LIETUVOS RESPUBLIKOS FINANSŲ MINISTRO

Suvestinė redakcija nuo 2014-11-12 iki 2016-05-26

Įsakymas paskelbtas: Žin. 2012, Nr. 107-5425, i. k. 1122050ISAK001K-297

Į S A K Y M A S

DĖL informacinĖS sistemOS „E. SĄSKAITA“ NUOSTATŲ PATVIRTINIMO

2012 m. rugsėjo 6 d. Nr. 1K-297

Vilnius

Vadovaudamasis Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktu ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, saugos dokumentų turinio gairių aprašo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, 7 punktu:

Preambulės pakeitimai:

Nr. 1K-343, 2014-10-31, paskelbta TAR 2014-11-11, i. k. 2014-16639

1. T v i r t i n u (pridedamus):

1.1. Informacinės sistemos „E. sąskaita“ nuostatus;

1.2. Informacinės sistemos „E. sąskaita“ duomenų saugos nuostatus.

2. S k i r i u valstybės įmonę Registrų centrą informacinės sistemos „E. sąskaita“ tvarkytoju.

3. P a v e d u informacinės sistemos „E. sąskaita“ tvarkytojui:

3.1. per 2 mėnesius nuo šio įsakymo įsigaliojimo dienos paskirti informacinės sistemos „E. sąskaita“ saugos įgaliotinį;

3.2. per 6 mėnesius nuo šio įsakymo įsigaliojimo dienos parengti ir patvirtinti informacinės sistemos „E. sąskaita“ dokumentus, kuriais įgyvendinama saugos politika.

FINANSŲ MINISTRĖ INGRIDA ŠIMONYTĖ

PATVIRTINTA

Lietuvos Respublikos finansų ministro

2012 m. rugsėjo 6 d. įsakymu Nr. 1K-297

(Lietuvos Respublikos finansų ministro

2014 m. spalio 31 d. įsakymo Nr. 1K-343

redakcija)

INFORMACINĖS SISTEMOS „E. SĄSKAITA“ NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Informacinės sistemos „E. sąskaita“ nuostatai (toliau – Nuostatai) reglamentuoja valstybės informacinės sistemos „E. sąskaita“ (toliau – informacinė sistema) veikimo uždavinius, funkcijas ir tikslus, nustato informacinės sistemos valdytoją, tvarkytoją, jų teises ir pareigas, duomenų teikėjus, gavėjus, informacinės sistemos organizacinę, informacinę ir funkcinę struktūras, duomenų teikimo, naudojimo, finansavimo, modernizavimo ir likvidavimo tvarką, duomenų saugos reikalavimus.

2. Nuostatuose vartojamos sąvokos:

2.1. Informacinės sistemos paslaugų vartotojas (toliau – paslaugų vartotojas) – fizinis asmuo arba juridinio asmens darbuotojas, turintys teisę tiesiogiai jungtis prie informacinės sistemos ir pateikti, gauti pridėtinės vertės mokesčio sąskaitas faktūras, kreditinius ir debetinius dokumentus bei avansines sąskaitas (toliau – sąskaitos), patikrinti jų duomenis ar apmokėjimo būseną, arba įstaigos, kurios kontrolės funkcijoms vykdyti reikalingas prisijungimas prie informacinės sistemos, darbuotojas;

2.2. kitos Nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos pridėtinės vertės mokesčio įstatyme, Lietuvos Respublikos viešųjų pirkimų įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – aprašas), Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, vartojamas sąvokas.

3. Informacinės sistemos steigimo pagrindas – Lietuvos Respublikos finansų ministerijos nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 1998 m. rugsėjo 8 d. nutarimu Nr. 1088 „Dėl Lietuvos Respublikos finansų ministerijos nuostatų patvirtinimo“, 8.1.12 ir 8.1.15 papunkčiai.

4. Informacinės sistemos veiklą reglamentuojantys teisės aktai:

4.1. Lietuvos Respublikos pridėtinės vertės mokesčio įstatymas;

4.2. Lietuvos Respublikos buhalterinės apskaitos įstatymas;

4.3. Lietuvos Respublikos viešųjų pirkimų įstatymas;

4.4. Lietuvos Respublikos Vyriausybės 2002 m. gegužės 29 d. nutarimas Nr. 780 „Dėl Mokesčiams apskaičiuoti naudojamų apskaitos dokumentų išrašymo ir pripažinimo taisyklių patvirtinimo“.

5. Fizinių asmenų asmens duomenys informacinėje sistemoje tvarkomi vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.

6. Asmens duomenų tvarkymo informacinėje sistemoje tikslas – identifikuoti ir autentifikuoti paslaugų vartotojus, elektroniniu būdu tvarkyti informacinės sistemos duomenis, teikti informaciją duomenų gavėjams apie sąskaitas ir jų apmokėjimą.

7. Informacinės sistemos tikslas – informacinių technologijų priemonėmis parengti, perkančiosioms organizacijoms pateikti ir išsaugoti su viešųjų pirkimų sutarčių vykdymu susijusias sąskaitas už įsigyjamas prekes, paslaugas ir darbus, operatyviai gauti informaciją apie pateiktų sąskaitų apmokėjimą.

8. Informacinės sistemos uždaviniai:

8.1. automatizuotai kaupti duomenis, skirtus viešųjų pirkimų sutarčių vykdymo kontrolei ir skaidrumui didinti, apie viešųjų pirkimų sutarčių vykdymą;

8.2. automatizuoti sąskaitų, kurios apmokamos iš valstybės biudžeto, apmokėjimo kontrolės procesus;

8.3. kompiuterizuoti perkančiųjų organizacijų veiklos ir valstybės pinigų srautų valdymą.

9. Pagrindinės informacinės sistemos funkcijos:

9.1. rengti, teikti, tvarkyti, priimti ir išsaugoti sąskaitas teisės aktų nustatytais terminais;

9.2. analizuoti sąskaitų duomenis, formuoti ataskaitas;

9.3. teikti sąskaitų duomenis informacinės sistemos duomenų gavėjams elektroniniu būdu;

9.4. teikti informaciją apie pateiktų sąskaitų apmokėjimą paslaugos vartotojams;

9.5. teikti informaciją apie perkančiųjų organizacijų gautas sąskaitas, kurių pagrindu parengtos mokėjimo paraiškos, Lietuvos Respublikos finansų ministerijos Valstybės iždo departamentui;

9.6. teikti informaciją apie pateiktų sąskaitų pagrindu parengtų mokėjimo paraiškų apmokėjimą paslaugų vartotojams;

9.7. teikti elektroniniu būdu informaciją apie viešųjų pirkimų sutarčių vykdymą ir sąskaitų pateikimą bei apmokėjimą Viešųjų pirkimų tarnybai ir viešajai įstaigai CPO LT (toliau – CPO LT), atliekančiai centrinės perkančiosios organizacijos funkcijas;

9.8. gauti iš Viešųjų pirkimų tarnybos sąskaitoms parengti reikalingą informaciją apie viešųjų pirkimų sutartis;

9.9. gauti iš CPO LT sąskaitoms parengti reikalingą informaciją apie pagrindines viešųjų pirkimų sutartis;

9.10. užtikrinti sąskaitų kilmės autentiškumą, turinio vientisumą ir įskaitomumą.

