PATVIRTINTA

Lietuvos Respublikos

ekonomikos ir inovacijų ministro

2023 m. liepos 19 d. įsakymu Nr. 4-418

valstybės informaciniŲ ištekliŲ svarbos

vertinimo METODIKA

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Valstybės informacinių išteklių svarbos vertinimo metodika (toliau – Metodika) nustato valstybės informacinius išteklius (toliau – VII) sudarančių duomenų ir valstybės registrų (kadastrų), žinybinių registrų, valstybės ir kitų informacinių sistemų (toliau kartu – informacinės sistemos), kuriuose jie yra tvarkomi, priskyrimo vienai iš Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme nurodytų VII rūšių reikalavimus, vertinamų VII poveikio sričių pogrupius ir VII svarbos vertinimo eigą.

2. Metodikos nuostatos netaikomos įslaptintos informacijos tvarkymui ir VII, kurie tvarkomi Valstybės informacinių išteklių valdymo įstatymo 1 straipsnio 8 dalyje įvardytais tikslais.

3. Metodikoje vartojamos sąvokos apibrėžtos 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas), Lietuvos Respublikos kibernetinio saugumo įstatyme, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“.

II SKYRIUS

Vertinamų valstybės informaciniŲ ištekliŲ poveikio sričių POGRUPIAI

4. VII sudarančių duomenų svarba įvertinama pagal tai, kokių padarinių valstybei, jos institucijoms ir (ar) gyventojams gali sukelti šių duomenų konfidencialumo, vientisumo ir (arba) prieinamumo (toliau kartu – KVP) pažeidimas šiuose VII poveikio sričių, nustatytų Lietuvos Respublikos Vyriausybės tvirtinamame valstybės informacinių išteklių svarbos vertinimo tvarkos apraše, pogrupiuose:

4.1. gynyba, nacionalinis saugumas ir žvalgyba:

4.1.1. poveikis politiniam stabilumui, valstybės suverenitetui, teritorijos vientisumui ir konstitucinei santvarkai;

4.1.2. poveikis karinėms ir gynybos operacijoms;

4.1.3. poveikis žvalgybos ir kontržvalgybos veiklai;

4.2. tarptautiniai santykiai ir tarptautinė prekyba:

4.2.1. poveikis tarptautiniams santykiams ir Lietuvos Respublikos diplomatinių atstovybių ir konsulinių įstaigų užsienyje veiklai;

4.2.2. poveikis tarptautinės prekybos susitarimams;

4.3. viešasis saugumas ir teisėsauga:

4.3.1. poveikis viešajam saugumui;

4.3.2. poveikis teismų procesams;

4.3.3. poveikis skubiosios pagalbos tarnybų (greitoji pagalba, policija, priešgaisrinė apsauga, aplinkosauga) veiklai;

4.3.4. poveikis fizinių asmenų sveikatai;

4.3.5. poveikis žmogaus teisėms ir laisvėms;

4.3.6. poveikis fizinių asmenų tapatybei (ir el. erdvėje);

4.3.7. poveikis fizinių asmenų reputacijai;

4.4. prekyba, ekonomika ir viešieji finansai:

4.4.1. poveikis viešiesiems finansams;

4.4.2. poveikis prekybai ir komercinei veiklai;

4.4.3. poveikis fizinių asmenų finansams ir turtui;

4.5. viešosios ir administracinės paslaugos:

4.5.1. poveikis viešosios ir administracinės paslaugos teikimui;

4.5.2. poveikis asmens sveikatos priežiūros ir visuomenės sveikatos priežiūros paslaugoms.

5. VII sudarančių duomenų KVP pažeidimo poveikio lygiai Metodikos 4 punkte nurodytoms VII poveikio sritims yra keturi: nuo žemiausio – 4 iki ypač aukšto – 1. Galimi VII sudarančių duomenų KVP pažeidimo poveikio lygiai kiekvienam Metodikos 4 punkte nurodytų VII poveikio sričių pogrupiui nuodugniai aprašyti Metodikos 1 priede.

