Suvestinė redakcija nuo 2021-12-24 iki 2023-03-20
Įsakymas paskelbtas: TAR 2020-01-28, i. k. 2020-01939
LIETUVOS RESPUBLIKOS
SOCIALINĖS APSAUGOS IR DARBO MINISTRAS
ĮSAKYMAS
DĖL EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS NUOSTATŲ, EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ, EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ, EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ IR EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANO PATVIRTINIMO
2020 m. sausio 28 d. Nr. A1-71
Vilnius
Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 30 straipsniu, 33 straipsnio 1 dalimi, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktu ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, 7, 11 ir 19 punktais:
1. T v i r t i n u pridedamus:
1.2. Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatus;
1.3. Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;
1.4. Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisykles;
2. S k i r i u Valdą Šulinską – Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos vyriausiąjį patarėją (informacinių sistemų plėtros klausimais) – Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugos įgaliotiniu.
Punkto pakeitimai:
Nr. A1-538, 2020-06-12, paskelbta TAR 2020-06-12, i. k. 2020-12922
Nr. A1-366, 2021-05-10, paskelbta TAR 2021-05-10, i. k. 2021-10370
Nr. A1-963, 2021-12-23, paskelbta TAR 2021-12-23, i. k. 2021-26851
PATVIRTINTA
Lietuvos Respublikos socialinės apsaugos ir darbo ministro
2020 m. sausio 28 d. įsakymu Nr. A1-71
EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos (toliau – EPLSAFIS) steigimo teisinį pagrindą, tikslus, uždavinius, funkcijas, organizacinę, informacinę ir funkcinę struktūras, jos finansavimą, modernizavimą ir likvidavimą, duomenų teikimo ir naudojimo tvarką, duomenų saugos reikalavimus.
2. EPLSAFIS steigimo teisinis pagrindas:
2.1. 2014 m. kovo 11 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 223/2014 dėl Europos pagalbos labiausiai skurstantiems asmenims fondo (toliau – Reglamentas Nr. 223/2014) 32 straipsnio 2 dalies d punktas;
2.2. 2014 m. kovo 13 d. Komisijos deleguotojo reglamento (ES) Nr. 532/2014, kuriuo papildomas Europos Parlamento ir Tarybos reglamentas (ES) Nr. 223/2014 dėl Europos pagalbos labiausiai skurstantiems asmenims fondo (toliau – Reglamentas Nr. 532/2014), 2 straipsnio 1 dalis ir 1 priedas;
2.3. 2015 m. vasario 11 d. Komisijos įgyvendinimo reglamento (ES) 2015/212, kuriuo nustatomos Europos Parlamento ir Tarybos reglamento (ES) Nr. 223/2014 nuostatų dėl kiekvieno veiksmo duomenų, kurie reikalingi stebėsenai, vertinimui, finansų valdymui, tikrinimui ir auditui, įskaitant duomenis apie atskirus veiksmų, kurie bendrai finansuojami pagal VP II, dalyvius, įrašymo ir saugojimo sistemos techninių specifikacijų taikymo taisyklės (toliau – Reglamentas Nr. 2015/212), 1 straipsnis;
2.4. Atsakomybės ir funkcijų pasiskirstymo tarp institucijų, atsakingų už Europos pagalbos labiausiai skurstantiems asmenims fondo administravimą ir projektų įgyvendinimą Lietuvoje, taisyklių, patvirtintų Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2014 m. rugpjūčio 27 d. įsakymu Nr. A1-426 „Dėl Atsakomybės ir funkcijų pasiskirstymo tarp institucijų, atsakingų už Europos pagalbos labiausiai skurstantiems asmenims fondo administravimą ir projektų įgyvendinimą Lietuvoje, taisyklių patvirtinimo“ (toliau – Atsakomybės ir funkcijų pasiskirstymo taisyklės), 2.1 ir 3.7.2 papunkčiai.
Punkto pakeitimai:
Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353
3. EPLSAFIS kuriama ir tvarkoma vadovaujantis šiais teisės aktais:
3.2. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Bendrasis duomenų apsaugos reglamentas);
Papunkčio pakeitimai:
Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353
3.3. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu (toliau – Išteklių valdymo įstatymas);
3.6. Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymu;
3.7. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo (toliau – Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas);
3.8. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Saugos reikalavimų aprašas);
3.9. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
3.10. Valstybės informacinių sistemų gyvavimo ciklo valdymo metodika, patvirtinta Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;
3.12. Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2014 m. gegužės 16 d. įsakymu Nr. A1-268 „Dėl dokumentų, skirtų Europos pagalbos labiausiai skurstantiems asmenims fondo tikslinės grupės asmenų, maisto produktų ir (ar) būtinojo asmeninio vartojimo prekių apskaitai užtikrinti, formų patvirtinimo“;
3.13. Pagalbos maistu ir (arba) pagrindinės materialinės pagalbos veiksmų programos dėl paramos iš Europos pagalbos labiausiai skurstantiems asmenims fondo Lietuvoje administravimo taisyklėmis, patvirtintomis Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2015 m. vasario 17 d. įsakymu Nr. A1-77 „Dėl Pagalbos maistu ir (arba) pagrindinės materialinės pagalbos veiksmų programos dėl paramos iš Europos pagalbos labiausiai skurstantiems asmenims fondo Lietuvoje administravimo taisyklių patvirtinimo“;
3.14. Europos pagalbos labiausiai skurstantiems asmenims fondo projektų administravimo ir finansavimo taisyklėmis, patvirtintomis Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2015 m. gegužės 22 d. įsakymu Nr. A1-288 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo projektų administravimo ir finansavimo taisyklių patvirtinimo“;
3.15. Europos pagalbos labiausiai skurstantiems asmenims fondo išlaidų deklaravimo ir sąskaitų Europos Komisijai rengimo taisyklėmis, patvirtintomis Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2015 m. liepos 13 d. įsakymu Nr. A1-424 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo išlaidų deklaravimo ir sąskaitų Europos Komisijai rengimo taisyklių patvirtinimo“;
3.16. Europos pagalbos labiausiai skurstantiems asmenims fondo grąžintinų ir grąžintų lėšų administravimo taisyklėmis, patvirtintomis Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2015 m. gruodžio 17 d. įsakymu Nr. A1-760 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo išlaidų grąžintinų ir grąžintų lėšų administravimo taisyklių patvirtinimo“;
3.17. EPLSAFIS saugos politiką įgyvendinančiais dokumentais – Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatais (toliau – EPLSAFIS duomenų saugos nuostatai), Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėmis, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklėmis, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo planu, tvirtinamais socialinės apsaugos ir darbo ministro;
4. Nuostatuose vartojamos sąvokos atitinka Nuostatų 3 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.
5. EPLSAFIS tikslas – sukurti vieną informacinę sistemą, suteikiančią galimybę kompiuterizuotai administruoti Europos pagalbos labiausiai skurstantiems asmenims fondą (toliau – EPLSAF), centralizuotai, sistemiškai ir kompiuterizuotai tvarkyti su EPLSAF administravimu susijusią informaciją.
6. EPLSAFIS duomenų (įskaitant asmens duomenis) tvarkymo tikslai:
6.1. Pagalbos maistu ir (arba) pagrindinės materialinės pagalbos veiksmų programos dėl paramos iš Europos pagalbos labiausiai skurstantiems asmenims fondo Lietuvoje, patvirtintos Europos Komisijos 2014 m. spalio 30 d. įgyvendinimo sprendimu Nr. C (2014) 8213 (toliau – EPLSAF veiksmų programa), paraiškų ir projektų pagal teisės aktais suteiktą kompetenciją administravimas;
7. EPLSAFIS uždaviniai:
7.1. teisės aktų nustatyta tvarka rinkti, saugoti, sisteminti, analizuoti ir teikti EPLSAFIS naudotojams aktualią informaciją, reikalingą administraciniams darbams atlikti, sprendimams priimti, nepažeidžiant duomenų (įskaitant asmens duomenis) tvarkymą ir saugą reglamentuojančių teisės aktų;
7.2. užtikrinti su EPLSAF administravimu susijusių procesų automatizavimą ir kompiuterizavimą, ypač daug dėmesio skiriant efektyvesniam informacijos ir dokumentų srautų valdymui;
8. EPLSAFIS pagrindinės funkcijos:
8.1. registruoti ir tvarkyti EPLSAF funkcionuoti reikalingus duomenis (įskaitant asmens duomenis):
8.1.2. EPLSAFIS tvarkytojams ir jų darbuotojams registruoti, paskyroms tvarkyti, institucijų ir duomenų naudotojų teisėms ir teisių rinkiniams valdyti;
8.1.3. EPLSAFIS modulių parametrams (patikros lapų šablonams kurti, patikros lapų pildymo duomenims registruoti ir tvarkyti, modulių pranešimams administruoti ir tvarkyti, EPLSAFIS duomenų objektų nagrinėjimo terminų (užduočių) duomenims tvarkyti) tvarkyti;
8.2. registruoti ir tvarkyti duomenis apie EPLSAF veiksmų programos finansavimą, biudžetus, terminus, duomenis apie EPLSAF veiksmų programos projektų sutarčių rezultatus, rodiklius, planuojamas ir pasiektas reikšmes, projektų partnerius (įskaitant projektų partnerių atsakingų asmenų asmens duomenis, nurodytus Nuostatuose);
8.3. registruoti ir tvarkyti duomenis apie paraiškų sąrašus ir kvietimus, paraiškų pateikimo terminus, biudžetus;
8.5. registruoti ir tvarkyti paraiškų vertinimo, vertintojų, vertinimo terminų nustatymą, tvarkyti paraiškos vertinimo eigos ir vertinimo rezultatų duomenis;
8.6. registruoti ir tvarkyti bendrus su projekto įgyvendinimu susijusius duomenis, peržiūrėti rodiklių pasiekimų hierarchinius duomenis, paskirtus atsakingus darbuotojus, dokumentų rinkmenas, gautus pranešimus ir priminimus, parametrus;
8.7. registruoti ir tvarkyti projekto įgyvendinimo sutarties duomenis, jos keitimo duomenis ir būsenas, prisegtas rinkmenas;
8.8. registruoti ir tvarkyti projektų pirkimų planus, jų vykdymo duomenis, registruoti ir tvarkyti pirkimų duomenis (pirkimo objektai, vykdytojai (tvarkomas juridinio asmens pavadinimas ir kodas), pirkimo dokumentų pateikimo tarpinei institucijai data);
8.10. registruoti ir tvarkyti mokėjimo prašymų pateikimo grafikus, registruoti ir tvarkyti duomenis apie mokėjimo prašymus ir juose nurodytas išlaidas, pasiektus rodiklius, tvarkyti mokėjimo prašymų vertinimo duomenis;
8.12. registruoti ir tvarkyti duomenis apie negrąžintas lėšas, jų grąžinimus, nurašymą, padengimą ir perdavimą centralizuotai valdomo valstybės turto valdytojui;
8.13. registruoti ir tvarkyti rengiant mokėjimo prašymus patirtų išlaidų perskirstymą projekto biudžete;
8.14. registruoti patikras vietoje (vertinant paraiškas, įgyvendinant projektus), nustatyti patikros vietoje dalyvių paskyrimo tvarką, tvarkyti patikros vietoje duomenis, registruoti ir tvarkyti patikros vietoje metu nustatytų neatitikimų ir jų ištaisymo duomenis;
8.15. registruoti ir tvarkyti pranešimo apie įtariamą pažeidimą informaciją, pažeidimo informaciją, pažeidimo tyrimo informaciją (tyrimo būsena, pabaigos terminas, išvada);
8.16. formuoti nustatytos formos analitines ataskaitas, surinkus ir apibendrinus duomenis iš kitų EPLSAFIS modulių;
II SKYRIUS
EPLSAFIS ORGANIZACINĖ STRUKTŪRA
9. EPLSAFIS organizacinę struktūrą sudaro:
10. EPLSAFIS valdytoja ir tam tikrų funkcijų, nurodytų Nuostatų 12 punkte, atžvilgiu EPLSAFIS tvarkytoja – Lietuvos Respublikos socialinės apsaugos ir darbo ministerija (toliau – Ministerija). Ministerija, kaip EPLSAFIS valdytoja, atlieka visas Išteklių valdymo įstatyme valstybės informacinės sistemos valdytojui nustatytas funkcijas, turi Išteklių valdymo įstatyme nurodytas teises ir pareigas.
11. Ministerija, kaip EPLSAFIS valdytoja, atlieka Nuostatų 10 punkte ir šiame Nuostatų punkte nurodytas funkcijas:
11.1. rengia ir priima teisės aktus, susijusius su EPLSAFIS duomenų tvarkymu, sauga, inicijuoja EPLSAFIS programinės įrangos tobulinimą, plėtrą, nagrinėja ir sprendžia aktualias EPLSAFIS veiklos problemas;
11.2. planuoja lėšas EPLSAFIS funkcionavimui, plėtrai, duomenų saugai užtikrinti ir kontroliuoja jų naudojimą;
11.5. organizacinėmis ir techninėmis priemonėmis užtikrina tvarkomų duomenų (įskaitant asmens duomenis) apsaugą nuo neteisėto sunaikinimo, pakeitimo, atskleidimo, kitokio neteisėto tvarkymo;
12. Ministerija, kaip EPLSAFIS tvarkytoja, atlieka šias funkcijas:
12.2. inicijuoja EPLSAFIS programinės įrangos tobulinimą, plėtrą, nagrinėja ir sprendžia aktualias EPLSAFIS veiklos problemas;
12.4. užtikrina EPLSAFIS tvarkomų duomenų konfidencialumą, vientisumą ir prieinamumą teisę juos gauti turintiems asmenims, kokybę ir saugą;
12.5. administruoja prieigą prie EPLSAFIS duomenų, suteikia asmenims prieigos prie šių duomenų teises, naudotojų vardus ir slaptažodžius;
13. Europos socialinio fondo agentūros, kaip EPLSAFIS duomenų tvarkytojos, funkcijos, teisės ir pareigos nustatytos Išteklių valdymo įstatymo 34 straipsnio 4 dalyje, 5 dalies 1 punkte, 6 dalies 1–3, 5, 7–9, 12 punktuose.
