PATVIRTINTA

Lietuvos Respublikos Seimo kanclerio

2020 m. rugpjūčio 26 d. įsakymu

Nr. 400-ĮVK-186

TEISĖS AKTŲ INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Teisės aktų informacinės sistemos (toliau – TAIS) duomenų saugos nuostatuose (toliau – Saugos nuostatai) nustatomas Lietuvos Respublikos Seimo kanceliarijos TAIS tvarkomos elektroninės informacijos saugos valdymas, organizaciniai ir techniniai reikalavimai, reikalavimai personalui ir supažindinimo su saugos dokumentais principai.

2. TAIS duomenų saugos tikslai:

2.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją;

2.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ar neteisėto jos tvarkymo;

2.3. vykdyti elektroninės informacijos saugos ir kibernetinių incidentų prevenciją, reaguoti į elektroninės informacijos saugos ir (ar) kibernetinius incidentus ir juos operatyviai suvaldyti, atkuriant įprastą TAIS veiklą.

3. Elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

3.1. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

3.2. TAIS veiklos tęstinumo užtikrinimas;

3.3. TAIS elektroninei informacijai tvarkyti naudojamų techninių saugos priemonių kontrolė.

4. Elektroninės informacijos saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės.

5. Saugos nuostatuose vartojamos sąvokos:

5.1. Seimo kanceliarijos techninės infrastruktūros administratorius – Seimo kanceliarijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis TAIS infrastruktūrą ir užtikrinantis jos veikimą ir saugą.

5.2. Kitos Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), vartojamas sąvokas.

6. Saugos nuostatų reikalavimai taikomi:

6.1. TAIS valdytojai ir tvarkytojai Seimo kanceliarijai (Gedimino pr. 53, Vilnius);

6.2. TAIS saugos įgaliotiniui;

6.3. TAIS administratoriui;

6.4. TAIS naudotojams;

6.5. Seimo kanceliarijos techninės infrastruktūros administratoriams.

7. TAIS valdytojo ir tvarkytojo funkcijos, teisės ir pareigos nustatytos Teisės aktų informacinės sistemos nuostatuose.

8. TAIS saugos įgaliotinio funkcijos ir atsakomybė:

8.1. teikia TAIS valdytojui pasiūlymus dėl:

8.1.1. TAIS administratoriaus paskyrimo ir reikalavimų administratoriui nustatymo;

8.1.2. informacinių technologijų saugos atitikties vertinimo atlikimo;

8.1.3. saugos dokumentų priėmimo ir (ar) keitimo;

8.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių TAIS, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis tokius incidentus ir neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

8.3. informuoja TAIS valdytoją ir kompetentingas institucijas apie neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią TAIS saugą;

8.4. informuoja už kibernetinio saugumo organizavimą ir užtikrinimą Seimo kanceliarijoje atsakingą asmenį (toliau – už kibernetinį saugumą atsakingas asmuo) apie kibernetinio saugumo incidentus;

8.5. teikia TAIS naudotojams, TAIS administratoriui ir Seimo kanceliarijos techninės infrastruktūros administratoriams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

8.6. pagal kompetenciją kitiems TAIS valdytojo ir TAIS tvarkytojo darbuotojams duoda privalomus vykdyti nurodymus ir pavedimus, būtinus saugos politikai įgyvendinti;

8.7. atlieka pats arba organizuoja TAIS saugos rizikos įvertinimo procedūras;

8.8. rengia ir ne rečiau kaip kartą per metus peržiūri autorizuotų nuotoliniam prisijungimui TAIS naudotojų sąrašą;

8.9. ne rečiau kaip kartą per metus organizuoja kompiuterių tinklo užkardų sąrankos peržiūrą;

8.10. dalyvauja organizuojant TAIS naudotojų, TAIS administratoriaus ir Seimo kanceliarijos techninės infrastruktūros administratorių mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas;

8.11. atsako už Saugos nuostatuose nustatytų funkcijų atlikimą;

8.12. atlieka kituose teisės aktuose jam priskirtas funkcijas.

