1. Bendrosios (visiems vienodos) žinybinių saugumo priežiūros tarnybų steigimo ir veiklos taisyklės (toliau – Taisyklės) nustato žinybinių saugumo priežiūros tarnybų (toliau – žinybinė SPT) steigimą, funkcijas, atskaitomybę, veiklos koordinavimą, ir panaikinimą.

2. Taisyklėse vartojamos sąvokos:

Saugumo priežiūros tarnyba (toliau – SPT) – Lietuvos Respublikos Vyriausybės įgaliota valstybės institucija, vykdanti leidimų automatizuotai apdoroti ir perduoti įslaptintą informaciją automatizuoto duomenų apdorojimo (toliau vadinama – ADA) sistemomis ir tinklais išdavimo, šių sistemų ir tinklų apsaugos kontrolės paslapčių subjektuose ir kitas teisės aktuose numatytas funkcijas.

Žinybinė SPT – šiose Taisyklėse nustatyta tvarka paslapčių subjekto vadovo ar jo įgalioto asmens sprendimu įsteigtas arba įgaliotas struktūrinis paslapčių subjekto padalinys, institucija ar įstaiga, vykdanti ADA sistemų ir tinklų apsaugos kontrolės ir leidimų automatizuotai apdoroti ir perduoti įslaptintą informaciją paslapčių subjekto ADA sistemomis ir tinklais išdavimo funkcijas.

Kitos taisyklėse vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatyme (Žin., 1999, Nr. 105-3019; 2004, Nr. 4-29) bei kituose teisės aktuose.

3. Žinybinė SPT savo veikloje vadovaujasi Lietuvos Respublikos Konstitucija, Lietuvos Respublikos tarptautinėmis sutartimis, įstatymais, kitais Lietuvos Respublikos teisės aktais, NATO ir Europos Sąjungos (toliau – ES) įslaptintos informacijos apsaugą reglamentuojančiais dokumentais ir šiomis Taisyklėmis.

4. Žinybinė SPT atlieka šias funkcijas:

5. Paslapčių subjektas, siekiantis įsteigti žinybinę SPT, Lietuvos Respublikos paslapčių koordinavimo komisijai (toliau – komisija) turi pateikti motyvuotą prašymą dėl žinybinės SPT įsteigimo tikslingumo ir dokumentaciją, pagrindžiančią žinybinės SPT būtinumą, kurioje nurodoma paslapčių subjekto valdomų ADA sistemų ir tinklų skaičius, paskirtis, šių ADA sistemų ir tinklų slaptumo žymos, naudotojų kiekis, ADA sistemos ir tinklo aprėptis geografiniu požiūriu. Komisija turi teisę prašyti pateikti papildomą informaciją.

6. Žinybinė SPT gali būti steigiama tik komisijai priėmus sprendimą dėl jos steigimo tikslingumo.

7. Paslapčių subjektas, siekdamas įregistruoti žinybinę SPT, turi pateikti SPT prašymą dėl žinybinės SPT įregistravimo, komisijos sprendimo dėl žinybinės SPT steigimo tikslingumo kopiją, žinybinės SPT nuostatus ir žinybinės SPT darbuotojų pareigybių aprašymus.

8. Žinybinė SPT savo veiklą gali pradėti tik tada, kai šiose Taisyklėse nustatyta tvarka yra įregistruojama SPT.

9. SPT ne vėliau kaip po 10 (dešimt) darbo dienų nuo dokumentų gavimo ir, prireikus atlikto žinybinės SPT patikrinimo, turi priimti vieną iš šių sprendimų:

10. Jeigu SPT priima taisyklių 9.2 punkte numatytą sprendimą, sprendimo motyvo kopija turi būti pateikta dėl žinybinės SPT įregistravimo besikreipiančiam paslapčių subjektui ir komisijai.

11. Atsisakius įregistruoti žinybinę SPT pakartotinis prašymas dėl žinybinės SPT įregistravimo SPT gali būti pateiktas tik pašalinus sprendimo motyve nurodytus trūkumus.

12. SPT koordinuoja žinybinių saugumo priežiūros tarnybų veiklą, susijusią su ADA sistemų ir tinklų apsaugos kontrolės ir leidimų automatizuotai apdoroti ir perduoti įslaptintą informaciją paslapčių subjekto ADA sistemomis ir tinklais išdavimo funkcijų vykdymu.

13. Žinybinė SPT privalo nedelsdama, bet ne vėliau kaip per 2 (dvi) darbo dienas, pranešti SPT apie žinybinės SPT išduotus leidimus automatizuotai apdoroti ir perduoti įslaptintą informaciją paslapčių subjekto ADA sistemomis ir tinklais.

14. Žinybinė SPT privalo nedelsdama pranešti SPT apie žinybinės SPT kompetencijai priskirtose ADA sistemose ir tinkluose įvykusius saugumo incidentus, keliančius grėsmę ADA sistemoms ir tinklams ar juose tvarkomai įslaptintai informacijai, ir imasi priemonių šiems incidentams likviduoti.

15. SPT, įregistravus žinybinę SPT arba jos registravimo metu bei kartą per trejus kalendorinius metus, atlieka žinybinės SPT veiklos, susijusios su ADA sistemų ir tinklų apsaugos kontrolės ir leidimų automatizuotai apdoroti ir perduoti įslaptintą informaciją paslapčių subjekto, ADA sistemomis ir tinklais išdavimo funkcijų vykdymu, patikrinimus.

16. Patikrinimo metu konstatavus, kad žinybinės SPT veikla neatitinka teisės aktuose nustatytų reikalavimų, SPT kreipiasi į paslapčių subjektą, kuriame yra įsteigta minėta žinybinė SPT, su prašymu pašalinti nustatytus trūkumus.

17. Laiku, be pateisinamų priežasčių, nepašalinus nurodytų trūkumų ir / ar apie tai nepranešus SPT, SPT inicijuoja žinybinės SPT išregistravimą. Trūkumų šalinimo metu gali būti sustabdyti ar panaikinti minėtos žinybinės SPT išduoti leidimai automatizuotai apdoroti ir perduoti įslaptintą informaciją paslapčių subjekto ADA sistemomis ir tinklais.

