Lietuvos Respublikos Vyriausybė
NUTARIMAS
Dėl BENDRŲJŲ ELEKTRONINĖS INFORMACIJOS SAUGOS REIKALAVIMŲ APRAŠO, SAUGOS DOKUMENTŲ TURINIO GAIRIŲ APRAŠO IR VALSTYBĖS INFORMACINIŲ SISTEMŲ, REGISTRŲ IR KITŲ INFORMACINIŲ SISTEMŲ KLASIFIKAVIMO IR ELEKTRONINĖS INFORMACIJOS SVARBOS NUSTATYMO GAIRIŲ APRAŠO PATVIRTINIMO
2013 m. liepos 24 d. Nr. 716
Vilnius
Vadovaudamasi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo (Žin., 2011, Nr. 163-7739) 4 straipsnio 3 ir 4 punktais, 18 straipsnio 3 dalimi, 30 straipsnio 2 ir 3 dalimis, 43 straipsnio 2 dalimi, Lietuvos Respublikos Vyriausybė nutaria:
1. Patvirtinti pridedamus:
2. Nustatyti, kad valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų valdytojai peržiūri ir su šiuo nutarimu patvirtintų teisės aktų nuostatomis suderina savo valdomų registrų ir informacinių sistemų saugos dokumentus iki 2015 m. liepos 1 dienos.
3. Pripažinti netekusiais galios:
3.1. Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimą Nr. 952 „Dėl duomenų apsaugos valstybės ir vietos savivaldos informacinėse sistemose“ (Žin., 1997, Nr. 83-2075);
3.2. Lietuvos Respublikos Vyriausybės 2002 m. gruodžio 31 d. nutarimą Nr. 2105 „Dėl Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimo Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ pakeitimo“ (Žin., 2003, Nr. 2-45);
3.3. Lietuvos Respublikos Vyriausybės 2007 m. balandžio 25 d. nutarimą Nr. 410 „Dėl Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimo Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ pakeitimo“ (Žin., 2007, Nr. 49-1891);
3.4. Lietuvos Respublikos Vyriausybės 2008 m. liepos 16 d. nutarimą Nr. 743 „Dėl Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimo Nr. 952 „Dėl elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose“ pakeitimo“ (Žin., 2008, Nr. 85-3393);
3.5. Lietuvos Respublikos Vyriausybės 2011 m. gegužės 4 d. nutarimą Nr. 519 „Dėl Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimo Nr. 952 „Dėl elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose“ pakeitimo“ (Žin., 2011, Nr. 55-2642).
PATVIRTINTA
Lietuvos Respublikos Vyriausybės
2013 m. liepos 24 d. nutarimu Nr. 716
BENDRŲJŲ ELEKTRONINĖS INFORMACIJOS SAUGOS REIKALAVIMŲ APRAŠAS
I. BENDROSIOS NUOSTATOS
1. Bendrųjų elektroninės informacijos saugos reikalavimų aprašo (toliau – Aprašas) tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti valstybės registrų (kadastrų) (toliau – valstybės registras) ir žinybinių registrų duomenis, dokumentus ir informaciją, valstybės informacinių sistemų ir kitų informacinių sistemų informaciją.
2. Aprašo nuostatos privalomos valstybės institucijoms, valstybės įstaigoms, valstybės įmonėms, viešosioms įstaigoms, steigiančioms, kuriančioms ir (arba) tvarkančioms valstybės registrus, žinybinius registrus, valstybės informacines sistemas ir kitas informacines sistemas (toliau – informacinė sistema), finansuojamoms iš Lietuvos Respublikos valstybės biudžeto, Valstybinio socialinio draudimo fondo biudžeto, Privalomojo sveikatos draudimo fondo biudžeto ir kitų valstybės pinigų fondų ir Lietuvos Respublikos viešojo administravimo įstatymo (Žin., 1999, Nr. 60-1945; 2006, Nr. 77-2975) nustatyta tvarka įgaliotoms atlikti viešąjį administravimą, valstybės ir savivaldybių įmonėms, savivaldybių įstaigoms ir viešosioms įstaigoms, kuriančioms kitas informacinių technologijų priemones, kuriomis apdorojama informacija, valdoma valstybės ir savivaldybių įmonių, savivaldybių įstaigų ir viešųjų įstaigų, atliekančių teisės aktų joms nustatytas funkcijas, jeigu išlaidos, patirtos kuriant tokias informacinių technologijų priemones, finansuojamos iš Lietuvos Respublikos valstybės biudžeto, Valstybinio socialinio draudimo fondo biudžeto, Privalomojo sveikatos draudimo fondo biudžeto ar kitų valstybės pinigų fondų arba apdorojant informaciją informacinių technologijų priemonėmis per valstybės informacinių sistemų ar registrų sąveiką reikia gauti duomenis iš valstybės informacinių sistemų ir (arba) registrų (toliau – institucijos).
4. Apraše vartojamos sąvokos:
Elektroninė informacija – informacinėje sistemoje tvarkomi duomenys, dokumentai ir informacija.
Elektroninės informacijos sauga – elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas.
