LIETUVOS RESPUBLIKOS SOCIALINĖS APSAUGOS IR DARBO MINISTRAS
ĮSAKYMAS
DĖL NACIONALINIO TVARUMO IR ATSAKINGUMO INDEKSO INFORMACINĖS SISTEMOS NUOSTATŲ, NACIONALINIO TVARUMO IR ATSAKINGUMO INDEKSO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ, NACIONALINIO TVARUMO IR ATSAKINGUMO INDEKSO INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLIŲ, NACIONALINIO TVARUMO IR ATSAKINGUMO INDEKSO INFORMACINĖS SISTEMOS NAUDOTOJŲ ADMINISTRAVIMO TAISYKLIŲ IR NACIONALINIO TVARUMO IR ATSAKINGUMO INDEKSO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANO PATVIRTINIMO
2024 m. spalio 15 d. Nr. A1-680
Vilnius
Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 23 straipsniu ir 27 straipsnio 1 dalies 1 punktu, įgyvendindamas Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktą ir Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, 7, 11 ir 19 punktus:
1. Tvirtinu pridedamus:
1.3. Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos saugaus elektroninės informacijos tvarkymo taisykles;
1.4. Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos naudotojų administravimo taisykles;
2. Skiriu vyriausiąjį patarėją (informacinių sistemų plėtros klausimais) Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos saugos įgaliotiniu.
PATVIRTINTA
Lietuvos Respublikos socialinės apsaugos
ir darbo ministro
2024 m. spalio 15 d. įsakymu Nr. A1-680
NACIONALINIO TVARUMO IR ATSAKINGUMO INDEKSO INFORMACINĖS SISTEMOS
NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos (toliau – NTAIIS) steigimo teisinį pagrindą, tikslus, uždavinius, funkcijas, organizacinę, informacinę ir funkcinę struktūras, jos finansavimą, modernizavimą ir likvidavimą, duomenų teikimo ir naudojimo tvarką, duomenų saugos reikalavimus, saugomų asmens duomenų tvarkymo tikslus.
2. NTAIIS steigimo pagrindas – Aštuonioliktosios Lietuvos Respublikos Vyriausybės programos, patvirtintos Lietuvos Respublikos Seimo 2020 m. gruodžio 11 d. nutarimu Nr. XIV-72 „Dėl Aštuonioliktosios Lietuvos Respublikos Vyriausybės programos“, 131.2 papunktis ir Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 1998 m. liepos 17 d. nutarimu Nr. 892 „Dėl Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos nuostatų patvirtinimo“, 9.3 ir 25.18 papunkčiai.
3. Pagrindiniai teisės aktai, kuriais vadovaujantis kuriama ir tvarkoma NTAIIS:
3.5. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Reglamentas (ES) 2016/679);
3.6. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;
3.7. Valstybės informacinių sistemų gyvavimo ciklo valdymo metodika, patvirtinta Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;
3.8. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, (toliau – Bendrųjų elektroninės informacijos saugos dokumentų turinio gairių aprašas);
3.9. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
3.10. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
3.11. Kuriamų viešųjų ir administracinių elektroninių paslaugų tinkamumo naudotojams užtikrinimo priemonių metodinės rekomendacijos, patvirtintos Informacinės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. gegužės 5 d. įsakymu Nr. T-65 „Dėl Kuriamų viešųjų ir administracinių elektroninių paslaugų tinkamumo naudotojams užtikrinimo priemonių metodinių rekomendacijų patvirtinimo“;
3.12. Duomenų teikimo formatų ir standartų rekomendacijos, patvirtintos Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2013 m. kovo 25 d. įsakymu Nr. T-36 „Dėl Duomenų teikimo formatų ir standartų rekomendacijų patvirtinimo“;
3.13. Tarptautiniai saugumo standartai LST ISO/IEC 27002, LST ISO/IEC 27001 ar lygiaverčiai standartai;
3.14. Įmonių socialinės atsakomybės 2016–2023 metų veiksmų planas, patvirtintas Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2022 m. gruodžio 6 d. įsakymu Nr. A1-822 „Dėl Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2016 m. vasario 12 d. įsakymo Nr. A1-82 „Dėl Įmonių socialinės atsakomybės 2016–2022 metų veiksmų plano patvirtinimo“ pakeitimo“;
3.15. 2017 m. gruodžio 13 d. iš Europos Sąjungos struktūrinių fondų lėšų bendrai finansuojamo projekto Nr. 08.5.1-ESFA-V-423-02-0001 „Įmonių socialinės atsakomybės skatinimas“ sutartis;
3.16. Verslo tvarumo ir atsakingumo indekso metodika (2019 m.), parengta UAB „Ekonominės konsultacijos ir tyrimai“ ekspertų komandos, bendradarbiaujant su Lietuvos darbdavių konfederacija, įgyvendinant Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos kartu su partneriais įgyvendintą projektą „Įmonių socialinės atsakomybės skatinimas“, Nr. 08.4.1-ESFA-V-405-01-0001;
3.17. Nacionalinio tvarumo ir atsakingumo indekso metodika (2023 m.), parengta ekspertų komandos, bendradarbiaujant su Lietuvos Respublikos socialinės apsaugos ir darbo ministerija, įgyvendinant projektą „Įmonių socialinės atsakomybės skatinimas“, projekto kodas Nr. 08.5.1-ESFA-V-423-02-0001;
3.18. 2021–2030 metų nacionalinis pažangos planas, patvirtintas Lietuvos Respublikos Vyriausybės 2020 m. rugsėjo 9 d. nutarimu Nr. 998 „Dėl 2021–2030 metų nacionalinio pažangos plano patvirtinimo“;
3.19. 2021–2030 metų plėtros programos valdytojos Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos įtraukios darbo rinkos plėtros programa, patvirtinta Lietuvos Respublikos Vyriausybės 2021 m. lapkričio 10 d. nutarimu Nr. 929 „Dėl 2021–2030 metų plėtros programos valdytojos Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos įtraukios darbo rinkos plėtros programos patvirtinimo“.
4. Nuostatuose vartojamos sąvokos atitinka Nuostatų 3 punkte nurodytuose teisės aktuose apibrėžtas sąvokas.
5. NTAIIS tikslas – administruoti nacionalinį tvarumo ir atsakingumo indeksą (toliau – NTAI), centralizuotai, sistemiškai ir kompiuterizuotai tvarkyti su NTAI administravimu susijusią informaciją, rinkti duomenis apie teikiamas NTAI nustatymo paslaugas, įgalinančius gauti patikimą statistinę analitinę informaciją sprendimams dėl NTAI tobulinimo priimti, siekiant efektyvių NTAI nustatymo paslaugų teikimo, užtikrinti galimybę fiziniams asmenims užsisakyti viešąsias elektronines paslaugas.
6. NTAIIS uždaviniai:
7. NTAIIS funkcijos yra:
7.5. informuoti NTAIIS elektroninių paslaugų gavėjus apie NTAI aktualijas ir galimybes atlikti NTAI nustatymą;
7.7. užtikrinti galimybę NTAIIS paslaugų gavėjams NTAIIS priemonėmis gauti, rengti, tvarkyti ir teikti informaciją;
7.8. stebėti NTAIIS iš kitų informacinių sistemų gaunamų (teikiamų) duomenų apdorojimo duomenis ir valdyti integracijas;
8. Asmens duomenų tvarkymo NTAIIS tikslai:
8.1. identifikuoti NTAIIS naudotojus, elektroninių paslaugų gavėjus ir jų atstovus, audituoti jų veiksmus;
8.3. administruoti NTAIIS nuostatų III skyriaus 36.1, 36.2, 36.3, 36.4, 36.7, 36.8, 36.11, 36.12 papunkčiuose nurodytus duomenis;
8.5. skaičiuoti ir stebėti rodiklius, nustatytus 2021–2030 metų nacionalinio pažangos plane, patvirtintame Lietuvos Respublikos Vyriausybės 2020 m. rugsėjo 9 d. nutarimu Nr. 998 „Dėl 2021–2030 metų nacionalinio pažangos plano patvirtinimo“, ir 2021–2030 metų plėtros programos valdytojos Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos įtraukios darbo rinkos plėtros programoje, patvirtintoje Lietuvos Respublikos Vyriausybės 2021 m. lapkričio 10 d. nutarimu Nr. 929 „Dėl 2021–2030 metų plėtros programos valdytojos Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos įtraukios darbo rinkos plėtros programos patvirtinimo“.
II SKYRIUS
NTAIIS ORGANIZACINĖ STRUKTŪRA
9. NTAIIS organizacinė struktūra:
9.1. NTAIIS valdytojas, NTAIIS tvarkomų asmens duomenų valdytojas ir tam tikrų funkcijų, nurodytų Nuostatų 11 punkte, atžvilgiu, NTAIIS tvarkytojas – Lietuvos Respublikos socialinės apsaugos ir darbo ministerija;
9.2. NTAIIS administratorius ‒ NTAIIS valdytojo pasitelktas paslaugų teikėjas, NTAIIS valdytojo vardu tvarkantis NTAIIS;
9.3. NTAIIS tvarkytojai ir NTAIIS asmens duomenų tvarkytojai – NTAIIS administratorius, Valstybės skaitmeninių sprendimų agentūra ir organizacija, kuri bendradarbiaus administruodama nacionalinį tvarumo ir atsakingumo indeksą, atrinkta atrankos tvarkos aprašo, patvirtinto Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2023 m. gegužės 15 d. įsakymu Nr. A1-314 „Dėl Organizacijų, kurios bendradarbiaus administruodamos verslo tvarumo ir atsakingumo indeksą, atrankos tvarkos aprašo patvirtinimo“, (toliau – Atrankos tvarkos aprašas) nustatyta tvarka.
9.4. NTAIIS duomenų teikėjai: Valstybės skaitmeninių sprendimų agentūra, teikianti Valstybės informacinių išteklių sąveikumo platformos (toliau – VIISP) (valdytojas – Lietuvos Respublikos ekonomikos ir inovacijų ministerija) duomenis, ir Lietuvos Respublikoje registruoti juridiniai asmenys, kurie naudosis NTAIIS, kad gautų NTAI įvertinimą;
10. Socialinės apsaugos ir darbo ministerija, atlikdama NTAIIS valdytojo funkcijas:
10.1. atlieka Valstybės informacinių išteklių valdymo įstatyme nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas;
11. Socialinės apsaugos ir darbo ministerija atlieka šias NTAIIS tvarkytojo funkcijas:
11.4. administruoja prieigą prie NTAIIS duomenų, suteikia asmenims prieigos prie šių duomenų teises, naudotojų vardus ir slaptažodžius;
12. NTAIIS administratoriaus atliekamos funkcijos:
12.3. užtikrina NTAIIS duomenų bazės duomenų saugą ir saugų duomenų perdavimą kompiuteriniais tinklais;
13. NTAIIS administratorius ir Atrankos tvarkos aprašo nustatyta tvarka atrinkta organizacija atlikdami NTAIIS tvarkytojo funkcijas:
13.1. turi teises ir pareigas, nurodytas Valstybės informacinių išteklių valdymo įstatymo 27 straipsnio 3 ir 4 dalyse;
13.2. skiria darbuotoją, atsakingą už NTAIIS naudotojų administravimą įstaigoje, ir sprendimo kopiją pateikia NTAIIS valdytojui;
14. NTAIIS asmens duomenų valdytojas ir NTAIIS asmens duomenų tvarkytojai atlieka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme nustatytas funkcijas, turi šiame įstatyme ir Reglamente (ES) 2016/679 nustatytas teises ir pareigas ir šias teises ir pareigas:
14.1. NTAIIS asmens duomenų valdytojo teisės:
14.2. NTAIIS esančių asmens duomenų valdytojo pareiga – užtikrinti, kad, įgyvendinant techninius ir organizacinius sprendimus NTAIIS, būtų vadovaujamasi Reglamentu (ES) 2016/679, Asmens duomenų teisinės apsaugos įstatymu ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais;
14.3. NTAIIS asmens duomenų valdytojas atlieka šias funkcijas:
14.3.1. analizuoja technologines, metodologines ir organizacines asmens duomenų tvarkymo problemas ir priima sprendimus, reikalingus tinkamam asmens duomenų saugumui užtikrinti;
14.3.2. teikia metodinę pagalbą darbuotojams ir NTAIIS asmens duomenų tvarkytojams NTAIIS asmens duomenų tvarkymo klausimais;
14.4. NTAIIS asmens duomenų tvarkytojų teisės:
14.4.1. teikti NTAIIS asmens duomenų valdytojui pasiūlymus dėl duomenų tvarkymo techninių ir organizacinių bei programinių priemonių gerinimo;
14.5. NTAIIS asmens duomenų tvarkytojų pareigos:
14.5.2. savo lėšomis įgyvendinti tinkamas organizacines, technines ir fizines duomenų saugumo priemones, skirtas asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo apsaugoti, fiksuotas rašytinės formos dokumente. Šios priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką;
14.5.3. užtikrinti, kad asmens duomenys būtų tvarkomi ir saugomi, vadovaujantis Nuostatais, asmens duomenų tvarkymo sutartimi, Reglamentu (ES) 2016/679, Asmens duomenų teisinės apsaugos įstatymu ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais;
14.5.4. saugoti asmens duomenų konfidencialumą, neatskleisti, neperduoti tvarkomų duomenų teisės jų gauti neturintiems asmenims ir nesudaryti sąlygų jokiomis priemonėmis su ja susipažinti nė vienam asmeniui, kuris nėra įgaliotas naudotis šiais duomenimis, tiek savo organizacijoje, tiek už jos ribų, išskyrus Lietuvos Respublikos teisės aktuose nustatytus atvejus, NTAIIS asmens duomenų, prie kurių jiems suteikta prieiga, neperduoti trečiosioms valstybėms ar tarptautinėms organizacijoms, savo organizacijos įgaliotiems darbuotojams prieigos prie NTAIIS teises suteikti vadovaujantis principu „būtina darbui“;
14.6. NTAIIS asmens duomenų tvarkytojas atlieka šias funkcijas:
14.6.2. tvarko asmens duomenis pagal jam suteiktus įgaliojimus ir NTAIIS asmens duomenų valdytojo (Nuostatų 19 punkte nurodytais atvejais ‒ ir subjekto, suteikusio įgaliojimus) nurodymus;
15. NTAIIS asmens duomenų valdytojas ir NTAIIS asmens duomenų tvarkytojai pasirašo asmens duomenų tvarkymo sutartis, kuriose detaliai apibrėžiamos atliekamos funkcijos, turimos teisės ir pareigos, nurodoma kita informacija pagal Reglamento (ES) 2016/679 28 straipsnį.
16. NTAIIS elektroninių paslaugų gavėjai, kaip NTAIIS naudojantys asmenys, turi užtikrinti teikiamų duomenų teisingumą, išsamumą, privalo kuo greičiau ištaisyti netikslumus arba pranešti NTAIIS valdytojui arba tvarkytojui apie pastebėtus netikslumus.
17. NTAIIS administratorių viešųjų pirkimų būdu atrenka NTAIIS asmens duomenų valdytojas. NTAIIS administratorius savo funkcijoms atlikti turi teisę NTAIIS asmens duomenų valdytojo vardu tvarkyti visus NTAIIS esančius asmens duomenis, kiek to reikia NTAIIS administravimo paslaugoms suteikti. NTAIIS administratoriaus funkcijos, teisės ir pareigos bei asmens duomenų tvarkymo sąlygos yra apibrėžiamos paslaugų sutartimi bei asmens duomenų tvarkymo sutartimi, sudaromomis tarp NTAIIS asmens duomenų valdytojo ir NTAIIS administratoriaus.
18. NTAIIS asmens duomenų valdytojas kitiems NTAIIS asmens duomenų tvarkytojams suteikia asmens duomenų tvarkymo įgaliojimus tik tų asmens duomenų atžvilgiu, kurių tvarkymas numatytas jų veiklą reglamentuojančiuose teisės aktuose ir sutartyje (-se) bei asmens duomenų tvarkymo sutartyje (-se), sudarytose tarp NTAIIS asmens duomenų valdytojo ir kitų NTAIIS asmens duomenų tvarkytojų.
