6.1. VIISP administratoriaus tvarkoma informacija;

6.2. VIISP paslaugų gavėjų tvarkoma informacija;

6.3. VIISP elektroninių paslaugų gavėjų kaupiama informacija.

8.1. Visuose serveriuose ir kompiuterizuotose darbo vietose turi būti įdiegta ir naudojama aktualiausia (naujausia) virusų ir kenkėjiško kodo aptikimo bei šalinimo programinės įrangos versija, skirta kompiuteriams ir laikmenoms tikrinti. Kompiuterizuotose darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, kurios reguliariai, ne rečiau kaip kartą per 24 valandas, atnaujinamos.

8.2. Serveriai, duomenų perdavimo tinklo mazgai ir ryšio linijos turi būti dubliuojami ir jų techninė būklė nuolat stebima.

8.3. Serveriai ir elektroninės informacijos perdavimo tinklo mazgai turi turėti įtampos filtrą ir rezervinį elektros energijos tiekimo šaltinį. Rezervinis elektros energijos tiekimo šaltinis užtikrina serverių veikimą ne trumpiau kaip 1 valandą.

8.4. VIISP techninė įranga turi būti prižiūrima laikantis gamintojo rekomendacijų. Techninę priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – VIISP administratoriai arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai.

8.5. VIISP veikimo stebėjimo priemonės turi perspėti VIISP administratorius, kai pagrindinėje VIISP kompiuterinėje įrangoje iki nustatytos pavojingos ribos sumažėja laisvos kompiuterio atminties ar vietos diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja, sutrinka kitų VIISP komponentų įprastas veikimas.

8.6. VIISP naudotojui ilgiau kaip 5 (penkias) minutes neatliekant jokių veiksmų informacinėse sistemose, taikomoji programinė įranga turi užsirakinti, kad toliau naudotis informacinėmis sistemomis galima būtų tik VIISP naudotojui pakartotinai patvirtinus savo tapatybę.

9.1. VIISP darbui turi būti naudojama tik legali sisteminė ir taikomoji programinė įranga.

9.2. VIISP serveriuose neturi veikti sisteminė ir taikomoji programinė įranga, kuri yra nesusijusi su VIISP tvarkymu, VIISP naudotojų ir pačios įrangos administravimu.

9.3. Gavus VIISP serverių ir vidinių VIISP naudotojų darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomendacijas, nedelsiant, bet ne vėliau kaip per penkias darbo dienas turi būti testuojami ir įdiegiami atnaujinimai.

9.4. VIISP tvarkymo darbo vietose turi būti naudojama programinė įranga, skirta kovai su kenksmingojo kodo programomis, ir turi būti laiku atliekamas visos programinės įrangos atnaujinimas.

9.5. VIISP programinis kodas privalo būti apsaugotas, kad jis nebūtų atskleistas neturintiems teisės su juo susipažinti asmenims. VIISP programiniam kodui apsaugoti turi būti taikomos tos pačios saugos priemonės kaip ir VIISP elektroninei informacijai.

9.6. Programinės įrangos diegimą, konfigūravimą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – VIISP administratoriai arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai.

9.7. Programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų.

9.8. Programinės įrangos testavimas turi būti atliekamas naudojant atskirą testavimo aplinką.

9.9. Turi būti užtikrintas VIISP prieinamumas ne mažiau kaip 99 procentus laiko visą parą.

9.10. Atsarginės laikmenos su VIISP programinės įrangos kopijomis turi būti laikomos kitose patalpose arba kitame pastate, nei yra VIISP serveriai.

9.11. Atsarginės laikmenos su programinės įrangos kopijomis turi būti laikomos nedegioje spintoje.

10.1. Serveriai, kompiuterizuotos darbo vietos ir kita kompiuterinė įranga, įjungta į elektroninės informacijos perdavimo tinklą, turi būti atskirta nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant saugasienes, automatinę įsilaužimų aptikimo ir prevencijos įrangą, paslaugos trikdymo atakų ir srautinių paslaugos trikdymo atakų įrangą.

10.2. Saugasienės įvykių žurnalai (angl. Logs) turi būti analizuojami ne rečiau, nei kartą per mėnesį arba įvykus saugos incidentui, o saugasienės saugumo taisyklės periodiškai peržiūrimos ir atnaujinamos.

10.3. Elektroninės informacijos perdavimo tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešajame elektroninių ryšių tinkle naršančių VIISP naudotojų kompiuterinę įrangą nuo kenksmingo kodo.

10.4. Elektroninės informacijos perdavimo tinklo kabeliai turi būti apsaugoti nuo neteisėto prisijungimo ar pažeidimo.

10.5. Įvykus įvykiui ar veiksmui, galinčiam sukelti elektroninės informacijos saugos incidentą, tai turi būti užfiksuojama audito įrašuose ir automatizuotai kuriamas pranešimas atitinkamam VIISP komponentų administratoriui.

