KLAIPĖDOS RAJONO SAVIVALDYBĖ

Klaipėdos rajono savivaldybė administracija, Klaipėdos g. 2 LT-96130 Gargždai, savivaldybe@klaipedos-r.lt, Tel. (8 46) 211116. Savivaldybės biudžetinė įstaiga, kodas 188773688. Duomenys kaupiami ir saugomi Juridinių asmenų registre. Pasitikėjimo telefonas tel. (8 46) 40 00 08



Prisijungimas
  • Prisijungimas gyventojams
  • GYVENTOJŲ PRIĖMIMAS
  • E. APKLAUSOS
  • E. PRAŠYMAI (SKUNDAI)
  • E. KONSULTAVIMAS
  • E. PASLAUGOS
  • Savivaldybė
  • Struktūra ir kontaktai
  • Meras
    Mero pavaduotoja
    Mero pavaduotoja
    Savivaldybės tarybos ir mero sekretoriatas
    Administracijos direktorius
    Direktoriaus pavaduotoja
    Direktoriaus pavaduotojas
    Administracija
    Valdymo schema
    Darbuotojų paieška
    Savivaldybės automobiliai
    Savivaldybės įmonės
    Savivaldybės įstaigos
    Komisijos, darbo grupės
    Kontrolės ir audito tarnyba
    Seniūnaičiai
    Vadovų darbotvarkės
    Policijos pareigūnai
  • Teisinė informacija
  • Teisės aktai
    Teisės aktų projektai
    Išvadoms gauti pateikti teisės aktų projektai
    Vyriausybei pateikti teisės aktų projektai
    Teisės aktų projektų archyvas
    Tyrimai ir analizės
    Teisės aktų pažeidimai
    Seimo kontrolierių pažymos
    Valstybės kontrolierių sprendimai
    Teismo sprendimai
    Šiurkštūs tarnybiniai nusižengimai
    Teisinio reguliavimo stebėsena
    Teisinė pagalba
    Norminiai teisės aktai
    Sprendimų projektai
    Mero potvarkių projektai
    Direktoriaus įsakymų projektai
  • Administracinė informacija
  • Veiklos dokumentai
    Planavimo dokumentai
    Darbo užmokestis
    Paskatinimai ir apdovanojimai
    Viešieji pirkimai
    Finansų dokumentai
    Biudžeto vykdymo ataskaitų rinkiniai
    Finansinių ataskaitų rinkiniai
    Ūkio subjektų priežiūra
    Informacija apie skolinius įsipareigojimus
    Administracinės naštos mažinimas
    Ataskaitos
    Biudžetinių (išskyrus švietimo įstaigas) ir viešųjų įstaigų vadovų metinės užduotys
    Švietimo įstaigų vadovų veiklos vertinimas ir metinių veiklos užduočių nustatymas
    Viešosioms įstaigoms skiriamas finansavimas
    Bendruomenių, religinių bendruomenių ir NVO finansavimas
    Savivaldybės gaunamas finansavimas
  • Veiklos sritys
  • Švietimas
    Socialinė parama
    Kultūra
    Sveikata
    Sportas
    Informacija jaunimui
    Informacija nevyriausybinėms organizacijoms
    Valstybinė kalba
    Viešoji tvarka
    Žemės ūkis
    Civilinė metrikacija
  • Vadovų darbotvarkės
  • Komisijų ir darbo grupių posėdžiai
  • Paslaugos
  • Informacijos rinkmenos
    Viešosios ir administracinės paslaugos
    Leidimai
    Elektroniniai valdžios vartai
    Informacija apie licencijas ir leidimus
  • Nuorodos
  • Strateginis planavimas
  • Projektai
  • 2014–2020 m. ES struktūrinė parama
    Kitų finansavimo šaltinių projektai
    2007–2013 m. ES struktūrinė parama
    Lietuvos kaimo plėtros 2007-2013 m. programa
    Lietuvos kaimo plėtros 2014–2020 m. programa
    ŽRVVG „Klaipėdos rajono iniciatyvos“ parama
    Lietuvos 2004-2006 m. bendrasis programavimo dokumentas
    Tarptautiniai projektai
    Tarptautinių projektų programa
    Partnerystė
  • Skelbimai
  • Darbo pasiūlymai
    Skelbimai apie visuomenei svarbių statinių projektavimo pradžią
    Teritorijų planavimo viešumas
  • Skelbimai apie visuomenei svarbių statinių projektavimą
  • Informacijos teikimo tvarka
  • Korupcijos prevencija: pasitikėjimo tel. 400 008
  • Vietinės reikšmės kelių žemėlapis
  • Civilinė sauga ir mobilizacija
  • Civilinė sauga
    Mobilizacija
  • Nuotraukų galerija
  • Asmens duomenų apsauga
  • Lygių galimybių politika
  • Horizontalus meniu
  • APIE SAVIVALDYBĘ
  • Gyventojams
  • Verslui
  • BENDRUOMENĖMS
  • Automatizuoto duomenų apdorojimo sistemų ir tinklų, kuriuose bus saugoma, apdorojama ar kuriais bus perduodama įslaptinta informacija, saugumo reikalavimų aprašas

