LIETUVOS RESPUBLIKOS SEIMO

KANCLERIS

 

ĮSAKYMAS

DĖL SEIMO KANCLERIO 2013 M. GRUODŽIO 31 D. ĮSAKYMO NR. 400‑ĮVK-397 „DĖL LIETUVOS RESPUBLIKOS TEISĖS AKTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“ PAKEITIMO

 

2020 m. rugpjūčio 26 d. Nr. 400-ĮVK-184

Vilnius

 

Pakeičiu:

1. Lietuvos Respublikos Seimo kanclerio 2013 m. gruodžio 31 d. įsakymo Nr. 400‑ĮVK‑397 „Dėl Lietuvos Respublikos Teisės aktų registro duomenų saugos nuostatų patvirtinimo“ pavadinimą ir jį išdėstau taip:

„DĖL TEISĖS AKTŲ REGISTRO DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO“

2. Teisės aktų registro duomenų saugos nuostatus, patvirtintus Lietuvos Respublikos Seimo kanclerio 2013 m. gruodžio 31 d. įsakymu Nr. 400-ĮVK-397 „Dėl Lietuvos Respublikos Teisės aktų registro duomenų saugos nuostatų patvirtinimo“, ir išdėstau juos nauja redakcija (pridedama).

 

 

Finansų skyriaus vedėjas

l. e. Seimo kanclerio pareigas                                                                                    Marius Žiūkas

 

 

SUDERINTA

Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos

2020 m. rugpjūčio 5 d. raštu Nr. (4.1 E) 6K-491

 

 

Parengė

Veiklos administravimo departamento

Informacinių sistemų skyriaus vedėja

Birutė Leonavičienė

2020-08-21

 

PATVIRTINTA

Lietuvos Respublikos Seimo kanclerio

2013 m. gruodžio 31 d. įsakymu
Nr. 400-ĮVK-397

(Lietuvos Respublikos Seimo kanclerio

2020 m. rugpjūčio 26 d. įsakymo

Nr. 400-ĮVK-184 redakcija )

 

 

TEISĖS AKTŲ REGISTRO

DUOMENŲ SAUGOS NUOSTATAI

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Teisės aktų registro (toliau – TAR) duomenų saugos nuostatuose (toliau – Saugos nuostatai) nustatomas Lietuvos Respublikos Seimo kanceliarijos TAR tvarkomos elektroninės informacijos saugos valdymas, organizaciniai ir techniniai reikalavimai, reikalavimai personalui ir supažindinimo su saugos dokumentais principai.

2. Elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:

2.1. elektroninės informacijos konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

2.2. kibernetinio saugumo reikalavimų laikymasis;

2.3. TAR veiklos tęstinumo užtikrinimas;

2.4. asmens duomenų apsauga;

2.5. organizacinių, techninių, programinių, teisinių, informacijos sklaidos ir kitų priemonių, skirtų elektroninės informacijos saugai ir kibernetiniam saugumui užtikrinti, įgyvendinimas ir kontrolė.

3. Elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo tikslai:

3.1. sudaryti sąlygas saugiai automatiniu būdu tvarkyti elektroninę informaciją;

3.2. užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo ir nuo bet kokio kito neteisėto tvarkymo;

3.3. vykdyti elektroninės informacijos saugos ir kibernetinių incidentų prevenciją, reaguoti į elektroninės informacijos saugos ir (ar) kibernetinius incidentus ir juos operatyviai suvaldyti, atkuriant įprastą TAR veiklą.

4. Elektroninės informacijos saugai užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės.

5. Saugos nuostatuose vartojamos sąvokos:

5.1. Seimo kanceliarijos techninės infrastruktūros administratorius – Seimo kanceliarijos valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, prižiūrintis TAR infrastruktūrą ir užtikrinantis jos veikimą ir saugą.

5.2. Kitos Saugos nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų saugos reikalavimų aprašas), vartojamas sąvokas.

