Projektas

LIETUVOS RESPUBLIKOS VIDAUS REIKALŲ MINISTRAS

ĮSAKYMAS

DĖL NACIONALINĖS ELEKTRONINĖS atpažinties INFORMACINĖS SISTEMOS NUOSTATŲ PATVIRTINIMO

2014 m. gruodžio 1 d. Nr. 1V-820

Vilnius

Atsižvelgdamas į Europos Parlamento ir Tarybos 2014 m. liepos 23 d. reglamentą (ES) Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama direktyva 1999/93/EB (OL 2014 L 257, p. 73), vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 8, 30 straipsniais, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktu, įgyvendindamas Informacinės visuomenės plėtros 2014–2020 metų programos „Lietuvos Respublikos skaitmeninė darbotvarkė“, patvirtintos Lietuvos Respublikos Vyriausybės 2014 m. kovo 12 d. nutarimu Nr. 244 „Dėl Informacinės visuomenės plėtros 2014–2020 metų programos „Lietuvos Respublikos skaitmeninė darbotvarkė“ patvirtinimo“, 7.11.1, 7.12.1 papunkčius, Elektroninės informacijos saugos (kibernetinio saugumo) plėtros 2011–2019 metais programos, patvirtintos Lietuvos Respublikos Vyriausybės 2011 m. birželio 29 d. nutarimu Nr. 796 „Dėl Elektroninės informacijos saugos (kibernetinio saugumo) plėtros 2011–2019 metais programos patvirtinimo“, priedo 21 punktą:

1. T v i r t i n u Nacionalinės elektroninės atpažinties informacinės sistemos nuostatus (pridedama).

2. P a v e d u valstybės įmonei „Infostruktūra“ paskirti Nacionalinės elektroninės atpažinties informacinės sistemos duomenų valdymo įgaliotinį.

Vidaus reikalų ministras Saulius Skvernelis

SUDERINTA

Informacinės visuomenės plėtros komiteto

prie Susisiekimo ministerijos

2014 m. lapkričio 18 d. raštu Nr. S-1695

PATVIRTINTA

Lietuvos Respublikos vidaus reikalų ministro 2014 m. gruodžio 1 d. įsakymu Nr. 1V-820

NACIONALINĖS ELEKTRONINĖS ATPAŽINTIES INFORMACINĖS SISTEMOS NUOSTATAI

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Nacionalinės elektroninės atpažinties informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Nacionalinės elektroninės atpažinties informacinės sistemos (toliau – NETAIS) steigimo pagrindą, NETAIS tikslą, uždavinius, funkcijas, organizacinę, informacinę ir funkcinę struktūras, NETAIS duomenų teikimą ir naudojimą, NETAIS duomenų saugą, NETAIS finansavimą, modernizavimą ir likvidavimą.

2. Nuostatuose vartojamos sąvokos:

2.1. asmens tapatybės duomenys – duomenų rinkinys, pagal kurį galima nustatyti fizinio ar juridinio asmens arba juridiniam asmeniui atstovaujančio fizinio asmens tapatybę;

2.2. elektroninė atpažintis – elektroninių asmens tapatybės duomenų, kuriais nurodomas konkretus fizinis ar juridinis asmuo arba juridiniam asmeniui atstovaujantis fizinis asmuo, naudojimo procesas;

2.3. tapatumo nustatymas – elektroninis procesas, leidžiantis patvirtinti fizinio arba juridinio asmens elektroninę atpažintį arba elektroninės formos duomenų kilmę ir vientisumą;

2.4. elektroninės atpažinties Europos Sąjungos šalyje sistema – Europos Sąjungos šalyje (toliau – ESŠ) veikianti sistema, informacinėmis ir ryšių technologinėmis priemonėmis teikianti elektroninės atpažinties duomenis nacionalinėms ir kitų ESŠ elektroninės atpažinties sistemoms.

3. Kitos Nuostatuose vartojamos sąvokos atitinka Europos Parlamento ir Tarybos 2014 m. liepos 23 d. reglamente Nr. 910/2014 dėl elektroninės atpažinties ir elektroninių operacijų patikimumo užtikrinimo paslaugų vidaus rinkoje, kuriuo panaikinama direktyva 1999/93/EB (OL 2014 L 257, p. 73) (toliau – Reglamentas), Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme (toliau – Išteklių įstatymas), Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme (toliau – ADTA įstatymas), Lietuvos Respublikos viešojo administravimo įstatyme ir Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo ir elektroninės informacijos svarbos nustatymo gairių aprašo patvirtinimo“ (toliau – Saugos aprašas) apibrėžtas sąvokas.

