LIETUVOS RESPUBLIKOS VALSTYBĖS KONTROLierius

 

įsakymas

DĖL Lietuvos respublikos valstybės kontrolės VALDOMŲ IR TVARKOMŲ informacinIŲ sistemŲ DUOMENŲ saugos nuostatų patvirtinimo

 

2024 m. spalio 4 d. Nr. VE-61

Vilnius

 

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, 7.1 papunkčiu ir 12 punktu, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 5.3 papunkčiu:

 

1.Tvirtinu Lietuvos Respublikos valstybės kontrolės valdomų ir tvarkomų informacinių sistemų duomenų saugos nuostatus (pridedama).

 

2. Pripažįstu netekusiu galios valstybės kontrolieriaus 2018 m. vasario 15 d. įsakymą Nr. V-78 „Dėl Lietuvos Respublikos valstybės kontrolės veiklos planavimo ir stebėsenos informacinės sistemos ir Lietuvos Respublikos valstybės kontrolės informacinės sistemos duomenų saugos nuostatų patvirtinimo“ su visais pakeitimais ir papildymais.

 

3. Nustatau, kad šis įsakymas įsigalioja 2025 m. sausio 1 d.

 

 

 

Valstybės kontrolierius                                                                        Mindaugas Macijauskas

 

 

 

 

SUDERINTA                                                      

 

Nacionalinio kibernetinio saugumo centro

 

prie Krašto apsaugos ministerijos

 

2024 m. rugpjūčio 26 d. raštu Nr. (4.1 E) 6K-606

 

 

 

PATVIRTINTA

Lietuvos Respublikos valstybės kontrolieriaus

2024 m. spalio 4 d. įsakymu Nr. VE-61

 

 

 

Lietuvos respublikos valstybės kontrolės

 

VALDOMŲ IR TVARKOMŲ informacinių sistemų DUOMENŲ SAUGOS NUOSTATAI

 

 

 

I SKYRIUS

 

BENDROSIOS NUOSTATOS

 

 

 

1.  Lietuvos Respublikos valstybės kontrolės valdomų ir tvarkomų informacinių sistemų duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos Respublikos valstybės kontrolės valdomų ir tvarkomų informacinių sistemų (toliau – VK IS), kurias sudaro veiklos planavimo ir stebėsenos informacinė sistema (toliau – ViS) ir informacinės sistemos, naudojamos vidaus administravimo funkcijoms atlikti, elektroninės informacijos saugos ir kibernetinio saugumo politiką (toliau – VK IS saugos politika), kurių tikslas – nustatyti ir įgyvendinti organizacines, administracines, technines ir kitas priemones, suteikiančias galimybę saugiai tvarkyti informacinių sistemų duomenis ir užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo netyčinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jos.

 

2VK IS saugos politiką nustato teisės aktai, patvirtinti valstybės kontrolieriaus 2018 m. vasario 15 d. įsakymu Nr. V-79 „Dėl Lietuvos Respublikos valstybės kontrolės informacinių sistemų saugos politiką įgyvendinančių dokumentų patvirtinimo“ (toliau – VK IS saugos politiką įgyvendinantys dokumentai):

 

2.1. VK IS saugaus elektroninės informacijos tvarkymo taisyklės;

 

2.2. VK IS naudotojų administravimo taisyklės;

 

2.3. VK IS veiklos tęstinumo valdymo planas.

 

3.  Saugos nuostatai kartu su VK IS saugos politiką įgyvendinamaisiais dokumentais sudaro VK IS saugos dokumentus (toliau – saugos dokumentai).

 

4.  Saugos nuostatai yra vieši ir skelbiami Teisės aktų registre.

 

5.  Saugos nuostatų 2 punkte nurodytų VK IS saugos politiką įgyvendinančių dokumentų naudojimas yra ribojamas. VK IS sistemų naudotojams ar šioms sistemoms funkcionuoti reikalingų paslaugų teikėjams ir kitiems tretiesiems asmenims suteikiama teisė susipažinti su saugos politiką įgyvendinančiais dokumentais Saugos nuostatų V skyriuje nustatyta tvarka, vadovaujantis būtinumo žinoti principu.

 

6.  Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Lietuvos Respublikos valstybės kontrolės veiklos planavimo ir stebėsenos informacinės sistemos nuostatuose, patvirtintuose valstybės kontrolieriaus
2013 m. kovo 15 d. įsakymu Nr. V-55 (toliau – ViS nuostatai).

 

7.  VK IS elektroninės informacijos saugos ir kibernetinio saugumo (toliau – elektroninės informacijos sauga) užtikrinimo tikslai yra šie:

 

7.1sudaryti sąlygas automatizuotomis priemonėmis saugiai tvarkyti elektroninę informaciją;

 

7.2užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

 

7.3vykdyti elektroninės informacijos saugos ir kibernetinių incidentų (toliau – saugos incidentai), asmens duomenų saugumo pažeidimų prevenciją, reaguoti į saugos incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai suvaldyti.

