LIETUVOS RESPUBLIKOS APLINKOS MINISTRO

HERB21

LIETUVOS RESPUBLIKOS APLINKOS MINISTRAS

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS APLINKOS MINISTERIJOS VALDOMŲ IR VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO TVARKOMŲ LIETUVOS RESPUBLIKOS NEKILNOJAMOJO TURTO KADASTRO IR LIETUVOS RESPUBLIKOS MIŠKŲ VALSTYBĖS KADASTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2024 m. lapkričio 8 d. Nr. D1-379

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 12, 19, 26 ir 31 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 6 punktu:

1. T v i r t i n u Lietuvos Respublikos aplinkos ministerijos valdomų ir valstybės įmonės Registrų centro tvarkomų Lietuvos Respublikos nekilnojamojo turto kadastro ir Lietuvos Respublikos miškų valstybės kadastro duomenų saugos nuostatus (pridedama).

2. P a v e d u valstybės įmonės Registrų centrui:

2.1. paskirti Lietuvos Respublikos nekilnojamojo turto kadastro ir Lietuvos Respublikos miškų valstybės kadastro saugos įgaliotinį (įgaliotinius) ir administratorių (administratorius);

2.2. per 2 mėnesius nuo šio įsakymo įsigaliojimo parengti ir pateikti Lietuvos Respublikos aplinkos ministerijai Lietuvos Respublikos nekilnojamojo turto kadastro ir Lietuvos Respublikos miškų valstybės kadastro saugaus elektroninės informacijos tvarkymo taisyklių, veiklos tęstinumo valdymo plano ir naudotojų administravimo taisyklių projektus.

3. Pripažįstu netekusiu galios Lietuvos Respublikos aplinkos ministro 2014 m. gruodžio 31 d. įsakymą Nr. D1-1093 „Dėl Lietuvos Respublikos miškų valstybės kadastro duomenų saugos nuostatų patvirtinimo“.

Aplinkos ministras Simonas Gentvilas

PATVIRTINTA

Lietuvos Respublikos aplinkos ministro

2024 m. lapkričio 8 d. įsakymu Nr. D1-379

LIETUVOS RESPUBLIKOS APLINKOS MINISTERIJOS VALDOMŲ IR VALSTYBĖS ĮMONĖS REGISTRŲ CENTRO TVARKOMŲ LIETUVOS RESPUBLIKOS NEKILNOJAMOJO TURTO KADASTRO IR LIETUVOS RESPUBLIKOS MIŠKŲ VALSTYBĖS KADASTRO DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos Respublikos aplinkos ministerijos valdomų ir valstybės įmonės Registrų centro tvarkomų Lietuvos Respublikos nekilnojamojo turto kadastro ir Lietuvos Respublikos miškų valstybės kadastro duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato Lietuvos Respublikos aplinkos ministerijos valdomų ir valstybės įmonės Registrų centro tvarkomų Lietuvos Respublikos nekilnojamojo turto kadastro ir Lietuvos Respublikos miškų valstybės kadastro (toliau – Informacinės sistemos) elektroninės informacijos saugos ir kibernetinio saugumo (toliau kartu – elektroninės informacijos sauga) politiką.

2. Elektroninės informacijos saugos politika įgyvendinama pagal aplinkos ministro tvirtinamus Informacinių sistemų elektroninės informacijos saugos politiką įgyvendinančius dokumentus: saugaus elektroninės informacijos tvarkymo taisykles, Informacinių sistemų naudotojų administravimo taisykles, Informacinių sistemų veiklos tęstinumo valdymo planą (toliau kartu – saugos dokumentai).

3. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas).

