LIETUVOS RESPUBLIKOS RYŠIŲ REGULIAVIMO TARNYBOS DIREKTORIUS

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS ryšių reguliavimo tarnybos direktoriaus 2011 m. SPALIO 21 d. įsakymo Nr. 1V-1013 „DĖL Viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų saugumo ir vientisumo užtikrinimo taisyklių PATVIRTINIMO“ pakeitimo

2015 m. birželio 23 d. Nr. 1V-776

Vilnius

Vadovaudamasis Lietuvos Respublikos elektroninių ryšių įstatymo 42¹ straipsnio 3 dalimi ir Lietuvos Respublikos kibernetinio saugumo įstatymo 8 straipsnio 1 dalies 1, 2 ir 3 punktais:

1. P a k e i č i u Lietuvos Respublikos ryšių reguliavimo tarnybos direktoriaus 2011 m. spalio 21 d. įsakymą Nr. 1V-1013 „Dėl Viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų saugumo ir vientisumo užtikrinimo taisyklių patvirtinimo“:

1.1. Pakeičiu antraštę ir išdėstau ją taip:

„DĖL Viešųjų ryšių tinklų, viešųjų elektroninių ryšių PASLAUGŲ IR ELEKTRONINĖS INFORMACIJOS PRIEGLOBOS paslaugų saugumo ir vientisumo užtikrinimo taisyklių PATVIRTINIMO“.

1.2. Pakeičiu preambulę ir išdėstau ją taip:

„Vadovaudamasis Lietuvos Respublikos elektroninių ryšių 42¹ straipsniu, Lietuvos Respublikos kibernetinio saugumo įstatymo 8 straipsnio 1 dalies 1, 2 ir 3 punktais ir įgyvendindamas 2002 m. kovo 7 d. Europos Parlamento ir Tarybos direktyvą 2002/21/EB dėl elektroninių ryšių tinklų ir paslaugų bendrosios reguliavimo sistemos (Pagrindų direktyva) (OL 2004 m. specialusis leidimas, 13 skyrius, 29 tomas, p. 349) su paskutiniais pakeitimais, padarytais 2009 m. lapkričio 25 d. Europos Parlamento ir Tarybos direktyva 2009/140/EB (OL 2009 L 337, p. 37):“.

1.3. Pakeičiu 1 punktą ir išdėstau jį taip:

„1. T v i r t i n u Viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir elektroninės informacijos prieglobos paslaugų saugumo ir vientisumo užtikrinimo taisykles (pridedama).“

1.4. Pakeičiu nurodytuoju įsakymu patvirtintas Viešųjų ryšių tinklų ir viešųjų elektroninių ryšių paslaugų saugumo ir vientisumo užtikrinimo taisykles ir išdėstau jas nauja redakcija (pridedama).

2. N u r o d a u paskelbti šį įsakymą Teisės aktų registre.

Direktorius Feliksas Dobrovolskis

PATVIRTINTA

Lietuvos Respublikos ryšių reguliavimo

tarnybos direktoriaus 2011 m. spalio 21 d.

įsakymu Nr. 1V-1013

(Lietuvos Respublikos ryšių reguliavimo

tarnybos direktoriaus 2015 m. birželio 23 d.

įsakymo Nr. 1V-776 redakcija)

VIEŠŲJŲ RYŠIŲ TINKLŲ, VIEŠŲJŲ ELEKTRONINIŲ RYŠIŲ PASLAUGŲ IR ELEKTRONINĖS INFORMACIJOS PRIEGLOBOS PASLAUGŲ SAUGUMO IR VIENTISUMO UŽTIKRINIMO TAISYKLĖS

