|
TELŠIŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOS DIREKTORIUS
|
| ĮSAKYMAS |
| DĖL TINKLŲ IR INFORMACINIŲ SISTEMŲ ĮSIGIJIMO, PLĖTOJIMO IR PRIEŽIŪROS SAUGUMO, ĮSKAITANT SPRAGŲ VALDYMĄ IR ATSKLEIDIMĄ, TVARKOS APRAŠO PATVIRTINIMO |
|
|
| 2026 m. liepos 2 d. Nr. A1-976 |
| Telšiai |
Vadovaudamasi Lietuvos Respublikos vietos savivaldos įstatymo 34 straipsnio 6 dalies 2 punktu, bei Nacionalinio kibernetinių incidentų valdymo plano, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 1 punktu:
1. T v i r t i n u Tinklų ir informacinių sistemų įsigijimo, plėtojimo ir priežiūros saugumo, įskaitant spragų valdymą ir atskleidimą, tvarkos aprašą (pridedama).
Administracijos direktorė Lina Leinartienė
Parengė
Genovaitė Latakienė
2026-06-10
PATVIRTINTA
Telšių rajono savivaldybės administracijos direktoriaus
2026 m. liepos 2 d. įsakymu Nr. A1-976
Tinklų ir informacinių sistemų įsigijimo, plėtojimo ir priežiūros SAUGUMO, įskaitant spragų valdymą Ir atsklEIdimą,
tvarkOS APRAŠAS
I SKYRIUS
Bendrosios nuostatos
1. Tinklų ir informacinių sistemų įsigijimo, plėtojimo ir priežiūros saugumo, įskaitant spragų valdymą ir atskleidimą, tvarkos aprašas (toliau – Aprašas) reglamentuoja Telšių rajono savivaldybės administracijos (toliau – Administracija) tinklų ir informacinių sistemų (toliau – TIS) įsigijimo, plėtojimo ir priežiūros viso TIS gyvavimo ciklo metu, TIS pokyčių ir pataisų valdymo, TIS saugumo spragų valdymo ir atskleidimo, taip pat Administracijoje taikomų techninių reikalavimų, numatytų šio Aprašo 1 priede, užtikrinimo planavimo, organizavimo, vykdymo ir įgyvendinimo kontrolės proceso eigą, atsakingų padalinių ir darbuotojų funkcijas ir atsakomybes, siekiant, kad Administracija tinkamai valdytų TIS įsigijimą, plėtojimą ir priežiūrą bei TIS pokyčius ir pataisas, atskleistų ir šalintų TIS esamas ir (ar) žinomas saugumo spragas, taip pat tinkamai įgyvendintų joms keliamus techninius reikalavimus.
2. Šiame Apraše vartojamos sąvokos:
2.1. Darbuotojas - pareigas einantis valstybės tarnautojas arba pagal darbo sutartį dirbantis asmuo;
2.2. Kibernetinio saugumo vadovas – Administracijos darbuotojas atsakingas už kibernetinio saugumo subjekto atitikties Kibernetinio saugumo įstatymo 14 ir 18 straipsniuose nustatytiems reikalavimams įgyvendinimą ir atliekantis kitas kibernetinį saugumą reglamentuojančiuose teisės aktuose nustatytas funkcijas arba iš trečiųjų šalių įsigytos paslaugos, kurių teikimo metu vykdomos kibernetinio saugumo vadovo funkcijos;
2.3. Pokyčio iniciatorius – Administracijos darbuotojas, inicijavęs tinklų ir informacinių sistemų pokytį;
2.4. Pokyčio vykdytojas – Administracijos darbuotojas ar paslaugų teikėjo įgaliotas asmuo, įgyvendinantis tinklų ir informacinių sistemų pokytį;
2.5. Tinklų ir informacinė sistema (toliau – TIS) – elektroninių ryšių tinklas, bet koks prietaisas arba tarpusavyje sujungtų arba susijusių prietaisų, iš kurių vienas ar daugiau pagal programą automatiškai apdoroja skaitmeninius duomenis, grupė arba skaitmeniniai duomenys, saugomi, tvarkomi, atkuriami arba perduodami nurodytomis priemonėmis jų valdymo, naudojimo, apsaugos ir priežiūros tikslais;
2.6. Tinklų ir informacinių sistemų programinės įrangos atnaujinimas (angl. release) – TIS programinės įrangos gamintojo paskelbta informacija apie tinklų ir informacinių sistemų programinės įrangos atnaujinimą ar atnaujinimų rinkinį;
2.7. Tinklų ir informacinių sistemų programinės įrangos pataisa ( toliau – Pataisa) (angl. patch) – TIS programinės įrangos atnaujinimas ar atnaujinimų rinkinys, skirtas patobulinti tinklų ir informacinių sistemų programinę įrangą, ištaisyti jos veikimo sutrikimus ir (ar) programiniame kode esančias klaidas ir (ar) saugumo spragas;
2.8. Tinklų ir informacinių sistemų kūrimas – TIS diegimo, konfigūravimo, programavimo darbų ir licencijų (jei taikoma) įsigijimas;
2.9. Tinklų ir informacinių sistemų likvidavimas – procesas, kuris inicijuojamas panaikinus veiklos funkciją (funkcijas), kuriai vykdyti buvo sukurta TIS;
2.10. Tinklų ir informacinių sistemų pokytis – TIS techninės ar programinės įrangos ar programinio kodo pakeitimas, siekiant patobulinti tinklų ir informacinių sistemų funkcionalumą ar pašalinti saugumo spragą;
2.11. Tinklų ir informacinių sistemų priežiūra – pokyčiai TIS, nereikalaujantys arba reikalaujantis minimalių programavimo/konfigūravimo darbų;
2.12. Tinklų ir informacinių sistemų saugumas – TIS pajėgumas tam tikru patikimumo lygiu išlikti atspariems bet kokiam įvykiui, galinčiam sukelti pavojų saugomų, perduodamų ar tvarkomų duomenų arba per tas tinklų ir informacines sistemas teikiamų arba gaunamų paslaugų prieinamumui, autentiškumui, vientisumui ar konfidencialumui;
2.13. Tinklų ir informacinių sistemų saugumo vertinimas (toliau – Saugumo vertinimas) – Administracijos padalinio ar jos darbuotojo arba trečiosios šalies atliekamas tinklų ir informacinių sistemų saugumo vertinimas ar automatizuotas skenavimas, naudojant automatizuotus skenavimo įrankius (toliau – VMS įrankis) (angl. Vulnerability management scanner) ar programinio kodo saugumo vertinimas (angl. a Code security review) ar kitų saugumo spragų nustatymo būdų (pvz. įsilaužimų testavimą) įgyvendinimą, kurio tikslas įvertinti, ar TIS neturi esamų ar žinomų saugumo spragų;
2.14. Tinklų ir informacinių sistemų skenavimas – tai TIS saugumo spragų nustatymo ir vertinimo būdas, kuomet Administracijos darbuotojai ir (ar) trečiosios šalys, naudodamos VMS ir kitus įrankius atlieka TIS, įskaitant, tačiau neapsiribojant valdomų ir tvarkomų TIS programinės įrangos, programinio kodo, kompiuterizuotų darbo ir gamybos vietų ir kitos įrangos, skenavimais, siekiant nustatyti, ar nėra esamų ar žinomų saugumo spragų;
2.15. Tinklų ir informacinės sistemos spraga – TIS trūkumas, įskaitant informacinių ir ryšių technologijų produktų arba informacinių ir ryšių technologijų paslaugų trūkumus, dėl kurio gali įvykti kibernetinis incidentas ar kuriuo gali būti pasinaudota kibernetinei grėsmei kelti;
2.16. Tinklų ir informacinės sistemos spragų atskleidimas (toliau – Spragų atskleidimas) – Administracijos darbuotojų ir (ar) trečiųjų šalių atliekami veiksmai (pvz. TIS skenavimai, informacijos surinkimas ar gavimas iš įvairų šaltinių ir pan.), norint surasti ir nustatyti esamas ar žinomas TIS saugumo spragas;
2.17. Tinklų ir informacinės sistemos spragų šalinimas (toliau – Spragų šalinimas) Administracijos darbuotojų ir (ar) trečiųjų šalių atliekami veiksmai TIS (pvz., programinės įrangos atnaujinimai, konfigūracijų keitimai, pasiekiamumo ribojamai, atitinkamų techninių priemonių įsigijimas ir diegimas bei kiti veiksmai), siekiant tinkamai pašalinti TIS nustatytas ir įvertintas esamas ar žinomas spragas (angl. exploiting of known vulnerabilities);
2.18. Tinklų ir informacinės sistemos spragų valdymas (toliau – Spragų valdymas) – spragų atskleidimas, jų vertinimas ir šalinimas;
2.19. Tinklų ir informacinės sistemos spragų vertinimas (toliau – Spragų vertinimas) – Administracijos darbuotojų ir (ar) trečiųjų šalių atliekami veiksmai, siekiant įvertinti nustatytas esamas ar žinomas spragas, t. y. įvertinti jų keliamą riziką esamoje aplinkoje, pašalinti netikras ar neteisingai identifikuotas spragas (angl. false positive) ir pagal TIS spragų vertinimo klasifikatorių priskirti juos prie atitinkamų rizikos lygių;
2.20. Tinklų ir informacinių sistemų spragų vertinimo klasifikatorius (angl. the Common Vulnerability Scoring System Base Score) (toliau – CVSS) – organizacijos FIRST (angl. Forum of Incident Response and Security Teams) parengtas ir tarptautiniu mastu pripažintas techninis standartas, skirtas tinklų ir informacinių sistemų saugumo spragoms įvertinti (aktuali versija https://www.first.org/cvss/v4-0/).
