3.1. turi būti periodiškai atliekamas informacinės sistemos informacinių technologijų saugos atitikties vertinimas (toliau – atitikties vertinimas);

3.2. informacinė sistema turi registruoti bent vieną paskutinį informacinės sistemos elektroninės informacijos pakeitimą atlikusį informacinės sistemos naudotoją ir pakeitimo laiką;

3.3. informacinės sistemos priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą administratoriaus identifikatorių, kuriuo naudojantis nebūtų galima atlikti informacinės sistemos naudotojo funkcijų;

3.4. kiekvienas informacinės sistemos naudotojas turi būti informacinėje sistemoje unikaliai identifikuojamas – informacinės sistemos naudotojas turi patvirtinti savo tapatybę slaptažodžiu arba kita autentiškumo patvirtinimo priemone;

3.5. informacinės sistemos naudotojui teisė dirbti su konkrečia elektronine informacija turi būti ribojama ar sustabdoma, kai informacinės sistemos naudotojas atostogauja, vykdomas informacinės sistemos naudotojo veiklos tyrimas ir pan.; pasibaigus tarnybos (darbo) santykiams, informacinės sistemos naudotojo teisė naudotis informacine sistema turi būti panaikinta;

3.6. baigus darbą turi būti imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo informacinės sistemos, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai padedami į pašaliniams asmenims neprieinamą vietą ir pan.;

3.7. informacinės sistemos naudotojui neatliekant jokių veiksmų, informacinė sistema turi užsirakinti, kad toliau naudotis informacine sistema galima būtų tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus;

3.8. institucija turi išsiaiškinti, kiek ji ilgiausiai gali tęsti savo funkcijų įgyvendinimą neveikiant informacinei sistemai ar jos daliai; institucijos informacinės sistemos veiklos tęstinumo valdymo planas turi užtikrinti informacinės sistemos veiklos atkūrimą per šį laikotarpį; turi būti parengtas veiksmų planas, užtikrinantis informacinės sistemos veiklos atnaujinimą ketvirtosios kategorijos informacinėms sistemoms per 16 val., trečiosios kategorijos informacinėms sistemoms – per 8 val., antrosios kategorijos informacinėms sistemoms – per 1 val., pirmosios kategorijos informacinėms sistemoms – per 15 min.;

3.9. reikalavimai informacinės sistemos įrangai ir patalpoms:

4.1. atitikties vertinimas turi būti atliekamas ne rečiau kaip kartą per dvejus metus, jei teisės aktuose nenustatyta kitaip;

4.2. informacinė sistema turi perspėti administratorių, kai pagrindinėje informacinės sistemos kompiuterinėje įrangoje sumažėja iki nustatytos pavojingos ribos laisvos kompiuterio atminties ar vietos diske, ilgą laiką stipriai apkraunamas centrinis procesorius ar kompiuterių tinklo sąsaja;

4.3. viešaisiais telekomunikaciniais tinklais perduodamos informacinės sistemos elektroninės informacijos konfidencialumas turi būti užtikrintas, naudojant šifravimą, virtualų privatų tinklą (angl. virtual private network), skirtines linijas, saugų valstybinį duomenų perdavimo tinklą ar kitas priemones;

4.4. informacinė sistema turi turėti įvestos elektroninės informacijos tikslumo, užbaigtumo ir patikimumo tikrinimo priemones;

4.5. informacinėje sistemoje turi būti registruojami ir nustatytą laiką saugomi duomenys apie informacinės sistemos įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis informacinėje sistemoje, kitus saugai svarbius įvykius, nurodant informacinės sistemos naudotojo identifikatorių ir įvykio laiką; ši informacija turi būti reguliariai analizuojama;

4.6. patekimas į informacinės sistemos tarnybinių stočių patalpas turi būti kontroliuojamas;

4.7. rezervinis maitinimo šaltinis turi užtikrinti informacinės sistemos pagrindinės kompiuterinės įrangos veikimą ne mažiau nei 10 min.;

4.8. jei informacinės sistemos tarnybinių stočių patalpose esančios įrangos bendras galingumas yra daugiau nei 10 kilovatų, turi būti įrengta oro kondicionavimo įranga;

4.9. institucija turi numatyti atsargines patalpas, į kurias galėtų laikinai perkelti informacinės sistemos įrangą, nesant galimybių tęsti veiklą pagrindinėse patalpose; institucijos informacinės sistemos veiklos tęstinumo valdymo planas turi užtikrinti informacinės sistemos veiklos atnaujinimą atsarginėse patalpose per tokį laikotarpį, kad nebūtų nusižengta institucijos įsipareigojimams, susijusiems su informacinės sistemos veikla;

4.10. kopijų darymas turi būti fiksuojamas žurnale;

4.11. kopijos turi būti saugomos užrakintoje nedegioje spintoje;

4.12. elektroninė informacija kopijose turi būti užšifruota arba turi būti imtasi kitų priemonių, neleidžiančių panaudoti kopijų neteisėtam elektroninės informacijos atkūrimui;

4.13. periodiškai turi būti atliekami elektroninės informacijos atkūrimo iš kopijų bandymai;

