Projektas

LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRAS

ĮSAKYMAS

DĖL VIEŠOJO ADMINISTRAVIMO SUBJEKTŲ SISTEMOS STEBĖSENOS (MONITORINGO) INFORMACINĖS SISTEMOS STEIGIMO IR VIEŠOJO ADMINISTRAVIMO SUBJEKTŲ SISTEMOS STEBĖSENOS (MONITORINGO) INFORMACINĖS SISTEMOS NUOSTATŲ IR DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO

2016 m. spalio 25 d. Nr. 1V-760

Vilnius

Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 straipsnio 3 dalimi ir 30 straipsniu, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktu ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7.1 papunkčiu, 11, 19 ir 26 punktais:

1. S t e i g i u Viešojo administravimo subjektų sistemos stebėsenos (monitoringo) informacinę sistemą.

2. T v i r t i n u pridedamus:

2.1. Viešojo administravimo subjektų sistemos stebėsenos (monitoringo) informacinės sistemos nuostatus;

2.2. Viešojo administravimo subjektų sistemos stebėsenos (monitoringo) informacinės sistemos duomenų saugos nuostatus.

3. S k i r i u Lietuvos Respublikos vidaus reikalų ministerijos Viešojo valdymo politikos departamento direktorių Paulių Skardžių Viešojo administravimo subjektų sistemos stebėsenos (monitoringo) informacinės sistemos duomenų valdymo įgaliotiniu.

4. P a v e d u:

4.1. Informatikos ir ryšių departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos per 1 mėnesį nuo įsakymo įsigaliojimo paskirti Viešojo administravimo subjektų sistemos stebėsenos (monitoringo) informacinės sistemos administratorių ir saugos įgaliotinį;

4.2. Lietuvos Respublikos vidaus reikalų ministerijos Viešojo valdymo politikos departamentui per 6 mėnesius nuo įsakymo įsigaliojimo parengti ir pateikti tvirtinti Lietuvos Respublikos vidaus reikalų ministrui:

4.2.1. Viešojo administravimo subjektų sistemos stebėsenos (monitoringo) informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;

4.2.2. Viešojo administravimo subjektų sistemos stebėsenos (monitoringo) informacinės sistemos naudotojų administravimo taisykles;

4.2.3.Viešojo administravimo subjektų sistemos stebėsenos (monitoringo) informacinės sistemos veiklos tęstinumo valdymo planą.

Vidaus reikalų ministras Tomas Žilinskas

SUDERINTA

Informacinės visuomenės plėtros komiteto

prie Susisiekimo ministerijos

2016 m. rugsėjo 14 d. raštu Nr. S-868

SUDERINTA

Valstybinės duomenų apsaugos inspekcijos

2016 m. rugsėjo 28 d. raštu Nr. 2R-6254 (3.33.E)

SUDERINTA

Lietuvos Respublikos finansų ministerijos

2016 m. rugsėjo 20 d. raštu Nr. ((11.4)-5K-1618602)-6K-1606586

SUDERINTA

Valstybės tarnybos departamento

2016 m. rugsėjo 14 d. raštu Nr. 27D-1542

SUDERINTA

Valstybės įmonės Registrų centras

2016 m. vasario 2 d. raštu Nr. (1.1.61.)s-901

PATVIRTINTA

Lietuvos Respublikos vidaus reikalų ministro

2016 m. spalio 25 d. įsakymu Nr. 1V-760

VIEŠOJO ADMINISTRAVIMO SUBJEKTŲ SISTEMOS STEBĖSENOS (MONITORINGO) informacinės SISTEMOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Viešojo administravimo subjektų sistemos stebėsenos (monitoringo) informacinės sistemos nuostatai (toliau – nuostatai) reglamentuoja Viešojo administravimo subjektų sistemos stebėsenos (monitoringo) informacinės sistemos (toliau – VASMIS) steigimo teisinį pagrindą, tikslą, uždavinius, funkcijas, nustato organizacinę, informacinę ir funkcinę struktūras, duomenų saugos reikalavimus, VASMIS finansavimą, modernizavimo, likvidavimo tvarką.

2. VASMIS steigimo teisinis pagrindas – Lietuvos Respublikos viešojo administravimo įstatymo 10 straipsnio 2 dalis ir Viešojo administravimo subjektų ir jų veiklos stebėsenos tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2007 m. spalio 17 d. nutarimu Nr. 1097 „Dėl Viešojo administravimo subjektų ir jų veiklos stebėsenos tvarkos aprašo patvirtinimo“ (toliau – Viešojo administravimo subjektų ir jų veiklos stebėsenos tvarkos aprašas) 5 ir 6 punktai.

3. Nuostatuose vartojamos sąvokos atitinka nuostatų 5 punkte išvardintuose teisės aktuose apibrėžtas sąvokas.

4. Asmens duomenys VASMIS tvarkomi šiais tikslais:

4.1. tvarkyti VASMIS naudotojų teises ir įgaliojimus;

4.2. identifikuoti VASMIS duomenų teikėjų paskirtus VASMIS naudotojus.

5. VASMIS kuriama ir tvarkoma vadovaujantis šiais teisės aktais:

5.1. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

5.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

5.3. Lietuvos Respublikos viešojo administravimo įstatymu;

5.4. Lietuvos Respublikos valstybės tarnybos įstatymu;

5.5. Lietuvos Respublikos kibernetinio saugumo įstatymu;

5.6. Viešojo administravimo subjektų ir jų veiklos stebėsenos tvarkos aprašu;

5.7. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas);

5.8. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas);

5.9. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau –Techniniai reikalavimai);

5.10. Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“ (toliau – Bendrieji reikalavimai).

6. VASMIS priemonėmis siekiamas tikslas – informacinių technologijų pagalba valstybės lygmeniu vykdyti viešojo administravimo subjektų ir jų veiklos stebėseną.

