LIETUVOS RESPUBLIKOS KRAŠTO APSAUGOS MINISTRAS

 

ĮSAKYMAS

DĖL KIBERNETINIO SAUGUMO INFORMACINIO TINKLO NUOSTATŲ PATVIRTINIMO

 

2019 m. lapkričio 27 d. Nr. V-998

Vilnius

 

 

Vadovaudamasis Lietuvos Respublikos kibernetinio saugumo įstatymo 6 straipsnio 11 punktu ir 8 straipsnio 2 dalies 8, 9, 10 ir 15 punktais,

tvirtinu Kibernetinio saugumo informacinio tinklo nuostatus (pridedama).

 

 

 

Krašto apsaugos ministras                                                                                      Raimundas Karoblis

 

 

 

SUDERINTA

Lietuvos Respublikos vidaus reikalų ministerijos

2019-02-05 raštu Nr. 1D-699

 

SUDERINTA

Informacinės visuomenės plėtros komiteto

2019-08-27 raštu Nr. S-440

 

 

 

SUDERINTA

Valstybinės duomenų apsaugos inspekcijos

2019-08-26 raštu Nr. 2R-4004

 

 

 

 

 

 

 

PATVIRTINTA

Lietuvos Respublikos krašto apsaugos ministro

2019 m. lapkričio 27 d. įsakymu Nr. V-998

 

KIBERNETINIO SAUGUMO INFORMACINIO TINKLO NUOSTATAI

 

 

I skyrius

BENDROSIOS NUOSTATOS

 

1.   Kibernetinio saugumo informacinio tinklo nuostatai (toliau – Nuostatai) reglamentuoja Kibernetinio saugumo informacinio tinklo (toliau – KSIT) steigimo teisinį pagrindą, tikslą, uždavinius, funkcijas, organizacinę, informacinę ir funkcinę struktūras, duomenų teikimo ir naudojimo tvarką, duomenų saugos reikalavimus, asmens duomenų tvarkymą, finansavimą, modernizavimą ir likvidavimą.

2.   KSIT steigimo pagrindas – Lietuvos Respublikos kibernetinio saugumo įstatymo 6 straipsnio 11 punktas ir 8 straipsnio 2 dalies 8, 9, 10 ir 15 punktai.

3.   KSIT tikslas informacinių technologijų priemonėmis kaupti ir apdoroti kibernetinių incidentų aptikimo duomenis, dalytis informacija apie galimus ir įvykusius kibernetinius incidentus, taip pat kita, su kibernetinio saugumo užtikrinimu susijusia, informacija.

4.   KSIT uždaviniai:

4.1. automatizuoti duomenų apie kibernetinių incidentų požymius ir incidentus rinkimo, apdorojimo ir dalijimosi jais procesus;

4.2. automatizuoti rekomendacijų, nurodymų, techninių sprendimų ir kitų priemonių, gerinančių kibernetinį saugumą ir kibernetinio saugumo subjektų, kuriems suteikta prieiga prie KSIT (toliau – KSIT narys), bendradarbiavimą kibernetinio saugumo srityje, teikimo procesus;

4.3. automatizuoti bendrą kibernetinių incidentų registravimą ir valdymą.

5.   KSIT funkcijos:

5.1. automatizuoti duomenų apie kibernetinius incidentus tvarkymą;

5.2. apdoroti, formuoti ir paskirstyti techninių kibernetinio saugumo priemonių fiksuojamus kibernetinius incidentus pagal jų svarbos kategorijas;

5.3. vykdyti kibernetinių incidentų paiešką;

5.4. kaupti duomenis apie kibernetinius incidentus ir (arba) kibernetines grėsmes;

5.5. tikrinti pateiktus failus dėl kenksmingo kodo;

5.6. automatizuoti dalijimąsi kibernetinių incidentų požymių indikatoriais, informacija apie aptiktus pažeidžiamumus ir kita, su kibernetinio saugumo užtikrinimu susijusia, informacija;

5.7. apdoroti ir saugoti informaciją apie KSIT narius ir kontaktinius asmenis.

