LIETUVOS RESPUBLIKOS SUSISIEKIMO MINISTRAS
ĮSAKYMAS
DĖL EISMO ĮVYKIŲ INFORMACINĖS SISTEMOS PERTVARKYMO IR EISMO ĮVYKIŲ INFORMACINĖS SISTEMOS NUOSTATŲ BEI EISMO ĮVYKIŲ INFORMACINĖS SISTEMOS DUOMENŲ SAUGOS NUOSTATŲ PATVIRTINIMO
2024 m. birželio 25 d. Nr. 3-231
Vilnius
Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 24 straipsnio 2 dalies 2 punktu ir 27 straipsnio 1 dalies 1 punktu, Lietuvos Respublikos saugaus eismo automobilių keliais įstatymo 271 straipsnio 9 dalimi, Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo, patvirtinto Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“, 11 punktu, Registrų ir valstybės informacinių sistemų registro nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2012 m. spalio 16 d. nutarimu Nr. 1263 „Dėl registrų sąrašo reorganizavimo į Registrų ir valstybės informacinių sistemų registrą ir Registrų ir valstybės informacinių sistemų registro nuostatų patvirtinimo“, 15 punktu:
1. P e r t v a r k a u Eismo įvykių informacinę sistemą – pakeičiu informacinės sistemos valdytoją, duomenų valdytoją ir informacinės sistemos tvarkytojus.
2. T v i r t i n u pridedamus:
3. S k i r i u Lietuvos Respublikos susisiekimo ministeriją Eismo įvykių informacinės sistemos valdytoja ir duomenų valdytoja.
4. S k i r i u viešąją įstaigą Transporto kompetencijų agentūrą, Policijos departamentą prie Lietuvos Respublikos vidaus reikalų ministerijos ir Informatikos ir ryšių departamentą prie Lietuvos Respublikos vidaus reikalų ministerijos Eismo įvykių informacinės sistemos tvarkytojais ir duomenų tvarkytojais.
5. P a v e d u viešajai įstaigai Transporto kompetencijų agentūrai:
5.1. prireikus parengti ir pateikti sutarčių su Policijos departamentu prie Lietuvos Respublikos vidaus reikalų ministerijos ir Informatikos ir ryšių departamentu prie Lietuvos Respublikos vidaus reikalų ministerijos dėl Eismo įvykių informacinės sistemos informacinių technologijų paslaugų ir techninės priežiūros paslaugų teikimo išlaidų kompensavimo projektus ir juose numatyti, kad pereinamuoju laikotarpiu, t. y. iki bus sukurta ir pradės funkcionuoti atnaujinta Eismo įvykių informacinė sistema, išlaidos kompensuojamos iš Kelių priežiūros ir plėtros programos lėšų;
5.2. per 3 mėnesius nuo šio įsakymo įsigaliojimo dienos pateikti susisiekimo ministrui:
5.2.1. Eismo įvykių informacinės sistemos saugaus elektroninės informacijos tvarkymo taisyklių projektą;
6. Į g a l i o j u viešąją įstaigą Transporto kompetencijų agentūrą teikti Registrų ir valstybės informacinių sistemų registrui duomenis, informaciją, dokumentus ir (arba) jų kopijas apie tvarkomą Eismo įvykių informacinę sistemą.
7. N u s t a t a u, kad:
7.1. iki 2024 m. liepos 1 d. sudarytos sutartys dėl Eismo įvykių informacinės sistemos duomenų teikimo laikomos galiojančiomis, kol pasibaigia jų galiojimo terminas;
PATVIRTINTA
Lietuvos Respublikos susisiekimo ministro
2024 m. birželio 25 d. įsakymu Nr. 3-231
EISMO ĮVYKIŲ INFORMACINĖS SISTEMOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Eismo įvykių informacinės sistemos nuostatai (toliau – Nuostatai) reglamentuoja Eismo įvykių informacinės sistemos (toliau – EĮIS) steigimo teisinį pagrindą, paskirtį, EĮIS valdytoją, EĮIS duomenų valdytoją, EĮIS tvarkytojus ir EĮIS duomenų tvarkytojus, jų teises ir pareigas, EĮIS duomenų, informacijos ir EĮIS pateiktų dokumentų ir (ar) jų kopijų tvarkymą, teikimą ir naudojimą, EĮIS sąveiką su susijusiais registrais ir informacinėmis sistemomis, EĮIS duomenų ir informacijos saugą, EĮIS finansavimą, atnaujinimą, pertvarkymą ir likvidavimą.
2. EĮIS steigimo pagrindas – Lietuvos Respublikos saugaus eismo automobilių keliais įstatymo 27¹ straipsnio 9 dalis.
3. EĮIS tikslai:
3.1. informacinių technologijų priemonėmis skaitmenizuoti eismo įvykių veiklos procesus, tvarkyti eismo įvykių duomenis, atlikti eismo įvykių duomenų stebėseną, saugoti, naudoti ir teikti Lietuvos Respublikos ir Europos Sąjungos institucijoms, kitiems juridiniams ir fiziniams asmenims EĮIS registruojamų eismo įvykių duomenis ir skelbti juos viešai;
4. EĮIS kuriama ir tvarkoma vadovaujantis:
4.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
4.11. Kelių eismo taisyklėmis, patvirtintomis Lietuvos Respublikos Vyriausybės 2002 m. gruodžio 11 d. nutarimu Nr. 1950 „Dėl Kelių eismo taisyklių patvirtinimo“ (toliau – Kelių eismo taisyklės);
4.12. Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. vasario 27 d. nutarimu Nr. 180 „Dėl Valstybės informacinių sistemų steigimo, kūrimo, modernizavimo ir likvidavimo tvarkos aprašo patvirtinimo“ (toliau – Valstybės informacinių sistemų tvarkos aprašas);
4.13. Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas);
4.14. Valstybės informacinių sistemų gyvavimo ciklo valdymo metodika, patvirtinta Informacinės visuomenės plėtros komiteto prie Susisiekimo ministerijos direktoriaus 2014 m. vasario 25 d. įsakymu Nr. T-29 „Dėl Valstybės informacinių sistemų gyvavimo ciklo valdymo metodikos patvirtinimo“;
4.15. Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2023 m. liepos 19 d. nutarimu Nr. 576 „Dėl Valstybės informacinių išteklių svarbos vertinimo tvarkos aprašo patvirtinimo“;
4.16. Valstybės informacinių išteklių svarbos vertinimo metodika, patvirtinta Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. liepos 19 d. įsakymu Nr. 4-418 „Dėl Valstybės informacinių išteklių svarbos vertinimo metodikos patvirtinimo“ (toliau – Metodika);
5. Nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Nuostatų 4.1–4.11, 4.13, 4.14 papunkčiuose nurodytuose teisės aktuose.
6. Pagrindiniai EĮIS uždaviniai:
7. Pagrindinės EĮIS funkcijos:
8. Asmens duomenų tvarkymo EĮIS tikslai:
8.1. identifikuoti transporto priemones ir asmenis, kurie dalyvavo eismo įvykiuose ar buvo su jais susiję, užtikrinti duomenų apie transporto priemones ir asmenis, kurie dalyvavo eismo įvykiuose ar buvo su jais susiję, apdorojimą ir su eismo įvykių tyrimu ir jo rezultatais susijusių dokumentų formavimą, taip pat formuoti statistinę informaciją;
8.2. identifikuoti EĮIS naudotojus – EĮIS tvarkytojų, EĮIS duomenų tvarkytojų, policijos įstaigų darbuotojus, kurie naudoja EĮIS paskirtoms funkcijoms vykdyti, užtikrinti tinkamą EĮIS naudotojų administravimą, taip pat prižiūrėti ir valdyti EĮIS procesus, fiksuoti šių asmenų EĮIS atliekamus veiksmus ir vykdyti atliktų veiksmų teisėtumo auditą.
II SKYRIUS
EĮIS ORGANIZACINĖ STRUKTŪRA
9. Organizacinę EĮIS struktūrą sudaro EĮIS valdytojas, EĮIS duomenų valdytojas, EĮIS tvarkytojai, EĮIS duomenų tvarkytojai bei EĮIS duomenų teikėjai.