6. Saugos nuostatų reikalavimai taikomi:

6.1. TAR valdytojai ir tvarkytojai Seimo kanceliarijai (Gedimino pr. 53, Vilnius).

6.2. TAR saugos įgaliotiniui;

6.3. TAR administratoriui;

6.4. TAR naudotojams;

6.5. Seimo kanceliarijos techninės infrastruktūros administratoriams.

7. TAR valdytojo ir tvarkytojo funkcijos, teisės ir pareigos nustatytos Teisės aktų registro nuostatuose, patvirtintuose Lietuvos Respublikos Seimo 2013 m. gruodžio 17 d. nutarimu Nr. XII‑694 „Dėl Teisės aktų registro nuostatų patvirtinimo“ (toliau – Teisės aktų registro nuostatai).

8. TAR saugos įgaliotinio funkcijos ir atsakomybė:

8.1. teikia TAR valdytojui pasiūlymus dėl:

8.1.1. TAR administratoriaus paskyrimo ir reikalavimų administratoriui nustatymo;

8.1.2. informacinių technologijų saugos atitikties vertinimo atlikimo;

8.1.3. saugos dokumentų priėmimo ir (ar) keitimo;

8.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių TAR, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis tokius incidentus ir neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;

8.3. informuoja TAR valdytoją ir kompetentingas institucijas apie neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią TAR saugą;

8.4. informuoja už kibernetinio saugumo organizavimą ir užtikrinimą Seimo kanceliarijoje atsakingą asmenį (toliau – už kibernetinį saugumą atsakingas asmuo) apie kibernetinio saugumo incidentus;

8.5. teikia TAR naudotojams, TAR administratoriui ir Seimo kanceliarijos techninės infrastruktūros administratoriams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

8.6. pagal kompetenciją kitiems TAR valdytojo ir TAR tvarkytojo darbuotojams duoda privalomus vykdyti nurodymus ir pavedimus, būtinus saugos politikai įgyvendinti;

8.7. atlieka arba organizuoja TAR saugos rizikos įvertinimo procedūras;

8.8. rengia ir ne rečiau kaip kartą per metus peržiūri autorizuotų nuotoliniam prisijungimui TAR naudotojų sąrašą;

8.9. ne rečiau kaip kartą per metus organizuoja užkardų sąrankos kompiuterių tinkle peržiūrą;

8.10. dalyvauja organizuojant TAR naudotojų, TAR administratoriaus ir Seimo kanceliarijos techninės infrastruktūros administratorių mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas;

8.11.    atlieka kituose teisės aktuose jam priskirtas kitas funkcijas.

9. TAR administratoriaus funkcijos ir atsakomybė:

9.1. atsako už nepertraukiamą TAR veikimą;

9.2. administruoja prieigos prie TAR teises;

9.3. kartu su Seimo kanceliarijos techninės infrastruktūros administratoriais stebi ir įvertina TAR ir TAR sudedamųjų dalių (tarnybinių stočių (aplikacijų, duomenų bazių valdymo sistemų), kompiuterių tinklo programinės ir duomenų perdavimo įrangos) sąrankos (kaip vienos visumos) veikimą, būklės rodiklius, nustato TAR pažeidžiamas vietas; ne rečiau kaip kartą per metus ir (ar) įdiegus TAR pokyčius patikrina (peržiūri) TAR sąranką ir TAR būsenos rodiklius;

9.4. tvarko TAR elektroninių duomenų archyvą ir elektroninių duomenų perkėlimo įrašų žurnalą;

9.5. dalyvauja atkuriant TAR elektroninius duomenis iš duomenų archyvo;

9.6. tvarko TAR ekspoloatavimo žurnalą;

9.7. dalyvauja atliekant TAR saugos atitikties ir (ar) rizikos vertinimo procedūras;

9.8. teikia pasiūlymus TAR saugos įgaliotiniui ir už kibernetinį saugumą atsakingam asmeniui dėl TAR saugos organizavimo, atlieka kitas Saugos nuostatuose ir kituose saugos dokumentuose nustatytas funkcijas;

9.9. konsultuoja TAR naudotojus, kaip naudotis TAR.

