Įsakymas netenka galios 2018-08-31:
Lietuvos Respublikos vidaus reikalų ministerija, Įsakymas
Nr. 1V-372, 2018-05-25, paskelbta TAR 2018-05-25, i. k. 2018-08428
Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos valdytojo funkcijų perdavimo ir Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymo Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ pripažinimo netekusiu galios
Suvestinė redakcija nuo 2016-11-04 iki 2018-08-30
Įsakymas paskelbtas: Žin. 2012, Nr. 123-6204, i. k. 1122310ISAK001V-740
Nauja redakcija nuo 2016-11-04:
Nr. 1V-778, 2016-11-02, paskelbta TAR 2016-11-03, i. k. 2016-26157
LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRAS
ĮSAKYMAS
DĖL VALSTYBĖS INFORMACINIŲ IŠTEKLIŲ ATITIKTIES ELEKTRONINĖS INFORMACIJOS SAUGOS REIKALAVIMAMS STEBĖSENOS SISTEMOS NUOSTATŲ PATVIRTINIMO
2012 m. spalio 16 d. Nr. 1V-740
Vilnius
Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8 ir 30 straipsniais ir Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktu:
1. Tvirtinu Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatus (pridedama).
2. Skiriu Lietuvos Respublikos vidaus reikalų ministerijos Viešojo valdymo politikos departamento Viešojo administravimo politikos skyriaus vedėją Virginijų Vaškelį Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos duomenų valdymo įgaliotiniu.
Vidaus reikalų ministras Artūras Melianas
SUDERINTA
Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos
2012 m. rugpjūčio 3 d. raštu Nr. S-1030
PATVIRTINTA
Lietuvos Respublikos vidaus reikalų
ministro 2012 m. spalio 16 d. įsakymu
Nr. 1V-740 (Lietuvos Respublikos
vidaus reikalų ministro
2016 m. lapkričio 2 d. įsakymo
Nr. 1V-778 redakcija)
VALSTYBĖS INFORMACINIŲ IŠTEKLIŲ ATITIKTIES ELEKTRONINĖS INFORMACIJOS SAUGOS REIKALAVIMAMS STEBĖSENOS SISTEMOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai (toliau – Nuostatai) nustato Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos (toliau – ARSIS) steigimo pagrindą, tikslą, uždavinį, funkcijas, organizacinę, informacinę ir funkcinę struktūras, ARSIS duomenų teikimo ir naudojimo tvarką, ARSIS duomenų saugą, ARSIS finansavimo, modernizavimo ir likvidavimo tvarką.
2. ARSIS steigimo pagrindas – Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 5 straipsnio 4 dalies 1, 2 ir 4 punktai, 431 straipsnio 1 dalis, Lietuvos Respublikos vidaus reikalų ministerijos nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2001 m. kovo 14 d. nutarimu Nr. 291 „Dėl Lietuvos Respublikos vidaus reikalų ministerijos nuostatų patvirtinimo“, 14.5, 14.7 papunkčiai.
3. ARSIS tikslas – informacinių technologijų priemonėmis vykdyti valstybės informacinių išteklių (toliau – informaciniai ištekliai) atitikties Lietuvos Respublikos Vyriausybės nustatytiems elektroninės informacijos saugos reikalavimams (toliau – saugos reikalavimai) stebėseną.
4. ARSIS uždavinys yra automatizuoti duomenų apie saugos reikalavimų įgyvendinimą informaciniuose ištekliuose tvarkymo, valstybės ir kitų informacinių sistemų, valstybės ir žinybinių registrų (toliau – informacinės sistemos ir registrai) rizikos vertinimo, atitikties saugos reikalavimams priežiūros, informacinių sistemų ir registrų valdytojų informavimo apie jų valdomiems informaciniams ištekliams taikomus saugos reikalavimus bei elektroninės informacijos saugos rizikas procesus.