 

8.  VK IS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

 

8.1. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

 

8.2. asmens duomenų apsauga;

 

8.3. informacinių sistemų veiklos tęstinumo užtikrinimas;

 

8.4. prieigos prie informacinių sistemų kontrolė;

 

8.5. informacinių sistemų rizikos valdymas;

 

8.6. VK IS sistemas administruojančių, aptarnaujančių, naudojančių asmenų kvalifikacijos užtikrinimas.

 

9.  ViS ir informacinių sistemų, naudojamų Valstybės kontrolės vidaus administravimo funkcijoms atlikti, valdytoja, tvarkytoja ir asmens duomenų valdytoja yra Lietuvos Respublikos valstybės kontrolė, esanti adresu: Vinco Kudirkos g. 15, Vilnius (toliau – VK IS valdytojas ir tvarkytojas).

 

10.   ViS Valstybės kontrolės auditų rezultatų informacinės svetainės (toliau – ARIS) duomenų tvarkytojai apibrėžti ViS nuostatuose (toliau – ARIS duomenų tvarkytojai).

 

11.   Saugos nuostatai, valstybės kontrolieriaus įsakymu tvirtinami saugos politiką įgyvendinantys dokumentai (VK IS saugaus elektroninės informacijos tvarkymo taisyklės, VK IS naudotojų administravimo taisyklės ir VK IS veiklos tęstinumo valdymo planas) taikomi:

 

11.1.    VK IS valdytojui ir tvarkytojui ir jo darbuotojams, kurie naudoja VK IS paskirtoms funkcijoms vykdyti (toliau – VK IS naudotojai), ARIS duomenų tvarkytojams ir ARIS duomenų naudotojams (kaip jie apibrėžti ViS nuostatuose), VK IS saugos įgaliotiniui (toliau – saugos įgaliotinis), VK IS administratoriams ir asmeniui, atsakingam už VK IS kibernetinį saugumą (toliau – asmuo, atsakingas už kibernetinį saugumą);

 

11.2.    VK IS funkcionuoti reikalingų paslaugų teikėjams, kuriems suteikiami įgaliojimai tvarkyti VK IS elektroninę informaciją ir (ar) kuriems taikomi saugos dokumentų reikalavimai.

 

12.   VK IS valdytojas ir tvarkytojas atsako už elektroninės informacijos saugos politikos formavimą ir įgyvendinimą, priežiūrą ir tvarkymo teisėtumą ir saugą, atlieka šias funkcijas:

 

12.1.   užtikrina, kad elektroninė informacija būtų tvarkoma vadovaujantis Lietuvos Respublikos įstatymais, Saugos nuostatais ir kitais teisės aktais;

 

12.2tvirtina saugos dokumentus ir kitus teisės aktus, susijusius su elektroninės informacijos sauga;

 

12.3.   atlieka elektroninės informacijos saugos reikalavimų laikymosi priežiūrą ir kontrolę;

 

12.4.   nagrinėja pasiūlymus dėl elektroninės informacijos saugos priemonių tobulinimo ir priima dėl jų sprendimus;

 

12.5.   organizuoja ir atlieka informacinių sistemų rizikos ir informacinių technologijų saugos atitikties vertinimą Saugos nuostatų, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas) ir Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Saugos atitikties vertinimo metodika) nustatyta tvarka;

 

12.6.   tvirtina informacinių sistemų rizikos vertinimo ir jos valdymo priemonių planą bei informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą;

 

12.7.   pagal ARIS duomenų tvarkytojų prašymus suteikia jiems teisę administruoti ARIS;

 

12.8.   atlieka kitas Saugos nuostatuose ir kituose teisės aktuose, reguliuojančiuose elektroninės informacijos saugą, valstybės informacinių sistemų valdytojui ir tvarkytojui nustatytas funkcijas.

 

13.  ARIS duomenų tvarkytojai atlieka ViS nuostatuose nustatytas funkcijas, taip pat:

 

13.1.   tvarko ARIS elektroninę informaciją ir atsako už jos saugumą;

 

13.2.   skiria ARIS administratorių;

 

13.3.   vykdo ARIS naudotojų teisių valdymą;

 

13.4.   informuoja VK IS valdytoją ir tvarkytoją apie incidentus dėl ARIS tvarkomos elektroninės informacijos saugos;

 

13.5.   pagal kompetenciją įgyvendina administracines, technines ir organizacines saugos priemones, numatytas Saugos nuostatuose ir VK IS saugos politiką įgyvendinančiuose dokumentuose.

 

14.     Saugos įgaliotinis:

 

14.1.   teikia pasiūlymus valstybės kontrolieriui dėl:

 

14.1.1. saugos dokumentų priėmimo, keitimo ar panaikinimo;

 

14.1.2. administratoriaus (-ių) paskyrimo ir reikalavimų administratoriui (-iams) nustatymo.

 

14.2.   koordinuoja ir prižiūri elektroninės informacijos saugos politikos įgyvendinimą;

 

14.3.   koordinuoja elektroninės informacijos saugos incidentų tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, elektroninės informacijos saugumo incidentus, neteisėtas veikas, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

 

14.4.   informuoja valstybės kontrolierių ir teisės aktų nustatyta tvarka kompetentingas institucijas apie neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią VK IS saugą;

 

14.5.   teikia duomenis apie elektroninės informacijos saugos reikalavimų įgyvendinimą, kaip tai nustatyta Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatuose, patvirtintuose krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“;

 

14.6.   teikia administratoriams ir VK IS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

 

14.7.   ne rečiau kaip kartą per metus, jeigu teisės aktai nenustato kitaip, organizuoja ir atlieka VK IS rizikų vertinimą, prireikus – neeilinį VK IS rizikos vertinimą ir VK IS saugos atitikties vertinimą;

 

14.8.   periodiškai (atsižvelgiant į poreikį) organizuoja VK IS naudotojų mokymus elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir kt.);

 

14.9.   supažindina VK IS naudotojus ir administratorius su saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, ir atsakomybe už šių dokumentų reikalavimų nesilaikymą;

 

14.10. atlieka kitas VK IS duomenų saugos politiką įgyvendinamuose dokumentuose ir elektroninės informacijos saugą reglamentuojančiuose teisės aktuose, saugos dokumentuose, Bendrųjų elektroninės informacijos saugos reikalavimų apraše ar kituose teisės aktuose nustatytas saugos įgaliotinio funkcijas.