4. Saugos nuostatai yra vieši ir skelbiami Teisės aktų registre.

5. Saugos nuostatų 2 punkte nurodytų saugos politiką įgyvendinančių dokumentų naudojimas yra ribojamas. Informacinių sistemų naudotojams, šioms sistemoms funkcionuoti reikalingų paslaugų teikėjams ir kitiems tretiesiems asmenims suteikiama teisė susipažinti su saugos politiką įgyvendinančiais dokumentais Saugos nuostatų V skyriuje nustatyta tvarka, vadovaujantis būtinumo žinoti principu.

6. Saugos nuostatai taikomi:

6.1. Aplinkos ministerijai (Vilnius, A. Jakšto g. 4, LT-01105) – Informacinių sistemų ir jose tvarkomų duomenų valdytojai (toliau – Informacinių sistemų valdytojas);

6.2. Registrų centrui (Vilnius, Studentų g. 39, LT-08106) – Informacinių sistemų ir jose tvarkomų duomenų tvarkytojui (toliau – Informacinių sistemų tvarkytojas);

6.3. Informacinių sistemų saugos įgaliotiniui (įgaliotiniams) (toliau – saugos įgaliotinis), Informacinių sistemų administratoriui (administratoriams) (toliau – administratoriai), Informacinių sistemų naudotojams ir Informacinėms sistemoms funkcionuoti reikalingų paslaugų teikėjams.

7. Elektroninės informacijos saugos užtikrinimo tikslai:

7.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti Informacinių sistemų elektroninę informaciją;

7.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

7.3. vykdyti elektroninės informacijos saugos ir kibernetinių incidentų, asmens duomenų saugumo pažeidimų prevenciją, reaguoti į šiuos incidentus ir juos operatyviai suvaldyti.

8. Elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

8.1. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

8.2. Informacinėse sistemose tvarkomų asmens duomenų apsauga;

8.3. Informacinių sistemų veiklos tęstinumo užtikrinimas;

8.4. Informacinių sistemų rizikos valdymas;

8.5. Informacinių sistemų naudotojų mokymas elektroninės informacijos ir asmens duomenų saugos klausimais;

8.6. organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų elektroninės informacijos saugai užtikrinti, įgyvendinimas ir kontrolė.

9. Už elektroninės informacijos saugą pagal kompetenciją atsako Informacinių sistemų valdytojas ir Informacinių sistemų tvarkytojas.

10. Informacinių sistemų valdytojas atsako už elektroninės informacijos saugos politikos formavimą, jos įgyvendinimo organizavimą ir priežiūrą, elektroninės informacijos tvarkymo teisėtumą.

11. Informacinių sistemų tvarkytojas atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir saugos dokumentuose nustatyta tvarka.

12. Informacinių sistemų valdytojas atlieka šias funkcijas:

12.1. tvirtina Saugos nuostatus, saugos dokumentus ir kitus teisės aktus, susijusius su elektroninės informacijos sauga;

12.2. koordinuoja Informacinių sistemų tvarkytojo darbą įgyvendinant elektroninės informacijos ir asmens duomenų saugos reikalavimus;

12.3. atlieka elektroninės informacijos saugos reikalavimų laikymosi priežiūrą ir kontrolę;

12.4. nagrinėja Informacinių sistemų tvarkytojo pasiūlymus dėl elektroninės informacijos saugos priemonių tobulinimo ir priima sprendimus dėl šių pasiūlymų;

12.5. prireikus tvirtina Informacinių sistemų rizikos vertinimo ir jos valdymo priemonių planą bei informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą;

12.6. atlieka kitas Saugos nuostatuose, saugos dokumentuose ir kituose teisės aktuose, reguliuojančiuose elektroninės informacijos saugą, Informacinių sistemų valdytojui nustatytas funkcijas;

12.7. skiria saugos įgaliotinius ir administratorius arba paveda juos paskirti Informacinių sistemų tvarkytojui.