5. ARSIS funkcijos:
5.1. kaupti, saugoti, apdoroti, sisteminti ir kitaip tvarkyti duomenis apie:
5.1.3. informacinių išteklių neatitikimo saugos reikalavimams šalinimą ir šiuo tikslu informacinių sistemų ir registrų valdytojų vykdomas saugos stiprinimo bei tobulinimo priemones;
5.2. informuoti informacinių sistemų ir registrų valdytojus ir tvarkytojus apie jų valdomiems ir (ar) tvarkomiems informaciniams ištekliams taikomus saugos reikalavimus, jų įgyvendinimo būdus, elektroninės informacijos saugos rizikas ir jų valdymo būdus;
7. ARSIS kuriama ir tvarkoma vadovaujantis:
7.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (toliau ─Asmens duomenų teisinės apsaugos įstatymas);
7.3. Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau − Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas);
7.4. Elektroninės informacijos saugos (kibernetinio saugumo) plėtros 2011–2019 metais programa, patvirtinta Lietuvos Respublikos Vyriausybės 2011 m. birželio 29 d. nutarimu Nr. 796 „Dėl Elektroninės informacijos saugos (kibernetinio saugumo) plėtros 2011–2019 metais programos patvirtinimo“;
7.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas);
II SKYRIUS
ARSIS ORGANIZACINĖ STRUKTŪRA
10. ARSIS tvarkytojas ir asmens duomenų tvarkytojas yra Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos.
11. ARSIS valdytoja atlieka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme nustatytas funkcijas, turi šiame įstatyme nustatytas teises ir pareigas.
12. ARSIS valdytoja, kaip asmens duomenų valdytoja, atlieka Asmens duomenų teisinės apsaugos įstatyme nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas.
13. ARSIS tvarkytojas atlieka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme nustatytas funkcijas, turi šiame įstatyme nustatytas teises ir pareigas, o taip pat:
13.1. ARSIS saugos dokumentuose nustatyta tvarka užtikrina reikiamas administracines, technines ir organizacines ARSIS tvarkomų duomenų saugos priemones ir kontroliuoja tokių priemonių laikymąsi;
13.3. teikia ARSIS valdytojui pasiūlymus dėl ARSIS tobulinimo, jos eksploatavimui, priežiūrai ir plėtrai skirtų techninių, programinių priemonių įsigijimo, organizuoja jų įdiegimą, modernizavimą, priežiūrą;
14. ARSIS tvarkytojas, kaip asmens duomenų tvarkytojas, atlieka Asmens duomenų teisinės apsaugos įstatyme nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas.
15. ARSIS duomenų teikėjai yra:
15.1. Informacinės visuomenės plėtros komitetas prie Lietuvos Respublikos susisiekimo ministerijos, kuris teikia į ARSIS:
15.2. valstybės informacinių sistemų, valstybės ir žinybinių registrų valdytojai ir (ar) tvarkytojai, kurie teikia duomenis, nekaupiamus valstybės informacinėse sistemose ir registruose (toliau – pirminiai duomenys);
III SKYRIUS
ARSIS INFORMACINĖ STRUKTŪRA
16. ARSIS duomenų bazėje kaupiami šie duomenys:
16.1. informacinių sistemų ir registrų duomenys:
16.1.4. valdytojas:
16.1.5. tvarkytojas:
16.2. saugos reikalavimų duomenys:
16.2.12. reikalavimo taikymo sritis (pagal informacinio ištekliaus rūšį, kategoriją, elektroninės informacijos svarbą, asmens duomenų saugumo lygį);
16.3. saugos reikalavimų įgyvendinimo informaciniuose ištekliuose duomenys:
16.3.1. informacinių technologijų saugos auditų duomenys:
16.4. bendrieji saugos priemonių duomenys:
16.5. saugos priemonių įgyvendinimo projektų duomenys:
16.5.6. projekto įgyvendinimui reikalingų išteklių duomenys:
16.6. rizikos įvertinimo duomenys:
16.6.1. bendrieji rizikos įvertinimo duomenys:
16.6.2. informacinio ištekliaus kritiškumo duomenys:
16.6.3. grėsmių vertinimo duomenys:
16.6.4. specialieji rizikos įvertinimo duomenys:
16.6.5. rizikos klasifikatoriaus duomenys:
16.6.5.4 rizikos veiksnio paveikiamas informacinio ištekliaus saugumo komponentas: konfidencialumas, vientisumas ir (arba) pasiekiamumas;
16.7. duomenys apie saugumo įvykius:
16.8. ARSIS naudotojų duomenys:
16.9. institucijų duomenys:
16.10. ARSIS klasifikatoriai:
16.10.13. informacinio ištekliaus kritiškumas (poveikio konfidencialumui, vientisumui, prieinamumui lygis);
17. Nuostatų 16.7 papunktyje nurodyti duomenys teikiami, jei atitinkamos informacinės sistemos ir registrų valdytojas ar tvarkytojas disponuoja techninėmis priemonėmis tokius duomenis leidžiamosios kreipties būdu teikti ARSIS.