6.   Asmens duomenų tvarkymo KSIT tikslas sudaryti sąlygas identifikuoti kibernetinius incidentus ir KSIT nariams keistis informacija apie kibernetinius incidentus, kibernetinių incidentų tyrimus.

7.   KSIT steigiamas ir tvarkomas vadovaujantis:

7.1. Lietuvos Respublikos kibernetinio saugumo įstatymu;

7.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

7.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

7.4. Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymu;

7.5. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

7.6. Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklėmis, patvirtintomis Lietuvos Respublikos krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymu Nr. V-1253 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklių patvirtinimo“;

7.7. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;

7.8. Krašto apsaugos sistemos ryšių ir informacinių sistemų gyvavimo ciklo valdymo taisyklėmis, patvirtintomis Lietuvos Respublikos krašto apsaugos ministro 2015 m. lapkričio 12 d. įsakymu Nr. V-1158 „Dėl Krašto apsaugos sistemos ryšių ir informacinių sistemų gyvavimo ciklo valdymo taisyklių patvirtinimo“;

7.9. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

7.10. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

7.11. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

7.12. Nuostatais.

8.   Nuostatuose vartojamos sąvokos:

8.1. kibernetinio incidento požymių indikatoriai – metaduomenys, pagal kuriuos ryšių ir informacinėse sistemose aptinkami kibernetinių incidentų požymiai;

8.2. metaduomenys – duomenys apie kitus duomenis, pavyzdžiui, tinklalapio, parašyto HTML kalba, antraštėje pateikiami metaduomenys, kurie svetainės lankytojui nėra matomi, bet apibūdinantys jo matomus duomenis: autorius, data, kalba, koduotė, reikšminiai žodžiai ir kt.;

8.3. techninės kibernetinio saugumo priemonės – KSIT narių ryšių ir informacinėse sistemose esanti techninė ir (arba) programinė įranga, stebinti KSIT narių ryšių ir informacinių sistemų duomenų srautą, pagal kibernetinio incidento požymių indikatorius aptinkanti kibernetinių incidentų požymius bei apdorojanti ir į KSIT perduodanti metaduomenis, reikalingus kibernetinių incidentų požymiams nustatyti;

8.4. kitos Nuostatuose vartojamos sąvokos atitinka 7 punkte nurodytuose teisės aktuose vartojamas sąvokas.

 

II skyrius

KSIT organizacinė struktūra

 

9. KSIT valdytojas ir tvarkytojas, KSIT asmens duomenų valdytojas yra Nacionalinis kibernetinio saugumo centras prie Lietuvos Respublikos krašto apsaugos ministerijos (toliau – NKSC).

10. KSIT valdytojas ir tvarkytojas atlieka valstybės informacinės sistemos valdytojo ir valstybės informacinės sistemos tvarkytojo funkcijas bei turi teises ir pareigas, nurodytas Valstybės informacinių išteklių valdymo įstatyme.

11. KSIT valdytojas, kaip asmens duomenų valdytojas, atlieka Bendrajame duomenų apsaugos reglamente nustatytas asmens duomenų valdytojo ir tvarkytojo funkcijas, turi šiame reglamente nurodytas asmens duomenų valdytojo teises ir pareigas.

12. KSIT duomenų teikėjai yra kibernetinio saugumo subjektai, KSIT teikiantys duomenis, nekaupiamus kitose valstybės informacinėse sistemose ir registruose.

13. KSIT naudojantys asmenys yra KSIT nario darbuotojai, kuriems yra suteikta prieiga prie KSIT (toliau – KSIT naudotojas), turintys teisę teikti ir (ar) gauti Nuostatų 16.1–16.2.2, 16.2.5, 16.2.6, 16.2.8 papunkčiuose nurodytus duomenis ir tik tokia apimtimi, kiek tai yra susiję su jų atstovaujamų KSIT narių valdomomis ir (arba) tvarkomomis ryšių ir informacinėmis sistemomis.