10. EĮIS valdytojas, EĮIS duomenų valdytojas ir asmens duomenų valdytojas yra Lietuvos Respublikos susisiekimo ministerija (toliau – EĮIS valdytojas), kuris:
10.2. atlieka Valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šiame įstatyme nurodytas teises ir pareigas;
11. EĮIS tvarkytojai, EĮIS duomenų tvarkytojai ir asmens duomenų tvarkytojai (toliau kartu – EĮIS tvarkytojai) yra:
11.2. Policijos departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – Policijos departamentas);
12. TKA:
12.1. atlieka Valstybės informacinių išteklių valdymo įstatymo nustatytas funkcijas, turi šio įstatymo 26 straipsnio 3 dalies 3 ir 5 punktuose, 4 dalies 2–9 punktuose, 5 dalyje informacinės sistemos duomenų tvarkytojui ir šio įstatymo 27 straipsnio 3 dalies 2–6 punktuose, 4 dalies 3, 4, 6–9 ir 11 punktuose bei 5 dalyje informacinės sistemos tvarkytojui nurodytas teises ir pareigas;
12.2. vykdo Reglamente (ES) 2016/679 nustatytas duomenų tvarkytojo prievoles; Reglamento (ES) 2016/679 28 straipsnio 3 dalyje nustatytos duomenų tvarkytojo prievolės duomenų valdytojo atžvilgiu detaliai aptariamos asmens duomenų tvarkymo sutartyje, sudarytoje tarp EĮIS valdytojo ir TKA;
12.3. rengia EĮIS duomenų teikimo sutartis; kartu su Informatikos ir ryšių departamentu rengia automatizuotas duomenų teikimo sutartis ir informuoja kitus EĮIS tvarkytojus apie naujas pasirašytas sutartis;
13. Policijos departamentas eksploatuoja EĮIS, apdoroja EĮIS informaciją ir atlieka šias funkcijas:
13.1. įgyvendina Valstybės informacinių išteklių valdymo įstatymo 26 straipsnio 3 dalies 2–5 punktuose, 4 dalies 1–5 ir 7–9 punktuose, 5 dalyje informacinės sistemos duomenų tvarkytojui ir 27 straipsnio 3 dalies 2–6 punktuose, 4 dalies 3–5, 7, 9 ir 11 punktuose bei 5 dalyje tvarkytojui nurodytas teises ir pareigas;
13.2. vykdo Reglamente (ES) 2016/679 nustatytas duomenų tvarkytojo prievoles ir įgyvendina duomenų subjektų teises, numatytas Reglamento (ES) 2016/679 III skyriuje; Reglamento (ES) 2016/679 28 straipsnio 3 dalyje nustatytos duomenų tvarkytojo prievolės duomenų valdytojo atžvilgiu detaliai aptariamos asmens duomenų tvarkymo sutartyje, sudarytoje tarp EĮIS valdytojo ir Policijos departamento;
13.3. pagal kompetenciją registruoja Nuostatų 19 punkte nurodytus EĮIS objektus ir tvarko šių objektų duomenis;
13.4. registruoja ir suteikia prieigos prie EĮIS teises EĮIS naudotojams – policijos įstaigų darbuotojams, kurių funkcijoms atlikti būtini EĮIS duomenys, užtikrina, kad šie darbuotojai būtų įsipareigoję užtikrinti asmens duomenų konfidencialumą;
13.5. analizuoja EĮIS procesus ir atlieka EĮIS naudotojų – policijos įstaigų darbuotojų veiksmų teisėtumo patikrą (auditą);
13.9. Lietuvos Respublikos viešųjų pirkimų įstatymo nustatyta tvarka organizuoja pirkimo procedūras ir sudaro sutartis su juridiniais asmenimis ar asmenimis (asmenų grupėmis), kuriems Valstybės informacinių išteklių valdymo įstatymo 39 straipsnyje nustatytomis sąlygomis ir tvarka perduodamos EĮIS ir (ar) informacinių technologijų priemonių techninės priežiūros funkcijos.
14. Policijos įstaigos apdoroja EĮIS informaciją ir atlieka šias funkcijas:
14.1. Policijos departamento pavedimu tvarko EĮIS duomenis ir vykdo Reglamento (ES) 2016/679 28 straipsnio 3 dalyje nustatytas prievoles; detalios Reglamento (ES) 2016/679 28 straipsnio 2 ir 4 dalyse nustatytos sąlygos nurodomos asmens duomenų tvarkymo sutartyje (-yse), sudarytoje (-ose) tarp Policijos departamento ir policijos įstaigų;
14.2. pagal kompetenciją registruoja Nuostatų 19 punkte nurodytus EĮIS objektus ir tvarko šių objektų duomenis;
15. Informatikos ir ryšių departamentas apdoroja EĮIS informaciją ir atlieka šias funkcijas:
15.1. įgyvendina Valstybės informacinių išteklių valdymo įstatymo 26 straipsnio 3 dalies 3–5 punktuose, 4 dalies 2–5, 8 ir 9 punktuose, 5 dalyje informacinės sistemos duomenų tvarkytojui ir 27 straipsnio 3 dalies 2–6 punktuose, 4 dalies 1–5, 7–11 punktuose bei 5 dalyje tvarkytojui nurodytas teises ir pareigas;
15.2. vykdo Reglamente (ES) 2016/679 nustatytas duomenų tvarkytojo prievoles; Reglamento (ES) 2016/679 28 straipsnio 3 dalyje nustatytos duomenų tvarkytojo prievolės duomenų valdytojo atžvilgiu detaliai aptariamos asmens duomenų tvarkymo sutartyje, sudarytoje tarp EĮIS valdytojo ir Informatikos ir ryšių departamento;
15.3. registruoja ir suteikia prieigos prie EĮIS teises naudotojams (išskyrus policijos įstaigų darbuotojus), kurių funkcijoms atlikti būtini EĮIS duomenys, užtikrina, kad šie darbuotojai būtų įsipareigoję užtikrinti asmens duomenų konfidencialumą;
15.4. kartu su TKA analizuoja EĮIS procesus ir EĮIS naudotojų (išskyrus policijos įstaigų darbuotojus) veiksmus ir vykdo atliktų veiksmų teisėtumo patikrą (auditą);
15.5. suteikia EĮIS tarnybinių stočių, kuriose veikia EĮIS programinė įranga, naudotojų administravimo, naudotojų atliktų veiksmų audito, EĮIS sąsajų su susijusiais registrais ir informacinėmis sistemomis bei kita EĮIS programine įranga išteklius, suteikia duomenų kaupyklų ir Vidaus reikalų telekomunikacinio tinklo (toliau – VRTT) išteklius ir vykdo jų techninę priežiūrą;
15.6. pagal kompetenciją užtikrina EĮIS tvarkomų ir VRTT perduodamų duomenų saugą, sąveiką su susijusiais registrais ir informacinėmis sistemomis;
15.7. pagal kompetenciją užtikrina duomenų, gaunamų iš susijusių registrų ir informacinių sistemų, atnaujinimą;
16. EĮIS duomenų teikėjai, teikiantys duomenis, kaupiamus informacinėse sistemose ir registruose:
16.1. Policijos departamentas teikia duomenis iš:
16.2. Informatikos ir ryšių departamentas teikia duomenis iš:
16.3. valstybės įmonė Registrų centras teikia duomenis iš:
16.4. akcinė bendrovė „Regitra“ teikia duomenis iš:
17. Lietuvos Respublikos juridiniai asmenys, teikiantys duomenis iš savo informacinių sistemų:
17.1. Lietuvos techninės apžiūros įmonių asociacija teikia duomenis iš Centralizuotosios techninės apžiūros duomenų bazės;
18. Lietuvos Respublikos ir kitų valstybių fiziniai ir juridiniai asmenys, teikiantys duomenis, nekaupiamus informacinėse sistemose ir registruose:
18.2. eismo įvykių dalyviai, liudininkai, transporto priemonių, kurios dalyvavo eismo įvykiuose, savininkai ir valdytojai, juridiniai asmenys, kurių darbuotojai dalyvavo eismo įvykiuose, kiti fiziniai ir juridiniai asmenys;
III SKYRIUS
EĮIS INFORMACINĖ STRUKTŪRA
19. EĮIS duomenų bazėje tvarkomi:
19.1. bendrieji EĮIS duomenys:
19.1.2. jei duomenys gaunami iš Policijos registruojamų įvykių registro – šio registro objekto identifikavimo kodas;