      AUTOMATIZUOTO DUOMENŲ APDOROJIMO SISTEMŲ IR TINKLŲ, KURIUOSE BUS SAUGOMA, APDOROJAMA AR KURIAIS BUS PERDUODAMA ĮSLAPTINTA INFORMACIJA, SAUGUMO REIKALAVIMŲ APRAŠAS 

    I. BENDROSIOS NUOSTATOS 

    1.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    Automatizuoto duomenų apdorojimo sistemų ir tinklų, kuriuose bus saugoma, apdorojama ar kuriais bus perduodama įslaptinta informacija, saugumo reikalavimų aprašas (toliau – aprašas) nustato reikalavimus automatizuoto duomenų apdorojimo (toliau – ADA) sistemoms ir tinklams, kuriuose saugoma, apdorojama ar kuriais perduodama įslaptinta informacija, siekiant užtikrinti ADA sistemose saugomos, apdorojamos ir ADA tinklais perduodamos įslaptintos informacijos slaptumą (konfidencialumą), šios informacijos bei ADA sistemų ir tinklų paslaugų ir išteklių vientisumą ir prieinamumą viso ADA sistemų ir tinklų gyvavimo ciklo metu.

    2.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    Apraše vartojamos sąvokos:

    ADA sistemos ar tinklo valdytojas – ADA sistemos ar tinklo nuostatuose nurodytas paslapčių subjektas arba jo įgaliotas struktūrinis padalinys, arba rangovas (subrangovas), kuris valdo ADA sistemą ar tinklą, juos sukūręs ar užsakęs sukurti arba įsigijęs.

    ADA sistemos ar tinklo tvarkytojas – ADA sistemos ar tinklo nuostatuose nurodytas paslapčių subjektas arba jo įgaliotas struktūrinis padalinys, arba rangovas (subrangovas), kuris pagal ADA sistemos ar tinklo nuostatus įgaliotas tvarkyti ADA sistemą ar tinklą, jų duomenis.

    ADA sistemos ar tinklo naudotojas – asmuo, kuriam ADA sistemos ar tinklo valdytojas arba tvarkytojas, pagal ADA sistemos ar tinklo nuostatuose apibrėžtą kompetenciją, suteikė teisę naudotis ADA sistema ar tinklu.

    ADA sistemos ar tinklo slaptumo žyma – aukščiausia slaptumo žyma, kuria pažymėta įslaptinta informacija gali būti saugoma, apdorojama ADA sistemoje ar perduodama ADA tinklu.

    Įgaliotoji institucija – institucija, kuriai teisės aktais pavesta atlikti Nacionalinės komunikacijų apsaugos tarnybos arba Nacionalinės šifrų paskirstymo tarnybos, arba Saugumo priežiūros tarnybos, arba apsaugos nuo informatyviojo elektromagnetinio spinduliavimo (TEMPEST) funkcijas.

    RN sistema ar tinklas – ADA sistema, kurioje saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Riboto naudojimo“, ar tinklas, kuriuo tokia informacija yra perduodama.

    KF sistema ar tinklas – ADA sistema, kurioje saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Konfidencialiai“, ar tinklas, kuriuo tokia informacija yra perduodama.

    S sistema ar tinklas – ADA sistema, kurioje saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Slaptai“, ar tinklas, kuriuo tokia informacija yra perduodama.

    VS sistema ar tinklas – ADA sistema, kurioje saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Visiškai slaptai“, ar tinklas, kuriuo tokia informacija yra perduodama.

    Saugos dokumentai – ADA sistemos ar tinklo valdytojo įsakymu patvirtinti teisės aktai, reglamentuojantys ADA sistemos ar tinklo saugą, nurodyti Dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, rengimo ir leidimų automatizuotai apdoroti įslaptintą informaciją išdavimo taisyklėse.

