3.2.1. Informacinių sistemų saugaus elektroninės informacijos tvarkymo taisykles;

3.2.2. Informacinių sistemų naudotojų administravimo taisykles;

3.2.3. Informacinių sistemų veiklos tęstinumo planą.

4.1. informacinių sistemų komponentai – kompiuterinės darbo vietos, tarnybinės stotys bei jose naudojamos operacinės sistemos, taikomųjų programų sistemos, duomenų saugyklos, duomenų bazės ir jų valdymo sistemos, kompiuterių tinklai, kompiuterių tinklo užkardos, įsilaužimų aptikimo ir prevencijos sistemos, elektroninio pašto valdymo sistema, kita techninė ir programinė įranga, kurios pagrindu funkcionuoja informacinės sistemos bei užtikrinama informacinėse sistemose tvarkomos elektroninės informacijos sauga;

4.2. kibernetinio saugumo vadovas – Valstybės sienos apsaugos tarnybos vado įsakymu paskirtas darbuotojas, atsakingas už informacinių sistemų kibernetinio saugumo politikos įgyvendinimo organizavimą ir priežiūrą; šias funkcijas atlikti gali būti pavesta Valstybės sienos apsaugos tarnybos struktūriniam padaliniui;

4.3. saugos dokumentai – informacinių sistemų duomenų saugos nuostatai ir saugos politiką įgyvendinantys dokumentai;

4.4. kitos Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), kituose Saugos nuostatų 27 punkte nurodytuose teisės aktuose ir standartuose apibrėžtas ir vartojamas sąvokas.

5.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją;

5.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

5.3. užtikrinti nuoseklų ir veiksmingą elektroninės informacijos saugos incidentų valdymą.

6.1. prieigos prie elektroninės informacijos ir jos tvarkymo priemonių ribojimas ir stebėsena;

6.2. elektroninės informacijos tvarkymo ir jos naudojimo stebėsena;

6.3. informacinių sistemų veiklos tęstinumo užtikrinimas;

6.4. informacinėse sistemose tvarkomų asmens duomenų apsauga;

6.5. iniciatyvi elektroninės informacijos saugos incidentų prevencija;

6.6. organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų elektroninės informacijos saugai užtikrinti, įgyvendinimas ir kontrolė;

6.7. informacinių sistemų administratorių ir naudotojų mokymas elektroninės informacijos saugos klausimais.

7.1. saugos dokumentai taikomi:

7.2. saugos dokumentų naudojimo nuostatos:

7.3. už saugos politiką įgyvendinančių dokumentų santraukų, kurios turi būti sudaromos vadovaujantis principu „būtina žinoti“, parengimą atsakingas informacinių sistemų saugos įgaliotinis.

13.1. tvirtina saugos dokumentus;

13.2. prižiūri ir kontroliuoja, kad informacinės sistemos būtų tvarkomos vadovaujantis saugos dokumentais ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais;

13.3. vertina techninės bei programinės įrangos priežiūros paslaugas teikiančių paslaugų teikėjų (jei tokie yra), veikiančių Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka, paslaugas, vykdo paslaugų teikėjų veiklos priežiūrą;

13.4. skiria saugos įgaliotinį, kibernetinio saugumo vadovą, informacinių sistemų administratorius;

13.5. priima sprendimus dėl:

13.6. tvirtina informacinių sistemų rizikos įvertinimo ir rizikos valdymo priemonių planą, informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą. Esant poreikiui, šie planai gali būti sujungti ir tvirtinamas bendras planas;

13.7. nagrinėja pasiūlymus dėl informacinių sistemų elektroninės informacijos saugos priemonių tobulinimo ir priima dėl jų sprendimus;

13.8. atlieka kitas Valstybės informacinių išteklių valdymo įstatyme, Kibernetinio saugumo įstatyme, Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše bei kituose elektroninės informacijos saugos ir kibernetinio saugumo politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

14.1. užtikrina tinkamą Saugos nuostatų, saugos politiką įgyvendinančių dokumentų, kitų dokumentų, susijusių su elektroninės informacijos sauga, įgyvendinimą;

14.2. užtikrina nepertraukiamą informacinių sistemų veikimą;

14.3. užtikrina informacinių sistemų sąveiką su kitomis valstybės informacinėmis sistemomis ir registrais;