14. DMS naudotojai:
14.1. juridinių asmenų, kurie yra potencialūs EPLSAF paraiškų teikėjai, ir juridinių asmenų, kurie vykdo projektų įgyvendinimo sutartyse numatytas veiklas, darbuotojai, kurie teikia ir gauna duomenis iš EPLSAFIS per jiems sukurtą DMS paskyrą;
14.2. Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2017 m. liepos 26 d. įsakymo Nr. A1-399 „Dėl Organizacijų partnerių, dalyvaujančių įgyvendinant Europos pagalbos labiausiai skurstantiems asmenims fondo lėšomis finansuojamus projektus, sąrašo patvirtinimo“ 1 ir 2 punktuose nurodytos institucijos ir organizacijos, kurios teikia ir gauna duomenis iš EPLSAFIS per joms sukurtą DMS paskyrą.
15. EPLSAFIS duomenų teikėjai:
16. EPLSAFIS duomenų teikėjai, prieš teikdami duomenis, privalo įsitikinti jų tikslumu ir teisingumu.
18. EPLSAFIS asmens duomenų tvarkytojai yra Europos socialinio fondo agentūra (duomenų, tvarkomų vykdant Nuostatų 13 punkte nurodytas funkcijas) ir Informacinės visuomenės plėtros komitetas (duomenų, pateiktų registruojantis ir užsisakant informacinių technologijų paslaugas (pareigos, vardas, pavardė, elektroninio pašto adresas, telefono ryšio numeris, užsakoma paslauga ir jos teikimo laikotarpis)).
19. EPLSAFIS asmens duomenų valdytojas ir EPLSAFIS asmens duomenų tvarkytojai atlieka Nuostatais jiems priskirtas ir Bendrajame duomenų apsaugos reglamente nustatytas funkcijas, turi šiuose teisės aktuose nurodytas bei šias teises ir pareigas:
19.1. EPLSAFIS asmens duomenų valdytojo teisės:
19.2. EPLSAFIS esančių asmens duomenų valdytojo pareigos:
19.2.1. užtikrinti, kad, įgyvendinant techninius ir organizacinius sprendimus EPLSAFIS, būtų laikomasi Bendrojo duomenų apsaugos reglamento, Asmens duomenų teisinės apsaugos įstatymo ir kitų teisės aktų, reglamentuojančių asmens duomenų apsaugą;
19.2.2. užtikrinti asmens duomenų saugumą, įgyvendinant technines, organizacines ir fizines asmens duomenų saugumo priemones;
19.3. EPLSAFIS asmens duomenų valdytojas atlieka šias funkcijas:
19.3.1. analizuoja technologines, metodologines ir organizacines asmens duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam asmens duomenų saugumui užtikrinti;
19.3.2. teikia metodinę pagalbą darbuotojams ir EPLSAFIS asmens duomenų tvarkytojams EPLSAFIS asmens duomenų tvarkymo klausimais;
19.4. EPLSAFIS asmens duomenų tvarkytojo teisės:
19.4.1. teikti EPLSAFIS asmens duomenų valdytojui pasiūlymus dėl duomenų tvarkymo techninių ir organizacinių bei programinių priemonių gerinimo;
19.5. EPLSAFIS asmens duomenų tvarkytojo pareigos:
19.5.1. įgyvendinti tinkamas organizacines, technines ir fizines duomenų saugumo priemones, skirtas asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo apsaugoti;
19.5.2. užtikrinti, kad asmens duomenys būtų tvarkomi ir saugomi, vadovaujantis asmens duomenų tvarkymo sutartimi, Bendruoju duomenų apsaugos reglamentu, Asmens duomenų teisinės apsaugos įstatymu ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais;
19.5.3. saugoti asmens duomenų paslaptį, neatskleisti, neperduoti tvarkomų duomenų teisės jų gauti neturintiems asmenims ir nesudaryti sąlygų jokiomis priemonėmis su ja susipažinti nė vienam asmeniui, kuris nėra įgaliotas naudotis šiais duomenimis, tiek savo organizacijoje, tiek už jos ribų;
19.5.4. pranešti EPLSAFIS asmens duomenų valdytojui apie asmens duomenų saugumo pažeidimą asmens duomenų tvarkymo sutartyje nustatyta tvarka;
20. EPLSAFIS asmens duomenų valdytojas ir EPLSAFIS asmens duomenų tvarkytojai pasirašo asmens duomenų tvarkymo sutartis, kuriose detaliai apibrėžiamos vykdomos funkcijos, turimos teisės ir pareigos, nurodoma kita informacija pagal Bendrojo duomenų apsaugos reglamento 28 straipsnį.
III SKYRIUS
EPLSAFIS INFORMACINĖ STRUKTŪRA
22. EPLSAFIS duomenų bazėje kaupiami šie duomenys (įskaitant asmens duomenis):
22.1. EPLSAF veiksmų programos ir su ja susiję duomenys: duomenys apie EPLSAF veiksmų programą, jos pakeitimus, finansavimą, jos vykdymo stebėsenos rodikliai ir jų reikšmės, Europos Komisijos mokėjimai Lietuvos Respublikai;
22.2. subjektų duomenys: subjekto (juridinio asmens) pavadinimas, kodas ir kontaktinė informacija (adresas, telefono ryšio numeris, el. pašto adresas);
22.3. kvietimų teikti paraiškas ir paraiškų duomenys:
22.3.1. kvietimo teikti paraišką duomenys: kvietimo numeris, kvietimo pavadinimas, projektų pavadinimai ir jiems įgyvendinti skirtos lėšos, paraiškų teikimo laikotarpis ir darbuotojai, atsakingi už paraiškų vertinimą (nurodomi vardai, pavardės, pareigos, telefono ryšio numeriai, el. pašto adresai);
22.3.2. užregistruotų paraiškų duomenys: paraiškos numeris, paraiškos pavadinimas, paraiškos pateikimo data, paraiškos vertinimo duomenys (nurodoma vertinimo klausimyno informacija ir išvada), pareiškėjas (nurodomas juridinio asmens pavadinimas, kodas) ir jo kontaktiniai duomenys (nurodomas adresas, telefono ryšio numeris, el. pašto adresas), projekto pavadinimas, projekto įgyvendinimo laikotarpis, projekto veiklos teritorija, projekto aprašymas, projekto vykdytojo ar jo įgalioto asmens duomenys (nurodomas juridinio asmens pavadinimas, kodas arba fizinio asmens vardas, pavardė ir pareigos), už paraiškos pateikimą atsakingi asmenys (nurodomas vardas, pavardė ir pareigos), informavimo apie projektą priemonės, duomenys apie partnerius (nurodomas juridinio asmens pavadinimas, kodas), projekto rizikas, finansavimo duomenys (nurodomos prašomos ir skirtos lėšos), veiklos, veiklų ir stebėsenos rodikliai, pirkimų plano duomenys (nurodomas objekto pavadinimas, lėšos pagal finansavimo šaltinius, planuojama pirkimų pradžia, pirkimo būdas), duomenys apie projekto finansavimo šaltinius, tinkamumo finansuoti reikalavimų neatitinkančias išlaidas, patikros lapų, prisegtų elektroninių dokumentų duomenys;
22.4. administruojamų projektų duomenys:
22.4.1. projekto duomenys: projekto numeris, projekto pavadinimas, projekto vykdytojas (nurodomas juridinio asmens pavadinimas, kodas), už projekto įgyvendinimą atsakingi asmenys (nurodomas vardas, pavardė ir pareigos), projekto sutarties turinys, projekto veiklų įgyvendinimo laikotarpis, paramos teikimo intensyvumo procentas, galutinio mokėjimo prašymo duomenys, principai, kurių laikomasi įgyvendinant projektą, partneriai, veiklos, veiklos ir stebėsenos rodikliai, duomenys apie finansavimą, pirkimus, už projekto administravimą atsakingi asmenys (nurodomas vardas, pavardė ir pareigos), prisegti elektroniniai dokumentai;
22.4.2. įgyvendinant projektą vykdomų pirkimų duomenys: pirkimo numeris, duomenys apie pirkimą vykdantį subjektą (nurodomas juridinio asmens pavadinimas, kodas), pirkimo objektas, pirkimo būdas, pirkimo suma, veiklos rodikliai, pirkimo dokumentų vertinimo duomenys, duomenys apie sudarytas pirkimo sutartis, patikros lapų, prisegtų elektroninių dokumentų duomenys;
22.4.3. projekto mokėjimų prašymų duomenys: mokėjimo prašymo numeris, mokėjimo prašymo tipas, mokėjimo prašymo pateikimo data, mokėjimo prašymo vertinimo laikotarpis, mokėjimo prašymo ataskaitinis laikotarpis, avanso duomenys, planuojamos išlaidos, deklaruojamos išlaidos, veiklos ir rodikliai, galutinė projekto įgyvendinimo informacija, išvados (nurodomas išlaidų tinkamumas finansuoti ir prašomos išmokos), patikros lapų ir prisegtų elektorinių dokumentų duomenys;
22.4.4. projekto patikros vietoje duomenys: patikros vietoje tipas, patikros vietoje data, patikros vietoje tikslas ir apimtis, patikros vietoje rezultatai, patikros lapai, nustatytų neatitikimų aprašymas ir jų ištaisymo terminai, stabdomo mokėjimo prašymų vykdymo duomenys (nurodomas stabdymo terminas, ištaisymo data, suma), atsakingi asmenys (nurodomas vardas, pavardė ir pareigos), prisegti elektroniniai dokumentai;
22.4.5. projekto pažeidimų duomenys: pranešimo apie įtariamą pažeidimą informacija (nurodomas pranešimą pateikęs darbuotojas (nurodomas vardas, pavardė ir pareigos), pirminės informacijos gavimo data, pirminės informacijos šaltiniai, siūlymas dėl išlaidų apmokėjimo stabdymo), įtariamo pažeidimo registravimo informacija (nurodoma registravimo data, įtariamą pažeidimą registravęs darbuotojas (nurodomas vardas, pavardė ir pareigos), sprendimas dėl įtariamo pažeidimo), pažeidimo tyrimo informacija (nurodomas tyrimą atliekantis darbuotojas (nurodomas vardas, pavardė ir pareigos), tyrimo pabaigos terminas, tyrimo būsena, tyrimo išvada, pažeidimo ištaisymo terminas), stabdomų mokėjimo prašymų duomenys (nurodomi mokėjimo prašymų numeriai, stabdomos sumos) ir prisegti el. dokumentai;
22.5. audito duomenys: audito tipas, audito pradžios data, audito subjektai (nurodomas juridinio asmens pavadinimas, kodas), audito objektas, auditoriai (nurodomas vardas, pavardė ir pareigos), audituojamas projektas, audito ataskaitos data, audito ataskaitos numeris, audito išvada, audito rekomendacijos, duomenys apie audito rekomendacijų įgyvendinimą, kita informacija apie auditą ir prisegti el. dokumentai;
22.6. kiti EPLSAFIS duomenys: naudotojų, turinčių teises naudotis EPLSAFIS, duomenys: vardas, pavardė, juridinio asmens pavadinimas ir kodas, naudotojo prisijungimo vardas, naudotojo kontaktinė informacija (nurodomas telefono ryšio numeris, el. pašto adresas); EPLSAFIS naudotojams suteiktos duomenų registravimo, skaitymo, koregavimo, šalinimo teisės; EPLSAFIS naudotojų prisijungimo ir veiksmų apskaitos duomenys.