 

15.  Saugos įgaliotinis negali atlikti administratoriaus funkcijų.

 

16.  VK IS administratoriai pagal atliekamas funkcijas skirstomi į: pagrindinis informacinės sistemos administratorius (toliau – administratorius), ARIS administratorius, informacinių išteklių administratorius ir informacinių išteklių techninis administratorius.

 

17.   Administratorius:

 

17.1.   atsako už VK IS priskirtų komponentų administravimą, techninės ir programinės įrangos funkcionavimą, infrastruktūros ir informacinių technologijų paslaugų administravimą, tinkamą duomenų bazių valdymo sistemų veikimą;

 

17.2.   koordinuoja VK IS programinės ir kompiuterinės įrangos diegimo procesus;

 

17.3.   teikia pasiūlymus VK IS valdytojui ir tvarkytojui dėl VK IS komponentų kūrimo, techninio palaikymo, priežiūros ir informacijos saugos;

 

17.4.   reaguoja į VK IS elektroninės informacijos saugos incidentus, praneša apie juos saugos įgaliotiniui, teikia pasiūlymus dėl incidentų pašalinimo;

 

17.5.   užtikrina saugų elektroninės informacijos apdorojimo priemonių darbą: parenka ir diegia technines saugos priemones, užtikrina jų atitiktį Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų reikalavimams;

 

17.6.   saugo slaptažodžių, tapatybės kodų ar kitos elektroninės informacijos, leidžiančios naudojantis programinėmis ir techninėmis priemonėmis sužinoti tvarkomą elektroninę informaciją, konfidencialumą;

 

17.7.   ne rečiau kaip kartą per mėnesį peržiūri ViS ir šios sistemos naudotojų prisijungimų prie duomenų bazės (-ių) įrašų elektroninį žurnalą ir el. paštu teikia apibendrintą ataskaitą VK IS valdytojui ir tvarkytojui;

 

17.8.   ne rečiau kaip kartą per mėnesį atlieka užkardų užfiksuotų įvykių analizę ir šalina pastebėtas neatitiktis saugumo reikalavimams;

 

17.9.   ne rečiau kaip kartą per mėnesį įvertina kibernetiniam saugumui užtikrinti naudojamų priemonių programinius atnaujinimus, klaidų taisymus ir šiuos atnaujinimus diegia;

 

17.10. ne rečiau kaip kartą per metus ir (arba) po VK IS pokyčių patikrina (peržiūri) VK IS sąranką ir jos būsenos rodiklius;

 

17.11. atlieka kitas Saugos nuostatuose ir VK IS saugos politiką įgyvendinančiuose dokumentuose priskirtas funkcijas.

 

18.  ARIS administratorius:

 

18.1.   suteikia ir panaikina ARIS naudotojo prieigą bei teises ARIS duomenų naudotojams, įgaliotiems dirbti su ARIS;

 

18.2.   registruoja ARIS veikimo klaidas, vykdo registruotų klaidų taisymo būsenos stebėseną ir papildomos informacijos apie klaidas pateikimą laiku ir atlieka kitas su klaidų taisymu susijusias funkcijas;

 

18.3.   teikia pastabas bei pasiūlymus VK IS valdytojui ir tvarkytojui dėl ARIS naudojimo;

 

18.4.   atlieka kitas Saugos nuostatuose ir VK IS saugos politiką įgyvendinančiuose dokumentuose priskirtas funkcijas.

 

19.  Informacinių išteklių administratorius:

 

19.1.   suteikia ir panaikina VK IS naudotojams prieigą, reikalingą darbui su administruojama VK IS, posistemiu arba moduliu;

 

19.2.   įveda informaciją į administruojamą VK IS, posistemį ar modulį ir užtikrina, kad jo pagal kompetenciją tvarkoma informacija būtų teisinga;

 

19.3.   analizuoja administruojamų VK IS, jos posistemio arba modulio esamą situaciją ir teikia pasiūlymus dėl jų tobulinimo ar neatitikčių šalinimo VK IS valdytojui ir tvarkytojui;

 

19.4.   konsultuoja VK IS naudotojus ir moko dirbti su administruojama VK IS, jos posistemiu ar moduliu;

 

19.5.   atlieka kitas Saugos nuostatuose ir VK IS saugos politiką įgyvendinančiuose dokumentuose priskirtas funkcijas.

 

20.  Informacinių išteklių techninis administratorius:

 

20.1.   pagal kompetenciją užtikrina nepertraukiamą programinės įrangos veikimą VK IS, jos posistemyje ar modulyje;

 

20.2.   konsultuoja VK IS naudotojus VK IS, jos posistemio ar modulio programų informacijos apdorojimo ir kitais su VK IS, jos posistemiu ar moduliu susijusiais klausimais;

 

20.3.   atlieka kitas Saugos nuostatuose ir VK IS saugos politiką įgyvendinančiuose dokumentuose priskirtas funkcijas.

