2.1.1 VDI valdomų informacinių sistemų (toliau – informacinės sistemos) saugos įgaliotiniu;

2.1.2. kibernetinio saugumo vadovu, atsakingu už informacinių sistemų kibernetinio saugumo organizavimą ir užtikrinimą;

2.1. informacinių sistemų komponentai – kompiuteriai, operacinės sistemos, duomenų bazės ir jų valdymo sistemos, taikomųjų programų sistemos, kompiuterių tinklo užkardos, įsilaužimų aptikimo ir prevencijos sistemos, elektroninės informacijos perdavimo tinklai, duomenų saugyklos, bylų tarnybinės stotys ir kita techninė ir programinė įranga, kurios pagrindu funkcionuoja informacinės sistemos ir užtikrinama informacinėse sistemose tvarkomos elektroninės informacijos sauga (kibernetinis saugumas);

2.2. informacinių sistemų naudotojas – Valstybinės darbo inspekcijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, ar kitas asmuo, informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudojantis ir (ar) tvarkantis elektroninę informaciją;

2.3. išorinis informacinių sistemų naudotojas – su Valstybine darbo inspekcija tarnybos (darbo) santykiais nesusijęs asmuo, kuris informacinių sistemų veiklą reglamentuojančių teisės aktų nustatyta tvarka pagal kompetenciją naudoja ir (ar) tvarko elektroninę informaciją;

2.4. kibernetinio saugumo vadovas – informacinių sistemų valdytojo paskirtas kompetentingas darbuotojas, valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, ar padalinys, atsakingas už informacinių sistemų kibernetinio saugumo organizavimą ir užtikrinimą;

2.5. saugos (kibernetinio saugumo) dokumentai – Saugos nuostatai, informacinių sistemų  valdytojo patvirtinti informacinių sistemų saugos (kibernetinio saugumo) politiką įgyvendinantys dokumentai: informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklės, informacinių sistemų veiklos tęstinumo valdymo planas, informacinių sistemų naudotojų administravimo taisyklės;

2.6. vartojama sąvoka galinis įrenginys suprantama taip, kaip ji apibrėžta Lietuvos Respublikos elektroninių ryšių įstatyme;

2.7. kitos Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, kituose teisės aktuose bei Lietuvos „Informacijos technologija. Saugumo metodai“ grupės standartuose apibrėžtas sąvokas.

3.1. Informacinių sistemų saugos (kibernetinio saugumo) dokumentai taikomi:

3.2. Saugos nuostatai yra vieši ir skelbiami Lietuvos Respublikos teisės aktų registre. Informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklių, informacinių sistemų veiklos tęstinumo valdymo plano, informacinių sistemų naudotojų administravimo taisyklių naudojimas yra ribojamas – informacinių sistemų naudotojams, informacinių sistemų funkcionuoti reikalingų paslaugų teikėjams ir kitiems tretiesiems asmenims suteikiama teisė susipažinti tik su šių saugos (kibernetinio saugumo) dokumentų santrauka Saugos nuostatų V skyriuje nustatyta tvarka.

3.3. Už informacinių sistemų saugos (kibernetinio saugumo) dokumentų santraukos parengimą atsakingas kibernetinio saugumo vadovas. Informacinių sistemų saugos (kibernetinio saugumo) dokumentų santrauka rengiama remiantis būtinumo žinoti principu.

3.4. Informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklės, informacinių sistemų veiklos tęstinumo valdymo planas, informacinių sistemų naudotojų administravimo taisyklės turi būti saugiai platinami ir prieinami su jais turinčioms teisę susipažinti suinteresuotoms šalims visais elektroninės informacijos saugos  (kibernetinio saugumo) incidentų atvejais.

3.5. Konkrečioms informacinėms sistemoms saugos (kibernetinio saugumo) dokumentuose nustatyti saugos organizaciniai ir techniniai reikalavimai taikomi atsižvelgiant į Saugos nuostatų 20 punkte joms priskirtą elektroninės informacijos svarbos kategoriją. Valstybinė darbo inspekcija, kaip informacinių sistemų valdytojas ir tvarkytojas, kiekvienai konkrečiai informacinei sistemai užtikrina saugos priemonių, skirtų ne žemesnei kategorijai negu Saugos nuostatuose informacinei sistemai priskirtai kategorijai, taikymą.

