Lietuvos Respublikos Vyriausybė

 

nutarimas

Dėl ORGANIZACINIŲ IR TECHNINIŲ KIBERNETINIO SAUGUMO REIKALAVIMŲ, TAIKOMŲ YPATINGOS SVARBOS INFORMACINEI INFRASTRUKTŪRAI IR VALSTYBĖS INFORMACINIAMS IŠTEKLIAMS, APRAŠO PATVIRTINIMO

 

2016 m. balandžio 20 d. Nr. 387
Vilnius

 

 

Vadovaudamasi Lietuvos Respublikos kibernetinio saugumo įstatymo 5 straipsnio 3 punktu, Lietuvos Respublikos Vyriausybė nutaria:

1Patvirtinti pridedamą Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašą (toliau – Aprašas).

2Nustatyti, kad ypatingos svarbos informacinės infrastruktūros valdytojai pagal kompetenciją:

2.1. ne vėliau kaip per 4 mėnesius nuo Lietuvos Respublikos Vyriausybės patvirtinto ypatingos svarbos informacinės infrastruktūros ir (arba) šios infrastruktūros valdytojų sąrašo įsigaliojimo dienos įgyvendina Apraše nustatytus organizacinius kibernetinio saugumo reikalavimus;

2.2. ne vėliau kaip per 4 mėnesius nuo ypatingos svarbos informacinės infrastruktūros ir (arba) šios infrastruktūros valdytojų sąrašo patvirtinimo dienos patvirtina Apraše nustatytų techninių kibernetinio saugumo reikalavimų įgyvendinimo priemonių planą ir pateikia jį Nacionaliniam kibernetinio saugumo centrui;

2.3. ne vėliau kaip per 12 mėnesių nuo Lietuvos Respublikos Vyriausybės patvirtinto ypatingos svarbos informacinės infrastruktūros ir (arba) šios infrastruktūros valdytojų sąrašo įsigaliojimo dienos įgyvendina Apraše nustatytus techninius kibernetinio saugumo reikalavimus.

3.  Nustatyti, kad viešojo administravimo subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius, pagal kompetenciją:

3.1. ne vėliau kaip per 4 mėnesius nuo šio nutarimo įsigaliojimo dienos įgyvendina Apraše nustatytus organizacinius kibernetinio saugumo reikalavimus;

3.2. ne vėliau kaip per 4 mėnesius nuo šio nutarimo įsigaliojimo dienos patvirtina techninių kibernetinio saugumo reikalavimų įgyvendinimo priemonių planą ir pateikia jį Nacionaliniam kibernetinio saugumo centrui;

3.3. ne vėliau kaip per 12 mėnesių nuo šio nutarimo įsigaliojimo dienos įgyvendina Apraše nustatytus techninius kibernetinio saugumo reikalavimus.

 

 

 

Ministras Pirmininkas                                                                      Algirdas Butkevičius

 

 

 

Krašto apsaugos ministras                                                               Juozas Olekas

 

PATVIRTINTA
Lietuvos Respublikos Vyriausybės
2016 m. balandžio 20 d nutarimu Nr. 387

 

 

 

ORGANIZACINIŲ IR TECHNINIŲ KIBERNETINIO SAUGUMO REIKALAVIMŲ, TAIKOMŲ YPATINGOS SVARBOS INFORMACINEI INFRASTRUKTŪRAI IR VALSTYBĖS INFORMACINIAMS IŠTEKLIAMS, APRAŠAS

 

 

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.  Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašas (toliau – Aprašas) nustato organizacinius ir techninius kibernetinio saugumo reikalavimus (toliau kartu – Reikalavimai) ypatingos svarbos informacinės infrastruktūros (toliau Apraše ir prieduose – YSII) valdytojams ir viešojo administravimo subjektams, valdantiems ir (arba) tvarkantiems valstybės informacinius išteklius (toliau kartu – RIS valdytojai).

2.  Reikalavimai gali būti taikomi kaip rekomendaciniai įslaptintą informaciją apdorojančioms, perduodančioms ir saugančioms automatizuoto duomenų apdorojimo sistemoms ir tinklams, kiek tai neprieštarauja Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatyme ir kituose atitinkamuose teisės aktuose tokioms sistemoms ir tinklams nustatytiems reikalavimams.

3.  Apraše vartojama sąvoka „mobilusis įrenginys“ nešiojamasis prietaisas, gaunantis energiją iš integruoto energijos šaltinio ir turintis galimybę perduoti ir (ar) priimti ir apdoroti elektroninius duomenis, siunčiamus fizine terpe, elektromagnetinėmis bangomis ir šviesa.

Kitos Apraše vartojamos sąvokos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatyme ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“.

 

II SKYRIUS

ORGANIZACINIAI KIBERNETINIO SAUGUMO REIKALAVIMAI

 

4.  Turi būti užtikrinamas kibernetinių incidentų, įvykusių ypatingos svarbos informacinėje infrastruktūroje ir valstybės informaciniuose ištekliuose (toliau Apraše ir prieduose – RIS) valdymas ir tyrimas:

4.1. registruojami RIS įvykę kibernetiniai incidentai ir nedelsiant į juos reaguojama, techninėmis ir programinėmis priemonėmis kibernetiniai incidentai valdomi, tiriami ir šalinami;

4.2. Nacionaliniam kibernetinio saugumo centrui (toliau Apraše ir prieduose – Centras) pranešama apie:

4.2.1.   didelės reikšmės kibernetinį incidentą – ne vėliau kaip per vieną valandą nuo jo nustatymo;

4.2.2.   vidutinės reikšmės kibernetinį incidentą – ne vėliau kaip per 4 valandas nuo jo nustatymo;

