Automatizuoto duomenų apdorojimo sistemų ir tinklų, kuriuose bus saugoma, apdorojama ar kuriais bus perduodama įslaptinta informacija, saugumo reikalavimų aprašas - Old.klaipedos-r.lt

Klaipėdos rajono savivaldybė

Automatizuoto duomenų apdorojimo sistemų ir tinklų, kuriuose bus saugoma, apdorojama ar kuriais bus perduodama įslaptinta informacija, saugumo reikalavimų aprašas

  AUTOMATIZUOTO DUOMENŲ APDOROJIMO SISTEMŲ IR TINKLŲ, KURIUOSE BUS SAUGOMA, APDOROJAMA AR KURIAIS BUS PERDUODAMA ĮSLAPTINTA INFORMACIJA, SAUGUMO REIKALAVIMŲ APRAŠAS 

I. BENDROSIOS NUOSTATOS 

1.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

Automatizuoto duomenų apdorojimo sistemų ir tinklų, kuriuose bus saugoma, apdorojama ar kuriais bus perduodama įslaptinta informacija, saugumo reikalavimų aprašas (toliau – aprašas) nustato reikalavimus automatizuoto duomenų apdorojimo (toliau – ADA) sistemoms ir tinklams, kuriuose saugoma, apdorojama ar kuriais perduodama įslaptinta informacija, siekiant užtikrinti ADA sistemose saugomos, apdorojamos ir ADA tinklais perduodamos įslaptintos informacijos slaptumą (konfidencialumą), šios informacijos bei ADA sistemų ir tinklų paslaugų ir išteklių vientisumą ir prieinamumą viso ADA sistemų ir tinklų gyvavimo ciklo metu.

2.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

Apraše vartojamos sąvokos:

ADA sistemos ar tinklo valdytojas – ADA sistemos ar tinklo nuostatuose nurodytas paslapčių subjektas arba jo įgaliotas struktūrinis padalinys, arba rangovas (subrangovas), kuris valdo ADA sistemą ar tinklą, juos sukūręs ar užsakęs sukurti arba įsigijęs.

ADA sistemos ar tinklo tvarkytojas – ADA sistemos ar tinklo nuostatuose nurodytas paslapčių subjektas arba jo įgaliotas struktūrinis padalinys, arba rangovas (subrangovas), kuris pagal ADA sistemos ar tinklo nuostatus įgaliotas tvarkyti ADA sistemą ar tinklą, jų duomenis.

ADA sistemos ar tinklo naudotojas – asmuo, kuriam ADA sistemos ar tinklo valdytojas arba tvarkytojas, pagal ADA sistemos ar tinklo nuostatuose apibrėžtą kompetenciją, suteikė teisę naudotis ADA sistema ar tinklu.

ADA sistemos ar tinklo slaptumo žyma – aukščiausia slaptumo žyma, kuria pažymėta įslaptinta informacija gali būti saugoma, apdorojama ADA sistemoje ar perduodama ADA tinklu.

Įgaliotoji institucija – institucija, kuriai teisės aktais pavesta atlikti Nacionalinės komunikacijų apsaugos tarnybos arba Nacionalinės šifrų paskirstymo tarnybos, arba Saugumo priežiūros tarnybos, arba apsaugos nuo informatyviojo elektromagnetinio spinduliavimo (TEMPEST) funkcijas.

RN sistema ar tinklas – ADA sistema, kurioje saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Riboto naudojimo“, ar tinklas, kuriuo tokia informacija yra perduodama.

KF sistema ar tinklas – ADA sistema, kurioje saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Konfidencialiai“, ar tinklas, kuriuo tokia informacija yra perduodama.

S sistema ar tinklas – ADA sistema, kurioje saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Slaptai“, ar tinklas, kuriuo tokia informacija yra perduodama.

VS sistema ar tinklas – ADA sistema, kurioje saugoma, apdorojama įslaptinta informacija, žymima slaptumo žyma „Visiškai slaptai“, ar tinklas, kuriuo tokia informacija yra perduodama.

Saugos dokumentai – ADA sistemos ar tinklo valdytojo įsakymu patvirtinti teisės aktai, reglamentuojantys ADA sistemos ar tinklo saugą, nurodyti Dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, rengimo ir leidimų automatizuotai apdoroti įslaptintą informaciją išdavimo taisyklėse.

