„VALSTYBĖS SIENOS APSAUGOS TARNYBOS

PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS

VADAS

ĮSAKYMAS

DĖL VALSTYBĖS SIENOS APSAUGOS TARNYBOS PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS INFORMACINĖS SISTEMOS (VSATIS) NUOSTATŲ BEI VALSTYBĖS SIENOS APSAUGOS TARNYBOS PRIE LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTERIJOS INFORMACINĖS SISTEMOS (VSATIS) DUOMENŲ SAUGOS NUOSTATŲ

PATVIRTINIMO

6.1. patikrinti valstybės sieną kertančių asmenų, transporto priemonių duomenis, užtikrinti duomenų srautus tarp VSATIS ir Lietuvos Respublikos vidaus reikalų ministerijai priklausančiame Ieškomų asmenų, neatpažintų lavonų ir nežinomų bejėgių asmenų žinybiniame registre (IAŽR), Lietuvos Respublikos kelių transporto priemonių registre (KTPR), Lietuvos antrosios kartos Šengeno informacinės sistemos (N.SIS II), Lietuvos nacionalinės vizų informacinės sistemos (N.VIS), Užsieniečių registro (UR);

6.2. patikrinti valstybės sieną kertančių asmenų, jų kelionės dokumentų, transporto priemonių duomenis, užtikrinti duomenų srautus tarp VSATIS ir Policijos departamento prie Lietuvos Respublikos vidaus reikalų ministerijos valdomų Prevencinio poveikio priemonių taikymo registro (PPPTR), Ieškomų ir rastų numeruotų bei individualius požymius turinčių daiktų ir dokumentų registro (INDR), Ieškomų transporto priemonių registro (ITPR) bei tarp VSATIS ir Interpolo generalinio sekretoriato pavogtų ir pamestų kelionės dokumentų (angl. SLTD) duomenų bazės;

6.3. nustatytą terminą kaupti duomenis apie asmenis ir transporto priemones, kertančius (-ias) valstybės sieną.

7.1. patikrinti Europos Sąjungos valstybių narių ir kitų valstybių piliečių elektroninių kelionės dokumentų autentiškumą Viešųjų raktų kataloguose (angl. Public Key Directory – PKD) (patikrinant, ar jie tikrai išrašyti įgaliotos institucijos ir ar nebuvo pakeisti duomenys dokumento luste);

7.2. sulyginti Lietuvos (ir kitų Europos Sąjungos šalių, kai diplomatiniais kanalais bus gauti reikalingi sertifikatai) piliečio pirštų atspaudus su pirštų atspaudais, esančiais elektroniniame kelionės dokumente, ir taip įsitikinti, kokia keliaujančio asmens tapatybė;

7.3. automatizuotai apskaičiuoti trečiųjų šalių (ne Europos Sąjungos) asmenų buvimo Europos Sąjungoje laiką ir nustatyti pažeidimus dėl asmenų buvimo Europos Sąjungoje (Atvykimo–išvykimo sistema (AIS), angl. Entry/Exit System (EES)).

8.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR);

8.2. 2016 m. kovo 9 d. Europos Parlamento ir Tarybos reglamentu (ES) Nr. 2016/399 dėl taisyklių, reglamentuojančių asmenų judėjimą per sienas, Sąjungos kodekso (Šengeno sienų kodeksas);

8.3. 2017 m. lapkričio 30 d. Europos Parlamento ir Tarybos reglamentu (ES) 2017/2225, kuriuo iš dalies keičiamos Reglamento (ES) 2016/399 nuostatos, susijusios su atvykimo ir išvykimo sistemos naudojimu;

8.4. 2017 m. lapkričio 30 d. Europos Parlamento ir Tarybos reglamentu (ES) 2017/2226, kuriuo sukuriama atvykimo ir išvykimo sistema (AIS), kurioje registruojami trečiųjų šalių piliečių, kertančių valstybių narių išorės sienas, atvykimo ir išvykimo bei atsisakymo leisti jiems atvykti duomenys, nustatomos prieigos prie AIS teisėsaugos tikslais sąlygos ir iš dalies keičiama Konvencija dėl Šengeno susitarimo įgyvendinimo ir reglamentai (EB) Nr. 767/2008 ir (ES) Nr. 1077/2011;

8.5. Europos Bendrijų Komisijos rekomendacijomis 2006/XI/06, nustatančiomis bendrą praktinį sienos apsaugos pareigūnų vadovą (Šengeno vadovą) valstybių narių kompetentingoms institucijoms naudoti vykdant asmenų kontrolę prie sienų;