24. Rodiklių reikšmių įvedimo funkcijai vykdyti naudojami duomenys:
24.1. Socialinės paramos šeimai informacinės sistemos duomenys: savivaldybė, bendras paramos gavėjų skaičius, paramos gavėjų moterų skaičius, 15 metų ir jaunesnių paramos gavėjų skaičius, 65 metų ir vyresnių paramos gavėjų skaičius, neįgalių paramos gavėjų skaičius, paramos gavėjų benamių skaičius, migrantų, užsienio kilmės, tautinių mažumų atstovų paramos gavėjų skaičius ir bendras išdalytų paketų skaičius;
24.2. DMS naudotojų teikiami duomenys:
24.2.2. pareiškėjo ir projekto vykdytojo duomenys: juridinio asmens pavadinimas, juridinio asmens kodas, kontaktiniai duomenys (nurodomas adresas (gatvė, namo (ir buto, jeigu taikoma) numeris, pašto kodas, miestas / rajonas, telefono ryšio numeris, elektroninio pašto adresas), pareiškėjo, projekto vykdytojo vadovo arba jo įgalioto asmens duomenys (nurodomas vardas ir pavardė, pareigos), už paraiškos teikimą atsakingas asmuo (nurodomas vardas ir pavardė, pareigos, telefono ryšio numeris, elektroninio pašto adresas);
24.2.3. informacija apie partnerius: juridinių asmenų pavadinimai, juridinių asmenų kodai, adresai, bendrieji telefono ryšio numeriai ir elektroninio pašto adresai;
24.2.7. informacija apie pirkimus ir sudarytas viešųjų pirkimų sutartis: pirkimų procedūros (nepradėtos / pradėtos / baigtos), pirkimo pavadinimas ir numeris, pirkimo dalis, vokų atplėšimo data, sutarties data, sudarytos sutarties numeris);
24.2.12. mokėjimo prašymų grafikų duomenys: numeris, mokėjimo prašymo tipas (avansinis / tarpinis / galutinis), data, suma, avansas, įskaitoma avanso suma, sumos, išskaidytos pagal projekto išlaidų kategorijas;
IV SKYRIUS
EPLSAFIS FUNKCINĖ STRUKTŪRA
25. EPLSAFIS funkcinę struktūrą sudaro:
25.1. DMS posistemis, kurio funkcijos: teikti duomenis subjektui apie prieinamus kvietimus teikti paraiškas dėl finansavimo iš EPLSAF, rodyti prisijungusio subjekto projektus ir su tais projektais susijusią informaciją, pateikti projekto įgyvendinimo duomenis bei dokumentus. Prie DMS posistemio gali jungtis subjektai, turintys suteiktą prisijungimo prie EPLSAFIS teisę per plačiąją interneto prieigą, jie gali matyti jiems prieinamus kvietimus teikti paraiškas ar savo įgyvendinamų projektų informaciją;
25.2. Administravimo posistemis, kurio funkcijos: administruoti sistemos naudotojų duomenis (nurodomas vardas, pavardė ir pareigos), jų funkcijas ir teises sistemoje, tvarkyti klasifikatorius ir parametrus, naudojamus sistemoje;
25.3. EPLSAF veiksmų programos posistemis, kurio funkcija – tvarkyti informaciją apie finansavimą, veiksmus, rodiklius;
25.4. Kvietimų ir paraiškų posistemis, kurio funkcijos: registruoti kvietimus, paraiškas, tvarkyti paraiškų vertinimo duomenis;
25.5. Projektų įgyvendinimo posistemis, kurio funkcijos: kurti ir tvarkyti projektus, kuriems skirtas finansavimas, tvarkyti su projektu susijusius duomenis, nurodytus Nuostatų 25.5.1–25.5.8 papunkčiuose. Šį posistemį sudaro:
25.5.1. projektų modulis, kurio pagrindinės funkcijos:– registruoti ir tvarkyti bendrus su projekto įgyvendinimu susijusius duomenis (nurodomas projekto pavadinimas, numeris, vykdytojas), peržiūrėti rodiklių pasiekimų hierarchinius duomenis, duomenis apie paskirtus atsakingus darbuotojus (nurodomas vardas, pavardė ir pareigos), dokumentų rinkmenas, gautus pranešimus ir priminimus, parametrus;
25.5.2. projektų sutarčių ir jų pakeitimų modulis, kurio pagrindinė funkcija – registruoti ir tvarkyti projekto įgyvendinimo sutarties duomenis, sutarčių keitimo duomenis ir būsenas, prisegtas rinkmenas;
25.5.3. projekto pirkimų modulis, kurio pagrindinė funkcija – registruoti ir tvarkyti pirkimų, vykdomų įgyvendinant projektus, planus, jų vykdymo duomenis, pasirašytas pirkimų sutartis, pirkimo sutarčių patikrinimo ir jų vykdymo duomenis;
25.5.4. mokėjimo prašymų ir patirtų išlaidų modulis, kurio pagrindinės funkcijos: registruoti ir tvarkyti mokėjimo prašymų grafikus, registruoti ir tvarkyti duomenis apie mokėjimo prašymus ir juos rengiant patirtas išlaidas, pasiektus rodiklius, tvarkyti mokėjimo prašymo vertinimo duomenis;
25.5.5. patikrų vietoje modulis, kurio pagrindinės funkcijos: registruoti patikras vietoje (paraiškų vertinimo, projektų įgyvendinimo metu), tvarkyti patikros vietoje dalyvių (nurodomas vardas, pavardė ir pareigos) paskyrimą, tvarkyti patikros vietoje duomenis, registruoti ir tvarkyti patikros vietoje metu nustatytų neatitikimų ir jų ištaisymo duomenis;
25.5.6. pažeidimų modulis, kurio pagrindinė funkcija – registruoti ir tvarkyti pranešimo apie įtariamą pažeidimą informaciją, pažeidimo duomenis, pažeidimo tyrimo duomenis;
25.5.7. grąžintinų lėšų modulis, kurio pagrindinė funkcija – registruoti ir tvarkyti duomenis apie grąžintinas projektų lėšas, jų grąžinimo duomenis;
V SKYRIUS
EPLSAFIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS
26. EPLSAFIS duomenys teikiami ir naudojami, vadovaujantis Nuostatų 3 punkte nurodytais teisės aktais. Duomenys yra vieši, išskyrus asmens duomenis, ir teikiami duomenų gavėjams, jeigu Lietuvos Respublikos įstatymai ir (ar) Europos Sąjungos teisės aktai nenustato kitaip.
27. EPLSAFIS duomenys teikiami šiems duomenų gavėjams:
27.1. EPLSAFIS registruotiems duomenų gavėjams pagal jiems suteiktas prieigos teises (t. y. Atsakomybių ir funkcijų pasiskirstymo taisyklėse ir Organizacijų partnerių, dalyvaujančių įgyvendinant Europos pagalbos labiausiai skurstantiems asmenims fondo lėšomis finansuojamus projektus, atrankos tvarkos apraše nurodytoms institucijoms bei organizacijoms);
27.2. išorės subjektams, turintiems teisę gauti EPLSAFIS duomenis, pateikus atskirus prašymus EPLSAFIS valdytojui (vienkartinio duomenų teikimo atveju) ar pagal asmens duomenų teikimo sutartį, sudarytą su EPLSAFIS valdytoju (daugkartinio duomenų teikimo atveju);
28. Jei EPLSAFIS duomenys ir asmens duomenys teikiami vieną kartą, jie prašančiam duomenų gavėjui teikiami pateikus prašymą, kuriame nurodomas prašomų pateikti duomenų teikimo ir gavimo teisinis pagrindas, jų naudojimo tikslas, teikimo būdas, apimtis, gavimo būdai, teikiamų duomenų formatas. Jei EPLSAFIS duomenys ir asmens duomenys teikiami daug kartų, jie prašančiam duomenų gavėjui teikiami pagal sutartį, kurioje nustatoma teiktinų duomenų apimtis, prašomų duomenų teikimo ir gavimo teisinis pagrindas, naudojimo tikslas, duomenų teikimo būdas, teikiamų duomenų formatas, teikimo terminai, informavimo apie klaidų ištaisymą tvarka ir terminai, sutarties keitimo tvarka.
29. EPLSAFIS duomenys visiems gavėjams teikiami tokio turinio ir tokios formos, kokie EPLSAFIS saugomi ir naudojami. Vadovaudamasi Išteklių įstatymo 35 straipsnio 3 dalimi, Ministerija sukuria reikalingas priemones, jei EPLSAFIS duomenų turinys ar formatas neatitinka prašančiojo registro ar valstybės informacinės sistemos tvarkytojo poreikių.
30. Duomenys teikiami elektroniniu ryšiu. Duomenų peržiūra vykdoma leidžiamosios kreipties būdu internetu per internetu pasiekiamą sistemą. Išorės subjektams duomenys gali būti teikiami ir raštu.
32. Jei atsisakoma teikti EPLSAFIS duomenis, asmeniui ar organizacijai, pateikusiam (‑iai) prašymą juos gauti, raštu arba elektroninių ryšių priemonėmis pranešama apie priimtą motyvuotą sprendimą atsisakyti tenkinti jo (jos) prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką. Atsisakymas teikti EPLSAFIS duomenis skundžiamas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.
33. EPLSAFIS duomenų gavėjas, registro ar kitos valstybės informacinės sistemos tvarkytojas, ar kiti asmenys turi teisę reikalauti EPLSAFIS ištaisyti netikslius duomenis, ištrinti neteisingus duomenis, papildyti neišsamius duomenis ir apie tai raštu arba elektroninių ryšių priemonėmis pranešti Ministerijai.
34. Ministerija, gavusi informaciją apie netikslių, neteisingų, neišsamių duomenų (toliau – netikslūs duomenys) tvarkymą, per 5 darbo dienas nuo informacijos gavimo patikrina EPLSAFIS duomenų tikslumą ir, jeigu reikia, ištaiso netikslius duomenis. Pranešimas apie netikslių duomenų ištaisymą arba apie motyvuotą atsisakymą tai padaryti nedelsiant (ne vėliau kaip per 1 darbo dieną) siunčiamas asmeniui, pranešusiam apie netikslius duomenis, raštu ir (ar) elektroninių ryšių priemonėmis. Ištaisiusi netikslius duomenis, Ministerija per 1 darbo dieną nuo jų ištaisymo apie tai praneša EPLSAFIS duomenų gavėjams, kuriems perduoti netikslūs duomenys.
VI SKYRIUS
EPLSAFIS DUOMENŲ SAUGA
37. EPLSAFIS duomenų saugą reglamentuoja socialinės apsaugos ir darbo ministro tvirtinami EPLSAFIS saugos politiką įgyvendinantys dokumentai –EPLSAFIS duomenų saugos nuostatai, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklės ir Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo planas.
38. EPLSAFIS duomenų sauga užtikrinama vadovaujantis:
38.5. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“.
39. EPLSAFIS naudotojai – Ministerija, Europos socialinio fondo agentūra ir kitų subjektų (organizacijų) darbuotojai – naudojasi EPLSAFIS duomenimis pagal jiems suteiktas prieigos teises.
40. Asmenys, kurie tvarko asmens duomenis, privalo saugoti asmens duomenų paslaptį. Ši pareiga galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus valstybės tarnybos ar darbo santykiams. Už šių pareigų nevykdymą ar netinkamą vykdymą EPLSAFIS naudotojai atsako valstybės tarnybą, darbo santykius, asmens duomenų apsaugą reglamentuojančių ir kitų teisės aktų nustatyta tvarka. EPLSAFIS prieigą turintys subjektai užtikrina, kad jų darbuotojai, kurie tvarko asmens duomenis, yra pasirašytinai supažindinti su pareiga saugoti asmens duomenų paslaptį ir pasirašę konfidencialumo pasižadėjimus.
VII SKYRIUS
EPLSAFIS FINANSAVIMAS
VIII SKYRIUS
EPLSAFIS MODERNIZAVIMAS IR LIKVIDAVIMAS
43. EPLSAFIS modernizuojama ir likviduojama Išteklių valdymo įstatymo, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, kitų teisės aktų nustatyta tvarka.
IX SKYRIUS
BAIGIAMOSIOS NUOSTATOS
45. Už Nuostatų pažeidimus EPLSAFIS valdytojas, EPLSAFIS tvarkytojai, DMS naudotojai atsako Lietuvos Respublikos įstatymų nustatyta tvarka.
46. EPLSAFIS duomenų, įskaitant asmens duomenis, saugojimas organizuojamas vadovaujantis Bendrųjų dokumentų saugojimo terminų rodykle, patvirtinta Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“, ir (ar) Elektroninių dokumentų valdymo taisyklėmis, patvirtintomis Lietuvos vyriausiojo archyvaro 2011 m. gruodžio 29 d. įsakymu Nr. V-158 „Dėl Elektroninių dokumentų valdymo taisyklių patvirtinimo“.
PATVIRTINTA
Lietuvos Respublikos socialinės apsaugos ir darbo ministro
2020 m. sausio 28 d. įsakymu Nr. A1-71
EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENROSIOS NUOSTATOS
1. Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatai (toliau – EPLSAFIS saugos nuostatai) reglamentuoja Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos (toliau – EPLSAFIS) saugos politiką – EPLSAFIS elektroninės informacijos saugos valdymą, organizacinius ir techninius EPLSAFIS duomenų saugos reikalavimus, reikalavimus su EPLSAFIS dirbančiam personalui, EPLSAFIS valdytojo valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis (toliau kartu – darbuotojas) supažindinimo su EPLSAFIS saugos politiką įgyvendinančiais dokumentais taisykles.
2. EPLSAFIS saugos nuostatuose vartojamos sąvokos:
2.1. EPLSAFIS išorės administratorius – asmuo (asmenų grupė), kuriam (kuriai) Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 41 straipsnyje nustatytomis sąlygomis ir tvarka perduota EPLSAFIS techninės ir programinės įrangos priežiūra. Sąvoka taikoma kompiuterinių tinklų administratoriams, tarnybinių stočių administratoriams ir duomenų bazių administratoriams.
2.2. EPLSAFIS naudotojų administratorius (toliau – EPLSAFIS administratorius) – Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos (toliau – Ministerijos) darbuotojas, kuris registruoja EPLSAFIS naudotojus, skiria jiems registravimosi vardus, nustato prieigos prie EPLSAFIS teises ir atlieka kitas teisės aktų nustatytas funkcijas.
2.3. EPLSAFIS naudotojas – Atsakomybės ir funkcijų pasiskirstymo tarp institucijų, atsakingų už Europos pagalbos labiausiai skurstantiems asmenims fondo administravimą ir projektų įgyvendinimą Lietuvoje, taisyklėse, patvirtintose Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2014 m. rugpjūčio 27 d. įsakymu Nr. A1-426 „Dėl Atsakomybės ir funkcijų pasiskirstymo tarp institucijų, atsakingų už Europos pagalbos labiausiai skurstantiems asmenims fondo administravimą ir projektų įgyvendinimą Lietuvoje, taisyklių patvirtinimo“ (toliau – Atsakomybės ir funkcijų pasiskirstymo taisyklės), ir Organizacijų partnerių, dalyvaujančių įgyvendinant Europos pagalbos labiausiai skurstantiems asmenims fondo lėšomis finansuojamus projektus, sąraše, sudarytame Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2017 m. liepos 26 d. įsakymu Nr. A1-399 „Dėl Organizacijų partnerių, dalyvaujančių įgyvendinant Europos pagalbos labiausiai skurstantiems asmenims fondo lėšomis finansuojamus projektus, sąrašo patvirtinimo“, numatytų institucijų ir organizacijų darbuotojai, kuriems suteiktos prieigos prie EPLSAFIS teisės.
2.4. EPLSAFIS personalas – EPLSAFIS saugos įgaliotinis, EPLSAFIS administratorius ir EPLSAFIS išorės administratorius.
2.5. Kitos EPLSAFIS saugos nuostatuose vartojamos sąvokos atitinka 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Bendrasis duomenų apsaugos reglamentas), Valstybės informacinių išteklių valdymo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Lietuvos standartuose LST ISO/IEC 27002 ir LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai“ vartojamas sąvokas.
Papunkčio pakeitimai:
Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353
3. EPLSAFIS duomenų saugos tikslai:
4. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:
6. EPLSAFIS saugos nuostatai reglamentuoja automatizuotą EPLSAFIS duomenų apdorojimą ir yra privalomi visiems EPLSAFIS naudotojams ir EPLSAFIS personalui.
