Lietuvos Respublikos Vyriausybė
nutarimas
Dėl ELEKTRONINĖS SIUNTOS IŠSIUNTIMO, PRISTATYMO IR GAVIMO LAIKO PATVIRTINIMO TVARKOS APRAŠO, ELEKTRONINIO PRISTATYMO PASLAUGAI TAIKOMŲ SAUGOS REIKALAVIMŲ APRAŠO IR ELEKTRONINIO PRISTATYMO PASLAUGAI TEIKTI NAUDOJAMOS INFORMACINĖS SISTEMOS IR PRIE JOS PRISIJUNGIANČIO VARTOTOJO IDENTIFIKAVIMO REIKALAVIMŲ APRAŠO PATVIRTINIMO
2015 m. vasario 11 d. Nr. 126
Vilnius
Vadovaudamasi Lietuvos Respublikos informacinės visuomenės paslaugų įstatymo 111 straipsnio 3 dalimi, 114 straipsnio 2 ir 3 dalimis, Lietuvos Respublikos Vyriausybė nutaria:
3. Elektroninio pristatymo paslaugai teikti naudojamos informacinės sistemos ir prie jos prisijungiančio vartotojo identifikavimo reikalavimų aprašą.
PATVIRTINTA
Lietuvos Respublikos Vyriausybės
2015 m. vasario 11 d. nutarimu Nr. 126
ELEKTRONINĖS SIUNTOS IŠSIUNTIMO, PRISTATYMO IR GAVIMO LAIKO PATVIRTINIMO TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Elektroninės siuntos išsiuntimo, pristatymo ir gavimo laiko patvirtinimo tvarkos aprašas (toliau – Aprašas) nustato elektroninio pristatymo paslaugos teikėjų (toliau – paslaugos teikėjas) pareigas, susijusias su elektroninės siuntos išsiuntimo, pristatymo ir gavimo laiko patvirtinimu.
2. Apraše vartojamos sąvokos:
2.1. Elektroninės siuntos būsenos duomenys – elektroninio pristatymo paslaugos teikėjo fiksuojami ir logiškai su elektronine siunta susiejami duomenys, kurie rodo, kad nurodytu laiku elektroninė siunta išsiųsta nurodyto elektroninės siuntos siuntėjo, pristatyta ar gauta nurodyto elektroninės siuntos gavėjo.
2.2. Elektroninio pristatymo dėžutė – elektroninės siuntos siuntėjui ar jos gavėjui skirta elektroninio pristatymo sistemos vieta, kurioje sudaromos, iš kurios siunčiamos ir į kurią pristatomos ir gaunamos elektroninės siuntos.
2.3. Elektroninio pristatymo paslaugos gavėjas (toliau – paslaugos gavėjas) – elektroninės siuntos siuntėjas ar jos gavėjas, kurie naudojasi elektroninio pristatymo paslauga.
2.4. Elektroninio pristatymo sistema – informacinė sistema, kurią elektroninio pristatymo paslaugos teikėjas naudoja savo paslaugai teikti.
2.5. Elektroninio pristatymo sistemos serveris (toliau – sistemos serveris) – serveris, kuriame elektroninio pristatymo paslaugos teikėjas saugo, apdoroja elektronines siuntas.
2.6. Laiko fiksavimo įranga – elektroninio pristatymo sistemos techninė ir (ar) programinė įranga elektroninių siuntų išsiuntimo, pristatymo ir gavimo datai ir laikui fiksuoti.
Kitos Apraše vartojamos sąvokos apibrėžtos Lietuvos Respublikos informacinės visuomenės paslaugų įstatyme, Lietuvos Respublikos dokumentų ir archyvų įstatyme ir Lietuvos Respublikos elektroninio parašo įstatyme.