3.6. Saugos įgaliotinis, suderinęs su kibernetinio saugumo vadovu, sudaro saugos (kibernetinio saugumo) dokumentuose nustatytų informacinių sistemų saugos organizacinių ir techninių reikalavimų sąvadą pagal informacinių sistemų kategorijas (toliau - saugos reikalavimų sąvadas). Saugos reikalavimų sąvadui taikomos Saugos nuostatų 3.2 – 3.4 papunkčiuose nustatytos konfidencialumo nuostatos.

4.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti informacinių sistemų elektroninę informaciją;

4.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

4.3. vykdyti elektroninės informacijos saugos (kibernetinių saugumo) incidentų prevenciją, reaguoti į elektroninės informacijos saugos (kibernetinius saugumo) incidentus ir juos operatyviai suvaldyti, atkuriant įprastą informacinių sistemų veiklą.

5.1. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

5.2. informacinių sistemų veiklos tęstinumo užtikrinimas;

5.3. asmens duomenų apsauga;

5.4. informacinių sistemų naudotojų mokymas;

5.5. organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų elektroninės informacijos saugai (kibernetiniam saugumui) užtikrinti, įgyvendinimas ir kontrolė.

7.1. atsako už elektroninės informacijos saugos (kibernetinio saugumo) politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą;

7.2. tvirtina informacinių sistemų saugos (kibernetinio saugumo) politiką įgyvendinančius dokumentus, kitus dokumentus, susijusius su elektroninės informacijos sauga, ir jų pakeitimus;

7.3. skiria saugos įgaliotinį, kibernetinio saugumo vadovą ir informacinių sistemų administratorius;

7.4. priima sprendimus dėl informacinių sistemų elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo;

7.5. prižiūri ir kontroliuoja, kad informacinės sistemos būtų tvarkomos vadovaujantis Lietuvos Respublikos įstatymais, informacinių sistemų nuostatais, šiais Saugos nuostatais, informacinių sistemų saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais;

7.6. priima sprendimus dėl informacinių sistemų techninių ir programinių priemonių, būtinų informacinių sistemų elektroninės informacijos saugai (kibernetiniam saugumui) užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

7.7. priima sprendimus dėl informacinių technologijų rizikos ir atitikties saugos reikalavimams vertinimo atlikimo;

7.8. prireikus tvirtina rizikos valdymo priemonių planą, informacinių sistemų informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą;

7.9. atlieka kitas Saugos nuostatuose ir kituose teisės aktuose informacinių sistemų valdytojo kompetencijai priskirtas funkcijas.

8.1. užtikrina nepertraukiamą informacinių sistemų veikimą;

8.2. užtikrina informacinių sistemų elektroninės informacijos saugą (kibernetinį saugumą) ir saugų elektroninės informacijos perdavimą elektroninių ryšių tinklais (automatiniu būdu);

8.3. užtikrina informacinių sistemų sąveiką su susijusiais registrais ir informacinėmis sistemomis;

8.4. teikia informacinių sistemų valdytojo vadovui pasiūlymus dėl informacinių sistemų elektroninės informacijos saugos (kibernetinio saugumo) tobulinimo;

8.5. rengia ir įgyvendina techninių ir programinių priemonių kūrimo ir plėtros planus, investicinius projektus;

8.6. ne rečiau kaip kartą per metus organizuoja elektroninės informacijos saugos (kibernetinio saugumo) dokumentų persvarstymą (peržiūrėjimą);

8.7. organizuoja informacinių sistemų naudotojams mokomuosius ir pažintinius kursus informacinių sistemų elektroninės informacijos tvarkymo klausimais;

8.8. atlieka kitas Saugos nuostatuose ir kituose teisės aktuose informacinių sistemų tvarkytojo kompetencijai priskirtas funkcijas.

