1. Bendrosios (visiems vienodos) žinybinių saugumo priežiūros tarnybų steigimo ir veiklos taisyklės (toliau – Taisyklės) nustato žinybinių saugumo priežiūros tarnybų (toliau – žinybinė SPT) steigimą, funkcijas, atskaitomybę, veiklos koordinavimą, ir panaikinimą.

2. Taisyklėse vartojamos sąvokos:

Saugumo priežiūros tarnyba (toliau – SPT) – Lietuvos Respublikos Vyriausybės įgaliota valstybės institucija, vykdanti leidimų automatizuotai apdoroti ir perduoti įslaptintą informaciją automatizuoto duomenų apdorojimo (toliau vadinama – ADA) sistemomis ir tinklais išdavimo, šių sistemų ir tinklų apsaugos kontrolės paslapčių subjektuose ir kitas teisės aktuose numatytas funkcijas.

Žinybinė SPT – šiose Taisyklėse nustatyta tvarka paslapčių subjekto vadovo ar jo įgalioto asmens sprendimu įsteigtas arba įgaliotas struktūrinis paslapčių subjekto padalinys, institucija ar įstaiga, vykdanti ADA sistemų ir tinklų apsaugos kontrolės ir leidimų automatizuotai apdoroti ir perduoti įslaptintą informaciją paslapčių subjekto ADA sistemomis ir tinklais išdavimo funkcijas.

Kitos taisyklėse vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatyme (Žin., 1999, Nr. 105-3019; 2004, Nr. 4-29) bei kituose teisės aktuose.

3. Žinybinė SPT savo veikloje vadovaujasi Lietuvos Respublikos Konstitucija, Lietuvos Respublikos tarptautinėmis sutartimis, įstatymais, kitais Lietuvos Respublikos teisės aktais, NATO ir Europos Sąjungos (toliau – ES) įslaptintos informacijos apsaugą reglamentuojančiais dokumentais ir šiomis Taisyklėmis.

4. Žinybinė SPT atlieka šias funkcijas:

5. Paslapčių subjektas, siekiantis įsteigti žinybinę SPT, Lietuvos Respublikos paslapčių koordinavimo komisijai (toliau – komisija) turi pateikti motyvuotą prašymą dėl žinybinės SPT įsteigimo tikslingumo ir dokumentaciją, pagrindžiančią žinybinės SPT būtinumą, kurioje nurodoma paslapčių subjekto valdomų ADA sistemų ir tinklų skaičius, paskirtis, šių ADA sistemų ir tinklų slaptumo žymos, naudotojų kiekis, ADA sistemos ir tinklo aprėptis geografiniu požiūriu. Komisija turi teisę prašyti pateikti papildomą informaciją.

6. Žinybinė SPT gali būti steigiama tik komisijai priėmus sprendimą dėl jos steigimo tikslingumo.

7. Paslapčių subjektas, siekdamas įregistruoti žinybinę SPT, turi pateikti SPT prašymą dėl žinybinės SPT įregistravimo, komisijos sprendimo dėl žinybinės SPT steigimo tikslingumo kopiją, žinybinės SPT nuostatus ir žinybinės SPT darbuotojų pareigybių aprašymus.

8. Žinybinė SPT savo veiklą gali pradėti tik tada, kai šiose Taisyklėse nustatyta tvarka yra įregistruojama SPT.

9. SPT ne vėliau kaip po 10 (dešimt) darbo dienų nuo dokumentų gavimo ir, prireikus atlikto žinybinės SPT patikrinimo, turi priimti vieną iš šių sprendimų:

10. Jeigu SPT priima taisyklių 9.2 punkte numatytą sprendimą, sprendimo motyvo kopija turi būti pateikta dėl žinybinės SPT įregistravimo besikreipiančiam paslapčių subjektui ir komisijai.

11. Atsisakius įregistruoti žinybinę SPT pakartotinis prašymas dėl žinybinės SPT įregistravimo SPT gali būti pateiktas tik pašalinus sprendimo motyve nurodytus trūkumus.

12. SPT koordinuoja žinybinių saugumo priežiūros tarnybų veiklą, susijusią su ADA sistemų ir tinklų apsaugos kontrolės ir leidimų automatizuotai apdoroti ir perduoti įslaptintą informaciją paslapčių subjekto ADA sistemomis ir tinklais išdavimo funkcijų vykdymu.

13. Žinybinė SPT privalo nedelsdama, bet ne vėliau kaip per 2 (dvi) darbo dienas, pranešti SPT apie žinybinės SPT išduotus leidimus automatizuotai apdoroti ir perduoti įslaptintą informaciją paslapčių subjekto ADA sistemomis ir tinklais.

14. Žinybinė SPT privalo nedelsdama pranešti SPT apie žinybinės SPT kompetencijai priskirtose ADA sistemose ir tinkluose įvykusius saugumo incidentus, keliančius grėsmę ADA sistemoms ir tinklams ar juose tvarkomai įslaptintai informacijai, ir imasi priemonių šiems incidentams likviduoti.

15. SPT, įregistravus žinybinę SPT arba jos registravimo metu bei kartą per trejus kalendorinius metus, atlieka žinybinės SPT veiklos, susijusios su ADA sistemų ir tinklų apsaugos kontrolės ir leidimų automatizuotai apdoroti ir perduoti įslaptintą informaciją paslapčių subjekto, ADA sistemomis ir tinklais išdavimo funkcijų vykdymu, patikrinimus.