10. TAR administratorius privalo vykdyti visus saugos įgaliotinio ir (ar) už kibernetinį saugumą atsakingo asmens nurodymus ir pavedimus dėl TAR elektroninės informacijos saugos ir (ar) kibernetinio saugumo užtikrinimo, pagal kompetenciją reaguoti į saugos ir (ar) kibernetinius incidentus, juos valdyti ir nuolat teikti saugos įgaliotiniui ir (ar) už kibernetinį saugumą atsakingam asmeniui informaciją apie saugą užtikrinančių pagrindinių TAR sudedamųjų dalių būklę.

11. Saugų TAR elektroninės informacijos tvarkymą reglamentuoja:

11.1. Valstybės informacinių išteklių valdymo įstatymas;

11.2. Kibernetinio saugumo įstatymas;

11.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas; Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);

11.4. Bendrųjų saugos reikalavimų aprašas;

11.5. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Klasifikavimo gairių aprašas);

11.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas);

11.7. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techninių saugos reikalavimų aprašas);

11.8. Lietuvos standartai LST ISO/IEC 27001:2013, kiti Lietuvos ir tarptautiniai standartai, reglamentuojantys informacijos saugą; kiti teisės aktai, reglamentuojantys informacinių sistemų elektroninės informacijos tvarkymą, elektroninės informacijos saugą, kibernetinį saugumą bei informacinių sistemų valdytojo ir tvarkytojo veiklą.

 

II SKYRIUS

ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

 

12. Vadovaujantis Klasifikavimo gairių aprašo 7.2, 7.3 ir 7.6 papunkčių nuostatomis, TAR tvarkoma elektroninė informacija priskirtina ypatingos svarbos elektroninės informacijos kategorijai. Atsižvelgiant į tai ir vadovaujantis Klasifikavimo gairių aprašo 12.1 papunkčio nuostata, TAR priskiriama pirmajai informacinių sistemų kategorijai.

13. TAR rizikos įvertinimas atliekamas taip:

13.1. TAR rizikos įvertinimas atliekamas ne rečiau kaip kartą per metus, jeigu teisės aktuose nenustatyta kitaip;

13.2. neeilinis TAR rizikos įvertinimas atliekamas padarius esminius TAR funkcinius pakeitimus arba kai įvyksta esminių Seimo kanceliarijos organizacinių pokyčių, arba kai atsiranda naujų informacinių technologijų saugos srities reikalavimų, arba po didelio masto saugos ir (ar) kibernetinių incidentų, kai nustatoma naujų rizikos formų;

13.3. atliekant TAR rizikos įvertinimą vadovaujamasi Lietuvos Respublikos vidaus reikalų ministerijos metodine priemone „Rizikos analizės vadovas“, Saugos nuostatų 11.8 papunktyje nurodytais standartais, geriausiomis praktikomis (COBIT ar kitomis) ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais.

14. TAR rizikos įvertinimui atlikti sutartiniais pagrindais gali būti samdomi tretieji asmenys.

15. TAR rizikos įvertinimo rezultatai išdėstomi rizikos įvertinimo ataskaitoje, kuri teikiama TAR valdytojo vadovui. Rizikos įvertinimo ataskaita rengiama įvertinus įtakos elektroninės informacijos saugai galinčius turėti rizikos veiksnius, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus.

16. Atsižvelgdamas į rizikos įvertinimo ataskaitą, TAR valdytojas prireikus tvirtina rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių, organizacinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

17. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano duomenis bei jų kopijas TAR administratorius ne vėliau kaip per 5 darbo dienas nuo šių dokumentų patvirtinimo pateikia į Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemą (toliau – ARSIS).

18. Siekiant užtikrinti saugos dokumentuose nustatytų elektroninės informacijos saugos ir kibernetinio saugumo reikalavimų įgyvendinimo organizavimą ir kontrolę, TAR informacinių technologijų saugos atitikties ir saugos atitikties nustatytiems organizaciniams ir techniniams kibernetinio saugumo reikalavimams vertinimas turi būti organizuojamas ne rečiau kaip kartą per metus, jeigu teisės aktuose nenustatyta kitaip.

