I SKYRIUS
BENDROSIOS NUOSTATOS
1. Kai kurių Lietuvos Respublikos aplinkos ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Aplinkos ministerijos valdomų ir Valstybinės teritorijų planavimo ir statybos inspekcijos prie Aplinkos ministerijos (toliau – Inspekcija) tvarkomų valstybės informacinių sistemų ir registrų, nurodytų Saugos nuostatų priede, (toliau – informacinės sistemos) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – elektroninės informacijos saugos politika).
2. Saugos nuostatų reikalavimai taikomi tvarkant informacines sistemas, nurodytas Aplinkos ministerijos valdomų valstybės ir kitų informacinių sistemų sąraše (Saugos nuostatų priedas).
3. Elektroninės informacijos saugos politika įgyvendinama pagal aplinkos ministro tvirtinamus Aplinkos ministerijos valdomų registrų ir informacinių sistemų saugos politiką įgyvendinančius dokumentus: saugaus elektroninės informacijos tvarkymo taisykles, naudotojų administravimo taisykles, veiklos tęstinumo valdymo planą (toliau – saugos politiką įgyvendinantys dokumentai).
4. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), vartojamas sąvokas.
5. Informacinių sistemų elektroninės informacijos sauga – elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas.
6. Informacinių sistemų elektroninės informacijos saugos ir kibernetinio saugumo (toliau – elektroninės informacijos sauga) užtikrinimo tikslai:
6.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją;
6.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo, nuo bet kokio kito neteisėto tvarkymo;
6.3. vykdyti elektroninės informacijos saugos ir kibernetinių incidentų (toliau – saugos incidentai) prevenciją.
7. Informacinių sistemų elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
7.1. elektroninės informacijos tvarkymo ir jos naudojimo kontrolė;
7.2. elektroninei informacijai tvarkyti naudojamos techninės ir programinės įrangos kontrolė;
7.3. informacinėse sistemose tvarkomų asmens duomenų apsauga;
7.4. informacinių sistemų veikos tęstinumo užtikrinimas;
7.5. informacinių sistemų naudotojų mokymai.
8. Informacinių sistemų elektroninės informacijos saugai užtikrinti kompleksiškai naudojamos organizacinės, techninės ir programinės priemonės.
9. Saugos nuostatų reikalavimai taikomi:
9.1. informacinių sistemų valdytojai – Aplinkos ministerijai (A. Jakšto g. 4, Vilnius);
9.2. pagrindinei informacinių sistemų tvarkytojai – Inspekcijai (A. Vienuolio g. 8, Vilnius);
9.3. kitiems informacinių sistemų tvarkytojams, išvardytiems informacinių sistemų nuostatuose;
9.4. Inspekcijos paskirtam saugos įgaliotiniui (toliau – saugos įgaliotinis);
9.5. Inspekcijos paskirtiems administratoriams;
9.6. informacinių sistemų naudotojams;
9.7. paslaugų, susijusių su informacinėmis sistemomis, teikėjams.
10. Už elektroninės informacijos saugą pagal kompetenciją atsako informacinių sistemų valdytoja ir visi informacinių sistemų tvarkytojai.
11. Informacinių sistemų valdytoja atsako už informacinių sistemų elektroninės informacijos saugos politikos formavimą, jos įgyvendinimo organizavimą ir priežiūrą, elektroninės informacijos, duomenų tvarkymo ir duomenų teikimo duomenų gavėjams teisėtumą.
12. Informacinių sistemų naudotojai, tvarkantys duomenis, informaciją, dokumentus ir (arba) jų kopijas, privalo įsipareigoti saugoti duomenų ir informacijos paslaptį. Šis įsipareigojimas galioja ir nutraukus su duomenų, informacijos, dokumentų ir (arba) jų kopijų tvarkymu susijusią veiklą.
13. Paslaugų, susijusių su informacinėmis sistemomis, teikėjai privalo įsipareigoti saugoti duomenų ir informacijos paslaptį, pasirašyti konfidencialumo pasižadėjimą. Šis įsipareigojimas galioja ir pasibaigus paslaugų teikimo laikui ar nutraukus šią veiklą.