16. Patikrinimo metu konstatavus, kad žinybinės SPT veikla neatitinka teisės aktuose nustatytų reikalavimų, SPT kreipiasi į paslapčių subjektą, kuriame yra įsteigta minėta žinybinė SPT, su prašymu pašalinti nustatytus trūkumus.

17. Laiku, be pateisinamų priežasčių, nepašalinus nurodytų trūkumų ir / ar apie tai nepranešus SPT, SPT inicijuoja žinybinės SPT išregistravimą. Trūkumų šalinimo metu gali būti sustabdyti ar panaikinti minėtos žinybinės SPT išduoti leidimai automatizuotai apdoroti ir perduoti įslaptintą informaciją paslapčių subjekto ADA sistemomis ir tinklais.

18. Įsteigta žinybinė SPT gali būti panaikinta žinybinę SPT įsteigusio paslapčių subjekto sprendimu. Apie žinybinės SPT panaikinimą informuojama SPT ir komisija.

19. Panaikinus ar išregistravus žinybinę SPT visi jos įgaliojimai, teisės, išduoti ADA sistemoms leidimai ir kiti dokumentai atitenka SPT.

20. SPT sprendimai dėl žinybinės SPT veiklos (neregistravimo, išregistravimo, patikrinimų ir kitais klausimais) gali būti skundžiami komisijai.

1. Dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, rengimo ir leidimų automatizuotai apdoroti įslaptintą informaciją išdavimo taisyklės nustato dokumentų, teikiamų paslapčių subjekto, valdančio automatizuoto duomenų apdorojimo (toliau – ADA) sistemą ir tinklą (toliau – valdytojas), siekiant gauti leidimą, automatizuotai apdoroti ir perduoti įslaptintą informaciją ADA sistemomis ir tinklais arba siekiant sujungti ADA sistemas ir tinklus, žymimas slaptumo žymomis „Konfidencialiai“, „Slaptai“ ir „Visiškai slaptai“ (toliau – įslaptinta informacija), turinį, leidimų rūšis ir jų išdavimo procedūrą .

2. Taisyklėse vartojamos sąvokos:

Saugumo aplinka – apibrėžta teritorija, patalpa ar erdvė, kurioje išdėstyta įranga, užtikrinanti įslaptintą informaciją tvarkančios ADA sistemos ir tinklo veikimą, kurioje nustatytos atitinkamos saugumo valdymo procedūros arba kurioje tvarkoma įslaptinta informacija.

Saugumo valdymo procedūros – Saugumo valdymo procedūrų apraše aprašytos įslaptintos informacijos apsaugos reikalavimų įgyvendinimo instrukcijos.

Globali saugumo aplinka – perimetro fizinės apsaugos priemonėmis apsaugota saugumo aplinka, kurioje įdiegti ADA sistema ir tinklai ar jų sudėtinės dalys.

Lokali saugumo aplinka – globalios saugumo aplinkos apsuptos I ir (ar) II klasių saugumo zonos, kuriose įdiegti ir arba eksploatuojami ADA sistemos ir tinklai ar jų sudėtinės dalys.

Elektroninė saugumo aplinka – saugumo aplinka, kurioje elektroniniu būdu tvarkoma įslaptinta informacija, kuri yra saugoma techninėmis ir programinėmis ADA sistemų ir tinklų apsaugos priemonėmis.

Grėsmė – vienos ar daugiau įslaptintos informacijos savybių – konfidencialumo, vientisumo ar prieinamumo – praradimo galimybė.

Rizika – grėsmės pasireiškimo per tam tikrą laiko tarpą tikimybė.

Pažeidžiamumas –ADA sistemos ir tinklo savybė, sudaranti galimybę pasireikšti grėsmei.

Kitos taisyklėse vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatyme (Žin., 1999, Nr. 105-3019; 2004, Nr. 4-29) bei kituose teisės aktuose.

3. Leidimų automatizuotai apdoroti ir perduoti įslaptintą informaciją ADA sistemomis ir tinklais išdavimo procedūra apima:

4. Paslapčių subjektams, valdantiems ADA sistemas ir tinklus, gali būti išduoti trijų tipų leidimai automatizuotai apdoroti ir perduoti įslaptintą informaciją ADA sistemomis ir tinklais:

5. ADA sistemų ir tinklų apsauga užtikrinama vadovaujantis Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymu (Žin., 1999, Nr. 105-3019; 2004, Nr. 4-29), Lietuvos Respublikos paslapčių apsaugos koordinavimo komisijos nustatytais reikalavimais, Saugumo priežiūros tarnybos patvirtintais Automatizuoto duomenų apdorojimo sistemų ir tinklų, kuriuose bus saugoma, apdorojama ar kuriais bus perduodama įslaptinta informacija, saugumo reikalavimais, Nacionalinės šifrų paskirstymo tarnybos bei Nacionalinės komunikacijų apsaugos tarnybos nustatytais reikalavimais ir kitais Lietuvos Respublikos, NATO ir Europos Sąjungos įslaptintos informacijos apsaugą reglamentuojančiais dokumentais.

6. Valdytojas, siekdamas gauti leidimą, žinybinei saugumo priežiūros tarnybai (toliau – žinybinė SPT) arba, jeigu žinybinė SPT nėra įsteigta – Saugumo priežiūros tarnybai (toliau – SPT), turi pateikti paraišką leidimui gauti. Kartu su paraiška leidimui gauti turi būti pateikiami šie ADA sistemos ir tinklo apsaugą aprašantys dokumentai:

7. Specifinių saugumo reikalavimų aprašas (toliau – SSRA) – tai ADA sistemos ir tinklo apsaugos organizavimo principų ir detalių saugumo reikalavimų sąvadas. SSRA tikslas yra apibrėžti saugios ADA sistemos ir tinklo būseną, jos saugumui kylančias grėsmes ir reikalavimus, keliamus ADA sistemos ir tinklo apsaugai. SSRA privalomai turi būti pateikta ši informacija:

8. Saugumo valdymo procedūrų aprašas (toliau – SVPA) – tai dokumentas, kuriame tiksliai aprašomas SSRA įvardytų reikalavimų įgyvendinimas ir ADA sistemos ir tinklo apsaugos organizavimo užtikrinimo procedūros.