19. TAR saugos atitikties vertinimas atliekamas Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, nustatyta tvarka. Atlikus informacinių technologijų saugos atitikties vertinimą, saugos įgaliotinis rengia ir teikia TAR valdytojo vadovui informacinių technologijų saugos vertinimo ataskaitą. Atsižvelgdamas į TAR saugos atitikties vertinimo ataskaitą, saugos įgaliotinis prireikus parengia pastebėtų trūkumų šalinimo planą. Šį planą tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato TAR valdytojo vadovas.

20. TAR saugos atitikties vertinimo metu turi būti atliekamas kibernetinių atakų imitavimas ir vykdomos kibernetinių incidentų imitavimo pratybos. Imituojant kibernetines atakas rekomenduojama vadovautis tarptautiniu mastu pripažintų organizacijų (pvz., EC-COUNCIL, ISACA, NIST ir kt.) rekomendacijomis ir gerąja praktika. Kibernetinių atakų imitavimo rezultatai turi būti išdėstomi TAR saugos vertinimo ataskaitoje, kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir pateikiamos rekomendacijos jam pašalinti.

21. TAR saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas TAR administratorius ne vėliau kaip per 5 darbo dienas nuo šių dokumentų priėmimo pateikia ARSIS.

22. TAR saugos priemonės parenkamos įvertinus galimus rizikos elektroninės informacijos vientisumui, konfidencialumui ir prieinamumui veiksnius.

23. Elektroninės informacijos saugos ir kibernetinio saugumo būklė gerinama techninėmis, programinėmis, organizacinėmis ir kitomis elektroninės informacijos saugos ir kibernetinio saugumo priemonėmis, kurios pasirenkamos atsižvelgiant į TAR valdytojo turimus išteklius, vadovaujantis šiais principais:

23.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

23.2. priemonės diegimo kaina turi būti adekvati tvarkomos elektroninės informacijos vertei;

23.3. atsižvelgiant į priemonių efektyvumą ir taikymo tikslingumą, turi būti įdiegtos prevencinės, detekcinės ir korekcinės elektroninės informacijos saugos ir (ar) kibernetinio saugumo priemonės.

24. Ne rečiau kaip kartą per trejus metus TAR saugos reikalavimų atitikties vertinimą turi atlikti nepriklausomi, visuotinai pripažintų tarptautinių organizacijų sertifikuoti informacinių sistemų auditoriai.

 

III SKYRIUS

ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

 

25. Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo nuostatos:

25.1. TAR tarnybinėse stotyse ir TAR naudotojų kompiuteriuose turi būti naudojama tik legali programinė įranga;

25.2. TAR naudotojų kompiuteriuose gali būti naudojama programinė įranga, nurodyta Programinės įrangos, diegiamos į Lietuvos Respublikos Seimo kanceliarijos patikėjimo teise ar kitais teisėtais pagrindais valdomus kompiuterius, sąraše, patvirtintame Seimo kanclerio 2018 m. gruodžio 7 d. įsakymu Nr. 400-ĮVK-386 „Dėl Programinės įrangos, diegiamos į Lietuvos Respublikos Seimo kanceliarijos patikėjimo teise ar kitais teisėtais pagrindais valdomus kompiuterius, sąrašo patvirtinimo“;

25.3. tarnybinių stočių ir TAR naudotojų kompiuterių operacinės sistemos, kibernetiniam saugumui užtikrinti naudojamų priemonių ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai, klaidų pataisymai turi būti operatyviai išbandomi ir įdiegiami;

25.4. Seimo kanceliarijos techninės infrastruktūros administratoriai reguliariai, ne rečiau kaip kartą per savaitę, turi įvertinti informaciją apie neįdiegtus rekomenduojamus gamintojų atnaujinimus bei jų įtaką TAR pažeidžiamumui ir apie įvertinimo rezultatus informuoti TAR saugos įgaliotinį;

25.5. programinė įranga turi būti prižiūrima ir atnaujinama laikantis gamintojo reikalavimų ir rekomendacijų;

25.6. programinės įrangos diegimą, konfigūravimą, priežiūrą ir gedimų šalinimą turi atlikti kvalifikuoti specialistai – Seimo kanceliarijos infrastruktūros administratoriai arba tokias paslaugas teikiantys kvalifikuoti paslaugų teikėjai.

26. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:

26.1. kompiuterių tinklai turi būti atskirti nuo viešųjų elektroninių ryšių tinklų (interneto) naudojant užkardas, automatinę įsilaužimų aptikimo ir prevencijos įrangą, atkirtimo nuo paslaugos bei dedikuoto atkirtimo nuo paslaugos įrangą;

26.2. kompiuterių tinklų perimetro apsaugai turi būti naudojami filtrai, apsaugantys elektroniniame pašte ir viešuose ryšių tinkluose naršančių vidinių informacinių sistemų naudotojų kompiuterinę įrangą nuo kenksmingo kodo. Visas duomenų srautas į internetą ir iš jo turi būti filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos;

26.3. apsaugai nuo elektroninės informacijos nutekinimo turi būti naudojama duomenų srautų analizės ir kontrolės įranga.

27. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą:

27.1. elektroninė informacija teikiama (daugkartinio teikimo atveju ir vienkartinio teikimo atveju) Teisės aktų registro nuostatuose nustatyta tvarka;

27.2. siekiant užtikrinti saugų elektroninės informacijos teikimą ir (ar) gavimą naudojamas šifravimas, saugus elektroninių ryšių tinklas ar kitos priemonės, taikomos saugiam elektroninės informacijos perdavimui;

27.3. elektroninė informacija automatiniu būdu turi būti teikiama ir (ar) gaunama tik pagal Teisės aktų registro nuostatuose, duomenų teikimo sutartyse nustatytas sąlygas ir specifikacijas.

28. Saugos valdymo reikalavimai, keliami išorinei TAR svetainei:

28.1. svetainė turi atitikti Techninių saugos reikalavimų aprašo ir Kibernetinio saugumo reikalavimų aprašo nuostatas;

28.2. svetainės užkarda turi būti sukonfigūruota taip, kad prie turinio valdymo sistemos (toliau – TVS) būtų galima jungtis tik iš TAR tvarkytojo vidinio kompiuterių tinklo arba nustatytų kompiuterio adresų (angl. Internet Protocol);

28.3. turi būti užtikrinama, kad prie TVS ir administravimo skydų būtų galima jungtis tik naudojantis šifruotuoju ryšiu.

29. Programinės įrangos, skirtos TAR apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos ir jos atnaujinimo reikalavimai:

29.1. tarnybinėse stotyse ir TAR naudotojų kompiuteriuose turi būti naudojamos centralizuotai valdomos ir atnaujinamos kenksmingos programinės įrangos aptikimo, stebėjimo realiu laiku priemonės;

29.2. TAR komponentai be kenksmingos programinės įrangos aptikimo priemonių gali būti eksploatuojami tik tuo atveju, jeigu rizikos vertinimo metu patvirtinama, kad šių komponentų rizika yra priimtina;

29.3. kenksmingos programinės įrangos aptikimo priemonės turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas. Seimo kanceliarijos techninės infrastruktūros administratoriai turi būti automatiškai elektroniniu paštu informuojami apie tai, kurių TAR posistemių, funkciškai savarankiškų sudedamųjų dalių, TAR naudotojų kompiuterių ir (ar) kitų TAR sudedamųjų dalių yra pradelstas kenksmingos programinės įrangos aptikimo priemonių atsinaujinimo laikas ir kurių kenksmingos programinės įrangos aptikimo priemonės netinkamai funkcionuoja arba yra išjungtos.