I. BENDROSIOS NUOSTATOS

1. Viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir elektroninės informacijos prieglobos paslaugų saugumo ir vientisumo užtikrinimo taisyklės (toliau – Taisyklės) reglamentuoja viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų teises ir pareigas užtikrinant jų teikiamų viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų saugumą ir vientisumą, elektroninės informacijos prieglobos paslaugų teikėjų teises ir pareigas užtikrinant jų teikiamų elektroninės informacijos prieglobos paslaugų saugumą ir vientisumą, informacijos apie kibernetinius ar saugumo incidentus (toliau – incidentai) ir (ar) vientisumo pažeidimus, taikytas incidentų valdymo priemones ir techninės informacijos, reikalingos viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų kibernetinio saugumo būsenai įvertinti, teikimo Lietuvos Respublikos ryšių reguliavimo tarnybai (toliau – Tarnyba) tvarką ir sąlygas, taip pat incidentų ir vientisumo pažeidimų tyrimo tvarką.

2. Taisyklėse vartojamos sąvokos:

2.1. Elektroniniai duomenys – duomenys, tvarkomi informacinių technologijų priemonėmis.

2.2. Elektroninių paslaugų trikdymas (angl. Denial of Service, DoS) – veiksmas, kuriuo trikdomas viešojo ryšių tinklo ir (ar) informacinės sistemos darbas arba viešuoju ryšių tinklu teikiamos paslaugos.

2.3. Informacinės sistemos užvaldymas (angl. System Compromise) – neteisėtas informacinės sistemos išteklių naudojimas ir (arba) neteisėtas prisijungimas prie šios sistemos.

2.4. Kenkimo programinė įranga (angl. Malicious Software) – programinė įranga ar jos dalis, kuri sukurta neteisėtai prisijungti ar padeda neteisėtai prisijungti prie informacinės sistemos ar viešojo ryšių tinklo ir kuria galima sutrikdyti ar pakeisti jų veikimą, juos užvaldyti, sunaikinti, sugadinti, ištrinti ar pakeisti elektroninius duomenis, panaikinti ar apriboti galimybę jais naudotis ir neteisėtai pasisavinti ar kitaip panaudoti neviešus elektroninius duomenis tokios teisės neturintiems asmenims.

2.5. Kenkimo veika – veiksmas ar neveikimas, keliantis grėsmę viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų saugumui ir vientisumui.

2.6. Neteisėtas elektroninių duomenų naudojimas – elektroninių duomenų pasisavinimas, platinimas, paskelbimas, pakeitimas kitais elektroniniais duomenimis, elektroninių duomenų iškraipymas ar kita neteisėta veika su šiais duomenimis.

2.7. Vientisumo pažeidimas – viešojo ryšių tinklo ar jo dalies pažeidimas, sutrikdantis šiuo tinklu teikiamų viešųjų elektroninių ryšių paslaugų ar elektroninės informacijos prieglobos paslaugų nepertraukiamą teikimą, arba elektroninės informacijos prieglobos paslaugų teikėjo naudojamos įrangos pažeidimas, sutrikdantis nepertraukiamą elektroninės informacijos prieglobos paslaugų teikimą.

2.8. Viešųjų ryšių tinklų ir paslaugų saugumo valdymo taisyklės – visuma viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų pasitvirtintų dokumentų, kuriais nustatomos techninės ir organizacinės viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų saugumo ir vientisumo užtikrinimo priemonės.

2.9. Kitos Taisyklėse vartojamos sąvokos apibrėžtos Lietuvos Respublikos elektroninių ryšių įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos visuomenės informavimo įstatyme, Lietuvos Respublikos nepilnamečių apsaugos nuo neigiamo viešosios informacijos poveikio įstatyme.

II. viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių PASLAUGŲ TEIKĖJų teisės ir pareigos UŽTIKRINANT JŲ TEIKIAMŲ PASLAUGŲ SAUGUMĄ IR VIENTISUMĄ

3. Viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjai privalo:

3.1. įgyvendinti tinkamas technines ir organizacines priemones savo teikiamų viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų saugumui užtikrinti; šios priemonės turi užtikrinti saugumo lygį, atitinkantį iškilusią grėsmę, ir užkirsti kelią incidentams arba sumažinti jų poveikį viešiesiems ryšių tinklams ir (arba) viešųjų elektroninių ryšių paslaugų gavėjams;

3.2. įgyvendinti tinkamas technines ir organizacines priemones, kurios užtikrintų, kad suklastotų interneto protokolo (IP) adresų srautas būtų blokuojamas jų teikiamuose viešuosiuose ryšių tinkluose;

3.3. įgyvendinti tinkamas technines ir organizacines priemones, kurios užtikrintų, kad elektroninių paslaugų trikdymo atakos srautas būtų blokuojamas jų teikiamuose viešuosiuose ryšių tinkluose;

3.4. įgyvendinti tinkamas technines ir organizacines priemones savo teikiamų viešųjų ryšių tinklų vientisumui užtikrinti, kad šiais tinklais būtų nepertraukiamai teikiamos viešosios elektroninių ryšių paslaugos;

3.5. įgyvendinti tinkamas technines ir organizacines priemones, kurios užtikrintų jų viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikimui naudojamos įrangos saugumą;

3.6. pasitvirtinti ir reguliariai atnaujinti savo viešųjų ryšių tinklų ir paslaugų saugumo valdymo taisykles ir jų laikytis, o Tarnybai pareikalavus, jas pateikti Tarnybai. Viešųjų ryšių tinklų ir paslaugų saugumo valdymo taisyklėse nurodoma:

3.6.1. incidentams ir vientisumo pažeidimams valdyti reikalingų priemonių aprašymai;

3.6.2. viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų nepertraukiamo teikimo užtikrinimo planas ir jo taikymo sąlygos;

3.6.3. už incidentų ir vientisumo pažeidimų valdymą atsakingų asmenų funkcijos ir atsakomybė;

3.6.4. viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikimui naudojamos įrangos patikrinimo bei testavimo tvarka ir sąlygos;

3.7. nedelsdami nemokamai informuoti viešųjų elektroninių ryšių paslaugų gavėjus apie dėl incidento ir (ar) vientisumo pažeidimo kilusius viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikimo sutrikimus, priskirtus prie turinčių vidutinę arba didelę įtaką (pagal Taisyklių 1 priedą);

3.8. nemokamai informuoti viešųjų elektroninių ryšių paslaugų gavėjus apie priemones, kuriomis viešųjų elektroninių ryšių paslaugų gavėjai gali pasinaudoti incidentų ir (ar) vientisumo pažeidimų grėsmei, susijusiai su viešųjų elektroninių ryšių paslaugų gavėjų galiniais įrenginiais, pašalinti, ir nurodyti tikėtinas tokių priemonių panaudojimo išlaidas;

3.9. ne vėliau kaip prieš 5 darbo dienas informuoti viešųjų elektroninių ryšių paslaugų gavėjus apie numatomus planinius darbus, kuriuos atliekant yra tikimybė sutrikdyti viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų saugumą ir (ar) vientisumą;

3.10. viešai skelbti rekomendacijas viešųjų elektroninių ryšių paslaugų gavėjams apie priemones kibernetiniam saugumui užtikrinti naudojantis viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjų paslaugomis.

4. Viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjai turi teisę imtis neatidėliotinų priemonių, įskaitant laikiną viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikimo šių paslaugų gavėjams apribojimą, kai incidentas ir (ar) vientisumo pažeidimas įvykęs arba yra akivaizdi incidento ir (ar) vientisumo pažeidimo grėsmė.

