Siekdama užtikrinti, kad informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, kokio nors kitokio neteisėto jos tvarkymo, vadovaudamasi Lietuvos Respublikos valstybės registrų įstatymu (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597), įgyvendindama Elektroninės informacijos saugos valstybės institucijų informacinėse sistemose valstybinės strategijos iki 2008 metų įgyvendinimo priemonių plano, patvirtinto Lietuvos Respublikos Vyriausybės 2006 m. birželio 19 d. nutarimu Nr. 601 (Žin., 2006, Nr. 70-2575), 2.1 punktą ir atsižvelgdama į tai, kad informacinės sistemos nuolat tobulinamos, Lietuvos Respublikos Vyriausybė nutaria:

Patvirtinti Bendruosius elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimus (pridedama).

MINISTRAS PIRMININKAS                                                                GEDIMINAS VAGNORIUS

SUSISIEKIMO MINISTRAS,

PAVADUOJANTIS RYŠIŲ IR INFORMATIKOS MINISTRĄ                 ALGIS ŽVALIAUSKAS

1. Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų (toliau vadinama – šie Reikalavimai) tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją (toliau vadinama – informacija) valstybės informacinėse sistemose ir valstybės ar žinybiniuose registruose arba kitose informacinėse sistemose (toliau vadinama – informacinė sistema).

2. Šie Reikalavimai privalomi ministerijoms, Vyriausybės įstaigoms, įstaigoms prie ministerijų ir kitoms Lietuvos Respublikos Vyriausybei atskaitingoms valstybės institucijoms ir įstaigoms (toliau vadinama – valstybės institucija).

Techninius informacinių sistemų elektroninės informacijos saugos reikalavimus nustato vidaus reikalų ministras.

Punkto pakeitimai:

Nr. 743, 2008-07-16, Žin., 2008, Nr. 85-3393 (2008-07-26), i. k. 1081100NUTA00000743

3. Šie Reikalavimai netaikomi įslaptintos informacijos tvarkymui automatiniu būdu, išskyrus riboto naudojimo informaciją.

4. Šiuose Reikalavimuose vartojamos sąvokos:

Saugos politika – pagrindiniai taikytini informacijos saugos užtikrinimo ir valdymo principai, pagrindinės taisyklės, į kuriuos atsižvelgiant turi būti derinami informacinės sistemos (ar informacinių sistemų) veiklos ir naudojimo procesai, procedūros ir rengiami juos reglamentuojantys dokumentai. Informacijos saugos politika išdėstoma informacinės sistemos valdytojo tvirtinamuose Informacinės sistemos duomenų saugos nuostatuose (toliau vadinama – Nuostatai).

Saugos įgaliotinis –valstybės tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, įgyvendinantis elektroninės informacijos saugą informacinėje sistemoje.

Informacinės sistemos naudotojas – valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis teisę naudotis informacinės sistemos ištekliais numatytoms funkcijoms atlikti.

Administratorius – valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, atliekantis informacinės sistemos priežiūrą.

Duomenų perdavimas tinklais – tokia informacinės sistemos funkcija, kai siekiant užtikrinti duomenų tvarkymą, apdorojimą ir teikimą šios sistemos naudotojams, jos dalims ir kitoms informacinėms sistemoms sudaromos sąlygos gauti duomenis ryšių linijomis.

Kitos šiuose Reikalavimuose vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos įstatymuose, kituose teisės aktuose ir Lietuvos standartuose LST ISO/IEC 17799:2006 ir LST ISO/IEC 27001:2006.

Punkto pakeitimai:

Nr. 743, 2008-07-16, Žin., 2008, Nr. 85-3393 (2008-07-26), i. k. 1081100NUTA00000743

5. Užtikrinant informacijos saugą, rekomenduojama vadovautis Lietuvos standartais LST ISO/IEC 17799:2006, LST ISO/IEC 27001:2006, taip pat kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos duomenų tvarkymą.

