DLKHGLGKHLGKHLGKlfklfgk

VYRIAUSYBĖS KANCLERIS

ĮSAKYMAS

DĖL PORTFELIŲ IR PROJEKTŲ VALDYMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2021 m. liepos 26 d. Nr. V-108

Vilnius

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11 ir 19 punktais ir Lietuvos Respublikos Vyriausybės 2021 m. birželio 21 d. nutarimo Nr. 498 „Dėl Portfelių ir projektų valdymo informacinės sistemos nuostatų patvirtinimo“ 2 punktu:

1. T v i r t i n u pridedamus Portfelių ir projektų valdymo informacinės sistemos duomenų saugos nuostatus.

2. S k i r i u Portfelių ir projektų valdymo informacinės sistemos:

2.1. saugos įgaliotiniu Vyriausybės kanceliarijos Dokumentų valdymo skyriaus patarėją Povilą Ramošką;

2.2. administratoriumi Vyriausybės kanceliarijos Projektų valdymo grupės projektų vadovę Irmą Zdanavičienę;

2.3. duomenų valdymo įgaliotiniu Vyriausybės kanceliarijos Projektų valdymo grupės vadovą.

3. P a v e d u Vyriausybės kanceliarijos Projektų valdymo grupei ne vėliau kaip per 1 mėnesį nuo šio įsakymo įsigaliojimo dienos parengti Portfelių ir projektų valdymo informacinės sistemos duomenų saugos politiką įgyvendinančių dokumentų projektus.

Vyriausybės kanclerė Giedrė Balčytytė

SUDERINTA

Nacionalinio kibernetinio saugumo centro

prie Krašto apsaugos ministerijos

2021-07-07 raštu Nr. 4.1E6K-530

PATVIRTINTA
Vyriausybės kanclerio
2021 m. liepos 26 d. įsakymu Nr. V-108

PORTFELIŲ IR PROJEKTŲ VALDYMO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Portfelių ir projektų valdymo informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Portfelių ir projektų valdymo informacinės sistemos (toliau – PPVIS) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – elektroninės informacijos saugos politika).

2. Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), ir Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Techniniai elektroninės informacijos saugos reikalavimai).

3. Saugos nuostatai kartu su saugos politiką įgyvendinančiais dokumentais, nurodytais Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 7.2–7.4 papunkčiuose (toliau – saugos politiką įgyvendinantys dokumentai), sudaro PPVIS saugos dokumentus (toliau – Saugos dokumentai):

3.1. PPVIS saugaus elektroninės informacijos tvarkymo taisyklės;

3.2. PPVIS veiklos tęstinumo valdymo planas;

3.3. PPVIS naudotojų administravimo taisyklės.

4. PPVIS elektroninės informacijos saugos tikslai:

4.1. užtikrinti elektroninės informacijos konfidencialumą, vientisumą, prieinamumą ir saugumą;

4.2. sudaryti sąlygas saugiai automatiniu būdu tvarkyti PPVIS elektroninę informaciją;

4.3. užtikrinti tinkamą kompiuterinės, programinės ir tinklo įrangos funkcionavimą ir saugumą;

4.4. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar neteisėto tvarkymo;

4.5. vykdyti elektroninės informacijos saugos ir kibernetinių incidentų (toliau – saugos incidentai), asmens duomenų saugumo pažeidimų prevenciją, reaguoti į saugos incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai suvaldyti.

5. PPVIS elektroninės informacijos saugumo prioritetinės kryptys:

5.1. elektroninės informacijos saugos – elektroninės informacijos konfidencialumo, vientisumo ir PPVIS prieinamumo užtikrinimas;

5.2. PPVIS kibernetinio saugumo užtikrinimas;

5.3. asmens duomenų apsauga;

5.4. PPVIS veiklos tęstinumo užtikrinimas.

6. PPVIS duomenų saugumui užtikrinti kompleksiškai įgyvendinamos organizacinės, techninės, programinės, teisinės ir kitos priemonės, padedančios įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos lygio kėlimo, saugos priemonių projektavimo ir diegimo principus.

