3.4.1. iki 2020 m. spalio 9 d. sudaryti informacinių technologijų išteklių registrą, kuriame būtų pateikta informacija apie informacinių technologijų išteklių tipą (techninė, programinė, kompiuterinio tinklo įranga ar kt.), nurodyti informacinių technologijų išteklių pavadinimai ir buvimo vieta (fizinė ar elektroninė) bei informacija, kurie informacinių technologijų  ištekliai yra naudojami tvarkant asmens duomenis;

3.4.2. sudarius informacinių technologijų išteklių registrą, ne rečiau kaip kartą per 3 mėnesius jį peržiūrėti ir atnaujinti;

3.4.3. iki 2020 m. spalio 9 d. parengti pareigybių, turinčių prieigą prie informacinių technologijų  išteklių, sąrašą ir užtikrinti, kad jis būtų patvirtintas NBFC direktoriaus įsakymu.

3.1. Dokumentų valdymo sistema Avilys (toliau – DVS); DVS valdytojas ir tvarkytojas – UAB „Asseco Lietuva“, j. a. kodas 302631095, buveinės adresas: Kalvarijų g. 125B, Vilnius;

3.2. Elektroninio pašto sistema @nbfcentras.lt; valdytojas ir tvarkytojas – BĮ Kertinis valstybės telekomunikacijų centras, j. a. kodas 121738687, buveinės adresas: Pilies g. 23, Vilnius;

3.3. Buhalterinės apskaitos sistema Steko alga. Valdytojas ir tvarkytojas – UAB „STEKAS“, j. a. kodas 120625932, buveinės adresas: J. Kubiliaus g. 6, Vilnius.

8.1. elektroninės informacijos konfidencialumo užtikrinimas;

8.2. elektroninės informacijos vientisumo užtikrinimas;

8.3. elektroninės informacijos prieinamumo užtikrinimas;

8.4. asmens duomenų apsauga;

8.5. Informacinių sistemų veiklos tęstinumo užtikrinimas;

8.6. prieigos prie Informacinių sistemų kontrolė;

8.7. rizikos valdymas;

8.8. Informacinių sistemų naudotojų mokymas elektroninės informacijos saugos ir kibernetinio saugumo klausimais;

8.9. organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti, įgyvendinimas ir kontrolė.

10.1. plėtoja Informacinių sistemų duomenų apsaugos teisinę bazę ir organizuoja jos įgyvendinimą;

10.2. užtikrina veiksmingą ir spartų Informacinių sistemų funkcijų pokyčių (toliau – pokyčiai) valdymo planavimą;

10.3. kontroliuoja, kad racionaliai ir taupiai būtų naudojami darbo, materialiniai ir finansiniai ištekliai, susiję su Informacinėmis sistemomis;

10.4. skiria saugos įgaliotinį ir kibernetinio saugumo vadovą;

10.5. atlikus rizikos analizės ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams, ne rečiau kaip kartą per metus organizuoja saugos politikos įgyvendinamųjų dokumentų peržiūrą;

10.6. užtikrina, kad perkant prekes, paslaugas ar darbus, susijusius su Informacinių sistemų projektavimu, kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, iš anksto pirkimo dokumentuose bus nustatyta, kad paslaugų teikėjas, darbų vykdytojas ar prekių tiekėjas užtikrins atitiktį Aprašo reikalavimams;

10.7. atsako už elektroninės informacijos saugos ir kibernetinio saugumo politikos formavimą.

11.1. užtikrina informacinių sistemų duomenų apsaugą, elektroninės informacijos saugą ir kibernetinį saugumą saugos politikos įgyvendinamųjų dokumentų nustatyta tvarka ir atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą;

11.2. teikia pasiūlymus Informacinių sistemų valdytojui, kaip tobulinti informacinių sistemų apsaugą;

11.3. teikia metodinę ir informacinę pagalbą naudotojams informacinių sistemų saugos klausimais, organizuoja naudotojų mokymus ir teikia bendrą praktiką formuojančias rekomendacijas informacinių sistemų administratoriui ir naudotojams informacinių sistemų saugos klausimais.

13.1. koordinuoja Informacinių sistemų elektroninės informacijos saugos incidentų tyrimą, bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;

13.2. kiekvienais metais ne vėliau kaip iki sausio 30 d. Informacinių sistemų tvarkytojo vadovui pateikia per praėjusius kalendorinius metus įvykusių kibernetinių incidentų (jeigu tokių buvo) valdymo patirties vertinimą;

13.3. atlieka kitas saugos politikos įgyvendinamuosiuose dokumentuose priskirtas funkcijas.

