LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRAS
ĮSAKYMAS
DĖL Lietuvos Respublikos vidaus reikAlų ministro 2017 M. GRUODŽIO 22 D. ĮSAKYMO NR. 1V-883 „DĖL KAI KURIŲ LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS VALDOMŲ REGISTRŲ IR VALSTYBĖS INFORMACINIŲ SISTEMŲ DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO
2022 m. sausio 12 d. Nr. 1V-20
Vilnius
Pakeičiu Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymu Nr. 1V-883 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo“:
1. Pakeičiu 26.5 papunktį ir jį išdėstau taip:
2. Pakeičiu 26.8 papunktį ir jį išdėstau taip:
„26.8. Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V- 941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, (toliau – Techniniai reikalavimai);“.
4. Pakeičiu 30.3 papunktį ir jį išdėstau taip:
„30.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.“
5. Pakeičiu 31 punktą ir jį išdėstau taip:
„31. Rizikos įvertinimo ataskaitos ir rizikos valdymo priemonių plano duomenis bei jų kopijas informacinių sistemų valdytoja ar jos įgaliotas informacinių sistemų tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS) Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai), nustatyta tvarka.“
6. Pakeičiu 34 punktą ir jį išdėstau taip:
„34. Atsižvelgiant į rizikos įvertinimo ataskaitą, informacinių sistemų valdytoja ar jos įgaliotas informacinių sistemų tvarkytojas prireikus tvirtina rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių, finansinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.“
7. Pakeičiu 35 punktą ir jį išdėstau taip:
„35. Siekiant užtikrinti Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, kasmet organizuojamas informacinių technologijų saugos reikalavimų atitikties vertinimas Informacinių technologijų saugos atitikties vertinimo metodikos, patvirtintos Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka.“
8. Pakeičiu 36 punktą ir jį išdėstau taip:
„36. Atlikus informacinių technologijų saugos reikalavimų atitikties vertinimą, parengiama atitikties vertinimo ataskaita. Atsižvelgiant į ataskaitą, informacinių sistemų valdytoja ar jos įgaliotas informacinių sistemų tvarkytojas prireikus tvirtina pastebėtų trūkumų šalinimo planą, kuriame numatomos trūkumų šalinimo priemonės, atsakingi vykdytojai, įgyvendinimo terminai, techninių, administracinių, finansinių ar kitų išteklių poreikis.“
9. Pakeičiu 37 punktą ir jį išdėstau taip:
„37. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano duomenis ir jų kopijas informacinių sistemų valdytoja arba jos įgaliotas informacinių sistemų tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.“
10. Pakeičiu 38 punktą ir jį išdėstau taip:
11. Pakeičiu 39 punktą ir jį išdėstau taip:
„39. Informacinių technologijų saugos atitikties vertinimo metu, rizikos vertinimo metu arba atskirai organizuojamas pažeidžiamumų vertinimas, apimantis technologinių pažeidžiamumų paiešką (skenavimą) ir įsilaužimų testavimą. Informacinių sistemų pažeidžiamumų valdymo tvarka:
39.1. periodiškai, ne rečiau kaip du kartus per metus, atliekama technologinių pažeidžiamumų paieška (skenavimas) (angl. vulnerability scanning). Pažeidžiamumų paieška (skenavimas) atliekama automatizuotais įrankiais, atsižvelgiant į tarptautiniu mastu pripažintas metodikas (pvz.: OWASP, CVE ir kt.) ir žinomų pažeidžiamumų sąrašus. Pažeidžiamumų paiešką (skenavimą) automatizuotais įrankiais atlieka Informatikos ir ryšių departamentas arba nepriklausomi, sertifikuoti specialistai. Atlikus pažeidžiamumų paiešką (skenavimą), parengiama ataskaita ir rekomendacijos. Esant galimybei, nustatyti pažeidžiamumai šalinami nedelsiant arba pagal poreikį parengiamas pažeidžiamumų šalinimo planas;
39.2. periodiškai, ne rečiau kaip kartą per trejus metus, atliekamas įsilaužimo testavimas (angl. penetration test). Įsilaužimo testavimą atlieka nepriklausomi, sertifikuoti specialistai. Įsilaužimo testavimo metodiką, atsižvelgdamas į nustatytus įsilaužimo testavimo tikslus, parenka testuotojas, suderinęs ją su Informatikos ir ryšių departamentu. Atlikus įsilaužimo testavimą, parengiama ataskaita, kurioje nurodomi pavykę ir nepavykę įsilaužimo bandymai, nustatyti trūkumai bei rekomendacijos pavykusiems įsilaužimams užkardyti. Esant galimybei, nustatyti trūkumai šalinami nedelsiant arba pagal poreikį parengiamas nustatytų trūkumų šalinimo planas.“
12. Pakeičiu 41.1 papunktį ir jį išdėstau taip:
„41.1. informacinių sistemų darbui turi būti naudojama tik legali ir patikrinta programinė įranga, įtraukta į leistinos programinės įrangos sąrašą. Leistinos programinės įrangos sąrašą tvirtina Informatikos ir ryšių departamentas. Kiti informacinių sistemų tvarkytojai gali patvirtinti leistinos programinės įrangos sąrašą savo ir pavaldžių institucijų kompiuterinėms darbo vietoms. Informatikos ir ryšių departamento tvirtinamą leistinos programinės įrangos sąrašą rengia, peržiūri ir prireikus atnaujina Informatikos ir ryšių departamento paskirtas atsakingas asmuo, suderinęs su saugos įgaliotiniu. Kito informacinių sistemų tvarkytojo tvirtinamą leistinos programinės įrangos sąrašą rengia, peržiūri ir prireikus atnaujina šio tvarkytojo paskirtas atsakingas asmuo, suderinęs su saugos įgaliotiniu;“.