7. Saugos nuostatai taikomi:

7.1. PPVIS valdytojai ir PPVIS pagrindinei tvarkytojai – Vyriausybės kanceliarijai (Gedimino pr. 11, 01103 Vilnius) (toliau – PPVIS valdytojas);

7.2. kitiems PPVIS tvarkytojams, nurodytiems PPVIS nuostatuose, patvirtintuose Lietuvos Respublikos Vyriausybės 2021 m. birželio 21 d. nutarimu Nr. 498 „Dėl Portfelių ir projektų valdymo informacinės sistemos nuostatų patvirtinimo“ (toliau – PPVIS nuostatai);

7.3. PPVIS administratoriui, PPVIS saugos įgaliotiniui, PPVIS naudotojams, Valstybės informacinių technologijų paslaugų teikėjui – Informacinės visuomenės plėtros komitetui (Konstitucijos pr. 15-89, 09319 Vilnius) ir jo darbuotojams, atsakingiems už informacinių technologijų (toliau – IT) paslaugų teikimą.

8. PPVIS valdytojas:

8.1. formuoja saugos politiką ir organizuoja jos įgyvendinimą;

8.2. tvirtina Saugos dokumentus ir kitus su PPVIS elektroninės informacijos sauga susijusius teisės aktus, prižiūri ir kontroliuoja juose nustatytų reikalavimų laikymąsi;

8.3. priima sprendimus dėl PPVIS IT atitikties saugos reikalavimams vertinimo atlikimo;

8.4. skiria PPVIS duomenų valdymo įgaliotinį;

8.5. skiria PPVIS saugos įgaliotinį;

8.6. skiria PPVIS administratorių;

8.7. sudaro IT paslaugų teikimo sutartį su Valstybės informacinių technologijų paslaugų teikėju;

8.8. priima sprendimus dėl organizacinių, techninių ir programinių priemonių, būtinų elektroninės informacijos saugai užtikrinti įsigijimo, įdiegimo ir modernizavimo (išskyrus Valstybės informacinių technologijų paslaugų teikėjo valdomas technines ir programines priemones, naudojamas PPVIS veikimui užtikrinti);

8.9. teikia Valstybės informacinių technologijų paslaugų teikėjui pasiūlymus dėl PPVIS veikimui užtikrinti taikytinų organizacinių, techninių ir programinių priemonių, būtinų elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

8.10. koordinuoja PPVIS tvarkytojų darbą įgyvendinant elektroninės informacijos saugos reikalavimus;

8.11. nagrinėja PPVIS tvarkytojų pasiūlymus dėl PPVIS elektroninės informacijos saugos tobulinimo ir priima atitinkamus sprendimus;

8.12. teikia Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos (toliau – Nacionalinis kibernetinio saugumo centras) informaciją, reikalingą PPVIS kibernetiniam saugumui įvertinti, Nacionalinio kibernetinio saugumo centro nurodytais formatais ir terminais arba savo iniciatyva;

8.13. užtikrina, kad PPVIS valdytojo valdomi PPVIS komponentai (duomenų bazių valdymo sistemos, taikomoji programinė įranga ir PPVIS valdytojo patalpose esančios ugniasienės, įsilaužimų aptikimo sistemos, duomenų perdavimo tinklai) atitiktų teisės aktų, reglamentuojančių kibernetinę saugą, elektroninės informacijos saugos reikalavimus ir PPVIS saugos politiką įgyvendinančių dokumentų reikalavimus;

8.14. kontroliuoja, kad PPVIS funkcionavimui užtikrinti Valstybės informacinių technologijų paslaugų teikėjo ir trečiųjų šalių teikiamos paslaugos atitiktų teisės aktų, reglamentuojančių kibernetinę saugą, elektroninės informacijos saugos reikalavimus ir PPVIS saugos politiką įgyvendinančių dokumentų reikalavimus;

8.15. atlieka kitas Saugos nuostatuose, Saugos nuostatų 16 punkte nurodytuose teisės aktuose bei PPVIS nuostatuose nustatytas funkcijas, susijusias su PPVIS kibernetine sauga.

9. PPVIS tvarkytojai:

9.1. užtikrina Saugos dokumentų ir kitų PPVIS valdytojo priimtų teisės aktų, susijusių su PPVIS elektroninės informacijos sauga, įgyvendinimą;

9.2. užtikrina PPVIS tvarkytojo PPVIS naudotojams saugiai funkcionuojančias kompiuterizuotas darbo vietas, iš kurių jungiamasi prie PPVIS;

9.3. valdo PPVIS kompiuterizuotų darbo vietų saugos incidentus, informuoja apie juos PPVIS saugos įgaliotinį ir atsakingas institucijas, šalina šiuos incidentus;

9.4. užtikrina PPVIS elektroninės informacijos saugą ir vykdo PPVIS naudotojų darbo vietose naudojamų administracinių, techninių ir programinių priemonių, užtikrinančių elektroninės informacijos saugą, diegimą ir priežiūrą;

9.5. teikia PPVIS valdytojui pasiūlymus dėl PPVIS elektroninės informacijos saugos tobulinimo;

9.6. atlieka kitas Saugos nuostatuose, Saugos nuostatų 16 punkte nurodytuose teisės aktuose ir PPVIS nuostatuose nustatytas PPVIS tvarkytojo funkcijas.