9. TAIS administratoriaus funkcijos ir atsakomybė:

9.1. atsako už nepertraukiamą TAIS veikimą;

9.2. administruoja prieigos prie TAIS teises;

9.3. kartu su Seimo kanceliarijos techninės infrastruktūros administratoriais stebi ir įvertina TAIS ir TAIS sudedamųjų dalių (tarnybinių stočių (programų, duomenų bazių valdymo sistemų), kompiuterių tinklo programinės ir duomenų perdavimo įrangos) sąrankos (kaip vienos visumos) veikimą, būklės rodiklius, nustato TAIS pažeidžiamas vietas; ne rečiau kaip kartą per metus ir (ar) įdiegus TAIS pokyčius patikrina (peržiūri) TAIS sąranką ir TAIS būsenos rodiklius;

9.4. tvarko TAIS elektroninių duomenų archyvą ir elektroninių duomenų perkėlimo įrašų žurnalą;

9.5. dalyvauja atkuriant TAIS elektroninius duomenis iš duomenų archyvo;

9.6. tvarko TAIS techninę dokumentaciją ir eksploatavimo žurnalą;

9.7. dalyvauja atliekant TAIS saugos atitikties ir (ar) rizikos įvertinimo procedūras;

9.8. teikia pasiūlymus TAIS saugos įgaliotiniui ir už kibernetinį saugumą atsakingam asmeniui dėl TAIS saugos organizavimo, atlieka kitas Saugos nuostatuose ir kituose saugos dokumentuose nustatytas funkcijas;

9.9. konsultuoja TAIS naudotojus, kaip naudotis TAIS.

10. TAIS administratorius privalo vykdyti saugos įgaliotinio ir (ar) už kibernetinį saugumą atsakingo asmens nurodymus ir pavedimus dėl TAIS elektroninės informacijos saugos ir (ar) kibernetinio saugumo užtikrinimo, pagal kompetenciją reaguoti į saugos ir (ar) kibernetinius incidentus, juos valdyti ir nuolat teikti saugos įgaliotiniui ir (ar) už kibernetinį saugumą atsakingam asmeniui informaciją apie saugą užtikrinančių pagrindinių TAIS sudedamųjų dalių būklę.

11. Saugų TAIS elektroninės informacijos tvarkymą reglamentuoja:

11.1. Valstybės informacinių išteklių valdymo įstatymas;

11.2. Kibernetinio saugumo įstatymas;

11.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

11.4. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

11.5. Bendrųjų saugos reikalavimų aprašas;

11.6. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas);

11.7. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas);

11.8. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techninių saugos reikalavimų aprašas);

11.9. Lietuvos standartai LST ISO/IEC 27002:2014 ir LST ISO/IEC 27001:2017, kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugą; kiti teisės aktai, reglamentuojantys informacinių sistemų elektroninės informacijos tvarkymą, elektroninės informacijos saugą, kibernetinį saugumą bei informacinių sistemų valdytojo ir tvarkytojo veiklą.

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

12. Vadovaujantis Klasifikavimo gairių aprašo 8.2, 8.3 ir 8.6 papunkčių nuostatomis, TAIS tvarkoma elektroninė informacija priskirtina svarbios elektroninės informacijos kategorijai. Atsižvelgiant į tai ir vadovaujantis Klasifikavimo gairių aprašo 12.2 punkčio nuostata, TAIS priskiriama antrajai informacinių sistemų kategorijai.

13. TAIS rizikos įvertinimas atliekamas vadovaujantis šiomis nuostatomis:

13.1. TAIS rizikos įvertinimas atliekamas ne rečiau kaip kartą per metus, jeigu teisės aktuose nenustatyta kitaip;

13.2. neeilinis TAIS rizikos įvertinimas atliekamas padarius esminius TAIS funkcinius pakeitimus arba kai atsiranda naujų informacinių technologijų saugos srities reikalavimų, arba po didelio masto saugos ir (ar) kibernetinių incidentų, kai nustatoma naujų rizikos formų;

13.3. atliekant TAIS rizikos įvertinimą, vadovaujamasi Lietuvos Respublikos vidaus reikalų ministerijos metodine priemone „Rizikos analizės vadovas“, Saugos nuostatų 11.9 papunktyje nurodytais standartais, geriausia patirtimi (COBIT ar kitomis) ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais.

14. TAIS rizikos įvertinimui sutartiniais pagrindais gali būti samdomi tretieji asmenys.

15. TAIS rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri teikiama TAIS valdytojo vadovui. Rizikos įvertinimo ataskaita rengiama įvertinus rizikos veiksnius, galinčius turėti įtakos elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus.

16. Atsižvelgdamas į rizikos vertinimo ataskaitą, TAIS valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

17. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano duomenis bei jų kopijas TAIS saugos įgaliotinis ne vėliau kaip per 5 darbo dienas nuo šių dokumentų patvirtinimo pateikia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą (toliau – ARSIS).

