Suvestinė redakcija nuo 2021-08-25
Įsakymas paskelbtas: TAR 2016-04-29, i. k. 2016-10744
Nauja redakcija nuo 2021-08-25:
Nr. TE-54(2021), 2021-08-23, paskelbta TAR 2021-08-24, i. k. 2021-17861
INFORMACINĖS VISUOMENĖS PLĖTROS KOMITETO
DIREKTORIUS
ĮSAKYMAS
DĖL Tarpžinybinės duomenų saugyklos ir Informacinės visuomenės plėtros stebėsenos INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2016 m. balandžio 29 d. Nr. T-28
Vilnius
Vadovaudamasis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimo Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7 ir 11 punktais ir Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 6 punktu,
tvirtinu Tarpžinybinės duomenų saugyklos ir Informacinės visuomenės plėtros stebėsenos informacinės sistemos duomenų saugos nuostatus (pridedama).
PATVIRTINTA
Informacinės visuomenės plėtros
komiteto prie Susisiekimo ministerijos direktoriaus
2016 m. balandžio 29 d. įsakymu Nr. T-28
(Informacinės visuomenės plėtros komiteto prie
Ūkio ministerijos direktoriaus
2018 m. lapkričio 19 d. įsakymo Nr. T-129 redakcija)
TARPŽINYBINĖS DUOMENŲ SAUGYKLOS IR INFORMACINĖS VISUOMENĖS PLĖTROS STEBĖSENOS INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
Pakeistas priedo pavadinimas:
Nr. TE-54(2021), 2021-08-23, paskelbta TAR 2021-08-24, i. k. 2021-17861
I Skyrius
bendrosios nuostatos
1. Tarpžinybinės duomenų saugyklos ir Informacinės visuomenės plėtros stebėsenos informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) apibrėžia Tarpžinybinės duomenų saugyklos ir Informacinės visuomenės plėtros stebėsenos informacinės sistemos (toliau – IVPK IS) elektroninės informacijos saugos ir kibernetinio saugumo politiką (toliau – elektroninės informacijos saugos politika).
Punkto pakeitimai:
Nr. T-75, 2019-07-29, paskelbta TAR 2019-07-30, i. k. 2019-12530
Nr. TE-54(2021), 2021-08-23, paskelbta TAR 2021-08-24, i. k. 2021-17861
2. Elektroninės informacijos saugos politika įgyvendinama pagal Informacinės visuomenės plėtros komiteto (toliau – Komitetas) direktoriaus tvirtinamus IVPK IS saugos politiką įgyvendinančius dokumentus: saugaus elektroninės informacijos tvarkymo taisykles, naudotojų administravimo taisykles, veiklos tęstinumo valdymo planą (toliau – saugos politiką įgyvendinantys dokumentai).
Punkto pakeitimai:
Nr. T-75, 2019-07-29, paskelbta TAR 2019-07-30, i. k. 2019-12530
3. Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), vartojamas sąvokas.
Punkto pakeitimai:
Nr. T-75, 2019-07-29, paskelbta TAR 2019-07-30, i. k. 2019-12530
4. IVPK IS elektroninės informacijos saugos ir kibernetinio saugumo (toliau – elektroninės informacijos sauga) užtikrinimo tikslas – sudaryti sąlygas saugiai automatiniu būdu tvarkyti IVPK IS elektroninę informaciją, užtikrinti IVPK IS elektroninės informacijos konfidencialumą, prieinamumą, vientisumą ir tinkamą techninės, programinės ir ryšių įrangos funkcionavimą, vykdyti elektroninės informacijos saugos ir kibernetinių incidentų (toliau – saugos incidentai) prevenciją.
5. IVPK IS elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:
5.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų IVPK IS elektroninės informacijos saugai užtikrinti, įgyvendinimas ir šių priemonių įgyvendinimo kontrolė;
6. IVPK IS valdytojas ir tvarkytojas bei IVPK IS asmens duomenų valdytojas ir tvarkytojas yra Komitetas (Gedimino pr. 7, LT-01103 Vilnius).