4. Asmens duomenų tvarkymo NETAIS tikslas – identifikuoti asmenis, kurių tapatumas nustatomas naudojant NETAIS (toliau – NETAIS naudotojai).

5. NETAIS steigimo teisinis pagrindas:

5.1. Lietuvos Respublikos vidaus reikalų ministerijos nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2001 m. kovo 14 d. nutarimu Nr. 291 „Dėl Lietuvos Respublikos vidaus reikalų ministerijos nuostatų patvirtinimo“, 8.2, 10.1, 10.4, 14.5 papunkčiai;

5.2. Elektroninės informacijos saugos (kibernetinio saugumo) plėtros 2011–2019 metais programos, patvirtintos Lietuvos Respublikos Vyriausybės 2011 m. birželio 29 d. nutarimu Nr. 796 „Dėl Elektroninės informacijos saugos (kibernetinio saugumo) plėtros 2011–2019 metais programos patvirtinimo“, priedo 21 punktas.

6. Teisės aktai, kuriais vadovaujantis kuriama ir tvarkoma NETAIS:

6.1. Reglamentas;

6.2. Informacinės visuomenės plėtros 2014–2020 metų programos „Lietuvos Respublikos skaitmeninė darbotvarkė“, patvirtintos Lietuvos Respublikos Vyriausybės 2014 m. kovo 12 d. nutarimu Nr. 244 „Dėl Informacinės visuomenės plėtros 2014–2020 metų programos „Lietuvos Respublikos skaitmeninė darbotvarkė“ patvirtinimo“, (toliau – Skaitmeninė darbotvarkė) 7.11.1, 7.12.1 papunkčiai;

6.3. Išteklių įstatymas;

6.4. ADTA įstatymas;

6.5. Lietuvos Respublikos elektroninio parašo įstatymas;

6.6. Lietuvos Respublikos viešojo administravimo įstatymas;

6.7. Lietuvos Respublikos asmens tapatybės kortelės įstatymas;

6.8. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašas, patvirtintas Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“;

6.9. Saugos aprašas;

6.10. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71(1.12) „Dėl Bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“ (toliau – Organizaciniai-techniniai reikalavimai);

6.11. Nuostatai.

7. NETAIS tikslas – įgyvendinti tapatumo nustatymo mechanizmą, kurį taikant fiziniai ir juridiniai asmenys naudojasi elektroninės atpažinties priemone, kad patvirtintų pasikliaujančiai šaliai savo tapatybę.

8. NETAIS uždaviniai:

8.1. teikti Lietuvos Respublikos fizinių ir juridinių asmenų elektroninės atpažinties duomenis elektroninės atpažinties ESŠ sistemoms ir naudoti elektroninės atpažinties ESŠ sistemų fizinių ir judrinių asmenų elektroninės atpažinties duomenis, tokiu būdu sudaryti prielaidas Lietuvos Respublikos fiziniams ir juridiniams asmenims naudotis ESŠ teikiamomis elektroninėmis paslaugomis ir ESŠ fiziniams ir juridiniams asmenims naudotis Lietuvos Respublikos elektroninėmis paslaugomis;

8.2. įgyvendinti ryšius tarp Lietuvos Respublikos ir ESŠ elektroninės atpažinties sistemų;

8.3. kontroliuoti tapatumo nustatymo patikimumą.

9. Pagrindinės NETAIS funkcijos:

9.1. asmens tapatybės duomenų surinkimas ir suformavimas pasikliaujančiajai šaliai;

9.2. duomenų apie elektroninės atpažinties, tapatumo nustatymo ir duomenų perdavimo faktus kaupimas;

9.3. asmens tapatybės duomenų teikimas asmens sutikimu pasikliaujančiai šaliai;

9.4. tapatumo nustatymo bei elektroninės atpažinties duomenų naudojimo apskaita ir statistinių ataskaitų rengimas;

9.5. NETAIS komponenčių, jų sąrankos būklės stebėsena.

II SKYRIUS

NETAIS ORGANIZACINĖ STRUKTŪRA

10. NETAIS valdytojas, o kartu ir asmens duomenų valdytojas yra Lietuvos Respublikos vidaus reikalų ministerija (toliau – NETAIS valdytojas).