7. EPLSAFIS valdytojo funkcijos užtikrinant EPLSAFIS duomenų saugą:
8. EPLSAFIS saugos įgaliotinis, laikydamasis EPLSAFIS elektroninės informacijos saugos reikalavimų, atlieka šias funkcijas:
8.1. teikia EPLSAFIS valdytojo vadovui pasiūlymus dėl:
8.1.2. EPLSAFIS informacinių technologijų saugos atitikties ir rizikos vertinimo atlikimo organizavimo;
8.3. koordinuoja elektroninės informacijos incidentų, susijusių su sauga, registravimą ir tyrimą, išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės;
8.5. teikia EPLSAFIS administratoriui privalomus vykdyti nurodymus, susijusius su EPLSAFIS saugos politikos įgyvendinimu;
8.8. supažindina EPLSAFIS personalą ir naudotojus su EPLSAFIS saugos nuostatais ir kitais saugos politiką reguliuojančiais teisės aktais bei atsakomybe už šiuose teisės aktuose nustatytų reikalavimų nesilaikymą (informacija elektroniniu paštu, teminių seminarų rengimas, atmintinių darbuotojams parengimas ir pan.);
8.9. periodiškai inicijuoja EPLSAFIS naudotojų mokymą duomenų saugos klausimais, informuoja juos apie duomenų saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinių darbuotojams parengimas ir pan.);
9. EPLSAFIS administratorius, laikydamasis EPLSAFIS elektroninės informacijos saugos reikalavimų, atlieka šias funkcijas:
9.3. dalyvauja atliekant EPLSAFIS naudotojams suteiktų teisių ir priskirtų funkcijų atitikties vertinimą;
9.6. vykdo EPLSAFIS saugos įgaliotinio nurodymus EPLSAFIS saugos politikos įgyvendinimo klausimais ir jam atsiskaito už pavestą duomenų saugos politikos įgyvendinimo organizavimą ir saugos priemonių įgyvendinimą;
9.7. informuoja EPLSAFIS saugos įgaliotinį apie saugos politiką įgyvendinančių dokumentų nuostatų pažeidimus, galimos nusikalstamos veikos požymius, neveiksmingas arba nepakankamai veiksmingas duomenų saugos užtikrinimo priemones;
10. Saugų EPLSAFIS duomenų tvarkymą reglamentuoja:
10.5. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
10.6. Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Elektroninės informacijos gairės);
10.7. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“;
10.8. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
10.9. Lietuvos standartai LST ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir LST ISO/IEC 27002:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“;
10.10. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
10.11. socialinės apsaugos ir darbo ministro tvirtinamos Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklės, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo planas, Europos pagalbos labiausiai skurstantiems asmenims fondo nuostatai ir EPLSAFIS saugos nuostatai.
11. Tvarkant EPLSAFIS duomenis, vadovaujamasi:
11.1. 2014 m. kovo 11 d. Europos Parlamento ir Tarybos reglamentu (ES) Nr. 223/2014 dėl Europos pagalbos labiausiai skurstantiems asmenims fondo;
Papunkčio pakeitimai:
Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353
11.2. 2014 m. kovo 13 d. Komisijos deleguotuoju reglamentu (ES) Nr. 532/2014, kuriuo papildomas Europos Parlamento ir Tarybos reglamentas (ES) Nr. 223/2014 dėl Europos pagalbos labiausiai skurstantiems asmenims fondo;
Papunkčio pakeitimai:
Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353
11.3. 2015 m. vasario 11 d. Komisijos įgyvendinimo reglamentu (ES) 2015/212, kuriuo nustatomos Europos Parlamento ir Tarybos reglamento (ES) Nr. 223/2014 nuostatų dėl kiekvieno veiksmo duomenų, kurie reikalingi stebėsenai, vertinimui, finansų valdymui, tikrinimui ir auditui, įskaitant duomenis apie atskirus veiksmų, kurie bendrai finansuojami pagal VP II, dalyvius, įrašymo ir saugojimo sistemos techninių specifikacijų taikymo taisyklės;
Papunkčio pakeitimai:
Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353
11.4. Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2014 m. gegužės 16 d. įsakymu Nr. A1-268 „Dėl dokumentų, skirtų Europos pagalbos labiausiai skurstantiems asmenims fondo tikslinės grupės asmenų, maisto produktų ir (ar) būtinojo asmeninio vartojimo prekių apskaitai užtikrinti, formų patvirtinimo“;
11.6. Pagalbos maistu ir (arba) pagrindinės materialinės pagalbos veiksmų programos dėl paramos iš Europos pagalbos labiausiai skurstantiems asmenims fondo Lietuvoje administravimo taisyklėmis, patvirtintomis Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2015 m. vasario 17 d. įsakymu Nr. A1-77 „Dėl Pagalbos maistu ir (arba) pagrindinės materialinės pagalbos veiksmų programos dėl paramos iš Europos pagalbos labiausiai skurstantiems asmenims fondo Lietuvoje administravimo taisyklių patvirtinimo“;
11.7. Europos pagalbos labiausiai skurstantiems asmenims fondo projektų administravimo ir finansavimo taisyklėmis, patvirtintomis Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2015 m. gegužės 22 d. įsakymu Nr. A1-288 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo projektų administravimo ir finansavimo taisyklių patvirtinimo“;
11.8. Europos pagalbos labiausiai skurstantiems asmenims fondo išlaidų deklaravimo ir sąskaitų Europos Komisijai rengimo taisyklėmis, patvirtintomis Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2015 m. liepos 13 d. įsakymu Nr. A1-424 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo išlaidų deklaravimo ir sąskaitų Europos Komisijai rengimo taisyklių patvirtinimo“;
11.9. Europos pagalbos labiausiai skurstantiems asmenims fondo grąžintinų ir grąžintų lėšų administravimo taisyklėmis, patvirtintomis Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2015 m. gruodžio 17 d. įsakymu Nr. A1-760 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo išlaidų grąžintinų ir grąžintų lėšų administravimo taisyklių patvirtinimo“;
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
12. EPLSAFIS tvarkoma vidutinės svarbos informacija:
12.1. EPLSAFIS tvarkomos informacijos svarbos kategorija nustatyta vadovaujantis Elektroninės informacijos gairių 9.1 ir 9.3 papunkčiuose nustatytais kriterijais;
13. EPLSAFIS rizika vertinama vadovaujantis Lietuvos Respublikos vidaus reikalų ministerijos parengta metodine priemone „Rizikos analizės vadovas“, Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo technika“ grupės standartais.
14. EPLSAFIS rizikos įvertinimas aprašomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos duomenų saugai. Svarbiausi rizikos veiksniai:
14.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);
14.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema duomenims gauti, tyčinis duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);
15. Taikant kokybinius rizikos vertinimo metodus, nustatomi šie rizikos veiksnių įtakos elektroninės informacijos saugai laipsniai:
15.1. N – nereikšmingas laipsnis. Duomenų saugos pažeidimo poveikio laipsnis nėra didelis, padariniai nebus pavojingi – informacija nusiųsta kitam adresatui, įvesti netikslūs duomenys, dingo dalis informacijos, prarasta informacija po paskutinio kopijavimo, sugadinta operacinė sistema;
15.2. R – reikšmingas laipsnis. Duomenų saugos pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys netikslūs ar dalis jų visiškai sugadinta; duomenų bazių įrašai suklastoti ir nekorektiški, sunku rasti klaidas ir suklastotą informaciją; neveikia kompiuterinės programos ir operacinė sistema;
16. EPLSAFIS rizikos vertinimas atliekamas kasmet. Už rizikos vertinimo organizavimą atsakingi EPLSAFIS saugos įgaliotinis ir EPLSAFIS administratorius.
17. Vertinant EPLSAFIS riziką, atliekami šie darbai:
18. Rizikos įvertinimo ataskaitą tvirtina EPLSAFIS valdytojo vadovas. Atsižvelgdamas į rizikos įvertinimo ataskaitą, EPLSAFIS valdytojas tvirtina Rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
19. Saugos dokumentai turi būti persvarstomi (peržiūrimi) ne rečiau kaip kartą per metus po to, kai buvo atlikta rizikos analizė ar EPLSAFIS saugos atitikties vertinimas, arba įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams. Prireikus saugos dokumentai turi būti tikslinami.
20. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:
20.1. įgyvendinamos tinkamos techninės ir organizacinės priemonės, kad būtų užtikrintas pavojų atitinkančio lygio saugumas;
21. Kartą per metus atliekamas informacinių technologijų saugos atitikties vertinimas. Už informacinių technologijų saugos atitikties vertinimą atsakingas EPLSAFIS saugos įgaliotinis.
22. Atlikus EPLSAFIS informacinių technologijų saugos atitikties vertinimą, rengiama EPLSAFIS informacinių technologijų saugos atitikties vertinimo ataskaita, kuri pateikiama EPLSAFIS valdytojo vadovui, ir nustatytų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato EPLSAFIS valdytojo vadovas.
23. EPLSAFIS informacinių technologijų saugos atitikties vertinimo ataskaitos, rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas EPLSAFIS valdytojas ne vėliau kaip per 5 (penkias) darbo dienas nuo šių dokumentų patvirtinimo dienos turi pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, pavirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, nustatyta tvarka.
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI.
NEŠIOJAMŲJŲ KOMPIUTERIŲ IR MOBILIŲJŲ ĮRENGINIŲ NAUDOJIMAS
24. EPLSAFIS naudotojų prieiga prie EPLSAFIS valdoma naudojant unikalius identifikatorius ir slaptažodžius.
25. EPLSAFIS išorės administratorius yra atsakingas už EPLSAFIS serverių apsaugos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir kt.) užtikrinimą.
26. EPLSAFIS naudotojų darbo vietose naudojama programinė įranga, skirta jų darbo vietoms apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir kt.).
27. EPLSAFIS duomenys automatiniu būdu teikiami ir (ar) gaunami tik pagal duomenų teikimo sutartyse nustatytas technines specifikacijas ir sąlygas.
28. Siekiant užtikrinti EPLSAFIS duomenų bazės tęstinumą, turi būti daromos atsarginės duomenų kopijos. Pagrindiniai atsarginių duomenų kopijų darymo ir atkūrimo reikalavimai:
28.1. atsarginės duomenų kopijos turi būti daromos periodiškai (visų duomenų kopija – vieną kartą per savaitę). Atsarginių duomenų kopijų laikmenos sužymimos nurodant kopijos tipą, datą bei kitą sėkmingam jos kūrimui būtiną informaciją;
28.2. duomenų atkūrimas iš atsarginių duomenų kopijų turi būti periodiškai (ne rečiau kaip kartą per metus) išbandomas. Bandymų eiga ir rezultatai dokumentuojami;
28.3. atsarginės duomenų kopijos turi būti laikomos atskiroje patalpoje ir saugomos užrakintoje nedegioje spintoje;
28.4. už atsarginių kopijų darymo reikalavimų įgyvendinimą atsako EPLSAFIS išorės administratorius, už darbų atlikimo priežiūrą – EPLSAFIS saugos įgaliotinis;
29. Kompiuterių tinklo filtravimo įrangos naudojimo nuostatos:
29.1. konfigūruojant tinklo užkardas, turi būti laikomasi principo „draudžiama pagal nutylėjimą“, t. y. turi būti naudojami tik būtini organizacijos veiklai tinklo protokolai ir užkardų prievadai;
30. Nešiojamieji kompiuteriai ir kiti mobilieji įrenginiai (toliau kartu –nešiojamieji įrenginiai) išduodami pasirašytinai, duomenys, esantys juose, turi būti šifruojami.
31. Nešiojamiesiems įrenginiams taip pat taikomos toliau nurodytos apsaugos priemonės:
31.1. prisijungimas prie nešiojamojo kompiuterio operacinės sistemos turi būti apsaugotas slaptažodžiu;
32. Atsakingas organizacijos darbuotojas kartą per pusę metų privalo atlikti nešiojamųjų įrenginių patikrą ir priežiūrą. Patikrą galima atlikti nuotoliniu būdu, prisijungus prie nešiojamojo įrenginio (kai nešiojamasis įrenginys prijungtas prie vidinio kompiuterių tinklo), naudojant nešiojamųjų įrenginių valdymo sistemą arba darbuotojui fiziškai pristačius nešiojamąjį įrenginį.
33. Atsakingas organizacijos darbuotojas EPLSAFIS naudotojų grąžintuose nenaudojamuose nešiojamuosiuose įrenginiuose esančią informaciją suarchyvuoja, sukelia į tam skirtą vietą serveryje ir ištrina iš nešiojamojo įrenginio taip, kad jos nebūtų galima atkurti.
34. EPLSAFIS naudotojai privalo laikytis šių nešiojamųjų įrenginių naudojimo reikalavimų:
34.1. saugoti nešiojamąjį įrenginį nuo aplinkos poveikio – dulkių, vibracijos, cheminių medžiagų, elektromagnetinio spinduliavimo;
34.3. nepalikti nešiojamojo įrenginio be priežiūros viešose vietose, elgtis rūpestingai, kad nešiojamasis įrenginys ir jame esantys duomenys nebūtų prarasti;
34.6. apsaugoti mobilųjį įrenginį slaptažodžiu arba biometrinėmis apsaugos priemonėmis, jei jo nenaudoja;
35. EPLSAFIS naudotojams draudžiama:
IV SKYRIUS
REIKALAVIMAI PERSONALUI IR NAUDOTOJAMS
36. EPLSAFIS personalas ir EPLSAFIS naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, turi būti susipažinę su EPLSAFIS saugos nuostatais, Bendruoju duomenų apsaugos reglamentu ir kitais duomenų saugos politiką įgyvendinančiais dokumentais.
37. Jungtis prie EPLSAFIS duomenų ir (ar) juos tvarkyti gali tik tie EPLSAFIS naudotojai ir EPLSAFIS personalas, kurie pasirašę konfidencialumo pasižadėjimą (EPLSAFIS saugos nuostatų priedas) saugoti asmens duomenų paslaptį ir yra susipažinę su EPLSAFIS nuostatais, EPLSAFIS saugos nuostatais ir saugos politiką įgyvendinančiais dokumentais. Ši pareiga galioja ir perėjus dirbti į kitas pareigas arba pasibaigus valstybės tarnybos, darbo, sutartiniams ar kitiems santykiams.