8.6. Lietuvos Respublikos valstybės sienos ir jos apsaugos įstatymu;

8.7. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

8.8. Lietuvos Respublikos kibernetinio saugumo įstatymu;

8.9. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

8.10. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinimo“;

8.11. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas);

8.12. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

8.13. Lietuvos Respublikos vidaus reikalų ministro 2017 m. gruodžio 22 d. įsakymu Nr. 1V-883 „Dėl Kai kurių Lietuvos Respublikos vidaus reikalų ministerijos valdomų registrų ir valstybės informacinių sistemų duomenų saugos nuostatų patvirtinimo“.

10.1. VSATIS valdytoja ir asmens duomenų valdytoja;

10.2. VSATIS tvarkytojai ir asmens duomenų tvarkytojai;

10.3. VSATIS duomenų teikėjai.

11.1. koordinuoja ir kontroliuoja VSATIS tvarkytojų veiklą tvarkant VSATIS;

11.2. rengia ir tvirtina teisės aktus, reglamentuojančius VSATIS tvarkymą ir duomenų saugą;

11.3. įstatymų nustatyta tvarka teikia suinteresuotoms institucijoms informaciją apie VSATIS veiklą;

11.4. priima sprendimus dėl VSATIS techninių ir programinių priemonių įsigijimo, diegimo ir tobulinimo;

11.5. tvarko VSATIS duomenis ir asmens duomenis, atsako už šių saugą;

11.6. reikalauja iš VSATIS duomenų teikėjų, kad jų pateikti duomenys būtų teisingi ir pateikti laiku;

11.7. rengia ir įgyvendina techninių ir programinių priemonių kūrimo ir plėtros planus, investicinius projektus;

11.8. numato ir įgyvendina priemones, mažinančias duomenų atskleidimo ir praradimo riziką ir užtikrinančias prarastų duomenų atkūrimą, duomenų apsaugą nuo klastojimo;

11.9. skiria VSATIS duomenų teikėjui terminą trūkumams pašalinti, jeigu nustato, kad pateikti duomenys yra netikslūs ar neatitinka teisės aktuose nustatytų reikalavimų;

11.10. užtikrina, kad duomenys ir asmens duomenys būtų teisingi, tikslūs, išsamūs ir nuolat atnaujinti, o neteisingi, netikslūs, neišsamūs duomenys ir asmens duomenys būtų nedelsiant ištaisyti, atnaujinti arba papildyti;

11.11. kaip VSATIS asmens duomenų tvarkytoja, pagal kompetenciją atlieka BDAR nustatytas asmens duomenų tvarkytojų prievoles;

11.12. sudaro VSATIS duomenų teikimo sutartis su VSATIS duomenų gavėjais ir sutarčių nustatyta tvarka teikia VSATIS duomenis VSATIS duomenų gavėjams;

11.13. atlieka kitas VSATIS nuostatuose ir kituose teisės aktuose nustatytas funkcijas.

12.1. suteikia VSATIS tarnybinių stočių, VSATIS sąsajų su kitais registrais ir valstybės informacinėmis sistemomis, duomenų kaupyklų ir Vidaus reikalų telekomunikacinio tinklo (toliau –VRTT) išteklius ir vykdo jų techninę priežiūrą;

12.2. pagal kompetenciją užtikrina VSATIS tvarkomų ir VRTT perduodamų duomenų saugą, sąveiką su VSATIS nuostatų 13.1–13.2 papunkčiuose nurodytais susijusiais registrais ir valstybės informacinėmis sistemomis, įskaitant registrus ir informacines sistemas, tvarkomas ES valstybėse narėse ir (arba) Europos ekonominės erdvės valstybėse, ir gaunamų duomenų atnaujinimą;

12.3. teikia VSATIS valdytojai pasiūlymus dėl VSATIS veiklos tobulinimo;

12.4. suderinęs su VSAT, gali sudaryti VSATIS duomenų teikimo sutartis su VSATIS duomenų gavėjais;

12.5. kaip VSATIS asmens duomenų tvarkytojas, pagal kompetenciją atlieka BDAR nustatytas asmens duomenų tvarkytojo prievoles.