Elektroninės informacijos saugos incidentas – įvykis ar veiksmas, kurie gali sudaryti neteisėto prisijungimo prie informacinės sistemos galimybę, sutrikdyti ar pakeisti informacinės sistemos veiklą, sunaikinti, sugadinti ar pakeisti elektroninę informaciją, panaikinti ar apriboti galimybę naudotis elektronine informacija, sudaryti sąlygas neleistinai elektroninę informaciją pasisavinti, paskleisti ar kitaip panaudoti.
Elektroninės informacijos saugos politika (toliau – saugos politika) – pagrindiniai elektroninės informacijos saugos užtikrinimo ir valdymo principai, reikalavimai, į kuriuos atsižvelgiant turi būti derinami informacinės sistemos veiklos ir naudojimo procesai, procedūros ir rengiami juos reglamentuojantys dokumentai. Saugos politika išdėstoma informacinės sistemos valdytojo tvirtinamuose Informacinės sistemos duomenų saugos nuostatuose (toliau – Saugos nuostatai).
Informacinės sistemos administratorius (toliau – administratorius) – institucijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis informacinę sistemą ir (ar) jos infrastuktūrą, užtikrinantis jos veikimą ir elektroninės informacijos saugą, ar kitas asmuo (asmenų grupė), kuriam Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo (Žin., 2011, Nr. 163-7739) 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos informacinės sistemos ir (ar) jos infrastuktūros priežiūros funkcijos (toliau – paslaugų teikėjas).
Informacinės sistemos naudotojas – institucijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, ar kitas asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją.
Informacinės sistemos saugos įgaliotinis (toliau – saugos įgaliotinis) – institucijos valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, koordinuojantis ir prižiūrintis saugos politikos įgyvendinimą informacinėje sistemoje.
Konfidencialumas – elektroninės informacijos savybė – su informacinėje sistemoje tvarkoma elektronine informacija gali susipažinti tik tą daryti įgalioti asmenys.
Prieinamumas – elektroninės informacijos savybė – elektroninė informacija gali būti tvarkoma reikiamu metu.
Vientisumas – elektroninės informacijos savybė – elektroninė informacija nebuvo atsitiktinai ar neteisėtai pakeista ar sunaikinta.
Kitos Apraše vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, kituose Lietuvos Respublikos įstatymuose ir Lietuvos standartuose LST ISO/IEC 27001:2006 ir LST ISO/IEC 27002:2009.
II. SAUGOS UŽTIKRINIMAS
6. Užtikrinant elektroninės informacijos saugą, rekomenduojama vadovautis Lietuvos standartais LST ISO/IEC 27001:2006, LST ISO/IEC 27002:2009, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų elektroninės informacijos tvarkymą.
7. Informacinės sistemos valdytojas privalo turėti pagal Lietuvos Respublikos Vyriausybės patvirtintas Saugos dokumentų turinio gaires parengtus, su Vidaus reikalų ministerija suderintus ir patvirtintus šiuos saugos dokumentus:
8. Aprašo 7.2–7.4 punktuose nurodytus saugos dokumentus (toliau – saugos politiką įgyvendinantys dokumentai) tvirtina informacinės sistemos valdytojas po to, kai patvirtina su Vidaus reikalų ministerija suderintus Saugos nuostatus. Kai Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 (Žin., 2013, Nr. 23-1122), 5 punkte nustatytu atveju informacinė sistema steigiama Lietuvos Respublikos Vyriausybės nutarimu, Lietuvos Respublikos Vyriausybė gali priimti ir nutarimą dėl Aprašo 7.1–7.4 punktuose nurodytų dokumentų tvirtinimo.
9. Vidaus reikalų ministerijai teikiamus derinti Aprašo 7.1–7.4 punktuose nurodytų dokumentų projektus, be rengėjo, turi vizuoti ir informacinės sistemos valdytojo vadovas. Aprašo 8 punkte nurodytu atveju parengtas Lietuvos Respublikos Vyriausybės nutarimo dėl Aprašo 7.1–7.4 punktuose nurodytų dokumentų tvirtinimo projektas derinamas Lietuvos Respublikos Vyriausybės darbo reglamento, patvirtinto Lietuvos Respublikos Vyriausybės 1994 m. rugpjūčio 11 d. nutarimu Nr. 728 (Žin., 1994, Nr. 63-1238; 2013, Nr. 43-2112), nustatyta tvarka.
10. Vidaus reikalų ministerija išvadas, pastabas ir pasiūlymus dėl Aprašo 7.1–7.4 punktuose nurodytų dokumentų projektų turi pateikti per 10 darbo dienų, esant didelės apimties teisės aktų projektams (daugiau kaip 10 puslapių teksto) – per 15 darbo dienų nuo jų gavimo, o pakartotinai pateikus derinti Aprašo 7.1–7.4 punktuose nurodytų dokumentų projektus – per 5 darbo dienas.
11. Teisės akte, kuriuo tvirtinami Saugos nuostatai, nurodomi saugos politiką įgyvendinančių dokumentų rengėjai ir dokumentų parengimo terminai. Saugos politiką įgyvendinantys dokumentai turi būti patvirtinti ne vėliau kaip per 6 mėnesius nuo Saugos nuostatų patvirtinimo dienos.