III. elektroninės informacijos prieglobos paslaugų teikėjų teisės ir pareigos UŽTIKRINANT JŲ TEIKIAMŲ PASLAUGŲ SAUGUMĄ IR VIENTISUMĄ

5. Elektroninės informacijos prieglobos paslaugų teikėjai privalo:

5.1. įgyvendinti tinkamas kibernetinio saugumo užtikrinimo technines ir organizacines priemones savo teikiamų elektroninės informacijos prieglobos paslaugų saugumui užtikrinti; šios priemonės turi užtikrinti saugumo lygį, atitinkantį iškilusią grėsmę, ir užkirsti kelią incidentams arba sumažinti jų poveikį;

5.2. prireikus kartu su viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjais imtis reikiamų priemonių kibernetiniam saugumui užtikrinti;

5.3. įgyvendinti tinkamas technines ir organizacines priemones, kurios užtikrintų jų elektroninės informacijos prieglobos paslaugų teikimui naudojamos įrangos saugumą;

5.4. nedelsdami nemokamai informuoti elektroninės informacijos prieglobos paslaugų gavėjus apie nustatytus incidentus ir (ar) vientisumo pažeidimus, susijusius su elektroninės informacijos prieglobos paslaugomis, priskirtus prie turinčių vidutinę arba didelę įtaką (pagal Taisyklių 1 priedą);

5.5. ne vėliau kaip prieš 5 darbo dienas informuoti elektroninės informacijos prieglobos paslaugų gavėjus apie numatomus planinius darbus, kuriuos atliekant yra tikimybė sutrikdyti elektroninės informacijos prieglobos paslaugų saugumą ir (ar) vientisumą;

5.6. viešai arba kitais būdais informuoti elektroninės informacijos prieglobos paslaugų gavėjus, kuriose šalyse gali būti saugoma jų elektroninė informacija, kuri yra kuriama, tvarkoma ar pateikta saugoti naudojantis elektroninės informacijos prieglobos paslaugomis, ir kokiais atvejais tokia informacija perkeliama į kitas šalis;

5.7. nedelsdami nutraukti prieigą prie jiems priklausančioje tarnybinėje stotyje esančios informacijos šiais atvejais:

5.7.1. jeigu to reikalauja teismas;

5.7.2. jeigu elektroninės informacijos prieglobos paslaugų teikėjas gauna Tarnybos pranešimą arba kitais būdais sužino apie jo tarnybinėje stotyje saugomą informaciją, kurią viešinti ir (ar) platinti draudžia Lietuvos Respublikos įstatymai, ir prieigą nutraukti yra techniškai įmanoma;

5.8. nustatyti elektroninės informacijos prieglobos paslaugų gavėjų įspėjimo apie elektroninės informacijos prieglobos paslaugų saugumo pažeidimus tvarką ir kokių veiksmų tokiu atveju privalo imtis elektroninės informacijos prieglobos paslaugų gavėjai ir (ar) teikėjai;

5.9. viešai skelbti rekomendacijas elektroninės informacijos prieglobos paslaugų gavėjams apie priemones kibernetiniam saugumui užtikrinti naudojantis elektroninės informacijos prieglobos paslaugomis.

6. Elektroninės informacijos prieglobos paslaugų teikėjai turi teisę:

6.1. imtis neatidėliotinų priemonių, įskaitant laikiną elektroninės informacijos prieglobos paslaugų teikimo šių paslaugų gavėjams apribojimą, kai incidentas ir (ar) vientisumo pažeidimas yra įvykęs arba yra akivaizdi incidento ir (ar) vientisumo pažeidimo grėsmė;

6.2. nustatyti, kokie elektroniniai duomenys gali būti naudojami, saugomi, skelbiami, apdorojami naudojantis jų teikiamomis elektroninės informacijos prieglobos paslaugomis;

6.3. laikinai apriboti ar nutraukti elektroninės informacijos prieglobos paslaugų teikimą šių paslaugų gavėjams, prieš tai juos įspėję, jei nustatoma, kad elektroninės informacijos prieglobos paslaugų gavėjai, naudodamiesi jų teikiamomis paslaugomis, atlieka kenkimo veiką;

6.4. vykdyti periodinį viešai prieinamų elektroninių duomenų, esančių elektroninės informacijos prieglobos paslaugų teikėjo tarnybinėse stotyse, peržiūrą, siekiant užtikrinti teisės aktų, draudžiančių viešinti ir (ar) platinti tam tikrą informaciją, reikalavimų laikymąsi.