3. Kitos šiame Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžiamos Lietuvos Respublikos kibernetinio saugumo įstatyme bei tarptautinių standartų ISO 27000 ir ISO 20000 grupėse.
II SKYRIUS
ATSAKINGŲ PADALINIŲ IR DARBUOTOJŲ FUNKCIJOS IR ATSAKOMYBĖS
5. Kibernetinio saugumo vadovas atsako už:
5.2. kibernetinio saugumo reikalavimų nustatymo ir įgyvendinimo kontrolę TIS kūrimo, įsigijimo, priežiūros ir plėtros metu;
5.3. kibernetinio saugumo reikalavimų įgyvendinimo užtikrinimo kontrolę TIS pokyčių ir pataisų valdymo procesuose;
5.6. TIS kritinės ir aukštos rizikos lygio saugumo spragos šalinimo koordinavimą ir įgyvendinimo kontrolę;
6. Saugos įgaliotinis atsako už:
6.1. kibernetinio saugumo reikalavimų nustatymą TIS kūrimo, įsigijimo, priežiūros ir plėtros metu bei šių reikalavimų įgyvendinimo organizavimą;
6.2. kibernetinio saugumo reikalavimų įgyvendinimo TIS pokyčių ir pataisų valdymo procesuose užtikrinimą;
6.5. saugumo vertinimų pagal Spragų nustatymo planą organizavimą bei Kibernetinio saugumo įstatyme ir jo įgyvendinimą reglamentuojančiuose teisės aktuose nustatyta tvarka ir periodiškumu (ne rečiau kaip kas 6 mėnesius) visų TIS saugumo spragų skenavimų organizavimą;
6.8. spragų, apie kurias informacija gauta pagal Kibernetinio saugumo įstatymo 25 straipsnį, tyrimo organizavimą ir informacijos teikimą;
6.9. atskleistų saugumo spragų įvertinimą pagal CVSS klasifikatorių, esant poreikiui informacijos saugumo rizikos vertinimo atlikimą;
6.10. TIS saugumo spragų registravimą šiame Apraše numatytomis priemonėmis ir šios informacijos atnaujinimą;
6.12. TIS vidutinės ir žemos rizikos lygio saugumo spragų šalinimo plano parengimą, pavedimą Administracijos atsakingiems padaliniams ir darbuotojams pašalinti jas šiame Apraše nustatyta tvarka ir terminais bei jų šalinimo koordinavimą ir įgyvendinimo kontrolę;
6.13. TIS saugumo spragų šalinimo eigos įgyvendinimo kontrolę šiame Apraše nustatyta tvarka ir dažnumu;
7. TIS administratorius atsako už:
7.1. TIS kūrimo, priežiūros ir plėtros organizavimą ir įgyvendinimą bei tokių paslaugų įsigijimo iš tiekėjų inicijavimą;
7.5. saugumo spragų šalinimo organizavimą ir įgyvendinimą šiame Apraše nustatyta tvarka ir terminais, nebent saugos įgaliotinis savo pavedimu saugumo spragų šalinimo veiksmus paveda atlikti kitam darbuotojui ar paslaugų tiekėjui;
7.6. TIS programinės įrangos (toliau – PĮ) atnaujinimo organizavimą ir įgyvendinimą šiame Apraše nustatyta tvarka ir terminais;
7.7. savalaikį saugos įgaliotinio bei TIS savininko informavimą apie pašalintą saugumo spragą šiame Apraše nustatyta tvarka ir terminais;
7.9. kitos informacijos, susijusios su TIS, kurio atžvilgiu turi būti atliktas saugumo vertinimas, pateikimą saugos įgaliotiniui, TIS savininkui, kitiems Administracijos darbuotojams ir paslaugų tiekėjams;
8. TIS savininkas atsako už:
9. Pokyčio iniciatorius atsako už:
9.1. reikiamų duomenų, susijusių su inicijuojamu pokyčiu, teikimą pokyčių valdymo proceso dalyviams, vertina pokyčio rezultatų atitiktį planuotiems rezultatams;
10. Pokyčio vykdytojas atsako už:
10.1. pokyčio įgyvendinimą ir įgyvendinimo eigos kontrolę šiame Apraše nustatyta tvarka ir terminais;
10.2. TIS naudotojų ir kitų suinteresuotų asmenų informavimą apie pokyčius, kurių įgyvendinimo metu galimi TIS darbo sutrikimai, šiame Apraše nustatyta tvarka ir terminais;
10.3. pokyčio iniciatoriaus, TIS savininko saugos įgaliotinio informavimą apie pokyčių eigą ir rezultatus šiame Apraše nustatyta tvarka ir terminais;
10.4. TIS funkcinių, greitaveikos, apkrovos, skenavimo ir kitų testavimų įgyvendinimą arba inicijavimą ir įgyvendinimo kontrolę;
10.6. pokyčio ištestavimo testinėje aplinkoje įgyvendinimą arba inicijavimą ir įgyvendinimo kontrolę;
11. Administracijos padalinių vadovai ir darbuotojai yra atsakingi už kibernetinio saugumo vadovo ir (ar) saugos įgaliotinio pavedimų, susijusių su šiame Apraše numatytų techninių reikalavimų, taikomų Administracijoje, vykdymu, saugumo spragų valdymu ir atskleidimu, įgyvendinimą, taip pat kitų Administracijos padalinių ar darbuotojų pavedimus, susijusius su TIS pokyčių ir pataisų valdymu.
III SKYRIUS
TINKLŲ IR INFORMACINIŲ SISTEMŲ ĮSIGIJIMAS, PLĖTOJIMAS IR PRIEŽIŪRA
12. Šio Aprašo nuostatos yra taikomos visų Administracijos valdomų TIS įsigijimui, plėtojimui ir priežiūrai bei likvidavimui viso TIS gyvavimo ciklo metu. Jei Administracija valdo valstybės informacinę sistemą, jai papildomai taikomi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo ir jo įgyvendinimą reglamentuojančių teisės aktų reikalavimai.
14. TIS gyvavimo ciklo stadijos:
15. Prieš atliekant TIS įsigijimą, Administracijos atsakingi darbuotojai turi įvertinti veiklos poreikius, teisės aktų reikalavimus, kibernetinio saugumo reikalavimus. Pasirengimo įsigyti TIS metu turi būti parengti TIS techniniai reikalavimai, kibernetinio saugumo reikalavimai ir įsigijimo sąlygos.
16. Administracijos atsakingi darbuotojai turi pareikšti lėšų poreikį TIS įsigijimui, eksploatavimui ar plėtojimui iki Savivaldybės mero nustatyto kitų metų Savivaldybės biudžeto projekto rengimo darbų atlikimo terminų vadovaujantis Telšių rajono savivaldybės biudžeto sudarymo ir vykdymo taisyklėmis.