14. Informacinių sistemų valdytoja atlieka informacinių sistemų nuostatuose nustatytas funkcijas ir:
14.1. tvirtina Saugos nuostatus, saugos politiką įgyvendinančius dokumentus, kitus dokumentus, susijusius su elektroninės informacijos sauga;
14.2. prižiūri ir kontroliuoja, kad informacinės sistemos būtų tvarkomos vadovaujantis informacinių sistemų nuostatais, Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais;
14.3. priima sprendimus dėl techninių ir programinių priemonių, būtinų elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
14.4. prireikus tvirtina informacinių sistemų rizikos įvertinimo ir rizikos valdymo priemonių planą, informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą; jei reikia, šie planai gali būti jungiami ir tvirtinamas bendras planas;
14.5. koordinuoja informacinių visų sistemų tvarkytojų darbą įgyvendinant elektroninės informacijos saugos reikalavimus;
14.6. nagrinėja visų informacinių sistemų tvarkytojų pasiūlymus dėl informacinių sistemų elektroninės informacijos saugos priemonių tobulinimo ir priima dėl jų sprendimus;
14.7. priima sprendimus dėl informacinių sistemų elektroninės informacijos saugos priemonių finansavimo;
14.8. pagal kompetenciją atlieka kitas Valstybės informacinių išteklių valdymo įstatyme, Kibernetinio saugumo įstatyme, Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, informacinių sistemų nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.
15. Pagrindinis tvarkytojas atlieka informacinių sistemų nuostatuose nustatytas funkcijas ir:
15.1. užtikrinta saugos dokumentų ir kitų informacinių sistemų valdytojo priimtų teisės aktų, susijusių su informacinių sistemų elektroninės informacijos sauga (kibernetiniu saugumu), įgyvendinimą;
15.2. užtikrina pagrindinio tvarkytojo įstaigos informacinių sistemų naudotojų darbo vietose naudojamų administracinių, techninių ir programinių priemonių, užtikrinančių elektroninės informacijos saugą, diegimo koordinavimą ir priežiūrą;
15.3. pagal kompetenciją valdo informacinių sistemų kompiuterinių darbo vietų saugos incidentus, informuoja apie juos saugos įgaliotinį ir kitas atsakingas institucijas, šalina šiuos incidentus;
15.4. teikia pasiūlymus informacinių sistemų valdytojai dėl informacinių sistemų saugos tobulinimo;
15.5. teikia valdytojai tvirtinti saugos nuostatus, saugos politiką įgyvendinančių dokumentų, kibernetinių incidentų valdymo ypatingos svarbos informacinėje infrastruktūroje plano projektus;
15.6. atlieka kitas Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, informacinių sistemų nuostatuose, Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas;
15.7. skiria tvarkomoms informacinėms sistemoms saugos įgaliotinį (įgaliotinius);
15.8. skiria tvarkomoms informacinėms sistemoms administratorius ir asmenis atsakingus už kibernetinio saugumo organizavimą ir užtikrinimą.
16. Kiti informacinių sistemų tvarkytojai atlieka šias funkcijas:
16.1. užtikrina saugos dokumentų ir kitų informacinių sistemų valdytojo priimtų teisės aktų, susijusių su informacinių sistemų elektroninės informacijos sauga (kibernetiniu saugumu), įgyvendinimą;
16.2. užtikrina tvarkytojo įstaigos informacinių sistemų naudotojų darbo vietose naudojamų administracinių, techninių ir programinių priemonių, užtikrinančių elektroninės informacijos saugą, diegimo koordinavimą ir priežiūrą;
16.3. pagal kompetenciją valdo informacinių sistemų kompiuterinių darbo vietų saugos incidentus, informuoja apie juos saugos įgaliotinį ir kitas atsakingas institucijas, šalina šiuos incidentus;
16.4. skiria naudotojų administratorių, atsakingą už tvarkytojo naudotojų administravimą;
16.5. teikia pasiūlymus informacinių sistemų valdytojai dėl informacinių sistemų saugos tobulinimo;
16.6. atlieka kitas Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, informacinių sistemų nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.
17. Visi informacinių sistemų tvarkytojai užtikrina savo įstaigoje tvarkomos elektroninės informacijos saugą. Visų informacinių sistemų tvarkytojų vadovai atsako už reikiamų organizacinių ir techninių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir informacinių sistemų saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.