38. EPLSAFIS administratorius, EPLSAFIS išorės administratorius ir EPLSAFIS naudotojai privalo rūpintis tvarkomos informacijos saugumu.
39. EPLSAFIS saugos įgaliotinis privalo išmanyti informacinių sistemų administravimo ir elektroninės informacijos saugos principus, elektroninės informacijos saugos užtikrinimo metodus, Lietuvos Respublikos ir Europos Sąjungos teisės aktus ir standartus, reglamentuojančius saugų duomenų tvarkymą, sugebėti užtikrinti saugų EPLSAFIS duomenų naudojimą.
40. EPLSAFIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą, susijusį su elektroninių duomenų ir informacinių sistemų saugumu, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą, savavališką prisijungimą prie tinklo, galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, žymėjimo, priežiūros ir naudojimo taisyklių pažeidimą, jeigu nuo jos skyrimo praėję mažiau kaip vieni metai.
41. EPLSAFIS administratorius ir EPLSAFIS išorės administratorius turi išmanyti elektroninės informacijos saugos principus, darbą su operacinėmis sistemomis, duomenų bazių administravimo pagrindus, turi būti susipažinęs su EPLSAFIS saugos nuostatais ir kitais EPLSAFIS saugos politiką įgyvendinančiais dokumentais. EPLSAFIS administratorius privalo sugebėti užtikrinti nepertraukiamą techninės ir programinės įrangos funkcionavimą, stebėti jos veikimą, atlikti profilaktinę jos priežiūrą, nustatyti ir šalinti sutrikimus.
42. Susipažinimo su EPLSAFIS saugos politiką įgyvendinančiais dokumentais tvarka:
42.1. už EPLSAFIS personalo supažindinimą su EPLSAFIS saugos nuostatais, kitais EPLSAFIS saugos politiką įgyvendinančiais dokumentais ir atsakomybe už šių reikalavimų nesilaikymą yra atsakingas EPLSAFIS saugos įgaliotinis;
42.2. EPLSAFIS personalas su EPLSAFIS saugos nuostatais ir EPLSAFIS saugos politiką įgyvendinančiais dokumentais bei atsakomybe už šių reikalavimų nesilaikymą pirmą kartą supažindinamas EPLSAFIS saugos įgaliotinio pasirašytinai, kaip numatyta EPLSAFIS saugos nuostatų 30 punkte;
42.3. EPLSAFIS naudotojai susipažįsta su EPLSAFIS saugos nuostatais ir EPLSAFIS saugos politiką įgyvendinančiais dokumentais bei atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą, prieš pirmą kartą prisijungdami prie EPLSAFIS. EPLSAFIS pirminiame lange pateikiamas informacinis pranešimas apie susipažinimą su EPLSAFIS saugos nuostatais, kitais EPLSAFIS saugos politiką įgyvendinančiais dokumentais, atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą ir minėti dokumentai. EPLSAFIS naudotojai, pirmą kartą jungdamiesi prie EPLSAFIS, pirmiausia privalo susipažinti su minėtais dokumentais ir patvirtinti susipažinimo faktą. Patvirtinimo informacija saugoma EPLSAFIS konkretaus EPLSAFIS naudotojo paskyros naudojimo laikotarpiu ir 1 metus nuo paskyros panaikinimo dienos, vėliau sunaikinama. Nesusipažinus su EPLSAFIS saugos politiką įgyvendinančiais dokumentais, prisijungti prie EPLSAFIS nebus leidžiama;
42.4. EPLSAFIS saugos įgaliotinis ne rečiau kaip kartą per trejus metus inicijuoja EPLSAFIS naudotojų mokymą duomenų saugos klausimais, informuoja juos apie duomenų saugos reikalavimus ir problematiką vienu iš šių būdų:
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
Europos pagalbos labiausiai skurstantiems asmenims
fondo informacinės sistemos duomenų saugos nuostatų
priedas
(Konfidencialumo pasižadėjimo forma)
KONFIDENCIALUMO PASIŽADĖJIMAS
Aš, _____________________________________________________________________ ,
(vardas, pavardė)
____________________________________________________________________________ ,
(pareigų pavadinimas)
patvirtinu, kad esu susipažinęs (-usi) su 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais asmens duomenų apsaugą reguliuojančiais teisės aktais bei socialinės apsaugos ir darbo ministro patvirtintais Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatais, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėmis, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklėmis, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo planu, Europos pagalbos labiausiai skurstantiems asmenims fondo nuostatais, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatais, ir pasižadu:
2. saugoti asmens duomenų paslaptį visą darbo (tarnybos) laiką, taip pat pasibaigus darbo (tarnybos) santykiams ir tik įstatymų bei kitų teisės aktų nustatytais tikslais ir tvarka naudoti ir teikti asmens duomenis teisę juos gauti turintiems asmenims;
3. man patikėtus dokumentus (duomenis) saugoti taip, kad tretieji asmenys, neturintys teisės su jais susipažinti, neturėtų galimybės su šiais dokumentais (duomenimis) susipažinti ar jais pasinaudoti;
4. neatskleisti man dėl darbo ar tarnybos santykių žinomų asmens duomenų tretiesiems asmenims, neturintiems teisės su jais susipažinti;
5. taikyti nustatytas technines ir organizacines saugumo priemones, elgtis rūpestingai, kad būtų išvengta asmens duomenų saugumo pažeidimo;
6. asmens duomenis tvarkyti tik teisėtais tikslais ir tik esant teisiniam pagrindui, ir tik tiek, kiek būtina jiems tvarkyti ir funkcijoms atlikti;
7. asmens duomenis tvarkyti taip, kad duomenų subjektų tapatybę būtų galima nustatinėti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo tvarkomi, įgyvendinti, vėliau šiuos duomenis sunaikinti pats ar perduoti juos sunaikinti tai įgaliotiems atlikti asmenims, ar perduoti juos saugoti, jeigu tokią pareigą nustato teisės aktai;
8. nedelsdamas (-a) pranešti tiesioginiam vadovui ir institucijos duomenų apsaugos pareigūnui apie asmenų, neturinčių teisės gauti asmens duomenis, bandymus gauti man patikėtą informaciją;
9. nedelsdamas (-a) pranešti savo tiesioginiam vadovui ir institucijos duomenų apsaugos pareigūnui apie įtariamą ir (ar) įvykusį duomenų saugumo pažeidimą (bet kokį pažeidimą, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be teisėto pagrindo atskleidžiami, saugomi arba kitaip tvarkomi asmens duomenys arba be teisėto pagrindo gaunama prieiga prie jų).
Žinau, kad už šio konfidencialumo pasižadėjimo nesilaikymą atsakysiu Lietuvos Respublikos teisės aktų nustatyta tvarka.
_________________ __________________ ______________________
(data) (parašas) (vardas ir pavardė)
Skirsnio pakeitimai:
Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353
PATVIRTINTA
Lietuvos Respublikos socialinės apsaugos ir darbo ministro
2020 m. sausio 28 d. įsakymu Nr. A1-71
EUROPOS PAGALBOS LABIAUSIAI SKURSTANBTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) reglamentuoja Europos pagalbos labiausiai skurstantiems asmenims fondo informacinėje sistemoje (toliau – EPLSAFIS) tvarkomos elektroninės informacijos kategorijas, nustato tvarką, užtikrinančią saugų techninės, programinės įrangos funkcionavimą, elektroninės informacijos tvarkymą ir jos teikimą kitoms institucijoms.
2. Taisyklėse vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau − Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas), Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatuose (toliau – EPLSAFIS nuostatai), Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatuose vartojamas sąvokas.
II SKYRIUS
TECHNINIŲ IR KITŲ SAUGOS UŽTIKRINIMO PRIEMONIŲ APRAŠYMAS
3. EPLSAFIS kompiuterinės įrangos saugos užtikrinimo priemonės:
3.1. tarnybinės stotys apsaugotos nuo elektros srovės nutrūkimo ir svyravimų, naudojant rezervinius elektros įvadus, vietinius elektros generatorius, nenutrūkstamo maitinimo šaltinius (UPS), užtikrinančius tarnybinių stočių veikimą ne mažiau kaip 30 min.;
3.2. patalpose, kuriose yra techninė įranga, užtikrintos gamintojo nustatytos techninės įrangos veikimo sąlygos, įranga prižiūrima ir eksploatuojama pagal gamintojo rekomendacijas;
3.3. svarbiausi EPLSAFIS elektroninės informacijos perdavimo tinklo mazgai ir ryšio linijos dubliuojami, jų techninė būklė nuolat stebima;
3.4. svarbiausios kompiuterinės įrangos gedimai registruojami (už gedimų registravimą atsakingas EPLSAFIS išorės administratorius);
3.6. kompiuterinėje įrangoje naudojama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga, kurios sąrašas peržiūrimas kartą per metus ir prireikus atnaujinamas;
3.7. įgyvendinamos Lietuvos standarte LST ISO/IEC 27002:2014 nurodytos saugos užtikrinimo priemonės;
4. EPLSAFIS sisteminės ir taikomosios programinės įrangos saugos užtikrinimo priemonės:
4.4. pirminiai slaptažodžiai, suteikiantys teisę dirbti su EPLSAFIS sistemine programine įranga, žinomi tik EPLSAFIS administratoriui ir saugomi seife užklijuotame voke;
4.6. EPLSAFIS naudotojų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai nustatyti Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklėse, patvirtintose socialinės apsaugos ir darbo ministro;
5. EPLSAFIS elektroninės informacijos perdavimo tinklais saugos užtikrinimo priemonės:
5.1. EPLSAFIS naudotojų tapatybei nustatyti ir tiesioginei prieigai prie EPLSAFIS elektroninės informacijos kontroliuoti naudojama prisijungimo vardų, slaptažodžių ir teisių sistema;
5.2. prisijungimo prie EPLSAFIS duomenų bazės vardai ir pirminio prisijungimo slaptažodžiai žinomi tik EPLSAFIS administratoriui ir tam EPLSAFIS naudotojui, kuriam jie yra skirti;
5.3. perduodamos EPLSAFIS elektroninės informacijos saugumas užtikrinamas naudojant saugų duomenų perdavimo tinklą arba sukuriant šifruoto duomenų perdavimo kanalą;
6. Patalpų ir aplinkos saugumo užtikrinimo priemonės:
6.1. patekimo į patalpas, kuriose yra EPLSAFIS tarnybinės stotys, sąlygas nustato EPLSAFIS išorės administratoriaus vadovas;
6.2. patekimas į patalpas, kuriose yra tarnybinės stotys, ir patalpas, kuriose saugomos EPLSAFIS duomenų atsarginės kopijos, kontroliuojamas naudojant vaizdo stebėjimo sistemą;
6.3. visos išorinės durys ir langai tarnybinių stočių patalpose turi būti apsaugoti taip, kad niekas į jas nepatektų;
6.4. patalpos, kuriose yra tarnybinės stotys, atskirtos nuo bendrojo naudojimo patalpų. Į šias patalpas patekti gali tik įgalioti asmenys. Kiti asmenys į šias patalpas gali patekti tik lydimi įgalioto asmens;
6.5. tarnybinių stočių patalpose įrengtos priešgaisrinės signalizacijos ir automatinės gaisro gesinimo sistemos, yra ugnies gesintuvai ir speciali gesinimo įranga, įrengti įsilaužimo davikliai, nustatoma įeinančių į patalpas ir išeinančių iš jų asmenų tapatybė (elektroninės tapatybės nustatymo kortelės). Gaisro ir įsilaužimo davikliai prijungti prie pastato signalizacijos ir apsaugos tarnybų;
6.6. tarnybinių stočių patalpose įrengtos vėdinimo ir oro kondicionavimo sistemos. Šiose patalpose palaikomas tarnybinės stoties gamintojų nustatytas santykinis oro drėgnumas;
7. Kitos priemonės, naudojamos EPLSAFIS elektroninės informacijos saugai užtikrinti:
7.1. saugiam EPLSAFIS elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, programinės įrangos fizinės, techninės ir organizacinės duomenų saugos priemonės, kuriomis užtikrinamas:
7.2. naudojantis programine įranga, nuolat atliekama EPLSAFIS funkcionavimo analizė ir EPLSAFIS funkcionavimo sutrikimų prevencija;
7.3. įdiegiama EPLSAFIS programinės įrangos apsauga nuo pagrindinių per tinklą valdomų EPLSAFIS atakų;
7.4. informacija apie EPLSAFIS įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis, visus EPLSAFIS naudotojų vykdomus veiksmus, kitus saugai svarbius įvykius analizuojama ne rečiau kaip kartą per mėnesį, įvykių žurnaluose duomenys saugomi 1 metus;
III SKYRIUS
SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
8. EPLSAFIS administratoriaus tvarkoma informacija:
9. EPLSAFIS elektroninė informacija įrašoma, atnaujinama, keičiama ir naikinama vadovaujantis Europos pagalbos labiausiai skurstantiems asmenims fondo nuostatais, Europos pagalbos labiausiai skurstantiems asmenims fondo duomenų saugos nuostatais, patvirtintais socialinės apsaugos ir darbo ministro, ir kitais teisės aktais, reglamentuojančiais EPLSAFIS elektroninės informacijos tvarkymą.
10. EPLSAFIS naudotojo veiksmų registravimo tvarka: EPLSAFIS naudotojui prisijungus prie EPLSAFIS duomenų bazės, elektroniniame žurnale automatiškai registruojamas EPLSAFIS naudotojo darbo laikas, prisijungimo vardas ir jo atliekami EPLSAFIS elektroninės informacijos tvarkymo veiksmai.