II SKYRIUS

INFORMACINĖS SISTEMOS ORGANIZACINĖ STRUKTŪRA

10. Informacinės sistemos valdytoja yra Lietuvos Respublikos finansų ministerija.

11. Informacinės sistemos valdytojas atlieka šias funkcijas:

11.1. priima teisės aktus, susijusius su informacinės sistemos tvarkymu, ir prižiūri, kaip jų laikomasi;

11.2. koordinuoja informacinės sistemos tvarkytojo darbą ir paveda jam vykdyti informacinės sistemos techninės ir programinės įrangos priežiūros funkcijas;

11.3. tvirtina informacinės sistemos kūrimo ir plėtros planus, analizuoja pasiūlymus dėl informacinės sistemos veikimo, priima sprendimus dėl informacinės sistemos tobulinimo ir modernizavimo, kontroliuoja jų vykdymą;

11.4. užtikrina, kad informacinė sistema būtų tvarkoma vadovaujantis Lietuvos Respublikos įstatymais, Nuostatais ir kitais teisės aktais;

11.5. organizuoja duomenų saugos užtikrinimą;

11.6. organizacinėmis priemonėmis užtikrina informacinės sistemos prieinamumą, vientisumą, konfidencialumą;

11.7. organizuoja informacinės sistemos tobulinimo darbus;

11.8. vadovauja informacinės sistemos tvarkytojui informacinės sistemos tvarkymo klausimais;

11.9. nagrinėja suinteresuotų asmenų siūlymus tobulinti informacinę sistemą;

11.10. nustato duomenų, kurie teikiami informacinės sistemos duomenų gavėjams, kategorijas;

11.11. vykdo kitas Nuostatuose, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme ir kituose teisės aktuose nurodytas funkcijas.

12. Informacinės sistemos tvarkytojas yra valstybės įmonė Registrų centras (toliau – Registrų centras).

13. Informacinės sistemos tvarkytojas atlieka šias funkcijas:

13.1. organizuoja informacinės sistemos kūrimą;

13.2. tvarko ir administruoja informacinę sistemą ir joje kaupiamus duomenis ir teikia kaupiamus duomenis duomenų gavėjams;

13.3. užtikrina informacinės sistemos funkcionavimą, techninės ir programinės įrangos priežiūrą ir plėtrą;

13.4. techninėmis ir organizacinėmis priemonėmis užtikrina informacinės sistemos duomenų apsaugą nuo neteisėto sunaikinimo, pakeitimo, atskleidimo;

13.5. užtikrina centralizuotą duomenų patekimą į informacinę sistemą ir duomenų teikimą iš jos;

13.6. teikia pasiūlymus informacinės sistemos valdytojui dėl informacinės sistemos tvarkymo ir tobulinimo, rengia ir įgyvendina techninių ir programinių priemonių kūrimo ir plėtros planus, investicinius projektus;

13.7. tvarko informacinės sistemos duomenų archyvą ir užtikrina jo saugą;

13.8. tvarko paslaugų vartotojų duomenis;

13.9. sudaro sutartis su duomenų teikėjais ir gavėjais;

13.10. suderinęs su informacinės sistemos valdytoju nustato duomenų gavėjams teikiamų duomenų apimtis;

13.11. reikalauja iš duomenų teikėjų, kad jų duomenys būtų tinkami, kokybiški, teisingi ir teikiami nustatytais terminais;

13.12. atsako, kad informacinės sistemos priemonėmis pateiktos sąskaitos ir duomenys, užtikrinantys sąskaitų kilmės autentiškumą, turinio vientisumą ir įskaitomumą, būtų saugomi vadovaujantis Lietuvos Respublikos teisės aktuose nustatyta dokumentų saugojimo tvarka;

13.13. vykdo kitas Nuostatuose, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme ir kituose teisės aktuose nurodytas funkcijas.

14. Informacinės sistemos asmens duomenų valdytoja yra Lietuvos Respublikos finansų ministerija, o asmens duomenų tvarkytojas – Registrų centras. Asmens duomenų valdytojas ir asmens duomenų tvarkytojas atlieka Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme (toliau – ADTAĮ) nustatytas funkcijas, turi ADTAĮ nurodytas teises ir pareigas.

15. Informacinės sistemos valdytojas ir tvarkytojas turi teisę su asmens duomenimis susijusią informaciją teisėtai gauti ir tvarkyti tokia apimtimi, kokia yra reikalinga informacinės sistemos tikslams įgyvendinti ir funkcijoms užtikrinti.

16. Informacinės sistemos duomenų teikėjai yra:

16.1. Viešųjų pirkimų tarnyba – teikia duomenis iš Centrinės viešųjų pirkimų informacinės sistemos;

16.2. Lietuvos Respublikos finansų ministerija – teikia duomenis iš Valstybės biudžeto, apskaitos ir mokėjimų sistemos;

16.3. Valstybinė mokesčių inspekcija prie Lietuvos Respublikos finansų ministerijos – teikia duomenis iš Mokesčių mokėtojų registro;

16.4. Informacinės visuomenės plėtros komitetas prie Susisiekimo ministerijos – perduoda duomenis iš Valstybės informacinių išteklių sąveikumo platformos;

16.5. Registrų centras – teikia duomenis iš Juridinių asmenų registro, Elektroninių dokumentų archyvo informacinės sistemos, Mokėjimų ir audito informacinės sistemos, autentifikavimo platformos;

16.6. CPO LT – teikia duomenis iš CPO LT informacinės sistemos.

17. Informacinės sistemos pirminių duomenų teikėjai yra tiekėjai (prekių tiekėjai, paslaugų teikėjai, rangovai) – tiekiantys prekes, teikiantys paslaugas ar vykdantys darbus fiziniai asmenys, privatieji juridiniai ir viešieji juridiniai asmenys (toliau – tiekėjas). Tiekėjo darbuotojas, kuris yra paslaugų vartotojas, įveda Nuostatų 23 punkte išvardytus duomenis į informacinę sistemą.

18. Informacine sistema naudojasi paslaugų vartotojai, kurių teisės ir pareigos yra nustatytos informacinės sistemos naudojimosi sąlygų apraše.

19. Paslaugų vartotojų, kurie yra tiekėjo darbuotojai, teisės:

19.1. gauti informacinės sistemos teikiamas paslaugas;

19.2. įgalioti asmenis tvarkyti ir (ar) peržiūrėti informacinėje sistemoje esančius (tik jo paties) sąskaitų duomenis, pateikti, peržiūrėti sąskaitas, keisti, naikinti šiuos įgaliojimus;

19.3. gauti informaciją apie neteisingus jo sąskaitų duomenis;

19.4. atsisakyti informacinės sistemos paslaugų.