10.6. Sukurtas pranešimas turi būti klasifikuojamas pagal užfiksuotą įvykį.

10.7. Įsilaužimo atakų pėdsakai (angl. attack signature) turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius; naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos, jeigu Informatikos ir ryšių departamento direktoriaus sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio informacinės sistemos veiklai vertinimas (testavimas).

10.8. Įsilaužimo aptikimo techninio sprendinio įgyvendinimas, konfigūracija ir kibernetinių incidentų aptikimo taisyklės turi būti saugomos elektronine forma atskirai nuo informacinės sistemos techninės įrangos (kartu nurodant atitinkamas datas (įgyvendinimo, atnaujinimo ir panašiai), atsakingus asmenis, taikymo periodus ir panašiai).

10.9. Prie VIISP prisijungiant nuotoliniu būdu ar keičiantis informacija su kitais registrais ir informacinėmis sistemomis, viešaisiais elektroninių ryšių tinklais perduodamų duomenų konfidencialumas užtikrinamas naudojant virtualų privatų tinklą (angl. Virtual Private Network, VPN) ir kitus duomenų šifravimo būdus (TLS (angl. Transport Layer Security), HTTPS (angl. Hypertext Transfer Protocol Secure) ar lygiaverčius).

10.10. Siekiant užtikrinti, kad VIISP techniniai pažeidžiamumai būtų identifikuojami ir šalinami laiku, turi būti rengiamas pažeidžiamumų nustatymo planas, už kurio parengimą yra atsakingas VIISP saugos įgaliotinis.

10.11. VIISP saugos įgaliotinis, VIISP administratorius ir atsakingi VIISP techninę priežiūrą vykdančių įmonių darbuotojai turi naudoti VIISP pažeidžiamumų valdymo modulį. VIISP pažeidžiamumų valdymo modulio funkcionalumas realizuojamas VIISP tvarkytojo turima ir (ar) įsigyjama programine įranga. VIISP pažeidžiamumų valdymo modulis turi užtikrinti automatinį VIISP IT komponentų pažeidžiamumų identifikavimą, raportavimą ir valdymą.

10.12. Už VIISP pažeidžiamumų valdymo modulio priežiūrą atsakingas VIISP saugos įgaliotinis bei jo pavedimu – atsakingi VIISP techninę priežiūrą vykdančių įmonių darbuotojai.

10.13. VIISP saugos įgaliotinis, vertindamas VIISP pažeidžiamumų valdymo modulio teikiamas ataskaitas, turi įvertinti VIISP IT komponentų saugą ir prireikus inicijuoti kitų identifikuotų VIISP IT komponentų pažeidžiamumų šalinimą.

11.1. Leidžiama naudoti tik su VIISP saugos įgaliotiniu suderintus belaidžio tinklo įrenginius, atitinkančius techninius kibernetinio saugumo reikalavimus.

11.2. Turi būti naudojamos priemonės, kurios apribotų neleistinus ar saugumo reikalavimų neatitinkančius belaidžius įrenginius arba informuotų VIISP saugos įgaliotinį apie neleistinos įrangos prijungimą prie VIISP techninės ir (arba) programinės įrangos.

11.3. Belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, kontroliuojamoje zonoje.

11.4. Prisijungiant prie belaidžio tinklo, turi būti taikomas informacinės sistemos naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) / TLS (angl. Transport Layer Security) protokolas.

11.5. Belaidėje sąsajoje turi būti išjungtas tinklo stebėsenos ir valdymo protokolas (SNMP).

11.6. Turi būti išjungti visi nebūtini valdymo protokolai.

11.7. Turi būti išjungti nenaudojami duomenų perdavimo TCP (angl. Transmission Control Protocol) / UDP (angl. User Datagram Protocol) protokolų naudojami prievadai.

11.8. Turi būti išjungtas lygiarangis (angl. peer to peer) funkcionalumas, leidžiantis belaidžiais įrenginiais tarpusavyje palaikyti ryšį.

11.9. Belaidis ryšys turi būti šifruojamas mažiausiai 128 bitų ilgio raktu.

11.10. Prieš pradedant naudoti belaidę prieigos stotelę ir šifruoti belaidį ryšį, turi būti pakeisti belaidės prieigos stotelėje standartiniai gamintojo slaptažodžiai ir šifravimo raktai.

11.11. Kompiuteriuose, mobiliuosiuose įrenginiuose turi būti išjungta belaidė prieiga, jeigu jos nereikia darbo funkcijoms atlikti, išjungta lygiarangė (angl. peer to peer) funkcija, neleidžianti belaidžiais įrenginiais palaikyti ryšį tarpusavyje, belaidė periferinė prieiga.