Saugumo incidentas – įvykis, veiksmas ar neveikimas, kuris sudaro ar gali sudaryti sąlygas neteisėtai prisijungti prie ADA sistemos ar tinklo, sutrikdyti ar pakeisti (įskaitant valdymo perėmimą) ADA sistemos ar tinklo veikimą, sunaikinti, sugadinti, ištrinti ar pakeisti įslaptintą informaciją, elektroninius duomenis, panaikinti ar apriboti galimybę naudotis įslaptinta informacija, elektroniniais duomenimis, taip pat sudaryti sąlygas pasisavinti, paskelbti, platinti ar kitaip neteisėtai naudoti įslaptintą informaciją, elektroniniais duomenimis.

Kitos apraše vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatyme ir kituose teisės aktuose.

3.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

Aprašas skirtas užtikrinti:

3.1. efektyvų ir racionalų ADA sistemų ir tinklų saugos valdymą;

3.2. efektyvų prieigos teisių prie ADA sistemų ir tinklų valdymą ir kontrolę;

3.3. galimybę nustatyti ADA sistemos ar tinklo naudotojų tapatybę ir patikrinti jos autentiškumą;

3.4. galimybę fiksuoti veiksmus ir įvykius ADA sistemoje ar tinkle;

3.5. tyčinių ar atsitiktinių ADA sistemoje tvarkomos ir tinklais perduodamos įslaptintos informacijos, ADA sistemos ar tinklo paslaugų ir išteklių konfidencialumo, vientisumo ir prieinamumo pažeidimų fiksavimą;

3.6. galimybę greitai atkurti ADA sistemos ar tinklo veikimą ir pasiekti svarbius išteklius ar paslaugas sugedus vienam ar keliems ADA sistemos ar tinklo komponentams arba praradus jų kontrolę;

3.7. operatyvią įslaptintos informacijos ir svarbių ADA sistemos ar tinklo komponentų evakuaciją arba naikinimą ekstremalių situacijų metu.

4.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

Užsienio valstybių, Europos Sąjungos ir tarptautinių organizacijų įslaptintos informacijos, ADA sistemų ir tinklų saugumui šis aprašas taikomastiek, kiek neprieštarauja Lietuvos Respublikos tarptautinėms sutartims ir šiomis sutartimis grindžiamiems bei jas įgyvendinantiems tarptautinių organizacijų sprendimams ir Europos Sąjungos teisės aktams.

 

II. REIKALAVIMAI ADA SISTEMŲ IR TINKLŲ SAUGOS VALDYMO ORGANIZAVIMUI

 

5. Turi būti paskirtas ADA sistemos ar tinklo saugos įgaliotinis (toliau – saugos įgaliotinis), kuris atsako už ADA sistemos ar tinklo saugos reikalavimų įgyvendinimo organizavimą ir kontrolę. Esant poreikiui, gali būti skiriami saugos įgaliotiniai struktūriniuose ADA sistemos ar tinklo tvarkytojo padaliniuose (toliau – tvarkytojo saugos įgaliotinis), kurie atlieka saugos įgaliotinio funkcijas saugos įgaliotinio nustatytos kompetencijos ribose ir yra jam atskaitingi.

6. Turi būti paskirtas ADA sistemos ar tinklo administratorius (toliau – administratorius). Administratoriai yra atskaitingi saugos įgaliotiniui. Saugos įgaliotinį skirti administratoriumi draudžiama. Administratoriaus funkcijas gali būti pavesta vykdyti ADA sistemos ar tinklo valdytojo struktūriniam padaliniui.

7. Jeigu ADA sistemoje ar tinkle naudojamos kriptografinės priemonės, turi būti paskirtas ADA sistemos ar tinklo kriptografinių priemonių administratorius (administratorius) (toliau – kriptografinių priemonių administratorius). Kriptografinių priemonių administratoriai yra atskaitingi saugos įgaliotiniui. Saugos įgaliotinį skirti kriptografinių priemonių administratoriumi draudžiama.