20. Paslaugų vartotojų, kurie yra perkančiosios organizacijos darbuotojai, teisės:

20.1. gauti informacinės sistemos teikiamas paslaugas;

20.2. įgalioti asmenis tvarkyti ir (ar) peržiūrėti perkančiajai organizacijai į informacinę sistemą pateiktus sąskaitų duomenis, pateikti, gauti ir peržiūrėti sąskaitas, keisti, naikinti šiuos įgaliojimus;

20.3. gauti informaciją apie neteisingus gautų sąskaitų duomenis;

20.4. atsisakyti informacinės sistemos paslaugų.

21. Paslaugų vartotojų pareigos:

21.1. tvarkyti (teikti, tikslinti, papildyti, naikinti) informacinėje sistemoje esančius sąskaitų ir savo asmens duomenis;

21.2. gavus informaciją apie neteisingus sąskaitų duomenis, juos ištaisyti, patikslinti.

III SKYRIUS

INFORMACINĖS SISTEMOS INFORMACINĖ STRUKTŪRA

22. Informacinės sistemos duomenų bazėje tvarkomi ir kaupiami sąskaitų duomenys ir paslaugų vartotojų duomenys.

23. Informacinėje sistemoje tvarkomi ir kaupiami šie fizinių ir juridinių asmenų sąskaitų duomenys:

23.1. sąskaitos išrašymo data;

23.2. sąskaitos serija ir numeris;

23.3. tiekėjo PVM mokėtojo kodas;

23.4. pirkėjo (kliento) PVM mokėtojo kodas, kurį jis nurodė įsigydamas prekes, paslaugas ar darbus;

23.5. tiekėjo pavadinimas arba vardas, pavardė (jeigu tai fizinis asmuo) ir buveinė arba nuolatinė gyvenamoji vieta (jeigu tai fizinis asmuo);

23.6. pirkėjo (kliento) pavadinimas arba vardas, pavardė (jeigu tai fizinis asmuo) ir adresas;

23.7. tiekiamų prekių arba teikiamų paslaugų pavadinimas ir jų kiekis;

23.8. prekių tiekimo, paslaugų teikimo ar darbų atlikimo data, jeigu ji nesutampa su sąskaitos išrašymo data;

23.9. avanso gavimo diena (jeigu sąskaita įforminamas avanso gavimas), kai ji nesutampa su sąskaitos išrašymo data;

23.10. tiekiamos prekės, teikiamos paslaugos ar atliekamų darbų vieneto kaina (be PVM), taip pat nuolaidos, neįtrauktos į vieneto kainą;

23.11. tiekiamų prekių, teikiamų paslaugų ar atliekamų darbų, apmokestinamų taikant vienodą tarifą, apmokestinamoji vertė;

23.12. PVM tarifas (tarifai);

23.13. PVM suma nacionaline valiuta;

23.14. kai įforminamas prekių ir (arba) paslaugų, kurios neapmokestinamos ar apmokestinamos taikant 0 procentų PVM tarifą, tiekimas (teikimas), – nuoroda į atitinkamą Lietuvos Respublikos pridėtinės vertės mokesčio įstatymo (toliau – PVM įstatymas) arba Direktyvos 2006/112/EB „Dėl pridėtinės vertės mokesčio bendros sistemos“ nuostatą, arba bet kokia kita nuoroda, kad prekės (paslaugos) neapmokestinamos ar apmokestinamos taikant 0 procentų PVM tarifą;

23.15. tiekiant prekes į kitą valstybę narę, – duomenys apie naują transporto priemonę:

23.15.1. transporto priemonės eksploatavimo pradžios data;

23.15.2. rida, km;

23.15.3. važiuotų (plauktų, skristų) valandų skaičius;

23.16. fiskalinio agento PVM mokėtojo kodas, pavadinimas arba vardas, pavardė (jeigu tai fizinis asmuo) ir adresas – kai pagal PVM įstatymą prievolė apskaičiuoti PVM tenka užsienio apmokestinamojo asmens paskirtam fiskaliniam agentui;

23.17. nuoroda „Maržos apmokestinimo schema. Kelionių agentūros“ – kai taikoma speciali turizmo paslaugų apmokestinimo PVM schema, nurodyta PVM įstatymo XII skyriaus antrajame skirsnyje, arba nuoroda „Maržos apmokestinimo schema. Naudotos prekės“ arba „Maržos apmokestinimo schema. Meno kūriniai“, arba „Maržos apmokestinimo schema. Kolekcionavimo objektai ir antikvariniai daiktai“ – kai taikoma speciali naudotų prekių, meno kūrinių, kolekcinių ir antikvarinių daiktų apmokestinimo PVM schema, nurodyta PVM įstatymo XII skyriaus trečiajame skirsnyje;

23.18. nuoroda „Atvirkštinis apmokestinimas“ – kai įforminamas prekių, darbų ir (arba) paslaugų, už kurias prievolė apskaičiuoti (arba išskaityti) ir sumokėti PVM tenka pirkėjui (klientui), tiekimas (atlikimas, teikimas);

23.19. nuoroda „Pinigų apskaitos sistema“ – kai prievolė apskaičiuoti PVM atsiranda gavus atlygį už patiektas prekes, įvykdytus darbus ar suteiktas paslaugas;

23.20. nuoroda „Sąskaitų faktūrų išsirašymas“ – kai sąskaitą prekių tiekėjo ar paslaugų teikėjo vardu įformina pirkėjas;

23.21. nuoroda „Avansinė sąskaita“ – kai sąskaitą išrašo prekių tiekėjas ir (arba) paslaugų teikėjas, ir (arba) rangovas, t. y. avanso gavėjas, ir nurodo, kad PVM skaičiuojamas nuo avansinio mokesčio;

23.22. už prekes apskaičiuoto akcizo suma – nurodoma perkančiosios organizacijos pageidavimu, jei perkančioji organizacija nusiperka akcizais apmokestinamų prekių, kurių akcizą ji turi teisę susigrąžinti;

23.23. tikslinamos sąskaitos išrašymo data, serija, numeris ir kiti tikslinamų apskaitos dokumentų duomenys (laikotarpis, kuriuo buvo patiektos prekės, įvykdyti darbai ar suteiktos paslaugos ir kt.);

23.24. bendras kodas, jei tiekėjas yra užsienio įmonė;

23.25. viešojo pirkimo numeris;

23.26. viešojo pirkimo sutarties numeris arba viešojo pirkimo sutarties identifikatorius (jei yra);

23.27. nuoroda dėl pirkimo tipo;

23.28. tiekėjo juridinio asmens kodas ir pirkimo objekto rūšis: darbai, prekė, paslauga ir juos detalizuojančios kategorijos;

23.29. bendrojo viešųjų pirkimų žodyno pagrindinis kodas pirkimui apibūdinti.