7. IVPK IS valdytojas ir tvarkytojas vykdo šias funkcijas:
7.2. atsako už elektroninės informacijos saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą;
7.3. prižiūri, kaip laikomasi teisės aktų, susijusių su IVPK IS tvarkymu ir elektroninės informacijos saugumu, reikalavimų;
7.4. tvirtina IVPK IS Saugos nuostatus, saugos politiką įgyvendinančius dokumentus (toliau kartu – saugos dokumentai) bei kitus dokumentus, susijusius su elektroninės informacijos sauga;
7.5. kontroliuoja, kad IVPK IS būtų tvarkoma vadovaujantis Lietuvos Respublikos įstatymais, Saugos nuostatais, Bendrųjų saugos reikalavimų aprašu, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas), 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau - Bendrasis duomenų apsaugos reglamentas) ir kitais IVPK IS elektroninės informacijos saugos valdymą reglamentuojančiais teisės aktais ir standartais;
Papunkčio pakeitimai:
Nr. T-75, 2019-07-29, paskelbta TAR 2019-07-30, i. k. 2019-12530
7.7. įgyvendina tinkamas organizacines ir technines priemones, kurios skirtos elektroninei informacijai apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo;
7.8. užtikrina, kad IVPK IS naudotojai, turintys teisę naudotis IVPK IS elektronine informacija numatytoms funkcijoms atlikti, laikytųsi saugos dokumentuose nustatytų reikalavimų;
7.9. organizuoja techninių, programinių priemonių, kurios skirtos IVPK IS eksploatuoti, prižiūrėti ir plėtoti, įsigijimą, jų įdiegimą ir modernizavimą, IVPK IS techninės, programinės įrangos priežiūrą ir tobulinimą;
8. IVPK IS saugos įgaliotinis, koordinuodamas ir prižiūrėdamas saugos politikos įgyvendinimą atlieka Bendrųjų saugos reikalavimų apraše saugos įgaliotiniui priskirtas funkcijas.
9. Kibernetinio saugumo vadovas atlieka šias funkcijas:
9.1. vykdo kibernetinio saugumo organizavimo ir užtikrinimo funkcijas, nustatytas Kibernetinio saugumo įstatyme, Kibernetinio saugumo reikalavimų apraše ir kituose kibernetinį saugumą reglamentuojančiuose teisės aktuose;
11. IVPK IS administratorius, įgyvendindamas IVPK IS saugos reikalavimus, atlieka šias funkcijas:
11.1. suteikia IVPK IS naudotojams teisę naudotis elektronine informacija, reikalinga jiems priskirtoms funkcijoms atlikti;
11.4. organizuoja IVPK IS kompiuterinės ir programinės įrangos administravimą ir priežiūrą, kad būtų užtikrintas kokybiškas ir patikimas jos veikimas;
12. Tvarkant IVPK IS elektroninę informaciją ir užtikrinant jų saugą, vadovaujamasi šiais teisės aktais:
12.5. Tarpžinybinės duomenų saugyklos nuostatais, patvirtintais Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2007 m. rugsėjo 4 d. įsakymu Nr. T-119 „Dėl Tarpžinybinės duomenų saugyklos nuostatų patvirtinimo”, Informacinės visuomenės plėtros stebėsenos informacinės sistemos nuostatais, patvirtintais Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2011 m. liepos 13 d. įsakymu Nr. T-96 „Dėl Informacinės visuomenės plėtros stebėsenos informacinės sistemos nuostatų ir Informacinės visuomenės plėtros stebėsenos informacinės sistemos duomenų saugos nuostatų patvirtinimo
Papunkčio pakeitimai:
Nr. T-75, 2019-07-29, paskelbta TAR 2019-07-30, i. k. 2019-12530
Nr. TE-54(2021), 2021-08-23, paskelbta TAR 2021-08-24, i. k. 2021-17861
12.7. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
12.8. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
12.9. Lietuvos Respublikos vidaus reikalų ministerijos išleista metodine priemone „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais grupės „Informacijos technologija. Saugumo metodai“ standartais, reglamentuojančiais saugų duomenų tvarkymą;
12.10. Valstybės informacinių sistemų rizikos vertinimo atlikimo Informacinės visuomenės plėtros komitete prie Susisiekimo ministerijos taisyklėmis, patvirtintomis Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2016 m. sausio 26 d. įsakymu Nr. T-5 „Dėl Valstybės informacinių sistemų rizikos vertinimo atlikimo Informacinės visuomenės plėtros komitete prie Susisiekimo ministerijos taisyklių patvirtinimo“ (toliau – Rizikos vertinimo taisyklės).