17. Rengiant įsigyjamos TIS techninius reikalavimus, jie specifikuojami techninėje specifikacijoje ar užduotyje (toliau – Specifikacija). Specifikacijoje turi būti numatyti atliktų reikalavimų analizės rezultatai, numatyti TIS funkcionalumai, duomenų srautai ir integracijų poreikiai, nustatyti funkciniai ir nefunkciniai reikalavimai, įskaitant kibernetinio saugumo reikalavimai. Specifikacijoje turi būti įtraukti privalomi apsaugos nuo kenkimo programinės įrangos (virusų, šnipinėjimo programų), filtravimo, pašto apsaugos, tinklo saugumo ir kiti kibernetinio saugumo reikalavimai.
18. Rengiant Specifikaciją joje turi būti numatyti kibernetinio saugumo reikalavimai (pateikiamas pavyzdinis sąrašas):
18.2. saugumo sistemoms, skirtoms TIS apsaugoti nuo kenkimo PĮ (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.);
18.3. kompiuterių tinklo filtravimo įrangai (saugasienių, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita);
19. Perkant TIS ar jos kūrimo paslaugas, tiekėjams turi būti keliami kvalifikaciniai reikalavimai, numatyti Tiekimo grandinės saugumo valdymo tvarkos apraše.
20. TIS įsigijimo metu:
20.1. įsigyjamos TIS kūrimo paslaugos, kurios pilnai turi pilnai tenkinti Specifikacijoje numatytus reikalavimus saugiam programavimui;
20.2. įsigyjama TIS programinė ar techninė įranga, kuri turi pilnai tenkinti tokiai įrangai Specifikacijoje numatytus kibernetinio saugumo reikalavimus;
20.3. atliekami TIS programinės ar techninės įrangos diegimo ir konfigūravimo darbai, kuri turi pilnai tenkinti tokioms paslaugoms Specifikacijoje numatytus kibernetinio saugumo reikalavimus;
20.4. atliekami TIS programinės ar techninės įrangos testavimo testinėje aplinkoje veiklos. Testavimo metu turi būti atliktas TIS programinės ar techninės įrangos, bei programinio kodo saugumo vertinimas, kurio tikslas nustatyti esamas ir žinomas saugumo spragas. Testavimo rezultatai fiksuojami, neatitikimai šalinami prieš pradedant bandomąją eksploatavimą;
20.5. atliekami TIS programinės ar techninės įrangos diegimo į gamybinę aplinką veiklos. PĮ į gamybinę aplinką gali diegti tik Administracijos įgalioti darbuotojai ir (ar) trečiosios šalys;
20.6. atliekamas TIS programinės ar techninės įrangos bandomoji eksploatacija, kurios metu yra vertinamas TIS programinės ar techninės įrangos funkcionalumas;
21. TIS įsigijimas laikomas baigtu, kai Administracijos veiklos padaliniai ir atsakingi darbuotojai patvirtina, kad TIS įsigijimas ir diegimas sėkmingai baigtas ir TIS yra saugi (pilnai atitinka Specifikacijoje numatytus kibernetinio saugumo reikalavimus) ir tinkama naudoti gamybinėje aplinkoje.
22. TIS eksploatavimo metu gamybinėje aplinkoje atliekama nuolatinė TIS veikimo stebėsena, reguliariai atnaujinami filtrai, atliekami saugumo vertinimai ir rizikų analizė. Vykdomas TIS pokyčių valdymas pagal šio Aprašo nuostatas. Administracijoje leidžiama naudoti tik administracijos direktoriaus patvirtintą PĮ, jos sąrašas peržiūrimas ne rečiau kaip kartą per metus.
23. TIS eksploatavimo metu Administracijos atsakingi padaliniai, darbuotojai ir (ar) trečiosios šalys, teikiančios TIS priežiūros paslaugas, turi užtikrinti nuolatinę TIS priežiūrą, savalaikį reagavimą į TIS sutrikimus ar neveikimą bei savalaikį TIS sutrikimų ar neveikimo bei PĮ klaidų šalinimą.
26. Likvidavimas inicijuojamas panaikinus veiklos funkciją (-as) ar atsiradus kitoms priežastims, dėl ko TIS tampa nebereikalinga. TIS likvidavimo metu turi būti užtikrintas saugus juose esančių duomenų perkėlimas ar naikinimas.
27. TIS likvidavimo etapo metu:
27.2. Administracijos interneto svetainėje paskelbiama informacija, kuri toliau nebus apdorojama, atnaujinama, teikiama ar skelbiama;
28. Jeigu Administracija pati atlieka visas ar dalį TIS programavimo veiklų, atliekant šiame Apraše nurodytus TIS programinio kodo kūrimo, konfigūravimo ar plėtojimo darbus, turi būti taikomi saugaus programavimo principai, siekiant užtikrinti, kad PĮ būtų parašyta saugiai, taip sumažinant galimų PĮ saugumo spragų skaičių. Saugaus programavimo principai taip pat turi būti taikomi ir trečiųjų šalių programinės įrangos komponentams ir atvirojo kodo programinei įrangai.
29. Atliekant TIS programinio kodo kūrimo, konfigūravimo ar plėtojimo darbus turi būti atsižvelgiama į:
29.2. programinio kodo dokumentavimą ir programavimo defektų, kurie gali leisti pasinaudoti saugumo spragoms, pašalinimą;
29.3. draudimą naudoti nesaugius projektavimo metodus (pavyzdžiui, naudoti įkoduotus slaptažodžius);
30. Patvirtinus TIS programinio kodo parengimą naudoti turi būti užtikrinta nuolatinė TIS programinio kodo peržiūra ir priežiūra:
30.3. programinio kodo klaidos turi būti registruojamos, o registracijos žurnalai turi būti reguliariai peržiūrimi, kad prireikus būtų galima pakoreguoti programinį kodą;
31. TIS gyvavimo ciklo metu užtikrinant TIS įsigijimą, kūrimą, priežiūrą, plėtrą ir likvidavimą turi būti vadovaujamasi Lietuvos Respublikos teisės aktų reikalavimais, tarptautiniais standartais (pvz., standartų ISO/IEC 27001, ISO/IEC 20000 grupėmis) bei gerosiomis pasaulinėmis praktikomis. Už visų etapų įgyvendinimą turi būti paskirti Administracijos atsakingi darbuotojai, į atitinkamus etapus įtrauktas kibernetinio saugumo vadovas ar saugos įgaliotinis.
IV SKYRIUS
TINKLŲ IR INFORMACINIŲ SISTEMŲ POKYČIŲ VALDYMAS
33. TIS pokyčių (toliau – pokytis) gyvavimo ciklo etapai:
33.1. Pokyčio planavimas, kuris apima pokyčio identifikavimą, jo inicijavimą, įvertinimą ir patvirtinimą;
34. Pokyčio planavimas ir įgyvendinimas organizuojamas atsižvelgiant į pokyčių kategorijas:
34.1. Standartinis pokytis (angl. Standard change) – pokytis, kuriam galima taikyti standartines procedūras, nes jam atlikti būtini veiksmai yra žinomi, jie nekelia rizikos kokybiškam TIS paslaugų teikimui arba TIS infrastruktūros veikimui ir nereikalauja papildomų lėšų.
34.2. Skubus pokytis (angl. Emergency change) – pokytis, skirtas aukščiausio prioriteto TIS sutrikimams arba problemoms šalinti ir reikalauja ypatingos įvertinimo, patvirtinimo ir atlikimo skubos, taip pat TIS avariniai pokyčiai (pvz., veiklos atkūrimas likviduojant kibernetinio saugumo incidento ar kitų ekstremaliųjų situacijų padarinius).
35. Pokyčiai pagal pokyčio rizikos, skubumo, poveikio ir reikiamų išteklių kriterijus klasifikuojami į aukšto sudėtingumo, vidutinio sudėtingumo ir žemo sudėtingumo.
36. Žemo sudėtingumo pokyčių valdymas nereikalauja tvirtinimo, jie gali būti registruojami ir įgyvendinami.
