1. Strateginę reikšmę nacionaliniam saugumui turinčių, Ūkio ministerijos valdymo sričiai priskirtų įmonių ir įrenginių bei kitų nacionaliniam saugumui užtikrinti svarbių įmonių informacinės saugos reikalavimai (toliau – Reikalavimai) parengti vadovaujantis Lietuvos Respublikos strateginę reikšmę nacionaliniam saugumui turinčių įmonių ir įrenginių bei kitų nacionaliniam saugumui užtikrinti svarbių įmonių įstatymo (Žin., 2002, Nr. 103-4604; 2004, Nr. 28-871) 5 straipsniu.

2. Reikalavimai taikomi Ūkio ministerijos valdymo sričiai priskirtoms, strateginę reikšmę nacionaliniam saugumui turinčioms įmonėms ir įrenginiams bei kitoms nacionaliniam saugumui užtikrinti svarbioms įmonėms (toliau – Įmonės):

3. Reikalavimai nustato Įmonių informacinės saugos principus, organizavimo pagrindus bei pagrindinius informacinės saugos reikalavimus. Įmonės informacinę saugą organizuoja ir vykdo griežtai laikantis Lietuvos Respublikos įstatymų, kitų teisės aktų reikalavimų. Informacijos, pripažintos valstybės ar tarnybos paslaptimi, saugą reglamentuoja Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymas (Žin., 2004, Nr. 4-29).

4. Reikalavimuose vartojamos pagrindinės sąvokos:

Įmonė – Ūkio ministerijos valdymo sričiai priskirta, strateginę reikšmę nacionaliniam saugumui turinti įmonė bei kita nacionaliniam saugumui užtikrinti svarbi įmonė.

Įmonės sauga – visuma organizacinių, teisinių, techninių ir specialiųjų priemonių, kurių tikslas – užtikrinti nepertraukiamą, stabilią bei saugią Įmonės veiklą, dirbančiųjų ir aplinkinių žmonių sveikatą bei saugumą, minimizuoti Įmonės veiklos poveikį aplinkai.

Įmonės informacinė sauga – Įmonės saugos sistemos dalis, kurią sudaro organizacinių, teisinių ir techninių priemonių visuma, skirta užtikrinti Įmonės turimos ir jos disponuojamos informacijos saugumą, siekiant išvengti galimų nuostolių ir užtikrinti nepertraukiamą, stabilią bei saugią Įmonės veiklą.

Informacijos saugumas – informacijos konfidencialumo, vientisumo ir prieinamumo išsaugojimas.

Informacijos konfidencialumas – informacijos prieinamumas tik įgaliotiems vartotojams.

Informacijos vientisumas – informacijos ir jos apdorojimo metodų tikslumas ir užbaigtumas (pilnumas).

Informacijos prieinamumas – informacinės sistemos gebėjimas nepertraukiamai teikti paslaugas įgaliotiems vartotojams.

Grėsmių įvertinimas – grėsmių, kurios gali kilti dėl informacijai daromo poveikio ir informacijos apdorojimo įrangos pažeidžiamumo, įvertinimas ir jų kilimo tikimybės bei galimų poveikio pasekmių nustatymas.

Grėsmių valdymas – grėsmių, kurios gali pakenkti informacinei sistemai, identifikavimo, kontroliavimo ir jų poveikio mažinimo arba pašalinimo procesas.

Informacinė sistema – organizacijai savo tikslus pasiekti padedanti tam tikru būdu sutvarkyta informacija ir jos apdorojimo priemonės kartu su žmogiškaisiais ištekliais.

Informacijos administravimas – skirtingiems apsaugos lygiams priskirtos informacijos rengimo, įforminimo, registracijos, siuntimo, gabenimo, gavimo, dauginimo, saugojimo, sunaikinimo bei apskaitos procedūros.

Automatizuoto duomenų apdorojimo sistemų ir tinklų (toliau – ADA sistemos ir tinklai) apsauga – mechaninių, programinių, procedūrinių ir elektroninių apsaugos priemonių visuma, užtikrinanti ADA sistemose ir tinkluose saugomos, apdorojamos bei šiais tinklais perduodamos informacijos slaptumą (konfidencialumą) ir prieinamumą teisėtiems informacijos vartotojams bei tokios informacijos vientisumą ir autentiškumą.