18. Siekiant užtikrinti saugos dokumentuose nustatytų elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų įgyvendinimo organizavimą ir kontrolę, TAIS informacinių technologijų saugos atitikties ir saugos atitikties nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus, jeigu teisės aktuose nenustatyta kitaip.

19. TAIS saugos atitikties vertinimas atliekamas Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka. Atlikus informacinių technologijų saugos atitikties vertinimą, saugos įgaliotinis rengia ir teikia TAIS valdytojo vadovui informacinių technologijų saugos vertinimo ataskaitą. Atsižvelgdamas į TAIS saugos atitikties vertinimo ataskaitą, saugos įgaliotinis prireikus parengia pastebėtų trūkumų šalinimo planą. Šį planą tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato TAIS valdytojo vadovas.

20. TAIS saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas TAIS saugos įgaliotinis ne vėliau kaip per 5 darbo dienas nuo šių dokumentų priėmimo pateikia ARSIS.

21. TAIS saugos priemonės parenkamos įvertinus galimus rizikos elektroninės informacijos vientisumui, konfidencialumui ir prieinamumui veiksnius.

22. Elektroninės informacijos saugos ir kibernetinio saugumo būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis elektroninės informacijos saugos ir kibernetinio saugumo priemonėmis. Šios priemonės pasirenkamos atsižvelgiant į TAIS valdytojo turimus išteklius, vadovaujantis šiais principais:

22.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

22.2. priemonės kaštai neturi viršyti žalos vertės;

22.3. atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos ir (ar) kibernetinio saugumo priemonės.

23. Ne rečiau kaip kartą per trejus metus TAIS saugos reikalavimų atitikties vertinimą turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

24. Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo reikalavimai:

24.1. TAIS tarnybinėse stotyse ir TAIS naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga;

24.2. TAIS naudotojų kompiuteriuose gali būti naudojama programinė įranga, nurodyta Programinės įrangos, diegiamos į Lietuvos Respublikos Seimo kanceliarijos patikėjimo teise ar kitais teisėtais pagrindais valdomus kompiuterius, sąraše, patvirtintame Seimo kanclerio 2018 m. gruodžio 7 d. įsakymu Nr. 400-ĮVK-386 „Dėl Programinės įrangos, diegiamos į Lietuvos Respublikos Seimo kanceliarijos patikėjimo teise ar kitais teisėtais pagrindais valdomus kompiuterius, sąrašo patvirtinimo“;

24.3. tarnybinių stočių ir TAIS naudotojų kompiuterių operacinės sistemos, kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;

24.4. TAIS administratorius reguliariai, ne rečiau kaip kartą per mėnesį, turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus ir jų įtaką TAIS pažeidžiamumui. Apie įvertinimo rezultatus TAIS administratorius turi informuoti TAIS saugos įgaliotinį;

24.5. programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;

24.6. programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – Seimo kanceliarijos infrastruktūros administratoriai, TAIS administratorius arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai.

25. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:

25.1. kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant užkardas, automatinę įsilaužimų aptikimo ir prevencijos įrangą, atkirtimo nuo paslaugos, dedikuoto atkirtimo nuo paslaugos įrangą;

25.2. kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuose ryšių tinkluose naršančių vidinių informacinių sistemų naudotojų kompiuterinę įrangą nuo kenksmingo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

25.3. apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga.

26. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

26.1. elektroninė informacija teikiama (daugkartinio teikimo atveju ir vienkartinio teikimo atveju) Teisės aktų informacinės sistemos nuostatuose nustatyta tvarka;

26.2. užtikrinant saugų elektroninės informacijos teikimą ir (ar) gavimą, naudojamas šifravimas, saugus elektroninių ryšių tinklas ar kitos priemonės, kuriomis užtikrinamas saugus elektroninės informacijos perdavimas;

26.3. elektroninė informacija automatiniu būdu turi būti teikiama ir (ar) gaunama tik pagal Teisės aktų informacinės sistemos nuostatuose, duomenų teikimo sutartyse nustatytas sąlygas ir specifikacijas.

27. Saugos valdymo reikalavimai, keliami išorinei TAIS svetainei:

27.1. svetainė turi atitikti Techninių saugos reikalavimų aprašo ir Kibernetinio saugumo reikalavimų aprašo nuostatas antrosios kategorijos informacinėms sistemoms;

27.2. svetainės užkarda turi būti sukonfigūruota taip, kad prie turinio valdymo sistemos (toliau – TVS) būtų galima jungtis tik iš TAIS tvarkytojo vidinio kompiuterių tinklo arba nustatytų kompiuterio adresų (angl. Internet Protocol);

27.3. turi būti užtikrinama, kad prie TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotuoju ryšiu.