15.1. įvertina naudotojų pasirengimą dirbti su Informacinėmis sistemomis;

15.2. atlieka naudotojams suteiktų teisių ir priskirtų funkcijų atitikties vertinimą;

15.3. nustato pažeidžiamas informacinių sistemų techninės ir programinės įrangos vietas;

15.4. reguliariai, tačiau ne rečiau kaip kartą per metus ir (arba) įvykus pokyčiams peržiūri Informacinės sistemos sąranką ir būsenos rodiklius;

15.5. tvarko Informacinių sistemų sudedamųjų dalių (virtualių mašinų, saugasienių, kitos kompiuterių tinklo įrangos, duomenų bazių valdymo sistemų, taikomųjų programų sistemų) sąranką;

15.6. atlieka Informacinėms sistemoms taikomų saugos reikalavimų atitikties vertinimą ir stebėseną;

15.7. konsultuoja naudotojus darbo su Informacinėmis sistemomis klausimais;

15.8. įvertina Informacinių sistemų kompiuterizuotų darbo vietų būklę, nustato pažeidžiamas vietas;

15.9. sprendžia kompiuterizuotose darbo vietose iškilusias problemas ir apie jas informuoja, saugos įgaliotinį ir kibernetinio saugumo vadovą;

15.10. konsultuoja naudotojus klausimais, susijusiais su mobiliųjų įrenginių naudojimu;

15.11. įvertina mobiliųjų įrenginių būklę, nustato pažeidžiamas vietas;

15.12. informuoja saugos įgaliotinį apie saugos politikos įgyvendinamųjų dokumentų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;

15.13. atlieka kitas saugos politikos įgyvendinamuosiuose dokumentuose priskirtas funkcijas.

18.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendruoju duomenų apsaugos reglamentu);

18.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

18.3. Lietuvos Respublikos kibernetinio saugumo įstatymu;

18.4. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

18.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

18.6. Saugos dokumentų turinio gairių aprašu;

18.7. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

18.8. Lietuvos standartais LST ISO/IEC 27001 ir LST ISO/IEC 27002;

18.9. Aprašu;

18.10. ir kitais teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą ir kibernetinį saugumą.

22.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

22.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis Informacinėmis sistemomis elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, vagystės ir kita);

22.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

24.1. Liekamoji rizika turi būti sumažinta iki priimtino lygio.

24.2. Priemonės diegimo kaina turi būti adekvati tvarkomos elektroninės informacijos vertei;

24.3. Atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos ir kibernetinio saugumo priemonės.

26.1. vertinama saugos politikos įgyvendinamųjų dokumentų atitiktis realiai informacijos saugos situacijai;

26.2. tikrinamas įdiegtos antivirusinės ir apsaugos nuo nepageidaujamos programinės įrangos filtravimo sistemų naudojimas, centralizuotas jų valdymas ir atnaujinimas;

26.3. tikrinamas virtualių mašinų ir duomenų perdavimo įrangos programinės įrangos naudojimas ir atnaujinimas;

26.4. tikrinama, kaip daromos atsarginės kopijos;

26.5. tikrinama naudotojų kompiuterizuotose darbo vietose įdiegta programinė įranga ir jos sąranka;

26.6. tikrinama (vertinama) naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

26.7. vertinamas pasirengimas užtikrinti Informacinių sistemų veiklos tęstinumą įvykus saugos incidentui;

26.8. rengiama informacinių technologijų saugos atitikties vertinimo ataskaita.

27.1. Planavimo etapas. Parengiamas pažeidžiamumų nustatymo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtis, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (ar) pilkosios dėžės (angl. Grey Box), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (ar) techniniai įrankiai ir priemonės, naudojamos pažeidžiamumams nustatyti, nurodomos už pažeidžiamumų nustatymo plano vykdymą atsakingų asmenų teisės ir pareigos. Pažeidžiamumų nustatymo planas turi būti suderintas su Veiklos skaitmeninimo grupės vadovu.

27.2. Žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių virtualių mašinų ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą, konfigūracijas ir kitą sėkmingai kibernetinei atakai įvykdyti reikalingą informaciją.

27.3. Kibernetinių atakų imitavimo etapas. Atliekami pažeidžiamumų nustatymo plane numatyti testai.

27.4. Ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti pateikti kibernetinio saugumo atitikties reikalavimams vertinimo ataskaitoje. Pažeidžiamumų nustatymo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir turi būti pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.

34.1. naudoti programinę įrangą, nesusijusią su NBFC veikla ar naudotojo funkcijomis; virtualiose mašinose ir kompiuterizuotose darbo vietose turi būti naudojama tik legali programinė įranga;

34.2. saugoti su NBFC veikla nesusijusią informaciją.

37.1. turi būti įdiegtos ir veikti automatizuotos įsibrovimo aptikimo sistemos, kurios stebėtų įeinantį ir išeinantį Informacinių sistemų duomenų srautą ir vidinį srautą tarp svarbiausių tinklo paslaugų;

37.2. įsilaužimo atakų pėdsakai (angl. attack signature) turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos, jeigu informacinių sistemų valdytojo sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio Informacinių sistemų veiklai vertinimas;

37.3. Informacinių sistemų virtualiose mašinose turi būti įjungtos saugasienės, sukonfigūruotos blokuoti visą įeinantį ir išeinantį duomenų, išskyrus su Informacinių sistemų funkcionalumu ir administravimu susijusį duomenų srautą;

37.4. į viešuosius elektroninių ryšių tinklus įeinantis ir iš jų išeinantis duomenų srautas turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenkėjiškos programinės įrangos;

37.5. turi būti naudojama turinio filtravimo sistema, leidžianti tik būtiną NBFC veiklai duomenų srautą;

37.6. turi būti naudojamos taikomųjų programų kontrolės sistemos.

39.1. Atsarginės elektroninės informacijos kopijos (toliau – kopijos) daromos automatiniu būdu periodiškai. Visų duomenų kopija daroma kartą per 24 valandas.

