Suvestinė redakcija nuo 2024-07-06
Įsakymas paskelbtas: TAR 2017-12-22, i. k. 2017-21049
LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRAS
ĮSAKYMAS
DĖL KAI KURIŲ LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS VALDOMŲ REGISTRŲ IR VALSTYBĖS INFORMACINIŲ SISTEMŲ
DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2017 m. gruodžio 22 d. Nr. 1V-883
Vilnius
Vadovaudamasis Lietuvos Respublikos kibernetinio saugumo įstatymo 11 straipsnio 1 dalies 5 punktu, Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 12, 19 ir 26 punktais, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 5.3 papunkčiu:
Preambulės pakeitimai:
Nr. 1V-930, 2019-11-18, paskelbta TAR 2019-11-18, i. k. 2019-18438
1. T v i r t i n u Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatus (pridedama).
2. P a v e d u:
2.1. Informatikos ir ryšių departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos per vieną mėnesį nuo Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų (toliau – Saugos nuostatai) patvirtinimo paskirti Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų (toliau – informacinės sistemos) pagrindinį saugos įgaliotinį, pagrindinį administratorių, naudotojų administratorių ir informacinių sistemų komponentų administratorius;
2.2. informacinių sistemų tvarkytojams per vieną mėnesį nuo Saugos nuostatų patvirtinimo paskirti savo tvarkomų informacinių sistemų saugos įgaliotinius;
3. S k i r i u Informatikos ir ryšių departamentą prie Lietuvos Respublikos vidaus reikalų ministerijos atsakingu už informacinių sistemų kibernetinio saugumo organizavimą ir užtikrinimą.
4. P r i p a ž į s t u netekusiu galios Lietuvos Respublikos vidaus reikalų ministro 2007 m. sausio 2 d. įsakymo Nr. 1V-1 „Dėl Vidaus reikalų informacinės sistemos nuostatų ir Vidaus reikalų informacinės sistemos duomenų saugos nuostatų patvirtinimo“ 1.2 papunktį (su visais Vidaus reikalų informacinės sistemos duomenų saugos nuostatų pakeitimais ir papildymais).
PATVIRTINTA
Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d.
įsakymu Nr. 1V-883
Kai kurių LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS valdomų registrų ir VALSTYBĖS INFORMACINIŲ SISTEMŲ
DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Vidaus reikalų ministerija) valdomų bei Informatikos ir ryšių departamento prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Informatikos ir ryšių departamentas) tvarkomų valstybės informacinių sistemų ir registrų (toliau – informacinės sistemos) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – elektroninės informacijos saugos politika).
2. Saugos nuostatų reikalavimai taikomi tvarkant informacines sistemas, nurodytas Vidaus reikalų ministerijos valdomų ir Informatikos ir ryšių departamento tvarkomų registrų ir valstybės informacinių sistemų sąraše (Saugos nuostatų priedas).
3. Elektroninės informacijos saugos politika įgyvendinama pagal vidaus reikalų ministro tvirtinamus Vidaus reikalų ministerijos valdomų registrų ir informacinių sistemų saugos politiką įgyvendinančius dokumentus: saugaus elektroninės informacijos tvarkymo taisykles, naudotojų administravimo taisykles, veiklos tęstinumo valdymo planą (toliau – saugos politiką įgyvendinantys dokumentai).
4. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), vartojamas sąvokas.
Punkto pakeitimai:
Nr. 1V-930, 2019-11-18, paskelbta TAR 2019-11-18, i. k. 2019-18438
5. Informacinių sistemų elektroninės informacijos sauga – tai elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas.
6. Informacinių sistemų elektroninės informacijos saugos ir kibernetinio saugumo (toliau – elektroninės informacijos sauga) užtikrinimo tikslai:
6.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo, taip pat nuo bet kokio kito neteisėto tvarkymo;
7. Informacinių sistemų elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
8. Informacinių sistemų elektroninės informacijos saugai užtikrinti kompleksiškai naudojamos organizacinės, techninės ir programinės priemonės.
9. Saugos nuostatų reikalavimai taikomi:
9.2. informacinių sistemų tvarkytojui – Informatikos ir ryšių departamentui, Šventaragio g. 2, Vilnius;
10. Už elektroninės informacijos saugą pagal kompetenciją atsako informacinių sistemų valdytoja ir tvarkytojai.
11. Informacinių sistemų valdytoja atsako už informacinių sistemų elektroninės informacijos saugos politikos formavimą, jos įgyvendinimo organizavimą ir priežiūrą, elektroninės informacijos ir duomenų tvarkymo bei duomenų teikimo duomenų gavėjams teisėtumą.
12. Informacinių sistemų naudotojai, tvarkantys duomenis, informaciją, dokumentus ir (arba) jų kopijas, privalo įsipareigoti saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir nutraukus su duomenų, informacijos, dokumentų ir (arba) jų kopijų tvarkymu susijusią veiklą.
13. Paslaugų, susijusių su informacinėmis sistemomis, teikėjai privalo įsipareigoti saugoti duomenų ir informacijos paslaptį bei pasirašyti konfidencialumo pasižadėjimą. Įsipareigojimas saugoti duomenų ir informacijos paslaptį galioja ir pasibaigus paslaugų teikimo laikui ar nutraukus šią veiklą.
