TELŠIŲ RAJONO SAVIVALDYBĖS ADMINISTRACIJOS

DIREKTORIUS

 

 

ĮSAKYMAS

DĖL TINKLŲ IR INFORMACINIŲ SISTEMŲ ĮSIGIJIMO, PLĖTOJIMO IR PRIEŽIŪROS SAUGUMO, ĮSKAITANT SPRAGŲ VALDYMĄ IR ATSKLEIDIMĄ, TVARKOS APRAŠO PATVIRTINIMO

 

 2026 m. liepos 2 d. Nr. A1-976  

Telšiai 

 

 

Vadovaudamasi Lietuvos Respublikos vietos savivaldos įstatymo 34 straipsnio 6 dalies 2 punktu, bei Nacionalinio kibernetinių incidentų valdymo plano, patvirtinto Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, 1 punktu:

1. T v i r t i n u Tinklų ir informacinių sistemų įsigijimo, plėtojimo ir priežiūros saugumo, įskaitant spragų valdymą ir atskleidimą, tvarkos aprašą (pridedama).

 

 

Administracijos direktorė                                                                                           Lina Leinartienė

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Parengė    

 

Genovaitė Latakienė

2026-06-10

PATVIRTINTA

Telšių rajono savivaldybės administracijos direktoriaus

2026 m. liepos 2 d. įsakymu Nr. A1-976

 

Tinklų ir informacinių sistemų įsigijimo, plėtojimo ir priežiūros SAUGUMO, įskaitant spragų valdymą Ir atsklEIdimą,

tvarkOS APRAŠAS

 

I SKYRIUS

Bendrosios nuostatos

1. Tinklų ir informacinių sistemų įsigijimo, plėtojimo ir priežiūros saugumo, įskaitant spragų valdymą ir atskleidimą, tvarkos aprašas (toliau – Aprašas) reglamentuoja Telšių rajono savivaldybės administracijos (toliau – Administracija) tinklų ir informacinių sistemų (toliau – TIS) įsigijimo, plėtojimo ir priežiūros viso TIS gyvavimo ciklo metu, TIS pokyčių ir pataisų valdymo, TIS saugumo spragų valdymo ir atskleidimo, taip pat Administracijoje taikomų techninių reikalavimų, numatytų šio Aprašo 1 priede, užtikrinimo planavimo, organizavimo, vykdymo ir įgyvendinimo kontrolės proceso eigą, atsakingų padalinių ir darbuotojų funkcijas ir atsakomybes, siekiant, kad Administracija tinkamai valdytų TIS įsigijimą, plėtojimą ir priežiūrą bei TIS pokyčius ir pataisas, atskleistų ir šalintų TIS esamas ir (ar) žinomas saugumo spragas, taip pat tinkamai įgyvendintų joms keliamus techninius reikalavimus.

2. Šiame Apraše vartojamos sąvokos:

2.1. Darbuotojas - pareigas einantis valstybės tarnautojas arba pagal darbo sutartį dirbantis asmuo;

2.2. Kibernetinio saugumo vadovas – Administracijos darbuotojas atsakingas už kibernetinio saugumo subjekto  atitikties Kibernetinio saugumo įstatymo 14 ir 18 straipsniuose nustatytiems reikalavimams įgyvendinimą ir  atliekantis kitas kibernetinį saugumą  reglamentuojančiuose teisės aktuose nustatytas funkcijas arba iš trečiųjų šalių įsigytos paslaugos, kurių teikimo metu vykdomos kibernetinio saugumo vadovo funkcijos;

2.3. Pokyčio iniciatorius – Administracijos darbuotojas, inicijavęs tinklų ir informacinių sistemų pokytį;

2.4. Pokyčio vykdytojas – Administracijos darbuotojas ar paslaugų teikėjo įgaliotas asmuo, įgyvendinantis tinklų ir informacinių sistemų pokytį;

2.5. Tinklų ir informacinė sistema (toliau – TIS) – elektroninių ryšių tinklas, bet koks prietaisas arba tarpusavyje sujungtų arba susijusių prietaisų, iš kurių vienas ar daugiau pagal programą automatiškai apdoroja skaitmeninius duomenis, grupė arba skaitmeniniai duomenys, saugomi, tvarkomi, atkuriami arba perduodami nurodytomis priemonėmis jų valdymo, naudojimo, apsaugos ir priežiūros tikslais;

2.6. Tinklų ir informacinių sistemų programinės įrangos atnaujinimas (angl. release) TIS programinės įrangos gamintojo paskelbta informacija apie tinklų ir informacinių sistemų programinės įrangos atnaujinimą ar atnaujinimų rinkinį;

2.7. Tinklų ir informacinių sistemų programinės įrangos pataisa ( toliau Pataisa) (angl. patch) – TIS programinės įrangos atnaujinimas ar atnaujinimų rinkinys, skirtas patobulinti tinklų ir informacinių sistemų programinę įrangą, ištaisyti jos veikimo sutrikimus ir (ar) programiniame kode esančias klaidas ir (ar) saugumo spragas;

2.8. Tinklų ir informacinių sistemų kūrimas – TIS diegimo, konfigūravimo, programavimo darbų ir licencijų (jei taikoma) įsigijimas;

2.9. Tinklų ir informacinių sistemų likvidavimas procesas, kuris inicijuojamas panaikinus veiklos funkciją (funkcijas), kuriai vykdyti buvo sukurta TIS;

2.10. Tinklų ir informacinių sistemų pokytis TIS techninės ar programinės įrangos ar programinio kodo pakeitimas, siekiant patobulinti tinklų ir informacinių sistemų funkcionalumą ar pašalinti saugumo spragą;

2.11. Tinklų ir informacinių sistemų priežiūra – pokyčiai TIS, nereikalaujantys arba reikalaujantis minimalių programavimo/konfigūravimo darbų;

2.12. Tinklų ir informacinių sistemų saugumas – TIS pajėgumas tam tikru patikimumo lygiu išlikti atspariems bet kokiam įvykiui, galinčiam sukelti pavojų saugomų, perduodamų ar tvarkomų duomenų arba per tas tinklų ir informacines sistemas teikiamų arba gaunamų paslaugų prieinamumui, autentiškumui, vientisumui ar konfidencialumui;

2.13. Tinklų ir informacinių sistemų saugumo vertinimas (toliau – Saugumo vertinimas) – Administracijos padalinio ar jos darbuotojo arba trečiosios šalies atliekamas tinklų ir informacin sistemų saugumo vertinimas ar automatizuotas skenavimas, naudojant automatizuotus skenavimo įrankius (toliau – VMS įrankis) (angl. Vulnerability management scanner) ar programinio kodo saugumo vertinimas (angl. a Code security review) ar kitų saugumo spragų nustatymo būdų (pvz. įsilaužimų testavimą) įgyvendinimą, kurio tikslas įvertinti, ar TIS neturi esamų ar žinomų saugumo spragų;

2.14. Tinklų ir informacin sistemų skenavimas – tai TIS saugumo spragų nustatymo ir vertinimo būdas, kuomet Administracijos darbuotojai ir (ar) trečiosios šalys, naudodamos VMS ir kitus įrankius atlieka TIS, įskaitant, tačiau neapsiribojant valdomų ir tvarkomų TIS programinės įrangos, programinio kodo, kompiuterizuotų darbo ir gamybos vietų ir kitos įrangos, skenavimais, siekiant nustatyti, ar nėra esamų ar žinomų saugumo spragų;

2.15. Tinklų ir informacinės sistemos spraga – TIS trūkumas, įskaitant informacinių ir ryšių technologijų produktų arba informacinių ir ryšių technologijų paslaugų trūkumus, dėl kurio gali įvykti kibernetinis incidentas ar kuriuo gali būti pasinaudota kibernetinei grėsmei kelti;

2.16. Tinklų ir informacinės sistemos spragų atskleidimas (toliau – Spragų atskleidimas) – Administracijos darbuotojų ir (ar) trečiųjų šalių atliekami veiksmai (pvz. TIS skenavimai, informacijos surinkimas ar gavimas iš įvairų šaltinių ir pan.), norint surasti ir nustatyti esamas ar žinomas TIS saugumo spragas;

2.17. Tinklų ir informacinės sistemos spragų šalinimas (toliau – Spragų šalinimas) Administracijos darbuotojų ir (ar) trečiųjų šalių atliekami veiksmai TIS (pvz., programinės įrangos atnaujinimai, konfigūracijų keitimai, pasiekiamumo ribojamai, atitinkamų techninių priemonių įsigijimas ir diegimas bei kiti veiksmai), siekiant tinkamai pašalinti TIS nustatytas ir įvertintas esamas ar žinomas spragas (angl. exploiting of known vulnerabilities);

2.18. Tinklų ir informacinės sistemos spragų valdymas (toliau – Spragų valdymas)spragų atskleidimas, jų vertinimas ir šalinimas;

2.19. Tinklų ir informacinės sistemos spragų vertinimas (toliau – Spragų vertinimas) – Administracijos darbuotojų ir (ar) trečiųjų šalių atliekami veiksmai, siekiant įvertinti nustatytas esamas ar žinomas spragas, t. y. įvertinti jų keliamą riziką esamoje aplinkoje, pašalinti netikras ar neteisingai identifikuotas spragas (angl. false positive) ir pagal TIS spragų vertinimo klasifikatorių priskirti juos prie atitinkamų rizikos lygių;

2.20. Tinklų ir informacinių sistemų spragų vertinimo klasifikatorius (angl. the Common Vulnerability Scoring System Base Score) (toliau CVSS) – organizacijos FIRST (angl. Forum of Incident Response and Security Teams) parengtas ir tarptautiniu mastu pripažintas techninis standartas, skirtas tinklų ir informacinių sistemų saugumo spragoms įvertinti (aktuali versija https://www.first.org/cvss/v4-0/).