18. ARSIS duomenų tvarkymui naudojami šių informacinių sistemų ir registrų duomenų teikėjų pateikti duomenys:
18.3. valstybės informacinių sistemų, valstybės ir žinybinių registrų valdytojų ir (ar) tvarkytojų – Nuostatų 16.1.8−16.1.11, 16.3−16.7 papunkčiuose nurodyti pirminiai duomenys;
IV SKYRIUS
ARSIS FUNKCINĖ STRUKTŪRA
19. ARSIS funkcinę struktūrą sudaro:
19.1. Duomenų įvedimo ir gavimo posistemė, kurios funkcijos:
19.1.1. įvesti, pateikti į ARSIS informacinių išteklių atitikties saugos reikalavimams duomenis bei juos gauti;
19.2. Informacinių išteklių posistemė, kurios funkcija – tvarkyti duomenis apie informacines sistemas ir registrus, jų valdytojus, tvarkytojus, tarpusavio ryšius ir taikytinus saugos reikalavimus;
19.3. Elektroninės informacijos saugos reikalavimų posistemė, kurios funkcija – tvarkyti duomenis, apibūdinančius saugos reikalavimus, jų tarpusavio ryšius, taikymo sritis ir įgyvendinimo būdus;
19.4. Ataskaitų ir vizualizavimo posistemė, kurios funkcijos:
19.4.1. stebėti, įvairiomis priemonėmis analizuoti ARSIS duomenis ir pateikti ataskaitas (atitikties vertinimo, rizikos įvertinimo ir kitas);
19.5. Audito posistemė, kurios funkcijos:
19.5.2. analizuoti ir vertinti informacinių išteklių atitiktį saugos reikalavimams ir šią atitiktį pagrindžiančius duomenis;
19.6. Automatinės stebėsenos posistemė, kurios funkcija – teikti į ARSIS informacijos saugumo įvykių duomenis leidžiamosios kreipties būdu;
19.7. Rizikos vertinimo posistemė, kurios funkcijos:
19.8. Informacinių išteklių saugos tobulinimo projektų posistemė, kurios funkcijos:
19.9. Administravimo posistemė, kurios funkcijos:
V SKYRIUS
ARSIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS
20. Informacinių sistemų ir registrų valdytojams ir (ar) tvarkytojams, nurodytiems Nuostatų 15.2 ir 15.3 papunkčiuose, teikiami duomenys apie jų valdomų ir (ar) tvarkomų informacinių išteklių atitiktį saugos reikalavimams, rizikas, taikytinas saugos priemones ir jų diegimą bei informacijos saugumo įvykius interaktyviai (per interneto naršyklę) ir (arba) leidžiamosios kreipties būdu (sąsaja tarp sistemų). Šiame punkte nurodytiems duomenų gavėjams ARSIS duomenys teikiami nuolat, nesudarant duomenų teikimo sutarties.