39.2. Prarasta, iškraipyta ar sunaikinta Informacinių sistemų elektroninė informacija atkuriama iš kopijų.

39.3. Informacinių sistemų (dokumentų valdymo sistemos Avilys, elektroninio pašto sistemos @nbfcentras.lt, buhalterinės apskaitos sistemos Steko alga,) elektroninė informacija turi būti kopijuojama ir saugoma taip, kad elektroninės informacijos praradimo atveju visišką Informacinių sistemų funkcionalumą ir veiklą būtų galima atnaujinti per 24 valandas.

39.4. Kopijos turi būti pažymėtos taip, kad jas būtų galima atpažinti.

39.5. Padarius kopijas, informacinių sistemų administratorius turi patikrinti sistemos sukurtus duomenų kopijavimo protokolus ir padaryti įrašą elektroninės informacijos atsarginio kopijavimo ir atkūrimo apskaitos žurnale.

39.6. Elektroninės informacijos visiško atkūrimo iš atsarginių kopijų bandymai privalo būti vykdomi ne rečiau kaip 1 kartą per metus.

39.7. Elektroninės informacijos visiško atkūrimo iš atsarginių kopijų bandymai vykdomi ne darbo valandomis. Apie planuojamus Informacinių sistemų ar jų dalių veikimo sustabdymą atkūrimo bandymams vykdyti informuojami visi Informacinių sistemų naudotojai.

39.8. Už kopijų darymą, saugojimą ir elektroninės informacijos iš kopijų atkūrimą atsakingas informacinių sistemų administratorius. Už atsarginių kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų kontrolę atsakingas saugos įgaliotinis.

39.9. Kopijos turi būti saugomos užrakintoje nedegioje spintoje, kitoje patalpoje ar kitame pastate, nei yra Informacinės sistemos.

5.1. I kategorija ‒ vieši informacinių sistemų duomenys, pasiekiami visoms naudotojų grupėms;

5.2. II kategorija ‒ atskiroms naudotojų grupėms pasiekiami informacinių sistemų duomenys;

5.3. III kategorija ‒ informacinių sistemų priežiūros duomenys, pasiekiami tik informacinių sistemų administratoriui.

9.1. Tarnybinės stotys ir svarbiausi elektroninės informacijos perdavimo tinklo mazgai turi įtampos filtrą ir nenutrūkstamo maitinimo šaltinį. Nenutrūkstamo maitinimo šaltinis užtikrina tarnybinių stočių veikimą ne trumpiau kaip 30 min.

9.2. Prieigos teisę prie informacinių sistemų virtualių mašinų gali turėti tik informacinių sistemų administratorius.

9.3. Tarnybinės stotys, svarbiausi elektroninės informacijos perdavimo tinklo mazgai ir ryšio linijos yra dubliuojami, o jų techninė būklė nuolat stebima.         

9.4. Baigęs darbą, informacinių sistemų naudotojas privalo išjungti kompiuterį arba užrakinti terminalą (įjungti užsklandą) ir palikti darbo vietą tvarkingą, t. y. dokumentus ar jų kopijas padėti į pašaliniams asmenims neprieinamą vietą.

9.5. Informacinių sistemų naudotojams draudžiama ardyti jų darbo vietų kompiuterius ir keisti jų aparatinę konfigūraciją.

9.6. Taisant kompiuterius ne NBFC patalpose arba perduodant juos tretiesiems asmenims, informacijos kaupikliai išimami arba juose esanti informacija sunaikinama.

9.7. Informacinių sistemų techninė įranga turi būti prižiūrima laikantis įrangos gamintojo reikalavimų.

9.8. Visose tarnybinėse stotyse ir kompiuterizuotose darbo vietose yra įdiegta ir reguliariai atnaujinama virusų ir kenkimo kodo aptikimo ir šalinimo programinė įranga, skirta kompiuteriams ir laikmenoms tikrinti. Kompiuterizuotose darbo vietose naudojamos centralizuotai valdomos kenkimo programinės įrangos aptikimo priemonės, kurios reguliariai atnaujinamos.

10.1. Informacinių sistemų naudotojams suteikiamos minimalios teisės, būtinos nustatytoms funkcijoms vykdyti.

10.2. Informacinių sistemų naudotojui teisė naudotis informacinėmis sistemomis turi būti panaikinta nutrūkus darbo ar kitiems sutartiniams teisiniams santykiams, kurių pagrindu informacinių sistemų naudotojui buvo suteikta teisė naudotis šiomis sistemomis.

10.3. Informacinių sistemų virtualios mašinos ir naudotojų darbo vietos turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, nepageidaujamų elektroninių laiškų ir pan.). Apsaugai naudojama programinė įranga turi atsinaujinti automatiškai ne rečiau kaip kartą per parą. Turi būti operatyviai įdiegiami operacinės sistemos ir naudojamos programinės įrangos gamintojų rekomenduojami naujiniai.

