LIETUVOS RESPUBLIKOS ENERGETIKOS MINISTRO
į s a k y m a s
DĖL STRATEGINĘ ar svarbią REIKŠMĘ NACIONALINIAM SAUGUMUI TURINČIŲ energetikos MINISTRO VALDYMO SRIČIAI PRISKIRTŲ ĮMONIŲ IR ĮRENGINIŲ informacinės SAUGOS REIKALAVIMų patvirtinimo
2013 m. gegužės 2 d. Nr. 1-89
Vilnius
Vadovaudamasis Lietuvos Respublikos Vyriausybės 2004 m. birželio 8 d. nutarimo Nr. 699 „Dėl įgaliojimų suteikimo, įgyvendinant Lietuvos Respublikos strateginę reikšmę nacionaliniam saugumui turinčių įmonių ir įrenginių bei kitų nacionaliniam saugumui svarbių įmonių įstatymą“ (Žin., 2004, Nr. 92-3367; 2011, Nr. 54-2613) 2 punktu,
1. T v i r t i n u Strateginę ar svarbią reikšmę nacionaliniam saugumui turinčių energetikos ministro valdymo sričiai priskirtų įmonių ir įrenginių informacinės saugos reikalavimus (pridedama).
2. N u s t a t a u, kad šis įsakymas įsigalioja nuo 2013 m. lapkričio 1 d. Energetikos ministro valdymo sričiai priskirtos strateginę ar svarbią reikšmę nacionaliniam saugumui turinčios įmonės per 2 metus nuo įsakymo įsigaliojimo privalo juos įgyvendinti visiškai, apie tai informuodamos Energetikos ministeriją.
PATVIRTINTA
Lietuvos Respublikos energetikos ministro 2013 m. gegužės 2 d. įsakymu Nr. 1-89
STRATEGINĘ ar svarbią REIKŠMĘ NACIONALINIAM SAUGUMUI TURINČIŲ, energetikos MINISTRO VALDYMO SRIČIAI PRISKIRTŲ ĮMONIŲ IR ĮRENGINIŲ informaciNĖS SAUGOS REIKALAVIMAI
I. Bendrosios nuostatos
1. Strateginę ar svarbią reikšmę nacionaliniam saugumui turinčių energetikos ministro valdymo sričiai priskirtų įmonių ir įrenginių informacinės saugos reikalavimai (toliau – reikalavimai) parengti vadovaujantis Lietuvos Respublikos strateginę reikšmę nacionaliniam saugumui turinčių įmonių ir įrenginių bei kitų nacionaliniam saugumui užtikrinti svarbių įmonių įstatymo (Žin., 2002, Nr. 103-4604; 2012, Nr. 76-3931) 9 straipsniu ir Lietuvos Respublikos Vyriausybės 2004 m. birželio 8 d. nutarimo Nr. 699 „Dėl įgaliojimų suteikimo, įgyvendinant Lietuvos Respublikos strateginę reikšmę nacionaliniam saugumui turinčių įmonių ir įrenginių bei kitų nacionaliniam saugumui užtikrinti svarbių įmonių įstatymą“ (Žin., 2004, Nr. 92-3367; 2011, Nr. 54-2613) 2 punktu.
2. Reikalavimai taikomi:
3. Reikalavimai nustato įmonių informacinės saugos organizavimo principus, pagrindus ir pagrindinius informacinės saugos reikalavimus. Įmonė informacinę saugą organizuoja ir vykdo, laikydamasi Lietuvos Respublikos įstatymų, kitų teisės aktų reikalavimų. Informacijos, pripažintos valstybės ar tarnybos paslaptimi, saugą reguliuoja Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymas (Žin., 1999, Nr. 105-3019; 2004, Nr. 4-29).
6. Įmonės informacijos saugumo valdymas turi būti pagrįstas rizikų vertinimu, t. y. naudojamos saugumo priemonės turi atitikti informacijos svarbą ir jai kylančias rizikas. Įmonėse nustatomi ir patvirtinami rizikų valdymo organizavimo pagrindai ir atsakomybė, pagrindiniai rizikų identifikavimo, vertinimo, valdymo principai ir procedūros. Rizikų vertinimas atliekamas šių dokumentų pagrindu.
7. Įmonės šių reikalavimų nuostatas detalizuoja ir perkelia į atitinkamus vidaus dokumentus (informacijos saugos politiką, tvarkas, taisykles, nuostatus ir pan.).
8. Informacijos saugumo valdymas įmonėje turi būti nuolatos tobulinamas, periodiškai peržiūrint ir gerinant, atsižvelgiant į besikeičiančią aplinką ir grįžtamojo ryšio informaciją. Užtikrinant informacijos saugumą įmonėje, be šių reikalavimų, rekomenduojama vadovautis pripažintais tarptautiniais standartais (pvz.: ISO/IEC 2700x, Uptime institute, TIA 942) ir metodikomis (pvz.: Cobit, ITIL) informacinės saugos srityje.
9. Reikalavimuose vartojamos sąvokos:
Fizinio saugumo vadovas – asmuo, atsakingas už įmonės fizinės saugos sistemos, kurią sudaro organizacinių, teisinių, techninių ir specialiųjų priemonių visuma, užtikrinanti saugomų objektų apsaugą nuo neteisėto fizinio poveikio, priežiūrą ir kontrolę.
Grėsmė – potenciali nepageidaujamo incidento, galinčio padaryti žalą informacijos apdorojimo priemonėms ar įmonei, galimybė.
Informacijos saugumas – informacijos konfidencialumo, prieinamumo ir vientisumo užtikrinimas.
Informacijos saugumo vadybos sistema (ISVS) – rizikų valdymu pagrįsta įmonės vadybos sistemos dalis, kuria siekiama sukurti, įgyvendinti, valdyti, stebėti, vertinti, prižiūrėti ir gerinti informacijos saugumą. ISVS sudaro: organizacinė struktūra, politika, planavimas, atsakomybė, tvarkos, procesai, procedūros ir ištekliai.
Informacijos saugumo vadovas – įmonės vadovui pavaldus ir atskaitingas įmonės darbuotojas, turintis reikiamus įgaliojimus ir resursus informacijos saugumo vadybos sistemos įgyvendinimui bei atsakingas už jos efektyvumo stebėseną ir tobulinimą.