8. Saugos įgaliotinis, administratorius ir kriptografinių priemonių administratorius gali turėti pavaduotojus.

9. Saugos įgaliotinis, administratorius ir kriptografinių priemonių administratorius įgyvendina atsakingo asmens funkcijas organizuojant ADA sistemų ir tinklų apsaugą ADA sistemos ar tinklo valdytojo institucijoje nustatytas Valstybės ir tarnybos paslapčių įstatyme.

10. ADA sistemos ar tinklo valdytojo funkcijos ir atsakomybė:

10.1. skiria saugos įgaliotinį, administratorių ir, esant poreikiui, kriptografinių priemonių administratorių ar jų pavaduotojus;

10.2. skiria ADA sistemos ar tinklo tvarkytoją (tvarkytojus) ir nustato jo (jų) kompetencijos ribas tvarkant ADA sistemą ar tinklą;

10.3. tvirtina saugos dokumentus;

10.4. atsako už ADA sistemos ar tinklo saugos reikalavimų įgyvendinimą;

10.5. atsako už dokumentų, reikalingų leidimui automatizuotai apdoroti įslaptintą informaciją išduoti, pateikimą laiku;

10.6. atsako už ADA sistemos ar tinklo saugos užtikrinimui reikalingų finansinių ir kitų išteklių skyrimą laiku.

11. ADA sistemos ar tinklo valdytojas turi teisę įgalioti ADA sistemos ar tinklo tvarkytoją atlikti tam tikras savo funkcijas.

12. Saugos įgaliotinio funkcijos ir atsakomybė:

12.1. teikia ADA sistemos ar tinklo valdytojo vadovui arba jo įgaliotiems asmenims siūlymus dėl:

12.1.1. administratoriaus ir (ar) kriptografinių priemonių administratoriaus skyrimo;

12.1.2. ADA sistemos ar tinklo saugos dokumentų priėmimo, keitimo ar panaikinimo;

12.1.3. ADA sistemos ar tinklo rizikos vertinimo ir atitikties įslaptintos informacijos saugumo reikalavimams vertinimo (toliau – atitikties vertinimas) atlikimo;

12.1.4. ADA sistemos ar tinklo saugos tobulinimo, saugumo priemonių diegimo;

12.1.5. ADA sistemos ar tinklo valdytojo ar tvarkytojo personalo kvalifikacijos kėlimo;

12.2. rengia ADA sistemos ar tinklo saugos dokumentus;

12.3. organizuoja ADA sistemos ar tinklo rizikos analizės ir (ar) atitikties vertinimo atlikimą;

12.4. organizuoja ADA sistemos ar tinklo naudotojų pasirašytiną supažindinimą su ADA sistemos ar tinklo saugos dokumentais ir teisės aktais bei su atsakomybe už nustatytų reikalavimų nesilaikymą;

12.5. organizuoja ADA sistemos ar tinklo naudotojų apmokymus, susijusius su ADA sistemos ar tinklo naudojama technine bei programine įranga;

12.6. atsako už ADA sistemos ar tinklo saugumo reikalavimų įgyvendinimą;

12.7. atsako už tinkamą ADA sistemos ar tinklo saugumą užtikrinančių procedūrų vykdymo kontrolę;

12.8. informuoja ADA sistemos ar tinklo valdytojo vadovą arba jo įgaliotus asmenis apie saugumo incidentus, koordinuoja jų tyrimą ir dalyvauja jame;

12.9. inicijuoja ir koordinuoja reguliarius ADA sistemos ir tinklo veiklos tęstinumo valdymo plano bandymus;

12.10. teikia administratoriams, kriptografinių priemonių administratoriams ir ADA sistemos ar tinklo valdytojo darbuotojams, užtikrinantiems ADA sistemos ar tinklo funkcionavimą, privalomus vykdyti nurodymus ir pavedimus;

12.11. koordinuoja ir kontroliuoja tvarkytojo saugos įgaliotinių veiklą jiems priskirtos kompetencijos ribose;

12.12. atlieka kitas ADA sistemos ar tinklo valdytojo vadovo ar jo įgaliotų asmenų pavestas ir jam priskirtas funkcijas.