13. Informacinių sistemų tvarkytojas atlieka šias funkcijas:

13.1. užtikrina tinkamą Saugos nuostatuose, saugos dokumentuose ir kituose Informacinių sistemų valdytojo priimtuose teisės aktuose, susijusiuose su elektroninės informacijos sauga, nustatytų reikalavimų įgyvendinimą;

13.2. teikia Informacinių sistemų valdytojui pasiūlymus dėl informacinių sistemų elektroninės informacijos saugos priemonių tobulinimo;

13.3. užtikrina Informacinių sistemų elektroninės informacijos saugą;

13.4. pagal kompetenciją reaguoja į Informacinių sistemų elektroninės informacijos saugos incidentus ir juos valdo. Jei nustato arba gauna iš administratorių arba Informacinių sistemų naudotojų informaciją, kad incidentas turi asmens duomenų saugumo pažeidimo, kaip jis suprantamas pagal Reglamentą (ES) 2016/679, požymių – nedelsdamas informuoja Informacinių sistemų valdytojo duomenų apsaugos pareigūną;

13.5. teikia Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos (toliau – Nacionalinis kibernetinio saugumo centras) techninę informaciją, reikalingą informacinių sistemų kibernetiniam saugumui įvertinti, šio centro reikalavimu nurodytais formatais ir terminais arba savo iniciatyva;

13.6. organizuoja ir atlieka Informacinių sistemų rizikos ir informacinių technologijų saugos atitikties vertinimą Saugos nuostatų, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas) ir Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, (toliau – Saugos atitikties vertinimo metodika) nustatyta tvarka;

13.7. rengia Informacinių sistemų rizikos vertinimo ir jos valdymo priemonių planą bei informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą;

13.8. Informacinių sistemų valdytojo pavedimu skiria saugos įgaliotinį ir administratorius;

13.9. atlieka kitas Saugos nuostatuose, saugos dokumentuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos ir asmens duomenų saugą, Informacinių sistemų tvarkytojui nustatytas funkcijas.

14. Saugos įgaliotinis atlieka šias funkcijas:

14.1. teikia pasiūlymus dėl Saugos nuostatų ir (ar) saugos dokumentų priėmimo ir keitimo;

14.2. rengia Saugos nuostatų, saugos dokumentų ir kitų teisės aktų, susijusių su elektroninės informacijos sauga, projektus ir teikia juos Informacinių sistemų valdytojui tvirtinti;

14.3. koordinuoja ir prižiūri elektroninės informacijos saugos politikos įgyvendinimą;

14.4. koordinuoja elektroninės informacijos saugos incidentų tyrimą ir bendradarbiauja su kompetentingoms institucijoms, tiriančiomis elektroninių ryšių tinklų, elektroninės informacijos saugos incidentus, neteisėtas veikas, susijusias su šiais incidentais, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

14.5. teikia Informacinių sistemų tvarkytojo vadovui pasiūlymus dėl administratorių paskyrimo ir reikalavimų jiems nustatymo;

14.6. teikia Informacinių sistemų tvarkytojo vadovui pasiūlymus dėl informacinių technologijų saugos atitikties bei rizikos vertinimo;

14.7. organizuoja rizikos ir informacinių technologijų saugos atitikties vertinimą;

14.8. teikia administratoriams, Informacinių sistemų naudotojams ir kitiems Informacinių sistemų valdytojo ir Informacinių sistemų tvarkytojo darbuotojams privalomus vykdyti nurodymus ir pavedimus, jeigu tai būtina elektroninės informacijos saugos politikai įgyvendinti;

14.9. organizuoja Informacinių sistemų naudotojams mokymus elektroninės informacijos ir asmens duomenų saugos klausimais, reguliariai informuoja juos apie elektroninės informacijos saugos problemas, teikia jiems ir administratoriams konsultacijas ir rekomendacijas šios saugos klausimais;

14.10. supažindina su Saugos nuostatais, saugos dokumentais ir atsakomybe už juose nustatytų reikalavimų nesilaikymą informacinių sistemų, kurių saugos įgaliotiniu jis yra paskirtas, naudotojus;

14.11. atlieka Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše nustatytas už kibernetinio saugumo organizavimą ir užtikrinimą atsakingo asmens funkcijas;

14.12. atlieka kitas Saugos nuostatuose, saugos dokumentuose, Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir kituose teisės aktuose, reguliuojančiuose elektroninės informacijos saugą, nustatytas saugos įgaliotinio funkcijas.