3. Kitos šiame Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžiamos Lietuvos Respublikos kibernetinio saugumo įstatyme bei tarptautinių standartų ISO 27000 ir ISO 20000 grupėse.

4. Aprašas taikomas visoms Administracijos valdomoms TIS, numatytoms Turto valdymo tvarkos apraše.

II SKYRIUS

ATSAKINGŲ PADALINIŲ IR DARBUOTOJŲ FUNKCIJOS IR ATSAKOMYBĖS

5. Kibernetinio saugumo vadovas atsako už:

5.1. šio Aprašo koordinavimą ir įgyvendinimo kontrolę;

5.2. kibernetinio saugumo reikalavimų nustatymo ir įgyvendinimo kontrolę TIS kūrimo, įsigijimo, priežiūros ir plėtros metu;

5.3. kibernetinio saugumo reikalavimų įgyvendinimo užtikrinimo kontrolę TIS pokyčių ir pataisų valdymo procesuose;

5.4. TIS saugumo vertinimo inicijavimą, koordinavimą ir įgyvendinimo kontrolę;

5.5. TIS saugumo vertinimo įgyvendinimo plano (toliau Spragų nustatymo planas) tvirtinimą;

5.6. TIS kritinės ir aukštos rizikos lygio saugumo spragos šalinimo koordinavimą ir įgyvendinimo kontrolę;

5.7. techninių reikalavimų, taikomų Administracijoje, įgyvendinimo kontrolę;

5.8. šio Aprašo periodinę peržiūrą ir atnaujinimą.

6. Saugos įgaliotinis atsako už:

6.1. kibernetinio saugumo reikalavimų nustatymą TIS kūrimo, įsigijimo, priežiūros ir plėtros metu bei šių reikalavimų įgyvendinimo organizavimą;

6.2. kibernetinio saugumo reikalavimų įgyvendinimo TIS pokyčių ir pataisų valdymo procesuose užtikrinimą;

6.3. Spragų nustatymo plano parengimą ir jo suderinimą su kibernetinio saugumo vadovu;

6.4. saugumo spragų atskleidimo organizavimą;

6.5. saugumo vertinimų pagal Spragų nustatymo planą organizavimą bei Kibernetinio saugumo įstatyme ir jo įgyvendinimą reglamentuojančiuose teisės aktuose nustatyta tvarka ir periodiškumu (ne rečiau kaip kas 6 mėnesius) visų TIS saugumo spragų skenavimų organizavimą;

6.6. TIS saugumo vertinimo užduočių tiekėjams parengimą;

6.7. TIS saugumo vertinimo ataskaitų iš paslaugų tiekėjų gavimą ir jų suderinimą;

6.8. spragų, apie kurias informacija gauta pagal Kibernetinio saugumo įstatymo 25 straipsnį, tyrimo organizavimą ir informacijos teikimą;

6.9. atskleistų saugumo spragų įvertinimą pagal CVSS klasifikatorių, esant poreikiui informacijos saugumo rizikos vertinimo atlikimą;

6.10. TIS saugumo spragų registravimą šiame Apraše numatytomis priemonėmis ir šios informacijos atnaujinimą;

6.11. TIS kritinės ir aukštos rizikos lygio saugumo spragos šalinimo inicijavimą;

6.12. TIS vidutinės ir žemos rizikos lygio saugumo spragų šalinimo plano parengimą, pavedimą Administracijos atsakingiems padaliniams ir darbuotojams pašalinti jas šiame Apraše nustatyta tvarka ir terminais bei jų šalinimo koordinavimą ir įgyvendinimo kontrolę;

6.13. TIS saugumo spragų šalinimo eigos įgyvendinimo kontrolę šiame Apraše nustatyta tvarka ir dažnumu;

6.14. techninių reikalavimų, taikomų Administracijoje, įgyvendinimo organizavimą ir koordinavimą;

6.15. konsultacijų, susijusių su TIS saugumo vertinimais ar saugumo spragų atskleidimu, jų įvertinimu ir šalinimu bei pagalbos teikimą kitiems  saugumo spragų valdyme dalyvaujantiems Administracijos padaliniams ir jų darbuotojams.

7. TIS administratorius atsako už:

7.1. TIS kūrimo, priežiūros ir plėtros organizavimą ir įgyvendinimą bei tokių paslaugų įsigijimo iš tiekėjų inicijavimą;

7.2. kibernetinio saugumo reikalavimų įgyvendinimą TIS eksploatavimo ir priežiūros metu;

7.3. kibernetinio saugumo reikalavimų įgyvendinimą TIS likvidavimo metu;

7.4. TIS pokyčių ir pataisų valdymo organizavimą ir įgyvendinimą;

7.5. saugumo spragų šalinimo organizavimą ir įgyvendinimą šiame Apraše nustatyta tvarka ir terminais, nebent saugos įgaliotinis savo pavedimu saugumo spragų šalinimo veiksmus paveda atlikti kitam darbuotojui ar paslaugų tiekėjui;

7.6. TIS programinės įrangos (toliau – PĮ) atnaujinimo organizavimą ir įgyvendinimą šiame Apraše nustatyta tvarka ir terminais;

7.7. savalaikį saugos įgaliotinio bei TIS savininko informavimą apie pašalintą saugumo spragą šiame Apraše nustatyta tvarka ir terminais;

7.8. informacijos apie planuojamą saugumo vertinimo pateikimą saugos įgaliotiniui;

7.9. kitos informacijos, susijusios su TIS, kurio atžvilgiu turi būti atliktas saugumo vertinimas, pateikimą saugos įgaliotiniui, TIS savininkui, kitiems Administracijos darbuotojams ir paslaugų tiekėjams;

7.10. informacijos apie TIS PĮ gamintojų paskelbtus TIS PĮ atnaujinimus surinkimą;

7.11. informacijos apie TIS PĮ gamintojo paskelbtą TIS PĮ atnaujinimą pateikimą Administracijos atsakingiems darbuotojams;

8. TIS savininkas atsako už:

8.1. TIS įsigijimo inicijavimą ir planavimą;

8.2. TIS įsigijimo rezultatų įvertinimą;

8.3. sprendimo dėl TIS likvidavimo priėmimą;

8.4. sprendimo dėl TIS pokyčių įgyvendinimo bei pokyčio įgyvendinimo plano patvirtinimo, priėmimą;

8.5. pokyčių rezultatų įvertinimą.

9. Pokyčio iniciatorius atsako už:

9.1. reikiamų duomenų, susijusių su inicijuojamu pokyčiu, teikimą pokyčių valdymo proceso dalyviams, vertina pokyčio rezultatų atitiktį planuotiems rezultatams;

9.2. galutinių pokyčio rezultatų įvertinimą ir patvirtinimą;

9.3. TIS pokyčių planavimo eigos fiksavimą šiame Apraše numatytomis priemonėms;

10. Pokyčio vykdytojas atsako už:

10.1. pokyčio įgyvendinimą ir įgyvendinimo eigos kontrolę šiame Apraše nustatyta tvarka ir terminais;

10.2. TIS naudotojų ir kitų suinteresuotų asmenų informavimą apie pokyčius, kurių įgyvendinimo metu galimi TIS darbo sutrikimai, šiame Apraše nustatyta tvarka ir terminais;

10.3. pokyčio iniciatoriaus, TIS savininko saugos įgaliotinio informavimą apie pokyčių eigą ir rezultatus šiame Apraše nustatyta tvarka ir terminais;

10.4. TIS funkcinių, greitaveikos, apkrovos, skenavimo ir kitų testavimų įgyvendinimą arba inicijavimą ir įgyvendinimo kontrolę;

10.5. testinės aplinkos sukūrimą pagal šiame Apraše nustatytus reikalavimus;

10.6. pokyčio ištestavimo testinėje aplinkoje įgyvendinimą arba inicijavimą ir įgyvendinimo kontrolę;

10.7. TIS pokyčių įgyvendinimo eigos fiksavimą šiame Apraše numatytomis priemonėms.

11. Administracijos padalinių vadovai ir darbuotojai yra atsakingi už kibernetinio saugumo vadovo ir (ar) saugos įgaliotinio pavedimų, susijusių su šiame Apraše numatytų techninių reikalavimų, taikomų Administracijoje, vykdymu, saugumo spragų valdymu ir atskleidimu, įgyvendinimą, taip pat kitų Administracijos padalinių ar darbuotojų pavedimus, susijusius su TIS pokyčių ir pataisų valdymu.

III SKYRIUS

TINKLŲ IR INFORMACINIŲ SISTEMŲ ĮSIGIJIMAS, PLĖTOJIMAS IR PRIEŽIŪRA

12. Šio Aprašo nuostatos yra taikomos visų Administracijos valdomų TIS įsigijimui, plėtojimui ir priežiūrai bei likvidavimui viso TIS gyvavimo ciklo metu. Jei Administracija valdo valstybės informacinę sistemą, jai papildomai taikomi Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo ir jo įgyvendinimą reglamentuojančių teisės aktų reikalavimai.

