Dėl Kalėjimų departamento prie Lietuvos Respublikos teisingumo ministerijos informacinės sistemos duomenų saugos nuostatų patvirtinimo, saugos įgaliotinio, administratorių skyrimo ir saugos politiką įgyvendinančių dokumentų rengimo

PATVIRTINTA

Lietuvos kalėjimų tarnybos direktoriaus

2023 m. gegužės 2 d. įsakymu Nr. V-286

LIETUVOS KALĖJIMŲ TARNYBOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Lietuvos kalėjimų tarnybos informacinės sistemos duomenų saugos nuostatai (toliau – saugos nuostatai) reglamentuoja informacinės sistemos (toliau – IS) elektroninės informacijos saugos ir kibernetinio saugumo politiką (toliau – saugos politika).

2. Saugos politika įgyvendinama pagal Lietuvos kalėjimų tarnybos (toliau – LKT) direktoriaus tvirtinamus IS saugos politiką įgyvendinančius dokumentus: saugaus elektroninės informacijos tvarkymo taisykles, naudotojų administravimo taisykles, veiklos tęstinumo valdymo planą (toliau – saugos politiką įgyvendinantys dokumentai).

3. Saugos nuostatai parengti vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu, Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.

4. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas).

5. IS elektroninės informacijos sauga – tai elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas.

6. Prioritetinės elektroninės informacijos saugos ir kibernetinio saugumo (toliau – elektroninės informacijos sauga) užtikrinimo kryptys:

6.1. IS tvarkomų asmens duomenų apsauga;

6.2. elektroninės informacijos tvarkymo bei jos naudojimo kontrolė;

6.3. elektroninei informacijai tvarkyti naudojamos techninės ir programinės įrangos kontrolė;

6.4. IS veiklos tęstinumo užtikrinimas;

6.5. IS naudotojų mokymas.

7. Elektroninės informacijos saugumo užtikrinimo tikslai:

7.1. saugiai tvarkyti IS kaupiamus duomenis, užtikrinti jų konfidencialumą, vientisumą ir prieinamumą;

7.2. sudaryti sąlygas automatiniu būdu saugiai tvarkyti ir perduoti elektroninę informaciją;

7.3. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo ar neteisėto jos tvarkymo;

7.4. vykdyti elektroninės informacijos saugos ir kibernetinių incidentų (toliau – saugos incidentai) prevenciją.

8. Saugos nuostatų reikalavimai taikomi:

8.1. IS valdytojai ir tvarkytojai Lietuvos kalėjimų tarnybai (L. Sapiegos g. 1, Vilnius);

8.2. IS tvarkytojai Lietuvos probacijos tarnybai (Kareivių g. 1, Vilnius);

8.3. IS saugos įgaliotiniams;

8.4. IS administratoriams;

8.5. IS naudotojams;

8.6. paslaugų, susijusių su IS, teikėjams.

9. IS valdytojo funkcijos:

9.1. vadovauti IS tvarkytojams ir koordinuoti IS funkcionavimą;

9.2. koordinuoti IS tvarkytojų, techninės ir programinės įrangos priežiūros funkcijas teikiančių paslaugų teikėjų darbą, nustatyta tvarka atlikti jų veiklos priežiūrą;

9.3. priimti sprendimus dėl techninių ir programinių priemonių, būtinų elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

9.4. prižiūrėti, kaip laikomasi elektroninės informacijos saugos reikalavimų;

9.5. nagrinėti IS tvarkytojų pasiūlymus dėl IS elektroninės informacijos saugos priemonių tobulinimo ir priimti su tuo susijusius sprendimus;

9.6. rengti ir tvirtinti įsakymus dėl IS elektroninės informacijos saugos užtikrinimo bei kitus dokumentus, susijusius su elektroninės informacijos sauga;

9.7. planuoti IS valdymo pokyčius;

9.8. skirti IS saugos įgaliotinį (toliau – saugos įgaliotinis);

9.9. skirti IS koordinuojantį administratorių ir organizuoti administratorių paskyrimą tvarkytojams (toliau – administratoriai);

9.10. tvirtinti rizikos vertinimo ir rizikos valdymo priemonių planus;

9.11. tvirtinti IS informacinių technologijų atitikties saugos reikalavimams vertinimo metu pastebėtų trūkumų šalinimo planą;

9.12. rengti ir priimti teisės aktus, užtikrinančius IS duomenų tvarkymo teisėtumą ir IS duomenų saugą, prižiūrėti, kaip laikomasi šių įsakymų nuostatų;

9.13. atlikti kitas IS saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, nustatytas funkcijas.

