„3. S k i r i u Vartotojų teisių informacinės sistemos duomenų valdymo įgaliotiniu Vidaus administravimo skyriaus patarėją Kastytį Konstantiną Kozlovą“.

„3¹. S k i r i u Vartotojų teisių informacinės sistemos administratoriumi Vidaus administravimo skyriaus vyriausiąjį specialistą Arvydą Balčių“.

5.1. VTIS duomenų konfidencialumo užtikrinimas;

5.2. VTIS reikalaujamo prieinamumo užtikrinimas;

5.3. Prieigos prie VTIS kontrolė;

5.4. VTIS naudotojų ir VTIS administratoriaus saugos mokymai.

6.1. VTIS valdytojai ir tvarkytojai – Tarnybai, Vilniaus g. 25, LT-01402 Vilnius. VTIS tvarkytojai – valstybės įmonei Registrų centrui, Vinco Kudirkos g. 18-3, LT-03150 Vilnius;

6.2. VTIS naudotojams;

6.3. VTIS administratoriui;

6.4. VTIS saugos įgaliotiniui.

7.1. Rengia ir priima teisės aktus, užtikrinančius VTIS duomenų tvarkymo teisėtumą ir VTIS duomenų saugą, atlieka jų nuostatų laikymosi priežiūrą;

7.2. Analizuoja gaunamus pasiūlymus dėl VTIS duomenų saugos, juos apibendrina ir priima sprendimus dėl VTIS tobulinimo;

7.3. Vadovauja kuriant ir diegiant VTIS, taip pat užtikrinant jos veikimą, tobulinimą ir duomenų saugą;

7.4. Priima sprendimus dėl VTIS rizikos vertinimo atlikimo;

7.5. Rašytiniu pavedimu skiria VTIS saugos įgaliotinį;

7.6. Rašytiniu pavedimu skiria VTIS administratorių;

7.7. Atlieka kitas Saugos nuostatų, VTIS nuostatų ir kitų teisės aktų nustatytas funkcijas.

8.1. Teikia VTIS valdytojui ir tvarkytojui pasiūlymus dėl:

8.2. Teikia VTIS valdytojo vadovui pasiūlymus dėl saugos dokumentų priėmimo, keitimo;

8.3. Koordinuoja įvykusių incidentų dėl VTIS elektroninės informacijos saugos tyrimą;

8.4. Teikia VTIS administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;

8.5. Periodiškai inicijuoja VTIS naudotojų mokymą informacijos saugos klausimais, informuoja VTIS administratorių ir naudotojus informacijos saugos klausimais;

8.6. Atsako už VTIS elektroninės informacijos saugos reikalavimų įgyvendinimą;

8.7. Supažindina VTIS administratorių ir VTIS naudotojus su saugos nuostatais, saugos dokumentų reikalavimais;

8.8. Atlieka kitas VTIS valdytojo ir tvarkytojo pavestas bei šiais Saugos nuostatais jam priskirtas funkcijas;

8.9. Rengia ir saugo klientų srities saugai užtikrinti būtiną dokumentaciją;

8.10.  Atsako už VTIS naudotojų informacijos saugos mokymų organizavimą.

9.1. Atsako už VTIS serverių srities funkcionavimą ir prieigų prie VTIS infrastruktūros išteklių teisių suteikimą;

9.2. Atlieka VTIS sudarančių komponentų (kompiuterių, operacinių sistemų, duomenų bazių valdymo sistemų, taikomųjų programų, ugniasienių, įsilaužimo aptikimo sistemų, duomenų perdavimo tinklų) sąranką, kuri atitiktų VTIS saugos dokumentų reikalavimus;

9.3. Pagal kompetenciją VTIS saugos įgaliotiniui teikia pasiūlymus dėl VTIS palaikymo, priežiūros, techninės ir programinės įrangos modernizavimo ir VTIS elektroninės informacijos saugos užtikrinimo;

9.4. Informuoja VTIS saugos įgaliotinį apie elektroninės informacijos saugos incidentus ir teikia pasiūlymus dėl incidentų pašalinimo;

9.5. Atsako už atsarginių VTIS duomenų kopijų darymą ir atkūrimą bei už VTIS taikomosios programinės įrangos (aplikacijų) kopijų darymą;