14.4. užtikrina elektroninės informacijos, esančios informacinių sistemų duomenų bazėse, saugą;

14.5. užtikrina saugų elektroninės informacijos perdavimą elektroninių ryšių tinklais;

14.6. įgyvendina priemones, mažinančias duomenų atskleidimo ir praradimo riziką bei užtikrinančias prarastų duomenų atkūrimą ir duomenų apsaugą nuo klastojimo;

14.7. rengia informacinių sistemų rizikos įvertinimo ir rizikos valdymo priemonių planą ir informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą. Esant poreikiui, šie planai gali būti sujungti ir rengiamas bendras planas;

14.8. vykdo kibernetinio saugumo organizavimo ir užtikrinimo funkcijas;

14.9. atlieka kitas Valstybės informacinių išteklių valdymo įstatyme, Kibernetinio saugumo įstatyme, Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše bei saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

16.1. užtikrina tinkamą Valstybės sienos apsaugos tarnybos priimtų teisės aktų ir rekomendacijų, susijusių su elektroninės informacijos sauga, įgyvendinimą;

16.2. užtikrina tvarkytojo įstaigos informacinių sistemų naudotojų darbo vietose naudojamų administracinių, techninių ir programinių priemonių, užtikrinančių elektroninės informacijos saugą, diegimo koordinavimą ir priežiūrą;

16.3. pagal kompetenciją atsako už informacinių sistemų elektroninės informacijos tvarkymo teisėtumą;

16.4. užtikrina, kad tvarkytojo įstaigos darbuotojai, kurie yra informacinių sistemų naudotojai, būtų susipažinę su saugos dokumentais ir įsipareigoję saugoti informacinėse sistemose tvarkomų duomenų ir informacijos paslaptį;

16.5. valdo tvarkytojo įstaigos informacinių sistemų kompiuterinių darbo vietų saugos incidentus, saugos dokumentuose nustatyta tvarka informuoja apie juos Valstybės sienos apsaugos tarnybą ir kitas atsakingas institucijas, šalina šiuos incidentus;

16.6. teikia pasiūlymus Valstybės sienos apsaugos tarnybai dėl informacinių sistemų saugos tobulinimo;

16.7. atlieka kitas Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, informacinių sistemų nuostatuose bei saugos dokumentuose nustatytas funkcijas.

17.1. teikia Valstybės sienos apsaugos tarnybos vadovui pasiūlymus dėl:

17.2. koordinuoja elektroninės informacijos saugos incidentų tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, elektroninės informacijos saugos incidentus, neteisėtas veikas, susijusias su saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka kibernetinio saugumo vadovas;

17.3. teikia informacinių sistemų administratoriams ir informacinių sistemų naudotojams privalomus vykdyti nurodymus ir pavedimus dėl elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimo;

17.4. derina paslaugų, susijusių su informacinėmis sistemomis, pirkimo ir informacinių sistemų duomenų teikimo sutartis;

17.5. organizuoja informacinių sistemų rizikos ir informacinių technologijų saugos atitikties vertinimą;

17.6. organizuoja informacinių sistemų naudotojams ir administratoriams mokomuosius ir pažintinius kursus informacinių sistemų elektroninės informacijos saugos klausimais;

17.7. atlieka kitas informacinių sistemų nuostatuose, Bendrųjų saugos reikalavimų apraše ir kituose teisės aktuose saugos įgaliotiniui priskirtas funkcijas.

18.1. analizuoja informacinių sistemų kibernetinio saugumo būklę, kylančių grėsmių, rizikos ir pažeidžiamų vietų vertinimą;

18.2. teikia informacinių sistemų administratoriams privalomus vykdyti nurodymus ir pavedimus dėl kibernetinio saugumo įgyvendinimo;

18.3. teikia informaciją ir pranešimus Nacionaliniam kibernetinio saugumo centrui apie:

18.4. atlieka kitas kibernetinio saugumo įgyvendinimo dokumentuose ir kituose teisės aktuose, reglamentuojančiuose kibernetinį saugumą, kibernetinio saugumo vadovui priskirtas funkcijas.

