| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PATVIRTINTA
ĮSLAPTINTOS INFORMACIJOS FIZINĖS APSAUGOS REIKALAVIMŲ IR JŲ ĮGYVENDINIMO TVARKOS APRAŠAS
I SKYRIUS Bendrosios nuostatos
1. Įslaptintos informacijos fizinės apsaugos reikalavimų ir jų įgyvendinimo tvarkos aprašas (toliau – Aprašas) nustato patalpų, teritorijų ir kitų vietų, kuriose dirbama su įslaptinta informacija ar kuriose įslaptinta informacija saugoma, fizinės apsaugos reikalavimus ir jų įgyvendinimo tvarką, apsaugos nuo neteisėto informacijos fiksavimo ir perdavimo priemones ir patalpų, teritorijų ir kitų vietų, kuriose numatoma dirbti, susipažinti su įslaptinta informacija ar ją saugoti, įvertinimo tvarką. 2. Apraše vartojamos sąvokos atitinka Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatyme, Lietuvos Respublikos standartizacijos įstatyme ir Lietuvos standartuose LST EN 356, LST EN 1143-1, LST EN 1300, LST EN 1303, LST EN 1627, LST EN 12209, LST EN 12320, LST EN 14450, LST EN 50131-1, LST EN 62676 vartojamas sąvokas.
II SKYRIUS ĮSLAPTINTOS INFORMACIJOS FIZINĖS APSAUGOS REIKALAVIMAI, KELIAMI SAUGUMO ZONOMS PRISKIRTOMS PATALPOMS IR TERITORIJOMS, IR ŠIŲ PATALPŲ IR TERITORIJŲ ĮVERTINIMAS DĖL PRIPAŽINIMO TINKAMOMIS DIRBTI SU ĮSLAPTINTA INFORMACIJA AR JĄ SAUGOTI
PIRMASIS SKIRSNIS BENDROSIOS NUOSTATOS
3. Atsižvelgiant į disponuojamos įslaptintos informacijos slaptumo žymą, jos formą ir apimtį, skiriami aukštas, vidutinis ir žemas rizikos prarasti ar neteisėtai atskleisti įslaptintą informaciją laipsniai, kurių nustatymo atvejai pateikiami Aprašo 1 priede. 4. Įslaptintos informacijos fizinė apsauga užtikrinama diegiant ir taikant Aprašo 2 priede nurodytas įslaptintos informacijos fizinės apsaugos priemones (toliau – apsaugos priemonės). Įdiegtos apsaugos priemonės turi atitikti Aprašo 3 priede nustatytus atsparumo įsilaužimui reikalavimus, atsižvelgiant į disponuojamos įslaptintos informacijos slaptumo žymą ir rizikos prarasti ar neteisėtai atskleisti įslaptintą informaciją laipsnį, ir kitus reikalavimus, nustatytus šio skyriaus trečiajame skirsnyje. 5. Paslapčių subjektai ir tiekėjai (toliau kartu – Subjektas) turi patvirtinti įslaptintos informacijos fizinę apsaugą reglamentuojančius teisės aktus (toliau – fizinę apsaugą reglamentuojantys dokumentai), kuriuose turi būti nurodyta: 5.1. durų, seifų, metalinių spintų raktų bei užraktų, elektroninių apsaugos sistemų kodų išdavimo, apsaugos ir jų keitimo tvarka, šiuos veiksmus atliekantys asmenys, jų funkcijos; 5.2. asmenų įeigos į saugumo zonas, registravimo ir buvimo saugumo zonose kontrolės, įeigos kontrolės sistemos naudojimo tvarka, už kontrolę atsakingi asmenys, jų funkcijos; 5.3. apsaugos nuo įsibrovimo, vaizdo stebėjimo sistemų naudojimo neteisėtam patekimui į saugumo zonoms priskirtas patalpas, teritorijas aptikti tvarka, už šių sistemų naudojimą atsakingi asmenys, jų funkcijos; 5.4. veiksmų, reaguojant į aliarmo signalą, neteisėtą patekimą į saugumo zonoms priskirtas patalpas, teritorijas, tvarka, reaguojantys asmenys, jų funkcijos; 5.5. su įslaptinta informacija dirbančių ir už įslaptintos informacijos fizinę apsaugą atsakingų asmenų mokymų įslaptintos informacijos fizinės apsaugos srityje organizavimo tvarka; 5.6. apsaugos nuo įsibrovimo, vaizdo stebėjimo, įeigos kontrolės sistemos technologiniai (projektiniai) sprendimai ir pateiktas jų aprašymas, veikimo schemos, testavimo, garantinio ir tolesnio aptarnavimo ir techninės priežiūros tvarka, už techninę priežiūrą atsakingi asmenys, jų funkcijos; 5.7. saugumo zonoms priskirtų patalpų, teritorijų, kuriose valstybės paslaptį sudaranti informacija naudojama per posėdžius, pasitarimus, apsaugos nuo neteisėto informacijos fiksavimo ir perdavimo tvarka, už šių patalpų, teritorijų apsaugą atsakingi asmenys, jų funkcijos. 6. Prieš pradėdamas saugoti įslaptintą informaciją ar su ja dirbti, taip pat padidėjus rizikos prarasti ar neteisėtai atskleisti įslaptintą informaciją laipsniui ar pasikeitus apsaugos priemonėms, paslapčių subjektas turi atlikti įslaptintos informacijos fizinės apsaugos būklės patikrinimą ir parengti Įslaptintos informacijos fizinės apsaugos patikrinimo ataskaitą, kurios turinys turi atitikti Aprašo 4 priede nustatytas Įslaptintos informacijos fizinės apsaugos patikrinimo ataskaitos turinio gaires. Paslapčių subjektas įslaptintos informacijos fizinės apsaugos būklės patikrinimą pakartotinai turi atlikti ir Įslaptintos informacijos fizinės apsaugos patikrinimo ataskaitą parengti praėjus 24 mėnesiams nuo paskutinės Įslaptintos informacijos fizinės apsaugos patikrinimo ataskaitos parengimo. 7. Jeigu įslaptintos informacijos fizinės apsaugos būklės patikrinimo metu paaiškėja, kad padidėjo rizikos prarasti ar neteisėtai atskleisti įslaptintą informaciją laipsnis, pasikeitė įslaptintos informacijos fizinės apsaugos tvarka, apsaugos priemonės, jų būklė, turi būti imamasi priemonių, kad taikomos apsaugos priemonės atitiktų Apraše nustatytus reikalavimus ir patalpos, teritorijos ir kitos vietos būtų pripažintos tinkamomis saugoti įslaptintą informaciją ar su ja dirbti.