7. VASMIS uždaviniai:

7.1. automatizuoti duomenų apie viešojo administravimo subjektus ir jų veiklą rinkimą, kaupimą, taisymą ir tvarkymą;

7.2. automatizuoti duomenų apie stebėsenos rodiklius analizę viešojo administravimo sistemos stebėsenos valstybės lygiu tikslais.

8. VASMIS funkcijos:

8.1. duomenų apie viešojo administravimo subjektus, jų veiklą ir stebėsenos rodiklius:

8.1.1. įrašymas ir sisteminimas;

8.1.2. saugojimas;

8.1.3. apdorojimas, analizė ir prognozavimas;

8.2. ataskaitų ir specializuotų užklausų rezultatų apie viešojo administravimo subjektus, jų veiklą ir stebėsenos rodiklius formavimas ir spausdinimas;

8.3. VASMIS naudotojų administravimas.

II SKYRIUS

VASMIS ORGANIZACINĖ STRUKTŪRA

9. VASMIS valdytoja, o kartu ir asmens duomenų valdytoja yra Lietuvos Respublikos vidaus reikalų ministerija. Lietuvos Respublikos vidaus reikalų ministerija, kaip VASMIS valdytoja, atlieka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu nustatytas funkcijas, turi šiuose įstatymuose nurodytas teises ir pareigas, taip pat ir:

9.1. užtikrina VASMIS techninės ir programinės įrangos plėtrą;

9.2. sudaro sutartis su VASMIS duomenų teikėjais ir duomenų gavėjais.

10. VASMIS tvarkytojai – Lietuvos Respublikos vidaus reikalų ministerija ir Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos. VASMIS tvarkomų asmens duomenų tvarkytojas – Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos.

11. Lietuvos Respublikos vidaus reikalų ministerija, kaip VASMIS tvarkytoja, pagal kompetenciją atlieka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 34 straipsnio 6 dalies 1, 2, 7-10 ir 12-13 punktuose nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas.

12. Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos, kaip VASMIS tvarkytojas ir VASMIS asmens duomenų tvarkytojas, atlieka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 34 straipsnio 6 dalies 1, 3-6 ir 13 punktuose ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu nustatytas funkcijas, turi šiuose įstatymuose nustatytas teises ir pareigas, taip pat ir:

12.1. užtikrina VASMIS sąveiką su susijusiais registrais ir valstybės informacinėmis sistemomis;

12.2. pagal kompetenciją užtikrina tinkamą VASMIS veikimą ir duomenų, gaunamų iš susijusių registrų ir valstybės informacinių sistemų, atnaujinimą;

12.3. pagal kompetenciją atsako už reikiamų administracinių, techninių ir organizacinių VASMIS duomenų saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi.

13. VASMIS duomenų teikėjai yra:

13.1. valstybės įmonė Registrų centras, teikianti Juridinių asmenų registro duomenis;

13.2. Valstybės tarnybos departamentas, teikiantis Valstybės tarnautojų registro duomenis;

13.3. Lietuvos Respublikos finansų ministerija, teikianti Valstybės biudžeto apskaitos ir mokėjimų sistemos (toliau – VBAMS), Viešojo sektoriaus apskaitos ir ataskaitų konsolidavimo informacinės sistemos (VSAKIS) (toliau – VSAKIS), Stebėsenos informacinės sistemos (SIS) (toliau – SIS), Europos Sąjungos struktūrinės paramos kompiuterinės informacinės valdymo ir priežiūros sistemos (toliau – SFMIS) duomenis;

14. VASMIS duomenų teikėjai:

14.1. teikia duomenis, įskaitant ir asmens duomenis, į VASMIS laikydamiesi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme nustatytų asmens duomenų tvarkymo reikalavimų;

14.2. užtikrina į VASMIS teikiamų duomenų patikimumą ir apsaugą organizacinėmis ir techninėmis priemonėmis.

III SKYRIUS

VASMIS INFORMACINĖ STRUKTŪRA

15. VASMIS duomenų bazėje kaupiami ir tvarkomi:

15.1. viešojo juridinio asmens (viešojo administravimo subjekto) duomenys:

15.1.1. kodas;

15.1.2. iki Juridinių asmenų registro veiklos pradžios suteiktas kodas;

15.1.3. pavadinimas;

15.1.4. buveinė (adresas);

15.1.5. nekilnojamojo daikto, kuriame registruota buveinė, unikalus numeris Nekilnojamojo turto registre;

15.1.6. duomenų ir dokumentų, jų pakeitimų kiekvieno įregistravimo Juridinių asmenų registre ir išregistravimo datos;

15.1.7. veiklos laikotarpis, jeigu jis ribotas;

15.1.8. teisinis statusas;

15.1.9. duomenys apie teisinį statusą:

15.1.9.1. teisinio statuso įgijimo ir netekimo datos;

15.1.9.2. juridinio asmens, priėmusio sprendimą dėl teisinio statuso, pavadinimas;

15.1.9.3. sprendimo dėl teisinio statuso priėmimo ir įsiteisėjimo datos;

15.1.10. veiklos sritys ir rūšys;

15.2. viešojo juridinio asmens (viešojo administravimo subjekto) struktūrinių padalinių (filialų ir atstovybių) duomenys:

15.2.1. tipas (filialas ar atstovybė);

15.2.2. kodas;

15.2.3. pavadinimas;

15.2.4 buveinė (adresas), nekilnojamojo daikto, kuriame registruota buveinė, unikalus numeris Nekilnojamojo turto registre;

15.2.5. veiklos trukmė, jeigu ji ribota;

15.2.6. veiklos nutraukimo pagrindas, organo, priėmusio sprendimą nutraukti veiklą, pavadinimas ir sprendimo priėmimo data;

