LIETUVOS RESPUBLIKOS ŽEMĖS ŪKIO MINISTRAS
ĮSAKYMAS
DĖL ŽEMĖS ŪKIO MINISTERIJOS INFORMACINĖS SISTEMOS (ŽŪMIS) DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2021 m. spalio 14 d. Nr. 3D-643
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 8, 11 ir 19 punktais:
1. Tvirtinu Žemės ūkio ministerijos informacinės sistemos (ŽŪMIS) duomenų saugos nuostatus (pridedama).
2. P a v e d u:
2.1. Nacionalinei mokėjimo agentūrai prie Žemės ūkio ministerijos paskirti:
2.1.1. per 10 darbo dienų nuo šio įsakymo įsigaliojimo dienos administruojamos Žemės ūkio ministerijos informacinės sistemos (ŽŪMIS) saugos įgaliotinį, duomenų valdymo įgaliotinį ir naudotojų administratorių;
2.2. saugos įgaliotiniui:
2.2.1. pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai rizikos vertinimo ir atitikties vertinimo rezultatus Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka;
PATVIRTINTA
Lietuvos Respublikos
žemės ūkio ministro
2021 m. spalio 14 d.
įsakymu Nr. 3D-643
ŽEMĖS ŪKIO MINISTERIJOS INFORMACINĖS SISTEMOS (žūmis) DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Žemės ūkio ministerijos informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Žemės ūkio ministerijos informacinės sistemos (toliau – ŽŪMIS) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – elektroninės informacijos saugos politika).
2. Saugos nuostatų tikslas – sudaryti sąlygas saugiai tvarkyti elektroninę informaciją ŽŪMIS, užtikrinti, kad ŽŪMIS paslaugoms teikti reikalingi duomenys būtų tvarkomi saugiai ir teisėtai.
3. Saugos nuostatuose vartojamos sąvokos:
3.1. ŽŪMIS administratorius – Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos (toliau – ŽŪMIS tvarkytoja) paskirtas darbuotojas, turintis privilegijuotas teises ŽŪMIS sistemoje ir galintis administruoti ŽŪMIS tiek techniniu, tiek programiniu lygmeniu ir atlikti kitas administratoriaus teisių reikalaujančias funkcijas.
3.2. ŽŪMIS naudotojų administratorius – ŽŪMIS tvarkytojos paskirtas darbuotojas, administruojantis ŽŪMIS naudotojų prieigos teisių valdymą ir atliekantis kitas teisės aktų nustatytas funkcijas.
3.3. ŽŪMIS kibernetinio saugumo vadovas – ŽŪMIS tvarkytojos paskirtas kompetentingas darbuotojas, dirbantis pagal darbo sutartį, ar padalinys, atsakingas už ŽŪMIS kibernetinio saugumo organizavimą ir užtikrinimą.
3.4. ŽŪMIS saugos įgaliotinis – ŽŪMIS tvarkytojos paskirtas darbuotojas, koordinuojantis ir prižiūrintis elektroninės informacijos saugos politikos įgyvendinimą ŽŪMIS;
3.5. ŽŪMIS naudotojas – valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, darbo santykiais susijęs su ŽŪMIS valdytoja arba ŽŪMIS tvarkytoja;
4. Kitos Saugos nuostatuose vartojamos sąvokos apibrėžtos Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), ir Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Techniniai elektroninės informacijos saugos reikalavimai).
5. Saugos nuostatai kartu su saugos politiką įgyvendinančiais dokumentais, nurodytais Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 7.2–7.4 papunkčiuose, sudaro ŽŪMIS saugos dokumentus (toliau – Saugos dokumentai):
6. ŽŪMIS tvarkomos elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo tikslai:
6.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;
7. ŽŪMIS informacijos saugai (kibernetiniam saugumui) užtikrinti naudojamos organizacinės, techninės, programinės ir fizinės informacijos apsaugos priemonės.
