lietuvos respublikos krašto apsaugos

ministras

 

 

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS KRAŠTO APSAUGOS MINISTRO 2019 M. LIEPOS 2 D. ĮSAKYMO NR. V-583 „DĖL SAUGIOJO VALSTYBINIO DUOMENŲ PERDAVIMO TINKLO VEIKLĄ UŽTIKRINANČIŲ DOKUMENTŲ PATVIRTINIMO“ PAKEITIMO

 

 

2024 m. rugpjūčio 5 d. Nr. V-717

Vilnius

 

1Pakeičiu Lietuvos Respublikos krašto apsaugos ministro 2019 m. liepos 2 d. įsakymą Nr. V‑583 „Dėl Saugiojo valstybinio duomenų perdavimo tinklo veiklą užtikrinančių dokumentų patvirtinimo“ ir papildau jį 1.6 papunkčiu:

1.6. Saugiojo tinklo kibernetinio saugumo politiką.“

2Nustatau, kad šis įsakymas įsigalioja 2024 m. rugpjūčio 12 d.

 

 

 

Laikinai einantis krašto apsaugos ministro pareigas                                                Laurynas Kasčiūnas

 

 

PATVIRTINTA

Lietuvos Respublikos krašto apsaugos ministro

2019 m. liepos 2 d. įsakymu Nr. V-583

(Lietuvos Respublikos krašto apsaugos ministro

2024 m. rugpjūčio 5 d. įsakymo Nr. V-717

redakcija)

 

 

SAUGIOJO TINKLO KIBERNETINIO SAUGUMO POLITIKA

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.  Saugiojo tinklo kibernetinio saugumo politika (toliau – Politika) apibrėžia Saugiojo valstybinio duomenų perdavimo tinklo (toliau – Saugusis tinklas) elektroninės informacijos saugos kibernetinėje erdvėje užtikrinimo ir valdymo kryptis, nustato organizacines ir technines priemones, taikomas užtikrinant Saugiojo tinklo kibernetinę saugą. 

2. Saugiojo tinklo kibernetinė sauga įgyvendinama vadovaujantis šia Politika, Saugiojo tinklo valdytojo patvirtintais Saugiojo valstybinio duomenų perdavimo tinklo nuostatais, Saugiojo tinklo naudotojų administravimo taisyklėmis, Specialiųjų organizacinių ir techninių reikalavimų, taikomų Saugiajam valstybiniam duomenų perdavimo tinklui, juo teikiamoms paslaugoms bei prekių ir paslaugų Saugiajam valstybiniam duomenų perdavimo tinklui teikėjams, aprašu, Saugiojo tinklo veiklos tęstinumo planu, kitais aprašais, procedūromis bei dokumentais, reglamentuojančiais informacijos saugą ir kibernetinį saugumą.

3. Saugiojo tinklo kibernetinės saugos užtikrinimo ir valdymo prioritetinės kryptys:

3.1. tinkamas ir efektyvus informacijos saugumo kibernetinėje erdvėje valdymas siekiant išvengti Saugiojo tinklo veiklos ir juo teikiamų paslaugų sutrikdymo dėl informacijos konfidencialumo, vientisumo bei prieinamumo pažeidimų;

3.2. atitikties teisės aktuose nustatytiems kibernetinio saugumo reikalavimams užtikrinimas;

3.3. gerąją praktiką atitinkančių organizacinių ir techninių kibernetinio saugumo priemonių Saugiajame tinkle įgyvendinimas;

3.4.  Saugiojo tinklo veiklos ir juo teikiamų paslaugų tęstinumo užtikrinimas;

3.5. efektyvus kibernetinio saugumo rizikos valdymas ir tinkamų rizikos valdymo priemonių naudojimas, siekiant suvaldyti kibernetinio saugumo rizikas iki priimtino lygio.

4. Politika taikoma Saugiojo tinklo valdytojui, Saugiojo tinklo saugos įgaliotiniui, administratoriams ir kitiems Saugiojo tinklo tvarkytojo darbuotojams, dalyvaujantiems Saugiojo tinklo kibernetinio saugumo užtikrinimo veiklose.

5. Politika parengta vadovaujantis Lietuvos Respublikos kibernetinio saugumo įstatymu, Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ bei atsižvelgiant į tarptautinius informacijos saugos standartus (LST ISO/IEC 27001, LST ISO/IEC 27002 ir kt.).

6. Politikoje vartojamos sąvokos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, ir kituose saugų duomenų tvarkymą reglamentuojančiuose teisės aktuose.

7. Už Saugiojo tinklo kibernetinio saugumo politikos formavimą, kryptis ir plėtrą atsako Saugiojo tinklo valdytojas.

8. Už Saugiojo tinklo kibernetinio saugumo užtikrinimą ir šios Politikos įgyvendinimą atsako Saugiojo tinklo tvarkytojas.

