„LIETUVOS RESPUBLIKOS FINANSŲ MINISTRAS

ĮSAKYMAS

DĖL FINANSŲ MINISTERIJOS INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

3.1.   Saugos nuostatus;

3.2.   Saugaus elektroninės informacijos tvarkymo taisykles;

3.3.   IS naudotojų administravimo taisykles;

3.4.   IS veiklos tęstinumo valdymo planą.

4.1.   organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų IS elektroninės informacijos saugai (kibernetiniam saugumui) užtikrinti, įgyvendinimas ir kontrolė;

4.2.   IS elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

4.3.   IS kibernetinio saugumo užtikrinimas;

4.4.   IS tvarkymo kontrolės užtikrinimas;

4.5.   IS paslaugų ir naudojimosi IS elektronine informacija kontrolės užtikrinimas;

4.6.   IS tvarkomų asmens duomenų apsauga;

4.7.   IS veiklos tęstinumo užtikrinimas;

4.8.   IS naudotojų mokymas.

5.1.   sudaryti sąlygas saugiai automatiniu būdu tvarkyti IS elektroninę informaciją;

5.2.   užtikrinti IS elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo, taip pat nuo bet kokio kito neteisėto tvarkymo;

5.3.   vykdyti IS elektroninės informacijos saugos (kibernetinio saugumo) incidentų, asmens duomenų saugumo pažeidimų prevenciją, reaguoti į IS elektroninės informacijos saugos (kibernetinio saugumo) incidentus, asmens duomenų saugumo pažeidimus ir juos operatyviai valdyti.

6.1.   Lietuvos Respublikos finansų ministerijai (Lukiškių g. 2, Vilnius), kuri yra šių IS valdytoja:

6.2.   ministerijos valdomų valstybės informacinių sistemų tvarkytojams, nurodytiems IS nuostatuose:

6.3.   ministerijos IS saugos įgaliotiniui;

6.4.   ministerijos IS infrastruktūros administratoriams;

6.5.   ministerijos IS administratoriams;

6.6.   ministerijos IS naudotojams;

6.7.   paslaugų, susijusių su IS, teikėjams.

7.1.   Valstybės turto informacinei paieškos sistemai;

7.2.   Apribojusių savo galimybę lošti asmenų registrui.

8.1.   tvirtina IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentus, kitus dokumentus, susijusius su IS elektroninės informacijos sauga;

8.2.   prižiūri ir kontroliuoja, kad IS būtų tvarkomos vadovaujantis IS nuostatais, IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentais ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais;

8.3.   priima sprendimus dėl techninių ir programinių priemonių, būtinų IS elektroninės informacijos saugai (kibernetiniam saugumui) užtikrinti, įsigijimo, įdiegimo ir modernizavimo;

8.4.   koordinuoja IS tvarkytojų darbą įgyvendinant IS elektroninės informacijos saugos (kibernetinio saugumo) reikalavimus;

8.5.   nagrinėja IS tvarkytojų pasiūlymus dėl IS elektroninės informacijos saugos (kibernetinio saugumo) priemonių tobulinimo ir priima sprendimus dėl jų;

8.6.   priima sprendimus dėl IS elektroninės informacijos saugos (kibernetinio saugumo) priemonių finansavimo;

8.7.   užtikrina elektroninės informacijos ir duomenų tvarkymo bei duomenų teikimo IS duomenų gavėjams teisėtumą ir duomenų saugą;

8.8.   teikia Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos (toliau – NKSC) techninę informaciją, reikalingą IS kibernetiniam saugumui įvertinti, NKSC reikalavimu nurodytais formatais ir terminais arba savo iniciatyva;

8.9.   atlieka kitas Saugos nuostatuose, Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas), nustatytas funkcijas.

9.1.   užtikrina IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentų ir kitų IS valdytojo priimtų teisės aktų, susijusių su IS sauga ir kibernetiniu saugumu, tinkamą įgyvendinimą IS tvarkytojo įstaigos tvarkomose IS;

9.2.   užtikrina IS elektroninės informacijos saugą (kibernetinį saugumą) IS tvarkytojo įstaigos tvarkomose IS;

9.3.   užtikrina elektroninės informacijos, esančios IS duomenų bazėse, sistemų kataloguose, saugą;

9.4.   užtikrina saugų elektroninės informacijos perdavimą elektroninių ryšių tinklais;

9.5.   teikia IS valdytojui pasiūlymus dėl IS elektroninės informacijos saugos (kibernetinio saugumo) tobulinimo;

9.6.   planuoja ir įgyvendina priemones, mažinančias IS duomenų atskleidimo ir praradimo riziką bei užtikrinančias prarastų duomenų atkūrimą ir duomenų apsaugą nuo klastojimo;

9.7.   užtikrina nepertraukiamą IS veikimą;

9.8.   užtikrina IS elektroninės informacijos ir duomenų tvarkymo bei duomenų teikimo IS duomenų gavėjams teisėtumą;

9.9.   valdo IS elektroninės informacijos saugos (kibernetinio saugumo) incidentus;

9.10. atlieka kitas IS valdytojo pavestas IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, jiems priskirtas funkcijas.