9.1. teikia informacinių sistemų valdytojo vadovui pasiūlymus dėl:

9.2. teikia informacinių sistemų valdytojo vadovui pasiūlymus dėl elektroninės informacijos (kibernetinio saugumo) dokumentų priėmimo ir keitimo;

9.3. koordinuoja elektroninės informacijos saugos (kibernetinio saugumo) incidentų tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, elektroninės informacijos saugos (kibernetinio saugumo) incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos (kibernetinio saugumo) incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos (kibernetinio saugumo) darbo grupės;

9.4. teikia informacinių sistemų administratoriams ir informacinių sistemų naudotojams privalomus vykdyti nurodymus ir pavedimus dėl elektroninės informacijos saugos ir kibernetinio saugumo politikos įgyvendinimo;

9.5. organizuoja informacinių sistemų rizikos ir informacinių technologijų saugos atitikties vertinimą;

9.6. organizuoja informacinių sistemų naudotojams ir administratoriams mokomuosius ir pažintinius kursus informacinių sistemų elektroninės informacijos saugos klausimais;

9.7. atlieka kitas Saugos nuostatuose, Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ ir kituose teisės aktuose saugos įgaliotiniui priskirtas funkcijas.

13.1. koordinuojantis administratorius, kuris prižiūri informacinių sistemų administratorių veiklą, siekdamas užtikrinti tinkamą informacinių sistemų administratorių funkcijų vykdymą;

13.2. informacinių sistemų naudotojų administratoriai, kurie atlieka informacinių sistemų naudotojų teisių valdymo funkcijas (informacinių sistemų naudotojų duomenų administravimas, klasifikatorių tvarkymas, informacinių sistemų naudotojų veiksmų, registracijos žurnalų įrašų analizė ir kt.);

13.3. informacinių sistemų komponentų administratoriai, kurie atlieka funkcijas, susijusias su jų kompetencijai priskirtais informacinių sistemų komponentais:

13.4. kompiuterių tinklo administratorius atlieka šias funkcijas:

13.5. tarnybinių stočių administratorius atlieka šias funkcijas:

13.6. duomenų bazių administratorius atlieka šias funkcijas:

13.7. saugos administratorius, kuris atlieka informacinių sistemų pažeidžiamų vietų nustatymo, saugumo reikalavimų atitikties nustatymo ir stebėsenos funkcijas;

13.8. kitų informacinių sistemų komponentų administratoriai atlieka funkcijas, susijusias su naudotojų darbo vietų techninės ir programinės įrangos ir, pareigybių aprašymuose priskirtos kompetencijos ribose kitų, informacinių sistemų komponentų sąranka, veikimo stebėsena ir analize, profilaktine priežiūra, programinės įrangos diegimu ir konfigūravimu, trikdžių diagnostika ir šalinimu, nepertraukiamo informacinių sistemų veikimo užtikrinimu, pasiūlymų dėl jų veikimo optimizavimo teikimu.

15.1.         vykdyti visus saugos įgaliotinio ir kibernetinio saugumo vadovo nurodymus bei pavedimus dėl informacinių sistemų saugos (kibernetinio saugumo) užtikrinimo;

15.2.         pagal saugos (kibernetinio saugumo) dokumentuose ir pareigybių aprašymuose priskirtą kompetenciją reaguoti į elektroninės informacijos saugos (kibernetinio saugumo) incidentus;

15.3.         nuolat teikti saugos įgaliotiniui ir kibernetinio saugumo vadovui informaciją apie saugą užtikrinančių informacinių sistemų komponentų būklę.

16.1.         atlikdami informacinių sistemų sąrankos pakeitimus turi laikytis informacinių sistemų pokyčių valdymo tvarkos, nustatytos informacinių sistemų valdytojo tvirtinamose informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse;

16.2.         privalo patikrinti (peržiūrėti) jiems priskirtų informacinių sistemų komponentų sąranką ir informacinių sistemų komponentų būsenos rodiklius ne rečiau kaip kartą per metus ir (arba) po informacinių sistemų pokyčio.

17.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

17.2. Lietuvos Respublikos kibernetinio saugumo įstatymas;

17.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

17.4. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

17.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

17.6. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

17.7. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB;

17.8. Lietuvos standartai LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai.“, kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys elektroninės informacijos saugos valdymą;

17.9. kiti teisės aktai, reglamentuojantys elektroninės informacijos saugos ir kibernetinio saugumo valdymą.