37. Aukšto ir vidutinio sudėtingumo pokyčiai turi būti planuojami ir įgyvendinami žemiau šiame Apraše nustatyta tvarka.
38. Pokyčiai identifikuojami analizuojant TIS veiklos poreikius, kuriuos formuoja socialiniai, teisiniai, ekonominiai, technologiniai aspektai ir tendencijos, esama TIS būklė (pvz. netinkama konfigūracija, esamos ar žinomos spragos, neatitiktis teisės aktų ir standartų reikalavimams, pasikartojančios TIS veikimo klaidos ir pan.), taip pat TIS naudotojų ir administratorių poreikiai.
39. Pokyčius inicijuoja pokyčio iniciatorius. TIS naudotojai gali TIS savininkui ar saugos įgaliotiniui teikti pasiūlymus dėl reikalingų pokyčių.
40. Pokyčių inicijavimo pagrindai:
40.6. atitikties Kibernetinio saugumo įstatymo ir jo įgyvendinimą reglamentuojančių teisės aktų ir Tinklų ir informacinių sistemų kibernetinio saugumo politikos ir jos įgyvendinimą reglamentuojančių vidaus teisės aktų reikalavimams vertinimo metu nustatytos neatitiktys;
41. Pokyčio iniciatorius standartinius pokyčius ir plėtros pokyčius turi suderinti su TIS savininkais ir kibernetinio saugumo vadovu ar saugos įgaliotiniu, bei su jais suderinti pokyčio įgyvendinimo grafiką. Pokyčio iniciatorius skubius pokyčius su Administracijos TIS savininkais turi suderinti tik esant tokiai galimybei. Pokyčio iniciatorius skubius pokyčius visais atvejais turi suderinti su kibernetinio saugumo vadovu.
42. Pokyčiai, galintys sutrikdyti ar sustabdyti Administracijos veiklą, papildomai turi būti suderinti su administracijos direktoriumi ar jo įgaliotu asmeniu.
43. Pokyčio iniciatoriui pokyčius aukščiau nustatyta tvarka suderinus su Administracijos atsakingais darbuotojais, juos perduoda pokyčių vykdytojui.
44. Pokyčio vykdytojas, prieš pradedamas įgyvendinti pokytį, turi informuoti TIS naudotojus ir kitus suinteresuotus asmenis apie pokyčius, kurių įgyvendinimo metu galimi TIS darbo sutrikimai. Apie pokyčius turi būti informuojama pokyčius įgyvendinančio subjekto interneto svetainėje, TIS taikomosiose programose ar kitomis priemonėmis (pvz., raštu, elektroniniu paštu ir pan.) ne vėliau kaip prieš 3 (tris) darbo dienas iki planuojamo pokyčio įgyvendinimo pradžios. Šio punkto nuostatų gali būti nesilaikoma, jeigu įgyvendinami skubūs pokyčiai.
45. Pokyčio vykdytojas pokytį įgyvendina pagal su TIS savininkais ir kibernetinio saugumo vadovu ar saugos įgaliotiniu suderintą pokyčio įgyvendinimo grafiką, juos nuolat informuodamas apie pokyčio eigą ir tarpinius bei galutinius rezultatus. Pokyčio vykdytojas pokyčio metu kontroliuoja pokyčio įgyvendinimo eigą: svarsto pokyčių valdymo proceso dalyvių pasiūlymus, koordinuoja pokytyje dalyvaujančių dalyvių veiksmus, teikia pasiūlymus TIS savininkams, kibernetinio saugumo vadovui ar saugos įgaliotiniui, pagal poreikį – administracijos direktoriui.
46. Įgyvendinto pokyčio peržiūros metu gali būti atliekami TIS funkciniai, greitaveikos, apkrovos, skenavimo ir kiti testavimai.
47. Pokyčiai, galintys sutrikdyti ar sustabdyti TIS darbą, daryti neigiamą įtaką informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti testavimui skirtoje aplinkoje, atliekant TIS saugumo vertinimus. Pokyčiai darbinėje aplinkoje gali būti vykdomi šiame Apraše numatytu būdu tik išimtiniais atvejais, kai dėl techninių, programinių ar kitų priežasčių (pvz., veiklos atkūrimas ir kitos ekstremalios situacijos ir pan.) pokyčių nėra galimybės patikrinti testavimui skirtoje TIS aplinkoje ir tik gavus kibernetinio saugumo vadovo leidimą.
48. TIS testavimo aplinkoje neturi būti konfidencialių ir asmens duomenų. TIS testavimo aplinka turi būti atskirta nuo TIS darbinės aplinkos.
49. TIS savininkui nustačius, kad pokyčių testavimo testavimui skirtoje aplinkoje rezultatas atitinka laukiamus rezultatus, pokyčiai gali būti atliekami darbinėje TIS aplinkoje.
50. Įgyvendinus pokytį, pokyčio vykdytojas turi parengti ir (ar) atnaujinti TIS dokumentaciją (pvz. tinklo schemas, TIS struktūrą, duomenų mainų schemas ir pan.).
51. Įgyvendinus pokytį, pokyčio uždarymo metu, pokyčio iniciatorius ir pokyčio vykdytojas turi patikrinti (peržiūrėti) TIS konfigūraciją ir TIS būsenos rodiklius, palyginti ir pagal kompetenciją įvertinti, ar pokytis atitinka planuojamus rezultatus. Sudėtingiems ir specifinių pokyčių rezultatams įvertinti gali būti pasitelkti ir kiti Administracijos ar trečiosios šalies (paslaugų teikėjo) kompetentingi specialistai.
52. Pokyčių valdymo proceso dalyviai pokyčių planavimo ir įgyvendinimo eigą fiksuoja šio Aprašo 3 priede numatytoje pokyčių registro formoje (žr. šio Aprašo 3 priedą).
V SKYRIUS
TINKLŲ IR INFORMACINIŲ SISTEMŲ SAUGUMO SPRAGŲ VALDYMAS IR ATSKLEIDIMAS
54. Spragų valdymo objektai yra Turto valdymo tvarkos apraše nurodytų TIS elementai, esantys:
54.1. fiziniuose (įskaitant telkinius, angl. cluster) ir virtualiuose serveriuose (toliau – Serveriai), esančiuose Administracijos patalpose arba trečiųjų šalių (toliau – paslaugų teikėjas) duomenų centre;
54.2. trečiųjų šalių debesijos infrastruktūroje (angl. Infrastructure as a Service – IaaS), kai tokias paslaugas užsako Administracija;
55. Administracija, atlikusi esminius valdomų ir tvarkomų TIS techninės ar programinės įrangos, programinio kodo, KDV ir gamybos vietų ir kitos įrangos pakeitimus (pvz. TIS architektūros ar infrastruktūros keitimus, naujų TIS modulių diegimą ar ženklų TIS esamų modulių funkcionalumo keitimą, visų kompiuterizuotų darbo ar gamybos vietų operacinės įrangos diegimą ir pan.), perkeliant juos į gamybinę aplinką, savarankiškai ar su trečiųjų šalių pagalba, turi nustatyti, įvertinti ir pašalinti TIS esamas ar žinomas saugumo spragas, t. y. atlikti TIS saugumo vertinimą ir, esant poreikiui, atlikti kibernetinio saugumo rizikos vertinimą vadovaujantis Tinklų ir informacinių sistemų rizikos vertinimo tvarkos aprašu.
56. Administracijos TIS saugumo vertinimai turi būti atlikti kartu su TIS funkcionalumų, apkrovos ir (ar) kitais vertinimais ar atlikti iš karto po jų.
57. Draudžiama Administracijoje atlikus TIS esminius pakeitimus, valdomas TIS ir jų dalis (pvz., valdomą ir tvarkomą TIS techninę ir programinę įrangą, programinį kodą, kompiuterizuotas darbo ir gamybos vietas ir kitą įrangą) diegti į gamybinę aplinką, prieš tai neatlikus jų saugumo vertinimo ar kibernetinio saugumo rizikos vertinimo.
58. Draudžiama Administracijos valdomas TIS (pvz., valdomų ir tvarkomų TIS techninę ir programinę įrangą, programinį kodą, tinklo įrangą, kompiuterizuotas darbo ir gamybos vietas ir kitą įrangą) diegti į gamybinę aplinką, jei yra nustatytos ar žinomos kritinio ir didelės rizikos lygio saugumo spragos.