III SKYRIUS

valstybės informaciniŲ ištekliŲ svarbos vertinimo eiga

6. VII svarbos vertinimo eigos žingsniai, aprašyti Metodikos 8.1–8.5 papunkčiuose, atliekami užpildant Metodikos 2 priede pateiktą VII sudarančių duomenų ir informacinės sistemos, kurioje šie duomenys tvarkomi, svarbos vertinimo ir priskyrimo atitinkamai VII rūšiai formą (toliau kartu – Forma). Formos šablonas skelbiamas Lietuvos Respublikos ekonomikos ir inovacijų ministerijos tinklalapyje.

7. Atliekant VII svarbos vertinimo eigos etapą, aprašytą Metodikos 8.6 papunktyje, užpildoma Metodikos 3 priede pateikta VII svarbos vertinimo rezultatų pagrindimo forma.

8. VII svarbos vertinimas atliekamas tokia eiga:

8.1. Analizuojami informacinės sistemos, kurioje tvarkomi VII sudarantys duomenys, nuostatai (ar nuostatų projektas, jeigu VII svarbos vertinimas atliekamas informacinės sistemos steigimo stadijoje), tvarkos aprašai, techninis aprašymas (specifikacija) ir (ar) duomenų teikimo sutartys ir sudaromas VII duomenų ar jų grupių sąrašas.

8.2. Vadovaujantis šios Metodikos 1 priede pateikta VII poveikio sričių, jų pogrupių ir VII sudarančių duomenų KVP pažeidimo poveikio lygių lentele, nustatoma, kokio lygio poveikį gali turėti kiekvienos VII duomenų ar jų grupės KVP pažeidimas lentelėje įvardytose poveikio srityse pagal šių poveikio sričių pogrupius:

8.2.1. Poveikio lygis vertinamas skalėje nuo 1 (ypač aukštas) iki 4 (žemas). Jeigu VII sudarančių duomenų ar jų grupės KVP pažeidimas neturi poveikio, prie atitinkamos poveikio srities ir jos pogrupių Formoje įrašomas 0.

8.2.2. Vertinant kiekvienos VII duomenų grupės KVP pažeidimo poveikio lygį, būtina atsižvelgti į duomenų teikimo, gavimo ir (ar) mainų sąsajas, dėl kurių ši duomenų grupė turi poveikį vienai ar kelioms poveikio sritimis bei jos (-ų) pogrupiams, ir poveikio lygį įvertinti pagal padarinius, kurie gali būti patiriami arba sukeliami dėl sąveikos per tą integracinę sąsają, kuri yra potencialiai pažeidžiamiausia KVP atžvilgiu.

8.2.3. Nustatomas bendras maksimalus kiekvienos VII duomenų grupės KVP pažeidimo poveikio lygis poveikio sričiai – jam atitinkamai priskiriamos maksimalios KVP pažeidimo poveikio lygio reikšmės, kurios nustatytos poveikio sričiai priskirtuose pogrupiuose.

8.2.4. Vertinimo metu turi būti vadovaujamasi faktine informacija apie konkrečios VII duomenų ar jų grupės KVP pažeidimo poveikio atitinkamos poveikio srities pogrupiui lygį, kuria disponuoja VII vertinimą atliekanti institucija ir (ar) VII, su kuriais vertinami VII yra susiję per duomenų teikimo, gavimo ir (ar) mainų integracines sąsajas, valdytojai.

8.3. Nustatomas maksimalus kiekvienos VII duomenų ar jų grupės KVP pažeidimo poveikio lygis – jam atitinkamai priskiriamos maksimalios KVP pažeidimo poveikio lygių reikšmės iš nustatytų bendrų poveikio sričiai reikšmių.

