VIEŠOJO VALDYMO AGENTŪROS
DIREKTORIUS
ĮSAKYMAS
DĖL VIEŠOJO VALDYMO AGENTŪROS TVARKOMŲ INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2024 m. rugpjūčio 27 d. Nr. V-115
Vilnius
Vadovaudamasi Lietuvos Respublikos kibernetinio saugumo įstatymo 11 straipsnio 1 dalies 5 punktu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 12, 19 ir 26 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 5.3 papunkčiu, Valstybės tarnautojų registro informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2024 m. gegužės 27 d. įsakymu Nr. 1V-348 „Dėl Valstybės tarnautojų registro informacinės sistemos pertvarkymo ir jos nuostatų patvirtinimo“, 51 punktu ir Valstybės tarnybos valdymo informacinės sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2024 m. birželio 21 d. įsakymu Nr. 1V-405 „Dėl Valstybės tarnybos valdymo informacinės sistemos pertvarkymo ir jos nuostatų patvirtinimo“, 35 punktu:
1. T v i r t i n u Viešojo valdymo agentūros tvarkomų informacinių sistemų duomenų saugos nuostatus (pridedama).
2. N u s t a t a u, kad per tris mėnesius nuo šio įsakymo įsigaliojimo dienos Viešojo valdymo agentūros direktoriaus įsakymu bus paskirti Viešojo valdymo agentūros tvarkomų informacinių sistemų saugos įgaliotinis ir administratorius (-iai).
3. P a v e d u:
3.1. Viešojo valdymo agentūros Informacinių sistemų skyriui ne vėliau kaip per 5 darbo dienas nuo saugos įgaliotinio paskyrimo pateikti jo duomenis į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą (ARSIS);
4. S k i r i u Viešojo valdymo agentūros Informacinių sistemų skyrių atsakingu už informacinių sistemų kibernetinio saugumo organizavimą ir užtikrinimą.
PATVIRTINTA
Viešojo valdymo agentūros direktoriaus
2024 m. rugpjūčio 27 d. įsakymu Nr. V-115
VIEŠOJO VALDYMO AGENTŪROS TVARKOMŲ INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Viešojo valdymo agentūros tvarkomų informacinių sistemų duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Valstybės tarnautojų registro informacinės sistemos (toliau – VTRIS) ir Valstybės tarnybos valdymo informacinės sistemos (toliau – VATIS) (toliau kartu – IS) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – saugos politika), nustato organizacinius ir techninius reikalavimus, reikalavimus personalui ir supažindinimo su saugos dokumentais principus.
2. Saugos politika įgyvendinama pagal Viešojo valdymo agentūros direktoriaus tvirtinamus IS saugos politiką įgyvendinančius dokumentus: saugaus elektroninės informacijos tvarkymo taisykles, naudotojų administravimo taisykles, veiklos tęstinumo valdymo planą (toliau – saugos politiką įgyvendinantys dokumentai).
3. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), vartojamas sąvokas.
4. IS elektroninės informacijos sauga – tai elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas.
5. IS elektroninės informacijos saugos ir kibernetinio saugumo (toliau – elektroninės informacijos sauga) užtikrinimo tikslai:
5.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo, taip pat nuo bet kokio kito neteisėto tvarkymo;
6. IS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
7. IS elektroninės informacijos saugai užtikrinti kompleksiškai naudojamos organizacinės, techninės ir programinės priemonės.
8. Saugos nuostatų reikalavimai taikomi:
8.2. pagrindiniam VTRIS ir VATIS tvarkytojui (toliau – pagrindinis IS tvarkytojas) – Viešojo valdymo agentūrai, Šventaragio g. 2, Vilnius;
8.3. kitiems VTRIS ir VATIS tvarkytojams, nurodytiems Valstybės tarnautojų registro informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2024 m. gegužės 27 d. įsakymu Nr. 1V-348 „Dėl Valstybės tarnautojų registro informacinės sistemos pertvarkymo ir jos nuostatų patvirtinimo“, (toliau – VTRIS nuostatai) ir Valstybės tarnybos valdymo informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2024 m. birželio 21 d. įsakymu Nr. 1V-405 „Dėl Valstybės tarnybos valdymo informacinės sistemos pertvarkymo ir jos nuostatų patvirtinimo“, (toliau – VATIS nuostatai);
10. IS valdytojas apibrėžia jo valdomų duomenų valdymo principų, standartų, tvarkos aprašų, organizacinių priemonių, gerosios praktikos metodų ir priemonių visumą, kuri leistų užtikrinti valdomų duomenų teisingumą, tikslumą, prieinamumą, konfidencialumą ir vientisumą.