19.2. duomenys apie važiavimo sąlygas eismo įvykio metu:
19.3. eismo įvykio vieta (adresas):
19.7. eismo įvykyje dalyvavusių transporto priemonių duomenys:
19.7.2. registro objekto unikalus identifikavimo kodas Lietuvos Respublikos kelių transporto priemonių registre, Lietuvos Respublikos traktorių, savaeigių ir žemės ūkio mašinų ir jų priekabų registre ar kitame transporto registre;
19.7.3. identifikavimo numeris (VIN kodas) ir identifikavimo kodas Lietuvos Respublikos kelių transporto priemonių registre, Lietuvos Respublikos traktorių, savaeigių ir žemės ūkio mašinų ir jų priekabų registre ar kitame transporto registre;
19.8. transporto priemonės savininko (valdytojo) duomenys:
19.8.1. fizinio asmens vardas (vardai), pavardė (pavardės), asmens kodas (gimimo data), gyvenamoji vieta, telefono ryšio numeris, elektroninio pašto adresas;
19.9. transporto priemonių privalomosios techninės apžiūros duomenys:
19.10. transporto priemonių valdytojų civilinės atsakomybės privalomojo ir kitokio draudimo duomenys:
19.15. žyma, kad transporto priemonei po eismo įvykio uždrausta dalyvauti viešajame eisme (taip, ne), uždraudimo data, įstaigos, kurios pareigūnas priėmė sprendimą, pavadinimas;
19.18. eismo įvykio dalyvių duomenys:
19.18.11. eismo įvykyje dalyvavusio asmens būsena:
19.18.11.2. neblaivus:
19.18.12. eismo įvykio dalyvių būklė:
19.18.12.2. sužeistas:
19.18.12.3. traumos sunkumas:
19.18.13. vairuotojo kvalifikacija:
19.18.14. vairuotojo, traktorininko ar kitokio pažymėjimo, suteikiančio teisę vairuoti transporto priemones, duomenys:
19.18.14.7. transporto priemonių, kurias vairuotojo pažymėjimo savininkas turi teisę vairuoti, kategorijos (toliau – kategorijos);
19.19. nuoroda, kad valstybės ar žinybiniuose registruose yra duomenų:
19.19.1. apie teismų nuosprendžius ar nutartis arba prokurorų nutarimus nutraukti ikiteisminį tyrimą, kuriais asmeniui uždraudžiama naudotis specialia teise, arba apie taikytą kardomąją priemonę – vairuotojo pažymėjimo paėmimą;
19.20. duomenys apie ikiteisminį tyrimą, kuris pradėtas dėl eismo įvykio:
19.21. duomenys apie eismo įvykių kaltininkams ir kitiems jų dalyviams taikytas administracines nuobaudas:
19.22. eismo įvykio vietos, transporto priemonių ir kitų objektų, susijusių su eismo įvykiu, nuotraukos;
19.23. garso ir (ar) vaizdo įrašai, liudytojų parodymai, ekspertų išvados, kiti dokumentai, turintys įtakos eismo įvykių tyrimui;
19.24. EĮIS naudotojų duomenys:
19.25. pagal EĮIS duomenis suformuoti elektroniniai dokumentai:
20. EĮIS duomenims tvarkyti naudojami šie klasifikatoriai:
21. EĮIS duomenų teikėjų, nurodytų Nuostatų 16 ir 17 punktuose, teikiami duomenys:
21.1. Policijos departamentas teikia:
21.1.1. iš Policijos registruojamų įvykių registro – Nuostatų 19.1.2, 19.1.5, 19.1.6, 19.3.1–19.3.6 ir 19.20 papunkčiuose nurodytus duomenis;
21.1.2. iš Prevencinių poveikio priemonių taikymo registro – Nuostatų 19.19.3 papunktyje nurodytus duomenis;
21.2. valstybės įmonė Registrų centras teikia iš Lietuvos Respublikos adresų registro duomenų bazės tekstinių duomenų išrašus ir tarpinius tekstinių duomenų išrašus dėl Nuostatų 19.3.1–19.3.7 papunkčiuose nurodytų duomenų (išskyrus duomenų elementą „sankryžos tipas“);
21.3. akcinė bendrovė „Regitra“ teikia:
21.3.1. iš Lietuvos Respublikos kelių transporto priemonių registro – Nuostatų 19.7.2, 19.7.3, 19.7.6–19.7.12 ir 19.8 papunkčiuose nurodytus duomenis;
21.3.2. iš Lietuvos Respublikos kelių transporto priemonių vairuotojų registro – Nuostatų 19.18.14 papunktyje nurodytus duomenis;
21.4. valstybės įmonė Žemės ūkio duomenų centras teikia iš Lietuvos Respublikos traktorių, savaeigių ir žemės ūkio mašinų ir jų priekabų registro – Nuostatų 19.7.2, 19.7.3, 19.7.6–19.7.9, 19.7.11, 19.7.12 ir 19.8 papunkčiuose nurodytus duomenis;
21.5. valstybės įmonė Registrų centras teikia iš Lietuvos Respublikos gyventojų registro – Nuostatų 19.18.2–19.18.8 ir 19.18.10 papunkčiuose nurodytus duomenis;
21.6. Informatikos ir ryšių departamentas teikia:
21.6.1. iš Užsieniečių registro – Nuostatų 19.18.2–19.18.8 ir 19.18.10 papunkčiuose nurodytus duomenis;
21.6.2. iš Įtariamųjų, kaltinamųjų ir nuteistųjų registro – Nuostatų 19.19.1 papunktyje nurodytus duomenis;
21.6.3. iš Ieškomų asmenų, neatpažintų lavonų ir nežinomų bejėgių asmenų žinybinio registro – Nuostatų 19.19.2 papunktyje nurodytus duomenis;
21.7. Lietuvos techninės apžiūros įmonių asociacija teikia iš Centralizuotosios techninės apžiūros duomenų bazės – Nuostatų 19.9 papunktyje nurodytus duomenis;
22. EĮIS duomenų teikėjų, nurodytų Nuostatų 18 punkte, teikiami duomenys:
22.1. policijos įstaigos teikia Nuostatų 19.1.4–19.1.15, 19.2.1–19.2.6, 19.2.8–19.2.10, 19.3–19.6, 19.7.1, 19.7.3–19.7.12, 19.8–19.17, 19.18.1–19.18.9, 19.18.11.1, 19.18.11.2, 19.18.12.1, 19.18.12.2, 19.18.12.5, 19.18.13, 19.18.14.1–19.18.14.5, 19.18.14.7–19.18.14.9, 19.18.15–19.18.20, 19.23 ir 19.24 papunkčiuose nurodytus duomenis;
22.2. eismo įvykių dalyviai, liudininkai, transporto priemonių, kurios dalyvavo eismo įvykiuose, savininkai ir valdytojai, juridiniai asmenys, kurių darbuotojai dalyvavo eismo įvykiuose, kiti fiziniai ir juridiniai asmenys teikia Nuostatų 19.23, 19.18.3, 19.18.4 ir 19.24.3, 19.24.4 papunkčiuose nurodytus duomenis;
22.3. sveikatos priežiūros įstaigos teikia Nuostatų 19.18.11, 19.18.12.1, 19.18.12.2, 19.18.12.4 ir 19.18.12.5 papunkčiuose nurodytus duomenis;
IV SKYRIUS
EĮIS FUNKCINĖ STRUKTŪRA
23. EĮIS funkcinę struktūrą sudaro:
23.1. Eismo įvykių posistemis, kurio funkcijos yra:
23.2. Erdvinių duomenų posistemis, kurio funkcija yra nustatyti ir atvaizduoti eismo įvykių vietų erdvinius duomenis;
23.3. Ataskaitų rengimo posistemis, kurio funkcija yra apdoroti sukauptus EĮIS duomenis, juos detalizuoti, sisteminti ir formuoti eismo įvykių statistines ataskaitas;
23.4. Duomenų mainų posistemis, kurio funkcija yra užtikrinti EĮIS duomenų mainus su registrų informacinėmis sistemomis, valstybės informacinėmis sistemomis ir vidaus administravimo informacinėmis sistemomis;
V SKYRIUS
EĮIS DUOMENŲ TEIKIMAS IR NAUDOJIMAS
24. EĮIS duomenys, išskyrus asmens duomenis, teikiami duomenų gavėjams, jeigu Lietuvos Respublikos įstatymai, tiesiogiai taikomi Europos Sąjungos teisės aktai ar Lietuvos Respublikos tarptautinės sutartys nenustato kitaip.
25. EĮIS tvarkomi asmens duomenys teikiami Nuostatų 29 punkte nustatyta tvarka, laikantis Reglamento (ES) 2016/679 ir ADTAĮ reikalavimų.