II Skyrius
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
13. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo , patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ 9 punktu ir 12.3. papunkčiu, IVPK IS tvarkoma informacija yra priskiriama vidutinės svarbos informacijos kategorijai, o IVPK IS yra priskiriama trečiai kategorijai.
14. Pagrindiniai rizikos veiksniai, galintys turėti įtakos IVPK IS elektroninės informacijos saugumui, yra:
14.1. subjektyvūs netyčiniai (IVPK IS tvarkymo klaidos ir pasirikimai, ištrynimas, klaidingas teikimas, fiziniai informacinių technologijų sutrikimai, perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
14.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis IVPK IS elektronine informacija, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
14.3. atsitiktinės subjektyvios aplinkybės (darbuotojų praradimas, gaisrai, vandens poveikis, elektros instaliacijos gedimas ir kita);
15. IVPK IS saugos įgaliotinis, atsižvelgdamas į Nacionalinio kibernetinio saugumo centro prie Lietuvos Respublikos krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, kasmet organizuoja IVPK IS rizikos įvertinimą ir parengia rizikos įvertinimo ataskaitą; prireikus jis gali organizuoti neeilinį rizikos įvertinimą.
16. IVPK IS tvarkytojas, atsižvelgdamas į IVPK IS rizikos įvertinimo ataskaitą, prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
17. Siekdamas užtikrinti Saugos nuostatuose ir saugos dokumentuose nustatytų reikalavimų įgyvendinimo organizavimą ir įgyvendinimo kontrolę, IVPK IS saugos įgaliotinis ne rečiau kaip kartą per metus organizuoja IVPK IS informacinių technologijų saugos reikalavimų atitikties vertinimą, kurio metu:
17.1. įvertinama realios IVPK IS elektroninės informacijos saugos situacijos atitiktis Saugos nuostatų, saugos dokumentų, Organizacinių ir techninių kibernetinio saugumo reikalavimų ir kitų teisės aktų reikalavimams;
17.2. patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų IVPK IS naudotojų kompiuterizuotų darbo vietų bei visų tarnybinių stočių įdiegta programinė įranga ir jos sąranka;
17.3. patikrinama (įvertinama) IVPK IS naudotojams ir administratoriams suteiktų teisių atitiktis vykdomoms funkcijoms;
18. Atlikus IVPK IS informacinių technologijų saugos atitikties vertinimą, IVPK IS saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir nustatytų trūkumų šalinimo įgyvendinimo terminus nustato IVPK IS valdytojas.
19. Kartu su pagrindiniu IVPK IS rizikos vertinimu ir (arba) informacinių technologijų saugos atitikties vertinimu organizuojamas ir atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos IVPK IS kibernetiniam saugumui, vertinimas.
20. IVPK IS elektroninės informacijos saugumo priemonės turi būti parenkamos atsižvelgiant į Saugos nuostatų 14 punkte išvardytus rizikos veiksnius, galinčius turėti įtakos IVPK IS elektroninės informacijos saugumui.
III skyrius
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
22. Programinės įrangos, skirtos IVPK IS apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėjimui, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
22.1. IVPK IS tarnybinėse stotyse ir kompiuterizuotose darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą (virusų, šnipinėjimo programinę įrangą ir kt.), kurios turi būti reguliariai atnaujinamos automatiniu būdu ne rečiau kaip kartą per parą;
22.2. apsaugai skirta programinė įranga turi automatiškai informuoti (elektroniniu paštu) atsakinguosius darbuotojus apie kompiuterizuotas darbo vietas ir tarnybines stotis, kuriose įdiegta apsaugai skirta programinė įranga netinkamai funkcionuoja, yra išjungta arba neatsinaujina per 24 valandas.
23. IVPK IS funkcionavimui reikalingą kompiuterinę, techninę ir programinę įrangą, kurios reikia IVPK IS naudotojo funkcijoms vykdyti, diegia ir prižiūri IVPK IS tvarkytojo Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka atrinkti paslaugų teikėjai (toliau – paslaugų teikėjai), kontroliuojami IVPK IS administratoriaus.
24. Paslaugų teikėjų įsipareigojimai dėl IVPK IS elektroninės informacijos saugos užtikrinimo ir atsakomybės turi būti išdėstyti paslaugų teikimo sutartyse.