Personalo patikimumas – nustatytos darbuotojų, kuriems numatoma suteikti leidimus dirbti ar susipažinti su atitinkamo apsaugos lygio informacija, kandidatūrų tikrinimo procedūros, taip pat darbuotojų veiksmų kontrolė ir periodiškas instruktavimas apie informacijos apsaugos reikalavimus ir atsakomybę už tokių reikalavimų pažeidimą.

Fizinė sauga – visuma fizinių, mechaninių, elektroninių ir procedūrinių apsaugos priemonių bei metodų, užtikrinančių teritorijų, patalpų, kuriose dirbama su saugoma informacija, kuriose tokia informacija yra saugoma ar kuriose yra tokios informacijos apdorojimo įranga, apsaugą nuo neteisėto patekimo į jas bei jose saugomos informacijos apsaugą nuo pagrobimo, kitokio neteisėto įgijimo, atskleidimo, praradimo. Ji taikoma atsižvelgiant į saugomos informacijos svarbą ir apimtį.

5. Šie reikalavimai netaikomi valstybės įmonei Ignalinos atominei elektrinei, kurios informacinė sauga yra organizuojama vadovaujantis Lietuvos Respublikos branduolinės energijos įstatymu (Žin., 1996, Nr. 119-2771) bei Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymu.

6. Kitos Ūkio ministerijos valdymo sričiai priskirtos įmonės gali vadovautis šiais Reikalavimais.

7. Įmonės informacinės saugos tikslas yra Įmonės turimos ir jos disponuojamos informacijos saugumo užtikrinimas.

8. Įmonės informacinės saugos objektas yra įmonės turima ir jos disponuojama informacija nepriklausomai nuo jos fiksavimo būdo ir informacijos laikmenų rūšies bei visa Įmonės informacinė sistema.

9. Įmonės informacinę sistemą sudaro šie svarbiausi elementai:

10. Įmonės valdyba arba kitas įstatuose nustatytas valdymo organas turi nustatyti ir patvirtinti informaciją, kuri laikoma Įmonės komercine (gamybine) paslaptimi. Komercine (gamybine) paslaptimi negali būti laikoma informacija, kuri pagal galiojančius įstatymus turi būti vieša.

11. Informacija, kuri laikoma komercine (gamybine) paslaptimi, taip pat kita Įmonės disponuojama informacija turi būti klasifikuojama, siekiant numatyti apsaugos poreikį, prioritetus ir laipsnį. Informacijos klasifikavimo sistema naudojama, siekiant apibrėžti tinkamą konkrečios informacijos apsaugos lygį. Informacijos apsaugos lygiai nustatomi įvertinant galimas grėsmes ir jų pasekmes Įmonei. Įmonė privalo periodiškai peržiūrėti grėsmes įmonei ir jos informacinei sistemai, siekiant atsižvelgti į komercinės veiklos reikalavimų ir prioritetų pokyčius, aptarti naujas grėsmes ir pavojus bei patvirtinti, kad esami informacinės saugos priežiūros metodai vis dar veiksmingi ir tinkami.

12. Informacijai turi būti pastoviai užtikrinta reikiama apsauga visuose informacijos administravimo etapuose.

13. Saugoma informacija, o ypač informacija, sudaranti Įmonės komercinę (gamybinę) paslaptį, turi būti pateikiama griežtai laikantis principo „Būtina žinoti“. Principas „Būtina žinoti“ reiškia, kad saugoma informacija gali būti pateikta tik atitinkamus leidimus dirbti ar susipažinti su šia informacija turintiems asmenims, kuriems vykdant pareigas reikia susipažinti su šia informacija. Asmeniui turi būti pateikta tokios apimties saugoma informacija, kokios reikia jo pareigoms atlikti.

14. Informacijos apsaugai užtikrinti turi būti kompleksiškai taikomi visų informacijos apsaugos sričių (personalo patikimumo, informacijos administravimo, fizinės apsaugos, ADA sistemų ir tinklų apsaugos) reikalavimai.