11. IS naudotojai, tvarkantys duomenis, informaciją, dokumentus ir (arba) jų kopijas, privalo įsipareigoti saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir nutraukus su duomenų, informacijos, dokumentų ir (arba) jų kopijų tvarkymu susijusią veiklą.
12. Paslaugų, susijusių su IS, teikėjai privalo įsipareigoti saugoti duomenų ir informacijos paslaptį bei pasirašyti konfidencialumo pasižadėjimą. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir pasibaigus paslaugų teikimo laikui ar nutraukus šią veiklą.
13. IS valdytojas atlieka Valstybės informacinių išteklių valdymo įstatyme, Kibernetinio saugumo įstatyme, Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, VTRIS ir VATIS nuostatuose nustatytas funkcijas.
14. Pagrindinis IS tvarkytojas atlieka VTRIS nuostatuose ir VATIS nuostatuose nustatytas funkcijas, o taip pat:
14.3. užtikrina tinkamą Saugos nuostatų, saugos politiką įgyvendinančių dokumentų, kitų dokumentų, susijusių su elektroninės informacijos sauga, įgyvendinimą;
14.4. planuoja ir įgyvendina priemones, mažinančias duomenų atskleidimo ir praradimo riziką bei užtikrinančias prarastų duomenų atkūrimą ir duomenų apsaugą nuo klastojimo;
14.7. vykdo kibernetinio saugumo organizavimo ir užtikrinimo funkcijas, nustatytas Kibernetinio saugumo įstatyme, Kibernetinio saugumo reikalavimų apraše ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose;
15. Kiti IS tvarkytojai atlieka šias funkcijas:
15.1. užtikrina tinkamą Saugos nuostatų, saugos politiką įgyvendinančių dokumentų, kitų teisės aktų, susijusių su elektroninės informacijos sauga, įgyvendinimą;
15.2. užtikrina tvarkytojo įstaigos IS naudotojų darbo vietose naudojamų administracinių, techninių ir programinių priemonių, užtikrinančių elektroninės informacijos saugą, diegimo koordinavimą ir priežiūrą;
15.3. pagal kompetenciją valdo IS kompiuterinių darbo vietų saugos incidentus, informuoja apie juos pagrindinį IS tvarkytoją, saugos įgaliotinį ir kitas atsakingas institucijas, šalina šiuos incidentus;
16. IS tvarkytojai užtikrina tvarkytojo įstaigoje tvarkomos elektroninės informacijos saugą. IS tvarkytojų vadovai atsako už reikiamų organizacinių ir techninių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.
17. Saugos įgaliotinis:
17.2. supažindina su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir atsakomybe už juose nustatytų reikalavimų nesilaikymą IS naudotojus;
17.5. teikia pasiūlymus Viešojo valdymo agentūros direktoriui dėl:
17.6. teikia administratoriui (-ams), prireikus ir kitiems IS tvarkytojų darbuotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos politikos įgyvendinimu;
17.7. kasmet organizuoja administratoriaus (-ių), naudotojų saugos mokymus, reguliariai primena saugos problemas, teikia konsultacijas ir rekomendacijas (elektroniniu paštu, telefonu ir kt. būdais), prireikus rengia atmintines;
19. Administratorius (-iai) atlieka funkcijas, susijusias su IS naudotojų administravimu, IS komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo sistemomis, elektroninės informacijos perdavimu tinklais, bylų serveriais ir kitais), šių IS komponentų sąranka, IS pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena, reagavimu į saugos incidentus ir jų valdymu.
20. Administratorius (-iai):
20.2. atlieka IS naudotojų administravimo funkcijas (IS naudotojų registravimas ir išregistravimas, prieigos teisių suteikimas ir panaikinimas, IS naudotojų duomenų tvarkymas, klasifikatorių tvarkymas, registracijos žurnalų įrašų analizė ir kt.);
20.3. atlieka funkcijas, susijusias su IS komponentais, šių IS komponentų sąranka:
20.3.10. kuria ir administruoja tarnybinių stočių naudotojų registracijos į tarnybines stotis duomenis;
20.3.13. diegia tarnybinių stočių programinės įrangos atnaujinimus, laikydamasis IS pokyčių tvarkos, nustatytos IS valdytojo tvirtinamame IS pokyčių tvarkos apraše;
20.3.17. diegia duomenų bazių programinės įrangos atnaujinimus, laikydamasis IS pokyčių tvarkos, nustatytos IS valdytojo tvirtinamame IS pokyčių tvarkos apraše;
21. Administratorius (-iai) privalo vykdyti visus saugos įgaliotinio nurodymus ir pavedimus dėl IS elektroninės informacijos saugos užtikrinimo, pagal kompetenciją reaguoti į saugos incidentus, juos valdyti, ir nuolat teikti saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.