    Saugumo incidentas – įvykis, veiksmas ar neveikimas, kuris sudaro ar gali sudaryti sąlygas neteisėtai prisijungti prie ADA sistemos ar tinklo, sutrikdyti ar pakeisti (įskaitant valdymo perėmimą) ADA sistemos ar tinklo veikimą, sunaikinti, sugadinti, ištrinti ar pakeisti įslaptintą informaciją, elektroninius duomenis, panaikinti ar apriboti galimybę naudotis įslaptinta informacija, elektroniniais duomenimis, taip pat sudaryti sąlygas pasisavinti, paskelbti, platinti ar kitaip neteisėtai naudoti įslaptintą informaciją, elektroniniais duomenimis.

    Kitos apraše vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatyme ir kituose teisės aktuose.

    3.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    Aprašas skirtas užtikrinti:

    3.1. efektyvų ir racionalų ADA sistemų ir tinklų saugos valdymą;

    3.2. efektyvų prieigos teisių prie ADA sistemų ir tinklų valdymą ir kontrolę;

    3.3. galimybę nustatyti ADA sistemos ar tinklo naudotojų tapatybę ir patikrinti jos autentiškumą;

    3.4. galimybę fiksuoti veiksmus ir įvykius ADA sistemoje ar tinkle;

    3.5. tyčinių ar atsitiktinių ADA sistemoje tvarkomos ir tinklais perduodamos įslaptintos informacijos, ADA sistemos ar tinklo paslaugų ir išteklių konfidencialumo, vientisumo ir prieinamumo pažeidimų fiksavimą;

    3.6. galimybę greitai atkurti ADA sistemos ar tinklo veikimą ir pasiekti svarbius išteklius ar paslaugas sugedus vienam ar keliems ADA sistemos ar tinklo komponentams arba praradus jų kontrolę;

    3.7. operatyvią įslaptintos informacijos ir svarbių ADA sistemos ar tinklo komponentų evakuaciją arba naikinimą ekstremalių situacijų metu.

    4.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    Užsienio valstybių, Europos Sąjungos ir tarptautinių organizacijų įslaptintos informacijos, ADA sistemų ir tinklų saugumui šis aprašas taikomastiek, kiek neprieštarauja Lietuvos Respublikos tarptautinėms sutartims ir šiomis sutartimis grindžiamiems bei jas įgyvendinantiems tarptautinių organizacijų sprendimams ir Europos Sąjungos teisės aktams.

     

    II. REIKALAVIMAI ADA SISTEMŲ IR TINKLŲ SAUGOS VALDYMO ORGANIZAVIMUI

     

    5. Turi būti paskirtas ADA sistemos ar tinklo saugos įgaliotinis (toliau – saugos įgaliotinis), kuris atsako už ADA sistemos ar tinklo saugos reikalavimų įgyvendinimo organizavimą ir kontrolę. Esant poreikiui, gali būti skiriami saugos įgaliotiniai struktūriniuose ADA sistemos ar tinklo tvarkytojo padaliniuose (toliau – tvarkytojo saugos įgaliotinis), kurie atlieka saugos įgaliotinio funkcijas saugos įgaliotinio nustatytos kompetencijos ribose ir yra jam atskaitingi.

    6. Turi būti paskirtas ADA sistemos ar tinklo administratorius (toliau – administratorius). Administratoriai yra atskaitingi saugos įgaliotiniui. Saugos įgaliotinį skirti administratoriumi draudžiama. Administratoriaus funkcijas gali būti pavesta vykdyti ADA sistemos ar tinklo valdytojo struktūriniam padaliniui.

    7. Jeigu ADA sistemoje ar tinkle naudojamos kriptografinės priemonės, turi būti paskirtas ADA sistemos ar tinklo kriptografinių priemonių administratorius (administratorius) (toliau – kriptografinių priemonių administratorius). Kriptografinių priemonių administratoriai yra atskaitingi saugos įgaliotiniui. Saugos įgaliotinį skirti kriptografinių priemonių administratoriumi draudžiama.

    8. Saugos įgaliotinis, administratorius ir kriptografinių priemonių administratorius gali turėti pavaduotojus.

    9. Saugos įgaliotinis, administratorius ir kriptografinių priemonių administratorius įgyvendina atsakingo asmens funkcijas organizuojant ADA sistemų ir tinklų apsaugą ADA sistemos ar tinklo valdytojo institucijoje nustatytas Valstybės ir tarnybos paslapčių įstatyme.

    10. ADA sistemos ar tinklo valdytojo funkcijos ir atsakomybė:

    10.1. skiria saugos įgaliotinį, administratorių ir, esant poreikiui, kriptografinių priemonių administratorių ar jų pavaduotojus;

    10.2. skiria ADA sistemos ar tinklo tvarkytoją (tvarkytojus) ir nustato jo (jų) kompetencijos ribas tvarkant ADA sistemą ar tinklą;

    10.3. tvirtina saugos dokumentus;

    10.4. atsako už ADA sistemos ar tinklo saugos reikalavimų įgyvendinimą;

    10.5. atsako už dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, pateikimą laiku;

    10.6. atsako už ADA sistemos ar tinklo saugos užtikrinimui reikalingų finansinių ir kitų išteklių skyrimą laiku.

