HERBAS2

 

lietuvos respublikos krašto apsaugos
ministras

 

ĮSAKYMAS

DĖL KRAŠTO APSAUGOS MINISTRO 2018 M. VASARIO 7 D. ĮSAKYMO

NR. V-135 „DĖL SAUGAUS VALSTYBINIO DUOMENŲ PERDAVIMO TINKLO NUOSTATŲ PATVIRTINIMO“ PAKEITIMO 

 

2019 m. spalio 30 d. Nr. V-912

Vilnius

 

 

Pakeičiu Lietuvos Respublikos krašto apsaugos ministro 2018 m. vasario 7 d. įsakymą Nr. V-135 „Dėl Saugaus valstybinio duomenų perdavimo tinklo nuostatų patvirtinimo“ ir jį išdėstau nauja redakcija:

 

„Lietuvos Respublikos KRAŠTO APSAUGOS MINISTRAS

 

ĮSAKYMAS

DĖL saugiojo valstybinio duomenų perdavimo tinklo NUOSTATŲ PATVIRTINIMO 

 

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 432 straipsnio 4 dalimi ir atsižvelgdamas į Specialiųjų organizacinių ir techninių reikalavimų, taikomų Saugiajam valstybiniam duomenų perdavimo tinklui, juo teikiamoms paslaugoms bei prekių ir paslaugų Saugiajam valstybiniam duomenų perdavimo tinklui teikėjams, aprašo, patvirtinto Lietuvos Respublikos krašto apsaugos ministro 2019 m. liepos 2 d. įsakymu Nr. V-583 „Dėl Saugiojo valstybinio duomenų perdavimo tinklo veiklą užtikrinančių dokumentų patvirtinimo“, 5 punktą,

tvirtinu Saugiojo valstybinio duomenų perdavimo tinklo nuostatus (pridedama).“

 

 

 

Krašto apsaugos ministras                                                                                       Raimundas Karoblis

 

 

PATVIRTINTA

Lietuvos Respublikos krašto apsaugos ministro

2018 m. vasario 7 d. įsakymu Nr. V-135

(Lietuvos Respublikos krašto apsaugos

ministro 2019 m. spalio 30 d.

įsakymo Nr. V-912 redakcija)

 

 

saugiojo valstybinio duomenų perdavimo tinklo NUOSTATAI

 

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1Saugiojo valstybinio duomenų perdavimo tinklo nuostatai (toliau – Nuostatai) reglamentuoja Saugiojo valstybinio duomenų perdavimo tinklo (toliau – Saugusis tinklas) tikslus, uždavinius, funkcijas, organizacinę ir funkcinę struktūrą, reikalavimus duomenų saugai, tinklo finansavimo šaltinius.

2Nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos elektroninių ryšių įstatyme ir šiuos įstatymus įgyvendinančiuose teisės aktuose vartojamas sąvokas.

3.  Saugiojo tinklo steigimo pagrindas – Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas (2 straipsnio 13 dalis, 5 straipsnio 4 dalies 3 punktas, 432 straipsnis).

4.  Saugusis tinklas tvarkomas vadovaujantis:

4.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

4.2. Lietuvos Respublikos elektroninių ryšių įstatymu;

4.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

4.4. Lietuvos Respublikos kibernetinio saugumo įstatymu;

4.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas);

4.6. Prisijungimo prie Saugiojo valstybinio duomenų perdavimo tinklo, atsijungimo nuo jo ir elektroninių ryšių paslaugų teikimo šiuo tinklu tvarkos aprašu ir Specialiųjų organizacinių ir techninių reikalavimų, taikomų Saugiajam valstybiniam duomenų perdavimo tinklui, juo teikiamoms paslaugoms bei prekių ir paslaugų Saugiajam valstybiniam duomenų perdavimo tinklui teikėjams, aprašu, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2019 m. liepos 2 d. įsakymu Nr. V-583 „Dėl Saugiojo valstybinio duomenų perdavimo tinklo veiklą užtikrinančių dokumentų patvirtinimo“ (toliau – Saugiojo tinklo veiklą užtikrinantys dokumentai);

4.7. Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklėmis, patvirtintomis Lietuvos Respublikos krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymu Nr. V-1253 „Dėl asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Krašto apsaugos sistemoje taisyklių patvirtinimo“ (toliau – Asmens duomenų tvarkymo taisyklės);

4.8. 2015 m. sausio 21 d. sutartimi Nr. 314-111-K, pasirašyta tarp Europos Komisijos ir Lietuvos Respublikos Vyriausybės įgaliotos institucijos (toliau – Sutartis);

4.9. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Bendrasis duomenų apsaugos reglamentas).