15. Apie visus informacijos saugos reikalavimų pažeidimus, kurie gali lemti ar lėmė informacijos praradimą ar neteisėtą atskleidimą, nedelsiant turi būti pranešta atsakingam asmeniui, o šis privalo imtis reikiamų priemonių tolesniam informacijos atskleidimui ar praradimui sustabdyti ir neigiamoms pasekmėms sumažinti, taip pat privalo nedelsdamas pranešti Įmonės vadovui ir jo nustatyta tvarka turi atlikti tyrimą dėl informacijos saugos reikalavimų pažeidimų faktų nustatymo.

16. Už bendrą informacijos, kuria disponuoja Įmonė, saugos organizavimą ir būklę atsakingas Įmonės vadovas. Už informacijos saugos reikalavimų vykdymą Įmonės struktūriniuose padaliniuose, kuriuose saugoma arba naudojama saugoma informacija, yra atsakingi šių struktūrinių padalinių vadovai, jų įgalioti asmenys, taip pat asmenys, kuriems ši informacija yra patikėta. Už patikėtos saugomos informacijos praradimą ar neteisėtą atskleidimą yra tiesiogiai atsakingas asmuo, kuriam tokia informacija patikėta.

17. Siekiant įdiegti informacinės saugos sistemą ir ją valdyti, turi būti sudaroma šios sistemos valdymo struktūra, paskirti darbuotojai, atsakingi už sistemos diegimą ir priežiūrą. Atsakomybė už atskirų informacijos rūšių apsaugą ir saugumo procedūrų taikymą turi būti aiškiai apibrėžta.

18. Įmonės informacijos apsaugą koordinuoja Įmonės vadovo sprendimu sudaroma komisija, kuri:

19. Atsižvelgdamas į saugotinos informacijos ir informacinės sistemos apimtį, Įmonės vadovas gali nesudaryti komisijos ir jos funkcijas pavesti įgaliotam asmeniui.

20. Įmonės vadovo ar jo įgalioto asmens sprendimu turi būti paskirtas atsakingas asmuo arba atsakingi asmenys, organizuojantys ir įgyvendinantys saugomos informacijos ar jos atitinkamų dalių administravimą, apsaugą ir kontrolę. Atsakingas asmuo:

21. Informacinės sistemos elementai (informacija, programinė įranga, techninė įranga) įmonėje turi būti apskaitomi ir priskiriami konkretiems asmenims, numatant jų atsakomybę už tinkamą apskaitą bei priežiūrą.

22. Įmonėje turi būti apibrėžtos tinkamos informacijos žymėjimo ir priežiūros procedūros, atsižvelgiant į Įmonėje priimtą informacijos apsaugos lygių klasifikavimo schemą. Šios procedūros turi apimti fizinius ir elektroninius informacijos aprašų formatus.

23. Reguliariai turi būti peržiūrimas reikalavimų informaciniam saugumui įgyvendinimas, siekiant įsitikinti, ar Įmonės praktika tinkamai atspindi informacinės saugos principus, ar ji yra tinkamai vykdoma. Toks peržiūrėjimas gali būti atliktas vidinio audito metu arba kitų įmonių ar organizacijų, kurios turi reikiamą patirtį įmonių informacinės saugos srityje.

24. Įmonės darbuotojų atsakomybę už informacinės saugos reikalavimų vykdymą būtina numatyti jų įdarbinimo stadijoje, įtraukiant į darbo sutartis atitinkamas nuostatas ir/ar supažindinant juos su Įmonės vidaus darbo taisyklėmis, kuriose yra numatyta pareiga vykdyti informacinės saugos reikalavimus, ir kontroliuoti darbuotojo veiksmus darbo metu.

25. Potencialius darbuotojus, ypač priimamus darbui su aukštesnio apsaugos lygio informacija, reikia tinkamai tikrinti. Įmonėje turi būti nustatytos potencialių darbuotojų tikrinimo procedūros.

26. Tiesioginiai vadovai turi įvertinti, kokios priežiūros reikia naujiems ir nepatyrusiems darbuotojams, kurių kreiptis į aukštesnio apsaugos lygio informaciją yra sankcionuota. Tiesioginiai vadovai turi periodiškai peržiūrėti jiems pavaldžių darbuotojų darbą informacinės saugos procedūrų laikymosi požiūriu.