4.14. atsarginės laikmenos su programine įranga turi būti laikomos nedegioje spintoje;

4.15. slaptažodis turi būti keičiamas ne rečiau kaip kas 6 mėnesius;

4.16. slaptažodį turi sudaryti ne mažiau kaip 6 simboliai;

4.17. slaptažodis turi būti sudarytas iš raidžių, skaičių ir specialiųjų simbolių;

4.18. keičiant slaptažodį informacinė sistema neturi leisti nustatyti slaptažodžio iš buvusių 3 paskutinių slaptažodžių;

4.19. slaptažodžiams neturi būti naudojama asmeninio pobūdžio informacija;

4.20. pirmojo prisijungimo prie informacinės sistemos metu iš informacinės sistemos naudotojo turi būti reikalaujama, kad jis pakeistų slaptažodį;

4.21. turi būti draudžiama slaptažodžius atskleisti tretiesiems asmenims.

5.1. šių reikalavimų 4 punkte nurodyti techniniai saugos reikalavimai;

5.2. atitikties vertinimas turi būti atliekamas ne rečiau kaip kartą per metus, jei teisės aktuose nenustatyta kitaip;

5.3. turi būti reglamentuota nešiojamųjų kompiuterių, skirtų informacinės sistemos elektroninės informacijos tvarkymui, naudojimo ne institucijos patalpose tvarka;

5.4. svarbiausia kompiuterinė įranga ir duomenų perdavimo tinklo mazgai turi turėti rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne mažiau kaip 30 min.;

5.5. svarbiausia kompiuterinė įranga, duomenų perdavimo tinklo mazgai ir ryšio linijos turi būti dubliuoti ir jų techninė būklė nuolat stebima;

5.6. kompiuterinės įrangos gedimai turi būti registruojami žurnale;

5.7. kompiuterinėse darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, kurios turi būti reguliariai atnaujinamos;

5.8. programinės įrangos diegimą turi atlikti tik įgalioti asmenys;

5.9. programinės įrangos testavimas turi būti atliekamas naudojant atskirą tam skirtą testavimo aplinką;

5.10. informacinė sistema turi registruoti visus elektroninės informacijos pakeitimus, juos atlikusį naudotoją ir pakeitimų atlikimo laiką;

5.11. tarnybinių stočių įvykių žurnaluose (angl. event log) turi būti registruojami ir nustatytą laiką saugomi duomenys apie: įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis informacinėje sistemoje, bandymus prieiti prie informacinių išteklių, kitus svarbius saugai įvykius, nurodant informacinės sistemos naudotojo identifikatorių ir įvykio laiką, ši informacija turi būti reguliariai analizuojama;

5.12. patekimas į tarnybinių stočių patalpas turi būti registruojamas;

5.13. tarnybinių stočių patalpų durys turi būti šarvuotos ir apsaugotos bent dviem skirtingos konstrukcijos spynomis;

5.14. tarnybinių stočių patalpose turi būti oro kondicionavimo ir drėgmės kontrolės įranga;

5.15. visose patalpose turi būti įrengti gaisro ir įsilaužimo davikliai, prijungti prie pastato signalizacijos ir apsaugos tarnybų;

5.16. patekimas prie darbo vietų turi būti kontroliuojamas;

5.17. atsarginės patalpos turėtų tenkinti pagrindinėms patalpoms keliamus reikalavimus arba institucijos informacinės sistemos veiklos tęstinumo valdymo planas turi nustatyti, kaip per minimalų laikotarpį pasiekti šių reikalavimų atitiktį;

5.18. kopijos turi būti saugomos užrakintoje nedegioje spintoje, kitose patalpose, nei yra įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate;

5.19. patekimas į patalpas, kuriose laikomos kopijos, turi būti registruojamas žurnale;

5.20. slaptažodis turi būti keičiamas ne rečiau kaip kas 3 mėnesius;

5.21. slaptažodį turi sudaryti ne mažiau kaip 8 simboliai;

5.22. keičiant slaptažodį informacinė sistema neturi leisti nustatyti slaptažodžio iš buvusių 6 paskutinių slaptažodžių;

5.23. administratorius savo tapatybę turi patvirtinti slaptažodžiu, kuriam keliami aukštesni reikalavimai negu naudotojų slaptažodžiams, arba kitomis autentiškumo patvirtinimo priemonėmis (pvz., biometrinėmis, lustinėmis kortelėmis ir pan.).

6.1. šių reikalavimų 5 punkte nurodyti techniniai saugos reikalavimai;

6.2. institucija turi įgyvendinti Lietuvos standarte LST ISO/IEC 17799:2006 nurodytas technines saugos priemones, išskyrus priemones, kurios netaikytinos dėl institucijos veiklos, informacinės sistemos ar naudojamos informacinėje sistemoje techninės įrangos pobūdžio;

6.3. atliekant atitikties vertinimą, turi būti atliekamas atitikties reikalavimų 6.2 punkte nurodytiems reikalavimams vertinimas, kurį turi atlikti nepriklausomi specialistai.