Suvestinė redakcija nuo 2023-08-17

 

Įsakymas paskelbtas: TAR 2020-12-07, i. k. 2020-26319

 

Nauja redakcija nuo 2023-08-17:

Nr. V-663, 2023-08-16, paskelbta TAR 2023-08-16, i. k. 2023-16247

 

LIETUVOS RESPUBLIKOS KRAŠTO APSAUGOS
MINISTRAS

 

ĮSAKYMAS

DĖL INFORMACINIŲ TECHNOLOGIJŲ SAUGOS ATITIKTIES VERTINIMO METODIKOS PATVIRTINIMO

 

2020 m. gruodžio 4 d. Nr. V-941

Vilnius

 

Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, 43 punktu,

tvirtinu Informacinių technologijų saugos atitikties vertinimo metodiką (pridedama).

 

 

 

Laikinai einantis krašto apsaugos ministro pareigas                                              Raimundas Karoblis

 

 

PATVIRTINTA

Lietuvos Respublikos

krašto apsaugos ministro

2020 m. gruodžio 4 d.

įsakymu Nr. V-941

 

 

Informacinių technologijų saugos atitikties

vertinimo metodika

 

I SKYRIUS

Bendrosios nuostatos

 

1.   Informacinių technologijų saugos atitikties vertinimo metodika (toliau – Metodika) nustato informacinių technologijų saugos valstybės registruose, žinybiniuose registruose, valstybės informacinėse sistemose ir kitose informacinėse sistemose (toliau – informacinės sistemos) atitikties Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, ir Lietuvos standartuose LST ISO/IEC 27001:2017 ir LST ISO/IEC 27002:2017 nustatytiems elektroninės informacijos saugos reikalavimams vertinimo (toliau – atitikties vertinimas) organizavimo ir atlikimo tvarką.

Punkto pakeitimai:

Nr. V-663, 2023-08-16, paskelbta TAR 2023-08-16, i. k. 2023-16247

 

2.  Metodikoje vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše.

 

II SKYRIUS

ATITIKTIES Vertinimo tvarka

 

3.  Atitikties vertinimą gali atlikti informacinės sistemos saugos įgaliotinis, informacinės sistemos valdytojo arba jo pavedimu informacinės sistemos tvarkytojo vidaus auditorius ar kitas informacinės sistemos valdytojo arba jo pavedimu informacinės sistemos tvarkytojo paskirtas vertintojas (toliau – vertintojas). Vertintojas, atlikdamas atitikties vertinimą, įvertina, kaip informacinės sistemos valdytojas ir (ar) informacinės sistemos tvarkytojas įgyvendina saugos reikalavimus.

4.  Atliekant atitikties vertinimą Metodikos 1 punkte nurodytuose teisės aktuose ir standartuose išdėstytų saugos reikalavimų įgyvendinimo lygis nustatomas pagal penkių balų skalę, kurioje žemiausia reikšmė yra vienetas, o aukščiausia – penketas:

4.1. vienetas – saugos reikalavimas ar reikalavimai (toliau – saugos reikalavimai) neįgyvendinti ir nesiimta veiksmų šiems reikalavimams įgyvendinti;

4.2. dvejetas – saugos reikalavimai neįgyvendinti, tačiau imtasi veiksmų šiems reikalavimams įgyvendinti (informacinės sistemos valdytojas ar jo pavedimu informacinės sistemos tvarkytojas, siekdamas įgyvendinti saugos reikalavimus, patvirtino veiksmų planą, parengė teisės akto projektą, investicijų projektą ir pan.);

4.3. trejetas – saugos reikalavimai įgyvendinami tik iš dalies arba nustatyta esminių trūkumų juos įgyvendinant (vertintojo nuomone, labai vėluojama vykdyti Metodikos 1 punkte nurodytuose teisės aktuose ir standartuose bei saugos dokumentuose nustatytas  procedūras arba jos iš viso nėra vykdomos, saugos dokumentai nustatytu laiku neperžiūrimi ir (ar) neatnaujinami, nepaskirti atsakingi vykdytojai arba jie nesupažindinti su atitinkamomis procedūromis, įgyvendintos informacinių technologijų saugos priemonės nepasiekia keltų tikslų ir pan.);

4.4. ketvertas – saugos reikalavimai įgyvendinami, tačiau nustatyta neesminių trūkumų (vertintojo nuomone, nedaug nukrypstama nuo saugos reikalavimams keliamų kiekybinių rodiklių, nedaug vėluojama vykdyti Metodikos 1 punkte nurodytuose teisės aktuose ir standartuose bei saugos dokumentuose nustatytas procedūras, peržiūrėti ir (ar) atnaujinti saugos dokumentus ir pan.);

4.5. penketas – įgyvendinami visi saugos reikalavimai.