19. Atrankos tvarkos aprašo nustatyta tvarka atrinktai organizacijai NTAIIS asmens duomenų valdytojas suteikia įgaliojimus subtvarkytojais pasitelkti kitus asmenis, iš kurių perka paslaugas. Atrankos tvarkos aprašo nustatyta tvarka atrinkta organizacija, subtvarkytoju pasitelkusi šiame Nuostatų punkte nurodytą subjektą, privalo atlikti subtvarkytojo veiklos priežiūrą, Asmens duomenų tvarkymo sutartyje, atitinkančioje Reglamento (ES) 2016/679 28 straipsnio 3 dalies reikalavimus, suformuluoti nurodymus dėl asmens duomenų tvarkymo procesų bei asmens duomenų apsaugą reglamentuojančių teisės aktų įgyvendinimo ir NTAIIS asmens duomenų valdytojo atžvilgiu atsako už jos pavedimu NTAIIS asmens duomenis tvarkančio subjekto veiksmus.
Kiti NTAIIS asmens duomenų tvarkytojai subtvarkytojus gali pasitelkti tik gavę išankstinį rašytinį NTAIIS asmens duomenų valdytojo leidimą. Prašyme pasitelkti subtvarkytoją NTAIIS asmens duomenų tvarkytojai nurodo Nuostatų 20 punkte nurodytą informaciją.
20. Atrankos tvarkos aprašo nustatyta tvarka atrinkta organizacija, prieš pasitelkdama subtvarkytoją, privalo informuoti apie numatomą subtvarkytojo pasitelkimą NTAIIS asmens duomenų valdytoją (subjekto pavadinimas, kodas, pasitelkimo data, pasitelkimo tikslas, suteikiami įgaliojimai, tvarkomi duomenys), taip suteikdama NTAIIS asmens duomenų valdytojui galimybę nesutikti.
21. Subtvarkytojų pareigos:
21.2. savo lėšomis įgyvendinti tinkamas organizacines, technines ir fizines duomenų saugumo priemones, skirtas asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, nuo bet kokio kito neteisėto tvarkymo apsaugoti, fiksuotas rašytinės formos dokumente. Šios priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką;
21.3. užtikrinti, kad asmens duomenys būtų tvarkomi ir saugomi, vadovaujantis Nuostatais, asmens duomenų tvarkymo sutartimi, Reglamentu (ES) 2016/679, Asmens duomenų teisinės apsaugos įstatymu ir kitais asmens duomenų apsaugą reglamentuojančiais teisės aktais;
21.4. saugoti asmens duomenų konfidencialumą, neatskleisti, neperduoti tvarkomų duomenų teisės jų gauti neturintiems asmenims ir nesudaryti sąlygų jokiomis priemonėmis su ja susipažinti nė vienam asmeniui, kuris nėra įgaliotas naudotis šiais duomenimis, tiek savo organizacijoje, tiek už jos ribų, išskyrus Lietuvos Respublikos teisės aktuose nustatytus atvejus, NTAIIS asmens duomenų, prie kurių jiems suteikta prieiga, neperduoti trečiosioms valstybėms ar tarptautinėms organizacijoms, savo organizacijos įgaliotiems darbuotojams prieigos prie NTAIIS teises suteikti vadovaujantis principu „būtina darbui“;
22. Visiems NTAIIS asmens duomenų tvarkytojų pasitelktiems subtvarkytojams galioja visi Nuostatuose ir asmens duomenų tvarkymo sutartyje su atitinkamu NTAIIS asmens duomenų tvarkytoju nustatyti NTAIIS asmens duomenų valdytojo nurodymai NTAIIS asmens duomenų tvarkytojams.
23. NTAIIS asmens duomenų tvarkytojai asmens duomenis tvarkyti turi rūpestingai, tik vadovaudamiesi šių asmens duomenų tvarkymą reglamentuojančių teisės aktų nustatytomis sąlygomis ir tvarka bei pagal atskirus rašytinius NTAIIS asmens duomenų valdytojo nurodymus.
24. Prisijungti prie NTAIIS duomenų bazės reikalinga informacija (vartotojo vardas ir slaptažodis) gali būti suteikiama tik NTAIIS asmens duomenų tvarkytojo įgaliotam (-iems) darbuotojui (-ams), kuriuos NTAIIS asmens duomenų tvarkytojas paskiria raštu, laikydamasis principo „būtina darbui“.
25. NTAIIS asmens duomenų tvarkytojo organizacijoje įvykus pagal Nuostatus tvarkomų asmens duomenų saugumo pažeidimui, NTAIIS asmens duomenų tvarkytojas:
25.1. nedelsdamas, tačiau ne vėliau kaip pažeidimo nustatymo dieną, NTAIIS asmens duomenų valdytoją informuoja apie asmens duomenų saugumo pažeidimą, jeigu pagal asmens duomenų saugumo pažeidimo pobūdį NTAIIS asmens duomenų valdytojui būtina imtis skubių priemonių galimoms neigiamoms asmens duomenų saugumo pažeidimo pasekmėms sumažinti ir, jei įmanoma, − priemonių pašalinti asmens duomenų saugumo pažeidimą, nurodydamas asmens duomenų saugumo pažeidimo aplinkybes ir siūlomas taikyti technines ir (ar) organizacines priemones;
25.2. nepagrįstai nedelsdamas, tačiau ne ilgiau kaip per 24 valandas nuo pažeidimo nustatymo, raštu, registruotu laišku arba elektroninių ryšių priemonėmis pateikia išsamią informaciją apie asmens duomenų saugumo pažeidimą NTAIIS asmens duomenų valdytojui ir NTAIIS asmens duomenų valdytojo duomenų apsaugos pareigūnui, kurio kontaktai skelbiami NTAIIS asmens duomenų valdytojo interneto svetainėje https://socmin.lrv.lt, nurodydamas: asmens duomenų saugumo pažeidimo datą, laiką ir vietą; asmens duomenų saugumo pažeidimo nustatymo datą ir laiką; asmens duomenų saugumo pažeidimo aplinkybes (nurodoma, ar tai konfidencialumo pažeidimas, ar prieinamumo pažeidimas, ar vientisumo pažeidimas, ir pateikiamas platesnis pažeidimo aplinkybių paaiškinimas); duomenų subjektų, kurių asmens duomenų saugumas pažeistas, skaičius ir kategorijos; apytikslis asmens duomenų, kurių saugumas pažeistas, skaičius ir kategorijos; žinomų duomenų subjektų, kurių asmens duomenų saugumas pažeistas, vardai, pavardės, elektroninio pašto adresai ar faktinės gyvenamosios vietos adresai, jeigu elektroninio pašto adresai nežinomi; tikėtinos ir (ar) atsiradusios asmens duomenų saugumo pažeidimo pasekmės; priemonės, kurių jau imtasi arba siūloma imtis, kad būtų pašalintas asmens duomenų saugumo pažeidimas arba kad būtų sumažintos jo sukeltos pasekmės; kita informacija, NTAIIS asmens duomenų tvarkytojo manymu, reikšminga asmens duomenų saugumo pažeidimo mastui ir tikėtinoms pasekmėms nustatyti. Rekomenduojama informacijos apie duomenų saugumo pažeidimą pateikimo forma tvirtinama socialinės apsaugos ir darbo ministro;
25.3. nedelsdamas imasi priemonių galimoms neigiamoms asmens duomenų saugumo pažeidimo pasekmėms sumažinti ir, jei įmanoma, − asmens duomenų saugumo pažeidimo pašalinimo priemonių;
26. NTAIIS asmens duomenų tvarkytojas pagal savo kompetenciją padeda NTAIIS asmens duomenų valdytojui užtikrinti, kad būtų atliktas poveikio duomenų apsaugai vertinimas ir prireikus kreipiamasi į Valstybinę duomenų apsaugos inspekciją dėl išankstinių konsultacijų pagal Reglamento (ES) 2016/679 36 straipsnį: NTAIIS asmens duomenų valdytojo prašymu teikia informaciją apie asmens duomenų tvarkymo veiksmus, techninius asmens duomenų tvarkymo procesus, duomenų saugumo priemones, kitaip pagal situaciją ir galimybes padeda NTAIIS asmens duomenų valdytojui įvykdyti Reglamento (ES) 2016/679 35‒36 straipsniuose nustatytas NTAIIS asmens duomenų valdytojo pareigas.
27. NTAIIS asmens duomenų valdytojas turi teisę duoti rašytinius nurodymus NTAIIS asmens duomenų tvarkytojui dėl asmens duomenų tvarkymo.
28. NTAIIS asmens duomenų valdytojas turi teisę reikalauti NTAIIS asmens duomenų tvarkytojo pateikti informaciją ir (ar) dokumentus, kurių reikia norint įsitikinti, kad NTAIIS asmens duomenų tvarkytojas tinkamai vykdo Nuostatuose ir teisės aktuose nustatytus asmens duomenų apsaugos reikalavimus. NTAIIS asmens duomenų tvarkytojas privalo raštu ar elektroninių ryšių priemonėmis per NTAIIS asmens duomenų valdytojo nustatytą terminą NTAIIS asmens duomenų valdytojui pateikti šią informaciją ir (ar) dokumentus per NTAIIS asmens duomenų valdytojo nurodytą terminą. Prireikus NTAIIS asmens duomenų valdytojas turi teisę atlikti asmens duomenų tvarkymo patikrinimus (įskaitant patikrinimus NTAIIS asmens duomenų tvarkytojo patalpose ar kitose vietose, kuriose NTAIIS asmens duomenų tvarkytojas tvarko asmens duomenis) ir auditus. NTAIIS asmens duomenų tvarkytojas privalo sudaryti sąlygas ir padėti NTAIIS asmens duomenų valdytojui arba kitam NTAIIS asmens duomenų valdytojo įgaliotam auditoriui atlikti auditą ir patikrinimus.
29. NTAIIS asmens duomenų valdytojas, sužinojęs ar nustatęs, kad NTAIIS asmens duomenų tvarkytojas netinkamai vykdo Nuostatuose ir (ar) teisės aktuose nustatytus asmens duomenų apsaugos reikalavimus, apie tai informuoja NTAIIS asmens duomenų tvarkytoją ir turi teisę apriboti ar panaikinti NTAIIS asmens duomenų tvarkytojui suteiktą prieigą prie NTAIIS. NTAIIS asmens duomenų tvarkytojas raštu informuoja NTAIIS asmens duomenų valdytoją apie pasirengimą tinkamai vykdyti Nuostatuose ir (ar) teisės aktuose nustatytus asmens duomenų apsaugos reikalavimus per 5 darbo dienas nuo šių aplinkybių atsiradimo dienos. NTAIIS asmens duomenų valdytojas, įvertinęs iš NTAIIS asmens duomenų tvarkytojo gautą informaciją, gali atnaujinti NTAIIS asmens duomenų tvarkytojui suteiktą prieigą prie NTAIIS. Jei NTAIIS asmens duomenų tvarkytojas neinformuoja NTAIIS asmens duomenų valdytojo apie pasirengimą tinkamai vykdyti Nuostatuose ir (ar) teisės aktuose nustatytus asmens duomenų apsaugos reikalavimus per 5 darbo dienas nuo šių aplinkybių atsiradimo dienos, NTAIIS asmens duomenų valdytojas turi teisę apriboti ar panaikinti šiam NTAIIS asmens duomenų tvarkytojui prieigą prie NTAIIS.
30. NTAIIS asmens duomenų tvarkytojas NTAIIS asmens duomenų valdytojo prašymu privalo raštu ar elektroninių ryšių priemonėmis per NTAIIS asmens duomenų valdytojo nustatytą terminą pateikti savo dispozicijoje esančią informaciją ir dokumentus, reikalingus NTAIIS asmens duomenų valdytojo atskaitomybės principui įgyvendinti (Reglamento (ES) 2016/679 5 straipsnio 2 dalis).
31. NTAIIS asmens duomenų tvarkytojas, atsižvelgdamas į asmens duomenų tvarkymo pobūdį, vadovaudamasis NTAIIS asmens duomenų valdytojo pagalbos poreikį detalizuojančiu prašymu, turi padėti NTAIIS asmens duomenų valdytojui taikydamas tinkamas technines ir organizacines priemones, kiek tai įmanoma, kad būtų įvykdyta NTAIIS asmens duomenų valdytojo prievolė atsakyti į prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjekto teisėmis.
32. NTAIIS asmens duomenų tvarkytojas privalo nedelsdamas, tačiau ne vėliau kaip per 3 darbo dienas, raštu informuoti NTAIIS asmens duomenų valdytoją, jei, jo nuomone, NTAIIS asmens duomenų valdytojo nurodymas pažeidžia Reglamento (ES) 2016/679 ar kitas Europos Sąjungos teisės aktų ar Asmens duomenų apsaugos įstatymo nuostatas, prireikus konsultuotis su NTAIIS asmens duomenų valdytojo duomenų apsaugos pareigūnu.
33. Tuo atveju, kai NTAIIS asmens duomenų tvarkytojo veiksmus nustato Europos Sąjungos arba Lietuvos Respublikos teisė, NTAIIS asmens duomenų tvarkytojas, prieš pradėdamas tvarkyti duomenis, praneša apie tokį teisinį reikalavimą NTAIIS asmens duomenų valdytojui, išskyrus atvejus, kai pagal Europos Sąjungos arba Lietuvos Respublikos teisę toks pranešimas yra draudžiamas dėl svarbių viešojo intereso priežasčių.
34. Įgyvendinant Reglamento (ES) 2016/679 28 straipsnio 3 dalies g punkto reikalavimus, baigus NTAIIS administravimo paslaugų teikimą, NTAIIS administratoriui yra panaikinama prieiga prie NTAIIS, o asmens duomenys ir NTAIIS administratoriaus turimos asmens duomenų kopijos asmens duomenų tvarkymo sutartyje nustatyta tvarka turi būti ištrinamos be galimybės atkurti. NTAIIS asmens duomenų tvarkytojams, turintiems viešojo administravimo įgaliojimus, jų veiklą reglamentuojančių teisės aktų nustatyta tvarka nutrūkus viešojo administravimo įgaliojimams, yra panaikinama prieiga prie NTAIIS, o turimi asmens duomenys ir asmens duomenų kopijos yra saugomos ir sunaikinamos Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka. NTAIIS asmens duomenų tvarkytojams, neturintiems viešojo administravimo įgaliojimų, pasibaigus sutarčiai, sukuriančiai teisinį pagrindą atlikti NTAIIS asmens duomenų tvarkymo veiksmus, yra panaikinama prieiga prie NTAIIS, o asmens duomenys, jeigu jie pagal NTAIIS asmens duomenų tvarkytojo veiklą reglamentuojančius teisės aktus neturi būti saugomi, ir turimos asmens duomenų kopijos per 10 darbo dienų turi būti ištrinamos be galimybės atkurti.