24. Informacinėje sistemoje tvarkomi (kaupiami) duomenys gaunami iš:

24.1. Valstybės biudžeto, apskaitos ir mokėjimų sistemos:

24.1.1. mokėjimo paraiškos duomenys:

24.1.1.1. sąskaitos serija ir numeris;

24.1.1.2. mokėjimo paraiškos numeris;

24.1.1.3. tiekėjo juridinio arba fizinio asmens kodas;

24.1.1.4. perkančiosios organizacijos juridinio asmens kodas;

24.1.1.5. mokėjimo paraiškos būsenos;

24.1.1.6. mokėjimo paraiškos suma;

24.1.2. užklausos gauti elektroninę sąskaitą duomenys:

24.1.2.1. sąskaitos serija ir numeris;

24.1.2.2. perkančiosios organizacijos juridinio asmens kodas;

24.1.2.3. tiekėjo juridinio arba fizinio asmens kodas;

24.2. Centrinės viešųjų pirkimų informacinės sistemos:

24.2.1. registruotų perkančiųjų organizacijų duomenys:

24.2.1.1. juridinio asmens kodas;

24.2.1.2. juridinio asmens pavadinimas;

24.2.1.3. juridinio asmens adresas;

24.2.2. viešųjų pirkimų sutarčių duomenys:

24.2.2.1. viešojo pirkimo numeris;

24.2.2.2. viešojo pirkimo sutarties numeris arba identifikacinis numeris (jei yra);

24.2.2.3. faktinė viešojo pirkimo sutarties įvykdymo arba nutraukimo data (ar kita informacija apie pasikeitusią sutarties būklę);

24.2.2.4. perkančiosios organizacijos juridinio asmens kodas;

24.2.2.5. tiekėjo juridinio arba fizinio asmens kodas;

24.2.2.6. bendrasis tiekėjo kodas;

24.2.2.7. viešojo pirkimo sutarties būsena;

24.2.2.8. tiekėjo šalies kodas;

24.2.2.9. sutarties sudarymo data;

24.2.2.10. požymis, nusakantis, kad viešųjų pirkimų sutartis yra sudaryta tarpininkaujant CPO LT;

24.2.2.11. bendrojo viešųjų pirkimų žodyno pagrindinis kodas;

24.2.2.12. bendrojo viešųjų pirkimų žodyno pagrindinio kodo pavadinimas;

24.3. CPO LT informacinės sistemos:

24.3.1. viešųjų pirkimų sutarčių duomenys:

24.3.1.1. pagrindinės viešojo pirkimo sutarties numeris arba identifikacinis numeris (jei yra);

24.3.1.2. tiekėjo juridinio asmens kodas;

24.4. Juridinių asmenų registro:

24.4.1. juridinio asmens kodas;

24.4.2. juridinio asmens pavadinimas;

24.4.3. juridinio asmens teisinė forma;

24.4.4. juridinio asmens buveinė (adresas);

24.4.5. informacija apie asmenis, įgaliotus patvirtinti naudojimo sąlygas juridinio asmens vardu (vardas, pavardė, pareigos);

24.5. Registrų centro Elektroninio dokumentų archyvo informacinės sistemos – elektroninių sąskaitų išsaugojimo elektroniniame archyve data;

24.6. Registrų centro Sertifikatų centro:

24.6.1. elektroninės sąskaitos laiko žymos identifikatorius;

24.6.2. laiko reikšmė, nustatoma pagal informacinės sistemos serverio laiką;

24.6.3. vienkrypčio šifravimo būdu sudaryta žymimų duomenų santrauka;

24.7. Mokesčių mokėtojų registro:

24.7.1. mokesčių mokėtojų duomenys:

24.7.1.1. PVM mokėtojo kodo prefiksas;

24.7.1.2. PVM mokėtojo kodas;

24.7.1.3. mokesčių mokėtojo identifikacinis numeris;

24.7.1.4. PVM mokėtojo kodo galiojimo pradžios data;

24.7.1.5. PVM mokėtojo kodo galiojimo pabaigos data (jei yra).

24.8. tiekėjų ir perkančiųjų organizacijų finansų valdymo ir apskaitos informacinių sistemų:

24.8.1. elektroninių sąskaitų duomenys pagal parengtą ir suderintą elektroninių sąskaitų duomenų modelį;

24.9. valstybės informacinių išteklių sąveikumo platformos:

24.9.1. fizinio asmens vardas;

24.9.2. fizinio asmens pavardė;

24.9.3. fizinio asmens kodas;

24.10. Registro centro mokėjimų ir audito informacinės sistemos:

24.10.1. informacija apie laiku neapmokėtą sumą (pagal kiekvieną informacinės sistemos paskyrą);

24.11. Registrų centro autentifikavimo platformos:

24.11.1. fizinio asmens vardas;

24.11.2. fizinio asmens pavardė;

24.11.3. fizinio asmens kodas;

24.11.4. požymis, nusakantis, kad fizinis asmuo yra užsienietis;

24.11.5. fizinio asmens šalis (taikoma užsienio šalių fiziniams asmenims);

24.11.6. fizinio asmens gimimo data (taikoma užsienio šalių fiziniams asmenims);

24.11.7. juridinio asmens kodas;

24.11.8. juridinio asmens pavadinimas;

24.11.9. požymis, nusakantis, ar tai užsienio šalies juridinis asmuo;

24.11.10. juridinio asmens šalis (taikoma užsienio šalių juridiniams asmenims).

25. Informacinėje sistemoje kaupiami paslaugų vartotojų duomenys:

25.1. vardas (vardai);

25.2. pavardė (pavardės);

25.3. pareigos;

25.4. suteiktos prieigos teisės.

IV SKYRIUS

INFORMACINĖS SISTEMOS FUNKCINĖ STRUKTŪRA

26. Informacinės sistemos funkcinę struktūrą sudaro funkciniai komponentai:

26.1. bendras portalas, kurio funkcija – informacinės sistemos pagrindinio turinio saugojimas. Portale pateikiama bendra informacija: naujienos, teisinė informacija, dažniausiai užduodami klausimai ir atsakymai. Per šį portalą inicijuojamas prisijungimas prie paslaugų vartotojų posistemio arba prie administratorių posistemio;

26.2. paslaugų vartotojo posistemis, kurio funkcija – pagrindinių veiksmų su sąskaitomis atlikimas. Posistemis sudarytas iš 4 modulių:

26.2.1. sąskaitų įvedimo ir tvarkymo modulis, kurio funkcija – sąskaitų paruošimas, peržiūrėjimas ir pateikimas;

26.2.2. sąskaitų valdymo modulis, kurio funkcija – pateiktų sąskaitų tvirtinimas, grąžinimas jas tikslinti ar atmesti, kitų susijusių valdymo veiksmų atlikimas;

26.2.3. dokumentų formavimo modulis, kurio funkcija – PDF/A-3 formatą atitinkančių elektroninių dokumentų generavimas ir su jais susijusios laiko žymos suformavimo inicijavimas;

26.2.4. paskyrų tvarkymo modulis, kurio funkcija – paslaugų vartotojams paskyrų tvarkymas;