5Atitikties vertinimo metu, siekiant objektyviai nustatyti saugos reikalavimų įgyvendinimo lygį, vertintojui rekomenduojama:

5.1. inventorizuoti informacinės sistemos techninę ir programinę įrangą:

5.1.1. identifikuoti informacinės sistemos tarnybinių ir darbo stočių išdėstymą;

5.1.2. fiksuoti informacinės sistemos tarnybinių ir darbo stočių technines charakteristikas;

5.1.3. sudaryti ar atnaujinti informacinės sistemos tarnybinių ir darbo stočių inventorizacijos aprašą;

5.2.    patikrinti ne mažiau kaip 10 procentų atsitiktinai parinktų informacinės sistemos naudotojų kompiuterizuotų darbo vietų, visose informacinės sistemos tarnybinėse stotyse įdiegtas programas ir jų sąranką:

5.2.1. atlikti informacinės sistemos tarnybinių stočių konfigūracijų patikrą;

5.2.2. peržiūrėti leistinos informacinės sistemos programinės įrangos sąrašą;

5.2.3. patikrinti, ar informacinės sistemos naudotojui nustatytoms funkcijoms vykdyti reikalinga informacinės sistemos sisteminė ir taikomoji programinė įranga legali ir saugi;

5.2.4. patikrinti, ar įdiegiami operacinių sistemų ir naudojamos taikomosios programinės įrangos gamintojų rekomenduojami atnaujinimai;

5.3. patikrinti (įvertinti) informacinės sistemos naudotojams suteiktų teisių ir vykdomų funkcijų atitiktį:

5.3.1. patikrinti informacinės sistemos naudotojų paskyras, siekiant užtikrinti, kad darbo santykius nutraukusiems asmenims būtų panaikinta prieiga prie informacinės sistemos;

5.3.2. patikrinti prašyme suteikti prieigos teisę nurodytų duomenų ir suteiktų teisių atitiktį;

5.3.3. patikrinti informacinės sistemos naudotojams suteiktų teisių ir pareigybės aprašyme ar kituose dokumentuose, kuriuose nurodomi informacinės sistemos naudotojams suteikti įgaliojimai, nustatytų funkcijų atitiktį, siekiant užtikrinti, kad nebūtų suteiktos neteisėtos prieigos teisės;

5.4.    įvertinti pasirengimą užtikrinti informacinės sistemos veiklos tęstinumą įvykus elektroninės informacijos saugos incidentui:

5.4.1. patikrinti, ar laikomasi nustatytos atsarginių elektroninės informacijos kopijų darymo ir atkūrimo tvarkos;

5.4.2. įvertinti, ar, įvykus elektroninės informacijos saugos incidentui, informacinės sistemos personalas pasirengęs įgyvendinti informacinės sistemos veiklos tęstinumo valdymo planą;

5.4.3. patikrinti, ar išbandomas informacinės sistemos veiklos tęstinumo valdymo planas ir ar parengta ataskaita apie pastebėtus plano veiksmingumo trūkumus, įvertinti šių trūkumų šalinimo būklę;

5.5. įvertinti informacinės sistemos rizikos įvertinimo ir valdymo būklę:

5.5.1. patikrinti, ar atliekamas informacinės sistemos rizikos įvertinimas, parengta rizikos įvertinimo ataskaita;

5.5.2. patikrinti, ar patvirtintas informacinės sistemos rizikos įvertinimo ir rizikos valdymo priemonių planas, įvertinti šio plano vykdymą;

5.6.    patikrinti, ar informacinės sistemos saugos dokumentai persvarstomi (peržiūrimi) saugos reikalavimuose nustatytu metu, ir įvertinti jų kokybę.

 

Iii SKYRIUS

Baigiamosios nuostatos

 

6.  Atlikęs atitikties vertinimą, vertintojas atlieka Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 44–45 punktuose nurodytus veiksmus.

 

––––––––––––––––––––

 

 

Pakeitimai:

 

1.

Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas

Nr. V-663, 2023-08-16, paskelbta TAR 2023-08-16, i. k. 2023-16247

Dėl Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymo Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ pakeitimo