14. Informacinių sistemų valdytoja atlieka informacinių sistemų nuostatuose nustatytas funkcijas, o taip pat:
14.1. tvirtina Saugos nuostatus, saugos politiką įgyvendinančius dokumentus, kitus dokumentus, susijusius su elektroninės informacijos sauga;
14.2. prižiūri ir kontroliuoja, kad informacinės sistemos būtų tvarkomos vadovaujantis informacinių sistemų nuostatais, Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais;
14.3. priima sprendimus dėl techninių ir programinių priemonių, būtinų elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
14.4. tvirtina informacinių sistemų rizikos įvertinimo ir rizikos valdymo priemonių planą ir informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą; esant poreikiui šie planai gali būti sujungti ir tvirtinamas bendras planas;
14.5. koordinuoja informacinių sistemų tvarkytojų darbą įgyvendinant elektroninės informacijos saugos reikalavimus;
14.6. nagrinėja informacinių sistemų tvarkytojų pasiūlymus dėl informacinių sistemų elektroninės informacijos saugos priemonių tobulinimo ir priima dėl jų sprendimus;
14.7. priima sprendimus dėl informacinių sistemų elektroninės informacijos saugos priemonių finansavimo;
15. Informacinių sistemų tvarkytojas – Informatikos ir ryšių departamentas atlieka informacinių sistemų nuostatuose nustatytas funkcijas, o taip pat:
15.3. užtikrina tinkamą Saugos nuostatų, informacinių sistemų saugos politiką įgyvendinančių dokumentų, kitų dokumentų, susijusių su elektroninės informacijos sauga, įgyvendinimą;
15.4. rengia informacinių sistemų rizikos įvertinimo ir rizikos valdymo priemonių planą ir informacinių technologijų saugos atitikties vertinimo metu nustatytų trūkumų šalinimo planą; esant poreikiui šie planai gali būti sujungti ir rengiamas bendras planas;
15.5. planuoja ir įgyvendina priemones, mažinančias duomenų atskleidimo ir praradimo riziką bei užtikrinančias prarastų duomenų atkūrimą ir duomenų apsaugą nuo klastojimo;
15.7. skiria pagrindinį saugos įgaliotinį ir pagrindinį administratorių, naudotojų administratorių, informacinių sistemų komponentų administratorius;
15.8. esant informacinių sistemų tvarkytojų prašymams, suteikia teisę informacinių sistemų tvarkytojams administruoti savo bei informacinių sistemų tvarkytojo įstaigai pavaldžių įstaigų informacinių sistemų naudotojus;
Papunkčio pakeitimai:
Nr. 1V-837, 2018-11-13, paskelbta TAR 2018-11-13, i. k. 2018-18324
15.9. vykdo kibernetinio saugumo organizavimo ir užtikrinimo funkcijas, nustatytas Kibernetinio saugumo įstatyme, Kibernetinio saugumo reikalavimų apraše ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose;
15.10. vykdo Informacinių technologijų ir telekomunikacijų pagalbos tarnybos (toliau – ITT pagalbos tarnyba) funkcijas, registruoja ir valdo saugos incidentus;
16. Kiti informacinių sistemų tvarkytojai atlieka šias funkcijas:
16.1. užtikrina tinkamą informacinių sistemų valdytojos priimtų teisės aktų ir rekomendacijų, susijusių su elektroninės informacijos sauga, įgyvendinimą;
16.2. užtikrina tvarkytojo įstaigos informacinių sistemų naudotojų darbo vietose naudojamų administracinių, techninių ir programinių priemonių, užtikrinančių elektroninės informacijos saugą, diegimo koordinavimą ir priežiūrą;
16.3. pagal kompetenciją valdo informacinių sistemų kompiuterinių darbo vietų saugos incidentus, informuoja apie juos ITT pagalbos tarnybą, pagrindinį saugos įgaliotinį ir kitas atsakingas institucijas, šalina šiuos incidentus;
16.4. Informatikos ir ryšių departamentui suteikus teisę, skiria naudotojų administratorių, kuris administruoja informacinių sistemų naudotojus informacinių sistemų tvarkytojo ir jam pavaldžiose įstaigose;
Papunkčio pakeitimai:
Nr. 1V-837, 2018-11-13, paskelbta TAR 2018-11-13, i. k. 2018-18324
16.5. paskiria savo tvarkomoms informacinėms sistemoms saugos įgaliotinį (įgaliotinius); jei informacinių sistemų tvarkytojas turi pavaldžių ar jo reguliavimo sričiai arba veiklos sričiai priskirtų kitų įstaigų (teritorinių, specializuotų, atskaitingų ir kitų) informacinių sistemų tvarkytojų (toliau – reguliavimo sričiai priskirti tvarkytojai), jis gali paskirti vieną saugos įgaliotinį, prižiūrintį ir kontroliuojantį saugos politikos įgyvendinimą savo įstaigoje ir jo reguliavimo sričiai priskirtų informacinių sistemų tvarkytojų įstaigose;
17. Informacinių sistemų tvarkytojai užtikrina tvarkytojo įstaigoje tvarkomos elektroninės informacijos saugą. Informacinių sistemų tvarkytojų vadovai atsako už reikiamų organizacinių ir techninių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir informacinių sistemų saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.
18. Pagrindinis saugos įgaliotinis:
18.2. supažindina kitų informacinių sistemų tvarkytojų paskirtus saugos įgaliotinius su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais, kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, atsakomybe už saugos dokumentų nuostatų pažeidimus;
18.4. koordinuoja ir prižiūri informacinių sistemų elektroninės informacijos saugos politikos įgyvendinimą;
18.6. teikia pasiūlymus Informatikos ir ryšių departamento direktoriui dėl:
18.7. teikia pasiūlymus informacinių sistemų valdytojai dėl Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;
18.8. teikia saugos įgaliotiniams ir administratoriams, prireikus ir kitiems informacinių sistemų valdytojo ir tvarkytojų darbuotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su elektroninės informacijos saugos politikos įgyvendinimu;
18.9. ne rečiau kaip kartą per kalendorinius metus organizuoja kitų informacinių sistemų tvarkytojų paskirtų saugos įgaliotinių, Informatikos ir ryšių departamento paskirtų administratorių, naudotojų saugos mokymus (surengdamas saugos tematikos mokymus, pateikdamas mokymų medžiagą Informatikos ir ryšių departamento interneto svetainėje arba organizuodamas mokymo paslaugų įsigijimą ar kitais būdais), reguliariai įvairiais būdais informuoja naudotojus apie elektroninės informacijos saugos problemas, teikia konsultacijas ir rekomendacijas (elektroniniu paštu, telefonu ir pan.).
19. Kitų informacinių sistemų tvarkytojų paskirti saugos įgaliotiniai:
19.1. koordinuoja ir prižiūri saugos politikos įgyvendinimą informacinėse sistemose, kurioms jie paskirti, tvarkytojo įstaigoje, taip pat tvarkytojo įstaigos reguliavimo sričiai priskirtose kitose įstaigose, jei tai pavesta jų kompetencijai;
19.2. supažindina su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir atsakomybe už juose nustatytų reikalavimų nesilaikymą tvarkytojo įstaigos naudotojus, taip pat tvarkytojo įstaigos reguliavimo sričiai priskirtų kitų įstaigų naudotojus, jei tai pavesta jų kompetencijai;
19.3. kasmet organizuoja saugos mokymus, reguliariai primena saugos problemas, teikia konsultacijas ir rekomendacijas (elektroniniu paštu, telefonu ir kt. būdais), prireikus rengia atmintines tvarkytojo įstaigos naudotojams, taip pat tvarkytojo įstaigos reguliavimo sričiai priskirtų kitų įstaigų naudotojams, jei tai pavesta jų kompetencijai;
19.4. teikia tvarkytojo įstaigos naudotojams, prireikus ir kitiems darbuotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su informacinių sistemų saugos politikos įgyvendinimu;
19.5. teikia pagrindiniam saugos įgaliotiniui siūlymus dėl Saugos nuostatų ir saugos politiką įgyvendinančių dokumentų priėmimo ir keitimo;
19.6. pagal kompetenciją dalyvauja atliekant informacinių sistemų informacinių technologijų atitikties saugos reikalavimams vertinimą bei informacinių sistemų rizikos vertinimą;
19.7. informuoja pagrindinį saugos įgaliotinį ir ITT pagalbos tarnybą apie saugos incidentus informacinėse sistemose, kurioms jie paskirti;
20. Pagrindinis saugos įgaliotinis ir kitų informacinių sistemų tvarkytojų paskirti saugos įgaliotiniai negali atlikti administratorių funkcijų.