26. EĮIS duomenys teikiami:
26.3. mokesčių administravimo, teisėtvarkos institucijoms ir teismams teisės aktuose nustatytoms funkcijoms atlikti;
26.4. draudimo įmonėms (filialams) ir Lietuvos Respublikos transporto priemonių draudikų biurui tiek, kiek tai susiję su gyvybės, sveikatos, nelaimingų atsitikimų, transporto priemonių valdytojų civilinės atsakomybės privalomuoju ir (ar) kitokiu draudimu;
26.5. Lietuvos techninės apžiūros įmonių asociacijai tiek, kiek tai susiję su motorinių transporto priemonių, priekabų, sugadintų eismo įvykio metu, uždraudimu dalyvauti viešajame eisme;
26.6. valstybės ir savivaldybių institucijoms ir įstaigoms teisės aktuose nustatytoms funkcijoms atlikti;
27. EĮIS duomenys duomenų gavėjams teikiami tokio formato, turinio ar apimties, kokia naudojama EĮIS, t. y. duomenys papildomai neapdorojami. Tais atvejais, kai teikiamų duomenų formatas, turinys ar apimtis neatitinka duomenų gavėjo poreikių dėl duomenų formato, turinio ar apimties arba duomenų gavėjas neturi techninių galimybių tinkamai apdoroti gautų duomenų, Policijos departamentas ir TKA, esant techninėms galimybėms, gali duomenis pateikti kitu formatu, kuris turi būti numatytas duomenų teikimo sutartyje.
28. EĮIS duomenys gali būti:
29. Nuostatų 26 punkte nurodytiems duomenų gavėjams EĮIS duomenys teikiami:
29.1. pagal EĮIS duomenų gavėjo rašytinį prašymą (vienkartinio teikimo atveju), kuriame nurodomas EĮIS duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas (išskyrus atvejus, kai prašymą gauti savo asmens duomenis teikia fiziniai asmenys) ir prašomų pateikti EĮIS duomenų apimtis;
29.2. pagal su Nuostatų 11.1, 11.2 papunkčiuose nurodytais EĮIS tvarkytojais sudarytą duomenų teikimo sutartį ar automatizuotą duomenų teikimo sutartį (daugkartinio teikimo atveju), kurioje nurodomas EĮIS duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų EĮIS duomenų apimtis.
30. Atsakymas į rašytinį prašymą pateikti EĮIS duomenis išsiunčiamas ne vėliau kaip per 20 darbo dienų nuo rašytinio prašymo gavimo dienos, jeigu įstatymai nenustato kitaip.
31. EĮIS duomenų gavėjas, gaunantis EĮIS duomenis pagal sutartį arba prašymą, privalo EĮIS duomenis naudoti (taip pat ir pakartotinai) tik taip, kaip apibrėžta sutartyje arba prašyme, ir užtikrindamas sutartyje numatytas apsaugos priemones. EĮIS duomenų gavėjai asmens duomenis gali naudoti tik tokiam tikslui, tokios apimties ir tokiu būdu, kokie buvo nurodyti duomenų gavėjo prašyme arba duomenų teikimo sutartyje. EĮIS duomenų gavėjai negali keisti iš EĮIS gautų duomenų ir juos naudodami privalo nurodyti duomenų šaltinį. Asmens duomenys naudojami vadovaujantis Reglamentu (ES) 2016/679 ir ADTAĮ.
32. EĮIS duomenys teikiami neatlygintinai, jei Lietuvos Respublikos įstatymuose, tiesiogiai taikomuose Europos Sąjungos teisės aktuose ar Lietuvos Respublikos tarptautinėse sutartyse nenustatyta kitaip.
33. EĮIS susijusių registrų ir informacinių sistemų perduotus duomenis teikia tik kartu su savo duomenimis ar informacija Nuostatų nustatyta tvarka.
34. EĮIS tvarkomi duomenys, įskaitant asmens duomenis, Europos Sąjungos valstybių narių ar Europos ekonominės erdvės valstybių duomenų gavėjams teikiami tokia pačia tvarka ir sąlygomis kaip ir Lietuvos Respublikos duomenų gavėjams.
35. Trečiųjų šalių, kurios nėra Europos Sąjungos valstybės narės ar Europos ekonominės erdvės valstybės, duomenų gavėjams EĮIS duomenys teikiami tokia pačia tvarka ir sąlygomis kaip ir Lietuvos Respublikos duomenų gavėjams, jeigu Valstybės informacinių išteklių valdymo įstatymo ir kitų Lietuvos Respublikos įstatymų, tiesiogiai taikomų Europos Sąjungos teisės aktų ir jų įgyvendinamųjų teisės aktų ar kitų tarptautinės teisės aktų reikalavimai nenustato kitos tvarkos ar sąlygų, – tokiu atveju taikoma juose nustatyta tvarka ir sąlygos. Asmens duomenys šiame Nuostatų punkte nurodytiems duomenų gavėjams teikiami vadovaujantis Reglamentu (ES) 2016/679.
36. EĮIS duomenų teikimas gali būti apribotas Valstybės informacinių išteklių valdymo įstatymo 28 straipsnio 11 dalyje nustatytais atvejais.
37. Kai atsisakoma teikti EĮIS duomenis, asmeniui, pateikusiam prašymą juos gauti, raštu arba elektroninių ryšių priemonėmis pranešama apie priimtą motyvuotą sprendimą atsisakyti tenkinti jo prašymą ir suteikiama informacija apie tokio sprendimo apskundimo tvarką. Sprendimas atsisakyti teikti EĮIS duomenis gali būti skundžiamas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka ir terminais.
38. Klaidingi, netikslūs ir (ar) neišsamūs EĮIS duomenys (toliau – netikslūs duomenys) taisomi EĮIS tvarkytojų iniciatyva arba gavus suinteresuoto asmens (EĮIS duomenų teikėjo, EĮIS duomenų gavėjo, susijusio registro informacinės sistemos arba informacinės sistemos tvarkytojo, EĮIS duomenų subjekto, kito asmens) prašymą ir jį pagrindžiančius dokumentus.
39. Nustačius, kad EĮIS tvarkomi netikslūs duomenys, nedelsiant kreipiamasi į vieną iš EĮIS tvarkytojų su prašymu, pateikiamu asmeniškai, paštu ar elektroninėmis ryšių priemonėmis, nedelsiant ištaisyti netikslius duomenis ir (arba) sustabdyti tokių duomenų tvarkymo veiksmus, išskyrus saugojimą.
40. EĮIS tvarkytojas, gavęs prašymą patikslinti ar ištaisyti netikslius duomenis, per 10 darbo dienų nuo informacijos gavimo patikrina EĮIS duomenų tikslumą ir, jei reikia, kreipiasi į Policijos departamentą dėl netikslių duomenų ištaisymo. Policijos departamentas, gavęs tokį prašymą, organizuoja netikslių duomenų ištaisymą arba, jei yra galimybė, juos ištaiso. Pranešimas apie netikslių duomenų ištaisymą arba apie motyvuotą atsisakymą tai padaryti nedelsiant (ne vėliau kaip per vieną darbo dieną) siunčiamas asmeniui, pranešusiam apie netikslius duomenis, paštu ir (ar) elektroninių ryšių priemonėmis. Ištaisius netikslius duomenis, Policijos departamentas per vieną darbo dieną nuo jų ištaisymo elektroninių ryšių priemonėmis arba raštu apie tai informuoja duomenų gavėjus, kuriems perduoti netikslūs duomenys. Policijos departamentas, nustatęs, kad EĮIS yra duomenų netikslumų, turi nedelsdamas (ne vėliau kaip per vieną darbo dieną) elektroninių ryšių priemonėmis ir (ar) raštu perduoti šią informaciją susijusiam duomenų teikėjui.
41. Vadovaudamasis Teisės gauti informaciją ir duomenų pakartotinio naudojimo įstatymu, EĮIS valdytojas inventorizuoja EĮIS duomenis, sudaro EĮIS duomenų rinkinius ir užtikrina, kad sudaryti EĮIS duomenų rinkiniai būtų pateikti skelbti Lietuvos atvirų duomenų portale naudojantis Valstybės duomenų valdysenos informacinės sistemos funkcionalumu Valstybės duomenų agentūros nustatyta tvarka.
VI SKYRIUS
EĮIS DUOMENŲ SAUGA
42. EĮIS duomenų saugą nustato EĮIS valdytojo patvirtinti Eismo įvykių informacinės sistemos duomenų saugos nuostatai ir EĮIS saugos politikos įgyvendinamieji dokumentai, kurie rengiami, derinami ir tvirtinami Lietuvos Respublikos Vyriausybės nustatyta tvarka.
43. Už EĮIS duomenų ir elektroninės informacijos saugą pagal kompetenciją atsako EĮIS valdytojas, EĮIS tvarkytojai Lietuvos Respublikos įstatymų nustatyta tvarka. EĮIS valdytojas, EĮIS tvarkytojai atsako už EĮIS duomenų, įskaitant asmens duomenis, tvarkymo teisėtumą ir pagal kompetenciją privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas EĮIS esantiems duomenims apsaugoti nuo netyčinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jų. Minėtos priemonės turi užtikrinti tokio lygio saugumą, kuris atitiktų saugotinų EĮIS duomenų, įskaitant asmens duomenis, pobūdį, aprėptį, kontekstą ir tikslus, taip pat EĮIS duomenų tvarkymo keliamus įvairios tikimybės ir rimtumo pavojus asmenų teisėms ir laisvėms ir jų tvarkymo riziką.
