valstybes ir tarnybos paslapciu apsauga_2 internetui

7/23/2019 Valstybes Ir Tarnybos Paslapciu Apsauga_2 Internetui

1/289

GENEROLO JONO EMAIIO LIETUVOS KARO AKADEMIJA

VALSTYBS IR TARNYBOSPASLAPI APSAUGA

NORMINI TEISS AKT RINKINyS

Mokomoji knga

II dalis

Vilnius

2014


2/289

UDK 351/354(474.5)(094) Va227

Leidins Valstbs ir tarnbos paslapi apsauga: normini teiss akt rin-kins skirtas Generolo Jono emaiio Lietuvos karo akademijos karinamsir klaustojams, studijuojantiems slaptintos informacijos apsaugos ir informa-cijos saugumo studij dalkus. Leidins taip pat turt bti naudingas kratoapsaugos sistemos ir kit valstbs institucij darbuotojams, dirbantiems suslaptinta informacija, organizuojantiems, koordinuojantiems ir kontroliuojan-tiems jos apsaug.

Sudartojas Generolo Jono emaiio Lietuvos karo akademijos dsttojasAndrius TEKORIUS.

Atsakingoji redaktor dc. d. Adn PetrAuskAit.

Recenzavo: prof. dr. Alvydas Akoius(Mkolo Romerio universitetas);dr. Gintautas SURGAILIS (Generolo Jono emaiio Lietuvos

karo akademija).

Normini teiss akt rinkins apsvarsttas, patvirtintas ir rekomenduotasspausdinti Generolo Jono emaiio Lietuvos karo akademijos Universitetinistudij instituto Humanitarini moksl katedros posdje 2013 m. kovo 20 d.,

protokolo Nr. VL-134.

Generolo Jono emaiioLietuvos karo akademija, 2014

Andrius Tekorius, 2014

ISBN 978-609-8074-21-5


3/289

TURINYS

4. LIETUVOS RESPUBLIKOS INSTITUCIJ VADOV SAKyMAISPATVIRTINTI NORMINIAI TEISS AKTAI .............................................. 6

4.1. Nacionalins komunikacij apsaugos tarnbos nuostatai....................... 6 4.2. Informatikos ir ri departamento prie Lietuvos Respublikos vidaus

reikal ministerijos direktoriaus 2010 m. lapkriio 29 d. sakmasNr. 5V-138 Dl bendrj (visiems vienod) inbini saugumoprieiros tarnb steigimo ir veiklos taiskli, Dokument, reikalingleidimui automatizuotai apdoroti slaptint informacij iduoti, rengimo

ir leidim automatizuotai apdoroti slaptint informacij idavimotaiskli ir Automatizuoto duomen apdorojimo sistem ir tinkl,kuriuose bus saugoma, apdorojama ar kuriais bus perduodama slaptintainformacija, saugumo reikalavim aprao patvirtinimo........................ 9

4.3. Krato apsaugos ministro 2005 m. gruodio 29 d. sakmas Nr. V-1706Dl slaptint dokument, mim slaptumo ma Ribotonaudojimo, administravimo tvarkos aprao patvirtinimo.................. 35

4.4. Krato apsaugos ministro 2006 m. lapkriio 22 d. sakmas Nr. V-1184Dl krato apsaugos sistemos slaptint dokument, gamini ir kitobjekt gabenimo tvarkos aprao patvirtinimo.....................................40

4.5. Krato apsaugos ministro 2006 m. lapkriio 27 d. sakmas Nr. V-1217Dl saugumo zon reglamentavimo patvirtinimo...............................48

4.6. Krato apsaugos ministro 2006 m. gruodio 29 d. vasario sakmasNr. V-1334 Dl krato apsaugos sistemos saugumo specialistpareigbi ..............................................................................................51

4.7. Krato apsaugos ministro 2007 m. vasario 5 d. sakmas Nr. V-137Dl netikt (kontrolini) slaptintos informacijos apsaugos patikrinim

krato apsaugos sitemoje.......................................................................53 4.8. Krato apsaugos ministro 2007 m. vasario 23 d. sakmas Nr. V-192Dl asmen, atsaking u slaptintos informacijos apsaug, tipiniofunkcij srao .......................................................................................54

4.9. Krato apsaugos ministro 2007 m. lapkriio 10 d. sakmas Nr. V-1109Dl rekomendacij slaptintos informacijos evakuacijos arbasunaikinimo planui parengti patvirtinimo.............................................59

4.10. Krato apsaugos ministro 2008 m. rugsjo 4 d. sakmas Nr. V-839Dl patalp, seif, metalini spint rakt, kodini urakt ir apsaugos

sistem skaii kombinacij apsaugos organizavimo, skaiikombinacij keitimo ir patalp antspaudavimo taiskli

patvirtinimo.........................................................................................62


4/289

TURINYS4

4.11. Krato apsaugos ministro 2008 m. lapkriio 20 d. sakmas Nr. V-1133Dl informavimo apie krato apsaugos sistemos profesins karotarnbos kari, valstbs tarnautoj ir asmen, dirbani pagal darbosutartis, ivkas usien tvarkos aprao.............................................66

4.12. Krato apsaugos ministro 2010 m. vasario 10 d. sakmas Nr. V-122Dl elektromagnetinio spinduliavimo altini, informacijos ksavimoar perdavimo rengini, elektronini laikmen naudojimo.................68

4.13. Krato apsaugos ministro 2012 m. lapkriio 29 d. sakmas Nr. V-1332Dl elektronini apsaugos sistem, susijusi su tarnbos paslaptimi,rengimo organizavimo krato apsaugos sistemoje tvarkos aprao

patvirtinimo.........................................................................................70

5. TARPTAUTINS SUTARTyS DL SLAPTINTOS INFORMACIJOS

APSAUGOS .................................................................................................... 78 5.1. Lietuvos Respublikos tarptautini sutari dl abipuss slaptintos

informacijos apsaugos sraas .............................................................. 78 5.2. iaurs Atlanto Sutarties ali susitarimas dl informacijos

saugumo ................................................................................................ 80 5.3. iaurs Atlanto Sutarties ali susitarimas dl bendradarbiavimo,

susijusio su atomine informacija .......................................................... 84 5.4. Tarboje posdiavusi Europos Sjungos valstbi nari

susitarimas dl slaptintos informacijos, kuria keiiamasi Europos

Sjungos interesais, apsaugos ............................................................. 120 5.5. Lietuvos Respublikos ir iaurs Atlanto Sutarties Organizacijos

saugumo susitarimas ........................................................................... 127 5.6. Lietuvos Respublikos Vriausbs ir Norvegijos Karalsts

Vriausbs susitarimas dl slaptintos informacijos abipussapsaugos ............................................................................................. 129

5.7. Lietuvos Respublikos Vriausbs ir Gruzijos Vriausbssusitarimas dl keitimosi slaptinta informacija ir slaptintosinformacijos abipuss apsaugos.......................................................... 136

6. EUROPOS SJUNGOS NORMINIAI TEISS AKTAI........................... 1446.1. Pagrindini Europos Sjungos normini teiss akt,

reglamentuojani slaptintos informacijos apsaug, sraas............. 144 6.2. Europos Sjungos Tarbos sprendimas Dl ES slaptintos

informacijos apsaugai utikrinti skirt saugumo taiskli................ 146

7. NATO NORMINIAI TEISS AKTAI....................................................... 210 7.1. Pagrindini NATO normini teiss akt, reglamentuojani

slaptintos informacijos apsaug, sraas............................................ 210


5/289

TURINYS 5

8. LIETUVOS RESPUBLIKOS KONSTITUCINIO TEISMONUTARIMAI ............................................................................................. 212

8.1. Itraukos i Lietuvos Respublikos Konstitucinio Teismo 1996 m.gruodio 19 d. nutarimo Dl Lietuvos Respublikos valstbs

paslapi ir j apsaugos statmo 5 ir 10 straipsni atitikimoLietuvos Respublikos Konstitucijai, taip pat dl LietuvosRespublikos Vriausbs 1996 m. kovo 6 d. nutarim Nr. 309 ir

Nr. 310 atitikimo Lietuvos Respublikos Konstitucijai ir LietuvosRespublikos Civilinio proceso kodekso normoms............................ 215

8.2. Itraukos i Lietuvos Respublikos Konstitucinio Teismo 2007 m.gegus 15 d. nutarimo Dl Lietuvos Respublikos administracini

bl teisenos statmo 57 straipsnio 3 dalies (2000 m. rugsjo 19 d.redakcija), Lietuvos Respublikos valstbs ir tarnbos paslapi

statmo 10 straipsnio 4 dalies (1999 m. lapkriio 25 d. redakcija),11 straipsnio (1999 m. lapkriio 25 d. redakcija) 1,2 dali atitiktiesLietuvos Respublikos Konstitucijai .................................................. 216

8.3. Itraukos i Lietuvos Respublikos Konstitucinio Teismo 2011 m.liepos 7 d. nutarimo Dl Lietuvos Respublikos valstbs ir tarnbos

paslapi statmo (2003 m. gruodio 16 d. redakcija) 16 straipsnio2 dalies 13 punkto, 18 straipsnio 1 dalies 4 punkto, LietuvosRespublikos vidaus tarnbos statuto patvirtinimo statmu

patvirtinto Vidaus tarnbos statuto 28 straipsnio (2007 m. gegus

15 d. redakcija) atitikties Lietuvos Respublikos Konstitucijai.......... 225

SANTRUMPOS ................................................................................................ 265

VALSTyBS IR TARNyBOS PASLAPI APSAUGOS TERMININyNAS .......................................................................................................... 266


6/289

LIETUVOS RESPUBLIKOS INSTITUCIJ VADOVSAKyMAIS PATVIRTINTI NORMINIAI TEISS AKTAI4.

4.1. NACIONALINS KOMUNIKACIJ APSAUGOSTARNYBOS NUOSTATAI

(in., 2010, Nr. 87-4631)

PATVIRTINTAVriausbini ri centro prie Lietuvos

Respublikos valstbs saugumodepartamento direktoriaus 2010 m.birelio 30 d. sakmu Nr. 1-22

I. BENDROSIOS NUOSTATOS

1. Nacionalins komunikacij apsaugos tarnbos (toliau vadinama NKAT)nuostatai (toliau vadinama Nuostatai) nustato NKAT tikslus, udavinius,funkcijas, teises, darbo organizavimo tvark ir veiklos kontrols tvark.

2. NKAT pagal kompetencij utikrina Lietuvos Respublikos, usienio vals-

tbi, Europos Sjungos (toliau vadinama ES) ir tarptautini organizacij Lie-tuvos Respublikai perduotos slaptintos informacijos, saugomos, apdorojamosar perduodamos automatizuoto duomen apdorojimo (toliau vadinama ADA)sistemose ar tinkluose, apsaug.

3. NKAT savo veikloje vadovaujasi Lietuvos Respublikos Konstitucija, Lie-tuvos Respublikos tarptautinmis sutartimis, Lietuvos Respublikos statmais,statmus gvendinaniais teiss aktais, kitais teiss aktais bei iais Nuostatais.

4. NKAT funkcijas atlieka Lietuvos Respublikos Vriausbs 2009 m. lap-kriio 18 d. nutarimu Nr. 1545 Dl Nacionalins komunikacij apsaugos, Sau-

gumo prieiros, Nacionalins ifr paskirstmo tarnb ir institucij, utikri-nani apsaug nuo informatviojo elektromagnetinio spinduliavimo, funkcijatlikimo (in., 2009, Nr. 144-6363) galiota valstbs staiga Vriausbiniri centras prie Lietuvos Respublikos valstbs saugumo departamento* (to-liau vadinama VRC).

5. VRC vadovo sprendimu NKAT funkcijas vkdo Nacionalinis komunika-cij apsaugos skrius (toliau vadinama padalins, vkdantis NKAT funkcijas),kuris ra tiesiogiai pavaldus VRC direktoriaus pavaduotojui pagal kompetencij.

6. Padalinio, vkdanio NKAT funkcijas, nuostatai privalo bti parengti va-dovaujantis iais nuostatais, VRC nuostatais bei kitais Lietuvos Respublikos

teiss aktais.

* Pastaba:Nuo 2014 m. sausio 1 d. Vriausbini ri centras prie Krato apsaugos ministerijos.