13. Administratoriaus atsakomybė ir funkcijos:

13.1. atsako už ADA sistemos ar tinklo funkcionavimą ir užtikrina tinkamą ir saugų jo darbą;

13.2. apmoko ADA sistemos ar tinklo naudotojus naudotis ADA sistema ar tinklu;

13.3. įvertina ADA sistemos ar tinklo naudotojų pasirengimą dirbti su ADA sistemos ar tinklo įranga ir suteikia naudotojams prieigos prie ADA sistemos ar tinklo teisę;

13.4. teikia saugos įgaliotiniui informaciją, reikalingą 12.2, 12.3, 12.6, 12.7, 12.9 ir 12.10 punktuose nurodytoms funkcijoms atlikti;

13.5. teikia siūlymus ADA sistemos ar tinklo funkcionavimo užtikrinimo, plėtimo, priežiūros ir įslaptintos informacijos saugos klausimais;

13.6. administruoja ADA sistemos ar tinklo techninę ir programinę įrangą, juos žymi informacinėmis užklijomis, nurodančiomis aukščiausią leistiną tvarkyti šia įranga įslaptintos informacijos slaptumo žymą;

13.7. registruoja įvykusius saugumo incidentus, informuoja apie juos saugos įgaliotinį, dalyvauja jų tyrime ir šalinime;

13.8. koordinuoja ADA sistemos ar tinklo valdytojo darbuotojų, užtikrinančių ADA sistemos ar tinklo funkcionavimą, veiklą.

14. Reikalavimai kriptografinių priemonių administratoriui, jo funkcijos ir atsakomybė nustatomi Bendrosiose įslaptintos informacijos kriptografinės apsaugos taisyklėse.

15. ADA sistemos ar tinklo rizikos valdymas turi būti sudėtinė ADA sistemos ar tinklo valdymo proceso dalis viso ADA sistemos ar tinklo gyvavimo ciklo metu.

16. ADA sistemos ar tinklo eksploatavimo metu rizikos vertinimas turi būti atliekamas:

16.1. RN ir KF sistemų ir tinklų – ne rečiau kaip kartą per 2 metus;

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

16.2. S ir VSsistemų ir tinklų – ne rečiau kaip kartą per 1 metus.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

16.3. NETEKO GALIOS:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

17. ADA sistemos ar tinklo eksploatavimo metu atitikties saugos reikalavimams vertinimas (toliau – atitikties vertinimas) turi būti atliekamas:

17.1. RN ir KF sistemų ir tinklų – ne rečiau kaip kartą per 2 metus;

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

17.2. S ir VS sistemų ir tinklų – ne rečiau kaip kartą per 1 metus.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

17.3. NETEKO GALIOS:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

18. Neeilinis rizikos ir (ar) atitikties vertinimas turi būti vykdomas:

18.1. po saugumo incidento ADA sistemoje ir tinkle, kuris parodė saugumo užtikrinimo priemonių nustatymo, įgyvendinimo ir eksploatavimo trūkumus;

18.2. atlikus pakeitimus ADA sistemos ar tinklo specifinių saugumo reikalavimų apraše ar saugumo valdymo procedūrų apraše;

18.3. paaiškėjus naujoms grėsmėms, pažeidžiamumams arba nustačius papildomas aplinkybes, į kurias prieš tai nebuvo atsižvelgta arba kurių rizika labai pasikeitė;

18.4. ADA sistemos ir tinklo valdytojo vadovybės pavedimu;

18.5. kitais žinybinės SPT ar SPT nustatytais atvejais.

19. Po rizikos ir (ar) atitikties vertinimo saugos įgaliotinis organizuoja rizikos valdymo ir (ar) neatitikčių šalinimo plano sudarymą, kurį teikia tvirtinti ADA sistemos ar tinklo valdytojui. Planas (planai) ir rizikos ir (ar) atitikties vertinimo dokumentacija pateikiami žinybinei Saugumo priežiūros tarnybai, o jeigu tokia neįsteigta – Saugumo priežiūros tarnybai.

20. ADA sistemose ir tinkluose taikomos techninės apsaugos priemonės ir mechanizmai turi atitikti reikalavimus, keliamus įslaptintos informacijos, žymimos atitinkama slaptumo žyma, apsaugai. Taikomų techninių apsaugos priemonių ir mechanizmų tinkamumas įslaptintos informacijos apsaugai teisės aktų nustatyta tvarka turi būti patvirtintas įgaliotųjų institucijų.