13.1. Lietuvos Respublikos vidaus reikalų ministerija (Ieškomų asmenų, neatpažintų lavonų ir nežinomų bejėgių asmenų žinybinis registras (IAŽR)), Lietuvos Respublikos kelių transporto priemonių registras (KTPR), Lietuvos antrosios kartos Šengeno informacinė sistema (N.SIS II), Lietuvos nacionalinė vizų informacinė sistema (N.VIS), Užsieniečių registras (UR));

13.2. Lietuvos Respublikos teisingumo ministerija (Lietuvos Respublikos gyventojų registras);

13.3. Policijos departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos (Prevencinio poveikio priemonių taikymo registras (PPPTR), Ieškomų ir rastų numeruotų bei individualius požymius turinčių daiktų ir dokumentų registras (INDR), Ieškomų transporto priemonių registras (ITPR));

13.4. Lietuvos kriminalinės policijos biuro Tarptautinių ryšių valdybos Europolo ir Interpolo nacionalinis skyrius (Interpolo generalinio sekretoriato Pavogtų ir pamestų kelionės dokumentų (angl. SLTD) duomenų bazė);

13.5. VSAT (Atvykimo ir išvykimo sistema (AIS)).

15.1. tikrinamų asmenų ir transporto priemonių duomenys:

15.2. asmenų ir transporto priemonių, kuriems reikia atlikti papildomą tikrinimą, duomenys:

15.3. asmenų, vykstančių į darbą, mokymo įstaigą ir grįžtančių iš jų, kurie į pasienio kontrolės punktus, esančius prie automobilių kelių, įleidžiami ir tikrinami be eilės, sąrašo duomenys:

15.4. asmenų, turinčių teisę būti valstybės sienos apsaugos zonoje, pasienio juostoje, pasienio vandenyse, kurių vandenimis arba krantais eina išorės siena sąrašo duomenys:

16.1. Ieškomų asmenų, neatpažintų lavonų ir nežinomų bejėgių asmenų žinybinis registras (IAŽR) perduoda VSATIS šiuos su ieškomais asmenimis susijusius duomenis:

16.2. Lietuvos Respublikos kelių transporto priemonių registras (KTPR) perduoda VSATIS šiuos transporto priemonių identifikacinius duomenis:

16.3. Lietuvos antrosios kartos Šengeno informacinė sistema (N.SIS II) perduoda VSATIS šiuos su ieškomais asmenimis ir transporto priemonėmis susijusius duomenis:

16.4. Lietuvos nacionalinė vizų informacinė sistema (N.VIS) perduoda VSATIS šiuos su asmenims išduotomis vizomis susijusius duomenis:

16.5. Užsieniečių registras (UR) perduoda VSATIS šiuos su užsieniečiais susijusius duomenis:

16.6. Lietuvos Respublikos gyventojų registras perduoda VSATIS asmens duomenų sutikrinimui šiuos duomenis:

16.7. Prevencinio poveikio priemonių taikymo registras (PPPTR) perduoda VSATIS šiuos su prevencinėmis poveikio priemonėmis, kurios yra taikomos asmenims, susijusius duomenis:

16.8. Ieškomų ir rastų numeruotų bei individualius požymius turinčių daiktų ir dokumentų registras (INDR) perduoda VSATIS šiuos su dokumentų galiojimu susijusius duomenis:

16.9. Ieškomų transporto priemonių registras (ITPR) VSATIS perduoda šiuos su ieškomomis transporto priemonėmis susijusius duomenis:

17.1. Pavogtų ir pamestų kelionės dokumentų (angl. SLTD) duomenų bazės perduoda VSATIS šiuos su pavogtais ir pamestais kelionės dokumentais susijusius duomenis:

17.2. Atvykimo ir išvykimo sistema (AIS) perdavinės VSATIS asmens bylos duomenis ir atvykimo/išvykimo įrašus, kai viršijama maksimali leidžiama buvimo trukmė Europos Sąjungoje.

18.1. patikrinimų posistemė, kurią sudaro:

18.2. Administravimo posistemė, kurią sudaro:

18.3. Viešojo rakto infrastruktūros posistemė, kurią sudaro:

26.1. asmens duomenų naudojimo tikslas, kurį turi nurodyti VSATIS duomenų gavėjas, kuris bus nurodytas sutartyje;

26.2. asmens duomenų teikimo ir gavimo teisinis pagrindas, kurį VSATIS duomenų gavėjas turi nurodyti prašyme;

26.3. sąlygos, reglamentuojančios duomenų teikimo ir gavimo tvarką iš VSATIS;

26.4. teikiamų asmens duomenų apimtis, nurodoma sutarties priede.