10. Už elektroninės informacijos saugą pagal kompetenciją atsako PPVIS valdytojas ir PPVIS tvarkytojai.

11. PPVIS valdytojas atsako už elektroninės informacijos saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą.

12. PPVIS tvarkytojai ir Valstybės informacinių technologijų paslaugų teikėjas atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos dokumentuose nustatyta tvarka.

13. PPVIS administratorius:

13.1. atlieka funkcijas, susijusias su PPVIS naudotojų teisių valdymu;

13.2. PPVIS tvarkytojo paskirtiems asmenims suteikia prieigos teises naudotis PPVIS priskirtoms funkcijoms atlikti;

13.3. tvarko PPVIS parametrus, klasifikatorius, ataskaitas ir procesus pagal pasirinktus objektus;

13.4. organizuoja ir vykdo PPVIS naudotojų mokymus darbo su PPVIS klausimais;

13.5. informuoja PPVIS saugos įgaliotinį apie saugos politiką įgyvendinančių dokumentų reikalavimų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;

13.6. vykdo PPVIS saugos įgaliotinio nurodymus ir pavedimus, susijusius su PPVIS elektroninės informacijos saugos užtikrinimu.

14. Valstybės informacinių technologijų paslaugų teikėjas:

14.1. užtikrina nepertraukiamą PPVIS virtualių serverių veikimą pagal IT paslaugų kataloge aprašomus paslaugos parametrus;

14.2. užtikrina PPVIS virtualių serverių rezervinių kopijų darymą pagal su PPVIS valdytoju suderintą tvarkaraštį;

14.3. pagal kompetenciją reaguoja į elektroninės informacijos saugos incidentus ir teikia PPVIS saugos įgaliotiniui informaciją apie saugos incidentus;

14.4. bendradarbiauja su PPVIS saugos įgaliotiniu tiriant kibernetinės saugos incidentus;

14.5. informuoja PPVIS saugos įgaliotinį apie saugos politiką įgyvendinančių dokumentų reikalavimų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;

14.6. vykdo PPVIS saugos įgaliotinio pavedimus, susijusius su PPVIS elektroninės informacijos saugos užtikrinimu Valstybės informacinių technologijų paslaugų teikėjo valdomoje IT infrastruktūroje.

15. PPVIS saugos įgaliotinis:

15.1. koordinuoja ir prižiūri elektroninės informacijos saugos politikos įgyvendinimą Saugos dokumentuose nustatyta tvarka;

15.2. supažindina PPVIS tvarkytojo PPVIS naudotojus su Saugos dokumentais;

15.3. teikia PPVIS valdytojo vadovui pasiūlymus dėl:

15.3.1. Saugos dokumentų tobulinimo;

15.3.2. IT saugos atitikties vertinimo atlikimo;

15.3.3. PPVIS administratoriaus paskyrimo ir reikalavimų jam nustatymo;

15.4. organizuoja rizikos ir IT saugos atitikties įvertinimą;

15.5. koordinuoja PPVIS elektroninės informacijos saugos incidentų tyrimą, bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugos incidentus, neteisėtas veikas, susijusias su PPVIS elektroninės informacijos saugos incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

15.6. reguliariai informuoja PPVIS administratorių ir Valstybės informacinių technologijų paslaugų teikėją apie elektroninės informacijos saugos ar kibernetinio saugumo problemas, teikia prevencines elektroninės informacijos saugos ar kibernetinio saugumo užtikrinimo rekomendacijas ir duoda jiems privalomus vykdyti nurodymus ir pavedimus dėl elektroninės informacijos saugos politikos įgyvendinimo;

15.7. atlieka Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas), nustatytas asmens, atsakingo už kibernetinio saugumo organizavimą ir užtikrinimą, funkcijas;

15.8. organizuoja PPVIS naudotojų mokymą elektroninės informacijos saugos klausimais;

15.9. atlieka kitas Saugos dokumentuose ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše PPVIS saugos įgaliotiniui priskirtas funkcijas.