21. ADA sistemų ir tinklų sudėtinės dalys ir tvarkomos įslaptintos informacijos apsaugos mechanizmai turi būti diegiami ir eksploatuojami vadovaujantis įgaliotųjų institucijų reikalavimais.

22.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

KF, S ir VS sistemų ir tinklų sudėtinės dalys, išskyrus teisės aktų nustatytas išimtis, turi būti įrengiamos ne žemesnėje kaip II klasės saugumo zonoje. Tokių ADA sistemų ir tinklų tarnybinės stotys, kriptografinė ryšio apsaugos įranga ir kiti kritiniai ADA sistemos ir tinklo komponentai turi būti įrengiami I klasės saugumo zonoje. KF ir S sistemų kriptografinę įrangą, kuri naudojama tik darbo valandomis ir aktyvuojama specialiomis lustinėmis kortelėmis arba raktais, leidžiama įrengti II klasės saugumo zonoje. RN sistemų ir tinklų sudėtinės dalys, išskyrus teisės aktų nustatytas išimtis, turi būti įrengiamos ne žemesnėje kaip administracinėje saugumo zonoje, o tokių ADA sistemų ir tinklų tarnybinės stotys ir kiti kritiniai ADA sistemos ir tinklo komponentai turi būti įrengiami ne žemesnėje kaip II klasės saugumo zonoje.

 

III. REIKALAVIMAI ADA SISTEMŲ IR TINKLŲ PRIEIGOS TEISIŲ VALDYMUI

 

23.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

Prieigos prie ADA sistemos ar tinklo teisė suteikiama ADA sistemos ar tinklo valdytojo sprendimu, vadovaujantis principu „būtina žinoti“. ADA sistemos ar tinklo naudotojas privalo turėti galiojantį leidimą dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma, atitinkančia ADA sistemos ar tinklo slaptumo žymą arba aukštesne. Kiekvienas ADA sistemos ar tinklo naudotojas privalo turėti unikalų identifikatorių. ADA sistemos ar tinklo saugos įgaliotinis ir administratorius privalo turėti galiojantį leidimą dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma, atitinkančia ADA sistemos ar tinklo slaptumo žymą arba aukštesne.

24. ADA sistemos ar tinklo priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą administratoriaus identifikatorių, kuriuo naudojantis nebūtų galima modifikuoti, naikinti ar kitaip keisti ADA sistemos ar tinklo sisteminiuose įvykių žurnaluose saugomos informacijos ir keisti sisteminių įvykių žurnalų pildymo nustatymų. Atlikti ADA sistemos ar tinklo naudotojo funkcijas, naudojantis šiuo identifikatoriumi, draudžiama.

25.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

ADA sistemos ar tinklo naudotojas privalo užtikrinti „Būtina žinoti“ principo laikymąsi ir neleisti bei nesudaryti sąlygų asmenims susipažinti su jiems neskirta įslaptinta informacija.

26.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

ADA sistemos ar tinklo naudotojui neatliekant jokių veiksmų (RN ir KF sistemoje ar tinkle – 15 min., S ir VS sistemoje ar tinkle – 10 min.), ADA sistema ar tinklas turi užtikrinti, kad toliau naudotis ADA sistema ar tinklu galima būtų tik pakartojus tapatybės nustatymo ir patvirtinimo veiksmus.

27.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

ADA sistemos ar tinklo naudotojo prieiga turi būti blokuojama, jei žinoma, kad šis naudotojas nesinaudos (atostogauja, išvykęs į komandiruotę, serga ir pan.) RN ir KF sistema ar tinklu – daugiau kaip 2 mėnesius, S ir VS sistema ar tinklu – daugiau kaip 1 mėnesį.

28. Jeigu ADA sistemos ar tinklo naudotojas nesilaiko įslaptintos informacijos apsaugos reikalavimų, piktnaudžiauja jam suteiktais įgaliojimais, yra nušalintas nuo pareigų, ADA sistemos ar tinklo valdytojo ar tvarkytojo sprendimu ADA sistemos ar tinklo naudotojo prieiga prie ADA sistemos ar tinklo turi būti blokuojama nedelsiant, iki aplinkybių išsiaiškinimo.