11. NETAIS valdytojas atlieka Išteklių įstatyme ir ADTA įstatyme nustatytas funkcijas, turi šiuose įstatymuose nustatytas teises ir pareigas.

12. NETAIS tvarkytojas, o kartu ir asmens duomenų tvarkytojas yra valstybės įmonė „Infostruktūra“ (toliau – NETAIS tvarkytojas).

13. NETAIS tvarkytojas atlieka Išteklių įstatyme ir ADTA įstatyme nustatytas funkcijas, turi šiuose įstatymuose nustatytas teises ir pareigas, taip pat ir:

13.1. vadovaudamasis Nuostatais ir valstybės informacinių sistemų veiklą reglamentuojančiais teisės aktais, eksploatuoja ir prižiūri NETAIS infrastruktūros, technines ir programines priemones;

13.2. užtikrina, kad tapatumo nustatymas būtų teikiamas nepertraukiamai;

13.3. rengia ir įgyvendina NETAIS techninių ir programinių priemonių kūrimo ir plėtros planus, investicinius projektus, teikia pasiūlymus NETAIS valdytojui dėl jų įgyvendinimo;

13.4. įgyvendina NETAIS valdytojo sprendimus dėl NETAIS plėtros;

13.5. teikia NETAIS valdytojui informaciją apie NETAIS naudojimą, plėtros įgyvendinimą;

13.6. sudaro duomenų teikimo sutartis su asmens tapatybės duomenų teikėjais ir elektroninių paslaugų teikėjais;

13.7. sudaro sutartis su elektroninės atpažinties ESŠ sistemas valdančiomis ar tvarkančiomis įstaigomis dėl bendradarbiavimo elektroninės atpažinties ir tapatumo nustatymo procesuose;

13.8. įdiegia sąsajas su elektroninėje atpažintyje dalyvaujančiomis sistemomis.

14. NETAIS duomenų teikėjai:

14.1. Informacinės visuomenės plėtros komitetas prie Lietuvos Respublikos susisiekimo ministerijos – teikia Valstybės informacinių išteklių sąveikumo platformos duomenis;

14.2. asmens tapatybės duomenų teikėjai, kaupiantys atitinkamus pirminius fizinio ar juridinio asmens arba juridiniam asmeniui atstovaujančio fizinio asmens duomenis, nurodytus Nuostatų 15.2 papunktyje.

III SKYRIUS

NETAIS INFORMACINĖ STRUKTŪRA

15. NETAIS informacinę struktūrą sudaro:

15.1. NETAIS kaupiami duomenys apie elektroninės atpažinties, tapatumo nustatymo ir duomenų perdavimo faktus:

15.1.1. duomenys (įrašai) apie duomenų apsikeitimo ryšius:

15.1.1.1. duomenys apie asmens tapatybės duomenų teikėjų sistemas – sistemos pavadinimas, duomenys apie teikiamų duomenų rinkinius, suteiktą patikimumo kategoriją;

15.1.1.2. duomenys apie elektronines paslaugas teikiančių sistemų, kurioms tapatumo nustatymo metu perduodami asmens tapatybės duomenys – sistemos pavadinimas, reikalaujamas pateikti duomenų rinkinys, tarpusavio sutartyse apibrėžti elektroninės atpažinties schemų saugumo užtikrinimo reikalavimai;

15.1.1.3. duomenys apie elektroninės atpažinties ESŠ sistemas – šalis, sistemos pavadinimas, galimi duomenų rinkiniai, perduodamiems bei gaunamiems duomenims suteikta patikimumo kategorija;

15.1.2. apskaitos duomenys apie elektroninės atpažinties ir tapatumo nustatymo faktus:

15.1.2.1. tapatumo nustatymo būdas ir laikas;

15.1.2.2. asmens tapatybės duomenų sąrašas (be reikšmių);

15.1.2.3. ryšio sesijos identifikatorius;

15.1.2.4. elektroninės atpažinties identifikatorius;

15.1.2.5. elektroninės atpažinties ir tapatumo nustatymo liudijimo išdavimo data ir laikas;

15.1.2.6. elektroninės atpažinties galiojimo laikotarpis;

15.1.2.7. sistemą, kuriai perduodami asmens tapatybės duomenys, identifikuojantys duomenys;

15.1.2.8. tapatumo nustatymo proceso rezultatas (pateikta, atmesta, atšaukta NETAIS naudotojo);