13. TIS gyvavimo ciklas – TIS būsenos pokyčių nuo jos sukūrimo iki veikimo pabaigos visuma.

14. TIS gyvavimo ciklo stadijos:

14.1. TIS įsigijimas;

14.2. TIS eksploatavimas;

14.3. TIS plėtojimas;

14.4. TIS likvidavimas.

15. Prieš atliekant TIS įsigijimą, Administracijos atsakingi darbuotojai turi įvertinti veiklos poreikius, teisės aktų reikalavimus, kibernetinio saugumo reikalavimus. Pasirengimo įsigyti TIS metu turi būti parengti TIS techniniai reikalavimai, kibernetinio saugumo reikalavimai ir įsigijimo sąlygos.

16. Administracijos atsakingi darbuotojai turi pareikšti lėšų poreikį TIS įsigijimui, eksploatavimui ar plėtojimui iki Savivaldybės mero nustatyto kitų metų Savivaldybės biudžeto projekto rengimo darbų atlikimo terminų vadovaujantis Telšių rajono savivaldybės biudžeto sudarymo ir vykdymo taisyklėmis.

17. Rengiant įsigyjamos TIS techninius reikalavimus, jie specifikuojami techninėje specifikacijoje ar užduotyje (toliau – Specifikacija). Specifikacijoje turi būti numatyti atliktų reikalavimų analizės rezultatai, numatyti TIS funkcionalumai, duomenų srautai ir integracijų poreikiai, nustatyti funkciniai ir nefunkciniai reikalavimai, įskaitant kibernetinio saugumo reikalavimai. Specifikacijoje turi būti įtraukti privalomi apsaugos nuo kenkimo programinės įrangos (virusų, šnipinėjimo programų), filtravimo, pašto apsaugos, tinklo saugumo ir kiti kibernetinio saugumo reikalavimai.

18. Rengiant Specifikaciją joje turi būti numatyti kibernetinio saugumo reikalavimai (pateikiamas pavyzdinis sąrašas):

18.1. saugiam programavimui, jei TIS yra kuriama;

18.2. saugumo sistemoms, skirtoms TIS apsaugoti nuo kenkimo PĮ (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.);

18.3. kompiuterių tinklo filtravimo įrangai (saugasienių, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kita);

18.4. duomenų perdavimo tinklo saugumui;

18.5. kitoms priemonėms, naudojamoms kibernetiniam saugumui užtikrinti;

18.6. kiti kibernetinio saugumo reikalavimai, kurie Administracijos manymu, yra būtini, kad būtų įsigyta saugi TIS, jos programinė ar techninė įranga.

19. Perkant TIS ar jos kūrimo paslaugas, tiekėjams turi būti keliami kvalifikaciniai reikalavimai, numatyti Tiekimo grandinės saugumo valdymo tvarkos apraše.

20. TIS įsigijimo metu:

20.1. įsigyjamos TIS kūrimo paslaugos, kurios pilnai turi pilnai tenkinti Specifikacijoje numatytus reikalavimus saugiam programavimui;

20.2. įsigyjama TIS programinė ar techninė įranga, kuri turi pilnai tenkinti tokiai įrangai Specifikacijoje numatytus kibernetinio saugumo reikalavimus;

20.3. atliekami TIS programinės ar techninės įrangos diegimo ir konfigūravimo darbai, kuri turi pilnai tenkinti tokioms paslaugoms Specifikacijoje numatytus kibernetinio saugumo reikalavimus;

20.4. atliekami TIS programinės ar techninės įrangos testavimo testinėje aplinkoje veiklos. Testavimo metu turi būti atliktas TIS programinės ar techninės įrangos, bei programinio kodo saugumo vertinimas, kurio tikslas nustatyti esamas ir žinomas saugumo spragas. Testavimo rezultatai fiksuojami, neatitikimai šalinami prieš pradedant bandomąją eksploatavimą;

20.5. atliekami TIS programinės ar techninės įrangos diegimo į gamybinę aplinką veiklos. PĮ į gamybinę aplinką gali diegti tik Administracijos įgalioti darbuotojai ir (ar) trečiosios šalys;

20.6. atliekamas TIS programinės ar techninės įrangos bandomoji eksploatacija, kurios metu yra vertinamas TIS programinės ar techninės įrangos funkcionalumas;

20.7. vykdomi TIS naudotojų mokymai;

20.8. rengiama TIS tinkamumo eksploatuoti ir kita dokumentacija.

21. TIS įsigijimas laikomas baigtu, kai Administracijos veiklos padaliniai ir atsakingi darbuotojai patvirtina, kad TIS įsigijimas ir diegimas sėkmingai baigtas ir TIS yra saugi (pilnai atitinka Specifikacijoje numatytus kibernetinio saugumo reikalavimus) ir tinkama naudoti gamybinėje aplinkoje.

22. TIS eksploatavimo metu gamybinėje aplinkoje atliekama nuolatinė TIS veikimo stebėsena, reguliariai atnaujinami filtrai, atliekami saugumo vertinimai ir rizikų analizė. Vykdomas TIS pokyčių valdymas pagal šio Aprašo nuostatas. Administracijoje leidžiama naudoti tik administracijos direktoriaus patvirtintą PĮ, jos sąrašas peržiūrimas ne rečiau kaip kartą per metus.

23. TIS eksploatavimo metu Administracijos atsakingi padaliniai, darbuotojai ir (ar) trečiosios šalys, teikiančios TIS priežiūros paslaugas, turi užtikrinti nuolatinę TIS priežiūrą, savalaikį reagavimą į TIS sutrikimus ar neveikimą bei savalaikį TIS sutrikimų ar neveikimo bei PĮ klaidų šalinimą.

24. TIS eksploatavimo etapo metu periodiškai vykdomi TIS skenavimai.

25. TIS plėtojimo darbai atliekami pagal šiame Apraše apibrėžtą TIS pokyčių valdymo procesą.

26. Likvidavimas inicijuojamas panaikinus veiklos funkciją (-as) ar atsiradus kitoms priežastims, dėl ko TIS tampa nebereikalinga. TIS likvidavimo metu turi būti užtikrintas saugus juose esančių duomenų perkėlimas ar naikinimas.

27. TIS likvidavimo etapo metu:

27.1. informuojami duomenų teikėjai ir duomenų gavėjai;

27.2. Administracijos interneto svetainėje paskelbiama informacija, kuri toliau nebus apdorojama, atnaujinama, teikiama ar skelbiama;

27.3. TIS sukaupti duomenys perduodami kitoms Administracijos TIS arba sunaikinami;

27.4. techninės priemonės perduodamos naudoti kitoms Administracijos TIS arba likviduojamos.

28. Jeigu Administracija pati atlieka visas ar dalį TIS programavimo veiklų, atliekant šiame Apraše nurodytus TIS programinio kodo kūrimo, konfigūravimo ar plėtojimo darbus, turi būti taikomi saugaus programavimo principai, siekiant užtikrinti, kad PĮ būtų parašyta saugiai, taip sumažinant galimų PĮ saugumo spragų skaičių. Saugaus programavimo principai taip pat turi būti taikomi ir trečiųjų šalių programinės įrangos komponentams ir atvirojo kodo programinei įrangai.

29. Atliekant TIS programinio kodo kūrimo, konfigūravimo ar plėtojimo darbus turi būti atsižvelgiama į:

29.1. saugaus programavimo praktikų ir metodų naudojimą;

29.2. programinio kodo dokumentavimą ir programavimo defektų, kurie gali leisti pasinaudoti saugumo spragoms, pašalinimą;

29.3. draudimą naudoti nesaugius projektavimo metodus (pavyzdžiui, naudoti įkoduotus slaptažodžius);

29.4. prieš patvirtinant programinės įrangos parengimą naudoti, turi būti įvertinti jos saugumo vertinimo rezultatai ir atlikta dažniausiai pasitaikančių programavimo klaidų analizė ir įsitikinta, kad programinė įranga yra tinkama eksploatuoti.

30. Patvirtinus TIS programinio kodo parengimą naudoti turi būti užtikrinta nuolatinė TIS programinio kodo peržiūra ir priežiūra:

30.1. atnaujinimai turi būti saugiai įdiegiami laikantis šio Aprašo reikalavimų;

30.2. visos saugumo vertinimo metu nustatytos saugumo spragos turi būti sutvarkytos ir pašalintos;

30.3. programinio kodo klaidos turi būti registruojamos, o registracijos žurnalai turi būti reguliariai peržiūrimi, kad prireikus būtų galima pakoreguoti programinį kodą;

30.4. pirminis programinis kodas turi būti apsaugotas nuo neleistinos prieigos ir modifikavimo.

31. TIS gyvavimo ciklo metu užtikrinant TIS įsigijimą, kūrimą, priežiūrą, plėtrą ir likvidavimą turi būti vadovaujamasi Lietuvos Respublikos teisės aktų reikalavimais, tarptautiniais standartais (pvz., standartų ISO/IEC 27001, ISO/IEC 20000 grupėmis) bei gerosiomis pasaulinėmis praktikomis. Už visų etapų įgyvendinimą turi būti paskirti Administracijos atsakingi darbuotojai, į atitinkamus etapus įtrauktas  kibernetinio saugumo vadovas ar saugos įgaliotinis.

32. Administracijos atsakingi darbuotojai su paslaugų tiekėjais sudarydami TIS įsigijimo, plėtojimo ir priežiūros paslaugų teikimo sutartis, turi vadovautis Tiekimo grandinės saugumo valdymo tvarkos aprašu.