44. EĮIS duomenų, įskaitant asmens duomenis, sauga ir asmens duomenų saugumas užtikrinamas vadovaujantis:
44.5. Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
44.6. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
44.7. Lietuvos standartais LST EN ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST EN ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos duomenų tvarkymą;
45. Asmenys, tvarkantys asmens duomenis, privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai, ir už neteisėtą asmens duomenų atskleidimą atsako Lietuvos Respublikos įstatymų nustatyta tvarka. Ši pareiga galioja ir jiems perėjus dirbti į kitas pareigas, pasibaigus jų darbo, sutartiniams ar kitiems santykiams.
46. Duomenų saugojimo EĮIS duomenų bazėje terminai:
46.1. EĮIS duomenys, įskaitant asmens duomenis, automatiškai perkeliami į EĮIS duomenų bazės archyvą praėjus 5 metams nuo eismo įvykio datos. EĮIS duomenys, įskaitant asmens duomenis, EĮIS duomenų bazės archyve saugomi 10 metų nuo EĮIS duomenų perkėlimo į šį archyvą dienos. Pasibaigus šiam terminui, EĮIS duomenys, įskaitant asmens duomenis, iš EĮIS duomenų bazės archyvo nedelsiant ištrinami automatiškai.
VII SKYRIUS
EĮIS FINANSAVIMAS
48. EĮIS kūrimas, tvarkymas, priežiūra ir plėtra finansuojami Valstybės informacinių išteklių valdymo įstatymo nustatyta tvarka iš valstybės biudžeto, Kelių priežiūros ir plėtros programos ir Europos Sąjungos struktūrinių fondų lėšų.
VIII SKYRIUS
EĮIS ATNAUJINIMAS, PERTVARKYMAS IR LIKVIDAVIMAS
50. EĮIS atnaujinama, pertvarkoma ar likviduojama Valstybės informacinių išteklių valdymo įstatymo ir Valstybės informacinių sistemų tvarkos aprašo nustatyta tvarka. Papildomos EĮIS atnaujinimo, pertvarkymo arba likvidavimo sąlygos gali būti nustatomos EĮIS valdytojo sprendimu.
IX SKYRIUS
BAIGIAMOSIOS NUOSTATOS
52. Detali duomenų subjekto teisių įgyvendinimo tvarka nustatyta susisiekimo ministro tvirtinamame duomenų subjektų teisių įgyvendinimo tvarkant asmens duomenis Lietuvos Respublikos susisiekimo ministerijos valdomuose registruose ir valstybės informacinėse sistemose tvarkos apraše.
PATVIRTINTA
Lietuvos Respublikos susisiekimo ministro
2024 m. birželio 25 d. įsakymu Nr. 3-231
EISMO ĮVYKIŲ INFORMACINĖS SISTEMOS
DUOMENŲ SAUGOS NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Eismo įvykių informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Eismo įvykių informacinės sistemos (toliau – EĮIS) elektroninės informacijos saugos politiką ir kibernetinio saugumo politiką (toliau – saugos politika), kurių tikslas – nustatyti ir įgyvendinti organizacines, administracines, technines ir kitas priemones, suteikiančias galimybę saugiai tvarkyti EĮIS duomenis ir užtikrinti, kad elektroninė informacija būtų patikima ir apsaugota nuo netyčinio ar neteisėto sunaikinimo, praradimo, pakeitimo, atskleidimo be leidimo ar neteisėtos prieigos prie jos.
2. EĮIS saugos politiką nustato šie susisiekimo ministro patvirtinti teisės aktai (toliau – saugos politikos įgyvendinamieji dokumentai):
3. Saugos nuostatai kartu su saugos politikos įgyvendinamaisiais dokumentais sudaro EĮIS saugos dokumentus.
4. Saugos nuostatuose vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos kibernetinio saugumo įstatyme, Bendrųjų elektroninės informacijos saugos reikalavimų apraše, patvirtintame Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo ir Saugos dokumentų turinio gairių aprašo patvirtinimo“ (toliau – Bendrųjų elektroninės informacijos saugos reikalavimų aprašas).
5. EĮIS elektroninės informacijos saugos ir kibernetinio saugumo (toliau – EĮIS elektroninės informacijos sauga) užtikrinimo tikslai:
5.2. užtikrinti, kad EĮIS elektroninė informacija būtų patikima ir apsaugota nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, praradimo, taip pat nuo bet kokio kito neteisėto tvarkymo;
6. EĮIS elektroninės informacijos saugos užtikrinimo prioritetinės kryptys:
6.5. fizinė EĮIS elektroninės informacijos tvarkymo priemonių (tarnybinių stočių, informacijos perdavimo įrangos, programinės įrangos) ir patalpų apsauga;
7. EĮIS valdytoja, EĮIS duomenų valdytoja ir asmens duomenų valdytoja yra Lietuvos Respublikos susisiekimo ministerija, esanti adresu Gedimino pr. 17, 01103 Vilnius (toliau – EĮIS valdytojas).
8. EĮIS tvarkytojai, EĮIS duomenų tvarkytojai ir asmens duomenų tvarkytojai (toliau kartu – EĮIS tvarkytojai) yra:
8.1. viešoji įstaiga Transporto kompetencijų agentūra, esanti adresu Rodūnios kel. 2, 02189 Vilnius (toliau – TKA);
8.2. Policijos departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos, esantis adresu Saltoniškių g. 19, 08106 Vilnius (toliau – Policijos departamentas);
9. Saugos nuostatais privalo vadovautis:
9.1. EĮIS tvarkytojų, policijos įstaigų darbuotojai, kurie naudoja EĮIS paskirtoms funkcijoms vykdyti, (toliau kartu – EĮIS naudotojai), EĮIS saugos įgaliotinis (toliau – saugos įgaliotinis), Policijos departamento paskirtas administratorius, Informatikos ir ryšių departamento paskirtas administratorius (toliau kartu – EĮIS administratoriai), EĮIS duomenų valdymo įgaliotinis (toliau – duomenų valdymo įgaliotinis), asmuo ar padalinys, atsakingas už kibernetinio saugumo organizavimą ir užtikrinimą (toliau – kibernetinio saugumo vadovas ar padalinys);
10. EĮIS valdytojas atlieka šias funkcijas:
10.1. formuoja EĮIS saugos politiką ir organizuoja jos įgyvendinimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą;
10.2. tvirtina EĮIS saugos dokumentus, prižiūri ir kontroliuoja, kad EĮIS būtų tvarkoma vadovaujantis šiais dokumentais ir kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą;
10.3. priima sprendimus dėl techninių ir programinių priemonių, būtinų elektroninės informacijos saugai užtikrinti, įsigijimo, įdiegimo ir modernizavimo;
10.4. atsižvelgdamas į rizikos įvertinimo ataskaitą, prireikus tvirtina EĮIS rizikos įvertinimo ir rizikos valdymo priemonių planą ir EĮIS informacinių technologijų saugos atitikties vertinimo metu pastebėtų trūkumų šalinimo planą, prireikus šie planai gali būti sujungti ir tvirtinamas bendras planas;
10.6. nagrinėja EĮIS tvarkytojų pasiūlymus dėl EĮIS elektroninės informacijos saugos tobulinimo ir priima dėl jų sprendimus;
10.7. atsižvelgdamas į kibernetinio saugumo atitikties reikalavimams vertinimo ataskaitą, prireikus tvirtina nustatytų trūkumų šalinimo planą;
11. TKA atlieka šias funkcijas:
11.1. pagal kompetenciją įgyvendina reikiamas administracines, technines ir organizacines saugos priemones, užtikrina EĮIS saugos reikalavimų atitiktį EĮIS saugos dokumentams ir galiojantiems Europos Sąjungos ir Lietuvos Respublikos teisės aktams;
11.6. kartu su Informatikos ir ryšių departamentu analizuoja EĮIS procesus ir atlieka EĮIS naudotojų (išskyrus policijos įstaigų darbuotojus) veiksmų audito įrašų analizę;
11.7. pagal kompetenciją organizuoja EĮIS naudotojų (išskyrus policijos įstaigų darbuotojus) mokymus elektroninės informacijos saugos klausimais ne rečiau kaip kartą per metus;
12. Informatikos ir ryšių departamentas apdoroja informaciją EĮIS ir atlieka šias funkcijas:
12.1. užtikrina tvarkomų informacinių išteklių sąveiką su susijusiais registrais ir informacinėmis sistemomis;
12.2. pagal kompetenciją įgyvendina reikiamas administracines, technines ir organizacines saugos priemones, užtikrina EĮIS saugos reikalavimų atitiktį EĮIS saugos dokumentams ir galiojantiems Europos Sąjungos ir Lietuvos Respublikos teisės aktams;
12.5. saugo EĮIS elektroninę informaciją, taip pat periodiškai daro tvarkomos EĮIS elektroninės informacijos atsargines kopijas (toliau – atsarginės kopijos), saugo ir naikina jas;
12.7. testuoja EĮIS elektroninės informacijos atkūrimą iš atsarginių kopijų kartą per pusmetį, testavimo rezultatus pateikia EĮIS valdytojui ir Policijos departamentui;
12.9. sukuria automatinių duomenų mainų su duomenų teikėjais ir gavėjais sąsajas ir vykdo jų priežiūrą;