5.  Saugiojo tinklo tikslas – sudaryti sąlygas Saugiojo tinklo naudotojams, nepriklausomai nuo viešųjų elektroninių ryšių tinklų, saugiai ir efektyviai keistis informacija tarpusavyje ir su Europos Sąjungos (toliau – ES) institucijomis, užtikrinant informacijos konfidencialumą, vientisumą ir prieinamumą.

6Saugiojo tinklo uždavinys – informacinių technologijų ir ryšių priemonėmis teikti elektroninių ryšių paslaugas pagal Saugiojo tinklo veiklą užtikrinančiuose dokumentuose nustatytus kiekybinius ir kokybinius rodiklius.

7.  Saugiojo tinklo funkcijos:

7.1. perduoti duomenis laidinėmis, radijo, optinėmis ar kitomis elektromagnetinėmis priemonėmis;

7.2. vykdyti duomenų perdavimą per elektroninių ryšių tinklą, skirtą saugiai pasikeisti informacija tarp ES institucijų, priklausančių Europos institucijų elektroninių ryšių sričiai, ir (ar) ES narių administracijų, priklausančių nacionalinių valstybių institucijų elektroninių ryšių sričiai (angl. Trans-European Services for Telematics between Administrations – TESTA; toliau – ES tinklas);

7.3. Saugiojo tinklo naudotojo vietiniam kompiuterių tinklui teikti prieigą prie Saugiojo tinklo ir viešųjų elektroninių ryšių tinklų;

7.4. teikti priemones perduodamų duomenų saugumui užtikrinti.  

8.  Asmens duomenų tvarkymo tikslas – Saugųjį tinklą administruojančių asmenų bei naudotojo kontaktinių asmenų tapatybės nustatymas, valdymas ir apskaita.

 

II SKYRIUS

ORGANIZACINĖ STRUKTŪRA

 

9.    Saugiojo tinklo valdytojas – Lietuvos Respublikos krašto apsaugos ministerija.

10.  Saugiojo tinklo tvarkytojas, asmens duomenų valdytojas bei tvarkytojas – biudžetinė įstaiga Kertinis valstybės telekomunikacijų centras.

11.  Saugiojo tinklo valdytojas turi teises ir pareigas, nurodytas Valstybės informacinių išteklių valdymo įstatyme ir Saugiojo tinklo veiklą užtikrinančiuose dokumentuose, bei atlieka šias papildomas funkcijas:

11.1.  užtikrina, kad Saugusis tinklas būtų tvarkomas laikantis Saugiojo tinklo veiklą užtikrinančiuose dokumentuose nustatytų reikalavimų;

11.2atlieka Saugiojo tinklo paslaugų teikimo priežiūrą;

11.3planuoja metinį Saugiojo tinklo biudžetą, kontroliuoja jo vykdymą.

12.     Saugiojo tinklo tvarkytojas turi teises ir pareigas, nurodytas Valstybės informacinių išteklių valdymo įstatyme, Saugiojo tinklo veiklą užtikrinančiuose dokumentuose ir Sutartyje, ir kaip asmens duomenų valdytojas ir tvarkytojas atlieka Bendrajame duomenų apsaugos reglamente bei Asmens duomenų tvarkymo taisyklėse, Kertinio valstybės telekomunikacijų centro asmens duomenų tvarkymo taisyklėse nustatytas asmens duomenų valdytojo ir tvarkytojo funkcijas, turi šiuose teisės aktuose nurodytas asmens duomenų valdytojo ir tvarkytojo teises ir pareigas. Papildomos Saugiojo tinklo tvarkytojo funkcijos:

12.1užtikrina, kad Saugiuoju tinklu nesinaudotų į Saugiojo tinklo naudotojų sąrašą neįtraukti subjektai;

12.2.  vertina Saugiojo tinklo plėtros poreikius ir teikia Saugiojo tinklo valdytojui pasiūlymus dėl Saugiojo tinklo plėtros projektų vykdymo, dėl efektyvesnio lėšų, skirtų Saugiajam tinklui, panaudojimo;