35. NTAIIS asmens duomenų valdytojo pareigos:
35.1. bendradarbiauti su NTAIIS asmens duomenų tvarkytoju sprendžiant su NTAIIS asmens duomenų tvarkymu susijusius klausimus;
35.2. laiku ir tinkamai teikti informaciją NTAIIS asmens duomenų tvarkytojui apie socialinės apsaugos ir darbo ministro valdymo srities teisinio reguliavimo pasikeitimus, reikšmingus NTAIIS asmens duomenų tvarkytojo atliekamiems ir planuojamiems atlikti asmens duomenų tvarkymo veiksmams NTAIIS;
III SKYRIUS
NTAIIS INFORMACINĖ STRUKTŪRA
36. NTAIIS duomenų bazėje kaupiami šie duomenys (įskaitant asmens duomenis):
36.1. VIISP elektroninės paslaugos gavėjo autentifikavimo duomenys (asmens kodas (jeigu jo neturi – gimimo data), asmens vardas, asmens pavardė), gaunami naudojantis VIISP tapatybės nustatymo paslauga;
36.2. Nuostatų 9.4 papunktyje nurodytų NTAIIS duomenų teikėjų – Lietuvos Respublikoje registruotų juridinių asmenų ir jų darbuotojų, duomenys: vardas; pavardė; asmens kodas (jeigu jo neturi – gimimo data); elektroninio pašto adresas; telefono ryšio numeris; organizacijos pavadinimas; organizacijos kodas; PVM mokėtojo kodas; organizacijos buveinės ir veiklos adresas; veiklos pobūdis; organizacijos veiklos sritis; organizacijos teisinis statusas; įtraukimas į biržos prekybos sąrašą; organizacijos tipas; darbuotojų skaičius; apyvarta (eurais);
36.3. sąskaitų faktūrų duomenys: išrašymo data; organizacijos pavadinimas ir buveinės adresas; užsakymas;
36.4. užsakymų duomenys: sukūrimo data; užsakymo data; organizacijos pavadinimas; paslauga; būsena; kaina; mokėjimo būdas;
36.7. statistikos duomenys: ekspertų skaičius; praleistas laikas prie vertinimų (valandos, minutės); įvertintų paraiškų skaičius; einamojo meto vertinamų paraiškų skaičius; bazinių vertinimų skaičius; ekspertinių vertinimų skaičius;
36.8. paraiškų duomenys: vardas; pavardė; asmens kodas (jeigu jo neturi – gimimo data); elektroninio pašto adresas; telefono ryšio numeris; organizacijos pavadinimas; organizacijos kodas; PVM mokėtojo kodas; organizacijos buveinės ir veiklos adresas; veiklos pobūdis; organizacijos veiklos sritis; organizacijos teisinis statusas; įtraukimas į biržos prekybos sąrašą; organizacijos tipas; darbuotojų skaičius; apyvarta (eurais); projekto pavadinimas; klausimyno duomenys (klausimai ir organizacijų atsakymai, komentarai, pridedami dokumentai); sukūrimo data; atnaujinimo data; būsena; būsenos priskyrimo data; kodas; priskirti ekspertai (vardas, pavardė); formos duomenys; paraiškos veiksmai; sisteminiai pranešimai; klausimyno vertinimas; sisteminis balas; ekspertinis balas;
36.9. projektų duomenys: pavadinimas; kodas; klausimyno duomenys (klausimai); pradžios data; pabaigos data; paraiškų limitas; reitingo publikavimo data; santrauka; aprašymas;
36.10. klausimyno konstravimo duomenys: pavadinimas; tipas; vertinimo subjektas (organizacijos pavadinimas); temos; klausimai; galimi atsakymai; koeficientai; valdymo elementai; taisyklės;
IV SKYRIUS
NTAIIS FUNKCINĖ STRUKTŪRA
37. NTAIIS funkcinę struktūrą sudaro:
37.1. Išorinio naudojimo posistemis – NTAIIS internetinis puslapis (portalas). NTAIIS internetinį puslapį sudaro šie komponentai:
37.1.1. NTAIIS paslaugų gavėjų autentifikacija, skirta išorinio portalo NTAIIS paslaugų gavėjams prisijungti. Modulis integruotas su VIISP autentifikacijos paslauga;
37.1.2. NTAIIS paslaugų gavėjo profilis, skirtas registruotiems NTAIIS paslaugų gavėjams; NTAIIS naudotojo aplinka, kurioje NTAIIS paslaugų gavėjai gali matyti tik savo duomenis ir atlikti tik jiems leistinus veiksmus;
37.1.3. NTAIIS paslaugų gavėjų pateiktos paraiškos – NTAIIS paslaugų gavėjas gali matyti savo pateiktas paraiškas vertinimui;
37.1.4. organizacijų reitingas – NTAIIS paslaugų gavėjas gali matyti ekspertinio vertinimo reitingą;
37.2. vidinio naudojimo posistemis, kurį sudaro NTAIIS valdymo posistemis. NTAIIS valdymo posistemį sudaro šie moduliai:
37.2.1. NTAIIS naudotojų modulis, skirtas NTAIIS naudotojų duomenims (nurodoma: vardas, pavardė ir pareigos), jų funkcijoms ir teisėms sistemoje administruoti, sistemoje naudojamiems klasifikatoriams ir parametrams tvarkyti;
37.2.4. procesų konfigūravimo valdymo modulis, skirtas automatiniams pranešimams ir priminimams pagal sukonfigūruotas taisykles siųsti;
37.2.11. statistikos modulis, skirtas statistikai apie NTAIIS pateiktų ir įvertintų paraiškų rezultatus matyti;
37.2.14. duomenų struktūrų modulis užtikrina klasifikatorių, kurie naudojami formoms formuoti valdymą: pridėti papildomus rodiklius, jų reikšmes, aprašymą, juos redaguoti, ištrinti, (de)aktyvuoti, nustatyti atributo prioritetą ir kitus parametrus;
37.2.15. klaidų modulis, skirtas NTAIIS gaunamoms klaidoms ir jų parametrams bei papildomai informacijai atvaizduoti;
37.2.18. sisteminių pranešimų modulis, skirtas sisteminiams pranešimams, pranešimų šablonams matyti, kurti ir valdyti;
37.2.19. valdiklių modulis, skirtas sistemos valdikliams išorinėje NTAIIS posistemėje kurti ir valdyti;
37.2.20. vertimų modulis, skirtas NTAIIS laukams, funkcijoms, pranešimų pavadinimams ir vertimams tvarkyti;
V SKYRIUS
NTAIIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS
39. NTAIIS duomenys, įskaitant ir NTAIIS tvarkomus asmens duomenis, teikiami institucijoms, kitiems juridiniams ir fiziniams asmenims ir naudojami, vadovaujantis Nuostatų 3 punkte nurodytais teisės aktais, kitų duomenų teikimą reglamentuojančių teisės aktų ir duomenų teikimo sutarčių nustatyta tvarka ir sąlygomis, o asmens duomenys tvarkomi ir teikiami vadovaujantis Reglamentu (ES) 2016/679 ir Nuostatų 43 ir 44 punktuose nustatyta tvarka.
40. Vadovaujantis Teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatymo nuostatomis, teikiami pakartotiniam panaudojimui ir publikuojami statistiniai ir analitiniai duomenys iš dalykinių funkcijų posistemio apie elektroniniu ir tradiciniu būdu teikiamų paslaugų santykį, populiariausias paslaugas.
41. NTAIIS duomenys teikiami:
42. NTAIIS duomenys (įskaitant asmens duomenis) prašančioms institucijoms, fiziniams, juridiniams asmenims Valstybės informacinių išteklių valdymo įstatymo ir kitų teisės aktų nustatyta tvarka neatlygintinai teikiami tokio turinio ir formos, kurie jau yra naudojami NTAIIS ir nereikalauja papildomo apdorojimo, jeigu teisės aktais nenustatyta kitaip. Duomenų teikimas, reikalaujantis papildomo NTAIIS duomenų apdorojimo, vykdomas NTAIIS valdytojo ir (ar) NTAIIS tvarkytojo sprendimu.
43. NTAIIS duomenys (įskaitant asmens duomenis) teisės aktų nustatyta tvarka vienkartinio teikimo atveju teikiami pagal duomenų gavėjo (ar elektroninių paslaugų gavėjo) rašytinį prašymą, kuriame nurodomas prašomų duomenų gavimo pagrindas, jų naudojimo tikslas, teikimo būdas ir duomenų apimtis.
44. NTAIIS duomenys (įskaitant asmens duomenis) daugkartinio teikimo atveju teikiami pagal Socialinės apsaugos ir darbo ministerijos, kaip NTAIIS tvarkytojo ir duomenų gavėjo, sudarytą duomenų teikimo sutartį, kurioje turi būti nurodyta:
45. Kai atsisakoma teikti NTAIIS duomenis, asmeniui, pateikusiam prašymą juos gauti, raštu arba elektroninių ryšių priemonėmis pranešama apie priimtą motyvuotą sprendimą atsisakyti tenkinti jo prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką.
46. NTAIIS duomenų gavėjai duomenis, įskaitant asmens duomenis, gautus iš NTAIIS, gali naudoti tik tokiam tikslui, tokia apimtimi ir tokiu būdu, kokie buvo nurodyti juos gaunant.
47. NTAIIS duomenys Europos Sąjungos valstybių narių ir (arba) Europos ekonominės erdvės valstybių, trečiųjų šalių fiziniams ir juridiniams asmenims, juridinio asmens statuso neturintiems subjektams, jų filialams ir atstovybėms teikiami Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka, o asmens duomenys – vadovaujantis Reglamentu (ES) 2016/679 ir Nuostatų 42–44 punktuose nustatyta tvarka.
48. Duomenų gavėjas, registro ar kitos informacinės sistemos tvarkytojas, duomenų subjektas, kiti asmenys turi teisę reikalauti ištaisyti netikslius duomenis. Asmuo, pastebėjęs netikslius duomenis, rašytiniu prašymu turi kreiptis į NTAIIS valdytoją, kuris privalo duomenis patikrinti ir, nustatęs, kad prašymas pagrįstas, raštu ar elektroninių ryšių priemonėmis ar taip, kaip nustatyta duomenų teikimo sutartyje, kreipiasi į atsakingą NTAIIS tvarkytoją dėl neteisingų, netikslių duomenų ištaisymo ir (arba) tokių duomenų tvarkymo veiksmų sustabdymo. Netikslūs duomenys ištaisomi ne ilgiau kaip per 10 darbo dienų nuo prašymo ir jame nurodytus faktus patvirtinančių dokumentų gavimo. Apie netikslių duomenų ištaisymą NTAIIS tvarkytojas ne vėliau kaip per 5 darbo dienas nuo duomenų ištaisymo elektroninių ryšių priemonėmis arba raštu informuoja NTAIIS valdytoją, kuris ne vėliau kaip per 5 darbo dienas nuo informacijos iš NTAIIS tvarkytojo gavimo elektroninių ryšių priemonėmis arba raštu informuoja apie netikslius duomenis informavusį asmenį ir NTAIIS duomenų gavėjus, kuriems buvo perduoti neteisingi, netikslūs ir (ar) neišsamūs duomenys.
VI SKYRIUS
NTAIIS DUOMENŲ SAUGA
50. NTAIIS duomenų saugą reglamentuoja socialinės apsaugos ir darbo ministro tvirtinami NTAIIS saugos politiką įgyvendinantys dokumentai – Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos duomenų saugos nuostatai, Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės, Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos naudotojų administravimo taisyklės ir Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos veiklos tęstinumo valdymo planas.
51. NTAIIS duomenų sauga užtikrinama vadovaujantis:
52. NTAIIS naudotojai – Atrankos tvarkos aprašo tvarka atrinktos organizacijos darbuotojas (-ai) ir (ar) pasitelktas (-i) paslaugų teikėjas (-ai) – naudojasi NTAIIS duomenimis pagal jiems suteiktas prieigos teises.
53. Asmenys, kurie tvarko asmens duomenis, privalo saugoti asmens duomenų paslaptį. Ši pareiga galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus valstybės tarnybos ar darbo santykiams. Už šių pareigų nevykdymą ar netinkamą vykdymą NTAIIS naudotojai atsako valstybės tarnybą, darbo santykius, asmens duomenų apsaugą reglamentuojančių ir kitų teisės aktų nustatyta tvarka. NTAIIS prieigą turintys subjektai užtikrina, kad jų darbuotojai, kurie tvarko asmens duomenis, yra pasirašytinai supažindinti su pareiga saugoti asmens duomenų paslaptį ir pasirašę konfidencialumo pasižadėjimus.
54. NTAIIS tvarkomų asmens duomenų saugumas užtikrinamas, vadovaujantis Reglamento (ES) 2016/679 32 straipsnyje nustatytais duomenų tvarkymo saugumo reikalavimais.
55. Duomenys (įskaitant asmens duomenis) NTAIIS saugomi 5 metus nuo duomenų gavimo, o, suėjus šiam terminui, perkeliami į archyvą, kuriame saugomi:
55.1. Nuostatų 36.1–36.2 papunkčiuose nurodyti duomenys – 10 metų nuo paskutinio pakeitimo (papildymo);
55.2. Nuostatų 36.3–36.11 papunkčiuose nurodyti duomenys – 3 metus nuo paskutinio pakeitimo (papildymo);
VII SKYRIUS
NTAIIS FINANSAVIMAS
VIII SKYRIUS
NTAIIS MODERNIZAVIMAS IR LIKVIDAVIMAS
59. NTAIIS modernizuojama ir likviduojama Valstybės informacinių išteklių valdymo įstatymo, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo ir kitų teisės aktų nustatyta tvarka.
IX SKYRIUS
BAIGIAMOSIOS NUOSTATOS
61. Už Nuostatų pažeidimus NTAIIS valdytojas, NTAIIS tvarkytojai, NTAIIS naudotojai atsako Lietuvos Respublikos įstatymų nustatyta tvarka.
62. NTAIIS duomenų, įskaitant asmens duomenis, saugojimas organizuojamas vadovaujantis Bendrųjų dokumentų saugojimo terminų rodykle, patvirtinta Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100 „Dėl Bendrųjų dokumentų saugojimo terminų rodyklės patvirtinimo“, ir (arba) Elektroninių dokumentų valdymo taisyklėmis, patvirtintomis Lietuvos vyriausiojo archyvaro 2011 m. gruodžio 29 d. įsakymu Nr. V-158 „Dėl Elektroninių dokumentų valdymo taisyklių patvirtinimo“.
63. Duomenų subjektų teisės įgyvendinamos vadovaujantis Reglamentu (ES) 2016/679 ir Duomenų subjekto teisių įgyvendinimo Lietuvos Respublikos socialinės apsaugos ir darbo ministerijoje tvarkos aprašu, patvirtintu Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2018 m. gruodžio 21 d. įsakymu Nr. A1-753 „Dėl Duomenų subjekto teisių įgyvendinimo Lietuvos Respublikos socialinės apsaugos ir darbo ministerijoje tvarkos aprašo patvirtinimo“.
PATVIRTINTA
Lietuvos Respublikos socialinės apsaugos
ir darbo ministro
2024 m. spalio 15 d. įsakymu Nr. A1-680
NACIONALINIO TVARUMO IR ATSAKINGUMO INDEKSO INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENROSIOS NUOSTATOS
1. Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos duomenų saugos nuostatai (toliau – Nuostatai) reglamentuoja Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos (toliau – NTAIIS) saugos politiką – NTAIIS elektroninės informacijos saugos valdymą, organizacinius ir techninius NTAIIS duomenų saugos reikalavimus, reikalavimus su NTAIIS dirbančiam personalui, NTAIIS valdytojo valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, supažindinimo su NTAIIS saugos politiką įgyvendinančiais dokumentais taisykles.
2. Nuostatuose vartojamos sąvokos:
2.2. NTAIIS administratorius ‒ NTAIIS valdytojo pasitelktas paslaugų teikėjas, NTAIIS valdytojo vardu tvarkantis NTAIIS.
2.3. NTAIIS techninis administratorius – NTAIIS valdytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, (toliau kartu ‒ darbuotojas) ir (arba) NTAIIS valdytojo pasitelktas paslaugų teikėjas, NTAIIS infrastruktūros, kompiuterinės įrangos saugos ir priežiūros administratorius.
2.4. NTAIIS išorės administratorius – Organizacijų, kurios bendradarbiaus administruodamos verslo tvarumo ir atsakingumo indeksą, atrankos tvarkos aprašo, patvirtinto Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2023 m. gegužės 15 d. įsakymu Nr. A1-314 „Dėl Organizacijų, kurios bendradarbiaus administruodamos verslo tvarumo ir atsakingumo indeksą, atrankos tvarkos aprašo patvirtinimo“, (toliau – Atrankos tvarkos aprašas) tvarka atrinktos organizacijos darbuotojas (-ai), kuris (-ie) atlieka NTAIIS administratoriaus funkcijas pagal jiems suteiktas prieigos teises ir pareigas.
2.5. NTAIIS administratorius, NTAIIS techninis administratorius ir NTAIIS išorės administratorius kartu – administratoriai.