18. Saugos įgaliotinis:
18.1. supažindina administratorius ir informacinės sistemos naudotojus su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais, kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, atsakomybe už Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų nuostatų pažeidimus;
18.2. rengia ir derina Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų projektus;
18.3. koordinuoja ir prižiūri informacinių sistemų elektroninės informacijos saugos politikos įgyvendinimą;
18.4. koordinuoja saugos incidentų tyrimą;
18.5. teikia pasiūlymus Inspekcijos viršininkui dėl:
18.5.1. informacinių sistemų informacinių technologijų saugos atitikties vertinimo atlikimo;
18.5.2. administratoriaus paskyrimo;
18.5.3. Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;
18.6. teikia administratoriui, prireikus ir kitiems informacinių sistemų valdytojos ir tvarkytojų darbuotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos politikos įgyvendinimu;
18.7. pagal kompetenciją dalyvauja atliekant informacinių sistemų informacinių technologijų atitikties saugos reikalavimams vertinimą ir informacinių sistemų rizikos vertinimą;
18.8. ne rečiau kaip kartą per kalendorinius metus organizuoja administratorių ir informacinių sistemų naudotojų saugos mokymus (rengia saugos tematikos mokymus, pateikia mokymų medžiagą Inspekcijos interneto ir informacinių sistemų svetainėse arba organizuoja mokymo paslaugų įsigijimą ar kitais būdais), reguliariai įvairiais būdais informuoja informacinių sistemų naudotojus apie elektroninės informacijos saugos problemas, teikia konsultacijas ir rekomendacijas (elektroniniu paštu, telefonu ir pan.);
18.9. dalyvauja tiriant saugos incidentus;
18.10. atlieka kitas Bendrųjų saugos reikalavimų apraše, Kibernetinio saugumo reikalavimų apraše, informacinių sistemų nuostatuose, Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatytas funkcijas.
19. Saugos įgaliotinis negali atlikti administratoriaus funkcijų.
20. Inspekcijos skiriami administratoriai:
20.1. pagrindinis administratorius, kuris prižiūri ir koordinuoja kitų Inspekcijos paskirtų administratorių veiklą, prižiūri informacinių sistemų infrastruktūrą, užtikrina jos veikimą ir informacinių sistemų elektroninės informacijos saugą;
20.2. naudotojų administratorius, kuris atlieka informacinių sistemų naudotojų administravimo funkcijas (informacinių sistemų naudotojų registravimas ir išregistravimas, prieigos teisių suteikimas ir panaikinimas, informacinių sistemų naudotojų duomenų tvarkymas, klasifikatorių tvarkymas, registracijos žurnalų įrašų analizė ir kt.);
20.3. informacinių sistemų komponentų administratoriai, kurie atlieka funkcijas, susijusias su informacinių sistemų komponentais, šių informacinių sistemų komponentų sąranka:
20.3.1. kompiuterių tinklų administratorius atlieka šias funkcijas:
20.3.1.1. užtikrina kompiuterių tinklų veikimą;
20.3.1.2. projektuoja kompiuterių tinklus;
20.3.1.3. diegia, konfigūruoja ir prižiūri kompiuterių tinklų aktyviąją įrangą;
20.3.1.4. administruoja ugniasienes;
20.3.1.5. administruoja maršrutizatorius ir komutatorius;
20.3.1.6. administruoja pagalbinę įrangą (UPS, fizines linijas ir pan.);
20.3.1.7. užtikrina kompiuterių tinklų saugumą (nustato pažeidžiamas vietas);
20.3.2. tarnybinių stočių administratorius atlieka šias funkcijas:
20.3.2.1. užtikrina tarnybinių stočių veikimą;
20.3.2.2. konfigūruoja tarnybinių stočių tinklo prieigą;
20.3.2.3. kuria ir administruoja tarnybinių stočių naudotojų registracijos į tarnybines stotis duomenis;
20.3.2.4. stebi ir analizuoja tarnybinių stočių veiklą;
20.3.2.5. diegia ir konfigūruoja tarnybinių stočių programinę įrangą;