22.1. koordinuojantis administratorius – siekdamas užtikrinti tinkamą informacinių sistemų administratorių funkcijų vykdymą, koordinuoja ir prižiūri kitų Valstybės sienos apsaugos tarnybos paskirtų informacinių sistemų administratorių veiklą;

22.2. informacinių sistemų naudotojų administratoriai – atlieka naudotojų administravimo funkcijas:

22.3. informacinių sistemų komponentų administratoriai – atlieka funkcijas, susijusias su informacinių sistemų komponentais ir jų sąranka:

22.4. saugos administratorius atlieka informacinių sistemų pažeidžiamų vietų nustatymo, saugumo reikalavimų atitikties nustatymo ir stebėsenos funkcijas.

24.1. pagal saugos dokumentuose ir pareigybių aprašymuose priskirtą kompetenciją reaguoti į elektroninės informacijos saugos incidentus;

24.2. atlikdami informacinių sistemų sąrankos pakeitimus, laikytis informacinių sistemų pokyčių valdymo tvarkos, nustatytos Informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse;

24.3. patikrinti (peržiūrėti) jiems priskirtų informacinių sistemų komponentų sąranką ir informacinių sistemų komponentų būsenos rodiklius ne rečiau kaip kartą per metus ir (arba) po informacinių sistemų pokyčių;

24.4. nuolat teikti saugos įgaliotiniui ir kibernetinio saugumo vadovui informaciją apie elektroninės informacijos saugą užtikrinančių informacinių sistemų komponentų būklę;

24.5. pagal kompetenciją dalyvauti atliekant informacinių technologijų saugos atitikties vertinimą bei informacinių sistemų rizikos vertinimą.

27.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

27.2. Lietuvos Respublikos kibernetinio saugumo įstatymas;

27.3. Lietuvos Respublikos elektroninių ryšių įstatymas;

27.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

27.5. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (OL 2016 L 119, p. 1);

27.6. Bendrųjų saugos reikalavimų aprašas;

27.7. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

27.8. Kibernetinio saugumo reikalavimų aprašas;

27.9. Valstybės sienos apsaugos tarnybos vado įsakymu patvirtintas Kibernetinių incidentų valdymo planas;

27.10.  Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos informacinės sistemos (VSATIS) nuostatai, patvirtinti Valstybės sienos apsaugos tarnybos vado 2004 m. spalio 8 d. įsakymu Nr. 4-507 „Dėl Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos informacinės sistemos (VSATIS) nuostatų bei Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos informacinės sistemos (VSATIS) duomenų saugos nuostatų patvirtinimo“;

27.11.  Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos tarnybinės uniformos apskaitos informacinės sistemos aprašas, patvirtintas Valstybės sienos apsaugos tarnybos vado 2016 m. vasario 10 d. įsakymu Nr. 4-73 „Dėl Tarnybinės uniformos apskaitos informacinės sistemos aprašo ir Tarnybinės uniformos apskaitos informacinės sistemos duomenų saugos nuostatų patvirtinimo“;

27.12.  Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos personalo tvarkymo taikomosios sistemos nuostatai, patvirtinti Valstybės sienos apsaugos tarnybos vado 2012 m. liepos 30 d. įsakymu Nr. 4-552 „Dėl Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos Personalo tvarkymo taikomosios sistemos nuostatų patvirtinimo“;

27.13.  Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos dokumentų valdymo sistemos nuostatai, patvirtinti Valstybės sienos apsaugos tarnybos vado 2019 m. spalio 14 d. įsakymu Nr. 4-448 „Dėl Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos vado 2009 m. birželio 5 d. įsakymo Nr. 4-389 „Dėl Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos Dokumentų valdymo sistemos nuostatų patvirtinimo“ pakeitimo“;

27.14.  Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos Nacionalinio koordinacinio centro informacinės sistemos nuostatai, patvirtinti Valstybės sienos apsaugos tarnybos vado 2020 m. birželio 12 d. įsakymu Nr. 4-219 „Dėl Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos Nacionalinio koordinacinio centro informacinės sistemos steigimo ir jos nuostatų patvirtinimo“;

27.15.  Asmens duomenų tvarkymo ir asmens duomenų subjektų teisių įgyvendinimo Valstybės sienos apsaugos tarnyboje prie Lietuvos Respublikos vidaus reikalų ministerijos tvarkos aprašas, patvirtintas Valstybės sienos apsaugos tarnybos vado 2019 m. vasario 8 d. įsakymu Nr. 4-52 „Dėl Asmens duomenų tvarkymo ir asmens duomenų subjektų teisių įgyvendinimo Valstybės sienos apsaugos tarnyboje prie Lietuvos Respublikos vidaus reikalų ministerijos tvarkos aprašo patvirtinimo“;

27.16.  Lietuvos standartai LST EN ISO/IEC 27002:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST EN ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, kiti Lietuvos ir tarptautiniai „Informacijos technologijos. Saugumo metodai“ grupės standartai, nustatantys elektroninės informacijos saugos valdymą;

27.17.  kiti teisės aktai, reglamentuojantys elektroninės informacijos saugos valdymą.