IV SKYRIUS

TINKLŲ IR INFORMACINIŲ SISTEMŲ POKYČIŲ VALDYMAS

33. TIS pokyčių (toliau – pokytis) gyvavimo ciklo etapai:

33.1. Pokyčio planavimas, kuris apima pokyčio identifikavimą, jo inicijavimą, įvertinimą ir patvirtinimą;

33.2. pokyčio įgyvendinimas;

33.3. įgyvendinto pokyčio peržiūra;

33.4. pokyčio uždarymas.

34. Pokyčio planavimas ir įgyvendinimas organizuojamas atsižvelgiant į pokyčių kategorijas:

34.1. Standartinis pokytis (angl. Standard change) – pokytis, kuriam galima taikyti standartines procedūras, nes jam atlikti būtini veiksmai yra žinomi, jie nekelia rizikos kokybiškam TIS paslaugų teikimui arba TIS infrastruktūros veikimui ir  nereikalauja papildomų lėšų. 

34.2. Skubus pokytis (angl. Emergency change) – pokytis, skirtas aukščiausio prioriteto TIS sutrikimams arba problemoms šalinti ir reikalauja ypatingos įvertinimo, patvirtinimo ir atlikimo skubos, taip pat TIS avariniai pokyčiai (pvz., veiklos atkūrimas likviduojant kibernetinio saugumo incidento ar kitų ekstremaliųjų situacijų padarinius).

34.3. Plėtros pokytis (angl. Normal change) – pokytis, kuriuo yra kuriamos arba modernizuojamos TIS paslaugos ir su tuo susiję pokyčio atlikimo veiksmai nėra visiškai aiškūs, o pokyčio atlikimas yra susijęs su tam tikra rizika TIS paslaugų teikimui arba visos TIS infrastruktūros veikimui.

35. Pokyčiai pagal pokyčio rizikos, skubumo, poveikio ir reikiamų išteklių kriterijus klasifikuojami į aukšto sudėtingumo, vidutinio sudėtingumo ir žemo sudėtingumo.

36. Žemo sudėtingumo pokyčių valdymas nereikalauja tvirtinimo, jie gali būti registruojami ir įgyvendinami.

37. Aukšto ir vidutinio sudėtingumo pokyčiai turi būti planuojami ir įgyvendinami žemiau šiame Apraše nustatyta tvarka.

38. Pokyčiai identifikuojami analizuojant TIS veiklos poreikius, kuriuos formuoja socialiniai, teisiniai, ekonominiai, technologiniai aspektai ir tendencijos, esama TIS būklė (pvz. netinkama konfigūracija, esamos ar žinomos spragos, neatitiktis teisės aktų ir standartų reikalavimams, pasikartojančios TIS veikimo klaidos ir pan.), taip pat TIS naudotojų ir administratorių poreikiai.

39. Pokyčius inicijuoja pokyčio iniciatorius.  TIS naudotojai gali   TIS savininkui ar saugos įgaliotiniui teikti pasiūlymus dėl reikalingų pokyčių.

40. Pokyčių inicijavimo pagrindai:

40.1. TIS ar jos infrastruktūros tobulinimas;

40.2. TIS plėtra ar modernizavimas;

40.3. elektroninių paslaugų fiziniams ir juridiniams asmenims teikimo tobulinimas ar plėtra;

40.4. TIS tobulinimas ar plėtra atsižvelgiant į TIS naudotojų ir TIS administratorių poreikius;

40.5. kibernetinio saugumo rizikos įvertinimo metu nustatytos rizikos;

40.6. atitikties Kibernetinio saugumo įstatymo ir jo įgyvendinimą reglamentuojančių teisės aktų ir Tinklų ir informacinių sistemų kibernetinio saugumo politikos ir jos įgyvendinimą reglamentuojančių vidaus teisės aktų reikalavimams vertinimo metu nustatytos neatitiktys;

40.7. TIS konfigūracijos klaidos;

40.8. kibernetinio saugumo incidentai;

40.9. nustatytos esamos ar žinomos TIS spragos.

41. Pokyčio iniciatorius standartinius pokyčius ir plėtros pokyčius turi suderinti su  TIS savininkais ir kibernetinio saugumo vadovu ar saugos įgaliotiniu, bei su jais suderinti pokyčio įgyvendinimo grafiką. Pokyčio iniciatorius skubius pokyčius su Administracijos TIS savininkais turi suderinti tik esant tokiai galimybei. Pokyčio iniciatorius skubius pokyčius visais atvejais turi suderinti su kibernetinio saugumo vadovu.

42. Pokyčiai, galintys sutrikdyti ar sustabdyti Administracijos veiklą, papildomai turi būti suderinti su administracijos direktoriumi ar jo įgaliotu asmeniu.

43. Pokyčio iniciatoriui pokyčius aukščiau nustatyta tvarka suderinus su Administracijos atsakingais darbuotojais, juos perduoda pokyčių vykdytojui.

44. Pokyčio vykdytojas, prieš pradedamas įgyvendinti pokytį, turi informuoti  TIS naudotojus ir kitus suinteresuotus asmenis apie pokyčius, kurių įgyvendinimo metu galimi TIS darbo sutrikimai. Apie pokyčius turi būti informuojama pokyčius įgyvendinančio subjekto interneto svetainėje, TIS taikomosiose programose ar kitomis priemonėmis (pvz., raštu, elektroniniu paštu ir pan.) ne vėliau kaip prieš 3 (tris) darbo dienas iki planuojamo pokyčio įgyvendinimo pradžios. Šio punkto nuostatų gali būti nesilaikoma, jeigu įgyvendinami skubūs pokyčiai.

45. Pokyčio vykdytojas pokytį įgyvendina pagal su TIS savininkais ir kibernetinio saugumo vadovu ar saugos įgaliotiniu suderintą pokyčio įgyvendinimo grafiką, juos nuolat informuodamas apie pokyčio eigą ir tarpinius bei galutinius rezultatus. Pokyčio vykdytojas pokyčio metu kontroliuoja pokyčio įgyvendinimo eigą: svarsto pokyčių valdymo proceso dalyvių pasiūlymus, koordinuoja pokytyje dalyvaujančių dalyvių veiksmus, teikia pasiūlymus TIS savininkams, kibernetinio saugumo vadovui ar saugos įgaliotiniui, pagal poreikį – administracijos direktoriui.

46. Įgyvendinto pokyčio peržiūros metu gali būti atliekami TIS funkciniai, greitaveikos, apkrovos, skenavimo ir kiti testavimai.

47. Pokyčiai, galintys sutrikdyti ar sustabdyti TIS darbą, daryti neigiamą įtaką informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti testavimui skirtoje aplinkoje, atliekant TIS saugumo vertinimus. Pokyčiai darbinėje aplinkoje gali būti vykdomi šiame Apraše numatytu būdu tik išimtiniais atvejais, kai dėl techninių, programinių ar kitų priežasčių (pvz., veiklos atkūrimas ir kitos ekstremalios situacijos ir pan.) pokyčių nėra galimybės patikrinti testavimui skirtoje TIS aplinkoje ir tik gavus kibernetinio saugumo vadovo leidimą.

48. TIS testavimo aplinkoje neturi būti konfidencialių ir asmens duomenų. TIS testavimo aplinka turi būti atskirta nuo TIS darbinės aplinkos.

49. TIS savininkui nustačius, kad pokyčių testavimo testavimui skirtoje aplinkoje rezultatas atitinka laukiamus rezultatus, pokyčiai gali būti atliekami darbinėje TIS aplinkoje.

50. Įgyvendinus pokytį, pokyčio vykdytojas turi parengti ir (ar) atnaujinti TIS dokumentaciją (pvz. tinklo schemas, TIS struktūrą, duomenų mainų schemas ir pan.).

51. Įgyvendinus pokytį, pokyčio uždarymo metu, pokyčio iniciatorius ir pokyčio vykdytojas turi patikrinti (peržiūrėti) TIS konfigūraciją ir TIS būsenos rodiklius, palyginti ir pagal kompetenciją įvertinti, ar pokytis atitinka planuojamus rezultatus. Sudėtingiems ir specifinių pokyčių rezultatams įvertinti gali būti pasitelkti ir kiti Administracijos ar trečiosios šalies (paslaugų teikėjo) kompetentingi specialistai.

52. Pokyčių valdymo proceso dalyviai pokyčių planavimo ir įgyvendinimo eigą fiksuoja šio Aprašo 3 priede numatytoje pokyčių registro formoje (žr. šio Aprašo 3 priedą).

53. Už TIS saugumo vertinimo inicijavimą, kai yra atliekamas standartinis pokytis ir plėtros pokytis, yra atsakingas pokyčio iniciatorius, skubaus pokyčio atveju   kibernetinio saugumo vadovas ar saugos įgaliotinis.

 

V SKYRIUS

TINKLŲ IR INFORMACINIŲ SISTEMŲ SAUGUMO SPRAGŲ VALDYMAS IR ATSKLEIDIMAS

 

54. Spragų valdymo objektai yra Turto valdymo tvarkos apraše nurodytų TIS  elementai, esantys:

54.1. fiziniuose (įskaitant telkinius, angl. cluster) ir virtualiuose serveriuose (toliau – Serveriai), esančiuose Administracijos patalpose arba trečiųjų šalių (toliau – paslaugų teikėjas) duomenų centre;

54.2. trečiųjų šalių debesijos infrastruktūroje (angl. Infrastructure as a Service – IaaS), kai tokias paslaugas užsako Administracija;

54.3. kompiuterizuotų darbo vietų (toliau – KDV) techninėje įrangoje, kurią valdo Administracija;

54.4. aplikacijose (angl. Applications), kurias valdo ir (ar) prižiūri Administracija;

54.5. duomenų bazėse, kurias valdo ir (ar) prižiūri Administracija;

54.6. tinklo techninėje įrangoje, kurias valdo ir (ar) prižiūri Administracija;

54.7. įrenginiuose esančių valdiklių ir daviklių (daiktų interneto valdiklių ir daviklių, angl. Internet of Things, IoT), kuriuos valdo Administracija.