21. Informatikos ir ryšių departamento paskirti administratoriai atlieka funkcijas, susijusias su informacinių sistemų naudotojų administravimu, informacinės sistemos komponentais (kompiuteriais, operacinėmis sistemomis, duomenų bazių valdymo sistemomis, taikomųjų programų sistemomis, ugniasienėmis, įsilaužimų aptikimo sistemomis, elektroninės informacijos perdavimu tinklais, bylų serveriais ir kitais), šių informacinių sistemų komponentų sąranka, informacinių sistemų pažeidžiamų vietų nustatymu, saugumo reikalavimų atitikties nustatymu ir stebėsena, reagavimu į elektroninės informacijos saugos incidentus ir jų valdymu, taip pat privalo vykdyti visus saugos įgaliotinio nurodymus ir pavedimus, susijusius su informacinės sistemos saugos užtikrinimu, ir nuolat teikti saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.
Punkto pakeitimai:
Nr. 1V-837, 2018-11-13, paskelbta TAR 2018-11-13, i. k. 2018-18324
22. Informatikos ir ryšių departamento skiriami administratoriai:
22.1. pagrindinis administratorius, kuris prižiūri ir koordinuoja kitų Informatikos ir ryšių departamento paskirtų administratorių veiklą, prižiūri informacinių sistemų infrastruktūrą, užtikrina jos veikimą ir informacinių sistemų elektroninės informacijos saugą;
22.2. naudotojų administratorius, kuris atlieka informacinių sistemų naudotojų administravimo funkcijas (informacinių sistemų naudotojų registravimas ir išregistravimas, prieigos teisių suteikimas ir panaikinimas, informacinių sistemų naudotojų duomenų tvarkymas, klasifikatorių tvarkymas, registracijos žurnalų įrašų analizė ir kt.);
Papunkčio pakeitimai:
Nr. 1V-837, 2018-11-13, paskelbta TAR 2018-11-13, i. k. 2018-18324
22.3. informacinių sistemų komponentų administratoriai, kurie atlieka funkcijas, susijusias su informacinių sistemų komponentais, šių informacinių sistemų komponentų sąranka:
22.3.1. kompiuterių tinklų administratorius atlieka šias funkcijas:
22.3.2. tarnybinių stočių administratorius atlieka šias funkcijas:
22.3.2.3. kuria ir administruoja tarnybinių stočių naudotojų registracijos į tarnybines stotis duomenis;
22.3.2.6. diegia tarnybinių stočių programinės įrangos atnaujinimus, laikydamasis informacinių sistemų pokyčių tvarkos, nustatytos informacinių sistemų valdytojos tvirtinamame informacinių sistemų pokyčių tvarkos apraše;
22.3.3. duomenų bazių administratorius atlieka šias funkcijas:
22.3.3.3. diegia duomenų bazių programinės įrangos atnaujinimus, laikydamasis informacinių sistemų pokyčių tvarkos, nustatytos informacinių sistemų valdytojos tvirtinamame informacinių sistemų pokyčių tvarkos apraše;
22.3.4. kitų informacinių sistemų komponentų administratoriai atlieka funkcijas, susijusias su kitų komponentų sąranka, veikimo stebėsena ir analize, profilaktine priežiūra, programinės įrangos diegimu ir konfigūravimu, trikdžių diagnostika ir šalinimu, nepertraukiamo informacinių sistemų veikimo užtikrinimu, pasiūlymų dėl jų veikimo optimizavimo teikimu.
23. Informatikos ir ryšių departamento paskirti administratoriai:
23.1. pagal kompetenciją reaguoja į saugos incidentus ir juos valdo, atlieka įsilaužimų į informacines sistemas aptikimo funkcijas;
231. Kitų informacinių sistemų tvarkytojų skiriami naudotojų administratoriai atlieka Saugos nuostatų 22.2 papunktyje nurodytas funkcijas.
Papildyta punktu:
Nr. 1V-837, 2018-11-13, paskelbta TAR 2018-11-13, i. k. 2018-18324
24. Informatikos ir ryšių departamento paskirti administratoriai ir kitų informacinių sistemų tvarkytojų paskirti naudotojų administratoriai pagal kompetenciją yra atsakingi už tinkamą informacinių sistemų saugos dokumentuose nustatytų funkcijų vykdymą.
Punkto pakeitimai:
Nr. 1V-837, 2018-11-13, paskelbta TAR 2018-11-13, i. k. 2018-18324
25. Informatikos ir ryšių departamento paskirti administratoriai privalo vykdyti visus pagrindinio saugos įgaliotinio nurodymus ir pavedimus dėl informacinių sistemų elektroninės informacijos saugos užtikrinimo, pagal kompetenciją reaguoti į saugos incidentus, juos valdyti, ir nuolat teikti pagrindiniam saugos įgaliotiniui informaciją apie saugą užtikrinančių pagrindinių komponentų būklę.
26. Teisės aktai, kuriais vadovaujantis tvarkoma informacinių sistemų elektroninė informacija ir užtikrinama jos sauga:
26.4. Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymas;
26.5. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
Papunkčio pakeitimai:
Nr. 1V-20, 2022-01-12, paskelbta TAR 2022-01-12, i. k. 2022-00415
26.8. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V- 941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, (toliau – Techniniai reikalavimai);
Papunkčio pakeitimai:
Nr. 1V-20, 2022-01-12, paskelbta TAR 2022-01-12, i. k. 2022-00415
26.9. Informacinių sistemų valdytojos patvirtintas kibernetinių incidentų valdymo ypatingos svarbos informacinėje infrastruktūroje planas;
26.11. Lietuvos standartai LST EN ISO/IEC 27002 ir LST EN ISO/IEC 27001 bei Lietuvos ir tarptautiniai „Informacijos technologijos. Saugumo metodai“ grupės standartai, reglamentuojantys saugų duomenų tvarkymą;
26.12. kiti teisės aktai, reglamentuojantys elektroninės informacijos tvarkymo teisėtumą ir elektroninės informacijos saugos valdymą.