31.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingos elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais triktys, programinės įrangos klaidos, netinkamas veikimas ir kita);

31.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacinėmis sistemomis elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

31.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

40.1. saugos priemonės turi būti valdomos centralizuotai;

40.2. saugos priemonių diegimo kaina turi būti adekvati saugomos informacijos vertei;

40.3. likutinė rizika turi būti sumažinta iki priimtino lygio;

40.4. kur galima, būtina įdiegti prevencines informacijos saugos priemones.

41.1. informacinių sistemų naudojamose tarnybinėse stotyse ir informacinių sistemų naudotojų kompiuteriuose turi būti naudojamos ir centralizuotai valdomos kenksmingos programinės įrangos aptikimo ir blokavimo realiu laiku priemonės;

41.2. Saugos nuostatų 41.1 papunktyje nurodytos priemonės automatiškai turi informuoti informacinių sistemų komponentų administratorius apie tai, kuriems informacinės sistemos posistemiams, funkciškai savarankiškoms sudedamosioms dalims yra pradelstas kenksmingosios programinės įrangos aptikimo priemonių atsinaujinimo laikas;

41.3. informacinių sistemų komponentai, be kenksmingos programinės įrangos aptikimo ir blokavimo priemonių, gali būti eksploatuojami, jeigu informacinių sistemų rizikos vertinimo metu patvirtinama, kad šių komponentų rizika yra priimtina;

41.4. kenksmingos programinės įrangos aptikimo ir blokavimo priemonės turi atsinaujinti ne rečiau kaip kartą per 24 valandas;

41.5. kenksmingos programinės įrangos aptikimo priemonių sąrankos konfigūravimas turi būti apsaugotas slaptažodžiu.

42.1. informacinių sistemų naudotojų kompiuterinėse darbo vietose ir informacinių sistemų naudojamose tarnybinėse stotyse turi būti naudojama tik teisėta programinė įranga;

42.2. kompiuterinėse darbo vietose naudojama programinė įranga turi būti įtraukta į informacinių sistemų valdytojos vadovo patvirtintą leistinos naudoti programinės įrangos sąrašą; leistinos naudoti programinės įrangos sąrašą turi parengti ir ne rečiau kaip kartą per metus peržiūrėti bei prireikus atnaujinti saugos įgaliotinis;

42.3. tarnybinių stočių ir kompiuterinių darbo vietų operacinių sistemų, elektroninės informacijos saugai užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai bei klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;

42.4. informacinių sistemų saugos administratorius ne rečiau kaip kartą per savaitę turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir su atnaujinimais susijusius saugos pažeidžiamumo svarbos lygius informacinių sistemų posistemiuose, funkciškai savarankiškose informacinių sistemų sudedamosiose dalyse, kompiuterinėse darbo vietose ir apie įvertinimo rezultatus informuoti saugos įgaliotinį ir kibernetinio saugumo vadovą;

42.5. programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojų reikalavimų ir rekomendacijų;

42.6. programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – informacinių sistemų komponentų administratoriai arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai;

42.7. informacinių sistemų programinė įranga turi turėti apsaugą nuo pagrindinių per kompiuterių tinklus vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų atakų. Pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP) interneto svetainėje www.owasp.org;

42.8. elektroninės informacijos saugos priemonių sąranka turi būti konfigūruojama vadovaujantis šių priemonių gamintojų rekomendacijomis.

43.1. programinės įrangos kūrimas ir testavimas turi būti atliekamas aplinkoje, atskirtoje nuo informacinių sistemų gamybinės aplinkos;

43.2. testuojant programinę įrangą turi būti naudojami nuasmeninti duomenų rinkiniai; tais atvejais, kai testavimui naudojamuose duomenų rinkiniuose neįmanoma panaikinti galimybės nustatyti asmens tapatybę, turi būti naudojamos specialios asmens duomenų apsaugos užtikrinimo priemonės ar (ir) procedūros.