 

21.  Saugos įgaliotinis (-iai) ir administratorius (-iai) gali būti skiriami kelioms VK IS, posistemiams, funkciškai savarankiškoms sudedamosioms dalims ar tam tikroms saugos įgaliotinio ir administratoriaus funkcijoms atlikti. Jeigu skiriami saugos įgaliotiniai ir administratoriai kiekvienai tvarkomai informacinei sistemai, posistemiui, funkciškai savarankiškoms sudedamosioms dalims ar tam tikroms saugos įgaliotinio ir administratoriaus funkcijoms atlikti, teisės akte, kuriuo jie skiriami, turi būti aiškiai nurodyta, kokiai informacinei sistemai, posistemiui, funkciškai savarankiškoms sudedamosioms dalims ar kurioms saugos įgaliotinio ir administratoriaus funkcijoms atlikti paskiriamas konkretus saugos įgaliotinis ir administratorius. Taip pat šiuo teisės aktu turi būti pavesta vienam iš saugos įgaliotinių ir administratorių koordinuoti šių saugos įgaliotinių ir administratorių veiklą.

 

22.  Asmuo, atsakingas už kibernetinį saugumą, atlieka šias funkcijas:

 

22.1.   padeda įgyvendinti Lietuvos Respublikos kibernetinio saugumo įstatyme nustatytus reikalavimus kibernetinio saugumo subjektams;

 

22.2.   koordinuoja ir prižiūri kibernetinio saugumo politikos dokumentuose nustatytų reikalavimų įgyvendinimą;

 

22.3.   pagal kompetenciją dalyvauja tiriant ir (arba) valdant elektroninės informacijos saugos incidentus;

 

22.4.   atlieka kitas funkcijas, nurodytas kibernetinį saugumą reglamentuojančiuose teisės aktuose  ir VK IS duomenų saugos politiką įgyvendinamuose dokumentuose.

 

23.  Saugos įgaliotiniu ir asmeniu, atsakingu už kibernetinį saugumą, gali būti paskirtas tas pats asmuo.

 

24.  Teisės aktai, kuriais vadovaujamasi tvarkant VK IS elektroninę informaciją, užtikrinant jos saugą ir kibernetinį saugumą:

 

24.1.   2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) su visais pakeitimais;

 

24.2.   Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

 

24.3.   Lietuvos Respublikos kibernetinio saugumo įstatymas;

 

24.4.   Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

 

24.5.   Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

 

24.6.   Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2023 m. liepos 19 d. nutarimu Nr. 576 „Dėl Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašo patvirtinimo“ (toliau – Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašas);

 

24.7.   Valstybės informacinių išteklių svarbos vertinimo metodika, patvirtinta ekonomikos ir inovacijų ministro 2023 m. liepos 19 d. įsakymu Nr. 4-418 „Dėl Valstybės informacinių išteklių svarbos vertinimo metodikos patvirtinimo“ (toliau – Valstybės informacinių išteklių svarbos vertinimo metodika);

 

24.8.   Saugos atitikties vertinimo metodika;

 

24.9.   Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas;

 

24.10. kiti teisės aktai, reglamentuojantys duomenų tvarkymo teisėtumą, valstybės informacinių sistemų valdytojo ir tvarkytojo veiklą ir elektroninės informacijos saugos valdymą.

 

II SKYRIUS

 

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

25.  VK IS tvarkoma elektroninė informacija priskiriama šių rūšių valstybės informaciniams ištekliams:

 

25.1.   vidutinės svarbos valstybės informaciniams ištekliams – ViS ir Dokumentų valdymo sistemoje (DVS) tvarkoma elektroninė informacija;

 

25.2.   mažos svarbos valstybės informaciniams ištekliams – Personalo valdymo informacinėje sistemoje (KOPA) tvarkoma elektroninė informacija.

 

26.  Kitų Valstybės kontrolės valdomų ir tvarkomų vidaus administravimo funkcijoms atlikti informacinių sistemų svarba įvertinama pagal poreikį, vadovaujantis Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašu ir Valstybės informacinių išteklių svarbos vertinimo metodika.

 

27.  VK IS rizikos vertinimas organizuojamas taip:

 

27.1.   Saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo technika“ standartus, kasmet organizuoja informacinių sistemų rizikos vertinimą. Šis vertinimas atliekamas kartu su Valstybės kontrolėje atliekamu kasmetinių rizikų vertinimu, vadovaujantis Valstybės kontrolės veiklos rizikos valdymo metodika. Prireikus arba po esminių organizacinių ar sisteminių informacinių sistemų pokyčių saugos įgaliotinis gali organizuoti neeilinį informacinių sistemų rizikos vertinimą.

 

27.2.   Rizikos vertinimo metu turi būti:

 

27.2.1. nustatomos grėsmės ir pažeidžiamumai, galintys turėti įtakos informacinių sistemų elektroninės informacijos saugai;

 

27.2.2. nustatomos galimos grėsmių ir pažeidžiamumų poveikio vykdomai veiklai sritys;

 

27.2.3. įvertinamos informacinių sistemų pažeidimo grėsmių tikimybė ir pasekmės;

 

27.2.4. nustatomi rizikos vertinimo proceso reikalavimai, rizikos išdėstymo pagal prioritetus kriterijai ir priimtinas rizikos lygis;

 

27.2.5. nustatomas rizikos lygis ir įvertinamos identifikuotos grėsmių tikimybės, kurios išdėstomos prioriteto tvarka pagal svarbą, kuri nustatoma atsižvelgiant į atliktą rizikos vertinimą.