 

14. KSIT naudotojai turi teisę:

14.1. naudotis KSIT saugoma ir jiems prieinama informacija;

14.2. keisti (sukurti, ištrinti, papildyti) duomenis pagal jiems priskirtas naudojimo teises.

15. KSIT naudotojai įsipareigoja:

15.1. teikti KSIT tik teisingus ir aktualius duomenis;

15.2. neperduoti teisės jungtis prie KSIT tretiesiems asmenims;

15.3. visiškai atsakyti už KSIT pateiktų duomenų turinį ir aktualumą;

15.4. teikiamą informaciją ir duomenis naudoti tik teisėtais tikslais.

 

III skyrius

KSIT informacinė struktūra

 

16. KSIT kaupiami duomenys:

16.1. KSIT narių ir KSIT naudotojų duomenys:

16.1.1. vardai;

16.1.2. pavardės;

16.1.3. atstovaujamos organizacijos pavadinimas;

16.1.4. užimamų pareigų pavadinimas;

16.1.5. elektroninio pašto adresai;

16.1.6. telefono numeriai;

16.1.7. KSIT narių viešieji informacijos šifravimo raktai;

16.1.8. įrenginių adresai tinkle (toliau – IP adresai);

16.1.9. KSIT narių autonominių sistemų numeriai;

16.1.10. universalūs informacijos šaltinių adresai (URL);

16.2. kibernetiniai incidentai:

16.2.1. žurnalų įrašai;

16.2.2. failai;

16.2.3. metaduomenys apie KSIT narių ryšių ir informacinių sistemų komunikacijas;

16.2.4. metaduomenys, sudarantys kibernetinio incidento požymių indikatorius;

16.2.5. kibernetinių incidentų ataskaitos;

16.2.6. kibernetinių incidentų tyrimų ataskaitos;

16.2.7. kibernetinių incidentų požymių indikatoriai;

16.2.8. kiti su kibernetiniais incidentais susiję duomenys.

17. KSIT tvarkomi asmens duomenys:

17.1. KSIT teikėjų pateikti duomenys apie KSIT naudotojus, nurodyti 16.1.1–16.1.6 papunkčiuose;

17.2. metaduomenys, nurodyti 16.2.3 ir 16.2.4 papunkčiuose, kurie yra ir asmens duomenys:

17.2.1. IP adresai;

17.2.2. elektroninio pašto adresai (nešifruotojo ryšio atveju);

17.2.3. elektroninių laiškų antraštės (nešifruotojo ryšio atveju);

17.2.4. interneto svetainių adresai.

18. KSIT teikėjai teikia KSIT duomenis, nurodytus 16.1.1–16.2.2 ir 16.2.5, 16.26, 16.2.8 papunkčiuose.

 

IV skyrius

KSIT funkcinė struktūra

 

19. KSIT funkcinę struktūrą sudaro:

19.1. kibernetinių incidentų automatizuoto aptikimo ir registravimo posistemė, kuri automatizuotu būdu gauna iš techninių kibernetinio saugumo priemonių metaduomenis apie KSIT narių ryšių ir informacinių sistemų komunikacijas ir pagal nustatytus taisyklių rinkinius automatizuotu būdu realiuoju laiku registruoja kibernetinių incidentų požymius;

19.2. kibernetinio saugumo duomenų kaupimo ir analizės posistemė, kurios funkcijos yra:

19.2.1. kaupti techninėmis kibernetinio saugumo priemonėmis surinktus metaduomenis apie KSIT narių ryšių ir informacinių sistemų komunikacijas;

19.2.2. apdoroti techninėmis kibernetinio saugumo priemonėmis surinktus metaduomenis apie KSIT narių ryšių ir informacinių sistemų komunikacijas, nustatyti, kurie iš jų gali identifikuoti kibernetinių incidentų požymius, ir juos priskirti kibernetinio incidento požymių indikatoriams;

