LIETUVOS RESPUBLIKOS

Suvestinė redakcija nuo 2013-05-01 iki 2015-06-23

Įsakymas paskelbtas: Žin. 2011, Nr. 130-6174, i. k. 11111RRISAK01V-1013

RYŠIŲ REGULIAVIMO TARNYBOS DIREKTORIAUS

Į S A K Y M A S

Dėl Viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų saugumo ir vientisumo užtikrinimo taisyklių PATVIRTINIMO

2011 m. spalio 21 d. Nr. 1V-1013

Vilnius

Vadovaudamasis Lietuvos Respublikos elektroninių ryšių įstatymo (Žin., 2004, Nr. 69-2382; 2011, Nr. 91-4327) 42¹ straipsniu ir įgyvendindamas 2002 m. kovo 7 d. Europos Parlamento ir Tarybos direktyvą 2002/21/EB dėl elektroninių ryšių tinklų ir paslaugų bendrosios reguliavimo sistemos (Pagrindų direktyva) (OL 2004 m. specialusis leidimas, 13 skyrius, 29 tomas, p. 349), su paskutiniais pakeitimais, padarytais 2009 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyva 2009/140/EB (OL 2009 L 337, p. 37):

1. T v i r t i n u Viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų saugumo ir vientisumo užtikrinimo taisykles (pridedama).

2. P r i p a ž į s t u netekusiu galios Lietuvos Respublikos ryšių reguliavimo tarnybos direktoriaus 2009 m. kovo 20 d. įsakymą Nr. 1V-348 „Dėl Nacionalinio elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimų padalinio veiklos nuostatų patvirtinimo“ (Žin., 2009, Nr. 36-1419).

3. N u r o d a u paskelbti šį įsakymą oficialiame leidinyje „Valstybės žinios“.

Direktorius Feliksas Dobrovolskis

PATVIRTINTA

Lietuvos Respublikos ryšių reguliavimo

tarnybos direktoriaus 2011 m. spalio 21 d.

įsakymu Nr. 1V-1013

(Lietuvos Respublikos ryšių reguliavimo

tarnybos direktoriaus 2013 m. sausio 25 d.

įsakymo Nr. 1V-122 redakcija)

VIEŠŲJŲ RYŠIŲ TINKLŲ IR VIEŠŲJŲ ELEKTRONINIŲ RYŠIŲ PASLAUGŲ SAUGUMO IR VIENTISUMO UŽTIKRINIMO TAISYKLĖS

I. BENDROSIOS NUOSTATOS

1. Viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų saugumo ir vientisumo užtikrinimo taisyklės (toliau – Taisyklės) reglamentuoja viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų (toliau – teikėjas) teises ir pareigas užtikrinant jų teikiamų viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų saugumą ir vientisumą bei saugumo incidentų ir vientisumo pažeidimų tyrimo tvarką.

2. Taisyklėse vartojamos sąvokos:

Elektroninės paslaugos trikdymo ataka (angl. Denial of Service, DoS) – veiksmas, kuriuo trikdomas viešojo ryšių tinklo ir (ar) informacinės sistemos darbas arba viešuoju ryšių tinklu teikiamų paslaugų teikimas.

Elektroniniai duomenys – duomenys, pateikti tokia forma, kuri tinkama juos tvarkyti informacinėje sistemoje.

Informacinės sistemos užvaldymas (angl. System Compromise) – neteisėtas informacinės sistemos išteklių naudojimas ir (arba) neteisėtas prisijungimas prie informacinės sistemos.

Kenkėjiškas adresas – viešojo ryšių tinklo identifikatorius, kurį naudojant vykdoma veikla, kelianti grėsmę viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų saugumui ir vientisumui.

Kenkėjiška programinė įranga (angl. Virus, Worm) – programinė įranga ar jos dalis, sukurta neteisėtai prisijungti ar sudaryti sąlygas neteisėtai prisijungti prie informacinės sistemos ar viešojo ryšių tinklo, sutrikdyti ar pakeisti (taip pat perimti valdymą) informacinės sistemos ar viešojo ryšių tinklo veikimą, sunaikinti, sugadinti, ištrinti ar pakeisti elektroninius duomenis, panaikinti ar apriboti galimybę naudotis elektroniniais duomenimis, sudaryti sąlygas neteisėtai pasisavinti ar kitaip panaudoti neviešus elektroninius duomenis tokios teisės neturintiems asmenims.

Manipuliacija elektroniniais duomenimis – elektroninių duomenų pasisavinimas, platinimas, paskelbimas, pakeitimas kitais elektroniniais duomenimis, elektroninių duomenų iškraipymas ar kitoks neteisėtas jų naudojimas.