20.3.2.6. diegia tarnybinių stočių programinės įrangos atnaujinimus laikydamasis informacinių sistemų pokyčių tvarkos, nustatytos informacinių sistemų valdytojos tvirtinamame informacinių sistemų pokyčių tvarkos apraše;
20.3.2.7. užtikrina tarnybinių stočių saugą;
20.3.3. duomenų bazių administratorius atlieka šias funkcijas:
20.3.3.1. užtikrina duomenų bazių veikimą;
20.3.3.2. tvarko duomenų bazių programinę įrangą;
20.3.3.3. diegia duomenų bazių programinės įrangos atnaujinimus laikydamasis informacinių sistemų pokyčių tvarkos, nustatytos informacinių sistemų valdytojos tvirtinamame informacinių sistemų pokyčių tvarkos apraše;
20.3.3.4. kuria ir administruoja duomenų bazių naudotojų registracijos į duomenų bazes duomenis;
20.3.3.5. kuria ir atkuria atsargines elektroninės informacijos kopijas;
20.3.3.6. stebi duomenų bazes ir optimizuoja jų funkcionavimą;
20.3.3.7. užtikrina duomenų bazių saugą;
20.3.4. kitų informacinių sistemų komponentų administratoriai atlieka funkcijas, susijusias su kitų komponentų sąranka, veikimo stebėsena ir analize, profilaktine priežiūra, programinės įrangos diegimu ir konfigūravimu, trikdžių diagnostika ir šalinimu, nepertraukiamo informacinių sistemų veikimo užtikrinimu, pasiūlymų dėl jų veikimo optimizavimo teikimu.
21. Inspekcijos paskirti administratoriai:
21.1. pagal kompetenciją reaguoja į saugos incidentus ir juos valdo, atlieka įsilaužimų į informacines sistemas aptikimo funkcijas;
21.2. dalyvauja atliekant informacinių sistemų rizikos vertinimą ir informacinių sistemų informacinių technologijų atitikties saugos reikalavimams vertinimą.
22. Kitų informacinių sistemų tvarkytojų skiriami naudotojų administratoriai atlieka Saugos nuostatų 20.2 papunktyje nurodytas funkcijas.
23. Inspekcijos paskirti administratoriai ir kitų informacinių sistemų tvarkytojų paskirti naudotojų administratoriai pagal kompetenciją yra atsakingi už informacinių sistemų saugos dokumentuose nustatytų funkcijų vykdymą.
24. Inspekcijos paskirti administratoriai privalo vykdyti visus saugos įgaliotinio nurodymus ir pavedimus užtikrinant informacinių sistemų elektroninės informacijos saugą , pagal kompetenciją reaguoti į saugos incidentus, juos valdyti, ir nuolat saugos įgaliotinį informuoti apie saugą užtikrinančių pagrindinių komponentų būklę.
25. Teisės aktai, kuriais vadovaujantis tvarkoma informacinių sistemų elektroninė informacija ir užtikrinama jos sauga:
25.1. Lietuvos Respublikos informacinių išteklių valdymo įstatymas;
25.2. Lietuvos Respublikos kibernetinio saugumo įstatymas;
25.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;
25.4. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
25.5. Bendrųjų saugos reikalavimų aprašas;
25.6. Kibernetinio saugumo reikalavimų aprašas;
25.7. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – Techniniai reikalavimai);
25.8. Informacinių sistemų nuostatai, patvirtinti aplinkos ministro įsakymais;
25.9. Lietuvos standartai LST EN ISO/IEC 27002 ir LST EN ISO/IEC 27001 bei standartų rinkinys „Informacijos technologijos. Saugumo metodai“, reglamentuojantys saugų duomenų tvarkymą;
25.10. kiti teisės aktai, reglamentuojantys elektroninės informacijos tvarkymą ir elektroninės informacijos saugos valdymą.
II skyrius
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
26. Informacinėse sistemose tvarkomos elektroninės informacijos svarbos kategorija, informacinių sistemų kategorijos ir priskyrimo kategorijai kriterijai nurodyti Saugos nuostatų priede.
27. Informacinių sistemų saugos priemonės parenkamos įvertinus galimus rizikos veiksnius elektroninės informacijos vientisumui, konfidencialumui, integralumui ir prieinamumui.
