lietuvos respublikos krašto apsaugos

ministras

 

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS KRAŠTO APSAUGOS MINISTRO 2019 M. LIEPOS 2 D. ĮSAKYMO NR. V-583 „DĖL SAUGIOJO VALSTYBINIO DUOMENŲ PERDAVIMO TINKLO VEIKLĄ UŽTIKRINANČIŲ DOKUMENTŲ PATVIRTINIMO“ PAKEITIMO

 

2023 m. gegužės 31 d. Nr. V-445

Vilnius

 

 

1. P a k e i č i u Lietuvos Respublikos krašto apsaugos ministro 2019 m. liepos 2 d. įsakymą Nr. V-583 „Dėl Saugiojo valstybinio duomenų perdavimo tinklo veiklą užtikrinančių dokumentų patvirtinimo“:

1.1. Pakeičiu preambulę ir ją išdėstau taip:

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 432 straipsnio 4 ir 8 dalimis, Lietuvos Respublikos Vyriausybės 2018 m. sausio 3 d. nutarimo Nr. 27 „Dėl Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo įgyvendinimo Saugiojo valstybinio duomenų perdavimo tinklo valdymo srityje“ 2.1 papunkčiu, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Kibernetinio saugumo įstatymo įgyvendinimo“, 5.3 papunkčiu:“.

1.2. Pakeičiu nurodytu įsakymu patvirtintą Prisijungimo prie Saugiojo valstybinio duomenų perdavimo tinklo, atsijungimo nuo jo ir elektroninių ryšių paslaugų teikimo šiuo tinklu tvarkos aprašą:

1.2.1. Pakeičiu 191 punktą ir jį išdėstau taip:

191. Kai naudotojo struktūrinis padalinys yra ne Lietuvos Respublikos teritorijoje, Tvarkos aprašo 5.1.2.1 ir 5.1.3 papunkčiuose nustatyti reikalavimai įgyvendinami pagal šalies, kurioje bus įrengta Saugiojo tinklo įranga, keliamus reikalavimus.“

1.2.2. Pakeičiu 29 punktą ir jį išdėstau taip:

29. Kalbinis ryšys teikiamas naudotojams pagal Tvarkos aprašo 3 priedo 1 punktą.“

1.2.3. Papildau 291 punktu:

291. Valstybės mobilizacijos operacijų centro kalbiniu palydoviniu ryšiu bei Valstybės mobilizacijos operacijų centro prieiga prie viešųjų ryšių tinklų palydoviniu ryšiu turi teisę naudotis civilinės mobilizacijos institucijos, kurių vadovai ar jų įgalioti asmenys yra įtraukti į Valstybės mobilizacijos operacijų centro sudėtį, žvalgybos institucijos, taip pat Lietuvos Respublikos Prezidento kanceliarija, Lietuvos Respublikos Seimo kanceliarija.  Naudotojui išduodamų SIM kortelių skaičius Valstybės mobilizacijos operacijų centro kalbiniam palydoviniam ryšiui užtikrinti bei Valstybės mobilizacijos operacijų centro prieigų prie viešųjų ryšių tinklų palydoviniu ryšiu suteikimo skaičius nurodyti  Tvarkos aprašo 3 priedo 2 punkte.“

1.2.4. Pakeičiu 47 punktą ir jį išdėstau taip:

47. Naudotojas, užsisakęs papildomas kalbinio ryšio paslaugas (skambučius į miesto, mobiliojo ryšio telefonų numerius, peradresavimą į mobiliojo ryšio numerius), taip pat viršijęs Valstybės mobilizacijos operacijų centro kalbinio palydovinio ryšio standartinio paslaugų plano limitą (50 Eur) arba užsakęs skubų pristatymą, atsiskaito pagal faktines tokių paslaugų gavimo išlaidas.“

1.2.5. Pakeičiu 2 priedą ir jį išdėstau nauja redakcija (pridedama).

1.2.6. Pakeičiu 3 priedą ir jį išdėstau nauja redakcija (pridedama).

1.3. Pakeičiu nurodytu įsakymu patvirtintus Specialiųjų organizacinių ir techninių reikalavimų, taikomų Saugiajam valstybiniam duomenų perdavimo tinklui, juo teikiamoms paslaugoms bei prekių ir paslaugų Saugiajam valstybiniam duomenų perdavimo tinklui teikėjams, aprašą:

1.3.1. Papildau 5.6 papunkčiu:

5.6. Saugiojo tinklo kibernetinio saugumo politiką, kurią sudaro šie skyriai:

5.6.1. „I skyrius. Bendrosios nuostatos“, kuriame nurodomas politikos tikslas ir taikymo apimtis, kibernetinio saugumo valdymo kryptys, atsakomybių pasiskirstymas;

5.6.2. „II skyrius. Audito žurnalų duomenų administravimas ir saugojimas“, kuriame aprašoma audito žurnalų duomenų administravimo ir saugojimo tvarka;

5.6.3. „III skyrius. Įsibrovimų aptikimas ir prevencija“, kuriame aprašoma Saugiojo tinklo įsibrovimų aptikimo, vertinimo tvarka;

5.6.4. „IV skyrius. Mobiliųjų įrenginių naudojimas ir kontrolė“, kuriame nustatomi Saugiojo tinklo veiklai ir paslaugoms teikti naudojamų mobiliųjų įrenginių saugos reikalavimai, jų laikymosi kontrolė;

5.6.5. „V skyrius. Grėsmių ir pažeidžiamumų valdymas“, kuriame nustatoma Saugiojo tinklo grėsmių ir pažeidžiamumų skenavimo, rezultatų vertinimo ir klasifikavimo tvarka, pažeidžiamumų nustatymo plano rengimo, pažeidžiamumų nustatymo programinės įrangos naudojimo bei nustatytų trūkumų šalinimo nuostatos;

5.6.6. „VI skyrius. Kibernetinių incidentų valdymas“, kuriame aprašomas kibernetinio incidento valdymo organizavimas: nustatymas, vertinimas, stabdymas ir šalinimas;

5.6.7. „VII skyrius. Kibernetinio saugumo priemonės“, kuriame nurodomos kibernetiniam saugumui Saugiajame tinkle užtikrinti naudojamos techninės ir programinės priemonės, šių priemonių diegimas ir parametrų keitimas;

5.6.8. „VIII skyrius. Mokymai“, kuriame nustatoma Saugiojo tinklo tvarkytojo darbuotojų švietimo informacijos saugos klausimais organizavimo tvarka, Saugiojo tinklo naudotojų informavimas saugos klausimais.“

1.3.2. Pripažįstu netekusiu galios 17.3 papunktį.

1.4. Pakeičiu nuodytu įsakymu patvirtintą Saugiojo tinklo incidentų, pokyčių ir problemų valdymo tvarkos aprašą:

1.4.1. Pakeičiu 13.1 papunktį ir jį išdėstau taip:

13.1. Aptarnavimo ir paslaugų valdymo skyriaus darbuotojas;“.

1.4.2. Pakeičiu 13.4 papunktį ir jį išdėstau taip:

13.4. Informacinių technologijų skyriaus incidentų sprendimo grupė arba darbuotojas;“.

1.4.3. Pakeičiu 13.6 papunktį ir jį išdėstau taip:

13.6. Aptarnavimo ir paslaugų valdymo skyriaus darbuotojas, atsakingas už matavimo rodiklių kaupimą, analizę ir teikimą.“

1.4.4. Pakeičiu 14 punktą ir jį išdėstau taip:

14. Incidentų valdymo proceso dalyvių atliekamos pagrindinės funkcijos:

Proceso dalyviai

Incidento registravi-

mas ir perdavimas sprendimui priimti

Incidento sprendimas

Incidento priskyrimas

trečiosioms šalims

Incidento išsprendi-

mas ir uždarymas

Incidentų rodiklių kaupimas, analizė ir teikimas

Aptarnavimo ir paslaugų valdymo skyriaus darbuotojas / Budėtojas

Atlieka

Atlieka

 

Atlieka

 

Incidentų sprendimo grupė arba darbuotojas

Atlieka

Atlieka

Atlieka

 

Trečiosios šalys

 

Atlieka

 

 

 

Už matavimo rodiklių kaupimą, analizę ir teikimą atsakingas asmuo

 

 

 

 

 