18. Įsteigta žinybinė SPT gali būti panaikinta žinybinę SPT įsteigusio paslapčių subjekto sprendimu. Apie žinybinės SPT panaikinimą informuojama SPT ir komisija.

19. Panaikinus ar išregistravus žinybinę SPT visi jos įgaliojimai, teisės, išduoti ADA sistemoms leidimai ir kiti dokumentai atitenka SPT.

20. SPT sprendimai dėl žinybinės SPT veiklos (neregistravimo, išregistravimo, patikrinimų ir kitais klausimais) gali būti skundžiami komisijai.

1. Dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, rengimo ir leidimų automatizuotai apdoroti įslaptintą informaciją išdavimo taisyklės (toliau – taisyklės) nustato dokumentų, kuriuos privalo pateikti automatizuoto duomenų apdorojimo (toliau – ADA) sistemų ir tinklų, kuriuose saugoma, apdorojama ar perduodama įslaptinta informacija, valdytojai, siekdami gauti leidimą automatizuotai apdoroti ir perduoti įslaptintą informaciją ADA sistemomis ir tinklais arba siekdami sujungti ADA sistemas ir tinklus, turinį, leidimų rūšis ir jų išdavimo procedūrą.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

2. Taisyklėse vartojamos sąvokos:

Saugumo aplinka – apibrėžta teritorija, patalpa ar erdvė, kurioje išdėstyta įranga, užtikrinanti įslaptintą informaciją tvarkančios ADA sistemos ir tinklo veikimą, kurioje nustatytos atitinkamos saugumo valdymo procedūros arba kurioje tvarkoma įslaptinta informacija.

Saugumo valdymo procedūros – Saugumo valdymo procedūrų apraše aprašytos įslaptintos informacijos apsaugos reikalavimų įgyvendinimo instrukcijos.

Globali saugumo aplinka – perimetro fizinės apsaugos priemonėmis apsaugota saugumo aplinka, kurioje įdiegti ADA sistema ir tinklai ar jų sudėtinės dalys.

Lokali saugumo aplinka – globalios saugumo aplinkos apsuptos I ir (ar) II klasių saugumo zonos, kuriose įdiegti ir arba eksploatuojami ADA sistemos ir tinklai ar jų sudėtinės dalys.

Elektroninė saugumo aplinka – saugumo aplinka, kurioje elektroniniu būdu tvarkoma įslaptinta informacija, kuri yra saugoma techninėmis ir programinėmis ADA sistemų ir tinklų apsaugos priemonėmis.

Grėsmė – vienos ar daugiau įslaptintos informacijos savybių – konfidencialumo, vientisumo ar prieinamumo – praradimo galimybė.

Rizika – grėsmės pasireiškimo per tam tikrą laiko tarpą tikimybė.

Pažeidžiamumas –ADA sistemos ir tinklo savybė, sudaranti galimybę pasireikšti grėsmei.

ADA sistemos ar tinklo valdytojas – ADA sistemos ar tinklo nuostatuose nurodytas paslapčių subjektas arba jo įgaliotas struktūrinis padalinys, arba rangovas (subrangovas), kuris valdo ADA sistemą ar tinklą, juos sukūręs ar užsakęs sukurti arba įsigijęs.

Kitos taisyklėse vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatyme (Žin., 1999, Nr. 105-3019; 2004, Nr. 4-29) bei kituose teisės aktuose.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

3. Leidimų automatizuotai apdoroti ir perduoti įslaptintą informaciją ADA sistemomis ir tinklais išdavimo procedūra apima:

4. Gali būti išduoti trijų rūšių leidimai automatizuotai apdoroti ir perduoti įslaptintą informaciją ADA sistemomis ir tinklais:

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

5. ADA sistemų ir tinklų apsauga užtikrinama vadovaujantis Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymu (Žin., 1999, Nr. 105-3019; 2004, Nr. 4-29), Lietuvos Respublikos paslapčių apsaugos koordinavimo komisijos nustatytais reikalavimais, Saugumo priežiūros tarnybos patvirtintais Automatizuoto duomenų apdorojimo sistemų ir tinklų, kuriuose bus saugoma, apdorojama ar kuriais bus perduodama įslaptinta informacija, saugumo reikalavimais, Nacionalinės šifrų paskirstymo tarnybos bei Nacionalinės komunikacijų apsaugos tarnybos nustatytais reikalavimais ir kitais Lietuvos Respublikos, NATO ir Europos Sąjungos įslaptintos informacijos apsaugą reglamentuojančiais dokumentais.

6. Valdytojas, siekdamas gauti leidimą, žinybinei saugumo priežiūros tarnybai (toliau – žinybinė SPT) arba, jeigu žinybinė SPT nėra įsteigta – Saugumo priežiūros tarnybai (toliau – SPT), turi pateikti paraišką leidimui gauti. Kartu su paraiška leidimui gauti turi būti pateikiami šie ADA sistemos ir tinklo apsaugą aprašantys dokumentai:

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

6¹. Rangovo ADA sistemas ir tinklus, kuriuose numatoma automatizuotai apdoroti įslaptintą informaciją ar kuriais numatoma tokią informaciją perduoti, vertina ir leidimus automatizuotai apdoroti ir perduoti įslaptintą informaciją ADA sistemomis ir tinklais išduoda žinybinė SPT arba SPT įslaptintų sandorių saugumą užtikrinančios institucijos rašytiniu prašymu.

Papildyta punktu:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

7. Specifinių saugumo reikalavimų aprašas (toliau – SSRA) – tai ADA sistemos ir tinklo apsaugos organizavimo principų ir detalių saugumo reikalavimų sąvadas. SSRA tikslas yra apibrėžti saugios ADA sistemos ir tinklo būseną, jos saugumui kylančias grėsmes ir reikalavimus, keliamus ADA sistemos ir tinklo apsaugai. SSRA privalomai turi būti pateikta ši informacija:

8. Saugumo valdymo procedūrų aprašas (toliau – SVPA) – tai dokumentas, kuriame tiksliai aprašomas SSRA įvardytų reikalavimų įgyvendinimas ir ADA sistemos ir tinklo apsaugos organizavimo užtikrinimo procedūros.