12.10. kartu su TKA numato ir įgyvendina priemones, mažinančias duomenų atskleidimo ir praradimo riziką ir užtikrinančias prarastų duomenų atkūrimą ir duomenų apsaugą nuo klastojimo;
12.11. teikia Informacinių ir telekomunikacinių technologijų paslaugų valdymo posistemės išteklius ir Informacinių ir telekomunikacinių technologijų pagalbos tarnybos (toliau − ITT pagalbos tarnyba) I ir (ar) II lygio paslaugas, jei tai nurodyta sutartyje;
12.13. pagal kompetenciją organizuoja EĮIS naudotojų (išskyrus policijos įstaigų darbuotojus) mokymus elektroninės informacijos saugos klausimais ne rečiau kaip kartą per metus;
13. Policijos departamentas eksploatuoja EĮIS, apdoroja EĮIS informaciją ir atlieka šias funkcijas:
13.1. pagal kompetenciją įgyvendina reikiamas administracines, technines ir organizacines saugos priemones, užtikrina EĮIS saugos reikalavimų atitiktį Saugos nuostatams ir saugos politikos įgyvendinamiesiems dokumentams;
13.2. užtikrina EĮIS naudotojų – policijos įstaigų darbuotojų kompiuterizuotose darbo vietose (toliau – KDV) naudojamų administracinių, techninių ir programinių priemonių, užtikrinančių elektroninės informacijos saugą, diegimo koordinavimą ir priežiūrą;
13.3. pagal kompetenciją valdo EĮIS naudotojų – policijos įstaigų darbuotojų KDV saugos incidentus, informuoja apie juos ITT pagalbos tarnybą, saugos įgaliotinį ir kitas atsakingas institucijas, šalina šiuos saugos incidentus;
13.5. paskiria saugos įgaliotinį, duomenų valdymo įgaliotinį, EĮIS administratorių, kibernetinio saugumo vadovą ar padalinį;
14. Policijos įstaigos apdoroja EĮIS informaciją ir atlieka šias funkcijas:
14.1. pagal kompetenciją įgyvendina tinkamas administracines, organizacines ir technines saugos priemones, užtikrina EĮIS saugos reikalavimų atitiktį Saugos nuostatams ir saugos politikos įgyvendinamiesiems dokumentams;
15. Saugos įgaliotinis atlieka šias funkcijas:
15.1. teikia Policijos departamento vadovui pasiūlymus dėl:
15.1.3. EĮIS informacinių technologijų saugos atitikties vertinimo atlikimo, remiantis Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“ (toliau – IT saugos atitikties vertinimo metodika);
15.2. dalyvauja EĮIS saugos dokumentų nuostatų pažeidimų ir (ar) saugos incidentų, įvykusių EĮIS, tyrimuose ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų saugos incidentus, neteisėtas veikas, susijusias su elektroninės informacijos sauga, išskyrus tuos atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;
15.3. teikia duomenis apie elektroninės informacijos saugos reikalavimų įgyvendinimą, kaip tai nustatyta Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatuose, patvirtintuose Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“ (toliau – Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatai);
15.4. teikia EĮIS administratoriams ir EĮIS naudotojams privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;
15.5. ne rečiau kaip kartą per metus, jeigu teisės aktai nenustato kitaip, organizuoja EĮIS rizikos įvertinimą, prireikus – neeilinį EĮIS rizikos įvertinimą ir EĮIS informacinių technologijų saugos atitikties vertinimą;
15.6. periodiškai (atsižvelgiant į poreikį) organizuoja EĮIS naudotojų – policijos įstaigų darbuotojų mokymus elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas (priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės priimtiems naujiems darbuotojams ir kt.);
15.7. informuoja EĮIS valdytoją ir kompetentingas institucijas apie neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią EĮIS saugą;
15.9. prireikus supažindina EĮIS naudotojus ir EĮIS administratorius su EĮIS saugos dokumentais ir kitais teisės aktais, kuriais vadovaujamasi tvarkant elektroninę informaciją, užtikrinant jos saugumą, ir atsakomybe už šių dokumentų reikalavimų nesilaikymą;
17. Kibernetinio saugumo vadovas ar padalinys atlieka šias funkcijas:
17.1. dalyvauja EĮIS kibernetinių incidentų tyrime, bendradarbiauja su kompetentingomis institucijomis, tiriančiomis EĮIS kibernetinius incidentus;
18. Saugos įgaliotinis ir kibernetinio saugumo vadovas ar kibernetinio saugumo padalinio darbuotojas gali būti tas pats asmuo.
19. Policijos departamento paskirtas EĮIS administratorius atlieka šias funkcijas:
19.1. administruoja EĮIS komponentus, rengia ir prireikus atnaujina EĮIS komponentų sąrankos aprašymo dokumentaciją, koordinuoja EĮIS pažeidžiamų vietų nustatymą ir saugumo reikalavimų atitiktį, vykdo stebėseną;
19.2. koordinuoja EĮIS naudotojų administratorių, kurie registruoja EĮIS naudotojus – policijos įstaigų darbuotojus, darbą, tvarko jų duomenis, suteikia prieigos teises ir leidžiamus veiksmus EĮIS;
19.3. dalyvauja svarstant teikimus dėl EĮIS pokyčių projektavimo, konstravimo ir diegimo, dalyvauja aptariant EĮIS plėtrą ir vykdant EĮIS plėtros specifikavimo, projektavimo, konstravimo ir diegimo etapų darbus;
19.6. teikia saugos įgaliotiniui pasiūlymus dėl EĮIS palaikymo, priežiūros ir elektroninės informacijos saugos;
19.10. vykdo saugos įgaliotinio nurodymus ir pavedimus, susijusius su EĮIS saugos politikos įgyvendinimu;
19.11. reaguoja į EĮIS saugos incidentus, prireikus registruoja juos ir informuoja apie juos saugos įgaliotinį, teikia pasiūlymus dėl minėtų incidentų šalinimo, taip pat informuoja saugos įgaliotinį apie neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones;
20. Informatikos ir ryšių departamento paskirtas EĮIS administratorius atlieka šias funkcijas:
20.1. administruoja EĮIS komponentus (operacines sistemas, duomenų bazių valdymo sistemas, taikomųjų programų sistemas, ugniasienes, įsilaužimų aptikimo sistemas, elektroninės informacijos perdavimo tinklus ir kitus komponentus), rengia ir atnaujina EĮIS komponentų sąrankos aprašymo dokumentaciją, nustato EĮIS pažeidžiamas vietas ir saugumo reikalavimų atitiktį, vykdo stebėseną;
20.2. dalyvauja svarstant teikimus dėl EĮIS pokyčių projektavimo, konstravimo ir diegimo, dalyvauja aptariant EĮIS plėtrą ir vykdant EĮIS plėtros specifikavimo, projektavimo, konstravimo ir diegimo etapų darbus;
20.6. dalyvauja testuojant EĮIS elektroninės informacijos atkūrimą iš atsarginių kopijų kartą per pusmetį, fiksuoja testavimo rezultatus;
20.7. perkelia EĮIS elektroninę informaciją į EĮIS duomenų bazės archyvą ir tvarko elektroninės informacijos perkėlimo įrašų žurnalą;
20.8. naikina EĮIS elektroninę informaciją EĮIS duomenų bazės archyve ir tvarko elektroninės informacijos naikinimo įrašų žurnalą;
20.10. vykdo saugos įgaliotinio nurodymus ir pavedimus, susijusius su EĮIS saugos politikos įgyvendinimu;
20.11. reaguoja į saugos incidentus, registruoja juos ir informuoja apie juos saugos įgaliotinį, teikia pasiūlymus dėl minėtų incidentų šalinimo, taip pat informuoja saugos įgaliotinį apie nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones;
20.12. administruoja EĮIS funkcionavimą užtikrinančios techninės ir programinės įrangos, infrastruktūros bei informacinių technologijų paslaugas;
21. Tvarkant EĮIS elektroninę informaciją ir užtikrinant jos saugą vadovaujamasi šiais teisės aktais:
21.2. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
21.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Kibernetinio saugumo reikalavimų aprašas);
21.7. Valstybės informacinių išteklių svarbos vertinimo metodika, patvirtinta Lietuvos Respublikos ekonomikos ir inovacijų ministro 2023 m. liepos 19 d. įsakymu Nr. 4-418 „Dėl Valstybės informacinių išteklių svarbos vertinimo metodikos patvirtinimo“ (toliau – Metodika);
21.8. Lietuvos standartais LST EN ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST EN ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ ir kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos duomenų tvarkymą;
II SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
22. Vadovaujantis Metodikos 8.5.2 papunkčiu, EĮIS tvarkoma elektroninė informacija priskiriama svarbiems valstybės informaciniams ištekliams.
