2.1. Dokumentų valdymo sistema „Avilys“ (toliau – DVS);

2.2. Žalos administravimo sistema.

4.1. Teisingumo ministerijai (Gedimino pr. 30, 01104 Vilnius) – informacinių sistemų valdytojai ir tvarkytojai;

4.2. informacinių sistemų saugos įgaliotiniui, informacinių sistemų administratoriams, už kibernetinio saugumo organizavimą ir užtikrinimą Teisingumo ministerijoje atsakingam asmeniui (toliau – asmuo, atsakingas už kibernetinį saugumą), informacinių sistemų naudotojams, informacinėms sistemoms funkcionuoti reikalingų paslaugų teikėjams.

5.1. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

5.2. asmens duomenų apsauga;

5.3. informacinių sistemų veiklos tęstinumo užtikrinimas;

5.4. informacinių sistemų rizikos valdymas;

5.5. informacinių sistemų naudotojų mokymas elektroninės informacijos saugos (kibernetinio saugumo) klausimais;

5.6. organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų elektroninės informacijos saugai (kibernetiniam saugumui) užtikrinti, įgyvendinimas ir kontrolė.

6.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją informacinėse sistemose;

6.2 užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

6.3. vykdyti elektroninės informacijos saugos ir kibernetinių incidentų, asmens duomenų saugos pažeidimų prevenciją, reaguoti į elektroninės informacijos saugos ir kibernetinius incidentus, asmens duomenų saugos pažeidimus ir juos operatyviai suvaldyti, atkuriant įprastą informacinių sistemų veiklą.

8.1. tvirtinta informacinių sistemų saugos dokumentus;

8.2. užtikrina saugos dokumentų ir kitų teisės aktų, reglamentuojančių elektoninės informacijos saugą (kibernetinį saugumą), tinkamą įgyvendinimą;

8.3. priima sprendimus dėl techninių ir programinių priemonių, būtinų elektroninės informacijos saugai (kibernetiniam saugumui) užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

8.4. priima sprendimus dėl elektroninės informacijos saugos (kibernetinio saugumo) priemonių finansavimo;

8.5. atsižvelgdama į informacinių sistemų rizikos vertinimo ataskaitą, prireikus tvirtina rizikos vertinimo ir rizikos valdymo priemonių planą;

8.6. užtikrina veiksmingą ir spartų pokyčių, susijusių su informacinių sistemų valdymu, planavimą;

8.7. atlikus informacinių technologijų saugos atitikties vertinimą, tvirtina pastebėtų trūkumų šalinimo planą;

8.8. atsižvelgdama į grėsmių ir pažeidžiamumų, galinčių turėti įtakos informacinių sistemų kibernetiniam saugumui, rizikos vertinimą, peržiūri patvirtintus saugos dokumentus ir kitus teisės aktus, reglamentuojančius elektoninės informacijos saugą (kibernetinį saugumą) ir jų įgyvendinimą;

8.9. skiria informacinių sistemų elektroninės informacijos saugos įgaliotinį (toliau – saugos įgaliotinis) ir asmenį, atsakingą už kibernetinį saugumą ;

8.10. skiria informacinių sistemų administratorių (administratorius) ir paveda jam (jiems) užtikrinti informacinių sistemų tarnybinių stočių saugų funkcionavimą, administruoti informacinių sistemų duomenų bazes Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų nustatyta tvarka;

8.11. atlieka kitas saugos dokumentuose ir kituose teisės aktuose, reglamentuojančiuose elektoninės informacijos saugą (kibernetinį saugumą), nustatytas funkcijas.

10.1. teikia informacinių sistemų valdytojo vadovui arba jo įgaliotam asmeniui pasiūlymus dėl:

10.2. koordinuoja elektroninės informacijos saugos (kibernetinių) incidentų, įvykusių informacinėse sistemose, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninės informacijos saugos (kibernetinius) incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos (kibernetiniais) incidentais, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos grupė;

10.3. teikia informacinių sistemų administratoriui (administratoriams) ir informacinių sistemų naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos politikos įgyvendinimu;

10.4. organizuoja informacinių sistemų rizikos vertinimą ir informacinių technologijų saugos atitikties vertinimą;

10.5. periodiškai inicijuoja informacinių sistemų naudotojų mokymus informacinių sistemų elektroninės informacijos saugos klausimais;

10.6. supažindina informacinių sistemų administratorių (administratorius) ir informacinių sistemų naudotojus su saugos dokumentais;

10.7. atlieka kitas informacinių sistemų valdytojo vadovo pavestas ir saugos dokumentuose bei kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą (kibernetinį saugumą), nustatytas funkcijas.