25. Programinės įrangos, įdiegtos tarnybinėse stotyse ir kompiuterizuotose darbo vietose, naudojimo nuostatos:
26. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:
26.1. kompiuterių tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis bei įsilaužimų aptikimo ir prevencijos įranga;
26.2. visas duomenų srautas į internetą ir iš jo yra filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;
27. Leistinos kompiuterių (ypač nešiojamųjų) naudojimo ribos:
27.4. IVPK IS naudotojų prieiga prie IVPK IS elektroninės informacijos leidžiama tik per registravimo ir slaptažodžių sistemą;
27.5. IVPK IS naudotojams, savo tarnybinėms funkcijoms vykdyti naudojantiems nešiojamus kompiuterius IVPK IS elektroninės informacijos perdavimui kompiuterių tinklais, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas IVPK IS naudotojo tapatybės patvirtinimas ir elektroninės informacijos šifravimas;
28. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:
28.1. tiesioginė prieiga prie IVPK IS elektroninės informacijos suteikiama įgyvendinus IVPK IS naudotojų administravimo taisyklėse nurodytas IVPK IS naudotojų autentifikavimo priemones;
28.2. per metus turi būti užtikrintas IVPK IS prieinamumas ne mažiau kaip 90 proc. laiko darbo metu darbo dienomis;
28.3. IVPK IS elektroninė informacija perduodama automatiniu būdu arba asinchroniniu režimu pagal duomenų teikimo sutartis, kuriose nustatytos perduodamos elektroninės informacijos specifikacijos, kopijų skaičius ir kitos elektroninės informacijos perdavimo sąlygos ir tvarka;
28.4. IVPK IS elektroninė informacija, perduodama ne per IVPK IS tvarkytojams priklausančias duomenų perdavimo linijas, privalo būti šifruojama;
29. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:
29.1. IVPK IS duomenų bazė yra kopijuojama ir saugoma taip, kad įvykus nenumatytai situacijai IVPK IS veikla būtų visiškai atkurta per 16 valandų;
V skyrius
REIKALAVIMAI PERSONALUI
30. IVPK IS saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą, kelti kvalifikaciją kvalifikacijos kėlimo kursuose, saugaus darbo su duomenimis seminaruose.
31. Kibernetinio saugumo vadovas privalo išmanyti kibernetinio saugumo užtikrinimo principus, tobulinti kvalifikaciją kibernetinio saugumo srityje, savo darbe vadovautis Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais, Kibernetinio saugumo reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais kibernetinį saugumą.
32. IVPK IS saugos įgaliotiniu ir kibernetinio saugumo vadovu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.
33. IVPK IS administratoriumi skiriamas darbuotojas, išmanantis darbą su IVPK IS taikomąja programine įranga ir gebantis atlikti funkcijas, susijusias su IVPK IS naudotojų teisių valdymu. IVPK IS administratorius turi būti pasirašęs konfidencialumo pasižadėjimą saugoti asmens duomenų paslaptį;
34. IVPK IS administratorius turi būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais ir kontroliuoti paslaugų teikėjus, administruojančius ir prižiūrinčius IVPK IS techninę ir programinę įrangą.
35. IVPK IS naudotojai privalo turėti darbo kompiuteriu įgūdžių, būti susipažinę su saugos dokumentais.
36. IVPK IS saugos įgaliotinis periodiškai inicijuoja IVPK IS naudotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir panašiai) informuoja juos apie elektroninės informacijos saugos problemas.
37. IVPK IS tvarkytojo darbuotojai (išskyrus IVPK IS saugos įgaliotinį ir IVPK IS administratorių), kurie dalyvauja IVPK IS priežiūroje, valdyme ir vystyme privalo gerai išmanyti IVPK IS veiklos principus, būti susipažinę ir vykdyti Saugos dokumentuose numatytus reikalavimus ir procedūras.