19.2.3. pagal kibernetinio incidento požymių indikatorius, jų rinkinius ir techninėmis kibernetinio saugumo priemonėmis surinktus metaduomenis apie KSIT narių ryšių ir informacinių sistemų komunikacijas automatiniu būdu ir (arba) retrospektyviai identifikuoti kibernetinių incidentų požymius;

19.2.4. pateikti KSIT tvarkytojui techninėmis kibernetinio saugumo priemonėmis surinktus metaduomenis apie KSIT narių ryšių ir informacinių sistemų komunikacijas;

19.2.5. nustatyti, kad kibernetinių incidentų automatizuoto aptikimo ir registravimo posistemės užregistruoti kibernetinio incidento požymiai yra kibernetinis incidentas;

19.2.6. kaupti, saugoti ir apdoroti iš kitų kibernetinio saugumo šaltinių gautą informaciją apie kibernetinio incidento požymius ir (arba) vykstančius ar įvykusius kibernetinius incidentus;

19.3. kibernetinių incidentų valdymo posistemė, kurios funkcijos yra:

19.3.1. registruoti kibernetinius incidentus;

19.3.2. pateikti kibernetinio incidento tyrimo ataskaitą;

19.3.3. teikti informaciją KSIT naudotojams apie jų organizacijos ryšių ir informacinėse sistemose techninėmis kibernetinio saugumo priemonėmis aptiktus kibernetinius incidentus;

19.3.4. teikti informaciją apie KSIT naudotojo ir (arba) KSIT tvarkytojo užregistruotą kibernetinį incidentą;

19.3.5. kaupti įvykusių kibernetinių incidentų statistiką ir veiksmų istoriją;

19.4. administravimo posistemė, kurios funkcijos yra:

19.4.1. centralizuotai valdyti KSIT posistemių nustatymus;

19.4.2. centralizuotai diegti programinę įrangą;

19.4.3. stebėti techninės ir programinės įrangos būseną;

19.5. KSIT narių savitarnos posistemė, kurios funkcijos yra:

19.5.1. pranešti apie įvykusius ir (arba) vykstančius kibernetinius incidentus.

19.5.2. tikrinti failus dėl kenksmingo kodo;

19.5.3. perduoti failus;

19.6. duomenų ir kibernetinių grėsmių indikatorių dalijimosi posistemė, kuri perduoda duomenis apie kibernetinius incidentus ir (arba) kibernetinių grėsmių indikatorius.

 

V skyrius

KSIT duomenų teikimas ir naudojimas

 

20. KSIT duomenys yra vieši, tačiau viešai neskelbiami, išskyrus NKSC skelbiamus statistinius duomenis.

21. KSIT duomenys teikiami tik KSIT nariams neatlygintinai ir Nuostatų 13 punkte nurodyta apimtimi. Kitiems subjektams, vadovaujantis Kibernetinio saugumo įstatymo 15 straipsniu, KSIT duomenys neteikiami, išskyrus įstatymų ar jų pagrindu priimtų kitų norminių teisės aktų numatytais atvejais ir tvarka. KSIT tvarkytojo atsisakymas teikti duomenis gali būti skundžiamas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.

22. KSIT duomenys KSIT nariams teikiami elektroninių ryšių priemonėmis nuolat, nesudarant duomenų teikimo sutarties. KSIT duomenų teikimo pagrindas – Nuostatų 40 punkte nurodytas kibernetinio saugumo subjekto prašymas suteikti prieigą prie KSIT.

23. KSIT duomenys teikiami tokio turinio ir tokia forma, kokia jie tvarkomi KSIT. Jeigu KSIT teikiamų duomenų forma ir turinys neatitinka KSIT narių poreikių, jei yra techninės galimybės, KSIT tvarkytojas gali pateikti duomenis kita, KSIT nario prašyme nurodyta, forma.