23. Pagrindiniai rizikos veiksniai, galintys turėti įtakos EĮIS elektroninės informacijos saugai:
23.1. subjektyvūs netyčiniai (elektroninės informacijos tvarkymo klaidos ir apsirikimai, elektroninės informacijos ištrynimas, klaidingas elektroninės informacijos teikimas, fiziniai elektroninės informacijos technologijų sutrikimai, elektroninės informacijos perdavimo tinklais sutrikimai, programinės įrangos klaidos, neteisingas veikimas ir kita);
23.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis EĮIS elektroninei informacijai gauti, elektroninės informacijos pakeitimas ar sunaikinimas, informacinių technologijų duomenų perdavimo tinklais sutrikdymas, saugos pažeidimai, vagystės ir kita);
23.3. veiksniai, nurodyti Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 1996 m. liepos 15 d. nutarimu Nr. 840 „Dėl Atleidimo nuo atsakomybės esant nenugalimos jėgos (force majeure) aplinkybėms taisyklių patvirtinimo“, 3 punkte.
24. EĮIS rizikos įvertinimas atliekamas vadovaujantis šiomis nuostatomis:
24.1. Saugos įgaliotinis organizuoja EĮIS rizikos įvertinimą ne rečiau kaip kartą per metus, jeigu teisės aktai nenustato kitaip. EĮIS rizikos įvertinimas atliekamas pagal kokybinį rizikos vertinimo metodą. Prireikus saugos įgaliotinis gali organizuoti neeilinį EĮIS rizikos įvertinimą. Neeilinis EĮIS rizikos įvertinimas atliekamas pasikeitus EĮIS struktūrai (esminiai EĮIS funkciniai pakitimai ir programinės įrangos keitimas), įvykus dideliems EĮIS tvarkytojų organizaciniams pokyčiams, atsiradus naujų informacinių technologijų saugos srities reikalavimų, po saugos incidento, kurio metu buvo sutrikdyta EĮIS veikla, sugadinta ar prarasta EĮIS tvarkoma elektroninė informacija. Kartu su pagrindiniu EĮIS rizikos įvertinimu organizuojamas ir atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos EĮIS kibernetiniam saugumui, vertinimas. Policijos departamento vadovo rašytiniu pavedimu EĮIS rizikos įvertinimą gali atlikti pats saugos įgaliotinis.
24.2. Atliekant rizikos įvertinimą, atsižvelgiama į Lietuvos Respublikos vidaus reikalų ministerijos parengtą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacinės technologijos. Saugumo metodai“ grupės standartus (LST ISO/IEC 27002, LST ISO/IEC 27001 ir LST ISO/IEC TR 15443 ar naujesnius tarptautinius standartus), gerosios praktikos pavyzdžius (COBIT ar kitu) ir elektroninės informacijos saugą reglamentuojančius teisės aktus.
25. EĮIS rizikos įvertinimo metu atliekamos veiklos:
26. EĮIS rizikos įvertinimo rezultatai pateikiami rizikos įvertinimo ataskaitoje ir ji pateikiama Policijos departamento vadovui. EĮIS rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti įtakos EĮIS elektroninės informacijos saugai, jų galimą žalą, pasireiškimo tikimybę ir pobūdį, galimus rizikos valdymo būdus, rizikos priimtinumo kriterijus. EĮIS rizikos įvertinimo ataskaitą rengia arba, jei vertinimą atlieka tretieji asmenys, dalyvauja rengiant saugos įgaliotinis.
27. Atsižvelgdamas į rizikos įvertinimo ataskaitą, EĮIS valdytojas prireikus tvirtina EĮIS rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis EĮIS rizikos valdymo priemonėms įgyvendinti.
28. Kibernetinio saugumo atitikties reikalavimams vertinimo metu taip pat turi būti atliekamas grėsmių ir pažeidžiamumų, galinčių turėti įtakos informacinių sistemų kibernetiniam saugumui, vertinimas, kurio metu imituojamos kibernetinės atakos ir vykdomos kibernetinių incidentų imitavimo pratybos. Kibernetinių atakų imitavimo etapai:
28.1. Planavimas. Parengiamas pažeidžiamumų nustatymo planas, kuriame apibrėžiami kibernetinių atakų imitavimo tikslai ir darbų apimtis, pateikiamas darbų grafikas, aprašomi planuojamų imituoti kibernetinių atakų tipai (išorinės ir (ar) vidinės), kibernetinių atakų imitavimo būdai (juodosios dėžės (angl. Black Box), baltosios dėžės (angl. White Box) ir (ar) pilkosios dėžės (angl. Grey Box), galima neigiama įtaka veiklai, kibernetinių atakų imitavimo metodologija, programiniai ir (ar) techniniai įrankiai ir priemonės, naudojami pažeidžiamumams nustatyti, nurodomos už pažeidžiamumų nustatymo plano vykdymą atsakingų asmenų teisės ir pareigos.
28.2. Žvalgyba (angl. Reconnaissance) ir aptikimas (angl. Discovery). Surenkama informacija apie perimetrą, tinklo mazgus, tinklo mazguose veikiančių tarnybinių stočių ir kitų tinklo įrenginių operacines sistemas ir programinę įrangą, paslaugas (angl. Services), pažeidžiamumą, konfigūracijas ir kitą sėkmingai kibernetinei atakai įvykdyti reikalingą informaciją.
28.4. Ataskaitos parengimas. Kibernetinių atakų imitavimo rezultatai turi būti pateikti kibernetinio saugumo atitikties reikalavimams vertinimo ataskaitoje, ji pateikiama Policijos departamento vadovui. Pažeidžiamumų nustatymo plane numatyti testų rezultatai turi būti detalizuojami ataskaitoje ir lyginami su planuotais. Kiekvienas aptiktas pažeidžiamumas turi būti detalizuojamas ir pateikiamos rekomendacijos jam pašalinti. Kibernetinių atakų imitavimo rezultatai turi būti pagrįsti patikimais įrodymais ir rizikos įvertinimu. Jeigu nustatoma incidentų valdymo ir šalinimo, taip pat organizacijos nepertraukiamos veiklos užtikrinimo trūkumų, turi būti tobulinami veiklos tęstinumo planai.
29. Atsižvelgiant į kibernetinio saugumo atitikties reikalavimams vertinimo ataskaitą, rengiamas nustatytų trūkumų šalinimo planas, kuriame, atsižvelgiant į kibernetinių atakų imitavimo metu nustatytus trūkumus, EĮIS valdytojo vadovui teikiami pasiūlymai dėl kibernetinį saugumą reglamentuojančių teisės aktų ar kitų EĮIS valdytojo vadovo patvirtintų dokumentų pakeitimo, kibernetinio saugumo būklės gerinimo ir papildomų kibernetinio saugumo priemonių įsigijimo. Nustatytų trūkumų šalinimo planą tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato EĮIS valdytojo vadovas.
30. Rizikos įvertinimo ataskaitos, rizikos įvertinimo ir rizikos valdymo priemonių plano kopijas, kibernetinio saugumo atitikties reikalavimams vertinimo ataskaitos ir nustatytų trūkumų šalinimo plano kopijas saugos įgaliotinis ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo pateikia Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemai (toliau – ARSIS) Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
31. Siekdamas užtikrinti Saugos nuostatų ir saugos politikos įgyvendinamųjų dokumentų nuostatų įgyvendinimo kontrolę, saugos įgaliotinis ne rečiau kaip kartą per metus, jeigu teisės aktai nenustato kitaip, organizuoja informacinių technologijų saugos atitikties vertinimą pagal IT saugos atitikties vertinimo metodikos reikalavimus.