12.3.  dalyvauja planuojant metinį Saugiojo tinklo biudžetą;

12.4.  administruoja Saugiojo tinklo funkcinius elementus, užtikrina jų funkcinį suderinamumą;

12.5.  atlieka Saugiojo tinklo stebėseną – kaupia, apdoroja ir analizuoja informaciją, būtiną Saugiajam tinklui tvarkyti, saugai užtikrinti, reaguoja į aptiktus Saugiojo tinklo veiklos pažeidimus, trikdžius ir grėsmes, prognozuoja Saugiojo tinklo raidos tendencijas;

12.6.  rengia Saugiojo tinklo naudotojų prijungimo prie Saugiojo tinklo techninius projektus;

12.7.  užtikrina duomenų, kuriais keičiasi Saugiojo tinklo naudotojai, konfidencialumą, vientisumą ir nepakeičiamumą perdavimo metu.

13.  Saugiojo tinklo duomenų teikėjai:

13.1.  Saugiojo tinklo naudotojai, teikiantys Nuostatų 14.2 papunktyje nurodytus duomenis;

13.2.  institucijos, turinčios pareigą teikti duomenis ir (ar) informaciją Saugiajam tinklui.

 

III SKYRIUS

INFORMACINĖ STRUKTŪRA

 

14.  Saugiojo tinklo informacinę struktūrą sudaro:

14.1.    tinklo valdymo ir saugos duomenys:

14.1.1.   laiko žymų informacija;

14.1.2.   įrangos konfigūravimo duomenys;

14.1.3.   IP adresų sąrašas;

14.1.4.   skaitinių ir simbolinių kompiuterių adresų sąrašas;

14.1.5.   prieigų duomenys;

14.1.6.   kriptografinių raktų, sertifikatų duomenys;

14.1.7.   apsaugai nuo įsibrovimo skirti duomenys;

14.2.    Saugiojo tinklo naudotojų duomenys:

14.2.1.   pavadinimas;

14.2.2.   buveinės ir (arba) struktūrinio (-ių) padalinio (-ių), kuriame yra įrengta prieiga prie Saugiojo tinklo, adresas;

14.2.3.   naudotojo buveinės patalpų, kuriose yra įrengta prieiga prie Saugiojo tinklo ir sumontuota Saugiojo tinklo įranga, planas;

14.2.4.   buveinėje, kurioje yra įrengta prieiga prie Saugiojo tinklo, sumontuotos įrangos sąrašas;

14.2.5.   kontaktinio asmens duomenys: vardas, pavardė, telefono numeris, elektroninio pašto adresas, darbo vietos adresas, jei suteikiama teisė užsakyti, modifikuoti ar atsisakyti paslaugų, – teisę įrodantis dokumentas;

14.2.6.   patvirtinimas, ar naudotojo informacinių sistemų ir tinklų, jungiamų prie Saugiojo tinklo, saugumo politikos dokumentuose nurodyta informacija atitinka saugumo reikalavimus, keliamus Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše;

14.2.7.   teisę naudotis ES ir jos valstybių narių institucijų valdomais informaciniais ištekliais įrodantis dokumentas;

14.3.    Saugiojo tinklo įrangos duomenys:

14.3.1.   įrangos pavadinimas;

14.3.2.   identifikacinis numeris;

14.3.3.   sumontavimo vietos adresas;

14.3.4.   programinės įrangos, jei tokia įdiegta, versijos numeris;

14.3.5.   esamo konfigūravimo, jei tai numatyta, kopijos bylos numeris ir jos saugojimo vieta;

14.3.6.   ryšių, jei tokie yra, su kita Saugiojo tinklo įranga sąrašas;

14.3.7.   įrangos įsigijimo sutarties informacija – garantinis laikotarpis;

14.4.    paslaugų valdymo duomenys:

14.4.1.   paslaugų katalogas;

14.4.2.   prijungimo prie Saugiojo tinklo aktų registras ir duomenys, susiję su paslaugų kiekybiniais bei kokybiniais parametrais;

14.4.3.   įvykusių incidentų (įskaitant ir kibernetinio saugumo incidentus) valdymo duomenys;

14.4.4.   nustatytų problemų valdymo duomenys;

14.4.5.   vykdomų pokyčių valdymo duomenys;