26.3. administratorių posistemis, kurio funkcija – informacinės sistemos konfigūravimo bei valdymo veiksmų vykdymas. Posistemį sudaro 13 modulių:

26.3.1. klasifikatorių modulis, kurio funkcija – informacinėje sistemoje numatytų klasifikatorių tvarkymas;

26.3.2. sutarčių tvarkymo modulis, kurio funkcija – paslaugų vartotojų tvirtinamo informacinės sistemos naudojimo sąlygų aprašo tvarkymas ir pakeisto informacinės sistemos naudojimo sąlygų aprašo šablono įkėlimas;

26.3.3. parametrų tvarkymo modulis, kurio funkcija – informacinėje sistemoje numatytų parametrų tvarkymas;

26.3.4. klaidų ir įvykių modulis, kurio funkcija – informacinėje sistemoje įvykusių klaidų žurnalo peržiūrėjimas ir galimų sistemos įvykių sąrašo tvarkymas;

26.3.5. duomenų mainų valdymo modulis, kurio funkcija – naujų duomenų mainuose dalyvausiančių išorinių sistemų užregistravimas ir jų prisijungimo sertifikatų generavimo inicijavimas;

26.3.6. paskyrų tvarkymo modulis, kurio funkcija – visų informacinės sistemos paslaugų vartotojų paskyrų tvarkymas, naujų paskyrų kūrimas;

26.3.7. sesijų valdymo modulis, kurio funkcija – prie informacinės sistemos besijungiančių paslaugų vartotojų skaičiaus kontroliavimas ir informacijos apie paskutinį paslaugų vartotojo prisijungimą prie informacinės sistemos pateikimas;

26.3.8. asmens identifikavimo modulis, kurio funkcija – informacinės sistemos paslaugų vartotojų identifikavimas;

26.3.9. duomenų archyvavimo modulis, kurio funkcija – įvedamų bei tvarkomų duomenų automatinis archyvavimas;

26.3.10. ataskaitų modulis, kurio funkcija – informacinėje sistemoje numatytų ataskaitų formavimas;

26.3.11. vartotojo veiksmų auditavimo modulis, kurio funkcija – užtikrinimas, kad informacinės sistemos paslaugų vartotojų veiksmai būtų užregistruoti ir išsaugoti;

26.3.12. duomenų mainų modulis, kurio funkcija – visų duomenų mainų tiek su vidinėmis, tiek su išorinėmis informacinėmis sistemomis užtikrinimas;

26.3.13. informavimo modulis, kurio funkcija – informacinis žinučių formavimas ir pateikimas adresatams.

V SKYRIUS

INFORMACINĖS SISTEMOS DUOMENŲ TEIKIMAS IR NAUDOJIMAS

27. Informacinės sistemos duomenų gavėjai yra:

27.1. Lietuvos Respublikos finansų ministerija;

27.2. Valstybinė mokesčių inspekcija prie Lietuvos Respublikos finansų ministerijos;

27.3. Viešųjų pirkimų tarnyba;

27.4. CPO LT.

28. Vieši informacinės sistemos duomenys yra teikiami juridiniams ir fiziniams asmenims, jeigu Lietuvos Respublikos ar Europos Sąjungos teisės aktuose nenustatyta kitaip. Asmens duomenys teikiami pagal informacinės sistemos tvarkytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį (daugkartinio teikimo atveju) arba duomenų gavėjo prašymą (vienkartinio teikimo atveju). Sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis. Kai asmens duomenys tvarkomi automatiniu būdu ir taikomos tinkamos duomenų saugumą užtikrinančios priemonės, teikiant asmens duomenis pagal duomenų valdytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį prioritetas teikiamas automatiniam duomenų teikimo būdui, o teikiant asmens duomenis pagal duomenų gavėjo prašymą, – duomenų teikimui elektroninių ryšių priemonėmis.

29. Duomenų teikimo būdai, formos ir tvarka:

29.1. kai informacija teikiama vieną kartą, prašančiam juridiniam ar fiziniam asmeniui duomenys teikiami pagal prašymą, kuriame nurodomas prašomos informacijos gavimo teisinis pagrindas, jos naudojimo tikslas, pateikimo būdas (-ai), apimtis, gavimo būdas (-ai), prašomų pateikti duomenų formatas;

29.2. kai informacija teikiama daugiau nei vieną kartą, prašančiam juridiniam ar fiziniam asmeniui (išskyrus asmenis, nurodytus Nuostatų 27.1 papunktyje) duomenys teikiami pagal sutartį, kurioje nustatoma prašomos pateikti informacijos apimtys ir gavimo teisinis pagrindas, naudojimo tikslas, informacijos pateikimo būdas (-ai), teikiamų duomenų formatas, teikimo terminai, informavimo apie klaidų ištaisymą tvarka ir terminai, sutarties keitimo tvarka.

30. Informacinės sistemos duomenų naudojimo sąlygos ir tvarka nustatyta informacinės sistemos naudojimosi sąlygų apraše, kuris yra viešai prieinamas informacinės sistemos tvarkytojo internetinėje svetainėje adresu www.registrucentras.lt ir informacinėje sistemoje. Laikoma, kad paslaugų vartotojas sutinka su informacinės sistemos naudojimosi sąlygomis, kai jis informacinėje sistemoje paspaudžia ant nuorodos (mygtuko) „Sutinku“, esančios naudojimosi sąlygų teksto apačioje.

31. Informacinės sistemos duomenys informacinės sistemos valdytojui, tvarkytojui ir duomenų gavėjams, nurodytiems Nuostatų 27 punkte, teikiami neatlygintinai. Už informacinės sistemos priemonėmis pateikiamas sąskaitas gali būti imamas atlygis, kurio dydį ir tvarką nustato informacinės sistemos valdytojas.

32. Duomenys Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka.

33. Duomenų gavėjas, informacinės sistemos tvarkytojas, duomenų subjektas ir paslaugų vartotojai turi teisę reikalauti ištaisyti netikslius duomenis. Informacinės sistemos tvarkytojas apie pastebėtus netikslumus turi būti informuojamas elektroniniu paštu. Informacinės sistemos tvarkytojas įsipareigoja elektroniniu paštu ir (ar) informacinės sistemos priemonėmis informuoti duomenų gavėjus ir kitus susijusius asmenis apie netikslių duomenų ištaisymą.

VI SKYRIUS

INFORMACINĖS SISTEMOS DUOMENŲ SAUGA

34. Informacinės sistemos duomenų saugą reglamentuoja informacinės sistemos valdytojo patvirtinti informacinės sistemos duomenų saugos nuostatai ir kiti saugos politikos įgyvendinimo dokumentai, kurie rengiami, derinami ir tvirtinami vadovaujantis Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“.

35. Už informacinės sistemos duomenų saugą pagal kompetenciją atsako informacinės sistemos valdytojas ir informacinės sistemos tvarkytojas.

