia naudotojams prieigos prie ADA sistemos ar tinklo teisę;
13.4. teikia saugos įgaliotiniui informaciją, reikalingą 12.2, 12.3, 12.6, 12.7, 12.9 ir 12.10 punktuose nurodytoms funkcijoms atlikti;
13.5. teikia siūlymus ADA sistemos ar tinklo funkcionavimo užtikrinimo, plėtimo, priežiūros ir įslaptintos informacijos saugos klausimais;
13.6. administruoja ADA sistemos ar tinklo techninę ir programinę įrangą, juos žymi informacinėmis užklijomis, nurodančiomis aukščiausią leistiną tvarkyti šia įranga įslaptintos informacijos slaptumo žymą;
13.7. registruoja įvykusius saugumo incidentus, informuoja apie juos saugos įgaliotinį, dalyvauja jų tyrime ir šalinime;
14. Reikalavimai kriptografinių priemonių administratoriui, jo funkcijos ir atsakomybė nustatomi Bendrosiose įslaptintos informacijos kriptografinės apsaugos taisyklėse.
15. ADA sistemos ar tinklo rizikos valdymas turi būti sudėtinė ADA sistemos ar tinklo valdymo proceso dalis viso ADA sistemos ar tinklo gyvavimo ciklo metu.
16. ADA sistemos ar tinklo eksploatavimo metu rizikos vertinimas turi būti atliekamas:
17. ADA sistemos ar tinklo eksploatavimo metu atitikties saugos reikalavimams vertinimas (toliau – atitikties vertinimas) turi būti atliekamas:
18. Neeilinis rizikos ir (ar) atitikties vertinimas turi būti vykdomas:
18.1. po saugumo incidento ADA sistemoje ir tinkle, kuris parodė saugumo užtikrinimo priemonių nustatymo, įgyvendinimo ir eksploatavimo trūkumus;
18.2. atlikus pakeitimus ADA sistemos ar tinklo specifinių saugumo reikalavimų apraše ar saugumo valdymo procedūrų apraše;
18.3. paaiškėjus naujoms grėsmėms, pažeidžiamumams arba nustačius papildomas aplinkybes, į kurias prieš tai nebuvo atsižvelgta arba kurių rizika labai pasikeitė;
19. Po rizikos ir (ar) atitikties vertinimo saugos įgaliotinis organizuoja rizikos valdymo ir (ar) neatitikčių šalinimo plano sudarymą, kurį teikia tvirtinti ADA sistemos ar tinklo valdytojui. Planas (planai) ir rizikos ir (ar) atitikties vertinimo dokumentacija pateikiami žinybinei Saugumo priežiūros tarnybai, o jeigu tokia neįsteigta – Saugumo priežiūros tarnybai.
20. ADA sistemose ir tinkluose taikomos techninės apsaugos priemonės ir mechanizmai turi atitikti reikalavimus, keliamus įslaptintos informacijos, žymimos atitinkama slaptumo žyma, apsaugai. Taikomų techninių apsaugos priemonių ir mechanizmų tinkamumas įslaptintos informacijos apsaugai teisės aktų nustatyta tvarka turi būti patvirtintas įgaliotųjų institucijų.
21. ADA sistemų ir tinklų sudėtinės dalys ir tvarkomos įslaptintos informacijos apsaugos mechanizmai turi būti diegiami ir eksploatuojami vadovaujantis įgaliotųjų institucijų reikalavimais.
22. ADA sistemų ir tinklų, kuriuose tvarkoma įslaptinta informacija, žymima slaptumo žyma „Konfidencialiai“ ir aukštesne, sudėtinės dalys, išskyrus teisės aktų nustatytus atvejus, turi būti įrengiamos ne žemesnėje kaip II klasės saugumo zonoje. Tokių ADA sistemų ir tinklų tarnybinės stotys, kriptografinė ryšio apsaugos įranga ir kiti kritiniai ADA sistemos ir tinklo komponentai turi būti įrengiami I klasės saugumo zonoje.