II SKYRIUS
ELEKTRONINĖS SIUNTOS IŠSIUNTIMAS, PRISTATYMAS IR GAVIMO LAIKO PATVIRTINIMAS
3. Paslaugos teikėjas, teikdamas elektroninio pristatymo paslaugą, privalo fiksuoti visus elektroninės siuntos būsenos duomenis, naudodamas sertifikavimo paslaugų teikėjų teisės aktų nustatyta tvarka suformuotas laiko žymas arba laiko fiksavimo įrangą. Tuo tikslu paslaugos teikėjas užtikrina tokias procedūras ir technines priemones, kurios leistų aiškiai ir tiksliai nustatyti:
3.1. elektroninės siuntos siuntėją (toliau – siuntėjas) ir elektroninės siuntos gavėją (toliau – gavėjas);
3.2. elektroninės siuntos išsiuntimo iš siuntėjo elektroninio pristatymo dėžutės datą ir laiką sekundės tikslumu;
3.3. elektroninės siuntos pristatymo į gavėjo elektroninio pristatymo dėžutę datą ir laiką sekundės tikslumu;
4. Elektroninės siuntos būsenos duomenis turi sudaryti:
4.2. sertifikavimo paslaugų teikėjo teisės aktų nustatyta tvarka suformuota laiko žyma arba laiko reikšmė, nustatoma pagal sistemos serverių laikrodžių laiką, jeigu naudojama laiko fiksavimo įranga;
4.3. vienakrypčio šifravimo būdu sudaryta šių duomenų santrauka:
4.3.2. siuntėjo duomenų (fizinio asmens vardo ir pavardės arba juridinio asmens ar kitos organizacijos ar jų padalinio pavadinimo, juridinio asmens kodo, elektroninio pristatymo dėžutės adreso);
4.3.3. gavėjo duomenų (fizinio asmens vardo ir pavardės arba juridinio asmens ar kitos organizacijos ar jų padalinio pavadinimo, juridinio asmens kodo, elektroninio pristatymo dėžutės adreso);
4.3.5. prie elektroninės siuntos pridėtų elektroninių dokumentų arba elektroninių dokumentų išrašų, nuorašų, konvertuotų kopijų, dokumentų skaitmeninių kopijų ar kitų elektroninių duomenų pavadinimų ir dydžio reikšmės;
5. Paslaugos teikėjas privalo užtikrinti, kad elektroninės siuntos būsenos duomenys būtų fiksuojami saugiai ir juose būtų tiksliai ir teisingai nurodomas elektroninės siuntos išsiuntimo, pristatymo ir gavimo laikas.
6. Elektroninės siuntos būsenos duomenys turi būti sudaromi nepažeidžiant Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo reikalavimų. Elektroninės siuntos būsenos duomenys turi būti saugomi elektroninio pristatymo sistemoje tiek, kiek nurodyta paslaugos teikėjo su paslaugos gavėju sudarytoje sutartyje, tačiau ne trumpiau, nei saugoma pati elektroninė siunta. Pasibaigus elektroninės siuntos būsenos duomenų saugojimo terminui, jie sunaikinami, išskyrus tuos, kurie įstatymų nustatytais atvejais turi būti perduoti valstybės archyvams.
7. Paslaugos teikėjas, kuris naudoja laiko fiksavimo įrangą, taip pat privalo:
7.1. suderinti sistemos serverių laikrodžius su Lietuvos koordinuotuoju laiku UTC (pasaulinis koordinuotasis laikas, angl. Coordinated Universal Time, pranc. Temps universel coordonné) (LT);
7.3. užtikrinti tinkamą sistemos serverių, kuriuose realizuota laiko fiksavimo įranga, apsaugą, įskaitant fizinės ir loginės prieigos prie šių sistemos serverių kontrolę, tokių sistemos serverių teisingą naudojimą ir apsaugą nuo modifikavimo ar fizinio sugadinimo;
7.4. užtikrinti sistemos serverių laikrodžių apsaugą nuo pavojų, kurie gali sukelti nepastebimus laiko šuolius arba pažeisti laikrodžių kalibravimą (įskaitant neturinčių teisės asmenų įsikišimą, radijo ar elektros trikdžius ir panašiai);
8. Paslaugos teikėjas, sužinojęs apie nenumatytą įvykį, kuris gali daryti neigiamą įtaką tiksliam ir teisingam elektroninės siuntos būsenos duomenų formavimui, įskaitant įvykius, galinčius paveikti sertifikavimo paslaugų teikėjo teikiamų paslaugų kokybę ar sistemos serverių laikrodžių laiko tikslumą ar sinchronizaciją su Lietuvos koordinuotuoju laiku UTC (LT), privalo nedelsdamas, bet ne vėliau kaip per vieną valandą nuo momento, kai paslaugos teikėjas sužino apie minėtą įvykį, imtis reikiamų priemonių, kad tokie įvykiai būtų pašalinti. Jeigu tokių įvykių pašalinti nepavyksta ir tikslus ir teisingas elektroninės siuntos būsenos duomenų formavimas neužtikrinamas, paslaugos teikėjas privalo:
8.1. nedelsdamas, bet ne vėliau kaip per vieną valandą nuo momento, kai paslaugos teikėjas sužino apie Aprašo 8 punkte minėtą įvykį, sustabdyti elektroninio pristatymo paslaugos teikimą, kol įvykiai pašalinami ir užtikrinama, kad elektroninės siuntos būsenos duomenys bus formuojami tiksliai ir teisingai;
9. Apie numatytą iš anksto elektroninio pristatymo paslaugos teikimo paslaugos gavėjui sustabdymą paslaugos teikėjas elektroninėmis priemonėmis informuoja paslaugos gavėją ne vėliau kaip prieš vieną darbo dieną iki numatomo paslaugos teikimo sustabdymo.