Punkto pakeitimai:
Nr. 1V-837, 2018-11-13, paskelbta TAR 2018-11-13, i. k. 2018-18324
II skyrius
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
27. Informacinėse sistemose tvarkomos elektroninės informacijos svarbos kategorija, informacinių sistemų kategorijos bei priskyrimo tam tikrai kategorijai kriterijai nurodyti Saugos nuostatų priede.
28. Neteko galios nuo 2022-01-13
Punkto naikinimas:
Nr. 1V-20, 2022-01-12, paskelbta TAR 2022-01-12, i. k. 2022-00415
29. Informacinių sistemų saugos priemonės parenkamos įvertinus galimus rizikos veiksnius elektroninės informacijos vientisumui, konfidencialumui ir prieinamumui.
291. Maksimalus valstybės informacinio ištekliaus ar jo dalies neveikimo laikotarpis negali tęstis ilgiau nei: ypatingos svarbos valstybės informacinio ištekliaus – 8 val., svarbaus valstybės informacinio ištekliaus – 12 val., vidutinės svarbos valstybės informacinio ištekliaus – 16 val., mažos svarbos valstybės informacinio ištekliaus – 24 val.
Papildyta punktu:
Nr. 1V-434, 2024-07-05, paskelbta TAR 2024-07-05, i. k. 2024-12683
292. Per metus užtikrinamas valstybės informacinių išteklių prieinamumas: ypatingos svarbos valstybės informacinių išteklių – ne mažiau kaip 99 proc. laiko visą parą, svarbių valstybės informacinių išteklių – ne mažiau kaip 96 proc. laiko visą parą, vidutinės svarbos valstybės informacinių išteklių – ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis, mažos svarbos valstybės informacinių išteklių – ne mažiau kaip 70 proc. laiko darbo metu darbo dienomis.
Papildyta punktu:
Nr. 1V-434, 2024-07-05, paskelbta TAR 2024-07-05, i. k. 2024-12683
30. Pagrindinės informacinių sistemų rizikos mažinimo priemonės išdėstomos rizikos įvertinimo ataskaitoje, kurią kasmet ne vėliau nei iki spalio 1 dienos, o prireikus ir neeilinio rizikos įvertinimo ataskaitą iki informacinių sistemų valdytojos nurodytos datos rengia pagrindinis saugos įgaliotinis, įvertinęs galinčius turėti įtakos elektroninės informacijos saugai rizikos veiksnius, iš kurių svarbiausieji yra šie:
30.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
30.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugos pažeidimai, vagystės ir kita);
30.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
Papunkčio pakeitimai:
Nr. 1V-20, 2022-01-12, paskelbta TAR 2022-01-12, i. k. 2022-00415
31. Rizikos įvertinimo ataskaitos ir rizikos valdymo priemonių plano duomenis bei jų kopijas informacinių sistemų valdytoja ar jos įgaliotas informacinių sistemų tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS) Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai), nustatyta tvarka.
Punkto pakeitimai:
Nr. 1V-837, 2018-11-13, paskelbta TAR 2018-11-13, i. k. 2018-18324
Nr. 1V-20, 2022-01-12, paskelbta TAR 2022-01-12, i. k. 2022-00415
33. Elektroninės informacijos saugos būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis informacinių sistemų elektroninės informacijos saugos priemonėmis, kurios pasirenkamos atsižvelgiant į informacinių sistemų valdytojos skiriamus išteklius, vadovaujantis šiais principais:
33.2. elektroninės informacijos saugos priemonės diegimo kainos turi atitikti saugomos elektroninės informacijos vertę;
34. Atsižvelgiant į rizikos įvertinimo ataskaitą, informacinių sistemų valdytoja ar jos įgaliotas informacinių sistemų tvarkytojas prireikus tvirtina rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių, finansinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
Punkto pakeitimai:
Nr. 1V-20, 2022-01-12, paskelbta TAR 2022-01-12, i. k. 2022-00415
35. Siekiant užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kasmet organizuojamas informacinių technologijų saugos reikalavimų atitikties vertinimas Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka.
Punkto pakeitimai:
Nr. 1V-20, 2022-01-12, paskelbta TAR 2022-01-12, i. k. 2022-00415
36. Atlikus informacinių technologijų saugos reikalavimų atitikties vertinimą, parengiama atitikties vertinimo ataskaita. Atsižvelgiant į ataskaitą, informacinių sistemų valdytoja ar jos įgaliotas informacinių sistemų tvarkytojas prireikus tvirtina pastebėtų trūkumų šalinimo planą, kuriame numatomos trūkumų šalinimo priemonės, atsakingi vykdytojai, įgyvendinimo terminai, techninių, administracinių, finansinių ar kitų išteklių poreikis.
Punkto pakeitimai:
Nr. 1V-20, 2022-01-12, paskelbta TAR 2022-01-12, i. k. 2022-00415
37. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano duomenis ir jų kopijas informacinių sistemų valdytoja arba jos įgaliotas informacinių sistemų tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
Punkto pakeitimai:
Nr. 1V-20, 2022-01-12, paskelbta TAR 2022-01-12, i. k. 2022-00415
38. Ne rečiau kaip kartą per trejus metus informacinių sistemų informacinių technologijų saugos reikalavimų atitikties vertinimą turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.
Punkto pakeitimai:
Nr. 1V-837, 2018-11-13, paskelbta TAR 2018-11-13, i. k. 2018-18324
Nr. 1V-20, 2022-01-12, paskelbta TAR 2022-01-12, i. k. 2022-00415
39. Informacinių technologijų saugos atitikties vertinimo metu, rizikos vertinimo metu arba atskirai organizuojamas pažeidžiamumų vertinimas, apimantis technologinių pažeidžiamumų paiešką (skenavimą) ir įsilaužimų testavimą. Informacinių sistemų pažeidžiamumų valdymo tvarka:
39.1. periodiškai, ne rečiau kaip du kartus per metus, atliekama technologinių pažeidžiamumų paieška (skenavimas) (angl. vulnerability scanning). Pažeidžiamumų paieška (skenavimas) atliekama automatizuotais įrankiais, atsižvelgiant į tarptautiniu mastu pripažintas metodikas (pvz.: OWASP, CVE ir kt.) ir žinomų pažeidžiamumų sąrašus. Pažeidžiamumų paiešką (skenavimą) automatizuotais įrankiais atlieka Informatikos ir ryšių departamentas arba nepriklausomi, sertifikuoti specialistai. Atlikus pažeidžiamumų paiešką (skenavimą), parengiama ataskaita ir rekomendacijos. Esant galimybei, nustatyti pažeidžiamumai šalinami nedelsiant arba pagal poreikį parengiamas pažeidžiamumų šalinimo planas;
39.2. periodiškai, ne rečiau kaip kartą per trejus metus, atliekamas įsilaužimo testavimas (angl. penetration test). Įsilaužimo testavimą atlieka nepriklausomi, sertifikuoti specialistai. Įsilaužimo testavimo metodiką, atsižvelgdamas į nustatytus įsilaužimo testavimo tikslus, parenka testuotojas, suderinęs ją su Informatikos ir ryšių departamentu. Atlikus įsilaužimo testavimą, parengiama ataskaita, kurioje nurodomi pavykę ir nepavykę įsilaužimo bandymai, nustatyti trūkumai bei rekomendacijos pavykusiems įsilaužimams užkardyti. Esant galimybei, nustatyti trūkumai šalinami nedelsiant arba pagal poreikį parengiamas nustatytų trūkumų šalinimo planas.