10.4. Informacinių sistemų programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų.

10.5. Draudžiama informacinių sistemų virtualiose mašinose, naudotojų darbo vietose ir mobiliuosiuose įrenginiuose naudoti programinę įrangą, nesusijusią su NBFC veikla ar informacinių sistemų naudotojo funkcijomis. Informacinių sistemų virtualiose mašinose, naudotojų darbo vietose ir mobiliuosiuose įrenginiuose turi būti naudojama tik legali programinė įranga. Informacinių sistemų administratorius kartu su informacinių sistemų saugos įgaliotiniu (toliau – saugos įgaliotinis) parengia NBFC leistinos naudoti virtualiose mašinose, naudotojų darbo vietose ir mobiliuosiuose įrenginiuose programinės įrangos sąrašą (toliau – NBFC leistinos naudoti programinės įrangos sąrašas) (Taisyklių 2 priedas), kurį turi patvirtinti informacinių sistemų valdytojo vadovas. Vėliau, ne rečiau kaip kartą per metus informacinių sistemų administratorius turi teikti saugos įgaliotiniui pasiūlymus dėl naudojamos programinės įrangos sąrašo atnaujinimo. Saugos įgaliotinis, įvertinęs pasiūlymus, parengia atnaujintą leistinos naudoti virtualiose mašinose, naudotojų darbo vietose ir mobiliuosiuose įrenginiuose programinės įrangos sąrašą, kurį turi patvirtinti informacinių sistemų valdytojo vadovas.

10.6. Programinę įrangą informacinių sistemų virtualiose mašinose, informacinių sistemų naudotojų darbo vietose ir mobiliuosiuose įrenginiuose diegia, šalina ir prižiūri tik informacinių sistemų administratorius.

11.1. Turi būti suteikiama minimali būtina prieiga prie tinklo išteklių ir užtikrinamas minimalus būtinas tinklo funkcionalumas.

11.2. Prieiga prie informacinių sistemų iš kitų kompiuterių tinklų turi būti apsaugota saugasienėmis, sukonfigūruotomis visam įeinančiam ir išeinančiam duomenų srautui, išskyrus susijusį su informacinių sistemų funkcionalumu ir administravimu, blokuoti.

11.3. Informacinių sistemų administratorius ne rečiau kaip kartą per mėnesį atlieka saugasienių užfiksuotų įvykių analizę ir šalina pastebėtas neatitiktis saugumo reikalavimams.

11.4. Visas elektroninės informacijos srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenkimo programinės įrangos.

11.5. Turi būti naudojama turinio filtravimo sistema, leidžianti tik būtiną NBFC veiklai tinklo srautą.

11.6. Turi būti naudojamos taikomųjų programų kontrolės sistemos.

11.7. Elektroninei informacijai kitoms valstybės institucijoms teikti ir elektroninei informacijai iš jų gauti naudojamos VPN technologijos ir saugus HTTPS protokolas.

11.8. Visi informacinių sistemų naudotojų prisijungimo prie viešųjų tinklų atvejai turi būti fiksuojami ir ši informacija turi būti saugoma 6 (šešis) mėnesius.

11.9. Informacinių sistemų naudotojų prisijungimo sesija prie viešųjų tinklų be išankstinio perspėjimo gali būti nutraukta, jei tai trukdo informacinių sistemų veiklai.

11.10. Jungiantis prie informacinių sistemų nuotoliniu būdu turi būti naudojamas protokolas, skirtas duomenims šifruoti.

12.1. Patalpos turi atitikti gaisrinės saugos reikalavimus.

12.2. Turi būti įgyvendintos gamintojo nustatytos techninės įrangos darbo sąlygos.

12.3. Techninė įranga turi būti apsaugota nuo elektros srovės svyravimų naudojant įtampos filtrus ir (arba) nepertraukiamo maitinimo šaltinius.

13.1. Turi būti įrašomi ir 6 (šešis) mėnesius saugomi duomenys apie informacinių sistemų virtualių mašinų, informacinių sistemų taikomosios programinės įrangos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis informacinės sistemos virtualiose mašinose, informacinės sistemos taikomojoje programinėje įrangoje, visus informacinių sistemų naudotojų ir informacinių sistemų administratoriaus atliekamus veiksmus, kitus elektroninės informacijos saugai svarbius įvykius ir nurodomas informacinės sistemos naudotojo identifikatorius, elektroninės informacijos saugai svarbus įvykis ar atliktas veiksmas bei įvykio ar veiksmo atlikimo laikas. Šie duomenys turi būti saugomi ne toje pačioje informacinėje sistemoje, kurioje jie įrašomi, be to, įvykus elektroninės informacijos saugos incidentui arba ne rečiau kaip kartą per pusę metų jie turi būti analizuojami informacinių sistemų administratoriaus .

13.2. Turi būti užtikrintas informacinių sistemų prieinamumas ne mažiau kaip 95 proc. darbo laiko per metus.

14.1. Keisti, atnaujinti, įvesti ir naikinti informacinių sistemų duomenis gali tik informacinių sistemų naudotojai. Jeigu daugiau kaip vienas naudotojas pagal rašymo ir redagavimo teises turi prieigą prie tų pačių duomenų, už elektroninės informacijos autentiškumą atsako naudotojas, redagavęs elektroninę informaciją.

14.2. Tvarkydami informacinių sistemų duomenis naudotojai privalo vadovautis informacinių sistemų naudotojo vadovais, o informacinių sistemų administratorius ‒ informacinių sistemų administratoriaus vadovais. Naudotojai su informacinių sistemų naudotojo ir administratoriaus vadovais gali susipažinti dokumentų valdymo sistemoje.