14.4.6.   tiekėjų sutarčių duomenys: sutarties numeris, objektas, pagal sutartį įsigyjamų prekių ir (ar) paslaugų sąrašai, įsipareigojimų šalinti gedimus informacija;

14.5.    audito žurnalų duomenys:

14.5.1.   infrastruktūros elementų įjungimas, išjungimas ar perkrovimas;

14.5.2.   infrastruktūros naudotojų, administratoriaus prisijungimas (ir nesėkmingi bandymai prisijungti), atsijungimas;

14.5.3.   infrastruktūros naudotojų, administratorių teisių naudotis tinklo ištekliais pakeitimai;

14.5.4.   audito funkcijos įjungimas, išjungimas;

14.5.5.   audito įrašų trynimas, kūrimas ar keitimas;

14.5.6.   laiko ir (ar) datos pakeitimai;

14.5.7.   kiekviename audito duomenų įraše fiksuojama: įvykio data ir tikslus laikas, įvykio rūšis, pobūdis; infrastruktūros naudotojo, administratoriaus ir infrastruktūros įrenginio, susijusio su įvykiu, duomenys, įvykio rezultatas;

14.6.    Saugiojo tinklo tvarkytojo administruojančių asmenų asmens duomenys: vardas, pavardė, telefono numeris, elektroninio pašto adresas, darbo vietos adresas, administruojamos įrangos ir (ar) paslaugų sąrašas.

 

IV SKYRIUS

FUNKCInė struktūra

 

15.  Saugųjį tinklą sudaro šie funkciniai elementai:

15.1. Saugiojo tinklo kamieninė dalis;

15.2.  prieiga prie Saugiojo tinklo;

15.3.  prieiga prie ES tinklo;

15.4.  prieiga prie viešųjų elektroninių ryšių tinklų;

15.5.  paslaugų valdymo priemonės;

15.6.  saugumo užtikrinimo priemonės;

15.7.  administravimo priemonės.

16Saugiojo tinklo kamieninės dalies funkcija – teikti priemones Saugiojo tinklo naudotojams keistis duomenimis tarpusavyje ir su ES institucijomis bei ES valstybių narių administracijomis, perduodant signalus laidinėmis, radijo, optinėmis ar kitomis elektromagnetinėmis priemonėmis, teikti priemones elektroninių ryšių tinklų, naudojamų vykdant valstybines mobilizacines užduotis, dalims sujungti.

17Prieigos prie Saugiojo tinklo funkcija – teikti priemones Saugiojo tinklo naudotojui prisijungti prie Saugiojo tinklo kamieninės dalies ir gauti Saugiojo tinklo paslaugas.

18Prieigos prie ES tinklo funkcija – teikti priemones Saugiojo tinklo naudotojui pasiekti ES tinklą ir naudotis ES institucijų bei ES valstybių narių administracijų valdomais informaciniais ištekliais.

19Prieigos prie viešųjų elektroninių ryšių tinklų funkcija – teikti priemones Saugiojo tinklo naudotojams naudotis viešaisiais elektroninių ryšių tinklais.

20Paslaugų valdymo priemonių funkcijos:

20.1.    teikti priemones teikiamoms paslaugoms administruoti;

20.2.    teikti priemones paslaugų kokybiniams ir kiekybiniams parametrams stebėti;

20.3.    teikti priemones incidentams, problemoms ir keitimams valdyti;

20.4.    teikti priemones paslaugų teikimo sąnaudoms stebėti.

21Saugumo užtikrinimo priemonių funkcijos:

21.1susieti asmens skaitmeninę tapatybę su elektroniniu kredencialu, naudojamu kaip įgaliojimas ar specialiųjų teisių turėjimo įrodymas;

21.2pagal pateiktus galiojančius kredencialus verifikuoti, ar naudotojo skaitmeninė tapatybė, į kurią pretenduojama, yra tikra (autentifikavimas);

21.3nustatyti asmeniui ar įrangai suteikiamas teises į fizinius ir loginius resursus (teisių valdymas);

21.4autorizuoti asmenį ar įrangą ir suteikti jiems prieigas atsižvelgiant į teisių nustatymo ir verifikavimo procesų rezultatus;

21.5administruoti skaitmeninius sertifikatus;