15.1.2.9. tapatumo nustatymo duomenų vientisumo ir autentiškumo patvirtinimui reikalingi duomenys;

15.1.2.10. tapatumo nustatymo duomenų perdavimo sesijos parametrai;

15.2. NETAIS, asmens prašymu, jo tapatumo nustatymo procese (proceso metu) gali būti perduodami:

15.2.1. fizinio asmens tapatybės duomenys:

15.2.1.1. asmens vardas;

15.2.1.2. asmens pavardė;

15.2.1.3. gimimo data ir vieta;

15.2.1.4. asmens kodas ar kitas asmens identifikacinis numeris;

15.2.1.5. asmens pilietybė;

15.2.1.6. gyvenamosios vietos adresas;

15.2.1.7. fizinio asmens atstovavimo juridiniam asmeniui duomenys;

15.2.2. juridinio asmens tapatybės duomenys:

15.2.2.1. identifikacinis kodas;

15.2.2.2. fiskalinis kodas;

15.2.2.3. pavadinimas;

15.2.2.4. tipas;

15.2.2.5. statusas;

15.2.2.6. veiklos sritis;

15.2.2.7. buveinės adresas;

15.2.2.8. atstovaujantis asmuo;

15.2.2.9. atstovavimo įgaliojimai ir jų statusas;

15.2.2.10. papildomi duomenys pagal elektroninių paslaugų teikėjo nustatytus reikalavimus, jeigu jie privalomi norint gauti elektroninę paslaugą;

15.3. NETAIS sąrankos bylose saugomi NETAIS komponenčių sąrankos duomenys.

16. Šių Nuostatų 15.2. papunktyje nurodyti duomenys NETAIS nekaupiami.

17. NETAIS tapatumo nustatymo procesui reikalingi duomenys gaunami iš šių Nuostatų 14 punkte nurodytų NETAIS duomenų teikėjų (konkretūs duomenų elementai apibrėžiami duomenų teikimo sutartyse).

IV SKYRIUS

NETAIS FUNKCINĖ STRUKTŪRA

18. NETAIS funkcinę struktūrą sudaro:

18.1. NETAIS elektroninės atpažinties duomenų surinkimo, suformavimo ir apsikeitimo komponentė, kuri:

18.1.1. surenka asmens tapatybės duomenis iš NETAIS duomenų teikėjų ir juos patvirtina NETAIS elektroniniu sertifikatu;

18.1.2. vykdo duomenų mainus su elektroninių paslaugų teikėjų sistemomis, kurioms yra pateikiami tapatumo nustatymo duomenys;

18.1.3. vykdo duomenų mainus su pasikliaujančiomis šalimis;

18.2. NETAIS asmens tapatybės duomenų patikros komponentė, kuri patikrina pateiktus tapatybės užklausų duomenis su galimų asmens tapatybės duomenų teikėjų sąrašais ir patikrina tapatumo nustatymo saugos užtikrinimo lygį;

18.3. NETAIS elektroninės atpažinties apskaitos įrašų valdymo komponentė, kuri įrašo ir kaupia apskaitos įrašus apie elektroninės atpažinties, tapatumo nustatymo ir duomenų perdavimo faktus bei formuoja statistines ataskaitas;

18.4. NETAIS administravimo ir duomenų mainų valdymo komponentė, kuri skirta:

18.4.1. registruoti ir konfigūruoti sisteminius duomenų mainų parametrus;

18.4.2. administruoti NETAIS funkcionavimo procesus, informacinės sistemos naudotojus ir jų teises;

18.4.3. tvarkyti komponenčių sąrankas;

18.4.4. stebėti ir fiksuoti saugumo įvykius, įstatymų nustatyta tvarka teikti informaciją apie elektroninės atpažinties, tapatumo nustatymo ir duomenų perdavimo faktus subjektams, turintiems teisę ją gauti;

18.4.5. tvarkyti elektroninėje atpažintyje dalyvaujančių sistemų sąveikos sąranką.

V SKYRIUS

NETAIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS

19. NETAIS duomenų gavėjai yra Lietuvos Respublikos ir ESŠ juridiniai asmenys, valdantys ar tvarkantys sistemas, kuriomis teikiamos elektroninės paslaugos, prie kurių prisijungiant reikalinga elektroninė atpažintis.

