Kibernetinio saugumo reikalavimų aprašas (KSRA)
Kibernetinių incidentų valdymas
22. Kibernetinio saugumo subjekto vadovas arba jo įgaliotas asmuo turi patvirtinti kibernetinių incidentų valdymo planą, kuris turi atitikti Lietuvos Respublikos Vyriausybės patvirtinto Nacionalinio kibernetinių incidentų valdymo plano nuostatas.
23. Tais atvejais, kai kibernetinio saugumo subjektui tinklų ir informacinių sistemų paslaugas, susijusias su kibernetinių incidentų valdymu, teikia paslaugų teikėjai, kibernetinio saugumo subjekto kibernetinių incidentų valdymo planas turi būti suderintas su paslaugų teikėju.
24. Kibernetinių incidentų valdymo plane turi būti nurodyta:
- 24.1. kibernetinių incidentų nustatymo būdai
- 24.2. kibernetinių incidentų vertinimas
- 24.3. kibernetinių incidentų valdymo organizavimas
- 24.4. kibernetinių incidentų komunikavimo su suinteresuotomis šalimis nuostatos
- 24.5. darbuotojų, kurie yra atsakingi už kibernetinių incidentų valdymą, atsakomybė
- 24.6. kibernetinių incidentų įrodymų nustatymo, rinkimo, gavimo, pranešimo ir išsaugojimo nuostatos
- 24.7. įgytos kibernetinių incidentų valdymo patirties vertinimas
- 24.8. kibernetinių incidentų valdymo plano veiksmingumo išbandymo ir išbandymo rezultatų ataskaitų rengimo nuostatos.
25. Kibernetinio saugumo subjektas turi nustatyti žurnalinių įrašų (angl. log) administravimo ir saugojimo, įsibrovimų aptikimo ir prevencijos reikalavimus, kuriuose turi būti nustatyta:
- 25.1. operacinių sistemų, tinklų ir informacinių sistemų, techninės įrangos žurnalinių įrašų saugojimo, fiksavimo ir analizės periodiškumo reikalavimai
- 25.2. įeinančio ir išeinančio tinklo duomenų srauto, antivirusinės programinės įrangos, įsibrovimų aptikimo ir prevencijos sistemos ar saugasienės žurnalinių įrašų saugojimo fiksavimo ir analizės periodiškumo reikalavimai
- 25.3. tinklų ir informacinių sistemų konfigūracinių ir atsarginių kopijų failų prieigos ar pakeitimo veiksmų rinkimo reikalavimai.
26. Kibernetinio saugumo subjektams taikomi techniniai reikalavimai nurodyti 1 lentelėje.
Visiems kibernetinio saugumo subjektams
1. Turi būti fiksuojami bent jau šie žurnaliniai įrašai (jei tinklų ir informacinės sistemos dalys palaiko tokį funkcionalumą):
- 1.1. tinklų ir informacinės sistemos komponentų (serverių, virtualių serverių, saugasienių, maršrutizatorių, komutatorių ir kitų subjekto identifikuotų svarbių komponentų) įjungimas, išjungimas ar perkrovimas;
- 1.2. naudotojų ir administratorių autentifikavimo įvykiai;
- 1.3. naudotojų, administratorių paskyrų sukūrimas, prieigų prie tinklų ir informacinių sistemų pakeitimai;
- 1.4. administratorių atliekami veiksmai;
- 1.5. operacinėse sistemose sukurti ir atlikti sisteminiai uždavinių įvykiai (angl. Scheduled task);
- 1.6. grupinių politikų pakeitimai;
- 1.7. saugasienių taisyklių pakeitimai;
- 1.8. žurnalinių įrašų rinkimo funkcijos įjungimas, išjungimas;
<...>
- 1.10. saugumo sistemų (antivirusinių, įsibrovimo aptikimo sistemų) įjungimas ir išjungimas;
- 1.11. operacinėse sistemose vykstančių procesų ar servisų įvykiai;
- 1.12. tinklų ir informacinių sistemų galinių įrenginių autentifikavimo įvykiai;
- 1.13. žurnalinių įrašų peržiūrėjimas, trynimas, kūrimas ar keitimas.