21.6identifikuoti, analizuoti, teikti ir kaupti informaciją apie piktavališkus veiksmus ir (ar) saugumo politikos pažeidimus, stabdyti piktavališkus veiksmus (įsibrovimų aptikimas ir prevencija);

21.7aptikti kenksmingą programinę įrangą (angl. Malware);

21.8šifruoti ir dešifruoti informaciją;

21.9nestabdant duomenų perdavimo proceso (apima kriptografinį saugumą, perdavimo saugumą, įrangos fizinį saugumą) užkardyti neteisėtą prisijungimą;

21.10kontroliuoti prisijungimą prie tinklo (tinklo galinių taškų saugumo ir autentifikavimosi aspektais), įskaitant operacinės sistemos taisymą (angl. OS patch level), antivirusinės programos atnaujinimą, naudotojų IP adresų srities kontrolę;

21.11administruoti ugniasienes, kontroliuojant programinės įrangos, paslaugos įeigą, išėjimą, prisijungimą prie tinklo ir atsijungimą nuo jo;

21.12administruoti kriptografines apsaugas.

22Administravimo priemonių funkcijos:

22.1fiksuoti įvykius, klaidas;

22.2teikti priemones tinklo veiklos problemoms analizuoti ir spręsti;

22.3stebėti paslaugų teikimo procesą;

22.4teikti priemones Saugiojo tinklo resursams valdyti;

22.5stebėti Saugiojo tinklo apkrovą;

22.6teikti priemones rizikoms ir saugos incidentams identifikuoti;

22.7teikti priemones saugumo įvykiams analizuoti ir šalinti;

22.8teikti priemones infrastruktūros resursams konfigūruoti ir aktyvuoti;

22.9teikti priemones Saugiojo tinklo infrastruktūros būklei stebėti, analizuoti, kontroliuoti ir, esant poreikiui, Saugiojo tinklo valdytojui informuoti;

22.10teikti priemones infrastruktūros resursams testuoti.

 

V SKYRIUS

DUOMENŲ SAUGA

 

23.  Už Saugiojo tinklo elektroninės informacijos saugą pagal kompetenciją atsako Saugiojo tinklo valdytojas ir Saugiojo tinklo tvarkytojas.

24.  Saugiojo tinklo sauga užtikrinama vadovaujantis Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, Saugiojo tinklo veiklą užtikrinančiais dokumentais, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.

25.  Elektroninio keitimosi duomenimis su ES ir valstybių narių administracijomis ir duomenų saugos užtikrinimo priemonės prieigos prie ES tinklo funkciniame elemente nustatomos Sutartyje.

26.  Duomenų saugojimo terminai:

26.1.  Nuostatų 14.1, 14.3 ir 14.4 papunkčiuose nurodyti duomenys, kurie yra būtini Saugiojo tinklo nuolatiniam veikimui, yra saugomi visą Saugiojo tinklo veikimo laiką;

26.2.  Nuostatų 14.2 papunktyje nurodyti duomenys saugomi 1 metus nuo išbraukimo iš Saugiojo tinklo naudotojų sąrašo;

26.3.  Nuostatų 14.5 papunktyje nurodyti duomenys saugomi 6 mėnesius;

26.4.  Nuostatų 14.6 papunktyje nurodyti duomenys saugomi Kertinio valstybės telekomunikacijų centro asmens duomenų tvarkymo taisyklių nustatytą laiką;

26.5.  pasibaigus duomenų saugojimo terminui, duomenys sunaikinami.

27.  Asmens duomenys tvarkomi ir duomenų subjekto teisės įgyvendinamos vadovaujantis Asmens duomenų tvarkymo taisyklėmis ir Kertinio valstybės telekomunikacijų centro asmens duomenų tvarkymo taisyklėmis.

 

VI SKYRIUS

MODERNIZAVIMAS IR LIKVIDAVIMAS

 

28.  Saugusis tinklas modernizuojamas pasikeitus teisės aktuose nustatytoms Saugiojo tinklo valdytojo ar Saugiojo tinklo tvarkytojo funkcijoms, kurioms vykdyti įsteigtas Saugusis tinklas, arba esant esminiams Saugiojo tinklo pokyčiams, reikalingiems įgyvendinant Saugiojo tinklo naudotojų poreikius.

29.  Saugusis tinklas likviduojamas pasikeitus ar išnykus Saugiojo tinklo steigimo pagrindui.

 

______________