 

28.  VK IS rizikos vertinimo rezultatai įtraukiami į Informacinių technologijų valdymo proceso rizikos vertinimo rezultatus, juos išdėstant atsižvelgiant į rizikos veiksnių prioritetus ir priimtiną rizikos lygį. Svarbiausi rizikos veiksniai yra šie:

 

28.1.   subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

 

28.2.   subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

 

28.3.   veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

 

29.  Atsižvelgiant į rizikos vertinimo rezultatus, prireikus parengiamas VK IS rizikos vertinimo ir jos valdymo priemonių planas. Nustatytos rizikos aptariamos Valstybės kontrolės tarybos Palaikymo ir plėtros bei Strategijos ir stebėsenos komitetuose. VK IS rizikos valdymo priemonės įtraukiamos į bendrą Valstybės kontrolės veiklos rizikos valdymo planą, vadovaujantis Valstybės kontrolės veiklos rizikos valdymo metodika.

 

30.  VK IS saugos atitikties vertinimas turi būti:

 

30.1.   organizuojamas siekiant užtikrinti saugos dokumentuose nustatytų elektroninės informacijos saugos reikalavimų įgyvendinimo organizavimą ir kontrolę ir atliekamas, vadovaujantis informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

 

30.2.   atliekamas ne rečiau kaip kartą per metus, jeigu teisės aktai nenumato kitaip. Šį vertinimą vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 20 straipsniu ne rečiau kaip kartą per 7 metus turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.

 

31.  Atlikus VK IS saugos reikalavimų atitikties vertinimą, parengiama atitikties vertinimo ataskaita. Atsižvelgiant į ataskaitą, prireikus valstybės kontrolierius tvirtina pastebėtų trūkumų šalinimo planą, kuriame numatomos trūkumų šalinimo priemonės, atsakingi vykdytojai, įgyvendinimo terminai, techninių, administracinių, finansinių ar kitų išteklių poreikis.

 

32.  Saugos įgaliotinis rizikos vertinimo rezultatus, informacinių technologijų saugos atitikties vertinimo ataskaitos, rizikos vertinimo ir jos valdymo priemonių plano ir pastebėtų trūkumų šalinimo plano kopijas ne vėliau kaip per 5 darbo dienas nuo šių dokumentų patvirtinimo dienos pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų krašto apsaugos ministro 2018 m. gruodžio 11 d. nutarimu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.

 

33.  Atsižvelgiant į atlikto VK IS rizikos vertinimo rezultatus, taip pat jeigu atliekamų VK IS informacinių technologijų saugos atitikties vertinimo metu nustatoma kibernetinių incidentų valdymo ir šalinimo ar nepertraukiamos veiklos užtikrinimo trūkumų, atitinkamai turi būti tobulinamas VK IS veiklos tęstinumo valdymo planas ir (arba) VK IS kibernetinių ir elektroninės informacijos saugos incidentų valdymo planas. Šių planų veiksmingumo išbandymo rezultatai išdėstomi informacinių sistemų veiklos tęstinumo planų valdymo veiksmingumo išbandymo ir pastebėtų trūkumų ataskaitose, kurių kopijos ne vėliau kaip per 5 darbo dienas nuo šių dokumentų patvirtinimo dienos pateikiamos Nacionaliniam kibernetinio saugumo centrui.

 

34.  Elektroninės informacijos saugos būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis elektroninės informacijos saugos priemonėmis, vadovaujantis šiais principais:

 

34.1.   liekamoji rizika turi būti sumažinta iki priimtino lygio;

 

34.2.   priemonės diegimo kaina turi būti adekvati tvarkomos elektroninės informacijos vertei;

 

34.3.   turi būti įdiegtos prevencinės, aptinkančios ir korekcinės elektroninės informacijos saugos (kibernetinio saugumo) priemonės, atsižvelgiant į jų efektyvumą ir taikymo tikslingumą;

 

34.4.   nenutrūkstamas VK IS neveikimo laikas negali būti ilgesnis nei 16 valandų;

 

34.5.   turi būti užtikrintas VK IS pasiekiamumas ne mažiau 90 proc. laiko darbo metu darbo valandomis.

 

III SKYRIUS

 

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

35.  VK IS organizaciniai ir techniniai elektroninės informacijos saugos (kibernetinio saugumo) reikalavimai turi būti nustatyti taip, kad atitiktų VK IS svarbos kategoriją.

 

36.  Organizacinių ir techninių elektroninės informacijos saugos (kibernetinio saugumo) priemonių užtikrinimas turi būti grindžiamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos elektroninės informacijos saugai (kibernetiniam saugumui), rizikos vertinimu, atsižvelgiant į naujausius technikos pasiekimus.

 

37.  Turi būti atliekami periodiški, kartą metuose, VK IS infrastruktūros pažeidžiamumų patikrinimas. VK IS infrastruktūros pažeidžiamumo patikrinimą atlieka asmuo, atsakingas už kibernetinį saugumą, arba parinkti paslaugų teikėjai. Atlikus infrastruktūros pažeidžiamumo patikrinimą parengiama ataskaita ir parengiamas nustatytų trūkumų šalinimo planas, kurį tvirtina administracijos vadovas.