14.1. koordinuoja ir prižiūri IS elektroninės informacijos saugos (kibernetinio saugumo) politikos įgyvendinimą IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentuose nustatyta tvarka;

14.2. teikia IS valdytojui siūlymus dėl:

14.3. koordinuoja IS elektroninės informacijos saugos (kibernetinio saugumo) incidentų, įvykusių IS, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, elektroninės informacijos saugos (kibernetinio saugumo) incidentus, neteisėtas veikas, susijusias su šiais incidentais, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

14.4. atlieka Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše nustatytas asmens, atsakingo už kibernetinio saugumo organizavimą ir užtikrinimą, funkcijas;

14.5. duoda IS administratoriui ar IS infrastruktūros administratoriui ir IS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentų įgyvendinimu;

14.6. teisės aktų nustatyta tvarka organizuoja IS rizikos vertinimą ir rizikos vertinimo ataskaitos parengimą;

14.7. supažindina IS administratorius ir IS infrastruktūros administratorius su IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentų reikalavimais ir atsakomybe už reikalavimų nesilaikymą;

14.8. organizuoja IS naudotojų supažindinimą su Saugos nuostatų 3.1–3.3 papunkčiuose nurodytų dokumentų reikalavimais ir atsakomybe už reikalavimų nesilaikymą;

14.9. organizuoja IS naudotojų mokymus IS elektroninės informacijos saugos (kibernetinio saugumo) klausimais, informuoja juos apie elektroninės informacijos saugos problemas;

14.10.  atlieka kitas ministerijos IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentuose ir kituose teisės aktuose, reglamentuojančiuose ministerijos duomenų tvarkymo teisėtumą ir saugos valdymą, priskirtas funkcijas;

14.11.  užtikrina ministerijos IS elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų atitiktį Lietuvos Respublikos teisės aktų reikalavimams.

15.1. užtikrina IS techninės ir programinės įrangos įdiegimą, atnaujinimą ir veikimą;

15.2. diegia ir prižiūri programinę įrangą, reikalingą IS naudotojų funkcijoms atlikti;

15.3. registruoja IS naudotojus, skiria registravimosi vardus, nustato IS naudotojams prieigos prie IS teises;

15.4. pagal kompetenciją rengia pasiūlymus dėl IS kūrimo, palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir IS elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo;

15.5. užtikrina priskirtos IS ar jos komponentų (posistemių, duomenų bazių valdymo sistemų, taikomųjų programų sistemų) tinkamą veikimą, priežiūrą ir IS elektroninės informacijos saugą (kibernetinį saugumą), rengia ir atnaujina IS sąrankos aprašymo dokumentaciją, pagal kompetenciją nustato IS pažeidžiamas vietas, parenka ir diegia saugos priemones bei užtikrina jų atitiktį IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentų reikalavimams;

15.6. informuoja IS saugos įgaliotinį apie IS elektroninės informacijos saugos (kibernetinio saugumo) incidentus, teikia pasiūlymus dėl šių incidentų pašalinimo;

15.7. daro IS duomenų bazės atsargines kopijas, atlieka informacijos atkūrimo iš kopijų bandymus (IS administratorius, kuriam priskirta ši funkcija);

15.8. teikia IS valdytojui ir IS saugos įgaliotiniui pasiūlymus dėl IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentų priėmimo, keitimo ar pripažinimo netekusiais galios;

15.9. tvarkydamas duomenis, įskaitant ir asmens duomenis, IS elektroninę informaciją, dokumentus ir jų kopijas, saugo tų duomenų ir informacijos paslaptį, neatskleidžia, neperduoda tvarkomų duomenų ir informacijos nė vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija. Ši pareiga galioja ir nutraukus su ministerijos IS duomenų, informacijos, dokumentų ir jų kopijų tvarkymu susijusią veiklą;

15.10.  neperduoda neįgaliotiems asmenims prisijungimo vardų ir slaptažodžių, IS naudotojo tapatybės kodų ar kitos informacijos, leidžiančios naudojantis programinėmis ir techninėmis priemonėmis sužinoti asmens duomenis ar kitą IS tvarkomą elektroninę informaciją, ir nesudaro kitų sąlygų susipažinti su IS tvarkoma elektronine informacija;

15.11.  atlieka IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentuose ir kituose teisės aktuose, reglamentuojančiuose IS saugą ir kibernetinį saugumą, priskirtas funkcijas.