9.6. Atlieka VTIS priežiūrą.

10.1.  2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Bendrasis duomenų apsaugos reglamentas) (OL 2016 L 119, p. 1);

10.2. Lietuvos Respublikos kibernetinio saugumo įstatymas;

10.3. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

10.4. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;

10.5. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas);

10.6. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas;

10.7. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „ Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;

10.8. Techniniai valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2013 m. spalio 4 d. įsakymu Nr. 1V-832 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės saugos reikalavimų patvirtinimo“;

10.9.  Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;

10.10.  Lietuvos standartai LST ISO/IEC 27001:2017, LST ISO/IEC27002:2017 ;

10.11.  Kiti teisės aktai, reglamentuojantys elektroninės informacijos saugumą valstybės institucijose.

11.1.    Prieigą prie įrangos ir duomenų (neleisti neįgaliotiems asmenims prieiti prie VTIS duomenų tvarkymui naudojamos duomenų apdorojimo įrangos; užtikrinti, kad asmenys, įgalioti naudotis VTIS programine įranga, galėtų prieiti tik prie tų duomenų, kuriuos apima jų prieigos leidimas);

11.2.    Duomenų įvedimą, tvarkymą ir naudojimą (užtikrinti galimybę nustatyti, kas ir kada įvedė duomenis į VTIS; apriboti neleistiną duomenų įvedimą, keitimą, ištrynimą, peržiūrą ar kitą tvarkymą; užtikrinti, kad VTIS duomenų užklausos būtų registruojamos);

11.3.    Kitas veiklas, numatytas Lietuvos Respublikos teisės aktuose.

14.1.    VTIS rizikos vertinimą inicijuoja Tarnyba;

14.2.    VTIS rizika nustatoma periodinio rizikos vertinimo metu;

14.3.    VTIS rizikos vertinimas atliekamas ne rečiau kaip kartą per metus;

14.4.    VTIS saugos įgaliotinis yra atsakingas už VTIS rizikos vertinimo atlikimo organizavimą;

14.5.  VTIS  rizikos įvertinimo ataskaitas, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas, informacinių technologijų saugos atitikties vertinimo ataskaitas, pastebėtų trūkumų šalinimo plano kopijas ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikti Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (ARSIS);

14.6.    VTIS rizikos veiksniai vertinami taikant kokybinę rizikos vertinimo metodiką;

14.7.    VTIS rizikos vertinimas atliekamas vadovaujantis:

15.1.    Subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita).

15.2.    Subjektyvūs tyčiniai (nesankcionuotas naudojimasis informacine sistema elektroninei informacijai gauti, elektroninės informacijos pateikimas ar sunaikinimas, informacinių technologijų perdavimo tinklų sutrikdymai, saugumo pažeidimai, vagystės ir kita).

15.3.    Veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.

17.1.    įvertinama Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų atitiktis realiai VTIS duomenų saugos situacijai.

17.2.    Inventorizuojama VTIS techninė ir programinė įranga.

17.3.    Patikrinama ne mažiau kaip 10 procentų atsitiktinai parinktų VTIS naudotojų kompiuterinių darbo vietų, ir visose tarnybinėse stotyse įdiegtos programos ir jų sąranka.

17.4.    Patikrinama VTIS naudotojams suteiktų teisių ir vykdomų funkcijų atitiktis.

17.5.    Įvertinamas pasirengimas užtikrinti VTIS veiklos tęstinumą įvykus saugos incidentui.

19.1.    Elektroninės informacijos saugą reglamentuojančių Lietuvos Respublikos teisės aktų reikalavimais, kurie nustato būtinas priemones pagal informacinei sistemai paskirtą saugos kategoriją.