15.2.7. duomenų ir dokumentų, jų pakeitimų kiekvieno įregistravimo Juridinių asmenų registre ir išregistravimo datos;

15.3. viešojo administravimo subjektų pareigybių specialieji duomenys:

15.3.1. duomenys apie viešojo administravimo subjektą (valstybės ar savivaldybės instituciją ar įstaigą), kuriame pareigybė registruota:

15.3.1.1. pavadinimas;

15.3.1.2. kodas;

15.3.1.3. įsteigimo data;

15.3.1.4. įsteigimo teisinis pagrindas;

15.3.1.5. nuostatai (pavadinimas, data, numeris);

15.3.1.6. buveinės adresas;

15.3.1.7. teisinis statusas, jo įgijimo ir netekimo data, duomenys apie pasibaigusį juridinį asmenį;

15.3.1.8. struktūrinio padalinio pavadinimas, įsteigimo data ir teisinis pagrindas;

15.3.1.9. struktūrinio padalinio buveinės adresas;

15.3.2. pareigybės pavadinimas;

15.3.3. pareigybės įsteigimo (ar panaikinimo) teisinis pagrindas ir data;

15.3.4. valstybės tarnautojo pareigybės grupė, nustatoma pagal Valstybės tarnybos įstatymo 6 straipsnį, lygis ir kategorija;

15.3.5. žyma apie pareigybės užimtumą;

15.3.6. žyma, ar valstybės tarnautojo arba darbuotojo, dirbančio pagal darbo sutartį (toliau – darbuotojas(-ai) pareigybė įtraukta į didžiausią leistiną pareigybių skaičių;

15.3.7. žyma, ar darbuotojo, pareigybė finansuojama iš valstybės biudžeto ar Europos Sąjungos lėšų;

15.4. viešojo administravimo subjektų (asignavimų valdytojų) vykdomų programų duomenys:

15.4.1. juridinio asmens kodas;

15.4.2. biudžetinės organizacijos kodas;

15.4.3. programos kodas;

15.4.4. programos biudžeto ketvirtinis planas;

15.4.5. programos biudžeto ketvirtinio plano data (ketvirtis);

15.5. viešojo administravimo subjektų pagrindinės veiklos sąnaudų duomenys:

15.5.1. juridinio asmens kodas;

15.5.2. menamo subjekto (išteklių fondo) kodas;

15.5.3. metai (paimamų duomenų laikotarpis);

15.5.4. darbo užmokesčio ir socialinio draudimo sąnaudos;

15.5.5. nusidėvėjimo ir amortizacijos sąnaudos;

15.5.6. komunalinių paslaugų ir ryšių sąnaudos;

15.5.7. komandiruočių sąnaudos;

15.5.8. transporto sąnaudos;

15.5.9. kvalifikacijos kėlimo sąnaudos;

15.5.10. paprastojo remonto ir eksploatavimo sąnaudos;

15.5.11. nuvertėjimo sąnaudos ir nurašytų sumų sąnaudos;

15.5.12. sunaudotų ir parduotų atsargų savikainos sąnaudos;

15.5.13. nuomos sąnaudos;

15.5.14. kitų paslaugų sąnaudos;

15.5.15. kitos sąnaudos;

15.6. viešojo administravimo subjektų projektų, kurių informacija tvarkoma SFMIS (toliau – projektas), duomenys:

15.6.1. projekto kodas;

15.6.2. projekto pavadinimas;

15.6.3. projekto būsena;

15.6.4. projekto būsenos pasikeitimo data;

15.6.5. projekto pareiškėjo ar vykdytojo juridinio asmens kodas;

15.6.6. vykdytojo pasikeitimo data;

15.6.7. projekto partnerio juridinio asmens kodas;

15.6.8. projektui skiriamas finansavimas pagal sutartį;

15.6.9. projektui skirtas finansavimas iš Europos Sąjungos fondo lėšų;

15.6.10. projektui skirtas finansavimas iš Lietuvos Respublikos valstybės biudžeto;

15.6.11. projektui skirtos įstaigų lėšos – iš Lietuvos Respublikos valstybės biudžeto;

15.6.12. projektui skirtos įstaigų lėšos – iš savivaldybės biudžeto;

15.6.13. projektui skirtos įstaigų lėšos – iš kitų viešųjų lėšų šaltinių;

15.6.14. projektui skirtos įstaigų lėšos – iš privačių lėšų;

15.6.15. deklaruotinos Europos Komisijai sumos;

15.6.16. deklaruotinos Europos Komisijai sumos iš Europos Sąjungos fondo lėšų;

15.6.17. deklaruotinos Europos Komisijai sumos iš Lietuvos Respublikos valstybės biudžeto;

15.6.18. deklaruotinos Europos Komisijai sumos iš įstaigų lėšų – Lietuvos Respublikos valstybės biudžeto;

15.6.19. deklaruotinos Europos Komisijai sumos iš įstaigų lėšų – savivaldybės biudžeto;

15.6.20. deklaruotinos Europos Komisijai sumos iš įstaigų lėšų – kitų viešųjų lėšų šaltinių;

15.6.21. deklaruotinos Europos Komisijai sumos iš įstaigų lėšų – privačių lėšų;

15.6.22. deklaruotinos Europos Komisijai sumos būsenos data;

15.7. strateginio planavimo dokumentų įgyvendinimo duomenys:

15.7.1. juridinio asmens kodas;

15.7.2. biudžetinės organizacijos kodas VBAMS;

15.7.3. strateginių tikslų pavadinimų sąrašas;

15.7.4. strateginio tikslo kodas;

15.7.5. strateginio tikslo pasiekimo būsena;

15.7.6. programų pavadinimų sąrašas;

15.7.7. programos kodas;

15.7.8. vykdymo laikotarpis;

15.7.9. programos pasiekimo būsena;

15.8. VASMIS naudotojų duomenys:

15.8.1. vardas, pavardė;