9. SVPA privalomai turi būti nurodyta:

10. Rizikos analizės tikslas yra išsiaiškinti rizikos valdymo principus, galimas ADA sistemos ir tinklo grėsmes, pažeidžiamumus, įgyvendintas ir galimas įgyvendinti saugos priemones, taip pat priimtiną rizikos lygį ir liekamosios rizikos veiksnius. Rengiant rizikos analizę rekomenduojama vadovautis Vidaus reikalų ministerijos parengtu ir išleistu Rizikos analizės vadovu.

11. Rizikos analizė turi būti atliekama ADA sistemos ar tinklo valdytojo sudarytos ekspertų grupės. Rizikos analizėje turi būti pateikiama ši informacija:

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

12. Saugumo reikalavimų įgyvendinimo patikrinimo plano tikslas – patikrinti informaciją apie SSRA ir SVPA nurodytų apsaugos priemonių įgyvendinimą ADA sistemoje ir tinkle. Saugumo reikalavimų įgyvendinimo patikrinimo plane turi būti pateikiama ši informacija:

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

13. Visi taisyklių 6 punkte nurodyti dokumentai gali būti papildyti kita, su ADA sistemos ar tinklo saugumu susijusia informacija. Tuo atveju, jei II skyriuje reikalaujamos nurodyti nuostatos yra išdėstytos kituose teisės aktuose, turi būti pateikti šie teisės aktai, o taisyklių 6 punkte nustatytuose dokumentuose turi būti pateiktos nuorodos į minėtus teisės aktus.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

14. Sprendimą dėl leidimo, laikino leidimo ar riboto leidimo išdavimo, neišdavimo, galiojimo sustabdymo, anuliavimo ar atsisakymo vertinti ADA sistemą ir tinklus priima žinybinė saugumo priežiūros tarnyba (toliau – žinybinė SPT) ar saugumo priežiūros tarnyba (toliau – SPT).

14¹. ADA sistemos ar tinklo vertinimo ir patikrinimo metu įvertinama, ar parengti ir pateikti visi būtini ADA sistemos ar tinklo saugos dokumentai, ar saugos dokumentų nuostatos atitinka taisyklių 5 punkte nurodytų teisės aktų nuostatas ir reikalavimus, taip pat patikrinama, kaip ADA sistemoje ar tinkle įgyvendinti saugumo reikalavimai, atsižvelgiant į pateiktą ADA sistemos ar tinklo saugumo reikalavimų įgyvendinimo patikrinimo ataskaitą. Žinybinė SPT ar SPT nepriklausomai patikrina ir įvertina ADA sistemos ar tinklo atitiktį minėtiems reikalavimams. Žinybinė SPT ar SPT turi teisę pasitelkti Nacionalinės komunikacijų apsaugos tarnybos, Nacionalinės šifrų paskirstymo tarnybos ar institucijos, užtikrinančios apsaugą nuo informatyviojo elektromagnetinio spinduliavimo (TEMPEST), atstovus dėl saugumo reikalavimų, susijusių su šių institucijų kompetencija, patikrinimo.

Papildyta punktu:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

15. Leidimas gali būti išduodamas tik vertinimo ir patikrinimo metu nustačius ADA sistemų ir tinklų atitiktį taisyklių 5 punkte nustatytiems reikalavimams. Leidimas turi būti išduodamas ne vėliau kaip per 3 mėnesius nuo ADA sistemos ar tinklo valdytojo paraiškos dėl leidimo automatizuotai apdoroti ir perduoti įslaptintą informaciją išdavimo gavimo žinybinėje SPT ar SPT dienos. ADA sistema ar tinklu leidžiamų atlikti funkcijų apimtis, atitiktis nustatytiems reikalavimams nurodoma ADA sistemos ar tinklo vertinimo ir patikrinimo išvadoje.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

16. Laikinas leidimas išduodamas per taisyklių 15 punkte nustatytą terminą vertinimo metu nustačius ADA sistemų ir tinklų atitiktį taisyklių 5 punkte nustatytiems reikalavimams, tačiau dėl objektyvių priežasčių nesant galimybės atlikti patikrinimą, arba vertinimo ir patikrinimo metu nustačius ADA sistemų ir tinklų atitikties nustatytiems reikalavimams trūkumus, kurie nekelia kritinės grėsmės ADA sistemų ir tinklų saugumui, yra žinomi ADA sistemos ar tinklo valdytojui ir yra sudarytas ADA sistemos ar tinklo valdytojo vadovo įsakymu patvirtintas ADA sistemos ar tinklo atitikties nustatytiems reikalavimams trūkumų šalinimo planas. ADA sistema ar tinklu leidžiamų atlikti funkcijų apimtis, atitiktis nustatytiems reikalavimams, nustatyti trūkumai, kurie nekelia kritinės grėsmės ADA sistemos ar tinklo saugumui, bei jų pašalinimo terminai nurodomi ADA sistemos ar tinklo vertinimo ir patikrinimo išvadoje.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

17. Ribotas leidimas išduodamas per taisyklių 15 punkte nustatytą terminą vertinimo ir patikrinimo metu nustačius ADA sistemų ir tinklų atitiktį taisyklių 5 punkte nustatytiems reikalavimams, atsižvelgiant į ADA sistemos ar tinklo valdytojo prašomų leisti atlikti vienkartinių veiksmų pobūdį, arba vertinimo ir patikrinimo metu nustačius ADA sistemų ir tinklų atitikties nustatytiems reikalavimams trūkumus, kurie nekelia kritinės grėsmės ADA sistemų ir tinklų saugumui ir yra žinomi ADA sistemos ar tinklo valdytojui. ADA sistema ar tinklu leidžiamų atlikti funkcijų (vienkartinių veiksmų) apimtis nurodoma ADA sistemos ar tinklo vertinimo ir patikrinimo išvadoje.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

18. Prireikus vertinti ir patikrinti ADA sistemą ir tinklą, žinybinė SPT ar SPT teisės aktų nustatyta tvarka gali inicijuoti vertinimo ir patikrinimo darbo grupės sudarymą ar inicijuoti kreipimąsi į nepriklausomus ekspertus.