8. ŽŪMIS elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo prioritetinės kryptys:
9. ŽŪMIS duomenų saugos tikslai yra šie:
10. Saugos nuostatai taikomi:
10.1. ŽŪMIS valdytojai – Lietuvos Respublikos žemės ūkio ministerijai, Gedimino pr. 19, LT-01103 Vilnius;
10.2. ŽŪMIS tvarkytojai – Nacionalinei mokėjimo agentūrai prie Žemės ūkio ministerijos, Blindžių g. 17, LT-08111 Vilnius;
10.3. IT paslaugų teikėjui – Informacinės visuomenės plėtros komitetui, Konstitucijos pr. 15-89, 09319 Vilnius, ir jo darbuotojams, atsakingiems už informacinių technologijų (toliau – IT) paslaugų teikimą;
11. ŽŪMIS valdytoja atlieka šias funkcijas:
11.1. rengia ir priima teisės aktus, užtikrinančius ŽŪMIS duomenų tvarkymo teisėtumą ir ŽŪMIS elektroninės informacijos saugą, atlieka jų nuostatų laikymosi priežiūrą;
11.2. nagrinėja ŽŪMIS tvarkytojos pasiūlymus dėl ŽŪMIS veiklos, elektroninės informacijos saugos (kibernetinio saugumo), juos apibendrina ir priima sprendimus dėl ŽŪMIS tobulinimo;
11.3. metodiškai vadovauja ŽŪMIS tvarkytojos veiklai, kuriant ir diegiant ŽŪMIS, taip pat užtikrinant jos veikimą, tobulinimą ir elektroninės informacijos saugą, už kurią atsako;
11.4. priima sprendimus dėl ŽŪMIS techninių ir programinių priemonių, būtinų ŽŪMIS elektroninės informacijos saugai (kibernetiniam saugumui) užtikrinti, įsigijimo, diegimo ir modernizavimo;
11.6. atlieka ŽŪMIS elektroninės informacijos tvarkymo ir elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų laikymosi priežiūrą ir kontrolę;
11.7. paveda ŽŪMIS tvarkytojai skirti ŽŪMIS saugos įgaliotinį, ŽŪMIS kibernetinio saugumo vadovą, ŽŪMIS administratorius ir ŽŪMIS naudotojų administratorius;
11.9. teikia IT paslaugų teikėjui pasiūlymus dėl ŽŪMIS veikimui užtikrinti taikytinų organizacinių, techninių ir programinių priemonių, būtinų elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
12. ŽŪMIS tvarkytoja atlieka šias funkcijas:
12.4. tvirtina ŽŪMIS rizikų tvarkymo priemonių įgyvendinimo planą, priima sprendimus dėl ŽŪMIS rizikos vertinimo rezultatų;
12.5. prireikus tvirtina ŽŪMIS informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą;
12.7. užtikrina ŽŪMIS elektroninės informacijos saugą (kibernetinį saugumą) ir vykdo ŽŪMIS naudotojų darbo vietose naudojamų administracinių, techninių ir programinių priemonių, užtikrinančių elektroninės informacijos saugą, diegimą ir priežiūrą;
12.8. skiria ŽŪMIS saugos įgaliotinį, ŽŪMIS kibernetinio saugumo vadovą, ŽŪMIS administratorius, ŽŪMIS naudotojų administratorius;
12.9. teikia ŽŪM pasiūlymus dėl ŽŪMIS elektroninės informacijos saugos (kibernetinio saugumo) tobulinimo;
12.10. ne rečiau kaip kartą per metus organizuoja kibernetinio saugumo dokumentų persvarstymą (peržiūrėjimą);
12.11. organizuoja ŽŪMIS naudotojams mokomuosius ir pažintinius kursus ŽŪMIS elektroninės informacijos tvarkymo klausimais;
13. IT paslaugų teikėjas:
13.1. užtikrina nepertraukiamą ŽŪMIS virtualių serverių veikimą pagal IT paslaugų kataloge aprašomus paslaugos parametrus;
13.2. užtikrina ŽŪMIS virtualių serverių rezervinių kopijų darymą pagal su ŽŪMIS valdytoja ir ŽŪMIS tvarkytoja suderintą tvarkaraštį;
13.3. pagal kompetenciją reaguoja į elektroninės informacijos saugos incidentus ir teikia ŽŪMIS saugos įgaliotiniui informaciją apie saugos incidentus;
13.5. informuoja ŽŪMIS saugos įgaliotinį ir / ar ŽŪMIS kibernetinio saugumo vadovą apie saugos politiką įgyvendinančių dokumentų reikalavimų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;
13.6. vykdo ŽŪMIS saugos įgaliotinio ir / ar ŽŪMIS kibernetinio saugumo vadovo pavedimus, susijusius su ŽŪMIS elektroninės informacijos saugos užtikrinimu IT paslaugų teikėjo valdomoje IT infrastruktūroje;