ANTRASIS SKIRSNIS ĮSLAPTINTOS INFORMACIJOS FIZINĖS APSAUGOS PRIEMONIŲ ATSPARUMO ĮSILAUŽIMUI ĮVERTINIMAS
8. Skiriamos šios apsaugos priemonių grupės: 8.1. pirma grupė – seifai, metalinės spintos, jų užraktai, tvirtinimo būdai; 8.2. antra grupė – patalpos sienos, perdangos, durys, langai, grotos, apsauginės žaliuzės; 8.3. trečia grupė – pastato sienos, perdangos, durys, langai, grotos, apsauginės žaliuzės; 8.4. ketvirta grupė – teritorijos tvora, vartai, užtvaros, turniketai; 8.5. penkta grupė – Subjekto darbuotojų (toliau – darbuotojai) įeigos kontrolė; 8.6. šešta grupė – asmenų, esančių Subjekto patalpoje ar teritorijoje, kurie nėra darbuotojai (toliau – lankytojai), įeigos kontrolė; 8.7. septinta grupė – įsibrovimo aptikimas ir reagavimas (apsaugos nuo įsibrovimo, užpuolimo, vaizdo stebėjimo sistemos, reagavimo laikas). 9. Apsaugos priemonės atsparumas įsilaužimui įvertinamas atsparumo įsilaužimui balais nuo žemiausio iki aukščiausio pagal Aprašo 2 priede pateiktą Įslaptintos informacijos fizinės apsaugos priemonių ir jų atsparumo įsilaužimui įvertinimo balais sąrašą. 10. Apsaugos priemonių grupės, išskyrus penktą grupę, atsparumo įsilaužimui balas nustatomas pagal žemiausiai įvertintą apsaugos priemonių grupės apsaugos priemonę ir negali būti mažesnis nei nustatytas Aprašo 3 priede, išskyrus Aprašo 11, 13, 14 ir 17 punktuose nurodytus atvejus, kai apsaugos priemonių grupei balai neskiriami. Bendras atsparumo įsilaužimui balas apskaičiuojamas susumuojant visų įdiegtų apsaugos priemonių grupių atsparumo įsilaužimui balus ir negali būti mažesnis nei nustatytas Aprašo 3 priede, išskyrus Aprašo 11 ir 20 punktuose nurodytus atvejus, kai reikalaujamas bendras atsparumo įsilaužimui balas mažinamas Aprašo 11 ir 20 punktuose nustatytu dydžiu. 11. Pirmos apsaugos priemonių grupės atsparumo įsilaužimui balas nustatomas įvertinus seifo ar metalinės spintos konstrukciją, įrengtus užraktus, raktų apskaitos procedūras. Kai saugumo zonai priskirtoje patalpoje ar teritorijoje įslaptinta informacija nesaugoma, pirmos grupės apsaugos priemonės nevertinamos, ir Aprašo 3 priede nustatytas bendras atsparumo įsilaužimui balas mažinamas šiai apsaugos priemonių grupei 3 priede nustatytu atsparumo įsilaužimui balo dydžiu. Jeigu saugumo zonoje įslaptinta informacija saugoma ne seife ar metalinėje spintoje, pirmos apsaugos priemonių grupės atsparumo įsilaužimui balas neskiriamas, o Aprašo 3 priede nustatytas bendras atsparumo įsilaužimui balas turi būti pasiektas kitų apsaugos priemonių grupių apsaugos priemonėmis. Jeigu seifo ar metalinės spintos užraktų raktai neapskaitomi (nefiksuojamas raktų kiekis bei jų naudotojai) arba bent vienas raktas yra prarastas (išskyrus atvejus, kai yra įrengti du ar daugiau užraktų, kurių raktai nėra prarasti), pirmos apsaugos priemonių grupės atsparumo įsilaužimui balas neskiriamas, o Aprašo 3 priede nustatytas bendras atsparumo įsilaužimui balas turi būti pasiektas kitų apsaugos priemonių grupių apsaugos priemonėmis. 12. Antros apsaugos priemonių grupės atsparumo įsilaužimui balas nustatomas atsižvelgiant į patalpos sienų, perdangų, durų, langų, grotų, apsauginių žaliuzių, užraktų atsparumo įsilaužimui balą, šių priemonių įrengimo ypatybes, užraktų raktų apsaugos procedūras. Kai vertinamą patalpą sudaro daugiau nei viena patalpa, patalpų vidinės pertvaros, sienos ir jose įrengti elementai nevertinami. 13. Trečios apsaugos priemonių grupės atsparumo įsilaužimui balas nustatomas įvertinus pastato išorinių sienų, durų, langų, grotų, apsauginių žaliuzių, užraktų atsparumo įsilaužimui balą, šių priemonių įrengimo ypatybes, užraktų raktų apsaugos procedūras. Kai pastato išorinė siena yra ir patalpos siena, kurios atsparumas įsilaužimui yra mažesnis nei pastato, nustatant bendrą atsparumo įsilaužimui balą, trečios apsaugos priemonių grupės atsparumo įsilaužimui balas neskiriamas, o Aprašo 3 priede nustatytas bendras atsparumo įsilaužimui balas turi būti pasiektas kitų apsaugos priemonių grupių apsaugos priemonėmis. 14. Jeigu patalpos durų, rakinamų grotų, apsauginių žaliuzių užraktų raktai neapskaitomi (nefiksuojamas raktų kiekis bei jų naudotojai) arba bent vienas raktas yra prarastas (išskyrus atvejus, kai yra įrengti du ar daugiau užraktų, kurių raktai nėra prarasti), nustatant antros ar trečios apsaugos priemonių grupės atsparumo įsilaužimui balą, patalpos durų, rakinamų grotų, apsauginių žaliuzių užraktų atsparumo įsilaužimui balas neskiriamas, o Aprašo 3 priede nustatytas bendras atsparumo įsilaužimui balas turi būti pasiektas kitų apsaugos priemonių grupių apsaugos priemonėmis. 15. Dvigubi langai, langai ir prieš juos ar už jų esančios grotos ir (arba) apsauginės žaliuzės, taip pat dvigubos durys, durys ir prieš jas ar už jų esančios grotos ir (arba) apsauginės žaliuzės vertinamos kaip vientisas patalpos ar pastato elementas ir prie langų ir durų atsparumo įsilaužimui balo pridedami antrųjų langų, durų, grotų ir (arba) apsauginių žaliuzių atsparumo įsilaužimui balai, bet nustatytas bendras apsaugos priemonės atsparumo įsilaužimui balas negali būti didesnis nei 9. Jeigu dvigubi langai ar durys turi bendrą staktą, vertinama tik didesniu atsparumu pasižyminti varčia. 16. Pastato išorinėje sienoje aukščiau nei 5,5 m nuo žemės esančių langų, grotų, apsauginių žaliuzių ir sienų, prie kurių nėra balkono ar kitų pastato elementų, medžių ar kitų pastatų, per kuriuos galima patekti prie jų, atsparumo įsilaužimui balas nustatomas dviem balais didesnis, bet ne didesnis kaip 9. Pastato išorinėje sienoje aukščiau nei 5,5 m nuo žemės esančių langų, grotų, apsauginių žaliuzių ir sienų, prie kurių yra balkonas ar kitų pastato elementų, medžių ar kitų pastatų, per kuriuos galima patekti prie jų, atsparumo įsilaužimui balas nustatomas vienu balu didesnis, bet ne didesnis kaip 9. 17. Ketvirtos apsaugos priemonių grupės atsparumo įsilaužimui balas nustatomas atsižvelgiant į teritorijos tvoros, vartų, užtvarų, turniketų atsparumo įsilaužimui balą, šių priemonių įrengimo ypatybes. Kai teritorijos riba sutampa su pastato siena, kurios atsparumo įsilaužimui balas yra mažesnis nei teritorijos, nustatant bendrą atsparumo įsilaužimui balą, ketvirtos apsaugos priemonių grupės atsparumo įsilaužimui balas neskiriamas, o Aprašo 3 priede nustatytas bendras atsparumo įsilaužimui balas turi būti pasiektas kitų apsaugos priemonių grupių apsaugos priemonėmis. 18. Penktos apsaugos priemonių grupės atsparumo įsilaužimui balas nustatomas atsižvelgiant į darbuotojų įeigos kontrolės sistemos ypatybes. 19. Šeštos apsaugos priemonių grupės atsparumo įsilaužimui balas nustatomas atsižvelgiant į lankytojų įeigos kontrolės procedūras. 20. Septintos apsaugos priemonių grupės atsparumo įsilaužimui balas nustatomas atsižvelgiant į apsaugos nuo įsibrovimo, užpuolimo, vaizdo stebėjimo sistemų ypatybes. Kai saugumo zonai priskirtoje patalpoje ar teritorijoje yra tik dirbama su įslaptinta informacija, žymima slaptumo žyma „Riboto naudojimo“, bet ji nesaugoma, septinta apsaugos priemonių grupė nevertinama ir Aprašo 3 priede nustatytas bendras atsparumo įsilaužimui balas mažinamas vienu balu.