59. TIS, KDV ir gamybos vietų skenavimai ar kitų saugumo spragų nustatymo būdų (pvz. įsilaužimų testavimų) įgyvendinimas turi būti periodinis, o visų TIS spragų skenavimas, vadovaujantis Kibernetinio saugumo įstatymo ir jį įgyvendinančių teisės aktų reikalavimais, atlikti ne rečiau kaip kas 6 mėnesius. Kartu su TIS saugumo vertinimu, tai pat turi būti atliktas ir elektroninio pašto saugumo vertinimas.
60. Saugos įgaliotinis turi parengti ir su kibernetinio saugumo vadovu suderinti Spragų nustatymo planą. Spragų nustatymo plano pagrindu saugos įgaliotinis turi organizuoti saugumo vertinimus, esant poreikiui, tam pasitelkti paslaugų tiekėjus, organizuojant tokių paslaugų įsigijimus.
61. Už saugumo vertinimo įgyvendinimą yra atsakingas Administracijos darbuotojas, kuriam kibernetinio saugumo vadovas ir (ar) saugos įgaliotinis paveda atlikti saugumo vertinimą arba trečioji šalis, su kuria Administracija yra sudariusi paslaugų teikimo sutartį ir kibernetinio saugumo vadovas ir (ar) saugos įgaliotinis paveda jai atlikti saugumo vertinimą.
62. Administracijos valdomose TIS esamos ir žinomos saugumo spragos gali būti nustatomos iš Administracijos valdomų TIS techninės ar programinės įrangos gamintojų, informacijos ir kibernetinio saugumo forumų ar kitų šaltinių (pvz., Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos paviešinus atitinkamą informaciją) gaunant (surenkant) informaciją apie žinomas tokios TIS techninės ar programinės įrangos saugumo spragas.
63. TIS saugumo vertinimai gali būti atliekami naudojant VMS įrankius bei atitinkamus juodosios dėžės (angl. blackbox), pilkosios dėžės (angl. graybox) ar baltosios dėžės (angl. whitebox) metodus, taip pat naudojant nekomercinės organizacijos Open Worldwide Application Security Project išleistą ir atnaujinamą saugumo spragų vertinimo (aktualios versijos) metodiką (toliau – OWASP metodika).
64. Draudžiama naudoti nepatikimus VMS įrankius (ir) nepatikimų gamintojų skurtus ir palaikomus VMS įrankius. TIS saugumo vertinimo metu naudojami VMS įrankiai turi būti suderinti su kibernetinio saugumo vadovu ar saugos įgaliotiniu.
65. TIS saugumo vertinimo metu, atliekant TIS skenavimą ar įsilaužimų testavimą, turi būti atliktas:
65.1. įsibrovimo iš interneto, išorės perimetro, žiniatinklio, interneto svetainių, mobiliųjų aplikacijų saugumo vertinimas (toliau – Išorinio tinklo saugumo vertinimas);
65.2. vidinio ir gamybinio (pvz., SCADA) tinklo bei vidiniame tinkle esančios techninės ir programinės įrangos ir IT paslaugų saugumo įvertinimas (toliau – Vidinio tinklo saugumo vertinimas);
66. Skenavimo metu, naudojant VMS įrankius, yra automatizuotai skanuojamos TIS, nustatomos saugumo esamos spragos, įvertinami, ar jos nėra netikros ir (ar) neteisingai identifikuotos (angl. false positive) ir pagal CVSS klasifikatorių spragos yra priskiriamos atitinkamam rizikos lygiui.
67. Įsilaužimų testavimas vykdomas papildomai su VMS įrankiais ir rankiniu būdu, tikrinant galimybes išnaudoti surastas saugumo spragas bei nustatant jų įtaką TIS.
68. Išorinio tinklo saugumo vertinimas turi apimti bent:
68.1. informacijos apie tikrinamą objektą surinkimą iš viešai prieinamų šaltinių. Informacija surenkama naudojantis įvairiomis paieškos sistemomis, programine įranga, interneto ištekliais, katalogais, viešomis duomenų bazėmis;
68.3. perimetro tinklo mazguose veikiančių operacinių sistemų nustatymą ir atitinkamų, šiai dienai žinomų saugumo spragų patikrinimą;
68.4. perimetro tinklo mazguose veikiančių tarnybų nustatymą ir atitinkamų, šiai dienai žinomų saugumo spragų patikrinimą bei konfigūracijos analizę (pavyzdžiui, papildomos informacijos apie audituojamas sistemas surinkimą per klaidų, sisteminius pranešimus, servisų programinę realizaciją);
68.6. jei aptinkama iš interneto pasiekiamų tarnybų, reikalaujančių vartotojo autentifikavimo, tuomet atliekamas išorinės paslaugos slaptažodžių auditas. Tikrinama, ar naudojami patikimi slaptažodžiai, ar įmanoma juos atspėti arba parinkti, taip pat ar įmanoma atspėti naudotojus;
69. Vidinio tinklo saugumo vertinimas turi apimti bent:
70. TIS programinės įrangos saugumo įvertinimas turi apimti ne mažiau kaip:
70.1. naudojamų technologijų identifikavimą (pavyzdžiui, platforma, programavimo įrankiai ir priemonės);
70.2. paslaugų konfigūracijos patikrinimą (pavyzdžiui, darbinės direktorijos pakeitimas, naudotojų teisių padidinimas, informacijos atskleidimas per klaidų pranešimus ir pan.);
70.3. saugumo spragų paiešką (pavyzdžiui, duomenų tikrinimas (angl. Input Validation), struktūruotos užklausų kalbos injekcijos (angl. SQL injection), buferio perpildymas (angl. Buffer overflow) ir pan.) manipuliuojant pateikiamais duomenimis ar duomenų paketais ir įvertinant kaip į iškraipytus duomenis reaguoja programinė įranga;
70.5. trūkumų ieškojimą tomis teisėmis ir sąlygomis, kuriomis dirba Administracijos darbuotojai ir/ar trečiųjų šalių atstovai;
70.6. tikrinant tinklapių prieigą ir tinklo paslaugas (angl. web service) rankiniu turi būti įvertinta bent:
70.6.1. įvairios injekcijos (struktūruotos užklausų kalbos SQL, kompiuterinės žymėjimo kalbos XML, protokolo LDAP, dinaminės interpretuojamos programavimo kalbos PHP, komandų ir t.t.);
71. Atliekant KDV saugumo vertinimą turi būti įvertinta ne mažiau kaip 5 (penkios) Administracijos TIS administratorių KDV ir ne mažiau kaip 5 (penkios) skirtingų tipų TIS naudotojų KDV.
72. Programinio kodo saugumo vertinimo metu turi būti automatizuotais VMS įrankiais ir rankiniu būdu įvertintas programinis kodas, norint nustatyti, ar jame nėra esamų ir (ar) žinomų saugumo spragų ar netinkamų konfigūracijų (pvz. angl. backdoor).
73. Informacija apie TIS spragą taip pat gali būti gauta iš išorės (pvz., pagal atsakingo atskleidimo principą) ir naudojama kaip tinkamas šaltinis, jei jos gavimo būdas pilnai atitinka Kibernetinio saugumo įstatymo 25 straipsnyje nustatytus reikalavimus.
75. Administracijoje atsakingas darbuotojas ar paslaugų teikėjas, atlikęs Administracijos TIS saugumo vertinimą turi parengti TIS saugumo vertinimo ataskaitą (toliau – Ataskaita), kurioje turi detaliai aprašyti nustatytas saugumo spragas, pateikiant jų aptikimą patvirtinančius įrodymus, jų išnaudojimo galimybes ir rizikos lygį pagal CVSS klasifikatorių, kuris pateiktas Aprašo 1 lentelėje „Saugumo spragų vertinimo balai ir šalinimo laikai pagal CVSS klasifikatorių“.
76. Ataskaitoje prie kiekvienos saugumo spragos taip pat privaloma pateikti nustatytų saugumo spragų pašalinimo išsamias rekomendacijas.
77. Saugos įgaliotinis su Ataskaita supažindina saugumo vertinimą inicijavusį darbuotoją ir TIS, kuriuose nustatytos saugumo spragos, savininkus.