Informacijos saugumo įvykis – nustatytas informacinės sistemos, teikiamos paslaugos ar tinklo įvykis, rodantis, kad yra galima informacijos saugumo politikos spraga ar apsaugos priemonių triktis arba anksčiau nenumatyta situacija, kuri gali būti svarbi informacijos saugumui.
Informacijos saugumo incidentas – nepageidaujamas ir netikėtas informacijos saugumo įvykis, turintis didelę tikimybę pakenkti įmonės veiklai ir keliantis grėsmę informacijos saugumui.
Išorės šalys – paslaugų teikėjai, partneriai, klientai, kiti asmenys, turintys ar galintys turėti prieigą prie įmonės informacinių išteklių.
Informaciniai ištekliai – informacija (duomenų bazės, duomenų rinkmenos, sutartys ir kiti dokumentai, sisteminė ir projektinė dokumentacija, mokymų medžiaga, eksploatavimo ir priežiūros procedūros, tęstinumo ir atkūrimo planai); programinė įranga (taikomoji ir sisteminė programinė įranga, jos kūrimo priemonės); aparatinė įranga (duomenų laikmenos, organizacinė, kompiuterinė ir ryšių įranga); informacinių technologijų ir telekomunikacijų (toliau – ITT) funkcionavimui reikalingos paslaugos; išorės šalių teikiamos ITT paslaugos ir infrastruktūriniai ištekliai; darbuotojų kvalifikacija ir įgūdžiai.
Informacinių išteklių valdytojas (arba savininkas) – asmuo, įmonės vadovybės paskirtas atsakingu už informacinių išteklių arba atskirų jų kategorijų (rūšių) saugumą.
Informacinės sistemos naudotojas – asmuo, turintis teisę naudotis informacinės sistemos ištekliais numatytoms funkcijoms atlikti.
Informacinės sistemos dokumentacija – informacinės sistemos planavimo, kūrimo, priežiūros, administravimo, vystymo dokumentai ir planai; funkcinės, struktūrinės ir informacinės schemos.
Informacijos apdorojimo priemonės – informaciją apdorojanti sistema, servisai, infrastruktūra ar fizinė vieta, kurioje yra šios priemonės.
Įmonė – energetikos ministro valdymo sričiai priskirta, strateginę ar svarbią reikšmę nacionaliniam saugumui turinti įmonė.
Konfidencialumas – informacijos savybė, užtikrinanti duomenų prieinamumą tik tiems vartotojams, kuriems tokia teisė suteikta.
Pakeitimas – bet koks ITT įrangos ar konfigūracijos pakeitimo veiksmas, galintis turėti poveikį ITT paslaugos veikimui.
Paslaugos valdytojas – asmuo, atsakingas už paslaugos lygio stebėseną, paslaugos saugumo rizikos vertinimą, keitimų valdymą.
Prieinamumas – informacijos savybė, garantuojanti, kad reikalingi informacinės sistemos resursai ir informacija prieinami sankcionuotam vartotojui reikiamu metu.
Principas „būtina darbui“ – suteikiama minimali, darbo užduočių atlikimui būtina informacija, prieigos teisės ir priemonės.
Protokolas LDAP – katalogo prieigos protokolas (lightweight directory access protocol), kurį el. pašto ir kitos programos naudoja informacijos gavimui iš nutolusio serverio (prieiti prie el. pašto adresų duomenų bazės, naudojant TCP/IP tinklą, susieti duomenų bazes, kurios naudoja skirtingas operacines sistemas).
Rizika – įvykio tikimybės ir jo padarinių derinys.
Rizikos analizė – sisteminis informacijos naudojimas, siekiant nustatyti rizikos priežastis ir ją įvertinti.
Sankcionuota įranga – elektroninės informacijos saugojimo, perdavimo ar apdorojimo aparatinė arba programinė įranga, kurią patvirtino naudojimui įmonės vadovybė ar jos įgaliotas asmuo.
Vientisumas – informacijos savybė, užtikrinanti, kad informacija nebuvo atsitiktiniu ar neteisėtu būdu pakeista ar sunaikinta.
10. Vartojamos sąvokos „informacinė sauga“, „informacijos sauga“ ir „informacijos saugumas“ yra identiškos. Kitos vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos standartuose LST ISO/IEC 27001:2006 Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai (tapatus ISO/IEC 27001:2005), LST ISO/IEC 27002:2009 Informacijos technologija. Saugumo metodai. Informacijos saugumo valdymo praktikos kodeksas (tapatus ISO/IEC 27002:2005) ir Strateginę ar svarbią reikšmę nacionaliniam saugumui turinčių energetikos ministro valdymo sričiai priskirtų įmonių ir įrenginių fizinės saugos reikalavimuose (Žin., 2013, Nr. 11-537). Fizinės saugos reikalavimai yra nustatyti atskiru energetikos ministro įsakymu, todėl fizinės saugos aspektai šiame teisės akte reglamentuoti tiek, kiek būtina informacinės saugos reikalavimams užtikrinti.
II. Pagrindinės informacijos saugumo organizavimo nuostatos
12. Už informacijos saugumo vadybos sistemos (ISVS) įgyvendinimą atsakingas įmonės vadovas. Informacijos saugumo vertinimo, planavimo, įgyvendinimo ir kontrolės funkcijos gali būti deleguotos reikiamą kvalifikaciją turinčiam įmonės darbuotojui – informacijos saugumo vadovui.
14. Visi įmonės darbuotojai turi būti pasirašytinai susipažinę su konfidencialios informacijos apibrėžimu, jos valdymu įmonėje, konfidencialios informacijos sąrašu, reikalavimais konfidencialios informacijos saugojimui ir savo atsakomybe. Įmonės nusistato, kokia informacija yra konfidenciali. Konfidencialia informacija negali būti laikoma informacija, kuri pagal galiojančius įstatymus turi būti vieša.
15. Įmonės informacijos saugos auditas turi būti atliekamas periodiškai, ne rečiau kaip kartą per 3 metus. Jį atlieka vidaus audito padaliniai arba įmonės, turinčios kvalifikuotus šios srities specialistus su ne mažesne nei 3 metų patirtimi informacijos saugos audito srityje.