7/289

74.1. Nacionalins komunikacij apsaugos tarnybos nuostatai

II. NKAT UDAVINIAI IR FUNKCIJOS

7. NKAT udaviniai:7.1. pagal kompetencij nustatti slaptintos informacijos, tvarkomos ADA

sistemose ir tinkluose, apsaugos reikalavimus;7.2. pagal kompetencij gvendinti Lietuvos Respublikos teiss akt reika-

lavimus bei ES, NATO slaptintos informacijos, tvarkomos ADA sistemose artinkluose, apsaugos politikos nuostatas;

7.3. pagal kompetencij kontroliuoti reikalavim, nustatt slaptintos in-formacijos, tvarkomos ADA sistemose ar tinkluose, apsaugos sritje laikmsi

paslapi subjektuose, rangovuose ir/ar subrangovuose.8. gvendindama nustattus udavinius, NKAT atlieka ias funkcijas:8.1. pagal kompetencij vertina ADA sistem ir tinkl atitikt Lietuvos Res-

publikos, ES ir kit tarptautini organizacij slaptintos informacijos apsaugosreikalavimams;

8.2. pagal kompetencij bendradarbiauja su Lietuvos Respublikos, NATO,ES bei i organizacij ali nari, kit tarptautini organizacij analogikomistarnbomis, komercinmis organizacijomis;

8.3. pagal kompetencij atstovauja Lietuvos Respublikai slaptintos infor-macijos, tvarkomos ADA sistemose ar tinkluose, apsaugos klausimais usieniovalstbse, NATO, ES bei kitose tarptautinse organizacijose, dalvauja rengi-niuose ir seminaruose;

8.4. rengia, dalvauja rengiant teiss aktus ir kitus dokumentus, reglamen-tuojanius Lietuvos Respublikos slaptintos informacijos ADA sistemose ir tin-kluose apsaug;

8.5. dalvauja planuojant, organizuojant, diegiant ADA sistemose ir tinkluo-se slaptintos informacijos apsaugos priemones, kontroliuoja j naudojim;8.6. pagal kompetencij konsultuoja apsaugos priemoni taikmo, doku-

mentacijos parengimo ir kitais, su slaptintos informacijos apsauga ADA tin-kluose ir sistemose susijusiais, klausimais;

8.7. pagal kompetencij dalvauja rengiant ir gvendinant ADA sistem irtinkl projektus;

8.8. teikia silmus dl reikaling tarptautini standart taikmo, formuoja re-komendacijas dl j naudojimo Lietuvos Respublikoje;

8.9. rengia, atnaujina ilgalaikes ADA sistem ir tinkl apsaugos programas;

8.10. formuoja, vsto informacijos saugos vertinimo, apsaugos techninbaz;

8.11. organizuoja ir vkdo ar dalvauja vkdant institucij, staig ir j pa-dalini, kuriuose ra tvarkoma slaptinta informacija, ADA sistem ir tinkl ap-saugos reikalavim laikmosi patikrinimus;

8.12. dalvauja tiriant slaptintos informacijos atskleidimo ADA sistemose irtinkluose incidentus, vkdo prevencines priemones;

8.13. analizuoja esamas ir naujai atsirandanias grsmes ADA sistem irtinkl saugumui, vertina j keliam rizik, priima sprendimus dl tikslingumo

naudoti specialias priemones siekiant sumainti rizik;8.14. vkdo nesankcionuot pasiklausmo rengini paiek institucij, s-taig ir j padalini patalpose, kuriose ra rengtos ADA sistemos ir tinklai beitvarkoma slaptinta informacija.


8/289

4 . L I E T U V O S R E S P U B L I K O S I N S T I T U C I J VA D O V S A K y M A I S P AT V I R T I N T I N O R M I N I A I T E I S S A K TA I8

III. NKAT TEISS

9. NKAT, gvendindama jai pavestus udavinius, turi teis:9.1. teiss akt nustatta tvarka neatlgintinai gauti vis reikaling infor-

macij i valstbs, savivaldbs institucij, paslapi subjekt, kit asmen,btin NKAT udaviniams gvendinti ir funkcijoms vkdti;

9.2. pagal kompetencij dalvauti rengiant teiss aktus su slaptintos infor-macijos, saugomos, apdorojamos ar perduodamos ADA sistemose ar tinkluose,apsauga susijusiais klausimais;

9.3. kviesti ekspertus (konsultantus) ekspertizs ar konsultacini darbslaptintos informacijos apsaugos klausimais;

9.4. pagal kompetencij teikti paslapi subjektams ir/ar j rangovams (su-brangovams) rekomendacijas bei privalomus vkdti nurodmus dl ADA siste-m ir tinkl apsaug reglamentuojani teiss akt laikmosi ir taikmo, kontro-liuoti mint teises akt vkdm;

9.5. naudotis kitomis Lietuvos Respublikos statm ir kit teiss akt su-teiktomis teismis.10. Tarnbos darbuotoj atsakomb ir teises reglamentuoja j pareigbi

apramai.

IV. VEIKLOS ORGANIZAVIMAS IR KONTROL

11. Padaliniui, vkdaniam NKAT funkcijas, vadovauja asmuo, skiriamas pareigas teiss akt nustatta tvarka.

12. Padalinio, vkdanio NKAT funkcijas, veikla planuojama, organizuoja-

ma ir vkdoma teiss akt nustatta tvarka pagal VRC strategin veiklos plan.13. Padalinio, vkdanio NKAT funkcijas, vadovaujaniam asmeniui jo tei-ss, pareigos, funkcijos, atsakomb, atskaitomb nustatoma vadovaujantisiais Nuostatais, pareigbs apramu bei kitais teiss aktais.

14. Padalinio, vkdanio NKAT funkcijas, struktra, personalo statusas irsudtis nustatoma vadovaujantis VRC nuostatais bei VRC vadovo (ar jo galiotasmen) priimtais teiss aktais.

15. Padalinio, vkdanio NKAT funkcijas, veikl kontroliuoja teiss aktnustatta tvarka galioti asmens.

V. BAIGIAMOSIOS NUOSTATOS16. iuos Nuostatus gali keisti VRC, suderins su Lietuvos Respublikos pa-

slapi apsaugos koordinavimo komisija.

SUDERINTALietuvos Respublikos paslapi apsaugoskoordinavimo komisijos2010 m. birelio 28 d. sprendimu Nr. 56-3


9/289

94.2. Informatikos ir ryi departamento prie Lietuvos Respublikos vidaus

reikal ministerijos direktoriaus 2010 m. lapkriio 29 d. sakymas Nr. 5V-138

4.2. INFORMATIKOS IR RYI DEPARTAMENTO PRIELIETUVOS RESPUBLIKOS VIDAUS REIKAL MINISTERIJOSDIREKTORIAUS 2010 M. LAPKRIIO 29 D. SAKYMASNR. 5V-138 DL BENDRJ (VISIEMS VIENOD)

INYBINI SAUGUMO PRIEIROS TARNYB STEIGIMOIR VEIKLOS TAISYKLI, DOKUMENT, REIKALINGLEIDIMUI AUTOMATIZUOTAI APDOROTI SLAPTINTINFORMACIJ IDUOTI, RENGIMO IR LEIDIMAUTOMATIZUOTAI APDOROTI SLAPTINT INFORMACIJIDAVIMO TAISYKLI IR AUTOMATIZUOTO DUOMENAPDOROJIMO SISTEM IR TINKL, KURIUOSE BUSSAUGOMA, APDOROJAMA AR KURIAIS BUS PERDUODAMA

SLAPTINTA INFORMACIJA, SAUGUMO REIKALAVIMAPRAO PATVIRTINIMO

(in., 2010, Nr. 142-7328; 2013, Nr. 4-158)

Vadovaudamasis Lietuvos Respublikos Vriausbs 2009 m. lapkriio 18 d.nutarimo Nr. 1545 Dl Nacionalins komunikacij apsaugos, Saugumo prie-iros, Nacionalins ifr paskirstmo tarnb ir institucij, utikrinani ap-saug nuo informatviojo elektromagnetinio spinduliavimo, funkcij atlikimo

(in., 2009, Nr. 144-6363; 2010, Nr. 125-6409) 3.3 punktu,t v i r t i n u pridedamus:1. Bendrsias (visiems vienodas) inbini saugumo prieiros tarnb stei-

gimo ir veiklos taiskles;2. Dokument, reikaling leidimui automatizuotai apdoroti slaptint infor-

macij iduoti, rengimo ir leidim automatizuotai apdoroti slaptint informaci-j idavimo taiskles;

3. Automatizuoto duomen apdorojimo sistem ir tinkl, kuriuose bus sau-goma, apdorojama ar kuriais bus perduodama slaptinta informacija, saugumoreikalavim apra.


10/289


PATVIRTINTAInformatikos ir ri departamento

prie Lietuvos Respublikos vidaus reikalministerijos direktoriaus 2010 m. lapkriio29 d. sakmu Nr. 5V-138

BENDROSIOS (VISIEMS VIENODOS) INYBINI SAUGUMOPRIEIROS TARNYB STEIGIMO IR VEIKLOS TAISYKLS


1. Bendrosios (visiems vienodos) inbini saugumo prieiros tarnbsteigimo ir veiklos taiskls (toliau Taiskls) nustato inbini saugumo

prieiros tarnb (toliau inbin SPT) steigim, funkcijas, atskaitomb,veiklos koordinavim, ir panaikinim.2. Taisklse vartojamos svokos:Saugumo prieiros tarnyba (toliau SPT) Lietuvos Respublikos V-

riausbs galiota valstbs institucija, vkdanti leidim automatizuotai apdoro-ti ir perduoti slaptint informacij automatizuoto duomen apdorojimo (toliauvadinama ADA) sistemomis ir tinklais idavimo, i sistem ir tinkl apsau-gos kontrols paslapi subjektuose ir kitas teiss aktuose numattas funkcijas.

inybin SPT iose Taisklse nustatta tvarka paslapi subjekto vado-vo ar jo galioto asmens sprendimu steigtas arba galiotas struktrinis paslapi

subjekto padalins, institucija ar staiga, vkdanti ADA sistem ir tinkl apsau-gos kontrols ir leidim automatizuotai apdoroti ir perduoti slaptint informa-cij paslapi subjekto ADA sistemomis ir tinklais idavimo funkcijas.

Kitos taisklse vartojamos svokos atitinka svokas, nustattas LietuvosRespublikos valstbs ir tarnbos paslapi statme (in., 1999, Nr. 105-3019;2004, Nr. 4-29) bei kituose teiss aktuose.

3. inbin SPT savo veikloje vadovaujasi Lietuvos Respublikos Konstitu-cija, Lietuvos Respublikos tarptautinmis sutartimis, statmais, kitais LietuvosRespublikos teiss aktais, NATO ir Europos Sjungos (toliau ES) slaptintos

informacijos apsaug reglamentuojaniais dokumentais ir iomis Taisklmis.II. INYBINI SPT FUNKCIJOS

4. inbin SPT atlieka ias funkcijas:4.1. pagal kompetencij bendradarbiauja su Lietuvos Respublikos, ES,

NATO, kit ali bei tarptautini organizacij institucijomis, atsakingomis uslaptintos informacijos apsaug;

4.2. dalvauja ir pagal kompetencij atstovauja Lietuvos Respublikai NATO,ES, tarptautini organizacij ir usienio valstbi organizuojamuose renginiuo-se, susijusiuose su slaptintos informacijos apsauga;

4.3. pagal kompetencij vkdo ADA sistem ir tinkl atitikties nustattiemsapsaugos reikalavimams vertinim;

4.4. pagal kompetencij vkdo ADA sistemos ir tinkl veikimo patikrinim;


11/289



4.5. iduoda leidimus, laikinus leidimus ir ribotus leidimus jos kompeten-cijai priklausaniam paslapi subjektui, valdaniam ADA sistemas ir tinklus,automatizuotai apdoroti slaptint informacij (toliau leidimas);

4.6. atlieka jos kompetencijai priklausanio paslapi subjekto ADA siste-m ir tinkl ADA sistem ir tinkl, kuriems buvo iduoti leidimai, saugumo

kontrol;4.7. teikia privalomus nurodmus ADA sistem ir tinkl valdtojams, ADA

sistem ir tinkl personalui dl saugumo incident trimo, esamos situacijosgerinimo, nuolatinio rizikos valdmo bei priimtinos rizikos lgio nustatmo;

4.8. pagal kompetencij dalvauja sujungt ADA sistem ir tinkl vertinimoir patikrinimo tarbos veikloje;

4.9. pagal kompetencij konsultuoja asmenis, atsakingus u paslapi su-bjekt slaptintos informacijos apsaug, teikia jiems metodin pagalb;

4.10. atlieka kitas Lietuvos Respublikos teiss aktuose numattas funkcijas.