78. Saugos įgaliotinis, TIS saugumo vertinimo metu nustatytas saugumo spragas turi šalinti toliau šiame Apraše aprašyta pataisų valdymo tvarka duodamas pavedimus atsakingiems darbuotojams atlikti šiame Apraše numatytų saugumo spragų šalinimo veiklas.
79. Saugos įgaliotinis, atsakingiems darbuotojams duodamas pavedimus pašalinti nustatytas saugumo spragas turi nurodyti jų įgyvendinimo datą, vadovaudamasis toliau šiame Apraše aprašytais terminais.
80. Saugos įgaliotinis, duodamas pavedimus, atitinkamai įvertina TIS saugumo spragos galimą įtaką kitoms Administracijos valdomoms TIS, esant poreikiui, inicijuoja arba pats atlieka jų informacijos saugumo rizikos vertinimą.
81. Kibernetinio saugumo vadovas ar saugos įgaliotinis TIS saugumo vertinimo metu nustatytas TIS saugumo spragas registruoja šio Aprašo 2 priede numatytoje TIS saugumo spragų registro formoje (žr. šio Aprašo 2 priedą).
82. Darbuotojai, atsakingi už saugumo spragų šalinimą, organizuoja ir įgyvendina Administracijos TIS saugumo spragų šalinimą vadovaudamiesi toliau šiame Apraše aprašyta pataisų valdymo įgyvendinimo tvarka ir saugumo spragų šalinimo terminais.. Kibernetinio saugumo vadovo ar saugos įgaliotinio sprendimu žemos rizikos saugumo spragos gali būti nešalinamos.
83. Jei TIS saugumo spragų šalinimo priemonių nėra, tokiu atveju darbuotojai, atsakingi už saugumo spragų šalinimą, pasitarę su saugos įgaliotiniu, planuoja ir įgyvendina kitas galimas saugumo spragų šalinimo priemones (pvz. kompensacines priemones), organizuoja naujų priemonių įsigijimą ar diegimą (pvz., prieigų teisių valdymo, įsilaužimų prevencijos, duomenų nutekinimo techninių priemonių ir kt.).
84. Darbuotojai, atsakingi už TIS saugumo spragų šalinimą nustatytas TIS saugumo spragas turi pašalinti per laiką, numatytą šio Aprašo 1 lentelėje.
1 lentelė. TIS saugumo spragų vertinimo balai pagal CVSS klasifikatorių ir jų šalinimo laikai.
| Saugumo spragos rizikos lygis |
CVSS balas nuo iki |
Įtaka |
Maksimalus saugumo spragos šalinimo laikas nuo jos nustatymo momento |
| Kritinis (angl. critical) |
10.0 – 9.0 |
Neigiamai paveikiama visos Administracijos ir visų jos klientų veikla. |
3 kalendorinės dienos |
| Aukštas (angl. high) |
8.9 – 7.0 |
Neigiamai paveikiama visos Administracijos ir kelių jos klientų veikla. |
7 kalendorinės dienos |
| Vidutinis (angl. medium) |
6.9 – 4.0 |
Neigiamai paveikiami visi vidiniai Administracijos procesai ir (ar) visi vidiniai darbuotojai. |
30 kalendorinių dienų |
| Žemas (angl. low) |
3.9 – 0.1 |
Neigiamai paveikiami keli vidiniai Administracijos procesai ir (ar) keli vidiniai darbuotojai. |
365 kalendorinės dienos |
85. Darbuotojai, atsakingi už TIS saugumo spragų šalinimą, negalėdami TIS saugumo spragas pašalinti per šio Aprašo 1 lentelėje nustatytą terminą, turi apie tai informuoti saugos įgaliotinį bei su juo ir TIS, kuriame yra saugumo spraga, savininku suderinti papildomą tokios spragos šalinimo terminą.
86. Visos TIS saugumo spragos, kurios įvertintos kaip itin reikšmingos TIS veiklai turi būti pašalintos nedelsiant.
87. Darbuotojai, atsakingi už TIS saugumo spragų šalinimą, organizuoja ir įgyvendina tokių TIS saugumo spragų šalinimo veiklas:
87.1. ištaiso techninės ar programinės įrangos klaidas ir atlieka reikiamas konfigūracijas, jei reikia šiam tikslui kreipiasi į paslaugų tiekėjus. Tokiu atveju, koordinuoja paslaugų teikėjų atliekamus techninės ar programinės įrangos klaidų šalinimo ir nustatytų keitimo veiklas, užtikrina jų įgyvendinimo kontrolę;
87.4. paruošia ir su TIS savininku suderina konfigūracijų keitimo planą bei užtikrina jo įgyvendinimą;
87.5. inicijuoja reikiamų techninių priemonių įsigijimą, koordinuoja jų diegimą ir užtikrina diegimo kontrolę;
88. Tais atvejais, kai dar nėra programinės įrangos atnaujinimo iš gamintojo ar taikomos priemonės visiškai nepašalina saugumo spragos, ar saugumo spragos švelninimo veiksmai turi įtaką kitoms Administracijos valdomoms TIS, atlikus kibernetinio saugumo rizikos vertinimą, tokia TIS gali būti naudojamas su nepašalinta saugumo spraga tik saugos įgaliotinio sprendimu, tokį sprendimą suderinus su TIS, kuriame yra saugumo spraga, savininku.
89. Darbuotojai, atsakingi už TIS saugumo spragų šalinimą, pašalinę saugumo spragą, turi nedelsiant informuoti saugos įgaliotinį.
90. Saugos įgaliotinis TIS saugumo spragų šalinimo eigos procesą turi tikrinti tokiu dažnumu:
91. Darbuotojai, atsakingi už IT turto valdymą, siekdami, kad Administracijos valdomos TIS būtų tinkamai apsaugoti nuo saugumo spragų, turi tinkamai įgyvendinti IT valdymo procesus (pakeitimų, konfigūracijų ir sąrankos valdymą, pataisymų valdymą, saugų programavimą ir kitus IT valdymo procesus). Pagal kompetenciją saugos įgaliotinis konsultuoja darbuotojus, atsakingus už IT turto valdymą, šių procesų įgyvendinimo metu.
VI SKYRIUS
TINKLŲ IR INFORMACINIŲ SISTEMŲ PATAISŲ VALDYMAS
93. TIS administratorius turi periodiškai turimomis priemonėmis tikrinti informaciją apie TIS PĮ gamintojų paskelbtus TIS PĮ atnaujinimus.
94. TIS administratorius nustatęs, kad TIS PĮ gamintojas paskelbė TIS PĮ atnaujinimą, kuris šalina kritinę ar aukštos rizikos saugumo spragą, apie tai turi informuoti saugos įgaliotinį ir už TIS PĮ atnaujinimą atsakingo padalinio vadovą, darbuotoją ir (ar) paslaugų tiekėją.
95. Už TIS PĮ atnaujinimą atsakingo padalinio vadovas ar darbuotojas nuo informacijos gavimo momento turi nedelsiant inicijuoti TIS PĮ atnaujinimą pagal skubų pokyčio valdymo būdą ir užtikrinti, kad ši TIS PĮ būtų atnaujinta šiame Apraše numatytais terminais. Už TIS PĮ atnaujinimą atsakingo padalinio vadovas ar darbuotojas apie atliktą TIS PĮ atnaujinimą, kuriuo buvo pašalinta kritinė ar aukšto rizikos lygio saugumo spraga turi nedelsiant informuoti saugos įgaliotinį.
96. Saugos įgaliotinį turi imtis veiksmų, siekiant įsitikinti, kad su TIS PĮ atnaujinimu yra tinkamai pašalinta kritinė ar aukšto rizikos lygio saugumo spraga. Nustačius, kad kritinė ar aukšto rizikos lygio saugumo spraga su TIS PĮ atnaujinimu nebuvo tinkamai pašalinta jis turi inicijuoti kompensacinių priemonių įgyvendinimą, siekiant, kad kritinė ar aukšto rizikos lygio saugumo spraga nebūtų lengvai išnaudota.
97. TIS administratorius nustatęs, kad TIS PĮ gamintojas paskelbė TIS PĮ atnaujinimą, kuris nėra susijęs su kritine ar aukštos rizikos saugumo spraga, apie tai turi informuoti saugos įgaliotinį ir už TIS PĮ atnaujinimą atsakingo padalinio vadovas ar darbuotoją ir (ar) paslaugų tiekėją.