15.8.2. institucijos, su kuria VASMIS naudotoją sieja tarnybos ar darbo santykiai, pavadinimas;

15.8.3. VASMIS naudotojo telefono ryšio numeris ir (arba) elektroninio pašto adresas.

16. VASMIS duomenų tvarkymui naudojami šių valstybės registrų ir informacinių sistemų pateikti duomenys:

16.1. Juridinių asmenų registro – Nuostatų 15.1-15.2 papunkčiuose nurodyti duomenys;

16.2. Valstybės tarnautojų registro – Nuostatų 15.3 papunktyje nurodyti duomenys;

16.3. VBAMS – Nuostatų 15.4 papunktyje nurodyti duomenys;

16.4. VSAKIS – Nuostatų 15.5 papunktyje nurodyti duomenys;

16.5. SFMIS – Nuostatų 15.6 papunktyje nurodyti duomenys;

16.6. SIS – Nuostatų 15.7 papunktyje nurodyti duomenys.

17. Nuostatų 15.8 papunktyje nurodytus VASMIS naudotojų duomenis teikia VASMIS duomenų teikėjai.

IV SKYRIUS

VASMIS FUNKCINĖ STRUKTŪRA

18. VASMIS funkcinę struktūrą sudaro:

18.1. VASMIS duomenų įrašymo ir apdorojimo posistemis, kurio funkcijos yra iš nuostatų 13 punkte nustatytų VASMIS duomenų teikėjų gautų duomenų apie viešojo administravimo subjektus, jų veiklą ir stebėsenos rodiklius įrašymas, sisteminimas ir saugojimas;

18.2. VASMIS administravimo posistemis, kurio funkcijos yra:

18.2.1. VASMIS naudotojų registravimas, įgaliojimų ir teisių administravimas;

18.2.2. VASMIS naudotojų veiksmų fiksavimas ir kontroliavimas;

18.2.3. VASMIS duomenų saugos priemonių administravimas;

18.3. VASMIS duomenų analizės ir prognozavimo posistemis, kurio funkcijos yra:

18.3.1. VASMIS duomenų apdorojimas, šių duomenų ir stebėsenos rodiklių reikšmių ir jų kitimo laiko atžvilgiu analizavimas;

18.3.2. ataskaitų formavimas ir spausdinimas;

18.3.3. specializuotų užklausų formavimas ir stebėsenos rodiklių priklausomybių nustatymas;

18.3.4. VASMIS duomenų ir stebėsenos rodiklių prognozavimas remiantis esamais (retrospektyviniais) duomenimis;

18.5. VASMIS interneto svetainė (portalas), kurios funkcijos yra:

18.5.1. duomenų (ataskaitų ir specializuotų užklausų rezultatų) atvaizdavimas;

18.5.2. nuorodų į detalesnius analizės šaltinius suteikimas.

V SKYRIUS

VASMIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS

19. Duomenys apie viešojo administravimo subjektus ir jų veiklą yra vieši ir neatlygintinai teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims. Asmens duomenys teikiami Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo nustatyta tvarka.

20. Kai VASMIS duomenys teikiami vieną kartą, duomenų prašančiam VASMIS duomenų gavėjui jie teikiami pagal prašymą, kuriame nurodomas prašomų duomenų teikimo ir gavimo teisinis pagrindas, duomenų naudojimo tikslas, teikimo būdas, duomenų apimtis, teikiamų duomenų formatas.

21. Kai VASMIS duomenys teikiami daug kartų, duomenų prašančiam VASMIS duomenų gavėjui jie teikiami pagal sutartį, kurioje nustatoma teiktinų VASMIS duomenų apimtis, prašomų duomenų teikimo ir gavimo teisinis pagrindas, naudojimo tikslas, duomenų teikimo būdas, teikiamų duomenų formatas, duomenų teikimo periodiškumas ir terminai, informavimo apie klaidų ištaisymą tvarka ir terminai, sutarties keitimo tvarka.

22. VASMIS duomenys duomenų gavėjams teikiami automatiniu būdu elektroninių ryšių tinklais, interaktyviuoju būdu, suteikiant galimybę juos peržiūrėti VASMIS interneto svetainėje, taip pat pateikiant juos raštu, žodžiu ir (arba) elektroninių ryšių priemonėmis.

23. VASMIS duomenys VASMIS duomenų gavėjams teikiami tokio turinio ir formos, kurią VASMIS tvarkytojai jau naudoja ir kuriai nereikia papildomo duomenų apdorojimo. Tais atvejais, kai teikiamų duomenų turinys ar forma neatitinka duomenų prašančio VASMIS duomenų gavėjo poreikių arba jis neturi techninių galimybių reikiamai apdoroti gaunamus duomenis, taip pat kai paprastai teikiamos informacijos turinys ir forma neatitinka kitų juridinių ar fizinių asmenų, kurie dažniausiai kreipiasi dėl tokios informacijos ir siekia ją pakartotinai panaudoti, poreikių, VASMIS tvarkytojai sukuria reikalingas papildomas priemones.

24. VASMIS duomenis VASMIS duomenų gavėjas gali naudoti tik tam tikslui, kuriam jie buvo gauti.

25. VASMIS duomenų teikėjai, VASMIS duomenų gavėjai, duomenų subjektai, kiti asmenys, pastebėję VASMIS duomenų netikslumus ar neišsamius duomenis, turi nedelsdami apie tai informuoti Lietuvos Respublikos vidaus reikalų ministeriją. Lietuvos Respublikos vidaus reikalų ministerija, gavusi iš jų informaciją apie nustatytus netikslius duomenis, privalo per 5 darbo dienas nuo informacijos gavimo patikrinti pateiktą informaciją ir jai pasitvirtinus ištaisyti netikslius duomenis. Lietuvos Respublikos vidaus reikalų ministerija, ištaisiusi netikslius VASMIS duomenis, per 5 darbo dienas apie tai informuoja VASMIS duomenų gavėjus ir to prašiusį asmenį.