14.3. Prieš pašalinant bet kokią duomenų laikmeną, sunaikinami visi joje esantys duomenys, naudojant tam skirtą programinę įrangą, kuri palaiko patikimus duomenų naikinimo algoritmus. Jei to padaryti neįmanoma, duomenų laikmenos sunaikinamos fiziškai, be galimybės jas atkurti. Duomenų laikmenos, kuriose buvo saugomi, kaupiami asmens duomenys, naikinamos tam skirtais smulkintuvais.

14.4. Darbuotojai privalo ištrinti nebeaktualią ir nebereikalingą darbo funkcijoms atlikti informaciją.

15.1. Informacinių sistemų duomenų tvarkytojų tapatybė ir jų veiksmai su informacinių sistemų duomenimis atpažįstami programinėmis priemonėmis ir įrašomi elektroniniuose žurnaluose.

15.2. Turi būti įrašomi ir 6 (šešis) mėnesius saugomi duomenys apie visus informacinių sistemų naudotojų ir informacinių sistemų administratoriaus atliktus veiksmus.

15.3. Informacinių sistemų naudotojų, informacinių sistemų administratoriaus atliekamų veiksmų auditui ir kontrolei turi būti taikomi Aprašo priede nurodyti ketvirtos kategorijos informacinėms sistemoms numatyti reikalavimai.

16.1. Už informacinių sistemų naudotojų administravimą ir iš kitų informacinių sistemų gaunamos elektroninės informacijos atnaujinimą informacinėse sistemose yra atsakingas informacinių sistemų administratorius;

16.2. Duomenų mainai tarp NBFC eksploatuojamų informacinių sistemų ir kitų informacinių sistemų vykdomi su šių informacinių sistemų valdytojais sudarytose duomenų teikimo sutartyse numatytais būdais, terminais ir numatytos apimties;

16.3. Reorganizuojant arba likviduojant informacines sistemas, elektroninė informacija turi būti saugiai perduota kitam informacinių sistemų valdytojui, valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka arba sunaikinama.

17.1. Informacinių sistemų naudotojas, įtaręs, kad su informacinių sistemų duomenimis buvo atlikti neteisėti veiksmai, apie tai turi pranešti saugos įgaliotiniui arba informacinių sistemų administratoriui;

17.2. Informacinių sistemų administratorius, atsiradus įtarimų dėl neteisėtų veiksmų su informacinių sistemų duomenimis, nustato neteisėto poveikio šaltinį, laiką, veiksmus ir informuoja saugos įgaliotinį;

17.3. Saugos įgaliotinis, gavęs pranešimą apie neteisėtus veiksmus su informacinės sistemos duomenimis, inicijuoja elektroninės informacijos saugos incidento valdymo procedūras.

18.1. Kiekvienų metų ketvirtąjį ketvirtį rengiamas ateinančių metų programinės ir techninės įrangos keitimo ir atnaujinimo darbų planas.

18.2. Atnaujinama ar keičiama programinė ir techninė įranga turi būti testuojama.

18.3. Turi būti įvertinamas informacinių sistemų programinės ir techninės įrangos keitimo ir atnaujinimo poveikis informacinių sistemų saugai.

18.4. Su informacija apie planuojamus atlikti programinės ir techninės įrangos atnaujinimus ar keitimus informacinių sistemų administratorius turi supažindinti saugos įgaliotinį, visus naudotojus, paslaugų teikėjus.

19.1. Visi pokyčiai atliekami tik informacinių sistemų valdytojo iniciatyva.

19.2. Informacinių sistemų administratorius užtikrina, kad pokyčiai būtų sparčiai identifikuojami ir suskirstomi į kategorijas, įvertina įtaką Informacinėms sistemoms ir nustato prioritetus.

19.3. Pokyčiai, galintys turėti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti testavimo aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri yra atskirta nuo eksploatuojamų informacinių sistemų;

19.4. Prieš atlikdamas pokyčius, kurių metu galimi informacinių sistemų veikimo sutrikimai, informacinių sistemų administratorius privalo ne vėliau kaip prieš vieną darbo dieną iki planuojamų pokyčių vykdymo pradžios informuoti (elektroniniu paštu ar kitomis priemonėmis) informacinių sistemų naudotojus apie tokių darbų pradžią ir galimus sutrikimus;

19.5. Atlikęs informacinių sistemų pokyčių testavimą arba jeigu dėl programinių ir (ar) techninių priežasčių nebuvo galima jo atlikti, informacinių sistemų administratorius gali pradėti inicijuoti ir įgyvendinti pokyčius;

19.6. Visi pokyčiai turi būti registruojami informacinių sistemų pokyčių žurnale (1 priedas).

20.1. Leidžiama naudoti tik su asmeniu, atsakingu už kibernetinio saugumo organizavimą ir užtikrinimą NBFC (toliau – kibernetinio saugumo vadovas) suderintus belaidės prieigos taškus ir belaidžio tinklo įrenginius, atitinkančius Aprašo priede nurodytus reikalavimus.

20.2. Informacinių sistemų administratorius, vykdydamas belaidžių įrenginių kontrolę, turi nedelsdamas informuoti kibernetinio saugumo vadovą apie eksploatuojamus belaidžius įrenginius, kurie yra neleistini arba neatitinka Aprašo priede nurodytų reikalavimų.