36. Atsarginės duomenų kopijos daromos vadovaujantis Duomenų rezervinio kopijavimo ir laikmenų saugojimo tvarka, patvirtinta Registrų centro direktoriaus 2008 m. birželio 20 d. įsakymu Nr. v-148 „Dėl Nešiojamųjų įrenginių saugumo patvirtinimo tvarkos ir Duomenų rezervinio kopijavimo ir laikmenų saugojimo tvarkos patvirtinimo“ (2011 m. lapkričio 18 d. įsakymo Nr. v-221 redakcija).

37. Informacinės sistemos paslaugų vartotojai, tvarkantys informacinės sistemos duomenis, informaciją, dokumentus ir jų kopijas, yra įpareigoti saugoti duomenų ir informacijos paslaptį. Įpareigojimas saugoti paslaptį galioja ir nutraukus su duomenų, informacijos, dokumentų ir jų kopijų tvarkymu susijusią veiklą. Informacinės sistemos paslaugų vartotojai, kurie tvarko asmens duomenis, privalo saugoti asmens duomenų paslaptį. Ši pareiga galioja ir jiems pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus jų darbo ar sutartiniams santykiams.

38. Informacinėje sistemoje tvarkomų fizinių asmenų duomenų saugumas užtikrinamas Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme nustatyta tvarka ir vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T–71 (1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“.

39. Informacinės sistemos duomenys kaupiami ir sąskaitų duomenų bazėje saugomi, kol tvarkomi sąskaitų duomenys. Skaitmeniniame sąskaitų archyve duomenys saugomi 10 metų. Pasibaigus šiam terminui, duomenys sunaikinami Lietuvos vyriausiojo archyvaro nustatyta tvarka. Paslaugų vartotojų asmens duomenys informacinėje sistemoje ir archyve saugomi, kol saugomi tvarkomi (tvarkyti) jo sąskaitų duomenys arba kol paslaugų vartotojui kontrolės funkcijoms vykdyti reikalingas prisijungimas prie informacinės sistemos.

VII SKYRIUS

INFORMACINĖS SISTEMOS FINANSAVIMAS

40. Informacinė sistema finansuojama:

40.1. informacinės sistemos kūrimas ir įdiegimas – iš Europos Sąjungos struktūrinių fondų ir Lietuvos Respublikos valstybės biudžeto lėšų;

40.2. informacinės sistemos priežiūra – iš Lietuvos Respublikos valstybės biudžeto ir kitų finansavimo šaltinių;

40.3. informacinės sistemos tvarkymas – iš Lietuvos Respublikos valstybės biudžeto, Europos Sąjungos struktūrinių fondų ir kitų finansavimo šaltinių lėšų, taip pat lėšų, gautų už naudojimąsi informacinės sistemos duomenimis.

VIII SKYRIUS

INFORMACINĖS SISTEMOS MODERNIZAVIMAS IR LIKVIDAVIMAS

41. Informacinė sistema modernizuojama ir likviduojama Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka.

42. Likviduojant informacinę sistemą, jos duomenys perduodami kitai informacinei sistemai arba sunaikinami, arba perduodami valstybės archyvui Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

43. Duomenų subjekto teisės ir jų įgyvendinimo tvarka nustatoma vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.

_______________________________

Priedo pakeitimai:

Nr. 1K-343, 2014-10-31, paskelbta TAR 2014-11-11, i. k. 2014-16639

PATVIRTINTA

Lietuvos Respublikos finansų ministro

2012 m. rugsėjo 6 d. įsakymu Nr. 1K-297

INFORMACINĖS SISTEMOS „E. SĄSKAITA“ DUOMENŲ SAUGOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Informacinės sistemos „E. sąskaita“ duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja informacinės sistemos „E. sąskaita“ (toliau – IS) duomenų saugą ir nustato jų saugos politiką.

2. Saugos nuostatų tikslas – nustatyti technines ir organizacines priemones, kurios leistų užtikrinti elektroninės informacijos, saugomos ir apdorojamos IS, konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei kompiuterių tinklo aktyviosios įrangos funkcionavimą. IS duomenų saugai užtikrinti privaloma kompleksiškai naudoti administracines, technines ir programines priemones, padedančias įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo stiprinimo bei saugos priemonių projektavimo ir diegimo principus.

3. Šiuose Saugos nuostatuose vartojamos sąvokos atitinka Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), kituose teisės aktuose ir Lietuvos standarte LST ISO/IEC 27002:2009 vartojamas sąvokas.

4. IS keliami pagrindiniai saugos reikalavimai:

4.1. turi būti įgyvendintos visos informacijos saugumo valdymo priemonės, privalomos II kategorijos valstybės informacinėms sistemoms, nustatytos Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniuose saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);

4.2. asmens duomenų apsauga turi būti užtikrinta vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804) ir Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12) (Žin., 2008, Nr. 135-5298);

4.3. IS registruoja ir saugo visus IS naudotojų ir IS administratorių veiksmus. Įrašai saugomi nustatytą laikotarpį taip, kad jų nebūtų galima suklastoti arba sunaikinti;

4.4. prieiga prie IS iš išorinių kompiuterių tinklų turi būti apsaugota specializuotomis ugniasienėmis (WAF, XML firewall), atsižvelgiant į IS technologinę specifiką;

4.5. sutrikus IS darbui, IS naudotojams turi būti pateikiami atitinkami pranešimai;

4.6. IS turi užtikrinti tinkamą avarinių situacijų, kurias sukėlė neteisingi IS naudotojo veiksmai (netinkamo įvedamų duomenų formato arba neleidžiamos įvedamų duomenų reikšmės parinkimas ir kt.), valdymą.

5. Informacijos saugumo užtikrinimo prioritetinės kryptys:

5.1. elektroninės informacijos konfidencialumo užtikrinimas;

5.2. elektroninės informacijos vientisumo užtikrinimas;

5.3. elektroninės informacijos prieinamumo užtikrinimas;

5.4. IS veiklos tęstinumas;

5.5. asmens duomenų apsauga.

6. IS valdytojo ir IS tvarkytojo pavadinimai ir adresai:

6.1. IS valdytoja yra Lietuvos Respublikos finansų ministerija, Lukiškių g. 2, LT-01104 Vilnius;

6.2. IS tvarkytojas yra valstybės įmonė Registrų centras, Vinco Kudirkos g. 18-3, LT-03105 Vilnius.

7. IS valdytojo funkcijos ir atsakomybė:

7.1. organizuoja IS veiklą ir jai vadovauja, paveda IS tvarkytojui skirti saugos įgaliotinį;

7.2. rengia ir tvirtina teisės aktus, susijusius su IS tvarkymu ir duomenų sauga;

7.3. tvirtina IS tvarkytojo pateiktą IS informacinių technologijų saugos reikalavimų atitikties teisės aktams vertinimo metu nustatytų trūkumų šalinimo planą;

7.4. tvirtina IS tvarkytojo pateiktą IS rizikos vertinimo metu pastebėtų trūkumų šalinimo planą;

7.5. kontroliuoja, kad IS būtų tvarkoma vadovaujantis Lietuvos Respublikos įstatymais, šiais Saugos nuostatais ir kitais teisės aktais;

7.6. atsako už tinkamą šiame punkte nustatytų funkcijų vykdymą.