28. Pagrindinės informacinių sistemų rizikos mažinimo priemonės pateikiamos rizikos įvertinimo ataskaitoje, kurią kasmet ne vėliau kaip iki spalio 1 dienos, prireikus ir neeilinio rizikos įvertinimo ataskaitą iki informacinių sistemų valdytojos nurodytos datos rengia saugos įgaliotinis, įvertinęs galinčius daryti poveikį elektroninės informacijos saugai rizikos veiksnius, iš kurių svarbiausieji yra šie:
28.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos ir kita);
28.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais trikdymai, saugos pažeidimai, vagystės ir kita);
28.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 84 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
29. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano duomenis, jų kopijas informacinių sistemų valdytoja ar jos įgaliotas pagrindinis tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo perduoda Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemai (toliau – ARSIS) Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.
30. Informacinių sistemų rizikos veiksniams vertinti naudojama ARSIS. Informacinių sistemų grėsmių ir pažeidžiamumų, galinčių daryti poveikį informacinės sistemos kibernetiniam saugumui, vertinimas atliekamas kartu su informacinės sistemos rizikos vertinimu. Informacinės sistemos rizikos vertinimo metu gali būti atliekamas pažeidžiamumų testavimas imituojant kibernetines atakas, vykdant kibernetinių incidentų imitavimo pratybas.
31. Elektroninės informacijos saugos būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis informacinių sistemų elektroninės informacijos saugos priemonėmis, kurios parenkamos atsižvelgus į informacinių sistemų valdytojos skiriamas lėšas, vadovaujantis šiais principais:
31.1. likutinė rizika turi būti sumažinta iki priimtino lygio;
31.2. elektroninės informacijos saugos priemonės diegimo kainos turi atitikti saugomos elektroninės informacijos vertę;
31.3. esant galimybei, turi būti įdiegtos prevencinės korekcinės elektroninės informacijos saugos priemonės.
32. Informacinių sistemų valdytoja, atsižvelgdama į informacinių sistemų rizikos įvertinimo ataskaitą, prireikus tvirtina Inspekcijos parengtą rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
33. Siekiant užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose pateiktų nuostatų įgyvendinimo kontrolę, Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka, kasmet organizuojamas informacinių sistemų informacinių technologijų saugos reikalavimų atitikties vertinimas.
34. Vertinant informacinių sistemų informacinių technologijų saugos atitiktį, gali būti atliekamas pažeidžiamumų testavimas imituojant kibernetines atakas ir vykdant kibernetinių incidentų imitavimo pratybas. Imituojant kibernetines atakas, rekomenduojama vadovautis tarptautiniu mastu pripažintų organizacijų (pvz., EC-COUNCIL, ISACA, NIST ir kt.) rekomendacijomis ir gerąja praktika.
35. Atlikus informacinių sistemų informacinių technologijų saugos reikalavimų atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato informacinių sistemų valdytoja.
36. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano duomenis ir jų kopijas informacinių sistemų valdytoja arba jos įgaliotas pagrindinis tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.
37. Ne rečiau kaip kartą per trejus metus informacinių sistemų informacinių technologijų saugos reikalavimų atitikties vertinimą turi atlikti nepriklausomi visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.
III skyrius
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
38. Programinės įrangos, skirtos informacines sistemas apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėti skirtos programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
38.1. informacinių sistemų tarnybinėse stotyse ir kompiuterizuotose darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingąją programinę įrangą, kurios turi būti reguliariai atnaujinamos automatiniu būdu ne rečiau kaip kartą per 24 valandas;
38.2. programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu.
39. Programinės įrangos, įdiegtos informacinių sistemų tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:
39.1. informacinių sistemų darbui turi būti naudojama legali ir patikrinta programinė įranga, įtraukta į leistinos programinės įrangos sąrašą. Leistinos programinės įrangos sąrašą tvirtina pagrindinis tvarkytojas. Kitas informacinių sistemų tvarkytojas gali patvirtinti leistinos programinės įrangos sąrašą savo ir jam pavaldžių institucijų kompiuterinėms darbo vietoms. Inspekcijos tvirtinamą leistinos programinės įrangos sąrašą turi parengti, prireikus peržiūrėti ir atnaujinti saugos įgaliotinis su pagrindiniu administratoriumi;
39.2. programinė įranga atnaujinama laikantis gamintojo reikalavimų;
39.3. programinės įrangos diegimą, šalinimą ir konfigūravimą atlieka administratoriai.