26. VASMIS duomenys Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka.

VI SKYRIUS

VASMIS DUOMENŲ SAUGA

27. Už VASMIS duomenų saugą pagal kompetenciją atsako VASMIS valdytojas ir VASMIS tvarkytojai. Jie privalo pagal kompetenciją įgyvendinti tinkamas organizacines ir technines saugos priemones, skiriamas VASMIS duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kurio kito neteisėto tvarkymo.

28. Siekiant užtikrinti VASMIS duomenų saugą, vadovaujamasi:

28.1. VASMIS valdytojo tvirtinamais VASMIS duomenų saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais;

28.2. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

28.3. Techniniais reikalavimais;

28.4. Bendraisiais reikalavimais;

28.5. Lietuvos standartais LST ISO/IEC 27001, LST ISO/IEC 27002 bei kitais Lietuvos ir tarptautiniais „Informacinės technologijos. Saugumo metodai“ grupės standartais, apibūdinančiais saugų VASMIS duomenų tvarkymą;

28.6. kitais informacinių sistemų ir elektroninės informacijos saugą reguliuojančiais teisės aktais.

29. VASMIS duomenys VASMIS duomenų bazėje saugomi 4 metus. Pasibaigus šiam terminui, duomenys perkeliami į VASMIS duomenų bazės archyvą ir saugomi jame 1 metus. Pasibaigus šiam terminui, VASMIS duomenys sunaikinami Lietuvos vyriausiojo archyvaro nustatyta tvarka.

30. Nuostatų 15.8 papunktyje nurodyti VASMIS naudotojų duomenys VASMIS duomenų bazėje saugomi kol VASMIS naudotojui nepanaikinama teisė dirbti su VASMIS. Panaikinus teisę dirbti su VASMIS, šie duomenys perkeliami į VASMIS duomenų bazės archyvą ir saugomi 1 metus nuo naudotojo paskyros uždarymo. Pasibaigus šiam terminui, VASMIS naudotojų duomenys sunaikinami.

31. Asmenys, kurie tvarko asmens duomenis, įpareigojami saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga galioja jiems pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus jų darbo ar sutartiniams santykiams.

VII SKYRIUS

VASMIS FINANSAVIMAS

32. VASMIS kūrimas finansuojamas Europos Sąjungos struktūrinių fondų ir Lietuvos Respublikos valstybės biudžeto lėšomis.

33. VASMIS eksploatavimas finansuojamas iš Lietuvos Respublikos valstybės biudžeto.

34. VASMIS modernizavimas ir plėtra finansuojama Europos Sąjungos struktūrinių fondų ir Lietuvos Respublikos valstybės biudžeto lėšų.

VIII SKYRIUS

VASMIS MODERNIZAVIMAS IR LIKVIDAVIMAS

35. VASMIS modernizuojama ir likviduojama Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo ir Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo nustatyta tvarka, prireikus nustatomos papildomos modernizavimo arba likvidavimo tvarkos sąlygos.

36. Likviduojant VASMIS, jos duomenys perduodami kitai valstybės informacinei sistemai arba sunaikinami arba perduodami valstybės archyvui Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

37. Duomenų subjektų teisės, susijusios su informavimu apie jų asmens duomenų tvarkymą, susipažinimu su tvarkomais jų asmens duomenimis, nesutikimu, kad jų duomenys būtų tvarkomi ir reikalavimu ištaisyti, sunaikinti jų asmens duomenis arba sustabdyti, išskyrus saugojimą, jų asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų nuostatų, įgyvendinamos vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu:

37.1. duomenų subjektas, pateikęs asmeniškai, paštu ar elektroninių ryšių priemonėmis Lietuvos Respublikos vidaus reikalų ministerijai rašytinį prašymą ir asmens tapatybę patvirtinantį dokumentą ar jo kopiją, turi teisę susipažinti su VASMIS tvarkomais jo asmens duomenimis ir gauti informaciją, iš kokių šaltinių ir kokie VASMIS tvarkomi jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo pateikti per pastarųjų 1 metų laikotarpį. Duomenų subjektui prašoma informacija pateikiama ne vėliau kaip per 30 kalendorinių dienų nuo šiame papunktyje nurodyto prašymo gavimo Lietuvos Respublikos vidaus reikalų ministerijoje dienos;

37.2. jeigu duomenų subjektas, susipažinęs su VASMIS tvarkomais savo asmens duomenimis, nustato, kad VASMIS tvarkomi jo asmens duomenys yra neteisingi ar netikslūs, jis turi teisę asmeniškai, paštu ar elektroninių ryšių priemonėmis, pateikti Lietuvos Respublikos vidaus reikalų ministerijai rašytinį prašymą ir asmens tapatybę patvirtinantį dokumentą, jo asmens duomenis patvirtinančius dokumentus, ar jų kopijas ir reikalauti ištaisyti VASMIS tvarkomus neteisingus ar netikslius jo asmens duomenis. Lietuvos Respublikos vidaus reikalų ministerija, gavusi šiame papunktyje nurodytą prašymą, nedelsdama, bet ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo Lietuvos Respublikos vidaus reikalų ministerijoje dienos, privalo patikrinti VASMIS tvarkomus prašymą pateikusio duomenų subjekto asmens duomenis ir nustačiusi, kad prašymas yra pagrįstas, ištaisyti neteisingus ar netikslius asmens duomenis ir (arba) sustabdyti tokių asmens duomenų tvarkymo veiksmus;

37.3. duomenų subjektas turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, kai šie asmens duomenys yra tvarkomi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 5 straipsnio 1 dalies 5 ir 6 punktuose nustatytais atvejais. Tokiu atveju, duomenų subjektas privalo asmeniškai, paštu ar elektroninių ryšių priemonėmis pateikti Lietuvos Respublikos vidaus reikalų ministerijai rašytinį prašymą ir asmens tapatybę patvirtinantį dokumentą ar jo kopiją. Lietuvos Respublikos vidaus reikalų ministerija, nustačiusi, kad šiame papunktyje nurodytas duomenų subjekto nesutikimas yra teisiškai pagrįstas, nedelsdama neatlygintinai nutraukia asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir apie tai informuoja duomenų gavėjus. Fizinio asmens prašymu Lietuvos Respublikos vidaus reikalų ministerija praneša fiziniam asmeniui apie jo asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti asmens duomenų tvarkymo veiksmus.