2.6. NTAIIS naudotojas – NTAIIS asmens duomenų tvarkytojas, Atrankos tvarkos aprašo tvarka atrinktos organizacijos darbuotojas (-ai) ir (ar) pasitelktas (-i) paslaugų teikėjas (-ai), atliekantis (-ys) NTAIIS naudotojo funkcijas.
2.7. NTAIIS saugos įgaliotinis – darbuotojas, įgyvendinantis NTAIIS elektroninės informacijos saugą.
2.8. NTAIIS personalas – NTAIIS administratorius, NTAIIS techninis administratorius, NTAIIS išorės administratorius ir NTAIIS saugos įgaliotinis.
2.9. Kitos Nuostatuose vartojamos sąvokos atitinka sąvokas, nustatytas Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, (toliau ‒ Bendrųjų elektroninės informacijos saugos reikalavimų aprašas) Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, (toliau ‒ Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas) Lietuvos Respublikos socialinės apsaugos ir darbo ministro tvirtinamuose NTAIIS nuostatuose (toliau – NTAIIS nuostatai) ir kituose teisės aktuose vartojamas sąvokas.
3. Nuostatų tikslas – sudaryti tinkamas sąlygas saugiai tvarkyti NTAIIS elektroninę informaciją automatiniu būdu ir užtikrinti NTAIIS veiklos tęstinumą.
4. NTAIIS elektroninės informacijos saugos ir kibernetinio saugumo užtikrinimo prioritetinės kryptys yra šios:
4.8. NTAIIS naudotojų ir administratorių mokymas elektroninės informacijos saugos ir kibernetinio saugumo klausimais;
5. Nuostatai reglamentuoja sistemos automatizuotą duomenų apdorojimą ir yra privalomi visiems NTAIIS naudotojams, administratoriams, NTAIIS saugos įgaliotiniui ir kibernetinio saugumo vadovui.
6. NTAIIS valdytojas – Socialinės apsaugos ir darbo ministerija, kurios buveinės adresas: A. Vivulskio g. 11, 03162 Vilnius, Lietuvos Respublika.
7. NTAIIS valdytojas atsako už saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą ir atlieka šias funkcijas:
7.3. koordinuoja visų NTAIIS naudotojų, NTAIIS administratorių, NTAIIS saugos įgaliotinio ir kibernetinio saugumo vadovo darbą, metodiškai jiems vadovauja ir įstatymų nustatyta tvarka prižiūri, kaip atliekamas šis darbas;
8. Administratoriai, įgyvendindami NTAIIS elektroninės informacijos saugą, atlieka šias funkcijas:
8.1. užtikrina NTAIIS duomenų apsaugą, elektroninės informacijos saugą ir kibernetinį saugumą saugos politikos įgyvendinamųjų dokumentų nustatyta tvarka ir atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą;
9. NTAIIS išorės administratorius, įgyvendindamas NTAIIS elektroninės informacijos saugą, atlieka šias funkcijas:
9.2. dalyvauja nustatant NTAIIS pažeidžiamas vietas – elektroninės informacijos saugą ir kibernetinį saugumą;
9.3. nedelsdamas vykdo NTAIIS saugos įgaliotinio ir NTAIIS kibernetinio saugumo vadovo nurodymus NTAIIS saugos politikos įgyvendinimo klausimais ir jam atsiskaito už pavestą duomenų saugos organizavimą ir saugos priemonių įgyvendinimą;
9.4. nedelsdamas NTAIIS administratorių ir NTAIIS techninį administratorių informuoja apie saugos politiką įgyvendinančių dokumentų pažeidimus, nusikalstamos veikos požymius, elektroninės informacijos saugai svarbius įvykius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones.
10. NTAIIS techninis administratorius, įgyvendindamas NTAIIS elektroninės informacijos saugą, atlieka šias funkcijas:
10.2. užtikrina NTAIIS duomenų apsaugą, elektroninės informacijos saugą ir kibernetinį saugumą saugos politikos įgyvendinamųjų dokumentų nustatyta tvarka ir atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą;
10.4. dalyvauja nustatant NTAIIS pažeidžiamas vietas – elektroninės informacijos saugą ir kibernetinį saugumą;
10.5. teikia NTAIIS saugos įgaliotiniui ir NTAIIS kibernetinio saugumo vadovui pasiūlymus, kaip tobulinti elektroninės informacijos saugą;
10.6. nedelsdamas raštu ar elektroninių ryšių priemonėmis NTAIIS saugos įgaliotinį informuoja apie saugos politiką įgyvendinančių dokumentų pažeidimus, nusikalstamos veikos požymius, kibernetinio saugumo vadovą – apie elektroninės informacijos saugai svarbius įvykius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones (nurodo savo pareigas, vardą, pavardę ir šiame papunktyje nurodytas aplinkybes);
11. NTAIIS administratorius, įgyvendindamas NTAIIS elektroninės informacijos saugą, atlieka šias funkcijas:
11.1. užtikrina NTAIIS duomenų apsaugą, elektroninės informacijos saugą ir kibernetinį saugumą saugos politikos įgyvendinamųjų dokumentų nustatyta tvarka ir atlieka kitas funkcijas, kurios nurodytos Nuostatuose, Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos naudotojų administravimo taisyklėse (toliau – NTAIIS naudotojų administravimo taisyklės), Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse (toliau – NTAIIS saugaus elektroninės informacijos tvarkymo taisyklės), kituose duomenų tvarkymą ir saugą reglamentuojančiuose teisės aktuose ir NTAIIS priežiūros, naudotojų konsultavimo ir vystymo paslaugų sutartyje bei asmens duomenų tvarkymo sutartyje;
11.3. dalyvauja nustatant NTAIIS pažeidžiamas vietas – elektroninės informacijos saugą ir kibernetinį saugumą;
11.5. nedelsdamas raštu ar elektroninių ryšių priemonėmis NTAIIS saugos įgaliotinį informuoja apie saugos politiką įgyvendinančių dokumentų pažeidimus, nusikalstamos veikos požymius, NTAIIS kibernetinio saugumo vadovą – apie elektroninės informacijos saugai svarbius įvykius, neveikiančias arba netinkamai veikiančias duomenų saugos užtikrinimo priemones;
12. NTAIIS naudotojas, įgyvendindamas NTAIIS elektroninės informacijos saugą, atlieka šias funkcijas:
12.1. tvarkydamas NTAIIS elektroninę informaciją, laikosi NTAIIS duomenų apsaugą, elektroninės informacijos saugą ir kibernetinį saugumą, saugos politikos įgyvendinamųjų dokumentų nustatytos tvarkos;
12.2. tvarkydamas NTAIIS elektroninę informaciją, naudoja tik kompiuterinėje įrangoje įdiegtą ir tik darbo funkcijoms atlikti reikalingą programinę įrangą;
12.3. teikia NTAIIS saugos įgaliotiniui ir NTAIIS kibernetinio saugumo vadovui pasiūlymus, kaip tobulinti elektroninės informacijos saugą;
12.4. susipažįsta su Nuostatais ir kitais saugos politiką reguliuojančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą;
12.5. dalyvauja NTAIIS naudotojų mokymuose elektroninės informacijos saugos ir kibernetinio saugumo klausimais;
12.6. NTAIIS naudotojai, pastebėję NTAIIS duomenų saugos pažeidimų, neleistinos arba nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias duomenų saugą užtikrinančias priemones (toliau – saugos pažeidimas) ar asmens duomenų saugumo pažeidimą, privalo apie tai nedelsdami pranešti NTAIIS naudotojų administravimo taisyklėse nustatyta tvarka.
13. NTAIIS saugos įgaliotinis, įgyvendindami NTAIIS elektroninės informacijos saugą, atlieka šias funkcijas:
13.4. supažindina NTAIIS naudotojus ir administratorius su Nuostatais ir kitais saugos politiką reguliuojančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą;
13.5. periodiškai inicijuoja NTAIIS naudotojų ir administratorių mokymą elektroninės informacijos saugos ir kibernetinio saugumo klausimais, juos informuoja apie informacijos saugos problematiką (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir pan.);
13.6. koordinuodamas ir prižiūrėdamas, kaip NTAIIS įgyvendinama saugos politika, atlieka Bendrųjų elektroninės informacijos saugos reikalavimų apraše ir saugos politikos įgyvendinamuosiuose dokumentuose NTAIIS saugos įgaliotiniui priskirtas funkcijas;
13.7. gavęs pranešimą apie vykdomus neteisėtus veiksmus su NTAIIS tvarkoma elektronine informacija, inicijuoja elektroninės informacijos saugos incidento valdymo procedūras, detalizuotas NTAIIS veiklos tęstinumo valdymo plane;
13.8. užtikrina, kad NTAIIS naudotojų ir administratorių kompiuterinėje įrangoje būtų naudojama tik darbo funkcijoms atlikti reikalinga programinė įranga (NTAIIS saugos įgaliotinis turi parengti, su NTAIIS valdytoju suderinti ir ne rečiau kaip vieną kartą per metus peržiūrėti ir prireikus atnaujinti leistinos programinės įrangos sąrašą);
13.9. organizuoja NTAIIS saugaus elektroninės informacijos tvarkymo taisyklių peržiūrą ne rečiau kaip vieną kartą per metus. NTAIIS saugaus elektroninės informacijos tvarkymo taisyklės turi būti peržiūrimos atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminių organizacinių, sisteminių ar kitų pokyčių;
14. NTAIIS kibernetinio saugumo vadovas atlieka šias funkcijas:
14.1. koordinuoja NTAIIS elektroninės informacijos saugos incidentų tyrimą, bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais;
14.2. kiekvienais metais NTAIIS valdytojui pateikia per praėjusius kalendorinius metus įvykusių kibernetinių incidentų (jeigu tokių buvo) vertinimą;
15. NTAIIS saugos įgaliotiniu ir NTAIIS kibernetinio saugumo vadovu gali būti paskirtas tas pats asmuo.
16. Saugų NTAIIS duomenų tvarkymą reglamentuoja:
16.4. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Reglamentas (ES) 2016/679);
16.6. Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“;
16.7. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
16.8. Valstybės informacinių išteklių svarbos vertinimo metodika, patvirtinta Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. liepos 19 d. įsakymu Nr. 4-418 „Dėl Valstybės informacinių išteklių svarbos vertinimo metodikos patvirtinimo“;
16.9. Lietuvos standartai LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai (tapatus ISO/IEC 27001)“, LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai (tapatus ISO/IEC 27002)“;
16.10. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
16.11. socialinės apsaugos ir darbo ministro tvirtinamos NTAIIS saugaus elektroninės informacijos tvarkymo taisyklės, NTAIIS naudotojų administravimo taisyklės, NTAIIS veiklos tęstinumo valdymo planas NTAIIS nuostatai ir Nuostatai;
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
18. Vadovaujantis Valstybės informacinių išteklių valdymo įstatymo 7 straipsnio 1 dalies 3 punktu ir Valstybės informacinių išteklių svarbos vertinimo metodikos, patvirtintos Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. liepos 19 d. įsakymu Nr. 4-418 „Dėl Valstybės informacinių išteklių svarbos vertinimo metodikos patvirtinimo“, 8.5.3 papunkčiu, NTAIIS tvarkoma elektroninė informacija priskiriama vidutinės svarbos informacijai.
19. NTAIIS rizika vertinama atsižvelgiant į Nacionalinio kibernetinio saugumo centro prie Krašto apsaugos ministerijos interneto svetainėje skelbiamą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus.
20. NTAIIS rizikos įvertinimas aprašomas rizikos įvertinimo ataskaitoje. Rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos duomenų saugai. Svarbiausi rizikos veiksniai:
20.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kt.);
20.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema duomenims gauti, tyčinis duomenų pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kt.);
20.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
21. NTAIIS rizikos vertinimas atliekamas kasmet. Už rizikos vertinimo organizavimą atsakingas NTAIIS saugos įgaliotinis. Kartu su NTAIIS rizikos vertinimu ir (ar) Nuostatų 26 ir 27 punktuose nurodytu informacinių technologijų saugos atitikties vertinimu turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos NTAIIS kibernetiniam saugumui, vertinimas pagal Nuostatų 28 punkto reikalavimus.
22. Vertinant NTAIIS riziką, atliekami šie darbai:
23. Rizikos įvertinimo ataskaitą tvirtina NTAIIS valdytojo vadovas. Atsižvelgdamas į rizikos įvertinimo ataskaitą, NTAIIS valdytojas tvirtina Rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.
24. Saugos dokumentai turi būti persvarstomi (peržiūrimi) ne rečiau kaip vieną kartą per metus po to, kai buvo atlikta rizikos analizė ar NTAIIS saugos atitikties vertinimas, arba įvykus esminių organizacinių, sisteminių ar kitų pokyčių. Prireikus saugos dokumentai turi būti tikslinami.
25. Elektroninės informacijos saugos ir kibernetinio saugumo gerinimo priemonės turi atitikti teisės aktų reikalavimus, būti parinktos atsižvelgiant į rizikos vertinimo rezultatus ir vadovaujantis šiais principais:
25.1. įgyvendinamos tinkamos techninės ir organizacinės priemonės, kad būtų užtikrintas pavojų atitinkančio lygio saugumas;
26. Siekiant įgyvendinti saugos politikos įgyvendinamuosiuose dokumentuose nustatytus elektroninės informacijos saugos ir kibernetinio saugumo reikalavimus ir užtikrinti jų kontrolę, ne rečiau kaip vieną kartą per 2 metus organizuojamas informacinių technologijų saugos atitikties vertinimas ir ne rečiau kaip vieną kartą per metus – kibernetinio saugumo atitikties reikalavimams vertinimas, atliekamas vadovaujantis Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu.
27. Informacinių technologijų saugos atitikties vertinimo metu turi būti:
27.1. vertinama saugos politikos įgyvendinamųjų dokumentų atitiktis realiai informacijos saugos situacijai;
27.2. tikrinamas įdiegtos apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti ir pan.) filtravimo sistemų naudojimas, valdymas ir atnaujinimas;
27.3. tikrinamas virtualių mašinų ir duomenų perdavimo įrangos programinės įrangos naudojimas ir atnaujinimas;
28. Kibernetinio saugumo atitikties reikalavimams vertinimo metu taip pat turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos NTAIIS kibernetiniam saugumui, vertinimas, kurio metu imituojamos kibernetinės atakos ir vykdomos kibernetinių incidentų imitavimo pratybos. Kibernetinių atakų imitavimas turi būti atliekamas tokiais etapais:
28.1. planavimo etapas. Parengiamas pažeidžiamumų nustatymo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtis, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (ar) pilkosios dėžės (angl. Grey Box)), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (ar) techniniai įrankiai ir priemonės, naudojamos pažeidžiamumams nustatyti, nurodomos už pažeidžiamumų nustatymo plano vykdymą atsakingų asmenų teisės ir pareigos. Pažeidžiamumų nustatymo planas turi būti suderintas su Veiklos skaitmeninimo grupės vadovu;
28.2. žvalgybos (angl. Reconnaissance) ir aptikimo (angl. Discovery) etapas. Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių virtualių mašinų ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą, konfigūracijas ir kitą sėkmingai kibernetinei atakai įvykdyti reikalingą informaciją;
28.4. ataskaitos parengimo etapas. Kibernetinių atakų imitavimo rezultatai turi būti pateikti kibernetinio saugumo atitikties reikalavimams vertinimo ataskaitoje. Pažeidžiamumų nustatymo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir turi būti pateikiamos jo pašalinimo rekomendacijos. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.
29. Atlikus Nuostatų 26 ir 28 punktuose nurodytus vertinimus, rengiamas pastebėtų trūkumų šalinimo planas, kuriame, atsižvelgiant į kibernetinių atakų imitavimo metu nustatytus trūkumus, NTAIIS valdytojui teikiami pasiūlymai dėl kibernetinį saugumą reglamentuojančių teisės aktų ar kitų NTAIIS valdytojo patvirtintų dokumentų pakeitimo, kibernetinio saugumo būklės gerinimo ir papildomų kibernetinio saugumo priemonių įsigijimo. Pastebėtų trūkumų šalinimo planą tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato NTAIIS valdytojas.
