2.1. sudaryti sąlygas automatiniu būdu saugiai tvarkyti elektroninę informaciją;

2.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar neteisėto jos tvarkymo.

3.1. SPIS administratorius – SPIS valdytojo pasitelktas paslaugų teikėjas, SPIS valdytojo vardu tvarkantis SPIS;

3.2. SPIS techninis administratorius – SPIS valdytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį (toliau kartu ‒ darbuotojas), arba SPIS valdytojo pasitelktas paslaugų teikėjas, SPIS infrastruktūros, kompiuterinės įrangos saugos ir priežiūros administratorius;

3.3. SPIS SI administratorius – savivaldybės institucijos (toliau – SI) darbuotojas atliekantis SPIS SI administratoriaus funkcijas;

3.4. SPIS administratorius, SPIS techninis administratorius ir SPIS SI administratorius kartu – administratoriai;

3.5. SPIS VI naudotojas – SPIS asmens duomenų tvarkytojo SPIS duomenų gavėjo valstybės institucijų (toliau – VI), įskaitant kitų įstaigų, pagal asmens duomenų tvarkymo ir duomenų teikimo sutartis tvarkančių ir gaunančių SPIS duomenis, darbuotojas, atliekantis SPIS VI naudotojo funkcijas;

3.6. SPIS SI naudotojas – SPIS asmens duomenų tvarkytojas, savivaldybės institucijos (toliau – SI) darbuotojas, atliekantis SPIS SI naudotojo funkcijas;

3.7. SPIS SI naudotojas ir SPIS VI naudotojas kartu – SPIS naudotojai;

3.8. Saugos įgaliotinis – darbuotojas, įgyvendinantis SPIS elektroninės informacijos saugą;

3.9. SPIS valdytojas – Lietuvos Respublikos socialinės apsaugos ir darbo ministerija (toliau – Ministerija), kurios buveinės adresas A. Vivulskio g. 11, 03610 Vilnius.

7.1. elektroninės informacijos konfidencialumo užtikrinimas;

7.2. elektroninės informacijos vientisumo užtikrinimas;

7.3. elektroninės informacijos prieinamumo užtikrinimas;

7.4. asmens duomenų apsauga;

7.5. veiklos tęstinumo užtikrinimas;

7.6. prieigos prie SPIS kontrolė;

7.7. rizikos valdymas;

7.8. SPIS naudotojų ir administratorių mokymas elektroninės informacijos saugos ir kibernetinio saugumo klausimais;

7.9. organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti, įgyvendinimas ir kontrolė.

9.1. plėtoja SPIS duomenų apsaugos teisinę bazę ir organizuoja jos įgyvendinimą;

9.2. užtikrina SPIS pokyčių valdymą plano įgyvendinimą;

9.3. koordinuoja visų SPIS naudotojų, administratorių, Saugos įgaliotinio ir kibernetinio saugumo vadovo darbą, metodiškai jiems vadovauja ir įstatymų nustatyta tvarka vykdo šio darbo priežiūrą;

9.4. prižiūri, kaip laikomasi duomenų saugos reikalavimų;

9.5. priima sprendimus, susijusius su SPIS saugumo užtikrinimu, tikrina, kaip jie vykdomi;

9.6. skiria Saugos įgaliotinį ir kibernetinio saugumo vadovą;

9.7. nustato elektroninės informacijos saugos incidentų registracijos ir tyrimo tvarką.

9.8. atsako už elektroninės informacijos saugos ir kibernetinio saugumo politikos formavimą.

10.1. užtikrina SPIS duomenų apsaugą, elektroninės informacijos saugą ir kibernetinį saugumą saugos politikos įgyvendinamųjų dokumentų nustatyta tvarka ir atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą;

10.2. užtikrina SPIS valdytojo priimtų teisės aktų ir rekomendacijų tinkamą įgyvendinimą;

10.3. teikia pasiūlymus SPIS valdytojui, kaip tobulinti SPIS apsaugą.