12. Informacinės sistemos valdytojas gali tvirtinti visų jo valdomų informacinių sistemų bendrus saugos dokumentus.
13. Saugos dokumentai institucijoje turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per metus informacinės sistemos valdytojo vadovo nustatyta tvarka. Saugos dokumentai taip pat turi būti persvarstomi (peržiūrimi) po to, kai atliekamas rizikos įvertinimas ar informacinių technologijų saugos atitikties vertinimas arba institucijoje įvyksta esminių organizacinių, sisteminių ar kitokių pokyčių. Keičiami saugos dokumentai derinami su Vidaus reikalų ministerija Aprašo nustatyta tvarka. Keičiami saugos dokumentai gali būti su Vidaus reikalų ministerija nederinami tais atvejais, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar saugos politikos nekeičiantys pakeitimai arba taisoma teisės technika.
14. Patvirtinus Saugos nuostatus ar jų pakeitimus, informacinės sistemos valdytojas Registrų ir valstybės informacinių sistemų registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2012 m. spalio 16 d. nutarimu Nr. 1263 (Žin., 2012, Nr. 122-6146), nustatyta tvarka pateikia šiam registrui reikiamus duomenis ar dokumentų kopijas.
15. Patvirtintų saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas informacinės sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų vidaus reikalų ministro 2012 m. spalio 16 d. įsakymu Nr. 1V-740 (Žin., 2012, Nr. 123-6204), nustatyta tvarka.
III. SAUGOS ORGANIZAVIMAS
16. Už elektroninės informacijos saugą pagal kompetenciją atsako informacinės sistemos valdytojas ir informacinės sistemos tvarkytojas (-ai).
17. Informacinės sistemos valdytojas atsako už saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.
18. Informacinės sistemos tvarkytojas (-ai) atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.
19. Informacinės sistemos valdytojas teisės aktu, kuriuo tvirtinami Saugos nuostatai, skiria saugos įgaliotinį arba paveda jį paskirti informacinės sistemos tvarkytojui.
20. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
21. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Aprašo, kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis.
22. Saugos įgaliotinis, koordinuodamas ir prižiūrėdamas saugos politikos įgyvendinimą informacinėje sistemoje, atlieka šias funkcijas:
22.1. teikia informacinės sistemos valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį, vadovui pasiūlymus dėl:
22.1.1. administratoriaus (administratorių) paskyrimo ir reikalavimų administratoriui (administratoriams) nustatymo;
22.2. teikia informacinės sistemos valdytojo vadovui pasiūlymus dėl saugos dokumentų priėmimo, keitimo;
22.3. koordinuoja elektroninės informacijos saugos incidentų, įvykusių informacinėje sistemoje, tyrimą ir bendradarbiauja su kompetentingoms institucijoms, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;
22.4. teikia administratoriui (administratoriams) ir informacinės sistemos naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;
24. Saugos įgaliotinis, atlikdamas savo funkcijas, turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus ir kitiems informacinės sistemos valdytojo ir tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti.
25. Saugos įgaliotinis periodiškai organizuoja informacinės sistemos naudotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas. Mokymo ir informavimo būdai pasirenkami atsižvelgiant į informacinės sistemos specifiką. Mokymas planuojamas, organizuojamas ir vykdomas informacinės sistemos valdytojo tvirtinamuose Saugos nuostatuose nustatyta tvarka.
26. Informacinės sistemos valdytojas arba jo įgaliotas informacinės sistemos tvarkytojas turi paskirti administratorių (administratorius). Jeigu administratoriaus funkcijos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduotos paslaugos teikėjui, informacinės sistemos valdytojas ar informacinės sistemos tvarkytojas paskiria darbuotoją, kontroliuojantį šio paslaugos teikėjo darbą.
27. Administratorius (administratoriai) atlieka funkcijas, susijusias su informacinės sistemos naudotojų teisių valdymu, informacinės sistemos komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo sistemomis, elektroninės informacijos perdavimu tinklais, bylų serveriais ir kitais), šių informacinės sistemos komponentų sąranka, informacinių sistemų pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena, reagavimu į elektroninės informacijos saugos incidentus, taip pat privalo vykdyti visus saugos įgaliotinio nurodymus ir pavedimus, susijusius su informacinės sistemos saugos užtikrinimu, ir nuolat teikti saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.
28. Atlikdamas (-i) informacinės sistemos sąrankos pakeitimus, administratorius (administratoriai) turi laikytis informacinės sistemos valdytojo nustatytos informacinės sistemos pokyčių valdymo tvarkos, nustatytos informacinės sistemos valdytojo tvirtinamose Saugaus elektroninės informacijos tvarkymo taisyklėse.
29. Administratorius (administratoriai) privalo patikrinti (peržiūrėti) informacinės sistemos sąranką ir informacinės sistemos būsenos rodiklius reguliariai, ne rečiau kaip kartą per metus ir (arba) po informacinės sistemos pokyčio.