________________

PATVIRTINTA

Lietuvos Respublikos vidaus reikalų ministro

2016 m. spalio 25 d. įsakymu Nr. 1V-760

VIEŠOJO ADMINISTRAVIMO SUBJEKTŲ SISTEMOS STEBĖSENOS (MONITORINGO) INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Viešojo administravimo subjektų sistemos stebėsenos (monitoringo) informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) nustato Viešojo administravimo subjektų sistemos stebėsenos (monitoringo) informacinės sistemos (toliau – VASMIS) elektroninės informacijos saugos politiką.

2. VASMIS elektroninės informacijos saugumo užtikrinimo tikslas – užtikrinti tvarkomos elektroninės informacijos konfidencialumą, vientisumą ir prieinamumą.

3. Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), vidaus reikalų ministro tvirtinamuose VASMIS nuostatuose (toliau – VASMIS nuostatai), Lietuvos ir tarptautiniuose „Informacinės technologijos. Saugumo metodai“ grupės standartuose.

4. VASMIS elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:

4.1. VASMIS tvarkymo kontrolė;

4.2. VASMIS paslaugų ir naudojimosi VASMIS elektronine informacija nepertraukiamumas;

4.3. VASMIS elektroninei informacijai tvarkyti naudojamos techninės ir programinės įrangos kontrolė;

4.4. reguliarus VASMIS elektroninės informacijos saugumo rizikos vertinimas, rizikos vertinimo pagrindu rizikos valdymo priemonių parinkimas ir taikymas, naudojant organizacines ir technines informacijos apsaugos priemones.

5. Saugos nuostatai taikomi VASMIS valdytojai – Lietuvos Respublikos vidaus reikalų ministerijai (toliau – Vidaus reikalų ministerija), Šventaragio g. 2, LT-01510 Vilnius, VASMIS tvarkytojams: Vidaus reikalų ministerijai, Informatikos ir ryšių departamentui prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Informatikos ir ryšių departamentas), Šventaragio g. 2, LT-01510 Vilnius, VASMIS saugos įgaliotiniui ir VASMIS administratoriui.

6. VASMIS valdytojas atlieka VASMIS nuostatuose nustatytas funkcijas, taip pat:

6.1. tvirtina Saugos nuostatus ir saugos politiką įgyvendinančius dokumentus (toliau – saugos dokumentai) ir prižiūri saugos dokumentuose nustatytų reikalavimų įgyvendinimą;

6.2. atsako už elektroninės informacijos tvarkymo VASMIS teisėtumą ir elektroninės informacijos saugą;

6.3. priima sprendimą dėl VASMIS informacinių technologijų saugos reikalavimų atitikties vertinimo ir VASMIS rizikos vertinimo atlikimo;

6.4. atlieka kitas saugos dokumentuose nustatytas funkcijas.

7. Vidaus reikalų ministerija, kaip VASMIS tvarkytoja, pagal kompetenciją atsako už reikiamų administracinių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi saugos dokumentuose nustatyta tvarka.

8. Informatikos ir ryšių departamentas, kaip VASMIS tvarkytojas, pagal kompetenciją atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi saugos dokumentuose nustatyta tvarka, taip pat užtikrina VASMIS techninę priežiūrą ir nepertraukiamą VASMIS darbą.

9. VASMIS saugos įgaliotinis:

9.1. koordinuoja ir prižiūri VASMIS saugos politikos įgyvendinimą;

9.2. organizuoja kasmetinius ir neeilinius VASMIS rizikos įvertinimus ir rengia VASMIS rizikos įvertinimo ataskaitas;

9.3. teikia Informatikos ir ryšių departamento direktoriui pasiūlymus dėl:

9.3.1. VASMIS administratoriaus skyrimo;

9.3.2. VASMIS informacinių technologijų saugos reikalavimų atitikties vertinimo atlikimo;

9.4. teikia VASMIS valdytojos vadovui pasiūlymus dėl saugos dokumentų priėmimo, keitimo;

9.5. koordinuoja elektroninės informacijos saugos incidentų, įvykusių VASMIS, tyrimą ir bendradarbiauja su kompetentingoms institucijoms, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;

9.6. periodiškai inicijuoja VASMIS naudotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas ir kt.);

9.7. teikia VASMIS administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su VASMIS elektroninės informacijos saugos užtikrinimu;

9.8. atlieka kitas Informatikos ir ryšių departamento direktoriaus, kaip VASMIS tvarkytojo vadovo, pavestas ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše nustatytas saugos įgaliotinio funkcijas.