98. Už TIS PĮ atnaujinimą atsakingo padalinio vadovas ar darbuotojas nuo informacijos gavimo momento turi įvertinti galimybes organizuoti tokios TIS PĮ atnaujinimą pagal standartinį ar plėtros pokyčio valdymo būdą bei suorganizuoti susitikimą su TIS savininku, tikslu suplanuoti ir suderinti tokios TIS PĮ atnaujinimo planą ir grafiką.
99. Už TIS PĮ atnaujinimą atsakingo padalinio vadovas ar darbuotojas, gavęs TIS savininko sprendimą dėl TIS PĮ atnaujinimo inicijavimo pagal standartinį ar plėtros pokyčio valdymo būdą ir patvirtintą TIS PĮ atnaujinimo planą ir grafiką turi atnaujinti TIS PĮ plane ir grafike nustatytais terminais arba kreiptis į paslaugų tiekėją, su prašymu atnaujinti TIS PĮ plane ir grafike nustatytais terminais.
100. Saugos įgaliotinis papildomai turi įvertinti, ar suplanuoto TIS PĮ atnaujinimo metu turi būti atlikti saugumo vertinimas ir jų vientisumo tikrinimas. Jie taip, jis turi įgyvendinti TIS PĮ atnaujinimo saugumo vertinimą ir jų vientisumo tikrinimą šiame Apraše nustatyta tvarka.
101. Saugos įgaliotinis turi užtikrinti, kad TIS PĮ pataisos, kuriomis yra šalinamos nustatytos saugumo spragos (toliau – Saugos pataisos) turi būti testuojamos testinėje aplinkoje prieš jas diegiant į gamybinę aplinką.
102. Saugos įgaliotinis turi užtikrinti, kad būtų diegiamos tik oficialių TIS PĮ gamintojų saugos pataisos.
VII SKYRIUS
TAIKOMŲ TECHNINIŲ REIKALAVIMŲ, ĮGYVENDINIMAS
104. Saugos įgaliotinis turi užtikrinti, kad Administracijoje taikomi techniniai reikalavimai, numatyti šio Aprašo 1 priede, būtų tinkamai įgyvendinti viso TIS gyvavimo ciklo metu, atliekant TIS pokyčius ir pataisas bei saugumo spragų valdymo ir atskleidimo metu. Šiam tikslui saugos įgaliotinis turi teisę duoti Administracijos padaliniams ar darbuotojams bei paslaugų tiekėjams pavedimus, taip pat koordinuoti ir kontroliuoti jų įgyvendinimą.
VIII SKYRIUS
BAIGIAMOSIOS NUOSTATOS
106. Atitinkamų Administracijos padalinių vadovai ar jų paskirti darbuotojai turi užtikrinti ir kontroliuoti, jog darbuotojų, atsakingų už TIS įsigijimo, kūrimo, priežiūros ir plėtros, TIS saugumo vertinimą, TIS saugumo spragų valdymo ir atskleidimo planavimą ir įgyvendinimą, veiksmai atitiktų Aprašo nuostatas.
107. Šis Aprašas turi būti peržiūrimas ir atnaujinamas bent kartą per metus arba kai atsiranda esminiai pokyčiai Administracijoje, kurie turi įtakos šiam Aprašui. Už šio Aprašo peržiūrėjimą ir atnaujinimą yra atsakingas kibernetinio saugumo vadovas.
______________________
Tinklų ir informacinių sistemų įsigijimo,
plėtojimo ir priežiūros saugumo,
įskaitant spragų valdymą ir atskleidimą,
tvarkos aprašo
1 priedas
Techniniai reikalavimai, taikomi kibernetinio saugumo subjektams
| Nr. |
Techniniai reikalavimai, taikomi kibernetinio saugumo subjektams[1] |
Esminiams |
| 1. |
Kibernetinio saugumo subjektas turi turėti aktualią tinklų ir informacinių sistemų infrastruktūros loginę schemą ir visų tinklų ir informacinių sistemų schemas (atnaujinti joms pasikeitus). |
x |
| 2. |
Įsilaužimo atakų pėdsakai (angl. attack signature) turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos, jeigu kibernetinio saugumo subjekto sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio kibernetinio saugumo subjekto veiklai vertinimas (testavimas). |
x |
| 3. |
Serveriuose (įskaitant ir virtualias mašinas) ir darbo stotyse turi būti įjungtos ir sukonfigūruotos saugiasienės, kurios kontroliuoja visą įeinantį ir išeinantį srautą. |
x |
| 4. |
Iš išorės gaunami elektroniniai laiškai turi būti filtruojami, siekiant aptikti ir blokuoti kenksmingą turinį. |
x |
| 5. |
Techninės ir programinės įrangos, kuri skirta kibernetiniams incidentams aptikti, konfigūracijos taisyklės turi būti saugomos elektronine forma atskirai nuo tinklų ir informacinių sistemų techninės įrangos (kartu nurodant atitinkamas datas (įgyvendinimo, atnaujinimo), atsakingus asmenis, taikymo periodus). |
x |
| 6. |
Prisijungiant prie belaidžio tinklo (jeigu jungiamasi prie tinklų ir informacinės sistemos vidinio tinklo), turi būti taikomas tinklų ir informacinių sistemų naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) / TLS (angl. Transport Layer Security) protokolas arba naujesnis protokolas, visuotinai pripažįstamas saugiu. |
x |
| 7. |
Tinklui valdyti turi būti naudojami saugūs tinklo protokolai. |
x |
| 8. |
Turi būti uždrausti / išjungti visi nebūtini protokolai ir atviri prievadai (angl. port). |
x |
| 9. |
Kompiuteriuose, mobiliuosiuose įrenginiuose turi būti išjungtas lygiarangis (angl. peer to peer) funkcionalumas, jei tai nėra reikalinga darbo funkcijoms atlikti. |
x |
| 10. |
Turi būti diegiami naudojamos programinės įrangos gamintojų ir operacinių sistemų rekomenduojami atnaujinimai. |
x |
| 11. |
Tinklų ir informacinės sistemos, dėl objektyvių priežasčių naudojančios nepalaikomas operacinių sistemų ir kitos programinės įrangos versijas, turi veikti atskirame tinklo segmente, atskirtame nuo pagrindinių kibernetinio saugumo subjekto veiklos funkcijų. |
x |
| 12. |
Vidinis kibernetinio saugumo subjekto kompiuterių tinklas turėtų būti segmentuotas, jame atskiriant bent: |
|
| 12.1. |
tinklų ir informacinių sistemų valdymo ir administravimo potinklį; |
x |
| 12.2 |
atskirą potinklį kiekvienai trečiajai šaliai arba kitais būdais užtikrinant trečiųjų šalių prieigą tik prie tai šaliai reikalingų resursų, kur įmanoma taikant kelių veiksnių prisijungimo autentifikaciją. Prisijungimas turi būti atliekamas naudojant saugų virtualųjį privatų tinklą (angl. Virtual private network, VPN). Prisijungimas registruojamas įvykių registravimo žurnaluose; |
x |
| 12.3. |
tinklinių daugiafunkcių įrenginių bei spausdintuvų ir skenerių potinklį; |
x |
| 12.4. |
IP telefonijos potinklį; |
x |
| 12.5. |
darbo vietų potinklį; |
x |
| 12.6. |
testavimo potinklį. |
x |
| 13. |
Mobiliuosiuose įrenginiuose ir kompiuterinėse darbo vietose turi būti naudojamos vykdomojo kodo (angl. Executable code) kontrolės priemonės, kuriomis apribojamas neleistino vykdomojo kodo naudojimas ar informuojamas administratorius apie neleistino vykdomojo kodo naudojimą. |
x |
| 14. |