III. INYBINI SPT STEIGIMAS

5. Paslapi subjektas, siekiantis steigti inbin SPT, Lietuvos Respu-blikos paslapi koordinavimo komisijai (toliau komisija) turi pateikti mo-tvuot pram dl inbins SPT steigimo tikslingumo ir dokumentacij,

pagrindiani inbins SPT btinum, kurioje nurodoma paslapi subjektovaldom ADA sistem ir tinkl skaiius, paskirtis, i ADA sistem ir tinklslaptumo mos, naudotoj kiekis, ADA sistemos ir tinklo aprptis geograniu

poiriu. Komisija turi teis prati pateikti papildom informacij.

6. inbin SPT gali bti steigiama tik komisijai primus sprendim dl jossteigimo tikslingumo.7. Paslapi subjektas, siekdamas registruoti inbin SPT, turi pateikti

SPT pram dl inbins SPT registravimo, komisijos sprendimo dl inbi-ns SPT steigimo tikslingumo kopij, inbins SPT nuostatus ir inbins SPTdarbuotoj pareigbi apramus.

8. inbin SPT savo veikl gali pradti tik tada, kai iose Taisklse nusta-tta tvarka ra registruojama SPT.

9. SPT ne vliau kaip po 10 (deimt) darbo dien nuo dokument gavimo ir,prireikus atlikto inbins SPT patikrinimo, turi priimti vien i i sprendim:

9.1. registruoti inbin SPT ir apie tai informuoti i inbin SPT stei -giant paslapi subjekt ir komisij;9.2. atsisakti registruoti inbin SPT, jeigu pateiktuose registravimo do-

kumentuose ir/ar patikrinimo metu buvo nustatti trkumai.10. Jeigu SPT priima taiskli 9.2 punkte numatt sprendim, sprendimo

motvo kopija turi bti pateikta dl inbins SPT registravimo besikreipian-iam paslapi subjektui ir komisijai.

11. Atsisakius registruoti inbin SPT pakartotinis pramas dl inbinsSPT registravimo SPT gali bti pateiktas tik paalinus sprendimo motve nu-rodtus trkumus.

12. SPT koordinuoja inbini saugumo prieiros tarnb veikl, susijusisu ADA sistem ir tinkl apsaugos kontrols ir leidim automatizuotai apdorotiir perduoti slaptint informacij paslapi subjekto ADA sistemomis ir tinklais


12/289


idavimo funkcij vkdmu.

IV. INYBINI SPT VEIKLOS KOORDINAVIMAS

13. inbin SPT privalo nedelsdama, bet ne vliau kaip per 2 (dvi) darbo

dienas, praneti SPT apie inbins SPT iduotus leidimus automatizuotai ap-doroti ir perduoti slaptint informacij paslapi subjekto ADA sistemomis irtinklais.

14. inbin SPT privalo nedelsdama praneti SPT apie inbins SPTkompetencijai priskirtose ADA sistemose ir tinkluose vkusius saugumo inci-dentus, kelianius grsm ADA sistemoms ir tinklams ar juose tvarkomai slap-tintai informacijai, ir imasi priemoni iems incidentams likviduoti.

15. SPT, registravus inbin SPT arba jos registravimo metu bei kart pertrejus kalendorinius metus, atlieka inbins SPT veiklos, susijusios su ADAsistem ir tinkl apsaugos kontrols ir leidim automatizuotai apdoroti ir per-

duoti slaptint informacij paslapi subjekto, ADA sistemomis ir tinklais i-davimo funkcij vkdmu, patikrinimus.16. Patikrinimo metu konstatavus, kad inbins SPT veikla neatitinka tei-

ss aktuose nustatt reikalavim, SPT kreipiasi paslapi subjekt, kuriamera steigta minta inbin SPT, su pramu paalinti nustattus trkumus.

17. Laiku, be pateisinam prieasi, nepaalinus nurodt trkum ir / arapie tai nepraneus SPT, SPT inicijuoja inbins SPT iregistravim. Trkumalinimo metu gali bti sustabdti ar panaikinti mintos inbins SPT iduotileidimai automatizuotai apdoroti ir perduoti slaptint informacij paslapi su-

bjekto ADA sistemomis ir tinklais.

V. INYBINI SPT PANAIKINIMAS

18. steigta inbin SPT gali bti panaikinta inbin SPT steigusio pa-slapi subjekto sprendimu. Apie inbins SPT panaikinim informuojamaSPT ir komisija.

19. Panaikinus ar iregistravus inbin SPT visi jos galiojimai, teiss, i-duoti ADA sistemoms leidimai ir kiti dokumentai atitenka SPT.

VI. BAIGIAMOSIOS NUOSTATOS

20. SPT sprendimai dl inbins SPT veiklos (neregistravimo, iregistravi-mo, patikrinim ir kitais klausimais) gali bti skundiami komisijai.

SUDERINTALietuvos Respublikos paslapiapsaugos koordinavimo komisijos2010 m. lapkriio 12 d. protokoliniu

sprendimu Nr. 56-5


13/289





DOKUMENT, REIKALING LEIDIMUI AUTOMATIZUOTAIAPDOROTI SLAPTINT INFORMACIJ IDUOTI, RENGIMO

IR LEIDIM AUTOMATIZUOTAI APDOROTI SLAPTINTINFORMACIJ IDAVIMO TAISYKLS


1. Dokument, reikaling leidimui automatizuotai apdoroti slaptint infor-

macij iduoti, rengimo ir leidim automatizuotai apdoroti slaptint informa-cij idavimo taiskls (toliau taiskls) nustato dokument, kuriuos privalopateikti automatizuoto duomen apdorojimo (toliau ADA) sistem ir tinkl,kuriuose saugoma, apdorojama ar perduodama slaptinta informacija, vald-tojai, siekdami gauti leidim automatizuotai apdoroti ir perduoti slaptint in-formacij ADA sistemomis ir tinklais arba siekdami sujungti ADA sistemas irtinklus, turin, leidim ris ir j idavimo procedr.

2. Taisklse vartojamos svokos:ADA sistemos ar tinklo valdytojas ADA sistemos ar tinklo nuostatuose

nurodtas paslapi subjektas arba jo galiotas struktrinis padalins, arba ran-

govas (subrangovas), kuris valdo ADA sistem ar tinkl, juos sukrs ar usakssukurti arba sigijs.

Saugumo aplinka apibrta teritorija, patalpa ar erdv, kurioje idsttaranga, utikrinanti slaptint informacij tvarkanios ADA sistemos ir tinkloveikim, kurioje nustattos atitinkamos saugumo valdmo procedros arba ku-rioje tvarkoma slaptinta informacija.

Saugumo valdymo procedros Saugumo valdmo procedr aprae apra-tos slaptintos informacijos apsaugos reikalavim gvendinimo instrukcijos.

Globali saugumo aplinka perimetro zins apsaugos priemonmis ap-saugota saugumo aplinka, kurioje diegti ADA sistema ir tinklai ar j sudtinsdals.

Lokali saugumo aplinka globalios saugumo aplinkos apsuptos I ir (ar) IIklasi saugumo zonos, kuriose diegti ir arba eksploatuojami ADA sistemos irtinklai ar j sudtins dals.

Elektronin saugumo aplinka saugumo aplinka, kurioje elektroniniubdu tvarkoma slaptinta informacija, kuri ra saugoma techninmis ir progra-minmis ADA sistem ir tinkl apsaugos priemonmis.

Grsm vienos ar daugiau slaptintos informacijos savbi kondencia-lumo, vientisumo ar prieinamumo praradimo galimb.

Rizika grsms pasireikimo per tam tikr laiko tarp tikimb.PaeidiamumasADA sistemos ir tinklo savb, sudaranti galimb pa-sireikti grsmei.

Kitos taisklse vartojamos svokos atitinka svokas, nustattas Lietuvos


14/289


Respublikos valstbs ir tarnbos paslapi statme (in., 1999, Nr. 105-3019;2004, Nr. 4-29) bei kituose teiss aktuose.

3. Leidim automatizuotai apdoroti ir perduoti slaptint informacij ADAsistemomis ir tinklais idavimo procedra apima:

3.1. dokument, reikaling leidimams automatizuotai apdoroti ir perduoti

slaptint informacij ADA sistemomis ir tinklais gauti, parengim ir pateikim;3.2. ADA sistem ir tinkl atitikties i taiskli 5 punkte nustattiems rei-

kalavimams vertinim (toliau vertinimas);3.3. ADA sistemos ir tinkl veikimo patikrinim (toliau patikrinimas);3.4. leidim automatizuotai apdoroti ir perduoti slaptint informacij ADA

sistemomis ir tinklais idavim arba patikrinimo metu nustatt trkum nuro-dm.

4. Gali bti iduoti trij ri leidimai automatizuotai apdoroti ir perduotislaptint informacij ADA sistemomis ir tinklais:

4.1. leidimas ADA sistemose ir tinkluose atlikti visas numattas funkcijas(toliau leidimas) (forma pridedama);

4.2. laikinas leidimas ADA sistemose ir tinkluose atlikti visas nustattasfunkcijas (toliau laikinas leidimas) (forma pridedama);

4.3 leidimas ADA sistemose ir tinkluose atlikti vienkartinius veiksmus (to-liau ribotas leidimas) (forma pridedama).

5. ADA sistem ir tinkl apsauga utikrinama vadovaujantis Lietuvos Res-publikos valstbs ir tarnbos paslapi statmu (in., 1999, Nr. 105-3019;2004, Nr. 4-29), Lietuvos Respublikos paslapi apsaugos koordinavimo ko-misijos nustattais reikalavimais, Saugumo prieiros tarnbos patvirtintais

Automatizuoto duomen apdorojimo sistem ir tinkl, kuriuose bus saugoma,apdorojama ar kuriais bus perduodama slaptinta informacija, saugumo reikala-vimais, Nacionalins ifr paskirstmo tarnbos bei Nacionalins komunikaci-

j apsaugos tarnbos nustattais reikalavimais ir kitais Lietuvos Respublikos,NATO ir Europos Sjungos slaptintos informacijos apsaug reglamentuojan-iais dokumentais.

II. DOKUMENT, REIKALING LEIDIMAMS GAUTI, TURINIOREIKALAVIMAI IR PATEIKIMAS

6. ADA sistemos ar tinklo valdtojas, siekdamas gauti leidim automatizuo-tai apdoroti ir perduoti slaptint informacij, turi pateikti paraik dl leidimoautomatizuotai apdoroti ir perduoti slaptint informacij idavimo inbineisaugumo prieiros tarnbai (toliau inbin SPT) arba, jeigu inbin SPTnra steigta, Saugumo prieiros tarnbai (toliau SPT). Kartu su paraikadl leidimo automatizuotai apdoroti ir perduoti slaptint informacij idavimoturi bti pateikti ADA sistemos ar tinklo valdtojo sakmu patvirtinti ADAsistemos ar tinklo nuostatai bei ie ADA sistemos ar tinklo valdtojo sakmu

patvirtinti saugos dokumentai:6.1. specini saugumo reikalavim apraas;

6.2. saugumo valdmo procedr apraas;6.3. rizikos analiz;6.4. saugumo reikalavim gvendinimo patikrinimo ataskaita.61. Rangovo ADA sistemas ir tinklus, kuriuose numatoma automatizuotai


15/289



apdoroti slaptint informacij ar kuriais numatoma toki informacij perduo-ti, vertina ir leidimus automatizuotai apdoroti ir perduoti slaptint informacijADA sistemomis ir tinklais iduoda inbin SPT arba SPT slaptint sandorisaugum utikrinanios institucijos ratiniu pramu.