29. Asmenų, netekusių 23 p. nurodytų leidimų, arba asmenų, kurie nebeatitinka principo „Būtina žinoti“, prieiga prie atitinkamos įslaptintos informacijos ir (ar) ADA sistemos ar tinklo turi būti nedelsiant panaikinama.

30.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

Reikalavimus tapatybės patvirtinimo priemonėms nustato Nacionalinė komunikacijų apsaugos tarnyba.

 

IV. REIKALAVIMAI ADA SISTEMŲ IR TINKLŲ ĮVYKIŲ REGISTRAVIMUI

 

31.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

ADA sistemose ir tinkluose turi būti užtikrintas nuolatinis įvykių (ADA sistemos ar tinklo veiklos įrašų) registravimas, nurodant laiką ir susijusį naudotojo identifikatorių. Reikalaujamų registruoti įvykių sąrašą nustato Nacionalinė komunikacijų apsaugos tarnyba. ADA sistemos ar tinklo valdytojas, vadovaudamasis rizikos analize, gali savo sprendimu papildyti minėtą sąrašą. Įvykiai turi būti registruojami pagrindiniame ir rezerviniame (jei leidžia ADA sistemos ar tinklo funkcionalumas – nutolusiame) įvykių žurnaluose. Laikrodžiai, pagal kuriuos nustatomas įvykių laikas, turi būti sinchronizuoti, išskyrus ADA sistemas, kurias sudaro pavieniai, nesujungti kompiuteriai. Turi būti priemonės, leidžiančios nustatyti su įvykiais susijusius asmenis visą įvykių žurnalų saugojimo laiką.

32. VS sistemose papildomai turi būti užtikrintas registravimas sėkmingų ir nesėkmingų bandymų prieiti prie kiekvienos informacijos rinkmenos, pažymėtos slaptumo žyma „Visiškai slaptai“.

33. ADA sistemos ar tinklo įvykių žurnalų pildymo nustatymų keitimas ir žurnalų kopijų darymas turi būti atliekamas naudojant atskirą tik tam skirtą identifikatorių. Minėti veiksmai turi būti atliekami tik užtikrinus ADA sistemos ar tinklo valdytojo vadovo, saugos įgaliotinio ir administratoriaus dalyvavimą ir kontrolę.

34.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

ADA sistemos ar tinklo įvykių žurnalų įrašai turi būti saugomi S sistemose ir tinkluose – 5 metus, VS sistemose ir tinkluose – 10 metų, RN ir KF sistemoms ir tinklams reikalavimas netaikomas. Jeigu ADA sistema ar tinklas likviduojami, įvykių žurnalas turi būti saugomas atitinkamai 5 metus arba 10 metų nuo likvidavimo dienos.

 

V. KITI REIKALAVIMAI

 

35. Patalpos, kuriose įrengta ADA sistemos ar tinklo įranga, turi atitikti reikalavimus, keliamus patalpoms, kuriose saugoma ar kuriose dirbama su atitinkama žyma pažymėta įslaptinta informacija.

36. ADA sistemos ar tinklo ranga (taip pat ir nešiojamieji kompiuteriai, kiti mobilieji įrenginiai), kurioje saugoma įslaptinta informacija, turi būti gabenama laikantis įslaptintos informacijos, gaminių ir kitų objektų, žymimų slaptumo žyma, atitinkančia ADA sistemos ar tinklo slaptumo žymą, gabenimo reikalavimų.

37. ADA sistemos ar tinklo įrenginiai turi būti pažymėti ADA sistemos ar tinklo slaptumo žymą nurodančia informacine užklija (užklijomis).

38. ADA sistemos ar tinklo įrenginiai turi būti apsaugoti apsauginėmis užklijomis. Apsauginių užklijų turi būti tiek ir jos turi būti tokio dydžio, kad neleistų atidaryti įrenginio korpuso, jų nepažeidžiant. Jeigu leidžia įrenginio konstrukcija ir (ar) funkcinės galimybės, turi būti įjungta įrenginio apsauga nuo korpuso atidarymo. Prieš pradėdamas darbą su ADA sistema ar tinklu, ADA sistemos ar tinklo naudotojas privalo įsitikinti, kad apsauginės užklijos nepažeistos.

