3.1. Saugos dokumentai taikomi:

3.2. Saugos nuostatai yra skelbiami Lietuvos Respublikos teisės aktų registre. Priežiūrą atliekančių institucijų informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – PAIIS saugaus elektroninės informacijos tvarkymo taisyklės), Priežiūrą atliekančių institucijų informacinės sistemos veiklos tęstinumo valdymo planas (toliau – PAIIS veiklos tęstinumo valdymo planas), Priežiūrą atliekančių institucijų informacinės sistemos naudotojų administravimo taisyklės nėra skelbiami Lietuvos Respublikos teisės aktų registre ir jų teikimas asmenims yra ribojamas atsižvelgiant į Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymo 2 straipsnio 2 dalies 3 punktą  – PAIIS naudotojams, PAIIS paslaugų teikėjams, tretiesiems asmenims suteikiama teisė susipažinti tik su saugos dokumentų santrauka vadovaujantis būtinumo žinoti principu Saugos nuostatų V skyriuje nustatyta tvarka.

5.1. elektroninės informacijos saugos – elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo – užtikrinimas;

5.2. PAIIS kibernetinio saugumo užtikrinimas;

5.3. asmens duomenų apsauga;

5.4. PAIIS naudotojų mokymas.

6.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti PAIIS elektroninę informaciją;

6.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

6.3. vykdyti elektroninės informacijos saugos (kibernetinių) incidentų, asmens duomenų saugumo pažeidimų prevenciją, reaguoti į elektroninės informacijos saugos (kibernetinius) incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai suvaldyti.

7.1. atlikti PAIIS nuostatuose nustatytas funkcijas;

7.2. tvirtinti Saugos nuostatus ir saugos politiką įgyvendinančius dokumentus (toliau – saugos dokumentai) ir kitus teisės aktus, susijusius su PAIIS elektroninės informacijos sauga (kibernetiniu saugumu);

7.3. koordinuoti PAIIS pagrindinio tvarkytojo ir kitų PAIIS tvarkytojų (toliau kartu – PAIIS tvarkytojai) darbą įgyvendinant elektroninės informacijos saugos (kibernetinio saugumo) reikalavimus;

7.4. atlikti elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų laikymosi priežiūrą ir kontrolę;

7.5. nagrinėti PAIIS tvarkytojų pasiūlymus dėl PAIIS elektroninės informacijos saugos (kibernetinio saugumo) tobulinimo ir priimti dėl jų sprendimus;

7.6. skirti PAIIS saugos įgaliotinius ir PAIIS administratorius arba pavesti juos paskirti PAIIS tvarkytojams savo institucijose, taip pat paskirti PAIIS koordinuojantį saugos įgaliotinį ir PAIIS koordinuojantį administratorių;

7.7. teikti Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos (toliau – Nacionalinis kibernetinio saugumo centras) techninę informaciją, reikalingą PAIIS kibernetiniam saugumui įvertinti, Nacionalinio kibernetinio saugumo centro reikalavimu nurodytais formatais ir terminais arba savo iniciatyva;

7.8. atlikti kitas Saugos nuostatuose ir Saugos nuostatų 20 punkte nurodytuose teisės aktuose nustatytas PAIIS valdytojo funkcijas.

8.1. atlikti PAIIS nuostatuose nustatytas funkcijas;

8.2. užtikrinti saugos dokumentų ir kitų PAIIS valdytojo priimtų teisės aktų, susijusių su PAIIS elektroninės informacijos sauga (kibernetiniu saugumu), tinkamą įgyvendinimą savo institucijose;

8.3. pagal kompetenciją prižiūrėti PAIIS komponentus (kompiuterius, operacines sistemas ir kitus PAIIS komponentus, nurodytus Saugos nuostatų 15.3 papunktyje) savo institucijose, užtikrinti jų veikimą;

8.4. įgyvendinti PAIIS elektroninės informacijos saugos (kibernetinio saugumo) reikalavimus savo institucijose;

8.5. užtikrinti PAIIS elektroninės informacijos saugą (kibernetinį saugumą) savo institucijose;

8.6. teikti PAIIS valdytojui pasiūlymus dėl PAIIS elektroninės informacijos saugos (kibernetinio saugumo) tobulinimo;

8.7. PAIIS valdytojo pavedimu skirti PAIIS saugos įgaliotinius ir PAIIS administratorius savo institucijose;

8.8. atlikti kitas Saugos nuostatuose ir Saugos nuostatų 20 punkte nurodytuose teisės aktuose nustatytas PAIIS tvarkytojo funkcijas savo institucijose.