21. Duomenų gavėjams, nenurodytiems Nuostatų 20 punkte, ARSIS duomenys teikiami pagal duomenų teikimo sutartis (daugkartinio teikimo atvejais) arba duomenų gavėjo prašymą (vienkartinio teikimo atvejais). Kai duomenys teikiami pagal duomenų gavėjo prašymą, prašyme turi būti nurodytas prašomų duomenų teikimo ir gavimo teisinis pagrindas, jų naudojimo tikslas, teikimo būdas, apimtis, gavimo būdai, teikiamų duomenų formatas. Kai duomenys teikiami duomenų gavėjui pagal duomenų teikimo sutartį, sutartyje turi būti nustatyta ARSIS duomenų teikimo ir gavimo teisinis pagrindas, jų naudojimo tikslas, sąlygos ir tvarka, teikiamų duomenų apimtis.
22. Detalūs Lietuvos standarto LST ISO/IEC 27001:2013 ir LST ISO/IEC 27002:2014 duomenys ARSIS duomenų gavėjams teikiami tik tuo atveju, jei duomenų gavėjai Nuostatų 42 punkte nustatyta tvarka nurodė, kad turi teisę naudotis šiais standartais.
23. ARSIS duomenys yra vieši, tačiau neskelbiami. Asmens duomenys naudojami vadovaujantis Asmens duomenų teisinės apsaugos įstatymo reikalavimais.
25. ARSIS duomenys duomenų gavėjams teikiami tokio turinio ir tokios formos, kokie yra naudojami ARSIS, ir nereikalauja papildomo duomenų apdorojimo. Jeigu ARSIS teikiamų duomenų forma ir turinys neatitinka ARSIS duomenų gavėjo poreikių, esant techninėms galimybėms, ARSIS tvarkytojas gali pateikti duomenis kita forma, kuri turi būti nustatyta duomenų teikimo sutartyje.
26. ARSIS tvarkytojas, nustatęs į ARSIS pateiktų duomenų, informacijos, dokumentų ir (arba) jų kopijų netikslumus, neteisingumą ar neišsamumą, raštu arba elektroninio ryšio priemonėmis per 5 darbo dienas nuo šių aplinkybių paaiškėjimo turi kreiptis į ARSIS duomenų teikėjus ir pareikalauti, kad ši informacija ar duomenys būtų patikslinti, ištaisyti ar papildyti Nuostatų 47 punkte nurodytu būdu. Jei ARSIS duomenų teikėjui nėra suteiktos prieigos teisės pasinaudoti Nuostatų 47 punkte nurodytu būdu, jis privalo ARSIS tvarkytojui raštu ar elektroninio ryšio priemonėmis pateikti patikslintus, ištaisytus ar papildytus duomenis, o ARSIS tvarkytojas įrašo juos į duomenų bazę per 5 darbo dienas nuo patikslintų, papildytų ar ištaisytų duomenų gavimo.
27. ARSIS duomenų gavėjas turi teisę reikalauti ištaisyti netikslius duomenis. Pastebėję jiems perduotų duomenų netikslumus, jie patikslina juos ARSIS priemonėmis, o jeigu tokios teisės ARSIS tvarkytojas jiems nėra suteikęs, raštu arba elektroninio ryšio priemonėmis ne vėliau kaip per 5 darbo dienas apie tai praneša ARSIS tvarkytojui, kartu pateikdami netikslumus pagrindžiančius dokumentus. ARSIS tvarkytojas privalo per 10 darbo dienų nuo informacijos apie ARSIS duomenų netikslumus ir juos pagrindžiančių dokumentų gavimo patikrinti pateiktą informaciją. Informacijai pasitvirtinus, jis privalo ištaisyti netikslumus ir raštu arba elektroninio ryšio priemonėmis pranešti apie tai ARSIS duomenų gavėjui, o informacijai nepasitvirtinus – raštu arba elektroninio ryšio priemonėmis pranešti ją pateikusiam ARSIS duomenų gavėjui apie atsisakymą ištaisyti netikslumus.