40. Informacinėse sistemose turi būti naudojamos tik tarnybinės išorinės duomenų laikmenos (USB, CD/DVD ir kt.), kiti tarnybiniai įrenginiai, išduoti tarnybinėms funkcijoms vykdyti.
41. Informacinių sistemų programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.
42. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:
42.1. Kompiuterių tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis, DOS ir DDOS atakų prevencijai skirta įranga, įsilaužimų aptikimo ir prevencijos įranga;
42.2. visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingosios programinės įrangos;
42.3. turi būti naudojamos turinio filtravimo sistemos.
43. Informacinėse sistemose naudojamų interneto svetainių (toliau – svetainės) saugos valdymo reikalavimai:
43.1. svetainės turi atitikti Kibernetinio saugumo reikalavimų apraše ir Techniniuose reikalavimuose nustatytus reikalavimus;
43.2. svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio visų informacinių sistemų tvarkytojų kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;
43.3. informacinėse sistemose naudojamų svetainių sauga turi būti vertinama informacinių sistemų rizikos įvertinimo metu ir (arba) informacinių sistemų informacinių technologijų saugos atitikties vertinimo metu.
44. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:
44.1. tiesioginė prieiga prie informacinių sistemų elektroninės informacijos suteikiama įgyvendinus informacinių sistemų naudotojų autentifikavimo priemones – šie naudotojai savo tapatybę patvirtina slaptažodžiu ar kita autentifikavimo priemone; tiesioginė prieiga prie informacinių sistemų užtikrinama automatiniu būdu ištisą parą darbo ir poilsio dienomis;
44.2. prieiga prie informacinių sistemų suteikiama tik registruotiems informacinių sistemų naudotojams;
44.3. informacinių sistemų elektroninė informacija perduodama automatiniu būdu naudojant TCP/IP, HTTPS protokolus realiu laiku (angl. „On-line“ režimu) arba asinchroniniu režimu pagal informacinių sistemų duomenų teikimo sutartis, kuriose nustatytos perduodamos elektroninės informacijos specifikacijos, kopijų skaičius, kitos elektroninės informacijos perdavimo sąlygos ir tvarka.
45. Informacinių sistemų elektroninei informacijai perduoti naudojamas Aplinkos ministerijos tinklas ir kiti saugūs elektroninių ryšių tinklai.
46. Visų informacinių sistemų tvarkytojai apie diegiamus vietinius belaidžius tinklus, sujungimus su kitais tinklais, vietinių tinklų įrangos pakeitimus turi raštu informuoti pagrindinę tvarkytoją.
47. Visos informacinių sistemų naudotojų kompiuterizuotos darbo vietos turi būti valdomos centralizuoto valdymo priemonėmis (pvz., katalogų tarnyba „Active directory“).
48. Informacinių sistemų naudotojų tarnybinėms funkcijoms vykdyti nešiojamuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas informacinių sistemų naudotojo tapatybės patvirtinimas ir elektroninės informacijos šifravimas.
49. Informacinių sistemų naudotojams, kuriems atliekant tiesiogines pareigas būtina prisijungti iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie informacinių sistemų galimybė:
49.1. techninis nuotolinio prisijungimo sprendimas turi užtikrinti ne žemesnį kaip vidiniam prisijungimui naudojamą saugumo lygį, t. y. turi būti naudojamos Saugos nuostatuose nurodytos priemonės ir elektroninės informacijos šifravimas per virtualų privatų tinklą (angl. virtual private network – VPN);
49.2. prie informacinių sistemų prisijungiama nuotoliniu būdu naudojant interneto naršyklę (HTTPS protokolą).
50. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
50.1. informacinių sistemų elektroninės informacijos kopijos turi būti daromos automatiškai kiekvieną dieną; prireikus jas atkurti, tai padaryti turi teisę atsakingas informacinių sistemų administratorius, kurio funkcijos aprašytos naudotojų administravimo taisyklėse ir kituose teisės aktuose, reglamentuojančiuose IS darbą;
50.2. atkūrimas iš elektroninės informacijos kopijų privalo būti išbandomas teisės aktų nustatyta tvarka;
50.3. informacinių sistemų elektroninės informacijos kopijos saugomos kitoje patalpoje nei informacinių sistemų tarnybinės stotys.
51. Turi būti užtikrintas saugos incidentų, įvykusių informacinėse sistemose, registravimas, valdymas ir tyrimas Kibernetinių saugumo reikalavimų apraše, informacinių sistemų valdytojos patvirtintų kibernetinių incidentų valdymo ypatingos svarbos informacinėje infrastruktūroje plane ir informacinių sistemų veiklos tęstinumo valdymo plane nustatyta tvarka:
51.1. registruojami informacinėse sistemose įvykę saugos incidentai ir nedelsiant į juos reaguojama, techninėmis ir programinėmis priemonėmis saugos incidentai valdomi, tiriami ir šalinami, atkuriama sistemų veikla;
51.2. Nacionaliniam kibernetinio saugumo centrui ir kitoms atsakingoms institucijoms pagal kompetenciją pranešama apie įvykusius saugos incidentus, jų vertinimą ir suvaldymą.
52. Ne rečiau kaip kartą per mėnesį turi būti atliekama ugniasienių užfiksuotų įvykių analizė ir pastebėtos neatitiktys saugumo reikalavimams nedelsiant šalinamos.
53. Ne rečiau kaip kartą per mėnesį turi būti įvertinami kibernetiniam saugumui užtikrinti naudojamų priemonių programiniai atnaujinimai, klaidų taisymai ir šie atnaujinimai diegiami.
54. Perkant paslaugas, darbus ar įrangą, susijusius su informacinėmis sistemomis, jų projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, patalpų priežiūra, elektroninės informacijos perdavimo tinklais, taip pat kitus, suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, ją apdoroti, saugoti, keistis elektronine informacija ar tiekti informacinių technologijų infrastruktūros komponentus, pirkimo dokumentuose iš anksto turi būti nustatyta, kad paslaugų teikėjas, darbų vykdytojas ar techninės ir programinės įrangos tiekėjas (toliau – paslaugų teikėjas) privalo laikytis informacinių sistemų saugos dokumentuose nustatytų reikalavimų, užtikrinti paslaugų, darbų ar tiekiamos įrangos atitiktį nustatytiems elektroninės informacijos saugos reikalavimams.
55. Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant šią sutartį, išskyrus, kiek būtina vykdant sutartį, nenaudoti konfidencialios informacijos asmeniniams ar trečiųjų asmenų poreikiams laikantis principo, kad visa paslaugų teikėjui suteikta informacija (įskaitant informacinėse sistemose tvarkomą elektroninę informaciją) yra konfidenciali, nebent raštu patvirtinama, kad kai kuri pateikta informacija nėra konfidenciali.
IV skyrius
REIKALAVIMAI PERSONALUI
56. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, darbe vadovautis Bendrųjų saugos reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, privalo kelti kvalifikaciją elektroninės informacijos saugos srityje.
57. Saugos įgaliotiniu, administratoriumi negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
58. Visi administratoriai privalo išmanyti pagrindinius elektroninės informacijos saugos ir saugaus darbo su duomenų perdavimo tinklais principus, atsižvelgiant į vykdomas funkcijasi atitinkamai turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą ir saugą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų ir saugos incidentų diagnostiką ir šalinimą, turėti sisteminių programinių priemonių (Windows, Unix, Oracle) administravimo ir priežiūros patirties.
59. Visi administratoriai ir naudotojai turi būti susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais, pagal kompetenciją kitais teisės aktais ir standartais, reglamentuojančiais elektroninės informacijos saugą.
60. Naudotojai, tvarkantys elektroninę informaciją, privalo įsipareigoti saugoti informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą, valstybės tarnybos ar darbo santykius.