19. Žinybinė SPT ar SPT turi teisę bet kuriuo ADA sistemos ar tinklo vertinimo ar patikrinimo momentu reikalauti iš ADA sistemos ar tinklo valdytojo papildomų dokumentų, o per nustatytą terminą negavusi reikalaujamų dokumentų,– atsisakyti išduoti prašomą leidimą, laikiną leidimą ar ribotą leidimą.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

20. Žinybinė SPT ar SPT per taisyklių 15–17 punktuose nustatytą terminą priima sprendimą:

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

21. Leidimų, laikinų leidimų ir ribotų leidimų geografiškai nutolusiomis, priklausančiomis skirtingoms institucijoms ar valstybėms ADA sistemomis ir tinklais automatizuotai apdoroti įslaptintą informaciją, išdavimui turi būti sukurta sujungtų ADA sistemų ir tinklų vertinimo ir patikrinimo taryba (toliau – akreditavimo taryba). Akreditavimo tarybą gali sudaryti žinybinės (-ių) SPT, SPT, institucijų, atliekančių Nacionalinės komunikacijų apsaugos tarnybos, Nacionalinės šifrų paskirstymo tarnybos, apsaugos nuo elektromagnetinio spinduliavimo tarnybų funkcijas, Paslapčių apsaugos koordinavimo komisijos, asmenys, atsakingi už ADA sistemos ir tinklo saugumą (toliau – akreditavimo tarybos nariai). Akreditavimo tarybos veikla remiasi tarp akreditavimo tarybos narių pasirašytu susitarimu, kuriame nusakoma akreditavimo tarybos narių įgaliojimai, akreditavimo tarybos funkcijos. Akreditavimo taryba ADA sistemos ir tinklo vertinime ir patikrinime turi vadovautis šiomis taisyklėmis ir kitais Lietuvos Respublikos teisės aktais.

22. Akreditavimo taryba turi būti sudaryta prieš pradedant sujungtų ADA sistemų ir tinklų vertinimą ir patikrinimą, o panaikinta panaikinus ADA sistemų ir tinklų sujungimą. Akreditavimo taryba turi būti suburta, kuomet įvykdomi esminiai pakeitimai ADA sistemose ir tinkluose, veikiantys sujungtų ADA sistemų ir tinklų saugumą, arba likus iki leidimo galiojimo pabaigos ne mažiau kaip 4 mėnesiams.

23. ADA sistemų ir tinklų valdytojai, siekiantys gauti leidimą sujungtomis ADA sistemomis ir tinklais apdoroti ir perduoti įslaptintą informaciją, ADA sistemų vertinimo ir patikrinimo tarybai pateikia šių taisyklių 6 punkte nurodytus dokumentus ir papildo juos ADA sistemų ir tinklų ribų apsaugos mechanizmų reikalavimais, numatytais institucijos, atliekančios Nacionalinės komunikacijų apsaugos tarnybos funkcijas, nustatyta tvarka. Leidimo sujungtai ADA sistemai ir tinklui išdavimo procesas gali būti pradėtas tik ADA sistemoms ir tinklams, kurie jau turi leidimus, laikinus leidimus ar ribotus leidimus ir pateikus šių leidimų kopijas akreditavimo tarybai.

24. Sujungtų ADA sistemų vertinimas ir patikrinimas vykdomas šių taisyklių nustatyta bendra ADA sistemų ir tinklų vertinimo ir patikrinimo tvarka.

25. Jei leidimas, laikinas leidimas ar ribotas leidimas yra išduotas žinybinės SPT sprendimu, atitinkamo leidimo kopija per 2 darbo dienas nuo leidimo įregistravimo turi būti nusiųsta SPT.

26. Priėmus sprendimą neišduoti leidimo, laikino leidimo ar riboto leidimo arba anuliavus leidimo, laikino leidimo ar riboto leidimo išdavimą, pakartotinai paraiška gali būti teikiama ne anksčiau kaip po 3 mėnesių nuo šiame punkte nurodyto sprendimo priėmimo ir tik pašalinus motyvuotoje išvadoje ar sprendime dėl leidimo, laikino leidimo ar riboto leidimo anuliavimo nurodytus trūkumus.

27. Leidimas išduodamas ne ilgesniam nei 3 metų terminui. Laikinas leidimas gali būti išduodamas ne ilgesniam kaip 1 metų terminui. Riboto leidimo trukmė nustatoma priklausomai nuo funkcijų svarbos ir apimties, kurias leidžiama atlikti ADA sistema ir tinklu, tačiau negali būti ilgesnė nei 3 mėnesiai.

27¹. Jeigu rangovas (subrangovas) jau turi išduotą galiojantį įmonės patikimumą patvirtinantį pažymėjimą (juridinio asmens) arba rangovo (subrangovo) leidimą dirbti ar susipažinti su įslaptinta informacija (fizinio asmens), leidimas, laikinas leidimas ar ribotas leidimas įsigalioja nuo jo išdavimo dienos ir galioja terminą, nurodytą taisyklių 27 punkte, bet ne ilgiau nei įmonės patikimumą patvirtinantis pažymėjimas arba rangovo (subrangovo) leidimas dirbti ar susipažinti su įslaptinta informacija ir netenka galios nuo įmonės patikimumą patvirtinančio pažymėjimo arba rangovo (subrangovo) leidimo dirbti ar susipažinti su įslaptinta informacija baigimo galioti arba panaikinimo dienos.

Jeigu rangovas (subrangovas) neturi išduoto galiojančio įmonės patikimumą patvirtinančio pažymėjimo (juridinio asmens) arba rangovo (subrangovo) leidimo dirbti ar susipažinti su įslaptinta informacija (fizinio asmens), leidimas, laikinas leidimas ar ribotas leidimas įsigalioja nuo įmonės patikimumą patvirtinančio pažymėjimo arba rangovo (subrangovo) leidimo dirbti ar susipažinti su įslaptinta informacija išdavimo dienos ir galioja terminą, nurodytą taisyklių 27 punkte, bet ne ilgiau nei įmonės patikimumą patvirtinantis pažymėjimas arba rangovo (subrangovo) leidimas dirbti ar susipažinti su įslaptinta informacija ir netenka galios nuo įmonės patikimumą patvirtinančio pažymėjimo arba rangovo (subrangovo) leidimo dirbti ar susipažinti su įslaptinta informacija baigimo galioti arba panaikinimo dienos.