10. VASMIS administratorius:

10.1. pagal kompetenciją užtikrina VASMIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų sistemų, ugniasienių, įsilaužimų aptikimo sistemų, duomenų perdavimo tinklų) priežiūrą, pažeidžiamų vietų nustatymą ir VASMIS elektroninės informacijos saugos priemonių parinkimą bei šių priemonių atitikties saugos dokumentų reikalavimams tikrinimą;

10.2. registruoja VASMIS elektroninės informacijos saugos incidentus ir informuoja apie juos VASMIS saugos įgaliotinį, teikia Informatikos ir ryšių departamento direktoriui, kaip VASMIS tvarkytojo vadovui, pasiūlymus dėl minėtų incidentų pašalinimo;

10.3. valdo VASMIS naudotojų teises;

10.4. daro atsargines VASMIS duomenų kopijas bei jas archyvuoja;

10.5. tikrina VASMIS sąranką ir jos būsenos rodiklius;

10.6. vykdo VASMIS saugos įgaliotinio nurodymus ir pavedimus, susijusius su VASMIS ir VASMIS elektroninės informacijos saugos užtikrinimu;

10.7. atlieka kitas Bendrųjų elektroninės informacijos saugos reikalavimų apraše nustatytas administratoriaus funkcijas.

11. Tvarkant VASMIS elektroninę informaciją ir užtikrinant jos saugumą, vadovaujamasi:

11.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

11.2. Lietuvos Respublikos kibernetinio saugumo įstatymu;

11.3. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

11.4. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

11.5. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;

11.6. Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“;

11.7. Lietuvos standartais LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir kitais Lietuvos ir tarptautiniais „Informacinės technologijos. Saugumo technika“ grupės standartais, reglamentuojančiais duomenų tvarkymą;

11.8. saugos dokumentais;

11.9. kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą.

II SKYRIUS

VASMIS INFORMACIJOS SAUGOS VALDYMAS

12. Vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Aprašas), 6.4 papunkčiu ir 10 punktu , VASMIS tvarkoma elektroninė informacija priskiriama mažiausios svarbos informacijos kategorijai.

13. Vadovaujantis Aprašo 12.4 papunkčiu, VASMIS priskiriama ketvirtajai informacinių sistemų kategorijai.

14. VASMIS saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus, ne rečiau kaip kartą per metus organizuoja VASMIS rizikos įvertinimą.

15. VASMIS rizikos įvertinimas surašomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos informacijos saugumui. Svarbiausieji rizikos veiksniai yra šie:

15.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

15.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema duomenims gauti, duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

15.3. nenugalima jėga (force majeure).

16. Atsižvelgdamas į VASMIS rizikos įvertinimo ataskaitą, VASMIS valdytojas tvirtina VASMIS rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomos VASMIS rizikos valdymo priemonės bei techninių, administracinių ir kitų išteklių poreikis joms įgyvendinti, bei paskiria šių priemonių atsakingus vykdytojus ir nustato šių priemonių įgyvendinimo terminus.

17. Prireikus VASMIS saugos įgaliotinis gali organizuoti neeilinį VASMIS rizikos įvertinimą.

18. VASMIS saugos įgaliotinis kiekvienų metų sausio mėnesį organizuoja VASMIS informacinių technologijų saugos reikalavimų atitikties vertinimą, kurio metu:

18.1. įvertinama saugos dokumentų ir realios informacijos saugos situacijos atitiktis;

18.2. inventorizuojama VASMIS techninė ir programinė įranga ir patikrinamos visose VASMIS tarnybinėse stotyse įdiegtos programos ir jų sąranka;

18.3. tikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų vidinių VASMIS naudotojų kompiuterinių darbo vietų;

18.4. tikrinama (įvertinama) VASMIS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis;

18.5. įvertinamos VASMIS administratoriui suteiktos teisės;

18.6. įvertinamas pasirengimas užtikrinti VASMIS veiklos tęstinumą įvykus VASMIS informacijos saugos incidentui.

19. Atlikus VASMIS informacinių technologijų saugos reikalavimų atitikties vertinimą VASMIS saugos įgaliotinis rengia pastebėtų trūkumų šalinimo planą, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato VASMIS valdytojo vadovas.

20. Parenkant VASMIS informacijos saugos priemones turi būti atsižvelgiama į Lietuvos standarto LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ rekomendacijas.

III SKYRIUS

VASMIS ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

21. Programinė įranga, skirta apsaugoti VASMIS nuo kenksmingos programinės įrangos (virusų, šnipinėjimui skirtos programinės įrangos ir pan.), privalo:

21.1. turėti realaus laiko apsaugą;

21.2. apsaugoti nuo naujausios šnipinėjimui skirtos programinės įrangos ir kitų kenkėjiškų programų;

21.3. būti ne rečiau kaip kartą per parą automatiškai atnaujinama;

21.4. būti įdiegta VASMIS tarnybinėse stotyse bei VASMIS valdytojo ir tvarkytojų darbuotojų ir VASMIS administratoriaus kompiuteriuose.

22. Programinės įrangos, įdiegtos VASMIS tarnybinėse stotyse ir pasiekiamos VASMIS naudotojų kompiuteriuose, naudojimo nuostatos:

22.1. VASMIS tarnybinėse stotyse neturi veikti programinė įranga, kuri nėra susijusi su VASMIS elektroninės informacijos tvarkymu;

22.2. VASMIS naudotojų kompiuteriuose naudojama tik ta programinė įranga, kuri reikalinga numatytoms funkcijoms atlikti;

22.3. VASMIS tarnybinėse stotyse ir VASMIS naudotojų kompiuteriuose turi būti įdiegta tik legali programinė įranga.

23. VASMIS tarnybinės stotys nuo išorinio tinklo yra atskirtos aparatinėmis tinklo užkardomis, kurias administruoja ir prižiūri VASMIS administratorius.

24. VASMIS naudotojams ne VASMIS tvarkytojo patalpose leidžiama naudotis kompiuterine įranga gavus tiesioginio VASMIS naudotojo vadovo leidimą ir taikant papildomas saugos priemones (šifravimas, papildomas tapatybės patvirtinimas, prisijungimo ribojimai, rakinimo įrenginių naudojimas ir panašiai).