9. SVPA privalomai turi būti nurodyta:

10. Rizikos analizės tikslas yra išsiaiškinti rizikos valdymo principus, galimas ADA sistemos ir tinklo grėsmes, pažeidžiamumus, įgyvendintas ir galimas įgyvendinti saugos priemones, taip pat priimtiną rizikos lygį ir liekamosios rizikos veiksnius. Rengiant rizikos analizę rekomenduojama vadovautis Vidaus reikalų ministerijos parengtu ir išleistu Rizikos analizės vadovu.

11. Rizikos analizė turi būti atliekama tam tikslui sistemos valdytojo sudarytos, įvairių ADA sistemos ir tinklo sričių specialistų grupės (toliau – specialistų grupė). Rizikos analizėje turi būti pateikiama ši informacija:

12. Saugumo reikalavimų įgyvendinimo patikrinimo plano tikslas – patikrinti informaciją apie SSRA ir SVPA nurodytų apsaugos priemonių įgyvendinimą ADA sistemoje ir tinkle. Saugumo reikalavimų įgyvendinimo patikrinimo plane turi būti pateikiama ši informacija:

13. Visi šių taisyklių 6 punkte nurodyti dokumentai gali būti papildyti kita, su ADA sistemos ir tinklo saugumu susijusia informacija. Šie dokumentai saugos įgaliotinio teikimu tvirtinami ADA sistemos ir tinklo valdytojo.

14. Sprendimą dėl leidimo, laikino leidimo ar riboto leidimo išdavimo, neišdavimo, galiojimo sustabdymo, anuliavimo ar atsisakymo vertinti ADA sistemą ir tinklus priima žinybinė saugumo priežiūros tarnyba (toliau – žinybinė SPT) ar saugumo priežiūros tarnyba (toliau – SPT).

15. Leidimas gali būti išduodamas tik vertinimo ir patikrinimo išdavoje nustačius ADA sistemų ir tinklų atitiktį šių taisyklių 5 punkte nustatytiems reikalavimams. Leidimas turi būti išduodamas ne vėliau kaip per 3 mėnesius nuo paslapčių subjekto kreipimosi. ADA sistema ar tinklu leidžiamų atlikti funkcijų apimtis, atitiktis nustatytiems reikalavimams nustatoma ADA sistemos ar tinklo vertinimo ir patikrinimo išvadoje.

16. Laikinas leidimas išduodamas vertinimo išdavoje nustačius ADA sistemų ir tinklų atitiktį šių taisyklių 5 punkte nustatytiems reikalavimams, tačiau dėl objektyvių sąlygų nesant galimybės atlikti patikrinimą arba vertinimo ir patikrinimo išdavoje nustačius ADA sistemų ir tinklų atitikties nustatytiems reikalavimams trūkumus, kurie nekelia kritinės grėsmės ADA sistemų ir tinklų saugumui, yra žinomi tikrinamo paslapčių subjekto ir sudarytas paslapčių subjekto vadovo patvirtintas trūkumų šalinimo planas. ADA sistema ar tinklu leidžiamų atlikti funkcijų apimtis, atitiktis nustatytiems reikalavimams nustatyti trūkumai, kurie nekelia kritinės grėsmės ADA sistemos ir tinklo saugumui, nustatoma ADA sistemos ar tinklo vertinimo ir patikrinimo išvadoje.

17. Ribotas leidimas išduodamas vertinimo ir patikrinimo išdavoje nustačius ADA sistemų ir tinklų atitiktį šių taisyklių 5 punkte nustatytiems reikalavimams pagal paslapčių subjekto prašomų leisti atlikti veiksmų apimtį arba vertinimo ir patikrinimo išdavoje nustačius ADA sistemų ir tinklų atitikties nustatytiems reikalavimams trūkumus, kurie nekelia kritinės grėsmės ADA sistemų ir tinklų saugumui ir yra žinomi tikrinamo paslapčių subjekto. ADA sistema ar tinklu leidžiamų atlikti funkcijų apimtis nustatoma ADA sistemos ar tinklo vertinimo ir patikrinimo išvadoje.

18. Prireikus vertinti ir patikrinti ADA sistemą ir tinklą, žinybinė SPT ar SPT teisės aktų nustatyta tvarka gali inicijuoti vertinimo ir patikrinimo darbo grupės sudarymą ar inicijuoti kreipimąsi į nepriklausomus ekspertus.

19. Žinybinė SPT ar SPT turi teisę bet kuriuo ADA sistemos ir tinklo vertinimo ar patikrinimo momentu reikalauti iš sistemos valdytojo papildomų dokumentų, o per nustatytą terminą negavus reikalaujamų dokumentų atsisakyti išduoti prašomą leidimą, laikiną leidimą ar ribotą leidimą.