9. Ši Politika turi būti peržiūrima ne rečiau kaip kartą per metus ir, nustačius poreikį, atnaujinama. Už Politikos priežiūrą atsakingas Saugiojo tinklo saugos įgaliotinis.

 

II SKYRIUS

AUDITO ŽURNALŲ DUOMENŲ ADMINISTRAVIMAS IR SAUGOJIMAS

 

10. Siekiant užtikrinti Saugiojo tinklo ir juo teikiamų paslaugų saugumą ir tinkamą veikimą, Saugiajame tinkle yra kaupiami Saugiojo valstybinio duomenų perdavimo tinklo nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. vasario 7 d. įsakymu Nr. V-135 „Dėl Saugiojo valstybinio duomenų perdavimo tinklo nuostatų patvirtinimo“ (toliau – Saugiojo tinklo nuostatai) 14.5 papunktyje nurodyti audito žurnalų duomenys (angl. log files) (toliau – Audito žurnalo duomenys), kuriuose fiksuojama Saugiojo tinklo nuostatų 14.6 papunktyje nurodyta informacija.

11. Audito žurnalų duomenys kaupiami ir saugomi centralizuotai techninėje ar programinėje įrangoje ir analizuojami kiekvieną darbo dieną. Apie analizės rezultatus informuojamas Saugiojo tinklo saugos įgaliotinis.

12. Audito žurnalų duomenys saugomi 6 mėnesius nuo įvykio datos užtikrinant visas prasmingas jų turinio reikšmes. Draudžiama ištrinti ir (ar) keisti audito žurnalų duomenis, jie ištrinami tik pasibaigus saugojimo terminui. Audito žurnalų duomenys yra prieinami tik Saugiojo tinklo saugos įgaliotiniui ir kitiems Saugiojo tinklo tvarkytojo paskirtiems atsakingiems asmenims (toliau – atsakingi asmenys) (peržiūros teisėmis).

13. Dėl trikdžių nustojus fiksuoti audito žurnalų duomenis, apie tai  nedelsiant, bet ne vėliau kaip per vieną darbo dieną centralizuota techninė ar programinė įranga, skirta audito duomenims saugoti, informuoja Saugiojo tinklo saugos įgaliotinį ir atsakingus asmenis.

14. Įvykus įtartinai veiklai, centralizuota techninė ar programinė įranga, skirta audito duomenims saugoti ir apdoroti, turi užfiksuoti tai audito žurnalų įrašuose ir sukurti pranešimą, kurį matytų atsakingi darbuotojai. Toks pranešimas klasifikuojamas pagal užfiksuotą įvykį.

 

III SKYRIUS

ĮSIBROVIMO APTIKIMAS IR PREVENCIJA

 

15. Saugiojo tinklo valdymo centre automatizuotomis įsibrovimo aptikimo priemonėmis dvidešimt keturias valandas per parą, septynias dienas per savaitę stebimi įsibrovimo į Saugųjį tinklą atvejai analizuojant įeinantį ir išeinantį Saugiojo tinklo duomenų srautą.

16Įsibrovimo atakų pėdsakai (angl. attack signature) atnaujinami naudojant patikimus aktualią informaciją teikiančius šaltinius.

17. Įsibrovimo atakų pėdsakai Saugiajame tinkle atnaujinami ne vėliau kaip per dvidešimt keturias valandas nuo gamintojo paskelbimo apie naujausius įsibrovimo atakų pėdsakus datos arba ne vėliau kaip per septyniasdešimt dvi valandas nuo gamintojo paskelbimo apie naujausius įsibrovimo atakų pėdsakus datos, jeigu Saugiojo tinklo tvarkytojas atlieka įsibrovimo atakų pėdsakų įdiegimo ir galimo jų poveikio tinklo veiklai vertinimą (testavimą).

18. Saugiojo tinklo tvarkytojas nustato Saugiojo tinklo įsibrovimo atvejų aptikimo ir prevencijos procedūras ir joms vykdyti paskiria atsakingus asmenis.