16.1. administruoja IS veikimą užtikrinančią techninę ir programinę įrangą, infrastruktūrą bei informacinių technologijų paslaugas, užtikrina IS infrastruktūros veikimą, informacinių technologijų paslaugų teikimą ir jų naudotojų registravimą, registravimosi vardų skyrimą ir prieigos prie IS infrastruktūros išteklių teisių suteikimą;

16.2. administruoja priskirtus IS komponentus (kompiuterius, serverius, operacines sistemas, užkardas (angl. firewall), įsilaužimo aptikimo sistemas, duomenų perdavimo tinklus, duomenų perdavimo tinklų techninę įrangą, spausdinimo techninę įrangą, vaizdo stebėjimo techninę įrangą), parengia ir keičia IS komponentų sąrankos aprašymo dokumentaciją, vykdo pažeidžiamų vietų nustatymą ir saugos priemonių parinkimą bei užtikrina jų atitiktį IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentų reikalavimams;

16.3. užtikrina kompiuterizuotų darbo vietų veikimą, diegia ir konfigūruoja kompiuterizuotų darbo vietų programinę įrangą, diegia kompiuterizuotų darbo vietų programinės įrangos atnaujinimus, stebi ir analizuoja kompiuterizuotų darbo vietų veikimą;

16.4. pagal ministerijos Informacinių technologijų departamento (toliau – ITD) direktoriaus patvirtintą Rezervinio kopijavimo į išorines laikmenas procedūrų vadovą vykdo rezervinį (fizinių serverių, virtualiųjų serverių ir kitų komponentų) kopijavimą, užtikrina IS administratorių sukurtų rezervinių kopijų įrašymą į magnetines laikmenas ir saugojimą nutolusioje patalpoje, archyve esančių kopijų saugojimą;

16.5. pagal kompetenciją rengia pasiūlymus dėl IS kūrimo, palaikymo, priežiūros ir IS elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų įgyvendinimo;

16.6. informuoja IS saugos įgaliotinį apie IS elektroninės informacijos saugos (kibernetinio saugumo) incidentus ir teikia pasiūlymus dėl šių incidentų pašalinimo;

16.7. tvarkydamas IS duomenis, įskaitant ir asmens duomenis, IS elektroninę informaciją, dokumentus ir jų kopijas, saugo tų duomenų ir informacijos paslaptį, neatskleidžia, neperduoda tvarkomų duomenų ir informacijos nė vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija. Ši pareiga galioja ir nutraukus su ministerijos IS duomenų, informacijos, dokumentų ir jų kopijų tvarkymu susijusią veiklą;

16.8. neperduoda neįgaliotiems asmenims prisijungimo vardų ir slaptažodžių, IS naudotojo tapatybės kodų ar kitos informacijos, leidžiančios naudojantis programinėmis ir techninėmis priemonėmis sužinoti asmens duomenis ar kitą IS tvarkomą elektroninę informaciją, ir nesudaro kitų sąlygų susipažinti su IS tvarkoma elektronine informacija;

16.9. teikia IS valdytojui ir IS saugos įgaliotiniui pasiūlymus dėl IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentų priėmimo, keitimo ar pripažinimo netekusiais galios;

16.10.  užtikrina tinkamą Saugos nuostatuose nustatytų funkcijų, susijusių su IS priežiūra ir informacinių technologijų paslaugų teikimu, atlikimą;

16.11.  atlieka IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentuose ir kituose teisės aktuose, reglamentuojančiuose IS saugą ir kibernetinį saugumą, priskirtas funkcijas.

21.1. vadovaudamiesi IS valdytojo patvirtintais IS nuostatais, Saugos nuostatų 3.1–3.3 papunkčiuose nurodytų dokumentų reikalavimais, IS duomenų teikimo sutartimis, IS naudojimo instrukcijomis ir pareigybių aprašymais, naudoja ministerijos IS;

21.2. tvarko IS elektroninę informaciją ir naudojasi kitomis ministerijos IS teikiamomis galimybėmis pagal nustatytą funkcijoms atlikti reikalingą IS prieigos teisių lygmenį, kuris apriboja naudojimosi elektronine informacija apimtį;

21.3. tvarko tik tą elektroninę informaciją, kuri IS naudotojui prieinama naudojant konkrečios IS programinę įrangą;

21.4. pagal kompetenciją rengia pasiūlymus dėl IS modernizavimo ir IS elektroninės informacijos saugos (kibernetinio saugumo) tobulinimo;

21.5. pastebėję IS elektroninės informacijos saugos (kibernetinio saugumo) pažeidimų, nusikalstamos veikos požymių, neveikiančių arba netinkamai veikiančių IS elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo priemonių, privalo nedelsdami apie tai pranešti IS administratoriui, IS infrastruktūros administratoriui ir (arba) IS saugos įgaliotiniui;

21.6. tvarkydami duomenis, įskaitant ir asmens duomenis, IS elektroninę informaciją, dokumentus ar jų kopijas, saugo tų duomenų ir informacijos paslaptį, neatskleidžia, neperduoda tvarkomų duomenų ir informacijos nė vienam asmeniui, kuris nėra įgaliotas naudotis šia informacija. Ši pareiga galioja ir nutraukus su ministerijos IS duomenų, informacijos, dokumentų ir jų kopijų tvarkymu susijusią veiklą;

21.7. neperduoda neįgaliotiems asmenims prisijungimo vardų ir slaptažodžių, IS naudotojo tapatybės kodų ar kitos informacijos, leidžiančios naudojantis programinėmis ir techninėmis priemonėmis sužinoti asmens duomenis ar kitą IS tvarkomą elektroninę informaciją, ir nesudaro kitų sąlygų susipažinti su IS tvarkoma elektronine informacija;

21.8. atlieka kitas IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentuose priskirtas funkcijas ir kitus IS valdytojo, IS saugos įgaliotinio, IS administratoriaus ir IS infrastruktūros administratoriaus nurodymus, susijusius su IS naudojimu ir IS elektroninės informacijos sauga (kibernetiniu saugumu).