    11. ADA sistemos ar tinklo valdytojas turi teisę įgalioti ADA sistemos ar tinklo tvarkytoją atlikti tam tikras savo funkcijas.

    12. Saugos įgaliotinio funkcijos ir atsakomybė:

    12.1. teikia ADA sistemos ar tinklo valdytojo vadovui arba jo įgaliotiems asmenims siūlymus dėl:

    12.1.1. administratoriaus ir (ar) kriptografinių priemonių administratoriaus skyrimo;

    12.1.2. ADA sistemos ar tinklo saugos dokumentų priėmimo, keitimo ar panaikinimo;

    12.1.3. ADA sistemos ar tinklo rizikos vertinimo ir atitikties įslaptintos informacijos saugumo reikalavimams vertinimo (toliau – atitikties vertinimas) atlikimo;

    12.1.4. ADA sistemos ar tinklo saugos tobulinimo, saugumo priemonių diegimo;

    12.1.5. ADA sistemos ar tinklo valdytojo ar tvarkytojo personalo kvalifikacijos kėlimo;

    12.2. rengia ADA sistemos ar tinklo saugos dokumentus;

    12.3. organizuoja ADA sistemos ar tinklo rizikos analizės ir (ar) atitikties vertinimo atlikimą;

    12.4. organizuoja ADA sistemos ar tinklo naudotojų pasirašytiną supažindinimą su ADA sistemos ar tinklo saugos dokumentais ir teisės aktais bei su atsakomybe už nustatytų reikalavimų nesilaikymą;

    12.5. organizuoja ADA sistemos ar tinklo naudotojų apmokymus, susijusius su ADA sistemos ar tinklo naudojama technine bei programine įranga;

    12.6. atsako už ADA sistemos ar tinklo saugumo reikalavimų įgyvendinimą;

    12.7. atsako už tinkamą ADA sistemos ar tinklo saugumą užtikrinančių procedūrų vykdymo kontrolę;

    12.8. informuoja ADA sistemos ar tinklo valdytojo vadovą arba jo įgaliotus asmenis apie saugumo incidentus, koordinuoja jų tyrimą ir dalyvauja jame;

    12.9. inicijuoja ir koordinuoja reguliarius ADA sistemos ir tinklo veiklos tęstinumo valdymo plano bandymus;

    12.10. teikia administratoriams, kriptografinių priemonių administratoriams ir ADA sistemos ar tinklo valdytojo darbuotojams, užtikrinantiems ADA sistemos ar tinklo funkcionavimą, privalomus vykdyti nurodymus ir pavedimus;

    12.11. koordinuoja ir kontroliuoja tvarkytojo saugos įgaliotinių veiklą jiems priskirtos kompetencijos ribose;

    12.12. atlieka kitas ADA sistemos ar tinklo valdytojo vadovo ar jo įgaliotų asmenų pavestas ir jam priskirtas funkcijas.

    13. Administratoriaus atsakomybė ir funkcijos:

    13.1. atsako už ADA sistemos ar tinklo funkcionavimą ir užtikrina tinkamą ir saugų jo darbą;

    13.2. apmoko ADA sistemos ar tinklo naudotojus naudotis ADA sistema ar tinklu;

    13.3. įvertina ADA sistemos ar tinklo naudotojų pasirengimą dirbti su ADA sistemos ar tinklo įranga ir suteikia naudotojams prieigos prie ADA sistemos ar tinklo teisę;

    13.4. teikia saugos įgaliotiniui informaciją, reikalingą 12.2, 12.3, 12.6, 12.7, 12.9 ir 12.10 punktuose nurodytoms funkcijoms atlikti;

    13.5. teikia siūlymus ADA sistemos ar tinklo funkcionavimo užtikrinimo, plėtimo, priežiūros ir įslaptintos informacijos saugos klausimais;

    13.6. administruoja ADA sistemos ar tinklo techninę ir programinę įrangą, juos žymi informacinėmis užklijomis, nurodančiomis aukščiausią leistiną tvarkyti šia įranga įslaptintos informacijos slaptumo žymą;

    13.7. registruoja įvykusius saugumo incidentus, informuoja apie juos saugos įgaliotinį, dalyvauja jų tyrime ir šalinime;

    13.8. koordinuoja ADA sistemos ar tinklo valdytojo darbuotojų, užtikrinančių ADA sistemos ar tinklo funkcionavimą, veiklą.