10. Lietuvos kalėjimų tarnyba kaip IS tvarkytoja atlieka IS nuostatuose numatytas funkcijas, taip pat:

10.1. užtikrina elektroninės informacijos, esančios IS duomenų bazėje, saugą;

10.2. užtikrina IS elektroninės informacijos saugą ir saugų jos perdavimą elektroninių ryšių tinklais;

10.3. užtikrina tinkamą saugos nuostatų, IS saugos politiką įgyvendinančių dokumentų, kitų dokumentų, susijusių su elektroninės informacijos sauga, įgyvendinimą;

10.4. rengia IS rizikos vertinimo ir rizikos valdymo priemonių bei informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planus (esant poreikiui šie planai gali būti sujungti ir parengiamas bendras planas);

10.5. planuoja ir įgyvendina priemones, mažinančias duomenų atskleidimo ir praradimo riziką bei užtikrinančias prarastų duomenų atkūrimą ir jų apsaugą nuo klastojimo;

10.6. užtikrina IS nepertraukiamą veikimą;

10.7. IS tvarkytojų prašymu suteikia teisę IS tvarkytojams administruoti IS tvarkytojo įstaigai pavaldžių įstaigų IS naudotojus;

10.8. vykdo su kibernetinio saugumo organizavimu ir užtikrinimu susijusias funkcijas, nustatytas Kibernetinio saugumo įstatyme, Kibernetinio saugumo reikalavimų apraše ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose;

10.9. registruoja ir valdo su IS veikla susijusius saugos incidentus;

10.10. organizuoja mokomojo ir pažintinio pobūdžio kursus IS naudotojams IS elektroninės informacijos tvarkymo klausimais;

10.11. atlieka kitas Valstybės informacinių išteklių valdymo įstatyme, Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, IS nuostatuose bei saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

11. Lietuvos probacijos tarnyba, kaip IS tvarkytoja, atlieka šias funkcijas:

11.1. užtikrina IS valdytojo priimtų teisės aktų ir rekomendacijų, susijusių su elektroninės informacijos sauga, įgyvendinimą;

11.2. užtikrina tvarkytojo įstaigos IS naudotojų darbo vietose naudojamų administracinių, techninių ir programinių priemonių, užtikrinančių elektroninės informacijos saugą, diegimo koordinavimą ir priežiūrą;

11.3. pagal kompetenciją valdo su IS kompiuterinių darbo vietų sauga susijusius incidentus, informuoja apie juos LKT, IS saugos įgaliotinį ir kitas atsakingas institucijas, šalina šiuos incidentus;

11.4. LKT suteikus teisę, paskiria naudotojų administratorių, kuris administruoja IS naudotojus IS tvarkytojo įstaigose;

11.5. paskiria administratorius, užtikrinančius tvarkytojo įstaigos IS naudotojų darbo vietose naudojamų administracinių, techninių ir programinių priemonių, užtikrinančių elektroninės informacijos saugą, diegimo koordinavimą ir priežiūrą;

11.6. teikia pasiūlymus IS valdytojui dėl IS saugos tobulinimo;

11.7. atlieka kitas Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, IS nuostatuose bei saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.

12. Už elektroninės informacijos saugą pagal kompetenciją atsako IS valdytojas ir tvarkytojai.

13. IS valdytojas atsako už saugos politikos formavimą, jos įgyvendinimo organizavimą ir priežiūrą, taip pat už elektroninės informacijos tvarkymo teisėtumą.

14. IS tvarkytojai atsakingi už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, saugos užtikrinimą ir su ja susijusių reikalavimų laikymąsi saugos nuostatų bei saugos politiką įgyvendinančių dokumentų nustatyta tvarka.

15. IS naudotojai, tvarkantys duomenis, informaciją, dokumentus ir (arba) jų kopijas, privalo įsipareigoti saugoti duomenų ir informacijos paslaptį bei pasirašyti pasižadėjimą. Šis įsipareigojimas galioja ir nutraukus su duomenų, informacijos, dokumentų ir (arba) jų kopijų tvarkymu susijusią veiklą.

16. Tvarkyti IS elektroninę informaciją gali tik IS naudotojai, susipažinę su saugos dokumentais ir sutikę laikytis juose nustatytų reikalavimų.