14. ŽŪMIS saugos įgaliotinis, įgyvendindamas ŽŪMIS saugos politiką, atlieka šias funkcijas:
14.1. teikia ŽŪMIS tvarkytojos vadovui pasiūlymus dėl:
14.1.1. ŽŪMIS administratoriaus, ŽŪMIS naudotojų administratorių paskyrimo ir reikalavimų jiems nustatymo;
14.2. koordinuoja įvykusių incidentų dėl ŽŪMIS elektroninės informacijos saugos tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugos (kibernetinio saugumo) incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos (kibernetinio saugumo) incidentais, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos (kibernetinio saugumo) darbo grupė;
14.3. teikia ŽŪMIS administratoriui, ŽŪMIS naudotojų administratoriui ir ŽŪMIS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su NMA patvirtintos Informacijos saugumo politikos (toliau – Informacijos saugumo politika) įgyvendinimu;
14.4. organizuoja ŽŪMIS naudotojų supažindinimą su ŽŪMIS saugos politiką įgyvendinančiais teisės aktais, užtikrina supažindinimo įrodomumą;
14.7. organizuoja ŽŪMIS naudotojams mokomuosius ir pažintinius kursus ŽŪMIS elektroninės informacijos tvarkymo klausimais;
14.8. reguliariai informuoja ŽŪMIS administratorių ir IT paslaugų teikėją apie elektorinės informacijos saugos ar kibernetinio saugumo problemas, teikia prevencines elektroninės informacijos saugos ar kibernetinio saugumo užtikrinimo rekomendacijas ir duoda jiems privalomus vykdyti nurodymus ir pavedimus dėl elektorinės informacijos saugos politikos įgyvendinimo;
14.9. atlieka kitas šiuose Saugos nuostatuose, kituose teisės aktuose nustatytas ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, saugos įgaliotiniui priskirtas funkcijas.
15. ŽŪMIS kibernetinio saugumo vadovas atlieka Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, ir kituose teisės aktuose nustatytas funkcijas. ŽŪMIS kibernetinio saugumo vadovas ir saugos įgaliotinis gali būti tas pats asmuo.
16. ŽŪMIS saugos įgaliotinis ir ŽŪMIS kibernetinio saugumo vadovas negali atlikti ŽŪMIS administratoriaus funkcijų.
17. Kompiuterinių tinklų administratorius atlieka šias funkcijas:
17.5. pagal kompetenciją reaguoja į elektroninės informacijos saugos (kibernetinio saugumo) incidentus ir juos valdo, atlieka įsilaužimų į ŽŪMIS aptikimo funkcijas;
18. Tarnybinių stočių administratorius atlieka šias funkcijas:
18.6. pagal kompetenciją reaguoja į elektroninės informacijos saugos (kibernetinio saugumo) incidentus ir juos valdo, atlieka įsilaužimų į ŽŪMIS aptikimo funkcijas;
19. ŽŪMIS administratorius atliekas šias funkcijas:
19.5. pagal kompetenciją reaguoja į elektroninės informacijos saugos (kibernetinio saugumo) incidentus ir juos valdo, atlieka įsilaužimų į ŽŪMIS aptikimo funkcijas;
20. ŽŪMIS administratorius yra atsakingas už tinkamą kibernetinio saugumo dokumentuose nustatytų funkcijų vykdymą.
21. ŽŪMIS administratorius privalo vykdyti visus ŽŪMIS saugos įgaliotinio ir ŽŪMIS kibernetinio saugumo vadovo nurodymus ir pavedimus dėl ŽŪMIS elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo, pagal kompetenciją reaguoti į elektroninės informacijos saugos (kibernetinio saugumo) incidentus ir nuolat teikti ŽŪMIS saugos įgaliotiniui ir ŽŪMIS kibernetinio saugumo vadovui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.
22. Atlikdamas ŽŪMIS sąrankos pakeitimus, ŽŪMIS administratorius turi laikytis pokyčių valdymo tvarkos, nustatytos ŽŪMIS tvarkytojos direktoriaus 2007 m. birželio 8 d. įsakymu Nr. BR1-240 patvirtintame Nacionalinės mokėjimo agentūros prie Žemės ūkio ministerijos Informacinių technologijų departamento darbo procedūros aprašo 3 priede „Pakeitimų atlikimo procedūros aprašymas“.
24. ŽŪMIS administratorius privalo atlikti kitas Saugos nuostatuose ir Saugos dokumentuose pavestas funkcijas.