8. IS tvarkytojo funkcijos ir atsakomybė:

8.1. IS valdytojo pavedimu skiria IS saugos įgaliotinį (toliau – saugos įgaliotinis);

8.2. skiria IS administratorių arba kelis IS administratorius, vykdančius atskiras IS administravimo funkcijas (toliau – administratorius);

8.3. atlieka IS duomenų bazių ir tarnybinių stočių priežiūrą;

8.4. užtikrina IS sąveiką su kitomis informacinėmis sistemomis ir registrais;

8.5. užtikrina nepertraukiamą IS veikimą ir duomenų, saugomų ir apdorojamų IS, saugą;

8.6. IS tvarkytojo ir IS duomenų gavėjų sutartyse dėl duomenų teikimo nustatyta tvarka teikia IS duomenis duomenų gavėjams;

8.7. atlieka kitas IS nuostatų, Saugos nuostatų ir kitų teisės aktų nustatytas funkcijas;

8.8. teikia pasiūlymus IS valdytojui dėl duomenų saugos tobulinimo;

8.9. ne rečiau kaip kartą per metus, atlikus IS rizikos analizę ir informacinių technologijų saugos atitikties vertinimą, ir, jei reikia, organizuoja IS saugos dokumentų atnaujinimą;

8.10. IS tvarkytojo vadovas yra atsakingas už tinkamą šiame punkte nustatytų funkcijų vykdymą.

9. Saugos įgaliotinis, įgyvendindamas IS saugos priemones, atlieka šias funkcijas:

9.1. teikia IS tvarkytojo vadovui pasiūlymus dėl:

9.1.1. administratoriaus ar administratorių paskyrimo;

9.1.2. IS saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;

9.1.3. IS informacinių technologijų saugos reikalavimų atitikties teisės aktams vertinimo metu ir IS rizikos vertinimo metu pastebėtų trūkumų šalinimo;

9.1.4. saugos tobulinimo;

9.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių IS, tyrimą, išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės;

9.3. teikia administratoriui privalomus vykdyti nurodymus ir pavedimus;

9.4. kasmet organizuoja:

9.4.1. IS rizikos vertinimą;

9.4.2. IS informacinių technologijų saugos reikalavimų atitikties vertinimą;

9.5. rengia IS naudotojams seminarus informacijos saugos klausimais, informuoja juos apie informacijos saugos problemas (siunčia priminimus elektroniniu paštu, rengia teminius seminarus, atmintines naujiems naudotojams);

9.6. atlieka kitas IS valdytojo ir IS tvarkytojo vadovų pavestas ir Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose jam priskirtas funkcijas.

10. Saugos įgaliotinis, įgyvendindamas elektroninės informacijos saugos priemones, yra atsakingas už tinkamą šių Saugos nuostatų 9 punkte nustatytų funkcijų vykdymą.

11. Administratorius, vykdantis IS priežiūrą, atlieka šias funkcijas:

11.1. vertina IS naudotojų pasirengimą dirbti su IS;

11.2. rengia, tikrina ir analizuoja IS sudarančių komponentų sąranką ir būsenos rodiklius;

11.3. pastebėjęs esamą arba tikėtiną IS saugumo spragą, informuoja atsakingus asmenis;

11.4. informuoja saugos įgaliotinį apie informacijos saugos pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias IS duomenų saugos užtikrinimo priemones;

11.5. daro atsargines IS duomenų kopijas.

12. Administratorius, vykdydamas IS priežiūrą, yra atsakingas už tinkamą šių Saugos nuostatų 11 punkte nustatytų funkcijų vykdymą.

13. Saugų IS duomenų tvarkymą reglamentuoja:

13.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

13.2. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952;

13.3. Saugos dokumentų turinio gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172;

13.4. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160);

13.5. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniai saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384;

13.6. Lietuvos standartai LST ISO/IEC 27001:2006 ir LST ISO/IEC 27002:2009, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, nustatantys saugų informacinės sistemos duomenų tvarkymą;

13.7. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12);

13.8. kiti teisės aktai, reglamentuojantys elektroninės informacijos saugos politiką (toliau – saugos politika) ir duomenų tvarkymo teisėtumą, valstybės informacinių sistemų tvarkytojų veiklą ir duomenų saugos valdymą.

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

14. IS, vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247, priskiriama prie antros kategorijos informacinių sistemų.

15. Elektroninės informacijos priskyrimas prie tam tikros kategorijos nustatomas įvertinus tvarkomų duomenų tipą ir poveikį IS funkcionavimui, atsižvelgiant į jų konfidencialumą, vientisumą ir pasiekiamumą.

16. Saugos įgaliotinis, vadovaudamasis Lietuvos standartu LST ISO/IEC 27005 „Informacijos technologija. Saugumo technika. Informacijos saugumo rizikos valdymas“, kasmet organizuoja ir vykdo IS rizikos veiksnių vertinimą. Prireikus, saugos įgaliotinis gali organizuoti neeilinį IS rizikos veiksnių vertinimą.

17. IS rizikos veiksnių vertinimas surašomas IS rizikos įvertinimo ataskaitoje. IS rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti poveikį informacijos saugai. Svarbiausi rizikos veiksniai yra šie:

17.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, dalinis duomenų ištrynimas, atsitiktinis klaidingų duomenų teikimas, fiziniai informacinių technologijų sutrikimai, duomenų perdavimo kompiuterių tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

17.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis IS duomenims gauti, IS duomenų pakeitimas ar sunaikinimas, tyčiniai informacinių technologijų duomenų perdavimo kompiuterių tinklais sutrikdymai, piktybiniai IS saugumo pažeidimai, vagystės ir kita);

17.3. nenugalima jėga (force majeure).

18. Rizikos veiksniai vertinami pagal elektroninės informacijos kategorijas, nustatant jų poveikio IS elektroninės informacijos saugai laipsnius:

18.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nėra pavojingi – informacija nusiųsta kitam adresatui, įvesti netikslūs duomenys (gramatinė ar kitokia klaida), dingo dalis informacijos, kurią galima greitai atkurti iš turimų atsarginių duomenų kopijų, prarasta informacija atlikus paskutinį kopijavimą;

18.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys sugadinti dėl virusų ar kenkėjiškos veiklos, bet juos įmanoma atkurti iš turimų atsarginių kopijų, duomenų bazių įrašai pakeisti, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterių programos ir operacinė sistema;

18.3. A – aukštas. Duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti – duomenys visiškai sugadinti, dėl vagystės, gaisro ar užliejimo prarasti ne tik duomenų bazių duomenys, bet ir atsarginės kopijos, neveikia visa IS.