TREČIASIS SKIRSNIS KITI ĮSLAPTINTOS INFORMACIJOS FIZINĖS APSAUGOS PRIEMONIŲ REIKALAVIMAI
21. Jeigu seifas sveria mažiau nei 100 kg, jis turi būti pritvirtintas prie sienos arba grindų seifo gamintojo numatytomis priemonėmis numatytose vietose. 22. Patalpos durų, seifų, metalinių spintų naudojami užraktų raktai turi būti saugomi atskirai nuo atsarginių raktų. Fizinę apsaugą reglamentuojančiuose dokumentuose turi būti numatyta galimybė panaudoti atsarginius raktus, kai nėra asmens, kuriam patikėta įslaptinta informacija. 23. Patalpos durų, seifų, metalinių spintų užraktų kodus naudojantys asmenys privalo juos įsiminti. Kodai turi būti keičiami prieš pirmą kartą pradedant naudotis patalpos durų, seifo ar metalinės spintos užraktu, pasikeitus darbuotojams, kurie žino kodus; įtariant, kad kodas gali būti atskleistas ar žinant atskleidimo faktą; paaiškėjus, kad saugoma įslaptinta informacija atskleista ar prarasta; atlikus avarinį I ar II klasės saugumo zonos durų arba seifo atidarymą; atlikus I ar II klasės saugumo zonos durų arba seifo remontą ir ne rečiau kaip kartą per 12 mėnesių nuo paskutinio kodų keitimo, kai saugoma valstybės paslaptį sudaranti informacija, ir ne rečiau kaip kartą per 24 mėnesius nuo paskutinio kodų keitimo, kai saugoma tarnybos paslaptį sudaranti informacija. Kodus, kuriais galima suteikti, pakeisti ir ištrinti patalpos durų, seifų, metalinių spintų užraktų kodus, saugo už įslaptintos informacijos apsaugą atsakingas asmuo. 24. Elektroninė įeigos kontrolės sistema ar darbuotojas, vykdantis įeigos kontrolę, turi nustatyti į saugumo zoną įeinančio darbuotojo ar lankytojo tapatybę, užfiksuoti įėjimo laiką; į saugumo zoną įėjusio darbuotojo ar lankytojo asmens tapatybės bei jo buvimo saugumo zonoje duomenys turi būti saugomi ne trumpiau nei 6 mėnesius nuo duomenų užfiksavimo dienos. Elektroninės įeigos kontrolės sistemos kodai, kortelės ar žetonai turi būti išduodami asmeniškai darbuotojams ar lankytojams, o jų išdavimo duomenys turi būti apskaitomi. Elektroninė įeigos kontrolės sistema turi būti sukonfigūruota taip, kad neleistų į saugumo zoną įeiti su darbuotojo ar lankytojo, kuris jau yra saugumo zonoje, kodu, kortele ar žetonu, taip pat jeigu durys (ar kiti barjerai) paliekamos atidarytos ilgiau nei 15 sekundžių, įeigos kontrolės sistema skleistų garsinį signalą ties šiomis durimis. Įeigos vietose, kurios kontroliuojamos įeigos kontrolės sistemos ar už saugumo zonoms priskirtų patalpų ir teritorijų apsaugą atsakingo asmens, turi būti įdiegta automatinė varčios uždarymo įranga. Objektuose, kuriuose yra I ar II klasės saugumo zonos, turi būti ženklai, įspėjantys, kad gali būti tikrinami darbuotojų ir lankytojų įnešami ir išnešami daiktai. 25. Apsaugos nuo įsibrovimo sistema turi fiksuoti neteisėtą patekimą ar bandymą patekti į saugumo zonoms priskirtas patalpas ar teritorijas ir įspėti už šių patalpų ir teritorijų apsaugą atsakingus asmenis. Saugumo zonų patalpų durys po darbo valandų turi būti rakinamos visais užraktais ir įjungiama apsaugos nuo įsibrovimo sistema, kurios pranešimų signalai apie įjungimą/ išjungimą, aliarmą ir gedimus turi būti perduodami į vietinį ir (arba) centralizuotą stebėjimo pultą. Prie vietinio ir (arba) centralizuoto stebėjimo pulto nuolat turi būti bent vienas už saugumo zonoms priskirtų patalpų ir teritorijų apsaugą atsakingas asmuo. 26. I klasės saugumo zonų patalpose, kuriose įrengtos darbo vietos, ir II klasės saugumo zonų patalpose, kuriose nustatytas aukštas rizikos prarasti ar neteisėtai atskleisti įslaptintą informaciją laipsnis ir įrengtos darbo vietos, turi būti įdiegtas pavojaus (įspėjimo) mygtukas, skirtas išsikviesti pagalbą užpuolimo atveju. 27. Už saugumo zonoms priskirtų patalpų ir teritorijų apsaugą atsakingi asmenys turi gebėti reaguoti į gaunamus apsaugos nuo įsibrovimo, užpuolimo sistemų signalus, privalo turėti ryšio priemones ir galimybę pakviesti į pagalbą kitus už saugumo zonoms priskirtų patalpų ir teritorijų apsaugą atsakingus asmenis. Už saugumo zonoms priskirtų patalpų ir teritorijų apsaugą atsakingų asmenų reagavimas į apsaugos nuo įsibrovimo, užpuolimo sistemų signalus turi būti tikrinamas. 28. Saugumo zonų ir jų prieigų apšvietimas turi užtikrinti, kad tamsiu paros metu būtų gerai apšviestos už saugumo zonoms priskirtų patalpų ir teritorijų apsaugą atsakingų asmenų tiesiogiai ir vaizdo stebėjimo sistema stebimos vietos. 29. Vaizdo stebėjimo sistema privalo būti įdiegta taip, kad fiksuotų įeigos į saugumo zonas vietas, įvykio datą ir laiką, įrašytų vaizdo stebėjimo duomenis vaizdo įrašymo įrenginiuose ir juos saugotų ne mažiau kaip 30 dienų nuo vaizdo įrašymo dienos. Vaizdo stebėjimo sistemos įrenginiai turi būti sujungti į uždarą fizinį tinklą, neprijungtą prie viešųjų ryšių tinklų. Prireikus perduoti vaizdo stebėjimo duomenis, viešaisiais ryšių tinklais jie siunčiami užšifruoti.