17. Paslaugų, susijusių su IS, teikėjai privalo įsipareigoti saugoti duomenų ir informacijos paslaptį bei pasirašyti pasižadėjimą. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir pasibaigus paslaugų teikimo laikui ar nutraukus šią veiklą.

18. IS saugos įgaliotinio, koordinuojančio ir prižiūrinčio IS saugos politiką, funkcijos ir atsakomybė:

18.1. teikti IS valdytojui pasiūlymus dėl IS administratorių paskyrimo ir reikalavimų administratoriams nustatymo;

18.2. teikti IS valdytojo vadovui pasiūlymus dėl saugos dokumentų priėmimo ir pakeitimo;

18.3. koordinuoti IS elektroninės informacijos saugos incidentų tyrimą ir bendradarbiauti su kompetentingomis institucijomis, tiriančiomis tokius incidentus ir su jais susijusias neteisėtas veikas, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

18.4. duoti administratoriams ir IS naudotojams privalomus vykdyti nurodymus ir pavedimus dėl saugos politikos įgyvendinimo;

18.5. teikti pasiūlymus dėl IS informacinių technologijų atitikties saugos reikalavimams vertinimo organizavimo;

18.6. organizuoti rizikos ir informacinių technologijų atitikties saugos reikalavimams vertinimą;

18.7. periodiškai inicijuoti IS naudotojų mokymus informacijos saugos klausimais, informuoti IS administratorių ir naudotojus dėl informacijos saugos;

18.8. prisiimti atsakomybę už IS elektroninės informacijos saugos reikalavimų laikymąsi;

18.9. prisiimti atsakomybę už mokymų, susijusių su IS naudotojų informacijos sauga, organizavimą;

18.10. atlikti kitas saugos nuostatuose, kituose teisės aktuose nustatytas ir Bendrųjų saugos reikalavimų apraše saugos įgaliotiniui priskirtas funkcijas.

19. Saugos įgaliotinis negali atlikti administratoriui priskirtų funkcijų.

20. Saugos įgaliotinis, atlikdamas savo funkcijas, turi teisę pagal savo įgaliojimus duoti privalomus vykdyti nurodymus ir pavedimus kitiems IS valdytojo ir tvarkytojo darbuotojams, jeigu tai būtina saugos politikai įgyvendinti.

21. Administratoriai skiriami keliems IS posistemiams, funkciškai savarankiškoms sudedamosioms dalims tvarkyti ar tam tikroms administratoriaus funkcijoms atlikti.

22. Administratoriai skiriami į tokius tipus:

22.1. koordinuojantis administratorius, prižiūrintis administratorių veiklą ir atsakingas už tinkamą jų atliekamų funkcijų vykdymą, IS infrastruktūros veikimą ir IS elektroninės informacijos saugą;

22.2. IS tvarkytojų naudotojų administratorius, atliekantis su IS naudotojų valdymu susijusias funkcijas;

22.3. IS tvarkytojų komponentų administratorius, atliekantis su IS komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, užkardų, įsilaužimų aptikimo sistemų, elektroninės informacijos perdavimu tinklų, bylų serverių ir kt.) tvarkymu bei jų sąranka susijusias funkcijas;

22.4. IS tvarkytojų sprendimu administratorių funkcijos gali būti gretinamos.

23. Administratoriai privalo vykdyti visus saugos įgaliotinio nurodymus ir pavedimus, kad užtikrintų IS saugumą, pagal kompetenciją reaguoti į elektroninės informacijos saugos incidentus, nustatyti IS pažeidžiamas vietas, nustatyti jų atitiktį saugumo reikalavimams ir vykdyti stebėseną bei nuolat teikti saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.

24. Atlikdamas IS sąrankos pakeitimus, IS komponentų administratorius turi laikytis IS valdytojo IS pokyčių valdymo tvarkos, nustatytos IS valdytojo tvirtinamose IS saugaus elektroninės informacijos tvarkymo taisyklėse.

25. Visi pakeitimai, galintys sutrikdyti ar sustabdyti IS darbą, turi būti suderinti su IS valdytojo vadovu ar duomenų valdymo įgaliotiniu ir vykdomi tik gavus jų raštišką pritarimą. Pakeitimus turi teisę inicijuoti duomenų valdymo įgaliotinis, saugos įgaliotinis ar administratorius, o įgyvendinti – administratorius.