8.4. Nustatomas maksimalus VII sudarančių duomenų grupių KVP pažeidimo poveikio informacinei sistemai, kurioje jie tvarkomi, lygis – jam atitinkamai priskiriamos maksimalios pagal visus VII duomenis ar jų grupes nustatytos KVP pažeidimo poveikio lygio reikšmės.

8.5. VII sudarantys duomenys ir informacinė sistema, kurioje jie tvarkomi, priskiriami vienai iš Valstybės informacinių išteklių valdymo įstatyme nurodytų VII rūšių:

8.5.1. Jeigu nustatytas maksimalus galimas VII duomenų ar jų grupių KVP pažeidimo poveikio informacinei sistemai, kurioje jie tvarkomi, lygis yra 1 (ypač aukštas), tuomet VII sudarantys duomenys ir informacinė sistema, kurioje jie tvarkomi, priskiriami ypatingos svarbos VII rūšiai.

8.5.2. Jeigu nustatytas maksimalus galimas VII duomenų ar jų grupių KVP pažeidimo poveikio informacinei sistemai, kurioje jie tvarkomi, lygis yra 2 (aukštas), tuomet VII sudarantys duomenys ir informacinė sistema, kurioje jie tvarkomi, priskiriami svarbių VII rūšiai.

8.5.3. Jeigu nustatytas maksimalus galimas VII duomenų ar jų grupių KVP pažeidimo poveikio informacinei sistemai, kurioje jie tvarkomi, lygis yra 3 (vidutinis), tuomet VII sudarantys duomenys ir informacinė sistema, kurioje jie tvarkomi, priskiriami vidutinės svarbos VII rūšiai.

8.5.4. Jeigu nustatytas maksimalus galimas VII duomenų ar jų grupių KVP pažeidimo poveikio informacinei sistemai, kurioje jie tvarkomi, lygis yra 4 (žemas), tuomet VII sudarantys duomenys ir informacinė sistema, kurioje jie tvarkomi, priskiriami mažos svarbos VII rūšiai.

8.6. Pagrindžiant VII svarbos vertinimo rezultatus, pateikiama informacija, kuria vadovaujantis buvo atliktas VII sudarančių duomenų ar jų grupių svarbos vertinimas ir šie duomenys ar jų grupės atitinkamai priskirti VII rūšiai. VII svarbos vertinimo rezultatai gali būti pagrindžiami tokio pobūdžio informacija:

8.6.1. VII poveikio sritis reglamentuojančiais teisės aktais;

8.6.2. informacinės sistemos, kurioje tvarkomi VII sudarantys duomenys, nuostatais, saugos dokumentais bei techniniu aprašymu (specifikacija) ir (ar) kitais VII valdymą ir tvarkymą nustatančiais bei techninio pobūdžio dokumentais;

8.6.3. turimais duomenimis apie informacinės sistemos, kurioje tvarkomi VII sudarantys duomenys, funkcionavimą (pavyzdžiui, vartotojų skaičių, kreipinių skaičių per tam tikrą periodą, registruojamų incidentų skaičių, istorinius duomenis apie įvykusių incidentų sukeltus padarinius ir pan.);

8.6.4. Registrų ir informacinių sistemų registro ir VII sąsajų žemėlapio duomenimis apie sukurtas sąsajas tarp informacinių sistemų;

8.6.5. kita oficialiai patvirtinta informacija (pavyzdžiui, įvairių atliktų tyrimų rezultatais, mokslinėmis publikacijomis, atvirais duomenimis, statistine informacija ir pan.).

IV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

9. VII svarbos vertinimo rezultatai ir užpildytos Metodikos 2 ir 3 prieduose esančios formos turi būti suderintos su VII steigiančios ar valdančios institucijos vadovu ar jo įgaliotu asmeniu ir Ekonomikos ir inovacijų ministerija. Derinimas atliekamas vadovaujantis Vyriausybės tvirtinamu VII svarbos vertinimo tvarkos aprašu.

10. Metodika peržiūrima ir atnaujinama ne rečiau kaip kartą per penkerius metus.

________________