27. Visi Įmonės darbuotojai, kurių darbas susijęs su saugoma informacija, o ypač informacijos apdorojimo įrangų darbuotojai bei kitų įmonių ar organizacijų darbuotojai turi pasirašyti konfidencialumo sutartis arba konfidencialumo pasižadėjimus. Konfidencialumo sutartyse ar pasižadėjimuose ir/ar Įmonės vidaus darbo taisyklėse turi būti nustatoma Įmonės darbuotojų ir kitų įmonių ar organizacijų darbuotojų atsakomybė už informacijos saugumą.

28. Apie incidentus informacinės saugos srityje turi būti pranešama kiek galima skubiau. Turi būti sukurta formali pranešimo procedūra ir reagavimo į incidentą procedūra, nustatanti veiksmus, kurių reikia imtis gavus pranešimą apie incidentą. Visi darbuotojai ir rangovai turi būti informuojami apie saugumo incidentų pranešimams skirtas procedūras. Turi būti įdiegti tinkami grįžtamojo ryšio procesai, siekiant užtikrinti, kad tie, kurie pranešė apie incidentą, bus informuoti apie rezultatus, incidentui pasibaigus. Iš informacijos paslaugų vartotojų reikia reikalauti atkreipti dėmesį ir pranešti apie bet kurį pastebėtą arba įtariamą informacijos saugumo trūkumą arba sistemoms ar paslaugoms kilusią grėsmę. Turi būti numatomi mechanizmai, kurie leistų kiekybiškai įvertinti ir kontroliuoti incidentų bei trikdžių tipus, apimtis ir kainas. Šią informaciją reikia naudoti, siekiant identifikuoti pasikartojančius arba didelį poveikį darančius incidentus arba trikdžius. Tai gali nulemti informacinės saugos priežiūros metodų išplėtimą arba papildymą, siekiant apriboti būsimų įvykių dažnį, žalos vertę ir kainą.

29. Saugoma informacija, jos apdorojimo įranga nuo nesankcionuoto priėjimo, žalos ir trukdžių turi būti apsaugotos fiziškai. Patalpų, kuriose yra saugoma aukštesnio apsaugos lygio informacija ar jos apdorojimo įranga, fizinės saugos lygis turi atitikti identifikuotas grėsmes bei galimas pasekmes. Taikomos fizinės saugos priemonės turi užtikrinti, kad į šias patalpas galėtų patekti tik įgalioti darbuotojai.

30. Informacija ir ją apdorojanti įranga turi būti fiziškai apsaugota ne tik nuo saugumo grėsmių, bet ir aplinkos pavojų, vagysčių, sprogimų, dūmų, ugnies, vandens, dulkių, vibracijos, cheminio poveikio, mechaninio poveikio, elektros maitinimo nutrūkimo.

31. Įmonėje turi būti nustatytos visos informacijos apdorojimo įrangų darbo ir valdymo procedūros ir jų vykdymo atsakomybė, kuri turi būti užfiksuota darbo instrukcijose ir reagavimo į incidentus procedūrose. Darbo instrukcijos ir procedūros turi būti įformintos kaip vidiniai Įmonės teisės aktai, privalomi darbuotojams. Darbo instrukcijose ir procedūrose turi būti smulkiai apibrėžiamas kiekvieno šių darbų vykdymas:

32. Vartotojų priėjimas prie ADA sistemų ir tinklų turi būti fiksuojamas ir kontroliuojamas. Suteikiant priėjimą prie kolektyvinio naudojimo informacijos sistemos, turi būti parengta vartotojo registravimo ir išregistravimo procedūra.

33. Įmonėje turi būti parengta slaptažodžių naudojimo tvarka. Slaptažodžiai yra vartotojų tapatybės patvirtinimo priemonė.

34. Turi būti nustatomi naujų informacijos sistemų, jų modifikacijų ir naujų versijų priėmimo kriterijai ir prieš priimant vykdomi tinkami sistemos bandymai. Atitinkami atsakingi asmenys ir padalinių vadovai turi užtikrinti, kad naujoms sistemoms keliami reikalavimai ir priėmimo kriterijai būtų aiškiai apibrėžti, aptarti, įforminti ir išbandyti.

35. Būtina įdiegti apsaugos priemones nuo kenkėjiškos programinės įrangos poveikio. Turi būti įgyvendintos tinkamos vartotojų informavimo procedūros ir taikomi kenkėjiškos programinės įrangos aptikimo ir išvengimo metodai.