16. Tvarkant PPVIS elektroninę informaciją ir užtikrinant jos saugą, vadovaujamasi šiais teisės aktais:

16.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679);

16.2. Kibernetinio saugumo įstatymu;

16.3. Valstybės informacinių išteklių valdymo įstatymu;

16.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

16.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

16.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašu;

16.7. Informacinių technologijų saugos atitikties vertinimo metodika;

16.8. PPVIS nuostatais ir kitais teisės aktais, reglamentuojančiais elektroninės informacijos tvarkymo teisėtumą, informacinės sistemos valdytojo ir tvarkytojo veiklą ir elektroninės informacijos saugos valdymą.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

17. PPVIS tvarkoma elektroninė informacija priskiriama mažos svarbos elektroninės informacijos kategorijai. Elektroninė informacija šiai kategorijai priskiriama vadovaujantis Klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas).

18. PPVIS pagal joje tvarkomos informacijos svarbą, vadovaujantis Klasifikavimo gairių aprašo 12.3 papunkčiu, yra priskiriama trečiajai informacinių sistemų kategorijai.

19. PPVIS saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, kasmet (ne vėliau kaip iki spalio 1 d.) arba po esminių institucijos organizacinių, sisteminių ar kitokių pokyčių organizuoja PPVIS rizikos įvertinimą. PPVIS rizikos vertinimas gali būti atliekamas kartu su IT saugos atitikties vertinimu. Prireikus PPVIS saugos įgaliotinis gali organizuoti neeilinį PPVIS rizikos įvertinimą.

20. Už rizikos vertinimą, rizikos vertinimo proceso priežiūrą ir nuolatinį proceso tobulinimą atsakingu asmeniu gali būti skiriamas PPVIS valdytojo darbuotojas arba sudaroma sutartis su rizikos vertinimo ir rizikos vertinimo proceso priežiūros ir nuolatinio tobulinimo paslaugas teikiančiu subjektu.

21. Rizikos vertinimo metu turi būti:

21.1. nustatomos grėsmės ir pažeidžiamumai, galintys turėti įtakos PPVIS elektroninės informacijos saugai;

21.2. nustatomos galimos grėsmių ir pažeidžiamumų poveikio PPVIS veiklai sritys;

21.3. įvertinama PPVIS pažeidimo grėsmių tikimybė ir pasekmės;

21.4. nustatomas rizikos lygis ir įvertinamos nustatytos grėsmių tikimybės, išdėstomos prioriteto tvarka pagal svarbą, kuri nustatoma atsižvelgiant į atliktą rizikos vertinimą.

22. PPVIS rizikos veiksnių vertinimo metu atliekama:

22.1. PPVIS sudarančių išteklių inventorizacija;

22.2. rizikos veiksnių įtakos PPVIS vertinimas;

22.3. liekamosios rizikos vertinimas.

23. PPVIS rizikos įvertinimo rezultatai nurodomi rizikos įvertinimo ataskaitoje, kuri pateikiama PPVIS valdytojo vadovui. Rengiant rizikos įvertinimo ataskaitą, nustatomi elektroninės informacijos saugai įtakos galintys turėti rizikos veiksniai, jų galima žala, pasireiškimo tikimybė ir pobūdis, galimi rizikos valdymo būdai, rizikos priimtinumo kriterijai.

24. Svarbiausieji rizikos veiksniai, kurie gali pažeisti PPVIS duomenų ir parengtos pagal juos elektroninės informacijos saugą, yra:

24.1. subjektyvūs netyčiniai (PPVIS duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai IT sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas);

24.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis PPVIS elektronine informacija, duomenų pakeitimas ar sunaikinimas, IT duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės);

24.3. nenugalimos jėgos (force majeure) aplinkybės, įskaitant nurodytas Atleidimo nuo atsakomybės esant nenugalimos jėgos aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte, bet jomis neapsiribojant.

25. Rizikos veiksniai rizikos įvertinimo ataskaitoje turi būti nurodomi pagal prioritetus ir priimtiną rizikos lygį. Rizikos PPVIS duomenims, techninei, programinei įrangai, registravimo dokumentams, PPVIS tvarkytojo patalpoms veiksnių tikėtinumas vertinamas pagal rizikos veiksnių tikimybės ir žalos vertinimo metodiką.

26. Neeilinis PPVIS rizikos veiksnių vertinimas turi būti atliekamas:

26.1. įvykus PPVIS techninės ar programinės įrangos pokyčiams, kurie galėtų turėti įtakos PPVIS veikimui;

26.2. paaiškėjus naujoms IT saugos tendencijoms, dėl kurių kiltų grėsmė PPVIS techninei, programinei įrangai ar PPVIS laikomiems duomenims;

26.3. po saugos incidento, per kurį buvo sutrikdyta PPVIS veikla, sugadinti ar prarasti PPVIS duomenys.