Vientisumo pažeidimas – viešojo ryšių tinklo ar jo dalies pažeidimas, sutrikdęs šiuo tinklu teikiamų viešųjų elektroninių ryšių paslaugų nepertraukiamą teikimą.

Viešųjų ryšių tinklų ir paslaugų saugumo valdymo taisyklės – teikėjų pasitvirtintų dokumentų visuma, nustatanti technines ir organizacines priemones viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų saugumui ir vientisumui užtikrinti.

Kitos Taisyklėse vartojamos sąvokos apibrėžtos Lietuvos Respublikos elektroninių ryšių įstatyme (Žin., 2004, Nr. 69-2382).

II. TEIKĖJų teisės ir pareigos UŽTIKRINANT VIEŠŲJŲ RYŠIŲ TINKLŲ IR (ARBA) VIEŠŲJŲ ELEKTRONINIŲ RYŠIŲ PASLAUGŲ SAUGUMĄ IR VIENTISUMĄ

3. Teikėjai privalo pranešti Tarnybai apie šiuos saugumo incidentus:

3.1. elektroninės paslaugos trikdymo atakas;

3.2. informacinių sistemų užvaldymą;

3.3. manipuliacijas elektroniniais duomenimis;

3.4. kenkėjišką programinę įrangą.

4. Teikėjai privalo:

4.1. įgyvendinti tinkamas technines ir organizacines priemones savo teikiamų viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų saugumui užtikrinti. Šios priemonės turi užtikrinti saugumo lygį, atitinkantį iškilusią grėsmę ir užkirsti kelią saugumo incidentams arba sumažinti jų poveikį viešųjų ryšių tinklams ir (arba) viešųjų elektroninių ryšių paslaugų gavėjams;

4.2. įgyvendinti tinkamas technines ir organizacines priemones savo teikiamų tinklų vientisumui užtikrinti, tokiu būdu užtikrinant šiais tinklais teikiamų viešųjų elektroninių ryšių paslaugų nepertraukiamą teikimą;

4.3. apsaugoti viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikimui naudojamos įrangos valdymą nuo neteisėto prisijungimo;

4.4. turėti patvirtintas, reguliariai atnaujinamas savo viešųjų ryšių tinklų ir paslaugų saugumo valdymo taisykles ir jų laikytis ir pareikalavus jas pateikti Tarnybai. Viešųjų ryšių tinklų ir paslaugų saugumo valdymo taisyklėse nurodoma:

4.4.1. saugumo incidentams ir vientisumo pažeidimams šalinti reikalingų priemonių aprašymai;

4.4.2. viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikimo tęstinumo užtikrinimo planas;

4.4.3. už saugumo incidentų ir vientisumo pažeidimų šalinimą atsakingų asmenų funkcijos ir atsakomybė;

4.4.4 viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikimui naudojamos įrangos patikrinimo ir testavimo tvarka ir sąlygos;

4.4.5. maksimalus viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikimo sutrikimo laikas, kuriam pasibaigus pradedamas vykdyti viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikimo tęstinumo užtikrinimo planas;

4.5. nedelsdami informuoti Tarnybą:

4.5.1. apie nustatytus saugumo incidentus ir (ar) vientisumo pažeidimus, turėjusius didelės įtakos viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikimui šių paslaugų gavėjams (pagal Taisyklių 1 priedą);

4.5.2. apie nustatytus saugumo incidentus ir (ar) vientisumo pažeidimus, kurie kelia ar gali kelti grėsmę kitų Lietuvos Respublikos teikėjų viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų ar informacinių sistemų saugumui ir (ar) vientisumui;

4.6. ne vėliau kaip per 1 darbo dieną informuoti Tarnybą:

4.6.1. apie nustatytus saugumo incidentus ir (ar) vientisumo pažeidimus, turėjusius vidutinės įtakos viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikimui šių paslaugų gavėjams (pagal Taisyklių 1 priedą), kuriuos teikėjai išsprendė patys;

4.6.2. apie teikėjui žinomus saugumo incidentus ir (ar) vientisumo pažeidimus, susijusius su kito teikėjo viešaisiais ryšių tinklais ar viešosiomis elektroninių ryšių paslaugomis;

4.7. pranešdami Tarnybai apie įvykius, nurodytus Taisyklių 4.5 ir 4.6 punktuose, informuoti Tarnybą elektroniniu būdu, aprašytu interneto svetainėje www.cert.lt/statins/; nesant tokios galimybės, pateikti pranešimą elektroninio pašto adresu cert@cert.lt pagal Taisyklių 2 priede pateiktą formą, šifruojant pranešimo turinį viešu raktu 0xA3BACE47; nesant tokių galimybių, informuoti Tarnybą telefono ryšio numeriu (8 5) 210 5679 arba faksu (8 5) 216 1564;