39. ADA sistemoje ir tinkle saugomos ir apdorojamos informacijos atsargines kopijas rekomenduojama užšifruoti. Metodines rekomendacijas atsarginių kopijų šifravimui nustato Nacionalinė komunikacijų apsaugos tarnyba.

40. ADA sistemos ar tinklo valdytojas turi nustatyti atsarginių ADA sistemos ir tinklo duomenų kopijų darymo dažnį, jų saugojimo, perdavimo, bandomojo atkūrimo ir panaudojimo procedūras, o atsarginių kopijų bandomasis atkūrimas turi būti vykdomas:

40.1. RN ir KF sistemų ir tinklų – ne rečiau kaip kartą per 1 metus;

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

40.2. S ir VS sistemų ir tinklų – ne rečiau kaip kartą per 6 mėnesius.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

41. ADA sistemoje saugomos ir apdorojamos informacijos atsarginės kopijos turi būti daromos, administruojamos ir saugomos vadovaujantis kompiuterių laikmenų apsaugos reikalavimais, taikomais laikmenoms su ADA sistemos slaptumo žyma pažymėta įslaptinta informacija.

42.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

Laikmenos, kurios ADA sistemos ar tinklo naudotojų prijungiamos prie ADA sistemos ar tinklo kompiuterio ar įdedamos į ADA sistemos ar tinklo kompiuteryje esantį nuskaitymo įrenginį, turi būti įregistruotos Lietuvos Respublikos Vyriausybės nustatyta tvarka Įslaptintai informacijai įrašyti skirtų laikmenų registre. ADA sistemos ar tinklo kompiuteriuose turi būti išjungta automatinė laikmenų paleistis (angl. autorun). Rekomenduojama naudoti programinę įrangą, skirtą USB laikmenų kontrolei. Prieš prijungiant ar įdedant tokią laikmeną, ji turi būti patikrinta kenkėjiškos programinės įrangos aptikimo priemonėmis atskirame tam skirtame neprijungtame prie ADA sistemos ar tinklo kompiuteryje. Jungti laikmenas prie S ir VS sistemų ar tinklų šių sistemų ar tinklų naudotojams leidžiama tik įslaptintų dokumentų administravimo punktuose įrengtose darbo vietose.

43.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

Turi būti užtikrinta visų ADA sistemos ar tinklo kompiuterių apsauga nuo kenkėjiškos programinės įrangos. Programinės įrangos, skirtos apsaugai nuo kenkėjiškos programinės įrangos, sąrašą tvirtina Nacionalinė komunikacijų apsaugos tarnyba. ADA sistemos ar tinklo kompiuterių, prijungtų prie vietinio kompiuterių tinklo, apsauga nuo kenkėjiškos programinės įrangos turi būti valdoma ir atnaujinama centralizuotai. Išjungti ar pašalinti šią apsaugą leidžiama tik ADA sistemos administravimo tikslu. Ši apsauga turi būti atnaujinama gamintojo rekomenduojamu periodiškumu. Neprijungtų prie vietinio kompiuterių tinklo kompiuterių apsauga turi būti atnaujinama rankiniu būdu, naudojant tik tam skirtas laikmenas. Jeigu toks kompiuteris naudojamas rečiau, nei apsaugos gamintojo rekomenduojamas atnaujinimo periodas, apsauga turi būti atnaujinama nedelsiant po šio kompiuterio įjungimo ir naudotojo tapatybės nustatymooperacinėje sistemoje.

44. Diegti, atkurti arba atnaujinti ADA sistemos ar tinklo programinę įrangą naudojant laikmenas leidžiama tik iš gamintojo pateiktų arba iš įrašytų vienkartinio įrašymo laikmenų.

45.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

ADA sistemoje ar tinkle naudojamos techninės ir programinės įrangos sąrašus tvirtina ADA sistemos ar tinklo valdytojas, prieš tai suderinęs juos su žinybine Saugumo priežiūros tarnyba, o jei tokia neįsteigta – Saugumo priežiūros tarnyba.