    14. Reikalavimai kriptografinių priemonių administratoriui, jo funkcijos ir atsakomybė nustatomi Bendrosiose įslaptintos informacijos kriptografinės apsaugos taisyklėse.

    15. ADA sistemos ar tinklo rizikos valdymas turi būti sudėtinė ADA sistemos ar tinklo valdymo proceso dalis viso ADA sistemos ar tinklo gyvavimo ciklo metu.

    16. ADA sistemos ar tinklo eksploatavimo metu rizikos vertinimas turi būti atliekamas:

    16.1. RN ir KF sistemų ir tinklų – ne rečiau kaip kartą per 2 metus;

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    16.2. S ir VSsistemų ir tinklų – ne rečiau kaip kartą per 1 metus.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    16.3. NETEKO GALIOS:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    17. ADA sistemos ar tinklo eksploatavimo metu atitikties saugos reikalavimams vertinimas (toliau – atitikties vertinimas) turi būti atliekamas:

    17.1. RN ir KF sistemų ir tinklų – ne rečiau kaip kartą per 2 metus;

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    17.2. S ir VS sistemų ir tinklų – ne rečiau kaip kartą per 1 metus.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    17.3. NETEKO GALIOS:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    18. Neeilinis rizikos ir (ar) atitikties vertinimas turi būti vykdomas:

    18.1. po saugumo incidento ADA sistemoje ir tinkle, kuris parodė saugumo užtikrinimo priemonių nustatymo, įgyvendinimo ir eksploatavimo trūkumus;

    18.2. atlikus pakeitimus ADA sistemos ar tinklo specifinių saugumo reikalavimų apraše ar saugumo valdymo procedūrų apraše;

    18.3. paaiškėjus naujoms grėsmėms, pažeidžiamumams arba nustačius papildomas aplinkybes, į kurias prieš tai nebuvo atsižvelgta arba kurių rizika labai pasikeitė;

    18.4. ADA sistemos ir tinklo valdytojo vadovybės pavedimu;

    18.5. kitais žinybinės SPT ar SPT nustatytais atvejais.

    19. Po rizikos ir (ar) atitikties vertinimo saugos įgaliotinis organizuoja rizikos valdymo ir (ar) neatitikčių šalinimo plano sudarymą, kurį teikia tvirtinti ADA sistemos ar tinklo valdytojui. Planas (planai) ir rizikos ir (ar) atitikties vertinimo dokumentacija pateikiami žinybinei Saugumo priežiūros tarnybai, o jeigu tokia neįsteigta – Saugumo priežiūros tarnybai.

    20. ADA sistemose ir tinkluose taikomos techninės apsaugos priemonės ir mechanizmai turi atitikti reikalavimus, keliamus įslaptintos informacijos, žymimos atitinkama slaptumo žyma, apsaugai. Taikomų techninių apsaugos priemonių ir mechanizmų tinkamumas įslaptintos informacijos apsaugai teisės aktų nustatyta tvarka turi būti patvirtintas įgaliotųjų institucijų.

    21. ADA sistemų ir tinklų sudėtinės dalys ir tvarkomos įslaptintos informacijos apsaugos mechanizmai turi būti diegiami ir eksploatuojami vadovaujantis įgaliotųjų institucijų reikalavimais.

    22.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    KF, S ir VS sistemų ir tinklų sudėtinės dalys, išskyrus teisės aktų nustatytas išimtis, turi būti įrengiamos ne žemesnėje kaip II klasės saugumo zonoje. Tokių ADA sistemų ir tinklų tarnybinės stotys, kriptografinė ryšio apsaugos įranga ir kiti kritiniai ADA sistemos ir tinklo komponentai turi būti įrengiami I klasės saugumo zonoje. KF ir S sistemų kriptografinę įrangą, kuri naudojama tik darbo valandomis ir aktyvuojama specialiomis lustinėmis kortelėmis arba raktais, leidžiama įrengti II klasės saugumo zonoje. RN sistemų ir tinklų sudėtinės dalys, išskyrus teisės aktų nustatytas išimtis, turi būti įrengiamos ne žemesnėje kaip administracinėje saugumo zonoje, o tokių ADA sistemų ir tinklų tarnybinės stotys ir kiti kritiniai ADA sistemos ir tinklo komponentai turi būti įrengiami ne žemesnėje kaip II klasės saugumo zonoje.