18.1. Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinėje sistemoje tvarkoma elektroninė informacija priskiriama svarbios elektroninės informacijos kategorijai vadovaujantis Klasifikavimo gairių aprašo 8.1, 8.2 ir 8.3 papunkčių nuostatomis;

18.2. Potencialiai pavojingų įrenginių valstybės registre tvarkoma elektroninė informacija priskiriama svarbios elektroninės informacijos kategorijai vadovaujantis Klasifikavimo gairių aprašo 8.1 ir 8.4 papunkčių nuostatomis;

18.3. Darbuotojų saugos ir sveiktos klausimais atestavimo sistemoje ir vidaus administravimo informacinėse sistemose tvarkoma informacija priskiriama mažiausios svarbos elektroninės informacijos kategorijai vadovaujantis Klasifikavimo gairių aprašo 10 punkto nuostatomis.

19.1. Darbo sąlygų darbo vietose nuolatinės stebėsenos informacinė sistema ir Potencialiai pavojingų įrenginių valstybės registras priskiriama antrajai kategorijai vadovaujantis Klasifikavimo gairių aprašo 12.2 papunkčiu;

19.2. Darbuotojų saugos ir sveikatos klausimais atestavimo sistema ir vidaus administravimo informacinės sistemos priskiriamos ketvirtajai kategorijai vadovaujantis Klasifikavimo gairių aprašo 12.4 papunkčiu.

22.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais triktys, programinės įrangos klaidos, netinkamas veikimas ir kita);

22.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacinėmis sistemomis elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

22.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

25.1. informacinių sistemų informacinių technologijų saugos atitikties vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus, jei teisės aktai nenumato kitaip;

25.2. informacinių sistemų atitikties Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus.

27.1. planavimo etapas. Parengiamas kibernetinių atakų imitavimo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtis, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (arba) pilkosios dėžės (angl. Grey Box)), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (arba) techniniai įrankiai ir priemonės, nurodomi už plano vykdymą atsakingi asmenys ir jų kontaktai. Kibernetinių atakų imitavimo planas turi būti suderintas su informacinių sistemų valdytojo vadovu ir vykdomas tik gavus jo rašytinį pritarimą;

27.2. žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių serverių ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą, konfigūracijas ir kitą sėkmingai kibernetinei atakai įvykdyti reikalingą informaciją. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;

27.3. kibernetinių atakų imitavimo etapas. Atliekami kibernetinių atakų imitavimo plane numatyti testai. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;

27.4. ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti išdėstomi informacinių technologijų saugos vertinimo ataskaitoje. Kibernetinių atakų imitavimo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat informacinių sistemų valdytojo įstaigos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

30.1. saugos priemonės turi būti valdomos centralizuotai;

30.2. saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

30.3. likutinė rizika turi būti sumažinta iki priimtino lygio;

30.4. kur galima, būtina įdiegti prevencines informacijos saugos priemones.

31.1. svetainės turi atitikti Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, reikalavimus, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus, patvirtintus Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

31.2. svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio informacinių sistemų tvarkytojo kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;

31.3. turi būti pakeistos gamintojo numatytos prisijungimo prie svetainių TVS ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) ir slaptažodžiai;

31.4. turi būti užtikrinama, kad prie svetainių TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;

31.5. informacinėse sistemose naudojamų svetainių sauga turi būti vertinama informacinių sistemų rizikos įvertinimo metu ir (arba) informacinių sistemų informacinių technologijų saugos atitikties vertinimo metu, atliekamų Saugos nuostatų II skyriuje nustatyta tvarka.

32.1. tarnybinėse stotyse ir vidinių informacinių sistemų naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingos programinės įrangos aptikimo ir stebėjimo realiu laiku priemonės;

32.2. informacinių sistemų komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu patvirtinama, kad šių komponentų rizika yra priimtina;

32.3. kenksmingos programinės įrangos aptikimo priemonės turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas. Informacinių sistemų komponentų administratoriai turi būti automatiškai informuojami elektroniniu paštu apie tai, kuriems informacinių sistemų posistemiams, funkciškai savarankiškoms sudedamosioms dalims, vidinių informacinių sistemų naudotojų kompiuteriams ir kitiems informacinių sistemų komponentams yra pradelstas kenksmingos programinės įrangos aptikimo priemonių atsinaujinimo laikas, kenksmingos programinės įrangos aptikimo priemonės netinkamai funkcionuoja arba yra išjungtos.