46. ADA sistemos ar tinklo įranga turi būti prižiūrima laikantis gamintojo rekomendacijų.

47. ADA sistemos ar tinklo įrangos gedimų šalinimas, jeigu to negali atlikti saugos įgaliotinis, administratorius ir (ar) kitas įgaliotas ADA sistemos ar tinklo valdytojo personalas, turi būti atliekamas laikantis įslaptintų sandorių saugumo reikalavimų. Gedimų šalinimą turi atlikti atitinkamą kvalifikaciją turintis specialistas, gedimų šalinimas pagal galimybes turi būti atliekamas vietoje, prižiūrint saugos įgaliotiniui ar administratoriui.

48.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

ADA sistemos ar tinklo testavimas turi būti atliekamas naudojant atskirą tam skirtą testavimo aplinką, nenaudojant įslaptintos informacijos arba naudojant ją fiktyvią.

49.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

ADA sistemos ar tinklo naudotojas turi nedelsdamas informuoti saugos įgaliotinį, o jeigu jo nėra – administratorių apie neveikiančią ar netinkamai veikiančią ADA sistemą ar tinklą, pažeistas įrenginių apsaugines užklijas, saugos reikalavimų nesilaikančius ADA sistemos ar tinklo naudotojus, bet kokią veiklą, skirtą įslaptintai informacijai atskleisti ir (ar) ADA sistemos ar tinklo veiklai sutrikdyti. Tuo atveju, kai tokią veiklą vykdo saugos įgaliotinis ir (ar) administratorius, ADA naudotojas privalo informuoti ADA sistemos ar tinklo valdytojo vadovą, Lietuvos Respublikos valstybės saugumo departamentą ir žinybinę Saugumo priežiūros tarnybą, o jei tokia neįsteigta – Saugumo priežiūros tarnybą.

50.

KEISTA:

2013 01 07 įsakymu Nr. 5V-1 (nuo 2013 01 13)

(Žin., 2013, Nr. 4-158)

 

Jei dėl ADA sistemos ar tinklo ypatumų nėra galimas ar tikslingas atskirų šiame apraše išdėstytų reikalavimų įgyvendinimas, ADA sistemos ar tinklo valdytojas privalo atskirai įvertinti kiekvieno tokio reikalavimo neįgyvendinimo riziką ir šią informaciją pateikti žinybinei Saugumo priežiūros tarnybai, o jei tokia neįsteigta – Saugumo priežiūros tarnybai, kuri sprendžia dėl atitinkamo reikalavimo netaikymo ir apie priimtą sprendimą informuoja ADA sistemos ar tinklo valdytoją.

 

SUDERINTA

Lietuvos Respublikos paslapčių apsaugos koordinavimo komisijos

2010 m. lapkričio 12 d. protokoliniu sprendimu Nr. 56-5

______________

Paskutinis atnaujinimas: 2015-02-06 15:10:56
Renginių kalendorius
keyboard_arrow_leftGegužė 2024 keyboard_arrow_right
P A T K Pn Š S
29300102030405
06070809101112
13141516171819
20212223242526
27282930310102
Svarbu
TAVO IDĖJA
PARAMA UKRAINAI
Informacija apie COVID-19
Struktūra ir kontaktai
Vadovų darbotvarkės
Skelbimai
Administracinė informacija
Paslaugos
Nuorodos
Klaipėdos rajono plėtra 2030
Konsultavimasis su visuomene
Prisijungimas
Prisijungimas gyventojams
Gyventojų priėmimas
Priėmimas į ugdymo įstaigas
Registracija dėl soc. paslaugų
E. Apklausos
E. Prašymai
E. Konsultavimas
E. Paslaugos
Problemų žemėlapis
Atviri duomenys
Veiklos sritys
Švietimas
Sveikata
Socialinė parama
Sportas
Informacija nevyriausybinėms organizacijoms
Valstybinė kalba
Žemės ūkis
Civilinė metrikacija
Kultūra
Informacija jaunimui
Viešoji tvarka
Aplinkos apsauga
Civilinė sauga ir mobilizacija
Korupcijos prevencija
Informacija bendruomenėms
Turizmas