III. REIKALAVIMAI ADA sistemų ir tinklų PRIEIGOS TEISIŲ VALDYMUI
23. Prieigos prie ADA sistemos ar tinklo teisė suteikiama ADA sistemos ar tinklo valdytojo sprendimu, vadovaujantis principu „būtina žinoti“ ir tik ADA sistemos ar tinklo naudotojui turint galiojantį leidimą susipažinti su atitinkama slaptumo žyma, žymima įslaptinta informacija. Jeigu ADA sistema ar tinklas neturi priemonių valdyti atskirų prieigos teisių prie skirtingomis slaptumo žymomis žymimos įslaptintos informacijos, ADA sistemos ar tinklo naudotojas turi turėti galiojantį leidimą susipažinti su įslaptinta informacija, pažymėta slaptumo žyma, atitinkančia ADA sistemos ar tinklo slaptumo žymą. Saugos įgaliotinis ir administratorius privalo turėti galiojantį leidimą susipažinti su įslaptinta informacija, pažymėta slaptumo žyma, atitinkančia ADA sistemos ar tinklo slaptumo žymą.
24. ADA sistemos ar tinklo priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą administratoriaus identifikatorių, kuriuo naudojantis nebūtų galima modifikuoti, naikinti ar kitaip keisti ADA sistemos ar tinklo sisteminiuose įvykių žurnaluose saugomos informacijos ir keisti sisteminių įvykių žurnalų pildymo nustatymų. Atlikti ADA sistemos ar tinklo naudotojo funkcijas, naudojantis šiuo identifikatoriumi, draudžiama.
25. Jeigu šalia ADA sistemos ar tinklo įrenginio yra asmenų, neatitinkančių principo „būtina žinoti“, ADA sistemos ar tinklo naudotojas privalo užtikrinti, kad minėti asmenys negalėtų susipažinti su įslaptinta informacija – atsijungti nuo ADA sistemos ar tinklo, išjungti kompiuterio ekraną ir pan.
26. ADA sistemos ar tinklo naudotojui neatliekant jokių veiksmų (KF sistemoje ar tinkle – 15 min., S sistemoje ar tinkle ir VS sistemoje – 10 min.) ADA sistema ar tinklas turi užtikrinti, kad toliau naudotis ADA sistema ar tinklu galima būtų tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus.
27. ADA sistemos ar tinklo naudotojo prieiga turi būti blokuojama, jei žinoma, kad šis naudotojas nesinaudos (atostogauja, išvykęs į komandiruotę ir pan.) KF sistema ar tinklu – 10 darbo dienų, S sistema ar tinklu ir VS sistema – 5 darbo dienas.
28. Jeigu ADA sistemos ar tinklo naudotojas nesilaiko įslaptintos informacijos apsaugos reikalavimų, piktnaudžiauja jam suteiktais įgaliojimais, yra nušalintas nuo pareigų, ADA sistemos ar tinklo valdytojo ar tvarkytojo sprendimu ADA sistemos ar tinklo naudotojo prieiga prie ADA sistemos ar tinklo turi būti blokuojama nedelsiant, iki aplinkybių išsiaiškinimo.
29. Asmenų, netekusių 23 p. nurodytų leidimų, arba asmenų, kurie nebeatitinka principo „Būtina žinoti“, prieiga prie atitinkamos įslaptintos informacijos ir (ar) ADA sistemos ar tinklo turi būti nedelsiant panaikinama.
IV. REIKALAVIMAI ADA SISTEMŲ IR TINKLŲ ĮVYKIŲ REGISTRAVIMUI
31. ADA sistemose ir tinkluose turi būti užtikrintas nuolatinis šių įvykių (ADA sistemos ar tinklo veiklos įrašų) registravimas (nurodant laiką ir susijusį naudotojo identifikatorių): įjungimas, išjungimas, sėkminga ir nesėkminga naudotojo autorizacija, ADA sistemos ar tinklo veikimo sutrikimai. Įvykiai turi būti registruojami pagrindiniame ir rezerviniame (jei leidžia ADA sistemos ar tinklo funkcionalumas – nutolusiame) įvykių žurnaluose.