Papildyta punktu:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

28. ADA sistemos ir tinklų valdytojas privalo kreiptis pakartotinai dėl leidimo ar laikino leidimo išdavimo:

29. Šių taisyklių 28 punkte nurodytais atvejais valdytojas žinybinei SPT (jei tokios nėra įsteigta – SPT) siunčia taisyklių 6 punkte nurodytą paraišką su leidimui ar laikinam leidimui gauti reikalingais dokumentais.

30. Leidimų, laikinų leidimų ar ribotų leidimų ADA sistemoms ir tinklams, ir sujungtoms ADA sistemoms ir tinklams dirbti su įslaptinta informacija apskaitą tvarko žinybinė SPT (jei tokios nėra įsteigta – SPT).

31. SPT ir žinybinė SPT pildo išduotų leidimų, laikinų leidimų ar ribotų leidimų žurnalus bei saugo leidimų, laikinų leidimų ar ribotų leidimų kopijas kartu su leidimui, laikinam leidimui ar ribotam leidimui gauti pateiktais dokumentais.

32. SPT saugo žinybinių SPT išduotų leidimų, laikinų leidimų ar ribotų leidimų ADA sistemoms ir tinklams, ir sujungtoms ADA sistemoms ir tinklams kopijas.

33. SPT ar žinybinės SPT sprendimai dėl leidimo, laikino leidimo ar riboto leidimo ADA sistemoms ir tinklams išdavimo, neišdavimo ar panaikinimo gali būti skundžiami Lietuvos Respublikos paslapčių apsaugos koordinavimo komisijai.

1. Automatizuoto duomenų apdorojimo sistemų ir tinklų, kuriuose bus saugoma, apdorojama ar kuriais bus perduodama įslaptinta informacija, saugumo reikalavimų aprašas (toliau – aprašas) nustato reikalavimus automatizuoto duomenų apdorojimo (toliau – ADA) sistemoms ir tinklams, kuriuose saugoma, apdorojama ar kuriais perduodama įslaptinta informacija, siekiant užtikrinti ADA sistemose saugomos, apdorojamos ir ADA tinklais perduodamos įslaptintos informacijos slaptumą (konfidencialumą), šios informacijos bei ADA sistemų ir tinklų paslaugų ir išteklių vientisumą ir prieinamumą viso ADA sistemų ir tinklų gyvavimo ciklo metu.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

2. Apraše vartojamos sąvokos:

ADA sistemos ar tinklo valdytojas – ADA sistemos ar tinklo nuostatuose nurodytas paslapčių subjektas arba jo įgaliotas struktūrinis padalinys, arba rangovas (subrangovas), kuris valdo ADA sistemą ar tinklą, juos sukūręs ar užsakęs sukurti arba įsigijęs.

ADA sistemos ar tinklo tvarkytojas – ADA sistemos ar tinklo nuostatuose nurodytas paslapčių subjektas arba jo įgaliotas struktūrinis padalinys, arba rangovas (subrangovas), kuris pagal ADA sistemos ar tinklo nuostatus įgaliotas tvarkyti ADA sistemą ar tinklą, jų duomenis.

ADA sistemos ar tinklo naudotojas – asmuo, kuriam ADA sistemos ar tinklo valdytojas arba tvarkytojas, pagal ADA sistemos ar tinklo nuostatuose apibrėžtą kompetenciją, suteikė teisę naudotis ADA sistema ar tinklu.

ADA sistemos ar tinklo slaptumo žyma – aukščiausia slaptumo žyma, kuria pažymėta įslaptinta informacija gali būti saugoma, apdorojama ADA sistemoje ar perduodama ADA tinklu.

Įgaliotoji institucija – institucija, kuriai teisės aktais pavesta atlikti Nacionalinės komunikacijų apsaugos tarnybos arba Nacionalinės šifrų paskirstymo tarnybos, arba Saugumo priežiūros tarnybos, arba apsaugos nuo informatyviojo elektromagnetinio spinduliavimo (TEMPEST) funkcijas.

RN sistema ar tinklas – ADA sistema, kurioje saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Riboto naudojimo“, ar tinklas, kuriuo tokia informacija yra perduodama.

KF sistema ar tinklas – ADA sistema, kurioje saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Konfidencialiai“, ar tinklas, kuriuo tokia informacija yra perduodama.

S sistema ar tinklas – ADA sistema, kurioje saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Slaptai“, ar tinklas, kuriuo tokia informacija yra perduodama.

VS sistema ar tinklas – ADA sistema, kurioje saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Visiškai slaptai“, ar tinklas, kuriuo tokia informacija yra perduodama.

Saugos dokumentai – ADA sistemos ar tinklo valdytojo įsakymu patvirtinti teisės aktai, reglamentuojantys ADA sistemos ar tinklo saugą, nurodyti Dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, rengimo ir leidimų automatizuotai apdoroti įslaptintą informaciją išdavimo taisyklėse.

Saugumo incidentas – įvykis, veiksmas ar neveikimas, kuris sudaro ar gali sudaryti sąlygas neteisėtai prisijungti prie ADA sistemos ar tinklo, sutrikdyti ar pakeisti (įskaitant valdymo perėmimą) ADA sistemos ar tinklo veikimą, sunaikinti, sugadinti, ištrinti ar pakeisti įslaptintą informaciją, elektroninius duomenis, panaikinti ar apriboti galimybę naudotis įslaptinta informacija, elektroniniais duomenimis, taip pat sudaryti sąlygas pasisavinti, paskelbti, platinti ar kitaip neteisėtai naudoti įslaptintą informaciją, elektroniniais duomenimis.