27. Atsižvelgdamas į rizikos įvertinimo ataskaitą, PPVIS valdytojo vadovas tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatytinas ir techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

28. Rizikos įvertinimo ataskaitas, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas PPVIS saugos įgaliotinis PPVIS valdytojui pateikia nedelsdamas, Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai šiuos dokumentus pateikia ne vėliau kaip per 5 darbo dienas nuo jų priėmimo.

29. Atsižvelgiant į atlikto rizikos vertinimo rezultatus, taip pat jeigu Saugos nuostatų 30 punkte nustatyta tvarka atliekamo IT saugos atitikties vertinimo metu nustatoma kibernetinių incidentų valdymo ir šalinimo, PPVIS valdytojo ir (ar) PPVIS tvarkytojų nepertraukiamos veiklos užtikrinimo trūkumų, atitinkamai turi būti tobulinamas PPVIS veiklos tęstinumo valdymo planas. Šio plano veiksmingumo išbandymo rezultatai nurodomi PPVIS veiksmingumo išbandymo ataskaitoje ir pastebėtų trūkumų ataskaitoje, kurių kopijos Saugos nuostatų 34 punkte nustatyta tvarka pateikiamos Nacionaliniam kibernetinio saugumo centrui.

30. Siekiant užtikrinti Saugos dokumentuose nustatytų elektroninės informacijos saugos reikalavimų įgyvendinimo organizavimą ir kontrolę, ne rečiau kaip kartą per dvejus metus, iki spalio 1 d. arba atlikus esminius PPVIS pakeitimus, jei teisės aktuose nenustatyta kitaip, PPVIS saugos įgaliotinis turi organizuoti PPVIS IT saugos atitikties vertinimą, kurio metu:

30.1. įvertinama elektroninės informacijos saugos atitiktis Saugos dokumentams;

30.2. inventorizuojama PPVIS techninė ir programinė įranga;

30.3. įvertinamas pasirengimas užtikrinti PPVIS veiklos tęstinumą įvykus elektroninės informacijos saugos incidentui.

31. Atlikus IT saugos atitikties vertinimą, rengiama IT saugos atitikties vertinimo ataskaita, kuri pateikiama PPVIS valdytojui, ir pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato PPVIS valdytojas.

32. IT saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas PPVIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai.

33. Techninės, programinės, organizacinės PPVIS elektroninės informacijos saugos priemonės pasirenkamos atsižvelgiant į PPVIS valdytojo turimus išteklius, vadovaujantis šiais principais:

33.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

33.2. saugos priemonės diegimo kaina turi būti tapati tvarkomos elektroninės informacijos vertei;

33.3. atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos priemonės.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

34. PPVIS techninėje įrangoje ir PPVIS naudotojų kompiuteriuose naudojama tik legali programinė įranga.

35. PPVIS tarnybinėse stotyse ir PPVIS naudotojų darbo vietose naudojama ir operatyviai atnaujinama programinė įranga, skirta apsaugoti PPVIS nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir pan.).

36. Naudojama kompiuterių tinklo filtravimo įranga (užkardos, turinio kontrolės sistemos, įgaliotieji serveriai (angl. proxy server) ir kt.).

37. Užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, naudojamas šifravimas, virtualus privatus tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas.

38. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos, jos atnaujinimo (ilgiausio leidžiamo neatnaujinimo laiko), išsamios kompiuterių tinklo filtravimo įrangos naudojimo nuostatos ir kiti reikalavimai nustatomi, taip pat metodų, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą (nuotolinio prisijungimo prie PPVIS būdai, protokolai, elektroninės informacijos keitimosi formatai, šifravimo, elektroninės informacijos kopijų skaičiaus reikalavimai, reikalavimai teikti ir (ar) gauti elektroninę informaciją automatiniu būdu tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas), aprašymai pateikiami PPVIS Saugaus elektroninės informacijos tvarkymo taisyklėse.

39. Stacionariuosius kompiuterius leidžiama naudoti tik PPVIS valdytojo ir PPVIS tvarkytojų patalpose. Nešiojamiesiems kompiuteriams, išnešamiems iš PPVIS valdytojo ar PPVIS tvarkytojų patalpų, turi būti taikomos papildomos saugos priemonės (virtualus privatus tinklas, prisijungimo ribojimas), nustatytos Saugaus elektroninės informacijos tvarkymo taisyklėse (jungiamasi per VPN ir iš naudotojui skirtos įrangos).