4.2.3.   nereikšmingą kibernetinį incidentą – ne vėliau kaip per 7 dienas nuo jo nustatymo;

4.3. pranešime apie didelės ir vidutinės reikšmės kibernetinį incidentą turi būti nurodyta:

4.3.1.   kibernetinio incidento grupė;

4.3.2.   trumpas kibernetinio incidento apibūdinimas;

4.3.3.   tikslus laikas, kada kibernetinis incidentas įvyko ir nustatytas;

4.3.4.   kibernetinio incidento kategorija;

4.3.5.   kibernetinio incidento šalinimo tvarka (turi būti nurodyta, ar tai prioritetas, ar ne);

4.4. pranešime apie nereikšmingą kibernetinį incidentą turi būti pateikta informacija apie kiekvienos grupės incidentų, įvykusių nuo paskutinio pranešimo pateikimo dienos, skaičių;

4.5. Centrui turi būti pateikiamas vertinimas:

4.5.1.   didelės reikšmės kibernetinio incidento – ne vėliau kaip per 2 valandas nuo jo nustatymo;

4.5.2.   vidutinės reikšmės kibernetinio incidento – ne vėliau kaip per 24 valandas nuo jo nustatymo;

4.6. didelės ir vidutinės reikšmės kibernetinio incidento vertinimo ataskaitoje turi būti nurodyta žinoma informacija:

4.6.1.   RIS, kurioje nustatytas kibernetinis incidentas, tipas (informacinė sistema, elektroninių ryšių tinklas, tarnybinė stotis ir panašiai);

4.6.2.   kibernetinio incidento veikimo trukmė;

4.6.3.   kibernetinio incidento šaltinis;

4.6.4.   kibernetinio incidento požymiai;

4.6.5.   kibernetinio incidento veikimo metodas;

4.6.6.   galimos kibernetinio incidento pasekmės;

4.6.7.   kibernetinio incidento poveikio pasireiškimo (galimo išplitimo) mastas;

4.6.8.   kibernetinio incidento būsena (aktyvus, pasyvus);

4.6.9.   priemonės, kuriomis kibernetinis incidentas nustatytas;

4.6.10. galimos kibernetinio incidento valdymo priemonės.

4.7. apie didelės ir vidutinės reikšmės kibernetinio incidento sustabdymą ir pašalinimą Centrui turi būti pranešama ne vėliau kaip per 2 valandas nuo kibernetinio incidento sustabdymo ir pašalinimo;

4.8. apie kibernetinius incidentus Centras turi būti informuojamas naudojantis Kibernetinio saugumo informaciniu tinklu, o nesant galimybės – Centro nurodytais kontaktais.

4.9. kriterijai, kuriais vadovaujantis kibernetiniai incidentai priskiriami konkrečiai kategorijai, nustatyti Aprašo 1 priede;

4.10. ne rečiau kaip kartą per metus turi būti organizuojamos kibernetinių incidentų imitavimo pratybos ir atsižvelgiant į jų rezultatus tobulinami veiklos tęstinumo planai (YSII atveju – kibernetinių incidentų valdymo planas), jeigu nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų.

5.  Turi būti patvirtinti teisės aktai, reglamentuojantys RIS kibernetinio saugumo politiką ir jos įgyvendinimą (toliau – kibernetinio saugumo dokumentai).

6.  Kibernetinio saugumo dokumentuose turi būti nustatyta:

6.1. kibernetinio saugumo dokumentų taikymas ir naudojimas;

6.2. RIS naudotojų grupių sudarymas, teisių ir prieigos prie RIS paslaugų ir išteklių suteikimas ir valdymas;

6.3. RIS naudotojų pareigos ir funkcijos, susijusios su kibernetiniu saugumu;

6.4. RIS naudotojų, kompetentingo asmens ar padalinio, atsakingo už kibernetinio saugumo organizavimą ir užtikrinimą (toliau Apraše ir prieduose – Kibernetinio saugumo vadovas), mokymai kibernetinio saugumo klausimais;

6.5. RIS naudotojų vardų ir slaptažodžių sudarymas, apsauga ir keitimas;

6.6. audito įrašų administravimas ir saugojimas;

6.7. įsibrovimų aptikimas ir prevencija;

6.8. saugus naudojimasis belaidžiu tinklu;

6.9. mobiliųjų įrenginių, naudojamų prisijungti prie RIS, saugus naudojimas ir kontrolė;

6.10. duomenų, esančių mobiliuosiuose įrenginiuose, šifravimo nuostatos;

6.11. RIS išteklių naudojimas už organizacijos ribų ir (arba) mobiliaisiais įrenginiais;

6.12. RIS naudojamų svetainių saugos valdymas;

6.13. grėsmių ir pažeidžiamumų, galinčių turėti įtakos RIS kibernetiniam saugumui, vertinimas;

6.14. pažeidžiamumų nustatymo dalyvių teisės ir pareigos;

6.15. pažeidžiamumų nustatymo plano rengimas;

6.16. pažeidžiamumų nustatymo programinės įrangos naudojimas;

6.17. kibernetinių atakų imitavimas;

6.18. pažeidžiamumų nustatymo rezultatų klasifikavimas;

6.19. pažeidžiamumų nustatymo ataskaitų rengimas ir nustatytų trūkumų šalinimas;

6.20. kibernetinio incidento valdymo organizavimas;

6.21. kibernetinio incidento nustatymas;

6.22. kibernetinio incidento vertinimas;

6.23. kibernetinio incidento stabdymas ir šalinimas;

6.24. RIS įprastinės veiklos atkūrimas;

6.25. įgytos kibernetinių incidentų valdymo patirties vertinimas;

6.26. kibernetiniam saugumui užtikrinti naudojamų priemonių diegimo ir šių priemonių parametrų keitimas;

6.27. Reikalavimų įgyvendinimo kontrolės ir atitikties vertinimas;

6.28. RIS kibernetinio saugumo būklės gerinimas;

6.29. elektroninio pašto naudojimas.