12.1. Patalpos, kuriose yra VIISP serveriai, turi atitikti priešgaisrinės saugos reikalavimus, jose turi būti gaisro gesinimo priemonės, turi būti įrengti gaisro ir judesio davikliai, prijungti prie pastato signalizacijos ir (arba) apsaugos tarnybos stebėjimo pulto, reguliariai, ne rečiau kaip kartą per metus, atliekama gaisro aptikimo ir gesinimo priemonių patikra.

12.2. Patalpose, kuriose yra VIISP serveriai, turi būti užtikrintos techninės įrangos gamintojo rekomenduojamos techninės įrangos darbo sąlygos (aplinkos drėgnumas, darbo vietos temperatūra).

12.3. Patalpos, kuriose yra VIISP serveriai, turi būti atskirtos nuo bendrojo naudojimo patalpų. Į patalpas patekti gali tik įgalioti asmenys, kitus asmenis turi lydėti VIISP administratorius arba saugos įgaliotinis.

12.4. Prieiga prie patalpų, kuriose yra VIISP serveriai, turi būti kontroliuojama (registruojami įeinančių į patalpas ir išeinančių iš patalpų asmenų apsilankymai, kontroliuojamas patekimas į patalpas Taisyklių 12.3 papunktyje nustatyta tvarka).

12.5. VIISP serverių patalpose turi būti naudojami nepertraukiamo elektros maitinimo šaltiniai.

13.1. atpažinties, tapatumo patvirtinimo ir naudojimosi kontrolės reikalavimai:

13.2. turi būti įgyvendinti svetainės kriptografijos reikalavimai:

13.3. tarnybinės stoties, kurioje yra svetainė, svetainės saugos parametrai turi būti teigiamai įvertinti naudojant Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos rekomenduojamą testavimo priemonę;

13.4. draudžiama tarnybinėje stotyje saugoti sesijos duomenis (identifikatorių), pasibaigus susijungimo sesijai;

13.5. turi būti naudojama svetainės ugniasienė (angl. Web Application Firewall); įsilaužimo atakų pėdsakai (angl. attack signature) turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius; naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos, jeigu Informatikos ir ryšių departamento direktoriaus ar jo įgalioto asmens sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio informacinės sistemos veiklai vertinimas (testavimas);

13.6. turi būti naudojamos apsaugos nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), įterptinių instrukcijų atakų (angl. Cross-site scripting, XSS), atkirtimo nuo paslaugos (angl. Denial of Service, DOS), paskirstyto atsisakymo aptarnauti (angl. Distributed Denial of Service, DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project, OWASP) interneto svetainėje www.owasp.org;

13.7. turi būti naudojama svetainės naudotojo įvedamų duomenų tikslumo kontrolė (angl. Validation);

13.8. tarnybinė stotis, kurioje yra svetainė, neturi rodyti svetainės naudotojui klaidų pranešimų apie svetainės programinį kodą ar tarnybinę stotį;

13.9. svetainės saugumo priemonės turi gebėti automatiškai uždrausti prieigą prie tarnybinės stoties iš IP adresų, vykdžiusių grėsmingą veiklą (nesankcionuoti mėginimai prisijungti, įterpti SQL intarpus ir panašiai);

13.10. tarnybinė stotis, kurioje yra svetainė, turi leisti tik svetainės funkcionalumui užtikrinti reikalingus HTTP metodus;

13.11.  turi būti uždrausta naršyti svetainės aplankuose (angl. Directory browsing);

13.12.  turi būti įdiegta svetainės turinio nesankcionuoto pakeitimo (angl. Defacement) stebėsenos sistema;

13.13.  turi būti atliekama pažeidžiamumų paieška – ne rečiau kaip kartą per mėnesį su skenavimo programine įranga tikrinamas svetainės saugumas.

14.1. Prisiregistravimo prie VIISP ir išsiregistravimo iš jos duomenys (prisijungimo vardas, data, laikas) fiksuojami VIISP elektroniniuose veiksmų žurnaluose (toliau – veiksmų žurnalai), kurie prieinami tik VIISP administratoriui ir saugos įgaliotiniui. Veiksmų žurnalai yra saugojami VIISP duomenų bazėje ir jų apsaugai nuo neteisėto jų duomenų pakeitimo yra taikomos tos pačios saugos priemonės, kaip ir VIISP elektroninei informacijai. Už veiksmų žurnalų tvarkymą atsakingas VIISP administratorius.

14.2. VIISP turi būti įrašomi duomenys apie VIISP serverių, VIISP taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis VIISP serveriuose, VIISP taikomojoje programinėje įrangoje, visus VIISP naudotojų atliekamus veiksmus, kitus elektroninės informacijos saugai svarbius įvykius – nurodomas VIISP naudotojo ar administratoriaus identifikatorius ir elektroninės informacijos saugai svarbaus įvykio ar atlikto veiksmo laikas. Šie duomenys turi būti saugomi ne trumpiau kaip 60 dienų kitoje, nei jie įrašomi, sistemoje ir analizuojami ne rečiau kaip kartą per mėnesį.