     

    III. REIKALAVIMAI ADA SISTEMŲ IR TINKLŲ PRIEIGOS TEISIŲ VALDYMUI

     

    23.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    Prieigos prie ADA sistemos ar tinklo teisė suteikiama ADA sistemos ar tinklo valdytojo sprendimu, vadovaujantis principu „būtina žinoti“. ADA sistemos ar tinklo naudotojas privalo turėti galiojantį leidimą dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma, atitinkančia ADA sistemos ar tinklo slaptumo žymą arba aukštesne. Kiekvienas ADA sistemos ar tinklo naudotojas privalo turėti unikalų identifikatorių. ADA sistemos ar tinklo saugos įgaliotinis ir administratorius privalo turėti galiojantį leidimą dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma, atitinkančia ADA sistemos ar tinklo slaptumo žymą arba aukštesne.

    24. ADA sistemos ar tinklo priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą administratoriaus identifikatorių, kuriuo naudojantis nebūtų galima modifikuoti, naikinti ar kitaip keisti ADA sistemos ar tinklo sisteminiuose įvykių žurnaluose saugomos informacijos ir keisti sisteminių įvykių žurnalų pildymo nustatymų. Atlikti ADA sistemos ar tinklo naudotojo funkcijas, naudojantis šiuo identifikatoriumi, draudžiama.

    25.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    ADA sistemos ar tinklo naudotojas privalo užtikrinti „Būtina žinoti“ principo laikymąsi ir neleisti bei nesudaryti sąlygų asmenims susipažinti su jiems neskirta įslaptinta informacija.

    26.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    ADA sistemos ar tinklo naudotojui neatliekant jokių veiksmų (RN ir KF sistemoje ar tinkle – 15 min., S ir VS sistemoje ar tinkle – 10 min.), ADA sistema ar tinklas turi užtikrinti, kad toliau naudotis ADA sistema ar tinklu galima būtų tik pakartojus tapatybės nustatymo ir patvirtinimo veiksmus.

    27.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    ADA sistemos ar tinklo naudotojo prieiga turi būti blokuojama, jei žinoma, kad šis naudotojas nesinaudos (atostogauja, išvykęs į komandiruotę, serga ir pan.) RN ir KF sistema ar tinklu – daugiau kaip 2 mėnesius, S ir VS sistema ar tinklu – daugiau kaip 1 mėnesį.

    28. Jeigu ADA sistemos ar tinklo naudotojas nesilaiko įslaptintos informacijos apsaugos reikalavimų, piktnaudžiauja jam suteiktais įgaliojimais, yra nušalintas nuo pareigų, ADA sistemos ar tinklo valdytojo ar tvarkytojo sprendimu ADA sistemos ar tinklo naudotojo prieiga prie ADA sistemos ar tinklo turi būti blokuojama nedelsiant, iki aplinkybių išsiaiškinimo.

    29. Asmenų, netekusių 23 p. nurodytų leidimų, arba asmenų, kurie nebeatitinka principo „Būtina žinoti“, prieiga prie atitinkamos įslaptintos informacijos ir (ar) ADA sistemos ar tinklo turi būti nedelsiant panaikinama.

    30.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    Reikalavimus tapatybės patvirtinimo priemonėms nustato Nacionalinė komunikacijų apsaugos tarnyba.

     

    IV. REIKALAVIMAI ADA SISTEMŲ IR TINKLŲ ĮVYKIŲ REGISTRAVIMUI

     

    31.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    ADA sistemose ir tinkluose turi būti užtikrintas nuolatinis įvykių (ADA sistemos ar tinklo veiklos įrašų) registravimas, nurodant laiką ir susijusį naudotojo identifikatorių. Reikalaujamų registruoti įvykių sąrašą nustato Nacionalinė komunikacijų apsaugos tarnyba. ADA sistemos ar tinklo valdytojas, vadovaudamasis rizikos analize, gali savo sprendimu papildyti minėtą sąrašą. Įvykiai turi būti registruojami pagrindiniame ir rezerviniame (jei leidžia ADA sistemos ar tinklo funkcionalumas – nutolusiame) įvykių žurnaluose. Laikrodžiai, pagal kuriuos nustatomas įvykių laikas, turi būti sinchronizuoti, išskyrus ADA sistemas, kurias sudaro pavieniai, nesujungti kompiuteriai. Turi būti priemonės, leidžiančios nustatyti su įvykiais susijusius asmenis visą įvykių žurnalų saugojimo laiką.

    32. VS sistemose papildomai turi būti užtikrintas registravimas sėkmingų ir nesėkmingų bandymų prieiti prie kiekvienos informacijos rinkmenos, pažymėtos slaptumo žyma „Visiškai slaptai“.