16. Rizikos, susijusios su išorės šalimis, galinčiomis įgyti prieigą prie įmonės informacijos, turi būti identifikuotos ir imtasi reikiamų priemonių saugumo užtikrinimui. Prieiga prie informacinių išteklių išorės šalims gali būti suteikiama tik esant visoms šioms sąlygoms kartu:
III. Rizikos valdymas
17. Kiekvienos įmonės informacinių išteklių saugą įtakoja grėsmės šaltiniai, kurie privalo būti identifikuoti, išanalizuoti ir įvertinti. Įmonėje turi būti parengtas rizikų ir konfidencialios informacijos sąrašas, identifikuotos grėsmių veikiamos sritys, įvertintas rizikos lygis ir sudarytas informacinių išteklių rizikos registras.
18. Įmonėje turi vykti informacijos saugos rizikos valdymo procesas, susidedantis iš šių etapų:
18.1. Grėsmės šaltinių identifikavimas. Jo metu nustatoma, kokia svarbi informacija yra apdorojama ir saugoma įmonėje bei identifikuojamos jos poveikio vykdomai veiklai sritys.
18.2. Rizikos analizė. Jos metu įvertinama informacinių išteklių pažeidimo grėsmės tikimybė ir tokio įvykio pasekmės. Nustatomas rizikos lygis ir sudaromas rizikos registras, kuriame įvertinamos identifikuotos rizikos ir, vadovaujantis nustatytais kriterijais, išdėstomos prioriteto tvarka.
18.3. Apsisaugojimo nuo rizikos planavimas. Jo metu sudaromas rizikos mažinimo planas, parenkamos organizacinės ir techninės priemonės, leidžiančios sumažinti informacinio šaltinio pažeidimo riziką iki priimtino lygio.
18.4. Informacijos saugos politikos peržiūra. Jos metu įmonėje patvirtintos informacijos saugos politikos nuostatose įtvirtinami reikalavimai, reglamentuojantys rizikos mažinimo plane numatytas organizacines priemones, peržiūrimos informacijos tvarkymą ir jos saugą reglamentuojančios taisyklės bei kiti informacijos saugos politikos nuostatas įgyvendinantys dokumentai.
19. Įmonėje turi būti paskirtas asmuo arba asmenys, atsakingi už jiems priskirtos informacijos saugos rizikų valdymą, rizikos valdymo proceso priežiūrą bei nuolatinį tobulinimą.
20. Įmonė nustato reikalavimus rizikos valdymo procesui, jo veiksmų atlikimo periodiškumui, pasirenka rizikų išdėstymo pagal prioritetus kriterijus, nustato įmonei priimtiną rizikos lygį ir už rizikos valdymą atsakingų asmenų kvalifikacinius reikalavimus. Rizikos analizė ir informacijos saugos politikos peržiūra turi būti atliekama ne rečiau kaip kartą per 2 metus arba reikšmingai pasikeitus įmonės veiklos pobūdžiui, organizacinei struktūrai bei darbuotojų atliekamoms funkcijoms.
IV. Informacinių išteklių valdymas
21. Visi įmonės informaciniai ištekliai turi būti suregistruoti ir priskirti konkretiems informacinių išteklių valdytojams. Įmonėje turi būti parengtas informacinių išteklių registras, kuriame nurodoma: tipas; atsakingas asmuo; saugumo klasifikacija (saugumo svarba, saugumo poreikis ar poveikis veiklai); fizinė buvimo vieta; kita, veiklos atkūrimui būtina informacija.
22. Už informacinius išteklius atsakingas informacinių išteklių valdytojas:
22.1. užtikrina, kad informaciniai ištekliai būtų tinkamai klasifikuoti (nustatyti saugumo reikalavimai, atitinkantys informacinių išteklių svarbą);
23. Įmonė nustato reikalavimus leistinam informacinių išteklių naudojimui, įskaitant:
23.4. reikalavimus mobilių prietaisų (nešiojamų kompiuterių, judriojo ryšio telefonų, delninukų ir t. t. ) naudojimui;
24. Įmonė patvirtina informacijos klasifikavimo, žymėjimo ir naudojimo tvarkas, kuriose aiškiai nurodoma:
24.3. informacija, priskiriama kiekvienam iš saugumo lygių (apibūdinant informaciją, sudarančią įmonės komercines ar technologines paslaptis);
24.5. informacijos naudojimo tvarka pagal informacijos saugumo lygį (tvarkoje nustatomi reikalavimai informacijos apdorojimui, saugojimui, perdavimui ir naikinimui);
V. Personalo aspektai
26. Įmonėje turi būti nustatyti ir į atitinkamus dokumentus (darbo sutartis, darbo tvarkos taisykles, pareiginius nuostatus, sutartis, konfidencialumo susitarimus ir kt.) įtraukti darbuotojams ir kitiems asmenims (rangovams, paslaugų teikėjams bei kitiems išorės šalių atstovams) keliami informacijos saugos reikalavimai, prievolės ir atsakomybė. Reikalavimuose turi būti numatytos pareigos:
26.1. laikytis įmonės informacijos saugos politikos reikalavimų ir kitų įmonėje įdiegtų informacijos saugos procesų;
26.2. saugoti įmonės informacinius išteklius nuo nesankcionuotos prieigos, atskleidimo, modifikavimo ar sunaikinimo;
26.3. saugoti duomenų ir informacijos paslaptį, o įpareigojimas saugoti paslaptį galioja ir nutraukus įmonėje informacijos ir duomenų tvarkymo veiklą;
27. Prieiga prie įmonės informacinių išteklių gali būti suteikiama, tik įsitikinus, kad darbuotojas pasirašytinai susipažinęs su informacijos saugos reikalavimais ir savo atsakomybe už jų nesilaikymą.
28. Visų lygių vadovai savo atsakomybės ribose užtikrina, kad tiesiogiai jiems pavaldūs darbuotojai yra susipažinę su saugumo reikalavimais bei savo atsakomybe už jų nesilaikymą ir laikosi šių reikalavimų.