Kitos apraše vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatyme ir kituose teisės aktuose.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

3. Aprašas skirtas užtikrinti:

Reikalavimai skirti užtikrinti:

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

4. Užsienio valstybių, Europos Sąjungos ir tarptautinių organizacijų įslaptintos informacijos, ADA sistemų ir tinklų saugumui šis aprašas taikomas tiek, kiek neprieštarauja Lietuvos Respublikos tarptautinėms sutartims ir šiomis sutartimis grindžiamiems bei jas įgyvendinantiems tarptautinių organizacijų sprendimams ir Europos Sąjungos teisės aktams.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

5. Turi būti paskirtas ADA sistemos ar tinklo saugos įgaliotinis (toliau – saugos įgaliotinis), kuris atsako už ADA sistemos ar tinklo saugos reikalavimų įgyvendinimo organizavimą ir kontrolę. Esant poreikiui, gali būti skiriami saugos įgaliotiniai struktūriniuose ADA sistemos ar tinklo tvarkytojo padaliniuose (toliau – tvarkytojo saugos įgaliotinis), kurie atlieka saugos įgaliotinio funkcijas saugos įgaliotinio nustatytos kompetencijos ribose ir yra jam atskaitingi.

6. Turi būti paskirtas ADA sistemos ar tinklo administratorius (toliau – administratorius). Administratoriai yra atskaitingi saugos įgaliotiniui. Saugos įgaliotinį skirti administratoriumi draudžiama. Administratoriaus funkcijas gali būti pavesta vykdyti ADA sistemos ar tinklo valdytojo struktūriniam padaliniui.

7. Jeigu ADA sistemoje ar tinkle naudojamos kriptografinės priemonės, turi būti paskirtas ADA sistemos ar tinklo kriptografinių priemonių administratorius (administratorius) (toliau – kriptografinių priemonių administratorius). Kriptografinių priemonių administratoriai yra atskaitingi saugos įgaliotiniui. Saugos įgaliotinį skirti kriptografinių priemonių administratoriumi draudžiama.

8. Saugos įgaliotinis, administratorius ir kriptografinių priemonių administratorius gali turėti pavaduotojus.

9. Saugos įgaliotinis, administratorius ir kriptografinių priemonių administratorius įgyvendina atsakingo asmens funkcijas organizuojant ADA sistemų ir tinklų apsaugą ADA sistemos ar tinklo valdytojo institucijoje nustatytas Valstybės ir tarnybos paslapčių įstatyme.

10. ADA sistemos ar tinklo valdytojo funkcijos ir atsakomybė:

11. ADA sistemos ar tinklo valdytojas turi teisę įgalioti ADA sistemos ar tinklo tvarkytoją atlikti tam tikras savo funkcijas.

12. Saugos įgaliotinio funkcijos ir atsakomybė:

13. Administratoriaus atsakomybė ir funkcijos:

14. Reikalavimai kriptografinių priemonių administratoriui, jo funkcijos ir atsakomybė nustatomi Bendrosiose įslaptintos informacijos kriptografinės apsaugos taisyklėse.

15. ADA sistemos ar tinklo rizikos valdymas turi būti sudėtinė ADA sistemos ar tinklo valdymo proceso dalis viso ADA sistemos ar tinklo gyvavimo ciklo metu.

16. ADA sistemos ar tinklo eksploatavimo metu rizikos vertinimas turi būti atliekamas:

17. ADA sistemos ar tinklo eksploatavimo metu atitikties saugos reikalavimams vertinimas (toliau – atitikties vertinimas) turi būti atliekamas:

18. Neeilinis rizikos ir (ar) atitikties vertinimas turi būti vykdomas:

19. Po rizikos ir (ar) atitikties vertinimo saugos įgaliotinis organizuoja rizikos valdymo ir (ar) neatitikčių šalinimo plano sudarymą, kurį teikia tvirtinti ADA sistemos ar tinklo valdytojui. Planas (planai) ir rizikos ir (ar) atitikties vertinimo dokumentacija pateikiami žinybinei Saugumo priežiūros tarnybai, o jeigu tokia neįsteigta – Saugumo priežiūros tarnybai.

20. ADA sistemose ir tinkluose taikomos techninės apsaugos priemonės ir mechanizmai turi atitikti reikalavimus, keliamus įslaptintos informacijos, žymimos atitinkama slaptumo žyma, apsaugai. Taikomų techninių apsaugos priemonių ir mechanizmų tinkamumas įslaptintos informacijos apsaugai teisės aktų nustatyta tvarka turi būti patvirtintas įgaliotųjų institucijų.

21. ADA sistemų ir tinklų sudėtinės dalys ir tvarkomos įslaptintos informacijos apsaugos mechanizmai turi būti diegiami ir eksploatuojami vadovaujantis įgaliotųjų institucijų reikalavimais.

22. KF, S ir VS sistemų ir tinklų sudėtinės dalys, išskyrus teisės aktų nustatytas išimtis, turi būti įrengiamos ne žemesnėje kaip II klasės saugumo zonoje. Tokių ADA sistemų ir tinklų tarnybinės stotys, kriptografinė ryšio apsaugos įranga ir kiti kritiniai ADA sistemos ir tinklo komponentai turi būti įrengiami I klasės saugumo zonoje. KF ir S sistemų kriptografinę įrangą, kuri naudojama tik darbo valandomis ir aktyvuojama specialiomis lustinėmis kortelėmis arba raktais, leidžiama įrengti II klasės saugumo zonoje. RN sistemų ir tinklų sudėtinės dalys, išskyrus teisės aktų nustatytas išimtis, turi būti įrengiamos ne žemesnėje kaip administracinėje saugumo zonoje, o tokių ADA sistemų ir tinklų tarnybinės stotys ir kiti kritiniai ADA sistemos ir tinklo komponentai turi būti įrengiami ne žemesnėje kaip II klasės saugumo zonoje.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

23. Prieigos prie ADA sistemos ar tinklo teisė suteikiama ADA sistemos ar tinklo valdytojo sprendimu, vadovaujantis principu „būtina žinoti“. ADA sistemos ar tinklo naudotojas privalo turėti galiojantį leidimą dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma, atitinkančia ADA sistemos ar tinklo slaptumo žymą arba aukštesne. Kiekvienas ADA sistemos ar tinklo naudotojas privalo turėti unikalų identifikatorių. ADA sistemos ar tinklo saugos įgaliotinis ir administratorius privalo turėti galiojantį leidimą dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma, atitinkančia ADA sistemos ar tinklo slaptumo žymą arba aukštesne.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

24. ADA sistemos ar tinklo priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą administratoriaus identifikatorių, kuriuo naudojantis nebūtų galima modifikuoti, naikinti ar kitaip keisti ADA sistemos ar tinklo sisteminiuose įvykių žurnaluose saugomos informacijos ir keisti sisteminių įvykių žurnalų pildymo nustatymų. Atlikti ADA sistemos ar tinklo naudotojo funkcijas, naudojantis šiuo identifikatoriumi, draudžiama.