Atlieka

1.4.5. Pakeičiu 15.1 papunktį ir jį išdėstau taip:

15.1.  Aptarnavimo ir paslaugų valdymo skyriaus darbuotojas;“.

1.4.6. Pakeičiu 15.6 papunktį ir jį išdėstau taip:

15.6. KVTC direktoriaus sudarytas pokyčių tvirtinimo komitetas;

Proceso dalyviai

Pokyčio registra-

vimas

Pokyčio vertini-

mas

Pokyčio tvirti-

nimas

Pokyčio vykdymas

Pokyčio patikrinimas ir uždarymas

Matavimo rodiklių kaupimas, analizė ir teikimas

Aptarnavimo paslaugų valdymo skyriaus darbuotojas

Atlieka

 

 

 

 

 

Incidentą / problemą sprendusi grupė arba darbuotojas

Atlieka

 

 

 

 

 

KVTC darbuotojas, atsakingas už įrangos keitimą / atnaujinimą

Atlieka

 

 

 

 

 

Pokyčių vertinimo grupė

 

Atlieka

 

 

 

 

Pokyčių tvirtinimo komitetas

 

 

Atlieka

 

 

 

KVTC direktorius

 

 

Atlieka

 

 

 

Pokyčių vykdymo grupė arba darbuotojas

 

 

 

Atlieka

Atlieka

 

Už matavimo rodiklių kaupimą, analizę ir teikimą atsakingas asmuo

 

 

 

 

 

Atlieka

1.4.7. Pakeičiu 15.9 papunktį ir jį išdėstau taip:

15.9.  Aptarnavimo ir paslaugų valdymo skyriaus darbuotojas, atsakingas už matavimo rodiklių kaupimą, analizę ir teikimą.“

1.4.8. Pakeičiu 17.1 papunktį ir jį išdėstau taip:

17.1.  Aptarnavimo ir paslaugų valdymo skyriaus darbuotojas;“.

1.4.9. Pakeičiu 17.4 papunktį ir jį išdėstau taip:

17.4.  Aptarnavimo ir paslaugų valdymo skyriaus darbuotojas, atsakingas už matavimo rodiklių kaupimą, analizę ir teikimą.“

1.4.10. Pakeičiu 18 punktą ir jį išdėstau taip:

18. Problemų valdymo proceso dalyviai ir jų atliekamos pagrindinės funkcijos:

Proceso

dalyviai

Problemos registravi-mas ir vertinimas

Problemos tyrimas ir priskyrimas atsakingam asmeniui

Proble-

mos spren

dimas

Problemos perdavi-

mas trečio-

sioms

šalims

Išspręstos problemos stebėjimas

Proble-mos užda-rymas

Matavimo rodiklių kaupimas ir analizė

Aptarnavimo ir paslaugų valdymo skyriaus darbuotojas

Atlieka

 

Atlieka

Atlieka

 

Incidentų sprendimo grupė arba darbuotojas

Atlieka

 

 

 

 

 

Darbuotojas, atsakingas už problemos sprendimą

 

 

Atlieka

Atlieka

 

 

 

Trečiosios šalys

 

 

Atlieka

 

 

 

 

Už matavimo rodiklių kaupimą, analizę ir teikimą atsakingas asmuo

 

 

 

 

 

 

Atlieka

1.4.11. Pakeičiu 23.4 papunktį ir jį išdėstau taip:

23.4. Aptarnavimo ir paslaugų valdymo skyriaus darbuotojas arba Budėtojas (ne darbo metu) (toliau – Atsakingas asmuo), telefonu gavęs pranešimą apie incidentą, užregistruoja jį paslaugų valdymo priemonėje;“.

1.4.12. Pakeičiu 24.3 papunktį ir jį išdėstau taip:

24.3. nustatęs, kad incidentas susijęs su Saugiojo tinklo veikla, perduoda jį spręsti Tinklo technologijų departamento arba Informacinių technologijų skyriaus incidentų sprendimo grupei arba darbuotojui.“

1.4.13. Pakeičiu 25.1.1 papunktį ir jį išdėstau taip:

25.1.1. jei incidentas susijęs su informacijos ar kibernetiniu saugumu, sprendžia jį vadovaudamiesi Saugiojo tinklo valdytojo nustatyta tvarka;“.