29. Įmonės darbuotojų ITT ir informacijos saugos žinios turi būti pakankamos darbo funkcijoms atlikti. Įmonė turi vertinti šių žinių lygį ir, jei reikalinga, organizuoti arba atlikti papildomus mokymus.
30. Įmonėje turi būti užtikrinta, kad, nutraukus darbo santykius su darbuotoju ar keičiantis darbuotojo pareigoms, būtų nedelsiant panaikinta prieiga prie informacinių sistemų ir (ar) išteklių. Įmonėje turi būti įgyvendinta tvarka, kuria užtikrinama, kad darbuotojai grąžina visus suteiktus fizinius informacinius išteklius iki nutraukiant darbo sutartį. Įmonėje turi būti parengtos procedūros, nustatančios personalo, ITT paslaugų teikėjo ir tiesioginio vadovo atsakomybę ir veiksmus, kuomet su darbuotoju nutraukiami darbo santykiai ar keičiasi jo pareigos.
VI. Informacinių išteklių fizinis ir aplinkos saugumas
31. Už įmonės informacinių išteklių fizinį saugumą atsakingas įmonės vadovas. Fizinio saugumo sistemos planavimo, įgyvendinimo ir kontrolės funkcijos gali būti deleguotos fizinio saugumo vadovui arba kitam darbuotojui, atsakingam už įmonės fizinės saugos sistemos priežiūrą bei kontrolę. Įmonėje turi būti parengtas fizinio saugumo planas, kuriame nurodyta:
31.1. saugomi objektai (pastatai, statiniai, patalpos įrenginiai), jiems kylančios grėsmės, rizikos, objektams priskirti fizinės saugos lygiai, už objekto saugumą atsakingas asmuo;
32. Visos patalpos, kuriose yra svarbi ITT įranga (tarnybinių stočių patalpos, duomenų centrai, ryšių mazgai ir kt.) ar duomenys (pvz., dokumentų archyvai), (toliau – padidinto saugumo zonos) turi būti identifikuotos ir nurodytos fizinio saugumo plane.
33. Įmonės objektų perimetras turi būti aiškiai apibrėžtas ir įgyvendintos tinkamos perimetro saugumo priemonės, kurios užtikrintų efektyvią apsaugą nuo patekimo į objektą iš išorės. Tam naudojama išorinio perimetro elektroninė apsauga, vaizdo stebėjimo sistema, leidimų režimas, elektroninė įeigos kontrolės sistema. Įmonės leidimų režimo taisyklėse turi būti numatyta patekimo į tarnybines patalpas (teritorijas, pastatus, patalpas) ir padidinto saugumo zonas sankcionavimo, buvimo ir išvykimo iš jų tvarka.
34. Įmonės informacijos apdorojimo priemonės (tarnybinių stočių ir ryšio įrangos spintos) turi būti fiziškai atskirtos (atskiros nuo kitų, rakinamos) nuo kitų organizacijų naudojamų informacijos apdorojimo priemonių. Visi atvejai, kuomet fizinis atskyrimas dėl objektyvių priežasčių netikslingas, turi būti identifikuoti fizinio saugumo plane, o susijusios saugumo rizikos turi būti suvaldytos kitomis saugumo priemonėmis.
35. Padidinto saugumo zonose turi būti numatytos prieigos kontrolės priemonės, kurios leistų patekti tik sankcionuotam personalui. Sankcionuotas personalas – tai personalas, kurį patvirtino informacinių išteklių valdytojas:
35.1. visi patekimai į padidinto saugumo zonas turi būti registruojami, nurodant įėjimo ir išėjimo laikus, asmenis, asmens dokumento numerį. Lankytojai patalpose gali būti tik prižiūrint atsakingam asmeniui. Prieš patekdami į šias zonas, visi asmenys turi būti supažindinti su saugumo reikalavimais, taikomais šiai zonai;
35.2. įrašai apie patekimą į patalpas su autentifikacijos informacija turi būti saugomi ne mažiau kaip 6 mėnesius;
35.3. padidinto saugumo zonų prieigos teisės turi būti nuolatos peržiūrimos ir, esant reikalui, atnaujinamos;
36. Informacijos saugos požiūriu svarbios įmonės patalpos (kabinetai) neturi būti žymimi, nurodant jų funkcinę paskirtį (pvz., serverinė, archyvas ir pan.).
37. Padidinto saugumo zonų apsauga nuo aplinkos veiksnių:
37.2. įmonės nustato tvarką, reglamentuojančią gėrimą, valgymą ir rūkymą šalia informacijos apdorojimo priemonių;
38. Atsarginė įranga ir atsarginės kopijos turi būti laikomos saugiu atstumu (ne tame pačiame pastate) nuo pagrindinės įrangos ir duomenų, o pačioms patalpoms taikomi pirmo fizinės saugos lygio reikalavimai pagal Strateginę ar svarbią reikšmę nacionaliniam saugumui turinčių energetikos ministro valdymo sričiai priskirtų įmonių ir įrenginių fizinės saugos reikalavimų (Žin., 2013, Nr. 11-537) 12.1 punktą.
39. Turi būti numatytos tinkamos saugumo priemonės ir parengtos darbo padidinto saugumo zonose instrukcijos. Personalui apie tokias zonas turi būti pateikiama tik būtina informacija.
40. Viešos prieigos zonos, tokios, kaip krovinių pristatymo ar išsiuntimo zonos, klientų aptarnavimo zonos, į kurias gali patekti ne įmonės darbuotojai, turi būti tinkamai apsaugotos nuo nesankcionuotos prieigos prie informacijos apdorojimo priemonių.