32. VS sistemose papildomai turi būti užtikrintas registravimas sėkmingų ir nesėkmingų bandymų prieiti prie kiekvienos informacijos rinkmenos, pažymėtos slaptumo žyma „Visiškai slaptai“.
33. ADA sistemos ar tinklo įvykių žurnalų pildymo nustatymų keitimas ir žurnalų kopijų darymas turi būti atliekamas naudojant atskirą tik tam skirtą identifikatorių. Minėti veiksmai turi būti atliekami tik užtikrinus ADA sistemos ar tinklo valdytojo vadovo, saugos įgaliotinio ir administratoriaus dalyvavimą ir kontrolę.
V. KITI REIKALAVIMAI
35. Patalpos, kuriose įrengta ADA sistemos ar tinklo įranga, turi atitikti reikalavimus, keliamus patalpoms, kuriose saugoma ar kuriose dirbama su atitinkama žyma pažymėta įslaptinta informacija.
36. ADA sistemos ar tinklo ranga (taip pat ir nešiojamieji kompiuteriai, kiti mobilieji įrenginiai), kurioje saugoma įslaptinta informacija, turi būti gabenama laikantis įslaptintos informacijos, gaminių ir kitų objektų, žymimų slaptumo žyma, atitinkančia ADA sistemos ar tinklo slaptumo žymą, gabenimo reikalavimų.
37. ADA sistemos ar tinklo įrenginiai turi būti pažymėti ADA sistemos ar tinklo slaptumo žymą nurodančia informacine užklija (užklijomis).
38. ADA sistemos ar tinklo įrenginiai turi būti apsaugoti apsauginėmis užklijomis. Apsauginių užklijų turi būti tiek ir jos turi būti tokio dydžio, kad neleistų atidaryti įrenginio korpuso, jų nepažeidžiant. Jeigu leidžia įrenginio konstrukcija ir (ar) funkcinės galimybės, turi būti įjungta įrenginio apsauga nuo korpuso atidarymo. Prieš pradėdamas darbą su ADA sistema ar tinklu, ADA sistemos ar tinklo naudotojas privalo įsitikinti, kad apsauginės užklijos nepažeistos.
39. ADA sistemoje ir tinkle saugomos ir apdorojamos informacijos atsargines kopijas rekomenduojama užšifruoti. Metodines rekomendacijas atsarginių kopijų šifravimui nustato Nacionalinė komunikacijų apsaugos tarnyba.
40. ADA sistemos ar tinklo valdytojas turi nustatyti atsarginių ADA sistemos ir tinklo duomenų kopijų darymo dažnį, jų saugojimo, perdavimo, bandomojo atkūrimo ir panaudojimo procedūras, o atsarginių kopijų bandomasis atkūrimas turi būti vykdomas:
41. ADA sistemoje saugomos ir apdorojamos informacijos atsarginės kopijos turi būti daromos, administruojamos ir saugomos vadovaujantis kompiuterių laikmenų apsaugos reikalavimais, taikomais laikmenoms su ADA sistemos slaptumo žyma pažymėta įslaptinta informacija.
42. ADA sistemos ar tinklo naudotojų prijungiamos prie ADA sistemos ar tinklo kompiuterio ar įdedamos į ADA sistemos ar tinklo kompiuteryje esantį nuskaitymo įrenginį laikmenos Lietuvos Respublikos Vyriausybės nustatyta tvarka turi būti įregistruotos Įslaptintai informacijai įrašyti skirtų laikmenų registre. Prieš prijungiant ar įdedant tokią laikmeną ji turi būti patikrinta kenkėjiškos programinės įrangos aptikimo priemonėmis atskirame tam skirtame neprijungtame prie ADA sistemos ar tinklo kompiuteryje. Iš laikmenos turi būti pašalinta visa neteisėta programinė įranga, asmeninė ir su tarnyba (darbu) nesusijusi informacija. Rekomenduojama tokią informaciją neatkuriamai ištrinti. Jungti laikmenas prie S sistemų ar tinklų ir VS sistemų šių sistemų ar tinklų naudotojams leidžiama tik įslaptintų dokumentų administravimo punktuose įrengtose darbo vietose.