20. Žinybinė SPT ar SPT per 5 darbo dienas nuo ADA sistemos ir tinklo patikrinimo arba, jei toks patikrinimas buvo atliktas vertinimo ir patikrinimo darbo grupės, nuo jų pateiktų rezultatų gavimo sistemos valdytojui pateikia:

21. Leidimų, laikinų leidimų ir ribotų leidimų geografiškai nutolusiomis, priklausančiomis skirtingoms institucijoms ar valstybėms ADA sistemomis ir tinklais automatizuotai apdoroti įslaptintą informaciją, išdavimui turi būti sukurta sujungtų ADA sistemų ir tinklų vertinimo ir patikrinimo taryba (toliau – akreditavimo taryba). Akreditavimo tarybą gali sudaryti žinybinės (-ių) SPT, SPT, institucijų, atliekančių Nacionalinės komunikacijų apsaugos tarnybos, Nacionalinės šifrų paskirstymo tarnybos, apsaugos nuo elektromagnetinio spinduliavimo tarnybų funkcijas, Paslapčių apsaugos koordinavimo komisijos, asmenys, atsakingi už ADA sistemos ir tinklo saugumą (toliau – akreditavimo tarybos nariai). Akreditavimo tarybos veikla remiasi tarp akreditavimo tarybos narių pasirašytu susitarimu, kuriame nusakoma akreditavimo tarybos narių įgaliojimai, akreditavimo tarybos funkcijos. Akreditavimo taryba ADA sistemos ir tinklo vertinime ir patikrinime turi vadovautis šiomis taisyklėmis ir kitais Lietuvos Respublikos teisės aktais.

22. Akreditavimo taryba turi būti sudaryta prieš pradedant sujungtų ADA sistemų ir tinklų vertinimą ir patikrinimą, o panaikinta panaikinus ADA sistemų ir tinklų sujungimą. Akreditavimo taryba turi būti suburta, kuomet įvykdomi esminiai pakeitimai ADA sistemose ir tinkluose, veikiantys sujungtų ADA sistemų ir tinklų saugumą, arba likus iki leidimo galiojimo pabaigos ne mažiau kaip 4 mėnesiams.

23. ADA sistemų ir tinklų valdytojai, siekiantys gauti leidimą sujungtomis ADA sistemomis ir tinklais apdoroti ir perduoti įslaptintą informaciją, ADA sistemų vertinimo ir patikrinimo tarybai pateikia šių taisyklių 6 punkte nurodytus dokumentus ir papildo juos ADA sistemų ir tinklų ribų apsaugos mechanizmų reikalavimais, numatytais institucijos, atliekančios Nacionalinės komunikacijų apsaugos tarnybos funkcijas, nustatyta tvarka. Leidimo sujungtai ADA sistemai ir tinklui išdavimo procesas gali būti pradėtas tik ADA sistemoms ir tinklams, kurie jau turi leidimus, laikinus leidimus ar ribotus leidimus ir pateikus šių leidimų kopijas akreditavimo tarybai.

24. Sujungtų ADA sistemų vertinimas ir patikrinimas vykdomas šių taisyklių nustatyta bendra ADA sistemų ir tinklų vertinimo ir patikrinimo tvarka.

25. Jei leidimas, laikinas leidimas ar ribotas leidimas yra išduotas žinybinės SPT sprendimu, atitinkamo leidimo kopija per 2 darbo dienas nuo leidimo įregistravimo turi būti nusiųsta SPT.

26. Priėmus sprendimą neišduoti leidimo, laikino leidimo ar riboto leidimo arba anuliavus leidimo, laikino leidimo ar riboto leidimo išdavimą, pakartotinai paraiška gali būti teikiama ne anksčiau kaip po 3 mėnesių nuo šiame punkte nurodyto sprendimo priėmimo ir tik pašalinus motyvuotoje išvadoje ar sprendime dėl leidimo, laikino leidimo ar riboto leidimo anuliavimo nurodytus trūkumus.

27. Leidimas išduodamas ne ilgesniam nei 3 metų terminui. Laikinas leidimas gali būti išduodamas ne ilgesniam kaip 1 metų terminui. Riboto leidimo trukmė nustatoma priklausomai nuo funkcijų svarbos ir apimties, kurias leidžiama atlikti ADA sistema ir tinklu, tačiau negali būti ilgesnė nei 3 mėnesiai.

28. ADA sistemos ir tinklų valdytojas privalo kreiptis pakartotinai dėl leidimo ar laikino leidimo išdavimo:

29. Šių taisyklių 28 punkte nurodytais atvejais valdytojas žinybinei SPT (jei tokios nėra įsteigta – SPT) siunčia taisyklių 6 punkte nurodytą paraišką su leidimui ar laikinam leidimui gauti reikalingais dokumentais.

30. Leidimų, laikinų leidimų ar ribotų leidimų ADA sistemoms ir tinklams, ir sujungtoms ADA sistemoms ir tinklams dirbti su įslaptinta informacija apskaitą tvarko žinybinė SPT (jei tokios nėra įsteigta – SPT).

31. SPT ir žinybinė SPT pildo išduotų leidimų, laikinų leidimų ar ribotų leidimų žurnalus bei saugo leidimų, laikinų leidimų ar ribotų leidimų kopijas kartu su leidimui, laikinam leidimui ar ribotam leidimui gauti pateiktais dokumentais.

32. SPT saugo žinybinių SPT išduotų leidimų, laikinų leidimų ar ribotų leidimų ADA sistemoms ir tinklams, ir sujungtoms ADA sistemoms ir tinklams kopijas.

33. SPT ar žinybinės SPT sprendimai dėl leidimo, laikino leidimo ar riboto leidimo ADA sistemoms ir tinklams išdavimo, neišdavimo ar panaikinimo gali būti skundžiami Lietuvos Respublikos paslapčių apsaugos koordinavimo komisijai.