41. ITT įranga turi būti apsaugota nuo palaikymo sistemų (elektros energijos tiekimas, vandens tiekimas, nuotekos, šildymas, vėdinimas ir oro kondicionavimas) sutrikimų:
41.1. visos palaikymo sistemos turi būti adekvačios palaikomoms ITT sistemoms, t. y. palaikymo sistemų pajėgumai ir konfigūracija turi atitikti ITT sistemų funkcionavimui keliamus reikalavimus. Palaikymo sistemos turi būti periodiškai inspektuojamos;
41.2. nepertraukiamo maitinimo šaltiniai turi užtikrinti korektišką sistemų išsijungimą ar veikimą, nutrūkus elektros energijos tiekimui;
41.3. rezerviniai maitinimo šaltiniai turi užtikrinti ne trumpesnį kaip 12 valandų nenutrūkstamą elektros energijos tiekimą svarbioms įmonės veiklai ITT sistemoms;
41.4. svarbi ITT įranga turi būti saugoma specialiose patalpose – duomenų centruose, kurių įrengimo rekomendacijos pateiktos gerosios praktikos rekomendacijose „Uptime institute“ (elektra, šaldymas) ir „TIA 942“ (fizinės saugos sistemos pastatui, reikalavimai pastato išdėstymui);
42. Elektros ir telekomunikacijų kabeliai turi būti apsaugoti nuo sugadinimo ar nesankcionuoto prisijungimo. Kabeliai turi būti žymimi pagal įmonės nustatytas jų žymėjimo taisykles. Kabeliai turi būti klojami taip, kad nebūtų nesankcionuotos fizinės prieigos galimybės.
43. Visa ITT įranga turi būti prižiūrima, vadovaujantis įrangos gamintojo nurodytomis instrukcijomis ir nurodytu periodiškumu. Priežiūrą gali atlikti tik informacinių išteklių valdytojo patvirtintas personalas. Turi būti pildomi įrangos gedimų registravimo žurnalai.
44. Saugiam įrangos utilizavimui ir pakartotiniam panaudojimui visi duomenys kompiuterinėse laikmenose turi būti sunaikinti prieš utilizuojant, remontuojant ar pakartotinai naudojant kompiuterinę įrangą.
VII. Ryšių ir darbo procedūrų valdymas
46. Įmonė vidiniuose dokumentuose turi nustatyti informacinių sistemų ir paslaugų naudojimo ir priežiūros procedūras.
47. Įmonė vidiniuose dokumentuose turi nustatyti informacinių sistemų ir techninės įrangos pakeitimų valdymo tvarką, kurioje būtų aiškiai numatytos procedūros ir atsakomybė už tvarkos nesilaikymą šiuose pakeitimų įgyvendinimo etapuose: inicijavimas, registravimas, įvertinimas, planavimas, testavimas, patvirtinimas, komunikavimas, atkūrimas.
48. Įmonėje turi būti atskirtos informacinių sistemų kūrimo, testavimo ir darbinės (eksploatacinės) aplinkos ir atsakomybė, t. y. šias funkcijas įmonėje turi atlikti skirtingi darbuotojai. Programinės įrangos ir duomenų perkėlimo iš vienos aplinkos į kitą procesas turi būti reglamentuotas įmonėje.
49. Visos išorės šalių teikiamos ITT paslaugos turi būti reglamentuotos, nurodant paslaugų pobūdį, apimtis, paslaugų teikimo lygius, saugumo reikalavimus ir atsakomybę. Kiekvienai ITT paslaugai turi būti priskirtas už paslaugos valdymą atsakingas asmuo, kuris būtų atsakingas už paslaugos lygio stebėseną, paslaugos saugumo rizikos vertinimą ir keitimų valdymą.
50. Įmonėje privaloma stebėti naudojamų informacinių išteklių pajėgumus (procesoriaus apkrovimas, laisva vieta duomenims, tinklo apkrovimas ir kt.), siekiant iš anksto pasiruošti išteklių atnaujinimui ir vystymui. Visų IT ir telekomunikacijų darbinės būsenos stebėsena turi būti atliekama realiame laike su ne trumpesne nei 3 mėnesių istorija. Tam turi būti naudojama realaus laiko vieninga monitoringo sistema, kurioje nustatomi ribiniai darbinės būsenos parametrai, kurių viršijimas gali sutrikdyti technologinių ir ITT sistemų darbą. Ribinių parametrų viršijimo atveju automatiškai turi būti formuojami aliarmai ir siunčiami pranešimai administruojančiam personalui (el. paštu, trumpąja žinute ir pan.). Diegiant naujas sistemas ar atnaujinimus, sistemos valdytojas privalo užtikrinti, kad būtų parengti ir dokumentais įforminti sistemos tinkamumo įvertinimo kriterijai.
51. Įmonė turi užtikrinti tinkamas saugos nuo kenksmingos programinės įrangos priemones, įskaitant: nuolat atnaujinamas antivirusines sistemas; operatyvų operacinės sistemos (toliau – OS) pataisų diegimą; operatyvų taikomosios programinės įrangos pataisų diegimą; lokalių ugniasienių naudojimą.
52. Įmonė turi dokumentuoti visų jos veiklai svarbių duomenų ir programinės įrangos atsarginio kopijavimo ir atkūrimo procesus. Turi būti nustatyti ir dokumentuoti atsarginio kopijavimo reikalavimai, kuriuose nurodyta kopijuojamų duomenų apimtis, metodai, dažnumas, kopijų saugojimo vietos, saugojimo terminas, saugumo priemonės, taip pat priskirti asmenys, atsakingi už atsarginį duomenų kopijavimą. Atkūrimas iš atsarginių kopijų privalo būti periodiškai išbandomas.
53. Įmonėje turi būti įgyvendintos tinkamos kompiuterių tinklo kontrolės priemonės:
54. Įmonės duomenų saugojimui, apdorojimui ir perdavimui galima naudoti tik įmonės suteiktas pernešamas duomenų laikmenas (cd/dvd diskai, usb atmintinės ir kt.) ar atmintines turinčius prietaisus (telefonai, fotoaparatai, navigacijos prietaisai ir kt.). Kitų laikmenų ar prietaisų naudojimas įmonės duomenų saugojimui, apdorojimui ir perdavimui ar prijungimas prie įmonės kompiuterių ar duomenų perdavimo tinklų draudžiamas. Visos nebereikalingos duomenų laikmenos turi būti tinkamai sunaikintos. Draudžiama laikmenas išmesti nesunaikintas. Įmonės nusistato duomenų ir laikmenų naikinimo tvarką.
55. Naudojamų informacinių sistemų dokumentacija turi būti tinkamai apsaugota – prieinama tik tiems asmenims, kuriems ji būtina darbo funkcijoms atlikti. Asmenų, kuriems būtina prieiga prie dokumentacijos, sąrašą patvirtina atitinkamų informacinių išteklių valdytojas.