15. Saugos įgaliotinis negali atlikti administratorių funkcijų.

16. Administratoriai pagal atliekamas funkcijas skirstomi į šias grupes:

16.1. Informacinių sistemų naudotojų administratoriai, kurie atlieka funkcijas, susijusias su Informacinių sistemų naudotojų teisių valdymu;

16.2. komponentų administratoriai, kurie atlieka funkcijas, susijusias su Informacinių sistemų komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazėmis ir jų valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimo aptikimo ir prevencijos sistemomis, elektroninės informacijos perdavimo tinklais, duomenų saugyklomis, bylų serveriais ir kita technine ir programine įranga, reikalinga Informacinėms sistemoms funkcionuoti ir tvarkomos elektroninės informacijos saugai bei Informacinių sistemų komponentų sąrankai užtikrinti);

16.3. saugos administratoriai, kurie atlieka funkcijas, susijusias su Informacinių sistemų pažeidžiamumo nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena.

17. Administratoriai privalo vykdyti saugos įgaliotinio nurodymus ir pavedimus dėl elektroninės informacijos saugos užtikrinimo, pagal kompetenciją reaguoti į elektroninės informacijos saugos incidentus (įskaitant asmens duomenų apsaugos pažeidimus, kaip jie suprantami pagal Reglamentą (ES) 2016/679) ir nuolat teikti saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę. Jei elektroninės informacijos saugos incidentas turi asmens duomenų apsaugos pažeidimo, kaip jis suprantamas pagal Reglamentą (ES) 2016/679, požymių, administratoriai privalo nedelsdami informuoti apie jį Informacinių sistemų tvarkytojo duomenų apsaugos pareigūną.

18. Saugos nuostatų 14 punkte nurodytas funkcijas gali atlikti vienas administratorius. Saugos įgaliotinis ir administratoriai gali būti skiriami keliems Informacinių sistemų posistemiams, funkciškai savarankiškoms sudedamosioms dalims ar tam tikroms saugos įgaliotinio ir administratoriaus funkcijoms atlikti. Jeigu saugos įgaliotinis ir administratoriai skiriami atskirai kiekvienam tvarkomam Informacinių sistemų posistemiui, funkciškai savarankiškoms sudedamosioms dalims ar tam tikroms saugos įgaliotinio ir administratoriaus funkcijoms atlikti, teisės akte, kuriuo jie skiriami, turi būti aiškiai nurodyta, kokiam Informacinių sistemų posistemiui, funkciškai savarankiškoms sudedamosioms dalims ar kurioms saugos įgaliotinio ir administratoriaus funkcijoms atlikti paskiriamas konkretus saugos įgaliotinis ir administratorius. Taip pat šiuo teisės aktu turi būti pavesta vienam iš saugos įgaliotinių ir administratorių koordinuoti šių saugos įgaliotinių ir administratorių veiklą.

19. Teisės aktai, kuriais vadovaujamasi tvarkant Informacinių sistemų elektroninę informaciją ir užtikrinant elektroninės informacijos saugą:

19.1. Reglamentas (ES) 2016/679;

19.2. Kibernetinio saugumo įstatymas;

19.3. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

19.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

19.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

19.6. Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2023 m. liepos 19 d. nutarimu Nr. 576 „Dėl Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašo patvirtinimo“;

19.7. Valstybės informacinių išteklių svarbos vertinimo metodika, patvirtinta Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. liepos 19 d. įsakymu Nr. 4-418 „Dėl Valstybės informacinių išteklių svarbos vertinimo metodikos patvirtinimo“;