30. NTAIIS rizikos vertinimo ataskaitos, rizikos vertinimo ir rizikos valdymo priemonių plano, informacinių technologijų saugos atitikties vertinimo ataskaitos, kibernetinio saugumo atitikties reikalavimams vertinimo ataskaitos ir pastebėtų trūkumų šalinimo plano kopijas NTAIIS valdytojas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo dienos pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS) Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“, (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai) nustatyta tvarka.
31. Patvirtintų NTAIIS saugos politikos įgyvendinamųjų dokumentų ir jų pakeitimų kopijas NTAIIS valdytojas ne vėliau kaip per 5 darbo dienas nuo jų patvirtinimo dienos pateikia ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI. NEŠIOJAMŲJŲ KOMPIUTERIŲ IR MOBILIŲJŲ ĮRENGINIŲ NAUDOJIMAS
32. Prieigos prie NTAIIS suteikimo ir panaikinimo tvarką nustato NTAIIS valdytojas socialinės apsaugos ir darbo ministro tvirtinamose NTAIIS naudotojų administravimo taisyklėse.
33. NTAIIS naudotojų prieiga prie NTAIIS valdoma naudojant unikalius identifikatorius, slaptažodžius ir 2FA bei multifaktoriaus autentifikavimo sprendinius.
34. NTAIIS techninis administratorius yra atsakingas už NTAIIS serverių apsaugos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir kt.) užtikrinimą.
35. NTAIIS naudotojų darbo vietose naudojama programinė įranga, skirta jų darbo vietoms apsaugoti nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir kt.).
36. NTAIIS elektroninė informacija perduodama saugiomis ryšio linijomis, aprašytomis socialinės apsaugos ir darbo ministro tvirtinamose NTAIIS saugaus elektroninės informacijos tvarkymo taisyklėse.
37. NTAIIS duomenys automatiniu būdu perduodami tik pagal duomenų teikimo sutartyse nustatytas technines specifikacijas ir sąlygas.
38. Siekiant užtikrinti NTAIIS duomenų bazės tęstinumą, turi būti daromos atsarginės duomenų kopijos. Pagrindiniai atsarginių duomenų kopijų darymo ir atkūrimo reikalavimai:
38.1. atsarginės duomenų kopijos turi būti daromos periodiškai (visų duomenų kopija – vieną kartą per savaitę). Atsarginių duomenų kopijų laikmenos sužymimos nurodant kopijos tipą, datą bei kitą sėkmingam jos kūrimui būtiną informaciją;
38.2. duomenų atkūrimas iš atsarginių duomenų kopijų turi būti periodiškai (ne rečiau kaip vieną kartą per metus) išbandomas. Bandymų eiga ir rezultatai dokumentuojami;
38.3. už atsarginių kopijų darymo reikalavimų įgyvendinimą atsako NTAIIS administratorius, už darbų atlikimo priežiūrą – NTAIIS saugos įgaliotinis;
39. Kompiuterių tinklo filtravimo įrangos naudojimo nuostatos:
39.1. konfigūruojant tinklo užkardas, turi būti laikomasi principo „draudžiama pagal nutylėjimą“, t. y. turi būti naudojami tik būtini organizacijos veiklai tinklo protokolai ir užkardų prievadai;
40. Nešiojamiesiems įrenginiams turi būti taikomos toliau nurodytos apsaugos priemonės:
40.1. prisijungimas prie nešiojamojo kompiuterio operacinės sistemos turi būti apsaugotas slaptažodžiu;
41. Atsakingas organizacijos darbuotojas vieną kartą per pusę metų privalo atlikti nešiojamųjų įrenginių patikrą ir priežiūrą. Patikrą galima atlikti nuotoliniu būdu, prisijungus prie nešiojamojo įrenginio (kai nešiojamasis įrenginys prijungtas prie vidinio kompiuterių tinklo), naudojant nešiojamųjų įrenginių valdymo sistemą arba darbuotojui fiziškai pristačius nešiojamąjį įrenginį.
42. Atsakingas organizacijos darbuotojas NTAIIS naudotojų grąžintuose nenaudojamuose nešiojamuosiuose įrenginiuose esančią informaciją suarchyvuoja, sukelia į tam skirtą vietą serveryje ir ištrina iš nešiojamojo įrenginio taip, kad jos nebūtų galima atkurti.
43. NTAIIS naudotojai privalo laikytis šių nešiojamųjų įrenginių naudojimo reikalavimų:
43.1. saugoti nešiojamąjį įrenginį nuo aplinkos poveikio (dulkių, vibracijos, cheminių medžiagų, elektromagnetinio spinduliavimo);
43.3. nepalikti nešiojamojo įrenginio be priežiūros viešose vietose, elgtis rūpestingai, kad nešiojamasis įrenginys ir jame esantys duomenys nebūtų prarasti;
43.6. apsaugoti mobilųjį įrenginį slaptažodžiu arba biometrinėmis apsaugos priemonėmis, jei jo nenaudoja;
44. NTAIIS naudotojams draudžiama:
IV SKYRIUS
REIKALAVIMAI PERSONALUI IR NAUDOTOJAMS
45. NTAIIS personalas ir NTAIIS naudotojai privalo turėti pagrindinius darbo su kompiuteriu įgūdžius, turi būti susipažinę su Nuostatais, Reglamentu (ES) 2016/679 ir kitais duomenų saugos politiką įgyvendinančiais dokumentais.
46. Jungtis prie NTAIIS duomenų ir (ar) juos tvarkyti gali tik tie NTAIIS naudotojai ir NTAIIS personalas, kurie yra pasirašę konfidencialumo pasižadėjimą (Nuostatų priedas) saugoti asmens duomenų paslaptį ir yra susipažinę su NTAIIS nuostatais, Nuostatais ir saugos politiką įgyvendinančiais dokumentais. Ši pareiga galioja ir perėjus dirbti į kitas pareigas arba pasibaigus valstybės tarnybos, darbo, sutartiniams ar kitiems santykiams.
48. NTAIIS saugos įgaliotinis privalo išmanyti informacinių sistemų administravimo ir elektroninės informacijos saugos principus, elektroninės informacijos saugos užtikrinimo metodus, Lietuvos Respublikos ir Europos Sąjungos teisės aktus ir standartus, reglamentuojančius saugų duomenų tvarkymą, sugebėti užtikrinti saugų NTAIIS duomenų naudojimą.
49. NTAIIS saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą, susijusį su elektroninių duomenų ir informacinių sistemų saugumu, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą, savavališką prisijungimą prie tinklo, galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, žymėjimo, priežiūros ir naudojimo taisyklių pažeidimą, jeigu nuo jos skyrimo praėję mažiau kaip vieni metai.
50. Administratoriai privalo turėti sisteminių programinių priemonių administravimo bei priežiūros patirties, išmanyti elektroninės informacijos saugos politikos principus, pagal priskirtas funkcijas administruoti NTAIIS naudotojus, būti susipažinusiems su saugos politikos įgyvendinamaisiais dokumentais.
51. Susipažinimo su NTAIIS saugos politiką įgyvendinančiais dokumentais tvarka:
51.1. už NTAIIS personalo supažindinimą su Nuostatais, kitais NTAIIS saugos politiką įgyvendinančiais dokumentais ir atsakomybe už šių reikalavimų nesilaikymą yra atsakingas NTAIIS saugos įgaliotinis;
51.2. NTAIIS personalas su Nuostatais ir NTAIIS saugos politiką įgyvendinančiais dokumentais bei atsakomybe už šių reikalavimų nesilaikymą pirmą kartą supažindinamas NTAIIS saugos įgaliotinio NTAIIS priemonėmis;
51.3. NTAIIS naudotojai susipažįsta su Nuostatais ir NTAIIS saugos politiką įgyvendinančiais dokumentais bei atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą, prieš pirmą kartą prisijungdami prie NTAIIS. NTAIIS pirminiame lange pateikiamas informacinis pranešimas apie susipažinimą su Nuostatais, kitais NTAIIS saugos politiką įgyvendinančiais dokumentais, atsakomybe už šiuose dokumentuose nustatytų reikalavimų nesilaikymą ir minėti dokumentai. NTAIIS naudotojai, pirmą kartą jungdamiesi prie NTAIIS, pirmiausia privalo susipažinti su minėtais dokumentais ir patvirtinti susipažinimo faktą. Patvirtinimo informacija saugoma NTAIIS konkretaus NTAIIS naudotojo paskyros naudojimo laikotarpiu ir vienus metus nuo paskyros panaikinimo dienos, vėliau sunaikinama. Nesusipažinus su NTAIIS saugos politiką įgyvendinančiais dokumentais, prisijungti prie NTAIIS nebus leidžiama;
51.4. NTAIIS saugos įgaliotinis ne rečiau kaip vieną kartą per 3 metus inicijuoja NTAIIS naudotojų mokymą duomenų saugos klausimais, juos informuoja apie duomenų saugos reikalavimus ir problematiką vienu iš šių būdų:
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos duomenų saugos nuostatų
priedas
(Konfidencialumo pasižadėjimo forma)
KONFIDENCIALUMO PASIŽADĖJIMAS
Aš, _____________________________________________________________________ ,
(vardas, pavardė)
____________________________________________________________________________ ,
(pareigų pavadinimas)
patvirtinu, kad esu susipažinęs (-usi) su 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Reglamentas (ES) 2016/679), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, kitais asmens duomenų apsaugą reguliuojančiais teisės aktais bei socialinės apsaugos ir darbo ministro patvirtintais Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos nuostatais, Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėmis, Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos naudotojų administravimo taisyklėmis, Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos veiklos tęstinumo valdymo planu, Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos duomenų saugos nuostatais, ir pasižadu:
1. vadovautis teisės aktais, reguliuojančiais asmens duomenų tvarkymą ir apsaugą;
2. saugoti asmens duomenų paslaptį visą darbo (tarnybos) ar sutartinių santykių galiojimo laiką, taip pat pasibaigus darbo (tarnybos) ar kitiems sutartiniams santykiams ir tik įstatymų bei kitų teisės aktų nustatytais tikslais ir tvarka naudoti ir (arba) teikti asmens duomenis teisę juos gauti turintiems asmenims;
3. man patikėtus dokumentus (duomenis) saugoti taip, kad tretieji asmenys, neturintys teisės su jais susipažinti, neturėtų galimybės su šiais dokumentais (duomenimis) susipažinti ar jais pasinaudoti;
4. neatskleisti man dėl darbo, tarnybos ar kitų sutartinių santykių žinomų asmens duomenų tretiesiems asmenims, neturintiems teisės su jais susipažinti;
5. taikyti nustatytas technines ir organizacines saugumo priemones, elgtis rūpestingai, kad būtų išvengta asmens duomenų saugumo pažeidimo;
6. asmens duomenis tvarkyti tik teisėtais tikslais ir tik esant teisiniam pagrindui tik tiek, kiek būtina jiems tvarkyti ir funkcijoms atlikti;
7. asmens duomenis tvarkyti taip, kad duomenų subjektų tapatybę būtų galima nustatinėti ne ilgiau, negu to reikia tiems tikslams, dėl kurių šie duomenys buvo tvarkomi, įgyvendinti, vėliau šiuos duomenis sunaikinti pats ar perduoti juos sunaikinti tai įgaliotiems atlikti asmenims, ar perduoti juos saugoti, jeigu tokią pareigą nustato teisės aktai;
8. nedelsdamas (-a) pranešti tiesioginiam vadovui ir (arba) institucijos duomenų apsaugos pareigūnui apie asmenų, neturinčių teisės gauti asmens duomenis, bandymus gauti man patikėtą informaciją;
9. nedelsdamas (-a) pranešti savo tiesioginiam vadovui ir (arba) institucijos duomenų apsaugos pareigūnui apie įtariamą ir (arba) įvykusį duomenų saugumo pažeidimą (bet kokį pažeidimą, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be teisėto pagrindo atskleidžiami, saugomi arba kitaip tvarkomi asmens duomenys arba be teisėto pagrindo gaunama prieiga prie jų).
Žinau, kad už šio konfidencialumo pasižadėjimo nesilaikymą atsakysiu Lietuvos Respublikos teisės aktų nustatyta tvarka.
_________________ __________________ ______________________
(data) (parašas) (vardas ir pavardė)
PATVIRTINTA
Lietuvos Respublikos socialinės apsaugos
ir darbo ministro
2024 m. spalio 15 d. įsakymu Nr. A1-680
NACIONALINIO TVARUMO IR ATSAKINGUMO INDEKSO INFORMACINĖS SISTEMOS SAUGAUS ELEKTRONINĖS INFORMACIJOS TVARKYMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklės (toliau – Taisyklės) reglamentuoja Nacionalinio tvarumo ir atsakingumo indekso informacinėje sistemoje (toliau – NTAIIS) tvarkomos elektroninės informacijos kategorijas, nustato saugaus techninės, programinės įrangos funkcionavimo, elektroninės informacijos tvarkymo ir jos teikimo kitoms institucijoms tvarką.
2. Taisyklės privalomos NTAIIS naudotojams ir administratoriams. Už Taisyklių įgyvendinimo organizavimą ir kontrolę atsako NTAIIS saugos įgaliotinis.
3. Taisyklėse vartojamos sąvokos:
3.2. NTAIIS administratorius ‒ NTAIIS valdytojo pasitelktas paslaugų teikėjas, NTAIIS valdytojo vardu tvarkantis NTAIIS.
3.3. NTAIIS techninis administratorius – NTAIIS valdytojo valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, (toliau kartu ‒ darbuotojas) ir / arba NTAIIS valdytojo pasitelktas paslaugų teikėjas, NTAIIS infrastruktūros, kompiuterinės įrangos saugos ir priežiūros administratorius.
3.4. NTAIIS išorės administratorius – Organizacijų, kurios bendradarbiaus administruodamos verslo tvarumo ir atsakingumo indeksą, atrankos tvarkos aprašo, patvirtinto Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2023 m. gegužės 15 d. įsakymu Nr. A1-314 „Dėl Organizacijų, kurios bendradarbiaus administruodamos verslo tvarumo ir atsakingumo indeksą, atrankos tvarkos aprašo patvirtinimo“, (toliau – Atrankos tvarkos aprašas) tvarka atrinktos organizacijos darbuotojas (-ai), kuris (-ie) atlieka NTAIIS administratoriaus funkcijas pagal jam (jiems) suteiktas prieigos teises ir pareigas.
4. Kitos Taisyklėse vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų aprašas) Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos nuostatuose (toliau – NTAIIS nuostatai), Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos duomenų saugos nuostatuose (toliau – NTAIIS duomenų saugos nuostatai), tvirtinamuose socialinės apsaugos ir darbo ministro, vartojamas sąvokas.