61. Naudotojai, atliekantys tarnybines funkcijas, susijusias su asmens duomenų tvarkymu ir teikimu, pasirašytinai supažindinami su asmens duomenų tvarkymą ir apsaugą reglamentuojančiais teisės aktais, atsakomybe už jų pažeidimą ir raštu įpareigojami saugoti asmens duomenų paslaptį. Asmens duomenų paslaptį jie privalo saugoti visą darbo (tarnybos) laikotarpį ir pasibaigus darbo (tarnybos) santykiams.
62. Informacinių sistemų naudotojai, pastebėję saugos politiką įgyvendinančiuose dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami pranešti tai atitinkamos informacinės sistemos administratoriui ar saugos įgaliotiniui.
63. Informacinių sistemų naudotojai privalo:
63.1. turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti saugiai tvarkyti elektroninę informaciją;
63.2. nuolat kelti kvalifikaciją saugaus elektroninės informacijos tvarkymo kursuose, mokymuose, seminaruose;
63.3. įtarę, kad prisijungimo prie informacinės sistemos slaptažodis galėjo būti atskleistas kitam asmeniui, praradę ar netekę slaptažodžio, nedelsiant informuoti informacinės sistemos administratorių; nurodytais atvejais slaptažodis turi būti pakeistas vadovaujantis Informacinių sistemų naudotojų administravimo taisyklėmis.
64. Informacinių sistemų naudotojams draudžiama:
64.1. atskleisti informacinės sistemos duomenis ar suteikti kitokią galimybę bet kokia forma su jais susipažinti tokios teisės neturintiems asmenims;
64.2. savavališkai diegti informacinės sistemos taikomosios programinės įrangos pakeitimus ir naujas versijas neturint tam suteiktos teisės;
64.3. atskleisti kitiems asmenims prisijungimo prie informacinės sistemos vardą, slaptažodį ar sudaryti sąlygas jais pasinaudoti;
64.4. naudoti informacinės sistemos duomenis kitokiais nei jų nuostatuose nurodytais tikslais ir savo pareigybės aprašyme nustatytų funkcijų vykdymo tikslais;
64.5. sudaryti sąlygas pasinaudoti informacinei sistemai tvarkyti naudojama technine ir programine įranga teisės neturintiems asmenims (paliekant darbo vietą būtina užrakinti darbalaukį arba išjungti darbo stotį);
64.6. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti, sunaikinti ar atskleisti informacinės sistemos duomenys, neatlikti būtinų veiksmų, kurie apsaugo informacinės sistemos duomenis;
64.7. atlikti neteisėtus informacinės sistemos tvarkymo veiksmus.
65. Informacinių sistemų naudotojams ne rečiau kaip kartą per kalendorinius metus turi būti rengiami elektroninės informacijos saugos mokymai, įvairiais būdais primenama apie saugos problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.). Saugos mokymus periodiškai organizuoja saugos įgaliotinis.
V SKYRIUS
INFORMACINIŲ SISTEMŲ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
66. Tvarkyti informacinių sistemų elektroninę informaciją gali informacinių sistemų naudotojai, susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugą, taip pat atsakomybe už saugos dokumentų nuostatų pažeidimus ir sutikę laikytis saugos dokumentuose nustatytų reikalavimų. Pakartotinis supažindinimas atliekamas pasikeitus minėtiems dokumentams ir teisės aktams.
67. Informacinių sistemų naudotojų supažindinimą su Saugos nuostatais ir informacinių sistemų saugos politiką įgyvendinančiais dokumentais pagal kompetenciją organizuoja saugos įgaliotinis.
68. Informacinių sistemų naudotojai su Saugos nuostatais ir informacinių sistemų saugos politiką įgyvendinančiais dokumentais, atsakomybe už jų reikalavimų nesilaikymą supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą (jungiantis prie informacinės sistemos per naudotojo sąsają ar pan.).
69. Saugos nuostatai ir informacinių sistemų saugos politiką įgyvendinantys dokumentai turi būti peržiūrimi ne rečiau kaip kartą per kalendorinius metus. Informacinių sistemų saugos dokumentai turi būti peržiūrimi atlikus rizikos veiksnių analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Saugos įgaliotinis pagal kompetenciją atsakingas, kad informacinių sistemų naudotojai būtų informuoti apie jų pakeitimą ir (ar) pripažinimą netekusiais galios.