13.1.  PAIIS koordinuojančio saugos įgaliotinio funkcijos:

13.2.  PAIIS tvarkytojų paskirtų PAIIS saugos įgaliotinių funkcijos ir teisės:

15.1.  PAIIS koordinuojantis administratorius, kuris prižiūri PAIIS administratorių veiklą, siekdamas užtikrinti tinkamą PAIIS administratorių funkcijų atlikimą;

15.2.  PAIIS naudotojų administratoriai, kurie atlieka funkcijas, susijusias su PAIIS naudotojų teisių valdymu savo institucijose;

15.3.  PAIIS komponentų administratoriai, kurie atlieka funkcijas, susijusias su PAIIS komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazėmis ir jų valdymo sistemomis, taikomųjų programų sistemomis, užkardomis, įsilaužimų aptikimo ir prevencijos sistemomis, elektroninės informacijos perdavimo tinklais, duomenų saugyklomis, bylų serveriais ir kita technine ir programine įranga, kurios pagrindu funkcionuoja PAIIS ir užtikrinama joje tvarkomos elektroninės informacijos sauga (kibernetinis saugumas) ir PAIIS komponentų sąranka savo institucijose;

15.4.  PAIIS saugos administratoriai, kurie atlieka funkcijas, susijusias su PAIIS pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena savo institucijose.

20.1.  2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas)
(OL 2016 L 119, p. 1); 

20.2.  Lietuvos Respublikos kibernetinio saugumo įstatymas;

20.3.  Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

20.4.  Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

20.5.  Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

20.6.  Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu
Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas);

20.7.  Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas;

20.8.  Techniniai elektroninės informacijos saugos reikalavimai;

20.9.  Lietuvos standartai LST EN ISO/IEC 27002 ir LST EN ISO/IEC 27001.

23.1.  PAIIS koordinuojantis saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo metodai“ standartus, kasmet arba po esminių organizacinių ar sisteminių pokyčių organizuoja PAIIS rizikos įvertinimą. PAIIS rizikos vertinimas gali būti atliekamas kartu su informacinių technologijų saugos atitikties vertinimu. Prireikus PAIIS koordinuojantis saugos įgaliotinis gali organizuoti neeilinį PAIIS rizikos įvertinimą;

23.2.  organizuojant rizikos vertinimą turi būti paskirti už rizikos vertinimą, rizikos vertinimo proceso priežiūrą bei nuolatinį tobulinimą atsakingas asmuo arba asmenys ir nustatyti jiems taikomi kvalifikaciniai reikalavimai. Už rizikos vertinimą, rizikos vertinimo proceso priežiūrą bei nuolatinį tobulinimą atsakingu asmeniu gali būti skiriamas PAIIS valdytojo arba PAIIS tvarkytojo darbuotojas arba sudaroma sutartis su rizikos vertinimo, rizikos vertinimo proceso priežiūros bei nuolatinio tobulinimo paslaugas teikiančiu subjektu;

23.3.  rizikos vertinimo metu turi būti:

23.4.  PAIIS rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama PAIIS valdytojo vadovui ir PAIIS tvarkytojų vadovams. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:

23.5. rizikos veiksniai rizikos įvertinimo ataskaitoje turi būti išdėstyti pagal prioritetus ir priimtiną rizikos lygį;

23.6.  atsižvelgdamas į rizikos įvertinimo ataskaitą, PAIIS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti;

23.7.  rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas PAIIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai;

23.8.  atsižvelgiant į atlikto rizikos vertinimo rezultatus, taip pat jeigu Saugos nuostatų 24 punkte nustatyta tvarka atliekamo informacinių technologijų saugos atitikties vertinimo metu nustatoma kibernetinių incidentų valdymo ir šalinimo, institucijos nepertraukiamos veiklos užtikrinimo trūkumų, atitinkamai turi būti tobulinamas PAIIS veiklos tęstinumo valdymo planas ir (arba) kibernetinių incidentų valdymo planas. Šių planų veiksmingumo išbandymo rezultatai išdėstomi šių planų veiksmingumo išbandymo ataskaitose ir pastebėtų trūkumų ataskaitose, kurių kopijos ne vėliau kaip per 5 darbo dienas nuo šių dokumentų priėmimo pateikiamos Nacionaliniam kibernetinio saugumo centrui.

24.1.  siekiant užtikrinti saugos dokumentuose nustatytų elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų įgyvendinimo organizavimą ir kontrolę, ne rečiau kaip kartą per metus, jei teisės aktuose nenustatyta kitaip, turi būti organizuojamas PAIIS informacinių technologijų saugos atitikties vertinimas;

24.2.  informacinių technologijų saugos atitikties vertinimas atliekamas Informacinių technologijų saugos atitikties vertinimo metodikoje nustatyta tvarka;

24.3.  PAIIS atitikties Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus;

24.4.  atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama PAIIS valdytojo vadovui ir PAIIS tvarkytojų vadovams, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato PAIIS valdytojo vadovas;

24.5.  informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas PAIIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai.

25.1.  techninės, programinės, organizacinės ir kitos PAIIS elektroninės informacijos saugos (kibernetinio saugumo) priemonės pasirenkamos atsižvelgiant į PAIIS valdytojo turimus išteklius, vadovaujantis šiais principais:

25.2.  atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos (kibernetinio saugumo) priemonės.