    33. ADA sistemos ar tinklo įvykių žurnalų pildymo nustatymų keitimas ir žurnalų kopijų darymas turi būti atliekamas naudojant atskirą tik tam skirtą identifikatorių. Minėti veiksmai turi būti atliekami tik užtikrinus ADA sistemos ar tinklo valdytojo vadovo, saugos įgaliotinio ir administratoriaus dalyvavimą ir kontrolę.

    34.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    ADA sistemos ar tinklo įvykių žurnalų įrašai turi būti saugomi S sistemose ir tinkluose – 5 metus, VS sistemose ir tinkluose – 10 metų, RN ir KF sistemoms ir tinklams reikalavimas netaikomas. Jeigu ADA sistema ar tinklas likviduojami, įvykių žurnalas turi būti saugomas atitinkamai 5 metus arba 10 metų nuo likvidavimo dienos.

     

    V. KITI REIKALAVIMAI

     

    35. Patalpos, kuriose įrengta ADA sistemos ar tinklo įranga, turi atitikti reikalavimus, keliamus patalpoms, kuriose saugoma ar kuriose dirbama su atitinkama žyma pažymėta įslaptinta informacija.

    36. ADA sistemos ar tinklo ranga (taip pat ir nešiojamieji kompiuteriai, kiti mobilieji įrenginiai), kurioje saugoma įslaptinta informacija, turi būti gabenama laikantis įslaptintos informacijos, gaminių ir kitų objektų, žymimų slaptumo žyma, atitinkančia ADA sistemos ar tinklo slaptumo žymą, gabenimo reikalavimų.

    37. ADA sistemos ar tinklo įrenginiai turi būti pažymėti ADA sistemos ar tinklo slaptumo žymą nurodančia informacine užklija (užklijomis).

    38. ADA sistemos ar tinklo įrenginiai turi būti apsaugoti apsauginėmis užklijomis. Apsauginių užklijų turi būti tiek ir jos turi būti tokio dydžio, kad neleistų atidaryti įrenginio korpuso, jų nepažeidžiant. Jeigu leidžia įrenginio konstrukcija ir (ar) funkcinės galimybės, turi būti įjungta įrenginio apsauga nuo korpuso atidarymo. Prieš pradėdamas darbą su ADA sistema ar tinklu, ADA sistemos ar tinklo naudotojas privalo įsitikinti, kad apsauginės užklijos nepažeistos.

    39. ADA sistemoje ir tinkle saugomos ir apdorojamos informacijos atsargines kopijas rekomenduojama užšifruoti. Metodines rekomendacijas atsarginių kopijų šifravimui nustato Nacionalinė komunikacijų apsaugos tarnyba.

    40. ADA sistemos ar tinklo valdytojas turi nustatyti atsarginių ADA sistemos ir tinklo duomenų kopijų darymo dažnį, jų saugojimo, perdavimo, bandomojo atkūrimo ir panaudojimo procedūras, o atsarginių kopijų bandomasis atkūrimas turi būti vykdomas:

    40.1. RN ir KF sistemų ir tinklų – ne rečiau kaip kartą per 1 metus;

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    40.2. S ir VS sistemų ir tinklų – ne rečiau kaip kartą per 6 mėnesius.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    41. ADA sistemoje saugomos ir apdorojamos informacijos atsarginės kopijos turi būti daromos, administruojamos ir saugomos vadovaujantis kompiuterių laikmenų apsaugos reikalavimais, taikomais laikmenoms su ADA sistemos slaptumo žyma pažymėta įslaptinta informacija.

    42.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    Laikmenos, kurios ADA sistemos ar tinklo naudotojų prijungiamos prie ADA sistemos ar tinklo kompiuterio ar įdedamos į ADA sistemos ar tinklo kompiuteryje esantį nuskaitymo įrenginį, turi būti įregistruotos Lietuvos Respublikos Vyriausybės nustatyta tvarka Įslaptintai informacijai įrašyti skirtų laikmenų registre. ADA sistemos ar tinklo kompiuteriuose turi būti išjungta automatinė laikmenų paleistis (angl. autorun). Rekomenduojama naudoti programinę įrangą, skirtą USB laikmenų kontrolei. Prieš prijungiant ar įdedant tokią laikmeną, ji turi būti patikrinta kenkėjiškos programinės įrangos aptikimo priemonėmis atskirame tam skirtame neprijungtame prie ADA sistemos ar tinklo kompiuteryje. Jungti laikmenas prie S ir VS sistemų ar tinklų šių sistemų ar tinklų naudotojams leidžiama tik įslaptintų dokumentų administravimo punktuose įrengtose darbo vietose.