33.1. informacinių sistemų tarnybinėse stotyse ir vidinių informacinių sistemų naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga;

33.2. vidinių informacinių sistemų naudotojų kompiuteriuose naudojama programinė įranga turi būti įtraukta į su informacinių sistemų valdytoju suderintą leistinos naudoti programinės įrangos sąrašą. Leistinos programinės įrangos sąrašą turi parengti, ne rečiau kaip kartą per metus peržiūrėti ir prireikus atnaujinti saugos įgaliotinis;

33.3. tarnybinių stočių ir vidinių informacinių sistemų naudotojų kompiuterių operacinės sistemos, kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;

33.4. saugos administratorius ne rečiau kaip kartą per savaitę turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumo svarbos lygius informacinių sistemų posistemiuose, funkciškai savarankiškose informacinių sistemų sudedamosiose dalyse, informacinių sistemų vidinių naudotojų kompiuteriuose. Apie įvertinimo rezultatus saugos administratorius turi informuoti saugos įgaliotinį ir kibernetinio saugumo vadovą;

33.5. programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;

33.6. programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – informacinių sistemų komponentų administratoriai arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai;

33.7. taikomoji programinė įranga turi būti testuojama naudojant atskirą testavimo aplinką, kurioje esantys asmens duomenys turi būti naudojami vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB;

33.8. informacinių sistemų programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org.

34.1. kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant užkardas, automatinę įsilaužimų aptikimo ir prevencijos įrangą, atkirtimo nuo paslaugos, dedikuoto atkirtimo nuo paslaugos įrangą;

34.2. kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuose ryšių tinkluose naršančių vidinių informacinių sistemų naudotojų kompiuterinę įrangą nuo kenksmingo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

34.3. apsaugai nuo elektroninės informacijos neteisėto atskleidimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga;

34.4. turi būti naudojamos turinio filtravimo sistemos;

34.5. turi būti naudojamos taikomųjų programų kontrolės sistemos.

35.1. stacionarius kompiuterius leidžiama naudoti tik informacinių sistemų valdytojo ir tvarkytojo patalpose;

35.2. nešiojamiesiems kompiuteriams, išnešamiems iš informacinių sistemų valdytojo ar informacinių sistemų tvarkytojo patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimai ir pan.);

35.3. iš stacionarių ir nešiojamųjų kompiuterių ar elektroninės informacijos laikmenų, kurie perduodami remonto, techninės priežiūros paslaugų teikėjui arba nurašomi, turi būti neatkuriamai pašalinta visa nevieša elektroninė informacija.

36.1. elektroninė informacija teikiama (daugkartinio teikimo atveju ir vienkartinio teikimo atveju) informacinių sistemų nuostatuose nustatyta tvarka;

36.2. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą naudojamas šifravimas, virtualus privatus tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas. Elektroninei informacijai teikti ir (ar) gauti gali būti naudojamas saugus valstybinis duomenų perdavimo tinklas;

36.3. elektroninė informacija automatiniu būdu turi būti teikiama ir (ar) gaunama tik pagal informacinių sistemų nuostatuose, duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas;

36.4. nuotolinis prisijungimas prie informacinių sistemų galimas:

36.5. šifro raktų ilgiai, šifro raktų generavimo algoritmai, šifro raktų apsikeitimo protokolai, sertifikato parašo šifravimo algoritmai ir kiti šifravimo algoritmai turi būti nustatomi atsižvelgiant į Lietuvos ir tarptautinių organizacijų ir standartų rekomendacijas, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtintus Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, reikalavimus, Techninius valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus, patvirtintus Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

36.6. naudojamų šifravimo priemonių patikimumas turi būti vertinamas neeilinio arba kasmetinio informacinių sistemų rizikos vertinimo metu. Šifravimo priemonės turi būti operatyviai keičiamos nustačius saugumo spragų šifravimo algoritmuose.