10. Išnykus priežastims, dėl kurių elektroninio pristatymo paslaugos teikimas laikinai sustabdytas, elektroninio pristatymo paslaugos teikimas atnaujinamas. Apie elektroninio pristatymo paslaugos teikimo atnaujinimą paslaugos teikėjas elektroninėmis priemonėmis nedelsdamas, bet ne vėliau kaip per 2 valandas nuo elektroninio pristatymo paslaugos teikimo atnaujinimo, informuoja paslaugos gavėjus.
PATVIRTINTA
Lietuvos Respublikos Vyriausybės
2015 m. vasario 11 d. nutarimu Nr. 126
Elektroninio pristatymo paslaugAI TAIKOMŲ SAUGOS REIKALAVIMŲ APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Elektroninio pristatymo paslaugai taikomų saugos reikalavimų aprašas (toliau – Aprašas) nustato elektroninio pristatymo paslaugos teikėjų (toliau – paslaugos teikėjas) pareigas, susijusias su elektroninio pristatymo paslaugos saugos, elektroninės siuntos duomenų slaptumo ir saugumo ir asmens duomenų apsaugos užtikrinimu, taip pat elektroninio pristatymo sistemos naudotojų, elektroninio pristatymo sistemos administratoriaus, elektroninio pristatymo sistemos saugos įgaliotinio (toliau kartu – informacinės sistemos naudotojai) pareigas, susijusias su elektroninio pristatymo paslaugos saugos užtikrinimu, elektroninio pristatymo sistemos saugos reikalavimus.
2. Apraše vartojamos sąvokos:
2.1. Elektroninio pristatymo paslaugos vartotojas (toliau – paslaugos vartotojas) – fizinis asmuo – elektroninio pristatymo paslaugos gavėjas arba jo atstovas.
2.2. Elektroninio pristatymo sistemos administratorius (toliau – administratorius) – elektroninio pristatymo paslaugos teikėjo darbuotojas, su šios paslaugos teikėju paslaugų teikimo sutartį sudaręs fizinis asmuo arba sutartį sudariusio juridinio asmens darbuotojas, prižiūrintis elektroninio pristatymo sistemą ir jos infrastruktūrą, užtikrinantis jos veikimą ir elektroninės informacijos saugą.
2.3. Elektroninio pristatymo sistemos naudotojas – elektroninio pristatymo paslaugos teikėjo darbuotojas, su šios paslaugos teikėju paslaugų teikimo sutartį sudaręs fizinis asmuo ar paslaugų teikimo sutartį sudariusio juridinio asmens darbuotojas, atliekantis elektroninio pristatymo paslaugos teikėjo nustatytas šios paslaugos teikimo funkcijas.
2.4. Elektroninio pristatymo sistemos saugos įgaliotinis (toliau – saugos įgaliotinis) – elektroninio pristatymo paslaugos teikėjo darbuotojas, su šios paslaugos teikėju paslaugų teikimo sutartį sudaręs fizinis asmuo arba paslaugų teikimo sutartį sudariusio juridinio asmens darbuotojas, įgyvendinantis informacijos saugos priemones elektroninio pristatymo sistemoje.