1. Automatizuoto duomenų apdorojimo sistemų ir tinklų, kuriuose bus saugoma, apdorojama ar kuriais bus perduodama įslaptinta informacija, saugumo reikalavimų aprašo (toliau – reikalavimai) tikslas – nustatyti reikalavimus automatizuoto duomenų apdorojimo (toliau – ADA) sistemoms ir tinklams, kuriuose saugoma, apdorojama ar kuriais perduodama įslaptinta informacija, žymima slaptumo žymomis „Konfidencialiai“, „Slaptai“ ir „Visiškai slaptai“, siekiant užtikrinti ADA sistemose saugomos, apdorojamos ir ADA tinklais perduodamos įslaptintos informacijos slaptumą (konfidencialumą), šios informacijos bei ADA sistemų ir tinklų paslaugų ir išteklių vientisumą ir prieinamumą viso ADA sistemų ir tinklų gyvavimo ciklo metu.

2. Reikalavimuose vartojamos sąvokos:

ADA sistemos ar tinklo valdytojas – paslapčių subjektas, kuris nustato ADA sistemos ar tinklo tikslus, užsako, sukuria arba įsigyja ir valdo ADA sistemą ar tinklą.

ADA sistemos ar tinklo tvarkytojas – paslapčių subjektas, struktūrinis paslapčių subjekto padalinys, kuris ADA sistemos ar tinklo valdytojo parengtų teisės aktų nustatyta tvarka, tikslais ir sąlygomis tvarko ADA sistemą ar tinklą.

ADA sistemos ar tinklo naudotojas – asmuo, kuriam ADA sistemos ar tinklo valdytojas ar tvarkytojas, jam suteiktos kompetencijos ribose, suteikė teisę naudotis ADA sistema ar tinklu.

ADA sistemos ar tinklo slaptumo žyma – aukščiausia slaptumo žyma, kuria pažymėta įslaptinta informacija gali būti saugoma, apdorojama ADA sistemoje ar perduodama ADA tinklu.

KF sistema ar tinklas – ADA sistema ar tinklas, kuriame saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Konfidencialiai“, ar tokia informacija yra perduodama.

S sistema ar tinklas – ADA sistema ar tinklas, kuriame saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Slaptai“ , ar tokia informacija yra perduodama.

VS sistema – ADA sistema, kuriame saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Visiškai slaptai“.

Saugos dokumentai – ADA sistemos ar tinklo valdytojo ar tvarkytojo patvirtinti teisės aktai, reglamentuojantys ADA sistemos ar tinklo saugą, taip pat leidimų automatizuotai apdoroti ir perduoti įslaptintą informaciją ADA sistemomis ir tinklais gavimui reikalingi dokumentai, nurodyti Dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, rengimo ir leidimų automatizuotai apdoroti įslaptintą informaciją išdavimo taisyklėse.

Konfidencialumas – įslaptintos informacijos (ADA sistemos ar tinklo paslaugos ar ištekliaus) savybė – su įslaptinta informacija gali susipažinti (ADA sistemos ar tinklo paslauga ar ištekliumi gali naudotis) tik tam įgalioti asmenys.

Vientisumas – įslaptintos informacijos (ADA sistemos ar tinklo paslaugos ar ištekliaus) savybė – įslaptinta informacija (ADA sistemos ar tinklo paslauga ar išteklius) nėra atsitiktiniu ar neteisėtu būdu pakeista (pakeistas) ar sunaikinta (sunaikintas).

Prieinamumas – įslaptintos informacijos (ADA sistemos ar tinklo paslaugos ar ištekliaus) savybė – įslaptinta informacija gali būti tvarkoma (ADA sistemos ar tinklo paslauga ar ištekliumi gali būti naudojamasi) reikiamu teisėtam naudotojui metu.

Įgaliotoji institucija – institucija, teisės aktais įgaliota vykdyti Nacionalinės komunikacijų apsaugos tarnybos, arba Nacionalinės šifrų paskirstymo tarnybos, arba Saugumo priežiūros tarnybos, arba apsaugos nuo informatyviojo elektromagnetinio spinduliavimo (TEMPEST) funkcijas.

Saugumo incidentas – įvykis, veiksmas ar neveikimas, kuris sukelia ar gali sudaryti sąlygas neteisėtai prisijungti prie ADA sistemos ar tinklo, sutrikdyti ar pakeisti (įskaitant valdymo perėmimą) ADA sistemos ar tinklo veikimą, sunaikinti, sugadinti, ištrinti ar pakeisti įslaptintą informaciją, panaikinti ar apriboti galimybę naudotis ja, taip pat sudaryti sąlygas pasisavinti, paskelbti, platinti ar kitaip naudoti įslaptintą informaciją tokios teisės neturintiems asmenims.

Kitos reikalavimuose vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatyme ir kituose teisės aktuose.

3. Reikalavimai skirti užtikrinti:

4. Užsienio valstybių, Europos Sąjungos ar tarptautinių organizacijų įslaptintos informacijos, ADA sistemų ir tinklų saugumui šie reikalavimai taikomi tiek, kiek neprieštarauja Lietuvos Respublikos tarptautinėms sutartims ir šiomis sutartimis grindžiamiems bei jas įgyvendinantiems tarptautinių organizacijų sprendimams ir Europos Sąjungos teisės aktams.

5. Turi būti paskirtas ADA sistemos ar tinklo saugos įgaliotinis (toliau – saugos įgaliotinis), kuris atsako už ADA sistemos ar tinklo saugos reikalavimų įgyvendinimo organizavimą ir kontrolę. Esant poreikiui, gali būti skiriami saugos įgaliotiniai struktūriniuose ADA sistemos ar tinklo tvarkytojo padaliniuose (toliau – tvarkytojo saugos įgaliotinis), kurie atlieka saugos įgaliotinio funkcijas saugos įgaliotinio nustatytos kompetencijos ribose ir yra jam atskaitingi.