24. Gavus KSIT nario sutikimą ir kai būtina informuoti visuomenę siekiant išvengti kibernetinio incidento arba vykstantį incidentą valdyti, viešai publikuojami ir pakartotinai naudoti teikiami duomenys, nurodyti 16.2.5–16.2.7 papunkčiuose.

25. KSIT kaupiami asmens duomenys teikiami KSIT nariams elektroninių ryšių priemonėmis tiek, kiek jie yra susiję su jų organizacija ir (ar) jos ryšių ir informacine sistema, išskyrus 16.1.1–16.1.6. papunkčiuose nurodytus duomenis, kurie yra prieinami ir kitiems KSIT nariams.

26. KSIT duomenys Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka.

27. KSIT tvarkytojas, nustatęs, kad KSIT pateikti duomenys, informacija, dokumentai ir (arba) jų kopijos netikslūs, neteisingi ar neišsamūs, raštu arba elektroninio ryšio priemonėmis per 5 darbo dienas nuo šių aplinkybių paaiškėjimo turi kreiptis į KSIT narius ir pareikalauti, kad šie duomenys ar informacija būtų patikslinti, ištaisyti ar papildyti per 5 darbo dienas nuo reikalavimo gavimo dienos. Jei KSIT nariui nėra suteiktos prieigos teisės patikslinti, ištaisyti ar papildyti nurodytus duomenis ar informaciją, jis privalo KSIT tvarkytojui raštu ar elektroninio ryšio priemonėmis pateikti patikslintus, ištaisytus ar papildytus duomenis, o KSIT tvarkytojas įrašo juos į duomenų bazę per 5 darbo dienas nuo patikslintų, papildytų ar ištaisytų duomenų gavimo dienos.

28. KSIT narys turi teisę reikalauti ištaisyti netikslius duomenis. Pastebėjęs jam perduotų duomenų netikslumus, patikslina juos KSIT priemonėmis, o jeigu tokios teisės KSIT tvarkytojas jam nėra suteikęs, raštu arba elektroninio ryšio priemonėmis ne vėliau kaip per 5 darbo dienas apie tai praneša KSIT tvarkytojui, kartu pateikdamas netikslumus pagrindžiančius dokumentus. KSIT tvarkytojas privalo per 10 darbo dienų nuo informacijos apie KSIT duomenų netikslumus ir juos pagrindžiančių dokumentų gavimo dienos patikrinti pateiktą informaciją. Informacijai pasitvirtinus, KSIT tvarkytojas privalo ištaisyti netikslumus ir raštu arba elektroninio ryšio priemonėmis pranešti apie tai KSIT nariui. Jei informacija, kad yra netikslumų, nepasitvirtinta – raštu arba elektroninio ryšio priemonėmis pranešti ją pateikusiam KSIT nariui, kad duomenis keisti atsisakoma ar kad duomenys nebus keičiami.

 

VI skyrius

KSIT duomenų sauga

 

29.   Už KSIT elektroninės informacijos saugą, KSIT duomenų tvarkymo ir KSIT duomenų teikimo teisėtumą, KSIT duomenų saugos reikalavimų nustatymą, KSIT duomenų saugą (konfidencialumą, vientisumą ir prieinamumą) pagal kompetenciją atsako KSIT valdytojas ir KSIT tvarkytojas. KSIT besinaudojantys asmenys, pažeidę saugų informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.

30.   KSIT duomenų saugos reikalavimus nustato KSIT valdytojo patvirtinti KSIT duomenų saugos nuostatai.

31.   KSIT nariai atsako už pateikiamų duomenų vientisumą ir teisingumą.

32.   KSIT duomenų sauga užtikrinama vadovaujantis:

32.1. KSIT duomenų saugos nuostatais, KSIT saugos politiką įgyvendinančiais dokumentais, parengtais vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

32.2. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

32.3. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

32.4. Lietuvos standartais LST ISO/IEC „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo priemonių praktikos nuostatai“ ir LST ISO/IEC „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;

32.5. kitais informacinių sistemų ir elektroninės informacijos saugą reguliuojančiais teisės aktais.