30. Pagrindiniai atsarginių elektroninės informacijos kopijų darymo ir atkūrimo reikalavimai:

30.1. atsarginių elektroninės informacijos kopijų darymo strategija turi būti pasirenkama atsižvelgiant į priimtiną elektroninės informacijos praradimą (angl. recovery point objetive) ir priimtiną TAR neveikimo laikotarpį (angl. recovery time objective);

30.2. atsarginės elektroninės informacijos kopijos turi būti daromos ir saugomos tokios apimties, kad TAR veiklos sutrikimo, elektroninės informacijos saugos ir (ar) kibernetinio incidento ar elektroninės informacijos vientisumo praradimo atvejais TAR neveikimo laikotarpis nebūtų ilgesnis, negu taikoma pirmajai informacinių sistemų klasifikavimo pagal informacijos svarbą kategorijai, o elektroninės informacijos praradimas atitiktų priimtinumo kriterijus;

30.3. atsarginės elektroninės informacijos kopijos turi būti daromos automatiškai periodiškai, ne rečiau kaip Seimo kanclerio įsakymu tvirtiname atsarginių elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarkos apraše (toliau – Atsarginių kopijų aprašas) nurodytais terminais;

30.4. atsarginių elektroninės informacijos kopijų laikmenos turi būti žymimos taip, kad jas būtų galima identifikuoti, ir saugomos nedegioje spintoje kitose patalpose, negu yra TAR tarnybinės stotys ar įrenginys, kurio elektroninė informacija buvo nukopijuota, arba kitame pastate. Atsarginių elektroninės informacijos kopijų žymėjimo tvarka ir saugojimo terminai nustatomi Atsarginių kopijų apraše;

30.5. atsarginių elektroninės informacijos kopijų darymas turi būti fiksuojamas;

30.6. periodiškai, bet ne rečiau kaip kartą per metus, turi būti atliekami elektroninės informacijos atkūrimo iš atsarginių kopijų bandymai;

30.7. patekimas į patalpas, kuriose saugomos atsarginės elektroninės informacijos kopijos, turi būti kontroliuojamas.

31. TAR tarnybinės stotys ir duomenų perdavimo tinklo mazgai turi turėti rezervinį maitinimo šaltinį, užtikrinantį šios įrangos veikimą ne trumpiau kaip 30 minučių.

32. TAR elektroninės informacijos saugos priemonės turi užtikrinti ir kitus Techninių saugos reikalavimų aprašo 5 ir 8 punktuose bei Kibernetinio saugumo reikalavimų apraše nustatytus reikalavimus.

33. TAR funkcionalumo atkūrimo ir prieinamumo reikalavimai:

33.1. pagrindinės TAR funkcijos turi būti atkurtos per 8 val. nuo veiklos sutrikimo;

33.2. galimas duomenų praradimas turi būti ne daugiau kaip 2 darbo laiko valandos;

33.3. TAR prieinamumas turi būti užtikrintas ne mažesnis kaip 99 proc. viso paros laiko.

34. Perkant paslaugas, darbus ar įrangą, susijusius su TAR priežiūra, modernizavimu, modifikavimu ir (ar) kibernetinio saugumo užtikrinimu, TAR tvarkytojas iš anksto pirkimo dokumentuose turi nustatyti, kad paslaugų teikėjas, darbų atlikėjas ar įrangos tiekėjas užtikrina atitiktį Techninių saugos reikalavimų apraše ir Kibernetinio saugumo reikalavimų apraše nustatytiems reikalavimams.

 

IV SKYRIUS

REIKALAVIMAI PERSONALUI

 

35. Saugos įgaliotinis privalo išmanyti elektroninės informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendrųjų saugos reikalavimų aprašu, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų elektroninės informacijos tvarkymą ir kibernetinį saugumą, privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje.

36. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ar privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

37. TAR administratorius privalo išmanyti pagrindinius elektroninės informacijos saugos ir saugaus darbo su duomenų perdavimo tinklais principus, atsižvelgiant į atliekamas funkcijas turėti sisteminių programinių priemonių administravimo ir priežiūros patirties, mokėti administruoti ir prižiūrėti duomenų bazes, gebėti užtikrinti techninės ir programinės įrangos nepertraukiamą funkcionavimą bei saugą, stebėti techninės ir programinės įrangos veikimą, atlikti jos profilaktinę priežiūrą, sutrikimų bei saugos incidentų diagnostiką ir šalinimą, turėti sisteminių programinių priemonių (Windows, Unix, Oracle) administravimo ir priežiūros patirties.