14.3. Prisijungimo vardai ir slaptažodžiai, leidžiantys dirbti su VIISP serverio programine įranga, turi būti žinomi tik įgaliotam asmeniui.

14.4. VIISP naudotojų tapatybei nustatyti ir prieigai prie elektroninės informacijos kontroliuoti būtina naudoti prisijungimo vardų, slaptažodžių ir teisių sistemą.

14.5. VIISP administratorius privalo nedelsdamas informuoti VIISP saugos įgaliotinį apie VIISP techninės ir programinės įrangos gedimus, kurie negali būti pašalinami per vieną valandą nuo gedimo pastebėjimo.

15.1. VIISP tvarkomą elektroninę informaciją įrašyti, keisti, atnaujinti gali tik VIISP naudotojai ir VIISP administratoriai pagal suteiktas prieigos teises ir tik turint teisėtą tikslą ir pagrindą.

15.2. VIISP elektroninė informacija įrašoma, atnaujinama, keičiama ir naikinama vadovaujantis VIISP nuostatais, Saugos nuostatais ir kitais teisės aktais, reglamentuojančiais VIISP elektroninės informacijos tvarkymą.

15.3. VIISP naudotojui neatliekant jokių veiksmų VIISP 15 minučių, VIISP taikomoji programinė įranga automatiškai užsirakina ir naudotis VIISP galima tik pakartotinai patvirtinus savo tapatybę.

15.4. Informacinės sistemos turi turėti įrašytos elektroninės informacijos tikslumo, užbaigtumo ir patikimumo tikrinimo priemones.

15.5. VIISP naudotojų duomenis įrašyti, keisti, atnaujinti gali tik VIISP naudotojų administratorius.

18.1. VIISP elektroninės informacijos kopijos daromos ne rečiau kaip kartą per savaitę ir įrašomos į kompiuterines laikmenas.

18.2. Elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, neleidžiančių panaudoti kopijas neteisėtai atkurti elektroninę informaciją.

18.3. VIISP elektroninės informacijos kopijos saugomos atskiroje patalpoje taip, kad prireikus būtų galima jas greitai atkurti.

18.4. Duomenys apie VIISP elektroninės informacijos kopijų darymą (kopijos įrašymo data ir laikas, sistemos administratoriaus vardas, pavardė, pareigos, telefonas) fiksuojami kopijų darymo žurnale.

18.5. Sunaikintos ar sugadintos VIISP elektroninės informacijos atkūrimą kontroliuoja VIISP administratorius.

20.1. Siekiant nustatyti, ar su VIISP esančia elektronine informacija nėra vykdoma neteisėta veikla, VIISP administratorius privalo ne rečiau nei kartą per mėnesį peržiūrėti visus VIISP veiksmų žurnaluose registruojamus įrašus.

20.2. Kilus įtarimui, kad su VIISP ar jo elektronine informacija yra vykdoma neteisėta veikla, VIISP naudotojai privalo nedelsdami, bet ne vėliau kaip per 24 valandas, informuoti VIISP administratorių, kuris apie saugos pažeidimus elektroniniu paštu ne vėliau kaip per 24 valandas informuoja VIISP saugos įgaliotinį, imasi visų įmanomų veiksmų neteisėtai veiklai užkirsti bei ne vėliau kaip per 24 valandas išnagrinėja VIISP duomenų bazės veiksmų žurnalo įrašus, siekdamas nustatyti neteisėtos veiklos šaltinį, laiką ir veiksmus.

20.3. VIISP saugos įgaliotinis ne rečiau kaip kartą per metus:

21.1. Visi VIISP pokyčiai, susiję su programinės ir (arba) techninės įrangos keitimu ir (arba) atnaujinimu įgyvendinami tik raštiškai sutikus VIISP valdytojui.

21.2. Prieš atliekant VIISP programinės ir (arba) techninės įrangos keitimą ir (arba) atnaujinimą, kurio metu galimi VIISP veikimo sutrikimai, VIISP administratorius ją įdiegia ir testuoja, jei tai leidžia programinės ir techninės galimybės, testavimo aplinkoje.

21.3. Atlikus testavimą ir konstatavus keičiamos ir (arba) atnaujinamos VIISP programinės ir (arba) techninės įrangos sėkmingą veikimą realioje aplinkoje, VIISP administratorius pradeda rengti keičiamos ir (arba) atnaujinamos programinės ir (arba) techninės įrangos keitimo ir (arba) atnaujinimo planą, kuriame turi būti:

23.1. Kiekvienas pokytis turi būti suplanuotas, atsižvelgiant į pokyčio svarbą, aktualumą, poreikį, ir apimti pokyčio identifikavimą, priskyrimą kategorijai pagal pokyčio tipą (administracinį, organizacinį funkcinį, programinį ar techninį), įtakos vertinimą, pokyčio prioriteto nustatymą bei pokyčio atlikimo tvarką.