11. Atsarginių EPLSAFIS elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka:
11.1. atsarginės EPLSAFIS elektroninės informacijos kopijos daromos automatiškai kiekvieną dieną. Visos EPLSAFIS elektroninės informacijos kopija daroma darbo dienomis nuo 23 val. iki 5 val.;
11.2. atsarginės EPLSAFIS elektroninės informacijos kopijos laikomos kitose patalpose, nei yra EPLSAFIS tarnybinės stotys;
12. Saugaus EPLSAFIS elektroninės informacijos perkėlimo ir teikimo kitiems registrams bei informacinėms sistemoms, elektroninės informacijos gavimo iš jų tvarka:
12.2. EPLSAFIS elektroninė informacija, įskaitant asmens duomenis, vadovaujantis Valstybės informacinių išteklių valdymo įstatymu ir 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB, teikiama ir gaunama:
Papunkčio pakeitimai:
Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353
13. EPLSAFIS elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:
13.1. EPLSAFIS naudotojai apie pastebėtą neteisėtą EPLSAFIS elektroninės informacijos kopijavimą, keitimą, naikinimą ar kitus neteisėtus EPLSAFIS elektroninės informacijos tvarkymo veiksmus nedelsdami informuoja EPLSAFIS saugos įgaliotinį ar EPLSAFIS administratorių;
14. EPLSAFIS programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:
14.1. EPLSAFIS išorės administratorius EPLSAFIS tarnybinėse stotyse diegia ir tvarko programinę įrangą, reikalingą EPLSAFIS funkcionuoti;
15. EPLSAFIS pokyčių (toliau – pokyčiai) valdymo tvarka:
15.1. EPLSAFIS valdytojas užtikrina pokyčių valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas, atsižvelgiant į pokyčių svarbą, aktualumą, poreikį, įtakos vertinimą, pokyčių prioritetų nustatymo procesus;
15.2. pokyčiai nustatomi pagal EPLSAFIS naudotojų poreikius, atsižvelgiant į EPLSAFIS priežiūros problemas;
15.4. prieš priimant sprendimą įgyvendinti pokytį, įvertinama, kokią įtaką jis turės EPLSAFIS veiklai. Pagal įtaką EPLSAFIS veiklai pokyčiai skirstomi į nedidelius ir didelius;
15.5. pokyčių prioritetai nustatomi atsižvelgiant į pokyčių kategorijas ir jiems suteikiamos reikšmės: „labai skubu“, „skubu“, „neskubu“;
15.6. pokyčius planuoti ir įgyvendinti gali Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos valstybės tarnautojai ar darbuotojai, dirbantys pagal darbo sutartis, arba tretieji asmenys paslaugų pirkimo sutartyse nurodytomis sąlygomis;
15.7. jei įgyvendinant pokyčius gali kilti grėsmė EPLSAFIS elektroninės informacijos konfidencialumui, vientisumui ar pasiekiamumui, būsimi pokyčiai išbandomi testavimo aplinkoje;
15.8. jei įgyvendinant pokyčius galimi EPLSAFIS veiklos sutrikimai, EPLSAFIS administratorius privalo ne vėliau kaip prieš 1 darbo dieną iki planuojamų pokyčių įgyvendinimo pradžios informuoti (per EPLSAFIS, elektroniniu paštu ar kitomis priemonėmis) EPLSAFIS naudotojus apie tokių darbų pradžią ir galimus sutrikimus;
IV SKYRIUS
REIKALAVIMAI, KELIAMI EPLSAFIS FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS
16. EPLSAFIS funkcionuoti reikalingų paslaugų teikėjo prieiga prie EPLSAFIS techninės ir programinės įrangos kontroliuojama naudojant prisijungimo vardų, slaptažodžių ir teisių sistemą, skirtą paslaugų teikėjo darbuotojų tapatybei nustatyti.
17. EPLSAFIS elektroninės informacijos saugos priemonės, taip pat EPLSAFIS funkcionuoti reikalingų paslaugų teikėjo atsakomybė, susijusi su EPLSAFIS techninės ir programinės įrangos diegimu bei priežiūra, paslaugos, būtinos EPLSAFIS funkcionavimui užtikrinti, nustatomos paslaugų teikimo sutartyje.
18. Paslaugų, darbų ar įrangos, susijusių su EPLSAFIS kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, pirkimo dokumentuose turi būti nustatyta, kad paslaugų teikėjas turi užtikrinti atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše nustatytiems reikalavimams.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
19. EPLSAFIS naudotojas privalo nedelsdamas, bet ne vėliau kaip per 1 darbo dieną informuoti EPLSAFIS saugos įgaliotinį ar EPLSAFIS administratorių apie pastebėtus saugumo incidentus: Taisyklių reikalavimų pažeidimus, EPLSAFIS veiklos sutrikimus arba neįprastą EPLSAFIS veikimą.
PATVIRTINTA
Lietuvos Respublikos socialinės apsaugos ir darbo ministro
2020 m. sausio 28 d. įsakymu Nr. A1-71
Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklės (toliau – Taisyklės) reglamentuoja Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos (toliau – EPLSAFIS) naudotojų ir administratorių funkcijas, jų teises ir pareigas, saugaus elektroninės informacijos teikimo kontrolės tvarką ir principus.
2. Taisyklėse vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatuose ir Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatuose, tvirtinamuose socialinės apsaugos ir darbo ministro, vartojamas sąvokas.
II SKYRIUS
EPLSAFIS ELEKTRONINĖS INFORMACIJOS PRINCIPAI
4. Prieigos prie EPLSAFIS elektroninės informacijos principai:
4.1. neleisti neįgaliotiems asmenims prieiti prie EPLSAFIS duomenims tvarkyti naudojamos duomenų apdorojimo įrangos;
4.2. apriboti neleistiną duomenų įvedimą į EPLSAFIS, siekiant EPLSAFIS duomenis keisti, ištrinti, peržiūrėti ar kitaip tvarkyti;
4.4. užtikrinti, kad asmenys, įgalioti naudotis EPLSAFIS programine įranga, galėtų prieiti tik prie tos elektroninės informacijos, prie kurios prieiti jiems suteiktos prieigos teisės;
III SKYRIUS
EPLSAFIS NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS
5. EPLSAFIS naudotojų ir EPLSAFIS administratorių įgaliojimai, teisės ir pareigos naudotis suteiktomis prieigomis yra nustatomi socialinės apsaugos ir darbo ministro tvirtinamose Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklėse, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo plane, Europos pagalbos labiausiai skurstantiems asmenims fondo nuostatuose ir Europos pagalbos labiausiai skurstantiems asmenims fondo duomenų saugos nuostatuose.
7. EPLSAFIS naudotojai turi teisę:
7.1. naudotis EPLSAFIS ir EPLSAFIS kaupiama elektronine informacija pagal EPLSAFIS administratoriaus suteiktas prieigos teises;
8. EPLSAFIS naudotojai privalo:
8.1. užtikrinti jų naudojamos ir tvarkomos EPLSAFIS elektroninės informacijos konfidencialumą, vientisumą, savo veiksmais netrikdyti EPLSAFIS elektroninės informacijos prieinamumo;
8.2. saugoti naudojamų ir tvarkomų asmens duomenų paslaptį 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB nustatyta tvarka.
Papunkčio pakeitimai:
Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353
9. EPLSAFIS saugos įgaliotinio funkcijos ir atsakomybė nustatyti EPLSAFIS duomenų saugos nuostatų 8 punkte.
IV SKYRIUS
SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO NAUDOTOJAMS KONTROLĖS TVARKA
11. EPLSAFIS naudotojus registruoja, išregistruoja, prieigos prie EPLSAFIS teises suteikia ir panaikina EPLSAFIS administratorius.
12. EPLSAFIS naudotojui prieiga prie EPLSAFIS duomenų ir elektroninės informacijos suteikiama pateikus prašymą (Taisyklių 1 priedas) elektroniniu adresu: EPLSAFIS@socmin.lt.
13. EPLSAFIS naudotojui prieiga prie EPLSAFIS duomenų ir EPLSAFIS elektroninės informacijos panaikinama gavus prašymą panaikinti prieigą prie EPLSAFIS (Taisyklių 2 priedas). Jeigu prašymas dėl prieigos prie EPLSAFIS panaikinimo nėra gautas, bet yra žinoma, kad atitinkamas EPLSAFIS naudotojas nebedirba tam tikroje institucijoje ar organizacijoje arba egzistuoja kitos objektyvios aplinkybės, dėl kurių prieiga prie EPLSAFIS turi būti panaikinta (pavyzdžiui, EPLSAFIS naudotojas sistemiškai nesilaiko EPLSAFIS duomenų saugą reguliuojančių teisės aktų reikalavimų), EPLSAFIS administratorius tokią prieigą gali panaikinti be prašymo.
14. EPLSAFIS administratorius, gavęs rašytinį prašymą suteikti / panaikinti naudotojo prieigos teises, per 1 darbo dieną suteikia / panaikina nurodytam EPLSAFIS naudotojui prieigą prie EPLSAFIS apie tai informuodamas jį el. paštu, kartu pateikdamas ir laikinąjį slaptažodį.
15. EPLSAFIS naudotojai prie EPLSAFIS gali jungtis naudodamiesi suteiktu naudotojo vardu ir slaptažodžiu.
16. EPLSAFIS naudotojo slaptažodžiui yra keliami šie reikalavimai:
16.1. slaptažodis sudaromas iš ne mažesnio kaip 8 simbolių derinio, sudaryto iš raidžių, skaičių ir specialiųjų simbolių;
16.4. keičiant slaptažodį informacinė sistema neleidžia pasirinkti slaptažodžio iš buvusių 2 (dviejų) paskutinių slaptažodžių;
17. EPLSAFIS naudotojas privalo:
17.1. pirmą kartą gavęs EPLSAFIS administratoriaus suteiktą vardą ir slaptažodį prisijungti prie EPLSAFIS, nedelsdamas pakeisti slaptažodį nauju ir jį įsiminti (draudžiama užrašytus slaptažodžius palikti matomoje vietoje);
18. EPLSAFIS administratoriaus slaptažodžiui yra keliami šie reikalavimai:
18.1. slaptažodis sudaromas iš ne mažesnio kaip 12 simbolių derinio, sudaryto iš didžiųjų, mažųjų raidžių, skaitmenų ir specialiųjų simbolių. Keičiant slaptažodį, EPLSAFIS neleidžia sudaryti slaptažodžio iš buvusių 2 (dviejų) paskutinių slaptažodžių;
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
Europos pagalbos labiausiai skurstantiems
asmenims fondo informacinės sistemos
naudotojų administravimo taisyklių
1 priedas
(Prašymo suteikti Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų tvarkymo / peržiūros teises forma)
_______________________________________________________________________________________ (įstaigos pavadinimas)
Lietuvos Respublikos socialinė apsaugos ir darbo ministerijai
El. p. EPLSAFIS@socmin.lt
PRAŠYMAS SUTEIKTI EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS DUOMENŲ TVARKYMO / PERŽIŪROS TEISES
_______________
(data)
Prašau suteikti man ________________________________________________________________
(pareigos, vardas, pavardė)
teises dirbti su Europos pagalbos labiausiai skurstantiems asmenims fondo informacinėje sistemoje (toliau – EPLSAFIS) kaupiamais duomenimis:
Duomenų apimtis |
Duomenų tvarkymo teisės (pažymėkite reikiamas teises) |
|
Duomenų įvedimas ir tikslinimas |
Tik duomenų peržiūra |
|
1. Visi EPLSAFIS moduliai, nurodyti lentelės 2 punkte |
||
2. Dalis EPLSAFIS modulių: |
||
2.1. Modulis „Programa“ |
||
2.2. Modulis „Paraiškų vertinimas“ |
||
2.3. Modulis „Projektai“ |
||
2.4. Modulis „Pažeidimai“ |
||
2.5. Modulis „Auditas“ |
||
2.6. Modulis „Ataskaitos“ |
||
2.7. Modulis „Administravimas“ |
||
3. EPLASFIS duomenų mainų svetainė |
Patvirtinu, kad atstovauju vienai iš šių institucijų / organizacijų:
Europos pagalbos labiausiai skurstantiems asmenims fondo vadovaujančiai institucijai;
Europos pagalbos labiausiai skurstantiems asmenims fondo audito institucijai;
Europos pagalbos labiausiai skurstantiems asmenims fondo tarpinei institucijai;
Europos pagalbos labiausiai skurstantiems asmenims fondo tvirtinančiai institucijai;
Europos pagalbos labiausiai skurstantiems asmenims fondo projekto vykdytojui;
Europos pagalbos labiausiai skurstantiems asmenims fondo organizacijai partnerei.
_______________________________
(vardas, pavardė, parašas)
Europos pagalbos labiausiai skurstantiems
asmenims fondo informacinės sistemos
naudotojų administravimo taisyklių
2 priedas
(Prašymo panaikinti Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų tvarkymo / peržiūros teises forma)
___________________________________________________________________________________
(įstaigos pavadinimas)
Lietuvos Respublikos socialinė apsaugos ir darbo ministerijai
El. p. EPLSAFIS@socmin.lt
PRAŠYMAS PANAIKINTI EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS DUOMENŲ TVARKYMO / PERŽIŪROS TEISES
________________
(data)
Prašau panaikinti mano __________________________________________________________
(pareigos, vardas, pavardė)
toliau pažymėtas teises dirbti su Europos pagalbos labiausiai skurstantiems asmenims fondo informacinėje sistemoje kaupiamais duomenimis:
Duomenų apimtis |
Duomenų tvarkymo teisės (pažymėkite reikiamas teises) |
|
Duomenų įvedimas ir tikslinimas |
Tik duomenų peržiūra |
|
1. Visi EPLSAFIS moduliai, nurodyti lentelės 2 punkte |
||
2. Dalis EPLSAFIS modulių: |
||
2.1. Modulis „Programa“ |
||
2.2. Modulis „Paraiškų vertinimas“ |
||
2.3. Modulis „Projektai“ |
||
2.4. Modulis „Pažeidimai“ |
||
2.5. Modulis „Auditas“ |
||
2.6. Modulis „Ataskaitos“ |
||
2.7. Modulis „Administravimas“ |
||
3. EPLASFIS duomenų mainų svetainė |
Patvirtinu, kad atstovauju / atstovavau vienai iš šių institucijų / organizacijų:
Europos pagalbos labiausiai skurstantiems asmenims fondo vadovaujančiai institucijai;
Europos pagalbos labiausiai skurstantiems asmenims fondo audito institucijai;
Europos pagalbos labiausiai skurstantiems asmenims fondo tarpinei institucijai;
Europos pagalbos labiausiai skurstantiems asmenims fondo tvirtinančiai institucijai;
Europos pagalbos labiausiai skurstantiems asmenims fondo projekto vykdytojui;
Europos pagalbos labiausiai skurstantiems asmenims fondo organizacijai partnerei.