26. IS komponentų administratoriai privalo reguliariai – ne rečiau kaip kartą per metus ir (ar) atlikus IS pakeitimą tikrinti (peržiūrėti) IS sąranką ir IS būsenos rodiklius.

27. Teisės aktai, kuriais vadovaujamasi tvarkant elektroninę informaciją ir užtikrinant jos saugą:

27.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

27.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

27.3. Valstybės informacinių išteklių valdymo įstatymas;

27.4. Lietuvos Respublikos kibernetinio saugumo įstatymas;

27.5. Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimas Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;

27.6. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

27.7. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas);

27.8. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

27.9. Lietuvos standartai LST ISO/IEC 27002 ir LST ISO/IEC 27001, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, nustatantys saugų informacinės sistemos duomenų tvarkymą;

27.10. kiti teisės aktai, reglamentuojantys elektroninės informacijos saugumo valdymą ir teisėtą elektroninės informacijos tvarkymą.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

28. IS tvarkoma elektroninė informacija, vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas), 7 punktu, priskiriama ypatingos svarbos elektroninės informacijos kategorijai.

29. Atsižvelgiant į informacinėje sistemoje apdorojamos elektroninės informacijos svarbą, vadovaujantis Klasifikavimo gairių aprašo 12 punktu IS priskiriama pirmajai kategorijai.

30. IS saugos priemonės parenkamos įvertinus galimus rizikos veiksnius, susijusius su elektroninės informacijos vientisumu, konfidencialumu ir prieinamumu.

31. Pagrindinės nuostatos dėl rizikos veiksnių vertinimo:

31.1. IS rizikos vertinimą inicijuoja valdytojas;

31.2. IS rizika nustatoma periodinio rizikos vertinimo metu;

31.3. IS rizikos vertinimas atliekamas ne rečiau kaip kartą per metus;

31.4. IS saugos įgaliotinis yra atsakingas už IS rizikos vertinimo organizavimą;

31.5. LKT nustato grėsmių, susijusių su ryšių ir informacinių sistemų pažeidimais, tikimybę ir rizikos lygį bei numato galimas pasekmes, o identifikavusi grėsmes išdėsto jas prioriteto tvarka pagal svarbą, kuri nustatoma atsižvelgiant į atliktą rizikos vertinimą;

31.6. Klasifikavimo gairių aprašo nustatyta tvarka LKT, atsižvelgdama į atliktą rizikos vertinimą, rengia naujus ir (ar) peržiūri esamus patvirtintus teisės aktus, reglamentuojančius valstybės informacinių išteklių ar ypatingos svarbos informacinės infrastruktūros kibernetinio saugumo politiką ir jos įgyvendinimą, bei nustato, kuriuos kibernetinio saugumo reikalavimų iš juose nustatytųjų būtina atnaujinti ir (ar) vykdyti pirmiausia, siekiant užtikrinti ryšių ir informacinių sistemų kibernetinį saugumą;

31.7. IS rizikos vertinimo ataskaitas, rizikos vertinimo ir jos valdymo priemonių plano kopijas, informacinių technologijų saugos atitikties vertinimo ataskaitas, pastebėtų trūkumų šalinimo veiksmų plano kopijas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo dienos Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai), nustatyta tvarka pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS);

31.8. IS rizikos veiksniai vertinami taikant kokybinę rizikos vertinimo metodiką;

31.9. IS rizikos vertinimas atliekamas vadovaujantis:

31.9.1. Lietuvos Respublikos duomenų saugą reglamentuojančiais teisės aktų reikalavimais;

31.9.2. Lietuvos ir tarptautiniuose grupės standartuose „Informacijos technologija. Saugumo technika“ pateiktomis rekomendacijomis;

31.9.3. Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos interneto svetainėje skelbiama metodine priemone „Rizikos analizės vadovas“.

32. Saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja IS rizikos vertinimą. Prireikus saugos įgaliotinis gali organizuoti neeilinį IS rizikos vertinimą. IS valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį, rašytiniu pavedimu IS rizikos vertinimą gali atlikti pats saugos įgaliotinis.

33. IS rizikos veiksniams vertinti gali būti naudojama ARSIS.

34. IS rizikai vertinti gali būti naudojamos interaktyvios priemonės (kompiuterinės programos ir pan.).

35. IS rizikos vertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama IS valdytojo ar tvarkytojo, jeigu jis paskyrė saugos įgaliotinį, vadovui. IS rizikos vertinimo ataskaita rengiama įvertinus rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausi rizikos veiksniai yra šie:

35.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kt.);

35.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis IS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais trikdymas, saugumo pažeidimai, vagystės ir kt.);

35.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

36. IS rizikos vertinimo metu atliekami darbai:

36.1. IS sudarančių informacinių išteklių inventorizacija;

36.2. įtakos IS veiklai vertinimas;

36.3. grėsmės ir pažeidimų analizė;

36.4. liekamosios rizikos vertinimas.