25. ŽŪMIS naudotojų administratoriaus funkcijos:
26. ŽŪMIS naudotojo funkcijos:
27. ŽŪMIS paslaugos gavėjų funkcijos:
27.3. atlieka kitas duomenų Saugos nuostatų, ŽŪMIS nuostatų ir kitų teisės aktų nustatytas funkcijas;
28. Teisės aktai, kuriais vadovaujamasi tvarkant ŽŪMIS elektroninę informaciją ir užtikrinant jos saugą:
28.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES)
2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų
judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas)
(toliau – Reglamentas (ES) 2016/679);
28.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
28.7. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas;
28.8. Lietuvos standartai LST ISO/IEC 27002 ir LST ISO/IEC 27001 ir kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugumą;
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
29. ŽŪMIS tvarkoma elektroninė informacija priskiriama vidutinės svarbos elektroninės informacijos kategorijai. Elektroninė informacija šiai kategorijai priskiriama vadovaujantis Klasifikavimo gairių aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas).
30. ŽŪMIS pagal joje tvarkomos informacijos svarbą, vadovaujantis Klasifikavimo gairių aprašo 12.3 papunkčiu, yra priskiriama trečiajai informacinių sistemų kategorijai.
31. ŽŪMIS saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, kuri skelbiama Nacionalinio kibernetinio saugumo centro interneto svetainėje (https://www.nksc.lt/doc/rizikos_analize.pdf), Lietuvos ir tarptautinius grupės „Informacijos technologija. Saugumo technika“ standartus, kasmet organizuoja ŽŪMIS rizikos įvertinimą. Kartu su ŽŪMIS rizikos vertinimu turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos ŽŪMIS kibernetiniam saugumui, vertinimas. Prireikus ŽŪMIS saugos įgaliotinis gali organizuoti neeilinį ŽŪMIS rizikos įvertinimą. ŽŪMIS tvarkytojos rašytiniu pavedimu ŽŪMIS rizikos įvertinimą gali atlikti pats ŽŪMIS saugos įgaliotinis. ŽŪMIS rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri pateikiama ŽŪMIS tvarkytojos vadovui ir ŽŪMIS valdytojai. Rizikos įvertinimo ataskaita rengiama įvertinant rizikos veiksnius, galinčius turėti įtakos ŽŪMIS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. Svarbiausieji rizikos veiksniai:
31.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
31.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis ŽŪMIS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kita);
31.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
32. Pagrindinės nuostatos dėl rizikos veiksnių vertinimo:
33. ŽŪMIS rizikos vertinamas atliekamas vadovaujantis:
34. Rizikos valdymo procesą sudaro rizikos vertinimo konteksto nustatymas, rizikos vertinimas (informacinių išteklių inventorizacija ir jų įtakos ŽŪMIS veiklai vertinimas, rizikos analizė, rizikos įvertinimas), rizikos tvarkymas ir rizikos stebėsena, ir peržiūra.
35. ŽŪMIS rizikos vertinimo rezultatai pateikiami ŽŪMIS Rizikų registre, kuris kartu su Rizikų tvarkymo priemonių įgyvendinimo planu peržiūrimas, įvertinamas ir tvirtinamas ŽŪMIS tvarkytojos organizuojamame Saugumo forume.
36. Rizikų tvarkymo priemonių įgyvendinimo plane numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
37. ŽŪMIS saugos užtikrinimo priemonės parenkamos vadovaujantis:
37.2. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašu;
37.3. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
37.4. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašu, nustatančiu būtinas priemones pagal informacinei sistemai priskirtą saugos kategoriją;
37.6. kitų elektroninės informacijos saugą reglamentuojančių Lietuvos Respublikos teisės aktų, nustatančių būtinas priemones pagal informacinei sistemai priskirtą kategoriją, reikalavimais;
38. Elektroninės informacijos saugos (kibernetinio saugumo) būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis ŽŪMIS elektroninės informacijos saugos (kibernetinio saugumo) priemonėmis, kurios pasirenkamos atsižvelgiant į ŽŪMIS tvarkytojos turimus išteklius, vadovaujantis šiais principais:
38.2. elektroninės informacijos saugos (kibernetinio saugumo) priemonės diegimo kaina turi būti proporcinga saugomos elektroninės informacijos vertei;
39. Rizikos vertinimo ataskaitos ir rizikos tvarkymo plano kopijas ŽŪMIS saugos įgaliotinis ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS) Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2018 m. gruodžio 11 d. įsakymu Nr. 1V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.