23.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

23.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

23.3. Kibernetinio saugumo įstatymas;

23.4. Valstybės informacinių išteklių valdymo įstatymas;

23.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

23.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas;

23.7. Techniniai elektroninės informacijos saugos reikalavimai;

23.8. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Informacinių technologijų saugos atitikties vertinimo metodika);

23.9. Valstybės biudžeto, apskaitos ir mokėjimų sistemos nuostatai;

23.10.  Europos Sąjungos struktūrinės paramos kompiuterinės informacinės valdymo ir priežiūros sistemos nuostatai;

23.11.  Viešojo sektoriaus apskaitos ir ataskaitų konsolidavimo informacinės sistemos nuostatai, patvirtinti Lietuvos Respublikos finansų ministro 2011 m. gegužės 13 d. įsakymu
Nr. 1K-182 „Dėl Viešojo sektoriaus apskaitos ir ataskaitų konsolidavimo informacinės sistemos nuostatų patvirtinimo“;

23.12.  Stebėsenos informacinės sistemos nuostatai, patvirtinti Lietuvos Respublikos finansų ministro 2020 m. sausio 10 d. įsakymu Nr. 1K-1 „Dėl Stebėsenos informacinės sistemos nuostatų patvirtinimo“;

23.13.  Atvirųjų finansų informacinės sistemos nuostatai, patvirtinti Lietuvos Respublikos finansų ministro 2020 m. sausio 22 d. įsakymu Nr. 1K-7 „Dėl Atvirųjų finansų informacinės sistemos steigimo“;

23.14.  Lietuvos standartai LST EN ISO/IEC 27002:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, LST EN ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir kiti standartai;

23.15.  Lietuvos Respublikos teisės aktai, reglamentuojantys elektroninės informacijos tvarkymo teisėtumą, IS valdytojo ir tvarkytojų veiklą ir elektroninės informacijos saugos valdymą, Europos Sąjungos ir Lietuvos Respublikos teisės aktai, reglamentuojantys asmens duomenų apsaugą ir tvarkymą.

28.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

28.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis IS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

28.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

29.1. IS rizikos įvertinimo rezultatai ir priemonės, reikalingos siekiant išvengti rizikos veiksnių, išdėstomi IS rizikos vertinimo ataskaitoje, kuri pateikiama IS valdytojo vadovui ir IS tvarkytojų vadovams.

29.2. IS rizikos įvertinimo ataskaita rengiama vertinant rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus.

29.3. Rizikos veiksniai ir nustatyta rizikos tikimybė išdėstomi prioriteto tvarka pagal svarbą, kuri nustatoma atsižvelgiant į atliktą rizikos vertinimą.

31.1. Siekiant užtikrinti IS saugos dokumentuose nustatytų IS elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų įgyvendinimo organizavimą ir kontrolę, ne rečiau kaip kartą per metus, jei teisės aktuose nenustatyta kitaip, organizuojamas informacinių technologijų saugos atitikties vertinimas.

31.2. Informacinių technologijų saugos atitikties vertinimas atliekamas Informacinių technologijų saugos atitikties vertinimo metodikoje nustatyta tvarka.

31.3. Atlikus informacinių technologijų saugos atitikties vertinimą, rengiama informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama IS valdytojo vadovui ir IS tvarkytojų vadovams.

31.4. Atlikus informacinių technologijų saugos atitikties vertinimą, prireikus rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus plano vykdytojus paskiria ir įgyvendinimo terminus nustato IS valdytojo vadovas.

36.1. priemonės diegimo kaina turi būti adekvati tvarkomos elektroninės informacijos vertei;

36.2. liekamoji rizika turi būti sumažinta iki priimtino lygio;

36.3. atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegiamos prevencinės, detekcinės ir korekcinės IS elektroninės informacijos saugos (kibernetinio saugumo) priemonės.

41.1. IS tarnybinėse stotyse ir kompiuterinėse darbo vietose turi būti įdiegtos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, kurios turi būti reguliariai ir operatyviai atnaujinamos automatiniu būdu. Ilgiausias leidžiamas priemonių neatnaujinimo
laikas – 5 darbo dienos. Kompiuterio operacinės sistemos kritinės pataisos diegiamos ne vėliau kaip per 5 darbo dienas nuo jų išleidimo dienos.