29.1.  organizaciniai ir techniniai elektroninės informacijos saugos (kibernetinio saugumo) reikalavimai detalizuojami informacinės sistemos (kibernetinio saugumo) politiką įgyvendinančiuose dokumentuose;

29.2.  turi būti naudojama ir operatyviai atnaujinama programinė įranga, skirta apsaugoti PAIIS nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir pan.). Išsamios šios programinės įrangos naudojimo nuostatos ir jos atnaujinimo reikalavimai (ilgiausias leidžiamas neatnaujinimo laikas ir kt.) nustatomi PAIIS saugaus elektroninės informacijos tvarkymo taisyklėse;

29.3.  PAIIS techninėje įrangoje ir PAIIS naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga. Išsamios programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos, atnaujinimo ir kt. reikalavimai nustatomi PAIIS saugaus elektroninės informacijos tvarkymo taisyklėse;

29.4.  turi būti naudojama kompiuterių tinklo filtravimo įranga (užkardos, turinio kontrolės sistemos, įgaliotieji serveriai (angl. proxy server) ir kt.). Išsamios kompiuterių tinklo filtravimo įrangos naudojimo nuostatos nustatomos PAIIS saugaus elektroninės informacijos tvarkymo taisyklėse;

29.5.  užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, turi būti naudojamas šifravimas, virtualus privatusis tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Metodų, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą (nuotolinio prisijungimo prie PAIIS būdai, protokolai, elektroninės informacijos keitimosi formatai, šifravimo, elektroninės informacijos kopijų skaičiaus reikalavimai, reikalavimai teikti ir (ar) gauti elektroninę informaciją automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas ir pan.), aprašymai pateikiami PAIIS saugaus elektroninės informacijos tvarkymo taisyklėse;

29.6.  stacionariuosius kompiuterius leidžiama naudoti tik PAIIS valdytojo ir PAIIS tvarkytojų patalpose. Nešiojamiesiems kompiuteriams, išnešamiems iš PAIIS valdytojo ar PAIIS tvarkytojų patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimas ir pan.).

30.1.  atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną PAIIS neveikimo laikotarpį (angl. recovery time objective);

30.2.  atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokios apimties, kad PAIIS veiklos sutrikimo, elektroninės informacijos saugos (kibernetinio) incidento ar elektroninės informacijos vientisumo praradimo atvejais PAIIS neveikimo laikotarpis nebūtų ilgesnis, nei nustatyta PAIIS svarbos kategorijai, nurodytai Saugos nuostatų 22 punkte, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus;

30.3.  atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau kaip PAIIS saugaus elektroninės informacijos tvarkymo taisyklėse nustatytais terminais;

30.4.  elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos;

30.5.  atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje kitose patalpose, nei yra PAIIS tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate;

30.6.  periodiškai, bet ne rečiau kaip kartą per pusmetį, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

30.7.  patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas.

31.1.  PAIIS naudotojai privalo turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti tvarkyti elektroninę informaciją, būti susipažinę su teisės aktais, reguliuojančiais asmens duomenų tvarkymą, informacinės sistemos elektroninės informacijos tvarkymą (netaikoma PAIIS naudotojams ūkio subjektams ar jiems atstovaujantiems fiziniams asmenims);

31.2.  PAIIS naudotojai, tvarkantys duomenis ir informaciją, privalo laikyti jų paslaptį ir būti pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir nutraukus su šių duomenų ir informacijos tvarkymu susijusią veiklą;

31.3.  PAIIS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, tobulinti elektroninės informacijos saugos (kibernetinio saugumo) srities kvalifikaciją, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reguliuojančiomis elektroninės informacijos saugą (kibernetinį saugumą). PAIIS tvarkytojai turi sudaryti sąlygas kelti PAIIS saugos įgaliotinio kvalifikaciją;

31.4.  PAIIS saugos įgaliotiniu negali būti skiriamas asmuo, neatitinkantis Valstybės informacinių išteklių valdymo įstatymo 42 straipsnio reikalavimų;

31.5.  PAIIS administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, mokėti užtikrinti PAIIS ir joje tvarkomos elektroninės informacijos saugą (kibernetinį saugumą), administruoti ir prižiūrėti PAIIS komponentus (stebėti PAIIS komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti PAIIS komponentų nepertraukiamą funkcionavimą ir pan.). PAIIS administratoriai turi būti susipažinę su saugos dokumentais.

32.1.  PAIIS naudotojams turi būti įvairiais būdais primenama apie elektroninės informacijos saugos (kibernetinio saugumo) problemas (pvz., priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems PAIIS naudotojams, PAIIS administratoriams ir pan.);

32.2.  mokymai elektroninės informacijos saugos (kibernetinio saugumo) klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), PAIIS saugos įgaliotinių, PAIIS naudotojų ar PAIIS administratorių poreikius;

32.3.  mokymai gali būti vykdomi tiesioginiu (pvz., paskaitos, seminarai, konferencijos ir kt. teminiai renginiai) ar nuotoliniu būdu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.);

32.4.  mokymai PAIIS naudotojams turi būti organizuojami periodiškai, bet ne rečiau kaip kartą per metus. Už PAIIS naudotojų mokymų savo institucijose organizavimą atsakingi PAIIS saugos įgaliotiniai;

32.5.  mokymai PAIIS saugos įgaliotiniams ir PAIIS administratoriams turi būti organizuojami pagal poreikį.