    43.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    Turi būti užtikrinta visų ADA sistemos ar tinklo kompiuterių apsauga nuo kenkėjiškos programinės įrangos. Programinės įrangos, skirtos apsaugai nuo kenkėjiškos programinės įrangos, sąrašą tvirtina Nacionalinė komunikacijų apsaugos tarnyba. ADA sistemos ar tinklo kompiuterių, prijungtų prie vietinio kompiuterių tinklo, apsauga nuo kenkėjiškos programinės įrangos turi būti valdoma ir atnaujinama centralizuotai. Išjungti ar pašalinti šią apsaugą leidžiama tik ADA sistemos administravimo tikslu. Ši apsauga turi būti atnaujinama gamintojo rekomenduojamu periodiškumu. Neprijungtų prie vietinio kompiuterių tinklo kompiuterių apsauga turi būti atnaujinama rankiniu būdu, naudojant tik tam skirtas laikmenas. Jeigu toks kompiuteris naudojamas rečiau, nei apsaugos gamintojo rekomenduojamas atnaujinimo periodas, apsauga turi būti atnaujinama nedelsiant po šio kompiuterio įjungimo ir naudotojo tapatybės nustatymooperacinėje sistemoje.

    44. Diegti, atkurti arba atnaujinti ADA sistemos ar tinklo programinę įrangą naudojant laikmenas leidžiama tik iš gamintojo pateiktų arba iš įrašytų vienkartinio įrašymo laikmenų.

    45.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    ADA sistemoje ar tinkle naudojamos techninės ir programinės įrangos sąrašus tvirtina ADA sistemos ar tinklo valdytojas, prieš tai suderinęs juos su žinybine Saugumo priežiūros tarnyba, o jei tokia neįsteigta – Saugumo priežiūros tarnyba.

    46. ADA sistemos ar tinklo įranga turi būti prižiūrima laikantis gamintojo rekomendacijų.

    47. ADA sistemos ar tinklo įrangos gedimų šalinimas, jeigu to negali atlikti saugos įgaliotinis, administratorius ir (ar) kitas įgaliotas ADA sistemos ar tinklo valdytojo personalas, turi būti atliekamas laikantis įslaptintų sandorių saugumo reikalavimų. Gedimų šalinimą turi atlikti atitinkamą kvalifikaciją turintis specialistas, gedimų šalinimas pagal galimybes turi būti atliekamas vietoje, prižiūrint saugos įgaliotiniui ar administratoriui.

    48.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    ADA sistemos ar tinklo testavimas turi būti atliekamas naudojant atskirą tam skirtą testavimo aplinką, nenaudojant įslaptintos informacijos arba naudojant ją fiktyvią.

    49.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    ADA sistemos ar tinklo naudotojas turi nedelsdamas informuoti saugos įgaliotinį, o jeigu jo nėra – administratorių apie neveikiančią ar netinkamai veikiančią ADA sistemą ar tinklą, pažeistas įrenginių apsaugines užklijas, saugos reikalavimų nesilaikančius ADA sistemos ar tinklo naudotojus, bet kokią veiklą, skirtą įslaptintai informacijai atskleisti ir (ar) ADA sistemos ar tinklo veiklai sutrikdyti. Tuo atveju, kai tokią veiklą vykdo saugos įgaliotinis ir (ar) administratorius, ADA naudotojas privalo informuoti ADA sistemos ar tinklo valdytojo vadovą, Lietuvos Respublikos valstybės saugumo departamentą ir žinybinę Saugumo priežiūros tarnybą, o jei tokia neįsteigta – Saugumo priežiūros tarnybą.

    50.

    KEISTA:

    2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

    (Žin., 2013, Nr. 4-158)

     

    Jei dėl ADA sistemos ar tinklo ypatumų nėra galimas ar tikslingas atskirų šiame apraše išdėstytų reikalavimų įgyvendinimas, ADA sistemos ar tinklo valdytojas privalo atskirai įvertinti kiekvieno tokio reikalavimo neįgyvendinimo riziką ir šią informaciją pateikti žinybinei Saugumo priežiūros tarnybai, o jei tokia neįsteigta – Saugumo priežiūros tarnybai, kuri sprendžia dėl atitinkamo reikalavimo netaikymo ir apie priimtą sprendimą informuoja ADA sistemos ar tinklo valdytoją.

     

    SUDERINTA

    Lietuvos Respublikos paslapčių apsaugos koordinavimo komisijos

    2010 m. lapkričio 12 d. protokoliniu sprendimu Nr. 56-5

    ______________

    Paskutinis atnaujinimas: 2015-02-06 15:10:56
    © 2011 Klaipėdos rajono savivaldybė. Visos teisės saugomos.
    Cituojant mūsų svetainės informaciją prašome nurodyti šaltinį ir datą.