VI SKYRIUS
ARSIS DUOMENŲ SAUGA
29. Už ARSIS duomenų (informacijos) saugą pagal kompetenciją atsako ARSIS valdytojas ir ARSIS tvarkytojas.
30. ARSIS duomenų teikėjai atsako už pateikiamų duomenų vientisumą ir teisingumą, taip pat už savalaikį prašymų suteikti, pakeisti, sustabdyti ir (ar) panaikinti naudotojo prieigą prie ARSIS savo darbuotojams pateikimą ARSIS tvarkytojui.
31. ARSIS duomenų sauga užtikrinama vadovaujantis:
31.1. Vidaus reikalų informacinės sistemos duomenų saugos nuostatais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2007 m. sausio 2 d. įsakymu Nr. 1V-1 „Dėl Vidaus reikalų informacinės sistemos nuostatų ir Vidaus reikalų informacinės sistemos duomenų saugos nuostatų patvirtinimo“ ir Vidaus reikalų informacinės sistemos saugos politiką įgyvendinančiais dokumentais, parengtais vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;
31.2. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2016 m. balandžio 20 d. nutarimu Nr. 387 „Dėl Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų ypatingos svarbos informacinei infrastruktūrai ir valstybės informaciniams ištekliams, aprašo patvirtinimo“;
31.3. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
31.4. Lietuvos standartais LST ISO/IEC „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“;
32. ARSIS naudotojai jungiasi prie ARSIS naudodamiesi tik ARSIS programine įranga ir saugiu kompiuterių tinklu, užtikrinančiu saugų informacijos perdavimą. ARSIS naudotojui jungiantis prie ARSIS ir dirbant su šia sistema, fiksuojamas jo unikalus identifikatorius, leidžiantis nustatyti asmens tapatybę.
33. Asmens duomenų saugumas užtikrinamas vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms asmens duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms asmens duomenų saugumo priemonėms patvirtinimo“.
34. ARSIS tvarkytojo darbuotojai, tvarkantys ARSIS duomenis, informaciją, dokumentus ir jų kopijas, yra įpareigoti saugoti asmens duomenų paslaptį. Ši pareiga galioja ir jiems pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus jų darbo ar sutartiniams santykiams.
35. ARSIS valdytojas, ARSIS tvarkytojas ir ARSIS naudotojai teisės aktų nustatyta tvarka atsako už neteisėtą gaunamų iš ARSIS duomenų (informacijos) atskleidimą, naudojimą ar kitokią neteisėtą veiką, susijusią su ARSIS.
36. Duomenų saugojimo ARSIS duomenų bazėje terminai:
36.1. Nuostatų 16.1, 16.3−16.7 ir 16.9 papunkčiuose (išskyrus Nuostatų 36.2 papunktyje nurodytus papunkčius) nurodyti duomenys saugomi 10 metų nuo informacinės sistemos ar registro išregistravimo iš RISR;
36.2. Nuostatų 16.1.6 ir 16.1.8 papunkčiuose nurodyti asmens duomenys saugomi 1 metus nuo informacinės sistemos ar registro išregistravimo iš RISR;
36.3. Nuostatų 16.2 papunktyje nurodyti duomenys saugomi 10 metų nuo atitinkamą reikalavimą nustatančio teisės akto pripažinimo netekus galios;
VII SKYRIUS
ARSIS FINANSAVIMAS
VIII SKYRIUS
ARSIS MODERNIZAVIMAS IR LIKVIDAVIMAS
39. ARSIS modernizuojama ir likviduojama Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo ir Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo nustatyta tvarka.
40. Likviduojamos ARSIS duomenys negali būti sunaikinami, išskyrus Lietuvos Respublikos įstatymuose ar Europos Sąjungos teisės aktuose nustatytus atvejus, ir privalo būti perduoti kitai valstybės informacinei sistemai arba valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.
IX SKYRIUS
BAIGIAMOSIOS NUOSTATOS
41. Informacinės sistemos ar registro valdytojas arba tvarkytojas, jei jam pavedė valdytojas, paskiria už šios informacinės sistemos ar registro duomenų tvarkymą atsakingą asmenį (toliau – atsakingas asmuo). Gali būti skiriami keli atsakingi asmenys, tačiau vienas iš jų turi būti šios informacinės sistemos ar registro saugos įgaliotinis.