Punkto pakeitimai:
Nr. 1V-20, 2022-01-12, paskelbta TAR 2022-01-12, i. k. 2022-00415
III skyrius
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
40. Programinės įrangos, skirtos informacines sistemas apsaugoti nuo kenksmingosios programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
40.1. Informacinių sistemų tarnybinėse stotyse ir kompiuterizuotose darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingosios programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingąją programinę įrangą, kurios turi būti reguliariai atnaujinamos automatiniu būdu ne rečiau kaip kartą per 24 valandas;
41. Programinės įrangos, įdiegtos informacinių sistemų tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:
41.1. informacinių sistemų darbui turi būti naudojama tik legali ir patikrinta programinė įranga, įtraukta į leistinos programinės įrangos sąrašą. Leistinos programinės įrangos sąrašą tvirtina Informatikos ir ryšių departamentas. Kiti informacinių sistemų tvarkytojai gali patvirtinti leistinos programinės įrangos sąrašą savo ir pavaldžių institucijų kompiuterinėms darbo vietoms. Informatikos ir ryšių departamento tvirtinamą leistinos programinės įrangos sąrašą rengia, peržiūri ir prireikus atnaujina Informatikos ir ryšių departamento paskirtas atsakingas asmuo, suderinęs su saugos įgaliotiniu. Kito informacinių sistemų tvarkytojo tvirtinamą leistinos programinės įrangos sąrašą rengia, peržiūri ir prireikus atnaujina šio tvarkytojo paskirtas atsakingas asmuo, suderinęs su saugos įgaliotiniu;
Papunkčio pakeitimai:
Nr. 1V-837, 2018-11-13, paskelbta TAR 2018-11-13, i. k. 2018-18324
Nr. 1V-20, 2022-01-12, paskelbta TAR 2022-01-12, i. k. 2022-00415
42. Informacinėse sistemose turi būti naudojamos tik tarnybinės išorinės duomenų laikmenos (USB, CD/DVD ir kt.) bei kiti tarnybiniai įrenginiai, kurie yra išduoti tarnybinėms funkcijoms vykdyti.
43. Informacinių sistemų kompiuterizuotose darbo vietose turi būti įdiegtos priemonės, leidžiančios riboti išorinių duomenų laikmenų (USB, CD/DVD ir kt.) naudojimą.
44. Informacinių sistemų programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.
45. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:
45.1. Kompiuterių tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis, DOS ir DDOS atakų prevencijai skirta įranga bei įsilaužimų aptikimo ir prevencijos įranga; ugniasienių sąranka (konfigūracijos duomenys) turi būti saugoma kartu su informacinių sistemų sąranka (konfigūracijos duomenimis) elektronine arba popierine forma;
Papunkčio pakeitimai:
Nr. 1V-20, 2022-01-12, paskelbta TAR 2022-01-12, i. k. 2022-00415
45.2. visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingosios programinės įrangos;
46. Informacinėse sistemose naudojamų interneto svetainių (toliau – svetainės) saugos valdymo reikalavimai:
46.1. svetainės turi atitikti Kibernetinio saugumo reikalavimų apraše ir Techniniuose reikalavimuose nustatytus reikalavimus;
46.2. svetainių užkardos turi būti sukonfigūruotos taip, kad prie svetainių turinio valdymo sistemų (toliau – TVS) būtų galima jungtis tik iš vidinio informacinių sistemų tvarkytojo kompiuterinio tinklo arba nustatytų IP (angl. Internet Protocol) adresų;
46.3. turi būti pakeistos numatytos prisijungimo prie svetainių turinio valdymo sistemos (TVS) ir administravimo skydų (angl. Panel) nuorodos (angl. Default path) ir slaptažodžiai;
46.4. turi būti užtikrinama, kad prie svetainių TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotu ryšiu;
47. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:
47.1. informacinių sistemų naudotojų, jų vykdytų užklausų ir peržiūrėtų užklausų rezultatų duomenys tvarkomi informacinių sistemų naudotojų administravimo posistemėje Vidaus reikalų informacinės sistemos centrinio duomenų banko duomenų peržiūros kontrolės taisyklių, patvirtintų vidaus reikalų ministro 2005 m. kovo 9 d. įsakymu Nr. 1V-68 „Dėl Vidaus reikalų informacinės sistemos centrinio duomenų banko duomenų peržiūros kontrolės taisyklių patvirtinimo“, nustatyta tvarka;
47.2. tiesioginė prieiga prie informacinių sistemų elektroninės informacijos suteikiama įgyvendinus informacinių sistemų naudotojų autentifikavimo priemones – šie naudotojai savo tapatybę patvirtina slaptažodžiu ar kita autentifikavimo priemone; tiesioginė prieiga prie informacinių sistemų užtikrinama automatiniu būdu ištisą parą darbo ir poilsio dienomis.
47.3. prieiga prie informacinių sistemų suteikiama tik registruotiems informacinių sistemų naudotojams;
47.4. informacinių sistemų elektroninė informacija perduodama automatiniu būdu naudojant TCP/IP, HTTPS protokolus realiame laike (angl. „On-line“ režimu) arba asinchroniniu režimu pagal informacinių sistemų duomenų teikimo sutartis, kuriose nustatytos perduodamos elektroninės informacijos specifikacijos, kopijų skaičius, kitos elektroninės informacijos perdavimo sąlygos ir tvarka;
48. Informacinių sistemų elektroninės informacijos perdavimui naudojamas VRTT ir kiti saugūs elektroninių ryšių tinklai.
49. Informacinių sistemų tvarkytojai apie diegiamus vietinius belaidžius tinklus, sujungimus su kitais tinklais, vietinių tinklų įrangos pakeitimus turi raštu informuoti Informatikos ir ryšių departamentą - VRTT pagrindinį tvarkytoją.
50. Visos informacinių sistemų naudotojų kompiuterizuotos darbo vietos turi būti valdomos naudojant centralizuoto valdymo priemones (pvz., katalogų tarnybą „Active direktory“).