6. Turi būti paskirtas ADA sistemos ar tinklo administratorius (toliau – administratorius). Administratoriai yra atskaitingi saugos įgaliotiniui. Saugos įgaliotinį skirti administratoriumi draudžiama. Administratoriaus funkcijas gali būti pavesta vykdyti ADA sistemos ar tinklo valdytojo struktūriniam padaliniui.

7. Jeigu ADA sistemoje ar tinkle naudojamos kriptografinės priemonės, turi būti paskirtas ADA sistemos ar tinklo kriptografinių priemonių administratorius (administratorius) (toliau – kriptografinių priemonių administratorius). Kriptografinių priemonių administratoriai yra atskaitingi saugos įgaliotiniui. Saugos įgaliotinį skirti kriptografinių priemonių administratoriumi draudžiama.

8. Saugos įgaliotinis, administratorius ir kriptografinių priemonių administratorius gali turėti pavaduotojus.

9. Saugos įgaliotinis, administratorius ir kriptografinių priemonių administratorius įgyvendina atsakingo asmens funkcijas organizuojant ADA sistemų ir tinklų apsaugą ADA sistemos ar tinklo valdytojo institucijoje nustatytas Valstybės ir tarnybos paslapčių įstatyme.

10. ADA sistemos ar tinklo valdytojo funkcijos ir atsakomybė:

11. ADA sistemos ar tinklo valdytojas turi teisę įgalioti ADA sistemos ar tinklo tvarkytoją atlikti tam tikras savo funkcijas.

12. Saugos įgaliotinio funkcijos ir atsakomybė:

13. Administratoriaus atsakomybė ir funkcijos:

14. Reikalavimai kriptografinių priemonių administratoriui, jo funkcijos ir atsakomybė nustatomi Bendrosiose įslaptintos informacijos kriptografinės apsaugos taisyklėse.

15. ADA sistemos ar tinklo rizikos valdymas turi būti sudėtinė ADA sistemos ar tinklo valdymo proceso dalis viso ADA sistemos ar tinklo gyvavimo ciklo metu.

16. ADA sistemos ar tinklo eksploatavimo metu rizikos vertinimas turi būti atliekamas:

17. ADA sistemos ar tinklo eksploatavimo metu atitikties saugos reikalavimams vertinimas (toliau – atitikties vertinimas) turi būti atliekamas:

18. Neeilinis rizikos ir (ar) atitikties vertinimas turi būti vykdomas:

19. Po rizikos ir (ar) atitikties vertinimo saugos įgaliotinis organizuoja rizikos valdymo ir (ar) neatitikčių šalinimo plano sudarymą, kurį teikia tvirtinti ADA sistemos ar tinklo valdytojui. Planas (planai) ir rizikos ir (ar) atitikties vertinimo dokumentacija pateikiami žinybinei Saugumo priežiūros tarnybai, o jeigu tokia neįsteigta – Saugumo priežiūros tarnybai.

20. ADA sistemose ir tinkluose taikomos techninės apsaugos priemonės ir mechanizmai turi atitikti reikalavimus, keliamus įslaptintos informacijos, žymimos atitinkama slaptumo žyma, apsaugai. Taikomų techninių apsaugos priemonių ir mechanizmų tinkamumas įslaptintos informacijos apsaugai teisės aktų nustatyta tvarka turi būti patvirtintas įgaliotųjų institucijų.

21. ADA sistemų ir tinklų sudėtinės dalys ir tvarkomos įslaptintos informacijos apsaugos mechanizmai turi būti diegiami ir eksploatuojami vadovaujantis įgaliotųjų institucijų reikalavimais.

22. ADA sistemų ir tinklų, kuriuose tvarkoma įslaptinta informacija, žymima slaptumo žyma „Konfidencialiai“ ir aukštesne, sudėtinės dalys, išskyrus teisės aktų nustatytus atvejus, turi būti įrengiamos ne žemesnėje kaip II klasės saugumo zonoje. Tokių ADA sistemų ir tinklų tarnybinės stotys, kriptografinė ryšio apsaugos įranga ir kiti kritiniai ADA sistemos ir tinklo komponentai turi būti įrengiami I klasės saugumo zonoje.

23. Prieigos prie ADA sistemos ar tinklo teisė suteikiama ADA sistemos ar tinklo valdytojo sprendimu, vadovaujantis principu „būtina žinoti“ ir tik ADA sistemos ar tinklo naudotojui turint galiojantį leidimą susipažinti su atitinkama slaptumo žyma, žymima įslaptinta informacija. Jeigu ADA sistema ar tinklas neturi priemonių valdyti atskirų prieigos teisių prie skirtingomis slaptumo žymomis žymimos įslaptintos informacijos, ADA sistemos ar tinklo naudotojas turi turėti galiojantį leidimą susipažinti su įslaptinta informacija, pažymėta slaptumo žyma, atitinkančia ADA sistemos ar tinklo slaptumo žymą. Saugos įgaliotinis ir administratorius privalo turėti galiojantį leidimą susipažinti su įslaptinta informacija, pažymėta slaptumo žyma, atitinkančia ADA sistemos ar tinklo slaptumo žymą.