56. Įmonėje turi būti patvirtintos keitimosi informacija ar informacijos teikimo išorinėms šalims tvarkos ir valdymo priemonės (atsakomybės, procedūros, žymėjimas ir kt.).
57. Įmonėje draudžiama naudoti automatinį elektroninių laiškų persiuntimą į išorinius elektroninio pašto adresus.
58. Draudžiama konfidencialią įmonės informaciją garsiai aptarinėti viešose vietose ar kai greta yra pašalinių žmonių. Viešose vietose (pvz.: kavinėse, lėktuvuose, traukiniuose) draudžiama dirbti su konfidencialia informacija.
59. Įmonės informacinėse sistemose turi būti registruojama ir ne mažiau kaip 6 mėnesius išsaugoma saugumo ir kitų įvykių informacija:
60. Informacinių sistemų administratoriams turi būti panaikinta galimybė ištrinti ar redaguoti administratoriaus veiksmų žurnalinius įrašus.
61. Priklausomai nuo informacinės sistemos kritiškumo veiklai ir rizikų įvertinimo rezultatų, įmonės privalo parengti įvykių informacinėse sistemose stebėsenos reikalavimus ir procedūras bei jais vadovautis.
VIII. Prieigos valdymas
63. Vadovautis principu „draudžiama pagal nutylėjimą“ (angl. default deny), t. y. draudžiami visi IT protokolai, servisai, funkcijos, programos, išskyrus leistinus.
64. Suteikiant prieigos prie informacijos teises, turi būti vadovaujamasi principu „būtina darbui“, t. y. darbuotojams, išorės šalims ir kitiems patvirtintiems asmenims prieiga suteikiama tik prie minimalios ir atitinkamai veiklai būtinos informacijos. Prieigos suteikimo inicijavimo, sankcionavimo ir administravimo teisės turi būti atskirtos, t. y. šios teisės turi būti suteiktos skirtingiems asmenims įmonėje.
65. Įmonėje turi būti reglamentuotos informacinės sistemos naudotojų registravimo, išregistravimo ir teisių peržiūros procedūros visiems informaciniams ištekliams. Kiekvienas informacinių sistemų naudotojas turi būti unikaliai identifikuojamas. Kuomet keičiasi informacinės sistemos naudotojo pareigos įmonėje, ankstesnės prieigos prie informacinių išteklių teisės turi būti panaikinamos ir suteikiamos naujas pareigas atitinkančios prieigos teisės. Už informacinės sistemos naudotojų prieigos teisių patvirtinimą, periodinę jų peržiūrą ir teisių panaikinimą atsakingas informacinių išteklių valdytojas.
66. Administratorių teisių sistemose naudojimas turi būti griežtai ribojamas ir kontroliuojamas. Įmonės informacijos saugos vadovas patvirtina ir periodiškai peržiūri visų administratoriaus teises informacinėse sistemose turinčių subjektų sąrašą.
67. Įmonė turi patvirtinti prisijungimo prie sistemų slaptažodžių naudojimo tvarką, kurioje numatomi slaptažodžių suteikimo, panaikinimo, naudojimo ir sudėtingumo reikalavimai.
68. Visi informacinės sistemos naudotojai turi būti pasirašytinai supažindinti su slaptažodžių saugumo reikalavimais ir savo atsakomybe už jų naudojimą. Kai suteikiami laikini slaptažodžiai informacinių sistemų naudotojams (pvz., pirmo prisijungimo slaptažodžiai), šie slaptažodžiai turi būti unikalūs kiekvienam sistemos naudotojui ir perduodami saugiu būdu. Sistemose draudžiama saugoti slaptažodžius atviru tekstu ar užkoduotus nesaugiais algoritmais. Visose įmonės ITT sistemose ITT paslaugų teikėjas būtinai privalo pakeisti standartinius (gamintojų) slaptažodžius, prieš pradėdamas eksploatuoti sistemą.
69. Įmonėje turi būti įdiegtos be priežiūros paliekamos informacijos apsaugos priemonės – nesinaudojant sistema nustatytą laiką turi būti automatiškai atsijungiama nuo sistemų, įjungiama kompiuterio ekrano užsklanda, apsaugota slaptažodžiu. Įmonėse turi būti taikoma „švaraus stalo“ tvarka – draudžiama palikti be priežiūros dokumentus (pvz., darbo kabinete ant stalo pasibaigus darbo laikui) su svarbia informacija (pvz.: informacija, skirta vidiniam naudojimui, komercinės ar technologinės paslaptys, asmens duomenys ir kt.). Svarbūs dokumentai turi būti tinkamai apsaugoti nuo nesankcionuotos prieigos (įskaitant patalpų priežiūros personalo prieigą).
70. Įmonė turi imtis priemonių, apsaugančių nuo bet kokios (lokalios ar nuotolinės) nesankcionuotos prieigos prie tinklo paslaugų.
71. Įmonė turi užtikrinti apsaugą nuo nesankcionuotos loginės ir fizinės prieigos prie kompiuterinio tinklo įrenginių valdymo (diagnostikos, konfigūravimo) prievadų. Visi nebūtini veiklai tinklo įrenginių valdymo prievadai turi būti panaikinti ar išjungti.
72. Nuotoliniam prisijungimui gali būti naudojami tik saugūs nuotolinio prisijungimo metodai. Visi nuotolinio prisijungimo prie tinklų metodai, priemonės ir prisijungimo adresai turi būti dokumentuoti ir patvirtinti už įmonės informacijos saugą atsakingo asmens (žr. 12 punktą). Asmenų, kuriems suteikta teisė nuotoliniam prisijungimui prie įmonės tinklo ar ITT įrangos, sąrašą turi patvirtinti už įmonės informacijos saugą atsakingas asmuo ir jis turi būti periodiškai peržiūrimas. Bet koks nesankcionuotas nuotolinis prisijungimas prie vidinio įmonės tinklo ar ITT įrangos griežtai draudžiamas.