51. Informacinių sistemų naudotojų tarnybinėms funkcijoms vykdyti naudojamuose nešiojamuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas informacinių sistemų naudotojo tapatybės patvirtinimas ir elektroninės informacijos šifravimas.
52. Informacinių sistemų naudotojams, kuriems atliekant tiesiogines pareigas būtina prisijungti iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie informacinių sistemų galimybė:
52.1. techninis nuotolinio prisijungimo sprendimas turi užtikrinti ne žemesnį nei vidiniam prisijungimui naudojamą saugumo lygį, t. y. turi būti naudojamos Saugos nuostatuose nurodytos priemonės ir elektroninės informacijos šifravimas naudojantis virtualiu privačiu tinklu (angl. virtual private network – VPN);
53. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
53.1. informacinių sistemų elektroninės informacijos kopijos turi būti daromos automatiškai kiekvieną dieną; prireikus jas atkurti turi teisę Informatikos ir ryšių departamento paskirtas duomenų bazių administratorius;
54. Turi būti užtikrintas saugos incidentų, įvykusių informacinėse sistemose, registravimas, valdymas ir tyrimas Kibernetinių saugumo reikalavimų aprašo bei informacinių sistemų valdytojos patvirtintų kibernetinių incidentų valdymo ypatingos svarbos informacinėje infrastruktūroje plano ir informacinių sistemų veiklos tęstinumo valdymo plano nustatyta tvarka:
54.1. registruojami informacinėse sistemose įvykę saugos incidentai ir nedelsiant į juos reaguojama, techninėmis ir programinėmis priemonėmis saugos incidentai valdomi, tiriami ir šalinami bei atkuriama sistemų veikla;
55. Ne rečiau kaip kartą per savaitę turi būti atliekama informacinių sistemų naudotojų veiksmų audito įrašų analizė (esant poreikiui Informatikos ir ryšių departamentas apie informacinių sistemų naudotojų atliktus veiksmus informaciją teikia atitinkamiems informacinių sistemų tvarkytojams).
56. Ne rečiau kaip kartą per mėnesį turi būti atliekama ugniasienių užfiksuotų įvykių analizė ir pastebėtos neatitiktys saugumo reikalavimams nedelsiant šalinamos.
57. Ne rečiau kaip kartą per mėnesį turi būti įvertinami kibernetiniam saugumui užtikrinti naudojamų priemonių programiniai atnaujinimai, klaidų taisymai ir šie atnaujinimai diegiami.
58. Perkant paslaugas, darbus ar įrangą, susijusius su informacinėmis sistemomis, jų projektavimu, kūrimu, diegimu, modernizavimu, priežiūra, palaikymu, saugos užtikrinimu, auditavimu, patalpų priežiūra, elektroninės informacijos perdavimo tinklais, taip pat kitus, suteikiančius teisę ir galimybę prieiti prie elektroninės informacijos, ją apdoroti, saugoti, keistis elektronine informacija ar tiekti informacinių technologijų infrastruktūros komponentus, pirkimo dokumentuose iš anksto turi būti nustatyta, kad paslaugų teikėjas, darbų vykdytojas ar techninės ir programinės įrangos tiekėjas (toliau – paslaugų teikėjas) privalo laikytis informacinių sistemų saugos dokumentuose nustatytų reikalavimų ir užtikrinti teikiamų paslaugų, vykdomų darbų ar tiekiamos įrangos atitiktį nustatytiems elektroninės informacijos saugos reikalavimams.
59. Į paslaugų pirkimo sutartį turi būti įtraukta nuostata, įpareigojanti paslaugų teikėjo darbuotojus pasirašyti konfidencialumo pasižadėjimą neatskleisti tretiesiems asmenims jokios informacijos, gautos vykdant šią sutartį, išskyrus tiek, kiek būtina sutarties vykdymui, o taip pat nenaudoti konfidencialios informacijos asmeniniams ar trečiųjų asmenų poreikiams laikantis principo, kad visa paslaugų teikėjui suteikta informacija (įskaitant informacinėse sistemose tvarkomą elektroninę informaciją) yra konfidenciali, nebent raštu patvirtinama, kad tam tikra pateikta informacija nėra konfidenciali.
IV skyrius
REIKALAVIMAI PERSONALUI
60. Pagrindinis saugos įgaliotinis ir saugos įgaliotiniai privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų saugos reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje.
61. Saugos įgaliotiniu, administratoriumi negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.
62. Visi administratoriai privalo išmanyti pagrindinius elektroninės informacijos saugos ir saugaus darbo su duomenų perdavimo tinklais principus, atsižvelgiant į vykdomas funkcijas atitinkamai turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą bei saugą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų bei saugos incidentų diagnostiką ir šalinimą, turėti sisteminių programinių priemonių (Windows, Unix, Oracle) administravimo ir priežiūros patirties.
63. Visi administratoriai ir naudotojai turi būti susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais, pagal kompetenciją ir kitais teisės aktais bei standartais, reglamentuojančiais elektroninės informacijos saugą.
64. Naudotojai, tvarkantys elektroninę informaciją, privalo įsipareigoti saugoti informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su elektroninės informacijos tvarkymu susijusią veiklą bei valstybės tarnybos ar darbo santykius.
65. Naudotojai, atliekantys tarnybines funkcijas, susijusias su asmens duomenų tvarkymu bei teikimu, pasirašytinai supažindinami su asmens duomenų tvarkymą ir apsaugą reglamentuojančiais teisės aktais ir atsakomybe už jų pažeidimą bei raštu įpareigojami saugoti asmens duomenų paslaptį. Asmens duomenų paslaptį jie privalo saugoti ir pasibaigus darbo (tarnybos) santykiams, per visą asmens duomenų teisinės apsaugos laiką, jeigu Asmens duomenų teisinės apsaugos įstatymas nenumato ko kita.
Punkto pakeitimai:
Nr. 1V-837, 2018-11-13, paskelbta TAR 2018-11-13, i. k. 2018-18324
66. Naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami pranešti apie tai Informatikos ir ryšių departamento ITT pagalbos grupei arba administratoriui ar saugos įgaliotiniui.