40. Duomenys, esantys nešiojamuosiuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose, turi būti šifruojami. Reikalavimai duomenų šifravimui nustatyti Saugaus elektroninės informacijos tvarkymo taisyklėse.

41. Per metus turi būti užtikrintas PPVIS prieinamumas ne mažiau kaip 90 proc. laiko oficialiu įstaigų, naudojančių PPVIS, darbo metu darbo dienomis. Prieiga prie PPVIS duomenų suteikiama įgyvendinus PPVIS naudotojų elektroninės atpažinties priemones.

42. PPVIS duomenys duomenų gavėjams perduodami pagal PPVIS duomenų teikimo sutartis, kuriose turi būti nurodyta teikiamų PPVIS duomenų apimtis, jų teikimo ir gavimo teisinis pagrindas, tvarkymo tikslas, teikimo būdas, teikiamų duomenų formatas, teikimo terminai, informavimo apie klaidų ištaisymą tvarka ir terminai, sutarties keitimo tvarka ir kitos sąlygos, arba pagal duomenų gavėjo prašymus, kuriuose turi būti nurodytas prašomų duomenų teikimo ir gavimo teisinis pagrindas, jų tvarkymo tikslas, apimtis, teikimo būdas ir formatas.

43. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

43.1. elektroninė informacija teikiama (daugkartinio teikimo atveju ir vienkartinio teikimo atveju) PPVIS nuostatuose nustatyta tvarka;

43.2. elektroninei informacijai teikti naudojamas Saugus valstybinis duomenų perdavimo tinklas;

43.3. elektroninė informacija teikiama tik pagal PPVIS nuostatuose, PPVIS duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas;

43.4. prisijungimas prie PPVIS galimas:

43.4.1. naudojant transporto lygmens protokolus (angl. Transport Layer Secure) (toliau – TLS), reglamentuojančius informacinių sistemų naudotojo ir serverio abipusį tapatumo nustatymą, kad būtų užtikrintas šifruotas ryšys. Siekiant, kad elektroninės informacijos perdavimas iš serverio į interneto naršyklę ir iš interneto naršyklės į serverį būtų saugus, naudojamas TLS sertifikatas, patvirtinantis elektroninės informacijos šaltinio tapatumą ir šifruojantis informacinių sistemų naudotojo ir serverio siunčiamą ir gaunamą elektroninę informaciją. Informacinių sistemų interneto svetainėse TLS šifruota HTTP (angl. HyperText Transfer Protocol) protokolo elektroninė informacija perduodama saugiu HTTPS (angl. HyperText Transfer Protocol Secure) protokolu;

43.4.2. naudojant virtualų privatų tinklą. Virtualiame tinkle turi būti naudojamas IPsec (angl. Internet Protocol Security) protokolų rinkinys;

43.4.3. naudojant saugaus apvalkalo protokolą (angl. Secure Shell) ir nuotolinio darbalaukio protokolą (angl. Remote Desktop Protocol). Šia galimybe gali būti pasinaudota tik informacinių sistemų administravimo tikslais; šie prisijungimai turi būti leidžiami tik iš konkrečių IP adresų;

43.4.4. šifro raktų ilgiai, šifro raktų generavimo algoritmai, šifro raktų apsikeitimo protokolai, sertifikato parašo šifravimo algoritmai ir kiti šifravimo algoritmai turi būti nustatomi atsižvelgiant į Lietuvos ir tarptautinių organizacijų rekomendacijas, Lietuvos standartus, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašą;

43.5. naudojamų šifravimo priemonių patikimumas turi būti vertinamas neeilinio arba kasmetinio informacinių sistemų rizikos vertinimo metu. Šifravimo priemonės turi būti operatyviai keičiamos nustačius saugumo spragų šifravimo algoritmuose.

44. Atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

44.1. atsarginės elektroninės informacijos kopijos daromos vieną kartą per parą automatiškai;

44.2. PPVIS turi visišką duomenų atkūrimo iš rezervinių kopijų sistemos galimybę. Informacijos atkūrimas iš elektroninės informacijos kopijų negali trukti ilgiau kaip 24 valandas;

44.3. elektroninė informacija kopijose yra užšifruota;

44.4. už elektroninės informacijos atsarginių kopijų darymą ir saugojimą atsakingas Valstybės informacinių technologijų paslaugų teikėjas, jeigu PPVIS komponentai (operacinės sistemos, duomenų bazių valdymo sistemos, taikomųjų programų sistemos ugniasienės, įsilaužimų aptikimo sistemos, duomenų perdavimo tinklų būklė ir kiti) yra laikomi Valstybės informacinių technologijų paslaugų teikėjo valdomoje IT infrastruktūroje ir jo žinioje esančiuose duomenų centruose. Jeigu PPVIS komponentai saugomi kituose duomenų centruose, PPVIS saugos įgaliotinis kontroliuoja elektroninės informacijos atsarginių kopijų darymą ir saugojimą;