KETVIRTASIS SKIRSNIS SAUGUMO ZONOMS PRISKIRTŲ PATALPŲ IR TERITORIJŲ ĮVERTINIMAS DĖL PRIPAŽINIMO TINKAMOMIS DIRBTI SU ĮSLAPTINTA INFORMACIJA AR JĄ SAUGOTI
30. Siekdami gauti pažymėjimą, patvirtinantį, kad saugumo zonoms priskirtos patalpos ir (arba) teritorijos atitinka įslaptintos informacijos fizinės apsaugos reikalavimus ir jose galima dirbti su įslaptinta informacija ar ją saugoti (toliau – fizinės apsaugos reikalavimų atitikties pažymėjimas, 5 priedas), paslapčių subjekto vadovas arba jo įgaliotas asmuo, tiekėjas raštu kreipiasi į Valstybės ir tarnybos paslapčių įstatymo 30 straipsnio 4 dalyje nurodytą instituciją (toliau – įvertinimą atliekanti institucija) ir pateikia šiuos dokumentus: 30.1. prašymą fizinės apsaugos reikalavimų atitikties pažymėjimui gauti; 30.2. sprendimo, kuriuo paskirtas už įslaptintos informacijos apsaugą atsakingas asmuo, kopiją; 30.3. Aprašo 6 punkte nurodytą ataskaitą (tiekėjas šios ataskaitos neteikia); 30.4. fizinę apsaugą reglamentuojančių dokumentų kopijas. 31. Saugumo zonoms priskirtų patalpų ir teritorijų vertinimas pradedamas įvertinimą atliekančioms institucijoms gavus visus Aprašo 30 punkte nurodytus dokumentus. Jeigu Subjektas pateikia ne visus Aprašo 30 punkte nurodytus dokumentus, įvertinimą atliekanti institucija ne vėliau kaip per 10 darbo dienų nuo dokumentų gavimo dienos raštu informuoja Subjektą apie trūkstamus dokumentus. 32. Įvertinimą atliekanti institucija turi teisę Subjekto prašyti papildomų dokumentų ar informacijos, reikalingų atliekant saugumo zonoms priskirtų patalpų ir teritorijų įvertinimą. 33. Įvertinimą atliekanti institucija įvertina, ar saugumo zonoms priskirtose patalpose ir teritorijose įdiegtos ir naudojamos apsaugos priemonės atitinka Aprašo 3 priede nustatytus atsparumo įsilaužimui reikalavimus ir kitus šio skyriaus trečiajame skirsnyje nustatytus reikalavimus, parengia ir Subjektui pateikia išvadą dėl saugumo zonoms priskirtų patalpų ir teritorijų įvertinimo, kurioje nurodoma informacija apie įvertintas saugumo zonoms priskirtas patalpas ir teritorijas, jose įdiegtas ir naudojamas apsaugos priemones; nustačius trūkumų, pateikiamos ir jų pašalinimo rekomendacijos. Jeigu nenustatoma trūkumų, kartu su išvada dėl saugumo zonoms priskirtų patalpų ir teritorijų įvertinimo Subjektui pateikiamas fizinės apsaugos reikalavimų atitikties pažymėjimas. 34. Įvertinimą atliekanti institucija saugumo zonoms priskirtas patalpas ir teritorijas privalo įvertinti, išvadą dėl saugumo zonoms priskirtų patalpų ir teritorijų įvertinimo parengti ir sprendimą dėl fizinės apsaugos reikalavimų atitikties pažymėjimo išdavimo priimti: 34.1. ne vėliau kaip per 40 darbo dienų nuo visų Aprašo 30 punkte nurodytų dokumentų gavimo dienos, kai vertinamos paslapčių subjekto saugumo zonoms priskirtos patalpos ir teritorijos ar tiekėjo, turinčio ar pretenduojančio gauti tiekėjo patikimumo pažymėjimą arba tiekėjo leidimą dirbti ar susipažinti su įslaptinta informacija, kuriuo suteikiama teisė sudaryti įslaptintą sandorį, kurį vykdant bus susipažįstama su įslaptinta informacija, žymima slaptumo žyma „Visiškai slaptai“, „Slaptai“ ar „Konfidencialiai“, saugumo zonoms priskirtos patalpos ir teritorijos (išskyrus Aprašo 49 punkte nurodytą atvejį); 34.2. ne vėliau kaip per 15 darbo dienų nuo visų Aprašo 30 punkte nurodytų dokumentų gavimo dienos, kai vertinamos tiekėjo, turinčio ar pretenduojančio gauti pažymą, patvirtinančią įslaptintos informacijos, žymimos slaptumo žyma „Riboto naudojimo“, apsaugos reikalavimų atitiktį, ar tiekėjo leidimą dirbti ar susipažinti su įslaptinta informacija, kuriuo suteikiama teisė sudaryti įslaptintą sandorį, kurį vykdant bus susipažįstama su įslaptinta informacija, žymima slaptumo žyma „Riboto naudojimo“, saugumo zonoms priskirtos patalpos ir teritorijos. 35. Jeigu Subjektas per 60 darbo dienų nuo sprendimo neišduoti fizinės apsaugos reikalavimų atitikties pažymėjimo gavimo dienos pašalina saugumo zonoms priskirtų patalpų ir teritorijų vertinimo metu nustatytus trūkumus ir apie tai raštu informuoja įvertinimą atlikusią instituciją, pastaroji ne vėliau kaip per 10 darbo dienų nuo šios informacijos gavimo dienos įvertina, ar trūkumai pašalinti, parengia ir Subjektui pateikia išvadą dėl saugumo zonoms priskirtų patalpų ir teritorijų įvertinimo. Jeigu nenustatoma trūkumų, kartu su išvada dėl saugumo zonoms priskirtų patalpų ir teritorijų įvertinimo Subjektui pateikiamas fizinės apsaugos reikalavimų atitikties pažymėjimas. Jeigu Subjektas per 60 darbo dienų nuo sprendimo neišduoti fizinės apsaugos reikalavimų atitikties pažymėjimo gavimo dienos nepašalina saugumo zonoms priskirtų patalpų ir teritorijų vertinimo metu nustatytų trūkumų ir apie tai raštu neinformuoja įvertinimą atlikusios institucijos, saugumo zonoms priskirtų patalpų ir teritorijų vertinimas atliekamas Aprašo 30–34 punktuose nustatyta tvarka. 36. Fizinės apsaugos reikalavimų atitikties pažymėjimas galioja 10 metų nuo jo išdavimo dienos. 37. Subjektas ne vėliau kaip prieš 10 darbo dienų iki pradėdamas saugumo zonoms priskirtų patalpų ar teritorijų apsaugos priemonių modernizavimo, naikinimo ar kitokio keitimo darbus ir ne vėliau kaip per 5 darbo dienas po šių darbų pabaigos privalo informuoti įvertinimą atlikusią instituciją nurodydamas planuojamų ar atliktų darbų pobūdį. Įvertinimą atliekanti institucija ne vėliau kaip per 15 darbo dienų nuo informacijos apie pabaigtus darbus gavimo dienos atlieka pakeistų apsaugos priemonių vertinimą ir priima sprendimą dėl fizinės apsaugos reikalavimų atitikties pažymėjimo galiojimo. Jeigu nustatoma, kad atlikus darbus saugumo zonoms priskirtose patalpose ar teritorijose įdiegtos apsaugos priemonės neatitinka Apraše nustatytų reikalavimų ir dėl to kyla grėsmė įslaptintos informacijos saugumui, priimamas sprendimas panaikinti fizinės apsaugos reikalavimų atitikties pažymėjimą. Jeigu nustatoma trūkumų, nekeliančių grėsmės įslaptintos informacijos saugumui, įvertinimą atlikusi institucija nenaikina fizinės apsaugos reikalavimų atitikties pažymėjimo, bet nustato terminą trūkumams pašalinti. Per nustatytą terminą Subjektas privalo pašalinti trūkumus ir apie tai informuoti įvertinimą atliekančią instituciją. Įvertinimą atliekanti institucija ne vėliau kaip per 15 darbo dienų nuo informacijos apie trūkumų pašalinimą gavimo dienos atlieka trūkumų pašalinimo vertinimą ir priima sprendimą dėl fizinės apsaugos reikalavimų atitikties pažymėjimo galiojimo. 38. Valstybės ir tarnybos paslapčių įstatymo 47 straipsnio 2 ir 4 dalyse nurodyti subjektai, įslaptintos informacijos apsaugos būklės tikrinimo metu nustatę pažeidimų, susijusių su įslaptintos informacijos fizine apsauga, šią informaciją pateikia įvertinimą atlikusiai institucijai, kuri ne vėliau kaip per 20 darbo dienų nuo šios informacijos gavimo dienos iš naujo įvertina saugumo zonoms priskirtas patalpas ir teritorijas, parengia išvadą dėl saugumo zonoms priskirtų patalpų ir teritorijų įvertinimo ir priima sprendimą dėl fizinės apsaugos reikalavimų atitikties pažymėjimo galiojimo. Šiuo atveju mutatis mutandis taikomos Aprašo 37 punkto nuostatos.