12.1. informacinių sistemų naudotojų administratorius, kuris atlieka funkcijas, susijusias su informacinių sistemų naudotojų teisių valdymu;

12.2. informacinių sistemų komponentų administratorius, kuris atlieka funkcijas, susijusias su informacinių sistemų komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazėmis ir jų valdymo sistemomis, taikomųjų programų sistemomis, užkardomis, įsilaužimų aptikimo ir prevencijos sistemomis, elektroninės informacijos perdavimo tinklais, duomenų saugyklomis, bylų serveriais ir kita technine ir programine įranga, kuri yra informacinių sistemų pagrindas ir kuria užtikrinama jose tvarkomos elektroninės informacijos sauga (kibernetinis saugumas) bei informacinių sistemų komponentų sąranka);

12.3. informacinių sistemų saugos administratorius, kuris atlieka funkcijas, susijusias su informacinių sistemų pažeidžiamų vietų nustatymu, saugos reikalavimų atitikties nustatymu ir stebėsena, reagavimu į elektroninės informacijos saugos incidentus.

17.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) su visais pakeitimais;

17.2. Kibernetinio saugumo įstatymu;

17.3. Valstybės informacinių išteklių valdymo įstatymu;

17.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

17.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

17.6. Klasifikavimo gairių aprašu;

17.7. Techninių elektroninės informacijos saugos reikalavimų aprašu;

17.8. Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašu;

17.9. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Informacinių technologijų saugos atitikties vertinimo metodika);

17.10. Lietuvos standartu LST EN ISO/IEC 27001;

17.11. Lietuvos standartu LST EN ISO/IEC 27002;

17.12. saugos dokumentais ir kitais teisės aktais, reglamentuojančiais elektoninės informacijos saugą (kibernetinį saugumą).

22.1. nustatomi reikalavimai rizikos vertinimo procesui, rizikos išdėstymo pagal prioritetus kriterijai ir priimtinas rizikos dydis;

22.2. nustatomi grėsmės ir pažeidžiamumai, galintys turėti įtakos elektroninės informacijos saugai (kibernetiniam saugumui), galimo grėsmių ir pažeidžiamumų poveikio vykdomai veiklai sritys;

22.3. įvertinamos informacinių sistemų pažeidimo grėsmių tikimybė ir pasekmės;

22.4. nustatomi rizikos lygis ir identifikuotų grėsmių, kurios išdėstomos prioriteto tvarka pagal svarbą, nustatomą atsižvelgiant į atliktą rizikos vertinimą, tikimybė.

24.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos pateikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kt.);

24.2 subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacinėmis sistemomis elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kt.);

24.3. įvykiai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

29.1. inventorizuojama informacinių sistemų techninė ir programinė įranga;

29.2. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų informacinių sistemų naudotojų kompiuterizuotų darbo vietų, taip pat – visose informacinių sistemų tarnybinėse stotyse įdiegtos programos ir jų sąranka;

29.3. patikrinama (įvertinama) informacinių sistemų naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

29.4. įvertinamas pasirengimas užtikrinti informacinių sistemų veiklos tęstinumą įvykus elektroninės informacijos saugos incidentui;

29.5. nustatoma informacinių sistemų rizikos vertinimo ir valdymo būklė;

29.6. patikrinama, ar saugos dokumentai persvarstomi (peržiūrimi) saugos reikalavimuose nustatytu laikotarpiu, ir įvertinama jų kokybė.

32.1. priemonės diegimo kaina turi būti adekvati tvarkomos elektroninės informacijos vertei;

32.2. liekamoji rizika turi būti sumažinta iki priimtino lygio;

32.3. turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos (kibernetinio saugumo) priemonės, atsižvelgiant į jų efektyvumą ir taikymo tikslingumą.

36.1. turi būti naudojama ir operatyviai naujinama programinė įranga, skirta informacinėms sistemoms apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamų elektroninių laiškų ir pan.). Detalios šios programinės įrangos naudojimo nuostatos ir jos naujinimo reikalavimai (ilgiausias leistinas laikas, kai programinė įranga nėra naujinama, ir kita) nustatomi teisingumo ministro tvirtinamose Teisingumo ministerijos informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse;

36.2. turi būti naudojama tik legali programinė įranga, įdiegta kompiuterinėse darbo vietose ir tarnybinėse stotyse. Detalios programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos, jos naujinimo reikalavimai nustatomi teisingumo ministro tvirtinamose informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse;

36.3. turi būti naudojama kompiuterių tinklo filtravimo įranga (užkardos, turinio kontrolės sistemos, įgaliotieji serveriai (angl. proxy) ir kita). Detalios kompiuterių tinklo filtravimo įrangos naudojimo nuostatos nustatomos teisingumo ministro tvirtinamose informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse;