19. IS rizikos vertinimo darbų apimtis:

19.1. IS sudarančių informacinių išteklių inventorizacija;

19.2. poveikio IS veiklai vertinimas;

19.3. grėsmės ir pažeidimų analizė;

19.4. liekamosios rizikos vertinimas.

20. IS valdytojas, atsižvelgdamas į IS rizikos įvertinimo ataskaitą, prireikus, tvirtina IS rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis IS rizikos valdymo priemonėms įgyvendinti.

21. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:

21.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

21.2. informacijos saugos priemonės diegimo kaina atitinka saugomos informacijos vertę;

21.3. kur galima, turi būti įdiegtos prevencinės, grėsmes aptinkančios ir jas mažinančios informacijos saugos priemonės.

22. Siekiant užtikrinti šiuose Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, ne rečiau kaip kartą per metus yra organizuojamas informacinių technologijų saugos atitikties vertinimas, kurio metu:

22.1. vertinama šių Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų ir realios informacijos saugos atitiktis;

22.2. inventorizuojama IS techninė ir programinė įranga;

22.3. tikrinama IS tarnybinėse stotyse įdiegta programinė įranga ir jų sąranka;

22.4. tikrinama (vertinama) duomenis tvarkantiems IS naudotojams ir administratoriui suteiktų teisių atitiktis jų vykdomoms funkcijoms;

22.5. vertinamas pasirengimas užtikrinti IS veiklos tęstinumą įvykus saugos incidentui.

23. Atlikus šių Saugos nuostatų 22 punkte nurodytą vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato IS valdytojas.

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

24. Priemonės ir metodai, taikomi užtikrinant prieigą prie IS, nurodant leistiną šios prieigos laiką ir būdą, nustatomi IS naudotojų administravimo taisyklėse.

25. Visos IS tarnybinės stotys ir kompiuterizuotos darbo vietos turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir kitos kenksmingos programinės įrangos). Apsaugai naudojama programinė įranga turi būti centralizuotai valdoma ir turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas.

26. Naudoti programinę įrangą, nesusijusią su IS tvarkytojo veikla ir atliekamomis funkcijomis (žaidimų, bylų siuntimo, internetinių pokalbių programų), draudžiama.

27. Tvarkant IS, nešiojamieji kompiuteriai naudojami vadovaujantis valstybės įmonės Registrų centro direktoriaus 2008 m. birželio 20 d. įsakyme Nr. v-148 „Dėl Nešiojamųjų įrenginių saugumo patvirtinimo tvarkos ir Duomenų rezervinio kopijavimo ir laikmenų saugojimo tvarkos patvirtinimo“ (2011 m. lapkričio 18 d. įsakymo Nr. v-221 redakcija) nustatyta tvarka.

28. IS naudotojų prieiga prie kitų valstybės institucijų arba žinybų kompiuterių tinklų ar interneto turi būti apsaugota užkardomis. Interneto turinys turi būti kontroliuojamas, nepraleidžiant nepageidaujamos informacijos.

29. Atsarginės duomenų kopijos daromos vadovaujantis valstybės įmonės Registrų centro direktoriaus 2008 m. birželio 20 d. įsakyme Nr. v-148 „Dėl Nešiojamųjų įrenginių saugumo patvirtinimo tvarkos ir Duomenų rezervinio kopijavimo ir laikmenų saugojimo tvarkos patvirtinimo“ (2011 m. lapkričio 18 d. įsakymo Nr. v-221 redakcija) nustatyta tvarka.

30. Duomenų atkūrimo iš atsarginių kopijų testavimas atliekamas ne rečiau kaip kartą per pusę metų.

31. IS nuo išorinių viešųjų kompiuterių tinklų turi būti atskirta naudojant įgaliotąją tarnybinę stotį. Įgaliotoje tarnybinėje stotyje turi būti fiksuojama ir saugos politiką įgyvendinančiuose dokumentuose nustatytą laiką saugoma informacija apie visų IS naudotojų kreipinius.

32. Automatiniai duomenų mainai tarp informacinių sistemų turi būti vykdomi tik naudojant saugias ryšio linijas su perduodamų duomenų šifravimu. Duomenų šifravimo algoritmas – ne žemesnis nei 128 bitų raktą turintis pažangus šifravimo standartas.

33. IS naudotojai, jungdamiesi prie IS iš nutolusių darbo vietų per viešuosius kompiuterių tinklus, privalo naudoti tik saugias HTTPS jungtis.

IV. REIKALAVIMAI PERSONALUI

34. IS naudotojai privalo rūpintis tvarkomos informacijos saugumu.

35. Visi IS naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti IS duomenis IS nuostatų nustatyta tvarka ir būti susipažinę su Saugos nuostatais ir saugos politikos įgyvendinimą reglamentuojančiais teisės aktais.

36. Saugos įgaliotinis, administratorius ir IS naudotojai, pažeidę šių Saugos nuostatų ar kitų saugos politiką įgyvendinančių teisės aktų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

37. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais teisės aktais. Saugos įgaliotinis privalo sugebėti prižiūrėti, kaip įgyvendinama IS saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

38. Administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais ir gebantis administruoti tarnybines stotis bei mokantis užtikrinti jų saugumą. Administratorius privalo mokėti administruoti duomenų bazes. Gali būti skiriami ir keli administratoriai.

39. Saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja IS naudotojų mokymą informacijos saugos klausimais.

V. IS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

40. Už IS naudotojų supažindinimą su šiais Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais yra atsakingas saugos įgaliotinis.

41. Saugos įgaliotinis atsakingas už tai, kad šie Saugos nuostatai ir kiti saugos politiką įgyvendinantys teisės aktai būtų paskelbti IS naudotojams pasiekiamame tinklalapyje. Pakeitus arba paskelbus naujus dokumentus IS naudotojai apie tai informuojami elektroniniu paštu.

42. Administratorių su šiais Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą pasirašytinai supažindina saugos įgaliotinis.

43. Saugos įgaliotinis tvarko administratoriaus supažindinimo su saugos politiką įgyvendinančiais teisės aktais žurnalą, kuriame nurodoma ši informacija:

43.1. administratoriaus supažindinimo su teisės aktais data;

43.2. administratoriaus vardas, pavardė;

43.3. administratoriaus pareigos;

43.4. administratoriaus parašas.

44. Pakartotinai su saugos politiką nustatančiais teisės aktais IS naudotojai supažindinami tik iš esmės pasikeitus informacinėms sistemoms arba informacijos saugą reguliuojantiems teisės aktams. Informacija apie saugos politiką įgyvendinančių teisės aktų pasikeitimus skelbiama IS naudotojams pasiekiamame tinklalapyje.

_________________

Pakeitimai:

Lietuvos Respublikos finansų ministerija, Įsakymas

Nr. 1K-343, 2014-10-31, paskelbta TAR 2014-11-11, i. k. 2014-16639

Dėl finansų ministro 2012 m. rugsėjo 6 d. įsakymo Nr. 1K-297 „Dėl Informacinės sistemos „E. sąskaita“ nuostatų patvirtinimo“ pakeitimo