24. ADA sistemos ar tinklo priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą administratoriaus identifikatorių, kuriuo naudojantis nebūtų galima modifikuoti, naikinti ar kitaip keisti ADA sistemos ar tinklo sisteminiuose įvykių žurnaluose saugomos informacijos ir keisti sisteminių įvykių žurnalų pildymo nustatymų. Atlikti ADA sistemos ar tinklo naudotojo funkcijas, naudojantis šiuo identifikatoriumi, draudžiama.

25. Jeigu šalia ADA sistemos ar tinklo įrenginio yra asmenų, neatitinkančių principo „būtina žinoti“, ADA sistemos ar tinklo naudotojas privalo užtikrinti, kad minėti asmenys negalėtų susipažinti su įslaptinta informacija – atsijungti nuo ADA sistemos ar tinklo, išjungti kompiuterio ekraną ir pan.

26. ADA sistemos ar tinklo naudotojui neatliekant jokių veiksmų (KF sistemoje ar tinkle – 15 min., S sistemoje ar tinkle ir VS sistemoje – 10 min.) ADA sistema ar tinklas turi užtikrinti, kad toliau naudotis ADA sistema ar tinklu galima būtų tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus.

27. ADA sistemos ar tinklo naudotojo prieiga turi būti blokuojama, jei žinoma, kad šis naudotojas nesinaudos (atostogauja, išvykęs į komandiruotę ir pan.) KF sistema ar tinklu – 10 darbo dienų, S sistema ar tinklu ir VS sistema – 5 darbo dienas.

28. Jeigu ADA sistemos ar tinklo naudotojas nesilaiko įslaptintos informacijos apsaugos reikalavimų, piktnaudžiauja jam suteiktais įgaliojimais, yra nušalintas nuo pareigų, ADA sistemos ar tinklo valdytojo ar tvarkytojo sprendimu ADA sistemos ar tinklo naudotojo prieiga prie ADA sistemos ar tinklo turi būti blokuojama nedelsiant, iki aplinkybių išsiaiškinimo.

29. Asmenų, netekusių 23 p. nurodytų leidimų, arba asmenų, kurie nebeatitinka principo „Būtina žinoti“, prieiga prie atitinkamos įslaptintos informacijos ir (ar) ADA sistemos ar tinklo turi būti nedelsiant panaikinama.

30. Reikalavimai tapatybės patvirtinimo priemonėms nustatomi Nacionalinės komunikacijų apsaugos tarnybos tvirtinamame ADA sistemų ir tinklų, kuriuose saugoma, apdorojama ar kuriais perduodama įslaptinta informacija, telekomunikacijų apsaugos reikalavimų apraše.

31. ADA sistemose ir tinkluose turi būti užtikrintas nuolatinis šių įvykių (ADA sistemos ar tinklo veiklos įrašų) registravimas (nurodant laiką ir susijusį naudotojo identifikatorių): įjungimas, išjungimas, sėkminga ir nesėkminga naudotojo autorizacija, ADA sistemos ar tinklo veikimo sutrikimai. Įvykiai turi būti registruojami pagrindiniame ir rezerviniame (jei leidžia ADA sistemos ar tinklo funkcionalumas – nutolusiame) įvykių žurnaluose.

32. VS sistemose papildomai turi būti užtikrintas registravimas sėkmingų ir nesėkmingų bandymų prieiti prie kiekvienos informacijos rinkmenos, pažymėtos slaptumo žyma „Visiškai slaptai“.

33. ADA sistemos ar tinklo įvykių žurnalų pildymo nustatymų keitimas ir žurnalų kopijų darymas turi būti atliekamas naudojant atskirą tik tam skirtą identifikatorių. Minėti veiksmai turi būti atliekami tik užtikrinus ADA sistemos ar tinklo valdytojo vadovo, saugos įgaliotinio ir administratoriaus dalyvavimą ir kontrolę.

34. ADA sistemos ar tinklo įvykių žurnalų įrašai turi būti saugomi S sistemose ir tinkluose – 5 metus, VS sistemose – 10 metų, KF sistemoms ir tinklams reikalavimas netaikomas. Jeigu ADA sistema ar tinklas likviduojamas, įvykių žurnalas turi būti saugomas 5 metus nuo likvidavimo dienos.

35. Patalpos, kuriose įrengta ADA sistemos ar tinklo įranga, turi atitikti reikalavimus, keliamus patalpoms, kuriose saugoma ar kuriose dirbama su atitinkama žyma pažymėta įslaptinta informacija.

36. ADA sistemos ar tinklo ranga (taip pat ir nešiojamieji kompiuteriai, kiti mobilieji įrenginiai), kurioje saugoma įslaptinta informacija, turi būti gabenama laikantis įslaptintos informacijos, gaminių ir kitų objektų, žymimų slaptumo žyma, atitinkančia ADA sistemos ar tinklo slaptumo žymą, gabenimo reikalavimų.

37. ADA sistemos ar tinklo įrenginiai turi būti pažymėti ADA sistemos ar tinklo slaptumo žymą nurodančia informacine užklija (užklijomis).

38. ADA sistemos ar tinklo įrenginiai turi būti apsaugoti apsauginėmis užklijomis. Apsauginių užklijų turi būti tiek ir jos turi būti tokio dydžio, kad neleistų atidaryti įrenginio korpuso, jų nepažeidžiant. Jeigu leidžia įrenginio konstrukcija ir (ar) funkcinės galimybės, turi būti įjungta įrenginio apsauga nuo korpuso atidarymo. Prieš pradėdamas darbą su ADA sistema ar tinklu, ADA sistemos ar tinklo naudotojas privalo įsitikinti, kad apsauginės užklijos nepažeistos.