27.1. VSATIS duomenų gavėjas įsipareigoja neatskleisti ir nesuteikti jokių galimybių trečiosioms šalims bet kokia forma susipažinti su gaunamais duomenimis, jei kitaip nenustato Lietuvos Respublikos įstatymai;

27.2. VSATIS duomenų gavėjas atsako už gautų duomenų konfidencialumą ir apsaugą nuo duomenų gavimo momento. Tuo atveju, jei užfiksuojama ar pagrįstai įtariama grėsmė teikiamų duomenų konfidencialumui ir jei gavėjas nepakankamai užtikrina pateiktų duomenų saugą, VSATIS duomenų teikėjas turi teisę sustabdyti duomenų teikimą ir apie tai privalo nedelsdamas raštu informuoti VSATIS duomenų gavėją;

27.3. VSATIS duomenų gavėjas įsipareigoja užtikrinti pagal VSATIS duomenų teikimo sutartį gautų duomenų apsaugą savo lėšomis ir priemonėmis;

27.4. VSATIS duomenų gavėjas įsipareigoja užtikrinti, kad jo darbuotojai, atliekantys funkcijas, susijusias su duomenų ir asmens duomenų tvarkymu, būtų pasirašytinai įpareigoti saugoti informaciją, susijusią su duomenimis, gautais pagal duomenų teikimo sutartį;

27.5. nei viena šalis neturi teisės perduoti teisių ir pareigų pagal VSATIS duomenų teikimo sutartį vykdyti trečiosioms šalims.

31.1. tik gavus duomenų subjekto sutikimą;

31.2. siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus;

31.3. siekiant apsaugoti kito fizinio ar juridinio asmens teises;

31.4. dėl svarbaus valstybės narės viešojo intereso priežasčių.

2.1. VSATIS naudotojai – valstybės įstaigos (VSATIS tvarkytojo ar VSATIS duomenų gavėjo) valstybės tarnautojai arba darbuotojai, dirbantys pagal darbo sutartį, teisės aktų nustatyta tvarka turintys teisę tvarkyti arba gauti VSATIS duomenis pareigybės aprašyme nustatytoms tiesioginėms funkcijoms vykdyti;

2.2. kitos Duomenų saugos nuostatuose vartojamos sąvokos atitinka sąvokas, apibrėžtas 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1), Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas), Techniniuose valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų patvirtinimo“ (toliau – Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimai), ir kituose teisės aktuose bei Lietuvos „Informacijos technologija. Saugumo metodai“ grupės standartuose.

4.1. organizacinių, techninių, programinių, teisinių ir kitų priemonių, skirtų VSATIS elektroninės informacijos saugai užtikrinti, įgyvendinimas ir šių priemonių įgyvendinimo kontrolė;

4.2. VSATIS duomenų konfidencialumo, vientisumo ir prieinamumo užtikrinimas;

4.3. VSATIS perduodamų duomenų kontrolė;

4.4. VSATIS veiklos tęstinumo užtikrinimas.

6.1. atsako už VSATIS duomenų tvarkymo bei duomenų teikimo duomenų gavėjams teisėtumą;

6.2. tvirtina teisės aktus, reglamentuojančius VSATIS saugą;

6.3. priima sprendimą dėl VSATIS informacinių technologijų atitikties saugos reikalavimams atlikimo vertinimo;

6.4. atlieka kitas Duomenų saugos nuostatuose ir kituose teisės aktuose, reglamentuojančiuose elektroninės informacijos saugą, nustatytas funkcijas.

7.1. VSAT, kurios kaip VSATIS tvarkytojo funkcijos:

7.2. Informatikos ir ryšių departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos (IRD) (Vilnius, Šventaragio g. 2), kurio kaip VSATIS tvarkytojo funkcijos:

8.1. užtikrina VSATIS valdytojo priimtų teisės aktų ir rekomendacijų VSATIS saugai užtikrinti tinkamą įgyvendinimą;

8.2. vykdo savo infrastruktūroje VSATIS saugos priežiūros darbų atlikimą;

8.3. įsipareigoja neatskleisti ir nesuteikti jokių galimybių trečiosioms šalims bet kokia forma susipažinti su gaunamais duomenimis, jei kitaip nenustato Lietuvos Respublikos įstatymai;

8.4. įsipareigoja užtikrinti, kad jų darbuotojai, atliekantys funkcijas, susijusias su duomenų tvarkymu, būtų pasirašytinai įpareigoti saugoti informaciją taip, kaip reikalauja Duomenų saugos nuostatai;

8.5. įsipareigoja užtikrinti, kad darbuotojų, dirbančių su VSATIS, kompiuterinėse darbo vietose nebus viešojo interneto prieigos.