41.2. IS tarnybinėse stotyse, kuriose turi būti užtikrinta didelė greitaveika (pvz., duomenų bazių tarnybinės stotys) ir kurios yra izoliuotame kompiuterių tinklo segmente, kenksmingos programinės įrangos aptikimo priemonės gali būti nediegiamos.

41.3.   IS turi būti naudojamos priemonės, turinčios apsaugos mechanizmus, blokuojančius kenkimo programų bandymus panaikinti apsaugas nuo kenkimo programų.

41.4. Antivirusinės programinės įrangos virusų parašų bazės automatinio atnaujinimo ir kompiuterių operacinių sistemų kritinių pataisų diegimo terminai netaikomi toms kompiuterinėms darbo vietoms, kurios yra laikinai nenaudojamos. Pradėjus naudoti kompiuterines darbo vietas, visos pataisos įdiegiamos per 3 darbo dienas.

41.5. Detalios programinės įrangos, skirtos IS nuo kenksmingos programinės įrangos apsaugoti, naudojimo nuostatos ir jos atnaujinimo reikalavimai (ilgiausias leidžiamas neatnaujinimo laikas ir kt.) nustatomi IS saugaus elektroninės informacijos tvarkymo taisyklėse.

42.1. Turi būti naudojama tik legali IS funkcijoms atlikti būtina programinė įranga.

42.2. Turi būti naudojama gamintojo palaikymą turinti programinė įranga.

42.3. Programinė įranga turi būti prižiūrima ir nuolatos atnaujinama.

42.4. Operacinių sistemų ir taikomųjų programų sąranka parenkama tokiu būdu, kad būtų užtikrintas didžiausias saugumo lygis, sustabdomi nereikalingi darbui procesai.

42.5. IS naudotojų paskyros yra ribotų teisių, kurios neleidžia įdiegti papildomos programinės įrangos ir keisti sistemos, kompiuterio ar programinės įrangos sisteminių nustatymų, nebent tai nustatyta IS naudotojo pareigybės aprašyme. IS administratoriaus teisės gali būti suteikiamos išimties tvarka, pateikiant prašymą ITD, nurodant motyvuotą pagrindą.

42.6. Programinę įrangą diegia, atnaujina ir kontroliuoja IS infrastruktūros administratoriai arba IS administratoriai (pagal atliekamas funkcijas). Paslaugų teikėjai programinę įrangą gali atnaujinti tik dalyvaujant IS infrastruktūros administratoriui arba IS administratoriui.

42.7. Serveriuose, IS administratorių, IS infrastruktūros administratorių, ministerijos darbuotojų kompiuterinėse darbo vietose naudojama ITD direktoriaus sprendimu į ministerijoje naudojamos tipinės programinės įrangos sąrašą įtraukta programinė įranga.

42.8. Programinės įrangos, nesusijusios su ministerijos veikla ar naudojamų IS funkcijomis (žaidimų, bylų siuntimo, pokalbių programų ir pan.), naudojimas draudžiamas.

42.9. Programinės įrangos testavimas negali būti vykdomas su realiais duomenimis.

42.10.  Programinės įrangos atnaujinimai prieš diegiant gamybinėje aplinkoje turi būti ištestuoti testavimo aplinkoje.

42.11.  Turi būti įdiegta prieigos prie IS elektroninės informacijos registruojantis, suteikiant prieigos teises ir slaptažodžius sistema.

42.12.  Turi būti įgyvendinta prievolė sudaryti slaptažodžius vadovaujantis slaptažodžių sudarymo reikalavimais. IS naudotojų slaptažodžiai turi būti keičiami ne rečiau kaip kas tris mėnesius, IS administratorių ir IS infrastruktūros administratorių slaptažodžiai – ne rečiau kaip kas du mėnesius.

42.13.  Turi būti įdiegta galimybė fiksuoti ir kaupti informaciją apie asmenų, kurie naudojosi prieiga prie IS elektroninės informacijos, atliktus veiksmus.

43.1. IS elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų ryšių tinklų naudojant užkardas, užkardų įvykių žurnalai turi būti reguliariai analizuojami.

43.2. Pirmos ir antros svarbos kategorijoms priskirtoms IS turi būti naudojamos apsaugos nuo pagrindinių per tinklą vykdomų atakų: struktūrizuotų užklausų kalbos įsiskverbties (angl. SQL injection), įterptinių instrukcijų atakų (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), paskirstyto atsisakymo aptarnauti (angl. DDOS) ir kitų, priemonės; pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP)) interneto svetainėje www.owasp.org.

43.3. IS tinklo perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešajame ryšių tinkle naršančių IS naudotojų kompiuterinę įrangą nuo kenksmingo kodo.

43.4. IS serveriai ir administruoti naudojami kompiuteriai negali turėti tiesioginio ryšio su internetu, jei toks ryšys nėra būtinas IS veikimui.

43.5. Prie pirmos ir antros svarbos kategorijų priskirtų IS serveriai turi būti atskiruose loginiuose kompiuterių tinkluose.