7. Specini saugumo reikalavim apraas (toliau SSRA) tai ADA sis-

temos ir tinklo apsaugos organizavimo princip ir detali saugumo reikalavimsvadas. SSRA tikslas ra apibrti saugios ADA sistemos ir tinklo bsen, jossaugumui klanias grsmes ir reikalavimus, keliamus ADA sistemos ir tinkloapsaugai. SSRA privalomai turi bti pateikta i informacija:

7.1. ADA sistemos ir tinklo apibdinimas:7.1.1. ADA sistemos ir tinklo paskirtis ir funkcijos;7.1.2. ADA sistemoje ir tinkle naudojamos technins ir programins rangos

apraas (-ai);7.1.3. Saugomos, apdorojamos bei perduodamos informacijos slaptumo

ma ir slaptintos informacijos apimts;7.1.4. ADA sistemos ir tinklo naudotojai, j funkcijos;7.1.5. informacijos, su kuria gali susipainti atskiri naudotojai ar j grups,

slaptumo mos;7.1.6. ssajos tarp atskir ADA sistem ir tinkl.7.2. ADA sistemai ir tinklui keliam saugumo reikalavim apramas. ADA

sistemai ir tinklui keliami saugumo reikalavimai apraomi atsivelgiant :7.2.1. grsmes, klanias ADA sistemai ir tinklui;7.2.2. gaunamos, saugomos, apdorojamos ir perduodamos slaptintos infor-

macijos ADA sistemoje ir tinkle svarb;

7.2.3. ADA sistemos ir tinklo paeidiamumus;7.2.4. i taiskli 5 p. nustattus saugumo reikalavimus, keliamus ADAsistemai ir tinklui ir gaunamos, saugomos, apdorojamos ir jais perduodamosslaptintos informacijos apsaugai.

7.3. Saugumo aplink apramas. Apraomos ios ADA sistemos saugumoaplinkos:

7.3.1. globali saugumo aplinka ir joje nustattos saugumo valdmo proced-ros ir u j vkdm ir kontrol atsakingi asmens;

7.3.2. lokali saugumo aplinka ir joje nustattos saugumo valdmo proced-ros ir u j vkdm ir kontrol atsakingi asmens;

7.3.3. elektronin saugumo aplinka.7.4. Saugumo priemoni apramas. iame skriuje idstomos priemons,

kurios utikrina ADA sistemos ir tinklo saugum (toliau priemons). Turi btiiskirtos skirtingose saugumo aplinkose panaudotos prieigos kontrols, identi-kavimo ir autentikavimo, apskaitos, zins, personalo, procedrins, rio

priemons, taip pat ADA sistemos ir tinklo vientisum, prieinamum ir kon-dencialum utikrinanios priemons.

7.5. Saugumo valdmo reikalavim apramas. iame skriuje apraoma:7.5.1. ADA sistemos ir tinklo veiklos tstinumas;7.5.2. ADA sistemos ir tinklo rizikos valdmas;7.5.3. ADA sistemos ir tinklo pakeitim valdmas;7.5.4. ADA sistemos ir tinklo apsaugos dokumentavimas ir mokmai;7.5.5. ADA sistemos ir tinklo veiklos nutraukimo slgos bei procedros.


16/289


8. Saugumo valdmo procedr apraas (toliau SVPA) tai dokumentas,kuriame tiksliai apraomas SSRA vardt reikalavim gvendinimas ir ADAsistemos ir tinklo apsaugos organizavimo utikrinimo procedros.

9. SVPA privalomai turi bti nurodta:9.1. ADA sistemos ir tinklo saugumo administravimo ir valdmo procedros:

9.1.1. trumpas ADA sistemos ir tinklo apramas, paminint ADA sistemosir tinklo rius su kitomis sistemomis ir tinklais bei ADA sistemos ir tinklofunkcijas;

9.1.2. asmens, atsakingi u ADA sistemos ir tinklo saugumo utikrinim,j atsakombs apibrimas;

9.1.3. teisi autorizuotiems naudotojams naudotis ADA sistema ir tinklu su-teikimo, pakeitimo ar panaikinimo procedr apibrimas;

9.1.4. praneimo apie pastebtus ADA sistemos ar tinklo saugumo paei-dimus ADA sistemos ar tinklo valdtojui bei inbinei SPT ar SPT procedrapramas;

9.1.5. procedr, utikrinani viso personalo, dirbanio su ADA sistema irtinklu, supaindinim su saugum utikrinaniomis procedromis, nustatmas;

9.1.6. kita informacija, susijusi su ADA sistemos ir tinklo saugumo adminis-travimo ir valdmo procedromis.

9.2. ADA sistemos ir tinklo zins apsaugos procedros:9.2.1. ADA sistem ir tinkl tarnbini stoi ir darbo viet patalp, elek-

tronini dokument, kriptograni duomen saugojimo ir kit ADA sistemos irtinklo veikimui btin patalp apibdinimas;

9.2.2. spn, kod ir rakt saugojimo ir idavimo procedr apramas, at-

saking asmen identikavimas;9.2.3. procedr, utikrinani ADA sistemos ir tinklo zin apsaug pasi-baigus darbo valandoms, apramas;

9.2.4. procedr, utikrinani patalp, kur diegta ADA sistemos ir tinklosudtins dals, lanktoj kontrol, apramas;

9.2.5. leidim lanktojams patekti ADA sistemos ir tinklo tarnbines patal-pas idavimo procedr apramas, atsaking asmen identikavimas;

9.2.6. naujos rangos diegimo, saugojimo ir paalinimo i ADA sistemos irtinklo procedr apramas;

9.2.7. zins apsaugos sistem, signalizacij testavimo procedr bei veiks-

m pavojaus atveju apramas;9.2.8. kita informacija, susijusi su ADA sistemos ir tinklo zins apsaugos

procedromis.9.3. ADA sistemos ir tinklo personalo saugumo procedros:9.3.1. ADA sistemos ir tinklo personalo pareigos, funkcijos, leidime dirbti ar

susipainti su slaptinta informacija nurodta maiausia slaptumo ma;9.3.2. naudotoj paskrimo, j grupi sudarmo, teisi ir prieigos prie ADA

sistemos ir tinklo paslaug ir itekli valdmo principai;9.3.3. btiniausio ADA sistemos ir tinklo personalo sraas, j pareigos,

funkcijos, prieinamos informacijos apsaugos lgis;9.3.4. personalo mokmo ir vietimo saugumo klausimais apramas;9.3.5. informacija apie pagalbinio personalo veikl ADA sistem ir tinkl

tarnbinse ar pagalbinse patalpose;


17/289



9.3.6. kita informacija, susijusi su ADA sistemos ir tinklo personalo saugu-mo procedromis.

9.4. slaptintos informacijos (nepriklausomai nuo ksavimo bdo ir formos)administravimo procedros. iame skriuje apraoma:

9.4.1. naudojamos dokument saugojimo terps, taikomos slaptumo mos;

9.4.2. procedros, apibrianios slaptint dokument registravim, vald-m, saugojim, i proces patikrinim ir kontrol ir u j gvendinim atsa-kingus asmenis;

9.4.3. procedros, apibrianios slaptint dokument gavim, platinim,slaptumo m panaikinim, slaptint dokument sunaikinim ir u iuos pro-cesus atsakingus asmenis.

9.5. ADA sistemos ir tinklo informacijos saugumo procedros:9.5.1. technins rangos saugum utikrinanios procedros. Kompiuteri-

ns rangos eksploatavimo procedros ir dokumentacija, speciniai nustatmai,

kompiuterins rangos gedimo metu atliekamos procedros, darbo viet prijun-gimo, atjungimo nuo ADA sistemos ir tinklo procedros ir u i procedrgvendinim atsakingi asmens;

9.5.2. programins rangos saugum utikrinanios procedros. Nauj nau-dotoj sskait sukrimo, panaikinimo, slaptaodi ir kriptograni raktvaldmo procedros, atsargumo priemons, kuri turi bti imtasi atliekant tamtikrus darbus, operacini sistem ir kitos programins rangos valdmo proce-dros ir u i procedr gvendinim atsakingi asmens;

9.5.3. apsaugos nuo kompiuterini virus procedros. Kompiuterini viruspaiekos kompiuteriuose ir kitose kompiuterinse terpse, rast kompiuterini

virus sunaikinimo, kompiuterini virus aptikimo vki praneimo proced-ros ir u i procedr gvendinim atsakingi asmens;

9.5.4. automatizuoto saugumo valdmo procedros. ADA sistemos ir tinkloautomatizuoto saugumo valdmo procedros ir naudojama programin ranga,gaut ataskait (apimant ir veiklos raus) saugojimo, perirjimo, sunaikini-mo procedros, veiksmai atliekami automatizuoto saugumo valdmo programi-ns rangos gedimo metu ir u i procedr gvendinim atsakingi asmens;

9.5.5. ifravimo procedros ir u i procedr gvendinim atsakingi as-mens;

9.5.6. apsaugos nuo informatviojo elektromagnetinio spinduliavimo(TEMPEST) procedros. Technins rangos pajungimo, idstmo patalposeir periodini patikrinim procedros bei u i procedr gvendinim atsa-kingi asmens. io punkto nuostatos netaikomos ADA sistemoms ir tinklams,kuriuose saugoma, apdorojama ar perduodama slaptinta informacija, mimaslaptumo ma Riboto naudojimo;

9.5.7. saugaus duomen perdavimo procedros ir u i procedr gven-dinim atsakingi asmens.

9.5.8. slaptintai informacijai rati skirt laikmen administravimo ir nau-dojimo procedros bei u i procedr gvendinim atsakingi asmens.

9.6. ADA sistemos ir tinklo veiklos tstinumo valdmo planas turi komplek-sikai apimti nenumatt situacij, likviduojam avarij padarini valdmo,saugumo incident trimo, staigos veiklos atkrimo nuostatas. ADA sistemos


18/289


ir tinklo veiklos tstinumo valdmo plane privalomai turi bti nurodta:9.6.1. atsargini ADA sistemos ir tinklo duomen kopij darmo daniu,

j saugojimo, perdavimo, bandomojo atkrimo ir panaudojimo procedromis;9.6.2. veiksm planu kompiuterins, programins rangos gedimo, ADA sis-

temos sugadinimo, silauimo, upuolimo, telekomunikacini ri praradimo,

elektros dingimo, stichini nelaimi atvejais;9.6.3. ADA sistemos ir tinklo personalo gvbs ir sveikatos apsauga;9.6.4. ADA sistemos ir tinklo veiklos atkrimu;9.6.5. ADA sistemos ir tinklo naudotoj mokmu ir nenumatt situacij

metu vkdom veiksm lavinimu;9.6.6. reguliariu io plano veiksmingumo ibandmu.9.7. ADA sistemos ir tinklo programins ir technins rangos (toliau ran-

ga) pakeitim valdmas. iame skriuje idstoma informacija ra susijusi su:9.7.1. personalu, atsakingu u ADA sistemos ir tinklo rangos atnaujinimo

organizavim ir valdm;9.7.2. dokumentacija, apibriania ADA sistemos ir tinklo rangos pakei-

tim proces;9.7.3. procedromis, utikrinaniomis saug ADA sistemos ir tinklo rangos

pakeitim gvendinimo proces. Pakeitimai, galints turti neigiamos takosADA sistemos ir tinklo ar saugomos, apdorojamos bei iais tinklais perduoda-mos slaptintos informacijos kondencialumui, vientisumui ar prieinamumui,turi bti ibandti bandomojoje aplinkoje, kurioje nra slaptint duomen ir jiatskirta nuo eksploatuojamos ADA sistemos ir tinklo:

9.7.4. kreipimosi procedromis dl ADA sistemos ir tinklo rangos pakeiti-

m organizavimo;9.7.5. ADA sistemos srankos dokumentacija, atspindinia esam ADA sis-temos ir tinklo srankos bkl.

10. Rizikos analizs tikslas ra isiaikinti rizikos valdmo principus, gali-mas ADA sistemos ir tinklo grsmes, paeidiamumus, gvendintas ir galimasgvendinti saugos priemones, taip pat priimtin rizikos lg ir liekamosios ri-zikos veiksnius. Rengiant rizikos analiz rekomenduojama vadovautis Vidausreikal ministerijos parengtu ir ileistu Rizikos analizs vadovu.

11. Rizikos analiz turi bti atliekama ADA sistemos ar tinklo valdtojosudartos ekspert grups. Rizikos analizje turi bti pateikiama i informacija:

11.1. identikuojama ADA sistemos ir tinklo galimos rizikos aplinka ir pa-eidiamumai. Tam tikslui pasinaudojama GSA, LSA ir ESA apramuose pa-teikta informacija;

11.2. vertinamas ADA sistemos ir tinklo zinis ir informacinis turtas;11.3. vairiais slaptintos informacijos apsaugos aspektais (zin apsauga,

personalo patikimumas, slaptintos informacijos administravimas, ADA siste-m ir tinkl apsauga ir kt.) vertinamos ADA sistemoje ir tinkle gvendintossaugumo priemons;

11.4. identikuojamos ADA sistemai ir tinklui silomos diegti apsaugospriemons, nustatomi rizikos mainimo ir valdmo principai;

11.5. vertinama liekamoji ADA sistemos ar tinklo rizika bei nurodoma, kadADA sistemos ar tinklo valdtojas suvokia ir prisiima i rizik.