40. Siekiant užtikrinti Saugos dokumentuose nustatytų elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų įgyvendinimo organizavimą ir kontrolę, ne rečiau kaip kartą per dvejus metus, iki spalio 1 d., arba atlikus esminius ŽŪMIS pakeitimus, jei teisės aktuose nenustatyta kitaip, ŽŪMIS saugos įgaliotinis turi organizuoti ŽŪMIS informacinių technologijų saugos atitikties vertinimą, kurio metu:
40.3. įvertinamas pasirengimas užtikrinti ŽŪMIS veiklos tęstinumą įvykus elektroninės informacijos saugos incidentui;
40.4. ŽŪMIS informacinių technologijų saugos atitikties vertinimo metu turi būti atliekamas kibernetinių atakų imitavimas ir vykdomos kibernetinių incidentų imitavimo pratybos. Imituojant kibernetines atakas rekomenduojama vadovautis tarptautiniu mastu pripažintų organizacijų (pvz., EC-COUNCIL, ISACA, NIST ir kt.) rekomendacijomis ir gerąja praktika.
41. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama ŽŪMIS valdytojai, ir pastabėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato ŽŪMIS valdytoja.
42. Informacinių technologijų saugos atitikties vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas ŽŪMIS saugos įgaliotinis ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia ARSIS.
43. Kibernetinių atakų imitavimas atliekamas šiais etapais:
43.1. planavimo etapas. Parengiamas kibernetinių atakų imitavimo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtis, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (arba) pilkosios dėžės (angl. Grey Box)), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (arba) techniniai įrankiai ir priemonės, nurodomi už plano vykdymą atsakingi asmenys ir jų kontaktai. Kibernetinių atakų imitavimo planas turi būti suderintas su NMA direktoriumi ir vykdomas tik gavus jo rašytinį pritarimą;
43.2. žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių serverių ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą, konfigūracijas ir kitą sėkmingai kibernetinei atakai įvykdyti reikalingą informaciją. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;
43.3. kibernetinių atakų imitavimo etapas. Atliekami kibernetinių atakų imitavimo plane numatyti testai. Šiame etape turi būti teikiamos tarpinės ataskaitos apie vykdomas veiklas ir jos rezultatus;
43.4. ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti išdėstomi Informacinių technologijų saugos vertinimo ataskaitoje. Kibernetinių atakų imitavimo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotaisiais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertinimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat ŽŪMIS nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
44. ŽŪMIS techninėje įrangoje ir ŽŪMIS naudotojų kompiuteriuose naudojama tik legali programinė įranga.
45. ŽŪMIS tarnybinėse stotyse ir ŽŪMIS naudotojų darbo vietose naudojama ir
operatyviai atnaujinama programinė įranga, skirta apsaugoti ŽŪMIS nuo kenksmingos
programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir pan.).
46. Naudojama kompiuterių tinklo filtravimo įranga (užkardos, turinio kontrolės sistemos, įgaliotieji serveriai (angl. proxy server) ir kt.).
47. Programinės įrangos, skirtos ŽŪMIS apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
47.1. tarnybinėse stotyse ir vidinių ŽŪMIS naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingos programinės įrangos aptikimo, stebėjimo realiu laiku priemonės;
47.2. ŽŪMIS komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti eksploatuojami, jeigu rizikos vertinimo metu patvirtinama, kad šių komponentų rizika yra priimtina;
48. Programinės įrangos, įdiegtos kompiuteriuose ir serveriuose, naudojimo nuostatos:
48.1. ŽŪMIS naudotojų kompiuteriuose naudojama programinė įranga turi būti įtraukta į leistinos naudoti programinės įrangos sąrašą. Leistinos programinės įrangos sąrašą turi parengti, ne rečiau kaip kartą per metus peržiūrėti ir prireikus atnaujinti ŽŪMIS saugos įgaliotinis;
48.2. tarnybinių stočių ir ŽŪMIS naudotojų kompiuterių operacinės sistemos, kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;
48.3. ŽŪMIS administratoriai reguliariai, ne rečiau kaip kartą per mėnesį, turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir susijusius saugos pažeidžiamumo svarbos lygius ŽŪMIS ir ŽŪMIS naudotojų kompiuteriuose. Apie įvertinimo rezultatus turi informuoti saugos įgaliotinį ir ŽŪMIS kibernetinio saugumo vadovą;
48.4. programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;
48.5. programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – ŽŪMIS administratoriai arba tokias paslaugas teikiantys kvalifikuoti IT paslaugų teikėjai;
48.7. ŽŪMIS programinė įranga turi turėti apsaugą nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org.