38. TAR naudotojai turi būti susipažinę su Saugos nuostatais, saugos politikos įgyvendinimo dokumentais, pagal kompetenciją – ir su kitais teisės aktais bei standartais, reglamentuojančiais elektroninės informacijos saugą.

39. TAR naudotojai, pastebėję saugos dokumentuose nustatytų reikalavimų pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti TAR administratoriui ir (ar) TAR saugos įgaliotiniui.

40. TAR naudotojai privalo:

40.1. turėti pagrindinių darbo kompiuteriu, taikomosiomis programomis įgūdžių, mokėti saugiai tvarkyti elektroninę informaciją;

40.2. nuolat kelti kvalifikaciją saugaus elektroninės informacijos tvarkymo kursuose, mokymuose, seminaruose;

40.3. praradę arba kitaip netekę savo prisijungimo prie TAR vardo ar slaptažodžio, nedelsdami elektroniniu paštu arba telefonu apie tai informuoti TAR administratorių.

41. TAR naudotojams draudžiama:

41.1. atskleisti kitiems asmenims prisijungimo prie TAR vardą, slaptažodį ar kitaip sudaryti sąlygas jais pasinaudoti;

41.2. naudoti TAR duomenis kitokiais negu šios sistemos nuostatuose nurodytais ir savo pareigybės aprašyme nustatytų funkcijų atlikimo tikslais;

41.3. sudaryti sąlygas pasinaudoti dirbti su TAR naudojama technine ir programine įranga teisės neturintiems asmenims (paliekant darbo vietą būtina užrakinti darbalaukį arba išjungti darbo stotį);

41.4. atlikti veiksmus, dėl kurių gali būti neteisėtai pakeisti, sunaikinti ar atskleisti TAR duomenys, taip pat neatlikti būtinų veiksmų, kurie apsaugo informacinės sistemos duomenis;

41.5. atlikti bet kokius kitus neteisėtus TAR duomenų tvarkymo veiksmus.

42. TAR naudotojams ne rečiau kaip kartą per kalendorinius metus TAR saugos įgaliotinis turi surengti mokymus elektroninės informacijos saugos ir kibernetinio saugumo klausimais, įvairiais būdais priminti apie saugos problemas (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.).

43. Mokymai TAR naudotojams turi būti organizuojami periodiškai, ne rečiau kaip kartą per dvejus metus. Mokymai informacinių sistemų administratoriams turi būti organizuojami pagal poreikį. Už mokymų organizavimą atsakingas saugos įgaliotinis.

 

V SKYRIUS

TAR NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

 

44. Tvarkyti TAR elektroninę informaciją gali tik su Saugos nuostatais, saugos politiką įgyvendinančiais dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant TAR elektroninę informaciją bei užtikrinant jos saugą, susipažinę ir saugos dokumentuose nustatytų reikalavimų sutikę laikytis TAR naudotojai.

45. TAR naudotojų ir administratorių supažindinimą su Saugos nuostatais ir TAR saugos politikos įgyvendinimo dokumentais bei su atsakomybe už šių dokumentų reikalavimų nesilaikymą pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodomumą, atlieka TAR saugos įgaliotinis.

46. TAR naudotojai ir administratoriai pakartotinai su saugos dokumentais supažindinami iš esmės pasikeitus saugos dokumentams ir (arba) padažnėjus elektroninės informacijos saugos incidentų.

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

47. TAR saugos dokumentai turi būti persvarstomi (peržiūrimi) atlikus rizikos veiksnių analizę ar TAR saugos atitikties vertinimą, įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams, ne rečiau kaip kartą per kalendorinius metus.

48. TAR naudotojai, TAR administratorius ir TAR saugos įgaliotinis atsako už TAR tvarkomos elektroninės informacijos saugą ir kibernetinį saugumą pagal savo kompetenciją. TAR naudotojai, TAR administratorius ir TAR saugos įgaliotinis, pažeidę saugos dokumentų ir kitų saugų elektroninės informacijos tvarkymą reglamentuojančių teisės aktų nuostatas, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

______________