6. Informacinės sistemos valdytojas privalo turėti pagal Vidaus reikalų ministerijos tvirtinamas Saugos dokumentų turinio gaires parengtus, su Vidaus reikalų ministerija suderintus ir patvirtintus šiuos saugos dokumentus:

7. Šių Reikalavimų 6.2–6.4 punktuose nurodytus dokumentus (toliau vadinama – saugos politiką įgyvendinantys dokumentai) tvirtina informacinės sistemos valdytojas po to, kai patvirtina su Vidaus reikalų ministerija suderintus nuostatus.

8. Teisės aktu, kuriuo tvirtinami Nuostatai, skiriamas saugos įgaliotinis arba pavedama informacinės sistemos tvarkytojui paskirti saugos įgaliotinį ir nurodomi saugos politiką įgyvendinančių dokumentų rengėjai bei saugos politiką įgyvendinančių dokumentų patvirtinimo terminai.

Punkto pakeitimai:

Nr. 743, 2008-07-16, Žin., 2008, Nr. 85-3393 (2008-07-26), i. k. 1081100NUTA00000743

9. Informacinės sistemos valdytojo tvirtinamuose Nuostatuose nustatoma:

10. Saugaus elektroninės informacijos tvarkymo taisyklėse pateikiama:

11. Informacinės sistemos veiklos tęstinumo valdymo planui keliami šie reikalavimai:

12. Informacinės sistemos naudotojų administravimo taisyklėse nustatoma:

13. Informacinių sistemų valdytojams rekomenduojama duomenis teikti naudojant Saugų valstybinį duomenų perdavimo tinklą.

14. Už informacijos tvarkymo teisėtumą ir informacijos saugą atsako informacinės sistemos valdytojas.

15. Informacinės sistemos valdytojas ar tvarkytojas, jeigu jam buvo pavesta skiria saugos įgaliotinį, kuris įgyvendina informacijos saugą informacinėje sistemoje ir atsako už saugos dokumentų reikalavimų vykdymą.

Punkto pakeitimai:

Nr. 743, 2008-07-16, Žin., 2008, Nr. 85-3393 (2008-07-26), i. k. 1081100NUTA00000743

16. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis šiais Reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais.

17. Saugos įgaliotinis, įgyvendindamas elektroninės informacijos saugą informacinėje sistemoje, atlieka šias funkcijas:

18. Saugos įgaliotinis periodiškai inicijuoja informacinės sistemos naudotojų mokymą informacijos saugos klausimais, įvairiais būdais informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai).

19. Administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. Administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.

20. Administratorius atlieka funkcijas, susijusias su informacinės sistemos naudotojų pasirengimo dirbti su informacinėmis sistemomis įvertinimu, jų teisėmis, informacinę sistemą sudarančiais komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo sistemomis, duomenų perdavimu tinklais), šių informacinę sistemą sudarančių komponentų sąranka, informacinių sistemų pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu.

21. Atlikdami informacinės sistemos funkcijų pakeitimus, administratoriai turi laikytis informacinės sistemos valdytojo nustatytos informacinės sistemos pokyčių valdymo tvarkos.

22. Administratorius turi teisę patikrinti (peržiūrėti) informacinės sistemos sąranką ir informacinės sistemos būsenos rodiklius.

23. Informacinės sistemos naudotojai privalo turėti darbo kompiuteriu įgūdžių.

24. Informacinių sistemų valdytojas, valdantis informacines sistemas, kurias sudaro ne mažiau kaip du posistemiai, gali sudaryti informacijos saugos darbo grupes, koordinuosiančias saugos politikos įgyvendinimą valstybės institucijoje, informacijos saugos priemonių ir metodų taikymą valstybės institucijoje ir jos valdomose informacinėse sistemose, analizuosiančias ir koordinuosiančias institucijų informacinėse sistemose įvykusių informacijos saugos incidentų tyrimą ir tvarkysiančias saugos dokumentaciją.

25. Informacinių sistemų valdytojas, valdantis kelias informacines sistemas, taip pat informacines sistemas, kurias sudaro ne mažiau kaip du posistemiai, gali tvirtinti visų valdomų informacinių sistemų bendrus saugos dokumentus ir paskirti visoms valdomoms informacinėms sistemoms vieną saugos įgaliotinį. Skirdamas saugos įgaliotinius kiekvienai valdomai informacinei sistemai, informacinės sistemos valdytojas privalo pavesti vienam iš saugos įgaliotinių koordinuoti saugos įgaliotinių veiklą.