42. Dėl prieigos prie ARSIS teisės atsakingam asmeniui suteikimo informacinės sistemos ar registro valdytojas arba tvarkytojas ARSIS tvarkytojui pateikia prašymą registruoti ARSIS naudotoją ir atsakingo asmens užpildytą pasižadėjimą laikytis duomenų saugos reikalavimų, kurių formos nustatytos Vidaus reikalų informacinės sistemos centrinio duomenų banko naudotojų administravimo taisyklėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2008 m. gegužės 6 d. įsakymu Nr. 1V-165 „Dėl Vidaus reikalų informacinės sistemos centrinio duomenų banko naudotojų administravimo taisyklių patvirtinimo“ (toliau ─ VRIS CDB naudotojų administravimo taisyklės). Prašyme turi būti nurodyta, kokias prieigos teises prašoma suteikti ARSIS naudotojui (išorinio naudotojo, vidinio naudotojo, administratoriaus, naudotojų registravimo) ir ar informacinio ištekliaus valdytojas (tvarkytojas) turi teisę naudotis Lietuvos standartais LST ISO/IEC 27001:2013 ir LST ISO/IEC 27002:2014.
43. Informacinės sistemos ar registro valdytojas arba tvarkytojas, jei jam pavedė valdytojas, pateikia prašymą ARSIS tvarkytojui suteikti prieigą prie ARSIS paskirtam saugos įgaliotiniui ne vėliau kaip per 10 (dešimt) darbo dienų nuo saugos įgaliotinio paskyrimo.
44. ARSIS naudotojai administruojami mutatis mutandis VRIS CDB naudotojų administravimo taisyklių nustatyta tvarka.
45. Pateikdamas Nuostatų 47 punkte nurodytus duomenis, atsakingas asmuo juos susieja su Nuostatų 16.10 papunktyje nurodytais ARSIS klasifikatoriais.
46. Nuostatų 47 punkte nurodytus duomenis atsakingas asmuo atnaujina ne vėliau kaip per 5 darbo dienas nuo jų pasikeitimo. Nuostatų 16.5 papunktyje nurodyti duomenys atnaujinami ne vėliau kaip per 5 darbo dienas nuo 16.5.5 papunktyje nurodytos saugos priemonių įgyvendinimo projekto pabaigos datos.
47. Informacinių sistemų ir registrų valdytojai ir (ar) tvarkytojai leidžiamosios kreipties būdu (sąsaja tarp sistemų) ir (arba) ARSIS naudotojai interaktyviai (per interneto naršyklę) į ARSIS pateikia duomenis:
47.1. 16.3 papunktyje nurodytus duomenis – ne vėliau kaip per 5 darbo dienas nuo atitinkamos informacinės sistemos ar registro informacinių technologijų saugos atitikties vertinimo ataskaitos patvirtinimo;
47.2. 16.4−16.5 papunkčiuose nurodytus duomenis – ne vėliau kaip per 5 darbo dienas nuo:
47.2.1. atitinkamos informacinės sistemos ar registro informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo plano patvirtinimo;
47.3. 16.6 papunktyje nurodytus duomenis – ne vėliau kaip per 5 darbo dienas nuo rizikos įvertinimo ataskaitos patvirtinimo;
47.4. 16.7 papunktyje nurodytus duomenis – ne vėliau kaip per 5 darbo dienas nuo saugumo įvykio užregistravimo;
48. Duomenų subjekto teisės, susijusios su informavimu apie jo asmens duomenų tvarkymą, supažindinimu su tvarkomais jo asmens duomenimis, reikalavimu ištaisyti, sunaikinti jo asmens duomenis arba sustabdyti, išskyrus saugojimą, jo asmens duomenų tvarkymo veiksmus, kai duomenys tvarkomi nesilaikant Asmens duomenų teisinės apsaugos įstatymo ir kitų Lietuvos Respublikos įstatymų nuostatų, ir nesutikimu, kad būtų tvarkomi jo asmens duomenys, įgyvendinamos vadovaujantis Asmens duomenų teisinės apsaugos įstatymu ir šia tvarka:
48.1. Duomenų subjektai apie jų asmens duomenų tvarkymą informuojami jiems pildant pasižadėjimą laikytis duomenų saugos reikalavimų, nurodytą 42 punkte.