7.  Viešojo administravimo subjektai, valdantys ir (arba) tvarkantys valstybės informacinius išteklius, Aprašo 6 punkto nuostatas gali išdėstyti Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, nustatyta tvarka rengiamuose ir tvirtinamuose saugos dokumentuose. Šiuo atveju minėti saugos dokumentai Aprašo 8 ir 9 punktų nustatyta tvarka turi būti papildomai derinami su Centru.

8.  Išvadas, pastabas ir pasiūlymus dėl kibernetinio saugumo dokumentų projektų Centras turi pateikti per 10 darbo dienų, jeigu šie projektai didelės apimties (daugiau kaip 10 puslapių), – per 15 darbo dienų, o dėl pakartotinai pateiktų derinti projektų – per 5 darbo dienas nuo jų gavimo. Prieš pateikdamas išvadas, pastabas ir pasiūlymus dėl kibernetinio saugumo dokumentų projektų, Centras gali paprašyti RIS valdytojo pateikti kitus RIS saugumą nustatančius dokumentus.

9.  Kibernetinio saugumo dokumentai turi būti peržiūrimi (persvarstomi) ne rečiau kaip kartą per metus. Keičiami kibernetinio saugumo dokumentai su Centru gali būti nederinami tais atvejais, kai atliekami tik redakciniai pakeitimai, Centrui pateikiamos šių dokumentų kopijos.

10.  Turi būti užtikrinama, kad Kibernetinio saugumo vadovas turėtų tinkamą kvalifikaciją, ir būtų sudaromos sąlygos ją kelti.

11.  Turi būti organizuojami ir atliekami RIS naudotojų mokymai kibernetinio saugumo klausimais.

12.  Ne rečiau kaip kartą per metus turi būti organizuojamas ir atliekamas RIS atitikties Reikalavimams vertinimas.

13.  Turi būti organizuojamas ir atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos RIS kibernetiniam saugumui, vertinimas kartu su pagrindiniu RIS rizikos vertinimu ir (arba) informacinių technologijų saugos atitikties vertinimu.

14.  Ne rečiau kaip kartą per mėnesį turi būti atliekama RIS ir RIS naudotojų veiksmų audito įrašų analizė.

15.  Ne rečiau kaip kartą per mėnesį turi būti atliekama saugasienių užfiksuotų įvykių analizė ir pastebėtos neatitiktys saugumo reikalavimams šalinamos.

16.  Ne rečiau kaip kartą per mėnesį turi būti įvertinami kibernetiniam saugumui užtikrinti naudojamų priemonių programiniai atnaujinimai, klaidų taisymai ir šie atnaujinimai diegiami.

17.  RIS valdytojas, pirkdamas paslaugas, darbus ar įrangą, susijusius su RIS, jos projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose turi nustatyti, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas užtikrina atitiktį Reikalavimams.

 

III SKYRIUS

TECHNINIAI KIBERNETINIO SAUGUMO REIKALAVIMAI

 

18.  Techniniai kibernetinio saugumo reikalavimai RIS nustatomi pagal RIS svarbą, tai yra svarbiausia – YSII ir valstybės informaciniai ištekliai, atitinkantys valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų kategorijas pagal Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“:

18.1.    YSII;

18.2.    pirma kategorija (I);

18.3.    antra kategorija (II);

18.4.    trečia kategorija (III);

18.5.    ketvirta kategorija (IV).

19.  Išsamus techninių kibernetinio saugumo reikalavimų sąrašas pateiktas Aprašo 2 priede.

20.  Kibernetinio saugumo priemonių, pateiktų Aprašo 2 priede, nustatymai turi būti atlikti vadovaujantis gamintojo ir bent viena gerąja saugumo praktikos rekomendacija.

 

IV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

21.  RIS valdytojas gali nusistatyti ir taikyti papildomus Reikalavimus.

 

 

––––––––––––––––––––

 

Organizacinių ir techninių kibernetinio saugumo

reikalavimų, taikomų ypatingos svarbos

informacinei infrastruktūrai ir valstybės

informaciniams ištekliams, aprašo
1 priedas

 

 

KIBERNETINIŲ INCIDENTŲ KATEGORIJŲ SĄRAŠAS

 

Kibernetinis incidentas

Grupė

Apibūdinimas

Kategorija

Kenkimo programinė įranga (angl. Malicious Software)

Kenkimo programinė įranga, kai darbo ar tarnybinės stotys aktyviai kontroliuojamos įsibrovėlių (pavyzdžiui, užpakalinės durys (angl. back door)

 

Modernios kenkimo programinės įrangos (angl. advanced persistent threat, APT) aptikimas RIS.

 

Kenkimo programinė įranga, trikdanti RIS kibernetinio saugumo priemonių darbą

D1

Kenkimo programinė įranga, kurios neaptinka RIS darbo stotyje veikianti antivirusinė programinė įranga.

 

RIS veikianti kenkimo programinė įranga, kurią aptinka antivirusinė programinė įranga per reguliarų patikrinimą

V2

RIS laikmenose ar darbo ir tarnybinėse stotyse veikianti kenkimo programinė įranga, kurią iš karto aptinka antivirusinė programinė įranga.