19.8. Saugos atitikties vertinimo metodika;

19.9. Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas;

19.10. Techninių ir organizacinių reikalavimų, taikomų valstybiniams duomenų centrams ir Lietuvos Respublikoje ar kitose Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (ar) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esantiems duomenų centrams, kuriuose laikomi valstybės informaciniai ištekliai, aprašas, patvirtintas Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. gegužės 10 d. įsakymu Nr. 4-249 „Dėl Techninių ir organizacinių reikalavimų, taikomų valstybiniams duomenų centrams ir Lietuvos Respublikoje ar kitose Europos Sąjungos valstybėse narėse, Europos ekonominės erdvės valstybėse ir (ar) Šiaurės Atlanto Sutarties Organizacijos (NATO) valstybėse narėse esantiems duomenų centrams, kuriuose laikomi valstybės informaciniai ištekliai, aprašo ir Valstybinių duomenų centrų sąrašo patvirtinimo“;

19.11. Lietuvos standartai LST ISO/IEC 27001 „Informacijos saugumas, kibernetinis saugumas ir privatumo apsauga. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir LST ISO/IEC 27002 „Informacijos saugumas, kibernetinis saugumas ir privatumo apsauga. Informacijos saugumo kontrolės priemonės“;

19.12. kiti naujausi Lietuvos ir tarptautiniai grupės „Informacijos saugumas, kibernetinis saugumas ir privatumo apsauga“ standartai, reglamentuojantys saugų elektroninės informacijos tvarkymą.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

20. Dėl Informacinėse sistemose tvarkomų visai valstybei svarbių duomenų Informacinės sistemos priskiriamos ypatingos svarbos valstybės informaciniams ištekliams.

21. Informacinių sistemų rizikos vertinimas organizuojamas taip:

21.1. Saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo technika“ standartus, kasmet organizuoja Informacinių sistemų rizikos vertinimą. Šis vertinimas gali būti atliekamas kartu su informacinių technologijų saugos atitikties vertinimu. Įvykus esminiams organizaciniams ar sisteminiams Informacinių sistemų pokyčiams, saugos įgaliotinis gali organizuoti neeilinį Informacinių sistemų rizikos vertinimą. Informacinių sistemų rizikos vertinimą rekomenduojama įtraukti į Informacinių sistemų tvarkytojų veiklos rizikos vertinimo procesus.

21.2. Organizuojant rizikos vertinimą turi būti paskirtas už rizikos vertinimą, rizikos vertinimo proceso priežiūrą ir nuolatinį tobulinimą atsakingas asmuo. Atsakingu asmeniu gali būti skiriamas Informacinių sistemų tvarkytojo darbuotojas arba gali būti sudaroma sutartis su rizikos vertinimo, rizikos vertinimo proceso priežiūros ir nuolatinio tobulinimo paslaugas teikiančiu subjektu; šio subjekto kvalifikacijai keliami reikalavimai nustatomi pirkimo dokumentuose.

21.3. Rizikos vertinimo metu turi būti:

21.3.1. nustatomos grėsmės ir pažeidžiamumai, galintys turėti įtakos Informacinių sistemų elektroninės informacijos saugai;

21.3.2. nustatomos galimos grėsmių ir pažeidžiamumų poveikio vykdomai veiklai sritys;

21.3.3. įvertinamos Informacinių sistemų pažeidimo grėsmių tikimybė ir pasekmės;

21.3.4. nustatomi rizikos vertinimo proceso reikalavimai, rizikos išdėstymo pagal prioritetus kriterijai ir priimtinas rizikos lygis;

21.3.5. nustatomas rizikos lygis ir įvertinamos identifikuotos grėsmių tikimybės, kurios išdėstomos prioriteto tvarka pagal svarbą, kuri nustatoma atsižvelgiant į atliktą rizikos vertinimą.