12. Saugumo reikalavim gvendinimo patikrinimo ataskaitos tikslas pa-


19/289



tikrinti informacij apie SSRA ir SVPA nurodt apsaugos priemoni gvendi-nim ADA sistemoje ar tinkle. Saugumo reikalavim gvendinimo patikrinimoataskaitoje turi bti pateikiama i informacija:

12.1. saugumo reikalavim patikrinimo apimtis (btini ir pageidautini pa-tikrinti ADA sistemos ar tinklo elementai, ADA sistemos ar tinklo veiklos ir

saugumo aspektai ir kt.);;12.2. saugumo reikalavim patikrinimo struktra (patikrinime dalvaujan-

ts subjektai, patikrinimo prioritetai, saugumo reikalavim atitikties ir atskirsaugumo reikalavim ar j grupi priimtinumo kriterijai ir kt.);

12.3. saugumo reikalavim patikrinimo detalus apraas (saugumo reikalavi-m sraas, saugumo reikalavim patikrinimo metodika ir kt.);

12.4. saugumo reikalavim patikrinimo rezultatai ir saugumo reikalavimatitikties aktas.

13. Visi taiskli 6 punkte nurodti dokumentai gali bti papildti kita, su

ADA sistemos ar tinklo saugumu susijusia informacija. Tuo atveju, jei II sk-riuje reikalaujamos nurodti nuostatos ra idsttos kituose teiss aktuose, turibti pateikti ie teiss aktai, o taiskli 6 punkte nustattuose dokumentuoseturi bti pateiktos nuorodos mintus teiss aktus.

III. ADA SISTEM IR TINKL IR SUJUNGT ADA SISTEMVERTINIMAS IR PATIKRINIMAS, LEIDIM ADA SISTEMOMSIR TINKLAMS IDAVIMAS

14. Sprendim dl leidimo, laikino leidimo ar riboto leidimo idavimo, nei-

davimo, galiojimo sustabdmo, anuliavimo ar atsisakmo vertinti ADA sistemir tinklus priima inbin saugumo prieiros tarnba (toliau inbin SPT)ar saugumo prieiros tarnba (toliau SPT).

14. ADA sistemos ar tinklo vertinimo ir patikrinimo metu vertinama, arparengti ir pateikti visi btini ADA sistemos ar tinklo saugos dokumentai, arsaugos dokument nuostatos atitinka taiskli 5 punkte nurodt teiss aktnuostatas ir reikalavimus, taip pat patikrinama, kaip ADA sistemoje ar tinklegvendinti saugumo reikalavimai, atsivelgiant pateikt ADA sistemos ar tin-klo saugumo reikalavim gvendinimo patikrinimo ataskait. inbin SPTar SPT nepriklausomai patikrina ir vertina ADA sistemos ar tinklo atitikt mi-

ntiems reikalavimams. inbin SPT ar SPT turi teis pasitelkti Nacionalinskomunikacij apsaugos tarnbos, Nacionalins ifr paskirstmo tarnbos arinstitucijos, utikrinanios apsaug nuo informatviojo elektromagnetinio spin-duliavimo (TEMPEST), atstovus dl saugumo reikalavim, susijusi su i ins-titucij kompetencija, patikrinimo.

15. Leidimas gali bti iduodamas tik vertinimo ir patikrinimo metu nustaiusADA sistem ir tinkl atitikt taiskli 5 punkte nustattiems reikalavimams.Leidimas turi bti iduodamas ne vliau kaip per 3 mnesius nuo ADA siste-mos ar tinklo valdtojo paraikos dl leidimo automatizuotai apdoroti ir perduotislaptint informacij idavimo gavimo inbinje SPT ar SPT dienos. ADA sis-tema ar tinklu leidiam atlikti funkcij apimtis, atitiktis nustattiems reikalavi-mams nurodoma ADA sistemos ar tinklo vertinimo ir patikrinimo ivadoje.

16. Laikinas leidimas iduodamas per taiskli 15 punkte nustatt termin


20/289


vertinimo metu nustaius ADA sistem ir tinkl atitikt taiskli 5 punkte nusta-ttiems reikalavimams, taiau dl objektvi prieasi nesant galimbs atlikti

patikrinim, arba vertinimo ir patikrinimo metu nustaius ADA sistem ir tinklatitikties nustattiems reikalavimams trkumus, kurie nekelia kritins grsmsADA sistem ir tinkl saugumui, ra inomi ADA sistemos ar tinklo valdtojui

ir ra sudartas ADA sistemos ar tinklo valdtojo vadovo sakmu patvirtintasADA sistemos ar tinklo atitikties nustattiems reikalavimams trkum alini-mo planas. ADA sistema ar tinklu leidiam atlikti funkcij apimtis, atitiktisnustattiems reikalavimams, nustatti trkumai, kurie nekelia kritins grsmsADA sistemos ar tinklo saugumui, bei j paalinimo terminai nurodomi ADAsistemos ar tinklo vertinimo ir patikrinimo ivadoje.

17. Ribotas leidimas iduodamas per taiskli 15 punkte nustatt terminvertinimo ir patikrinimo metu nustaius ADA sistem ir tinkl atitikt taiskli5 punkte nustattiems reikalavimams, atsivelgiant ADA sistemos ar tinklovaldtojo praom leisti atlikti vienkartini veiksm pobd, arba vertinimo ir

patikrinimo metu nustaius ADA sistem ir tinkl atitikties nustattiems rei-kalavimams trkumus, kurie nekelia kritins grsms ADA sistem ir tinklsaugumui ir ra inomi ADA sistemos ar tinklo valdtojui. ADA sistema ar tin-klu leidiam atlikti funkcij (vienkartini veiksm) apimtis nurodoma ADAsistemos ar tinklo vertinimo ir patikrinimo ivadoje.

18. Prireikus vertinti ir patikrinti ADA sistem ir tinkl, inbin SPT arSPT teiss akt nustatta tvarka gali inicijuoti vertinimo ir patikrinimo darbogrups sudarm ar inicijuoti kreipimsi nepriklausomus ekspertus.

19. inbin SPT ar SPT turi teis bet kuriuo ADA sistemos ar tinklo ver-

tinimo ar patikrinimo momentu reikalauti i ADA sistemos ar tinklo valdtojopapildom dokument, o per nustatt termin negavusi reikalaujam doku-ment, atsisakti iduoti praom leidim, laikin leidim ar ribot leidim.

20. inbin SPT ar SPT per taiskli 1517 punktuose nustatt terminpriima sprendim:

20.1. iduoti leidim, laikin leidim ar ribot leidim ir ADA sistemos artinklo valdtojui pateikia j kartu su ADA sistemos ar tinklo vertinimo ir pati -krinimo ivados, kurioje nurodomi ir nustatti trkumai, nekeliants kritinsgrsms ADA sistemos ar tinklo saugumui bei j paalinimo terminai, kopija;

20.2. neiduoti leidimo, laikino leidimo ar riboto leidimo ir ADA sistemos

ar tinklo valdtojui pateikia ADA sistemos ar tinklo vertinimo ir patikrinimoivados, kurioje nurodomi nustatti trkumai, keliants kritin grsm ADA sis-temos ar tinklo saugumui, kopij.

21. Leidim, laikin leidim ir ribot leidim geograkai nutolusiomis,priklausaniomis skirtingoms institucijoms ar valstbms ADA sistemomis irtinklais automatizuotai apdoroti slaptint informacij, idavimui turi bti su-kurta sujungt ADA sistem ir tinkl vertinimo ir patikrinimo tarba (toliau akreditavimo tarba). Akreditavimo tarb gali sudarti inbins (-i) SPT,SPT, institucij, atliekani Nacionalins komunikacij apsaugos tarnbos,

Nacionalins ifr paskirstmo tarnbos, apsaugos nuo elektromagnetinio spin-duliavimo tarnb funkcijas, Paslapi apsaugos koordinavimo komisijos, as-mens, atsakingi u ADA sistemos ir tinklo saugum (toliau akreditavimotarbos nariai). Akreditavimo tarbos veikla remiasi tarp akreditavimo tarbos


21/289



nari pasiratu susitarimu, kuriame nusakoma akreditavimo tarbos nari ga-liojimai, akreditavimo tarbos funkcijos. Akreditavimo tarba ADA sistemosir tinklo vertinime ir patikrinime turi vadovautis iomis taisklmis ir kitaisLietuvos Respublikos teiss aktais.

22. Akreditavimo tarba turi bti sudarta prie pradedant sujungt ADA

sistem ir tinkl vertinim ir patikrinim, o panaikinta panaikinus ADA sistemir tinkl sujungim. Akreditavimo tarba turi bti suburta, kuomet vkdomiesminiai pakeitimai ADA sistemose ir tinkluose, veikiants sujungt ADA sis-tem ir tinkl saugum, arba likus iki leidimo galiojimo pabaigos ne maiaukaip 4 mnesiams.

23. ADA sistem ir tinkl valdtojai, siekiants gauti leidim sujungtomisADA sistemomis ir tinklais apdoroti ir perduoti slaptint informacij, ADA sis-tem vertinimo ir patikrinimo tarbai pateikia i taiskli 6 punkte nurodtusdokumentus ir papildo juos ADA sistem ir tinkl rib apsaugos mechanizmreikalavimais, numattais institucijos, atliekanios Nacionalins komunikacijapsaugos tarnbos funkcijas, nustatta tvarka. Leidimo sujungtai ADA sistemaiir tinklui idavimo procesas gali bti pradtas tik ADA sistemoms ir tinklams,kurie jau turi leidimus, laikinus leidimus ar ribotus leidimus ir pateikus i lei-dim kopijas akreditavimo tarbai.

24. Sujungt ADA sistem vertinimas ir patikrinimas vkdomas i tais-kli nustatta bendra ADA sistem ir tinkl vertinimo ir patikrinimo tvarka.

25. Jei leidimas, laikinas leidimas ar ribotas leidimas ra iduotas inbinsSPT sprendimu, atitinkamo leidimo kopija per 2 darbo dienas nuo leidimo re-gistravimo turi bti nusista SPT.

26. Primus sprendim neiduoti leidimo, laikino leidimo ar riboto leidimoarba anuliavus leidimo, laikino leidimo ar riboto leidimo idavim, pakartotinaiparaika gali bti teikiama ne anksiau kaip po 3 mnesi nuo iame punkte nu-rodto sprendimo primimo ir tik paalinus motvuotoje ivadoje ar sprendimedl leidimo, laikino leidimo ar riboto leidimo anuliavimo nurodtus trkumus.

27. Leidimas iduodamas ne ilgesniam nei 3 met terminui. Laikinas leidi-mas gali bti iduodamas ne ilgesniam kaip 1 met terminui. Riboto leidimotrukm nustatoma priklausomai nuo funkcij svarbos ir apimties, kurias lei-diama atlikti ADA sistema ir tinklu, taiau negali bti ilgesn nei 3 mnesiai.

27. Jeigu rangovas (subrangovas) jau turi iduot galiojant mons patiki-

mum patvirtinant pamjim (juridinio asmens) arba rangovo (subrangovo)leidim dirbti ar susipainti su slaptinta informacija (zinio asmens), leidimas,laikinas leidimas ar ribotas leidimas sigalioja nuo jo idavimo dienos ir galio-

ja termin, nurodt taiskli 27 punkte, bet ne ilgiau nei mons patikimumpatvirtinantis pamjimas arba rangovo (subrangovo) leidimas dirbti ar susipa-inti su slaptinta informacija ir netenka galios nuo mons patikimum patvir-tinanio pamjimo arba rangovo (subrangovo) leidimo dirbti ar susipainti suslaptinta informacija baigimo galioti arba panaikinimo dienos.

Jeigu rangovas (subrangovas) neturi iduoto galiojanio mons patikimu-m patvirtinanio pamjimo (juridinio asmens) arba rangovo (subrangovo)leidimo dirbti ar susipainti su slaptinta informacija (zinio asmens), leidimas,laikinas leidimas ar ribotas leidimas sigalioja nuo mons patikimum patvirti-nanio pamjimo arba rangovo (subrangovo) leidimo dirbti ar susipainti su


22/289


slaptinta informacija idavimo dienos ir galioja termin, nurodt taiskli 27punkte, bet ne ilgiau nei mons patikimum patvirtinantis pamjimas arbarangovo (subrangovo) leidimas dirbti ar susipainti su slaptinta informacija irnetenka galios nuo mons patikimum patvirtinanio pamjimo arba rango-vo (subrangovo) leidimo dirbti ar susipainti su slaptinta informacija baigimo

galioti arba panaikinimo dienos.