33.   Asmens duomenų saugumas užtikrinamas vadovaujantis Bendruoju duomenų apsaugos reglamentu.

34.   Asmenys, kurie tvarko KSIT asmens duomenis, privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys nėra skirti skelbti viešai. Pareiga KSIT naudotojui saugoti asmens duomenų paslaptį galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.

35.   Duomenų saugojimo KSIT duomenų bazėje terminai:

35.1. KSIT narių pateikti duomenys apie jų atstovus, nurodyti 16.1.1–16.1.10 papunkčiuose, saugomi 1 metus nuo informavimo apie asmens duomenų pasikeitimą ir (arba) KSIT nario pasitraukimą iš KSIT;

35.2. duomenys, nurodyti 16.2.1–16.2.2 papunkčiuose, saugomi 1 metus nuo kibernetinio incidento tyrimo pabaigos. Duomenys, nurodyti 16.2.3–16.2.8 papunkčiuose, saugomi 1 metus nuo informacijos, kad pagal šiuos duomenis nebėra galimybės identifikuoti kibernetinių incidentų požymių, gavimo dienos.

36.   Pasibaigus nurodytiems duomenų saugojimo terminams, KSIT duomenys sunaikinami Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

 

VII skyrius

KSIT finansavimas

 

37. KSIT steigiamas, eksploatuojamas, modernizuojamas ir jo priežiūra vykdoma Lietuvos Respublikos valstybės biudžeto lėšomis.

 

VIII skyrius

KSIT modernizavimas ir likvidavimas

 

38. KSIT modernizuojamas ir likviduojamas Valstybės informacinių išteklių valdymo įstatymo, Kibernetinio saugumo įstatymo, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo ir Krašto apsaugos sistemos ryšių ir informacinių sistemų gyvavimo ciklo valdymo taisyklių nustatyta tvarka.

39. Likviduojamo KSIT duomenys negali būti sunaikinami, išskyrus Lietuvos Respublikos įstatymuose ar Europos Sąjungos teisės aktuose nustatytus atvejus, ir privalo būti perduoti kitai valstybės informacinei sistemai arba valstybės archyvams Dokumentų ir archyvų įstatymo nustatyta tvarka.

 

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

40. KSIT nariu turi teisę tapti kibernetinio saugumo subjektai, raštu pateikę prašymą NKSC suteikti prieigą prie KSIT.

41. Kibernetinio saugumo subjektui prieiga prie KSIT suteikiama, jeigu subjektas atitinka šiuos reikalavimus:

41.1. yra patvirtinęs teisės aktus, reglamentuojančius valstybės informacinių išteklių ar ypatingos svarbos informacinės infrastruktūros kibernetinio saugumo politiką ir jos įgyvendinimą, viešųjų ryšių tinklų ir (arba) viešųjų elektroninių paslaugų kibernetinio saugumo valdymo taisykles, skaitmeniniu būdu teikiamų paslaugų kibernetinio saugumo valdymo taisykles;

41.2. yra įgyvendinęs organizacinius ir techninius kibernetinio saugumo reikalavimus, nustatytus Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše arba su NKSC yra suderinęs organizacinių ir techninių kibernetinio saugumo reikalavimų įgyvendinimo planą.

42. Atsijungti nuo KSIT galima raštu pateikus prašymą NKSC ir nurodžius, jog KSIT narys neatitinka kibernetinio saugumo subjekto sąvokos apibrėžimo.

43. Asmens duomenys tvarkomi ir duomenų subjekto teisės įgyvendinamos vadovaujantis Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklėmis, patvirtintomis Lietuvos Respublikos krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymu Nr. V-1253 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklių patvirtinimo“.

 

______________________________