1.4.14. Pakeičiu 25.2 papunktį ir jį išdėstau taip:

25.2. Tinklo technologijų departamento ar Informacinių technologijų skyriaus incidentų sprendimo grupė arba darbuotojai, gavę jiems priskirtą incidentą, įvertina jį ir:“.

1.4.15. Pakeičiu 28.5 papunktį ir jį išdėstau taip:

28.5.  kiti Saugiojo tinklo naudotojo darbuotojai pokytį inicijuoja raštu arba elektroniniu paštu [email protected], šiuos pokyčius paslaugų valdymo priemonėje užregistruoja Aptarnavimo ir paslaugų valdymo skyriaus darbuotojai;“.

1.4.16. Pakeičiu 34.1 papunktį ir jį išdėstau taip:

34.1.  Aptarnavimo ir paslaugų valdymo skyriaus darbuotojas, nustatęs, kad incidentas kartojasi, registruoja problemą dėl pasikartojančių incidentų vienai paslaugai paslaugų valdymo priemonėje;“.

1.4.17. Pakeičiu 34.2 papunktį ir jį išdėstau taip:

34.2. jei problemą nustato Tinklo technologijų departamento, Informacinių technologijų skyriaus arba Saugumo skyriaus darbuotojai, jos aprašymą el. paštu persiunčia Aptarnavimo ir paslaugų valdymo skyriaus darbuotojui;“.

1.4.18. Pakeičiu 34.3 papunktį ir jį išdėstau taip:

34.3. Aptarnavimo ir paslaugų valdymo skyriaus darbuotojas, gavęs el. laišką su problemos aprašymu, užregistruoja ją paslaugų valdymo priemonėje;“.

1.4.19. Pakeičiu 34.6 papunktį ir jį išdėstau taip:

34.6. Aptarnavimo ir paslaugų valdymo skyriaus darbuotojas atlieka pirminį problemos vertinimą;“.

1.4.20. Pakeičiu 34.8 papunktį ir jį išdėstau taip:

34.8. nustatęs, kad problema susijusi su Saugiojo tinklo veikla, perduoda ją spręsti Tinklo technologijų departamento arba Informacinių technologijų skyriaus incidentų sprendimų grupei arba darbuotojui.“

1.4.21. Pakeičiu 35.1.3 papunktį ir jį išdėstau taip:

35.1.3. jei problema nėra susijusi su informacijos ar kibernetiniu saugumu, grąžina ją paslaugų valdymo priemonėmis Aptarnavimo ir paslaugų valdymo skyriaus darbuotojui;“.

1.4.22. Pakeičiu 35.2 papunktį ir jį išdėstau taip:

35.2. Tinklo technologijų departamento ar Informacinių technologijų skyriaus incidentų sprendimo grupė arba darbuotojas, gavę priskirtą problemą, tiria ją ir:“.

1.4.23. Pakeičiu 35.2.3 papunktį ir jį išdėstau taip:

35.2.3. jei problema nėra susijusi su Saugiojo tinklo veikla, grąžina ją paslaugų valdymo priemonėmis Aptarnavimo ir paslaugų valdymo skyriaus darbuotojui.“

1.4.24. Pakeičiu 37.2 papunktį ir jį išdėstau taip:

37.2.  Aptarnavimo ir paslaugų valdymo skyriaus darbuotojas nustato ne trumpesnį nei dviejų savaičių stebėjimo laikotarpį, per kurį įsitikinama, kad problemos priežastis iš tikrųjų buvo pašalinta ir nebekyla sutrikimų, susijusių su nustatyta problemos priežastimi bei sprendimo metu padarytais keitimais:

37.2.1.   jei problemos stebėjimo laikotarpiu Aptarnavimo ir paslaugų valdymo skyriaus darbuotojas nustato, kad problema nebuvo išspręsta, grąžina ją spręsti anksčiau problemą sprendusiam darbuotojui;

37.2.2.   jei per nustatytą sprendimo stebėjimo laikotarpį problema nesikartoja, Aptarnavimo ir paslaugų valdymo skyriaus darbuotojas problemą uždaro.“

2. Tvirtinu  Saugiojo tinklo kibernetinio saugumo politiką (pridedama).

 

 

 

Krašto apsaugos ministras                                                                  Arvydas Anušauskas

 

 

PATVIRTINTA

Lietuvos Respublikos krašto apsaugos ministro

2019 m. liepos 2 d. įsakymu Nr. V-583

(2023 m. gegužės 31 d. įsakymo Nr. V-445

redakcija)

 

 

SAUGIOJO TINKLO kibernetinio saugumo politika

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.  Saugiojo tinklo kibernetinio saugumo politika (toliau – Politika) apibrėžia Saugiojo valstybinio duomenų perdavimo tinklo (toliau – Saugusis tinklas) elektroninės informacijos saugos kibernetinėje erdvėje užtikrinimo ir valdymo kryptis, nustato organizacines ir technines priemones, taikomas užtikrinant Saugiojo tinklo kibernetinę saugą. 