IV. PAKARTOTINIS LEIDIM ADA SISTEMOMS IR TINKLAMSIDAVIMAS

28. ADA sistemos ir tinkl valdtojas privalo kreiptis pakartotinai dl leidi-mo ar laikino leidimo idavimo:

28.1. jeigu ADA sistemoje ir tinkluose vkdti reikmingi pakeitimai, kuriepagal Saugumo reikalavim gvendinimo patikrinimo ataskaitos ir (arba) ADAsistemos ar tinklo valdtojo atlikto rizikos ir (ar) atitikties vertinimo rezultatus

inbins SPT ar SPT sprendimu daro tak visos ADA sistemos ir tinkl arsujungt ADA sistem ir tinkl saugumui;28.2. likus iki leidimo ar laikino leidimo galiojimo pabaigos ne maiau kaip

3 mnesiams. i nuostata nra taikoma riboto leidimo atveju.29. i taiskli 28 punkte nurodtais atvejais valdtojas inbinei SPT (jei

tokios nra steigta SPT) siunia taiskli 6 punkte nurodt paraik su leidi-mui ar laikinam leidimui gauti reikalingais dokumentais.

V. BAIGIAMOSIOS NUOSTATOS

30. Leidim, laikin leidim ar ribot leidim ADA sistemoms ir tinklams,ir sujungtoms ADA sistemoms ir tinklams dirbti su slaptinta informacija aps-kait tvarko inbin SPT (jei tokios nra steigta SPT).

31. SPT ir inbin SPT pildo iduot leidim, laikin leidim ar ribot lei-dim urnalus bei saugo leidim, laikin leidim ar ribot leidim kopijas kartusu leidimui, laikinam leidimui ar ribotam leidimui gauti pateiktais dokumentais.

32. SPT saugo inbini SPT iduot leidim, laikin leidim ar ribot lei-dim ADA sistemoms ir tinklams, ir sujungtoms ADA sistemoms ir tinklamskopijas.

33. SPT ar inbins SPT sprendimai dl leidimo, laikino leidimo ar riboto

leidimo ADA sistemoms ir tinklams idavimo, neidavimo ar panaikinimo galibti skundiami Lietuvos Respublikos paslapi apsaugos koordinavimo ko-misijai.

SUDERINTALietuvos Respublikos paslapiapsaugos koordinavimo komisijos2010 m. lapkriio 12 d. protokoliniusprendimu Nr. 56-5


23/289





AUTOMATIZUOTO DUOMEN APDOROJIMO SISTEM IRTINKL, KURIUOSE BUS SAUGOMA, APDOROJAMA AR

KURIAIS BUS PERDUODAMA SLAPTINTA INFORMACIJA,SAUGUMO REIKALAVIM APRAAS


1. Automatizuoto duomen apdorojimo sistem ir tinkl, kuriuose bus sau-goma, apdorojama ar kuriais bus perduodama slaptinta informacija, saugumoreikalavim apraas (toliau apraas) nustato reikalavimus automatizuoto duo-men apdorojimo (toliau ADA) sistemoms ir tinklams, kuriuose saugoma, ap-dorojama ar kuriais perduodama slaptinta informacija, siekiant utikrinti ADAsistemose saugomos, apdorojamos ir ADA tinklais perduodamos slaptintosinformacijos slaptum (kondencialum), ios informacijos bei ADA sistemir tinkl paslaug ir itekli vientisum ir prieinamum viso ADA sistem irtinkl gvavimo ciklo metu.

2. Aprae vartojamos svokos:ADA sistemos ar tinklo valdytojas ADA sistemos ar tinklo nuostatuose

nurodtas paslapi subjektas arba jo galiotas struktrinis padalins, arba ran-govas (subrangovas), kuris valdo ADA sistem ar tinkl, juos sukrs ar usakssukurti arba sigijs.

ADA sistemos ar tinklo tvarkytojas ADA sistemos ar tinklo nuostatuo-se nurodtas paslapi subjektas arba jo galiotas struktrinis padalins, arbarangovas (subrangovas), kuris pagal ADA sistemos ar tinklo nuostatus galiotastvarkti ADA sistem ar tinkl, j duomenis.

ADA sistemos ar tinklo naudotojas asmuo, kuriam ADA sistemos ar tin-

klo valdtojas arba tvarktojas, pagal ADA sistemos ar tinklo nuostatuose api-brt kompetencij, suteik teis naudotis ADA sistema ar tinklu.ADA sistemos ar tinklo slaptumo yma aukiausia slaptumo ma, ku-

ria pamta slaptinta informacija gali bti saugoma, apdorojama ADA siste-moje ar perduodama ADA tinklu.

galiotoji institucija institucija, kuriai teiss aktais pavesta atlikti Naci-onalins komunikacij apsaugos tarnbos arba Nacionalins ifr paskirstmotarnbos, arba Saugumo prieiros tarnbos, arba apsaugos nuo informatviojoelektromagnetinio spinduliavimo (TEMPEST) funkcijas.

RN sistema ar tinklas ADA sistema, kurioje saugoma, apdorojama slap-tinta informacija, mima slaptumo ma Riboto naudojimo, ar tinklas, ku-riuo tokia informacija ra perduodama.

KF sistema ar tinklas ADA sistema, kurioje saugoma, apdorojama slap-


24/289


tinta informacija, mima slaptumo ma Kondencialiai, ar tinklas, kuriuotokia informacija ra perduodama.

S sistema ar tinklas ADA sistema, kurioje saugoma, apdorojama slaptin-ta informacija, mima slaptumo ma Slaptai, ar tinklas, kuriuo tokia infor-macija ra perduodama.

VS sistema ar tinklas ADA sistema, kurioje saugoma, apdorojama slap-tinta informacija, mima slaptumo ma Visikai slaptai, ar tinklas, kuriuotokia informacija ra perduodama.

Saugos dokumentai ADA sistemos ar tinklo valdtojo sakmu patvirtintiteiss aktai, reglamentuojants ADA sistemos ar tinklo saug, nurodti Doku-ment, reikaling leidimui automatizuotai apdoroti slaptint informacij iduo-ti, rengimo ir leidim automatizuotai apdoroti slaptint informacij idavimotaisklse.

Saugumo incidentas vkis, veiksmas ar neveikimas, kuris sudaro ar gali

sudarti slgas neteistai prisijungti prie ADA sistemos ar tinklo, sutrikd-ti ar pakeisti (skaitant valdmo permim) ADA sistemos ar tinklo veikim,sunaikinti, sugadinti, itrinti ar pakeisti slaptint informacij, elektroniniusduomenis, panaikinti ar apriboti galimb naudotis slaptinta informacija, elek-troniniais duomenimis, taip pat sudarti slgas pasisavinti, paskelbti, platintiar kitaip neteistai naudoti slaptint informacij, elektroniniais duomenimis.

Kitos aprae vartojamos svokos atitinka svokas, nustattas Lietuvos Res-publikos valstbs ir tarnbos paslapi statme ir kituose teiss aktuose.

3. Apraas skirtas utikrinti:3.1. efektv ir racional ADA sistem ir tinkl saugos valdm;

3.2. efektv prieigos teisi prie ADA sistem ir tinkl valdm ir kontrol;3.3. galimb nustatti ADA sistemos ar tinklo naudotoj tapatb ir pati-

krinti jos autentikum;3.4. galimb ksuoti veiksmus ir vkius ADA sistemoje ar tinkle;3.5. tini ar atsitiktini ADA sistemoje tvarkomos ir tinklais perduodamos

slaptintos informacijos, ADA sistemos ar tinklo paslaug ir itekli kondenci-alumo, vientisumo ir prieinamumo paeidim ksavim;

3.6. galimb greitai atkurti ADA sistemos ar tinklo veikim ir pasiekti svar-bius iteklius ar paslaugas sugedus vienam ar keliems ADA sistemos ar tinklo

komponentams arba praradus j kontrol;3.7. operatvi slaptintos informacijos ir svarbi ADA sistemos ar tinklokomponent evakuacij arba naikinim ekstremali situacij metu.

4. Usienio valstbi, Europos Sjungos ir tarptautini organizacij slap-tintos informacijos, ADA sistem ir tinkl saugumui is apraas taikomastiek,kiek neprietarauja Lietuvos Respublikos tarptautinms sutartims ir iomissutartimis grindiamiems bei jas gvendinantiems tarptautini organizacijsprendimams ir Europos Sjungos teiss aktams.


25/289



II. REIKALAVIMAI ADA SISTEM IR TINKL SAUGOSVALDYMO ORGANIZAVIMUI

5. Turi bti paskirtas ADA sistemos ar tinklo saugos galiotinis (toliau saugos galiotinis), kuris atsako u ADA sistemos ar tinklo saugos reikalavim

gvendinimo organizavim ir kontrol. Esant poreikiui, gali bti skiriami sau-gos galiotiniai struktriniuose ADA sistemos ar tinklo tvarktojo padaliniuose(toliau tvarktojo saugos galiotinis), kurie atlieka saugos galiotinio funkcijassaugos galiotinio nustattos kompetencijos ribose ir ra jam atskaitingi.

6. Turi bti paskirtas ADA sistemos ar tinklo administratorius (toliau ad-ministratorius). Administratoriai ra atskaitingi saugos galiotiniui. Saugosgaliotin skirti administratoriumi draudiama. Administratoriaus funkcijas gali

bti pavesta vkdti ADA sistemos ar tinklo valdtojo struktriniam padaliniui.7. Jeigu ADA sistemoje ar tinkle naudojamos kriptograns priemons, turi

bti paskirtas ADA sistemos ar tinklo kriptograni priemoni administratorius

(administratorius) (toliau kriptograni priemoni administratorius). Kripto-grani priemoni administratoriai ra atskaitingi saugos galiotiniui. Saugosgaliotin skirti kriptograni priemoni administratoriumi draudiama.

8. Saugos galiotinis, administratorius ir kriptograni priemoni administ-ratorius gali turti pavaduotojus.

9. Saugos galiotinis, administratorius ir kriptograni priemoni adminis-tratorius gvendina atsakingo asmens funkcijas organizuojant ADA sistem irtinkl apsaug ADA sistemos ar tinklo valdtojo institucijoje nustattas Valst-

bs ir tarnbos paslapi statme.10. ADA sistemos ar tinklo valdtojo funkcijos ir atsakomb:10.1. skiria saugos galiotin, administratori ir, esant poreikiui, kriptogra-

ni priemoni administratori ar j pavaduotojus;10.2. skiria ADA sistemos ar tinklo tvarktoj (tvarktojus) ir nustato jo (j)

kompetencijos ribas tvarkant ADA sistem ar tinkl;10.3. tvirtina saugos dokumentus;10.4. atsako u ADA sistemos ar tinklo saugos reikalavim gvendinim;10.5. atsako u dokument, reikaling leidimui automatizuotai apdoroti

slaptint informacij iduoti, pateikim laiku;10.6. atsako u ADA sistemos ar tinklo saugos utikrinimui reikaling nan-

sini ir kit itekli skrim laiku.11. ADA sistemos ar tinklo valdtojas turi teis galioti ADA sistemos artinklo tvarktoj atlikti tam tikras savo funkcijas.

12. Saugos galiotinio funkcijos ir atsakomb:12.1. teikia ADA sistemos ar tinklo valdtojo vadovui arba jo galiotiems

asmenims silmus dl:12.1.1. administratoriaus ir (ar) kriptograni priemoni administratoriaus

skrimo;12.1.2. ADA sistemos ar tinklo saugos dokument primimo, keitimo ar pa-

naikinimo;12.1.3. ADA sistemos ar tinklo rizikos vertinimo ir atitikties slaptintos in-

formacijos saugumo reikalavimams vertinimo (toliau atitikties vertinimas)atlikimo;


26/289


12.1.4. ADA sistemos ar tinklo saugos tobulinimo, saugumo priemoni die-gimo;

12.1.5. ADA sistemos ar tinklo valdtojo ar tvarktojo personalo kvalika-cijos klimo;

12.2. rengia ADA sistemos ar tinklo saugos dokumentus;

12.3. organizuoja ADA sistemos ar tinklo rizikos analizs ir (ar) atitiktiesvertinimo atlikim;

12.4. organizuoja ADA sistemos ar tinklo naudotoj pasiratin supain-dinim su ADA sistemos ar tinklo saugos dokumentais ir teiss aktais bei suatsakombe u nustatt reikalavim nesilaikm;

12.5. organizuoja ADA sistemos ar tinklo naudotoj apmokmus, susijusiussu ADA sistemos ar tinklo naudojama technine bei programine ranga;

12.6. atsako u ADA sistemos ar tinklo saugumo reikalavim gvendinim;12.7. atsako u tinkam ADA sistemos ar tinklo saugum utikrinani pro-

cedr vkdmo kontrol;12.8. informuoja ADA sistemos ar tinklo valdtojo vadov arba jo galiotusasmenis apie saugumo incidentus, koordinuoja j trim ir dalvauja jame;

12.9. inicijuoja ir koordinuoja reguliarius ADA sistemos ir tinklo veikloststinumo valdmo plano bandmus;

12.10. teikia administratoriams, kriptograni priemoni administratoriamsir ADA sistemos ar tinklo valdtojo darbuotojams, utikrinantiems ADA sis-temos ar tinklo funkcionavim, privalomus vkdti nurodmus ir pavedimus;

12.11. koordinuoja ir kontroliuoja tvarktojo saugos galiotini veikl jiemspriskirtos kompetencijos ribose;

12.12. atlieka kitas ADA sistemos ar tinklo valdtojo vadovo ar jo galiotasmen pavestas ir jam priskirtas funkcijas.