39. ADA sistemoje ir tinkle saugomos ir apdorojamos informacijos atsargines kopijas rekomenduojama užšifruoti. Metodines rekomendacijas atsarginių kopijų šifravimui nustato Nacionalinė komunikacijų apsaugos tarnyba.

40. ADA sistemos ar tinklo valdytojas turi nustatyti atsarginių ADA sistemos ir tinklo duomenų kopijų darymo dažnį, jų saugojimo, perdavimo, bandomojo atkūrimo ir panaudojimo procedūras, o atsarginių kopijų bandomasis atkūrimas turi būti vykdomas:

41. ADA sistemoje saugomos ir apdorojamos informacijos atsarginės kopijos turi būti daromos, administruojamos ir saugomos vadovaujantis kompiuterių laikmenų apsaugos reikalavimais, taikomais laikmenoms su ADA sistemos slaptumo žyma pažymėta įslaptinta informacija.

42. ADA sistemos ar tinklo naudotojų prijungiamos prie ADA sistemos ar tinklo kompiuterio ar įdedamos į ADA sistemos ar tinklo kompiuteryje esantį nuskaitymo įrenginį laikmenos Lietuvos Respublikos Vyriausybės nustatyta tvarka turi būti įregistruotos Įslaptintai informacijai įrašyti skirtų laikmenų registre. Prieš prijungiant ar įdedant tokią laikmeną ji turi būti patikrinta kenkėjiškos programinės įrangos aptikimo priemonėmis atskirame tam skirtame neprijungtame prie ADA sistemos ar tinklo kompiuteryje. Iš laikmenos turi būti pašalinta visa neteisėta programinė įranga, asmeninė ir su tarnyba (darbu) nesusijusi informacija. Rekomenduojama tokią informaciją neatkuriamai ištrinti. Jungti laikmenas prie S sistemų ar tinklų ir VS sistemų šių sistemų ar tinklų naudotojams leidžiama tik įslaptintų dokumentų administravimo punktuose įrengtose darbo vietose.

43. Turi būti užtikrinta visų ADA sistemos ar tinklo kompiuterių apsauga nuo kenkėjiškos programinės įrangos. Programinė įranga, skirta apsaugai nuo kenkėjiškos programinės įrangos, turi būti patvirtinta Nacionalinės komunikacijų apsaugos tarnybos. ADA sistemos ar tinklo kompiuterių, prijungtų prie vietinio kompiuterių tinklo, apsauga nuo kenkėjiškos programinės įrangos turi būti valdoma ir atnaujinama centralizuotai. Išjungti ar pašalinti šią apsaugą draudžiama. Ši apsauga turi būti atnaujinama gamintojo rekomenduojamu periodiškumu. Neprijungtų prie vietinio kompiuterių tinklo kompiuterių apsauga turi būti atnaujinama rankiniu būdu, naudojant tik tam skirtas laikmenas. Jeigu toks kompiuteris naudojamas rečiau, nei apsaugos gamintojo rekomenduojamas atnaujinimo periodas, apsauga turi būti atnaujinama neatidėliojant po šio kompiuterio įjungimo ir naudotojo autentifikavimo operacinėje sistemoje.

44. Diegti, atkurti arba atnaujinti ADA sistemos ar tinklo programinę įrangą naudojant laikmenas leidžiama tik iš gamintojo pateiktų arba iš įrašytų vienkartinio įrašymo laikmenų.

45. ADA sistemoje ir tinkle naudojamos programinės įrangos sąrašus tvirtina ADA sistemos ir tinklo valdytojas, prieš tai suderinęs juos su žinybine Saugumo priežiūros tarnyba, o jei tokia neįsteigta – Saugumo priežiūros tarnyba.

46. ADA sistemos ar tinklo įranga turi būti prižiūrima laikantis gamintojo rekomendacijų.

47. ADA sistemos ar tinklo įrangos gedimų šalinimas, jeigu to negali atlikti saugos įgaliotinis, administratorius ir (ar) kitas įgaliotas ADA sistemos ar tinklo valdytojo personalas, turi būti atliekamas laikantis įslaptintų sandorių saugumo reikalavimų. Gedimų šalinimą turi atlikti atitinkamą kvalifikaciją turintis specialistas, gedimų šalinimas pagal galimybes turi būti atliekamas vietoje, prižiūrint saugos įgaliotiniui ar administratoriui.

48. ADA sistemos ar tinklo valdytojas turi patvirtinti ADA sistemoje ar tinkle naudojamos techninės ir programinės įrangos sąrašą (sąrašus).

49. ADA sistemos ar tinklo testavimas turi būti atliekamas naudojant atskirą tam skirtą testavimo aplinką, nenaudojant įslaptintos informacijos arba naudojant ją fiktyvią.

50. ADA sistemos ar tinklo naudotojas turi nedelsdamas informuoti saugos įgaliotinį, o jeigu jo nėra – administratorių apie neveikiančią ar netinkamai veikiančią ADA sistemą ar tinklą, pažeistas įrenginių apsaugines užklijas, saugos reikalavimų nesilaikančius ADA sistemos ar tinklo naudotojus, bet kokią veiklą, skirtą įslaptintai informacijai atskleisti ir (ar) ADA sistemos ar tinklo veiklai sutrikdyti. Tuo atveju, kai tokią veiklą vykdo saugos įgaliotinis ir (ar) administratorius, ADA naudotojas privalo informuoti ADA sistemos ar tinklo valdytojo vadovą, Lietuvos Respublikos valstybės saugumo departamentą ir žinybinę Saugumo priežiūros tarnybą, o jei tokia neįsteigta – Saugumo priežiūros tarnybą.