22. Teisės aktai, kuriais vadovaujantis tvarkoma IS elektroninė informacija ir užtikrinama jos sauga:
22.4. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
24. IS saugos priemonės parenkamos įvertinus galimus rizikos veiksnius elektroninės informacijos vientisumui, konfidencialumui ir prieinamumui.
25. Pagrindinės IS rizikos mažinimo priemonės išdėstomos rizikos įvertinimo ataskaitoje, kurią kasmet ne vėliau nei iki spalio 1 dienos, o prireikus ir neeilinio rizikos įvertinimo ataskaitą iki pagrindinio IS tvarkytojo nurodytos datos rengia saugos įgaliotinis, įvertinęs galinčius turėti įtakos elektroninės informacijos saugai rizikos veiksnius, iš kurių svarbiausieji yra šie:
25.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
25.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis IS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);
25.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
26. Rizikos įvertinimo ataskaitos ir rizikos valdymo priemonių plano duomenis bei jų kopijas pagrindinis IS tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS) Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai) nustatyta tvarka.
28. Elektroninės informacijos saugos būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis IS elektroninės informacijos saugos priemonėmis, kurios pasirenkamos atsižvelgiant į elektroninės informacijos saugos būklės gerinimui skiriamus išteklius, vadovaujantis šiais principais:
28.2. elektroninės informacijos saugos priemonės diegimo kainos turi atitikti saugomos elektroninės informacijos vertę;
29. Atsižvelgiant į rizikos įvertinimo ataskaitą, IS valdytojas ar jo pavedimu – pagrindinis IS tvarkytojas prireikus tvirtina rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių, finansinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
30. Siekiant užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kasmet organizuojamas informacinių technologijų saugos reikalavimų atitikties vertinimas Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka.
31. Atlikus informacinių technologijų saugos reikalavimų atitikties vertinimą, parengiama atitikties vertinimo ataskaita. Atsižvelgiant į ataskaitą, IS valdytojas ar jo pavedimu – pagrindinis IS tvarkytojas prireikus tvirtina pastebėtų trūkumų šalinimo planą, kuriame numatomos trūkumų šalinimo priemonės, atsakingi vykdytojai, įgyvendinimo terminai, techninių, administracinių, finansinių ar kitų išteklių poreikis.
32. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano duomenis ir jų kopijas pagrindinis IS tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
33. Ne rečiau kaip kartą per trejus metus IS informacinių technologijų saugos reikalavimų atitikties vertinimą turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.
34. Informacinių technologijų saugos atitikties vertinimo metu, rizikos vertinimo metu arba atskirai yra organizuojamas pažeidžiamumų vertinimas, apimantis technologinių pažeidžiamumų paiešką (skenavimą) ir įsilaužimų testavimą. IS pažeidžiamumų valdymo tvarka:
34.1. periodiškai, ne rečiau kaip du kartus per metus, atliekama technologinių pažeidžiamumų paieška (skenavimas) (angl. vulnerability scanning). Pažeidžiamumų paieška (skenavimas) atliekama automatizuotais įrankiais, atsižvelgiant į tarptautiniu mastu pripažintas metodikas (pvz.: OWASP, CVE ir kt.) ir žinomų pažeidžiamumų sąrašus. Pažeidžiamumų paiešką (skenavimą) automatizuotais įrankiais atlieka pagrindinis IS tvarkytojas arba nepriklausomi, sertifikuoti specialistai. Atlikus pažeidžiamumų paiešką (skenavimą), parengiama ataskaita ir rekomendacijos. Esant galimybei, nustatyti pažeidžiamumai šalinami nedelsiant arba pagal poreikį parengiamas pažeidžiamumų šalinimo planas;
34.2. periodiškai, ne rečiau kaip kartą per trejus metus, atliekamas įsilaužimo testavimas (angl. penetration test). Įsilaužimo testavimą atlieka nepriklausomi, sertifikuoti specialistai. Įsilaužimo testavimo metodiką, atsižvelgdamas į nustatytus įsilaužimo testavimo tikslus, parenka testuotojas, suderinęs ją su pagrindiniu IS tvarkytoju. Atlikus įsilaužimo testavimą, parengiama ataskaita, kurioje nurodomi pavykę ir nepavykę įsilaužimo bandymai, nustatyti trūkumai bei rekomendacijos pavykusiems įsilaužimams užkardyti. Esant galimybei, nustatyti trūkumai šalinami nedelsiant arba pagal poreikį parengiamas nustatytų trūkumų šalinimo planas.