44.5. PPVIS elektroninės informacijos ir taikomosios programinės įrangos kopijos turi būti daromos prieš diegiant PPVIS programinės įrangos naujinimus ar atliekant kitus veiksmus, kurie gali lemti netinkamą PPVIS veikimą ar duomenų praradimą;

44.6. atkurti informaciją iš elektroninės informacijos kopijų gali tik Valstybės informacinių technologijų paslaugų teikėjas, suderinęs su PPVIS administratoriumi ir saugos įgaliotiniu;

44.7. atsarginės elektroninės informacijos kopijos turi būti saugomos ne trumpiau kaip 14 kalendorinių dienų;

44.8. bandymą atkurti PPVIS elektroninę informaciją ne mažiau kaip vieną kartą per metus atlieka Valstybės informacinių technologijų paslaugų teikėjas. Šio bandymo metu PPVIS elektroninė informacija atkuriama taip, kaip ji būtų atkuriama tuo atveju, jei būtų netikėtai prarasti duomenys;

44.9. atsarginės elektroninės informacijos kopijos saugomos kitoje patalpoje nei PPVIS serveriai. Patalpos, kuriose saugomos atsarginės PPVIS elektroninės informacijos kopijos, turi atitikti patalpoms, kuriose saugoma PPVIS elektroninė informacija, nustatytus reikalavimus. Patalpų, kuriose saugoma PPVIS elektroninė informacija, reikalavimai nustatomi Saugaus elektroninės informacijos tvarkymo taisyklėse.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

45. PPVIS personalas – PPVIS administratorius, Valstybės informacinių technologijų paslaugų teikėjo darbuotojai, įskaitant pasamdytus trečiuosius asmenis, kurie dalyvauja teikiant IT paslaugas (toliau – IT paslaugų teikėjo darbuotojai), PPVIS saugos įgaliotinis ir PPVIS naudotojai.

46. PPVIS saugos įgaliotiniu, PPVIS administratoriumi ir IT paslaugų teikėjo darbuotoju negali būti skiriamas asmuo, neatitinkantis Valstybės informacinių išteklių valdymo įstatymo 42 straipsnio reikalavimų.

47. PPVIS saugos įgaliotinis privalo išmanyti informacinių sistemų administravimo ir elektroninės informacijos saugos užtikrinimo principus, tobulinti elektroninės informacijos saugos srities kvalifikaciją, savo darbe vadovautis Saugos dokumentais, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų, reglamentuojančių elektroninės informacijos saugą, nuostatomis. PPVIS valdytojas turi sudaryti sąlygas tobulinti PPVIS saugos įgaliotinio kvalifikaciją.

48. PPVIS saugos įgaliotiniui kasmet turi būti organizuojami mokymai kibernetinio saugumo klausimais arba sudaromos sąlygos tobulinti kvalifikaciją savišvietos būdu.

49. PPVIS saugos įgaliotinis kasmet inicijuoja PPVIS naudotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugą (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujiems PPVIS naudotojams).

50. PPVIS administratorius privalo būti susipažinęs su Saugos dokumentais, Reglamentu (ES) 2016/679 ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir informacinių sistemų elektroninės informacijos tvarkymą. PPVIS administratorius privalo išmanyti darbą su PPVIS taikomąja programine įranga, gebėti administruoti ir prižiūrėti PPVIS taikomosios programinės įrangos komponentus, gebėti atlikti funkcijas, susijusias su PPVIS naudotojų teisių valdymu. IT paslaugų teikėjo darbuotojas (-ai) taip pat privalo gebėti administruoti informacinės sistemos architektūroje naudojamą sisteminę programinę įrangą, išmanyti informacijos saugos principus, PPVIS užtikrinti techninės ir sisteminės programinės įrangos nepertraukiamą funkcionavimą bei PPVIS tvarkomos elektroninės informacijos saugą ir prižiūrėti PPVIS komponentus, stebėti PPVIS komponentų veikimą, taip pat atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą.

51. PPVIS esančius asmens duomenis tvarkyti ar su jais susipažinti gali tik tie PPVIS valdytojo ir PPVIS tvarkytojų paskirti asmenys, kuriems tokie duomenys yra reikalingi jų funkcijoms atlikti. Šie asmenys gali atlikti tik tuos veiksmus, kuriems atlikti yra suteiktos teisės, vadovaujantis Saugaus elektroninės informacijos tvarkymo taisyklėmis.