__________________________________
(vardas, pavardė, parašas)
PATVIRTINTA
Lietuvos Respublikos socialinės apsaugos ir darbo ministro
2020 m. sausio 28 d. įsakymu Nr. A1-71
EUropos pagalbos labiausiai skurstantiems asmenims fondo INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo planas (toliau – Planas) reglamentuoja Europos pagalbos labiausiai skurstantiems asmenims fondo informacinėje sistemoje (toliau – EPLSAFIS) veiklos užtikrinimą, veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės funkcijas.
2. Plane vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“, Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatuose ir Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatuose, tvirtinamuose socialinės apsaugos ir darbo ministro, vartojamas sąvokas.
3. Planą vykdyti privalu įvykus elektroninės informacijos saugos arba kibernetinės saugos incidentui (toliau kartu – saugos incidentas), kurio metu gali kilti pavojus EPLSAFIS tvarkomai elektroninei informacijai (gali būti pažeistas duomenų vientisumas, konfidencialumas ar prieinamumas), EPLSAFIS infrastruktūros ir taikomosios programinės įrangos funkcionavimui, gali būti sutrikdytas EPLSAFIS duomenų teikimas suinteresuotiems juridiniams asmenims ir (ar) jų valdomoms informacinėms sistemoms, pažeistas duomenų priėmimas iš suinteresuotų juridinių asmenų ir (ar) jų valdomų registrų ar informacinių sistemų. Įvykus kibernetiniam incidentui, vadovaujamasi Nacionaliniu kibernetinių incidentų valdymo planu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.
4. EPLSAFIS išorės administratoriaus, EPLSAFIS saugos įgaliotinio, EPLSAFIS administratoriaus ir kitų atsakingų Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos (toliau – Ministerija) ar kitų atsakingų institucijų valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis (toliau kartu – darbuotojai), veiksmai saugos incidento atveju yra nurodyti Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo plane (Plano 1 priedas).
5. EPLSAFIS naudotojai privalo vykdyti Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) ir Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos atkūrimo grupės (toliau – Atkūrimo grupė) reikalavimus.
6. Finansinių ir kitokių išteklių, numatomų EPLSAFIS veiklai atkurti įvykus saugos incidentui, šaltinius ir pobūdį numato ir pasirenka Valdymo grupė.
II SKYRIUS
ORGANIZACINĖS NUOSTATOS
8. Valdymo grupė užtikrina EPLSAFIS veiklai kylančių grėsmių valdymą ir EPLSAFIS veiklos atkūrimo koordinavimą įvykus saugos incidentui.
9. Valdymo grupę sudaro grupės vadovas, jo pavaduotojai ir grupės nariai:
9.1. Ministerijos, kaip EPLSAFIS valdytojos, kancleris arba socialinės apsaugos ir darbo ministro paskirtas kitas Ministerijos darbuotojas (toliau – Valdymo grupės vadovas);
9.2. Valdymo grupės vadovo pavaduotojai:
9.2.2. Ministerijos Administravimo departamento darbuotojas arba kitas saugos incidento klausimus sprendžiantis Ministerijos darbuotojas;
Punkto pakeitimai:
Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353
91. Į Valdymo grupės susitikimus turi būti kviečiamas Informacinės visuomenės plėtros komiteto, kaip Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos išorės administratoriaus, atstovas.
Papildyta punktu:
Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353
10. Valdymo grupės funkcijos:
10.1. saugos incidento analizė ir sprendimų EPLSAFIS veiklos tęstinumo valdymo klausimais priėmimas;
10.2. saugos incidento skelbimas; prieš priimdama sprendimą skelbti saugos incidentą, Valdymo grupė įvertina:
10.4. bendradarbiavimas su susijusių registrų, informacinių sistemų veiklos tęstinumo valdymo grupėmis;
10.6. bendravimas ir bendradarbiavimas su Nacionaliniu kibernetinio saugumo centru prie Krašto apsaugos ministerijos (toliau – Centras), teisėsaugos ir kitomis institucijomis, jų darbuotojais ir kitomis interesų grupėmis vadovaujantis Kibernetinio saugumo įstatymo ir Kibernetinio saugumo reikalavimų aprašo nuostatomis;
10.7. finansinių ir kitų išteklių, reikalingų EPLSAFIS veiklai atkurti, įvykus saugos incidentui, naudojimo kontrolė;
11. Atkūrimo grupė yra atskaitinga Valdymo grupei ir vykdo EPLSAFIS veiklos atkūrimą ir veikimo užtikrinimą įvykus saugos incidentui.
12. Atkūrimo grupė sudaroma iš šių narių:
12.1. Ministerijos Administravimo departamento Informacinių technologijų skyriaus vedėjas (toliau – Atkūrimo grupės vadovas);
Punkto pakeitimai:
Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353
121. Į Atkūrimo grupės susitikimus turi būti kviečiamas Informacinės visuomenės plėtros komiteto, kaip Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos išorės administratoriaus, atstovas.
Papildyta punktu:
Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353
13. Atkūrimo grupės funkcijos:
14. Už kiekvieną Atkūrimo grupės funkciją atsakingais skiriami ne mažiau kaip du Atkūrimo grupės atstovai.
15. Esant paskelbtam saugos incidentui, Valdymo grupė ir Atkūrimo grupė organizuoja pasitarimus, atsižvelgdamos į Valdymo grupės pirmojo susitikimo metu nustatytą dažnumą, palaiko ryšius visomis tuo metu prieinamomis priemonėmis (el. paštu, telefonu, mobiliuoju ryšiu ir kt.).
16. Reaguojant į saugos incidentus ir juos valdant, turi būti vadovaujamasi Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo planu (Plano 1 priedas) ir šiomis taisyklėmis:
16.1. darbuotojų gyvybės ir sveikatos apsauga – būtina užtikrinti visų darbuotojų gyvybės ir sveikatos apsaugą, kol trunka saugos incidentas ir likviduojami elektroninės informacijos saugos incidento padariniai;
16.2. EPLSAFIS veiklos atkūrimas – paskelbus saugos incidentą, jei būtina, organizuojama fizinė sauga ir nedelsiant pradedama atkurti EPLSAFIS veikla. Pirmiausia atkuriamas EPLSAFIS prieinamumas ir kritiškiausias informacinės sistemos funkcionalumas:
16.2.1. EPLSAFIS išorės administratorius pagal kompetenciją atkuria EPLSAFIS infrastruktūros ir taikomosios programinės įrangos funkcionavimą;
17. Valdymo grupė organizuoja žalos EPLSAFIS duomenims, EPLSAFIS infrastruktūrai ir taikomajai programinei įrangai vertinimą, koordinuoja EPLSAFIS veiklai atkurti reikalingos kompiuterių aparatinės, sisteminės ir taikomosios programinės įrangos įsigijimą.
18. Saugos incidento metu sunaikinta kompiuterių aparatinė, sisteminė ir taikomoji programinė įranga keičiama turima rezervine kompiuterių įranga, vėliau Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka įsigyjama nuolatinė kompiuterių įranga. Įsigijimo išlaidos padengiamos iš Lietuvos Respublikos valstybės biudžeto ir (ar) kitų finansavimo šaltinių.
19. Atsarginės patalpos, naudojamos EPLSAFIS veiklai atkurti saugos incidento atveju, turi atitikti šiuos reikalavimus:
19.3. patalpos atitinka priešgaisrinės saugos reikalavimus, jose įrengtos gaisro gesinimo priemonės;
19.5. patalpose įrengtas rezervinis elektros energijos šaltinis EPLSAFIS kompiuterinei techninei įrangai ir duomenų perdavimo tinklo mazgams, užtikrinantis įrangos veikimą ne trumpiau kaip 30 min.;
19.7. patalpoje nuolat veikia oro temperatūros ir drėgmės reguliavimo įranga (oro kondicionavimo sistema);
20. Atsarginių patalpų, naudojamų EPLSAFIS veiklai atkurti elektroninės informacijos saugos incidento atveju, adresas ir vieta nurodyti Plano 3 priede.
21. Per metus turi būti užtikrintas ne mažesnis kaip 95 proc. visos paros laiko EPLSAFIS prieinamumas.
23. Apie kibernetinius incidentus Centras turi būti informuojamas naudojantis Kibernetinio saugumo informaciniu tinklu, o nesant galimybės – Centro nurodytais kontaktais.
III SKYRIUS
APRAŠOMOSIOS NUOSTATOS
25. Už informaciją apie EPLSAFIS naudojamą kompiuterių techninę ir programinę įrangą, jos parametrus, už šios įrangos priežiūrą atsakingas EPLSAFIS išorės administratorius.
26. Minimaliai būtinos kompiuterių techninės ir programinės įrangos, reikalingos EPLSAFIS veiklai atkurti ir funkcionalumui užtikrinti saugos incidento metu, specifikacija turi būti tokia pati kaip ir pagrindinė EPLSAFIS techninė specifikacija.
27. Visų pastatų aukštų patalpų brėžinius ir šiose patalpose esančios įrangos bei komunikacijų sąrašą (vadovaudamasis EPLSAFIS technine specifikacija) parengia, ne rečiau kaip kartą per kalendorinius metus atnaujina ir saugo EPLSAFIS išorės administratorius. Brėžiniuose turi būti pažymėta ši patalpose esanti įranga bei komunikacijos:
27.2. duomenų perdavimo įranga (šakotuvai, skirstytuvai, kelvedžiai, modemai, telefonų stotys ir kt.);
28. Kompiuterių tinklo fizinio ir loginio sujungimo schemas parengia ir saugo EPLSAFIS išorės administratorius.
29. EPLSAFIS elektroninės informacijos teikimo ir kompiuterių techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigos ir duomenys saugomi EPLSAFIS išorės administratoriaus vadovo patvirtintame dokumentacijos plane nustatyta tvarka.
30. Programinės įrangos laikmenų ir laikmenų su atsarginėmis EPLSAFIS elektroninės informacijos kopijomis saugojimo vieta, šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos fiksuojami vadovaujantis EPLSAFIS išorės administratoriaus organizacijoje nustatyta tvarka.
31. EPLSAFIS saugos įgaliotinis parengia ir saugo Valdymo grupės ir Atkūrimo grupės narių sąrašą, kuriame nurodomi šių asmenų tarnybinių mobiliųjų ir asmeninių telefonų numeriai, gyvenamosios vietos adresai. Šie duomenys tvarkomi tik siekiant užtikrinti saugos incidentų valdymą ir EPLSAFIS veiklos tęstinumą, jeigu Valdymo grupės ar Atkūrimo grupės nario Ministerijoje nėra.
IV SKYRIUS
PLANO VEIKSMINGUMO PATIKRINIMO NUOSTATOS
32. Data, kai patikrinama, ar planas veiksmingas, nustatoma kiekvienų metų sausio mėnesį. Nustatytą dieną imituojami saugos incidentai. Jų metu už saugos incidentų padarinių likvidavimą atsakingi asmenys imituoja saugos incidentą ir atlieka padarinių likvidavimo veiksmus. Atsarginėje EPLSAFIS stotyje iš atsarginių EPLSAFIS duomenų kopijų atkuriami EPLSAFIS duomenys.
33. Pagal bandymų rezultatus EPLSAFIS saugos įgaliotinis parengia Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo plano patikrinimo ataskaitą (Plano 4 priedas) (toliau – Ataskaita), kurioje apibendrinami atliktų bandymų rezultatai, nurodomi Plano trūkumai ir siūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina EPLSAFIS valdytojo vadovas.
34. EPLSAFIS saugos įgaliotinis nuolat kontroliuoja, kaip įgyvendinamos Ataskaitoje nurodytos prevencinės priemonės.
V skyrius
BAIGIAMOSIOS NUOSTATOS
36. EPLSAFIS saugos įgaliotinis organizuoja Plano peržiūrą ne rečiau kaip vieną kartą per metus. Planas turi būti peržiūrimas atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminiams organizaciniams, sisteminiams ar kitiems pokyčiams.