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
35. Programinės įrangos, skirtos IS apsaugoti nuo kenksmingosios programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
35.1. IS tarnybinėse stotyse ir kompiuterizuotose darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingąją programinę įrangą, kurios turi būti reguliariai atnaujinamos automatiniu būdu ne rečiau kaip kartą per 24 valandas;
36. Programinės įrangos, įdiegtos IS tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:
36.1. IS darbui turi būti naudojama tik legali ir patikrinta programinė įranga, įtraukta į leistinos programinės įrangos sąrašą. Leistinos programinės įrangos sąrašą tvirtina IS pagrindinis tvarkytojas. Kiti IS tvarkytojai gali patvirtinti leistinos programinės įrangos sąrašą savo ir pavaldžių institucijų kompiuterinėms darbo vietoms. IS pagrindinio tvarkytojo tvirtinamą leistinos programinės įrangos sąrašą rengia, peržiūri ir prireikus atnaujina pagrindinio IS tvarkytojo paskirtas atsakingas asmuo, suderinęs su saugos įgaliotiniu. Kito IS tvarkytojo tvirtinamą leistinos programinės įrangos sąrašą rengia, peržiūri ir prireikus atnaujina šio tvarkytojo paskirtas atsakingas asmuo, suderinęs su saugos įgaliotiniu;
37. IS turi būti naudojamos tik tarnybinės išorinės duomenų laikmenos (USB, CD/DVD ir kt.) bei kiti tarnybiniai įrenginiai, kurie yra išduoti tarnybinėms funkcijoms vykdyti.
38. IS kompiuterizuotose darbo vietose turi būti įdiegtos priemonės, leidžiančios riboti išorinių duomenų laikmenų (USB, CD/DVD ir kt.) naudojimą.
39. IS programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.
40. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:
40.1. kompiuterių tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis, DOS ir DDOS atakų prevencijai skirta įranga bei įsilaužimų aptikimo ir prevencijos įranga; ugniasienių sąranka (konfigūracijos duomenys) turi būti saugoma kartu su IS sąranka (konfigūracijos duomenimis) elektronine arba popierine forma;
40.2. visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingosios programinės įrangos;
41. IS naudojamų interneto svetainių (toliau – svetainės) saugos valdymo reikalavimai:
41.2. svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio IS tvarkytojo kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;
41.3. turi būti pakeistos numatytos prisijungimo prie svetainių turinio valdymo sistemos (TVS) ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) ir slaptažodžiai;
41.4. turi būti užtikrinama, kad prie svetainių TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;
42. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:
42.1. tiesioginė prieiga prie IS elektroninės informacijos suteikiama įgyvendinus IS naudotojų autentifikavimo priemones – šie naudotojai savo tapatybę patvirtina slaptažodžiu ar kita autentifikavimo priemone; tiesioginė prieiga prie IS užtikrinama automatiniu būdu ištisą parą darbo ir poilsio dienomis;
42.3. IS elektroninė informacija perduodama automatiniu būdu naudojant TCP/IP, HTTPS protokolus realiame laike (angl. „On-line“ režimu) arba asinchroniniu režimu pagal IS duomenų teikimo sutartis, kuriose nustatytos perduodamos elektroninės informacijos specifikacijos, kopijų skaičius, kitos elektroninės informacijos perdavimo sąlygos ir tvarka;
44. Visos IS naudotojų kompiuterizuotos darbo vietos turi būti valdomos naudojant centralizuoto valdymo priemones (pvz., katalogų tarnybą „Active direktory“).
45. IS naudotojų tarnybinėms funkcijoms vykdyti naudojamuose nešiojamuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas IS naudotojo tapatybės patvirtinimas ir elektroninės informacijos šifravimas.