30. Informacinių sistemų valdytojas, valdantis daugiau kaip dvi informacines sistemas ar informacines sistemas, kurias sudaro ne mažiau kaip du posistemiai ar funkciškai savarankiškos sudedamosios dalys, gali sudaryti elektroninės informacijos saugos darbo grupes, koordinuosiančias saugos politikos įgyvendinimą institucijoje, elektroninės informacijos saugos priemonių ir metodų taikymą institucijoje ir jos valdomose informacinėse sistemose, analizuosiančias ir koordinuosiančias institucijų informacinėse sistemose įvykusių elektroninės informacijos saugos incidentų tyrimą ir tvarkysiančias saugos dokumentaciją.
31. Saugos įgaliotinis ir administratorius gali būti paskiriami kelioms informacinės sistemos valdytojo valdomoms informacinėms sistemoms, posistemiams, funkciškai savarankiškoms sudedamosioms dalims ar tam tikroms saugos įgaliotinio ir administratoriaus funkcijoms atlikti, tačiau turi būti užtikrintas tinkamas saugos įgaliotinio ir administratoriaus funkcijų atlikimas. Jeigu skiriami saugos įgaliotiniai ir administratoriai atskirai kiekvienai valdomai informacinei sistemai, posistemiui, funkciškai savarankiškoms sudedamosioms dalims ar tam tikroms saugos įgaliotinio ir administratoriaus funkcijoms atlikti, turi būti aiškiai nurodyta, kokiai informacinei sistemai, posistemiui, funkciškai savarankiškoms sudedamosioms dalims ar kurioms saugos įgaliotinio ir administratoriaus funkcijoms atlikti paskiriamas konkretus saugos įgaliotinis ir administratorius, taip pat vienam iš saugos įgaliotinių ir administratorių pavesta koordinuoti šių saugos įgaliotinių ir administratorių veiklą.
IV. SAUGOS INCIDENTŲ VALDYMAS
32. Informacinės sistemos naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai administratoriui, saugos įgaliotiniui arba jeigu valstybės institucijoje įsteigta informacinių technologijų pagalbos tarnyba – šiai tarnybai.
33. Jeigu saugos įgaliotinis nebuvo informuotas apie Aprašo 32 punkte nurodytus pažeidimus, administratorius arba informacinių technologijų pagalbos tarnyba informuoja saugos įgaliotinį apie šiuos pažeidimus. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią informacinės sistemos saugą, saugos įgaliotinis apie tai turi pranešti informacinės sistemos valdytojo vadovui ir kompetentingoms institucijoms, tiriančioms elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais.
V. RIZIKOS ĮVERTINIMAS
35. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, kuri skelbiama Vidaus reikalų ministerijos interneto svetainėje (http://www.vrm.lt/Rizikos_analize.pdf), Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja visų informacinių sistemų rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį informacinių sistemų rizikos įvertinimą. Informacinės sistemos valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį, rašytiniu pavedimu informacinių sistemų rizikos įvertinimą gali atlikti pats saugos įgaliotinis.
36. Informacinių sistemų rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama informacinės sistemos valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį, vadovui. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai yra šie:
36.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
36.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
36.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 (Žin., 1996, Nr. 68-1652), 3 punkte.
37. Atsižvelgdamas į rizikos įvertinimo ataskaitą, informacinės sistemos valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
38. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas informacinės sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
VI. INFORMACINĖS SISTEMOS POKYČIŲ VALDYMAS
39. Informacinės sistemos valdytojas užtikrina informacinės sistemos pokyčių (toliau – pokyčiai) valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas pagal pokyčio tipą (administracinis, organizacinis ar techninis), įtakos vertinimą ir pokyčių prioritetų nustatymo procesus. Su tuo susijusios nuostatos numatomos informacinės sistemos valdytojo tvirtinamose Saugaus elektroninės informacijos tvarkymo taisyklėse ar kitame informacinės sistemos valdytojo patvirtintame teisės akte.
40. Visi pokyčiai, galintys sutrikdyti ar sustabdyti informacinės sistemos darbą, turi būti suderinti su informacinės sistemos valdytojo vadovu ar duomenų valdymo įgaliotiniu ir vykdomi tik gavus jų raštišką pritarimą. Pokyčius turi teisę inicijuoti duomenų valdymo įgaliotinis, saugos įgaliotinis ar administratorius, o įgyvendinti – administratorius.
41. Informacinės sistemos sąrankos aprašai turi būti nuolat atnaujinami ir rodyti esamą informacinės sistemos sąrankos būklę.
VII. INFORMACINIŲ TECHNOLOGIJŲ SAUGOS ATITIKTIES VERTINIMAS
43. Informacinių technologijų saugos atitikties vertinimo metodiką nustato vidaus reikalų ministras.
44. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama informacinės sistemos valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį, vadovui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato informacinės sistemos valdytojo vadovas.
45. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas informacinės sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
VIII. INFORMACINĖS SISTEMOS NAUDOTOJŲ ATSAKOMYBĖ
46. Tvarkyti informacinės sistemos elektroninę informaciją gali tik informacinės sistemos naudotojai, susipažinę su saugos dokumentais ir sutikę laikytis jų reikalavimų.
47. Informacinės sistemos naudotojų supažindinimą su saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą organizuoja saugos įgaliotinis. Supažindinimo būdai pasirenkami atsižvelgiant į informacinės sistemos specifiką, tačiau turi būti užtikrintas susipažinimo įrodomumas.