Kitos Apraše vartojamos sąvokos apibrėžtos Lietuvos Respublikos informacinės visuomenės paslaugų įstatyme ir šiuo nutarimu patvirtintame Elektroninės siuntos išsiuntimo, pristatymo ir gavimo laiko patvirtinimo tvarkos apraše.
II SKYRIUS
SAUGOS DOKUMENTAI
3. Paslaugos teikėjas, teikdamas elektroninio pristatymo paslaugą, privalo vadovautis šiais jo patvirtintais elektroninio pristatymo sistemos saugos dokumentais:
4. Aprašo 3 punkte nurodyti dokumentai rengiami mutatis mutandis pagal Saugos dokumentų turinio gairių aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“, ar kito lygiaverčio elektroninio pristatymo paslaugos teikimo metu galiojančio teisės akto nustatytus reikalavimus. Kito lygiaverčio elektroninio pristatymo paslaugos teikimo metu galiojančio teisės akto nustatyti reikalavimai taikomi tik tuo atveju, jeigu netenka galios Saugos dokumentų turinio gairių aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716.
III SKYRIUS
ELEKTRONINĖS SIUNTOS DUOMENŲ SLAPTUMO IR SAUGUMO UŽTIKRINIMAS
5. Teikdamas elektroninio pristatymo paslaugą, paslaugos teikėjas privalo užtikrinti elektroninės siuntos turinio konfidencialumą, pasiekiamumą, vientisumą ir susirašinėjimo slaptumą, taip pat užtikrinti, kad prieiga prie elektroninės siuntos būtų suteikta tik atitinkamos elektroninės siuntos siuntėjui ir gavėjui ar jų įgaliotiems asmenims. Atlikdamas šią pareigą, paslaugos teikėjas privalo imtis visų reikiamų priemonių ir, be kita ko, užtikrinti, kad šiuo nutarimu patvirtinto Elektroninio pristatymo paslaugai teikti naudojamos informacinės sistemos ir prie jos prisijungiančio vartotojo identifikavimo reikalavimų aprašo ir Aprašo nustatyta tvarka:
5.1. kiekvieną kartą paslaugos vartotojui jungiantis prie elektroninio pristatymo sistemos, jis būtų unikaliai identifikuotas;
5.3. paslaugos vartotojui visais atvejais būtų sudaryta galimybė užšifruoti siunčiamas, iššifruoti gaunamas, užšifruoti ir iššifruoti saugomas elektronines siuntas (ar tam tikras jų dalis);
IV SKYRIUS
FIZINĖ PRIEIGA PRIE ELEKTRONINIO PRISTATYMO SISTEMOS
6. Fizinė prieiga prie elektroninio pristatymo sistemos serverių (toliau – sistemos serveriai) ir patalpų, kuriose saugomos visų elektroninių siuntų, elektroninių siuntų būsenų duomenų, įvykių žurnalų ir kitų elektroninio pristatymo sistemoje formuojamų duomenų automatinės atsarginės kopijos (toliau – atsarginės kopijos), turi būti ribojama: į sistemos serverių patalpas ir patalpas, kuriose saugomos atsarginės kopijos, gali patekti tik administratorius ir saugos įgaliotinis, kurie turi būti registruojami fiksuojant jų įėjimo ir išėjimo laiką, išskyrus gaisro ar stichinės nelaimės atvejus, kai į sistemos serverių patalpas ir (ar) patalpas, kuriose saugomos atsarginės kopijos, gali patekti asmenys, atliekantys gelbėjimo darbus sistemos serverių patalpose ir (ar) patalpose, kuriose saugomos atsarginės kopijos, likviduojantys ugnies, dūmų ir vandens padarytą žalą. Šių asmenų patekimas į patalpas neregistruojamas.
7. Patalpos, kuriose yra sistemos serveriai, taip pat turi atitikti patalpų, kuriose yra valstybės informacinių sistemų antrosios kategorijos valstybės informacinių sistemų ar kitų informacinių sistemų serveriai, reikalavimus, vidaus reikalų ministro nustatytus Techniniuose informacinių sistemų elektroninės informacijos saugos reikalavimuose.
V SKYRIUS
INFORMACINĖS SISTEMOS NAUDOTOJAI
8. Paslaugos teikėjas privalo nustatyti informacinės sistemos naudotojų teises ir reguliariai peržiūrėti ir atnaujinti informacinės sistemos naudotojų ir jiems suteiktų teisių sąrašus.