 

Socialinės inžinerijos metodų naudojimas (manipuliavimas RIS naudotojų emocijomis ir psichologija, pastabumo stoka, technologijų neišmanymu), kai bandoma įtikinti RIS naudotoją atlikti grėsmę RIS keliančius veiksmus, tačiau RIS naudotojas atpažįsta grėsmę ir neatlieka kenkimo programinę įrangą aktyvinančių veiksmų

N3

Įsilaužimas

Vykdoma vidinė RIS žvalgyba ar kita įtartina veikla (prievadų skenavimas, slaptažodžių parinkimas, kita), aptikta RIS (neskaitant kenkimo programinės įrangos), sukėlusi RIS veiklos sutrikimus.

 

Piktybiniai veiksmai prieš RIS kibernetinio saugumo priemones

D

Vykdoma vidinė RIS žvalgyba ar kita įtartina veikla (prievadų skenavimas, slaptažodžių parinkimas, kita), aptikta RIS infrastruktūroje

V

RIS perimetro žvalgyba

Vykdoma aktyvi (slaptažodžių parinkimas, bandymai išnaudoti pažeidžiamumus, kita) RIS perimetro žvalgyba ar įtartina veikla (neskaitant kenksmingos programinės įrangos), mėginama paveikti RIS kibernetinio saugumo priemones

V

Vykdoma RIS perimetro priemonių žvalgyba (nebandant įsilaužti)

N

RIS trikdymas

Veiksmas, ilgiau nei 4 valandoms sutrikdęs RIS veiklą

D

Veiksmas, kuriuo trikdoma (angl. Denial of Service, DoS) RIS veikla

V

Neteisėta veika

Vagystė, apgavystė ir panašūs kriminalinio pobūdžio kibernetiniai incidentai

V

Vientisumo pažeidimas

RIS ar jo dalies pažeidimas, sutrikdantis RIS teikiamų paslaugų nepertraukiamą teikimą, galintis turėti įtakos tvarkomų duomenų ir teikiamų paslaugų patikimumui, iškreipti turinį ir mažinti RIS naudotojų pasitikėjimą jais

V

 

 

________________________

[1]Didelės reikšmės kibernetinis incidentas.

2 Vidutinės reikšmės kibernetinis incidentas.

3 Nereikšmingas kibernetinis incidentas.

 

––––––––––––––––––––

 

Organizacinių ir techninių kibernetinio saugumo

reikalavimų, taikomų ypatingos svarbos

informacinei infrastruktūrai ir valstybės

informaciniams ištekliams, aprašo
2 priedas

 

 

 

TECHNINIŲ KIBERNETINIO SAUGUMO REIKALAVIMŲ SĄRAŠAS

 

 

Atpažinties, tapatumo patvirtinimo ir naudojimosi RIS saugumas ir kontrolė

 

Reikalavimas

YSII

I

II

III

IV

1. RIS priežiūrą vykdančio asmens (toliau – RIS administratorius) funkcijos turi būti atliekamos naudojant atskirą tam skirtą paskyrą, kuri negali būti naudojama kasdienėms RIS naudotojo funkcijoms atlikti

x

x

x

x

x

2. RIS naudotojams negali būti suteikiamos RIS administratoriaus teisės

x

x

x

x

x

3. Kiekvienas RIS naudotojas turi būti RIS unikaliai atpažįstamas (asmens kodas negali būti naudojamas RIS naudotojui atpažinti)

x

x

x

x

x

4. Viešaisiais elektroninių ryšių tinklais perduodamos informacijos konfidencialumas turi būti užtikrintas naudojant šifravimą, virtualųjį privatų tinklą (angl. virtual private network)

x

x

x

x

x

5. RIS naudotojas ar RIS administratorius turi patvirtinti savo tapatybę slaptažodžiu arba kita tapatumo patvirtinimo priemone

x

x

x

x

x

6. RIS administratorių tapatumui patvirtinti turi būti naudojamos dviejų veiksnių tapatumo patvirtinimo priemonės (jeigu RIS dalys palaiko tokį funkcionalumą)

x

x

x

 

 

7. RIS naudotojo teisė dirbti su konkrečia RIS turi būti sustabdoma, kai RIS naudotojas nesinaudoja RIS ilgiau kaip 3 mėnesius (jeigu RIS dalys palaiko tokį funkcionalumą)

x

x

x

x

x

8. RIS administratoriaus teisė dirbti su RIS turi būti sustabdoma, kai RIS administratorius nesinaudoja RIS ilgiau kaip 2 mėnesius (jeigu RIS dalys palaiko tokį funkcionalumą)

x

x

x

x

x

9. Kai įstatymų nustatytais atvejais RIS naudotojas ar RIS administratorius nušalinamas nuo darbo (pareigų), neatitinka kituose teisės aktuose nustatytų RIS naudotojo ar RIS administratoriaus kvalifikacinių reikalavimų, taip pat pasibaigia jo darbo (tarnybos) santykiai, jis praranda patikimumą, jo teisė naudotis RIS turi būti panaikinta nedelsiant

x

x

x

x

x

10. Nereikalingos ar nenaudojamos RIS naudotojų ir RIS administratoriaus paskyros turi būti blokuojamos nedelsiant ir ištrinamos praėjus audito duomenų nustatytam saugojimo terminui

x

x

x

x

x

11. Baigus darbą ar RIS naudotojui pasitraukiant iš darbo vietos, turi būti imamasi priemonių, kad su informacija, kuri tvarkoma RIS, negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo RIS, įjungiama ekrano užsklanda su slaptažodžiu