55. Administracija, atlikusi esminius valdomų ir tvarkomų TIS techninės ar programinės įrangos, programinio kodo, KDV ir gamybos vietų ir kitos įrangos pakeitimus (pvz. TIS architektūros ar infrastruktūros keitimus, naujų TIS modulių diegimą ar ženklų TIS esamų modulių funkcionalumo keitimą, visų kompiuterizuotų darbo ar gamybos vietų operacinės įrangos diegimą ir pan.), perkeliant juos į gamybinę aplinką, savarankiškai ar su trečiųjų šalių pagalba, turi nustatyti, įvertinti ir pašalinti TIS esamas ar žinomas saugumo spragas, t. y. atlikti TIS saugumo vertinimą ir, esant poreikiui, atlikti kibernetinio saugumo rizikos vertinimą vadovaujantis Tinklų ir informacinių sistemų rizikos vertinimo tvarkos aprašu.

56. Administracijos TIS saugumo vertinimai turi būti atlikti kartu su TIS funkcionalumų, apkrovos ir (ar) kitais vertinimais ar atlikti iš karto po jų.

57. Draudžiama Administracijoje atlikus TIS esminius pakeitimus, valdomas TIS ir jų dalis (pvz., valdomą ir tvarkomą TIS techninę ir programinę įrangą, programinį kodą, kompiuterizuotas darbo ir gamybos vietas ir kitą įrangą) diegti į gamybinę aplinką, prieš tai neatlikus jų saugumo vertinimo ar kibernetinio saugumo rizikos vertinimo.

58. Draudžiama Administracijos valdomas TIS (pvz., valdomų ir tvarkomų TIS techninę ir programinę įrangą, programinį kodą, tinklo įrangą, kompiuterizuotas darbo ir gamybos vietas ir kitą įrangą) diegti į gamybinę aplinką, jei yra nustatytos ar žinomos kritinio ir didelės rizikos lygio saugumo spragos.

59. TIS, KDV ir gamybos vietų skenavimai ar kitų saugumo spragų nustatymo būdų (pvz. įsilaužimų testavimų) įgyvendinimas turi būti periodinis, o visų TIS spragų skenavimas, vadovaujantis Kibernetinio saugumo įstatymo ir jį įgyvendinančių teisės aktų reikalavimais, atlikti ne rečiau kaip kas 6 mėnesius. Kartu su TIS saugumo vertinimu, tai pat turi būti atliktas ir elektroninio pašto saugumo vertinimas.

60.  Saugos įgaliotinis turi parengti ir su kibernetinio saugumo vadovu suderinti Spragų nustatymo planą. Spragų nustatymo plano pagrindu saugos įgaliotinis turi organizuoti saugumo vertinimus, esant poreikiui, tam pasitelkti paslaugų tiekėjus, organizuojant tokių paslaugų įsigijimus.

61. Už saugumo vertinimo įgyvendinimą yra atsakingas Administracijos darbuotojas, kuriam kibernetinio saugumo vadovas ir (ar) saugos įgaliotinis paveda atlikti saugumo vertinimą arba trečioji šalis, su kuria Administracija yra sudariusi paslaugų teikimo sutartį ir kibernetinio saugumo vadovas ir (ar) saugos įgaliotinis paveda jai atlikti saugumo vertinimą.

62. Administracijos valdomose TIS esamos ir žinomos saugumo spragos gali būti nustatomos iš Administracijos valdomų TIS techninės ar programinės įrangos gamintojų, informacijos ir kibernetinio saugumo forumų ar kitų šaltinių (pvz., Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos paviešinus atitinkamą informaciją) gaunant (surenkant) informaciją apie žinomas tokios TIS techninės ar programinės įrangos saugumo spragas. 

63. TIS saugumo vertinimai gali būti atliekami naudojant VMS įrankius bei atitinkamus juodosios dėžės (angl. blackbox), pilkosios dėžės (angl. graybox) ar baltosios dėžės (angl. whitebox) metodus, taip pat naudojant nekomercinės organizacijos Open Worldwide Application Security Project išleistą ir atnaujinamą saugumo spragų vertinimo (aktualios versijos) metodiką (toliau – OWASP metodika).

64. Draudžiama naudoti nepatikimus VMS įrankius (ir) nepatikimų gamintojų skurtus ir palaikomus VMS įrankius. TIS saugumo vertinimo metu naudojami VMS įrankiai turi būti suderinti su kibernetinio saugumo vadovu ar saugos įgaliotiniu.

65. TIS saugumo vertinimo metu, atliekant TIS skenavimą ar įsilaužimų testavimą, turi būti atliktas:

65.1. įsibrovimo iš interneto, išorės perimetro, žiniatinklio, interneto svetainių, mobiliųjų aplikacijų saugumo vertinimas (toliau – Išorinio tinklo saugumo vertinimas);

65.2. vidinio ir gamybinio (pvz., SCADA) tinklo bei vidiniame tinkle esančios techninės ir programinės įrangos ir IT paslaugų saugumo įvertinimas (toliau – Vidinio tinklo saugumo vertinimas);

65.3. KDV ir gamybos vietų saugumo vertinimas;

65.4. pagal poreikį, programinio kodo saugumo vertinimas.

66. Skenavimo metu, naudojant VMS įrankius, yra automatizuotai skanuojamos TIS, nustatomos saugumo esamos spragos, įvertinami, ar jos nėra netikros ir (ar) neteisingai identifikuotos (angl. false positive) ir pagal CVSS klasifikatorių spragos yra priskiriamos atitinkamam rizikos lygiui.

67. Įsilaužimų testavimas vykdomas papildomai su VMS įrankiais ir rankiniu būdu, tikrinant galimybes išnaudoti surastas saugumo spragas bei nustatant jų įtaką TIS.

68. Išorinio tinklo saugumo vertinimas turi apimti bent:

68.1. informacijos apie tikrinamą objektą surinkimą iš viešai prieinamų šaltinių. Informacija surenkama naudojantis įvairiomis paieškos sistemomis, programine įranga, interneto ištekliais, katalogais, viešomis duomenų bazėmis;

68.2. perimetro tinklo mazgų, pasiekiamų iš interneto, nustatymą;

68.3. perimetro tinklo mazguose veikiančių operacinių sistemų nustatymą ir atitinkamų, šiai dienai žinomų saugumo spragų patikrinimą;

68.4. perimetro tinklo mazguose veikiančių tarnybų nustatymą ir atitinkamų, šiai dienai žinomų saugumo spragų patikrinimą bei konfigūracijos analizę (pavyzdžiui, papildomos informacijos apie audituojamas sistemas surinkimą per klaidų, sisteminius pranešimus, servisų programinę realizaciją);

68.5. nustačius spragas, TIS administratoriaus sprendimu, gali būti atliekamas įsilaužimo testas;

68.6. jei aptinkama iš interneto pasiekiamų tarnybų, reikalaujančių vartotojo autentifikavimo, tuomet atliekamas išorinės paslaugos slaptažodžių auditas. Tikrinama, ar naudojami patikimi slaptažodžiai, ar įmanoma juos atspėti arba parinkti, taip pat ar įmanoma atspėti naudotojus;

68.7. vertinamos antivirusinės sistemos galimybės susidoroti su žalingu kodu;

68.8. vertinamas tinklo mazgų atsparumas paslaugos trikdymo DoS (angl. Denial of Service) atakoms.

69. Vidinio tinklo saugumo vertinimas turi apimti bent:

69.1. aktyvios tinklo įrangos konfigūracijos tikrinimą;

69.2. tarnybinių stočių saugumo patikrinimą;

69.3. KDV saugumo patikrinimą;

69.4. duomenų bazių valdymo sistemų patikrinimą;

69.5. svarbių slaptažodžių auditą. Tikrinama ar naudojami patikimi slaptažodžiai, ar įmanoma juos atspėti arba parinkti.

70. TIS programinės įrangos saugumo įvertinimas turi apimti ne mažiau kaip:

70.1. naudojamų technologijų identifikavimą (pavyzdžiui, platforma, programavimo įrankiai ir priemonės);

70.2. paslaugų konfigūracijos patikrinimą (pavyzdžiui, darbinės direktorijos pakeitimas, naudotojų teisių padidinimas, informacijos atskleidimas per klaidų pranešimus ir pan.);

70.3. saugumo spragų paiešką (pavyzdžiui, duomenų tikrinimas (angl. Input Validation), struktūruotos užklausų kalbos injekcijos (angl. SQL injection), buferio perpildymas (angl. Buffer overflow) ir pan.) manipuliuojant pateikiamais duomenimis ar duomenų paketais ir įvertinant kaip į iškraipytus duomenis reaguoja programinė įranga;

70.4. komunikacijų tarp skirtingų TIS elementų saugumo įvertinimą;

70.5. trūkumų ieškojimą tomis teisėmis ir sąlygomis, kuriomis dirba Administracijos darbuotojai ir/ar trečiųjų šalių atstovai;

70.6. tikrinant tinklapių prieigą ir tinklo paslaugas (angl. web service) rankiniu turi būti įvertinta bent:

70.6.1. įvairios injekcijos (struktūruotos užklausų kalbos SQL, kompiuterinės žymėjimo kalbos XML, protokolo LDAP, dinaminės interpretuojamos programavimo kalbos PHP, komandų ir t.t.);

70.6.2. autorizacijos ir sesijos valdymo saugumas, perėmimo galimybės;

70.6.3. perduodamų/priimamų duomenų perėmimo galimybės ir manipuliavimas jais;

70.6.4. naudotojų teisės.