2. Saugiojo tinklo kibernetinė sauga įgyvendinama vadovaujantis šia Politika, Saugiojo tinklo valdytojo patvirtintomis Saugiojo tinklo naudotojų administravimo taisyklėmis, Specialiųjų organizacinių ir techninių reikalavimų, taikomų Saugiajam valstybiniam duomenų perdavimo tinklui, juo teikiamoms paslaugoms bei prekių ir paslaugų Saugiajam valstybiniam duomenų perdavimo tinklui teikėjams, aprašu, Saugiojo tinklo veiklos tęstinumo planu, kitais aprašais, procedūromis bei dokumentais, reglamentuojančiais informacijos saugą ir kibernetinį saugumą.

3. Saugiojo tinklo kibernetinės saugos užtikrinimo ir valdymo prioritetinės kryptys:

3.1. tinkamas ir efektyvus informacijos saugumo kibernetinėje erdvėje valdymas siekiant išvengti Saugiojo tinklo veiklos ir juo teikiamų paslaugų sutrikdymo dėl informacijos konfidencialumo, vientisumo bei prieinamumo pažeidimų;

3.2. atitikties teisės aktuose nustatytiems kibernetinio saugumo reikalavimams užtikrinimas;

3.3. gerąją praktiką atitinkančių organizacinių ir techninių kibernetinio saugumo priemonių Saugiajame tinkle įgyvendinimas;

3.4.  Saugiojo tinklo veiklos ir juo teikiamų paslaugų tęstinumo užtikrinimas;

3.5. efektyvus kibernetinio saugumo rizikos valdymas ir tinkamų rizikos valdymo priemonių naudojimas, siekiant suvaldyti kibernetinio saugumo rizikas iki priimtino lygio.

4. Politika taikoma Saugiojo tinklo valdytojui, Saugiojo tinklo saugos įgaliotiniui, administratoriams ir kitiems Saugiojo tinklo tvarkytojo darbuotojams, dalyvaujantiems Saugiojo tinklo kibernetinio saugumo užtikrinimo veiklose.

5. Politika parengta vadovaujantis Lietuvos Respublikos kibernetinio saugumo įstatymu, Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ bei atsižvelgiant į tarptautinius informacijos saugos standartus (LST ISO/IEC 27001, LST ISO/IEC 27002 ir kt.).

6. Politikoje vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, ir kituose saugų duomenų tvarkymą reglamentuojančiuose teisės aktuose.

7. Už Saugiojo tinklo kibernetinio saugumo politikos formavimą, kryptis ir plėtrą atsako Saugiojo tinklo valdytojas.

8. Už Saugiojo tinklo kibernetinio saugumo užtikrinimą ir šios Politikos įgyvendinimą atsako Saugiojo tinklo tvarkytojas.

9. Ši Politika turi būti peržiūrima ne rečiau kaip kartą per metus ir, nustačius poreikį, atnaujinama. Už Politikos priežiūrą atsakingas Saugiojo tinklo saugos įgaliotinis.

 

II SKYRIUS

AUDITO ŽURNALŲ DUOMENŲ ADMINISTRAVIMAS IR SAUGOJIMAS

 

10. Siekiant užtikrinti Saugiojo tinklo ir juo teikiamų paslaugų saugumą ir tinkamą veikimą, Saugiajame tinkle yra kaupiami Saugiojo valstybinio duomenų perdavimo tinklo nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. vasario 7 d. įsakymu Nr. V-135 „Dėl Saugiojo valstybinio duomenų perdavimo tinklo nuostatų patvirtinimo“ (toliau – Saugiojo tinklo nuostatai) 14.5 papunktyje nurodyti audito žurnalų duomenys (angl. log files) (toliau – Audito žurnalo duomenys), kuriuose fiksuojama Saugiojo tinklo nuostatų 14.6 papunktyje nurodyta informacija.