48. Informacinės sistemos naudotojai, pažeidę Aprašo ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako įstatymų nustatyta tvarka.
PATVIRTINTA
Lietuvos Respublikos Vyriausybės
2013 m. liepos 24 d. nutarimu Nr. 716
SAUGOS DOKUMENTŲ TURINIO GAIRIŲ APRAŠAS
I. BENDROSIOS NUOSTATOS
1. Saugos dokumentų turinio gairių apraše (toliau – Aprašas) nustatomas valstybės registro (kadastro), žinybinio registro, valstybės informacinės sistemos ir kitų informacinių sistemų (toliau – informacinė sistema) duomenų saugos nuostatų, Saugaus elektroninės informacijos tvarkymo taisyklių, Informacinės sistemos veiklos tęstinumo valdymo plano ir Informacinės sistemos naudotojų administravimo taisyklių (toliau – saugos dokumentai) turinys.
2. Apraše vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (Žin., 2011, Nr. 163-7739), Lietuvos Respublikos Vyriausybės patvirtintame Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Lietuvos Respublikos įstatymuose, kituose teisės aktuose ir Lietuvos standartuose LST ISO/IEC 27001:2006 ir LST ISO/IEC 27002:2009.
II. INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ TURINIO REIKALAVIMAI
3. Informacinės sistemos duomenų saugos nuostatus (toliau – saugos nuostatai) sudaro šie skyriai:
3.1. „Bendrosios nuostatos“, kuriame turi būti nurodyta:
3.1.2. informacinės sistemos valdytojo ir tvarkytojo (tvarkytojų), kitų subjektų, kuriems taikomi saugos nuostatų reikalavimai, pavadinimai ir adresai (jeigu dėl didelio skaičiaus ar kitų priežasčių neįmanoma išvardyti visų subjektų, būtina nurodyti jų grupes pagal veiklos ar pavaldumo pobūdį);
3.1.3. informacinės sistemos valdytojo ir tvarkytojo (tvarkytojų), informacinės sistemos saugos įgaliotinio (toliau – saugos įgaliotinis), informacinės sistemos administratoriaus (toliau – administratorius) funkcijos (jeigu paskiriami keli saugos įgaliotiniai ar administratoriai, turi būti atskirai nurodytos kiekvieno saugos įgaliotinio ir administratoriaus funkcijos);
3.2. „Elektroninės informacijos saugos valdymas“, kuriame turi būti nurodyta:
3.2.1. informacinėje sistemoje tvarkomos elektroninės informacijos svarbos kategorija, priskyrimo tam tikrai svarbos kategorijai kriterijai, jeigu informacinėje sistemoje tvarkoma skirtingos svarbos elektroninė informacija – nurodomos visos elektroninės informacijos svarbos kategorijos, priskyrimo tam tikrai svarbos kategorijai kriterijai;
3.2.3. pagrindinės informacinės sistemos valdytojo nuostatos dėl rizikos veiksnių vertinimo, pagrindinių rizikos vertinimo kriterijų apibūdinimas (rizikos veiksnių vertinimo metodika, naudojami rizikos vertinimo dokumentai (vadovai, brošiūros, klausimynai, rekomendacijos, interaktyvios priemonės (kompiuterinės programos) ir panašiai), vertinimo periodiškumas, vertinimo apimtis ir kita);
3.3. „Organizaciniai ir techniniai reikalavimai“, kuriame turi būti nurodyta:
3.3.1. programinės įrangos, skirtos apsaugoti informacinę sistemą nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai (nurodomas ilgiausias leistinas neatnaujinimo laikas);
3.3.3. kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita) pagrindinės naudojimo nuostatos;
3.3.4. leistinos kompiuterių (ypač nešiojamųjų) naudojimo ribos (jeigu kompiuterius leidžiama naudoti nustatytoms funkcijoms atlikti ne institucijos patalpose, turi būti nurodytos papildomos saugos priemonės, taikytinos tokiems kompiuteriams (šifravimas, papildomas tapatybės patvirtinimas, prisijungimo ribojimai, rakinimo įrenginių naudojimas ir panašiai);
3.3.5. metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą (nurodomas nuotolinio prisijungimo prie informacinės sistemos būdas, protokolas, elektroninės informacijos keitimosi formatai, šifravimo, elektroninės informacijos kopijų skaičiaus reikalavimai, reikalavimas teikti ir (ar) gauti elektroninę informaciją automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas ir panašiai);
3.4. „Reikalavimai personalui“, kuriame turi būti nurodyta:
3.4.1. informacinės sistemos naudotojų, administratoriaus (administratorių) ir saugos įgaliotinio kvalifikaciniai reikalavimai;
3.5. „Informacinės sistemos naudotojų supažindinimo su saugos dokumentais principai“, kuriame turi būti nurodyti supažindinimo ir pakartotinio supažindinimo su saugos dokumentais, kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, ir atsakomybe už saugos dokumentų nuostatų pažeidimus, pagrindiniai reikalavimai, būdai.
III. SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ TURINIO REIKALAVIMAI
4. Saugaus elektroninės informacijos tvarkymo taisykles sudaro šie skyriai:
4.1. „Bendrosios nuostatos“, kuriame turi būti nurodyta:
4.1.1. informacinėje sistemoje tvarkomos elektroninės informacijos (jos grupių) sąrašas; jeigu visa tvarkoma elektroninė informacija (jos grupės) nurodyta informacinės sistemos nuostatose, gali būti pateikiamos nuorodos į atitinkamus informacinės sistemos nuostatų punktus; jeigu informacinėje sistemoje tvarkoma skirtingos svarbos elektroninė informacija – nurodoma atitinkama elektroninės informacijos grupė ir jos svarbos kategorija;
4.2. „Techninių ir kitų saugos priemonių aprašymas“, kuriame turi būti nurodyta:
4.2.4. patalpų ir aplinkos saugumo užtikrinimo priemonės (įėjimo kontrolė, elektros tiekimas, aplinkos drėgnumas, darbo vietos temperatūra, priešgaisrinė sauga);
4.3. „Saugus elektroninės informacijos tvarkymas“, kuriame turi būti nurodyta:
4.3.1. saugaus elektroninės informacijos keitimo, atnaujinimo, įvedimo ir naikinimo užtikrinimo tvarka;
4.3.3. atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka;
4.3.4. saugaus elektroninės informacijos perkėlimo ir teikimo susijusioms informacinėms sistemoms, elektroninės informacijos gavimo iš jų užtikrinimo tvarka;
4.3.5. elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka;
4.3.7. informacinės sistemos pokyčių (toliau – pokyčiai) valdymo tvarka, apimanti šiuos procesus:
4.3.7.2. pokyčių suskirstymas į kategorijas, atsižvelgiant į pokyčių svarbą, aktualumą, poreikį ir panašiai;
4.3.8. jeigu pokyčių valdymo tvarka išdėstyta kitame informacinės sistemos valdytojo patvirtintame teisės akte, pateikiama nuoroda į konkretų teisės aktą;
4.4. „Reikalavimai, keliami informacinėms sistemoms funkcionuoti reikalingoms paslaugoms ir jų teikėjams“, kuriame turi būti nurodyta:
IV. INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANO TURINIO REIKALAVIMAI
5. Informacinės sistemos veiklos tęstinumo valdymo planą (toliau – planas) sudaro šie skyriai:
5.1. „Bendrosios nuostatos“, kuriame turi būti nurodyta:
5.1.2. saugos įgaliotinio, administratoriaus (administratorių), informacinės sistemos naudotojų ir kitų asmenų įgaliojimai ir veiksmai pagal planą, tai yra įvykus elektroninės informacijos saugos incidentui;
5.1.3. nuostata, kad planas privalomas informacinės sistemos tvarkytojams, valdytojui, saugos įgaliotiniui, administratoriui (administratoriams) ir informacinės sistemos naudotojams;
5.1.4. finansinių ir kitokių išteklių, numatomų informacinės sistemos veiklai atkurti įvykus elektroninės informacijos saugos incidentui, šaltiniai;
5.2. „Organizacinės nuostatos“, kuriame turi būti nurodyta:
5.2.1. informacinės sistemos veiklos tęstinumo valdymo grupės (toliau – veiklos tęstinumo valdymo grupė) sudėtis (vadovas, pavaduotojas ir kiti nariai);
5.2.2. veiklos tęstinumo valdymo grupės funkcijos:
5.2.2.1. situacijos analizė ir sprendimų informacinės sistemos veiklos tęstinumo valdymo klausimais priėmimas;
5.2.2.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;
5.2.2.4. bendravimas su teisėsaugos ir kitomis institucijomis, institucijos darbuotojais ir kitomis interesų grupėmis;
5.2.2.5. finansinių ir kitų išteklių, reikalingų informacinės sistemos veiklai atkurti, įvykus elektroninės informacijos saugos incidentui, naudojimo kontrolė;
5.2.3. informacinės sistemos veiklos atkūrimo grupės (toliau – veiklos atkūrimo grupė) sudėtis (vadovas, pavaduotojas ir kiti nariai (nurodomos asmenų, atsakingų už tam tikrų funkcijų atlikimą, ne mažiau kaip 2 kiekvienai funkcijai atlikti, pareigybės); į veiklos atkūrimo grupę neturėtų būti įtraukiami asmenys, įeinantys į veiklos tęstinumo valdymo grupės sudėtį (išskyrus išimtinius atvejus, kai nepakanka žmogiškųjų išteklių veiklos atkūrimo grupei sudaryti);
5.2.4. veiklos atkūrimo grupės funkcijos:
5.2.5. informacinės sistemos veiklos atkūrimo detalusis planas, kuriame nurodyti veiksmų vykdymo eiliškumas, terminai, atsakingi vykdytojai; rekomenduojama numatyti atskirus plano scenarijus informacinės sistemos veiklai atkurti po skirtingo pobūdžio ir masto elektroninės informacijos saugos incidentų;
5.2.6. reikalavimai, keliami atsarginėms patalpoms, naudojamoms informacinės sistemos veiklai atkurti įvykus elektroninės informacijos saugos incidentui, atsarginių patalpų adresas ir būdai, kaip iki jų nuvykti;
5.3. „Aprašomosios nuostatos“, kuriame turi būti nurodyta:
5.3.1. parengtų ir saugomų dokumentų sąrašas:
5.3.1.1. dokumentas, kuriame nurodyti informacinių technologijų įrangos parametrai ir už šios įrangos priežiūrą atsakingas (-i) administratorius (administratoriai), minimalus informacinės sistemos veiklai atkurti nesant administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, reikiamos kompetencijos ar žinių lygis;
5.3.1.2. dokumentas, kuriame nurodyta minimalaus funkcionalumo informacinių technologijų įrangos, tinkamos institucijos poreikius atitinkančiai informacinės sistemos veiklai užtikrinti įvykus elektroninės informacijos saugos incidentui, specifikacija;
5.3.1.3. dokumentas, kuriame nurodyti kiekvieno pastato, kuriame yra informacinės sistemos įranga, aukšto patalpų brėžiniai ir juose pažymėti:
5.3.1.5. dokumentas, kuriame nurodytos elektroninės informacijos teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigas;
5.3.1.6. dokumentas, kuriame nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos;
5.3.3. už Aprašo 5.3.1 punkte nurodytų dokumentų saugojimą atsakingas (-i) administratorius (administratoriai);
5.3.4. kai institucija naudoja (pagal nuomos, panaudos ar kitas sutartis) visą informacinės sistemos techninę įrangą ar jos dalį, priklausančias ir esančias trečiosios šalies patalpose – sutarties su trečiąja šalimi data ir numeris; sutarties kopija turi būti saugoma administratoriaus (administratorių).