43.6. Ribojama arba blokuojama prieiga prie operacinės sistemos prievadų.

43.7. Turi būti naudojama duomenų srautų analizės ir kontrolės įranga, padedanti nustatyti galimų informacijos saugos incidentų priežastis, taip pat naudojama saugos incidentų prevencijai.

49.1. Naudojami tik atitinkantys techninius kibernetinio saugumo reikalavimus belaidžio tinklo įrenginiai.

49.2. Belaidės prieigos taškai gali būti diegiami tik atskirame potinklyje, kontroliuojamoje zonoje.

49.3. Prisijungti prie belaidžio tinklo turi būti taikomas ryšių ir IS naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) arba TLS (angl. Transport Layer Security) protokolas ir uždrausti visi nebūtini valdymo protokolai.

52.1. Stacionarieji ir nešiojamieji IS naudotojų kompiuteriai ir kiti mobilieji įrenginiai turi būti naudojami tik tiesioginėms pareigoms atlikti.

52.2. Iš kompiuterių ir kitų mobiliųjų įrenginių, kurie perduodami taisyti trečiosioms šalims, techninei priežiūrai atlikti ar nurašomi, turi būti neatkuriamai pašalinti visi IS duomenys ir informacija.

52.3. IS naudotojai privalo naudotis visomis saugumo priemonėmis, kad apsaugotų kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo.

52.4. IS administruoti naudojami kompiuteriai prie elektros tinklo turi būti prijungti naudojant nepertraukiamo maitinimo šaltinius.

54.1. Leidžiama naudoti tik IS valdytojo nustatytus saugumo reikalavimus atitinkančius mobiliuosius įrenginius;

54.2. Turi būti taikomos papildomos saugos priemonės (elektroninės informacijos šifravimas, prisijungimo ribojimas ir pan.).

54.3. Turi būti naudojami šie slaptažodžiai – IS naudotojo slaptažodis ir administravimo slaptažodis.

54.4. Kaip papildoma duomenų saugos priemonė (naudojant kompiuterį už ministerijos ribų) gali būti naudojama programinė įranga, skirta standžiojo disko duomenims šifruoti.

54.5. Naudojant nešiojamuosius kompiuterius ir mobiliuosius įrenginius, draudžiama jungtis prie nežinomų ar nepatikimų bevielių kompiuterių tinklų, naršyti pavojingose ar nepatikimose interneto svetainėse.

54.6. Draudžiama nešiojamuosiuose kompiuteriuose ir mobiliuosiuose įrenginiuose saugoti IS informaciją (nešiojamieji kompiuteriai ir mobilieji įrenginiai gali būti naudojami tik prisijungt prie stacionariojo darbo kompiuterio).

55.1. Jungiantis prie ministerijos vidinio tinklo išteklių nuotoliniu būdu, turi būti naudojamas šifruotas prisijungimas ir papildomos tapatybės patvirtinimo priemonės – dviejų lygių autentifikacija.

55.2. Nuotolinio prisijungimo teisė ministerijos darbuotojui suteikiama vadovaujantis Nuotolinio darbo Lietuvos Respublikos finansų ministerijoje taisyklėmis, patvirtintomis Lietuvos Respublikos finansų ministro 2018 m. spalio 1 d. įsakymu Nr. 1K-331 „Dėl Nuotolinio darbo Lietuvos Respublikos finansų ministerijoje taisyklių patvirtinimo“ (toliau – Nuotolinio darbo taisyklės).

55.3. Viešaisiais ryšių tinklais perduodamos informacijos konfidencialumas turi būti užtikrintas naudojant šifravimą, virtualųjį privatų tinklą (angl. Virtual private network, VPN).

55.4. Ministerijos darbuotojų nustatytų pareigų (funkcijų) ar jų dalies atlikimo dalį darbo laiko ne nuolatinėje darbo vietoje sąlygos ir tvarka reglamentuota Nuotolinio darbo taisyklėse.

56.1. Elektroninė informacija iš susijusių registrų, informacinių sistemų gaunama ir teikiama susijusiems registrams, informacinėms sistemoms tik pagal duomenų teikimo ir gavimo sutartis nustatant duomenų naudojimo tikslus ir sąlygas, duomenų teikimo ar gavimo būdus, laiką ir periodiškumą, perduodamų duomenų specifikacijas ir tvarką.

56.2. Prieigos prie IS elektroninės informacijos teises gali suteikti tik IS administratorius. IS naudotojams suteikiamos tik jų funkcijoms atlikti būtinos teisės.

56.3. IS naudotojai jungiasi prie IS naudodami tik IS programinę įrangą, naudodamiesi techninėmis ir programinėmis priemonėmis, užtikrinančiomis saugų duomenų perdavimą kompiuterių tinklais.

56.4. Prieiga prie IS elektroninės informacijos leidžiama tik per registravimosi slaptažodžių sistemą. Prieigos prie IS elektroninės informacijos valdymas reglamentuotas IS naudotojų administravimo taisyklėse.