5. Visa NTAIIS tvarkoma elektroninė informacija (jos sąrašas) nurodyta NTAIIS nuostatų III–IV skyriuose.
7. NTAIIS tvarkoma elektroninė informacija, atsižvelgiant į už jos tvarkymą atsakingų naudotojų grupes, yra skirstoma į šias kategorijas:
7.1. NTAIIS techninio administratoriaus tvarkoma informacija:
7.2. NTAIIS išorės administratoriaus tvarkoma informacija:
II SKYRIUS
TECHNINIŲ IR KITŲ SAUGOS UŽTIKRINIMO PRIEMONIŲ APRAŠYMAS
8. NTAIIS kompiuterinės įrangos saugos užtikrinimo priemonės:
8.1. tarnybinės stotys apsaugotos nuo elektros srovės nutrūkimo ir svyravimų, naudojant rezervinius elektros įvadus, vietinius elektros generatorius, nenutrūkstamo maitinimo šaltinius (UPS), užtikrinančius tarnybinių stočių veikimą ne trumpiau kaip 30 minučių;
8.2. svarbiausi NTAIIS elektroninės informacijos perdavimo tinklo mazgai ir ryšio linijos dubliuojami, jų techninė būklė nuolat stebima;
8.3. svarbiausios kompiuterinės įrangos gedimai registruojami (už gedimų registravimą atsakingas NTAIIS techninis administratorius);
8.5. kompiuterinėje įrangoje naudojama tik legali ir darbo funkcijoms atlikti reikalinga programinė įranga, kurios sąrašas peržiūrimas vieną kartą per metus ir prireikus atnaujinamas;
8.6. įgyvendinamos Lietuvos standarte LST ISO/IEC 27002:2014 nurodytos saugos užtikrinimo priemonės;
9. NTAIIS sisteminės ir taikomosios programinės įrangos saugos užtikrinimo priemonės:
9.5. NTAIIS naudotojų slaptažodžių sudarymo, galiojimo trukmės ir keitimo reikalavimai nustatyti Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos naudotojų administravimo taisyklėse, patvirtintose socialinės apsaugos ir darbo ministro;
10. NTAIIS elektroninės informacijos perdavimo tinklais saugos užtikrinimo priemonės:
10.1. NTAIIS naudotojų tapatybei nustatyti ir tiesioginei prieigai prie NTAIIS elektroninės informacijos kontroliuoti naudojama prisijungimo vardų, slaptažodžių, teisių sistema ir Valstybės informacinių išteklių sąveikumo platformos autentifikavimo paslauga;
10.2. prisijungimo prie NTAIIS duomenų bazės vardai ir pirminio prisijungimo slaptažodžiai yra išsiunčiami elektroniniu paštu;
10.3. perduodamos NTAIIS elektroninės informacijos saugumas užtikrinamas naudojant saugų duomenų perdavimo tinklą arba sukuriant šifruoto duomenų perdavimo kanalą;
12. Kitos priemonės, naudojamos NTAIIS elektroninės informacijos saugai užtikrinti:
12.1. saugiam NTAIIS elektroninės informacijos tvarkymui užtikrinti naudojamos kompiuterinės įrangos, programinės įrangos fizinės, techninės ir organizacinės duomenų saugos priemonės, kuriomis užtikrinamas:
12.2. naudojantis programine įranga, nuolat atliekama NTAIIS funkcionavimo analizė ir NTAIIS funkcionavimo sutrikimų prevencija;
12.4. informacija apie NTAIIS įjungimą, išjungimą, (ne)sėkmingus bandymus registruotis, visus NTAIIS naudotojų vykdomus veiksmus, kitus saugai svarbius įvykius analizuojama ne rečiau kaip vieną kartą per mėnesį, įvykių žurnaluose duomenys saugomi vienus metus;
III SKYRIUS
SAUGUS ELEKTRONINĖS INFORMACIJOS TVARKYMAS
13. NTAIIS elektroninė informacija įrašoma, atnaujinama, keičiama ir naikinama vadovaujantis NTAIIS duomenų saugos nuostatais ir kitais NTAIIS elektroninės informacijos tvarkymą reglamentuojančiais teisės aktais.
14. NTAIIS naudotojo veiksmų registravimo tvarka: NTAIIS naudotojui prisijungus prie NTAIIS duomenų bazės, elektroniniame žurnale automatiškai registruojamas NTAIIS naudotojo darbo laikas, prisijungimo vardas ir jo atliekami NTAIIS elektroninės informacijos tvarkymo veiksmai.
15. Atsarginių NTAIIS elektroninės informacijos kopijų darymo, saugojimo ir elektroninės informacijos atkūrimo iš atsarginių kopijų tvarka:
16. Saugaus NTAIIS elektroninės informacijos perkėlimo ir (arba) teikimo kitiems registrams bei informacinėms sistemoms, elektroninės informacijos gavimo iš jų tvarka:
17. NTAIIS elektroninės informacijos neteisėto kopijavimo, keitimo, naikinimo ar perdavimo nustatymo tvarka:
17.1. NTAIIS naudotojai apie pastebėtą neteisėtą NTAIIS elektroninės informacijos kopijavimą, keitimą, naikinimą ar kitus neteisėtus NTAIIS elektroninės informacijos tvarkymo veiksmus nedelsdami informuoja NTAIIS saugos įgaliotinį ar NTAIIS valdytoją;
18. NTAIIS programinės ir techninės įrangos keitimo ir atnaujinimo tvarka:
18.1. NTAIIS techninis administratorius NTAIIS tarnybinėse stotyse diegia ir tvarko programinę įrangą, reikalingą NTAIIS funkcionuoti;
19. NTAIIS pokyčių (toliau – pokyčiai) valdymo tvarka:
19.1. NTAIIS valdytojas užtikrina pokyčių valdymo planavimą, apimantį pokyčių identifikavimą, suskirstymą į kategorijas, atsižvelgiant į pokyčių svarbą, aktualumą, poreikį, įtakos vertinimą, pokyčių prioritetų nustatymo procesus;
19.2. pokyčiai nustatomi pagal NTAIIS naudotojų poreikius, atsižvelgiant į NTAIIS priežiūros problemas;
19.3. pokyčius inicijuoti turi teisę NTAIIS saugos įgaliotinis, NTAIIS techninis administratorius ir NTAIIS naudotojas;
19.4. prieš priimant sprendimą įgyvendinti pokytį, įvertinama, kokią įtaką jis turės NTAIIS veiklai. Pagal įtaką NTAIIS veiklai pokyčiai skirstomi į nedidelius ir didelius;
19.5. pokyčių prioritetai nustatomi atsižvelgiant į pokyčių kategorijas ir jiems suteikiamos reikšmės: „labai skubu“, „skubu“, „neskubu“;
19.6. pokyčius planuoti ir įgyvendinti gali Socialinės apsaugos ir darbo ministerijos valstybės tarnautojai ar darbuotojai, dirbantys pagal darbo sutartis, arba tretieji asmenys paslaugų pirkimo sutartyse nurodytomis sąlygomis;
19.7. jei, įgyvendinant pokyčius, gali kilti grėsmė NTAIIS elektroninės informacijos konfidencialumui, vientisumui ar pasiekiamumui, būsimi pokyčiai išbandomi testavimo aplinkoje;
19.8. jei, įgyvendinant pokyčius, galimi NTAIIS veiklos sutrikimai, NTAIIS techninis administratorius privalo ne vėliau kaip prieš vieną darbo dieną iki planuojamų pokyčių įgyvendinimo pradžios informuoti (per NTAIIS, elektroniniu paštu ar kitomis priemonėmis) NTAIIS naudotojus apie tokių darbų pradžią ir galimus sutrikimus;
IV SKYRIUS
REIKALAVIMAI, KELIAMI NTAIIS FUNKCIONUOTI REIKALINGOMS PASLAUGOMS IR JŲ TEIKĖJAMS
20. NTAIIS funkcionuoti reikalingų paslaugų teikėjo prieiga prie NTAIIS techninės ir programinės įrangos kontroliuojama naudojant prisijungimo vardų, slaptažodžių ir teisių sistemą, skirtą paslaugų teikėjo darbuotojų tapatybei nustatyti. Paslaugų teikėjo prieiga prie NTAIIS yra leidžiama tik pasirašius paslaugų teikimo sutartį, kurioje nustatytos paslaugų teikėjo teisės, pareigos ir būtinos saugos priemonės, jeigu paslaugų teikimas susijęs su asmens duomenų tvarkymu ‒ ir asmens duomenų tvarkymo sutartį, parengtą vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Reglamentas (ES) 2016/679) ir Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos asmens duomenų apsaugos politika, patvirtinta Lietuvos Respublikos socialinės apsaugos ir darbo ministro 2018 m. spalio 31 d. įsakymu Nr. A1-610 „Dėl Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos asmens duomenų apsaugos politikos patvirtinimo“, skelbiama NTAIIS valdytojo interneto puslapyje https://socmin.lrv.lt/lt/ pagal Socialinės apsaugos ir darbo ministerijos kanclerio tvirtinamą asmens duomenų tvarkymo sutarties formą. Prieiga suteikiama remiantis „būtina žinoti“ principu.
21. NTAIIS elektroninės informacijos saugos priemonės, taip pat NTAIIS funkcionuoti reikalingų paslaugų teikėjo atsakomybė, susijusi su NTAIIS techninės ir programinės įrangos diegimu bei priežiūra, paslaugos, būtinos NTAIIS funkcionavimui užtikrinti, nustatomos paslaugų teikimo sutartyje.
22. Paslaugų, darbų ar įrangos, susijusių su NTAIIS kūrimu, diegimu, modernizavimu ir kibernetinio saugumo užtikrinimu, pirkimo dokumentuose turi būti nustatyta, kad paslaugų teikėjas turi užtikrinti atitiktį Organizacinių ir techninių kibernetinio saugumo reikalavimų apraše nustatytiems reikalavimams.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
23. NTAIIS naudotojas privalo nedelsdamas, bet ne vėliau kaip per vieną darbo dieną, informuoti NTAIIS saugos įgaliotinį ar NTAIIS valdytoją apie pastebėtus saugumo incidentus: Taisyklių reikalavimų pažeidimus, NTAIIS veiklos sutrikimus arba neįprastą NTAIIS veikimą.
PATVIRTINTA
Lietuvos Respublikos socialinės apsaugos ir darbo ministro
2024 m. spalio 15 d. įsakymu Nr. A1-680
NACIONALINIO TVARUMO IR ATSAKINGUMO INDEKSO informacinės sistemos NAUDOTOJŲ ADMINISTRAVIMO TAISYKLĖS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos naudotojų administravimo taisyklės (toliau – Taisyklės) reglamentuoja Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos (toliau – NTAIIS) naudotojų ir administratorių funkcijas, jų teises ir pareigas, saugaus elektroninės informacijos teikimo kontrolės tvarką ir principus.
2. Taisyklėse vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos nuostatuose (toliau – NTAIIS nuostatai) ir Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos duomenų saugos nuostatuose (toliau – NTAIIS duomenų saugos nuostatai), tvirtinamuose socialinės apsaugos ir darbo ministro, vartojamas sąvokas.
II SKYRIUS
NTAIIS ELEKTRONINĖS INFORMACIJOS PRINCIPAI
4. Prieigos prie NTAIIS elektroninės informacijos principai:
4.1. neleisti neįgaliotiems asmenims prieiti prie NTAIIS duomenims tvarkyti naudojamos duomenų apdorojimo įrangos;
4.2. apriboti neleistiną duomenų įvedimą į NTAIIS, siekiant NTAIIS duomenis keisti, ištrinti, peržiūrėti ar kitaip tvarkyti;
4.4. užtikrinti, kad asmenys, įgalioti naudotis NTAIIS programine įranga, galėtų prieiti tik prie tos elektroninės informacijos, prie kurios prieiti jiems suteiktos prieigos teisės;
III SKYRIUS
NTAIIS NAUDOTOJŲ IR ADMINISTRATORIŲ ĮGALIOJIMAI, TEISĖS IR PAREIGOS
5. NTAIIS naudotojų ir NTAIIS administratorių įgaliojimai, teisės ir pareigos naudotis suteiktomis prieigomis yra nustatomi socialinės apsaugos ir darbo ministro tvirtinamuose NTAIIS nuostatuose, Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklėse, Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos naudotojų administravimo taisyklėse, Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos veiklos tęstinumo valdymo plane ir NTAIIS duomenų saugos nuostatuose.
7. NTAIIS naudotojai turi teisę:
7.1. naudotis NTAIIS ir NTAIIS kaupiama elektronine informacija pagal NTAIIS techninio administratoriaus suteiktas prieigos teises;
8. NTAIIS naudotojai privalo:
8.1. užtikrinti jų naudojamos ir tvarkomos NTAIIS elektroninės informacijos konfidencialumą, vientisumą, savo veiksmais netrikdyti NTAIIS elektroninės informacijos prieinamumo;
9. NTAIIS personalo funkcijos ir atsakomybė nustatyti:
IV SKYRIUS
SAUGAUS ELEKTRONINĖS INFORMACIJOS TEIKIMO NAUDOTOJAMS KONTROLĖS TVARKA
10. NTAIIS naudotojus registruoja, blokuoja, išregistruoja, prieigos prie NTAIIS teises suteikia ir panaikina NTAIIS techninis ir išorės administratoriai ir naudojami 2FA bei multifaktoriaus autentifikavimo sprendiniai.
11. NTAIIS naudotojui prieiga prie NTAIIS duomenų ir elektroninės informacijos gali būti suteikiama ir panaikinama, vadovaujantis sutartiniais įsipareigojimais (jeigu taikoma).
12. NTAIIS naudotojai prie NTAIIS gali jungtis naudodamiesi suteiktu naudotojo vardu ir slaptažodžiu ir naudodami 2FA bei multifaktoriaus autentifikavimo sprendinius.
13. NTAIIS naudotojui prieiga prie NTAIIS duomenų ir NTAIIS elektroninės informacijos gali būti panaikinama, jeigu yra žinoma, kad atitinkamas NTAIIS naudotojas nebedirba tam tikroje institucijoje ar organizacijoje arba egzistuoja kitos objektyvios aplinkybės, dėl kurių prieiga prie NTAIIS turi būti panaikinta (pavyzdžiui, NTAIIS naudotojas sistemiškai nesilaiko NTAIIS duomenų saugą reguliuojančių teisės aktų reikalavimų).
14. Nereikalingos ar nenaudojamos NTAIIS naudotojų ir administratorių paskyros turi būti blokuojamos nedelsiant ir ištrinamos praėjus audito duomenų nustatytam saugojimo terminui.
15. NTAIIS naudotojų ir administratorių paskyrų kontrolės vykdymo tvarka:
15.1. periodiškai automatizuotomis paskyrų kontrolės priemonėmis tikrinama, ar paskyra yra naudojama:
15.2. jei NTAIIS naudotojas nebuvo prisijungęs ilgiau nei 3 mėnesius, jo paskyra automatiškai blokuojama;
16. NTAIIS naudotojas, pamiršęs, praradęs savo prisijungimo prie NTAIIS duomenis arba kitaip jų netekęs, turi nedelsdamas apie tai raštu ar elektroninių ryšių priemonėmis informuoti atitinkamai NTAIIS išorės administratorių arba NTAIIS techninį administratorių (nurodo asmens pareigas, vardą, pavardę ir slaptažodžio praradimo datą), kuris suteikia NTAIIS naudotojui naują laikinąjį slaptažodį, kurį NTAIIS naudotojas, prisijungęs prie NTAIIS, turi nedelsdamas pasikeisti.
17. NTAIIS naudotojų ir administratorių slaptažodžiams taikomi šie bendrieji reikalavimai:
17.4. informacinės sistemos dalys, atliekančios nutolusio prisijungimo autentikavimą, turi drausti automatiškai išsaugoti slaptažodžius;
17.5. bandant prisijungti prie NTAIIS, neteisingą slaptažodį galima įvesti ne daugiau kaip 5 kartus. Neteisingai įvedus slaptažodį 5 kartus, NTAIIS naudotojas ar administratorius blokuojamas ir jam neleidžiama daugiau bandyti prisijungti prie NTAIIS. Neteisingai įvedus didžiausią leistiną slaptažodžių skaičių, NTAIIS užsirakina ir 15 minučių neleidžia identifikuotis ir jungtis prie NTAIIS;
17.6. slaptažodžiai negali būti saugomi ar perduodami atviru tekstu ar užšifruojami nepatikimais algoritmais, išskyrus laikinuosius slaptažodžius, kurie išduodami pirmam NTAIIS naudotojų ar administratoriaus prisijungimui, tačiau atskirai nuo prisijungimo vardo, jei:
17.6.1. NTAIIS naudotojas ar administratorius neturi galimybių iššifruoti gauto užšifruoto slaptažodžio;
18. NTAIIS naudotojų slaptažodžiams taikomi šie papildomi reikalavimai:
19. Administratorių slaptažodžiams taikomi šie papildomi reikalavimai:
20. Baigus darbą arba naudotojui pasitraukiant iš darbo vietos, turi būti atsijungiama nuo paskyrų ir įjungiama ekrano užsklanda su slaptažodžiu, kad su tvarkoma informacija negalėtų susipažinti pašaliniai asmenys.
21. NTAIIS priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą NTAIIS administravimo paskyrą, kuria negalima atlikti NTAIIS naudotojo funkcijų.