 

IV SKYRIUS

MOBILIŲJŲ ĮRENGINIŲ NAUDOJIMAS IR KONTROLĖ

 

19. Saugiojo tinklo veiklai ir paslaugoms teikti naudojami mobilieji įrenginiai – Saugiojo tinklo tvarkytojo nešiojamieji kompiuteriai ir tarnybiniai judriojo ryšio telefonai – naudojami vadovaujantis šiais reikalavimais:

19.1. leidžiama naudoti tik tokius mobiliuosius įrenginius, kurie atitinka šiame skyriuje nurodytus kibernetinio saugumo reikalavimus;

19.2. Saugiojo tinklo tvarkytojo darbuotojai yra atsakingi už jiems priskirtų mobiliųjų įrenginių ir juose esančios informacijos apsaugą;

19.3. prieiga prie nešiojamųjų kompiuterių bei juose esanti informacija turi būti apsaugota slaptažodžiu, o nešiojamuoju kompiuteriu prie Saugiojo tinklo už Saugiojo tinklo tvarkytojo įstaigos ribų galima jungtis tik per virtualų privatų tinklą (angl. Virtual privat network (VPN) bei papildomai turi būti naudojamas dviejų faktorių autentifikavimas (2FA). Prieiga prie tarnybinių judriojo ryšio telefonų bei juose esanti informacija turi būti apsaugota naudotojo identifikatoriumi (biometriniais duomenimis ir (arba) PIN kodu);

19.4. Saugiojo tinklo tvarkytojas turi teisę valdyti mobiliuosius įrenginius ir juose įdiegtą programinę įrangą. Mobiliųjų įrenginių techninę ir programinę įrangą diegia ir prižiūri Saugiojo tinklo tvarkytojo sistemų administratorius (-iai). Mobiliuosiuose įrenginiuose turi būti diegiama ir naudojama tik licencijuota ir leistinos programinės įrangos sąraše nurodyta programinė įranga;

19.5. mobiliuosiuose įrenginiuose turi būti reguliariai įdiegiami operacinės sistemos ir kitos naudojamos programinės įrangos gamintojų rekomenduojami atnaujinimai;

19.6. mobiliųjų įrenginių laikmenose duomenys turi būti šifruojami;

19.7. nešiojamuosiuose kompiuteriuose programinėmis priemonėmis turi būti blokuojamos išorinės elektroninės informacijos laikmenos (pvz., USB atmintinės ar pan.), išskyrus atvejus, kai jos yra būtinos administratorių funkcijoms atlikti.

19.8. nešiojamųjų kompiuterių saugiam naudojimui ir kontrolei užtikrinti naudojamas galinių įrenginių aptikimo ir kontrolės sprendimas (angl. Endpoint detection and control (EDR), tarnybinių judriojo ryšio telefonų saugiam naudojimui ir kontrolei užtikrinti naudojamas mobiliųjų įrenginių valdymo sprendimas (angl. Mobile device managemant (MDM).

 

V SKYRIUS

GRĖSMIŲ IR PAŽEIDŽIAMUMŲ VALDYMAS

 

20. Saugiojo tinklo kibernetinio saugumo grėsmių ir pažeidžiamumų valdymą Saugiojo tinklo tvarkytojas atlieka:

20.1. reguliariai skenuodamas Saugiojo tinklo techninę ir programinę įrangą ir vertindamas skenavimo rezultatus (angl. vulnerability test);

20.2. ne rečiau kaip kartą per metus arba įvykus esminiams techniniams Saugiojo tinklo pokyčiams organizuodamas ir atlikdamas Saugiojo tinklo grėsmių ir pažeidžiamumų vertinimą (angl. penetration test), kurio tikslas – nustatyti esamus Saugiojo tinklo pažeidžiamumus ir jų rizikos lygį;

20.3. vertindamas iš kitų institucijų gautą informaciją apie galimus Saugiojo tinklo pažeidžiamumus.

21. Grėsmėms ir pažeidžiamumams nustatyti naudojama specializuota programinė įranga (toliau – SPĮ), naudojanti viešai pripažįstamą bendrąją pažeidžiamumų vertinimo metodiką pažeidžiamumo kritiškumui vertinti.

22. Atlikus skenavimą SPĮ automatiškai sugeneruoja ataskaitą, ją įvertinęs Saugiojo tinklo saugos įgaliotinis ir (arba) kitas Saugiojo tinklo tvarkytojo paskirtas (-i) darbuotojas (-ai) parengia vertinimo ataskaitą bei nustatytų grėsmių ir pažeidžiamumų šalinimo planą. 

23. Nustatyti pažeidžiamumai vertinami pagal jų poveikį Saugiojo tinklo paslaugų veikimui ir grupuojami bei sprendžiami vadovaujantis šiais kriterijais:

 

Pažeidžiamumo kritiškumas

Paaiškinimas

Priimtinumas

Labai mažas (None)

Tikimybė, kad tinklo ištekliai bus pažeisti, – iki 1 proc.

Priimtinas

Mažas (Low)

Tikimybė, kad tinklo ištekliai bus pažeisti, – nuo 2 iki 39 proc.

Priimtinas

Vidutinis (Medium)

Tikimybė, tinklo ištekliai bus pažeisti, – nuo 40 iki 69 proc.