 

38.  Nustatomi šie VK IS naudojamos programinės įrangos bendrieji reikalavimai:

 

38.1.   naudojama programinė įranga turi atitikti programinės įrangos saugos gerąją praktiką, kuriant programinę įrangą taikomą saugos gerąją praktiką, programinės įrangos kūrimo struktūras, standartus;

 

38.2.   turi būti laikomasi duomenų saugą užtikrinančių programavimo standartų ir gerosios praktikos;

 

38.3.   programinės įrangos kūrimo, testavimo ir verifikacijos etapai turi vykti atsižvelgiant į pagrindinius saugos reikalavimus;

 

38.4.   prieš pradedant naudoti programinę įrangą, turi būti atliktas šios programinės įrangos pažeidžiamumo, pritaikomumo ir infrastruktūros atsparumo įvertinimas. Programinė įranga negali būti patvirtinta, kol nėra pasiektas reikiamas saugumo lygis.

 

39.  Metodai ir priemonės, kurios taikomos užtikrinant prieigą prie VK IS:

 

39.1.   VK IS naudotojai privalo turėti galimybę naudotis tik tokiomis teisėmis ir tais duomenimis, kurie jiems numatyti suteikus prieigos prie VK IS teises, įgyvendinant principą „būtina žinoti“;

 

39.2.   prieigos prie VK IS elektroninės informacijos teises suteikia, apriboja ar panaikina įgalioti VK IS administratoriai;

 

39.3.   VK IS priežiūros funkcijos turi būti atliekamos naudojant tam skirtą administratoriaus paskyrą, kuria naudojantis nebūtų galima atlikti VK IS naudotojo funkcijų;

 

39.4.   VK IS naudotojas turi būti unikaliai identifikuojamas – naudotojas turi patvirtinti savo tapatybę slaptažodžiu, naudotojui suteiktas pirminis slaptažodis turi būti pakeistas pirmo prisijungimo metu. Slaptažodžiai sudaromi, keičiami ir jų galiojimo trukmė nustatoma vadovaujantis saugos politiką įgyvendinančiais dokumentais (VK IS naudotojų administravimo taisyklėmis);

 

39.5.   teisė dirbti su konkrečia VK IS elektronine informacija suteikiama konkrečiam VK IS naudotojui;

 

39.6.   pasibaigus VK IS naudotojo darbo santykiams, teisė naudotis elektronine informacija turi būti automatiškai panaikinta. VK IS naudotojui prieiga prie VK IS turi būti ribojama ar sustabdoma, kai vyksta VK IS naudotojo veiklos tyrimas arba keičiasi jo atliekamos ir (arba) pareigybės aprašyme nustatytos funkcijos;

 

39.7.   baigus darbą, turi būti imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo VK IS, užrakinamas kompiuteris ar kitas įrenginys;

 

39.8.   VK IS naudotojui 15 min. neatliekant jokių veiksmų, VK IS turi užsirakinti, kad toliau naudotis VK IS būtų galima tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;

 

39.9.   prisijungimo prie kompiuterių tinklo laikas ir trukmė nėra ribojami, VK IS pasiekiamos visą parą.

 

40.  Programinės įrangos, skirtos VK IS ir kompiuterizuotas darbo vietas, įskaitant mobiliuosius įrenginius (toliau – KDV), apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

 

40.1.   VK IS ir KDV turi būti įdiegtos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės. Šių priemonių duomenų bazės reguliariai, bet ne rečiau kaip kas 24 valandas, turi būti automatiniu būdu atnaujinamos;

 

40.2.   VK IS naudotojų kompiuteriuose naudojama įranga, skirta KDV apsaugoti nuo kenksmingos programinės įrangos, turi apsaugoti ir elektroninio pašto programinę įrangą nuo nepageidaujamo pašto ar kenksmingų programų patekimo į KDV;

 

40.3.   atsiradus požymių, kad KDV yra kenksmingų programų, turi būti patikrinami visi KDV diskai, naudojama programinė įranga, skirta VK IS ir KDV apsaugoti nuo kenksmingos programinės įrangos;

 

40.4.   KDV esančios programinės įrangos, skirtos VK IS ir KDV apsaugoti nuo kenksmingos programinės įrangos, nustatymai turi būti parinkti pagal rekomenduojamus tokios programinės įrangos gamintojų reikalavimus arba pagal administratoriaus ar kitų institucijų rekomendacijas;

 

40.5.   programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu;

 

40.6.   kenksmingos programinės įrangos aptikimo priemonės turi automatiškai informuoti atsakinguosius darbuotojus apie tai, kuriose VK IS ar KDV ji netinkamai funkcionuoja, yra išjungta arba laiku neatsinaujina;

 

40.7.   kenksmingos programinės įrangos aptikimo priemonės turi veikti nuolat ir realiu laiku.