III SKYRIUS ĮSLAPTINTOS INFORMACIJOS FIZINĖS APSAUGOS REIKALAVIMAI, KELIAMI SAUGUMO ZONOMS NEPRISKIRTOMS PATALPOMS, TERITORIJOMS IR KITOMS VIETOMS, IR ŠIŲ PATALPŲ, TERITORIJŲ IR KITŲ VIETŲ PRIPAŽINIMO TINKAMOMIS DIRBTI SU ĮSLAPTINTA INFORMACIJA AR JĄ SAUGOTI ĮVERTINIMAS
39. Tarnybos užduočių vykdymo, karinių operacijų, mokymų, pratybų metu saugumo zonoms nepriskirtose patalpose, teritorijose ir kitose vietose, kuriose yra dirbama ar susipažįstama su įslaptinta informacija: 39.1. patalpas, teritorijas ar kitas vietas reikia atskirti ne mažiau kaip dviem įspėjamaisiais ženklais pažymėtais arba nepažymėtais fiziniais barjerais, kurie riboja ir leidžia kontroliuoti asmenų įeigą į patalpas, teritorijas ar kitas vietas; 39.2. tarnybos užduotis, karines operacijas, mokymus, pratybas organizuojantis asmuo turi paskirti asmenis, atsakingus už darbą su įslaptinta informacija, jos kontrolę, evakuaciją ir sunaikinimą, teritorijos ar kitos vietos kontrolę, įslaptintos informacijos fizinės apsaugos pažeidimų aptikimą ir informavimą apie juos, reagavimą į įslaptintos informacijos fizinės apsaugos pažeidimus, nustatyti jų funkcijas; 39.3. tarnybos užduotis, karines operacijas, mokymus, pratybas organizuojantis asmuo turi nustatyti priemones, skirtas dirbti su įslaptinta informacija, ją saugoti, kontroliuoti, evakuoti ir sunaikinti, kontroliuoti teritoriją ar kitą vietą, informuoti apie grėsmes įslaptintos informacijos saugumui ir reagavimą į jas; 39.4. tarnybos užduotis, karines operacijas, mokymus, pratybas organizuojantis asmuo turi nustatyti tvarką, užtikrinančią darbą su įslaptinta informacija, jos kontrolę, evakuaciją ir sunaikinimą, teritorijos ar kitos vietos kontrolę, informavimą apie grėsmes įslaptintos informacijos saugumui ir reagavimą į jas. 40. Aprašo 39.1 papunktyje nurodytas reikalavimas netaikomas, kai asmuo, dirbdamas ar susipažindamas su įslaptinta informacija, keičia savo buvimo vietą ar vykdomi kriminalinės žvalgybos, žvalgybos ar kontržvalgybos veiksmai, tačiau tokiais atvejais būtina naudoti papildomas procedūrines ir technines priemones, saugančias nuo įslaptintos informacijos praradimo, pasiklausymo ar neteisėto susipažinimo su ja. 41. Karo, nepaprastosios padėties ar ekstremaliųjų situacijų atvejais, įslaptintą informaciją saugant saugumo zonoms nepriskirtose patalpose, teritorijose ar kitose vietose, taikomi šie apsaugos reikalavimai: 41.1. patalpos, teritorijos ar kitos vietos nuolat saugomos ginkluotos sargybos (tarnybos), kurios sudėtį, ginkluotę ir apsaugos būdą nustato paslapčių subjekto vadovas ar jo įgaliotas asmuo; 41.2. įslaptintą informaciją saugantys asmenys turi turėti priemones, užtikrinančias neatkuriamą įslaptintos informacijos sunaikinimą, jei iškiltų grėsmė, kad įslaptinta informacija bus pagrobta, atskleista ar prarasta. 42. Konkrečias patalpas, teritorijas ir kitas vietas, kuriose tarnybos užduočių vykdymo, karinių operacijų, mokymų, pratybų metu dirbama ar susipažįstama su įslaptinta informacija ar karo, nepaprastosios padėties ar ekstremaliųjų situacijų atvejais įslaptinta informacija saugoma, parenka paslapčių subjekto vadovas ar jo įgaliotas asmuo. Paslapčių subjekto vadovas ar jo įgaliotas asmuo šiose patalpose, teritorijose ir kitose vietose, be Aprašo 41 punkte nurodytų apsaugos reikalavimų, gali nustatyti taikyti ir kitas apsaugos priemones, apsaugančias nuo neteisėto patekimo į patalpas, teritorijas ar kitas vietas ir apsaugančias jose laikomą įslaptintą informaciją nuo pagrobimo, kitokio neteisėto įgijimo, atskleidimo, sugadinimo, praradimo. 43. Paslapčių subjekto vadovo įgalioti asmenys, vertindami saugumo zonai nepriskirtas patalpas, teritorijas ar kitas vietas dėl jų pripažinimo tinkamomis tarnybos užduočių vykdymo, karinių operacijų, mokymų, pratybų metu dirbti, susipažinti su įslaptinta informacija ar karo, nepaprastosios padėties ar ekstremaliųjų situacijų atveju ją saugoti, įvertina, ar šiose patalpose, teritorijose ir kitose vietose taikomos apsaugos priemonės yra pakankamos siekiant apsaugoti šias patalpas, teritorijas ir kitas vietas nuo neteisėto patekimo į jas ir jose laikomos įslaptintos informacijos pagrobimo, kitokio neteisėto įgijimo, atskleidimo, sugadinimo, praradimo. Vertinimo rezultatus paslapčių subjekto vadovo įgalioti asmenys įformina raštu.