4.8. nedelsdami nemokamai informuoti viešųjų elektroninių ryšių paslaugų gavėjus apie dėl saugumo incidento ir (ar) vientisumo pažeidimo kilusius viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikimo sutrikimus, atitinkančius Taisyklių 1 priede nustatytą kategoriją „vidutinė“ ir „didelė“;

4.9. nemokamai informuoti viešųjų elektroninių ryšių paslaugų gavėjus apie priemones, kuriomis viešųjų elektroninių ryšių paslaugų gavėjai gali pasinaudoti saugumo incidentų ir (ar) vientisumo pažeidimų grėsmei, susijusiai su viešųjų elektroninių ryšių paslaugų gavėjų galiniais įrenginiais, pašalinti, ir nurodyti tikėtinas išlaidas, susijusias su tokių priemonių panaudojimu;

4.10. pateikti Tarnybai atsakingo asmens, su kuriuo galima susisiekti visą parą, kontaktinę informaciją, taip pat ir elektroninio pašto adresą, kad būtų operatyviai apsikeista informacija apie saugumo incidentus ir (ar) vientisumo pažeidimus, jų šalinimą tarp Tarnybos ir teikėjo;

4.11. teikti Tarnybai techninę informaciją (į šią informaciją nepatenka asmens duomenys ir srauto duomenys), reikalingą Lietuvos viešųjų ryšių tinklų infrastruktūros saugumo ir vientisumo būsenos stebėsenai, arba sudaryti sąlygas Tarnybai gauti tokią informaciją iš teikėjo viešųjų ryšių tinklų infrastruktūros elementų, Tarnybos ir teikėjo iš anksto nustatyta tvarka ir sąlygomis;

4.12. ne vėliau kaip prieš 1 darbo dieną informuoti viešųjų elektroninių ryšių paslaugų gavėjus apie numatomus planinius darbus, kuriuos atliekant yra tikimybė viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų saugumo ir vientisumo sutrikdymui.

5. Teikėjai turi teisę:

5.1. imtis neatidėliotinų priemonių, įskaitant laikiną viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikimo šių paslaugų gavėjams apribojimą, kai saugumo incidentas ir (ar) vientisumo pažeidimas įvykęs arba yra akivaizdi saugumo incidento ir (ar) vientisumo pažeidimo grėsmė;

5.2. informuoti Tarnybą apie kitus teikėjo nuožiūra svarbius įvykius, susijusius su viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų saugumu ir vientisumu.

III. SAUGUMO INCIDENTŲ IR VIENTISUMO PAŽEIDIMŲ TYRIMAS

6. Tarnyba, pagal Taisyklių 1 priedą įvertinusi užregistruoto saugumo incidento ir (ar) vientisumo pažeidimo pavojingumo laipsnį, imasi būtinų veiksmų saugumo incidentui ir (ar) vientisumo pažeidimui ištirti bei visoms teikėjo pranešimuose nurodytoms aplinkybėms išsiaiškinti:

6.1. saugumo incidentų ir (ar) vientisumo pažeidimų, kurie yra priskirti prie turinčių didelę įtaką (pagal Taisyklių 1 priedą), tyrimai pradedami nedelsiant po to, kai gaunamas teikėjo pranešimas;

6.2. saugumo incidentų ir (ar) vientisumo pažeidimų, kurie yra priskirti prie turinčių vidutinę įtaką (pagal Taisyklių 1 priedą), tyrimai pradedami tik atlikus turinčių didelę įtaką saugumo incidentų ir (ar) vientisumo pažeidimų (pagal Taisyklių 1 priedą) tyrimus arba ne vėliau kaip per 3 darbo dienas nuo teikėjo pranešimo apie saugumo incidentą ir (ar) vientisumo pažeidimą gavimo.

7. Tarnyba užtikrina saugumo incidentų ir (ar) vientisumo pažeidimų tyrimo metu gautos konfidencialios informacijos apsaugą nuo neteisėto šios informacijos paviešinimo, taip pat užtikrina, kad ši informacija nebūtų atskleista, kopijuojama ar naudojama kitiems tikslams, kurie gali sukelti neigiamų padarinių konfidencialią informaciją pateikusiam asmeniui, išskyrus teisės aktuose numatytus atvejus.