11.1. registruoja SPIS SI naudotojus ir suteikia jiems prieigos teises;

11.2. panaikina SPIS SI naudotųjų prieigos teises;

11.3. dalyvauja atliekant SPIS saugos reikalavimų atitikties vertinimą;

11.4. dalyvauja nustatant SPIS pažeidžiamas vietas – elektroninės informacijos saugą ir kibernetinį saugumą;

11.5. nedelsdami vykdo Saugos įgaliotinio ir kibernetinio saugumo vadovo nurodymus SPIS saugos politikos įgyvendinimo klausimais ir jam atsiskaito už pavestą duomenų saugos organizavimą ir saugos priemonių įgyvendinimą;

11.6. nedelsiant informuoja SPIS administratorių ir SPIS techninį administratorių apie saugos politiką įgyvendinančių dokumentų pažeidimus, nusikalstamos veikos požymius, elektroninės informacijos saugai svarbius įvykius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones.

12.1. registruoja ir suteikia SPIS administratoriui prieigos teises;

12.2. užtikrina SPIS duomenų apsaugą, elektroninės informacijos saugą ir kibernetinį saugumą saugos politikos įgyvendinamųjų dokumentų nustatyta tvarka ir atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą;

12.3. dalyvauja atliekant SPIS saugos reikalavimų atitikties vertinimą;

12.4. dalyvauja nustatant SPIS pažeidžiamas vietas – elektroninės informacijos saugą ir kibernetinį saugumą;

12.5. teikia pasiūlymus Saugos įgaliotiniui ir kibernetinio saugumo vadovui, kaip tobulinti elektroninės informacijos saugą;

12.6. nedelsiant raštu ar elektroninėmis ryšio priemonėmis informuoja Saugos įgaliotinį apie saugos politiką įgyvendinančių dokumentų pažeidimus, nusikalstamos veikos požymius, kibernetinio saugumo vadovą apie elektroninės informacijos saugai svarbius įvykius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones (nurodo savo pareigas, vardą, pavardę ir šiame papunktyje nurodytas aplinkybes);

12.7. teikia metodinę ir informacinę pagalbą SPIS saugos klausimais Saugos įgaliotiniui ir kibernetinio saugumo vadovui.

13.1. užtikrina SPIS duomenų apsaugą, elektroninės informacijos saugą ir kibernetinį saugumą saugos politikos įgyvendinamųjų dokumentų nustatyta tvarka ir vykdyti kitas funkcijas, kurios nurodytos SPIS duomenų saugos nuostatuose, Socialinės paramos šeimai informacinės sistemos naudotojų administravimo taisyklėse (toliau – Administravimo taisyklės), Informacijos tvarkymo taisyklėse, kituose duomenų tvarkymą ir saugą reglamentuojančiuose teisės aktuose ir SPIS priežiūros, naudotojų konsultavimo ir vystymo paslaugų sutartyje bei asmens duomenų tvarkymo sutartyje;

13.2. dalyvauja atliekant SPIS saugos reikalavimų atitikties vertinimą;

13.3. dalyvauja nustatant SPIS pažeidžiamas vietas – elektroninės informacijos saugą ir kibernetinį saugumą;

13.4. teikia pasiūlymus SPIS valdytojui, kaip tobulinti elektroninės informacijos saugą;

13.5. nedelsiant raštu ar elektroninėmis ryšio priemonėmis informuoja Saugos įgaliotinį apie saugos politiką įgyvendinančių dokumentų pažeidimus, nusikalstamos veikos požymius, kibernetinio saugumo vadovą apie elektroninės informacijos saugai svarbius įvykius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;

13.6. konsultuoja, teikia metodinę ir informacinę pagalbą SPIS saugos klausimais.

14.1. tvarkydamas SPIS elektroninę informaciją laikosi SPIS duomenų apsaugą, elektroninės informacijos saugą ir kibernetinį saugumą, saugos politikos įgyvendinamųjų dokumentų nustatytos tvarkos;

14.2. tvarkydamas SPIS elektroninę informaciją naudoja tik kompiuterinėje įrangoje įdiegtą ir tik darbo funkcijoms atlikti reikalingą programinę įrangą;

14.3. teikia pasiūlymus Saugos įgaliotiniui ir kibernetinio saugumo vadovui, kaip tobulinti elektroninės informacijos saugą;

14.4. susipažįsta su Duomenų saugos nuostatais ir kitais saugos politiką reguliuojančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą;

14.6. dalyvauja SPIS naudotojų mokymuose elektroninės informacijos saugos ir kibernetinio saugumo klausimais;

14.7. SPIS naudotojai, pastebėję SPIS duomenų saugos pažeidimų, neleistinos arba nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugą užtikrinančias priemones (toliau – saugos pažeidimas) ar asmens duomenų saugumo pažeidimą, privalo apie tai nedelsdami pranešti Administravimo taisyklėse nustatyta tvarka.