IV SKYRIUS ĮSLAPTINTOS INFORMACIJOS APSAUGOS NUO NETEISĖTO INFORMACIJOS FIKSAVIMO IR PERDAVIMO PRIEMONĖS BEI PATALPŲ, TERITORIJŲ IR KITŲ VIETŲ PATIKRINIMAS DĖL JŲ APSAUGOS NUO NETEISĖTO INFORMACIJOS FIKSAVIMO IR PERDAVIMO
44. Posėdžiai ir pasitarimai, per kuriuos naudojama įslaptinta informacija, žymima slaptumo žyma „Visiškai slaptai“ ar „Slaptai“, gali būti rengiami: 44.1. nuolatinėje saugumo zonai priskirtoje patalpoje (toliau – saugumo zonai priskirta pasitarimų patalpa); 44.2. sutartiniais pagrindais konkrečiam renginiui paslapčių subjektui perduotoje naudotis patalpoje ar teritorijoje (toliau – laikinai saugumo zonai priskirta pasitarimų patalpa ar teritorija); 44.3. saugumo zonoms nepriskirtoje patalpoje, teritorijoje ar kitoje vietoje (toliau – saugumo zonoms nepriskirta pasitarimų patalpa, teritorija ar kita vieta). 45. Saugumo zonai priskirtoje pasitarimų patalpoje turi būti taikomos šios apsaugos nuo neteisėto informacijos fiksavimo ir perdavimo (tiesioginio pasiklausymo, elektromagnetinio spinduliavimo, informaciją fiksuojančių įrenginių naudojimo) priemonės: 45.1. patalpa turi būti priskirta I klasės saugumo zonai ir atitikti šiai saugumo zonai keliamus įslaptintos informacijos fizinės apsaugos reikalavimus; 45.2. aplink patalpą, po ja ir virš jos esančios patalpos turi būti priskirtos saugumo zonai ir turi būti įgyvendinti atitinkamai saugumo zonai keliami įslaptintos informacijos fizinės apsaugos reikalavimai. Šio papunkčio reikalavimas netaikomas, kai aplink patalpą, po ja ir virš jos yra patalpos, asmenų įeigą į kurias kontroliuoja Europos Sąjungos ar Šiaurės Atlanto sutarties organizacijos ar šių organizacijų valstybių narių institucijos; 45.3. jeigu patalpa turi išorinę sieną arba yra viršutiniame aukšte, patalpos išorinė siena ar stogas turi būti apsaugoti apsaugos nuo įsibrovimo sistemos ir stebimi vaizdo stebėjimo sistema, o išorinė siena negali sutapti su kontroliuojamos teritorijos išorine riba; 45.4. patalpos konstrukcijos turi būti ne žemesnės kaip A garso klasės pagal klasifikavimą, nustatytą statybos techniniame reglamente, reglamentuojančiame pastatų vidaus ir išorės aplinkos apsaugą nuo triukšmo; 45.5. patalpos atitvaros, langai ar kitos patalpos išorėje esančios angos turi būti apsaugotos priemonėmis, kurios neleistų asmenims tiesiogiai ar pasitelkiant įrangą stebėti, kas vyksta patalpos viduje, ir girdėti pokalbius; 45.6. patalpos inžinerinių sistemų (vandentiekio, šildymo, ventiliacijos, oro kondicionavimo) metaliniai vamzdynai turi būti apsaugoti plastikiniais intarpais, prieš pat jiems kertant patalpos ribą, arba turi būti pakeisti plastikiniais vamzdynais, arba metalinės konstrukcijos turi būti padengtos garsą izoliuojančiomis medžiagomis. Patalpoje negali būti patalpą kertančių pastato inžinerinių sistemų; 45.7. visi patalpoje esantys daiktai turi būti įtraukti į patalpoje esančių baldų, įrangos ir kitų daiktų sąrašą ir patikrinti įvertinimą atliekančios institucijos; 45.8. įslaptintai informacijai perduoti skirtų ryšių ir informacinių sistemų įrenginiai, kai nenaudojami, turi būti išjungti iš ryšio ir maitinimo tinklo. 46. Subjektas, siekdamas, kad saugumo zonai priskirta pasitarimų patalpa būtų patikrinta dėl jos apsaugos nuo neteisėto informacijos fiksavimo ir perdavimo, raštu kreipiasi į įvertinimą atliekančią instituciją ir jai pateikia: 46.1. prašymą gauti pažymėjimą, patvirtinantį, kad patalpa patikrinta dėl jos apsaugos nuo neteisėto informacijos fiksavimo ir perdavimo (toliau – pasitarimų patalpos patikrinimo pažymėjimas, 6 priedas); 46.2. patalpos fizinės apsaugos reikalavimų atitikties pažymėjimą, jeigu jis buvo išduotas; 46.3. sprendimo, kuriuo paskirtas Aprašo 5.7 papunktyje numatytas asmuo, kopiją; 46.4. patalpoje esančių baldų, įrangos ir kitų daiktų sąrašą; 46.5. Aprašo 6 punkte nurodytą ataskaitą (tiekėjas šios ataskaitos neteikia); 46.6. fizinę apsaugą reglamentuojančių dokumentų kopijas. 47. Atliekant saugumo zonai priskirtos pasitarimų patalpos patikrinimą dėl jos apsaugos nuo neteisėto informacijos fiksavimo ir perdavimo mutatis mutandis taikomos Aprašo 31 ir 32 punktų nuostatos. 48. Įvertinimą atliekanti institucija ne vėliau kaip per 30 darbo dienų nuo visų Aprašo 46 punkte nurodytų dokumentų gavimo dienos įvertina saugumo zonai priskirtoje pasitarimų patalpoje įdiegtas ir naudojamas apsaugos nuo neteisėto informacijos fiksavimo ir perdavimo priemones, patikrina, ar saugumo zonai priskirtoje pasitarimų patalpoje nėra informacijos neteisėto fiksavimo ar perdavimo įrenginių, parengia ir Subjektui pateikia išvadą dėl saugumo zonai priskirtos pasitarimų patalpos patikrinimo. Išvadoje dėl saugumo zonai priskirtos pasitarimų patalpos patikrinimo nurodoma informacija apie patikrintą saugumo zonai priskirtą pasitarimų patalpą, joje įdiegtas ir naudojamas apsaugos nuo neteisėto informacijos fiksavimo ir perdavimo priemones, patikrinimo metu buvusius baldus, įrangą ir kitus daiktus; nustačius trūkumų, pateikiamos ir jų pašalinimo rekomendacijos. Jeigu nenustatoma trūkumų, kartu su išvada dėl saugumo zonai priskirtos pasitarimų patalpos patikrinimo Subjektui pateikiamas pasitarimų patalpos patikrinimo pažymėjimas. 49. Jeigu vertinamos saugumo zonai priskirtos pasitarimų patalpos fizinės apsaugos reikalavimų atitikties pažymėjimas neišduotas ir Subjektas pateikia prašymą išduoti ir patalpos fizinės apsaugos reikalavimų atitikties pažymėjimą, ir pasitarimų patalpos patikrinimo pažymėjimą, įvertinimą atliekanti institucija saugumo zonoms priskirtą patalpą privalo įvertinti ir sprendimus dėl pažymėjimų išdavimo privalo priimti ne vėliau kaip per 60 darbo dienų nuo visų Aprašo 30 ir 46 punktuose nurodytų dokumentų gavimo dienos. 50. Pasitarimų patalpos patikrinimo pažymėjimas galioja 12 mėnesių nuo jo išdavimo dienos, bet ne ilgiau nei galioja patalpos fizinės apsaugos reikalavimų atitikties pažymėjimas. 