11. Audito žurnalų duomenys kaupiami ir saugomi centralizuotai techninėje ar programinėje įrangoje ir analizuojami kiekvieną darbo dieną. Apie analizės rezultatus informuojamas Saugiojo tinklo saugos įgaliotinis.

12. Audito žurnalų duomenys saugomi 6 mėnesius nuo įvykio datos užtikrinant visas prasmingas jų turinio reikšmes. Draudžiama ištrinti ir (ar) keisti audito žurnalų duomenis, jie ištrinami tik pasibaigus saugojimo terminui. Audito žurnalų duomenys yra prieinami tik Saugiojo tinklo saugos įgaliotiniui ir kitiems Saugiojo tinklo tvarkytojo paskirtiems atsakingiems asmenims (toliau – atsakingi asmenys) (peržiūros teisėmis).

13. Dėl trikdžių nustojus fiksuoti audito žurnalų duomenis, apie tai  nedelsiant, bet ne vėliau kaip per vieną darbo dieną centralizuota techninė ar programinė įranga, skirta audito duomenims saugoti, informuoja Saugiojo tinklo saugos įgaliotinį ir atsakingus asmenis.

14. Įvykus įtartinai veiklai, centralizuota techninė ar programinė įranga, skirta audito duomenims saugoti ir apdoroti, turi užfiksuoti tai audito žurnalų įrašuose ir sukurti pranešimą, kurį matytų atsakingi darbuotojai. Toks pranešimas klasifikuojamas pagal užfiksuotą įvykį.

 

III SKYRIUS

ĮSIBROVIMŲ APTIKIMAS IR PREVENCIJA

 

15. Saugiojo tinklo valdymo centre automatizuotomis įsibrovimų aptikimo priemonėmis dvidešimt keturias valandas per parą, septynias dienas per savaitę stebimi įsibrovimai į Saugųjį tinklą analizuojant įeinantį ir išeinantį Saugiojo tinklo duomenų srautą.

16. Įsibrovimų atakų pėdsakai (angl. attack signature) atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius.

17. Įsibrovimų atakų pėdsakai Saugiajame tinkle atnaujinami ne vėliau kaip per dvidešimt keturias valandas nuo gamintojo paskelbimo apie naujausius įsibrovimų atakų pėdsakus datos arba ne vėliau kaip per septyniasdešimt dvi valandas nuo gamintojo paskelbimo apie naujausius įsibrovimo atakų pėdsakus datos, jeigu Saugiojo tinklo tvarkytojas atlieka įsibrovimų atakų pėdsakų įdiegimo ir galimo jų poveikio tinklo veiklai vertinimą (testavimą).

18. Saugiojo tinklo tvarkytojas nustato Saugiojo tinklo įsibrovimų aptikimo ir prevencijos procedūras ir joms vykdyti paskiria atsakingus asmenis.

 

IV SKYRIUS

MOBILIŲJŲ ĮRENGINIŲ NAUDOJIMAS IR KONTROLĖ

 

19. Saugiojo tinklo veiklai ir paslaugoms teikti naudojami mobilieji įrenginiai – Saugiojo tinklo tvarkytojo nešiojamieji kompiuteriai ir tarnybiniai judriojo ryšio telefonai – naudojami vadovaujantis šiais reikalavimais:

19.1. leidžiama naudoti tik tokius mobiliuosius įrenginius, kurie atitinka šiame skyriuje nurodytus kibernetinio saugumo reikalavimus;

19.2. Saugiojo tinklo tvarkytojo darbuotojai yra atsakingi už jiems priskirtų mobiliųjų įrenginių ir juose esančios informacijos apsaugą;

19.3. prieiga prie nešiojamųjų kompiuterių bei juose esanti informacija turi būti apsaugota slaptažodžiu, o nešiojamuoju kompiuteriu prie Saugiojo tinklo už Saugiojo tinklo tvarkytojo įstaigos ribų galima jungtis tik per virtualų privatų tinklą (angl. Virtual privat network (VPN) bei papildomai turi būti naudojamas dviejų faktorių autentifikavimas (2FA). Prieiga prie tarnybinių judriojo ryšio telefonų bei juose esanti informacija turi būti apsaugota naudotojo identifikatoriumi (biometriniais duomenimis ir (arba) PIN kodu);