IV. Informacijos apie incidentus IR (AR) VIENTISUMO PAŽEIDIMUS BEI taikytas JŲ valdymo priemones teikimo tvarka ir sąlygos

7. Viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų teikėjai privalo:

7.1. pranešti Tarnybai apie:

7.1.1. šiuos incidentus:

7.1.1.1. elektroninių paslaugų trikdymo atakas;

7.1.1.2. informacinių sistemų užvaldymą;

7.1.1.3. neteisėtą elektroninių duomenų naudojimą;

7.1.1.4. veikas, susijusias su kenkimo programine įranga;

7.1.2. vientisumo pažeidimus;

7.2. nedelsdami po incidento ir (ar) vientisumo pažeidimo nustatymo informuoti Tarnybą:

7.2.1 apie nustatytus incidentus ir (ar) vientisumo pažeidimus, turinčius ar turėjusius didelę įtaką (pagal Taisyklių 1 priedą) jų teikiamų viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų teikimui šių paslaugų gavėjams;

7.2.2. apie nustatytus incidentus ir (ar) vientisumo pažeidimus, kurie turi ar gali turėti didelę įtaką (pagal Taisyklių 1 priedą) kitų Lietuvos Respublikos viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų teikėjų teikiamų viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų, taip pat informacinių sistemų saugumui ir (ar) vientisumui;

7.3. ne vėliau kaip per 1 darbo dieną nuo incidento ir (ar) vientisumo pažeidimo nustatymo informuoti Tarnybą:

7.3.1. apie nustatytus incidentus ir (ar) vientisumo pažeidimus, turinčius ar turėjusius vidutinę įtaką (pagal Taisyklių 1 priedą) jų teikiamų viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų teikimui šių paslaugų gavėjams;

7.3.2 apie nustatytus incidentus ir (ar) vientisumo pažeidimus, kurie turi ar gali turėti vidutinę įtaką (pagal Taisyklių 1 priedą) kitų Lietuvos Respublikos viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų teikėjų teikiamų viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų, taip pat informacinių sistemų saugumui ir (ar) vientisumui;

7.4. pranešti Tarnybai apie įvykius, nurodytus Taisyklių 7.2 ir 7.3 papunkčiuose, elektroniniu būdu, koks yra aprašytas interneto svetainėje www.cert.lt/statins/; nesant tokios galimybės, pateikti pranešimą elektroninio pašto adresu cert@cert.lt pagal Taisyklių 2 priede pateiktą formą, šifruojant pranešimo turinį viešu raktu 0xA3BACE47; nesant tokių galimybių, informuoti Tarnybą telefono ryšio numeriu (8 5) 210 5679 arba faksu (8 5) 216 1564;

7.5. pateikti Tarnybai atsakingo asmens, su kuriuo galima susisiekti visą parą, kontaktinę informaciją, įskaitant elektroninio pašto adresą, kad būtų operatyviai apsikeista informacija apie incidentus ir (ar) vientisumo pažeidimus, jų valdymo priemones tarp Tarnybos ir viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų teikėjų; pasikeitus atsakingam asmeniui ar jo kontaktinei informacijai, Tarnybai turi būti pateikta atnaujinta informacija ne vėliau kaip kitą darbo dieną nuo duomenų pasikeitimo.

8. Viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų teikėjai turi teisę informuoti Tarnybą apie kitus jų nuožiūra svarbius įvykius, susijusius su viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų saugumu ir vientisumu.

V. techninės informacijos, reikalingos viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų kibernetinio saugumo būsenAI vertinti, teikimo tvarka ir sąlygos

9. Viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų teikėjai privalo teikti Tarnybai techninę informaciją, reikalingą viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų kibernetinio saugumo būsenai vertinti.