23.2. Pokyčius turi teisę inicijuoti VIISP duomenų valdymo įgaliotinis, VIISP saugos įgaliotinis ar VIISP administratorius (-iai), o įgyvendinti – VIISP administratorius (-iai).

23.3. Pokyčius planuoja juos inicijavęs asmuo arba specialiai VIISP tvarkytojo vadovo sudaryta darbo grupė.

23.4. Jei yra sudaroma paslaugų teikimo sutartis dėl papildomo funkcionalumo kūrimo ar modernizavimo, pokyčių įgyvendinimo tvarka nustatoma paslaugų teikimo sutartyje.

23.5. Visi pokyčiai, galintys sutrikdyti ar sustabdyti VIISP darbą, suderinami su VIISP tvarkytojo vadovu.

23.6. Įgyvendinant pokyčius, kurių metu galimi VIISP veikimo sutrikimai, VIISP administratorius privalo ne vėliau kaip prieš vieną darbo dieną iki planuojamų pokyčių vykdymo pradžios informuoti (raštu, elektroniniu paštu, faksu) VIISP naudotojus apie tokių darbų pradžią ir galimus sutrikimus.

23.7. Pokyčiai, galintys daryti įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti testavimo aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri atskirta nuo eksploatuojamos VIISP.

23.8. VIISP administratorius VIISP naudotojams privalo pateikti visą reikalingą informaciją apie naudojimosi VIISP pakitimus, kurie yra susiję su jų atliekamomis funkcijomis ir kurių atsiradimas susijęs su įvykdytais arba vykdomais pokyčiais.

25.1. Prisijungimui prie VIISP leidžiama naudoti tik tarnybinius nešiojamuosius kompiuterius.

25.2. Jungiantis prie VIISP, turi būti patvirtinamas tapatumas, mobiliajame įrenginyje ar jo taikomojoje programinėje įrangoje turi būti uždrausta automatiškai išsaugoti slaptažodį.

25.3. Išnešti iš patalpų nešiojamieji kompiuteriai ar kiti mobilieji įrenginiai negali būti palikti be priežiūros viešose vietose. Jei įmanoma, informacinių sistemų naudotojas turi laikyti nešiojamąjį kompiuterį prie savęs visą laiką, ypač viešosiose vietose.

25.4. Nešiojamąjį kompiuterį naudojant ne darbo vietos patalpoje, patalpa, kurioje jis paliekamas, turi būti užrakinama net ir trumpam jį paliekant. Nešiojamąjį kompiuterį paliekant ilgesniam laikui, jis turi būti išjungiamas.

25.5. Prie nešiojamųjų kompiuterių draudžiama prijungti kokius nors kitus informacinėms sistemoms nepriklausančius įrenginius.

25.6. Turi būti įdiegiami operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai. Už šių darbų atlikimą atsakingas VIISP komponentų administratorius.

25.7. Nešiojamuosiuose kompiuteriuose turi būti naudojamos vykdomojo kodo (angl. Executable code) kontrolės priemonės, automatiškai apribojančios neleistino vykdomojo kodo naudojimą ar informacinių sistemų komponentų administratorius informuojančios apie neleistino vykdomojo kodo naudojimą.

25.8. Nešiojamieji kompiuteriai, kuriais naršoma internete, privalo būti apsaugoti nuo judriųjų programų (angl. Mobile code) keliamų grėsmių.

25.9. Duomenys, perduodami belaidžiu ryšiu tarp nešiojamojo kompiuterio ir informacinės sistemos, turi būti šifruojami taikant VPN technologiją.

25.10. Jungiantis prie informacinių sistemų išteklių, turi būti patvirtinamas tapatumas. Nešiojamame kompiuteryje ar jo taikomojoje programinėje įrangoje turi būti uždrausta automatiškai išsaugoti slaptažodį.

25.11.  Nešiojamasis kompiuteris, kuriuo nesinaudojama 15 minučių, turi automatiškai užsirakinti.

25.12. Mobiliuosiuose įrenginiuose privalo būti įdiegtos priemonės, leisiančios nuotoliniu būdu neatkuriamai ištrinti duomenis.