38. IVPK IS techninę priežiūrą vykdančių įmonių atsakingi darbuotojai turi atitikti paslaugų IVPK IS vystymo ar priežiūros paslaugų pirkimo dokumentuose numatytus kvalifikacinius reikalavimus bei vykdyti paslaugų teikimo sutartyse numatytas veiklas. Tuomet kai perkamos IVPK IS vystymo ar priežiūros paslaugos yra susijusios su prieigos prie IVPK IS bei joje apdorojamos elektroninės informacijos suteikimu, taikomi šie principai:
38.1. IVPK IS techninę priežiūrą vykdančių įmonių darbuotojams prieiga suteikiama pagal IVPK IS naudotojų administravimo taisykles. IVPK IS techninę priežiūrą vykdančių įmonių darbuotojai yra atsakingi už savalaikį IVPK IS saugos įgaliotinio informavimą apie pasikeitimus jų įmonėje, kurie gali įtakoti IVPK IS techninę priežiūrą vykdančių įmonių darbuotojų prieigos prie IVPK IS panaikinimą ar keitimą (pvz., nedelsiant pranešti apie tai, kad prieigą prie IVPK IS turintis darbuotojas nutraukia darbinius santykius su IVPK IS techninę priežiūrą vykdančia įmone);
38.2. neleidžiamas IVPK IS techninę priežiūrą vykdančių įmonių darbuotojų prieigos prie IVPK IS suteikimas grupinių paskyrų pagrindu;
38.3. prieš IVPK IS techninę priežiūrą vykdančių įmonių darbuotojams suteikiant prieigą prie IVPK IS, atitinkami darbuotojai turi pasirašyti konfidencialumo pasižadėjimus ir papildomai turi būti formalizuojami susitarimai tarp IVPK IS tvarkytojo ir IVPK IS techninę priežiūrą teikiančių įmonių, kuriuose būtų nurodyta:
38.3.1. elektroninė informacija ir elektroninės informacijos apdorojimo priemonės, prie kurių IVPK IS techninę priežiūrą teikiančių įmonių darbuotojams suteikiama prieiga;
38.3.2. prieigos tipas (fizinė prieiga, loginė prieiga, nuotolinė prieiga, prieiga lokalioje darbo vietoje);
38.3.6. IT incidentų ir elektroninės informacijos saugos incidentų valdymo nuostatos ar nuorodos į jas;
38.3.7. IVPK IS techninę priežiūrą teikiančių įmonių darbuotojų bei IVPK IS tvarkytojo darbuotojų pareigos ir atsakomybės prieigos suteikimo laikotarpiu;
38.3.8. teisė stebėti IVPK IS techninę priežiūrą teikiančių įmonių darbuotojų veiksmus, atliekamus IVPK IS IT komponentuose;
38.3.10. ataskaitos ir informacija, kurią turi teikti IVPK IS techninę priežiūrą teikiančios įmonės, siekiant įrodyti atitiktį paslaugų teikimo reikalavimams;
38.3.11. problemų ir nesutarimų tarp IVPK IS tvarkytojo ir IVPK IS techninę priežiūrą teikiančios įmonės sprendimo nuostatos;
39. Informacijos, susijusios su IVPK IS elektroninės informacijos saugos valdymu, apsikeitimas, apimtis, informacijos teikėjai ir gavėjai yra numatyti konkrečiose IVPK IS elektroninės informacijos saugos valdymo procedūrose ir turi būti vykdomas pagal IVPK IS saugos dokumentų nuostatas.
40. IVPK IS Saugos dokumentai, IVPK IS elektroninės informacijos saugos valdymo įrašai turi būti saugomi ir laiku naikinami.