5.4. „Plano veiksmingumo išbandymo nuostatos“, kuriame turi būti nurodyta:
5.4.2. asmuo, atsakingas už išbandant plano veiksmingumą pastebėtų trūkumų ataskaitos parengimą ir pateikimą informacinės sistemos valdytojui;
V. INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ TURINIO REIKALAVIMAI
6. Informacinės sistemos naudotojų administravimo taisykles sudaro šie skyriai:
6.1. „Bendrosios nuostatos“, kuriame turi būti nurodyta:
6.2. „Informacinės sistemos naudotojų ir administratorių įgaliojimai, teisės ir pareigos“, kuriame turi būti nurodyta:
6.2.1. informacinės sistemos naudotojų įgaliojimai, teisės ir pareigos tvarkant elektroninę informaciją;
6.2.2. informacinės sistemos administratoriaus (administratorių) prieigos prie informacinės sistemos lygiai ir juose taikomi elektroninės informacijos saugos reikalavimai (elektroninės informacijos skaitymas, kūrimas, atnaujinimas, naikinimas, informacinės sistemos naudotojų informacijos, prieigos teisių redagavimas ir panašiai).
6.3. „Saugaus elektroninės informacijos teikimo informacinės sistemos naudotojams kontrolės tvarka“, kuriame turi būti nurodyta:
6.3.1. tvarka, kuria bus registruojami ir išregistruojami informacinės sistemos naudotojai, ir už šių veiksmų atlikimą atsakingas asmuo;
6.3.3. informacinės sistemos naudotojų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai;
6.3.4. sąlygos ir atvejai, kai panaikinama informacinės sistemos naudotojų teisė dirbti su konkrečia elektronine informacija;
PATVIRTINTA
Lietuvos Respublikos Vyriausybės
2013 m. liepos 24 d. nutarimu Nr. 716
valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo IR ELEKTRONINĖS INFORMACIJOS SVARBOS NUSTATYMO gairIŲ APRAŠAS
I. BENDROSIOS NUOSTATOS
1. Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašas (toliau – Aprašas) reglamentuoja valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų klasifikavimą pagal juose tvarkomos elektroninės informacijos svarbą ir elektroninės informacijos svarbos nustatymą.
2. Apraše vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (Žin., 2011, Nr. 163-7739), Lietuvos Respublikos Vyriausybės patvirtintame Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Lietuvos Respublikos įstatymuose ir kituose teisės aktuose.
II. ELEKTRONINĖS INFORMACIJOS SVARBOS NUSTATYMAS
3. Elektroninės informacijos svarba nustatoma pagal elektroninės informacijos konfidencialumo, vientisumo ir (ar) prieinamumo praradimo neigiamą įtaką valstybės, valstybės institucijos, valstybės įstaigos, valstybės įmonės, viešosios įstaigos, steigiančios, kuriančios ir (arba) tvarkančios valstybės registrus, žinybinius registrus, valstybės informacines sistemas ir kitas informacines sistemas, finansuojamos iš Lietuvos Respublikos valstybės biudžeto, Valstybinio socialinio draudimo fondo biudžeto, Privalomojo sveikatos draudimo fondo biudžeto ir kitų valstybės pinigų fondų ir Lietuvos Respublikos viešojo administravimo įstatymo (Žin., 1999, Nr. 60-1945; 2006, Nr. 77-2975) nustatyta tvarka įgaliotos atlikti viešąjį administravimą, valstybės ir savivaldybių įmonių, savivaldybių įstaigų ir viešųjų įstaigų, kuriančių kitas informacinių technologijų priemones, kuriomis apdorojama informacija, valdoma valstybės ir savivaldybių įmonių, savivaldybių įstaigų ir viešųjų įstaigų, atliekančių teisės aktų joms nustatytas funkcijas, jeigu išlaidos, patirtos kuriant tokias informacinių technologijų priemones, finansuojamos iš Lietuvos Respublikos valstybės biudžeto, Valstybinio socialinio draudimo fondo biudžeto, Privalomojo sveikatos draudimo fondo biudžeto ar kitų valstybės pinigų fondų arba apdorojant informaciją informacinių technologijų priemonėmis per valstybės informacinių sistemų ar registrų sąveiką reikia gauti duomenis iš valstybės informacinių sistemų ir (arba) registrų (toliau – institucijos), veiklai ir elektroninės informacijos svarbą valstybei, kelioms institucijoms ar institucijai.