9. Paslaugos teikėjas, negalintis užtikrinti kitų autentiškumo patvirtinimo priemonių, privalo užtikrinti, kad visi informacinės sistemos naudotojai turėtų unikalius identifikatorius ir prisijungimo slaptažodžius, kurie naudojami kiekvieną kartą jungiantis prie elektroninio pristatymo sistemos. Paslaugos teikėjas turi užtikrinti, kad informacinės sistemos naudotojų prisijungimo slaptažodžiai, naudojami kiekvieną kartą jungiantis prie elektroninio pristatymo sistemos, būtų keičiami ne rečiau kaip kartą per mėnesį. Paslaugos teikėjas techninėmis priemonėmis turi užtikrinti, kad slaptažodis nebūtų keičiamas į tokį patį ar prieš tai buvusį slaptažodį. Visi informacinės sistemos naudotojų slaptažodžiai turi būti asinchroniškai šifruojami (be galimybės juos iššifruoti) prieš juos išsaugant elektroninio pristatymo sistemos duomenų bazėje.
10. Informacinės sistemos naudotojai turi jungtis prie elektroninio pristatymo sistemos tik naudodami paslaugos teikėjo kontroliuojamą prieigą prie elektroninio pristatymo sistemos.
11. Paslaugos teikėjas privalo techninėmis ir organizacinėmis priemonėmis taip atskirti informacinės sistemos naudotojų funkcijas, kad tvarkyti, atnaujinti laiko fiksavimo įrangą (jeigu ją paslaugos teikėjas naudoja), keisti sistemos serverių laikrodžių laiką galėtų tik administratorius ir saugos įgaliotinis kartu.
12. Reikalavimai administratoriui ir saugos įgaliotiniui:
12.1. administratorius privalo išmanyti darbą su kompiuterių tinklais ir mokėti užtikrinti jų saugumą, privalo būti susipažinęs su duomenų bazių administravimo ir priežiūros pagrindais ir savo darbe vadovautis paslaugos teikėjo tvirtinamais saugos dokumentais;
VI SKYRIUS
ELEKTRONINIO PRISTATYMO SISTEMAI TAIKOMI SAUGOS REIKALAVIMAI
14. Elektroninio pristatymo sistemai taikomi šie saugos reikalavimai:
14.2. turi būti naudojama stabili operacinės sistemos versija, kuri yra gamintojo aktyviai palaikoma ir plėtojama;
14.3. turi būti operatyviai testuojami ir įdiegiami naudojamos operacinės sistemos ir naudojamos programinės įrangos gamintojų rekomenduojami naujinimai;
14.4. techninė ir programinė įranga turi būti prižiūrima ir naudojama laikantis gamintojo rekomendacijų;
14.5. prižiūrėti techninę ir programinę įrangą ir šalinti jos gedimus turi kvalifikuoti specialistai, kurių kvalifikacinius reikalavimus nustato paslaugos teikėjas;
14.7. turi būti įdiegta antivirusinė programinė įranga, kuri privalo būti periodiškai, bet ne rečiau kaip kartą per savaitę, atnaujinama; visi į elektroninio pristatymo sistemą įkeliami elektroniniai duomenys turi būti tikrinami antivirusine programine įranga; nustačius, kad elektroniniai duomenys gali būti užkrėsti virusu, apie tai informuojamas elektroninio pristatymo paslaugos gavėjas (toliau – paslaugos gavėjas); nustačius, kad elektroniniai duomenys gali būti užkrėsti virusu, jie negali būti saugomi elektroninio pristatymo sistemoje, taip pat būti išsiųsti, pristatyti paslaugos gavėjams; paslaugos teikėjui nustačius, kad elektroniniai duomenys užkrėsti virusu, jeigu yra techninės galimybės, jie privalo būti pataisyti; pataisyti elektroniniai duomenys gali būti saugomi elektroninio pristatymo sistemoje, taip pat būti išsiųsti, pristatyti paslaugos gavėjams; paslaugos teikėjui nustačius, kad techninių galimybių pataisyti elektroninius duomenis nėra, jie privalo būti sunaikinti; jeigu paaiškėja, kad elektroniniai duomenys virusu neužkrėsti, nors dėl to buvo kilę įtarimų, dėl kurių jie negalėjo būti saugomi elektroninio pristatymo sistemoje, taip pat būti išsiųsti, pristatyti paslaugos gavėjams, ir tai įvyko dėl paslaugos teikėjo kaltės, paslaugos teikėjas elektroninės siuntos siuntėjui grąžina elektroninės siuntos siuntimo užmokestį, jeigu paslaugos teikėjo ir elektroninės siuntos siuntėjo sudarytoje sutartyje nenumatyta kitaip;
