Suvestinė redakcija nuo 2023-08-17
Įsakymas paskelbtas: TAR 2020-12-07, i. k. 2020-26319
Nauja redakcija nuo 2023-08-17:
Nr. V-663, 2023-08-16, paskelbta TAR 2023-08-16, i. k. 2023-16247
LIETUVOS RESPUBLIKOS KRAŠTO APSAUGOS
MINISTRAS
ĮSAKYMAS
DĖL INFORMACINIŲ TECHNOLOGIJŲ SAUGOS ATITIKTIES VERTINIMO METODIKOS PATVIRTINIMO
2020 m. gruodžio 4 d. Nr. V-941
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, 43 punktu,
PATVIRTINTA
Lietuvos Respublikos
krašto apsaugos ministro
2020 m. gruodžio 4 d.
įsakymu Nr. V-941
Informacinių technologijų saugos atitikties
vertinimo metodika
I SKYRIUS
Bendrosios nuostatos
1. Informacinių technologijų saugos atitikties vertinimo metodika (toliau – Metodika) nustato informacinių technologijų saugos valstybės registruose, žinybiniuose registruose, valstybės informacinėse sistemose ir kitose informacinėse sistemose (toliau – informacinės sistemos) atitikties Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, ir Lietuvos standartuose LST ISO/IEC 27001:2017 ir LST ISO/IEC 27002:2017 nustatytiems elektroninės informacijos saugos reikalavimams vertinimo (toliau – atitikties vertinimas) organizavimo ir atlikimo tvarką.
Punkto pakeitimai:
Nr. V-663, 2023-08-16, paskelbta TAR 2023-08-16, i. k. 2023-16247
II SKYRIUS
ATITIKTIES Vertinimo tvarka
3. Atitikties vertinimą gali atlikti informacinės sistemos saugos įgaliotinis, informacinės sistemos valdytojo arba jo pavedimu informacinės sistemos tvarkytojo vidaus auditorius ar kitas informacinės sistemos valdytojo arba jo pavedimu informacinės sistemos tvarkytojo paskirtas vertintojas (toliau – vertintojas). Vertintojas, atlikdamas atitikties vertinimą, įvertina, kaip informacinės sistemos valdytojas ir (ar) informacinės sistemos tvarkytojas įgyvendina saugos reikalavimus.
4. Atliekant atitikties vertinimą Metodikos 1 punkte nurodytuose teisės aktuose ir standartuose išdėstytų saugos reikalavimų įgyvendinimo lygis nustatomas pagal penkių balų skalę, kurioje žemiausia reikšmė yra vienetas, o aukščiausia – penketas:
4.1. vienetas – saugos reikalavimas ar reikalavimai (toliau – saugos reikalavimai) neįgyvendinti ir nesiimta veiksmų šiems reikalavimams įgyvendinti;
4.2. dvejetas – saugos reikalavimai neįgyvendinti, tačiau imtasi veiksmų šiems reikalavimams įgyvendinti (informacinės sistemos valdytojas ar jo pavedimu informacinės sistemos tvarkytojas, siekdamas įgyvendinti saugos reikalavimus, patvirtino veiksmų planą, parengė teisės akto projektą, investicijų projektą ir pan.);
4.3. trejetas – saugos reikalavimai įgyvendinami tik iš dalies arba nustatyta esminių trūkumų juos įgyvendinant (vertintojo nuomone, labai vėluojama vykdyti Metodikos 1 punkte nurodytuose teisės aktuose ir standartuose bei saugos dokumentuose nustatytas procedūras arba jos iš viso nėra vykdomos, saugos dokumentai nustatytu laiku neperžiūrimi ir (ar) neatnaujinami, nepaskirti atsakingi vykdytojai arba jie nesupažindinti su atitinkamomis procedūromis, įgyvendintos informacinių technologijų saugos priemonės nepasiekia keltų tikslų ir pan.);
4.4. ketvertas – saugos reikalavimai įgyvendinami, tačiau nustatyta neesminių trūkumų (vertintojo nuomone, nedaug nukrypstama nuo saugos reikalavimams keliamų kiekybinių rodiklių, nedaug vėluojama vykdyti Metodikos 1 punkte nurodytuose teisės aktuose ir standartuose bei saugos dokumentuose nustatytas procedūras, peržiūrėti ir (ar) atnaujinti saugos dokumentus ir pan.);
5. Atitikties vertinimo metu, siekiant objektyviai nustatyti saugos reikalavimų įgyvendinimo lygį, vertintojui rekomenduojama:
5.1. inventorizuoti informacinės sistemos techninę ir programinę įrangą:
5.2. patikrinti ne mažiau kaip 10 procentų atsitiktinai parinktų informacinės sistemos naudotojų kompiuterizuotų darbo vietų, visose informacinės sistemos tarnybinėse stotyse įdiegtas programas ir jų sąranką:
5.2.3. patikrinti, ar informacinės sistemos naudotojui nustatytoms funkcijoms vykdyti reikalinga informacinės sistemos sisteminė ir taikomoji programinė įranga legali ir saugi;
5.3. patikrinti (įvertinti) informacinės sistemos naudotojams suteiktų teisių ir vykdomų funkcijų atitiktį:
5.3.1. patikrinti informacinės sistemos naudotojų paskyras, siekiant užtikrinti, kad darbo santykius nutraukusiems asmenims būtų panaikinta prieiga prie informacinės sistemos;
5.4. įvertinti pasirengimą užtikrinti informacinės sistemos veiklos tęstinumą įvykus elektroninės informacijos saugos incidentui:
5.4.1. patikrinti, ar laikomasi nustatytos atsarginių elektroninės informacijos kopijų darymo ir atkūrimo tvarkos;
5.4.2. įvertinti, ar, įvykus elektroninės informacijos saugos incidentui, informacinės sistemos personalas pasirengęs įgyvendinti informacinės sistemos veiklos tęstinumo valdymo planą;
5.5. įvertinti informacinės sistemos rizikos įvertinimo ir valdymo būklę:
5.5.1. patikrinti, ar atliekamas informacinės sistemos rizikos įvertinimas, parengta rizikos įvertinimo ataskaita;
Iii SKYRIUS
Baigiamosios nuostatos
Pakeitimai:
1.
Lietuvos Respublikos krašto apsaugos ministerija, Įsakymas
Nr. V-663, 2023-08-16, paskelbta TAR 2023-08-16, i. k. 2023-16247
Dėl Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymo Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ pakeitimo