4. Elektroninė informacija pagal svarbą skirstoma į 4 kategorijas: ypatingos svarbos elektroninė informacija, svarbi elektroninė informacija, žinybinės svarbos elektroninė informacija ir kita elektroninė informacija:
4.1. Ypatingos svarbos elektroninė informacija – visai valstybei svarbi informacija, sudaranti ypatingos svarbos valstybės informacinius išteklius, jos konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali sukelti ypač sunkius padarinius visai valstybei, ir atitinkanti bent 2 iš šių kriterijų, tai yra jeigu dėl elektroninės informacijos saugumo pažeidimo gali kilti grėsmė įvykti procesams:
4.1.1. nuo kurių tiesiogiai priklauso Lietuvos Respublikos teritorijos gyventojų sveikata ir gyvybė;
4.1.4. kurie gali turėti sunkių padarinių Lietuvos ūkiui – sukelti žymų, daugiau kaip 5 procentų, metinio nacionalinio produkto sumažėjimą ar kitus sunkius padarinius;
4.1.6. kurie gali sukelti valstybės tarptautinių sutarčių ir įsipareigojimų pažeidimą, kurio pasekmių pašalinimas sukeltų didesnius kaip 5 000 000 litų nuostolius;
4.2. Svarbi elektroninė informacija – kelioms institucijoms svarbi informacija, sudaranti svarbius valstybės informacinius išteklius, jos konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti sunkių padarinių kelių institucijų veiklai, ir atitinkanti bent 2 iš šių kriterijų, tai yra jeigu dėl elektroninės informacijos saugumo pažeidimo gali kilti grėsmė įvykti procesams, kurie:
4.2.4. gali sutrikdyti kelių institucijų veiklą ar viešųjų paslaugų teikimą daugiau kaip vienai dienai;
4.2.5. kelioms institucijoms gali sukelti finansinius nuostolius, didesnius nei 1 000 000 litų, bet ne didesnius nei 5 000 000 litų;
4.2.6. gali sukelti kelių institucijų tarptautinių sutarčių ir įsipareigojimų pažeidimą, kurio pasekmių pašalinimas sukeltų didesnius nei 1 000 000 litų, bet ne didesnius nei 5 000 000 litų, nuostolius;
4.3. Žinybinės svarbos elektroninė informacija – vienai institucijai svarbi informacija, sudaranti žinybinės svarbos valstybės informacinius išteklius, jos konfidencialumo, vientisumo ir (ar) prieinamumo praradimas gali turėti neigiamą įtaką vienos institucijos veiklai, ir atitinkanti bent 2 iš šių kriterijų, jeigu dėl elektroninės informacijos saugumo pažeidimo gali kilti grėsmė įvykti procesams, kurie:
4.3.1. gali padaryti žalą vieno ar kelių fizinių ar juridinių asmenų teisėtiems interesams, taip pat ir asmens duomenų apsaugai;
III. valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų INFORMACINIŲ SISTEMŲ KATEGORIJŲ NUSTATYMAS
5. Valstybės registrai (kadastrai), žinybiniai registrai, valstybės informacinės sistemos ir kitos informacinės sistemos klasifikuojamos pagal kategorijas nuo pirmos (aukščiausioji kategorija) iki ketvirtos (žemiausioji kategorija) pagal jose apdorojamos informacijos svarbos kategoriją:
5.1. Pirmai kategorijai priskiriami pagrindiniai valstybės registrai, kiti valstybės registrai (kadastrai) ir valstybės informacinės sistemos, kuriuose apdorojama ypatingos svarbos elektroninė informacija.
5.2. Antrai kategorijai priskiriami valstybės registrai (kadastrai), valstybės informacinės sistemos, kuriuose apdorojama svarbi elektroninė informacija.
5.3. Trečiai kategorijai priskiriami žinybiniai registrai, valstybės informacinės sistemos, kuriuose apdorojama žinybinės svarbos elektroninė informacija.
IV. BAIGIAMOSIOS NUOSTATOS
6. Valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų kategorija nurodoma valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų duomenų saugos nuostatuose.
7. Elektroninės informacijos svarbą vertina valstybės registro (kadastro), žinybinio registro, valstybės informacinės sistemos ir kitos informacinės sistemos valdytojas, vadovaudamasis Aprašo nuostatomis. Nustatyta elektroninės informacijos svarbos kategorija nurodoma valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų duomenų saugos nuostatuose.