41. IVPK IS saugomi duomenys bei Saugos dokumentai, IVPK IS elektroninės informacijos saugos valdymo įrašai turi būti klasifikuojami pagal šias taisykles:
41.1. klasifikavimo žymai „Vieša informacija“ priskiriama elektroninei informacijai, kuri naudotojams IVPK IS atvaizduojama neprisijungus prie sistemos (vieša sritis). Tokiai elektroninei informacijai netaikomi specifiniai konfidencialumo, žymėjimo ar naikinimo reikalavimai ir turi būti užtikrintas tokios elektroninės informacijos vientisumas bei bendrinis IVPK IS taikomas prieinamumo lygis;
41.2. klasifikavimo žymai „Privati informacija“ priskiriama elektroninei informacijai, kuri naudotojams IVPK IS atvaizduojama prisijungus prie sistemos. Tokiai elektroninei informacijai netaikomi specifiniai žymėjimo reikalavimai, tačiau turi būti užtikrintas tokios elektroninės informacijos konfidencialumas (ją atvaizduojant tik atitinkamam autorizuotam naudotojui bei pagal IVPK IS funkcionalumą su elektronine informacija susijusiems IVPK IS tvarkytojo, IVPK IS techninę priežiūrą vykdančių įmonių ar institucijų atsakingiems darbuotojams), vientisumas (užtikrinant, kad elektroninė informacija nebūtų pakeičiama be atitinkamo naudotojo ar pagal IVPK IS funkcionalumą su elektronine informacija susijusių IVPK IS tvarkytojo, IVPK IS techninę priežiūrą vykdančių įmonių ar institucijų atsakingų darbuotojų žinios), prieinamumas (taikant bendrinį IVPK IS prieinamumo lygį);
41.3. klasifikavimo žymai „Jautri informacija“ priskiriama elektroninei informacijai, kuri atvaizduojama IVPK IS administravimo skiltyje, taip pat elektroninė informacija, sudaranti IVPK IS elektroninės informacijos saugos valdymą. Tokiai elektroninei informacijai taikomi specifiniai žymėjimo reikalavimai (tik IVPK IS elektroninės informacijos saugos valdymą sudarantiems dokumentams ir įrašams), turi būti užtikrintas tokios elektroninės informacijos konfidencialumas (ją atvaizduojant tik IVPK IS administratoriui bei pagal IVPK IS funkcionalumą ar IVPK IS elektroninės informacijos saugos valdymo funkcijas su elektronine informacija susijusiems IVPK IS tvarkytojo, IVPK IS techninę priežiūrą vykdančių įmonių ar institucijų atsakingiems darbuotojams), vientisumas (užtikrinant, kad elektroninė informacija nebūtų pakeičiama be IVPK IS administratoriaus ar pagal IVPK IS funkcionalumą ar IVPK IS elektroninės informacijos saugos valdymo funkcijas su elektronine informacija susijusių IVPK IS tvarkytojo, IVPK IS techninę priežiūrą vykdančių įmonių ar institucijų atsakingų darbuotojų žinios), prieinamumas (taikant bendrinį IVPK IS prieinamumo lygį).
42. Elektroninės informacijos laikmenas su bet kurio lygmens elektronine informacija galima be apribojimų pakartotinai naudoti kitos žymos elektroninei informacijai saugoti. Vykdant IVPK IS priežiūrą (pvz., keičiant atsarginių kopijų saugojimo politiką), sankcionuotas bet kurio lygmens IVPK IS elektroninės informacijos ištrynimas iš elektroninės informacijos laikmenų galimas naudojant įprastus operacinių sistemų siūlomus trynimo mechanizmus. Perduodant IVPK IS IT komponentus remontui turi būti užtikrinta, kad elektroninės informacijos laikmenos nebūtų perduotos pašaliniams asmenims. Jei yra poreikis IVPK IS elektroninės informacijos laikmenas perduoti fiziniu būdu, elektroninės informacijos laikmenos perduodamos tiesiogiai gavėjui. Didelės apimties duomenų eksportas galimas tik suderinus su IVPK IS saugos įgaliotiniu.
43. IVPK IS Saugos dokumentai elektroninėje formoje turi būti talpinami IVPK IS tvarkytojo turinio valdymo sistemoje, dokumentą sukūrusio ar už jo sukūrimą atsakingo IVPK IS tvarkytojo darbuotojo. Tokio dokumento pavadinimas turi būti sudaromas taip:
VII skyrius
IVPK IS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
45. IVPK IS saugos įgaliotinis organizuoja pasirašytiną IVPK IS tvarkytojo darbuotojų, kurie dalyvauja IVPK IS priežiūroje, valdyme ir vystyme, supažindinimą su Saugos dokumentais. IVPK IS techninę priežiūrą vykdančioms įmonėms taikomi IVPK IS elektroninės informacijos saugos valdymo reikalavimai yra išdėstomi atitinkamose sutartyse. Esant poreikiui, IVPK IS naudotojams taikytini IVPK IS elektroninės informacijos saugos valdymo reikalavimai pateikiami susipažinimui elektroninėmis IVPK IS priemonėmis.
46. IVPK IS administratorių su Saugos nuostatais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai supažindina IVPK IS saugos įgaliotinis per 10 darbo dienų nuo IVPK IS įteisinimo, o su kitais saugos dokumentais – per 10 darbo dienų nuo šių dokumentų patvirtinimo.