49. Stacionariuosius kompiuterius leidžiama naudoti tik ŽŪMIS valdytojos ir ŽŪMIS tvarkytojos patalpose. Nešiojamiesiems kompiuteriams, išnešamiems iš ŽŪMIS valdytojos ar ŽŪMIS tvarkytojos patalpų, turi būti taikomos papildomos saugos priemonės (virtualus privatus tinklas, prisijungimo ribojimas), nustatytos Saugaus elektroninės informacijos tvarkymo taisyklėse (jungiamasi per VPN ir iš naudotojui skirtos įrangos).
50. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių ir kt.) pagrindinės naudojimo nuostatos:
50.1. ŽŪMIS naudotojų elektroninės informacijos perdavimo tinklo ir užkardų priežiūra vykdoma pagal ŽŪMIS tvarkytojos direktoriaus patvirtintą tvarką;
50.2. tinklo ir užkardų konfigūracija peržiūrima ne rečiau kaip kartą per metus, ją atlieka ŽŪMIS tvarkytojos tinklo administratorius ir IT paslaugos teikėjas;
50.3. kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant užkardas, automatinę įsilaužimų aptikimo ir prevencijos įrangą, atkirtimo nuo paslaugos, dedikuoto atkirtimo nuo paslaugos įrangą;
50.4. kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuose ryšių tinkluose naršančių ŽŪMIS naudotojų kompiuterinę įrangą nuo kenksmingo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;
51. Leistinos ŽŪMIS naudotojų kompiuterių naudojimo ribos:
51.1. stacionarūs ir nešiojamieji ŽŪMIS naudotojų kompiuteriai privalo būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai atlikti. Iš kompiuterių, kurie perduodami remontui ar techninei priežiūrai, turi būti pašalinta visa ŽŪMIS konfidenciali ir apriboto naudojimo elektroninė informacija;
52. Metodai, kuriais galima užtikrinti saugų ŽŪMIS elektroninės informacijos teikimą ir (ar) gavimą:
52.1. ŽŪMIS duomenys perduodami automatiškai TCP/IP protokolu realiuoju laiku arba asinchroniniu režimu tik pagal ŽŪMIS nuostatuose ir duomenų teikimo ir gavimo sutartyse nustatytas perduodamų duomenų specifikacijas, perdavimo sąlygas ir tvarką;
52.2. už duomenų teikimo ir gavimo sutartyse nurodomų saugos reikalavimų nustatymą, suformulavimą ir įgyvendinimo organizavimą atsakingas ŽŪMIS saugos įgaliotinis;
52.5. duomenims perduoti naudojamas saugaus valstybinio duomenų perdavimo tinklas (Saugusis tinklas);
52.7. šifro raktų ilgiai, šifro raktų generavimo algoritmai, šifro raktų apsikeitimo protokolai, sertifikato parašo šifravimo algoritmai ir kiti šifravimo algoritmai nustatomi atsižvelgiant į Lietuvos ir tarptautinių organizacijų ir standartų rekomendacijas, Organizacinius ir techninius kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo reikalavimus, Techninius valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimus;
53. Pagrindiniai atsarginių ŽŪMIS duomenų kopijų darymo ir atkūrimo reikalavimai:
53.1. ŽŪMIS turi visišką duomenų atkūrimo iš rezervinių kopijų sistemos galimybę. Informacijos atkūrimas iš elektroninės informacijos kopijų negali trukti ilgiau kaip 24 valandas;
53.5. už elektroninės informacijos atsarginių ŽŪMIS duomenų kopijų darymą ir saugojimą atsakingas IT paslaugų teikėjas, jeigu ŽŪMIS komponentai (operacinės sistemos, duomenų bazių valdymo sistemos, taikomųjų programų sistemos ugniasienės, įsilaužimų aptikimo sistemos, duomenų perdavimo tinklų būklė ir kiti) yra laikomi IT paslaugų teikėjo valdomoje IT infrastruktūroje ir jo žinioje esančiuose duomenų centruose. Jeigu ŽŪMIS komponentai saugomi kituose duomenų centruose, ŽŪMIS saugos įgaliotinis kontroliuoja elektroninės informacijos atsarginių kopijų darymą ir saugojimą;