x

x

x

x

x

12. RIS naudotojui neatliekant RIS jokių veiksmų, RIS darbo stotis turi užsirakinti, kad toliau naudotis RIS būtų galima tik pakartotinai patvirtinus savo tapatybę. Laikas, per kurį RIS naudotojui neatliekant jokių veiksmų RIS darbo stotis užsirakina, nustatomas kibernetinio saugumo dokumentuose; laikas, per kurį RIS naudotojui neatliekant jokių veiksmų RIS turi užsirakinti, negali būti ilgesnis kaip 15 minučių

x

x

x

x

x

13. Prisijungimo prie RIS slaptažodžių reikalavimai:

13.1. Slaptažodis turi būti sudarytas iš raidžių, skaičių ir specialiųjų simbolių

x

x

x

x

x

13.2. Slaptažodžiams sudaryti neturi būti naudojama asmeninio pobūdžio informacija (pavyzdžiui, gimimo data, šeimos narių vardai ir panašiai)

x

x

x

x

x

13.3. Draudžiama slaptažodžius atskleisti kitiems asmenims

x

x

x

x

x

13.4. RIS dalys, patvirtinančios RIS naudotojo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius

x

x

x

x

x

13.5. Turi būti nustatytas didžiausias leistinas RIS naudotojo mėginimų įvesti teisingą slaptažodį skaičius (ne daugiau kaip 5 kartai). Iš eilės neteisingai įvedus slaptažodį tiek kartų, kiek nustatyta, RIS naudotojo paskyra turi užsirakinti ir neleisti RIS naudotojui patvirtinti tapatybės kibernetinio saugumo organizavimo tvarkos apraše nustatytą laiką – ne trumpiau kaip 15 minučių (jeigu RIS dalys palaiko tokį funkcionalumą)

 

 

x

x

x

13.6. RIS naudotojo mėginimų įvesti teisingą slaptažodį skaičius – ne daugiau kaip 3 kartai. Iš eilės neteisingai įvedus slaptažodį tiek kartų, kiek nustatyta, RIS naudotojo paskyra turi užsiblokuoti ir automatizuotai turi būti informuojamas RIS administratorius (jeigu RIS dalys palaiko tokį funkcionalumą)

x

x

 

 

 

13.7. Slaptažodžiai negali būti saugomi ar perduodami atviru tekstu. Kibernetinio saugumo vadovo sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo, jeigu RIS naudotojas neturi galimybių iššifruoti gauto užšifruoto slaptažodžio ar nėra techninių galimybių RIS naudotojui perduoti slaptažodį šifruotu kanalu ar saugiu elektroninių ryšių tinklu

x

x

x

x

x

13.8. Papildomi RIS naudotojo slaptažodžių reikalavimai:

13.8.1. Slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius

x

x

x

x

 

13.8.2. Slaptažodį turi sudaryti ne mažiau kaip 8 simboliai

x

x

x

x

 

13.8.3. Keičiant slaptažodį, RIS neturi leisti sudaryti slaptažodžio iš buvusių 6 paskutinių slaptažodžių

x

x

x

 

 

13.8.4. Pirmąkart jungiantis prie RIS, turi būti reikalaujama, kad RIS naudotojas pakeistų slaptažodį

x

x

x

x

x

13.9. Papildomi RIS administratorių slaptažodžių reikalavimai:

13.9.1. Slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius

x

x

x

x

 

13.9.2. Slaptažodį turi sudaryti ne mažiau kaip 12 simbolių

x

x

x

x

 

13.9.3. Keičiant slaptažodį, taikomoji programinė įranga neturi leisti sudaryti slaptažodžio iš buvusių 3 paskutinių slaptažodžių

x

x

x

x

 

14. Turi būti patvirtinti asmenų, kuriems suteiktos RIS administratoriaus teisės prisijungti prie RIS, sąrašai, periodiškai peržiūrimi Kibernetinio saugumo vadovo. Sąrašas turi būti nedelsiant peržiūrėtas, kai įstatymų nustatytais atvejais RIS administratorius nušalinamas nuo darbo (pareigų)

x

x

x

x

 

15. Turi būti vykdoma RIS administratorių paskyrų kontrolė:

15.1. Periodiškai tikrinama, ar nėra nepatvirtintų RIS administratoriaus paskyrų

 

 

 

x

x

15.2. Naudojamos automatizuotos RIS administratorių paskyrų kontrolės priemonės, kurios tikrintų RIS administratoriaus paskyras ir apie nepatvirtintas RIS administratoriaus paskyras nedelsdamos praneštų Kibernetinio saugumo vadovui

x

x

x

 

 

16. Vykdoma RIS naudotojų paskyrų kontrolė:

16.1. Tikrinama, ar nėra nepatvirtintų RIS naudotojų paskyrų, ir pranešama Kibernetinio saugumo vadovui apie nepatvirtintas RIS naudotojų paskyras

x

x

x

x

x

16.2. Naudojamos RIS naudotojų paskyrų kontrolės priemonės, kurios periodiškai tikrintų RIS naudotojų paskyras ir apie nepatvirtintas paskyras praneštų Kibernetinio saugumo vadovui

x

x

x

 

 

17. Draudžiama RIS techninėje ir programinėje įrangoje naudoti gamintojo nustatytus slaptažodžius, jie turi būti pakeisti į atitinkančius reikalavimus

x

x

x

x

x

 

RIS, RIS naudotojų ir RIS administratorių atliekamų veiksmų auditas ir kontrolė

 

Reikalavimas

YSII

I

II

III

IV

1. Auditui atlikti turi būti fiksuojama ši informacija:

1.1. RIS elementų įjungimas / išjungimas ar perkrovimas

x

x

x

x

x

1.2. RIS naudotojų, RIS administratoriaus prisijungimas (ir nesėkmingi bandymai prisijungti) / atsijungimas

x

x

x

x

x

1.3. RIS naudotojų / RIS naudotojų grupių / RIS administratorių teisių naudotis sistemos / tinklo ištekliais pakeitimai

x

x

x

x

 