Vertinamas

Didelis (High)

Tikimybė, kad tinklo ištekliai bus pažeisti, – nuo 70 iki 89 proc.

Nepriimtinas, sprendžiamas nedelsiant

Kritinis (Critical)

Tikimybė, kad tinklo ištekliai bus pažeisti, – nuo 90 iki 100 proc.

Nepriimtinas, sprendžiamas nedelsiant

 

24. Jei pažeidžiamumo išspręsti neįmanoma, priimamos tinkamos riziką valdančios priemonės.

25. Grėsmių ir pažeidžiamumų valdymo procedūras nustato Saugiojo tinklo tvarkytojas.

 

VI SKYRIUS

KIBERNETINIŲ INCIDENTŲ VALDYMAS

 

26. Saugiojo tinklo kibernetinių incidentų valdymas organizuojamas ir vykdomas vadovaujantis:

26.1. Nacionalinio kibernetinių incidentų valdymo planu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

26.2. Saugiojo valstybinio duomenų perdavimo tinklo kibernetinių incidentų valdymo planu, patvirtintu Lietuvos Respublikos krašto apsaugos ministro 2021 m. gegužės 31 d. įsakymu Nr. V-379 „Dėl Saugiojo valstybinio duomenų perdavimo tinklo kibernetinių incidentų valdymo plano patvirtinimo“.

27. Kibernetinių incidentų valdymo procese dalyvaujančius asmenis, jų funkcijas ir atsakomybės sritis nustato Saugiojo tinklo tvarkytojas.

 

VII SKYRIUS

KIBERNETINIO SAUGUMO PRIEMONĖS

 

28. Saugiojo tinklo kibernetiniam saugumui užtikrinti naudojamos techninės ir programinės kibernetinio saugumo priemonės:

28.1. prieigų kontrolės ir autentifikavimo priemonės (angl. Network access control);

28.2. įsibrovimo aptikimo ir prevencijos sistemos (angl. Intrusion detection/ Intrusion prevention systems);

28.3. grėsmių ir pažeidžiamumų skenavimo ir nustatymo įrankiai (angl. Vulnerability scanner);

28.4. tinklo perimetro saugos priemonės (angl. Firewall);

28.5. interneto ir (arba) taikomųjų programų lygmens ugniasienių sistema WAF (angl. Web application firewalls);

28.6. interneto ir (arba) taikomųjų programų apsauga nuo DDoS (angl. Distributed denial-of-service) atakų;

28.7. didelio efektyvumo kibernetinių atakų prevencijos sistema (DEKAPS);

28.8. kitos kibernetinio saugumo priemonės ir reikalavimai, kaip numatyta Saugiojo tinklo valdytojo patvirtintuose Saugiojo tinklo naudotojų administravimo taisyklėse, Specialiųjų organizacinių ir techninių reikalavimų, taikomų Saugiajam valstybiniam duomenų perdavimo tinklui, juo teikiamoms paslaugoms bei prekių ir paslaugų Saugiajam valstybiniam duomenų perdavimo tinklui teikėjams, apraše ir Saugiojo tinklo veiklos tęstinumo plane.

29. Kibernetinio saugumo priemonės diegiamos bei jų parametrai keičiami Saugiojo tinklo valdytojo patvirtintų Saugiojo tinklo incidentų, pokyčių ir problemų valdymo tvarkos aprašo nustatyta tvarka.

 

 

 

 

VIII SKYRIUS

MOKYMAI

 

30. Saugiojo tinklo saugos įgaliotinis ne rečiau kaip kartą per metus inicijuoja Saugiojo tinklo tvarkytojo darbuotojų mokymą informacijos saugos, kibernetinio saugumo klausimais, įvairiais būdais (žodžiu, elektroniniu paštu, dokumentų valdymo sistemoje ar kt.) konsultuoja darbuotojus ir teikia jiems susijusią aktualią informaciją.

31. Saugiojo tinklo saugos įgaliotinis, administratoriai ir kiti tvarkytojo darbuotojai, dalyvaujantys Saugiojo tinklo kibernetinio saugumo veikloje, dalyvauja Lietuvos Respublikos krašto apsaugos ministerijos, Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos ir kitų institucijų organizuojamose kibernetinio saugumo pratybose.

32. Saugiojo tinklo tvarkytojas telefonu, elektroniniu paštu ir kitais būdais teikia informaciją Saugiojo tinklo naudotojams kibernetinio saugumo Saugiajame tinkle klausimais, informuoja juos apie galimas kibernetines grėsmes ir rizikas.

33. Saugiojo tinklo naudotojai ne rečiau kaip kartą per metus organizuoja informacijos saugos mokymus savo darbuotojams. 

______________