20.3. Informacinių sistemų administratorius belaidės prieigos taškus gali diegti tik atskirame potinklyje, kontroliuojamoje zonoje.

20.4. Informacinių sistemų naudotojams jungiantis prie belaidžio tinklo turi būti taikomas EAP (angl. Extensible Authentication Protocol) / TLS (angl. Transport Layer Security) patvirtinimo protokolas.

20.5. Siekiant apsaugoti sukauptus duomenis, nešiojamojo kompiuterio diskas turi būti šifruojamas aparatinio arba programinio šifravimo mechanizmais.

20.6. Belaidžio tinklo saugumas ir kontrolė turi būti užtikrinami ir pagal kitus belaidžiui tinklui Aprašo priede nurodytus reikalavimus, kai naudojamos ketvirtos kategorijos informacinės sistemos.

21.1. Leidžiama naudoti tik su kibernetinio saugumo vadovu suderintus mobiliuosius įrenginius, atitinkančius Aprašo priede nurodytus reikalavimus.

21.2. Tik informacinių sistemų administratorius turi teisę valdyti mobiliuosius įrenginius ir juose įdiegtą programinę įrangą.

21.3. Informacinių sistemų administratorius, vykdydamas mobiliųjų įrenginių kontrolę, turi informuoti kibernetinio saugumo vadovą apie eksploatuojamus mobiliuosius įrenginius, kurie yra neleistini arba neatitinka Aprašo priede nurodytų reikalavimų.

21.4. Informacinių sistemų administratorius operatyviai turi įdiegti operacinių sistemų ir kitos naudojamos programinės įrangos gamintojų rekomenduojamus naujinius.

21.5. Mobiliųjų įrenginių saugumas ir kontrolė turi būti užtikrinami ir pagal kitus mobiliesiems įrenginiams Aprašo priede nurodytus reikalavimus, kai naudojamos ketvirtos kategorijos informacinės sistemos.

24.1. Svetainės turi atitikti Aprašo priede nurodytus reikalavimus interneto svetainėms, naudojamoms ketvirtos kategorijos informacinėse sistemose, ir Techninius valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus, patvirtintus Lietuvos Respublikos vidaus reikalų ministro 2013 m spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“.

24.2. Turi būti užtikrinama, kad prie svetainių turinio valdymo sistemų ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu.

24.3. Informacinėse sistemose naudojamų svetainių sauga turi būti vertinama informacinių sistemų rizikos įvertinimo metu ir informacinių technologijų saugos atitikties vertinimo metu.

26.1. Turi būti įdiegta ir veikti įsibrovimo aptikimo sistema, kuri stebėtų į informacines sistemas įeinantį ir iš jų išeinantį duomenų srautą bei vidinį srautą tarp svarbiausių tinklo paslaugų.

26.2. Įsilaužimo aptikimo konfigūracijos ir kibernetinių incidentų aptikimo taisyklės turi būti saugomos elektronine forma atskirai nuo informacinių sistemų infrastruktūros techninės įrangos (kartu nurodant atitinkamas datas (įgyvendinimo, atnaujinimo ir panašiai), atsakingus asmenis, taikymo periodus ir panašiai).

29.1. paslaugų teikėjų prieigos prie informacinių sistemų lygiai ir sąlygos;

29.2. reikalavimai, keliami paslaugų teikėjų patalpoms, įrangai, informacinių sistemų priežiūrai, duomenų perdavimui tinklais ir kitoms paslaugoms.

6.1. Prieigos prie informacinių sistemų teisė naudotojams suteikiama tik tuo atveju, jei jiems pavesta tvarkyti informacinių sistemų elektroninę informaciją arba jiems numatytoms funkcijoms vykdyti būtina naudotis informacinių sistemų elektronine informacija.

6.2. Naudotojams negali būti suteikiamos informacinių sistemų administratoriaus teisės.

6.3. Informacinių sistemų priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą informacinių sistemų administratoriaus paskyrą, kuria naudojantis negalima atlikti naudotojo funkcijų.

6.4. Prieiga prie informacinėse sistemose saugomos elektroninės informacijos ir teisė ją keisti suteikiama tik identifikavus naudotoją ir patvirtinus jo tapatybę slaptažodžiu.

6.5. Kiekvienas naudotojas turi būti unikaliai identifikuojamas (asmens kodas negali būti naudojamas naudotojui identifikuoti).

14.1. Dokumentų valdymo sistemos Avilys (toliau – DVS) naudotojų grupės:

14.2. Buhalterinės apskaitos sistema Steko alga (toliau – BAS):

14.3. Elektroninio pašto sistema @nbfcentras.lt (toliau − el. pašto sistema):

14.4. Informacinė sistema „E. sąskaita“ (toliau – „E. sąskaita“):

20.1. slaptažodis turi būti sudarytas iš ne mažiau kaip 8 simbolių;

20.2. slaptažodis turi būti sudaromas naudojant didžiųjų ir mažųjų raidžių, skaičių ir specialiųjų simbolių kombinacijas;

20.3. slaptažodis neturi būti lengvai nuspėjamas, neturi būti naudojama asmeninio pobūdžio informacija (šeimos narių vardai, gimimo datos, telefonų numeriai ir pan.);

20.4. sudarant slaptažodį reikėtų vengti prasminių žodžių ar jų junginių, esančių lietuvių kalbos ar kitų kalbų žodynuose;