44.1. kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant užkardas, automatinę įsilaužimų aptikimo ir prevencijos įrangą, atkirtimo nuo paslaugos, dedikuoto atkirtimo nuo paslaugos įrangą;

44.2. kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuose ryšių tinkluose naršančių vidinių informacinių sistemų naudotojų kompiuterinę įrangą nuo kenksmingo kodo; visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

44.3. apsaugai nuo elektroninės informacijos neteisėto atskleidimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga;

44.4. turi būti naudojamos turinio filtravimo sistemos;

44.5. turi būti naudojamos taikomųjų programų kontrolės sistemos.

45.1. leidžiama naudoti tik su asmeniu ar padaliniu, atsakingu už kibernetinio saugumo organizavimą ar užtikrinimą, suderintus belaidės prieigos taškus ir belaidės prieigos įrenginius;

45.2. belaidės prieigos taškai gali būti diegiami tik atskiruose potinkliuose, kontroliuojamose zonose;

45.3. turi būti vykdoma belaidžių įrenginių kontrolė, tikrinama, ar eksploatuojami belaidžiai įrenginiai atitinka techninius kibernetinio saugumo reikalavimus;

45.4. turi būti naudojamos priemonės, kurios automatiškai apribotų neleistinus ar kibernetinio saugumo reikalavimų neatitinkančius belaidžius įrenginius;

45.5. prisijungiant prie belaidžio tinklo, turi būti taikomas informacinių sistemų naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) / TLS (angl. Transport Layer Security) protokolas bei uždrausta belaidėje sąsajoje naudoti SNMP (angl. Simple Network Management Protocol) protokolą;

45.6. belaidis ryšys turi būti šifruojamas mažiausiai 128 bitų ilgio raktu.

46.1. svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio informacinių sistemų tvarkytojos kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;

46.2. turi būti pakeistos gamintojo numatytos prisijungimo prie svetainių TVS ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) bei slaptažodžiai;

46.3. turi būti užtikrinama, kad prie svetainių TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;

46.4. svetainės turi atitikti kitus saugumo reikalavimus, nustatytus Techniniuose elektroninės informacijos saugos reikalavimuose, Kibernetinio saugumo reikalavimų apraše, Informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse;

46.5. svetainių saugumas turi būti vertinamas informacinių sistemų rizikos įvertinimo metu ir (arba) informacinių sistemų informacinių technologijų saugos atitikties vertinimo metu, atliekamų Saugos nuostatų II skyriuje nustatyta tvarka.

48.1. prisijungti prie informacinių sistemų leidžiama naudoti tik tarnybinius nešiojamuosius kompiuterius ir mobiliuosius įrenginius;

48.2. asmuo, kuris tarnybinį nešiojamąjį kompiuterį ar mobilųjį įrenginį naudoja prisijungti prie informacinių sistemų ar jų atskirų komponentų, neturi teisių valdyti jo sąrankos ir jame įdiegtos programinės įrangos;

48.3. nešiojamiesiems kompiuteriams ir mobiliesiems įrenginiams, išnešamiems iš informacinių sistemų valdytojos ar informacinių sistemų tvarkytojų patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimai, papildomos priemonės asmens tapatumo nustatymui ir kt.);

48.4. prie nešiojamųjų kompiuterių ir mobiliųjų įrenginių gali būti jungiami tik informacinių sistemų naudotojų tarnybinėms funkcijoms atlikti reikalingi įrenginiai, įtraukti į informacinių sistemų valdytojos vadovo tvirtinamą leistinų jungti įrenginių sąrašą;

48.5. už nešiojamojo kompiuterio ar mobiliojo įrenginio fizinį saugumą ir jame tvarkomos elektroninės informacijos saugą teisės aktų nustatyta tvarka atsako asmuo, kuriam šis kompiuteris ar įrenginys yra skirtas.