2. Tinklai ir informacinės sistemos turi turėti ne mažiau kaip 2 laiko šaltinius.
3. Žurnaliniuose įrašuose turi būti fiksuojami bent jau šie duomenys (jei tinklų ir informacinės sistemos dalys palaiko tokį funkcionalumą):
- 3.1. įvykio data ir tikslus laikas;
<...>
- 3.3. naudotojo / administratoriaus ir (arba) tinklų ir informacinės sistemos įrenginio, susijusio su įvykiu, identifikavimo duomenys;
- 3.4. įvykio aprašymas.
4. Priemonės, naudojamos vidinės tinklų ir informacinės sistemos sąsajoje su viešųjų elektroninių ryšių tinklu, turi būti nustatytos taip, kad žurnaliniuose įrašuose fiksuotų visus įvykius, susijusius su įeinančiais ir išeinančiais duomenų srautais.
<...>
7. Žurnaliniai įrašai turi būti saugomi ne trumpiau kaip 90 kalendorinių dienų.
8. Draudžiama žurnalinius įrašus trinti, keisti, kol nesibaigęs žurnalinių įrašų saugojimo terminas.
9. Žurnalinių įrašų kopijos turi būti apsaugotos nuo pažeidimo, praradimo, nesankcionuoto pakeitimo ar sunaikinimo.
10. Naudojimasis žurnaliniais įrašais turi būti kontroliuojamas ir fiksuojamas, žurnaliniai įrašai turi būti pasiekiami tik kibernetinio saugumo subjekto įgaliotiems asmenims ir kibernetinio saugumo vadovui (peržiūros teisėmis).
11. Žurnalinių įrašų duomenys turi būti analizuojami įgalioto asmens ne rečiau kaip kartą per mėnesį ir apie analizės rezultatų nuokrypius informuojamas kibernetinio saugumo vadovas ir (ar) saugos įgaliotinis.
12. Turi būti įdiegtos ir veikti įsibrovimo aptikimo sistemos, kurios stebėtų į tinklų ir informacinę sistemą įeinantį ir iš jos išeinantį duomenų srautą.
13. Neįprasta veikla turi būti užfiksuojama žurnaliniuose įrašuose ir, jei įmanoma, automatizuotomis priemonėmis sukuriamas automatinis pranešimas, kurį matytų kibernetinio saugumo vadovas ir (ar) saugos įgaliotinis.
14. Kibernetinio saugumo subjekto vidinės tinklų ir informacinės sistemos turi būti atskirtos nuo viešųjų ryšių tinklų naudojant saugasienę.
15. Saugasienės saugumo taisyklės turi būti nuolat peržiūrimos ir prireikus atnaujinamos. Būtina atlikti detalią taisyklių analizę ne rečiau kaip kartą per 6 mėn.
Papildomai tik Esminiams kibernetinio saugumo subjektams
1. Turi būti fiksuojami bent jau šie žurnaliniai įrašai (jei tinklų ir informacinės sistemos dalys palaiko tokį funkcionalumą):
- 1.9. operacinių sistemų laiko ir datos pakeitimai;
3. Žurnaliniuose įrašuose turi būti fiksuojami bent jau šie duomenys (jei tinklų ir informacinės sistemos dalys palaiko tokį funkcionalumą):
- 3.2. įvykio rūšis (informacija, klaida, saugumo pranešimas, sisteminis pranešimas, perspėjimas (angl. warning));
5. Tinklų ir informacinės sistemos fiksuojami žurnaliniai įrašai turi būti saugomi specializuotoje tam pritaikytoje techninėje ar programinėje įrangoje.
6. Dėl įvairių trikdžių nustojus fiksuoti auditui skirtus duomenis, apie tai nedelsiant (automatiniu pranešimu angl. alert), bet ne vėliau kaip per vieną darbo dieną turi būti informuojamas kibernetinio saugumo vadovas ir (ar) saugos įgaliotinis.