9.1. rengia VSATIS kūrimo ir plėtros planus;

9.2. tiesiogiai prižiūri, kaip kuriama ar tvarkoma VSATIS posistemiuose diegiama programinė įranga;

9.3. kontroliuoja lėšų, skirtų VSATIS, panaudojimą;

9.4. atsako už VSATIS duomenų tvarkymo, teikimo ir (arba) gavimo teisėtumą ir saugą.

10.1. koordinuoja elektroninės informacijos saugos incidentų, įvykusių VSATIS, tyrimą;

10.2. kasmet organizuoja VSATIS rizikos vertinimą;

10.3. teikia VSATIS valdytojui siūlymus dėl:

10.4. teikia VSATIS administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su VSATIS sauga;

10.5. atlieka kitas Duomenų saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas, susijusias su VSATIS sauga.

11.1. suteikia VSATIS naudotojams prieigos teises prie VSATIS duomenų;

11.2. rengia ir tikrina VSATIS sudarančių komponenčių sąranką;

11.3. informuoja VSATIS saugos įgaliotinį apie VSATIS saugos politikos pažeidimus arba netinkamai veikiančias VSATIS saugos užtikrinimo priemones, teikia siūlymus VSATIS saugos įgaliotiniui dėl VSATIS saugos priemonių;

11.4. atlieka Duomenų saugos nuostatuose ir kituose teisės aktuose nustatytas funkcijas, susijusias su VSATIS sauga.

13.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1) (toliau – BDAR);

13.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu;

13.3. Lietuvos Respublikos kibernetinio saugumo įstatymu;

13.4. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

13.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu;

13.6. Techniniais valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimais;

13.7. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“.

13.8. VSATIS nuostatais;

13.9. Lietuvos standartais LST EN ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir LST EN ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, kitais Lietuvos ir tarptautiniais „Informacijos technologijos. Saugumo metodai“ grupės standartais, reglamentuojančiais saugų duomenų tvarkymą;

13.10. kitais teisės aktais, reglamentuojančiais VSATIS duomenų tvarkymo teisėtumą ir VSATIS duomenų saugos valdymą.

17.1. VSATIS sudarančių išteklių inventorizacija;

17.2. rizikos veiksnių įtakos VSATIS veiklai vertinimas;

17.3. liekamosios rizikos vertinimas.

20.1. subjektyvūs netyčiniai (VSATIS atliekamo duomenų tvarkymo klaidos ir apsirikimai, duomenų ištrynimas, klaidingas duomenų teikimas duomenų gavėjams, fiziniai informacijos technologijų sutrikimai, duomenų perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);

20.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis VSATIS duomenims gauti, duomenų pakeitimas ar sunaikinimas VSATIS duomenų bazėje, informacinių technologijų duomenų perdavimo tinklais sutrikdymai, saugumo pažeidimai, vagystės ir kita);

20.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

23.1. liekamosios rizikos sumažinimas iki priimtino (kontroliuojamo) lygio;

23.2. informacijos saugos priemonės diegimo kainos adekvatumas perduodamos ir gaunamos informacijos vertei;

23.3. esant galimybei, įdiegiamos prevencinės, detekcinės ir korekcinės informacijos saugos priemonės.

24.1. įvertinama Duomenų saugos nuostatų ir saugos politiką įgyvendinančių dokumentų atitiktis realiai VSATIS saugos situacijai;

24.2. inventorizuojama VSATIS techninė ir programinė įranga;

24.3. tikrinama ne mažiau kaip 10 procentų VSATIS naudotojų kompiuterizuotų darbo vietų ir VSATIS tarnybinėse stotyse įdiegtos programos bei jų sąrankos (konfigūracija);

24.4. patikrinama VSATIS naudotojams suteiktų teisių naudotis VSATIS atitiktis atliekamoms funkcijoms, prireikus VSATIS naudotojų teisės padidinamos ar apribojamos;

24.5. įvertinamas pasiruošimas atkurti VSATIS veiklą VSATIS elektroninės informacijos saugos incidento atveju.