67. Informacinių sistemų naudotojai privalo:
67.1. laikytis informacijos saugos reikalavimų, nustatytų Saugos nuostatuose, saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose informacijos saugą, kibernetinį saugumą ir asmens duomenų apsaugą;
67.2. saugoti duomenų ir informacijos paslaptį, kaip tai reglamentuota Valstybės informacinių išteklių valdymo įstatyme, Asmens duomenų teisinės apsaugos įstatyme, Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatyme ir Bendrajame duomenų apsaugos reglamente;
67.3. pasirašyti konfidencialumo pasižadėjimą ir laikytis konfidencialumo įsipareigojimų, kurie galioja visą darbo laiką, perėjus dirbti į kitas pareigas ir nutraukus ar pasibaigus valstybės tarnybos, darbo ar sutartiniams santykiams;
67.4. turėti pagrindinių saugaus darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti saugiai tvarkyti elektroninę informaciją, saugiai naudotis kompiuterine įranga, mobiliaisiais įrenginiais, tarnybiniu elektroniniu paštu, internetu, kitais tarnybiniais ištekliais;
67.5. nuolat kelti kvalifikaciją saugaus elektroninės informacijos tvarkymo, kibernetinio saugumo, asmens duomenų apsaugos kursuose, mokymuose, seminaruose;
67.6. nedelsiant pranešti apie pastebėtus galimus ar įvykusius informacijos saugos incidentus, įtartiną veiklą ITT pagalbos grupei tel. (8 5) 271 7777, el. paštu [email protected], adresu https://ittpagalba.vrm.lt/, arba administratoriui, arba saugos įgaliotiniui;
67.8. naudoti tarnybinį elektroninį paštą tik tarnybiniam susirašinėjimui, susijusiam su darbu, tarnybinių pareigų ir funkcijų vykdymu;
67.9. saugoti savo slaptažodį, kitus prisijungimo prie informacinių sistemų duomenis ir priemones, neatskleisti slaptažodžio kitiems asmenims;
67.10. įtarę, kad prisijungimo prie informacinės sistemos slaptažodis galėjo būti atskleistas kitam asmeniui, praradę ar kitaip netekę slaptažodžio, nedelsdami informuoti ITT pagalbos grupę; nurodytais atvejais slaptažodis turi būti pakeistas Naudotojų administravimo taisyklių, patvirtintų vidaus reikalų ministro, nustatyta tvarka.
Punkto pakeitimai:
Nr. 1V-20, 2022-01-12, paskelbta TAR 2022-01-12, i. k. 2022-00415
68. Informacinių sistemų naudotojams draudžiama:
68.1. atskleisti informacinės sistemos duomenis ar suteikti kitokią galimybę bet kokia forma su jais susipažinti tokios teisės neturintiems asmenims;
68.2. savavališkai diegti informacinės sistemos taikomosios programinės įrangos pakeitimus ir naujas versijas neturint tam suteiktos teisės;
68.3. atskleisti kitiems asmenims prisijungimo prie informacinės sistemos vardą, slaptažodį ar kitaip sudaryti sąlygas jais pasinaudoti;
68.4. naudoti informacinės sistemos duomenis kitokiais nei jų nuostatuose nurodytais tikslais bei savo pareigybės aprašyme nustatytų funkcijų vykdymo tikslais;
68.5. sudaryti sąlygas pasinaudoti informacinei sistemai tvarkyti naudojama technine ir programine įranga tokios teisės neturintiems asmenims (paliekant darbo vietą būtina užrakinti darbalaukį arba išjungti darbo stotį);
68.6. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti, sunaikinti ar atskleisti informacinės sistemos duomenys, taip pat neatlikti būtinų veiksmų, kurie apsaugo informacinės sistemos duomenis;
68.61. savavališkai prijungti prie informacinių sistemų kompiuterizuotų darbo vietų išorines duomenų laikmenas ar įrenginius, išskyrus nurodytus Saugos nuostatų 42 punkte;
Papildyta papunkčiu:
Nr. 1V-930, 2019-11-18, paskelbta TAR 2019-11-18, i. k. 2019-18438
69. Informacinių sistemų naudotojams ne rečiau kaip kartą per kalendorinius metus turi būti rengiami elektroninės informacijos saugos mokymai, įvairiais būdais primenama apie saugos problematiką (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.). Saugos mokymai organizuojami periodiškai, mokymus organizuoja pagrindinis saugos įgaliotinis ir kitų informacinių sistemų tvarkytojų paskirti saugos įgaliotiniai arba duomenų apsaugos pareigūnai pagal kompetenciją.
Punkto pakeitimai:
Nr. 1V-837, 2018-11-13, paskelbta TAR 2018-11-13, i. k. 2018-18324
V SKYRIUS
INFORMACINIŲ SISTEMŲ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
70. Tvarkyti informacinių sistemų elektroninę informaciją gali tik informacinių sistemų naudotojai, susipažinę su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugą, taip pat atsakomybe už saugos dokumentų nuostatų pažeidimus, ir sutikę laikytis saugos dokumentuose nustatytų reikalavimų. Pakartotinis supažindinimas yra vykdomas pasikeitus minėtiems dokumentams ir teisės aktams.
71. Informacinių sistemų naudotojų supažindinimą su Saugos nuostatais ir informacinių sistemų saugos politiką įgyvendinančiais dokumentais pagal kompetenciją organizuoja saugos įgaliotiniai.
72. Informacinių sistemų naudotojai su Saugos nuostatais ir informacinių sistemų saugos politiką įgyvendinančiais dokumentais bei atsakomybe už jų reikalavimų nesilaikymą supažindinami pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą (jungiantis prie informacinės sistemos per naudotojo sąsają ar pan.).
73. Saugos nuostatai ir informacinių sistemų saugos politiką įgyvendinantys dokumentai turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per kalendorinius metus. Informacinių sistemų saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos veiksnių analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Saugos įgaliotiniai pagal kompetenciją atsakingi, kad informacinių sistemų naudotojai būtų informuoti apie jų pakeitimą ir (ar) pripažinimą netekusiais galios.