49.1. visos informacinių sistemų naudotojų kompiuterinės darbo vietos turi būti valdomos centralizuotai, naudojant aktyvių katalogų sistemos (angl. Microsoft Active Directory) ar kitas lygiavertes priemones;

49.2. aktyvių katalogų sistemoje kiekvienai kompiuterinei darbo vietai turi būti nustatyta politika, leidžianti kompiuterinės darbo vietos naudotojui atlikti tik tuos veiksmus, kurie būtini tarnybinėms funkcijoms vykdyti;

49.3. kompiuterinės darbo vietos naudotojas savo tapatybę turi patvirtinti slaptažodžiu arba kita tapatumo patvirtinimo priemone;

49.4. kompiuterinėse darbo vietose gali būti diegiama tik į informacinių sistemų valdytojos vadovo tvirtinamą leistinos naudoti programinės įrangos sąrašą įtraukta programinė įranga;

49.5. naudotojas neturi teisių valdyti kompiuterinės darbo vietos sąrankos ir diegti joje bet kokią programinę įrangą;

49.6. kompiuterinėse darbo vietose turi būti įdiegtos priemonės, leidžiančios riboti išorinių duomenų laikmenų (USB, CD/DVD ir kt.) naudojimą;

49.7. išorinių laikmenų naudojimo ribojimo ir kiti reikalavimai kompiuterinėms darbo vietoms yra nustatyti Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos kompiuterinių darbo vietų apraše, patvirtintame Valstybės sienos apsaugos tarnybos vado 2016 m. lapkričio 9 d. įsakymu Nr. 4-536 „Dėl Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos kompiuterinių darbo vietų aprašo patvirtinimo“ (Kompiuterinių darbo vietų aprašas).

50.1. išnešamose iš informacinių sistemų valdytojos ar informacinių sistemų tvarkytojų patalpų išorinėse duomenų laikmenose esanti nevieša elektroninė informacija turi būti šifruojama;

50.2. iš stacionariųjų ir nešiojamųjų kompiuterių ar elektroninės informacijos laikmenų, kurios perduodamos remonto ar techninės priežiūros paslaugų teikėjui arba nurašomos, turi būti neatkuriamai pašalinta visa nevieša elektroninė informacija.

51.1. elektroninė informacija automatiniu būdu turi būti teikiama ir (ar) gaunama tik pagal informacinių sistemų nuostatuose ir duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas;

51.2. tiesioginė prieiga prie informacinių sistemų elektroninės informacijos suteikiama tik registruotiems naudotojams, naudojant saugos politiką įgyvendinančiuose dokumentuose nustatytas informacinių sistemų naudotojų autentifikavimo priemones (tapatybės patvirtinimas slaptažodžiu ar kitu būdu);

51.3. informacinių sistemų naudotojų, jų vykdytų užklausų ir peržiūrėtų užklausų rezultatų duomenys tvarkomi Vidaus reikalų informacinės sistemos centrinio duomenų banko naudotojų administravimo posistemėje Lietuvos Respublikos vidaus reikalų ministro 2005 m. kovo 9 d. įsakymo Nr. 1V-68 „Dėl Vidaus reikalų informacinės sistemos centrinio duomenų banko duomenų peržiūros taisyklių patvirtinimo“ nustatyta tvarka;

51.4. visa perduodama ir gaunama elektroninė informacija šifruojama;

51.5. elektroninė informacija perduodama ir gaunama automatiniu būdu naudojant TCP/IP, HTTPS protokolus realiuoju laiku arba asinchroniniu režimu, esant Saugos nuostatų 51.1 papunktyje nurodytoms sąlygoms;

51.6. elektroninei informacijai teikti ir (ar) gauti naudojamas saugus Vidaus reikalų telekomunikacinis tinklas, saugus valstybinis duomenų perdavimo tinklas ar kiti saugūs elektroninių ryšių tinklai;

51.7. nuotolinis prisijungimas prie informacinių sistemų galimas naudojant virtualų privatų tinklą (angl. Virtual Private Network, VPN) ir kitus saugiųjų jungimų protokolus (SSL, HTTPS ar lygiaverčius);

51.8. šifro raktų ilgiai, šifro raktų generavimo algoritmai, šifro raktų apsikeitimo protokolai, sertifikato parašo šifravimo algoritmai ir kiti šifravimo algoritmai turi būti nustatomi atsižvelgiant į Lietuvos ir tarptautinių organizacijų ir standartų rekomendacijas, Techninius elektroninės informacijos saugos reikalavimus bei Kibernetinio saugumo reikalavimų apraše nustatytus reikalavimus;

51.9. naudojamų šifravimo priemonių patikimumas vertinamas neeilinio arba kasmetinio informacinių sistemų rizikos vertinimo metu; šifravimo priemonės turi būti operatyviai keičiamos nustačius saugumo spragų šifravimo algoritmuose.