36. Siekiant užtikrinti galimą visos pagrindinės komercinės veiklos informacijos ir programinės įrangos atitaisymą esant nelaimei arba avarijai, reikia užtikrinti tinkamą informacijos dubliavimą bei saugojimą. Įmonė turi periodiškai kopijuoti informaciją ir programinę įrangą. Atsarginės duomenų laikmenos turi būti periodiškai bandomos.

37. Informacijos apdorojimo klaidos, apie kurias praneša vartotojai, ir ryšių sistemų klaidos turi būti fiksuojamos. Turi būti nustatytos aiškios klaidų įrašų priežiūros taisyklės, įskaitant klaidų žurnalo peržiūrėjimą, siekiant užtikrinti, kad klaidos būtų sėkmingai pašalintos, bei koregavimo veiksmų peržiūrėjimą, siekiant užtikrinti, kad priežiūros metodams nekiltų pavojus.

38. Būtina numatyti per viešuosius tinklus perduodamos informacijos apsaugos priemones, kurias reikia derinti su šių tinklų valdytojais.

39. Duomenų laikmenos turi būti apskaitomos, kontroliuojamos ir fiziškai apsaugomos. Turi būti parengtos ir patvirtintos darbo procedūros, skirtos apsaugoti dokumentus, kompiuterines laikmenas, įvesties (išvesties) duomenis ir sistemos dokumentus nuo žalos, vagystės ir nesankcionuoto priėjimo. Turi būti parengtos keičiamųjų kompiuterio laikmenų valdymo procedūros.

40. Nenaudotinos informacijos laikmenos turi būti sunaikintos patikimai ir saugiai. Įmonėje turi būti parengtos privalomos informacijos laikmenų naikinimo procedūros.

41. Apsikeitimas informacija ir programine įranga su kitomis įmonėmis, organizacijomis ar asmenimis turi būti kontroliuojamas. Apsikeitimas turi būti vykdomas remiantis sutartimis. Turi būti parengtos procedūros, kad būtų apsaugota perduodama informacija ir laikmenos.

42. Įmonėje turi būti nustatyti kontrolės metodai, leidžiantys sumažinti interneto ir elektroninio pašto sukeliamas grėsmes.

43. Priėjimas prie tinklo paslaugų per vidinį ir išorinį tinklus turi būti kontroliuojamas. Būtina užtikrinti, kad turintys priėjimą prie tinklų paslaugų vartotojai nekeltų pavojaus tinklo paslaugų saugumui.

44. Įmonėje turi būti nustatytos darbo, naudojant nešiojamąjį kompiuterį, ir darbo su saugoma informacija namuose sąlygos bei tvarka. Įmonė gali sankcionuoti veiklą namie ar su nešiojamuoju kompiuteriu tik tuo atveju, kai įsitikinama, kad yra numatytos tinkamos informacinės saugos sąlygos.

45. Kitų įmonių ar organizacijų priėjimas prie Įmonės saugomos informacijos ir jos apdorojimo įrangos turi būti kontroliuojamas. Sankcionuotas kitų įmonių ar organizacijų priėjimas prie Įmonės informacijos ir/ar jos apdorojimo įrangos galimas tik sutarčių, kuriose turi būti numatyti informacijos saugumo reikalavimai arba pateikiama nuoroda į juos, siekiant užtikrinti Įmonės informacinės saugos reikalavimų atitiktį, konfidencialumo įsipareigojimus ir atsakomybę už jų nesilaikymą, pagrindu.

46. Įmonės informacinės saugos auditas turi būti atliekamas ne rečiau kaip kas 2 metai. Įmonės informacinės saugos auditą atlieka Įmonės vidaus audito padaliniai arba įmonės, turinčios reikiamą patirtį informacinės saugos srityje.

47. Rekomenduotina Įmonėse įdiegti pripažintus tarptautinius standartus, reglamentuojančius informacinės sistemos saugumo valdymą.

48. Šių Reikalavimų priežiūrą vykdo Ūkio ministerija, Valstybės saugumo departamentas, kitos valstybės institucijos pagal savo kompetenciją įstatymų nustatyta tvarka.