21.4. Informacinių sistemų rizikos vertinimo rezultatai išdėstomi rizikos vertinimo ataskaitoje, kuri pateikiama Informacinių sistemų valdytojo ir tvarkytojo vadovams. Ši ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Rizikos veiksniai ataskaitoje išdėstomi pagal prioritetus ir priimtiną rizikos lygį. Svarbiausi rizikos veiksniai yra šie:

21.4.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas šios informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais triktys, programinės įrangos klaidos, netinkamas veikimas ir kita);

21.4.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Informacinių sistemų elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugumo pažeidimai, vagystės ir kita);

21.4.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

21.5. Informacinių sistemų valdytojas ar jo įgaliotas Informacinių sistemų tvarkytojas, atsižvelgdamas į rizikos vertinimo ataskaitą, prireikus tvirtina rizikos vertinimo ir jos valdymo priemonių planą.

22. Informacinių sistemų informacinių technologijų saugos atitikties vertinimas turi būti:

22.1. atliekamas siekiant užtikrinti saugos dokumentuose nustatytų elektroninės informacijos saugos reikalavimų įgyvendinimo organizavimą ir kontrolę;

22.2. atliekamas ne rečiau kaip kartą per metus. Šį vertinimą ne rečiau kaip kartą per 3 metus turi atlikti nepriklausomi visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.

23. Rizikos vertinimo ataskaita ir prireikus pastebėtų trūkumų šalinimo planas pateikiami Informacinių sistemų valdytojo vadovui. Prireikus pastebėtų trūkumų šalinimo planą tvirtina, atsakingus vykdytojus paskiria ir šio plano įgyvendinimo terminus nustato Informacinių sistemų valdytojo vadovas.

24. Informacinių sistemų tvarkytojas rizikos vertinimo ataskaitos, informacinių technologijų saugos atitikties vertinimo ataskaitos, rizikos vertinimo ir jos valdymo priemonių plano ir pastebėtų trūkumų šalinimo plano kopijas ne vėliau kaip per 5 darbo dienas nuo šių dokumentų patvirtinimo dienos pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. nutarimu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

25. Atsižvelgiant į atlikto rizikos vertinimo rezultatus, taip pat jeigu atliekant Informacinių sistemų informacinių technologijų saugos atitikties vertinimą nustatoma kibernetinių incidentų valdymo ir šalinimo ar Informacinių sistemų tvarkytojo nepertraukiamos veiklos užtikrinimo trūkumų, tobulinamas Informacinių sistemų veiklos tęstinumo valdymo planas ir (arba) Kibernetinių incidentų valdymo planas. Šių planų veiksmingumo išbandymo rezultatai išdėstomi Informacinių sistemų veiklos tęstinumo plano valdymo veiksmingumo išbandymo ir pastebėtų trūkumų ataskaitose, kurių kopijos ne vėliau kaip per 5 darbo dienas nuo šių dokumentų patvirtinimo dienos pateikiamos Nacionaliniam kibernetinio saugumo centrui.

26. Elektroninės informacijos saugos būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis elektroninės informacijos saugos priemonėmis. Jos parenkamos atsižvelgus į Informacinių sistemų valdytojo skiriamas lėšas, vadovaujantis šiais principais:

26.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

26.2. priemonės diegimo kaina turi atitikti tvarkomos elektroninės informacijos vertę;

26.3. turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos priemonės, atsižvelgiant į jų efektyvumą ir taikymo tikslingumą.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

27. Organizaciniai ir techniniai elektroninės informacijos saugos reikalavimai nustatomi pagal Saugos nuostatų 18 punkte nurodytas valstybės informacinių išteklių rūšis (svarbumą) ir vadovaujantis Saugos nuostatų 17 punkte nurodytais teisės aktais bei Valstybinės duomenų apsaugos inspekcijos interneto svetainėje skelbiamomis Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gairėmis duomenų valdytojams ir duomenų tvarkytojams.