52.1. atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokios apimties, kad informacinių sistemų veiklos sutrikimo, saugos incidento ar elektroninės informacijos vientisumo praradimo atvejais informacinių sistemų neveikimo laikotarpis nebūtų ilgesnis, nei taikoma konkrečioms informacinių sistemų svarbos kategorijoms, nurodytoms Saugos nuostatų priede, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus;

52.2. atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai, bet ne rečiau kaip atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkoje, nustatytoje Informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse, nurodytais terminais;

52.3. elektroninė informacija kopijose turi būti užšifruota; šifravimo raktai turi būti saugomi atskirai nuo kopijų arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos;

52.4. atsarginės elektroninės informacijos kopijos turi būti saugomos kitose patalpose, nei yra informacinių sistemų tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate;

52.5. atsarginių elektroninės informacijos kopijų darymas turi būti fiksuojamas;

52.6. ne rečiau kaip kartą per pusmetį turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

52.7. patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas.

55.1. pranešama Nacionaliniam kibernetinio saugumo centrui ir kitoms atsakingoms institucijoms pagal kompetenciją apie įvykusius kibernetinio saugumo incidentus, jų vertinimą, priskyrimą kibernetinių incidentų kategorijoms (didelio poveikio, vidutinio poveikio, nereikšmingi) ir suvaldymą;

55.2. periodiškai teikiamos ataskaitos Nacionaliniam kibernetinio saugumo centrui apie įvykusių didelio ir vidutinio poveikio incidentų valdymo būklę, pranešama apie incidentų suvaldymą ar pasibaigimą (incidentas laikomas suvaldytu ar pasibaigusiu, kai išnyksta incidento poveikis ir (ar) atkuriama įprasta informacinių sistemų veikla);

55.3. informacinių sistemų valdytojai įvertinus, kad ji negalės savarankiškai ištirti ar suvaldyti kibernetinio incidento per maksimaliai leistiną informacinės sistemos neveikimo laiką, nustatytą saugos politiką įgyvendinančiuose dokumentuose, ne vėliau kaip per dvidešimt keturias valandas nuo šių aplinkybių nustatymo kreipiamasi pagalbos į Nacionalinį kibernetinio saugumo centrą;

55.4. ne vėliau kaip per aštuonias valandas nuo kibernetinio incidento suvaldymo ar pasibaigimo informuojami informacinių sistemų teikiamų paslaugų gavėjai, jeigu kibernetinio incidento poveikis padarė arba gali ateityje padaryti žalos informacinių sistemų teikiamų paslaugų gavėjams.

56.1. draudžiama tarnybinį elektroninį paštą naudoti asmeninėms reikmėms, o asmeninį elektroninį paštą naudoti tarnybinėms reikmėms;

56.2. elektroniniu paštu siunčiama neskirta viešai skelbti ar kita jautri elektroninė informacija (asmens duomenys ar kt.) turi būti šifruojama, siunčiamai elektroninei informacijai iššifruoti reikalingi duomenys gavėjui turi būti perduodami kitomis priemonėmis (telefonu, SMS žinute, susitikus ar pan.), o nesant galimybių tai padaryti ir įvertinus, kad rizika priimtina, – kitu elektroniniu laišku;

56.3. draudžiama elektroniniu paštu perduoti įslaptintą elektroninę informaciją;

56.4. kiti elektroninės informacijos saugos reikalavimai elektroninio pašto administratoriams ir naudotojams nustatyti Kompiuterinių darbo vietų apraše.

58.1. pirkimo dokumentuose iš anksto nustatyti, kad paslaugų teikėjas, darbų vykdytojas ar įrangos tiekėjas užtikrina atitiktį Kibernetinio saugumo reikalavimų apraše nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams;

58.2. į paslaugų pirkimo sutartį įtraukti nuostatą, įpareigojančią paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant paslaugų pirkimo sutartį, išskyrus tiek, kiek tai būtina sutarčiai vykdyti, taip pat nenaudoti konfidencialios informacijos asmeniniams ar trečiųjų asmenų poreikiams, laikantis principo, kad visa paslaugų teikėjui suteikta informacija (įskaitant informacinėse sistemose tvarkomą elektroninę informaciją) yra konfidenciali, išskyrus, kai raštu patvirtinama, kad tam tikra pateikta informacija nėra konfidenciali.