28. Programinės įrangos, skirtos TAIS apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

28.1. tarnybinėse stotyse ir TAIS naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingos programinės įrangos aptikimo, stebėjimo realiuoju laiku priemonės;

28.2. TAIS komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti naudojami, jeigu rizikos vertinimo metu patvirtinama, kad šių komponentų rizika yra priimtina;

28.3. Seimo kanceliarijos techninės infrastruktūros administratoriai turi būti automatiškai informuojami apie tai, kurių TAIS naudotojų kompiuterių ar TAIS aptarnaujančios infrastruktūros serverių kenksmingos programinės įrangos aptikimo priemonių atsinaujinimas pradelstas nepriimtinai, kenksmingos programinės įrangos aptikimo priemonės netinkamai funkcionuoja arba yra išjungtos;

28.4. TAIS administratorius turi būti automatiškai elektroniniu paštu informuojamas apie tai, kurių TAIS posistemių, funkciškai savarankiškų TAIS sudedamųjų dalių ir (ar) kitų TAIS sudedamųjų dalių kenksmingos programinės įrangos aptikimo priemonių atsinaujinimo laikas yra pradelstas, kenksmingos programinės įrangos aptikimo priemonės netinkamai funkcionuoja arba yra išjungtos.

29. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

29.1. atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objective) ir priimtiną TAIS neveikimo laikotarpį (angl. recovery time objective);

29.2. atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokios apimties, kad TAIS veiklos sutrikimo, elektroninės informacijos saugos ir (ar) kibernetinio incidento ar elektroninės informacijos vientisumo praradimo atvejais TAIS neveikimo laikotarpis nebūtų ilgesnis, negu taikomas antrajai informacinių sistemų klasifikavimo pagal informacijos svarbą kategorijai, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus;

29.3. atsarginių elektroninės informacijos kopijų darymo tvarka ir saugojimo terminai nustatomi Seimo kanclerio įsakymu tvirtiname atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkos apraše (toliau – Atsarginių kopijų aprašas); apie sutrikusias atsarginių kopijų darymo procedūras informuojamas TAIS saugos įgaliotinis;

29.4. atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, bet ne rečiau kaip Atsarginių kopijų apraše nurodytais terminais;

29.5. atsarginės elektroninės informacijos kopijos turi būti tvarkomos taip, kad net ir praradus pagrindinį TAIS duomenų centrą būtų užtikrinami priimtini atkūrimo taško (angl. recovery point objective, RPO) ir atkūrimo laiko (angl. recovery time objective, RTO) reikalavimai, siekiant maksimaliai sumažinti prastovos laiką ir duomenų praradimo riziką;

29.6. atsarginių elektroninės informacijos kopijų darymas turi būti fiksuojamas;

29.7. periodiškai, bet ne rečiau kaip kartą per metus, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

29.8. patekimas į patalpas, kuriose veikia TAIS įranga ir saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas.

30. TAIS tarnybinės stotys ir duomenų perdavimo tinklo mazgai turi turėti rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne trumpiau kaip 30 minučių.

31. TAIS elektroninės informacijos saugos priemonės turi užtikrinti ir kitus Techninių saugos reikalavimų aprašo 5 punkte ir Kibernetinio saugumo reikalavimų apraše nurodytus reikalavimus antrosios kategorijos informacinėms sistemoms.

32. TAIS funkcionalumo atkūrimo ir prieinamumo reikalavimai:

32.1. pagrindinės TAIS funkcijos turi būti atkurtos per 12 valandų nuo veiklos sutrikimo;

32.2. turi būti užtikrintas galimas ne didesnis kaip 4 valandų darbo laiko duomenų praradimas;

32.3. turi būti užtikrintas ne mažesnis kaip 96 procentų laiko visą parą TAIS prieinamumas.

33. Perkant paslaugas, darbus ar įrangą, susijusius su TAIS priežiūra, modernizavimu, modifikavimu ir (ar) kibernetinio saugumo užtikrinimu, TAIS tvarkytojas iš anksto pirkimo dokumentuose turi nustatyti, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas užtikrina jų atitiktį Techninių saugos reikalavimų apraše ir Kibernetinio saugumo reikalavimų apraše nustatytiems reikalavimams.

IV SKYRIUS

REIKALAVIMAI PERSONALUI

34. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų saugos reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą ir kibernetinį saugumą, privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje.

35. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėjo mažiau kaip vieni metai.