19.2.    Lietuvos standarte LST ISO/IEC 27002:2017 pateiktomis rekomendacijomis ir siūlymais.

20.1.    prieigos prie VTIS teises suteikia VTIS administratorius. Pasikeitus VTIS naudotojo pareigoms ar atliekamoms užduotims, suteikta prieiga turi būti nedelsiant nutraukiama. VTIS naudotojams suteiktos prieigos teisės periodiškai, bet ne rečiau kaip kartą per metus, turi būti peržiūrimos, siekiant nustatyti ir pašalinti subjektus, kuriems prieigos prie VTIS teisės turi būti panaikintos ar pakeistos. Už periodinę VTIS naudotojų teisių peržiūrą atsakingas VTIS saugos įgaliotinis;

20.2.    Prieš suteikiant prieigą, VTIS administratorius privalo įsitikinti, kad VTIS naudotojas pasirašytinai yra susipažinęs su informacijos saugos dokumentais bei žino savo atsakomybę tvarkant ir naudojant VTIS duomenis;

20.3.    Kiekvienas VTIS naudotojas sistemoje turi būti unikaliai atpažįstamas pagal jam suteiktą ir atitinkamą slaptažodį;

20.4.    VTIS naudotojų prieigai prie VTIS naudojamas šifruotas HTTPS duomenų perdavimo protokolas bei interneto naršyklė.

21.1.    VTIS funkcionuoti būtina tarnybinių stočių ir VTIS naudotojų kompiuteriuose esanti programinė įranga (operacinės sistemos, duomenų bazių ir aplikacijų valdymo programinė įranga, interneto naršyklės, interneto naršyklių priedai ir kt.) turi būti konfigūruojama laikantis programinės įrangos gamintojų saugaus konfigūravimo rekomendacijomis. Už tarnybinių stočių programinės įrangos kontrolę atsakingas VTIS administratorius;

21.2.    VTIS funkcionuoti būtina tarnybinių stočių ir VTIS naudotojų kompiuteriuose esanti programinė įranga turi būti atnaujinama ne vėliau kaip per 5 darbo dienas po programinės įrangos gamintojų pranešimo apie programinės įrangos atnaujinimą. Už atnaujinimų atlikimo kontrolę atsakingas VTIS administratorius ir tvarkytojo funkciją atliekanti valstybės įmonė Registrų centras;

21.3.    VTIS naudotojų kompiuteriuose prieigos teisės turi būti apribojamos iki minimalių, būtinų darbo užduotims atlikti teisių;

21.4.    VTIS naudotojų kompiuteriuose turi būti naudojama antivirusinė programinė įranga, apsauganti nuo kenksmingų programų, įskaitant elektroninio pašto apsaugą. Antivirusinė įranga periodiškai, ne rečiau kaip kartą per savaitę, turi būti automatiškai atnaujinama.

22.1.    VTIS tarnybinėse stotyse neturi veikti programinė įranga, kuri nėra autorizuota VTIS saugos įgaliotinio;

22.2.    Periodiškai, bet ne rečiau kaip kartą per metus, turi būti atliekamas VTIS tarnybinėse stotyse naudojamos programinės įrangos auditas, kurį inicijuoja VTIS saugos įgaliotinis.

23.1.    VTIS naudotojų elektroninės informacijos perdavimo tinklas turi būti atskirtas nuo viešųjų telekomunikacijos tinklų naudojant užkardą;

23.2.    Konfigūruojant VTIS naudotojų elektroninės informacijos perdavimo tinklo ugniasienes turi būti naudojami tik organizacijos veiklai būtini tinklo protokolai ir ugniasienių prievadai;

23.3.    Už VTIS tarnybinių stočių tinklo ugniasienių administravimą, priežiūrą, operacinės sistemos atnaujinimą ir saugią ugniasienių konfigūraciją atsakingas VTIS administratorius ir valstybės įmonė Registrų centras.

24.1.    Stacionarūs ir nešiojamieji VTIS naudotojų kompiuteriai privalo būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai atlikti. Iš kompiuterių, kurie perduodami remontui ar techniniam aptarnavimui, turi būti pašalinta visa riboto naudojimo VTIS elektroninė informacija.

26.1.    Atsarginių VTIS duomenų kopijų darymas ir atkūrimas turi būti atliekamas laikantis Lietuvos Respublikos teisės aktų nustatytų reikalavimų;

26.2.    Duomenys kopijose turi būti užšifruojami arba imamasi kitų priemonių, siekiant išvengti kopijų panaudojimo neteisėtam duomenų atkūrimui;

26.3.    Duomenų atkūrimo iš atsarginių kopijų testavimas atliekamas ne rečiau kaip kartą per metus.