19.4. Saugiojo tinklo tvarkytojas turi teisę valdyti mobiliuosius įrenginius ir juose įdiegtą programinę įrangą. Mobiliųjų įrenginių techninę ir programinę įrangą diegia ir prižiūri Saugiojo tinklo tvarkytojo sistemų administratorius (-iai). Mobiliuosiuose įrenginiuose turi būti diegiama ir naudojama tik licencijuota ir leistinos programinės įrangos sąraše nurodyta programinė įranga;

19.5. mobiliuosiuose įrenginiuose turi būti reguliariai įdiegiami operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;

19.6. mobiliųjų įrenginių laikmenose duomenys turi būti šifruojami;

19.7. nešiojamuosiuose kompiuteriuose programinėmis priemonėmis turi būti blokuojamos išorinės elektroninės informacijos laikmenos (pvz., USB atmintinės ar pan.), išskyrus atvejus, kai jos yra būtinos administratorių funkcijoms atlikti.

19.8. nešiojamųjų kompiuterių saugiam naudojimui ir kontrolei užtikrinti naudojamas galinių įrenginių aptikimo ir kontrolės sprendimas (angl. Endpoint detection and control (EDR), tarnybinių judriojo ryšio telefonų saugiam naudojimui ir kontrolei užtikrinti naudojamas mobiliųjų įrenginių valdymo sprendimas (angl. Mobile device managemant (MDM).

 

V SKYRIUS

GRĖSMIŲ IR PAŽEIDŽIAMUMŲ VALDYMAS

 

20. Saugiojo tinklo kibernetinio saugumo grėsmių ir pažeidžiamumų valdymą Saugiojo tinklo tvarkytojas atlieka:

20.1. reguliariai skenuodamas Saugiojo tinklo techninę ir programinę įrangą ir vertindamas skenavimo rezultatus (angl. vulnerability test);

20.2. ne rečiau, kaip kartą per metus arba įvykus esminiams techniniams Saugiojo tinklo pokyčiams organizuodamas ir atlikdamas Saugiojo tinklo grėsmių ir pažeidžiamumų vertinimą (angl. penetration test), kurio tikslas nustatyti esamus Saugiojo tinklo pažeidžiamumus ir jų rizikos lygį;

20.3. vertindamas iš kitų institucijų gautą informaciją apie galimus Saugiojo tinklo pažeidžiamumus.

21. Grėsmėms ir pažeidžiamumams nustatyti naudojama specializuota programinė įranga (toliau – SPĮ), naudojanti viešai pripažįstamą bendrąją pažeidžiamumų vertinimo metodiką pažeidžiamumo kritiškumui vertinti.

22. Atlikus skenavimą SPĮ automatiškai sugeneruoja ataskaitą, ją įvertinęs Saugiojo tinklo saugos įgaliotinis ir (arba) kitas Saugiojo tinklo tvarkytojo paskirtas (-i) darbuotojas (-ai) parengia vertinimo ataskaitą bei nustatytų grėsmių ir pažeidžiamumų šalinimo planą. 

23. Nustatyti pažeidžiamumai vertinami pagal jų poveikį Saugiojo tinklo paslaugų veikimui ir grupuojami bei sprendžiami vadovaujantis šiais kriterijais:

 

Pažeidžiamumo kritiškumas

Paaiškinimas

Priimtinumas

Labai mažas (None)

Tikimybė, kad tinklo ištekliai bus pažeisti, – iki 1 proc.

Priimtinas

Mažas (Low)

Tikimybė, kad tinklo ištekliai bus pažeisti, – nuo 2 iki 39 proc.

Priimtinas

Vidutinis (Medium)

Tikimybė, tinklo ištekliai bus pažeisti, – nuo 40 iki 69 proc.

Vertinamas

Didelis (High)

Tikimybė, kad tinklo ištekliai bus pažeisti, – nuo 70 iki 89 proc.

Nepriimtinas, sprendžiamas nedelsiant

Kritinis (Critical)

Tikimybė, kad tinklo ištekliai bus pažeisti, – nuo 90 iki 100 proc.