37. Elektroninės informacijos saugos priemonių parinkimo principai:

37.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

37.2. informacijos saugos priemonės diegimo kaina turi būti adekvati saugomos informacijos vertei;

37.3. atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės informacijos saugos priemonės.

38. Atsižvelgdamas į rizikos vertinimo ataskaitą, IS valdytojas prireikus tvirtina rizikos vertinimo ir jos valdymo priemonių planą, kuriame nustatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

39. Rizikos vertinimo ataskaitos, rizikos vertinimo ir rizikos valdymo priemonių planų kopijas IS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo dienos Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka pateikia ARSIS.

40. Siekdami užtikrinti saugos dokumentuose nustatytų reikalavimų įgyvendinimo organizavimą ir kontrolę, IS tvarkytojai Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka atlieka informacinių technologijų saugos reikalavimų atitikties vertinimą.

41. Atlikus informacinių technologijų saugos atitikties vertinimą, parengiama šio vertinimo ataskaita ir pateikiama IS valdytojui. Atsižvelgdamas į ataskaitą, IS valdytojas prireikus tvirtina pastebėtų trūkumų šalinimo planą, kuriame numatomi trūkumų šalinimo priemonės, atsakingi vykdytojai, įgyvendinimo terminai, techninių, administracinių, finansinių ar kitų išteklių poreikis.

42. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas IS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo dienos Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka pateikia ARSIS.

43. IS informacinių technologijų saugos reikalavimų atitikties vertinimą gali atlikti ir nepriklausomi informacinių sistemų auditoriai.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

44. Programinės įrangos, skirtos IS apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos naujinimui keliami reikalavimai:

44.1. IS tarnybinėse stotyse ir naudotojų kompiuteriuose turi būti naudojamos ir atnaujinamos kenksmingos programinės įrangos aptikimo priemonės;

44.2. kenksmingos programinės įrangos aptikimo priemonės turi būti reguliariai atnaujinamos automatiniu būdu ne rečiau kaip kartą per 24 valandas. IS komponentų administratorius turi būti automatiškai informuojamas, kurių IS komponentų programinės priemonės dėl kenksmingos programinės įrangos aptikimo neatsinaujino laiku.

44.3. Programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu.

45. Programinės įrangos, įdiegtos IS tarnybinėse stotyse ir kompiuteriuose, naudojimo nuostatos:

45.1. IS tarnybinėse stotyse ir naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga, įtraukta į leistinos programinės įrangos sąrašą, suderintą su IS valdytoju. Saugos įgaliotinis ar jo įgaliotas administratorius turi parengti, suderinti ir ne rečiau kaip kartą per metus peržiūrėti bei prireikus atnaujinti leistinos programinės įrangos sąrašą;

45.2. IS naudotojų kompiuterinėje įrangoje turi būti naudojama tik darbo (tarnybos) funkcijoms atlikti reikalinga programinė įranga;

45.3. IS tarnybinių stočių ir naudotojų darbo vietų kompiuterinės įrangos operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami naujinimai turi būti operatyviai išbandomi ir įdiegiami;

45.4. programinė įranga turi būti atnaujinama ir prižiūrima laikantis gamintojo rekomendacijų;

45.5. programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – IS administratoriai arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai;

45.6. programinė įranga turi būti testuojama naudojant atskirą testavimo aplinką.

46. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių ir kt.) pagrindinės naudojimo nuostatos:

46.1. kompiuterių tinklas turi būti atskirtas nuo viešųjų ryšių tinklų naudojant užkardas, DOS ir DDOS atakų prevencijai skirtą įrangą bei įsilaužimų aptikimo ir prevencijos įrangą; užkardų sąranka (konfigūracijos duomenys) turi būti saugoma kartu su IS sąranka (konfigūracijos duomenimis) elektronine arba popierine forma;

46.2. IS elektroninei informacijai perduoti turi būti naudojami saugūs elektroninių ryšių tinklai;

46.3. kompiuterių tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešajame ryšių tinkle naršančių IS naudotojų kompiuterinę įrangą nuo kenksmingo kodo.