36. TAIS administratorius privalo išmanyti pagrindinius elektroninės informacijos saugos ir saugaus darbo su duomenų perdavimo tinklais principus, atsižvelgiant į atliekamas funkcijas atitinkamai turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą bei saugą, stebėti techninės ir programinės įrangos veikimą, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų bei saugos incidentų diagnostiką ir šalinimą, turėti sisteminių programinių priemonių (Windows, Unix, Oracle) administravimo ir priežiūros patirties.

37. TAIS naudotojai turi būti susipažinę su Saugos nuostatais, saugos politikos įgyvendinimo dokumentais, pagal kompetenciją – ir su kitais teisės aktais bei standartais, reglamentuojančiais elektroninės informacijos saugą.

38. TAIS naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti TAIS administratoriui ir (ar) TAIS saugos įgaliotiniui.

39. TAIS naudotojai privalo:

39.1. turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti saugiai tvarkyti elektroninę informaciją;

39.2. nuolat kelti kvalifikaciją saugaus elektroninės informacijos tvarkymo kursuose, mokymuose, seminaruose;

39.3. praradę arba kitaip netekę savo prisijungimo prie TAIS vardo ar slaptažodžio, nedelsdami elektroniniu paštu arba telefonu apie tai informuoti TAIS administratorių.

40. TAIS naudotojams draudžiama:

40.1. atskleisti kitiems asmenims prisijungimo prie TAIS vardą, slaptažodį ar kitaip sudaryti sąlygas jais pasinaudoti;

40.2. naudoti TAIS duomenis kitokiais, negu jų nuostatuose nurodytais, ir savo pareigybės aprašyme nustatytų funkcijų atlikimo tikslais;

40.3. sudaryti sąlygas pasinaudoti darbui su TAIS naudojama technine ir programine įranga tokios teisės neturintiems asmenims (paliekant darbo vietą būtina užrakinti darbalaukį arba išjungti darbo stotį);

40.4. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti, sunaikinti ar atskleisti TAIS duomenys, taip pat neatlikti būtinų veiksmų, apsaugančių informacinės sistemos duomenis;

40.5. atlikti bet kokius kitus neteisėtus TAIS duomenų tvarkymo veiksmus.

41. TAIS naudotojams ne rečiau kaip kartą per kalendorinius metus TAIS saugos įgaliotinis turi surengti mokymus elektroninės informacijos saugos ir kibernetinio saugumo klausimais, įvairiais būdais priminti apie saugos problemas (pvz., siųsti priminimus elektroniniu paštu, rengti teminius seminarus, atmintines ir pan.).

42. Mokymai TAIS naudotojams turi būti organizuojami periodiškai, bet ne rečiau kaip kartą per dvejus metus. Už mokymų organizavimą atsakingas saugos įgaliotinis.

43. Mokymai saugos įgaliotiniui ir administratoriams turi būti organizuojami pagal poreikį.

V SKYRIUS

TAIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

44. Tvarkyti TAIS elektroninę informaciją gali tik su Saugos nuostatais, saugos politikos įgyvendinimo dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant TAIS elektroninę informaciją, užtikrinant jos saugą, susipažinę ir sutikę laikytis saugos dokumentuose nustatytų reikalavimų TAIS naudotojai.

45. TAIS naudotojų ir administratorių supažindinimą su Saugos nuostatais ir TAIS saugos politikos įgyvendinimo dokumentais ir atsakomybe už jų reikalavimų nesilaikymą pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą, atlieka TAIS saugos įgaliotinis.

46. TAIS naudotojai ir administratoriai pakartotinai su saugos dokumentais supažindinami iš esmės pasikeitus saugos dokumentams ir (arba) padažnėjus elektroninės informacijos saugos incidentų.

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

47. TAIS saugos nuostatų privalo laikytis TAIS naudotojai, TAIS administratorius, TAIS saugos įgaliotinis ir TAIS duomenų tvarkytojai.

48. TAIS naudotojai, TAIS administratorius ir TAIS saugos įgaliotinis pagal savo kompetenciją atsako už TAIS tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą. TAIS naudotojai, TAIS administratorius ir TAIS saugos įgaliotinis, pažeidę saugos dokumentų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

______________

Pakeitimai:

Lietuvos Respublikos Seimo kanceliarija, [email protected];[email protected], Įsakymas

Nr. 400-ĮVK-325, 2021-12-06,

Dėl Seimo kanclerio 2020 m. rugpjūčio 26 d. įsakymo Nr. 400-ĮVK-186 „Dėl Teisės aktų informacinės sistemos duomenų saugos nuostatų patvirtinimo“ pakeitimo