15.1. teikia SPIS valdytojui pasiūlymus dėl saugos dokumentų tobulinimo, keitimo ar panaikinimo;

15.2. tiria elektroninės informacijos saugos incidentus;

15.3. teikia administratoriams privalomus vykdyti nurodymus ir pavedimus;

15.4. supažindina SPIS naudotojus ir administratorius su Duomenų saugos nuostatais ir kitais saugos politiką reguliuojančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą;

15.5. periodiškai inicijuoja SPIS naudotojų ir administratorių mokymą elektroninės informacijos saugos ir kibernetinio saugumo klausimais, informuoja juos apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai);

15.6. koordinuodamas ir prižiūrėdamas, kaip SPIS įgyvendinama saugos politika, atlieka Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir saugos politikos įgyvendinamuosiuose dokumentuose saugos įgaliotiniui priskirtas funkcijas;

15.7. gavęs pranešimą apie vykdomus neteisėtus veiksmus su SPIS tvarkoma elektronine informacija, inicijuoja elektroninės informacijos saugos incidento valdymo procedūras detalizuotas Veiklos tęstinumo plane;

15.8. užtikrina, kad SPIS naudotojų ir administratorių kompiuterinėje įrangoje būtų naudojama tik darbo funkcijoms atlikti reikalinga programinė įranga (SPIS saugos įgaliotinis turi parengti, su SPIS valdytoju suderinti ir ne rečiau kaip kartą per metus peržiūrėti bei prireikus atnaujinti leistinos programinės įrangos sąrašą);

15.9. organizuoja Tvarkymo taisyklių peržiūrą ne rečiau kaip vieną kartą per metus. Tvarkymo taisyklės turi būti peržiūrimos atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams;

15.10. vykdo kitas funkcijas, kurios nurodytos SPIS duomenų saugos nuostatuose, Administravimo taisyklėse, Informacijos tvarkymo taisyklėse ir kituose duomenų tvarkymą ir saugą reglamentuojančiuose teisės aktuose.

16.1. koordinuoja SPIS elektroninės informacijos saugos incidentų tyrimą, bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;

16.2. kiekvienais metais SPIS valdytojui pateikia per praėjusius kalendorinius metus įvykusių kibernetinių incidentų (jeigu tokių buvo) vertinimą;

16.3. vykdo kitas funkcijas, kurios nurodytos SPIS duomenų saugos nuostatuose, Administravimo taisyklėse, Informacijos tvarkymo taisyklėse ir kituose duomenų tvarkymą ir saugą reglamentuojančiuose teisės aktuose.

18.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

18.2. Kibernetinio saugumo įstatymas;

18.3. Valstybės informacinių išteklių valdymo įstatymas;

18.4. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

18.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

18.6. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

18.7. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

18.8. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“

18.9. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

18.10. Lietuvos standartai LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai (tapatus ISO/IEC 27001)“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai (tapatus ISO/IEC 27002)“;

18.11. kiti teisės aktai, reglamentuojantys duomenų tvarkymo teisėtumą, sistemos tvarkytojo veiklą bei duomenų saugos valdymą.

23.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

23.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis SPIS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, vagystės ir kita);

23.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

25.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

25.2. priemonės diegimo kaina turi būti adekvati tvarkomos elektroninės informacijos vertei;

25.3. atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos ir kibernetinio saugumo priemonės.

27.1. vertinama saugos politikos įgyvendinamųjų dokumentų atitiktis realiai informacijos saugos situacijai;

27.2. tikrinamas įdiegtos apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti ir pan.) filtravimo sistemų naudojimas, valdymas ir atnaujinimas;

27.3. tikrinamas virtualių mašinų ir duomenų perdavimo įrangos programinės įrangos naudojimas ir atnaujinimas;

27.4. tikrinama, kaip daromos atsarginės kopijos;

27.5. tikrinama naudotojų kompiuterizuotose darbo vietose įdiegta programinė įranga ir jos sąranka;

27.6. tikrinama (vertinama) naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

27.7. vertinamas pasirengimas užtikrinti SPIS veiklos tęstinumą įvykus saugos incidentui;

27.8. rengiama informacinių technologijų saugos atitikties vertinimo ataskaita.