47. Leistinos kompiuterių naudojimo ribos:

47.1. stacionarius kompiuterius leidžiama naudoti tik IS valdytojo ir IS tvarkytojų patalpose;

47.2. stacionarius kompiuterius ne IS valdytojo ar tvarkytojų patalpose leidžiama naudoti tik esant IS valdytojo ar tvarkytojų sutikimui;

47.3. nešiojamiesiems kompiuteriams, išnešamiems iš IS valdytojo ar tvarkytojų patalpų, turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, papildomas tapatybės patvirtinimas, prisijungimo ribojimai, rakinimo įrenginių naudojimas);

47.4. iš stacionarių ir nešiojamųjų kompiuterių, kurie perduodami taisyti priežiūros paslaugų teikėjui, turi būti išimtos informacijos laikmenos. Jei sugenda pati laikmena ar nurašoma įranga, laikmenos turi būti neatkuriamai sunaikinamos.

48. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

48.1. elektroninė informacija teikiama (daugkartinio ir vienkartinio teikimo atvejais) IS nuostatuose nustatyta tvarka;

48.2. reikalavimai elektroninės informacijos kopijų skaičiui nustatomi duomenų teikimo sutartyse;

48.3. siekiant užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą naudojamas šifravimas, virtualus privatus tinklas, skirtinės linijos, saugus elektroninių ryšių tinklas ar kitos priemonės, skirtos elektroninei informacijai saugiai perduoti;

48.4. elektroninė informacija automatiniu būdu turi būti teikiama ir (ar) gaunama tik atsižvelgiant į duomenų teikimo sutartyse nustatytas specifikacijas ir laikantis nustatytų sąlygų;

48.5. tiesioginė prieiga prie IS elektroninės informacijos suteikiama įgyvendinus IS naudotojų autentifikavimo priemones (šie naudotojai savo tapatybę patvirtina įvesdami slaptažodį ar naudodami kitą autentifikavimo priemonę);

48.6. prieiga prie IS suteikiama tik registruotiems IS naudotojams.

49. Pagrindiniai atsarginių elektroninės informacijos kopijų darymui ir atkūrimui keliami reikalavimai:

49.1. atsarginės elektroninės informacijos kopijos turi būti automatiškai daromos kiekvieną parą;

49.2. periodiškai, bet ne rečiau kaip kartą per metus turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

49.3. patekimas į IS tarnybinių stočių patalpas turi būti ribojamas, įrengiant įėjimo kontrolės sistemą;

49.4. IS elektroninės informacijos kopijos saugomos kitoje patalpoje, nei yra IS tarnybinės stotys.

50. Saugos incidentų, įvykusių IS, registravimas, valdymas ir tyrimas turi būti užtikrinami vadovaujantis IS valdytojo patvirtinto Lietuvos kalėjimų tarnybos tvarkomų informacinių sistemų veiklos tęstinumo valdymo plano nustatyta tvarka:

50.1. IS įvykę saugos incidentai registruojami ir nedelsiant į juos reaguojama, saugos incidentai valdomi, tiriami ir šalinami bei IS veikla atkuriama techninėmis ir programinėmis priemonėmis;

50.2. Nacionaliniam kibernetinio saugumo centrui ir kitoms atsakingoms institucijoms pagal kompetenciją pranešama apie įvykusius saugos incidentus, jų vertinimą ir suvaldymą.

51. Ne rečiau kaip kartą per mėnesį turi būti atliekama IS naudotojų veiksmų audito įrašų analizė (esant poreikiui Lietuvos kalėjimų tarnyba apie IS naudotojų atliktus veiksmus informaciją teikia atitinkamiems IS tvarkytojams).

52. Perkant paslaugas, darbus ar įrangą, susijusius su IS projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, elektroninės informacijos perdavimo tinklais, taip pat kitus IS informacinių technologijų infrastruktūros komponentus, suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, ją apdoroti, saugoti, ja keistis ar ją tiekti, pirkimo dokumentuose iš anksto turi būti nurodyta, kad paslaugų teikėjas, darbų vykdytojas ar techninės ir programinės įrangos tiekėjas (toliau – paslaugų teikėjas) privalo laikytis IS saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį elektroninės informacijos saugai nustatytiems reikalavimams, taip pat atitiktį organizaciniams ir techniniams kibernetinio saugumo reikalavimams.

53. Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti pasižadėjimą neatskleisti jokios informacijos, gautos vykdant šią sutartį, tretiesiems asmenims, išskyrus tiek, kiek tai yra būtina sutarčiai vykdyti, taip pat – nenaudoti konfidencialios informacijos asmeniniams ar trečiųjų asmenų poreikiams vadovaujantis principu, kad visa paslaugų teikėjui suteikta informacija (įskaitant IS tvarkomą elektroninę informaciją) yra konfidenciali, nebent raštu patvirtinama, kad tam tikra pateikta informacija nėra konfidenciali.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

54. Reikalavimai IS naudotojams, administratoriams ir saugos įgaliotiniui:

54.1. IS naudotojų, administratorių, saugos įgaliotinio kvalifikacija turi atitikti bendruosius ir specialiuosius reikalavimus, nustatytus jų pareigybių aprašymuose;

54.2. visi IS naudotojai privalo turėti darbo kompiuteriu, taikomosiomis programomis įgūdžių;

54.3. IS naudotojai privalo rūpintis IS ir joje tvarkomos elektroninės informacijos saugumu;

54.4. IS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų saugos reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, taip pat privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje;

54.5. IS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą, susijusį su elektroninių duomenų ir informacinių sistemų saugumo pažeidimais, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo, elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėjo mažiau kaip vieni metai;

54.6. administratorių kompetencija turi būti atitinkama: jie privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, darbo su elektroninių ryšių tinklais taisykles, gebėti užtikrinti techninės ir programinės įrangos, elektroninių ryšių tinklų nepertraukiamą veikimą, žinoti informacinių sistemų komponentų administravimo priežiūros pagrindus;

54.7. visi administratoriai ir naudotojai turi būti susipažinę su saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais bei standartais, reglamentuojančiais elektroninės informacijos saugą, ir laikytis jų reikalavimų;

54.8. naudotojai, tvarkantys elektroninę informaciją, privalo įsipareigoti saugoti informacijos paslaptį (įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą bei valstybės tarnybos ar darbo santykius);

54.9. naudotojai, pastebėję nustatytų saugos reikalavimų dokumentuose pažeidimų, nusikalstamos veikos požymių, taip pat saugos užtikrinimo priemonių neveikimo arba netinkamo veikimo atvejus, privalo nedelsdami pranešti apie tai IS administratoriui ar saugos įgaliotiniui.

55. IS naudotojai privalo:

55.1. laikytis informacijos saugos reikalavimų, nustatytų saugos nuostatuose, saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose informacijos saugą, kibernetinį saugumą ir asmens duomenų apsaugą;

55.2. saugoti duomenų ir informacijos paslaptį, kaip tai reglamentuota Valstybės informacinių išteklių valdymo įstatyme, Asmens duomenų teisinės apsaugos įstatyme, Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatyme ir Bendrajame duomenų apsaugos reglamente;

55.3. turėti pagrindinių saugaus darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti saugiai tvarkyti elektroninę informaciją, saugiai naudotis kompiuterine įranga, mobiliaisiais įrenginiais, tarnybiniu elektroniniu paštu, internetu, kitais tarnybiniais ištekliais;

55.4. nuolat kelti kvalifikaciją su saugiu elektroninės informacijos tvarkymu, kibernetinio saugumo užtikrinimu, asmens duomenų apsauga susijusiuose kursuose, mokymuose, seminaruose;

55.5. nedelsdami pranešti apie pastebėtus galimus ar realius informacijos saugos incidentus, taip pat apie įtartiną veiklą IS administratoriui arba saugos įgaliotiniui;

55.6. naudoti informacinius išteklius tik darbo ir tarnybinėms funkcijoms vykdyti;

55.7. naudoti tarnybinį elektroninį paštą tik tarnybiniam susirašinėjimui, susijusiam su darbu, tarnybinių pareigų ir funkcijų vykdymu;

55.8. saugoti savo slaptažodį, kitus prisijungimo prie IS duomenis ir priemones, neatskleisti slaptažodžio kitiems asmenims;

55.9. įtarę, kad prisijungimo prie informacinės sistemos slaptažodis galėjo būti atskleistas kitiems asmenims, praradę slaptažodį, nedelsdami informuoti IS administratorių (nurodytais atvejais slaptažodis turi būti pakeistas Naudotojų administravimo taisyklių, patvirtintų LKT direktoriaus, nustatyta tvarka).