10. Informacija, nurodyta Taisyklių 9 punkte, teikiama:

10.1. Tarnybai pareikalavus, jos nurodytais formatais ir terminais;

10.2. viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų teikėjo iniciatyva.

11. Teikiant Taisyklių 9 punkte nurodytą informaciją, turi būti laikomasi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo reikalavimų.

VI. INCIDENTŲ IR VIENTISUMO PAŽEIDIMŲ TYRIMAS

12. Tarnyba, pagal Taisyklių 1 priedą įvertinusi užregistruoto incidento ir (ar) vientisumo pažeidimo pavojingumo laipsnį, imasi būtinų veiksmų incidentui ir (ar) vientisumo pažeidimui ištirti ir visoms viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų teikėjo pranešime nurodytoms aplinkybėms išsiaiškinti:

12.1. incidentų ir (ar) vientisumo pažeidimų, kurie yra priskirti prie turinčių didelę įtaką (pagal Taisyklių 1 priedą), tyrimai pradedami nedelsiant po to, kai gaunamas viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų teikėjo pranešimas;

12.2. incidentų ir (ar) vientisumo pažeidimų, kurie yra priskirti prie turinčių vidutinę įtaką (pagal Taisyklių 1 priedą), tyrimai pradedami tik atlikus incidentų ir (ar) vientisumo pažeidimų, turinčių didelę įtaką (pagal Taisyklių 1 priedą), tyrimus arba ne vėliau kaip per 3 darbo dienas nuo viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų teikėjo pranešimo apie incidentą ir (ar) vientisumo pažeidimą gavimo.

13. Jei vertinant užregistruoto incidento ir (ar) vientisumo pažeidimo įtaką yra nustatoma, kad viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų teikėjo pranešime apie incidentą ir (ar) vientisumo pažeidimą yra pateikta ne visa Taisyklių 2 priede nurodyta informacija, pateikta netiksli arba neišsami informacija, Tarnyba informuoja apie tai pranešimą pateikusį viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų teikėją ir nustato ne trumpesnį nei 1 darbo dienos terminą pranešimui papildyti ir (ar) patikslinti.

14. Vykdant incidentų ir (ar) vientisumo pažeidimų tyrimus, Tarnyba pagal kompetenciją perduoda informaciją:

14.1. Valstybinei duomenų apsaugos inspekcijai apie incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir asmens duomenų saugumo pažeidimus;

14.2. policijai, jei aptinkama nusikalstamos veikos požymių;

14.3. Kibernetinio saugumo ir telekomunikacijų tarnybai prie Krašto apsaugos ministerijos apie incidentus, kurie gali turėti įtakos valstybės informacinių išteklių ir (ar) ypatingos svarbos informacinės infrastruktūros veiklai.

15. Tarnyba užtikrina incidentų ir (ar) vientisumo pažeidimų tyrimo metu gautos konfidencialios informacijos apsaugą nuo neteisėto šios informacijos paviešinimo, taip pat užtikrina, kad ši informacija nebūtų atskleista, kopijuojama ar naudojama kitiems tikslams, kurie gali sukelti neigiamų padarinių konfidencialią informaciją pateikusiam asmeniui, išskyrus teisės aktuose numatytus atvejus.

16. Prireikus apie įvykusį incidentą ir (ar) vientisumo pažeidimą Tarnyba praneša Lietuvos Respublikos Vyriausybės kanceliarijai, kitų Europos Sąjungos valstybių narių nacionalinėms reguliavimo institucijoms, Europos tinklų ir informacijos apsaugos agentūrai ir visuomenei.

17. Tarnyba nuolat kaupia informaciją apie jai pateiktus viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos priglobos paslaugų teikėjų pranešimus ir įvykdytus veiksmus ir kasmet pateikia apibendrintą informaciją Europos Komisijai ir Europos tinklų ir informacijos apsaugos agentūrai.