36.4. siekiant užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą, turi būti naudojami šifravimas, virtualus privatus tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą (nuotolinio prisijungimo prie informacinių sistemų būdai, protokolai, elektroninės informacijos keitimosi formatai, šifravimo, elektroninės informacijos kopijų skaičiaus reikalavimai), nustatomi teisingumo ministro tvirtinamose informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse;

36.5. stacionarūs kompiuteriai naudojami informacinių sistemų valdytojo patalpose, iš minėtų patalpų juos išnešti galima tik suderinus su informacinių sistemų saugos administratoriais. Nešiojamiesiems kompiuteriams, išnešamiems iš informacinių sistemų valdytojo patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimas ir kt.).

37.1. atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į leistiną elektroninės informacijos praradimą (angl. recovery point objetive) ir priimtiną informacinių sistemų neveikimo laikotarpį (angl. recovery time objective);

37.2. atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokios apimties, kad informacinių sistemų veiklos sutrikimo, elektroninės informacijos saugos (kibernetinio) incidento ar elektroninės informacijos vientisumo praradimo atvejais neveikimo laikotarpis nebūtų ilgesnis, nei nustatyta atitinkamų informacinių sistemų svarbos kategorijoms, vadovaujantis Techninių elektroninės informacijos saugos reikalavimų aprašu, o elektroninės informacijos praradimas atitiktų rizikos priimtinumo kriterijus;

37.3. atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau, nei nustatyta teisingumo ministro tvirtinamose informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse;

37.4. elektroninė informacija atsarginėse elektroninės informacijos kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo atsarginių elektroninės informacijos kopijų) arba turėtų būti imamasi kitų priemonių, kurios neleistų neteisėtai atkurti elektroninės informacijos;

37.5. atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje, tačiau kitose patalpose – ne tose, kur yra informacinių sistemų tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota;

37.6. periodiškai, bet ne rečiau kaip kartą per metus turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

37.7. patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas teisingumo ministro tvirtinamose informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse nustatyta tvarka.

38.1. saugos įgaliotinis (asmuo, atsakingas už kibernetinį saugumą) privalo išmanyti informacinių sistemų elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos (kibernetinio saugumo) srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašu ir kitais saugos dokumentais;

38.2. saugos įgaliotiniu (asmeniu, atsakingu už kibernetinį saugumą) negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą, susijusį su elektroninių duomenų ir informacinių sistemų saugos pažeidimu, paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, taip pat už elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų bei taisyklių pažeidimą, jeigu nuo jos paskyrimo praėjo mažiau kaip vieni metai;

38.3. informacinių sistemų administratoriai pagal kompetenciją turi būti susipažinę saugos dokumentais, privalo išmanyti informacinių sistemų elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, mokėti užtikrinti informacinių sistemų ir jose tvarkomos elektroninės informacijos saugą (kibernetinį saugumą), administruoti ir prižiūrėti duomenų bazes bei priskirtas informacines sistemas, šių sistemų komponentus (stebėti jų veikimą, atlikti profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, gebėti užtikrinti nepertraukiamą komponentų veikimą ir pan.);

38.4. informacinių sistemų naudotojai privalo turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti tvarkyti elektroninę informaciją, būti susipažinę su teisės aktais, reglamentuojančiais asmens duomenų, taip pat informacinių sistemų elektroninės informacijos tvarkymą. Asmenys, tvarkantys duomenis ir informaciją, privalo saugoti jų paslaptį ir būti pasirašę tokį pasižadėjimą. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą.

39.1. saugos įgaliotinis periodiškai inicijuoja naudotojų mokymus informacinių sistemų elektroninės informacijos saugos (kibernetinio saugumo) klausimais, įvairiais būdais informuoja juos apie informacinių sistemų elektroninės informacijos saugos (kibernetinio saugumo) problemas (pavyzdžiui, priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems informacinių sistemų naudotojams);

39.2. mokymai informacinių sistemų elektroninės informacijos saugos (kibernetinio saugumo) klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į informacinių sistemų elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas diegti technologijas (techninę ar programinę įrangą), informacinių sistemų naudotojų poreikius;

39.3. mokymai gali būti vykdomi tiesiogiai (pavyzdžiui, paskaitos, seminarai, konferencijos ir kiti teminiai renginiai) ar nuotoliniu būdu (pavyzdžiui, vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.);

39.4. mokymai informacinių sistemų naudotojams turi būti organizuojami periodiškai, bet ne rečiau kaip kartą per dvejus metus. Už informacinių sistemų naudotojų mokymų organizavimą ir koordinavimą atsakingas yra saugos įgaliotinis.