28. Kibernetinio saugumo priemonės, nurodytos saugos dokumentuose, remiantis Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo priedu, turi būti diegiamos atsižvelgiant į naujausius technikos laimėjimus, vadovaujantis gamintojo pateikta bent viena gerąja saugumo praktikos rekomendacija.

29. Organizacinių ir techninių elektroninės informacijos saugos priemonių užtikrinimas turi būti grindžiamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos elektroninės informacijos saugai, rizikos vertinimu, atsižvelgiant į naujausius technikos laimėjimus.

30. Pagrindiniai organizaciniai ir techniniai elektroninės informacijos saugos reikalavimai:

30.1. Turi būti naudojama ir operatyviai atnaujinama programinė įranga, skirta Informacinėms sistemoms apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamų elektroninių laiškų ir pan.). Šios programinės įrangos naudojimo ir atnaujinimo reikalavimai (ilgiausias leistinas programinės įrangos neatnaujinimo laikas ir kita) nustatomi Informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse.

30.2. Informacinių sistemų techninėje įrangoje ir vidinių Informacinių sistemų naudotojų kompiuteriuose turi būti diegiama tik legali programinė įranga. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo ir atnaujinimo reikalavimai nustatomi saugaus elektroninės informacijos tvarkymo taisyklėse.

30.3. Turi būti naudojama kompiuterių tinklo filtravimo įranga (užkardos, turinio kontrolės sistemos, įgaliotieji serveriai (angl. proxy) ir kita). Kompiuterių tinklo filtravimo įrangos naudojimo tvarka nustatoma saugaus elektroninės informacijos tvarkymo taisyklėse.

30.4. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, turi būti naudojamas šifravimas, virtualus privatus tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą (nuotolinio prisijungimo prie Informacinių sistemų būdai, protokolai, elektroninės informacijos keitimosi formatai, šifravimo, elektroninės informacijos kopijų skaičiaus reikalavimai, reikalavimai teikti ir (ar) gauti elektroninę informaciją automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas ir pan.), nustatomi saugaus elektroninės informacijos tvarkymo taisyklėse.

30.5. Stacionarius kompiuterius leidžiama naudoti tik Informacinių sistemų valdytojo ir Informacinių sistemų tvarkytojo patalpose. Nešiojamiesiems kompiuteriams, išnešamiems iš Informacinių sistemų valdytojo ar Informacinių sistemų tvarkytojo patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimas ir pan.).

31. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

31.1. Atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną informacinių sistemų neveikimo laikotarpį (angl. recovery time objective).

31.2. Atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos taip, kad Informacinių sistemų veiklos sutrikimo, elektroninės informacijos saugos incidento ar elektroninės informacijos vientisumo praradimo atvejais šių sistemų neveikimo laikotarpis nebūtų ilgesnis, nei teisės aktais nustatyta valstybės informacinių sistemų ištekliams, nurodytiems Saugos nuostatų 18 punkte, atsižvelgus į jų svarbumą.

31.3. Atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau, nei nustatyta saugaus elektroninės informacijos tvarkymo taisyklėse.

31.4. Elektroninė informacija atsarginėse elektroninės informacijos kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo atsarginių elektroninės informacijos kopijų) arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos.

31.5. Atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje kitose patalpose, nei yra informacinių sistemų tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate.

31.6. Patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas elektroninės informacijos saugos taisyklėse nustatyta tvarka.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

32. Informacinių sistemų naudotojų, saugos įgaliotinio ir administratorių kvalifikaciniai reikalavimai yra šie:

32.1. Informacinių sistemų naudotojai privalo turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti tvarkyti elektroninę informaciją, būti susipažinę su teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, informacinių sistemų elektroninės informacijos tvarkymą. Asmenys, tvarkantys duomenis ir informaciją, privalo saugoti jų paslaptį ir būti pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą. Pastebėję galimą pažeidimą (elektroninės informacijos saugos incidentą) ar neveikiančias duomenų saugos užtikrinimo priemones, Informacinių sistemų naudotojai privalo nedelsdami apie tai pranešti administratoriams arba saugos įgaliotiniui, jei incidentas turi asmens duomenų saugumo pažeidimo požymių – Informacinių sistemų tvarkytojo duomenų apsaugos pareigūnui.