71. Atliekant KDV saugumo vertinimą turi būti įvertinta ne mažiau kaip 5 (penkios) Administracijos TIS administratorių KDV ir ne mažiau kaip 5 (penkios) skirtingų tipų TIS naudotojų KDV.

72. Programinio kodo saugumo vertinimo metu turi būti automatizuotais VMS įrankiais ir rankiniu būdu įvertintas programinis kodas, norint nustatyti, ar jame nėra esamų ir (ar) žinomų saugumo spragų ar netinkamų konfigūracijų (pvz. angl. backdoor).

73. Informacija apie TIS spragą taip pat gali būti gauta iš išorės (pvz., pagal atsakingo atskleidimo principą) ir naudojama kaip tinkamas šaltinis, jei jos gavimo būdas pilnai atitinka Kibernetinio saugumo įstatymo 25 straipsnyje nustatytus reikalavimus.

74. Nustatytos TIS spragos turi būti vertinamos pagal CVSS klasifikatorių.

75. Administracijoje atsakingas darbuotojas ar paslaugų teikėjas, atlikęs Administracijos TIS saugumo vertinimą turi parengti TIS saugumo vertinimo ataskaitą (toliau – Ataskaita), kurioje turi detaliai aprašyti nustatytas saugumo spragas, pateikiant jų aptikimą patvirtinančius įrodymus, jų išnaudojimo galimybes ir rizikos lygį pagal CVSS klasifikatorių, kuris pateiktas Aprašo 1 lentelėje „Saugumo spragų vertinimo balai ir šalinimo laikai pagal CVSS klasifikatorių“.

76. Ataskaitoje prie kiekvienos saugumo spragos taip pat privaloma pateikti nustatytų saugumo spragų pašalinimo išsamias rekomendacijas.

77. Saugos įgaliotinis su Ataskaita supažindina saugumo vertinimą inicijavusį  darbuotoją ir TIS, kuriuose nustatytos saugumo spragos, savininkus.

78. Saugos įgaliotinis, TIS saugumo vertinimo metu nustatytas saugumo spragas turi šalinti toliau šiame Apraše aprašyta pataisų valdymo tvarka duodamas pavedimus  atsakingiems darbuotojams atlikti šiame Apraše numatytų saugumo spragų šalinimo veiklas.

79. Saugos įgaliotinis,  atsakingiems darbuotojams duodamas pavedimus pašalinti nustatytas saugumo spragas turi nurodyti jų įgyvendinimo datą, vadovaudamasis toliau šiame Apraše aprašytais terminais.

80. Saugos įgaliotinis, duodamas pavedimus, atitinkamai įvertina TIS saugumo spragos galimą įtaką kitoms Administracijos valdomoms TIS, esant poreikiui, inicijuoja arba pats atlieka jų informacijos saugumo rizikos vertinimą.

81. Kibernetinio saugumo vadovas ar saugos įgaliotinis TIS saugumo vertinimo metu nustatytas TIS saugumo spragas registruoja šio Aprašo 2 priede numatytoje TIS saugumo spragų registro formoje (žr. šio Aprašo 2 priedą).

82. Darbuotojai, atsakingi už saugumo spragų šalinimą, organizuoja ir įgyvendina Administracijos TIS saugumo spragų šalinimą vadovaudamiesi toliau šiame Apraše aprašyta pataisų valdymo įgyvendinimo tvarka ir saugumo spragų šalinimo terminais.. Kibernetinio saugumo vadovo ar saugos įgaliotinio sprendimu žemos rizikos saugumo spragos gali būti nešalinamos.

83. Jei TIS saugumo spragų šalinimo priemonių nėra, tokiu atveju  darbuotojai, atsakingi už saugumo spragų šalinimą, pasitarę su saugos įgaliotiniu, planuoja ir įgyvendina kitas galimas saugumo spragų šalinimo priemones (pvz. kompensacines priemones), organizuoja naujų priemonių įsigijimą ar diegimą (pvz., prieigų teisių valdymo, įsilaužimų prevencijos, duomenų nutekinimo techninių priemonių ir kt.).

84. Darbuotojai, atsakingi už TIS saugumo spragų šalinimą nustatytas TIS saugumo spragas turi pašalinti per laiką, numatytą šio Aprašo 1 lentelėje.

 

1 lentelė. TIS saugumo spragų vertinimo balai pagal CVSS klasifikatorių ir jų šalinimo laikai.

Saugumo spragos rizikos lygis

CVSS balas nuo iki

Įtaka

Maksimalus saugumo spragos šalinimo laikas nuo jos nustatymo momento

Kritinis

(angl. critical)

10.0 – 9.0

Neigiamai paveikiama visos Administracijos ir visų jos klientų veikla.

3 kalendorinės dienos

Aukštas

(angl. high)

8.9 – 7.0

Neigiamai paveikiama visos Administracijos ir kelių jos klientų veikla.

7 kalendorinės dienos

Vidutinis

(angl. medium)

6.9 – 4.0

Neigiamai paveikiami visi vidiniai Administracijos procesai ir (ar) visi vidiniai darbuotojai.

30 kalendorinių dienų

Žemas

(angl. low)

3.9 – 0.1

Neigiamai paveikiami keli vidiniai Administracijos procesai ir (ar) keli vidiniai darbuotojai.

365 kalendorinės dienos

 

 

85. Darbuotojai, atsakingi už TIS saugumo spragų šalinimą, negalėdami TIS saugumo spragas pašalinti per šio Aprašo 1 lentelėje nustatytą terminą, turi apie tai informuoti saugos įgaliotinį bei su juo ir TIS, kuriame yra saugumo spraga, savininku suderinti papildomą tokios spragos šalinimo terminą.

86. Visos TIS saugumo spragos, kurios įvertintos kaip itin reikšmingos TIS veiklai turi būti pašalintos nedelsiant.

87. Darbuotojai, atsakingi už TIS saugumo spragų šalinimą, organizuoja ir įgyvendina tokių TIS saugumo spragų šalinimo veiklas:

87.1. ištaiso techninės ar programinės įrangos klaidas ir atlieka reikiamas konfigūracijas, jei reikia šiam tikslui kreipiasi į paslaugų tiekėjus. Tokiu atveju, koordinuoja paslaugų teikėjų atliekamus techninės ar programinės įrangos klaidų šalinimo ir nustatytų keitimo veiklas, užtikrina jų įgyvendinimo kontrolę;

87.2. apriboja TIS, kuriame yra esama ar žinoma saugumo spraga, pasiekiamumą;

87.3. atnaujina PĮ vadovaudamiesi Apraše nustatyta tvarka ir terminais;

87.4. paruošia ir su TIS savininku suderina konfigūracijų keitimo planą bei užtikrina jo įgyvendinimą;

87.5. inicijuoja reikiamų techninių priemonių įsigijimą, koordinuoja jų diegimą ir užtikrina diegimo kontrolę;

87.6. pagal poreikį atlieka kitas saugumo spragų šalinimo veiklas.

88. Tais atvejais, kai dar nėra programinės įrangos atnaujinimo iš gamintojo ar taikomos priemonės visiškai nepašalina saugumo spragos, ar saugumo spragos švelninimo veiksmai turi įtaką kitoms Administracijos valdomoms TIS, atlikus kibernetinio saugumo rizikos vertinimą, tokia TIS gali būti naudojamas su nepašalinta saugumo spraga tik saugos įgaliotinio sprendimu, tokį sprendimą suderinus su TIS, kuriame yra saugumo spraga, savininku.

89. Darbuotojai, atsakingi už TIS saugumo spragų šalinimą, pašalinę saugumo spragą, turi nedelsiant informuoti saugos įgaliotinį.

90. Saugos įgaliotinis TIS saugumo spragų šalinimo eigos procesą turi tikrinti tokiu dažnumu:

90.1. kritinės rizikos saugumo spragos šalinimo eigos procesą – kartą į parą;

90.2. didelės rizikos saugumo spragos šalinimo eigos procesą – kartą kas 2 paras;

90.3. vidutinės rizikos saugumo spragos šalinimo eigos procesą – kartą į 2 savaites.

90.4. žemos rizikos saugumo spragos šalinimo eigos procesą – kartą į 1 mėnesį.

91. Darbuotojai, atsakingi už IT turto valdymą, siekdami, kad Administracijos valdomos TIS būtų tinkamai apsaugoti nuo saugumo spragų, turi tinkamai įgyvendinti IT valdymo procesus (pakeitimų, konfigūracijų ir sąrankos valdymą, pataisymų valdymą, saugų programavimą ir kitus IT valdymo procesus). Pagal kompetenciją saugos įgaliotinis konsultuoja darbuotojus, atsakingus už IT turto valdymą, šių procesų įgyvendinimo metu.

92. Šiame Apraše numatytas TIS saugumo spragų valdymo ir atskleidimo procesas turi būti suderintas su Kibernetinių incidentų valdymo plano nuostatomis. 

VI SKYRIUS

TINKLŲ IR INFORMACINIŲ SISTEMŲ PATAISŲ VALDYMAS

 

93. TIS administratorius turi periodiškai turimomis priemonėmis tikrinti informaciją apie TIS PĮ gamintojų paskelbtus TIS PĮ atnaujinimus.