VII. BAIGIAMOSIOS NUOSTATOS

18. Už Taisyklių pažeidimus viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų teikėjai atsako teisės aktų nustatyta tvarka.

__________________

Viešųjų ryšių tinklų, viešųjų elektroninių

ryšių paslaugų ir elektroninės informacijos

prieglobos paslaugų saugumo ir vientisumo

užtikrinimo taisyklių

1 priedas

VIEŠŲJŲ RYŠIŲ TINKLŲ, VIEŠŲJŲ ELEKTRONINIŲ RYŠIŲ PASLAUGŲ IR (ARBA) ELEKTRONINĖS INFORMACIJOS PRIEGLOBOS PASLAUGŲ TEIKIMO PASLAUGŲ GAVĖJAMS SUTRIKIMŲ ĮTAKOS VERTINIMO LENTELĖ

Paslaugos sutrikimo trukmė	Ilgiau nei viena valanda, bet trumpiau nei dvi valandos	Ilgiau nei dvi valandos
Paslaugų gavėjų skaičius arba % nuo bendro teikėjo paslaugų gavėjų skaičiaus	Įtaka
>1000 arba > 5 %	Vidutinė	Didelė
Esant nežinomam paslaugų gavėjų skaičiui, paslaugos aprėpties plotas miesto teritorijoje
> 1 km²	Vidutinė	Didelė
Esant nežinomam paslaugų gavėjų skaičiui paslaugos sutrikimo atveju, paslaugos sutrikimo aprėpties plotas ne miesto teritorijoje
> 10 km²	Vidutinė	Didelė

__________________

Viešųjų ryšių tinklų, viešųjų elektroninių

ryšių paslaugų ir elektroninės informacijos

prieglobos paslaugų saugumo ir vientisumo

užtikrinimo taisyklių

2 priedas

_________________________________________________________________

(juridinio asmens pavadinimas arba fizinio asmens vardas ir pavardė)

_________________________________________________________________

(juridinio asmens buveinės arba fizinio asmens nuolatinės gyvenamosios vietos adresas)

_________________________________________________________________

(telefonas, faksas, el. paštas)

Lietuvos Respublikos ryšių reguliavimo tarnybai

Algirdo g. 27A, LT-03219 Vilnius

Tel. (8 5) 210 5679, faks. (8 5) 216 1564

El. paštas cert@cert.lt

PRANEŠIMAS

APIE INCIDENTĄ IR (AR) VIENTISUMO PAŽEIDIMĄ

___________Nr._________

(data)

______________

(sudarymo vieta)

Kontaktinė informacija	Atsakingo už kibernetinio ar saugumo incidento (toliau – incidentas) ir (ar) vientisumo pažeidimo valdymą asmens vardas, pavardė:
	Pareigos:
	Adresas:
	Telefonas, el. pašto adresas:
Incidento ir (ar) vientisumo pažeidimo apibūdinimas	Tipas:
	Laikas:
	Pažeistų viešųjų ryšių tinklų, viešųjų elektroninių ryšių paslaugų ir (arba) elektroninės informacijos prieglobos paslaugų, informacinių sistemų, programinės įrangos ir pan. aprašymas:
	Informacija apie incidento ir (ar) vientisumo pažeidimo priežastis:
	Incidento ir (ar) vientisumo pažeidimo aprašymas (nurodyti kiek įmanoma detalesnę informaciją):
	Paslaugų gavėjų, kuriems incidentas ir (ar) vientisumo pažeidimas padarė žalos, apytikris skaičius arba išraiška procentais nuo bendro teikėjo paslaugų gavėjų skaičiaus:
Incidento ir (ar) vientisumo pažeidimo valdymas	Taikytos (planuojamos taikyti) incidento ir (ar) vientisumo pažeidimo valdymo priemonės ir (ar) veiksmai, kurių imtasi (arba planuojama imtis)
Kita svarbi informacija

__________________