20.5. sudarant slaptažodį nenaudoti iš eilės einančių tokių pat simbolių arba tik skaitmeninių ar tik abėcėlinių grupių;

20.6. slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius;

20.7. keičiant slaptažodį turi būti neleidžiama pasirinkti slaptažodžio iš buvusių 10 pastarųjų slaptažodžių;

20.8. naudotojas, pirmą kartą gavęs ar gavęs naują informacinių sistemų administratoriaus suteiktą vardą ir slaptažodį, turi prisijungti prie informacinių sistemų, nedelsdamas pakeisti slaptažodį ir jį įsiminti;

20.9. draudžiama slaptažodį, prieigos vardą ir kitus prieigos duomenis atskleisti tretiesiems asmenims;

20.10. naudotojas, įtardamas, kad tretieji asmenys sužinojo slaptažodį, privalo nedelsdamas jį pakeisti;

20.11. naudotojas neturi teisės užrašyto slaptažodžio palikti matomoje vietoje;

20.12. jungiantis prie informacinės sistemos, naudotojui turi būti leidžiama mėginti įvesti neteisingą slaptažodį ne daugiau kaip 3 kartus, vėliau prieiga prie informacinės sistemos turi būti blokuojama, o ją vėliau atkurti turi būti leidžiama tik informacinių sistemų administratoriui. Atkūrus prieigą prie informacinių sistemų, naudotojui yra suteikiamas laikinas slaptažodis, kurį pirmo prisijungimo prie informacinių sistemų metu naudotojas turi pakeisti į nuolatinį slaptažodį, vadovaudamasis Taisyklių 20 punkte nurodytais reikalavimais;

20.13. draudžiama slaptažodį siųsti elektroniniu paštu arba perduoti kitomis komunikacinėmis priemonėmis. Kibernetinio saugumo vadovo sprendimu tik laikinas slaptažodis gali būti perduodamas atviru tekstu, tačiau atskirai nuo prisijungimo vardo.

21.1. slaptažodis turi būti ne trumpesnis kaip 12 simbolių;

21.2. slaptažodis turi būti keičiamas ne rečiau kaip kas 2 mėnesius.

10.1. Informacinių sistemų veikla atkuriama pagal šios sistemos atliekamų funkcijų prioritetus, stabdant visą neesminę veiklą.

10.2. Naudotojai pagal galimybes privalo užtikrinti, kad būtų vykdomi informacinių sistemų saugos politikos įgyvendinamuosiuose dokumentuose nustatyti reikalavimai.

11.1. informacinių sistemų duomenys yra prieinami naudotojams;

11.2. tvarkant informacinių sistemų duomenis užtikrinamas jų konfidencialumas ir vientisumas;

11.3. užtikrint virtualių mašinų, tinklo įrangos ir darbo vietų kompiuterių techninės ir programinės įrangos veikla ir teikiamos kokybiškos paslaugos.

14.1. vadovas ‒ NBFC Veiklos skaitmeninimo grupės vadovas;

14.2. vadovo pavaduotojas ‒ NBFC direktorius;

14.3. kibernetinio saugumo vadovas;

14.4. darbuotojas, atsakingas už NBFC ūkinę veiklą;

14.5. duomenų apsaugos pareigūnas;

14.6. Buhalterinės apskaitos departamento direktorius;

14.7. Personalo apskaitos departamento direktorius;

14.8. patarėjas komunikacijai.

15.1.  analizuoja elektroninės informacijos saugos incidentų priežastis ir priima sprendimus informacinių sistemų veiklos tęstinumo valdymo klausimais;

15.2.  bendradarbiauja su teisėsaugos ir kitų institucijų darbuotojais, pagal kompetenciją teikia informaciją informacinių sistemų naudotojams;

15.3.  nustato finansinių ir kitų išteklių poreikį informacinių sistemų veiklai atkurti, įvykus elektroninės informacijos saugos incidentui, ir vykdo jų naudojimo kontrolę;

15.4. užtikrina informacinių sistemų duomenų fizinę saugą, įvykus elektroninės informacijos saugos incidentui;

15.5. organizuoja logistiką (žmonių, daiktų, įrangos pervežimą);

15.6. prižiūri ir koordinuoja informacinių sistemų veiklos atkūrimo procesus;

15.7. atlieka kitas Veiklos tęstinumo valdymo grupei pavestas funkcijas.

17.1. vadovas ‒ NBFC Veiklos skaitmeninimo grupės vadovas;

17.2. vadovo pavaduotojas ‒ informacinių sistemų administratorius;

17.3. darbuotojas, atsakingas už NBFC ūkinę veiklą.

18.1. organizuoja virtualių mašinų ir kompiuterių tinklo veiklos atkūrimo darbus (informacinių sistemų administratorius);

18.2. organizuoja informacinių sistemų elektroninės informacijos atkūrimo darbus (informacinių sistemų administratorius);

18.3. organizuoja taikomųjų programų veiklos atkūrimo darbus (informacinių sistemų administratorius);

18.4. organizuoja kompiuterizuotų darbo vietų veiklos atkūrimo ir prijungimo prie kompiuterių tinklo darbus (informacinių sistemų administratorius);

18.5. atlieka kitas Veiklos atkūrimo grupei pavestas funkcijas (informacinių sistemų administratorius ir darbuotojas, atsakingas už NBFC ūkinę veiklą).