74. Patvirtintų Saugos nuostatų, saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas informacinių sistemų valdytoja ar jos įgaliotas informacinių sistemų tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
Papildyta punktu:
Nr. 1V-20, 2022-01-12, paskelbta TAR 2022-01-12, i. k. 2022-00415
Kai kurių Vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų
priedas
VIDAUS REIKALŲ MINISTERIJOS VALDOMŲ IR INFORMATIKOS IR RYŠIŲ DEPARTAMENTO PRIE VIDAUS REIKALŲ MINISTERIJOS TVARKOMŲ REGISTRŲ IR VALSTYBĖS INFORMACINIŲ SISTEMŲ
SĄRAŠAS
Eil. Nr. |
Registro / valstybės informacinės sistemos pavadinimas |
Registro / valstybės informacinės sistemos elektroninės informacijos svarbos kategorija |
Registro / valstybės informacinės sistemos kategorija |
Registro / valstybės informacinės sistemos priskyrimo kategorijai kriterijai |
1. |
Administracinių nusižengimų registras |
ypatingos svarbos |
1 |
Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo (toliau – Aprašas) 7.1, 7.2 ir 12.1 papunkčiai |
2. |
Užsieniečių registras |
ypatingos svarbos |
1 |
Aprašo 7.1, 7.2 ir 12.1 papunkčiai |
3. |
Ieškomų asmenų, neatpažintų lavonų ir nežinomų bejėgių asmenų žinybinis registras |
ypatingos svarbos |
1 |
Aprašo 7.1, 7.2 ir 12.1 papunkčiai |
4. |
Nusikalstamų veikų žinybinis registras
|
svarbi |
2 |
Aprašo 8.1, 8.2 ir 12.2 papunkčiai |
5. |
Vidaus reikalų pareigūnų registras |
svarbi |
2 |
Aprašo 8.1, 8.2 ir 12.2 papunkčiai |
6. |
Habitoskopinių duomenų registras |
svarbi |
2 |
Aprašo 8.1, 8.2 ir 12.2 papunkčiai |
7. |
Integruota baudžiamojo proceso informacinė sistema |
ypatingos svarbos |
1 |
Aprašo 7.1, 7.2 ir 12.1 papunkčiai |
8. |
Lietuvos nacionalinė Šengeno informacinė sistema |
ypatingos svarbos |
1 |
Aprašo 7.1, 7.2 ir 12.1 papunkčiai |
9. |
Lietuvos nacionalinė vizų informacinė sistema |
ypatingos svarbos |
1 |
Aprašo 7.1, 7.2 ir 12.1 papunkčiai |
10. |
Nacionalinė elektroninės atpažinties informacinė sistema
|
ypatingos svarbos |
1 |
Aprašo 7.2, 7.6 ir 12.1 papunkčiai |
11. |
Vidaus reikalų informacinė sistema |
ypatingos svarbos |
1 |
Aprašo 7.2, 7.6 ir 12.1 papunkčiai |
12. |
Neteko galios nuo 2018-11-14. |
|||
13. |
Sertifikatų valdymo informacinė sistema |
svarbi |
2 |
Aprašo 8.1, 8.2 ir 12.2 papunkčiai |
14. |
Viešųjų ir administracinių paslaugų stebėsenos ir analizės informacinė sistema |
vidutinės svarbos |
3 |
Aprašo 9.1, 9.2 ir 12.3 papunkčiai |
15. |
Neteko galios nuo 2023-10-01. |
|||
16. |
Lietuvos migracijos informacinė sistema |
svarbi |
2 |
Aprašo 8.1, 8.2 ir 12.2 papunkčiai |
17. |
Valstybės tarnautojų registras |
svarbi |
2 |
Aprašo 8.1, 8.2 ir 12.2 papunkčiai |
18. |
Asmens dokumentų išdavimo informacinė sistema |
svarbi |
2 |
Aprašo 8.1, 8.2 ir 12.2 papunkčiai |
19. |
Valstybės tarnybos valdymo informacinė sistema |
svarbi |
2 |
Aprašo 8.1, 8.2 ir 12.2 papunkčiai |
20. |
Dokumentų valdymo bendroji informacinė sistema |
svarbi
|
2
|
Aprašo 8.1, 8.2 ir 12.2 papunkčiai |
21. |
Ginklų registras |
Svarbi |
2 |
Aprašo 8.1, 8.2 ir 12.2 papunkčiai |
___________________________
Priedo pakeitimai:
Nr. 1V-151, 2018-02-22, paskelbta TAR 2018-02-22, i. k. 2018-02744
Nr. 1V-837, 2018-11-13, paskelbta TAR 2018-11-13, i. k. 2018-18324
Nr. 1V-930, 2019-11-18, paskelbta TAR 2019-11-18, i. k. 2019-18438
Nr. 1V-312, 2020-04-02, paskelbta TAR 2020-04-09, i. k. 2020-07513
Nr. 1V-458, 2020-05-12, paskelbta TAR 2020-05-12, i. k. 2020-10163
Nr. 1V-774, 2020-08-10, paskelbta TAR 2020-08-10, i. k. 2020-17146
Nr. 1V-20, 2022-01-12, paskelbta TAR 2022-01-12, i. k. 2022-00415
Nr. 1V-545, 2023-08-24, paskelbta TAR 2023-08-24, i. k. 2023-16654
Pakeitimai:
1.
Lietuvos Respublikos vidaus reikalų ministerija, Įsakymas
Nr. 1V-151, 2018-02-22, paskelbta TAR 2018-02-22, i. k. 2018-02744
Dėl Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymo Nr. 1V-883 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo“ pakeitimo
2.
Lietuvos Respublikos vidaus reikalų ministerija, Įsakymas
Nr. 1V-837, 2018-11-13, paskelbta TAR 2018-11-13, i. k. 2018-18324
Dėl Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymo Nr. 1V-883 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo“ pakeitimo ir kai kurių Lietuvos Respublikos vidaus reikalų ministro įsakymų, susijusių su Vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų sauga, pripažinimo netekusiais galios
3.
Lietuvos Respublikos vidaus reikalų ministerija, Įsakymas
Nr. 1V-930, 2019-11-18, paskelbta TAR 2019-11-18, i. k. 2019-18438
Dėl Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymo Nr. 1V-883 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo“ pakeitimo
4.
Lietuvos Respublikos vidaus reikalų ministerija, Įsakymas
Nr. 1V-312, 2020-04-02, paskelbta TAR 2020-04-09, i. k. 2020-07513
Dėl Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymo Nr. 1V-883 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo“ pakeitimo
5.
Lietuvos Respublikos vidaus reikalų ministerija, Įsakymas
Nr. 1V-458, 2020-05-12, paskelbta TAR 2020-05-12, i. k. 2020-10163
Dėl Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymo Nr. 1V-883 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo“ pakeitimo
6.
Lietuvos Respublikos vidaus reikalų ministerija, Įsakymas
Nr. 1V-774, 2020-08-10, paskelbta TAR 2020-08-10, i. k. 2020-17146
Dėl Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymo Nr. 1V-883 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo“ pakeitimo
7.
Lietuvos Respublikos vidaus reikalų ministerija, Įsakymas
Nr. 1V-20, 2022-01-12, paskelbta TAR 2022-01-12, i. k. 2022-00415
Dėl Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymo Nr. 1V-883 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo“ pakeitimo
8.
Lietuvos Respublikos vidaus reikalų ministerija, Įsakymas
Nr. 1V-545, 2023-08-24, paskelbta TAR 2023-08-24, i. k. 2023-16654
Dėl Viešojo administravimo subjektų sistemos stebėsenos (monitoringo) informacinės sistemos likvidavimo
9.
Lietuvos Respublikos vidaus reikalų ministerija, Įsakymas
Nr. 1V-434, 2024-07-05, paskelbta TAR 2024-07-05, i. k. 2024-12683
Dėl Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymo Nr. 1V-883 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo“ pakeitimo