13. Administratoriaus atsakomb ir funkcijos:13.1. atsako u ADA sistemos ar tinklo funkcionavim ir utikrina tinkam

ir saug jo darb;13.2. apmoko ADA sistemos ar tinklo naudotojus naudotis ADA sistema ar

tinklu;13.3. vertina ADA sistemos ar tinklo naudotoj pasirengim dirbti su ADA

sistemos ar tinklo ranga ir suteikia naudotojams prieigos prie ADA sistemos ar

tinklo teis;13.4. teikia saugos galiotiniui informacij, reikaling 12.2, 12.3, 12.6, 12.7,12.9 ir 12.10 punktuose nurodtoms funkcijoms atlikti;

13.5. teikia silmus ADA sistemos ar tinklo funkcionavimo utikrinimo,pltimo, prieiros ir slaptintos informacijos saugos klausimais;

13.6. administruoja ADA sistemos ar tinklo technin ir programin rang,juos mi informacinmis uklijomis, nurodaniomis aukiausi leistin tvar-kti ia ranga slaptintos informacijos slaptumo m;

13.7. registruoja vkusius saugumo incidentus, informuoja apie juos saugosgaliotin, dalvauja j trime ir alinime;

13.8. koordinuoja ADA sistemos ar tinklo valdtojo darbuotoj, utikrinan-i ADA sistemos ar tinklo funkcionavim, veikl.

14. Reikalavimai kriptograni priemoni administratoriui, jo funkcijos ir


27/289



atsakomb nustatomi Bendrosiose slaptintos informacijos kriptograns ap-saugos taisklse.

15. ADA sistemos ar tinklo rizikos valdmas turi bti sudtin ADA siste-mos ar tinklo valdmo proceso dalis viso ADA sistemos ar tinklo gvavimociklo metu.

16. ADA sistemos ar tinklo eksploatavimo metu rizikos vertinimas turi btiatliekamas:16.1. RN ir KF sistem ir tinkl ne reiau kaip kart per 2 metus;16.2. S ir VSsistem ir tinkl ne reiau kaip kart per 1 metus.17. ADA sistemos ar tinklo eksploatavimo metu atitikties saugos reikalavi-

mams vertinimas (toliau atitikties vertinimas) turi bti atliekamas:17.1. RN ir KF sistem ir tinkl ne reiau kaip kart per 2 metus;17.2. S ir VS sistem ir tinkl ne reiau kaip kart per 1 metus.18. Neeilinis rizikos ir (ar) atitikties vertinimas turi bti vkdomas:18.1. po saugumo incidento ADA sistemoje ir tinkle, kuris parod saugumo

utikrinimo priemoni nustatmo, gvendinimo ir eksploatavimo trkumus;18.2. atlikus pakeitimus ADA sistemos ar tinklo specini saugumo reikala-

vim aprae ar saugumo valdmo procedr aprae;18.3. paaikjus naujoms grsmms, paeidiamumams arba nustaius pa-

pildomas aplinkbes, kurias prie tai nebuvo atsivelgta arba kuri rizika labaipasikeit;

18.4. ADA sistemos ir tinklo valdtojo vadovbs pavedimu;18.5. kitais inbins SPT ar SPT nustattais atvejais.19. Po rizikos ir (ar) atitikties vertinimo saugos galiotinis organizuoja ri-

zikos valdmo ir (ar) neatitiki alinimo plano sudarm, kur teikia tvirtintiADA sistemos ar tinklo valdtojui. Planas (planai) ir rizikos ir (ar) atitiktiesvertinimo dokumentacija pateikiami inbinei Saugumo prieiros tarnbai, o

jeigu tokia nesteigta Saugumo prieiros tarnbai.20. ADA sistemose ir tinkluose taikomos technins apsaugos priemons ir

mechanizmai turi atitikti reikalavimus, keliamus slaptintos informacijos, -mimos atitinkama slaptumo ma, apsaugai. Taikom technini apsaugos prie-moni ir mechanizm tinkamumas slaptintos informacijos apsaugai teiss aktnustatta tvarka turi bti patvirtintas galiotj institucij.

21. ADA sistem ir tinkl sudtins dals ir tvarkomos slaptintos informa-

cijos apsaugos mechanizmai turi bti diegiami ir eksploatuojami vadovaujantisgaliotj institucij reikalavimais.22. KF, S ir VS sistem ir tinkl sudtins dals, iskrus teiss akt nusta-

ttas iimtis, turi bti rengiamos ne emesnje kaip II klass saugumo zono-je. Toki ADA sistem ir tinkl tarnbins stots, kriptogran rio apsaugosranga ir kiti kritiniai ADA sistemos ir tinklo komponentai turi bti rengiami Iklass saugumo zonoje. KF ir S sistem kriptogran rang, kuri naudojama tikdarbo valandomis ir aktvuojama specialiomis lustinmis kortelmis arba rak-tais, leidiama rengti II klass saugumo zonoje. RN sistem ir tinkl sudtinsdals, iskrus teiss akt nustattas iimtis, turi bti rengiamos ne emesnjekaip administracinje saugumo zonoje, o toki ADA sistem ir tinkl tarnbinsstots ir kiti kritiniai ADA sistemos ir tinklo komponentai turi bti rengiami neemesnje kaip II klass saugumo zonoje.


28/289


III. REIKALAVIMAI ADA SISTEM IR TINKL PRIEIGOSTEISI VALDYMUI

23. Prieigos prie ADA sistemos ar tinklo teis suteikiama ADA sistemos artinklo valdtojo sprendimu, vadovaujantis principu btina inoti. ADA sis-

temos ar tinklo naudotojas privalo turti galiojant leidim dirbti ar susipaintisu slaptinta informacija, mima slaptumo ma, atitinkania ADA sistemosar tinklo slaptumo m arba auktesne. Kiekvienas ADA sistemos ar tinklonaudotojas privalo turti unikal identikatori. ADA sistemos ar tinklo saugosgaliotinis ir administratorius privalo turti galiojant leidim dirbti ar susipa-inti su slaptinta informacija, mima slaptumo ma, atitinkania ADA siste-mos ar tinklo slaptumo m arba auktesne.

24. ADA sistemos ar tinklo prieiros funkcijos turi bti atliekamos nau-dojant atskir tam skirt administratoriaus identikatori, kuriuo naudojantisnebt galima modikuoti, naikinti ar kitaip keisti ADA sistemos ar tinklo sis-

teminiuose vki urnaluose saugomos informacijos ir keisti sistemini vkiurnal pildmo nustatm. Atlikti ADA sistemos ar tinklo naudotojo funkcijas,naudojantis iuo identikatoriumi, draudiama.

25. ADA sistemos ar tinklo naudotojas privalo utikrinti Btina inotiprincipo laikmsi ir neleisti bei nesudarti slg asmenims susipainti sujiems neskirta slaptinta informacija.

26. ADA sistemos ar tinklo naudotojui neatliekant joki veiksm (RN ir KFsistemoje ar tinkle 15 min., S ir VS sistemoje ar tinkle 10 min.), ADA sis-tema ar tinklas turi utikrinti, kad toliau naudotis ADA sistema ar tinklu galima

bt tik pakartojus tapatbs nustatmo ir patvirtinimo veiksmus.27. ADA sistemos ar tinklo naudotojo prieiga turi bti blokuojama, jei ino-ma, kad is naudotojas nesinaudos (atostogauja, ivks komandiruot, sergair pan.) RN ir KF sistema ar tinklu daugiau kaip 2 mnesius, S ir VS sistemaar tinklu daugiau kaip 1 mnes.

28. Jeigu ADA sistemos ar tinklo naudotojas nesilaiko slaptintos informa-cijos apsaugos reikalavim, piktnaudiauja jam suteiktais galiojimais, ra nu-alintas nuo pareig, ADA sistemos ar tinklo valdtojo ar tvarktojo sprendimuADA sistemos ar tinklo naudotojo prieiga prie ADA sistemos ar tinklo turi bti

blokuojama nedelsiant, iki aplinkbi isiaikinimo.

29. Asmen, netekusi 23 p. nurodt leidim, arba asmen, kurie nebeati-tinka principo Btina inoti, prieiga prie atitinkamos slaptintos informacijosir (ar) ADA sistemos ar tinklo turi bti nedelsiant panaikinama.

30. Reikalavimus tapatbs patvirtinimo priemonms nustato Nacionalinkomunikacij apsaugos tarnba.

IV. REIKALAVIMAI ADA SISTEM IR TINKL VYKIREGISTRAVIMUI

31. ADA sistemose ir tinkluose turi bti utikrintas nuolatinis vki (ADAsistemos ar tinklo veiklos ra) registravimas, nurodant laik ir susijus naudo-tojo identikatori. Reikalaujam registruoti vki sra nustato Nacionalinkomunikacij apsaugos tarnba. ADA sistemos ar tinklo valdtojas, vadovau-


29/289



damasis rizikos analize, gali savo sprendimu papildti mint sra. vkiaituri bti registruojami pagrindiniame ir rezerviniame (jei leidia ADA sistemosar tinklo funkcionalumas nutolusiame) vki urnaluose. Laikrodiai, pagalkuriuos nustatomas vki laikas, turi bti sinchronizuoti, iskrus ADA sis-temas, kurias sudaro pavieniai, nesujungti kompiuteriai. Turi bti priemons,

leidianios nustatti su vkiais susijusius asmenis vis vki urnal saugo-jimo laik.

32. VS sistemose papildomai turi bti utikrintas registravimas skming irneskming bandm prieiti prie kiekvienos informacijos rinkmenos, pam-tos slaptumo ma Visikai slaptai.

33. ADA sistemos ar tinklo vki urnal pildmo nustatm keitimas irurnal kopij darmas turi bti atliekamas naudojant atskir tik tam skirtidentikatori. Minti veiksmai turi bti atliekami tik utikrinus ADA sistemosar tinklo valdtojo vadovo, saugos galiotinio ir administratoriaus dalvavim

ir kontrol.34. ADA sistemos ar tinklo vki urnal raai turi bti saugomi S sis-temose ir tinkluose 5 metus, VS sistemose ir tinkluose 10 met, RN ir KFsistemoms ir tinklams reikalavimas netaikomas. Jeigu ADA sistema ar tinklaslikviduojami, vki urnalas turi bti saugomas atitinkamai 5 metus arba 10met nuo likvidavimo dienos.

V. KITI REIKALAVIMAI

35. Patalpos, kuriose rengta ADA sistemos ar tinklo ranga, turi atitikti rei-kalavimus, keliamus patalpoms, kuriose saugoma ar kuriose dirbama su atitin-kama ma pamta slaptinta informacija.

36. ADA sistemos ar tinklo ranga (taip pat ir neiojamieji kompiuteriai, kitimobilieji renginiai), kurioje saugoma slaptinta informacija, turi bti gabenamalaikantis slaptintos informacijos, gamini ir kit objekt, mim slaptumoma, atitinkania ADA sistemos ar tinklo slaptumo m, gabenimo reikala-vim.

37. ADA sistemos ar tinklo renginiai turi bti pamti ADA sistemos artinklo slaptumo m nurodania informacine uklija (uklijomis).