8. Prireikus apie įvykusį viešojo ryšių tinklo ar jo dalies, viešųjų elektroninių ryšių paslaugų saugumo ar vientisumo pažeidimą Tarnyba praneša Lietuvos Respublikos Ministro Pirmininko tarnybai, kitų Europos Sąjungos valstybių narių nacionalinėms reguliavimo institucijoms, Europos tinklų ir informacijos apsaugos agentūrai bei visuomenei.

9. Tarnyba nuolat kaupia informaciją apie jai pateiktus teikėjų pranešimus ir įvykdytus veiksmus bei kasmet pateikia apibendrintą informaciją Europos Komisijai ir Europos tinklų ir informacijos apsaugos agentūrai.

iV. BAIGIAMOSIOS NUOSTATOS

10. Tarnybos veiksmai ir neveikimas, susiję su Taisyklių taikymu ir įgyvendinimu, gali būti skundžiami Lietuvos Respublikos įstatymų nustatyta tvarka.

11. Už Taisyklių pažeidimus teikėjai atsako teisės aktų nustatyta tvarka.

_________________

Priedo pakeitimai:

Nr. 1V-122, 2013-01-25, Žin., 2013, Nr. 11-547 (2013-01-30), i. k. 11311RRISAK001V-122

Viešųjų ryšių tinklų ir viešųjų elektroninių

ryšių paslaugų saugumo ir vientisumo

užtikrinimo taisyklių

1 priedas

VIEŠŲJŲ RYŠIŲ TINKLŲ IR (ARBA) VIEŠŲJŲ ELEKTRONINIŲ RYŠIŲ PASLAUGŲ PATEIKIAMUMO SUTRIKIMŲ PASLAUGŲ GAVĖJAMS ĮTAKOS VERTINIMO LENTELĖ

Paslaugos sutrikimo trukmė	Ilgiau nei viena valanda, bet trumpiau nei dvi valandos	Ilgiau nei dvi valandos
Paslaugų gavėjų skaičius arba % nuo bendro teikėjo paslaugų gavėjų skaičiaus	Įtaka
>1000 arba > 5 %	Vidutinė	Didelė
Esant nežinomam paslaugų gavėjų skaičiui, paslaugos aprėpties plotas miesto teritorijoje
> 1 km²	Vidutinė	Didelė
Esant nežinomam paslaugų sutrikimo gavėjų skaičiui, paslaugos sutrikimo aprėpties plotas ne miesto teritorijoje
> 10 km²	Vidutinė	Didelė

_________________

Viešųjų ryšių tinklų ir viešųjų elektroninių

ryšių paslaugų saugumo ir vientisumo

užtikrinimo taisyklių

2 priedas

PRANEŠIMO APIE SAUGUMO INCIDENTĄ IR (AR) VIENTISUMO PAŽEIDIMĄ FORMA

Lietuvos Respublikos ryšių reguliavimo tarnybai

Algirdo g. 27A, LT-03219 Vilnius

tel. (8 5) 210 5679, faks. (8 5) 216 1564

el. paštas cert@cert.lt

Kontaktinė informacija	Teikėjo pavadinimas:
	Atsakingo už saugumo incidento ir (ar) vientisumo pažeidimo šalinimą asmens vardas, pavardė:
	Pareigos:
	Adresas:
	Telefonas, el. pašto adresas:
Saugumo incidento ir (ar) vientisumo pažeidimo apibūdinimas	Tipas:
	Laikas:
	Pažeistų viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų, informacinių sistemų, programinės įrangos ir pan. aprašas:
	Informacija apie saugumo incidento ir (ar) vientisumo pažeidimo priežastis:
	Saugumo incidento ir (ar) vientisumo pažeidimo aprašymas (nurodyti kiek įmanoma detalesnę informaciją):
	Paslaugų gavėjų, kuriems saugumo incidentas ir (ar) vientisumo pažeidimas padarė žalos, apytikris skaičius arba išraiška procentais nuo bendro teikėjo paslaugų gavėjų skaičiaus:
Saugumo incidento ir (ar) vientisumo pažeidimo valdymas	Veiksmai, kurių imtasi (arba planuojama imtis) šalinant saugumo incidentą ir (ar) vientisumo pažeidimą:
Kita svarbi informacija
Data

_________________

Pakeitimai:

Lietuvos Respublikos ryšių reguliavimo tarnyba, Įsakymas

Nr. 1V-122, 2013-01-25, Žin., 2013, Nr. 11-547 (2013-01-30), i. k. 11311RRISAK001V-122

Dėl Lietuvos Respublikos ryšių reguliavimo tarnybos direktoriaus 2011 m. spalio 21 d. įsakymo Nr. 1V-1013 "Dėl Viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų saugumo ir vientisumo užtikrinimo taisyklių patvirtinimo" pakeitimo