20.1. Informacinių sistemų administratorius ar kitas saugos incidentą nustatęs asmuo nedelsdamas informuoja apie elektroninės informacijos saugos incidentą saugos įgaliotinį, kibernetinio saugumo vadovą ir Veiklos tęstinumo valdymo grupės vadovą. Jei įvyko asmens duomenų saugumo pažeidimas, apie šį incidentą ir saugumo priemones, kurių imtasi siekiant apsaugoti asmens duomenis, nedelsiant informuojamas NBFC duomenų apsaugos pareigūnas.

20.2. Informacinių sistemų administratorius nedelsdamas informuoja apie elektroninės informacijos saugos incidentą informacinės sistemos naudotojus.

20.3. Naudotojai, kibernetinio saugumo vadovas, informacinių sistemų administratorius ir elektroninės informacijos saugos įgaliotinis nedelsdami įgyvendina NBFC informacinių sistemų veiklos atkūrimo detaliajame plane (1 priedas) numatytas priemones. Saugos įgaliotinis, kibernetinio saugumo vadovas, informacinių sistemų administratorius, o jo nurodymu ir naudotojai atlieka kitus neatidėliotinus veiksmus, skirtus saugos incidento plėtrai sustabdyti ir jo tyrimui būtinai informacijai surinkti.

20.4. Veiklos tęstinumo valdymo grupės vadovas nedelsdamas privalo, o tais atvejais, kai elektroninės informacijos saugos incidentas yra susijęs tik su vienu fiziniu asmeniu, turi teisę, organizuoti Veiklos tęstinumo valdymo grupės susirinkimą.

20.5. Veiklos tęstinumo valdymo grupė, atlikusi incidento analizę, susisiekia su Veiklos atkūrimo grupe ir informuoja apie esamą padėtį ir priimtus sprendimus dėl veiklos atkūrimo.

20.6. Veiklos atkūrimo grupė įgyvendina Veiklos tęstinumo valdymo grupės priimtus sprendimus dėl veiklos atkūrimo, nustato konkrečius informacinių sistemų atkūrimo darbus ir paskiria asmenis, kurie turi atlikti šiuo darbus, bei nustato terminus, per kuriuos turi būti atlikti veiklos atkūrimo darbai.

20.7. Veiklos atkūrimo grupės paskirti asmenys atlieka informacinių sistemų atkūrimo darbus ir apie tai nedelsdami informuoja Veiklos atkūrimo grupės vadovą, o Veiklos atkūrimo grupės vadovas apie atliktus darbus informuoja Veiklos tęstinumo valdymo grupės vadovą. Veiklos tęstinumo valdymo grupės vadovas nuolat informuoja kitus šios grupės narius apie informacinių sistemų veiklos atkūrimo eigą.

20.8. Veiklos tęstinumo valdymo grupės vadovas ne vėliau kaip per 2 darbo dienas nuo saugos incidento pašalinimo darbų atlikimo dienos informaciją apie elektroninės informacijos saugos incidentą užregistruoja dokumentų valdymo sistemos „Avilys“ elektroninėje byloje „Elektroninės informacijos saugos incidentų registravimo žurnalas“, užpildydamas Valdymo plano 2 priede pateiktą formą, nurodydamas įvykio aprašymą, pradžią, pabaigą, elektroninės informacijos saugos incidento pašalinimo darbus atlikusių darbuotojo (-ų) vardą (-us), pavardę (-es), elektroninės informacijos saugos incidento poveikio mažinimo priemones. Elektroninės informacijos saugos incidentų registravimo žurnale turi pasirašyti saugos įgaliotinis ir elektroninės informacijos saugos incidento pašalinimo darbus atlikęs (-ę) darbuotojas (-ai).

27.1. NBFC informacinių sistemų kompiuterinės ir programinės įrangos ir šios įrangos parametrų sąrašas (dokumentas, kuriame nurodyti informacinių technologijų įrangos parametrai, minimalus informacinės sistemos veiklai atkurti, nesant informacinių sistemų administratoriaus, reikiamos kompetencijos ar žinių lygis);

27.2. NBFC informacinių sistemų minimalus funkcijų sąrašas (dokumentas, kuriame nurodyta minimalaus informacinių technologijų įrangos funkcijų, skirtų informacinės sistemos veiklai užtikrinti įvykus elektroninės informacijos saugos incidentui, sąrašas);

27.3. NBFC informacinių sistemų techninė dokumentacija (dokumentas, kuriame nurodyti NBFC patalpų brėžiniai ir juose pažymėti kompiuterių tinklo mazgai, elektros įvedimo vietos);

27.4. NBFC kompiuterio tinklo fizinio ir loginio sujungimo schemos;

27.5. sutarčių, susijusių su NBFC informacinėmis sistemomis, sąrašas (dokumentas, kuriame nurodytos elektroninės informacijos teikimo ir kompiuterinės, techninės ir programinės įrangos priežiūros sutartys, atsakingi už šių sutarčių įgyvendinimo priežiūrą asmenys);

27.6. Programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis žurnalas, kuriame nurodoma programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos;

27.7. Veiklos tęstinumo valdymo grupės ir Veiklos atkūrimo grupės narių sąrašas su kontaktiniais duomenimis.