V SKYRIUS
BAIGIAMOSIOS NUOSTATOS
PATVIRTINTA
Lietuvos Respublikos socialinės apsaugos ir darbo ministro
2024 m. spalio 15 d. įsakymu Nr. A1-680
NACIONALINIO TVARUMO IR ATSAKINGUMO INDEKSO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos veiklos tęstinumo valdymo planas (toliau – Planas) reglamentuoja Nacionalinio tvarumo ir atsakingumo indekso informacinėje sistemos (toliau – NTAIIS) veiklos užtikrinimą, veiklos tęstinumo valdymo grupės ir veiklos atkūrimo grupės funkcijas.
2. Plane vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“, Informacinių technologijų saugos atitikties vertinimo metodikoje, patvirtintoje Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“, Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, (toliau – Kibernetinio saugumo reikalavimų aprašas) Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos nuostatuose ir Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos duomenų saugos nuostatuose, tvirtinamuose socialinės apsaugos ir darbo ministro, vartojamas sąvokas.
3. Planą vykdyti privalu įvykus elektroninės informacijos saugos arba kibernetinės saugos incidentui (toliau kartu – saugos incidentas), kurio metu gali kilti pavojus NTAIIS tvarkomai elektroninei informacijai (gali būti pažeistas duomenų vientisumas, konfidencialumas ar prieinamumas), NTAIIS infrastruktūros ir taikomosios programinės įrangos funkcionavimui, gali būti sutrikdytas NTAIIS duomenų teikimas suinteresuotiems juridiniams asmenims ir (ar) jų valdomoms informacinėms sistemoms, pažeistas duomenų priėmimas iš suinteresuotų juridinių asmenų ir (ar) jų valdomų registrų ar informacinių sistemų. Įvykus kibernetiniam incidentui, vadovaujamasi Nacionaliniu kibernetinių incidentų valdymo planu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“, (toliau – Nacionalinis kibernetinių incidentų valdymo planas).
4. Planas yra privalomas NTAIIS valdytojui, NTAIIS tvarkytojams, NTAIIS naudotojams, NTAIIS administratoriams, NTAIIS saugos įgaliotiniui ir kibernetinio saugumo vadovui.
5. Įvykusio (-ių) kibernetinio (-ių) incidento (-ų) nustatymas, informavimas apie kibernetinius incidentus, kibernetinių incidentų tyrimas ir kibernetinių incidentų analizė, baigus kibernetinių incidentų tyrimą, vykdomi Nacionaliniame kibernetinių incidentų valdymo plane nustatyta tvarka, o Plano nuostatos taikomos tiek, kiek kibernetinių incidentų valdymo nereglamentuoja Nacionalinis kibernetinių incidentų valdymo planas.
6. NTAIIS saugos įgaliotinio, NTAIIS kibernetinio saugumo vadovo, NTAIIS administratoriaus, NTAIIS techninio administratoriaus ir kitų atsakingų institucijų – Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos ar kitų institucijų, ar Socialinės apsaugos ir darbo ministerijos pasitelktų subjektų – valstybės tarnautojų ir darbuotojų, dirbančių pagal darbo sutartis, (toliau kartu – darbuotojai) veiksmai saugos incidento atveju yra nurodyti Plano 1 priede.
7. NTAIIS naudotojai privalo vykdyti Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos veiklos tęstinumo valdymo grupės (toliau – Valdymo grupė) ir Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos veiklos atkūrimo grupės (toliau – Atkūrimo grupė) reikalavimus.
8. Finansinių ir kitokių išteklių, numatomų NTAIIS veiklai atkurti įvykus saugos incidentui, šaltinius ir pobūdį numato ir pasirenka Valdymo grupė.
II SKYRIUS
ORGANIZACINĖS NUOSTATOS
10. Valdymo grupė užtikrina NTAIIS veiklai kylančių grėsmių valdymą ir NTAIIS veiklos atkūrimo koordinavimą įvykus saugos incidentui.
11. Valdymo grupės sudėtis:
11.1. Socialinės apsaugos ir darbo ministerijos, kaip NTAIIS valdytojo, kancleris arba socialinės apsaugos ir darbo ministro įsakymu paskirtas kitas Socialinės apsaugos ir darbo ministerijos darbuotojas (toliau – Valdymo grupės vadovas);
11.2. Socialinės apsaugos ir darbo ministerijos Administravimo departamento Informacinių technologijų skyriaus vedėjas (toliau – Valdymo grupės vadovo pavaduotojas);
11.5. Socialinės apsaugos ir darbo ministerijos Administravimo departamento Turto valdymo skyriaus vedėjas;
11.6. Duomenų apsaugos pareigūno (toliau – DAP) funkcijas Socialinės apsaugos ir darbo ministerijoje atliekantis darbuotojas;
12. Valdymo grupės funkcijos:
12.2. saugos incidento skelbimas; prieš priimdama sprendimą skelbti saugos incidentą, Valdymo grupė įvertina:
12.4. bendradarbiavimas su susijusių registrų, informacinių sistemų veiklos tęstinumo valdymo grupėmis;
12.6. bendravimas ir bendradarbiavimas su Nacionaliniu kibernetinio saugumo centru prie Krašto apsaugos ministerijos (toliau – Centras), teisėsaugos ir kitomis institucijomis, jų darbuotojais ir kitomis interesų grupėmis, vadovaujantis Kibernetinio saugumo įstatymo ir Kibernetinio saugumo reikalavimų aprašo nuostatomis;
12.7. finansinių ir kitų išteklių, reikalingų NTAIIS veiklai atkurti, įvykus saugos incidentui, naudojimo kontrolė;
13. Atkūrimo grupė yra atskaitinga Valdymo grupei ir vykdo NTAIIS veiklos atkūrimą ir veikimo užtikrinimą įvykus saugos incidentui.
14. Atkūrimo grupė sudėtis:
14.1. Socialinės apsaugos ir darbo ministerijos Administravimo departamento Informacinių technologijų skyriaus vedėjas (Atkūrimo grupės vadovas);
14.3. NTAIIS administratoriaus (teikiančio NTAIIS programinės įrangos priežiūros ir vystymo paslaugas) atstovas (-ai);
15. Atkūrimo grupės funkcijos:
16. Kibernetinio saugumo vadovo funkcijos aprašytos Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos duomenų saugos nuostatuose.
17. Už kiekvieną Atkūrimo grupės funkciją atsakingais skiriami ne mažiau kaip 2 Atkūrimo grupės atstovai.
18. Esant paskelbtam saugos incidentui, Valdymo grupė ir Atkūrimo grupė organizuoja pasitarimus, atsižvelgdamos į Valdymo grupės pirmojo susitikimo metu nustatytą dažnumą, palaiko ryšius visomis tuo metu prieinamomis priemonėmis (elektroniniu paštu, telefonu, mobiliuoju ryšiu ir kt.).
19. Reaguojant į saugos incidentus ir juos valdant, turi būti vadovaujamasi Plano 1 priedu ir šiomis taisyklėmis:
19.1. darbuotojų gyvybės ir sveikatos apsauga – būtina užtikrinti visų darbuotojų gyvybės ir sveikatos apsaugą, kol trunka saugos incidentas ir likviduojami elektroninės informacijos saugos incidento padariniai;
19.2. NTAIIS veiklos atkūrimas – paskelbus saugos incidentą, jei būtina, organizuojama fizinė sauga ir nedelsiant pradedama atkurti NTAIIS veikla. Pirmiausia atkuriamas NTAIIS prieinamumas ir kritiškiausias informacinės sistemos funkcionalumas:
19.2.1. NTAIIS techninis administratorius pagal kompetenciją atkuria NTAIIS infrastruktūros ir taikomosios programinės įrangos funkcionavimą;
20. Valdymo grupė organizuoja žalos NTAIIS duomenims, NTAIIS infrastruktūrai ir taikomajai programinei įrangai vertinimą, koordinuoja NTAIIS veiklai atkurti reikalingos kompiuterių aparatinės, sisteminės ir taikomosios programinės įrangos įsigijimą.
21. Saugos incidento metu sunaikinta kompiuterių aparatinė, sisteminė ir taikomoji programinė įranga keičiama turima rezervine kompiuterių įranga, vėliau Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka įsigyjama nuolatinė kompiuterių įranga. Įsigijimo išlaidos padengiamos iš Lietuvos Respublikos valstybės biudžeto ir (ar) kitų finansavimo šaltinių.
22. NTAIIS įdiegimo vieta yra Valstybės duomenų centre. Už Valstybės duomenų centre esančios ir NTAIIS veikimui užtikrinti reikalingos įrangos techninę priežiūrą atsakingas Valstybės skaitmeninių sprendimų agentūros (kaip valstybės centralizuotai teikiamų informacinių technologijų paslaugų teikėjo) administratorius.
23. Turi būti užtikrintas NTAIIS prieinamumas per vienus metus ne mažiau kaip 90 procentų laiko darbo metu darbo dienomis.
25. Apie kibernetinius incidentus Centras turi būti informuojamas naudojantis Kibernetinio saugumo informaciniu tinklu, o nesant galimybės – Centro nurodytais kontaktais.
III SKYRIUS
APRAŠOMOSIOS NUOSTATOS
27. Už informaciją apie NTAIIS naudojamą kompiuterių techninę ir programinę įrangą, jos parametrus, už šios įrangos priežiūrą atsakingas NTAIIS administratorius.
28. Minimaliai būtinos kompiuterių techninės ir programinės įrangos, reikalingos NTAIIS veiklai atkurti ir funkcionalumui užtikrinti saugos incidento metu, specifikacija turi būti tokia pati kaip ir pagrindinė NTAIIS techninė specifikacija.
29. NTAIIS elektroninės informacijos teikimo ir kompiuterių techninės ir programinės įrangos priežiūros sutartys, atsakingų už šių sutarčių įgyvendinimo priežiūrą asmenų pareigos ir duomenys saugomi Socialinės apsaugos ir darbo ministerijos dokumentacijos plane nustatyta tvarka.
30. NTAIIS elektroninės informacijos kopijavimo laikmenų sąrašą (dokumentą, kuriame nurodyta programinės įrangos laikmenų ir laikmenų su atsarginėmis elektroninės informacijos kopijomis saugojimo vieta ir šių laikmenų perkėlimo į saugojimo vietą laikas ir sąlygos) parengia ir atnaujina NTAIIS techninis administratorius.
31. NTAIIS saugos įgaliotinis parengia ir saugo Valdymo grupės ir Atkūrimo grupės narių sąrašą, kuriame nurodomi šių asmenų tarnybinių mobiliųjų ir asmeninių telefonų numeriai, gyvenamosios vietos adresai. Šie duomenys tvarkomi tik siekiant užtikrinti saugos incidentų valdymą ir NTAIIS veiklos tęstinumą, jeigu Valdymo grupės ar Atkūrimo grupės nario Socialinės apsaugos ir darbo ministerijoje nėra.
IV SKYRIUS
PLANO VEIKSMINGUMO PATIKRINIMO NUOSTATOS
32. Data, kai patikrinama, ar planas veiksmingas, nustatoma kiekvienų metų sausio mėnesį. Nustatytą dieną imituojami saugos incidentai. Jų metu už saugos incidentų padarinių likvidavimą atsakingi asmenys imituoja saugos incidentą ir atlieka padarinių likvidavimo veiksmus. Atsarginėje NTAIIS stotyje iš atsarginių NTAIIS duomenų kopijų atkuriami NTAIIS duomenys.
33. Pagal bandymų rezultatus NTAIIS saugos įgaliotinis parengia Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos veiklos tęstinumo valdymo plano patikrinimo ataskaitą (Plano 3 priedas) (toliau – Ataskaita), kurioje apibendrinami atliktų bandymų rezultatai, nurodomi Plano trūkumai ir siūlomos šių trūkumų šalinimo priemonės. Ataskaitą tvirtina NTAIIS valdytojo vadovas. Ataskaitų kopijos ne vėliau kaip per 5 darbo dienas nuo šių dokumentų priėmimo pateikiamos Centrui.
34. NTAIIS saugos įgaliotinis nuolat kontroliuoja, kaip įgyvendinamos Ataskaitoje nurodytos prevencinės priemonės.
V skyrius
BAIGIAMOSIOS NUOSTATOS
36. NTAIIS saugos įgaliotinis organizuoja Plano peržiūrą ne rečiau kaip vieną kartą per metus. Planas turi būti peržiūrimas atlikus rizikos įvertinimą ar informacinių technologijų saugos atitikties vertinimą, įvykus esminių organizacinių, sisteminių ar kitų pokyčių.
Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos veiklos tęstinumo valdymo plano
1 priedas
NACIONALINIO TVARUMO IR ATSAKINGUMO INDEKSO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANAS
| Incidentas |
Veiklos tęstinumo valdymo (atkūrimo) veiksmai |
Atsakingi vykdytojai |
Terminai |
| 1. Telekomunikacijų ir kitų ryšio tinklų sutrikimai |
1.1. Telekomunikacijų ir kitų ryšio tinklų sutrikimų priežasčių nustatymas. |
Lietuvos Respublikos socialinės apsaugos ir darbo ministerijos Turto valdymo skyriaus vedėjas (toliau – Turto valdymo skyriaus vedėjas) |
2–4 d. d. |
| 1.2. Kreipimasis į telekomunikacijų ir kitų ryšio tinklų paslaugų teikėją dėl telekomunikacijų ir kitų ryšio tinklų sutrikimų trukmės bei pašalinimo galimybių ir darbuotojų informavimas. |
Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos (toliau – NTAIIS) techninis administratorius, Turto valdymo skyriaus vedėjas |
||
| 1.3. Incidento padarinių įvertinimas ir padarytos žalos likvidavimo priemonių plano sudarymas. |
Socialinės apsaugos ir darbo ministerijos, kaip NTAIIS valdytojo, kancleris arba socialinės apsaugos ir darbo ministro įsakymu paskirtas kitas Socialinės apsaugos ir darbo ministerijos darbuotojas (toliau – Valdymo grupės vadovas), NTAIIS saugos įgaliotinis |
||
| 1.4. Incidento padarytos žalos likvidavimo priemonių plano įgyvendinimas. |
Socialinės apsaugos ir darbo ministerijos Administravimo departamento Informacinių technologijų skyriaus vedėjas (toliau – Atkūrimo grupės vadovas) |
||
| 2. Kompiuterių techninės įrangos sugadinimas ar praradimas |
2.1. Kompiuterių techninės įrangos sugadinimo priežasčių nustatymas. |
NTAIIS administratorius, NTAIIS techninis administratorius |
2–4 d. d. |
| 2.2. Kreipimasis į įrangos tiekėjus dėl techninės įrangos remonto ar naujos įrangos įsigijimo arba reikiamų techninių išteklių duomenų centre užsakymas, kreipiantis į IT paslaugų teikėjus. |
Atkūrimo grupės vadovas, NTAIIS administratorius |
||
| 2.3. Incidento padarinių įvertinimas ir padarytos žalos likvidavimo priemonių plano sudarymas. |
Valdymo grupės vadovas, NTAIIS saugos įgaliotinis |
||
| 2.4. Incidento padarytos žalos likvidavimo priemonių plano įgyvendinimas. |
Atkūrimo grupės vadovas, NTAIIS administratorius |
||
| 3. Programinės įrangos sugadinimas ar praradimas |
3.1. Programinės įrangos sugadinimo priežasčių nustatymas. |
NTAIIS administratorius, NTAIIS techninis administratorius |
2–4 d. d. |
| 3.2. Sugadintos ar prarastos programinės įrangos atkūrimas ar naujos programinės įrangos įsigijimas arba reikiamų programinių išteklių duomenų centre užsakymas, kreipiantis į IT paslaugų teikėjus. |
Atkūrimo grupės vadovas, NTAIIS administratorius |
||
| 3.3. Incidento padarinių įvertinimas ir padarytos žalos likvidavimo priemonių plano sudarymas. |
Valdymo grupės vadovas, NTAIIS saugos įgaliotinis |
||
| 3.4. Incidento padarytos žalos likvidavimo priemonių plano įgyvendinimas. |
Atkūrimo grupės vadovas, NTAIIS administratorius |
||
| 4. Duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas |
4.1. Vertinimas, ar yra pažeistas duomenų vientisumas, tikslumas, pasiekiamumas ir konfidencialumas, ir nustatymas, kokie konkrečiai duomenys yra pažeisti ar sugadinti. Jei incidentas yra susijęs su popierinių dokumentų praradimu, prarastų dokumentų kiekio ir galimybės juos atgauti arba sunaikinti vertinimas. |
NTAIIS administratorius, NTAIIS techninis administratorius, NTAIIS saugos įgaliotinis |
2–4 d. d. |
| 4.2. Incidento vertinimas ir analizė, prireikus pranešimo apie asmens duomenų saugumo pažeidimą Valstybinei duomenų apsaugos inspekcijai (toliau – VDAI) ir (arba) pranešimo apie nusikalstamas veikas policijai teikimas. |
Darbuotojas, atliekantis duomenų apsaugos pareigūno funkcijas, NTAIIS saugos įgaliotinis |
||
| 4.3. Pažeistų ar sugadintų duomenų atkūrimo ir koregavimo galimybių vertinimas. |
NTAIIS administratorius, NTAIIS techninis administratorius |
||
| 4.4. Neteisėtai atskleistų duomenų platinimo sustabdymo, prieigos prie atskleistų duomenų apribojimo arba panaikinimo priemonių ėmimasis, papildomų saugumo priemonių diegimas ir žurnalinių įrašų analizavimas. |
NTAIIS administratorius, NTAIIS techninis administratorius |
||
| 4.5. Incidento padarinių įvertinimas, duomenų atkūrimo ir (arba) padarytos žalos likvidavimo priemonių plano sudarymas. |
Valdymo grupės vadovas, Atkūrimo grupės vadovas, NTAIIS saugos įgaliotinis |
||
| 4.6. Duomenų atkūrimo ir (arba) incidento padarytos žalos likvidavimo priemonių plano įgyvendinimas. |
Atkūrimo grupės vadovas, NTAIIS administratorius |
||
| 5. Įsilaužimas į vidinį kompiuterių tinklą |
5.1. Įsilaužimo būdo nustatymas ir aptikto įsilaužimo sustabdymas ar užkardymas. |
NTAIIS administratorius, NTAIIS techninis administratorius |
2–4 d. d. |
| 5.2. Incidento vertinimas ir analizė, prireikus pranešimo apie kibernetinio saugumo incidentą Nacionaliniam kibernetinio saugumo centrui prie Krašto apsaugos ministerijos (toliau – Centras) ir (arba) pranešimo apie nusikalstamas veikas policijai teikimas. |
NTAIIS saugos įgaliotinis, NTAIIS techninis administratorius, NTAIIS administratorius |
||
| 5.3. Viso vidinio tinklo saugumo ir pažeidžiamumų patikra ir papildomų saugumo trūkumų analizė. |
NTAIIS saugos įgaliotinis, NTAIIS techninis administratorius |
||
| 5.4. Incidento padarinių įvertinimas ir nustatytų saugumo trūkumų likvidavimo priemonių plano sudarymas. |
Valdymo grupės vadovas, NTAIIS saugos įgaliotinis |
||
| 5.5. Incidento nustatytiems saugumo trūkumams likvidavimo ar techninių ir programinių priemonių jų keliamai saugumo rizikai sumažinimo priemonių plano įgyvendinimas. |
Atkūrimo grupės vadovas, NTAIIS administratorius |
||
| 6. Darbuotojų praradimas ar nepasiekiamumas |
6.1. Darbuotojų trūkumo arba jų nepasiekimo dėl išorinių veiksnių nustatymas. |
Valdymo grupės vadovas, Atkūrimo grupės vadovas |
2–4 d. d. |
| 6.2. Papildomų darbuotojų samdymo arba išorinių paslaugų teikėjų pasitelkimo analizė. |
Valdymo grupės vadovas, Atkūrimo grupės vadovas, Finansų skyriaus vedėjas |
||
| 6.3. Papildomų darbuotojų samdymas arba išorinių paslaugų teikėjų pasitelkimas ir kitų papildomų priemonių taikymas. |
Valdymo grupės vadovas, Finansų skyriaus vedėjas |
||
| 7. Kibernetinis incidentas |
7.1. Kibernetinio incidento įvertinimas ir priskyrimas, pavojaus sustabdymo ir padarytos žalos likvidavimo priemonių sudarymas. |
|
2–4 d. d. |
| 7.1.1. Kibernetinio incidento nustatymas (gavus informaciją iš kibernetinio saugumo priemonių, NTAIIS naudotojų, NTAIIS administratorių, kibernetinius incidentus valdančių ir (ar) tiriančių institucijų, kitų juridinių asmenų ar kitų valstybių arba tarptautinių organizacijų ar institucijų, atliekančių kibernetinio saugumo užtikrinimo funkcijas). Nenustačius kibernetinio incidento požymių, ne vėliau kaip per 4 valandas kibernetinius incidentus valdančių ir (ar) tiriančių institucijų, jei jos pateikė informaciją apie galimą kibernetinį incidentą, informavimas. |
NTAIIS saugos įgaliotinis |
||
| 7.1.2. Kibernetinio incidento įvertinimas ir užregistravimas. |
NTAIIS saugos įgaliotinis |
||
| 7.1.3. Naudojantis kibernetinio saugumo informaciniu tinklu, o nesant galimybės – Centro nurodytais kontaktais, pranešimas centrui apie: • labai reikšmingą kibernetinį incidentą – nedelsiant, bet ne vėliau kaip per vieną valandą nuo jo nustatymo; • vidutinės reikšmės kibernetinį incidentą – ne vėliau kaip per 4 valandas nuo jo nustatymo; • nereikšmingą kibernetinį incidentą – periodiškai kiekvieno kalendorinio mėnesio pirmą darbo dieną teikiant apibendrintą informaciją apie kiekvienos grupės incidentų, įvykusių nuo paskutinio pranešimo teikimo dienos, skaičių. Pranešime Centrui nurodoma: • kibernetinio incidento grupė (-ės), pogrupis (-iai) ir poveikio kategorija, nustatyta pagal Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos veiklos tęstinumo valdymo plano (toliau – Planas) 3 priede pateiktus kriterijus; • trumpas kibernetinio incidento apibūdinimas; • tikslus laikas, kada kibernetinis incidentas įvyko ir buvo nustatytas; • kibernetinio incidento šalinimo tvarka (nurodant, ar tai prioritetas ar ne); • tikslus laikas, kada bus teikiama kibernetinio incidento tyrimo ataskaita. |
NTAIIS saugos įgaliotinis |
||
| 7.1.4. Informacijos apie kibernetinius saugumo incidentus, susijusius su asmens duomenų saugumo pažeidimais, ir taikytas šių saugos incidentų valdymo priemones pateikimas VDAI šios institucijos nustatyta tvarka ir sąlygomis. |
NTAIIS saugos įgaliotinis, darbuotojas, atliekantis duomenų apsaugos pareigūno funkcijas |
||
| 7.1.5. Informacijos, reikalingos kibernetiniams saugos incidentams, turintiems nusikalstamos veikos požymių, užkardyti ir tirti, pateikimas policijai. Informacija pateikiama policijos generalinio komisaro nustatyta tvarka ir sąlygomis. |
NTAIIS saugos įgaliotinis |
||
| 7.1.6. Kibernetinio incidento įrodymų surinkimas. |
NTAIIS administratorius, NTAIIS techninis administratorius |
||
|
|
7.1.7. Kibernetinio incidento tyrimas. |
NTAIIS saugos įgaliotinis |
|
|
|
7.1.8. Priemonių kibernetiniam incidentui sustabdyti ir padarytai žalai likviduoti sudarymas. |
Atkūrimo grupės vadovas |
|
|
|
7.2. Kibernetinio incidento pasekmes likviduojančių darbuotojų paskyrimas, pasekmes likviduojančių darbuotojų instruktavimas ir jų veiksmų koordinavimas, kibernetinio incidento pašalinimas. |
|
|
|
|
7.2.1. Kibernetinio incidento pasekmes likviduojančių darbuotojų paskyrimas. |
Atkūrimo grupės vadovas |
|
|
|
7.2.2. Pasekmes likviduojančių darbuotojų instruktavimas ir jų veiksmų koordinavimas. |
NTAIIS saugos įgaliotinis |
|
|
|
7.2.3. Kibernetinio incidento šalinimas. |
NTAIIS administratorius, NTAIIS techninis administratorius |
|
|
|
7.2.4. Kibernetinio incidento tyrimo ataskaitos, kurioje nurodoma: • kibernetinio incidento grupė (-ės), pogrupis (-iai) ir poveikio kategorija, nustatyta pagal Plano 3 priede pateiktus kriterijus; • ryšių ir informacinės sistemos, kurioje nustatytas kibernetinis incidentas, tipas (elektroninių ryšių tinklas, informacinė sistema, registras, pramoninių procesų valdymo sistema, tarnybinė stotis ir pan.); • kibernetinio incidento veikimo trukmė; • kibernetinio incidento šaltinis; • kibernetinio incidento požymiai; • kibernetinio incidento veikimo metodas; • galimos ir (ar) nustatytos kibernetinio incidento pasekmės; • kibernetinio incidento poveikio pasireiškimo (galimo išplitimo) mastas; • kibernetinio incidento būsena (aktyvus, pasyvus); • priemonės, kuriomis kibernetinis incidentas nustatytas; • galimos ir (ar) taikomos kibernetinio incidento valdymo priemonės; • tikslus laikas, kada bus teikiama pakartotinė kibernetinio incidento tyrimo ataskaita, jei kibernetinis incidentas nepašalintas; pateikimas. |
NAIIS saugos įgaliotinis |
|
|
|
7.2.5. Centrui naudojantis kibernetinio saugumo informaciniu tinklu, o nesant galimybės – Centro nurodytais kontaktais, kibernetinio incidento tyrimo ataskaitos apie: • didelio poveikio kibernetinių incidentų valdymo būklę pateikimas – ne vėliau kaip per 4 valandas nuo jų nustatymo ir ne rečiau kaip kas 4 valandas atnaujintą informaciją, kol kibernetinis incidentas bus suvaldytas ar pasibaigs; • vidutinio poveikio kibernetinių incidentų valdymo būklę pateikimas – ne vėliau kaip per 24 valandas nuo jų nustatymo ir ne rečiau kaip kas 24 valandas atnaujintą informaciją, kol kibernetinis incidentas bus suvaldytas ar pasibaigs. |
NTAIIS saugos įgaliotinis |
2–4 d. d. |
|
|
7.2.6. Įvertinimas, ar kibernetinį incidentą pavyks suvaldyti patiems, jei ne, – Centro pagalbos prašymas ir jo nurodymų vykdymas. |
Atkūrimo grupės vadovas |
|
|
|
7.2.7. Kibernetinio incidento sustabdymas ir pasekmių pašalinimas. |
Atkūrimo grupės vadovas |
|
|
|
7.2.8. Galutinės kibernetinio tyrimo ataskaitos parengimas (patikslinimas). |
NTAIIS saugos įgaliotinis |
|
|
|
7.2.9. Centrui naudojantis Kibernetinio saugumo informaciniu tinklu, o nesant galimybės – Centro nurodytais kontaktais, galutinės kibernetinio incidento tyrimo ataskaitos apie didelio ar vidutinio poveikio kibernetinių incidentų suvaldymą ar pasibaigimą pateikimas ne vėliau kaip per 4 valandas nuo jų suvaldymo ar pasibaigimo. |
NTAIIS saugos įgaliotinis |
|
|
|
7.2.10. Informacinės sistemos teikiamų paslaugų gavėjų informavimas, jeigu kibernetinio incidento poveikis padarė arba galėtų padaryti žalos ryšių ir informacinės sistemos teikiamų paslaugų gavėjui, ne vėliau kaip per 8 valandas nuo kibernetinio incidento suvaldymo ar pasibaigimo. |
NTAIIS saugos įgaliotinis |
|
|
|
7.2.11. Kibernetinio saugumo organizacinių ir techninių priemonių nustatymas, kad kibernetinis incidentas nepasikartotų arba jo poveikis būtų minimalus. |
Atkūrimo grupės vadovas |
|
|
|
7.2.12. Nustatytų kibernetinio saugumo organizacinių ir techninių priemonių įgyvendinimo terminų ir atsakingų asmenų numatymas. |
Valdymo grupės vadovas |
|
| * Apie kibernetinius incidentus Centras turi būti informuojamas užpildant pranešimo apie incidentą formą, esančią interneto svetainėje https://www.nksc.lt, arba išsiunčiant informaciją apie incidentą el. paštu cert@nksc.lt, arba skambinant telefonu 1843. ** Kibernetinių incidentų kategorijos nurodytos Nacionaliniame kibernetinių incidentų valdymo plane, patvirtintame Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“. |
|
||
Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos veiklos tęstinumo valdymo plano
2 priedas
(Saugos incidentų registravimo žurnalo formos pavyzdys)
NACIONALINIO TVARUMO IR ATSAKINGUMO INDEKSO INFORMACINĖS SISTEMOS SAUGOS INCIDENTŲ ŽURNALAS
Pradėta pildyti __________________ Baigta pildyti ___________________
| Eil. Nr. |
Saugos incidentas |
|||||
| Požymio kodas |
Įvykio aprašymas |
Pradžia (metai, mėnuo, diena, valanda) |
Pabaiga (metai, mėnuo, diena, valanda) |
Pašalino (vardas, pavardė) |
Nacionalinio tvarumo ir atsakingumo indekso saugos įgaliotinis (vardas, pavardė, parašas) |
|
| 1. |
|
|
|
|
|
|
| 2. |
|
|
|
|
|
|
| 3. |
|
|
|
|
|
|
| n |
|
|
|
|
|
|
Elektroninės informacijos saugos incidento požymiai:
1 – telekomunikacijų ir kitų ryšio tinklų sutrikimai; 2 – kompiuterių techninės įrangos sugadinimas ar praradimas; 3 – programinės įrangos sugadinimas ar praradimas; 4 – duomenų pakeitimas, sunaikinimas, atskleidimas, dokumentų praradimas; 5 – įsilaužimas į vidinį kompiuterių tinklą; 6 – darbuotojų praradimas ar nepasiekiamumas; 7 – kibernetinis incidentas.
Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos veiklos tęstinumo valdymo plano
3 priedas
(Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos veiklos tęstinumo valdymo plano patikrinimo ataskaitos forma)
NACIONALINIO TVARUMO IR ATSAKINGUMO INDEKSO INFORMACINĖS SISTEMOS VEIKLOS TĘSTINUMO VALDYMO PLANO PATIKRINIMO ATASKAITA
20____ m. ____________ __d. Nr.___
Vilnius
| Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos veiklos tęstinumo valdymo plano (toliau – valdymo planas) patikrinime dalyvavo šie Nacionalinio tvarumo ir atsakingumo indekso informacinės sistemos (toliau – NTAIIS) valdymo grupės nariai (nurodomas vardas, pavardė ir pareigos):
|
| 1. |
| 2. |
| .... |
|
Elektroninės informacijos saugos incidento apibūdinimas: |
|
|
|
|
| Elektroninės informacijos saugos incidento poveikis NTAIIS: |
|
|
|
|
| Saugos incidento valdymo eiga: |
||||||
|
|
||||||
|
|
||||||
|
|
||||||
| Nustatyti valdymo plano trūkumai: |
||||||
|
|
||||||
|
|
| Pasiūlymai keisti arba papildyti valdymo planą: |
|
|
|
|
|
Veiklos tęstinumo valdymo grupės vadovas |
|
|
|
|||
|
(vardas, pavardė) |
|
(parašas) |
|||
|
Veiklos atkūrimo grupės vadovas |
|
|
|
|||
|
(vardas, pavardė) |
|
(parašas) |
|||
|
NTAIIS saugos įgaliotinis
|
|
|
|
|||
|
(vardas, pavardė) |
|
(parašas) |
|||