Turi būti parengti ir įdiegti kompiuterinių darbo vietų (įskaitant nešiojamuosius įrenginius) operacinių sistemų atvaizdai ir (arba) kitos priemonės su integruotomis saugumo nuostatomis. Atvaizde turi būti nustatyti tik veiklai būtini operacinių sistemų komponentai (administravimo paskyros, paslaugos (angl. Services), taikomosios programos, tinklo prievadai, atnaujinimai, sisteminės priemonės). Atvaizdai turi būti reguliariai peržiūrimi ir atnaujinami, iškart atnaujinami nustačius naujų spragų ar atakų. Pagal parengtus atvaizdus į kompiuterines darbo vietas (įskaitant nešiojamuosius įrenginius) turi būti įdiegiama operacinė sistema su saugumo nuostatomis. |
x |
| 15. |
Draudžiama svetainės serveriuose saugoti sesijos duomenis (identifikatorių) prisijungimo tikslams, pasibaigus susijungimo sesijai. |
x |
| 16. |
Internetu prieinamoms svetainėms, tinklų ir informacinėms sistemoms turi būti naudojama svetainės saugasienė (angl. Web Application Firewall). |
x |
| 17. |
Internetu prieinamoms svetainėms, tinklų ir informacinėms sistemoms turi būti naudojamos apsaugos nuo pagrindinių per tinklą vykdomų atakų remiantis OWASP (angl. The Open Worldwise Application Security Project) Top 10 geriausiomis praktikomis (www.owasp.org). |
x |
| 18. |
Žiniatinklio (angl. Web) formose turi būti naudojama svetainės naudotojo įvedamų duomenų kontrolė (angl. Input validation). |
x |
| 19. |
Internetu prieinamos tinklų ir informacinės sistemos neturi rodyti naudotojui klaidų pranešimų apie tinklų ir informacinės sistemos ir programinį kodą ar serverį. |
x |
| 20. |
Internetu naudojant HTTPS protokolą (angl. HyperText Transfer Protocol Secure, HTTPS) prieinamos tinklų ir informacinės sistemos saugumo priemonės turi leisti tik jų funkcionalumui užtikrinti reikalingus protokolo metodus. |
x |
| 21. |
Kibernetinio saugumo subjekto serveriuose ir kompiuterinėse darbo vietose turi būti naudojamos (jei įmanoma, centralizuotai) valdomos ir atnaujinamos kenkimo programinės įrangos aptikimo, stebėjimo realiu laiku priemonės. |
x |
| 22. |
Naudojama tik legali ir leistina (pagal kibernetinio saugumo subjekto patvirtintą sąrašą) programinė įranga. |
x |
| 23. |
Nuolatos turi būti stebimas tinklų ir informacinių sistemų įrangos laisvos atminties ar vietos diske kiekis, stebima apkrova, resursų naudojimas. Pasiekus nustatytas ribines reikšmes, apie tai turi būti informuojami atsakingi asmenys. |
x |
______________________
Tinklų ir informacinių sistemų įsigijimo,
plėtojimo ir priežiūros saugumo,
įskaitant spragų valdymą ir atskleidimą,
tvarkos aprašo
2 priedas
TINKLŲ IR INFORMACINIŲ SISTEMŲ SAUGUMO SPRAGŲ REGISTRAS
(Tinklų ir informacinių sistemų saugumo spragų registro forma)
| Nr. |
Spragos atskleidimo data |
Tikrintas objektas |
Spragos aprašymas |
Spragos vertinimas |
Spragos šalinimo terminas iki |
Spragos šalinimo veikla |
Kompensacinė priemonė ir kitas veiksmas |
Atsakingas padalinys / darbuotojas / trečioji šalis |
Spragos šalinimo statusas |
Spragos pašalinimo data |
Pastabos |
| 1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
11 |
|
|
|
|
|
|
|
|
|
|
|
|
|
Pildymo instrukcija.
[1] nurodomas spragos eilės numeris;
[2] nurodoma spragos atskleidimo data;
[4] aprašoma atskleista spraga (pvz. naudojamas nesaugus duomenų perdavimo sertifikatas „PAVADINIMAS“ ir pan.);
[5] nurodomas spragos vertinimas balais ir pavadinimu pagal CVSS klasifikatorių, vadovaujantis Aprašo 1 lentelėje numatytais saugumo spragų rizikos lygiais (pvz. 9.0 balai kritinis rizikos lygis);
[6] nurodoma spragos šalinimo laikas iki vadovaujantis Aprašo 1 lentelėje numatytais saugumo spragų šalinimo laikais (pvz. per 24 val.);
[7] nurodoma spragos šalinimo veiklos aprašymas, kuris gali būti paimtas iš skenavimo ataskaitos rekomenduojamų veiksmų (pvz. nesaugaus duomenų perdavimo sertifikato „PAVADINIMAS“ pakeitimas į saugų „PAVADINIMAS“);
[8] nurodomas kompensacinės priemonės ar kitos veiklos, kuri įgyvendinama laikinai, kol bus pašalinta saugumo spraga, pavadinimas (pvz. IT paslaugos patalpinimas į DMZ zoną);
[9] nurodomas už spragos pašalinimą ar kompensacinės priemonės pritaikymą, atsakingo padalino pavadinimas, darbuotojo pareigos, vardas ir pavardė ar) paslaugų tiekėjo, kuriam pavesta pašalinti spragą, pavadinimas;
[10] nurodomas vienas iš spragos šalinimo statusų: (i) Planuojama; (ii) Vykdoma; (iii) Pašalinta;
[11] nurodoma spragos pašalinimo data;
[12] nurodomas už spragos pašalinimą, kompensacinės priemonės pritaikymą, atsakingo padalino pavadinimas ar darbuotojo pareigos, vardas ir pavardė ar paslaugų tiekėjo, kuriam pavesta pašalinti spragą, pavadinimas;
[13] jei reikia, nurodomos pastabos ar komentarai.
____________________
Tinklų ir informacinių sistemų įsigijimo,
plėtojimo ir priežiūros saugumo,
įskaitant spragų valdymą ir atskleidimą,
tvarkos aprašo
3 priedas
TINKLŲ IR INFORMACINIŲ SISTEMŲ POKYČIŲ REGISTRAS
(Tinklų ir informacinių sistemų pokyčių registro forma)
| Nr. |
Pokyčio pavadinimas |
Pokyčio objektas |
Pokyčio iniciatorius |
Pokyčio kategorija |
Sudėtingumo lygis |
Planuojama įgyvendinimo data ir laikas |
Sprendimą priimantis asmuo |
Sprendimo statusas |
Pokyčio vykdytojas |
Pokyčio vykdymo statusas |
Pokyčio įvykdymo data |
Pastabos |
| 1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
|
|
|
|||||||||||
|
|
|
Pildymo instrukcija.
[1] nurodomas pokyčio numeris;
[2] nurodoma pokyčio pavadinimas (pvz. TIS programinės įrangos atnaujinimas);
[3] nurodomas TIS pavadinimas kaip ji vadinama organizacijoje (pvz. finansų valdymo TIS);
[4] nurodomos pokyčio iniciatoriaus pareigos, vardas ir pavardė;
[5] nurodoma viena iš Apraše numatytų pokyčio kategorijų: (i) Standartinis pokytis; (ii) Skubus pokytis; (iii) Plėtros pokytis;
[6] nurodoma vienas iš Apraše numatytų pokyčio sudėtingumų lygių: (i) Aukštas sudėtingumas; (ii) Vidutinis sudėtingumas; (iii) Žemas sudėtingumas;
[7] nurodoma planuojama pokyčio įgyvendinimo data arba laiko terminas (pvz. iki liepos 5 d. arba nuo liepos 5 d. 9 val. iki 17 val.);
[8] nurodomos sprendimą dėl pokyčio įgyvendinimo priimančio darbuotojo pareigos, vardas ir pavardė;
[9] nurodomas sprendimo dėl pokyčio įgyvendinimo priėmimo statusas: (i) laukiama; (ii) patvirtinta; (iii) atmesta;
[10] nurodomos pokyčio vykdytojo pareigos, vardas ir pavardė arba tiekėjo pavadinimas;
[11] nurodomas pokyčio vykdymo statutas: (i) Planuojamas; (ii) Vykdomas; (iii) Atidėtas; (iv) Įvykdytas;
[12] nurodoma pokyčio įvykdymo data ir laikas, jei būtinas;
[13] jei reikia, nurodomos pastabos ar komentarai.
[1] Kibernetinio saugumo subjektams taikomi techniniai reikalavimai pagal Kibernetinio saugumo reikalavimų aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.