25.13. Turi būti užtikrinta kompiuterinių laikmenų apsauga.

25.14. Turi būti šifruojami duomenys tiek mobiliųjų įrenginių laikmenose, tiek išorinėse kompiuterinėse laikmenose.

5.1. VIISP naudotojų ir VIISP administratorių prieiga prie elektroninės informacijos grindžiama būtinumo žinoti principu. Šis principas reiškia, kad VIISP naudotojams ir VIISP administratoriams prieiga suteikiama tik prie tos elektroninės informacijos, kuri reikalinga vykdant tiesioginę jų veiklą. Tvarkyti elektroninę informaciją gali tik tie VIISP naudotojai ir VIISP administratoriai, kuriems Naudotojų administravimo taisyklių III skyriuje nustatyta tvarka suteiktos prieigos prie elektroninės informacijos teisės ir priemonės (identifikavimo priemonės, slaptažodžiai ar kitos tapatybės nustatymo priemonės ir pan.).

5.2. Kiekvienas VIISP naudotojas turi būti VIISP unikaliai identifikuojamas (asmens kodas negali būti naudojamas kaip naudotojo identifikatorius). VIISP naudotojų prieigos prie elektroninės informacijos teisė realizuota tik per jų registravimo ir slaptažodžių administravimo sistemą.

5.3. VIISP naudotojų ir VIISP administratorių prieigos prie elektroninės informacijos lygmuo grindžiamas mažiausios privilegijos principu. Šis principas reiškia, kad turi būti suteikiamos tik minimalios VIISP naudotojų ir VIISP administratorių tiesioginei veiklai vykdyti reikalingos prieigos teisės bei organizacinėmis ir techninėmis priemonėmis užtikrinama minimalių prieigos teisių naudojimo kontrolė (pavyzdžiui, prieigos prie informacinės sistemos ar jos komponentų, suteikiančios galimybę atlikti veiksmus, galinčius sukelti riziką informacinei sistemai, jos komponentams ar joje tvarkomiems duomenims (toliau – privilegijuota prieiga), teisės neturi būti naudojamos veiklai, kuriai atlikti pakanka žemesnio lygio prieigos teisių, ir pan.).

5.4. Pareigų atskyrimo principas. Šis principas reiškia, kad VIISP naudotojui, VIISP administratoriams negali būti pavesta atlikti ar kontroliuoti visų pagrindinių elektroninės informacijos tvarkymo ar VIISP priežiūros funkcijų, VIISP naudotojams negali būti suteikiamos VIISP administratoriaus teisės, VIISP priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą VIISP administratoriaus paskyrą, kuria naudojantis negalima atlikti VIISP naudotojo funkcijų ir pan.

16.1. VIISP administratoriai VIISP ir jos komponentus gali pasiekti naudodamiesi tiesiogine, vietinio tinklo arba nuotoline prieiga. VIISP administratorių prieiga ir jos lygiai kontroliuojami per fizinius (įeigos kontrolės sistemos, užtvaros ir kita) ir loginius (užkardos, domeno valdikliai ir kita) prieigos taškus. Kontrolės priemonės turi būti taikomos visuose VIISP sandaros sluoksniuose (kompiuterių tinkle, platformose ar operacinėse sistemose, duomenų bazėse ir taikomųjų programų sistemose).

16.2. VIISP administratoriams prieiga prie VIISP komponentų, elektroninės informacijos ir teisė atlikti elektroninės informacijos tvarkymo veiksmus (elektroninės informacijos skaitymas, kūrimas, atnaujinimas, šalinimas, VIISP naudotojų informacijos, prieigos teisių redagavimas ir panašiai) suteikiama remiantis Naudotojų administravimo taisyklių 7 punkte nustatytais prieigos prie elektroninės informacijos principais.

16.3. VIISP administratorius pagal kompetenciją turi teisę į prieigą prie visų VIISP komponentų ir jų sąrankos.

16.4. VIISP naudotojų administratoriams suteikiama prieiga prie VIISP naudotojų prieigos teisių valdymo sistemų.

16.5. VIISP komponentų administratoriams pagal kompetenciją suteikiama prieiga prie kompiuterių, operacinių sistemų, duomenų bazių ir jų valdymo sistemų, taikomųjų programų sistemų, saugasienių, įsilaužimų aptikimo ir prevencijos sistemų, elektroninės informacijos perdavimo tinklų, duomenų saugyklų ir kitos techninės ir programinės įrangos bei jų sąrankos.

16.6. VIISP tvarkytojas teikia metodinę ir informacinę pagalbą bei organizuoja VIISP administratoriams, naudotojams ir saugos įgaliotiniui mokymus elektroninės informacijos saugos ir kibernetinio saugumo klausimais.

17.1. VIISP tvarkytojo ar VIISP techninę priežiūrą vykdančios įmonės darbuotojai, pagal VIISP saugos dokumentų nuostatas pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį ir pasirašytinai susipažinę su saugos dokumentais, norėdami savo tiesioginėms funkcijoms atlikti gauti prieigą (taip pat ir privilegijuotą) prie atitinkamų VIISP komponentų, turi pateikti VIISP tvarkytojui prašymą (Naudotojų administravimo taisyklių priedas), kuriame turi būti nurodyti prašančio suteikti prieigą asmens duomenys, prieigos suteikimo pagrindas, VIISP komponentai, prie kurių suteikiama prieiga, ir prieigos suteikimo laikotarpis.