46. IS naudotojams, kuriems atliekant tiesiogines pareigas būtina prisijungti iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie IS galimybė:
46.1. techninis nuotolinio prisijungimo sprendimas turi užtikrinti ne žemesnį nei vidiniam prisijungimui naudojamą saugumo lygį, t. y. turi būti naudojamos Saugos nuostatuose nurodytos priemonės ir elektroninės informacijos šifravimas naudojantis virtualiu privačiu tinklu (angl. virtual private network – VPN);
47. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
47.1. IS elektroninės informacijos kopijos turi būti daromos automatiškai kiekvieną dieną; prireikus jas atkurti turi teisę IS administratorius;
48. Turi būti užtikrintas saugos incidentų, įvykusių IS, registravimas, valdymas ir tyrimas Kibernetinių saugumo reikalavimų aprašo bei pagrindinio IS tvarkytojo patvirtintų kibernetinių incidentų valdymo plano ir IS veiklos tęstinumo valdymo plano nustatyta tvarka:
48.1. registruojami IS įvykę saugos incidentai ir nedelsiant į juos reaguojama, techninėmis ir programinėmis priemonėmis saugos incidentai valdomi, tiriami ir šalinami bei atkuriama sistemų veikla;
49. Ne rečiau kaip kartą per savaitę pagrindinis IS tvarkytojas atlieka IS naudotojų veiksmų audito įrašų analizę.
50. Ne rečiau kaip kartą per mėnesį turi būti atliekama ugniasienių užfiksuotų įvykių analizė ir pastebėtos neatitiktys saugumo reikalavimams nedelsiant šalinamos.
51. Ne rečiau kaip kartą per mėnesį turi būti įvertinami kibernetiniam saugumui užtikrinti naudojamų priemonių programiniai atnaujinimai, klaidų taisymai ir šie atnaujinimai diegiami.
52. Perkant paslaugas, darbus ar įrangą, susijusius su IS, jų projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, patalpų priežiūra, elektroninės informacijos perdavimo tinklais, taip pat kitus, suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, ją apdoroti, saugoti, keistis elektronine informacija ar tiekti informacinių technologijų infrastruktūros komponentus, pirkimo dokumentuose iš anksto turi būti nustatyta, kad paslaugų teikėjas, darbų vykdytojas ar techninės ir programinės įrangos tiekėjas (toliau – paslaugų teikėjas) privalo laikytis IS saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį nustatytiems elektroninės informacijos saugos reikalavimams.
53. Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant šią sutartį, išskyrus tiek, kiek būtina sutarties vykdymui, o taip pat nenaudoti konfidencialios informacijos asmeniniams ar trečiųjų asmenų poreikiams laikantis principo, kad visa paslaugų teikėjui suteikta informacija (įskaitant IS tvarkomą elektroninę informaciją) yra konfidenciali, nebent raštu patvirtinama, kad tam tikra pateikta informacija nėra konfidenciali.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
54. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų saugos reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, tobulinti kvalifikaciją elektroninės informacijos saugos srityje.
55. Saugos įgaliotiniu, administratoriumi negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.
56. Administratorius privalo išmanyti pagrindinius elektroninės informacijos saugos ir saugaus darbo su duomenų perdavimo tinklais principus, atsižvelgiant į vykdomas funkcijas atitinkamai turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą bei saugą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų bei saugos incidentų diagnostiką ir šalinimą, turėti sisteminių programinių priemonių (Windows, Unix, Oracle) administravimo ir priežiūros patirties.
57. Administratorius ir naudotojai turi būti susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais, pagal kompetenciją ir kitais teisės aktais bei standartais, reglamentuojančiais elektroninės informacijos saugą.
58. Naudotojai, atliekantys tarnybines funkcijas, susijusias su asmens duomenų tvarkymu bei teikimu, pasirašytinai supažindinami su asmens duomenų tvarkymą ir apsaugą reglamentuojančiais teisės aktais ir atsakomybe už jų pažeidimą bei raštu įpareigojami saugoti asmens duomenų paslaptį. Asmens duomenų paslaptį jie privalo saugoti ir pasibaigus darbo (tarnybos) santykiams, per visą asmens duomenų teisinės apsaugos laiką, jeigu Asmens duomenų teisinės apsaugos įstatymas nenumato ko kita.
59. Naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai administratoriui ar saugos įgaliotiniui.
60. IS naudotojai privalo:
60.1. laikytis informacijos saugos reikalavimų, nustatytų Saugos nuostatuose, saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose informacijos saugą, kibernetinį saugumą ir asmens duomenų apsaugą;
60.2. saugoti duomenų ir informacijos paslaptį, kaip tai reglamentuota Valstybės informacinių išteklių valdymo įstatyme, Asmens duomenų teisinės apsaugos įstatyme ir Reglamente (ES) 2016/679;
60.3. pasirašyti konfidencialumo pasižadėjimą ir laikytis konfidencialumo įsipareigojimų, kurie galioja visą darbo laiką, perėjus dirbti į kitas pareigas ir nutraukus ar pasibaigus valstybės tarnybos, darbo ar sutartiniams santykiams;
60.4. turėti pagrindinių saugaus darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti saugiai tvarkyti elektroninę informaciją, saugiai naudotis kompiuterine įranga, mobiliaisiais įrenginiais, tarnybiniu elektroniniu paštu, internetu, kitais tarnybiniais ištekliais;
60.5. nuolat kelti kvalifikaciją saugaus elektroninės informacijos tvarkymo, kibernetinio saugumo, asmens duomenų apsaugos kursuose, mokymuose, seminaruose;
60.6. nedelsiant pranešti apie pastebėtus galimus ar įvykusius informacijos saugos incidentus, įtartiną veiklą administratoriui arba saugos įgaliotiniui;
60.8. saugoti savo slaptažodį, kitus prisijungimo prie IS duomenis ir priemones, neatskleisti slaptažodžio kitiems asmenims;
60.9. įtarę, kad prisijungimo prie IS slaptažodis galėjo būti atskleistas kitam asmeniui, praradę ar kitaip netekę slaptažodžio, nedelsdami informuoti administratorių; nurodytais atvejais slaptažodis turi būti pakeistas Naudotojų administravimo taisyklių, patvirtintų Viešojo valdymo agentūros direktoriaus įsakymu, nustatyta tvarka.
61. IS naudotojams draudžiama:
61.1. atskleisti IS duomenis ar suteikti kitokią galimybę bet kokia forma su jais susipažinti tokios teisės neturintiems asmenims;
61.2. savavališkai diegti IS taikomosios programinės įrangos pakeitimus ir naujas versijas neturint tam suteiktos teisės;
61.3. atskleisti kitiems asmenims prisijungimo prie IS vardą, slaptažodį ar kitaip sudaryti sąlygas jais pasinaudoti;
61.4. naudoti IS duomenis kitokiais nei jų nuostatuose nurodytais tikslais bei savo pareigybės aprašyme nustatytų funkcijų vykdymo tikslais;
61.5. sudaryti sąlygas pasinaudoti IS tvarkyti naudojama technine ir programine įranga tokios teisės neturintiems asmenims (paliekant darbo vietą būtina užrakinti darbalaukį arba išjungti darbo stotį);
61.6. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti, sunaikinti ar atskleisti IS duomenys, taip pat neatlikti būtinų veiksmų, kurie apsaugo IS duomenis;
61.7. savavališkai prijungti prie IS kompiuterizuotų darbo vietų išorines duomenų laikmenas ar įrenginius, išskyrus nurodytus Saugos nuostatų 37 punkte;
62. IS naudotojams ne rečiau kaip kartą per kalendorinius metus turi būti rengiami elektroninės informacijos saugos mokymai, įvairiais būdais primenama apie saugos problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.). Saugos mokymai organizuojami periodiškai, mokymus organizuoja saugos įgaliotinis arba duomenų apsaugos pareigūnas pagal kompetenciją.
V SKYRIUS
IS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
63. Tvarkyti IS elektroninę informaciją gali tik IS naudotojai, susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugą, taip pat atsakomybe už saugos dokumentų nuostatų pažeidimus, ir sutikę laikytis saugos dokumentuose nustatytų reikalavimų. Pakartotinis supažindinimas yra vykdomas pasikeitus minėtiems dokumentams ir teisės aktams.
64. IS naudotojų supažindinimą su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais pagal kompetenciją organizuoja saugos įgaliotinis.
65. IS naudotojai su Saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais bei atsakomybe už jų reikalavimų nesilaikymą supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą (jungiantis prie IS per naudotojo sąsają, ar pan.).
66. Saugos nuostatai ir saugos politiką įgyvendinantys dokumentai turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per kalendorinius metus. Saugos nuostatai ir saugos politiką įgyvendinantys dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos veiksnių analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Saugos įgaliotinis yra atsakingas, kad IS naudotojai būtų informuoti apie jų pakeitimą ir (ar) pripažinimą netekusiais galios.
67. Patvirtintų Saugos nuostatų, saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas pagrindinis IS tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.