 

41.  Programinės įrangos, įdiegtos KDV ir tarnybinėse stotyse (VK IS), naudojimo nuostatos:

 

41.1.   VK IS ir KDV gali būti naudojama tik legali informacinės sistemos funkcijoms atlikti būtina programinė įranga;

 

41.2.   draudžiama diegti ir naudoti bet kokią programinę įrangą, keisti sistemos, kompiuterio ar programinės įrangos sistemų nustatymus. Programinę įrangą, reikalingą VK IS naudotojo funkcijoms atlikti, KDV diegia, atnaujina, kontroliuoja ir prižiūri administratorius. Kiti asmenys (paslaugų teikėjų specialistai) gali diegti programinę įrangą tik administratoriaus prižiūrimi;

 

41.3.   draudžiama diegti ir naudoti programinę įrangą, nesusijusią su VK IS valdytojo ir tvarkytojo veikla ar VK IS naudotojo atliekamomis funkcijomis (žaidimų, failų siuntimo, internetinių pokalbių programas ir kt.);

 

41.4.   naudojama programinė įranga, leidžianti atlikti VK IS naudojamų kompiuterių tinklų stebėseną ir užtikrinanti šių tinklų saugos prevencines priemones;

 

41.5.   programinė įranga yra nuolat atnaujinama laikantis gamintojo reikalavimų;

 

41.6.   VK IS, KDV programinė įranga, jos sertifikatai ir licencijos kasmet turi būti inventorizuojami.

 

42.  Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kitų pagrindinės naudojimo nuostatos:

 

42.1.   VK IS ir kompiuterių tinklas nuo viešųjų elektroninių ryšio tinklų turi būti atskirti užkardų bei įsilaužimų aptikimo ir prevencijos įranga. Užkardų įvykių žurnalai turi būti reguliariai analizuojami;

 

42.2.   VK IS programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), paslaugos trikdymo (angl. DOS), srautinių paslaugų trikdymo (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP) interneto svetainėje www.owasp.org;

 

42.3.   VK IS perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešame ryšių tinkle naršančių VK IS naudotojų kompiuterinę įrangą nuo kenksmingo kodo;

 

42.4.   gali būti naudojamos turinio filtravimo sistemos.

 

43.  Leistinos KDV naudojimo ribos ir metodai, kuriais leidžiama užtikrinti saugų VK IS duomenų teikimą ir (ar) gavimą:

 

43.1.   stacionarūs ir (arba) nešiojamieji VK IS naudotojų kompiuteriai ir kiti mobilieji įrenginiai turi būti naudojami tik VK IS naudotojo tiesioginėms funkcijoms atlikti;

 

43.2.   nešiojamuosiuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose turi būti taikomos papildomos saugos priemonės (kompiuterio įjungimo slaptažodis, papildomas naudotojo tapatybės patvirtinimas, elektroninės informacijos šifravimas, prisijungimų ribojimas ir pan.);

 

43.3.   VK IS naudotojai privalo naudotis visomis saugumo priemonėmis tam, kad apsaugotų nešiojamuosius kompiuterius ir kitus mobiliuosius įrenginius ar duomenų laikmenas nuo vagystės arba pažeidimo;

 

43.4.   iš kompiuterių, kurie perduodami paslaugų teikėjams remontuoti ar techninei priežiūrai atlikti, turi būti pašalinta visa elektroninė informacija arba išimti kietieji diskai (sisteminės duomenų laikmenos);

 

43.5.   jei prie VK IS prisijungiama nuotoliniu būdu, perduodamų duomenų konfidencialumas turi būti užtikrintas naudojant virtualų privatų tinklą (angl. Virtual Private Network, VPN) ir kitus duomenų šifravimo būdus (TLS (angl. Transport Layer Security), HTTPS (angl. Hypertext Transfer Protocol Secure) ar lygiaverčius;

 

43.6.   VK IS naudotojai išorinius įrenginius ir laikmenas prie KDV gali jungti ir naudoti tik tada, jei administratoriaus jiems tokią teisę suteikia.

 

44.  Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą (nuotolinio prisijungimo prie informacinių sistemų būdai, protokolai, elektroninės informacijos keitimosi formatai, šifravimo reikalavimai ir pan.) nustatomi VK IS saugaus elektroninės informacijos tvarkymo taisyklėse.

 

45.  Pagrindiniai VK IS atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

 

45.1.   atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną informacinių sistemų neveikimo laikotarpį (angl. recovery time objective);

 

45.2.   turi būti sudaromi VK IS elektroninės informacijos, kurių atsarginės kopijos daromos, sąrašai;

 

45.3.   atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokia apimtimi, kad VK IS veiklos sutrikimo, elektroninės informacijos saugos incidento ar elektroninės informacijos vientisumo praradimo atvejais šių sistemų neveikimo laikotarpis nebūtų ilgesnis nei teisės aktais nustatyta valstybės informacinių sistemų ištekliams ir nurodyta Saugos nuostatų 34.4 punkte, atsižvelgus į jų svarbumą;

 

45.4.   atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau, nei nustatyta VK IS saugaus elektroninės informacijos tvarkymo taisyklėse;

 

45.5.   VK IS duomenų atsarginės kopijos Valstybės informacinių išteklių valdymo įstatymo ir Vyriausybės nustatyta tvarka gali būti laikomos valstybiniame duomenų centre. Atsarginių kopijų darymo ir saugojimo sąlygos nustatomos su valstybiniu duomenų centru sudaromoje paslaugų teikimo sutartyje;

 

45.6.   periodiškai, bet ne rečiau kaip kartą per metus, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai. Testavimo eiga ir rezultatai įforminami kopijų darymo žurnale. Duomenų atkūrimo bandymą organizuoja administratorius;

 

45.7.   administratorius privalo turėti galimybę inicijuoti elektroninės informacijos atkūrimo iš rezervinės kopijos procedūrą pasirinktinai iš turimų rezervinių kopijų sąrašo. Atkūrus elektroninę informaciją privalo būti užtikrintas ir išlaikytas elektroninės informacijos vientisumas ir integralumas;

 

45.8.   už atsarginių kopijų darymą ir atkūrimą atsakingas administratorius.