32.2. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų, reguliuojančių elektroninės informacijos saugą, nuostatomis. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo šių ryšių tinklui veikti, už savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

32.3. Administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, mokėti užtikrinti Informacinių sistemų ir jose tvarkomos elektroninės informacijos saugą, administruoti ir prižiūrėti Informacinių sistemų komponentus (stebėti šių sistemų komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti informacinių sistemų komponentų nepertraukiamą funkcionavimą ir pan.).

33. Informacinių sistemų naudotojų mokymų planavimas ir organizavimas:

33.1. Saugos įgaliotinis periodiškai, ne rečiau kaip kartą per metus, inicijuoja, organizuoja ir koordinuoja Informacinių sistemų naudotojų mokymus elektroninės informacijos saugos klausimais, periodiškai informuodamas juos apie saugos problemas (pavyzdžiui, priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems informacinių sistemų naudotojams);

33.2. Mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas diegti technologijas (techninę ar programinę įrangą), informacinių sistemų naudotojų poreikius;

33.3. Mokymai gali būti vykdomi tiesiogiai (paskaitos, seminarai, konferencijos, kiti teminiai renginiai) ar nuotoliniu būdu (vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.).

34. Informacinių sistemų tvarkytojas užtikrina reikiamą saugos įgaliotinio, administratorių ir Informacinių sistemų naudotojų kvalifikacijos tobulinimą elektroninės informacijos saugos, asmens duomenų apsaugos mokymuose.

V SKYRIUS

INFORMACINIŲ SISTEMŲ naudotojų, administratorių ir kitų suinteresuotų šalių supažindinimo su saugos dokumentais principai

35. Informacinių sistemų naudotojų ir administratorių supažindinimą su saugos dokumentais ir atsakomybe už saugos dokumentų nuostatų pažeidimus organizuoja saugos įgaliotinis.

36. Supažindinimo su saugos dokumentais būdai turi būti pasirenkami atsižvelgiant į Informacinių sistemų specifiką (pavyzdžiui, organizacinių ir (ar) techninių priemonių, leidžiančių identifikuoti su saugos dokumentais susipažinusį asmenį ir užtikrinančių supažindinimo procedūros įrodomąją (teisinę) galią, panaudojimo galimybes). Asmenys su saugos dokumentais supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą. Informacinių sistemų funkcionavimą užtikrinančius paslaugų teikėjus su saugos dokumentais, atsakomybe už jų reikalavimų pažeidimus supažindina už minėtų paslaugų teikimo sutarties vykdymą atsakingas asmuo – Informacinių sistemų tvarkytojo atstovas.

37. Pakartotinai su saugos dokumentais Informacinių sistemų naudotojai, administratoriai ir kiti asmenys supažindinami tik iš esmės pasikeitus Informacinių sistemų ir (arba) elektroninės informacijos saugą reglamentuojantiems teisės aktams.

38. Tvarkyti Informacinių sistemų elektroninę informaciją gali tik Informacinių sistemų naudotojai, kurie yra susipažinę su saugos dokumentais ir sutikę laikytis jų reikalavimų.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

39. Saugos dokumentai turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos vertinimą ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems informacinių sistemų valdytojo pokyčiams. Persvarsčius (peržiūrėjus) saugos dokumentus, turi būti nustatoma, kuriuos iš juose nustatytų elektroninės informacijos saugos reikalavimų būtina atnaujinti ir (ar) įgyvendinti pirmiausia, siekiant užtikrinti informacinių sistemų saugą ir kibernetinį saugumą.

______________