43. Turi būti užtikrinta visų ADA sistemos ar tinklo kompiuterių apsauga nuo kenkėjiškos programinės įrangos. Programinė įranga, skirta apsaugai nuo kenkėjiškos programinės įrangos, turi būti patvirtinta Nacionalinės komunikacijų apsaugos tarnybos. ADA sistemos ar tinklo kompiuterių, prijungtų prie vietinio kompiuterių tinklo, apsauga nuo kenkėjiškos programinės įrangos turi būti valdoma ir atnaujinama centralizuotai. Išjungti ar pašalinti šią apsaugą draudžiama. Ši apsauga turi būti atnaujinama gamintojo rekomenduojamu periodiškumu. Neprijungtų prie vietinio kompiuterių tinklo kompiuterių apsauga turi būti atnaujinama rankiniu būdu, naudojant tik tam skirtas laikmenas. Jeigu toks kompiuteris naudojamas rečiau, nei apsaugos gamintojo rekomenduojamas atnaujinimo periodas, apsauga turi būti atnaujinama neatidėliojant po šio kompiuterio įjungimo ir naudotojo autentifikavimo operacinėje sistemoje.
44. Diegti, atkurti arba atnaujinti ADA sistemos ar tinklo programinę įrangą naudojant laikmenas leidžiama tik iš gamintojo pateiktų arba iš įrašytų vienkartinio įrašymo laikmenų.
45. ADA sistemoje ir tinkle naudojamos programinės įrangos sąrašus tvirtina ADA sistemos ir tinklo valdytojas, prieš tai suderinęs juos su žinybine Saugumo priežiūros tarnyba, o jei tokia neįsteigta – Saugumo priežiūros tarnyba.
47. ADA sistemos ar tinklo įrangos gedimų šalinimas, jeigu to negali atlikti saugos įgaliotinis, administratorius ir (ar) kitas įgaliotas ADA sistemos ar tinklo valdytojo personalas, turi būti atliekamas laikantis įslaptintų sandorių saugumo reikalavimų. Gedimų šalinimą turi atlikti atitinkamą kvalifikaciją turintis specialistas, gedimų šalinimas pagal galimybes turi būti atliekamas vietoje, prižiūrint saugos įgaliotiniui ar administratoriui.
48. ADA sistemos ar tinklo valdytojas turi patvirtinti ADA sistemoje ar tinkle naudojamos techninės ir programinės įrangos sąrašą (sąrašus).
49. ADA sistemos ar tinklo testavimas turi būti atliekamas naudojant atskirą tam skirtą testavimo aplinką, nenaudojant įslaptintos informacijos arba naudojant ją fiktyvią.
50. ADA sistemos ar tinklo naudotojas turi nedelsdamas informuoti saugos įgaliotinį, o jeigu jo nėra – administratorių apie neveikiančią ar netinkamai veikiančią ADA sistemą ar tinklą, pažeistas įrenginių apsaugines užklijas, saugos reikalavimų nesilaikančius ADA sistemos ar tinklo naudotojus, bet kokią veiklą, skirtą įslaptintai informacijai atskleisti ir (ar) ADA sistemos ar tinklo veiklai sutrikdyti. Tuo atveju, kai tokią veiklą vykdo saugos įgaliotinis ir (ar) administratorius, ADA naudotojas privalo informuoti ADA sistemos ar tinklo valdytojo vadovą, Lietuvos Respublikos valstybės saugumo departamentą ir žinybinę Saugumo priežiūros tarnybą, o jei tokia neįsteigta – Saugumo priežiūros tarnybą.