 

IV SKYRIUS

 

REIKALAVIMAI PERSONALUI

 

46.  VK IS naudotojų, VK IS valdytojo ir tvarkytojo skiriamų saugos įgaliotinio, VK IS administratorių ir asmens, atsakingo už kibernetinį saugumą, kvalifikaciniai reikalavimai yra šie:

 

46.1.   visi VK IS naudotojai privalo turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti tvarkyti elektroninę informaciją, būti susipažinę su teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, informacinių sistemų elektroninės informacijos tvarkymą. Asmenys, tvarkantys duomenis ir informaciją, privalo saugoti jų paslaptį ir būti pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą;

 

46.2.   saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, tobulinti kvalifikaciją šios informacijos saugos srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų, reguliuojančių elektroninės informacijos saugą, nuostatomis;

 

46.3.   asmuo, atsakingas už kibernetinį saugumą, privalo išmanyti kibernetinio saugumo užtikrinimo principus, kiekvienais metais tobulinti kvalifikaciją kibernetinio saugumo srityje ir savo darbe vadovautis VK IS saugos dokumentais, Kibernetinio saugumo aprašu, Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais, reglamentuojančiais kibernetinį saugumą;

 

46.4.   saugos įgaliotiniu ir asmeniu, atsakingu už kibernetinį saugumą, negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą galiojančią administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo šių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo nuobaudos paskyrimo praėję mažiau kaip vieni metai;

 

46.5.   VK IS administratoriai pagal kompetenciją privalo gerai išmanyti kompiuterizuotos veiklos procesus, elektroninės informacijos saugos užtikrinimo metodus ir principus, žinoti tarnybinių stočių veikimo principus, būti susipažinęs su naudojamų duomenų bazių organizavimo principais, gebėti jas administruoti, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų bei saugos incidentų diagnostiką ir šalinimą.

 

47.  VK IS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias VK IS saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti administratoriui, o jo nesant – saugos įgaliotiniui. Jeigu saugos įgaliotinis nebuvo informuotas apie šiame punkte nurodytus pažeidimus, administratorius informuoja jį apie šiuos pažeidimus.

 

48.  VK IS naudotojų mokymų planavimas ir organizavimas:

 

48.1.   saugos įgaliotinis periodiškai, kartą į metus, inicijuoja, organizuoja ir koordinuoja VK IS naudotojų mokymus elektroninės informacijos saugos klausimais, periodiškai informuodamas juos apie šios saugos problemas (pavyzdžiui, priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems informacinių sistemų naudotojams);

 

48.2.   mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir jų būdai parenkami atsižvelgiant į šios informacijos saugos užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas diegti technologijas (techninę ar programinę įrangą), VK IS naudotojų poreikius;

 

48.3.   mokymai gali būti vykdomi tiesiogiai (paskaitos, seminarai, konferencijos, kiti teminiai renginiai) ar nuotoliniu būdu (vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.).

 

V SKYRIUS

 

INFORMACINĖS SISTEMOS NAUDOTOJŲ IR KITŲ SUBJEKTŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

49.  VK IS naudotojų ir kitų subjektų, kuriems taikomi saugos dokumentai, supažindinimą su saugos dokumentais ir atsakomybe už jų nuostatų pažeidimus organizuoja saugos įgaliotinis.

 

50.  VK IS funkcionavimą užtikrinančius paslaugų teikėjus su saugos dokumentais, atsakomybe už jų reikalavimų pažeidimus supažindina už sutarties vykdymą atsakingas asmuo.

 

51.  Supažindinimo su saugos dokumentais būdai gali būti pasirenkami atsižvelgiant į informacinių sistemų specifiką (pavyzdžiui, organizacinių ir (ar) techninių priemonių, leidžiančių identifikuoti su saugos dokumentais susipažinusį asmenį ir užtikrinančių supažindinimo procedūros įrodomąją (teisinę) galią, panaudojimo galimybes). Asmenys su saugos dokumentais supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą.

 

52.  Pakartotinai su saugos dokumentais VK IS naudotojai ir kiti subjektai, kuriems taikomi saugos dokumentai, supažindinami tik iš esmės pasikeitus informacinių sistemų ir (arba) elektroninės informacijos saugą reglamentuojantiems teisės aktams.

 

VI SKYRIUS

 

BAIGIAMOSIOS nuostatos

 

53.  VK IS naudotojai ir kiti subjektai, kuriems yra taikomi saugos dokumentai, pažeidę saugos dokumentų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

 

54.  Saugos dokumentai turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus VK IS rizikos vertinimą ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems informacinių sistemų valdytojo pokyčiams. Persvarsčius (peržiūrėjus) saugos dokumentus, turi būti nustatoma, kuriuos iš juose nustatytų elektroninės informacijos saugos reikalavimų būtina atnaujinti ir (ar) įgyvendinti pirmiausia, siekiant užtikrinti informacinių sistemų saugą ir kibernetinį saugumą.

 

____________________________