38. ADA sistemos ar tinklo renginiai turi bti apsaugoti apsauginmis ukli-

jomis. Apsaugini uklij turi bti tiek ir jos turi bti tokio ddio, kad neleistatidarti renginio korpuso, j nepaeidiant. Jeigu leidia renginio konstruk-cija ir (ar) funkcins galimbs, turi bti jungta renginio apsauga nuo korpusoatidarmo. Prie praddamas darb su ADA sistema ar tinklu, ADA sistemos artinklo naudotojas privalo sitikinti, kad apsaugins uklijos nepaeistos.

39. ADA sistemoje ir tinkle saugomos ir apdorojamos informacijos atsargi-nes kopijas rekomenduojama uifruoti. Metodines rekomendacijas atsarginikopij ifravimui nustato Nacionalin komunikacij apsaugos tarnba.

40. ADA sistemos ar tinklo valdtojas turi nustatti atsargini ADA sistemosir tinklo duomen kopij darmo dan, j saugojimo, perdavimo, bandomojoatkrimo ir panaudojimo procedras, o atsargini kopij bandomasis atkrimasturi bti vkdomas:

40.1. RN ir KF sistem ir tinkl ne reiau kaip kart per 1 metus;


30/289


40.2. S ir VS sistem ir tinkl ne reiau kaip kart per 6 mnesius.41. ADA sistemoje saugomos ir apdorojamos informacijos atsargins kopi-

jos turi bti daromos, administruojamos ir saugomos vadovaujantis kompiute-ri laikmen apsaugos reikalavimais, taikomais laikmenoms su ADA sistemosslaptumo ma pamta slaptinta informacija.

42. Laikmenos, kurios ADA sistemos ar tinklo naudotoj prijungiamos prieADA sistemos ar tinklo kompiuterio ar dedamos ADA sistemos ar tinklo kom-

piuterje esant nuskaitmo rengin, turi bti registruotos Lietuvos RespublikosVriausbs nustatta tvarka slaptintai informacijai rati skirt laikmen regis-tre. ADA sistemos ar tinklo kompiuteriuose turi bti ijungta automatin laikme-n paleistis (angl. autorun). Rekomenduojama naudoti programin rang, skirtUSB laikmen kontrolei. Prie prijungiant ar dedant toki laikmen, ji turi bti

patikrinta kenkjikos programins rangos aptikimo priemonmis atskirame tamskirtame neprijungtame prie ADA sistemos ar tinklo kompiuterje. Jungti laikme-

nas prie S ir VS sistem ar tinkl i sistem ar tinkl naudotojams leidiama tikslaptint dokument administravimo punktuose rengtose darbo vietose.43. Turi bti utikrinta vis ADA sistemos ar tinklo kompiuteri apsauga

nuo kenkjikos programins rangos. Programins rangos, skirtos apsaugainuo kenkjikos programins rangos, sra tvirtina Nacionalin komunikacijapsaugos tarnba. ADA sistemos ar tinklo kompiuteri, prijungt prie vietiniokompiuteri tinklo, apsauga nuo kenkjikos programins rangos turi bti val-doma ir atnaujinama centralizuotai. Ijungti ar paalinti i apsaug leidiamatik ADA sistemos administravimo tikslu. i apsauga turi bti atnaujinama ga-mintojo rekomenduojamu periodikumu. Neprijungt prie vietinio kompiuteritinklo kompiuteri apsauga turi bti atnaujinama rankiniu bdu, naudojant tiktam skirtas laikmenas. Jeigu toks kompiuteris naudojamas reiau, nei apsaugosgamintojo rekomenduojamas atnaujinimo periodas, apsauga turi bti atnaujina-ma nedelsiant po io kompiuterio jungimo ir naudotojo tapatbs nustatmooperacinje sistemoje.

44. Diegti, atkurti arba atnaujinti ADA sistemos ar tinklo programin rangnaudojant laikmenas leidiama tik i gamintojo pateikt arba i rat vienkar-tinio ramo laikmen.

45. ADA sistemoje ar tinkle naudojamos technins ir programins rangos

sraus tvirtina ADA sistemos ar tinklo valdtojas, prie tai suderins juos suinbine Saugumo prieiros tarnba, o jei tokia nesteigta Saugumo priei-ros tarnba.

46. ADA sistemos ar tinklo ranga turi bti priirima laikantis gamintojorekomendacij.

47. ADA sistemos ar tinklo rangos gedim alinimas, jeigu to negali atliktisaugos galiotinis, administratorius ir (ar) kitas galiotas ADA sistemos ar tinklovaldtojo personalas, turi bti atliekamas laikantis slaptint sandori saugumoreikalavim. Gedim alinim turi atlikti atitinkam kvalikacij turintis specia-listas, gedim alinimas pagal galimbes turi bti atliekamas vietoje, priirintsaugos galiotiniui ar administratoriui.

48. ADA sistemos ar tinklo testavimas turi bti atliekamas naudojant atskirtam skirt testavimo aplink, nenaudojant slaptintos informacijos arba naudo-


31/289



jant j ktvi.49. ADA sistemos ar tinklo naudotojas turi nedelsdamas informuoti saugos

galiotin, o jeigu jo nra administratori apie neveikiani ar netinkamaiveikiani ADA sistem ar tinkl, paeistas rengini apsaugines uklijas, sau-gos reikalavim nesilaikanius ADA sistemos ar tinklo naudotojus, bet koki

veikl, skirt slaptintai informacijai atskleisti ir (ar) ADA sistemos ar tinkloveiklai sutrikdti. Tuo atveju, kai toki veikl vkdo saugos galiotinis ir (ar)administratorius, ADA naudotojas privalo informuoti ADA sistemos ar tinklovaldtojo vadov, Lietuvos Respublikos valstbs saugumo departament ir i-nbin Saugumo prieiros tarnb, o jei tokia nesteigta Saugumo prieirostarnb.

50. Jei dl ADA sistemos ar tinklo patum nra galimas ar tikslingas atski-r iame aprae idstt reikalavim gvendinimas, ADA sistemos ar tinklovaldtojas privalo atskirai vertinti kiekvieno tokio reikalavimo negvendini-

mo rizik ir i informacij pateikti inbinei Saugumo prieiros tarnbai, ojei tokia nesteigta Saugumo prieiros tarnbai, kuri sprendia dl atitinkamoreikalavimo netaikmo ir apie priimt sprendim informuoja ADA sistemos artinklo valdtoj.

SUDERINTALietuvos Respublikos paslapiapsaugos koordinavimo komisijos

2010 m. lapkriio 12 d.protokoliniu sprendimu Nr. 56-5


32/289


Dokument, reikaling leidimui automatizuotaiapdoroti slaptint informacij iduoti, rengimoir leidim automatizuotai apdoroti slaptintinformacij idavimo taisykli1 priedas

(LEIDIMO AUTOMATIZUOTAI APDOROTI SLAPTINT INFORMACIJ FORMA)

20 m. d. Nr.

Vilnius

is leidimas iduotas

pasap su e topava n mas ar arangovo su rangovo pava n mas

ir patvirtina, kad automatizuoto duomen apdorojimo sistema ar tinklas

,automat zuoto uomen ap oro mo s stemos ar t n o pava n mas

valdoma(-as)automat zuoto uomen ap oro mo s stemos ar t n o va ytoo pava n mas

,(automatizuoto duomen apdorojimo sistemos ar tinklo valdytojo adresas)

turi teis atlikti visas teiss akt nustatytas funkcijas ir automatizuotai apdoroti slaptint informacij,ymim slaptumo yma (ymomis)

ir emesne (emesnmis).(slaptumo yma ar ymos)

Leidimas iduotas vadovaujantis Lietuvos Respublikos valstybs ir tarnybos paslapi statymo (in.,1999, Nr. 105-3019; 2004, Nr. 4-29) 40 str. 3 d. ir iais teiss aktais:

1.(SPT ar inybins SPT funkcijas atliekanios institucijos, suraiusios ivad dl leidimo idavimo, pavadinimas, ivados data ir numeris)

2.(Specifini saugumo reikalavim aprao pavadinimas, teiss akt, kuriuo jis patvirtintas, primusios institucijos pavadinimas, teiss akto ris,

numeris, primimo data)

3.(Saugumo valdymo procedr aprao pavadinimas, teiss akt, kuriuo jis patvirtintas, primusios institucijos pavadinimas, teiss akto ris,


4.(Rizikos analizs pavadinimas, teiss akt, kuriuo jis patvirtintas, primusios institucijos pavadinimas, teiss akto ris, numeris, primimo data)

5.(kiti teiss aktai)

Leidimas galioja:(leidimo galiojimo terminas)

(leidim idavusios SPT ar inybins SPT vadovo pareigos)

(paraas)

(vardas, pavard)


33/289




(LAIKINO LEIDIMO AUTOMATIZUOTAI APDOROTI SLAPTINT INFORMACIJ

FORMA)

20 m. d. Nr.

Vilnius

is laikinas leidimas iduotas

(paslapi subjektopavadinimas arbarangovo (subrangovo) pavadinimas)

ir patvirtina, kad automatizuoto duomen apdorojimo sistema ar tinklas,

(automatizuoto duomen apdorojimo sistemos ar tinklo pavadinimas)

valdoma(-as)automat zuoto uomen ap oro mo s stemos ar t n o va yto o pava n m as

,automat zuoto uomen ap oro mo s stemos ar t n o va yto o a resas

turi teis atlikti io leidimo 1 p. nurodytoje ivadoje nustatytas funkcijas nurodtaapimtimi ir slygomisir automatizuotai apdoroti slaptint informacij, ymim slaptumo yma (ymomis)


Laikinas leidimas iduotas vadovaujantis Lietuvos Respublikos valstybs ir tarnybos paslapi statymo(in., 1999, Nr. 105-3019; 2004, Nr. 4-29) 40 str. 3 d. ir iais teiss aktais:

1.(SPT ar inybins SPT funkcijas atliekanios institucijos, suraiusios ivad dl laikino leidimo idavimo, pavadinimas, iva dos data ir numeris)

2.(Specifini saugumo reikalavim aprao pavadinimas, teiss akt, kuriuo jis patvirtintas, primusios institucijos pavadinimas, teiss akto

ris, numeris, primimo data)

3.(Saugumo valdymo procedr aprao pavadinimas, teiss akt, kuriuo jis patvirtintas, primusios institucijos pavadinimas, teiss akto ris,


4.(Rizikos analizs pavadinimas, teiss akt, kuriuo jis patvirtintas, primusios institucijos pavadinimas, teiss akto ris, numeris, primimo data)

5.(kiti teiss aktai)

Laikinas leidimas galioja:(laikino leidimo galiojimo terminas)

(laikin leidim idavusios SPT ar inybins SPTvadovo pareigos)

(paraas)

(vardas, pavard)


34/289



(RIBOTO LEIDIMO AUTOMATIZUOTAI APDOROTI SLAPTINT INFORMACIJ

FORMA)

20 m. d. Nr.

Vilnius

is ribotas leidimas iduotas

pasap su e to pava n mas ar a rangovo su rangovo pava n mas

ir patvirtina, kad automatizuoto duomen apdorojimo sistema ar tinklas

,(automatizuoto duomen apdorojimo sistemos ar tinklo pavadinimas)

valdoma(-as)

(automatizuoto duomen apdorojimo sistemos ar tinklo valdytojo pavadinimas)

,(automatizuoto duomen apdorojimo sistemos ar tinklo valdytojo adresas)

turi teis atlikti io leidimo 1 p. nurodytoje ivadoje nustatytus vienkartinius veiksmus nurodyta apimtimiir slygomis ir automatizuotai apdoroti slaptint informacij, ymim slaptumo yma (ymomis)


Ribotas leidimas iduotas vadovaujantis Lietuvos Respublikos valstybs ir tarnybos paslapi statymo(in., 1999, Nr. 105-3019; 2004, Nr. 4-29) 40 str. 3 d. ir iais teiss aktais:

1.(SPT ar inybins SPT funkcijas atliekanios institucijos, suraiusios ivad dl riboto leidimo idavimo, pavadinimas, ivados data ir numeris)

2.(Specifini saugumo reikalavim aprao pavadinimas, teiss akt, kuriuo jis patvirtintas, primusios institucijos pavadinimas, teiss akto ris,


3.(Saugumo valdymo procedr aprao pavadinimas, teiss akt, kuriuo jis patvirtintas, primusiosinstitucijos pavadinimas, teiss akto ris,


4. (Rizikos analizs pavadinimas, teiss akt, kuriuo jis patvirtintas, primusios institucijos pavadinimas, teiss akto ris, numeris, primimo data)

5.(kiti te

valstybes ir tarnybos paslapciu apsauga_2 internetui

Documents