25. Metodai, kuriais leidžiama užtikrinti saugų elektroninės informacijos teikimą ir gavimą:

25.1. teisė dirbti su konkrečia VASMIS elektronine informacija suteikiama konkrečiam VASMIS naudotojui;

25.2. pasibaigus VASMIS naudotojo darbo santykiams su VASMIS tvarkytoju VASMIS naudotojo prieiga prie VASMIS panaikinama;

25.3. VASMIS naudotojo veiklos tyrimo metu teisė dirbti su konkrečia elektronine informacija ribojama arba sustabdoma;

25.4. kiekvienas VASMIS naudotojas identifikuojamas unikaliai – tapatybė patvirtinama slaptažodžiu;

25.5. VASMIS naudotojų prisijungimo prie VASMIS laikas ir vieta nėra ribojama;

25.6. VASMIS elektroninė informacija pagal duomenų teikimo sutartis automatiniu būdu teikiama tik pagal šiose sutartyse nustatytas specifikacijas ir sąlygas;

26. VASMIS atsarginių kopijų darymo ir atkūrimo reikalavimai:

26.1. VASMIS elektroninės informacijos atsarginės kopijos turi būti daromos reguliariai, kartą per parą; už atsarginių kopijų darymą ir saugojimą atsakingas VASMIS administratorius;

26.2. dienos VASMIS elektroninės informacijos kopijos daromos darbo dienos pabaigoje ir saugomos ne trumpiau kaip 7 dienas nuo jų padarymo dienos, savaitinės VASMIS elektroninės informacijos kopijos daromos savaitgaliais ir saugomos ne trumpiau kaip 30 dienų nuo jų padarymo dienos, mėnesinės VASMIS elektroninės informacijos kopijos daromos mėnesio paskutinės dienos pabaigoje ir saugomos ne trumpiau kaip pusę metų nuo jų padarymo dienos, metinės VASMIS elektroninės informacijos kopijos daromos metų gale ir saugomos ne trumpiau kaip metus nuo jų padarymo dienos;

26.3. siekiant išvengti VASMIS elektroninės informacijos atsarginių kopijų neteisėto panaudojimo, atsarginės kopijos šifruojamos ir saugomos pašaliniams asmenims neprieinamoje vietoje;

26.4. VASMIS elektroninės informacijos atkūrimo išbandymą bent kartą per metus atlieka VASMIS administratorius; šio bandymo metu VASMIS elektroninė informacija atkuriama taip, kaip ji būtų atkuriami tuo atveju, jei būtų netikėtai prarasta; bandymo metu atkurta VASMIS elektroninė informacija turi būti nuodugniai patikrinta ir įvertinta, siekiant įsitikinti, kad bandymas buvo užbaigtas ir sėkmingas.

27. VASMIS naudotojams, savo tarnybinėms funkcijoms vykdyti naudojantiems nešiojamuosius kompiuterius VASMIS elektroninės informacijos perdavimui kompiuterių tinklais ne savo darbo vietoje, šiuose kompiuteriuose turi būti naudojamas kompiuterio įjungimo slaptažodis, papildomas VASMIS naudotojo tapatybės patvirtinimas ir elektroninės informacijos šifravimas.

28. VASMIS naudotojams, kuriems būtinas prisijungimas tiesioginėms pareigoms atlikti iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie VASMIS galimybė:

28.1. techninis nuotolinio prisijungimo sprendimas turi užtikrinti ne žemesnį nei vidiniam prisijungimui naudojamą saugumo lygį, t. y. turi būti naudojamos Saugos nuostatuose nurodytos priemonės ir elektroninės informacijos šifravimas naudojantis virtualiu privačiu tinklu (angl. virtual private network – VPN);

28.2. prie VASMIS prisijungiama nuotoliniu būdu naudojant interneto naršyklę (HTTPS protokolą).

29. VASMIS duomenų teikėjams ar gavėjams nuotolinio prisijungimo prie VASMIS galimybė suteikiama tik pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas.

IV SKYRIUS

Reikalavimai personalui

30. VASMIS naudotojai privalo išmanyti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą ir kitus teisės aktus, reglamentuojančius asmens duomenų tvarkymą.

31. VASMIS saugos įgaliotiniu gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis informacijos saugos užtikrinimo principus. VASMIS saugos įgaliotiniu negali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieni metai.

32. VASMIS administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais ir mokantis užtikrinti jų saugumą. VASMIS administratorius privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais.

33. VASMIS naudotojų mokymai vykdomi ne rečiau kaip kartą per dvejus metus pagal VASMIS saugos įgaliotinio parengtą mokymų planą.

V SKYRIUS

VASMIS naudotojų SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

34. Tvarkyti VASMIS elektroninę informaciją gali tik VASMIS naudotojai, susipažinę su VASMIS saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, bei atsakomybe už saugos dokumentų nuostatų pažeidimus ir raštu sutikę laikytis saugos dokumentuose nustatytų reikalavimų. Pakartotinis supažindinimas yra vykdomas pasikeitus minėtiems dokumentams ir teisės aktams.

35. Už VASMIS naudotojų supažindinimą su VASMIS saugos dokumentais yra atsakingas saugos įgaliotinis.

36. VASMIS saugos dokumentai skelbiami VASMIS valdytojo interneto svetainėje.

37. VASMIS naudotojai su VASMIS saugos dokumentais bei atsakomybe už jų reikalavimų nesilaikymą supažindinami pasirašytinai.

38. VASMIS saugos dokumentai iš esmės turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per kalendorinius metus. Saugos dokumentai taip pat turi būti persvarstomi (peržiūrimi) atlikus rizikos veiksnių analizę ar informacinių technologijų saugos atitikties vertinimą arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Saugos įgaliotinis atsakingas, kad VASMIS naudotojai būtų informuoti apie jų pakeitimą ir (ar) pripažinimą netekusiais galios.

_________________