28.1. planavimo etapas. Parengiamas pažeidžiamumų nustatymo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtis, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (ar) pilkosios dėžės (angl. Grey Box), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (ar) techniniai įrankiai ir priemonės, naudojamos pažeidžiamumams nustatyti, nurodomos už pažeidžiamumų nustatymo plano vykdymą atsakingų asmenų teisės ir pareigos. Pažeidžiamumų nustatymo planas turi būti suderintas su Veiklos skaitmeninimo grupės vadovu;

28.2. žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių virtualių mašinų ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą, konfigūracijas ir kitą sėkmingai kibernetinei atakai įvykdyti reikalingą informaciją;

28.3. kibernetinių atakų imitavimo etapas. Atliekami pažeidžiamumų nustatymo plane numatyti testai;

28.4. ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti pateikti kibernetinio saugumo atitikties reikalavimams vertinimo ataskaitoje. Pažeidžiamumų nustatymo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir turi būti pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

42.1. atsarginės duomenų kopijos daromos automatiniu būdu periodiškai. Visų atsarginių duomenų kopija daroma kartą per 24 valandas;

42.2. elektroninė informacija atsarginėse duomenų kopijose turi būti užšifruota;

42.3. prarasta, iškraipyta ar sunaikinta SPIS elektroninė informacija atkuriama iš atsarginių duomenų kopijų;

42.4. SPIS elektroninė informacija turi būti kopijuojama ir saugoma taip, kad elektroninės informacijos praradimo atveju visišką SPIS funkcionalumą ir veiklą būtų galima atnaujinti per 16 valandų;

42.5. atsarginės duomenų kopijos turi būti pažymėtos taip, kad jas būtų galima atpažinti;

42.6. padarius atsarginių duomenų kopiją, SPIS techninis administratorius turi patikrinti sistemos sukurtus duomenų kopijavimo protokolus ir pažymėti elektroninės informacijos atsarginio kopijavimo ir atkūrimo apskaitos elektroniniame žurnale;

42.7. elektroninės informacijos visiško atkūrimo iš atsarginių duomenų kopijų bandymai privalo būti vykdomi ne rečiau kaip 1 kartą metuose;

42.8. elektroninės informacijos visiško atkūrimo iš atsarginių duomenų kopijų bandymai vykdomi ne darbo valandomis. SPIS valdytojas apie planuojamą SPIS veikimo sustabdymą atkūrimo bandymams vykdyti iš anksto, bet ne vėliau, kaip prieš 2 darbo dienas informuojami visi SPIS naudotojai ir administratoriai;

42.9. už atsarginių duomenų kopijų darymą, saugojimą ir elektroninės informacijos iš atsarginių duomenų kopijų atkūrimą atsakingas SPIS techninis administratorius. Už atsarginių duomenų kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių duomenų kopijų kontrolę atsakingas Saugos įgaliotinis;

42.10. atsarginės duomenų laikmenos su SPIS programinės įrangos kopijomis turi būti laikomos nedegioje spintoje, kitose patalpose arba kitame pastate nei yra SPIS tarnybinės stotys.

43.1. SPIS naudotojų ir administratorių elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacijų tinklų, naudojant užkardą;

43.2. konfigūruojant tinklo užkardas, turi būti laikomasi principo „draudžiama pagal nutylėjimą“, t. y. turi būti naudojami tik būtini organizacijos veiklai tinklo protokolai ir užkardų prievadai;

43.3. už SPIS SI naudotojų srities tinklo užkardų administravimą, priežiūrą, operacinės sistemos atnaujinimą ir užkardų konfigūracija bei jų aprašymas (užkardos taisyklės) saugomos ir už jas atsakingas SPIS SI administratorius ir saugos įgaliotinis;

43.4. už SPIS VI naudotojų srities tinklo užkardų administravimą, priežiūrą, operacinės sistemos atnaujinimą ir užkardų konfigūracija bei jų aprašymas (užkardos taisyklės) saugomos ir už jas atsakingas SPIS administratorius. Peržiūrą inicijuoja Saugos įgaliotinis;

43.5. SPIS tarnybinių stočių srities tinklo užkardų konfigūracijos aprašymas (užkardos taisyklės) saugomas pas SPIS techninį administratorių ir Saugos įgaliotinį. Užkardų konfigūracija peržiūrima ne rečiau kaip kartą per metus. Peržiūrą inicijuoja Saugos įgaliotinis.