53.6. ŽŪMIS elektroninės informacijos ir taikomosios programinės įrangos kopijos turi būti daromos prieš diegiant ŽŪMIS programinės įrangos naujinimus ar atliekant kitus veiksmus, kurie gali lemti netinkamą ŽŪMIS veikimą ar duomenų praradimą;
53.7. atkurti informaciją iš elektroninės informacijos kopijų gali tik IT paslaugų teikėjas, suderinęs su ŽŪMIS administratoriumi ir ŽŪMIS saugos įgaliotiniu;
53.8. atsarginės elektroninės informacijos kopijos turi būti saugomos ne trumpiau kaip 14 kalendorinių dienų;
53.9. bandymą atkurti ŽŪMIS elektroninę informaciją ne mažiau kaip vieną kartą per metus atlieka IT paslaugų teikėjas. Šio bandymo metu ŽŪMIS elektroninė informacija atkuriama taip, kaip ji būtų atkuriama tuo atveju, jeigu būtų netikėtai prarasti duomenys;
53.10. atsarginės elektroninės informacijos kopijos saugomos kitoje patalpoje nei ŽŪMIS serveriai. Patalpos, kuriose saugomos atsarginės ŽŪMIS elektroninės informacijos kopijos, turi atitikti patalpoms, kuriose saugoma ŽŪMIS elektroninė informacija, nustatytus reikalavimus. Patalpų, kuriose saugoma ŽŪMIS elektroninė informacija, reikalavimai nustatomi Saugaus elektroninės informacijos tvarkymo taisyklėse.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
54. ŽŪMIS personalas – ŽŪMIS administratorius, IT paslaugų teikėjo darbuotojai, įskaitant pasamdytus trečiuosius asmenis, kurie dalyvauja teikiant IT paslaugas (toliau – IT paslaugų teikėjo darbuotojai), ŽŪMIS saugos įgaliotinis ir ŽŪMIS naudotojai.
55. ŽŪMIS saugos įgaliotiniu, ŽŪMIS administratoriumi ir IT paslaugų teikėjo
darbuotoju negali būti skiriamas asmuo, neatitinkantis Valstybės informacinių išteklių valdymo įstatymo 42 straipsnio reikalavimų.
56. ŽŪMIS saugos įgaliotinis privalo išmanyti informacinių sistemų administravimo ir elektroninės informacijos saugos užtikrinimo principus, tobulinti elektroninės informacijos saugos srities kvalifikaciją, savo darbe vadovautis Saugos dokumentais, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašo ir kitų Lietuvos Respublikos ir Europos Sąjungos teisės aktų, reglamentuojančių elektroninės informacijos saugą, nuostatomis. ŽŪMIS valdytoja turi sudaryti sąlygas tobulinti ŽŪMIS saugos įgaliotinio kvalifikaciją.
57. ŽŪMIS saugos įgaliotiniui kasmet turi būti organizuojami mokymai kibernetinio saugumo klausimais arba sudaromos sąlygos tobulinti kvalifikaciją savišvietos būdu.
58. ŽŪMIS saugos įgaliotinis kasmet inicijuoja ŽŪMIS naudotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugą (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės naujiems ŽŪMIS naudotojams).
59. ŽŪMIS administratorius privalo būti susipažinęs su Saugos dokumentais, Reglamentu (ES) 2016/679 ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir informacinių sistemų elektroninės informacijos tvarkymą. ŽŪMIS administratorius privalo išmanyti darbą su ŽŪMIS taikomąja programine įranga, gebėti administruoti ir prižiūrėti ŽŪMIS taikomosios programinės įrangos komponentus, gebėti atlikti funkcijas, susijusias su ŽŪMIS naudotojų teisių valdymu. IT paslaugų teikėjo darbuotojas (-ai) taip pat privalo gebėti administruoti informacinės sistemos architektūroje naudojamą sisteminę programinę įrangą, išmanyti informacijos saugos principus, ŽŪMIS užtikrinti techninės ir sisteminės programinės įrangos nepertraukiamą funkcionavimą bei ŽŪMIS tvarkomos elektroninės informacijos saugą ir prižiūrėti ŽŪMIS komponentus, stebėti ŽŪMIS komponentų veikimą, taip pat atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą.