73. Įmonės duomenų perdavimo tinklas turi būti skirstomas į technologinio valdymo ir bendrąjį įmonės duomenų tinklus, o naudotojai, sistemos ir paslaugos turi būti grupuojami pagal poreikį saugumui, t. y. segmentuojami į skirtingų saugumo lygių zonas. Šiose zonose aukščiausią saugumo lygį turi atitikti technologinio valdymo tinklas su savo komponentais:
73.1. technologinio valdymo duomenų perdavimo tinklo esminis saugos reikalavimas – užtikrinti nepertraukiamą ir savalaikį gamybos funkcijų vykdymą bei paslaugų teikimą;
73.2. technologinio valdymo IT sistemų bei technologinio valdymo duomenų perdavimo tinklų reikalavimai turi atitikti standarto IEC 62351 (Power System Control and Associated communicatios – Data and Communication Security Standart) 1–8 dalis;
73.3. technologinio valdymo duomenų perdavimo tinklo visi komponentai, programos arba sistemos, IT paslaugos ir saugos reikalavimai turi būti valdomi kaip vieninga paslauga;
73.4. technologinio valdymo duomenų tinklo perimetro viduje sertifikatų valdymo ir LDAP protokolo įrankiais turi būti sukuriamas vieningas IT komponentų (serverių, kompiuterinių darbo vietų, programų arba sistemų, duomenų perdavimo ir kitų įrenginių) bei jų vartotojų registravimas;
73.5. technologinio valdymo IT sistemų ir technologinio valdymo duomenų tinklo sertifikatų valdymo ir LDAP protokolo įrankiais turi būti sukuriamas atskiras domenas bei prieigų prie technologinio valdymo IT sistemų ir telekomunikacijų saugos taisyklės, pagal kurias prieiga galima tik pagal atskiras saugos grupes ir atsižvelgiant į roles (prieigos teisių rinkinį);
73.6. duomenų perdavimas tarp nutolusių technologinio tinklo mazgų vykdomas, taikant duomenų tinklų atskyrimo nuo paslaugų teikėjo fizines arba logines priemones. Jei duomenų tinklų atskyrimo priemonės yra loginės, tai tinklo įrenginiuose papildomai naudojamas prieigos IEEE 802.1x protokolas. Taip pat rekomenduojama naudoti duomenų perdavimo tunelių ir šifravimo technologijas;
73.7. technologinio valdymo duomenų perdavimo tinklas negali turėti jokio ryšio su viešaisiais duomenų perdavimo tinklais (internetu);
74. Duomenų perdavimo tinkluose ugniasienėmis turi būti atskirtos: iš išorės prieinamų sistemų grupės; vidinių sistemų grupės; technologinių valdymo sistemų grupės; naudotojų grupės. Visos telekomunikacijų tinkluose naudojamos ugniasienės turi turėti galimybę, panaudojant sertifikatų valdymo įrankius ir LDAP protokolą, valdyti prieigas prie reikalingų IS. Visų įmonių vidiniai telekomunikacijų tinklai prie viešųjų telekomunikacijų tinklų (interneto) turi būti jungiamos per ugniasienes, turinčias blokuojančią apsaugą nuo įsilaužimo (angl. IPS – Intrusion Prevention System) ir virusų, kenkėjiškas programas stabdančių taisyklių, bylų turinio filtravimo pagal nustatytas ženklų sekas priemones. Visus nurodytus ugniasienės funkcionalumus turi nuolat atnaujinti ugniasienės gamintojas. Duomenų srautai tarp skirtingų saugumo zonų turi būti kontroliuojami ir leidžiami tik minimalūs, būtini veiklai.
75. Įmonė turi imtis tinkamų priemonių, apsaugant nuo nesankcionuoto prisijungimo prie OS (darbo, tarnybinių, tinklo ir kt.). OS starto metu turi būti apsaugotos nuo alternatyvių OS paleidimo metodų (pvz.: startas iš USB, CD/DVD laikmenų) – atitinkami nustatymai turi būti padaryti bazinės įvesties ir (ar) išvesties sistemos (toliau – BIOS) nustatymuose. Prieiga prie BIOS nustatymų turi būti apsaugota saugiu slaptažodžiu. Turi būti nustatyti pagrįsti apribojimai, apsaugantys nuo daugkartinių pakartotinių bandymų prisijungti. Nesėkmingi bandymai prisijungti prie OS turi būti registruojami.
76. Naudojamose OS turi būti įgyvendinti slaptažodžių sudėtingumo ir keitimo reikalavimai. Slaptažodžių saugojimui naudojami tik patikimi ir saugūs šifravimo bei maišos algoritmai. OS naudotojams turi būti panaikinti visi, nebūtini veiklai, OS komponentai (servisai, taikomosios programos, sisteminės priemonės). Būtina nustatyti laiko tarpą, kuriam praėjus, nenaudojama kompiuterio OS sistema automatiškai turi užsirakinti.
IX. Informacinių sistemų įsigijimas, kūrimas ir priežiūra
78. Saugumo reikalavimai turi būti aiškiai suformuluoti ir dokumentuoti iš anksto, prieš įsigyjant, kuriant naujas ar plečiant esamas informacines sistemas (operacines sistemas, ITT infrastruktūros elementus, taikomąją programinę įrangą, ITT paslaugas). Saugumo rizikų įvertinimas turi būti atliekamas sistemų įsigijimo inicijavimo stadijoje.
79. Įsigyjamos ar kuriamos informacinės sistemos turi užtikrinti apdorojamų duomenų tikslumą, įskaitant: įvedamų reikšmių patikrinimą; apdorojamų duomenų patikrinimą; išvedamų reikšmių patikrinimą.
80. Taikomosios programinės įrangos testavimą ir diegimą atlieka vidaus ar išorės specialistai, laikydamiesi dokumentuotų procedūrų. Sistemų funkcionalumo testavimui turi būti naudojama testavimo aplinka, kurios saugumui turi būti taikomi tie patys reikalavimai, kaip ir darbinei aplinkai. Darbinių duomenų kopijavimas į testinę aplinką turi būti sankcionuojamas ir registruojamas. Prieiga prie sistemų išeitinių tekstų turi būti leidžiama tik sankcionuotiems asmenims, kuriems ji būtina pagal veiklos pobūdį.