25. ADA sistemos ar tinklo naudotojas privalo užtikrinti „Būtina žinoti“ principo laikymąsi ir neleisti bei nesudaryti sąlygų asmenims susipažinti su jiems neskirta įslaptinta informacija.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

26. ADA sistemos ar tinklo naudotojui neatliekant jokių veiksmų (RN ir KF sistemoje ar tinkle – 15 min., S ir VS sistemoje ar tinkle – 10 min.), ADA sistema ar tinklas turi užtikrinti, kad toliau naudotis ADA sistema ar tinklu galima būtų tik pakartojus tapatybės nustatymo ir patvirtinimo veiksmus.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

27. ADA sistemos ar tinklo naudotojo prieiga turi būti blokuojama, jei žinoma, kad šis naudotojas nesinaudos (atostogauja, išvykęs į komandiruotę, serga ir pan.) RN ir KF sistema ar tinklu – daugiau kaip 2 mėnesius, S ir VS sistema ar tinklu – daugiau kaip 1 mėnesį.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

28. Jeigu ADA sistemos ar tinklo naudotojas nesilaiko įslaptintos informacijos apsaugos reikalavimų, piktnaudžiauja jam suteiktais įgaliojimais, yra nušalintas nuo pareigų, ADA sistemos ar tinklo valdytojo ar tvarkytojo sprendimu ADA sistemos ar tinklo naudotojo prieiga prie ADA sistemos ar tinklo turi būti blokuojama nedelsiant, iki aplinkybių išsiaiškinimo.

29. Asmenų, netekusių 23 p. nurodytų leidimų, arba asmenų, kurie nebeatitinka principo „Būtina žinoti“, prieiga prie atitinkamos įslaptintos informacijos ir (ar) ADA sistemos ar tinklo turi būti nedelsiant panaikinama.

30. Reikalavimus tapatybės patvirtinimo priemonėms nustato Nacionalinė komunikacijų apsaugos tarnyba.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

31. ADA sistemose ir tinkluose turi būti užtikrintas nuolatinis įvykių (ADA sistemos ar tinklo veiklos įrašų) registravimas, nurodant laiką ir susijusį naudotojo identifikatorių. Reikalaujamų registruoti įvykių sąrašą nustato Nacionalinė komunikacijų apsaugos tarnyba. ADA sistemos ar tinklo valdytojas, vadovaudamasis rizikos analize, gali savo sprendimu papildyti minėtą sąrašą. Įvykiai turi būti registruojami pagrindiniame ir rezerviniame (jei leidžia ADA sistemos ar tinklo funkcionalumas – nutolusiame) įvykių žurnaluose. Laikrodžiai, pagal kuriuos nustatomas įvykių laikas, turi būti sinchronizuoti, išskyrus ADA sistemas, kurias sudaro pavieniai, nesujungti kompiuteriai. Turi būti priemonės, leidžiančios nustatyti su įvykiais susijusius asmenis visą įvykių žurnalų saugojimo laiką.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

32. VS sistemose papildomai turi būti užtikrintas registravimas sėkmingų ir nesėkmingų bandymų prieiti prie kiekvienos informacijos rinkmenos, pažymėtos slaptumo žyma „Visiškai slaptai“.

33. ADA sistemos ar tinklo įvykių žurnalų pildymo nustatymų keitimas ir žurnalų kopijų darymas turi būti atliekamas naudojant atskirą tik tam skirtą identifikatorių. Minėti veiksmai turi būti atliekami tik užtikrinus ADA sistemos ar tinklo valdytojo vadovo, saugos įgaliotinio ir administratoriaus dalyvavimą ir kontrolę.

34. ADA sistemos ar tinklo įvykių žurnalų įrašai turi būti saugomi S sistemose ir tinkluose – 5 metus, VS sistemose ir tinkluose – 10 metų, RN ir KF sistemoms ir tinklams reikalavimas netaikomas. Jeigu ADA sistema ar tinklas likviduojami, įvykių žurnalas turi būti saugomas atitinkamai 5 metus arba 10 metų nuo likvidavimo dienos.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

35. Patalpos, kuriose įrengta ADA sistemos ar tinklo įranga, turi atitikti reikalavimus, keliamus patalpoms, kuriose saugoma ar kuriose dirbama su atitinkama žyma pažymėta įslaptinta informacija.

36. ADA sistemos ar tinklo ranga (taip pat ir nešiojamieji kompiuteriai, kiti mobilieji įrenginiai), kurioje saugoma įslaptinta informacija, turi būti gabenama laikantis įslaptintos informacijos, gaminių ir kitų objektų, žymimų slaptumo žyma, atitinkančia ADA sistemos ar tinklo slaptumo žymą, gabenimo reikalavimų.

37. ADA sistemos ar tinklo įrenginiai turi būti pažymėti ADA sistemos ar tinklo slaptumo žymą nurodančia informacine užklija (užklijomis).

38. ADA sistemos ar tinklo įrenginiai turi būti apsaugoti apsauginėmis užklijomis. Apsauginių užklijų turi būti tiek ir jos turi būti tokio dydžio, kad neleistų atidaryti įrenginio korpuso, jų nepažeidžiant. Jeigu leidžia įrenginio konstrukcija ir (ar) funkcinės galimybės, turi būti įjungta įrenginio apsauga nuo korpuso atidarymo. Prieš pradėdamas darbą su ADA sistema ar tinklu, ADA sistemos ar tinklo naudotojas privalo įsitikinti, kad apsauginės užklijos nepažeistos.

39. ADA sistemoje ir tinkle saugomos ir apdorojamos informacijos atsargines kopijas rekomenduojama užšifruoti. Metodines rekomendacijas atsarginių kopijų šifravimui nustato Nacionalinė komunikacijų apsaugos tarnyba.