1.4. Audito funkcijos įjungimas / išjungimas

x

x

x

x

 

1.5. Audito įrašų trynimas, kūrimas ar keitimas

x

x

x

x

 

1.6. Sistemos / tinklo parametrų, laiko ir (ar) datos pakeitimai

x

x

x

x

 

2. Audituojamų įrašų laiko žymos turi būti sinchronizuotos ne mažiau kaip vienos sekundės tikslumu

x

x

x

x

x

3. Turi būti naudojami mažiausiai 2 laiko sinchronizavimo šaltiniai

x

x

 

 

 

4. Kiekviename audito duomenų įraše turi būti fiksuojama:

4.1. Įvykio data ir tikslus laikas

x

x

x

x

x

4.2. Įvykio rūšis / pobūdis

x

x

x

x

x

4.3. RIS naudotojo / RIS administratoriaus ir (arba) RIS įrenginio, susijusio su įvykiu, duomenys

x

x

x

x

x

4.4. Įvykio rezultatas

x

x

x

x

x

5. Priemonės, naudojamos RIS sąsajoje su viešųjų elektroninių ryšių tinklu, turi būti nustatytos taip, kad fiksuotų visus įvykius, susijusius su įeinančiais ir išeinančiais duomenų srautais

x

x

x

x

 

6. RIS fiksuojami įvykiai turi būti centralizuotai saugomi techninėje ar programinėje įrangoje, pritaikytoje audito duomenims saugoti

x

x

x

 

 

7. Dėl įvairių trikdžių nustojus fiksuoti auditui skirtus duomenis, apie tai nedelsiant turi būti informuojamas RIS administratorius ir Kibernetinio saugumo vadovas

x

x

x

 

 

8. Audito duomenys turi būti saugomi ne trumpiau kaip 60 dienų, užtikrinant visas prasmingas jų turinio reikšmes (pavyzdžiui, RIS naudotojo, su kuriuo nutraukti darbo santykiai ir kuris pašalintas iš sistemos, atpažinties duomenys turi būti išsaugoti visą būtiną audito duomenų saugojimo laiką)

x

x

x

 

 

9. Draudžiama audito duomenis trinti, keisti, kol nesibaigęs audito duomenų saugojimo terminas

x

x

x

x

x

10. Audito duomenys turi būti archyvuojami. Archyve saugomi duomenys turi būti apsaugoti nuo pažeidimo, praradimo, nesankcionuoto pakeitimo ar sunaikinimo

x

x

x

 

 

11. Naudojimasis audito duomenimis turi būti kontroliuojamas ir fiksuojamas. Audito duomenys turi būti pasiekiami tik RIS administratoriui ir Kibernetinio saugumo vadovui (peržiūros teisėmis)

x

x

x

 

 

12. Audito įrašų duomenys turi būti analizuojami RIS administratoriaus ne rečiau kaip kartą per mėnesį ir apie analizės rezultatus informuojamas Kibernetinio saugumo vadovas

x

x

x

 

 

 

Įsibrovimų aptikimas ir prevencija

 

Reikalavimas

YSII

I

II

III

IV

1. Turi būti įdiegtos ir veikti automatizuotos įsibrovimo aptikimo sistemos, kurios stebėtų RIS įeinantį ir išeinantį duomenų srautą ir vidinį srautą tarp svarbiausių tinklo paslaugų

x

x

x

x

x

2. Įvykus įtartinai veiklai, tai turi būti užfiksuojama audito įrašuose ir automatizuotai kuriamas pranešimas RIS administratoriui

x

x

x

 

 

3. Sukurtas pranešimas turi būti klasifikuojamas pagal užfiksuotą įvykį

x

x

x

 

 

4. Įsilaužimo atakų pėdsakai (angl. attack signature) turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos, jeigu RIS valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio RIS veiklai vertinimas (testavimas)

x

x

x

x

x

5. Pagrindinėse tarnybinėse stotyse turi būti įjungtos saugasienės, sukonfigūruotos blokuoti visą įeinantį ir išeinantį, išskyrus su RIS funkcionalumu ir administravimu susijusį, duomenų srautą

x

x

x

x

x

6. Įsilaužimo aptikimo techninio sprendinio įgyvendinimas, konfigūracija ir kibernetinių incidentų aptikimo taisyklės turi būti saugomos elektronine forma atskirai nuo RIS techninės įrangos (kartu nurodant atitinkamas datas (įgyvendinimo, atnaujinimo ir panašiai), atsakingus asmenis, taikymo periodus ir panašiai)

x

x

x

x

x

 

Belaidžio tinklo saugumas ir kontrolė

 

Reikalavimas

YSII

I

II

III

IV

1. Leidžiama naudoti tik su Kibernetinio saugumo vadovu suderintus belaidžio tinklo įrenginius, atitinkančius techninius kibernetinio saugumo reikalavimus

x

x

x

x

x

2. Turi būti vykdoma belaidžių įrenginių kontrolė:

2.1. Tikrinami RIS eksploatuojami belaidžiai įrenginiai, Kibernetinio saugumo vadovui pranešama apie neleistinus ar techninių kibernetinio saugumo reikalavimų neatitinkančius belaidžius įrenginius

x

x

x

x

x

2.2. Naudojamos priemonės, kurios automatiškai apribotų neleistinus ar saugumo reikalavimų neatitinkančius belaidžius įrenginius arba informuotų Kibernetinio saugumo vadovą

x

x

x

 

 