81. Sistemų pakeitimai turi būti atliekami, laikantis reglamentuotos keitimų valdymo procedūros. Turi būti užtikrinta, kad, prieš atliekant pakeitimus informacinėje sistemoje, įvertinamas galimas poveikis šioms sistemoms. Atsakomybė tarp įmonės darbuotojų, turinčių teisę inicijuoti ir atlikti (įgyvendinti) informacinės sistemos keitimus turi būti atskirta, keitimai turi būti dokumentuojami.
X. Incidentų valdymas
83. Apie visus informacijos saugumo incidentus (ar saugumo spragas, silpnas saugumo vietas) už įmonės informacijos saugą atsakingas asmuo (žr. punktą 12) turi būti informuojamas nedelsiant. Visi įmonės darbuotojai, rangovai ir kiti susiję asmenys turi būti pasirašytinai supažindinti apie savo pareigą pranešti apie saugumo incidentus, aiškiai nurodant, kokiomis priemonėmis ir kas yra informuojamas apie incidentus. Įmonėje turi būti patvirtinta pranešimo apie incidentus tvarka ir sąlygos.
84. Saugumo incidentai (ir saugumo įvykiai) turi būti sistemingai ir nuosekliai valdomi, užtikrinant tinkamą ir savalaikį reagavimą į juos bei incidentų poveikio ateityje mažinimą. Įmonės vidaus procedūrose turi būti aiškiai nustatytos funkcijos ir atsakomybė šiuose incidentų valdymo etapuose:
84.1. incidentų ir saugumo įvykių stebėsena (monitoringas), pranešimai apie incidentus, incidentų registravimas;
84.2. incidento analizė, poveikio ir mąsto įvertinimas, prioriteto priskyrimas, incidento komunikavimas;
85. Už įmonės informacijos saugą atsakingas asmuo kasmet parengia ir įmonės vadovui pateikia (ne vėliau nei pateikiama įmonės vidinio audito ataskaita) informacijos saugumo incidentų ataskaitą, kurioje pateikiama susisteminta informacija apie įvykusius saugos incidentus, „išmoktos pamokos“, siūlymai incidentų valdymo tobulinimui.
XI. Veiklos tęstinumo valdymas
86. Įmonė turi parengti, patvirtinti, įgyvendinti ir išbandyti veiklos tęstinumo valdymo planą. Veiklos tęstinumo planas turi būti parengtas vadovaujantis įmonės rizikų ir poveikio veiklai analizėmis. Plane turi būti pateikta ši informacija:
86.1. bendroji dalis – veiklos tęstinumo tikslai; plano apimtis; įgyvendinimo resursai ir atsakomybė;
86.2. poveikio veiklai ir rizikų analizės – esminės įmonės funkcijos ir jų sutrikdymo poveikis; esminių funkcijų valdytojai; esmines funkcijas užtikrinantys resursai (įskaitant informacinius resursus); reikalavimai funkcijų vykdymo atkūrimo laikui, apimtims ir resursams; esminėms funkcijoms ir resursams kylančios rizikos ir pažeidžiamumai; grėsmių scenarijai;
86.3. veiklos tęstinumo strategijos – reagavimo, krizinių ir nenumatytų situacijų valdymo ir (ar) komunikavimo struktūros; esminių funkcijų tęstinumo ir atkūrimo procedūros ir (ar) resursai;
87. Kiekvienai įmonės veiklai esminei informacinei sistemai (IS) turi būti parengtas IS tęstinumo ir atkūrimo planas. Plane turi būti pateikta ši informacija:
87.1. bendroji dalis – sistemos aprašymas, techninė informacija; plano apimtis; personalo vaidmenys ir atsakomybė;
87.2. plano aktyvavimas ir suinteresuotų šalių (darbuotojai, klientai, savininkai ir pan.) informavimas – aktyvavimo kriterijai ir su tuo susijusios funkcijos; informavimo ir (ar) komunikacijos priemonės ir procedūros; poveikio masto įvertinimo procedūros;
87.3. atkūrimas – atkūrimo strategijos; IS komponentų atkūrimo eiliškumas; detalios IS atkūrimo procedūros; susijusių šalių informavimo procedūros; atkūrimo patvirtinimo procedūros; plano atšaukimo procedūros;
XII. Atitiktis teisiniams ir kitiems saugos reikalavimams
88. Įmonė turi imtis tinkamų priemonių, užtikrinant naudojamos programinės įrangos teisėtumą ir apsaugoti autorių intelektinės nuosavybės teises. Įmonėje turi būti parengti naudojamos programinės įrangos ir šios įrangos licencijų registrai.
89. Įmonės veiklos dokumentai, įskaitant elektroninius dokumentus, turi būti tinkamai valdomi ir apsaugoti nuo sugadinimo, praradimo, neteisėto naudojimo, pakeitimo ir naikinimo, laikantis Lietuvos Respublikos teisės aktų ir įmonės vidaus teisės aktų reikalavimų. Įmonėje turi būti parengta dokumentų valdymo tvarka, kurioje nurodomi pagrindiniai dokumentų, įskaitant elektroninius dokumentus, rengimo, tvarkymo, apskaitos, saugojimo ir naikinimo reikalavimai.
90. Įmonės privalo įdiegti tinkamas asmens duomenų apsaugos nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar neteisėto tvarkymo priemones, laikantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804), Lietuvos Respublikos elektroninių ryšių įstatymo (Žin., 2004, Nr. 69-2382) ir kitų Lietuvos Respublikos teisės aktų reikalavimų.
XIII. Baigiamosios nuostatos
91. Įmonės visų lygių vadovai, užtikrindami šių reikalavimų įgyvendinimą, savo atsakomybės ribose privalo periodiškai, ne rečiau kaip kartą per metus, vertinti šių reikalavimų vykdymą ir šalinti trūkumus.
92. Įmonės kasmet turi atlikti informacinių išteklių techninių pažeidžiamumų vertinimą. Atliekant vertinimą, analizuojama imtis turi būti ne mažiau kaip 10 procentų kiekvienam iš išteklių tipų (pvz.: tarnybinės ir darbo stotys, tinklo įrenginiai, informacinės sistemos, išoriniai IP adresai ir kt.).
SUDERINTA:
Lietuvos Respublikos vidaus reikalų ministerijos
2013 m. balandžio 8 d. raštu Nr. 1D-3585(3)