52. PPVIS naudotojai privalo:

52.1. turėti pagrindinius darbo kompiuteriu įgūdžius, mokėti tvarkyti elektroninę informaciją, būti susipažinę su Saugos nuostatais, Reglamentu (ES) 2016/679 ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą bei informacinių sistemų elektroninės informacijos tvarkymą;

52.2. nuolat tobulinti kompiuterinį raštingumą ir kvalifikaciją elektroninės informacijos saugos srityje – dalyvauti mokymuose arba tobulinti kvalifikaciją savišvietos būdu.

53. PPVIS valdytojo darbuotojai, kurie dalyvauja prižiūrint, valdant ir tobulinant PPVIS, privalo išmanyti PPVIS veiklos principus, būti susipažinę su Saugos dokumentuose nustatytais reikalavimais ir juos vykdyti bei atlikti Saugos dokumentuose nurodytas procedūras.

54. Mokymai elektroninės informacijos saugos ir kibernetinio saugumo klausimais planuojami ir mokymo būdai parenkami atsižvelgiant į prioritetines elektroninės informacijos saugos užtikrinimo kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), PPVIS saugos įgaliotinio, PPVIS naudotojų, PPVIS administratoriaus ir IT paslaugų teikėjo darbuotojo (-ų) poreikius. Informacija apie PPVIS personalo mokymus registruojama bei skelbiama elektroninėje erdvėje.

V SKYRIUS

PPVIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

55. Tvarkyti ir naudoti PPVIS elektroninę informaciją gali PPVIS administratorius ir PPVIS naudotojai, susipažinę su Saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, ir sutikę laikytis šių teisės aktų reikalavimų. Už PPVIS naudotojų supažindinimą su Saugos dokumentais pagal kompetenciją yra atsakingas PPVIS saugos įgaliotinis. Asmenys, kurie tvarko asmens duomenis, privalo laikytis Reglamente (ES) 2016/679 nustatytų asmens duomenų tvarkymo principų ir reikalavimų.

56. PPVIS administratoriaus, IT paslaugų teikėjo darbuotojo (-ų) ir PPVIS naudotojų supažindinimą su Saugos dokumentais ir atsakomybe už jų pažeidimą, taip pat su informacija apie Saugos dokumentų priėmimą, pakeitimą ar pripažinimą netekusiais galios pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą, organizuoja PPVIS saugos įgaliotinis.

57. PPVIS administratorius su Saugos nuostatais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą, supažindina PPVIS saugos įgaliotinis per 10 darbo dienų nuo PPVIS įteisinimo, o su kitais Saugos dokumentais – per 10 darbo dienų nuo šių dokumentų arba jų pakeitimų patvirtinimo.

58. Su Saugos dokumentais pakartotinai supažindinama tik iš esmės pasikeitus PPVIS arba elektroninės informacijos saugą reguliuojantiems teisės aktams.

59. PPVIS naudotojai, PPVIS administratorius ir PPVIS saugos įgaliotinis, pažeidę Saugos dokumentų ir saugų elektroninės informacijos tvarkymą reguliuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

60. PPVIS valdytojas Saugos dokumentus gali keisti savo arba PPVIS saugos įgaliotinio iniciatyva. Saugos dokumentai turi būti derinami su Nacionaliniu kibernetinio saugumo centru. Keičiami Saugos dokumentai gali būti nederinami su Nacionaliniu kibernetinio saugumo centru tais atvejais, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar elektroninės informacijos saugos politikos ir kibernetinio saugumo politikos nekeičiantys pakeitimai arba pakeitimai, susiję su teisės technika. Nacionaliniam kibernetinio saugumo centrui turi būti pateiktos keičiamų Saugos dokumentų kopijos.

61. PPVIS valdytojas Saugos dokumentus iš esmės turi persvarstyti ne rečiau kaip vieną kartą per kalendorinius metus. Saugos dokumentai turi būti persvarstomi atlikus rizikos vertinimą, ryšių ir informacinės sistemos rizikos vertinimą ar IT saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems PPVIS valdytojo pokyčiams. Persvarsčius Saugos dokumentus, turi būti nustatoma, kuriuos iš juose nustatytų elektroninės informacijos saugos reikalavimų būtina atnaujinti ir (ar) įgyvendinti pirmiausia, siekiant užtikrinti PPVIS saugą.

____________________________