60. ŽŪMIS esančius asmens duomenis tvarkyti ar su jais susipažinti gali tik tie ŽŪMIS valdytojos ir ŽŪMIS tvarkytojos paskirti asmenys, kuriems tokie duomenys yra reikalingi jų funkcijoms atlikti. Šie asmenys gali atlikti tik tuos veiksmus, kuriems atlikti yra suteiktos teisės,
vadovaujantis Saugaus elektroninės informacijos tvarkymo taisyklėmis.
61. ŽŪMIS naudotojai privalo:
61.1. turėti pagrindinius darbo kompiuteriu įgūdžius, mokėti tvarkyti elektroninę informaciją, būti susipažinę su Saugos nuostatais, Reglamentu (ES) 2016/679 ir kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą bei informacinių sistemų elektroninės informacijos tvarkymą;
62. ŽŪMIS valdytojos darbuotojai, kurie dalyvauja prižiūrint, valdant ir tobulinant ŽŪMIS, privalo išmanyti ŽŪMIS veiklos principus, būti susipažinę su Saugos dokumentuose nustatytais reikalavimais ir juos vykdyti bei atlikti Saugos dokumentuose nurodytas procedūras.
63. Mokymai elektroninės informacijos saugos ir kibernetinio saugumo klausimais planuojami ir mokymo būdai parenkami atsižvelgiant į prioritetines elektroninės informacijos saugos užtikrinimo kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), ŽŪMIS saugos įgaliotinio, ŽŪMIS naudotojų, ŽŪMIS administratoriaus ir IT paslaugų teikėjo darbuotojo (-ų) poreikius. Informacija apie ŽŪMIS personalo mokymus registruojama bei skelbiama elektroninėje erdvėje.
V skyrius
ŽŪMIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
64. Už ŽŪMIS naudotojų, ŽŪMIS administratoriaus, IT paslaugų teikėjo darbuotojo (ų) supažindinimą su Saugos dokumentais, teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, atsakomybę už Saugos dokumentų nuostatų pažeidimus, informaciją apie saugos mokymą ir žinių atnaujinimą, yra atsakingas ŽŪMIS saugos įgaliotinis. Asmenys, kurie tvarko asmens duomenis, privalo laikytis Reglamente (ES) 2016/679 nustatytų asmens duomenų tvarkymo principų ir reikalavimų.
65. Tvarkyti ir naudoti ŽŪMIS elektroninę informaciją gali ŽŪMIS administratorius ir ŽŪMIS naudotojai, susipažinę su Saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, ir sutikę laikytis šių teisės aktų reikalavimų.
67. ŽŪMIS naudotojai, ŽŪMIS administratorius su Saugos dokumentais ar jų santraukomis turi būti supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą.
68. Pakartotinai su Saugos dokumentais ar jų santraukomis ŽŪMIS naudotojai supažindinami tik iš esmės pasikeitus ŽŪMIS arba elektroninės informacijos saugą (kibernetinį saugumą) reglamentuojantiems teisės aktams.
69. Tvarkyti ŽŪMIS elektroninę informaciją gali tik tie asmenys, kurie yra susipažinę su Saugos dokumentais ir įsipareigoję laikytis jų reikalavimų (pasirašę ŽŪMIS tvarkytojos Informacijos saugumo politikos 2 priedą – Konfidencialumo pasižadėjimą).
70. ŽŪMIS naudotojai atsako už ŽŪMIS ir joje tvarkomos elektroninės informacijos saugą (kibernetinį saugumą) pagal savo kompetenciją.
71. ŽŪMIS naudotojai, ŽŪMIS administratoriai, ŽŪMIS naudotojų administratoriai, ŽŪMIS saugos įgaliotinis ir ŽŪMIS kibernetinio saugumo vadovas, pažeidę Saugos dokumentų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
72. Saugos nuostatų ir kitos su ŽŪMIS elektroninės informacijos sauga susijusios dokumentacijos peržiūrą ar keitimą inicijuoja ŽŪMIS tvarkytoja. Saugos dokumentai turi būti derinami su Nacionaliniu kibernetinio saugumo centru prie Krašto apsaugos ministerijos. Keičiami Saugos dokumentai gali būti nederinami su Nacionaliniu kibernetinio saugumo centru tais atvejais, kai atliekami tik redakciniai ar nežymūs nustatyto teisinio reguliavimo esmės ar elektroninės informacijos saugos politikos ir kibernetinio saugumo politikos nekeičiantys pakeitimai arba pakeitimai, susiję su teisės technika. Nacionaliniam kibernetinio saugumo centrui turi būti pateiktos keičiamų Saugos dokumentų kopijos.