94.  TIS administratorius nustatęs, kad TIS PĮ gamintojas paskelbė TIS PĮ atnaujinimą, kuris šalina kritinę ar aukštos rizikos saugumo spragą, apie tai turi informuoti saugos įgaliotinį ir už TIS PĮ atnaujinimą atsakingo padalinio vadovą, darbuotoją ir (ar) paslaugų tiekėją.

95. Už TIS PĮ atnaujinimą atsakingo padalinio vadovas ar darbuotojas nuo informacijos gavimo momento turi nedelsiant inicijuoti TIS PĮ atnaujinimą pagal skubų pokyčio valdymo būdą ir užtikrinti, kad ši TIS PĮ būtų atnaujinta šiame Apraše numatytais terminais. Už TIS PĮ atnaujinimą atsakingo padalinio vadovas ar darbuotojas apie atliktą TIS PĮ atnaujinimą, kuriuo buvo pašalinta kritinė ar aukšto rizikos lygio saugumo spraga turi nedelsiant informuoti saugos įgaliotinį.

96. Saugos įgaliotinį turi imtis veiksmų, siekiant įsitikinti, kad su TIS PĮ atnaujinimu yra tinkamai pašalinta kritinė ar aukšto rizikos lygio saugumo spraga. Nustačius, kad kritinė ar aukšto rizikos lygio saugumo spraga su TIS PĮ atnaujinimu nebuvo tinkamai pašalinta jis turi inicijuoti kompensacinių priemonių įgyvendinimą, siekiant, kad kritinė ar aukšto rizikos lygio saugumo spraga nebūtų lengvai išnaudota.

97.  TIS administratorius nustatęs, kad TIS PĮ gamintojas paskelbė TIS PĮ atnaujinimą, kuris nėra susijęs su kritine ar aukštos rizikos saugumo spraga, apie tai turi informuoti saugos įgaliotinį ir už TIS PĮ atnaujinimą atsakingo padalinio vadovas ar darbuotoją ir (ar) paslaugų tiekėją.

98. Už TIS PĮ atnaujinimą atsakingo padalinio vadovas ar darbuotojas nuo informacijos gavimo momento turi įvertinti galimybes organizuoti tokios TIS PĮ atnaujinimą pagal standartinį ar plėtros pokyčio valdymo būdą bei suorganizuoti susitikimą su TIS savininku, tikslu suplanuoti ir suderinti tokios TIS PĮ atnaujinimo planą ir grafiką.

99. Už TIS PĮ atnaujinimą atsakingo padalinio vadovas ar darbuotojas, gavęs TIS savininko sprendimą dėl TIS PĮ atnaujinimo inicijavimo pagal standartinį ar plėtros pokyčio valdymo būdą ir patvirtintą TIS PĮ atnaujinimo planą ir grafiką turi atnaujinti TIS PĮ plane ir grafike nustatytais terminais arba kreiptis į paslaugų tiekėją, su prašymu atnaujinti TIS PĮ plane ir grafike nustatytais terminais.

100. Saugos įgaliotinis papildomai turi įvertinti, ar suplanuoto TIS PĮ atnaujinimo metu turi būti atlikti saugumo vertinimas ir jų vientisumo tikrinimas. Jie taip, jis turi įgyvendinti TIS PĮ atnaujinimo saugumo vertinimą ir jų vientisumo tikrinimą šiame Apraše nustatyta tvarka.

101. Saugos įgaliotinis turi užtikrinti, kad TIS PĮ pataisos, kuriomis yra šalinamos nustatytos saugumo spragos (toliau – Saugos pataisos) turi būti testuojamos testinėje aplinkoje prieš jas diegiant į gamybinę aplinką.

102. Saugos įgaliotinis turi užtikrinti, kad būtų diegiamos tik oficialių TIS PĮ gamintojų saugos pataisos.

103. Draudžiama diegti Saugos pataisas, jei jose aptinkama saugumo spraga, kuri gali daryti didesnę žalą TIS, nei jų diegimo nauda.

VII SKYRIUS

TAIKOMŲ TECHNINIŲ REIKALAVIMŲ, ĮGYVENDINIMAS

 

104. Saugos įgaliotinis turi užtikrinti, kad Administracijoje taikomi techniniai reikalavimai, numatyti šio Aprašo 1 priede, būtų tinkamai įgyvendinti viso TIS gyvavimo ciklo metu, atliekant TIS pokyčius ir pataisas bei saugumo spragų valdymo ir atskleidimo metu. Šiam tikslui saugos įgaliotinis turi teisę duoti Administracijos padaliniams ar darbuotojams bei paslaugų tiekėjams pavedimus, taip pat koordinuoti ir kontroliuoti jų įgyvendinimą.

VIII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

105. Visi Administracijos valdomų TIS darbuotojai privalo laikytis šio Aprašo.

106. Atitinkamų Administracijos padalinių vadovai ar jų paskirti darbuotojai turi užtikrinti ir kontroliuoti, jog darbuotojų, atsakingų už TIS įsigijimo, kūrimo, priežiūros ir plėtros, TIS saugumo vertinimą, TIS saugumo spragų valdymo ir atskleidimo planavimą ir įgyvendinimą, veiksmai atitiktų Aprašo nuostatas.

107. Šis Aprašas turi būti peržiūrimas ir atnaujinamas bent kartą per metus arba kai atsiranda esminiai pokyčiai Administracijoje, kurie turi įtakos šiam Aprašui. Už šio Aprašo peržiūrėjimą ir atnaujinimą yra atsakingas kibernetinio saugumo vadovas.

______________________

TINKLŲ IR INFORMACINIŲ SISTEMŲ ĮSIGIJIMO, PLĖTOJIMO IR PRIEŽIŪROS SAUGUMO, ĮSKAITANT SPRAGŲ VALDYMO  IR ATSKLEIDIMO, TVARKOS APRAŠO PERŽIŪRA

 

Dokumento versija

Veiklos data

Statusas

Dokumento savininkas

Pagrindinės korekcijos

Patvirtinimo data ir Nr.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

______________________

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Tinklų ir informacinių sistemų įsigijimo,

plėtojimo ir priežiūros saugumo,

įskaitant spragų valdymą ir atskleidimą,

tvarkos aprašo

1 priedas

 

Techniniai reikalavimai, taikomi kibernetinio saugumo subjektams

 

Nr.

Techniniai reikalavimai, taikomi kibernetinio saugumo subjektams[1]

Esminiams

1.

Kibernetinio saugumo subjektas turi turėti aktualią tinklų ir informacinių sistemų infrastruktūros loginę schemą ir visų tinklų ir informacinių sistemų schemas (atnaujinti joms pasikeitus).

x

2.

Įsilaužimo atakų pėdsakai (angl. attack signature) turi būti atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius. Naujausi įsilaužimo atakų pėdsakai turi būti įdiegiami ne vėliau kaip per 24 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos arba ne vėliau kaip per 72 valandas nuo gamintojo paskelbimo apie naujausius įsilaužimo atakų pėdsakus datos, jeigu kibernetinio saugumo subjekto sprendimu atliekamas įsilaužimo atakų pėdsakų įdiegimo ir galimo jų poveikio kibernetinio saugumo subjekto veiklai vertinimas (testavimas).

x

3.

Serveriuose (įskaitant ir virtualias mašinas) ir darbo stotyse turi būti įjungtos ir sukonfigūruotos saugiasienės, kurios kontroliuoja visą įeinantį ir išeinantį srautą.

x

4.

Iš išorės gaunami elektroniniai laiškai turi būti filtruojami, siekiant aptikti ir blokuoti kenksmingą turinį.

x

5.

Techninės ir programinės įrangos, kuri skirta kibernetiniams incidentams aptikti, konfigūracijos taisyklės turi būti saugomos elektronine forma atskirai nuo tinklų ir informacinių sistemų techninės įrangos (kartu nurodant atitinkamas datas (įgyvendinimo, atnaujinimo), atsakingus asmenis, taikymo periodus).

x

6.

Prisijungiant prie belaidžio tinklo (jeigu jungiamasi prie tinklų ir informacinės sistemos vidinio tinklo), turi būti taikomas tinklų ir informacinių sistemų naudotojų tapatumo patvirtinimo EAP (angl. Extensible Authentication Protocol) / TLS (angl. Transport Layer Security) protokolas arba naujesnis protokolas, visuotinai pripažįstamas saugiu.

x

7.

Tinklui valdyti turi būti naudojami saugūs tinklo protokolai.

x

8.

Turi būti uždrausti / išjungti visi nebūtini protokolai ir atviri prievadai (angl. port).

x

9.

Kompiuteriuose, mobiliuosiuose įrenginiuose turi būti išjungtas lygiarangis (angl. peer to peer) funkcionalumas, jei tai nėra reikalinga darbo funkcijoms atlikti.

x

10.

Turi būti diegiami naudojamos programinės įrangos gamintojų ir operacinių sistemų rekomenduojami atnaujinimai.

x

11.

Tinklų ir informacinės sistemos, dėl objektyvių priežasčių naudojančios nepalaikomas operacinių sistemų ir kitos programinės įrangos versijas, turi veikti atskirame tinklo segmente, atskirtame nuo pagrindinių kibernetinio saugumo subjekto veiklos funkcijų.

x

12.