2.3. Leidžiama naudoti tik su Kibernetinio saugumo vadovu suderintus belaidės prieigos taškus, atitinkančius techninius kibernetinio saugumo reikalavimus

x

x

x

x

x

3. Belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, kontroliuojamoje zonoje

x

x

x

x

x

4. Prisijungiant prie belaidžio tinklo, turi būti taikomas RIS naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) / TLS (angl. Transport Layer Security) protokolas

x

x

x

x

x

5. Turi būti uždrausta belaidėje sąsajoje naudoti SNMP (angl. Simple Network Management Protocol) protokolą

x

x

x

x

x

6. Turi būti uždrausti visi nebūtini valdymo protokolai

x

x

x

x

x

7. Turi būti išjungti nenaudojami TCP (angl. Transmission Control Protocol) / UDP (angl. User Datagram Protocol) prievadai

x

x

x

x

x

8. Turi būti uždraustas lygiarangis (angl. peer to peer) funkcionalumas, neleidžiantis belaidžiais įrenginiais tarpusavyje palaikyti ryšį

x

x

x

x

x

9. Belaidis ryšys turi būti šifruojamas mažiausiai 128 bitų ilgio raktu

x

x

x

x

x

10. Prieš pradedant šifruoti belaidį ryšį, turi būti pakeisti belaidės prieigos stotelėje standartiniai gamintojo raktai

x

x

x

x

x

11. Kompiuteriuose, mobiliuosiuose įrenginiuose turi būti išjungta belaidė prieiga, jeigu jos nereikia darbo funkcijoms atlikti, išjungtas lygiarangis (angl. peer to peer) funkcionalumas, belaidė periferinė prieiga

x

x

x

 

 

 

Mobiliųjų įrenginių, naudojamų prisijungti prie RIS, saugumas ir kontrolė

 

Reikalavimas

YSII

I

II

III

IV

1. Atpažinties, tapatumo patvirtinimo ir naudojimosi RIS saugumo ir kontrolės reikalavimai, nurodyti šio priedo skyriuje „Atpažinties, tapatumo patvirtinimo ir naudojimosi RIS saugumas ir kontrolė“

x

x

x

x

x

2. Leidžiama naudoti tik leistinus mobiliuosius įrenginius, atitinkančius RIS valdytojo nustatytus saugumo reikalavimus

x

x

x

x

x

3. RIS valdytojas turi turėti visas teises valdyti mobiliuosius įrenginius ir juose įdiegtą programinę įrangą

x

x

x

x

x

4. Turi būti vykdoma mobiliųjų įrenginių kontrolė:

4.1. Tikrinami RIS naudojami mobilieji įrenginiai, Kibernetinio saugumo vadovui pranešama apie neleistinus ar saugumo reikalavimų neatitinkančius mobiliuosius įrenginius

x

x

x

x

x

4.2. Naudojamos priemonės, kurios automatiškai apribotų neleistinus ar saugumo reikalavimų neatitinkančius mobiliuosius įrenginius ar Kibernetinio saugumo vadovą informuotų apie neleistinos mobiliosios įrangos prijungimą prie RIS

x

x

x

 

 

5. Mobiliuosiuose įrenginiuose privalo būti naudojamos centralizuotai valdomos ir atnaujinamos kenkimo programinės įrangos aptikimo, užkardymo ir stebėjimo realiuoju laiku priemonės

x

x

 

 

 

6. Turi būti įdiegiamos operacinės sistemos ir kiti naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai

x

x

x

x

x

7. Mobiliuosiuose įrenginiuose turi būti naudojamos vykdomojo kodo (angl. Executable code) kontrolės priemonės, automatiškai apribojančios neleistino vykdomojo kodo naudojimą ar RIS administratorių informuojančios apie neleistino vykdomojo kodo naudojimą

x

x

 

 

 

8. Turi būti parengti mobiliųjų įrenginių operacinių sistemų atvaizdai su saugumo nuostatomis. Atvaizde turi būti nustatyti tik veiklai būtini operacinių sistemų komponentai (administravimo paskyros, paslaugos (angl. Services), taikomosios programos, tinklo prievadai, atnaujinimai, sisteminės priemonės). Atvaizdai turi būti reguliariai peržiūrimi ir atnaujinami, iškart atnaujinami nustačius naujų pažeidžiamumų ar atakų

x

x

x

 

 

9. Pagal parengtus atvaizdus į mobiliuosius įrenginius turi būti įdiegiama operacinė sistema su saugumo nuostatomis

x

x

x

 

 

10. Mobilieji įrenginiai, kuriais naršoma internete, privalo būti apsaugoti nuo judriųjų programų (angl. Mobile code) keliamų grėsmių

x

x

x

 

 

11. Prie mobiliųjų įrenginių draudžiama prijungti kokius nors kitus toms sistemoms nepriklausančius įrenginius

x

x

x

 

 

12. RIS valdytojo sprendimu prie mobiliųjų įrenginių gali būti jungiami kiti įrenginiai. RIS administratoriaus parengtą, su Kibernetinio saugumo vadovu suderintą leistinų jungti įrenginių sąrašą tvirtina RIS valdytojas

x

x

 

 

 

13. Duomenys, perduodami tarp mobiliojo įrenginio ir RIS, turi būti šifruojami taikant VPN technologiją

x

x

x

x

x

14. Jungiantis prie RIS išteklių, turi būti patvirtinamas tapatumas; mobiliajame įrenginyje ar jo taikomojoje programinėje įrangoje turi būti uždrausta automatiškai išsaugoti slaptažodį

x

x

x

x

x

15. Mobilusis įrenginys, kuriuo nesinaudojama nustatytą laiką (pavyzdžiui, 5 minutes), turi automatiškai užsirakinti

x

x

x

 