56.5. Prieiga prie IS suteikiama tik registruotiems ir turintiems teisę naudotis IS naudotojams.

56.6. IS naudotojui turi būti leista atlikti tik tuos veiksmus, kuriuos atlikti jam yra suteiktos teisės.

56.7. Visi IS naudotojo atliekami duomenų keitimo veiksmai fiksuojami žurnalų įrašuose.

56.8. Neaktyvumo dirbant su IS laikas, kuriam pasibaigus IS naudotojų ryšio sesijos automatiškai nutraukiamos, nustatytas IS naudotojų administravimo taisyklėse. Automatinis IS sesijos nutraukimas, tapatybės kodo blokavimas taikomi ten, kur tai leidžia naudojamos technologijos.

56.9. Kiekvienas atitinkamos IS tvarkytojas atsako už elektroninės informacijos, kuri jam prieinama naudojant IS, tvarkymo teisėtumą ir tvarkomų duomenų saugą.

56.10.  Ministerijos IS duomenų teikėjai ir (arba) gavėjai už duomenų tvarkymo teisėtumą ir gautų arba teikiamų duomenų saugą atsako teisės aktuose, reglamentuojančiuose saugų elektroninės informacijos tvarkymą, nustatyta tvarka.

56.11.  Pasibaigus IS naudotojo valstybės tarnybos santykiams ar darbo sutarčiai, teisė naudotis IS elektronine informacija turi būti panaikinta. IS naudotojui prieiga prie IS turi būti ribojama ar sustabdoma, kai vyksta IS naudotojo veiklos tyrimas, IS naudotojas turi ilgesnės trukmės atostogas arba keičiasi jo atliekamos ir (ar) pareigybės aprašyme nurodytos funkcijos.

56.12.  Elektroninei informacijai teikti ir (ar) gauti iš kitų valstybės institucijų naudojamasi Kertinio valstybės telekomunikacijų centro teikiama paslauga – Saugiu valstybiniu duomenų perdavimo tinklu (SVDPT) arba ribojant prieigą pagal IP adresą, jei teikėjas ar gavėjas nėra šio tinklo naudotojas.

56.13.  Prieiga prie ministerijos IS programinio išeities kodo suteikiama tik IS priežiūros, plėtros ar palaikymo paslaugas teikiančiam teikėjui, pasirašiusiam finansų ministro nustatytos formos įsipareigojimą saugoti duomenų, įskaitant asmens duomenis, informacijos paslaptį.

56.14.  Ministerijos kompiuterinėse darbo vietose turi būti naudojamos tik tarnybinės išorinės duomenų laikmenos (USB, CD / DVD ir kt.) ir kiti tarnybiniai įrenginiai, kurie yra išduoti tarnybinėms funkcijoms atlikti.

57.1. Atsarginės IS elektroninės informacijos kopijos turi būti daromos ir saugomos tokios apimties, kad ministerijos IS veiklos sutrikimo, IS elektroninės informacijos saugos (kibernetinio saugumo) incidento ar elektroninės informacijos vientisumo praradimo atveju IS elektroninės informacijos praradimas atitiktų priimtinumo kriterijus.

57.2. IS atsarginės duomenų bazės kopijos daromos periodiškai automatiniu būdu. Bent kartą per savaitę daroma visos apimties kopija, pasikeitimų kopijos – kiekvieną dieną, žurnalų kopijos (jei daromos) – ne rečiau kaip kas valandą;

57.3. IS duomenų bazių kopijos daromos IS administratorių į nutolusį kopijų serverį.

57.4. IS duomenų bazių kopijos IS infrastruktūros administratorių papildomai įrašomos į magnetines laikmenas (juosteles).

57.5. Atkūrimas iš IS elektroninės informacijos kopijų turi būti išbandomas.

57.6. Atsarginių IS elektroninės informacijos kopijų darymas ir atkūrimo bandymas turi būti fiksuojami.

57.7. Atsarginės kopijos turi būti saugomos kitoje patalpoje, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota. IS elektroninė informacija kopijose turi būti užšifruota (šifravimo raktai turi būti saugomi atskirai nuo kopijų) ir saugiai laikomos visiškai atjungus (angl. offline) nuo kompiuterinių tinklų arba turi būti imtasi kitų priemonių, dėl kurių nebūtų galima neteisėtai atkurti elektroninės informacijos, jei kopija daroma ar saugoma ne ministerijos patalpose.

57.8. Prireikus atkurti atsargines kopijas, teisę tam turi tik IS administratorius ar jį pavaduojantis asmuo. Periodiškai, bet ne rečiau kaip kartą per metus, turi būti atliekami IS elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai.

57.9. Patekimas į patalpas, kuriose saugomos atsarginės IS elektroninės informacijos kopijos, turi būti kontroliuojamas.

57.10.  IS infrastruktūros administratorius atsako už IS atsarginių kopijų darymą, tikrinimą, saugojimą ir atkūrimą. Atsarginės kopijos daromos IS saugaus elektroninės informacijos tvarkymo taisyklėse nustatyta tvarka.