Nepriimtinas, sprendžiamas nedelsiant

 

24. Jei pažeidžiamumo išspręsti neįmanoma, priimamos tinkamos riziką valdančios priemonės.

25. Grėsmių ir pažeidžiamumų valdymo procedūras nustato Saugiojo tinklo tvarkytojas.

 

VI SKYRIUS

KIBERNETINIŲ INCIDENTŲ VALDYMAS

 

26. Saugiojo tinklo kibernetinių incidentų valdymas organizuojamas ir vykdomas vadovaujantis:

26.1. Nacionalinio kibernetinių incidentų valdymo planu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

26.2. Saugiojo valstybinio duomenų perdavimo tinklo kibernetinių incidentų valdymo planu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2021 m. gegužės 31 d. įsakymu Nr. V-379 „Dėl Saugiojo valstybinio duomenų perdavimo tinklo kibernetinių incidentų valdymo plano patvirtinimo“.

27. Kibernetinių incidentų valdymo procese dalyvaujančius asmenis, jų funkcijas ir atsakomybės sritis nustato Saugiojo tinklo tvarkytojas.

 

VII SKYRIUS

KIBERNETINIO SAUGUMO PRIEMONĖS

 

28. Saugiojo tinklo kibernetiniam saugumui užtikrinti naudojamos techninės ir programinės kibernetinio saugumo priemonės:

28.1. prieigų kontrolės ir autentifikavimo priemonės (angl. Network access control);

28.2. įsibrovimo aptikimo ir prevencijos sistemos (angl. Intrusion detection/ Intrusion prevention systems);

28.3. grėsmių ir pažeidžiamumų skenavimo ir nustatymo įrankiai (angl. Vulnerability scanner);

28.4. tinklo perimetro saugos priemonės (angl. Firewall);

28.5. interneto ir (arba) taikomųjų programų lygmens ugniasienių sistema WAF (angl. Web application firewalls);

28.6. interneto ir (arba) taikomųjų programų apsauga nuo DDoS (angl. Distributed denial-of-service) atakų;

28.7. didelio efektyvumo kibernetinių atakų prevencijos sistema (DEKAPS);

28.8. kitos kibernetinio saugumo priemonės ir reikalavimai, kaip numatyta Saugiojo tinklo valdytojo patvirtintuose Saugiojo tinklo naudotojų administravimo taisyklėse, Specialiųjų organizacinių ir techninių reikalavimų, taikomų Saugiajam valstybiniam duomenų perdavimo tinklui, juo teikiamoms paslaugoms bei prekių ir paslaugų Saugiajam valstybiniam duomenų perdavimo tinklui teikėjams, apraše ir Saugiojo tinklo veiklos tęstinumo plane.

29. Kibernetinio saugumo priemonės diegiamos bei jų parametrai keičiami Saugiojo tinklo valdytojo patvirtintų Saugiojo tinklo incidentų, pokyčių ir problemų valdymo tvarkos aprašo nustatyta tvarka.

 

VIII SKYRIUS

MOKYMAI

 

30. Saugiojo tinklo saugos įgaliotinis ne rečiau kaip kartą per metus inicijuoja Saugiojo tinklo tvarkytojo darbuotojų mokymą informacijos saugos, kibernetinio saugumo klausimais, įvairiais būdais (žodžiu, elektroniniu paštu, dokumentų valdymo sistemoje ar kt.) konsultuoja darbuotojus ir teikia jiems susijusią aktualią informaciją.

31. Saugiojo tinklo saugos įgaliotinis, administratoriai ir kiti tvarkytojo darbuotojai, dalyvaujantys Saugiojo tinklo kibernetinio saugumo veikloje, dalyvauja Lietuvos Respublikos krašto apsaugos ministerijos, Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos ir kitų institucijų organizuojamose kibernetinio saugumo pratybose.

32. Saugiojo tinklo tvarkytojas telefonu, elektroniniu paštu ir kitais būdais teikia informaciją Saugiojo tinklo naudotojams kibernetinio saugumo Saugiajame tinkle klausimais, informuoja juos apie galimas kibernetines grėsmes ir rizikas.

33. Saugiojo tinklo naudotojai ne rečiau kaip kartą per metus organizuoja informacijos saugos mokymus savo darbuotojams. 

 

______________