40. ADA sistemos ar tinklo valdytojas turi nustatyti atsarginių ADA sistemos ir tinklo duomenų kopijų darymo dažnį, jų saugojimo, perdavimo, bandomojo atkūrimo ir panaudojimo procedūras, o atsarginių kopijų bandomasis atkūrimas turi būti vykdomas:

41. ADA sistemoje saugomos ir apdorojamos informacijos atsarginės kopijos turi būti daromos, administruojamos ir saugomos vadovaujantis kompiuterių laikmenų apsaugos reikalavimais, taikomais laikmenoms su ADA sistemos slaptumo žyma pažymėta įslaptinta informacija.

42. Laikmenos, kurios ADA sistemos ar tinklo naudotojų prijungiamos prie ADA sistemos ar tinklo kompiuterio ar įdedamos į ADA sistemos ar tinklo kompiuteryje esantį nuskaitymo įrenginį, turi būti įregistruotos Lietuvos Respublikos Vyriausybės nustatyta tvarka Įslaptintai informacijai įrašyti skirtų laikmenų registre. ADA sistemos ar tinklo kompiuteriuose turi būti išjungta automatinė laikmenų paleistis (angl. autorun). Rekomenduojama naudoti programinę įrangą, skirtą USB laikmenų kontrolei. Prieš prijungiant ar įdedant tokią laikmeną, ji turi būti patikrinta kenkėjiškos programinės įrangos aptikimo priemonėmis atskirame tam skirtame neprijungtame prie ADA sistemos ar tinklo kompiuteryje. Jungti laikmenas prie S ir VS sistemų ar tinklų šių sistemų ar tinklų naudotojams leidžiama tik įslaptintų dokumentų administravimo punktuose įrengtose darbo vietose.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

43. Turi būti užtikrinta visų ADA sistemos ar tinklo kompiuterių apsauga nuo kenkėjiškos programinės įrangos. Programinės įrangos, skirtos apsaugai nuo kenkėjiškos programinės įrangos, sąrašą tvirtina Nacionalinė komunikacijų apsaugos tarnyba. ADA sistemos ar tinklo kompiuterių, prijungtų prie vietinio kompiuterių tinklo, apsauga nuo kenkėjiškos programinės įrangos turi būti valdoma ir atnaujinama centralizuotai. Išjungti ar pašalinti šią apsaugą leidžiama tik ADA sistemos administravimo tikslu. Ši apsauga turi būti atnaujinama gamintojo rekomenduojamu periodiškumu. Neprijungtų prie vietinio kompiuterių tinklo kompiuterių apsauga turi būti atnaujinama rankiniu būdu, naudojant tik tam skirtas laikmenas. Jeigu toks kompiuteris naudojamas rečiau, nei apsaugos gamintojo rekomenduojamas atnaujinimo periodas, apsauga turi būti atnaujinama nedelsiant po šio kompiuterio įjungimo ir naudotojo tapatybės nustatymo operacinėje sistemoje.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

44. Diegti, atkurti arba atnaujinti ADA sistemos ar tinklo programinę įrangą naudojant laikmenas leidžiama tik iš gamintojo pateiktų arba iš įrašytų vienkartinio įrašymo laikmenų.

45. ADA sistemoje ar tinkle naudojamos techninės ir programinės įrangos sąrašus tvirtina ADA sistemos ar tinklo valdytojas, prieš tai suderinęs juos su žinybine Saugumo priežiūros tarnyba, o jei tokia neįsteigta – Saugumo priežiūros tarnyba.

Punkto pakeitimai:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

46. ADA sistemos ar tinklo įranga turi būti prižiūrima laikantis gamintojo rekomendacijų.

47. ADA sistemos ar tinklo įrangos gedimų šalinimas, jeigu to negali atlikti saugos įgaliotinis, administratorius ir (ar) kitas įgaliotas ADA sistemos ar tinklo valdytojo personalas, turi būti atliekamas laikantis įslaptintų sandorių saugumo reikalavimų. Gedimų šalinimą turi atlikti atitinkamą kvalifikaciją turintis specialistas, gedimų šalinimas pagal galimybes turi būti atliekamas vietoje, prižiūrint saugos įgaliotiniui ar administratoriui.

48. ADA sistemos ar tinklo testavimas turi būti atliekamas naudojant atskirą tam skirtą testavimo aplinką, nenaudojant įslaptintos informacijos arba naudojant ją fiktyvią.

Punkto numeracijos pakeitimas:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

49. ADA sistemos ar tinklo naudotojas turi nedelsdamas informuoti saugos įgaliotinį, o jeigu jo nėra – administratorių apie neveikiančią ar netinkamai veikiančią ADA sistemą ar tinklą, pažeistas įrenginių apsaugines užklijas, saugos reikalavimų nesilaikančius ADA sistemos ar tinklo naudotojus, bet kokią veiklą, skirtą įslaptintai informacijai atskleisti ir (ar) ADA sistemos ar tinklo veiklai sutrikdyti. Tuo atveju, kai tokią veiklą vykdo saugos įgaliotinis ir (ar) administratorius, ADA naudotojas privalo informuoti ADA sistemos ar tinklo valdytojo vadovą, Lietuvos Respublikos valstybės saugumo departamentą ir žinybinę Saugumo priežiūros tarnybą, o jei tokia neįsteigta – Saugumo priežiūros tarnybą.

Punkto numeracijos pakeitimas:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1

50. Jei dėl ADA sistemos ar tinklo ypatumų nėra galimas ar tikslingas atskirų šiame apraše išdėstytų reikalavimų įgyvendinimas, ADA sistemos ar tinklo valdytojas privalo atskirai įvertinti kiekvieno tokio reikalavimo neįgyvendinimo riziką ir šią informaciją pateikti žinybinei Saugumo priežiūros tarnybai, o jei tokia neįsteigta – Saugumo priežiūros tarnybai, kuri sprendžia dėl atitinkamo reikalavimo netaikymo ir apie priimtą sprendimą informuoja ADA sistemos ar tinklo valdytoją.

Papildyta punktu:

Nr. 5V-1, 2013-01-07, Žin., 2013, Nr. 4-158 (2013-01-12), i. k. 11323IRISAK00005V-1