26. Saugos dokumentai valstybės institucijoje turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per metus. Saugos dokumentai turi būti persvarstomi (peržiūrimi) po rizikos analizės ar informacinių technologijų saugos atitikties vertinimo atlikimo arba valstybės institucijoje įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Prireikus saugos dokumentai turi būti tikslinami ir derinami su Vidaus reikalų ministerija.

27. Informacinės sistemos naudotojai, pastebėję saugos dokumentų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai administratoriui arba, jeigu valstybės institucijoje įsteigta informacinių technologijų pagalbos tarnyba, – šiai tarnybai.

28. Administratorius arba informacinių technologijų pagalbos tarnyba apie šių Reikalavimų 27 punkte nurodytus pažeidimus informuoja saugos įgaliotinį. Įtaręs neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią informacinės sistemos saugą (jos konfidencialumą, vientisumą ar prieinamumą), saugos įgaliotinis apie tai turi pranešti kompetentingoms institucijoms.

29. Informacijos saugos incidentų, įvykusių informacinėje sistemoje, tyrimo tvarka nustatoma Informacinės sistemos veiklos tęstinumo valdymo plane.

Punkto pakeitimai:

Nr. 743, 2008-07-16, Žin., 2008, Nr. 85-3393 (2008-07-26), i. k. 1081100NUTA00000743

30. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja visų informacinių sistemų rizikos įvertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį informacinių sistemų rizikos įvertinimą. Informacinės sistemos valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį rašytiniu pavedimu informacinių sistemų rizikos įvertinimą gali atlikti pats saugos įgaliotinis.

Punkto pakeitimai:

Nr. 743, 2008-07-16, Žin., 2008, Nr. 85-3393 (2008-07-26), i. k. 1081100NUTA00000743

31. Informacinių sistemų rizikos įvertinimas išdėstomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugai. Svarbiausieji rizikos veiksniai yra šie:

32. Atsižvelgdamas į rizikos įvertinimo ataskaitą, informacinės sistemos valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

33. Informacinės sistemos valdytojas užtikrina efektyvų ir spartų informacinės sistemos funkcijų pokyčių (toliau vadinama – pokyčiai) valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas, įtakos vertinimą ir pokyčių prioritetų nustatymo procesus. Su tuo susijusios nuostatos numatomos informacinės sistemos valdytojo tvirtinamoje Informacinės sistemos pokyčių valdymo tvarkoje arba Saugaus elektroninės informacijos tvarkymo taisyklėse.

Punkto pakeitimai:

Nr. 743, 2008-07-16, Žin., 2008, Nr. 85-3393 (2008-07-26), i. k. 1081100NUTA00000743

34. Asmuo, inicijuojantis pokytį, be informacinės sistemos valdytojo vadovo rašytinio leidimo negali pokyčio pats įgyvendinti.

35. Funkcijos, susijusios su informacinės sistemos plėtra, turi būti aiškiai atskirtos nuo administravimo (eksploatavimo) funkcijų.

36. Informacinės sistemos sąrankos dokumentacija turi būti nuolat atnaujinama ir rodyti esamą informacinės sistemos sąrankos būklę.

37. Pokyčiai, galintys turėti neigiamą įtaką informacinės sistemos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių duomenų ir kuri atskirta nuo eksploatuojamos informacinės sistemos.

38. Teisės aktų nustatyta tvarka atliekant informacinių technologijų saugos atitikties vertinimą, rekomenduojama:

39. Atlikus šių Reikalavimų 38 punkte nurodytą vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato informacinės sistemos valdytojo vadovas.

40. Informacinės sistemos naudotojai privalo rūpintis informacinės sistemos ir joje tvarkomos informacijos saugumu.

41. Tvarkyti informacinės sistemos duomenis gali tik informacinės sistemos naudotojai, susipažinę su saugos dokumentais ir raštu sutikę laikytis jų reikalavimų.

42. Informacinės sistemos naudotojus su saugos dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina saugos įgaliotinis.

43. Informacinės sistemos naudotojai, pažeidę šių Reikalavimų ir kitų saugų informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako įstatymų nustatyta tvarka.