Vidinis kibernetinio saugumo subjekto kompiuterių tinklas turėtų būti segmentuotas, jame atskiriant bent:

 

12.1.

tinklų ir informacinių sistemų valdymo ir administravimo potinklį;

x

12.2

atskirą potinklį kiekvienai trečiajai šaliai arba kitais būdais užtikrinant trečiųjų šalių prieigą tik prie tai šaliai reikalingų resursų, kur įmanoma taikant kelių veiksnių prisijungimo autentifikaciją. Prisijungimas turi būti atliekamas naudojant saugų virtualųjį privatų tinklą (angl. Virtual private network, VPN). Prisijungimas registruojamas įvykių registravimo žurnaluose;

x

12.3.

tinklinių daugiafunkcių įrenginių bei spausdintuvų ir skenerių potinklį;

x

12.4.

IP telefonijos potinklį;

x

12.5.

darbo vietų potinklį;

x

12.6.

testavimo potinklį.

x

13.

Mobiliuosiuose įrenginiuose ir kompiuterinėse darbo vietose turi būti naudojamos vykdomojo kodo (angl. Executable code) kontrolės priemonės, kuriomis apribojamas neleistino vykdomojo kodo naudojimas ar informuojamas administratorius apie neleistino vykdomojo kodo naudojimą.

x

14.

Turi būti parengti ir įdiegti kompiuterinių darbo vietų (įskaitant nešiojamuosius įrenginius) operacinių sistemų atvaizdai ir (arba) kitos priemonės su integruotomis saugumo nuostatomis. Atvaizde turi būti nustatyti tik veiklai būtini operacinių sistemų komponentai (administravimo paskyros, paslaugos (angl. Services), taikomosios programos, tinklo prievadai, atnaujinimai, sisteminės priemonės). Atvaizdai turi būti reguliariai peržiūrimi ir atnaujinami, iškart atnaujinami nustačius naujų spragų ar atakų. Pagal parengtus atvaizdus į kompiuterines darbo vietas (įskaitant nešiojamuosius įrenginius) turi būti įdiegiama operacinė sistema su saugumo nuostatomis.

x

15.

Draudžiama svetainės serveriuose saugoti sesijos duomenis (identifikatorių) prisijungimo tikslams, pasibaigus susijungimo sesijai.

x

16.

Internetu prieinamoms svetainėms, tinklų ir informacinėms sistemoms turi būti naudojama svetainės saugasienė (angl. Web Application Firewall).

x

17.

Internetu prieinamoms svetainėms, tinklų ir informacinėms sistemoms turi būti naudojamos apsaugos nuo pagrindinių per tinklą vykdomų atakų remiantis OWASP (angl. The Open Worldwise Application Security Project) Top 10 geriausiomis praktikomis (www.owasp.org).

x

18.

Žiniatinklio (angl. Web) formose turi būti naudojama svetainės naudotojo įvedamų duomenų kontrolė (angl. Input validation).

x

19.

Internetu prieinamos tinklų ir informacinės sistemos neturi rodyti naudotojui klaidų pranešimų apie tinklų ir informacinės sistemos ir programinį kodą ar serverį.

x

20.

Internetu naudojant HTTPS protokolą (angl. HyperText Transfer Protocol Secure, HTTPS) prieinamos tinklų ir informacinės sistemos saugumo priemonės turi leisti tik jų funkcionalumui užtikrinti reikalingus protokolo metodus.

x

21.

Kibernetinio saugumo subjekto serveriuose ir kompiuterinėse darbo vietose turi būti naudojamos (jei įmanoma, centralizuotai) valdomos ir atnaujinamos kenkimo programinės įrangos aptikimo, stebėjimo realiu laiku priemonės.

x

22.

Naudojama tik legali ir leistina (pagal kibernetinio saugumo subjekto patvirtintą sąrašą) programinė įranga.

x

23.

Nuolatos turi būti stebimas tinklų ir informacinių sistemų įrangos laisvos atminties ar vietos diske kiekis, stebima apkrova, resursų naudojimas. Pasiekus nustatytas ribines reikšmes, apie tai turi būti informuojami atsakingi asmenys.

x

______________________

 

 

 

 

Tinklų ir informacinių sistemų įsigijimo,

plėtojimo ir priežiūros saugumo,

įskaitant spragų valdymą ir atskleidimą,

tvarkos aprašo

2 priedas

 

TINKLŲ IR INFORMACIN SISTEMŲ SAUGUMO SPRAGŲ REGISTRAS

(Tinklų ir informacin sistemų saugumo spragų registro forma)

 

Nr.

Spragos atskleidimo data

Tikrintas objektas

Spragos aprašymas

Spragos

vertinimas

Spragos šalinimo terminas iki

Spragos šalinimo veikla

Kompensacinė priemonė ir kitas veiksmas

Atsakingas padalinys / darbuotojas / trečioji šalis

Spragos šalinimo statusas

Spragos pašalinimo data

Pastabos

1

2

3

4

5

6

7

8

9

10

11

11

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Pildymo instrukcija.

[1] nurodomas spragos eilės numeris;

[2] nurodoma spragos atskleidimo data;

[4] aprašoma atskleista spraga (pvz. naudojamas nesaugus duomenų perdavimo sertifikatas „PAVADINIMAS“ ir pan.);

[5] nurodomas spragos vertinimas balais ir pavadinimu pagal CVSS klasifikatorių, vadovaujantis Aprašo 1 lentelėje numatytais saugumo spragų rizikos lygiais (pvz. 9.0 balai kritinis rizikos lygis);

[6] nurodoma spragos šalinimo laikas iki vadovaujantis Aprašo 1 lentelėje numatytais saugumo spragų šalinimo laikais (pvz. per 24 val.);

[7] nurodoma spragos šalinimo veiklos aprašymas, kuris gali būti paimtas iš skenavimo ataskaitos rekomenduojamų veiksmų (pvz. nesaugaus duomenų perdavimo sertifikato „PAVADINIMAS“ pakeitimas į saugų  „PAVADINIMAS“);

[8] nurodomas kompensacinės priemonės ar kitos veiklos, kuri įgyvendinama laikinai, kol bus pašalinta saugumo spraga, pavadinimas (pvz. IT paslaugos patalpinimas į DMZ zoną);

[9] nurodomas už spragos pašalinimą ar kompensacinės priemonės pritaikymą, atsakingo padalino pavadinimas, darbuotojo pareigos, vardas ir pavardė ar) paslaugų tiekėjo, kuriam pavesta pašalinti spragą, pavadinimas;

[10] nurodomas vienas iš spragos šalinimo statusų: (i) Planuojama; (ii) Vykdoma; (iii) Pašalinta;

[11] nurodoma spragos pašalinimo data;

[12] nurodomas už spragos pašalinimą, kompensacinės priemonės pritaikymą, atsakingo padalino pavadinimas ar darbuotojo pareigos, vardas ir pavardė ar paslaugų tiekėjo, kuriam pavesta pašalinti spragą, pavadinimas;

[13] jei reikia, nurodomos pastabos ar komentarai.

____________________


 

 

 

Tinklų ir informacinių sistemų įsigijimo,

plėtojimo ir priežiūros saugumo,

įskaitant spragų valdymą ir atskleidimą,

tvarkos aprašo

3 priedas

 

TINKLŲ IR INFORMACIN SISTEMŲ POKYČIŲ REGISTRAS

(Tinklų ir informacin sistemų pokyčių registro forma)

 

Nr.

Pokyčio pavadinimas

Pokyčio objektas

Pokyčio iniciatorius

Pokyčio kategorija

Sudėtingumo lygis

Planuojama įgyvendinimo data ir laikas

Sprendimą priimantis asmuo

Sprendimo statusas

Pokyčio vykdytojas

 

Pokyčio vykdymo statusas

 

Pokyčio įvykdymo data

Pastabos

1

2

3

4

5

6

7

8

9

10

11

12

13

 

 

 

 

 

Pildymo instrukcija.

[1] nurodomas pokyčio numeris;

[2] nurodoma pokyčio pavadinimas (pvz. TIS programinės įrangos atnaujinimas);

[3] nurodomas TIS pavadinimas kaip ji vadinama organizacijoje (pvz. finansų valdymo TIS);

[4] nurodomos pokyčio iniciatoriaus pareigos, vardas ir pavardė;

[5] nurodoma viena iš Apraše numatytų pokyčio kategorijų: (i) Standartinis pokytis; (ii) Skubus pokytis; (iii)  Plėtros pokytis;

[6] nurodoma vienas iš Apraše numatytų pokyčio sudėtingumų lygių: (i) Aukštas sudėtingumas; (ii) Vidutinis sudėtingumas; (iii)  Žemas sudėtingumas;

[7] nurodoma planuojama pokyčio įgyvendinimo data arba laiko terminas (pvz. iki liepos 5 d. arba nuo liepos 5 d. 9 val. iki 17 val.);

[8] nurodomos sprendimą dėl pokyčio įgyvendinimo priimančio darbuotojo pareigos, vardas ir pavardė;

[9] nurodomas sprendimo dėl pokyčio įgyvendinimo priėmimo statusas: (i) laukiama; (ii) patvirtinta; (iii) atmesta;

[10] nurodomos pokyčio vykdytojo pareigos, vardas ir pavardė arba tiekėjo pavadinimas;

[11] nurodomas pokyčio vykdymo statutas: (i) Planuojamas; (ii) Vykdomas; (iii) Atidėtas; (iv) Įvykdytas;

[12] nurodoma pokyčio įvykdymo data ir laikas, jei būtinas;

[13] jei reikia, nurodomos pastabos ar komentarai.

____________________



[1] Kibernetinio saugumo subjektams taikomi techniniai reikalavimai pagal Kibernetinio saugumo reikalavimų aprašą, patvirtintą Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.