Europos pagalbos labiausiai skurstantiems asmenims fondo
informacinės sistemos veiklos tęstinumo valdymo plano
1 priedas
EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS
Pavojaus rūšys |
Pirmaeiliai veiksmai |
Pasekmių likvidavimo veiksmai |
Atsakingi pasekmių likvidavimo vykdytojai |
1. Klimato sąlygos (smarkus lietus, audra, viesulas, škvalas, kruša, stiprus speigas ir pan.) |
1.1. Saugos incidento pasekmių įvertinimas, priemonių plano pavojui pašalinti ir padarytai žalai likviduoti sudarymas ir įgyvendinimas |
1.1.1. Saugos incidento metu padarytos žalos įvertinimas |
Valdymo grupės vadovas |
1.1.2. Pavojaus pašalinimo ir padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas |
Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos (toliau – EPLSAFIS) saugos įgaliotinis
|
||
1.1.3. Priemonių plano įgyvendinimas |
Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos atkūrimo grupės (toliau – Atkūrimo grupė) vadovas |
||
1.2. Darbuotojų saugos incidento pasekmėms likviduoti paskyrimas |
1.2.1. Žalą likviduojančių darbuotojų instruktavimas |
EPLSAFIS saugos įgaliotinis |
|
1.2.2. Žalą likviduojančių darbuotojų veiksmų koordinavimas |
Atkūrimo grupės vadovas |
||
1.3. Oro prognozės sekimas |
Žalą likviduojančių darbuotojų instruktavimas |
EPLSAFIS saugos įgaliotinis |
|
1.4. Dirbantiesiems pavojaus vietoje rekomendacijų teikimas |
1.4.1. Saugos incidento pasekmes likviduojančių darbuotojų instruktavimas |
EPLSAFIS saugos įgaliotinis |
|
1.4.2. Darbuotojų informavimas, kaip elgtis pavojaus vietoje |
EPLSAFIS saugos įgaliotinis |
||
1.4.3. Pirmosios pagalbos suteikimo organizavimas nukentėjusiems darbuotojams |
Atkūrimo grupės vadovas |
||
1.4.4. Nukentėjusių darbuotojų transportavimo į gydymo įstaigą organizavimas |
Atkūrimo grupės vadovas |
||
1.5. Pavojaus vietų ženklinimas |
1.5.1. Darbuotojų informavimas |
EPLSAFIS saugos įgaliotinis |
|
1.5.2. Žalą likviduojančių darbuotojų instruktavimas |
EPLSAFIS saugos įgaliotinis |
||
2. Gaisras |
2.1. Ugniagesių tarnybos informavimas |
2.1.1. Įvykio vietos lokalizavimas, jei yra rekomendacija |
Atkūrimo grupė vadovas |
2.1.2. Galimybių evakuoti darbuotojus paieška, jei yra rekomendacija |
Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) vadovas |
||
2.2. Darbuotojų evakuacija (pagal ugniagesių tarnybos rekomendaciją) |
Darbuotojų informavimas apie evakuaciją, jei yra rekomendacija |
EPLSAFIS saugos įgaliotinis |
|
2.3. Darbas pavojaus zonoje |
Darbuotojų informavimas apie saugų darbą pavojaus zonoje |
EPLSAFIS saugos įgaliotinis |
|
2.4. Komunikacijų, sukeliančių pavojų, išjungimas |
Atsakingų darbuotojų informavimas |
Atkūrimo grupės vadovas |
|
2.5. Gaisro gesinimas ankstyvojoje stadijoje, jei yra rekomendacija dirbti pavojaus zonoje |
Individualių gesinimo priemonių panaudojimas |
Atkūrimo grupės vadovas |
|
3. Patalpų naudojimo reikalavimų pažeidimas arba praradimas |
3.1. Teisėsaugos tarnybos informavimas |
3.1.1. Įvykio vietos lokalizavimas, draudimas patekti į patalpas, jei yra teisėsaugos tarnybos rekomendacija |
Atkūrimo grupės vadovas |
3.1.2. Galimybių evakuoti darbuotojus nagrinėjimas, jei yra rekomendacija |
Valdymo grupės vadovas |
||
3.2. Darbuotojų evakuacija, jei yra rekomendacija |
Darbuotojų informavimas apie evakuaciją |
EPLSAFIS saugos įgaliotinis |
|
3.3. Patalpų užrakinimas, jei yra galimybė |
Teisėsaugos tarnybos nurodymų vykdymas |
Atkūrimo grupės vadovas |
|
3.4. Teisėsaugos tarnybos nurodymų vykdymas |
Darbuotojų informavimas, kaip vykdomi nurodymai |
EPLSAFIS saugos įgaliotinis |
|
3.5. Veiklos perkėlimas į atsargines patalpas |
3.5.1. Galimybių perkelti veiklą į atsargines patalpas nagrinėjimas |
Valdymo grupės vadovas |
|
3.5.2. Veiklos perkėlimas į atsargines patalpas |
Atkūrimo grupės vadovas |
||
3.5.3. Darbuotojų informavimas apie darbą naujose patalpose |
EPLSAFIS saugos įgaliotinis |
||
3.6. Patalpoms padarytos žalos likvidavimas |
3.5.1. Padarytos žalos įvertinimas |
Valdymo grupės vadovas |
|
3.5.2. Padarytos žalos likvidavimo priemonių plano sudarymas ir paskelbimas |
Valdymo grupės vadovas
|
||
3.5.3. Padarytos žalos likvidavimo priemonių plano vykdymas |
Atkūrimo grupės vadovas |
||
3.5.4. Žalą likviduojančių darbuotojų instruktavimas |
EPLSAFIS saugos įgaliotinis |
||
4. Elektros energijos tiekimo sutrikimai |
4.1. Elektros energijos tiekimo sutrikimų priežasčių nustatymas |
Sutrikimų šalinimo organizavimas |
Atkūrimo grupės vadovas |
4.2. Kreipimasis į energijos tiekimo tarnybą dėl pavojaus trukmės ir galimybių pašalinti sutrikimus |
Rekomendacijų iš energijos tiekimo tarnybos gavimas |
Valdymo grupės vadovas
|
|
4.3. Sutrikimų pašalinimas |
4.3.1. Pavojaus pašalinimas, elektros energijos tiekimas iš rezervinio dyzelinio generatoriaus |
Atkūrimo grupės vadovas |
|
4.3.2. Padarytos žalos likvidavimo priemonių plano sudarymas ir įgyvendinimas |
Atkūrimo grupės vadovas |
||
4.3.3. Padarytos žalos įvertinimas |
|||
4.3.4. Žalą likviduojančių darbuotojų instruktavimas |
EPLSAFIS saugos įgaliotinis |
||
5. Vandentiekio ir šildymo sistemos sutrikimai |
5.1. Vandentiekio ar šildymo paslaugų teikėjų informavimas |
5.1.1. Atitinkamos tarnybos paklausimas dėl leidimo dirbti ir rekomendacijų gavimas |
Valdymo grupės vadovas
|
5.1.2. Darbuotojų informavimas apie rekomendacijas |
EPLSAFIS saugos įgaliotinis |
||
5.2. Sutrikimo šalinimo prognozės skelbimas, sutrikimo pašalinimas |
5.2.1. Padarytos žalos įvertinimas. Sutrikimo šalinimo ir padarytos žalos likvidavimo priemonių plano sudarymas, plano įgyvendinimas |
Atkūrimo grupės vadovas |
|
5.2.2. Žalą likviduojančių darbuotojų instruktavimas |
EPLSAFIS saugos įgaliotinis |
||
6. Tarnybinių stočių patalpos kondicionavimo įrangos gedimai |
6.1. Atitinkamų tarnybų informavimas apie kondicionavimo įrangos gedimą |
Kreipimasis į kondicionavimo įrangą prižiūrinčią tarnybą. Rekomendacijų iš tarnybos gavimas
|
EPLSAFIS išorės administratorius |
6.2. Kondicionavimo įrangos gedimo pašalinimas |
6.2.1. Priemonių, kad gedimai nesikartotų, nustatymas ir įgyvendinimas |
Atkūrimo grupės vadovas |
|
6.2.2. Padarytos žalos įvertinimas |
|||
7. Ryšio sutrikimas |
7.1. Ryšio sutrikimo priežasčių nustatymas |
Kreipimasis į ryšio paslaugos teikėją |
EPLSAFIS administratorius |
7.2. Ryšio tarnybų informavimas, paklausimas dėl sutrikimo trukmės ir galimybių jį pašalinti
|
7.1.2. Priemonių, kad sutrikimai nesikartotų, nustatymas ir įgyvendinimas |
Atkūrimo grupės vadovas |
|
7.1.3. Ryšio sutrikimo pašalinimas |
|||
8. Kompiuterių aparatinės įrangos sugadinimas, praradimas |
8.1. Teisėsaugos tarnybos, draudimo bendrovės informavimas apie įvykį |
8.1.1. Darbuotojų saugos incidento pasekmėms likviduoti paskyrimas, instruktavimas, jų veiksmų nustatymas |
Valdymo grupės vadovas
|
8.2. Saugos incidento pasekmių šalinimas |
8.2.1. Žalos, padarytos saugos incidento metu, įvertinimas |
Valdymo grupės vadovas
|
|
8.2.2. Kreipimasis į įrangos tiekėjus dėl įrangos remonto ar naujos įrangos įsigijimo |
Atkūrimo grupės vadovas |
||
8.2.3. Įsigytos įrangos diegimas |
EPLSAFIS išorės administratorius |
||
9. Programinės įrangos sugadinimas, praradimas |
9.1. Saugos incidento pasekmių įvertinimas, priemonių plano pavojui suvaldyti ir padarytai žalai likviduoti sudarymas
|
9.1.4. Kreipimasis į teisėsaugos tarnybas dėl programinės įrangos sugadinimo ar praradimo ir jų nurodymų vykdymas |
Valdymo grupės vadovas
|
9.1.1. Žalos, padarytos saugos incidento metu, įvertinimas |
Valdymo grupės vadovas
|
||
9.1.2. Priemonių plano sudarymas, paskelbimas ir įgyvendinimas |
Valdymo grupės vadovas
|
||
9.1.3. Žalą likviduojančių darbuotojų instruktavimas |
EPLSAFIS saugos įgaliotinis |
||
9.2. Programinės įrangos kopijų periodinis gaminimas |
Sugadintos ar prarastos programinės įrangos atkūrimo organizavimas |
EPLSAFIS išorės administratorius |
|
10. Duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas |
10.1. Saugos incidento pasekmių įvertinimas; Ministerijos vadovybės informavimas |
10.1. Prarastų duomenų arba dokumentų atkūrimas |
Atkūrimo grupės vadovas |
10.2. Prarastų duomenų arba dokumentų atkūrimo kontrolė |
Valdymo grupės vadovas |
||
11. Darbuotojų praradimas |
11.1. Saugos incidento pasekmių įvertinimas |
Trūkstamų darbuotojų paieška |
Valdymo grupės vadovas
|
Europos pagalbos labiausiai skurstantiems asmenims
fondo informacinės sistemos veiklos tęstinumo valdymo plano
2 priedas
(Saugos incidentų registravimo žurnalo formos pavyzdys)
EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS SAUGOS INCIDENTŲ ŽURNALAS
Pradėta pildyti __________________ Baigta pildyti ___________________
Eil. Nr. |
Saugos incidentas |
|||||
Požymio kodas |
Įvykio aprašymas |
Pradžia (metai, mėnuo, diena, valanda) |
Pabaiga (metai, mėnuo, diena, valanda) |
Pašalino (vardas, pavardė) |
Europos pagalbos labiausiai skurstantiems asmenims saugos įgaliotinis (vardas, pavardė, parašas) |
|
1. |
|
|
|
|
|
|
2. |
|
|
|
|
|
|
3. |
|
|
|
|
|
|
n |
|
|
|
|
|
|
Elektroninės informacijos saugos incidento požymiai:
1 – klimatinės sąlygos; 2 – gaisras; 3 – patalpų naudojimo reikalavimų pažeidimas arba praradimas; 4 – elektros energijos tiekimo sutrikimai; 5 – vandentiekio ir šildymo sistemos sutrikimai; 6 – tarnybinių stočių patalpos kondicionavimo įrangos gedimas; 7 – ryšio sutrikimai; 8 – kompiuterių aparatinės įrangos sugadinimas, praradimas; 9 – programinės įrangos sugadinimas, praradimas; 10 – duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas; 11 – darbuotojų praradimas.
Europos pagalbos labiausiai skurstantiems asmenims
fondo informacinės sistemos veiklos tęstinumo valdymo plano
3 priedas
ATSARGINĖS PATALPOS EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS VEIKLAI ATKURTI SAUGOS INCIDENTO ATVEJU
Europos pagalbos labiausiai skurstantiems asmenims
fondo informacinės sistemos veiklos tęstinumo valdymo plano
4 priedas
(Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo plano patikrinimo ataskaitos forma)
TVIRTINU
Socialinės apsaugos ir darbo ministras
(parašas)
(vardas ir pavardė)
EUROPOS PAGALBOS LABIAUSIAI SKURSTANTIEMS ASMENIMS FONDO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANO PATIKRINIMO ATASKAITA
20____ m. ____________ __d. Nr.___
Vilnius
Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo plano (toliau – valdymo planas) patikrinime dalyvavo šie Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos (toliau – EPLSAFIS) valdymo grupės nariai (nurodomas vardas, pavardė ir pareigos):
|
1. |
2. |
.... |
Elektroninės informacijos saugos incidento apibūdinimas: |
|
|
Elektroninės informacijos saugos incidento poveikis EPLSAFIS: |
|
|
Saugos incidento valdymo eiga: |
||||||
|
||||||
|
||||||
|
||||||
Nustatyti valdymo plano trūkumai: |
||||||
|
||||||
|
Pasiūlymai keisti arba papildyti valdymo planą: |
|
|
Veiklos tęstinumo valdymo grupės vadovas |
|
|
|
|||
|
(vardas, pavardė) |
|
(parašas) |
|||
Veiklos atkūrimo grupės vadovas |
|
|
|
|||
|
(vardas, pavardė) |
|
(parašas) |
|||
EPLSAFIS saugos įgaliotinis
|
|
|
|
|||
|
(vardas, pavardė) |
|
(parašas) |
|||
Pakeitimai:
1.
Lietuvos Respublikos socialinės apsaugos ir darbo ministerija, Įsakymas
Nr. A1-538, 2020-06-12, paskelbta TAR 2020-06-12, i. k. 2020-12922
Dėl Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2020 m. sausio 28 d. įsakymo Nr. A1-71 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatų, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatų, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklių ir Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo plano patvirtinimo“ pakeitimo
2.
Lietuvos Respublikos socialinės apsaugos ir darbo ministerija, Įsakymas
Nr. A1-844, 2020-09-17, paskelbta TAR 2020-09-17, i. k. 2020-19353
Dėl Socialinės apsaugos ir darbo ministro 2020 m. sausio 28 d. įsakymo Nr. A1-71 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatų, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatų, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklių ir Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo plano patvirtinimo“ pakeitimo
3.
Lietuvos Respublikos socialinės apsaugos ir darbo ministerija, Įsakymas
Nr. A1-366, 2021-05-10, paskelbta TAR 2021-05-10, i. k. 2021-10370
Dėl Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2020 m. sausio 28 d. įsakymo Nr. A1-71 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatų, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatų, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklių ir Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo plano patvirtinimo“ pakeitimo
4.
Lietuvos Respublikos socialinės apsaugos ir darbo ministerija, Įsakymas
Nr. A1-963, 2021-12-23, paskelbta TAR 2021-12-23, i. k. 2021-26851
Dėl Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2020 m. sausio 28 d. įsakymo Nr. A1-71 „Dėl Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos nuostatų, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos duomenų saugos nuostatų, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių, Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos naudotojų administravimo taisyklių ir Europos pagalbos labiausiai skurstantiems asmenims fondo informacinės sistemos veiklos tęstinumo valdymo plano patvirtinimo“ pakeitimo