61.1. IS saugos įgaliotinis privalo išmanyti IS elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, tobulinti kvalifikaciją elektroninės informacijos saugos srityje, savo darbe vadovautis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašu ir kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais elektroninės informacijos saugą.

61.2. IS saugos įgaliotinis, IS administratorius ir IS infrastruktūros administratorius turi atitikti Valstybės informacinių išteklių valdymo įstatymo 42 straipsnyje nustatytus reikalavimus.

61.3. IS administratoriai pagal kompetenciją privalo išmanyti IS elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo principus, mokėti užtikrinti IS ir joje tvarkomos elektroninės informacijos saugą (kibernetinį saugumą), administruoti ir prižiūrėti duomenų bazes ir priskirtas IS, IS komponentus (stebėti IS komponentų veikimą, atlikti jų profilaktinę priežiūrą, trikčių diagnostiką ir šalinimą, sugebėti užtikrinti nepertraukiamą IS komponentų veikimą ir pan.), IS administratoriai turi būti susipažinę su IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentais bei Lietuvos ir tarptautiniais „Informacinės technologijos. Saugumo metodai“ grupės standartais ir sutikę laikytis IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentų reikalavimų.

61.4. IS infrastruktūros administratorius privalo išmanyti IS elektroninės informacijos saugos (kibernetinio saugumo) principus, administruoti ir prižiūrėti IS komponentus (kompiuterius, serverius, operacines sistemas, taikomųjų programų sistemas, užkardas, įsilaužimo aptikimo sistemas, duomenų perdavimo tinklus), taip pat mokėti užtikrinti jų saugumą, turi būti susipažinęs su IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentais bei Lietuvos ir tarptautiniais „Informacinės technologijos. Saugumo metodai“ grupės standartais ir sutikęs laikytis IS saugos ir kibernetinio saugumo politikos įgyvendinimo dokumentų reikalavimų.

61.5. IS vidiniai naudotojai turi būti susipažinę su teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, Saugos nuostatais, IS naudotojų administravimo taisyklėmis ir IS saugaus elektroninės informacijos tvarkymo taisyklėmis, sutikę laikytis šių teisės aktų reikalavimų, taip pat turi būti susipažinę su kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą (kibernetinį saugumą).

61.6. IS išoriniai naudotojai ir ministerijos IS plėtros ir palaikymo paslaugų teikėjai turi būti susipažinę su teisės aktais, reglamentuojančiais asmens duomenų tvarkymą, Saugos nuostatais, IS naudotojų administravimo taisyklėmis ir Saugaus elektroninės informacijos tvarkymo taisyklėmis, sutikę laikytis šių teisės aktų reikalavimų.

61.7. IS saugos įgaliotinis, IS infrastruktūros administratorius, IS administratorius ir IS naudotojai pagal kompetenciją privalo išmanyti pagrindinius informacijos saugos principus, mokėti saugiai tvarkyti elektroninę informaciją, nuolat kelti kvalifikaciją saugaus elektroninės informacijos tvarkymo kursuose, mokymuose, seminaruose.

61.8. IS vidinių naudotojų, administratorių, IS infrastruktūros administratoriaus ir IS saugos įgaliotinio kvalifikacija turi atitikti reikalavimus, nustatytus jų pareiginiuose nuostatuose ar pareigybių aprašymuose.

65.1. IS naudotojams turi būti įvairiais būdais primenama apie IS elektroninės informacijos saugos (kibernetinio saugumo) problemas (pavyzdžiui, priminimai elektroniniu paštu, teminių renginių organizavimas, atmintinės naujiems IS naudotojams, IS administratoriams ir pan.).

65.2. Mokymai IS elektroninės informacijos saugos (kibernetinio saugumo) klausimais turi būti planuojami ir mokymo būdai parenkami atsižvelgiant į IS elektroninės informacijos saugos (kibernetinio saugumo) užtikrinimo prioritetines kryptis ir tikslus, įdiegtas ar planuojamas įdiegti technologijas (techninę ar programinę įrangą), IS saugos įgaliotinio, IS administratorių, IS infrastruktūros administratorių ir IS naudotojų poreikius.

65.3. Mokymai gali būti vykdomi fiziškai susirenkant (pavyzdžiui, paskaitos, seminarai, konferencijos ir kiti teminiai renginiai) ar nuotoliniu būdu (pavyzdžiui, vaizdo konferencijos, mokomosios medžiagos pateikimas elektroninėje erdvėje ir pan.).

65.4. Mokymai IS naudotojams turi būti organizuojami periodiškai, bet ne rečiau kaip kartą per metus. Už mokymų organizavimą atsakingas IS saugos įgaliotinis. Mokymai IS saugos įgaliotiniui, IS administratoriams ir IS infrastruktūros administratoriams turi būti organizuojami pagal poreikį.