56. IS naudotojams draudžiama:

56.1. atskleisti IS duomenis ar suteikti kitokią galimybę bet kokia forma su jais susipažinti tokios teisės neturintiems asmenims;

56.2. savavališkai diegti IS taikomosios programinės įrangos pakeitimus ir naujas versijas neturint tam suteiktos teisės;

56.3. atskleisti kitiems asmenims prisijungimo prie IS vardą, slaptažodį ar kitaip sudaryti sąlygas jais pasinaudoti;

56.4. naudoti IS duomenis kitais, nei nurodyti šių duomenų naudojimo nuostatuose bei nustatyti jų pareigybių aprašymuose, funkcijų vykdymo tikslais;

56.5. sudaryti sąlygas pasinaudoti informacinei sistemai tvarkyti naudojama technine ir programine įranga tokios teisės neturintiems asmenims (paliekant darbo vietą būtina užrakinti darbalaukį ar išjungti kompiuterį);

56.6. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti, sunaikinti ar atskleisti IS duomenys, taip pat neatlikti būtinų veiksmų, kurie apsaugo informacinės sistemos duomenis;

56.7. atlikti bet kokius kitus neteisėtus IS tvarkymo veiksmus.

57. IS naudotojų ir administratorių mokymų planavimo, organizavimo ir vykdymo tvarka, reikalavimai jų rengimo dažnumui:

57.1. IS naudotojams ir administratoriams turi būti periodiškai, bet ne rečiau kaip kartą per metus organizuojami mokymai elektroninės informacijos saugos klausimais, įvairiais būdais primenama apie aktualias elektroninės informacijos saugos problemas (pvz., priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinių naujiems IS naudotojams, administratoriams rengimas ir pan.);

57.2. mokymai elektroninės informacijos saugos klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į elektroninės informacijos saugumo užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas diegti technologijas (techninę ar programinę įrangą), IS naudotojų poreikius;

57.3. mokymai turi vykti pagal IS tvarkytojų patvirtintus mokymų planus ir būti vykdomi tiesioginiu (pvz., paskaitos, seminarai, konferencijos ir kt. teminiai renginiai) ar nuotoliniu (pvz., vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.) būdais. Mokymus gali rengti saugos įgaliotinis ar kitas IS valdytojo ar tvarkytojų valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis elektroninės informacijos saugos užtikrinimo principus, arba su elektroninės informacijos sauga susijusių mokymo paslaugų teikėjas;

57.4. už mokymų organizavimą atsakingas yra saugos įgaliotinis.

V SKYRIUS

IS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

58. Visi IS naudotojai privalo būti pasirašytinai supažindinti su IS saugos dokumentais, savo pareigomis ir atsakomybe, susijusiais su IS informacijos sauga.

59. Už IS naudotojų supažindinimą pasirašytinai su šiais saugos nuostatais, savo pareigomis ir atsakomybe, susijusia su IS informacijos sauga, ir kitais saugos politiką įgyvendinančiais teisės aktais, bei atsakomybe už saugos dokumentų pažeidimus yra atsakingas IS saugos įgaliotinis.

60. IS naudotojus su saugos dokumentais pasirašytinai supažindina saugos įgaliotinis.

61. Pakartotinai su saugos dokumentais IS naudotojai supažindinami tik iš esmės pasikeitus IS arba elektroninės informacijos saugą reglamentuojantiems teisės aktams. Informacija apie saugos politiką įgyvendinančių teisės aktų pakeitimus siunčiama elektroniniu būdu.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

62. IS valdytojas saugos dokumentus gali keisti savo arba saugos įgaliotinio iniciatyva. Keičiami saugos dokumentai turi būti derinami su Nacionaliniu kibernetinio saugumo centru prie Krašto apsaugos ministerijos – to nebūtina daryti tik tada, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar saugos politikos nekeičiantys pakeitimai arba taisoma teisės technika.

63. Saugos nuostatai ir IS saugos politiką įgyvendinantys dokumentai turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per metus, atlikus rizikos vertinimą ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminių organizacinių, sisteminių ar kitų pokyčių.

64. Patvirtintų saugos nuostatų, saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas IS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo dienos Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka pateikia ARSIS.

65. Saugos nuostatai privalomi IS valdytojo ir tvarkytojų darbuotojams, IS naudotojams, IS koordinuojančiam administratoriui ir administratoriams bei IS saugos įgaliotiniui.

______________