14.8. elektroninio pristatymo sistemos portalas ar kita dalis, kurią naudodami paslaugos vartotojai jungiasi prie savo elektroninio pristatymo dėžučių, turi būti atskirti nuo likusios elektroninio pristatymo sistemos dalies naudojant ugniasienes;
14.9. komunikacijos kanalai turi būti šifruojami naudojant saugiųjų jungimų lygmens protokolą (angl. Secure Sockets Layer, SSL), naudojantis tik stipriais kodavimo algoritmais (naudojančiais 256 ar daugiau bitų šifravimo raktų);
14.10. paslaugos vartotojui visais atvejais turi būti sudaryta galimybė užšifruoti siunčiamas, iššifruoti gaunamas, užšifruoti ir iššifruoti saugomas elektronines siuntas (ar tam tikras jų dalis);
14.11. elektroninio pristatymo sistema turi naudoti teisėmis grįstą prieigos prie informacijos kontrolės sistemą (angl. role-based access control, RBAC);
14.12. elektroninio pristatymo sistema, jos programinis kodas ir komponentai turi būti atsparūs naršyklių, duomenų bazės, konfigūracijos ir elektroninio pašto atakoms;
14.13. elektroninio pristatymo sistema turi turėti automatinės analizės įrankius, analizuojančius saugumo žurnalus ir informuojančius saugos įgaliotinį ir administratorių apie sistemingus bandymus įsilaužti arba viršyti suteiktas teises;
14.14. elektroninio pristatymo sistema turi būti apsaugota nuo nesankcionuotų pakeitimų, kontroliuoti, aptikti ir pranešti apie pakeitimus, susijusius su galimu elektroninio pristatymo paslaugos saugumo pažeidimu; visi elektroninio pristatymo sistemos saugumo incidentai, susiję su nesėkmingais bandymais autorizuotis arba prieiti prie informacijos, turi būti saugomi ne elektroninio pristatymo sistemoje;
14.15. elektroninio pristatymo sistema turi registruoti visus sistemos serverių laikrodžių laiko pakeitimus, juos atlikusius informacinės sistemos naudotojus ir pakeitimų atlikimo laiką;
14.16. sistemos serverių įvykių žurnaluose turi būti registruojami ir nustatytą laiką saugomi duomenys apie įjungimą, išjungimą, sėkmingus ir nesėkmingus bandymus registruotis elektroninio pristatymo sistemoje, bandymus prieiti prie informacinių išteklių, visus sistemos serverių laiko sinchronizavimo ir laiko kalibravimo veiksmus, kitus svarbius saugai įvykius, taip pat nurodomi informacinės sistemos naudotojo identifikatorius ir įvykio laikas; ši informacija turi būti reguliariai analizuojama ir jos rezultatai naudojami priimant sprendimus elektroninio pristatymo sistemos veiklos tęstinumo ir valdymo klausimais, siekiant užkirsti kelią elektroninio pristatymo sistemos informacijos saugos incidentams, organizuojant ir atliekant elektroninio pristatymo sistemoje įvykusių elektroninės informacijos saugos incidentų tyrimą; įrašus sistemos serverių įvykių žurnaluose gali keisti informacinės sistemos naudotojai (-as); kiekvieno sistemos serverių įvykių žurnaluose atlikto pakeitimo laikas, jį atlikusio informacinės sistemos naudotojo identifikatorius ir priežastys, dėl kurių keičiami įrašai sistemos serverių įvykių žurnaluose, turi būti fiksuojami;
14.17. elektroninio pristatymo sistema turi užtikrinti, kad atsarginės kopijos būtų daromos ir saugomos tokia tvarka:
14.17.1. atsarginės kopijos turi būti daromos naudojant šifravimo mechanizmus, visa atsarginėse kopijose saugoma informacija turi būti saugoma užšifruota;
14.17.2. atsarginės kopijos turi būti saugomos kitose patalpose arba kitame pastate, ne tuose, kuriuose yra elektroninio pristatymo sistemos serveris;
14.17.3. turi būti sudaryta galimybė daryti atsargines kopijas ir veikiančioje, ir neveikiančioje elektroninio pristatymo sistemoje;