VIII skyrius
BAIGIAMOSIOS NUOSTATOS
48. IVPK IS saugos įgaliotinis organizuoja arba atlieka saugos reikalavimų atitikties vertinimą ne rečiau kaip kartą per metus. Saugos dokumentai yra svarstomi atlikus rizikos analizę ar informacinių technologijų saugos reikalavimų atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams Komitete. Saugos dokumentai turi būti derinami su krašto apsaugos ministro įgaliota institucija, įgyvendinančia valstybės informacinių išteklių politiką, Kibernetinio saugumo reikalavimų aprašo nustatyta tvarka.
49. IVPK IS Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijos, saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijos, saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas informacinės sistemos valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
Punkto pakeitimai:
Nr. T-75, 2019-07-29, paskelbta TAR 2019-07-30, i. k. 2019-12530
50. IVPK IS saugos įgaliotinis, IVPK IS duomenų valdymo įgaliotinis, IVPK IS administratorius, kibernetinio saugumo vadovas ir IVPK IS naudotojai, pažeidę Saugos nuostatų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako įstatymų nustatyta tvarka. IVPK IS techninę priežiūrą vykdančių įmonių atsakingi darbuotojai pažeidę jiems tarpusavio sutartimi su IVPK IS tvarkytoju privalomus IVPK IS elektroninės informacijos saugos valdymo reikalavimus, atsako pagal atitinkamoje sutartyje numatytą tvarką.
Pakeitimai:
1.
Informacinės visuomenės plėtros komitetas prie Susisiekimo ministerijos, Įsakymas
Nr. T-52, 2016-08-30, paskelbta TAR 2016-08-30, i. k. 2016-22882
Dėl Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2016 m. balandžio 29 d. įsakymo Nr. T-28 „Dėl Tarpžinybinės mokestinių duomenų saugyklos, Informacinės visuomenės plėtros stebėsenos informacinės sistemos ir Informacijos rinkmenų sąrašo duomenų saugos nuostatų patvirtinimo“ pakeitimo
2.
Informacinės visuomenės plėtros komitetas prie Susisiekimo ministerijos, Įsakymas
Nr. T-94, 2018-08-28, paskelbta TAR 2018-08-30, i. k. 2018-13597
Dėl Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2016 m. balandžio 29 d. įsakymo Nr. T-28 „Dėl Tarpžinybinės mokestinių duomenų saugyklos, Informacinės visuomenės plėtros stebėsenos informacinės sistemos ir Informacijos rinkmenų sąrašo duomenų saugos nuostatų patvirtinimo“ pakeitimo
3.
Informacinės visuomenės plėtros komitetas prie Ūkio ministerijos, Įsakymas
Nr. T-129, 2018-11-19, paskelbta TAR 2018-11-20, i. k. 2018-18646
Dėl Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2016 m. balandžio 29 d. įsakymo Nr. T-28 „Dėl Tarpžinybinės mokestinių duomenų saugyklos, Informacinės visuomenės plėtros stebėsenos informacinės sistemos ir Informacijos rinkmenų sąrašo duomenų saugos nuostatų patvirtinimo“ pakeitimo
4.
Informacinės visuomenės plėtros komitetas, Įsakymas
Nr. T-75, 2019-07-29, paskelbta TAR 2019-07-30, i. k. 2019-12530
Dėl Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2016 m. balandžio 29 d. įsakymo Nr. T-28 „Dėl Tarpžinybinės mokestinių duomenų saugyklos, Informacinės visuomenės plėtros stebėsenos informacinės sistemos ir Informacijos rinkmenų sąrašo duomenų saugos nuostatų patvirtinimo“ pakeitimo
5.
Informacinės visuomenės plėtros komitetas, Įsakymas
Nr. TE-54(2021), 2021-08-23, paskelbta TAR 2021-08-24, i. k. 2021-17861
Dėl Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2016 m. balandžio 29 d. įsakymo Nr. T-28 „Dėl tarpžinybinės mokestinių duomenų saugyklos, informacinės visuomenės plėtros stebėsenos informacinės sistemos ir informacijos rinkmenų sąrašo duomenų saugos nuostatų patvirtinimo“ pakeitimo