28.1. VSATIS tarnybinėse stotyse turi būti naudojamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą (virusų, šnipinėjimo programinę įrangą ir kt.), kurios turi būti reguliariai atnaujinamos automatiniu būdu ne rečiau kaip kartą per 24 valandas;

28.2. VSATIS kompiuterizuotose darbo vietose turi būti naudojamos centralizuotai valdomos kenksmingos programinės įrangos aptikimo priemonės, nuolat ieškančios ir blokuojančios kenksmingą programinę įrangą (virusų, šnipinėjimo programinę įrangą ir kt.), kurios turi būti reguliariai atnaujinamos automatiniu būdu ne rečiau kaip kartą per 48 valandas;

28.3. VSATIS programinės įrangos konfigūravimas turi būti apsaugotas slaptažodžiu.

29.1. darbui su VSATIS turi būti naudojama tik legali programinė įranga, įtraukta į programinės įrangos sąrašą, suderintą su VSATIS valdytoju arba VSATIS valdytojo įgaliotu VSATIS tvarkytoju. Programinės įrangos sąrašą turi parengti ir ne rečiau kaip kartą per metus peržiūrėti bei prireikus atnaujinti VSATIS saugos įgaliotinis;

29.2. VSATIS tarnybinėse stotyse neturi veikti programinė įranga, nesusijusi su VSATIS duomenų tvarkymu, VSATIS naudotojų ir pačios įrangos administravimu;

29.3. VSATIS programinė įranga atnaujinama laikantis gamintojo reikalavimų;

29.4. VSATIS programinės įrangos diegimą, konfigūravimą ir šalinimą atlieka VSATIS administratorius;

29.5. VSATIS naudotojų kompiuterizuotose darbo vietose turi būti įdiegtos priemonės, leidžiančios riboti išorinių duomenų laikmenų (USB, CD/DVD ir kt.) naudojimą;

29.6. VSATIS programinis kodas privalo būti apsaugotas nuo atskleidimo neturintiems teisės su juo susipažinti asmenims.

30.1. VSATIS naudojamas Vidaus reikalų telekomunikacinis tinklas (toliau – VRTT), už kurio administravimą ir priežiūrą atsako šio tinklo pagrindinis tvarkytojas – IRD, turi būti atskirtas nuo kitų tinklų tinklo užkarda;

30.2. VSAT gali diegti tik IRD nustatytus techninius reikalavimus atitinkančius vietinius belaidžius tinklus ir tik gavę raštišką IRD leidimą, taip pat VSAT, kaip tvarkytoja, diegdama kitą vietinių tinklų įrangą, jei šios įrangos diegimas gali daryti įtaką VRTT veikimui, dėl tokios įrangos diegimo raštu derina su IRD;

30.3. visos per VRTT prie VSATIS besijungiančios kompiuterizuotos darbo vietos turi atitikti VSATIS valdytojo nustatytas detalesnes taisykles, pagal VSATIS naudotojų valdymo grupes;

30.4. turi būti įdiegta atkirtimo nuo paslaugos (angl. DOS) ir dedikuoto atkirtimo nuo paslaugos (angl. DDOS) atakų prevencijai skirta įranga ir įsilaužimų aptikimo bei prevencijos įranga.

31.1. VSATIS naudotojų, jų vykdytų užklausų ir peržiūrėtų užklausų rezultatų duomenys tvarkomi Vidaus reikalų informacinės sistemos centrinio duomenų banko naudotojų administravimo posistemėje Lietuvos Respublikos vidaus reikalų ministro 2005 m. kovo 9 d. įsakymo Nr. 1V-68 „Dėl Vidaus reikalų informacinės sistemos centrinio duomenų banko duomenų peržiūros taisyklių patvirtinimo“ nustatyta tvarka;

31.2. prieiga prie VSATIS suteikiama tik VSATIS tvarkytojams ir VSATIS duomenų gavėjams pagal duomenų teikimo sutartyse nustatytas specifikacijas ir sąlygas;

31.3. prieiga prie VSATIS suteikiama įgyvendinus VSATIS naudotojų autentifikavimo priemones;

31.4. duomenys iš VSATIS perduodami realiu laiku („On-line“ režimu);

31.5. saugus duomenų srautas tarp VSATIS ir VSATIS tvarkytojų bei VSATIS duomenų gavėjų užtikrinamas naudojantis VRTT.

34.1. techninis nuotolinio prisijungimo sprendimas turi užtikrinti ne žemesnį nei vidiniam prisijungimui naudojamą saugumo lygį, t. y. turi būti naudojamos Duomenų saugos nuostatuose nurodytos priemonės ir elektroninės informacijos šifravimas naudojantis virtualiu privačiu tinklu (angl. Virtual private network – VPN);

34.2. prie VSATIS jungiamasi nuotoliniu būdu naudojant interneto naršyklę (https protokolą).