17.2. VIISP naudotojui VIISP naudotojų administratorius suteikia VIISP naudotojo vardą ir laikiną slaptažodį ir nustato nurodytos apibrėžties prieigą prie elektroninės informacijos.

17.3. Kiekvienam VIISP naudotojui suteikiamas nesikartojantis vardas.

17.4. Kiekvienas VIISP naudotojas privalo naudoti tik jam suteiktą VIISP naudotojo vardą ir nesudaryti galimybės juo naudotis tretiesiems asmenims.

17.5. VIISP naudotojų vardai kaupiami ir registruojami centralizuotai VIISP naudotojų administravimo posistemyje.

18.1. Viešaisiais elektroninių ryšių tinklais perduodamos informacijos konfidencialumas turi būti užtikrintas naudojant šifravimą, virtualųjį privatų tinklą (angl. virtual private network). Slaptažodis VIISP naudotojui negali būti perduodamas neužšifruotas ar užšifruojamas nepatikimais algoritmais.

18.2. Tik laikinas slaptažodis gali būti perduodamas neužšifruotas, tačiau atskirai nuo prisijungimo vardo, jei naudotojas neturi techninių galimybių iššifruoti gauto slaptažodžio ar nėra techninių galimybių VIISP naudotojui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu.

18.3. Pirmojo prisijungimo prie VIISP metu iš VIISP naudotojo turi būti reikalaujama, kad jis pakeistų laikiną slaptažodį.

18.4. Kilus įtarimui, kad slaptažodis galėjo būti atskleistas, VIISP naudotojas turi nedelsdamas slaptažodį pakeisti.

18.5. Slaptažodį turi sudaryti ne mažiau kaip 8 simboliai.

18.6. Slaptažodį turi sudaryti trijų grupių iš galimų keturių (didžiosios ir mažosios raidės, skaičiai bei specialūs ženklai) simboliai.

18.7. Slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius (VIISP naudotojų teisės sustabdomos, jei slaptažodis nepakeičiamas laiku).

18.8. Slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija (pavyzdžiui, gimimo data, šeimos narių vardai, adresai ir panašiai).

18.9. VIISP naudotojas slaptažodį turi įsiminti, draudžiama slaptažodį užsirašyti ar pasakyti kitam asmeniui.

18.10. Naudotojui klaidingai suvedus slaptažodį 3 kartus vartotojo prieiga turi būti blokuojama ir atkuriama tik VIISP naudotojų administratoriaus.

18.11. Pasirinkdamas ar keisdamas slaptažodį, VIISP naudotojas turi bent kartą slaptažodį pakartoti.

18.12. Keičiant slaptažodį, VIISP taikomoji programinė įranga neturi leisti sudaryti slaptažodžio iš buvusių 6 paskutinių slaptažodžių.

19.1. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius;

19.2. slaptažodį turi sudaryti ne mažiau kaip 12 simbolių.

20.1. nustačius VIISP elektroninės informacijos konfidencialumo ar vientisumo pažeidimą arba kitų VIISP elektroninės informacijos saugą ir tvarkymą reglamentuojančių teisės aktų pažeidimą;

20.2. pastebėjus neteisėtą prisijungimo prie VIISP elektroninės informacijos naudojimą;

20.3. VIISP naudotojas nušalinamas nuo darbo (pareigų);

20.4. apie prieigos teisių dirbti su VIISP elektronine informacija panaikinimą ar laikiną sustabdymą VIISP naudotojo įstaigos vadovas arba jo įgaliotas asmuo elektroniniu laišku informuoja VIISP administratorių paskutinę VIISP naudotojo darbo dieną.

6.1. VIISP saugos įgaliotinis:

6.2. VIISP administratoriai:

6.3. VIISP techninės priežiūros paslaugų teikėjų atsakingi darbuotojai:

6.4. VIISP naudotojai vykdo VIISP veiklos tęstinumo valdymo grupės nurodymus.

9.1. VIISP priima elektroninę informaciją iš informacinių sistemų, elektroninės informacijos teikėjų;

9.2. VIISP elektroninė informacija realiuoju laiku atnaujinama ir išsaugoma;

9.3. užtikrintas VIISP elektroninės informacijos vientisumas ir konfidencialumas;

9.4. VIISP elektroninė informacija nuolat teikiama VIISP naudotojams ir informacinėms sistemoms;

9.5. užtikrintas VIISP prieinamumas – ne mažiau kaip 99 procentus laiko visą parą.