 

16. Mobiliuosiuose įrenginiuose privalo būti įdiegtos priemonės, leisiančios nuotoliniu būdu neatkuriamai ištrinti duomenis

x

x

 

 

 

17. Turi būti užtikrinta kompiuterinių laikmenų apsauga

x

x

x

x

x

18. Turi būti šifruojami duomenys tiek mobiliųjų įrenginių laikmenose, tiek išorinėse kompiuterinėse laikmenose

x

x

x

x

x

 

RIS naudojamos svetainės, pasiekiamos iš viešųjų elektroninių ryšių tinklų, saugumas ir kontrolė

 

Reikalavimas

YSII

I

II

III

IV

1. Atpažinties, tapatumo patvirtinimo ir naudojimosi RIS saugumo ir kontrolės reikalavimai, nurodyti šio priedo skyriuje „Atpažinties, tapatumo patvirtinimo ir naudojimosi RIS saugumas ir kontrolė“

x

x

x

x

x

2. Papildomi atpažinties, tapatumo patvirtinimo ir naudojimosi kontrolės reikalavimai:

2.1. Draudžiama slaptažodžius saugoti programiniame kode

x

x

x

x

x

2.2. Svetainės, patvirtinančios nuotolinio prisijungimo tapatumą, turi drausti automatiškai išsaugoti slaptažodžius

x

x

x

x

x

3. Turi būti įgyvendinti svetainės kriptografijos reikalavimai:

3.1. Svetainės administravimo darbai turi būti atliekami ne trumpesniu kaip 128 bitų raktu

x

x

x

x

x

3.2. Šifruojant naudojami skaitmeniniai sertifikatai privalo būti išduoti patikimų sertifikavimo tarnybų. Sertifikato raktas turi būti ne trumpesnis kaip 2048 bitų

x

x

x

x

x

3.3. Turi būti naudojamas TLS (angl. Transport Layer Security) standartas

x

x

x

 

 

3.4. Svetainės kriptografinės funkcijos turi būti įdiegtos tarnybinės stoties, kurioje yra svetainė, dalyje arba kriptografiniame saugumo modulyje (angl. Hardware security module)

x

x

x

x

x

3.5. Visi kriptografiniai moduliai turi gebėti saugiai sutrikti (angl. fail securely)

x

x

x

 

 

3.6. Kriptografiniai raktai ir algoritmai turi būti valdomi pagal RIS valdytojo reikalavimus

x

x

x

x

x

4. Tarnybinės stoties, kurioje yra svetainė, svetainės saugos parametrai turi būti teigiamai įvertinti naudojant Centro rekomenduojamą testavimo priemonę

x

x

x

 

 

5. Draudžiama tarnybinėje stotyje saugoti sesijos duomenis (identifikatorių), pasibaigus susijungimo sesijai

x

x

x

x

x

6. Turi būti naudojama svetainės saugasienė (angl. Web Application Firewall). Įsilaužimo atakų pėdsakai (angl. attack signature) turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos, jeigu RIS valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio RIS veiklai vertinimas (testavimas)

x

x

x

 

 

7. Turi būti naudojamos apsaugos nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), įterptinių instrukcijų atakų (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), paskirstyto atsisakymo aptarnauti (angl. DDOS) ir kitų, priemonės; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org.

x

x

x

 

 

8. Turi būti naudojama svetainės naudotojo įvedamų duomenų tikslumo kontrolė (angl. Validation)

x

x

x

x

x

9. Tarnybinė stotis, kurioje yra svetainė, neturi rodyti svetainės naudotojui klaidų pranešimų apie svetainės programinį kodą ar tarnybinę stotį

x

x

x

x

x

10. Svetainės saugumo priemonės turi gebėti automatiškai uždrausti prieigą prie tarnybinės stoties iš IP adresų, vykdžiusių grėsmingą veiklą (nesankcionuoti mėginimai prisijungti, įterpti SQL intarpus ir panašiai)

x

x

x

 

 

11. Atliekamų veiksmų audito ir kontrolės reikalavimai nurodyti šio priedo skyriuje „RIS, RIS naudotojų ir RIS administratorių atliekamų veiksmų auditas ir kontrolė“

x

x

x

x

x

12. Tarnybinė stotis, kurioje yra svetainė, turi leisti tik svetainės funkcionalumui užtikrinti reikalingus HTTP metodus

x

x

x

x

x

13. Turi būti uždrausta naršyti svetainės aplankuose (angl. Directory browsing)

x

x

x

x

x

14. Turi būti įdiegta svetainės turinio nesankcionuoto pakeitimo (angl. Defacement) stebėsenos sistema

x

x

x

 

 

 

RIS naudojamo interneto saugumas ir kontrolė

 

Reikalavimas

YSII

I

II

III

IV

RIS valdytojas su interneto paslaugos teikėju (-ais) turi būti sudaręs šias sutartis:

1. Reagavimo į kibernetinius incidentus įprastomis darbo valandomis

x

x

x

x

x

2. Reagavimo į kibernetinius incidentus po darbo valandų

x

x

x

 

 

3. Nepertraukiamo interneto paslaugos teikimo 24 valandas per parą, 7 dienas per savaitę

x

x

x

x

x

4. Interneto paslaugos sutrikimų registravimo:

x

x

x

x

x

4.1. įprastomis darbo valandomis

x

x

x

x

x

4.2. 24 valandas per parą, 7 dienas per savaitę

x

x

x

 

 

5. apsaugos nuo RIS trikdymo taikymo (angl. Denial of Service, DoS)

x

x

x

x

x

 

 

 

––––––––––––––––––––