20. Tapatumo nustatymo duomenys elektroninių paslaugų teikėjų sistemoms, teikiami vadovaujantis SAML (angl. Security Assertion Markup Language), standartu XML pagrindu sukurtu saugiu protokolu, skirtu apsikeisti asmens tapatybės duomenimis tarp asmens tapatybės duomenų teikėjų ir elektroninių paslaugų teikėjų sistemų, nustatyta asmens tapatybės duomenų apimtimi.

21. Duomenys NETAIS duomenų gavėjams iš ESŠ, trečiųjų šalių teikiami pagal ADTA įstatymą ir vadovaujantis Reglamentu.

22. NETAIS kaupiami ir saugomi techniniai duomenys apie elektroninės atpažinties, tapatumo nustatymo ir duomenų perdavimo faktus, naudojami tik vidinei statistinei procesų analizei ir šių Nuostatų 21 punkte nurodytiems duomenų gavėjams neteikiami, išskyrus atvejus, kai šie duomenys yra naudojami tapatumo nustatymo procedūrose arba kai pagal prašymą teikiami subjektams, teisės aktų nustatyta tvarka turintiems teisę gauti tokius duomenis.

VI SKYRIUS

NETAIS DUOMENŲ SAUGA

23. NETAIS duomenų saugą nustato NETAIS duomenų saugos nuostatai ir saugos politiką įgyvendinantys dokumentai, kurie rengiami, derinami ir tvirtinami Saugos aprašo nustatyta tvarka.

24. Už duomenų saugą pagal kompetenciją atsako NETAIS valdytojas ir NETAIS tvarkytojas, kurie privalo NETAIS duomenų saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka užtikrinti reikiamas administracines, metodines, technines ir organizacines duomenų saugos priemones ir tokių priemonių laikymąsi.

25. NETAIS duomenų saugos organizacinės, techninės, metodinės ir kitos priemonės įgyvendinamos vadovaujantis Išteklių įstatymu, Organizaciniais-techniniais reikalavimais, Saugos aprašu ir kitais teisės aktais.

26. NETAIS duomenų saugos reikalavimai yra įgyvendinami vadovaujantis Lietuvos standartu LST ISO/IEC 27002:2014 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir LST ISO/IEC 27001:2013 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir kitais standartais.

27. Sukaupti duomenys apie elektroninės atpažinties, tapatumo nustatymo ir duomenų perdavimo faktus NETAIS saugomi 1 metus. Pasibaigus šiam laikotarpiui, duomenys yra archyvuojami ir 10 metų saugomi NETAIS duomenų bazės archyve. Pasibaigus duomenų saugojimo archyve laikui duomenys yra sunaikinami.

28. Asmens duomenų sauga NETAIS yra užtikrinama vadovaujantis ADTA įstatymu, Organizaciniais-techniniais reikalavimais ir Saugos aprašu.

29. NETAIS valdytojas, NETAIS tvarkytojas privalo užtikrinti, kad jų darbuotojai, kurie yra susiję su asmens duomenų tvarkymu, būtų įpareigoti saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga ir jų teisinė atsakomybė privalo galioti ir šiems asmenims pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas, pasibaigus jų darbo ar sutartiniams santykiams.

30. NETAIS duomenų gavėjai yra atsakingi už duomenų naudojimą, nepažeidžiant ADTA įstatymo bei kitų teisės aktų.

VII SKYRIUS

NETAIS FINANSAVIMAS

31. NETAIS kūrimas, eksploatacija ir modernizavimas finansuojamas Lietuvos Respublikos biudžeto, įskaitant Europos Sąjungos struktūrinių fondų lėšas ir kitas lėšas, numatytas Išteklių įstatymo 38 straipsnyje.

VIII SKYRIUS

NETAIS MODERNIZAVIMAS IR LIKVIDAVIMAS

32. NETAIS modernizuojama ir likviduojama Lietuvos Respublikos teisės aktų nustatyta tvarka.

33. NETAIS likviduojant, NETAIS duomenys perduodami kitos tokią pat arba panašią paskirtį turinčios sistemos valdytojui ir (ar) tvarkytojui, kitos, steigiamos vietoj likviduojamos, sistemos valdytojui ir (ar) tvarkytojui arba perduodami valstybės archyvams Lietuvos Respublikos dokumentų ir archyvų įstatymo nustatyta tvarka.

IX SKYRIUS

BAIGIAMOSIOS NUOSTATOS

34. NETAIS valdymas ir sauga vertinami atliekant informacinių technologijų auditą Išteklių įstatymo nustatyta tvarka ir per nustatytus terminus.

_________________________