51. Jeigu saugumo zonai priskirtoje pasitarimų patalpoje panaikinamos ar pakeičiamos priemonės nuo neteisėto informacijos fiksavimo ir perdavimo arba paaiškėja, kad į saugumo zonai priskirtą pasitarimų patalpą pateko ar galėjo patekti už įslaptintos informacijos apsaugą atsakingo asmens nelydimi asmenys, Subjekto vadovas ar jo įgaliotas asmuo privalo raštu kreiptis į įvertinimą atliekančią instituciją dėl patalpos patikrinimo iš naujo. Šiuo atveju draudžiama patalpą naudoti posėdžiams ir pasitarimams iki naujo patalpos patikrinimo. 52. Laikinai saugumo zonai priskirtoje pasitarimų patalpoje ar teritorijoje turi būti taikomos Aprašo 45.1, 45.3, 45.5, 45.7, 45.8 papunkčiuose numatytos apsaugos nuo neteisėto informacijos fiksavimo ir perdavimo priemonės, taip pat šios apsaugos priemonės: 52.1. jeigu renginio metu yra poreikis dirbti, susipažinti su įslaptinta informacija ar ją saugoti, šalia laikinai saugumo zonai priskirtos pasitarimų patalpos ar teritorijos įrengiama patalpa ar teritorija, kurioje vykdomos funkcijos, susijusios su laikinai saugumo zonai priskirtos pasitarimų patalpos ar teritorijos fizine apsauga, naudojamos įslaptintos informacijos apsauga ir kontrole. Ši patalpa ar teritorija priskiriama saugumo zonai ir turi atitikti atitinkamai saugumo zonai keliamus įslaptintos informacijos fizinės apsaugos reikalavimus; 52.2. renginio organizatorius paskiria asmenis, koordinuojančius, organizuojančius ir vykdančius posėdžių ar pasitarimų patalpų ar teritorijų fizinę apsaugą, naudojamos įslaptintos informacijos apsaugą ir kontrolę, nustato jų funkcijas; 52.3. renginio organizatorius privalo parengti ir patvirtinti renginio saugos organizavimo tvarkos aprašą, kuriame turi būti nustatytos renginio organizacinės apsaugos priemonės, užtikrinančios posėdžių ir pasitarimų metu naudojamos įslaptintos informacijos apsaugą. 53. Subjektas, siekdamas, kad laikinai saugumo zonai priskirta pasitarimų patalpa ar teritorija būtų patikrinta dėl jos apsaugos nuo neteisėto įslaptintos informacijos fiksavimo ir perdavimo, raštu kreipiasi į įvertinimą atliekančią instituciją ir jai pateikia: 53.1. prašymą įvertinti ir patikrinti patalpas ar teritorijas dėl jų apsaugos nuo neteisėto įslaptintos informacijos fiksavimo ir perdavimo; 53.2. informaciją, reikalingą patalpos ar teritorijos (laikinai saugumo zonai priskirtos pasitarimų patalpos ar teritorijos ir šalia esančios patalpos ar teritorijos, kuri bus priskirta saugumo zonai) įvertinimui dėl atitikties saugumo zonai keliamiems įslaptintos informacijos fizinės apsaugos reikalavimams atlikti; 53.3. Aprašo 52.3 papunktyje nurodytą renginio saugos organizavimo tvarkos aprašą. 54. Įvertinimą atliekanti institucija ne vėliau kaip per 20 darbo dienų nuo Aprašo 53 punkte nurodytų dokumentų ir informacijos gavimo įvertina patalpoje ar teritorijoje įdiegtas ir naudojamas apsaugos nuo neteisėto informacijos fiksavimo ir perdavimo priemones, patikrina, ar patalpoje ar teritorijoje nėra informacijos neteisėto fiksavimo ar perdavimo įrenginių, parengia išvadą dėl patalpos ar teritorijos patikrinimo. Išvadoje dėl priskirtos pasitarimų patalpos ar teritorijos patikrinimo nurodoma informacija apie patikrintą patalpą ar teritoriją, joje įdiegtas ir naudojamas apsaugos nuo neteisėto informacijos fiksavimo ir perdavimo priemones. 55. Saugumo zonoms nepriskirtoje pasitarimų patalpoje, teritorijoje ar kitoje vietoje turi būti taikomos Aprašo 45.5, 45.7, 45.8 papunkčiuose numatytos apsaugos nuo neteisėto informacijos fiksavimo ir perdavimo priemonės, taip pat turi būti kontroliuojamas asmenų ir transporto patekimas į zoną, esančią ne mažiau kaip 25 m nuo šios patalpos, teritorijos ar kitos vietos fizinio barjero, nurodyto Aprašo 39.1 papunktyje. 56. Saugumo zonoms nepriskirtos pasitarimų patalpos, teritorijos ar kitos vietos patikrinimą dėl jos apsaugos nuo neteisėto įslaptintos informacijos fiksavimo ir perdavimo atlieka paslapčių subjekto vadovo įgaliotas asmuo prieš prasidedant posėdžiams ir pasitarimams, per kuriuos bus naudojama įslaptinta informacija, žymima slaptumo žyma „Visiškai slaptai“ ar „Slaptai“. Paslapčių subjekto vadovo įgaliotas asmuo įvertina įdiegtas ir naudojamas apsaugos priemones, patikrina, ar saugumo zonoms nepriskirtoje pasitarimų patalpoje, teritorijoje ar kitoje vietoje nėra informacijos neteisėto fiksavimo ar perdavimo įrenginių. Patikrinimo rezultatus paslapčių subjekto vadovo įgalioti asmenys įformina raštu.
______________________
Įslaptintos informacijos fizinės apsaugos reikalavimų ir jų įgyvendinimo tvarkos aprašo 1 priedas
RIZIKOS PRARASTI AR NETEISĖTAI ATSKLEISTI ĮSLAPTINTĄ INFORMACIJĄ NUSTATYMO ATVEJAI
1. Saugumo zonoms priskirtų patalpų ir teritorijų aukštas rizikos prarasti ar neteisėtai atskleisti įslaptintą informaciją laipsnis nustatomas bet kuriuo iš šių atvejų: 1.1. disponuojamų tarnybos paslaptį sudarančių dokumentų kiekis viršija 5 000 vienetų; 1.2. disponuojamų valstybės paslaptį sudarančių dokumentų kiekis viršija 500 vienetų; 1.3. patalpoje yra šifravimo technika, skirta įslaptintai informacijai šifruoti ar jai apsaugoti, įslaptintos informacijos ryšių ir informacinės sistemos komutacinė įranga ir (arba) tarnybinė stotis (-ys); 1.4. patalpa ar teritorija yra užsienyje, ne Šiaurės Atlanto sutarties organizacijos (toliau – NATO) valstybėje ar Europos Sąjungos (toliau – ES) valstybėje narėje; 1.5. patalpoje ar teritorijoje valstybės paslaptį sudaranti įslaptinta informacija naudojama per posėdžius ar pasitarimus. 2. Saugumo zonoms priskirtų patalpų ir teritorijų vidutinis rizikos prarasti ar neteisėtai atskleisti įslaptintą informaciją laipsnis nustatomas bet kuriuo iš šių atvejų: 2.1. disponuojamų tarnybos paslaptį sudarančių dokumentų kiekis yra nuo 2 000 iki 5 000 vienetų; 2.2. disponuojamų valstybės paslaptį sudarančių dokumentų kiekis yra nuo 200 iki 500 vienetų; 2.3. patalpa ar teritorija yra užsienyje, NATO valstybėje ar ES valstybėje narėje; 2.4. patalpoje ar teritorijoje yra valstybės paslaptį apdoroti skirta bent viena įslaptintos informacijos ryšių ir informacinės sistemos darbo vieta; 2.5. patalpoje ar teritorijoje tarnybos paslaptį sudaranti informacija naudojama per posėdžius ar pasitarimus. 3. Saugumo zonoms priskirtų patalpų ir teritorijų žemas rizikos prarasti ar neteisėtai atskleisti įslaptintą informaciją laipsnis nustatomas visais kitais šio priedo 1 ir 2 punktuose nenurodytais atvejais.