VII SKYRIUS
ASMENS DUOMENŲ APSAUGOS REIKALAVIMAI
15. Tvarkydamas asmens duomenis, paslaugos teikėjas vadovaujasi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.
16. Įgyvendindamas organizacines ir technines asmens duomenų apsaugos priemones, paslaugos teikėjas vadovaujasi Valstybinės duomenų apsaugos inspekcijos nustatytais bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms ir privalo užtikrinti, kad:
16.1. su asmens duomenimis galės susipažinti tik tokią teisę turintys paslaugos teikėjo įgalioti asmenys teisėtais tikslais;
16.2. bus tvarkomi tik tie paslaugos gavėjo ir paslaugos vartotojo asmens, srauto ir susiję duomenys, kurie būtini paslaugos gavėjui ar paslaugos vartotojui identifikuoti, elektroninio pristatymo paslaugai ar paslaugos teikėjo kartu su elektroninio pristatymo paslauga teikiamoms ir su ja susijusioms papildomoms paslaugoms teikti, apskaitai tvarkyti ir atsiskaitymams atlikti.
PATVIRTINTA
Lietuvos Respublikos Vyriausybės
2015 m. vasario 11 d. nutarimu Nr. 126
elektroninio pristatymo paslaugai teikti naudojamos informacinės sistemos ir prie jos prisijungiančio vartotojo identifikavimo reikalavimŲ APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Elektroninio pristatymo paslaugai teikti naudojamos informacinės sistemos ir prie jos prisijungiančio vartotojo identifikavimo reikalavimų aprašas (toliau – Aprašas) nustato prieinamumo ir funkcinius elektroninio pristatymo sistemos ir prie šios sistemos prisijungiančio elektroninio pristatymo paslaugos vartotojo (toliau – paslaugos vartotojas) identifikavimo reikalavimus.
2. Apraše vartojamos sąvokos apibrėžtos Lietuvos Respublikos informacinės visuomenės paslaugų įstatyme, Lietuvos Respublikos elektroninio parašo įstatyme, Lietuvos Respublikos asmens tapatybės kortelės įstatyme, šiuo nutarimu patvirtintuose Elektroninės siuntos išsiuntimo, pristatymo ir gavimo laiko patvirtinimo tvarkos apraše ir Elektroninio pristatymo paslaugai taikomų saugos reikalavimų apraše.
II SKYRIUS
ELEKTRONINIO PRISTATYMO SISTEMOS REIKALAVIMAI
3. Elektroninio pristatymo sistema turi būti sudaryta tik iš informacinių technologijų priemonių ir komponentų, kurie būtini elektroninio pristatymo paslaugai ir elektroninio pristatymo paslaugos teikėjo (toliau – paslaugos teikėjas) kartu su elektroninio pristatymo paslauga teikiamoms ir su ja susijusioms papildomoms paslaugoms teikti.
4. Elektroninio pristatymo sistemai taikomi šie prieinamumo reikalavimai:
4.1. turi būti užtikrintas elektroninio pristatymo sistemos prieinamumas ne mažiau kaip 98 procentus paros laiko;
5. Elektroninio pristatymo sistemai taikomi šie funkciniai reikalavimai:
5.1. Elektroninio pristatymo sistema turi atlikti elektroninės siuntos išsiuntimo, pristatymo ir gavimo funkcijas, kaip nustatyta Lietuvos Respublikos informacinės visuomenės paslaugų įstatyme. Elektroninio pristatymo sistema turi sudaryti galimybę paslaugos vartotojui pasirašyti elektroninius dokumentus saugiu elektroniniu parašu, kuris sukurtas saugia parašo formavimo įranga ir patvirtintas galiojančiu kvalifikuotu sertifikatu, ir patikrinti elektroninį parašą. Elektroninio pristatymo sistema taip pat turi leisti tvarkyti elektroninius dokumentus pagal Lietuvos archyvų departamento prie Lietuvos Respublikos Vyriausybės nustatytus elektroniniu parašu pasirašyto elektroninio dokumento specifikacijos ADOC-V1.0 elektroninių dokumentų tvarkymo reikalavimus.