37.1. atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objetive) ir priimtiną informacinių sistemų neveikimo laikotarpį (angl. recovery time objective);

37.2. atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokios apimties, kad informacinių sistemų veiklos sutrikimo, elektroninės informacijos saugos (kibernetinio) incidento ar elektroninės informacijos vientisumo praradimo atvejais informacinių sistemų neveikimo laikotarpis nebūtų ilgesnis, nei taikoma konkrečioms informacinių sistemų svarbos kategorijoms, nurodytoms Saugos nuostatų 19 punkte, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus;

37.3. atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai, bet ne rečiau kaip atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkoje, nustatytoje informacinių sistemų saugaus elektroninės informacijos tvarkymo taisyklėse, nurodytais terminais;

37.4. elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo kopijų) arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos;

37.5. atsarginės elektroninės informacijos kopijos turi būti saugomos kitose patalpose, nei yra informacinių sistemų tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate. Atsarginių elektroninės informacijos kopijų saugojimo terminai nustatomi atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkoje;

37.6. atsarginių elektroninės informacijos kopijų darymas turi būti fiksuojamas;

37.7. ne rečiau kaip kartą per pusmetį, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

37.8. patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas.

39.1. vidinių informacinių sistemų naudotojų, administratorių, saugos įgaliotinio, kibernetinio saugumo vadovo kvalifikacija turi atitikti bendruosius ir specialiuosius reikalavimus, nustatytus jų pareigybių aprašymuose;

39.2. visi informacinių sistemų naudotojai privalo turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti tvarkyti elektroninę informaciją, būti susipažinę su Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, informacinių sistemų elektroninės informacijos tvarkymą. Asmenys, tvarkantys duomenis ir informaciją, privalo saugoti jų paslaptį ir būti pasirašę pasižadėjimą saugoti duomenų ir informacijos paslaptį. Asmens įsipareigojimas saugoti paslaptį galioja ir nutrukus su elektroninės informacijos tvarkymu susijusiai veiklai;

39.3. saugos įgaliotinis ir kibernetinio saugumo vadovas privalo išmanyti elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos (kibernetinio saugumo) srityje, savo darbe vadovautis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, „Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų nuostatomis, reglamentuojančiomis elektroninės informacijos saugą (kibernetinį saugumą). Informacinių tvarkytojas turi sudaryti sąlygas kelti saugos įgaliotinio ir kibernetinio saugumo vadovo kvalifikaciją;

39.4. saugos įgaliotiniu ar kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai;

39.5. informacinių sistemų administratoriai pagal kompetenciją privalo išmanyti elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, mokėti užtikrinti informacinių sistemų ir jose tvarkomos elektroninės informacijos saugą (kibernetinį saugumą), administruoti ir prižiūrėti informacinių sistemų komponentus (stebėti informacinių sistemų komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti informacinių sistemų komponentų nepertraukiamą funkcionavimą ir pan.). Informacinių sistemų administratoriai turi būti susipažinę su saugos dokumentais.

40.1. informacinių sistemų naudotojams turi būti organizuojami mokymai elektroninės informacijos saugos (kibernetinio saugumo) klausimais, įvairiais būdais primenama apie elektroninės informacijos saugos (kibernetinio saugumo) problemas.

40.2. mokymai elektroninės informacijos saugos (kibernetinio saugumo) klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), informacinių sistemų naudotojų ar informacinių sistemų administratorių poreikius;

40.3. mokymai gali būti vykdomi tiesioginiu ar nuotoliniu būdu. Mokymus gali vykdyti saugos įgaliotinis ar kitas informacinių sistemų valdytojo ir informacinių sistemų tvarkytojo darbuotojas, išmanantis elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, arba elektroninės informacijos saugos (kibernetinio saugumo) mokymų paslaugų teikėjas;

40.4. mokymai informacinių sistemų naudotojams turi būti organizuojami ne rečiau kaip kartą per dvejus metus. Mokymai informacinių sistemų administratoriams turi būti organizuojami pagal poreikį. Už mokymų organizavimą atsakingas saugos įgaliotinis;

40.5. saugos įgaliotinis ne rečiau kaip kartą per dvejus metus organizuoja mokymus informacinių sistemų naudotojams elektroninės informacijos saugos ir kibernetinio saugumo klausimais;

40.6. saugos įgaliotinis informacinių sistemų naudotojus nuolatos informuoja apie aktualias elektroninės informacijos saugos problemas.