________________________
Įslaptintos informacijos fizinės apsaugos reikalavimų ir jų įgyvendinimo tvarkos aprašo 2 priedas
ĮSLAPTINTOS INFORMACIJOS FIZINĖS APSAUGOS PRIEMONIŲ IR JŲ ATSPARUMO ĮSILAUŽIMUI ĮVERTINIMO BALAIS SĄRAŠAS
________________________
Įslaptintos informacijos fizinės apsaugos reikalavimų ir jų įgyvendinimo tvarkos aprašo 3 priedas
ĮSLAPTINTOS INFORMACIJOS FIZINĖS APSAUGOS PRIEMONIŲ ATSPARUMO ĮSILAUŽIMUI REIKALAVIMAI
Įslaptintos informacijos fizinės apsaugos priemonės turi atitikti šiuos įslaptintos informacijos fizinės apsaugos priemonių grupės reikalavimus ir bendrą atsparumą įsilaužimui balais:
____________________________
Įslaptintos informacijos fizinės apsaugos reikalavimų ir jų įgyvendinimo tvarkos aprašo 4 priedas
ĮSLAPTINTOS INFORMACIJOS FIZINĖS APSAUGOS PATIKRINIMO ATASKAITOS TURINIO GAIRĖS
1. Įslaptintos informacijos fizinės apsaugos patikrinimo ataskaitą (toliau – Ataskaita) sudaro šie skyriai: 1.1. „Bendrosios nuostatos“, kuriame turi būti nurodyta / pateikta: 1.1.1. Ataskaitos parengimo tikslas, paskirtis; 1.1.2. teisės aktų, kuriais vadovaujantis užtikrinama įslaptintos informacijos apsauga, sąrašas; 1.2. „Įslaptintos informacijos fizinės apsaugos valdymas“, kuriame turi būti nurodyta / pateikta: 1.2.1. disponuojama įslaptinta informacija, jos slaptumo žyma, kiekis, forma, rizikos prarasti ar neteisėtai atskleisti įslaptintą informaciją laipsnis, nustatytas pagal Įslaptintos informacijos fizinės apsaugos reikalavimų ir jų įgyvendinimo tvarkos aprašo 1 priedą; 1.2.2. teritorijos, pastato ir patalpos, kurioje saugoma ar dirbama su įslaptinta informacija, aprašymas, informacija apie pastato ir patalpos konstrukcijas, teritorijos, pastatų ir patalpų jose išdėstymo, galimų įeigos į teritoriją, pastatą ar patalpas kelių aprašymas; 1.2.3. įslaptintos informacijos fizinės apsaugos tikslai ir uždaviniai; 1.2.4. paslapčių subjekto, tiekėjo darbuotojų funkcijos ir atsakomybė užtikrinant įslaptintos informacijos fizinę apsaugą; 1.3. „Įslaptintos informacijos fizinės apsaugos priemonės“, kuriame turi būti nurodyta / pateikta: 1.3.1. patalpų ir teritorijų suskirstymas į saugumo zonas ir saugumo zonų planas; 1.3.2. įdiegtos įslaptintos informacijos fizinės apsaugos priemonės, jų atsparumas įsilaužimui balais; 1.3.3. apsaugos nuo įsibrovimo, vaizdo stebėjimo, įeigos kontrolės sistemos technologiniai (projektiniai) sprendimai (aprašymas, schemos); 1.3.4. apsaugos nuo įsibrovimo, vaizdo stebėjimo, įeigos kontrolės sistemos garantinio ir tolesnio aptarnavimo ir techninės priežiūros tvarka, už techninę priežiūrą atsakingi asmenys, jų funkcijos; 1.4. „Įslaptintos informacijos fizinės apsaugos tvarka“, kuriame turi būti nurodyta: 1.4.1. darbuotojų ir lankytojų įeigos į saugumo zonas kontrolės, registravimo ir buvimo saugumo zonose kontrolės, įeigos kontrolės sistemos naudojimo tvarka, už kontrolę atsakingi asmenys, jų funkcijos; 1.4.2. durų, seifų, metalinių spintų raktų bei užraktų, elektroninių apsaugos sistemų kodų išdavimo, apsaugos ir jų keitimo tvarka, šiuos veiksmus atliekantys asmenys, jų funkcijos; 1.4.3. apsaugos nuo įsibrovimo, užpuolimo, vaizdo stebėjimo sistemos naudojimo neteisėtam patekimui į saugumo zonoms priskirtas patalpas, teritoriją aptikti tvarka, už šių sistemų naudojimą atsakingi asmenys, jų funkcijos; 1.4.4. su įslaptinta informacija dirbančių ir už įslaptintos informacijos fizinę apsaugą atsakingų asmenų mokymų įslaptintos informacijos fizinės apsaugos srityje organizavimo tvarka; 1.5. „Apsaugos nuo neteisėto informacijos fiksavimo ir perdavimo priemonės“, kuriame turi būti nurodytos įdiegtos apsaugos nuo neteisėto informacijos fiksavimo ir perdavimo priemonės; 1.6. „Reagavimas į neteisėtus veiksmus“, kuriame turi būti nurodyta: 1.6.1. už reagavimą į neteisėtą patekimą į saugumo zonoms priskirtas patalpas ir teritorijas atsakingų asmenų funkcijos ir atsakomybė; 1.6.2. veiksmų, reaguojant į aliarmo signalą, neteisėtą patekimą į saugumo zonoms priskirtas patalpas, teritoriją, tvarka; 1.6.3. paslapčių subjekto ar tiekėjo vadovo, už įslaptintos informacijos apsaugą atsakingų asmenų informavimo apie neteisėtą patekimą į saugumo zonoms priskirtas patalpas, teritoriją tvarka; 1.7. „Išvados“, kuriame turi būti nurodyta įslaptintos informacijos fizinės apsaugos būklė, nustatyti įslaptintos informacijos fizinės apsaugos trūkumai, priemonės nustatytiems trūkumams pašalinti. ____________________________
Įslaptintos informacijos fizinės apsaugos reikalavimų ir jų įgyvendinimo tvarkos aprašo 5 priedas
(Pažymėjimo, patvirtinančio, kad saugumo zonoms priskirtos patalpos ir (arba) teritorijos atitinka fizinės apsaugos reikalavimus ir jose galima dirbti su įslaptinta informacija ar ją saugoti, formos pavyzdys)
PAŽYMĖJIMAS, PATVIRTINANTIS, KAD SAUGUMO ZONOMS PRISKIRTOS PATALPOS IR (ARBA) TERITORIJOS ATITINKA FIZINĖS APSAUGOS REIKALAVIMUS IR JOSE GALIMA DIRBTI SU ĮSLAPTINTA INFORMACIJA AR JĄ SAUGOTI
20____ m. _____________ d. Nr. ______ ______________ (sudarymo vieta)
_____________________________________________________________________________ (patalpų ir (arba) teritorijų įvertinimą dėl jų pripažinimo tinkamomis saugoti įslaptintą informaciją ar su ja dirbti atlikusios institucijos pavadinimas)
patvirtina, kad _________________________________________patalpose ir (arba) teritorijose, (paslapčių subjekto arba tiekėjo pavadinimas)
esančiose _____________________________________________________________________, (pastato adresas ir unikalus numeris, patalpos indeksas, sklypo unikalus numeris)
galima dirbti su įslaptinta informacija, žymima slaptumo žyma __________________________,
galima saugoti įslaptintą informaciją, žymima slaptumo žyma ___________________________,
esant _________________ rizikos prarasti ar neteisėtai atskleisti įslaptintą informaciją laipsniui.
Pažymėjimas galioja 10 metų nuo pažymėjimo išdavimo dienos.
Įvertinimą atlikusios institucijos įgaliotas asmuo
________________________________ (pareigos, vardas ir pavardė) A. V.
Įslaptintos informacijos fizinės apsaugos reikalavimų ir jų įgyvendinimo tvarkos aprašo 6 priedas
(Pažymėjimo, patvirtinančio, kad patalpa patikrinta dėl jos apsaugos nuo neteisėto informacijos fiksavimo ir perdavimo, formos pavyzdys)
PAŽYMĖJIMAS, PATVIRTINANTIS, KAD PATALPA PATIKRINTA DĖL JOS APSAUGOS NUO NETEISĖTO INFORMACIJOS FIKSAVIMO IR PERDAVIMO
20____ m. _____________ d. Nr. ______ ______________ (sudarymo vieta)
_____________________________________________________________________________ (patalpos patikrinimą dėl jos apsaugos nuo neteisėto informacijos fiksavimo ir perdavimo atlikusios institucijos pavadinimas)
patvirtina, kad __________________________________________________________patalpoje, (paslapčių subjekto arba tiekėjo pavadinimas)
esančioje _____________________________________________________________________, (pastato adresas ir unikalus numeris, patalpos indeksas)
posėdžių ar pasitarimų metu galima naudoti įslaptintą informaciją, žymimą slaptumo žyma _________________________________________________.
Pažymėjimas galioja 12 mėnesių nuo pažymėjimo išdavimo dienos, bet ne ilgiau nei galioja išduotas patalpos fizinės apsaugos reikalavimų atitikties pažymėjimas.
Įvertinimą atlikusios institucijos įgaliotas asmuo
________________________________ (pareigos, vardas ir pavardė) A. V.
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|