5.2. Išsiųstos ar gautos elektroninės siuntos elektroninio pristatymo dėžutėje turi būti saugomos, kol pašalinamos elektroninio pristatymo paslaugos gavėjo (toliau – paslaugos gavėjas) ar jo įgalioto asmens, o nepašalintos – ne trumpiau kaip šešis mėnesius nuo jų išsiuntimo ar gavimo dienos. Elektroninės siuntos turi būti saugomos elektroninio pristatymo sistemoje paslaugos teikėjo su paslaugos gavėju sudarytoje sutartyje nustatytą laiką.
III SKYRIUS
PRIE ELEKTRONINIO PRISTATYMO SISTEMOS PRISIJUNGIANČIO VARTOTOJO identifikavimo REIKALAVIMAI
6. Paslaugos teikėjas privalo užtikrinti elektroninio pristatymo paslaugos, surinktų ir perduodamų duomenų saugumą, vientisumą ir pasiekiamumą, kad būtų išvengta neleistino neįgaliotų asmenų prisijungimo ir (arba) elektroninių siuntų turinio perėmimo.
7. Elektroninio pristatymo dėžutės turi būti suformuotos naudojant tokias technines priemones, kurios užtikrina, kad paslaugos vartotojas būtų tinkamai identifikuotas ir tik jis turėtų galimybę prisijungti prie savo elektroninio pristatymo dėžutės.
8. Elektroninio pristatymo sistema turi užtikrinti, kad kiekvieną kartą jungdamasis prie elektroninio pristatymo sistemos paslaugos vartotojas būtų identifikuotas (būtų nustatyta jo asmens tapatybė) naudojant asmens tapatybės kortelę su integruotais asmens atpažinimo elektroninėje erdvėje sertifikatais, komercinių bankų internetinės bankininkystės sistemas arba asmeninį saugų elektroninį parašą, sukurtą saugia parašo formavimo įranga ir patvirtintą galiojančiu kvalifikuotu sertifikatu, ar kitas teisės aktų nustatytas asmens tapatybės nustatymo elektroninėje erdvėje priemones, kurios užtikrina tokią pat įrodomąją galią kaip ir kitos šiame punkte nurodytos priemonės.
9. Jeigu paslaugos gavėjas pateikia rašytinį prašymą ir raštu susitaria su paslaugos teikėju, paslaugos teikėjas turi užtikrinti, kad elektroninio pristatymo sistema sudarytų galimybę paslaugos vartotojui prisijungti prie elektroninio pristatymo dėžutės per dokumentų valdymo sistemas ar kitas paslaugos gavėjo naudojamas informacines sistemas, užtikrindamas patikimą tokios dokumentų valdymo sistemos ar kitos informacinės sistemos identifikavimą, autentifikavimą ir autorizavimą. Paslaugos teikėjas turi teisę atsisakyti sudaryti rašytinį susitarimą, jeigu neturi objektyvių galimybių užtikrinti patikimos dokumentų valdymo sistemos ar kitos paslaugos gavėjo naudojamos informacinės sistemos identifikavimo, autentifikavimo ir autorizavimo.
Paslaugos vartotojui prisijungus prie elektroninio pristatymo sistemos naudojant dokumentų valdymo sistemą ar kitą informacinę sistemą, laikoma, kad prie elektroninio pristatymo sistemos prisijungė pats paslaugos gavėjas. Jeigu paslaugos vartotojo naudojama dokumentų valdymo ar kita informacinė sistema integruota su elektroninio pristatymo sistema, laikoma, kad tokiam paslaugos gavėjui pristatyta elektroninė siunta gauta nuo to momento, kurį ją gavo integruotoji dokumentų valdymo ar kita informacinė sistema ir elektroninio pristatymo sistemai perduotas dokumentų valdymo ar kitos informacinės sistemos automatinis patvirtinimas apie elektroninės siuntos gavimą. Tokiais atvejais paslaugos teikėjas privalo užtikrinti patikimą tokių dokumentų valdymo ar kitų informacinių sistemų identifikavimą, autentifikavimą ir autorizavimą.
IV SKYRIUS
BAIGIAMOSIOS NUOSTATOS