13. Pakeičiu 45.1 papunktį ir jį išdėstau taip:
„45.1. Kompiuterių tinklai nuo viešųjų telekomunikacijų tinklų (interneto) turi būti atskirti ugniasienėmis, DOS ir DDOS atakų prevencijai skirta įranga bei įsilaužimų aptikimo ir prevencijos įranga; ugniasienių sąranka (konfigūracijos duomenys) turi būti saugoma kartu su informacinių sistemų sąranka (konfigūracijos duomenimis) elektronine arba popierine forma;“.
14. Pakeičiu 67 punktą ir jį išdėstau taip:
„67. Informacinių sistemų naudotojai privalo:
67.1. laikytis informacijos saugos reikalavimų, nustatytų Saugos nuostatuose, saugos politiką įgyvendinančiuose dokumentuose ir kituose teisės aktuose, reglamentuojančiuose informacijos saugą, kibernetinį saugumą ir asmens duomenų apsaugą;
67.2. saugoti duomenų ir informacijos paslaptį, kaip tai reglamentuota Valstybės informacinių išteklių valdymo įstatyme, Asmens duomenų teisinės apsaugos įstatyme, Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatyme ir Bendrajame duomenų apsaugos reglamente;
67.3. pasirašyti konfidencialumo pasižadėjimą ir laikytis konfidencialumo įsipareigojimų, kurie galioja visą darbo laiką, perėjus dirbti į kitas pareigas ir nutraukus ar pasibaigus valstybės tarnybos, darbo ar sutartiniams santykiams;
67.4. turėti pagrindinių saugaus darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti saugiai tvarkyti elektroninę informaciją, saugiai naudotis kompiuterine įranga, mobiliaisiais įrenginiais, tarnybiniu elektroniniu paštu, internetu, kitais tarnybiniais ištekliais;
67.5. nuolat kelti kvalifikaciją saugaus elektroninės informacijos tvarkymo, kibernetinio saugumo, asmens duomenų apsaugos kursuose, mokymuose, seminaruose;
67.6. nedelsiant pranešti apie pastebėtus galimus ar įvykusius informacijos saugos incidentus, įtartiną veiklą ITT pagalbos grupei tel. (8 5) 271 7777, el. paštu [email protected], adresu https://ittpagalba.vrm.lt/, arba administratoriui, arba saugos įgaliotiniui;
67.8. naudoti tarnybinį elektroninį paštą tik tarnybiniam susirašinėjimui, susijusiam su darbu, tarnybinių pareigų ir funkcijų vykdymu;
67.9. saugoti savo slaptažodį, kitus prisijungimo prie informacinių sistemų duomenis ir priemones, neatskleisti slaptažodžio kitiems asmenims;
67.10. įtarę, kad prisijungimo prie informacinės sistemos slaptažodis galėjo būti atskleistas kitam asmeniui, praradę ar kitaip netekę slaptažodžio, nedelsdami informuoti ITT pagalbos grupę; nurodytais atvejais slaptažodis turi būti pakeistas Naudotojų administravimo taisyklių, patvirtintų vidaus reikalų ministro, nustatyta tvarka.“
15. Papildau 74 punktu:
„74. Patvirtintų Saugos nuostatų, saugos politiką įgyvendinančių dokumentų ir jų pakeitimų kopijas informacinių sistemų valdytoja ar jos įgaliotas informacinių sistemų tvarkytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų patvirtinimo pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.“
16. Pakeičiu priedo 8 punktą ir jį išdėstau taip:
„8. |
Lietuvos nacionalinė Šengeno informacinė sistema |
ypatingos svarbos |
1 |
Aprašo 7.1, 7.2 ir 12.1 papunkčiai“ |