48.2. Duomenų subjektas, pateikęs asmeniškai, paštu ar elektroninių ryšių priemonėmis ARSIS valdytojui rašytinį prašymą ir asmens tapatybę patvirtinantį dokumentą ar jo kopiją, turi teisę susipažinti su ARSIS tvarkomais jo asmens duomenimis ir gauti informaciją, iš kokių šaltinių ir kokie ARSIS tvarkomi jo asmens duomenys surinkti, kokiu tikslu jie tvarkomi, kokiems duomenų gavėjams teikiami ir buvo pateikti per pastaruosius 1 metus. Duomenų subjektui prašoma informacija pateikiama ne vėliau kaip per 30 kalendorinių dienų nuo šiame papunktyje nurodyto prašymo gavimo dienos.
48.3. Jeigu duomenų subjektas, susipažinęs su ARSIS tvarkomais savo asmens duomenimis, nustato, kad ARSIS tvarkomi jo asmens duomenys yra neteisingi ar netikslūs, jis turi teisę asmeniškai, paštu ar elektroninių ryšių priemonėmis, pateikti ARSIS valdytojui rašytinį prašymą ir asmens tapatybę patvirtinantį dokumentą, jo asmens duomenis patvirtinančius dokumentus, ar jų kopijas ir reikalauti ištaisyti ARSIS tvarkomus neteisingus ar netikslius jo asmens duomenis. ARSIS valdytojas, gavęs šiame papunktyje nurodytą prašymą, nedelsdamas, bet ne vėliau kaip per 5 darbo dienas nuo prašymo gavimo dienos, privalo patikrinti ARSIS tvarkomus prašymą pateikusio duomenų subjekto asmens duomenis ir nustatęs, kad prašymas yra pagrįstas, ištaisyti neteisingus ar netikslius asmens duomenis ir (arba) sustabdyti tokių asmens duomenų tvarkymo veiksmus.
48.4. Duomenų subjektas turi teisę nesutikti, kad būtų tvarkomi jo asmens duomenys, kai šie asmens duomenys yra tvarkomi Asmens duomenų teisinės apsaugos įstatymo 5 straipsnio 1 dalies 5 ir 6 punktuose nustatytais atvejais. Tokiu atveju duomenų subjektas privalo asmeniškai, paštu ar elektroninių ryšių priemonėmis pateikti ARSIS valdytojui rašytinį prašymą ir asmens tapatybę patvirtinantį dokumentą ar jo kopiją. ARSIS valdytojas, nustatęs, kad šiame papunktyje nurodytas duomenų subjekto nesutikimas yra teisiškai pagrįstas, nedelsdamas neatlygintinai nutraukia asmens duomenų tvarkymo veiksmus, išskyrus įstatymų nustatytus atvejus, ir apie tai informuoja duomenų gavėjus.
48.5. Duomenų subjekto prašymu ARSIS valdytojas praneša jam apie jo asmens duomenų tvarkymo veiksmų nutraukimą ar atsisakymą nutraukti asmens duomenų tvarkymo veiksmus.
Pakeitimai:
1.
Lietuvos Respublikos vidaus reikalų ministerija, Įsakymas
Nr. 1V-778, 2016-11-02, paskelbta TAR 2016-11-03, i. k. 2016-26157
Dėl Lietuvos Respublikos vidaus reikalų ministro 2012 m. spalio 16 d. įsakymo Nr. 1V-740 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos (kibernetinio saugumo) reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ pakeitimo