11.1. VTVG vadovas – VIISP tvarkytojo – Informacinės visuomenės plėtros komiteto (toliau – IVPK) direktorius arba direktoriaus pavaduotojas;

11.2. VTVG vadovo pavaduotojas – VIISP saugos įgaliotinis;

11.3. VTVG nariai:

12.1. Incidento priežasties ir esamos situacijos analizė ir sprendimų VIISP veiklos tęstinumo valdymo klausimais priėmimas;

12.2. bendravimas su viešosios informacijos rengėjų ir viešosios informacijos skleidėjų atstovais;

12.3. bendravimas su susijusių registrų ir (arba) informacinių sistemų veiklos tęstinumo valdymo grupėmis arba administratoriais;

12.4. bendravimas su teisėsaugos ir kitomis institucijomis, šių institucijos darbuotojais ir kitomis interesų grupėmis;

12.5. finansinių ir kitų išteklių, reikalingų VIISP veiklai atkurti įvykus Incidentui, naudojimo kontrolė;

12.6. VIISP  elektroninės informacijos fizinės saugos organizavimas įvykus Incidentui;

12.7. logistika (asmenų, daiktų, įrangos gabenimo organizavimas);

12.8. VAG veiklos priežiūra ir koordinavimas.

13.1. VAG vadovas – VIISP duomenų valdymo įgaliotinis, jo nesant – IVPK direktoriaus pavaduotojas;

13.2. VAG vadovo pavaduotojas – VIISP saugos įgaliotinis, jo nesant – VIISP administratorius;

13.3. VAG nariai:

15.1. serverių veikimo atkūrimo organizavimas;

15.2. kompiuterių tinklo veikimo atkūrimo organizavimas;

15.3. VIISP elektroninės informacijos atkūrimo organizavimas;

15.4. taikomųjų programų veikimo atkūrimo organizavimas;

15.5. kompiuterizuotų darbo vietų veikimo atkūrimo ir prijungimo prie kompiuterių tinklo organizavimas;

15.6. kitos VAG pavestos VIISP tvarkytojo funkcijos.

26.1. informacijos saugos incidento aptikimas ir registravimas;

26.2. informacijos saugos incidento įrodymų surinkimas, analizė ir tyrimas;

26.3. informacijos saugos incidento priežasčių identifikavimas ir jų šalinimo priemonių diegimas.

29.1. informacijos saugos incidento pavadinimas;

29.2. informacijos saugos incidento registravimo data;

29.3. informacijos saugos incidentą aptikęs asmuo;

29.4. už informacijos saugos incidento tyrimą ir sprendimą atsakingas asmuo;

29.5. informacijos saugos incidento aplinkybės, išsamus aprašymas, surinkti įrodymai (pateikiami vėlesniuose informacijos saugos incidento valdymo etapuose);

29.6. informacijos saugos incidento priežastys (pateikiami vėlesniuose informacijos saugos incidento valdymo etapuose);

29.7. informacijos saugos incidento kategorija (incidentas ar įvykis);

29.8. informacijos saugos incidento valdymo būsena („Užregistruotas“, „Analizuojamas“, „Ištirtas“, „Priežastys pašalintos“ arba „Priežastys nebus šalinamos“);

29.9. informacijos saugos incidento priežasčių ir siūlomų priežasčių šalinimo priemonių aprašymas (pateikiami vėlesniuose informacijos saugos incidento valdymo etapuose).

32.1. VIISP kompiuterinės ir programinės įrangos sąrašas ir šios įrangos parametrai (dokumentas, kuriame nurodyti informacinių technologijų įrangos parametrai ir už šios įrangos priežiūrą atsakingi administratoriai, minimalus informacinės sistemos veiklai atkurti, nesant administratoriaus, kuris dėl komandiruotės, ligos ar kitų priežasčių negali operatyviai atvykti į darbo vietą, reikiamos kompetencijos ar žinių lygis);

32.2. VIISP minimalus funkcijų sąrašas (dokumentas, kuriame nurodytos minimalios informacinių technologijų įrangos funkcijos, skirtos VIISP veiklai užtikrinti įvykus Incidentui);

32.3. kompiuterių tinklo fizinio ir loginio sujungimo schemos;

32.4. sutarčių, susijusių su VIISP, sąrašas (dokumentas, kuriame nurodytos elektroninės informacijos teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingi už šių sutarčių įgyvendinimo priežiūrą asmenys);

32.5. dokumentas, kuriame nurodyti kiekvieno pastato, kuriame yra informacinės sistemos įranga, aukšto patalpų brėžiniai ir juose pažymėti:

32.6. dokumentas, kuriame nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos;

32.7. VTVG ir VAG narių sąrašas su kontaktiniais duomenimis, kad šiuos asmenis būtų galima pasiekti bet kuriuo paros metu.