32. Atliekant EĮIS informacinių technologijų saugos atitikties vertinimą:
32.1. įvertinama esamos EĮIS elektroninės informacijos saugos situacijos atitiktis EĮIS saugos dokumentams ir kitiems elektroninės informacijos saugą reglamentuojantiems teisės aktams;
32.3. peržiūrima EĮIS administratoriams, EĮIS naudotojams suteiktų teisių atitiktis jų atliekamoms funkcijoms;
32.4. duomenų saugos požiūriu patikrinama EĮIS techninė ir programinė įranga: visos tarnybinės stotys ir ne mažiau kaip 10 procentų atsitiktinai parinktų EĮIS naudotojų KDV;
33. Atlikus EĮIS informacinių technologijų saugos atitikties vertinimą, parengiama informacinių technologijų saugos atitikties vertinimo ataskaita, ji pateikiama Policijos departamento vadovui, taip pat prireikus parengiamas pastebėtų trūkumų šalinimo planas. EĮIS valdytojo vadovas patvirtina šį planą, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus.
34. Informacinių technologijų saugos atitikties vertinimo ataskaitos, pastebėtų trūkumų šalinimo plano kopijas saugos įgaliotinis ne vėliau kaip per 5 darbo dienas nuo minėtų dokumentų priėmimo turi pateikti ARSIS Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų nustatyta tvarka.
35. Prireikus saugos įgaliotinis gali organizuoti neeilinį EĮIS informacinių technologijų saugos atitikties vertinimą.
36. Neeilinis EĮIS informacinių technologijų saugos atitikties vertinimas atliekamas:
36.1. įvykus EĮIS techninės ar programinės įrangos pokyčiams, kurie gali turėti įtakos EĮIS veikimui;
36.2. paaiškėjus naujoms tendencijoms informacinių technologijų saugos srityje, dėl kurių kiltų grėsmė EĮIS techninei, programinei įrangai ar EĮIS tvarkomai elektroninei informacijai;
37. Elektroninės informacijos saugos priemonėms parinkti taikomi šie principai:
37.2. parenkamos priemonės, kurios leidžia užtikrinti kompiuterinės ir programinės įrangos veikimo saugą;
37.4. parenkamos priemonės, kurios leidžia užtikrinti EĮIS naudotojų mokymą ir informavimą apie elektroninės informacijos tvarkymo saugą;
38. Elektroninės informacijos saugos priemonės turi garantuoti:
38.1. elektroninės informacijos saugą jos registravimo ir perdavimo ryšio kanalais, saugojimo, apdorojimo, teikimo ir naudojimo metu;
38.2. elektroninės informacijos saugą nuo nesankcionuoto ar neteisėto naudojimo, kaupimo, keitimo, perdavimo, skelbimo ir sunaikinimo;
39. Pokyčiai, galintys daryti neigiamą įtaką elektroninės informacijos konfidencialumui, vientisumui ar prieinamumui, turi būti patikrinti bandomojoje aplinkoje, kurioje nėra konfidencialių ir asmens duomenų ir kuri atskirta nuo eksploatuojamos EĮIS.
III SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
41. Nustatomi šie EĮIS naudojamos programinės įrangos reikalavimai:
41.1. EĮIS naudojama programinė įranga turi atitikti programinės įrangos saugos gerąją praktiką, kuriant programinę įrangą taikomą saugos gerąją praktiką, programinės įrangos kūrimo struktūras, standartus.
41.2. Specifiniai saugos reikalavimai turi būti apibrėžti pradiniuose programinės įrangos kūrimo etapuose.
41.4. Programinės įrangos kūrimo, testavimo ir verifikacijos etapuose darbai turi būti vykdomi atsižvelgiant į pagrindinius saugos reikalavimus.
41.5. Prieš pradedant naudoti programinę įrangą, turi būti atliktas šios programinės įrangos pažeidžiamumo, pritaikomumo ir infrastruktūros atsparumo skverbimuisi įvertinimas. Programinė įranga negali būti patvirtinta, kol nėra pasiektas reikiamas saugumo lygis.
42. Programinės įrangos, skirtos EĮIS ir KDV apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir pan.), naudojimo nuostatos:
42.1. EĮIS turi būti naudojama antivirusinė programinė įranga, skirta EĮIS apsaugoti nuo kenksmingos programinės įrangos.
42.2. Antivirusinė programinė įranga turi būti atnaujinama automatiškai ne rečiau kaip kartą per parą.
42.3. EĮIS naudotojų kompiuteriuose naudojama įranga, skirta KDV apsaugoti nuo kenksmingos programinės įrangos, turi apsaugoti ir elektroninio pašto programinę įrangą nuo nepageidaujamo pašto ar kenksmingų programų patekimo į KDV.
42.4. Atsiradus požymių, kad KDV yra kenksmingų programų, turi būti patikrinami visi KDV standieji diskai, naudojama programinė įranga, skirta EĮIS ir KDV apsaugoti nuo kenksmingos programinės įrangos.
42.5. KDV esančios programinės įrangos, skirtos EĮIS ir KDV apsaugoti nuo kenksmingos programinės įrangos, nustatymai turi būti parinkti pagal rekomenduojamus tokios programinės įrangos gamintojų reikalavimus arba pagal vidinio kompiuterių tinklo administratoriaus rekomendacijas.
42.7. Apsaugos sistema privalo automatiškai informuoti EĮIS administratorius apie KDV ir tarnybines stotis, kuriose apsaugos sistema netinkamai funkcionuoja, yra išjungta arba neatsinaujino per 24 valandas.
43. Metodai ir priemonės, kurie taikomi užtikrinant prieigą prie EĮIS:
43.1. EĮIS naudotojai privalo turėti galimybę naudotis tik tokiomis teisėmis ir tais duomenimis, kurie jiems numatyti nustačius prieigos prie EĮIS teises, įgyvendinant principą „būtina žinoti“.
43.2. EĮIS naudotojams suteikiamos teisės naudotis tomis EĮIS funkcijomis, kurios negali pakenkti EĮIS veikimui ir duomenims (viešai teikiamų duomenų analizės ir peržiūros funkcijos).
43.3. EĮIS priežiūros funkcijos turi būti atliekamos naudojant atskirą tam skirtą administratoriaus klasifikatorių, kuriuo naudojantis nebūtų galima atlikti EĮIS naudotojo funkcijų.
43.4. EĮIS naudotojas turi būti EĮIS unikaliai identifikuojamas – EĮIS naudotojas turi patvirtinti savo tapatybę slaptažodžiu, EĮIS naudotojui suteiktas pirminis slaptažodis turi būti pakeistas pirmo prisijungimo metu. Slaptažodžiai sudaromi, keičiami ir jų galiojimo trukmė nustatoma vadovaujantis EĮIS naudotojų administravimo taisyklėmis.
43.5. Prieiga EĮIS naudotojams prie EĮIS suteikiama, apribojama ir panaikinama naudojant Lietuvos Respublikos vidaus reikalų ministerijos valdomą centralizuotą naudotojų teisių administravimo sistemą.
43.7. EĮIS naudotojui teisė dirbti su konkrečia elektronine informacija turi būti ribojama ar sustabdoma, kai EĮIS naudotojas neprisijungė ilgiau kaip 2 mėnesius, vykdomas EĮIS naudotojo veiklos tyrimas ir pan. Pasibaigus darbo santykiams, EĮIS naudotojo teisė naudotis EĮIS turi būti automatiškai panaikinta.
43.8. Baigus darbą ar pasitraukiant iš darbo vietos, turi būti imamasi priemonių, kad su elektronine informacija negalėtų susipažinti pašaliniai asmenys: atsijungiama nuo EĮIS, įjungiama ekrano užsklanda su slaptažodžiu, dokumentai padedami į pašaliniams asmenims neprieinamą vietą.
43.9. EĮIS naudotojui 15 minučių neatliekant jokių veiksmų EĮIS, programa turi užsirakinti, o toliau naudotis EĮIS būtų galima tik pakartojus tapatybės nustatymo ir autentiškumo patvirtinimo veiksmus.
44. Programinės įrangos, įdiegtos KDV ir tarnybinėse stotyse, naudojimo nuostatos ir reikalavimai:
44.2. Programinę įrangą, reikalingą EĮIS naudotojų funkcijoms atlikti, KDV diegia, atnaujina, kontroliuoja ir prižiūri atsakingi administratoriai. Kiti asmenys (paslaugų teikėjų specialistai) gali diegti programinę įrangą tik atsakingo administratoriaus prižiūrimi.
44.3. Diegti ir naudoti programinę įrangą, nesusijusią su EĮIS valdytojo ar tvarkytojų veikla ar EĮIS naudotojo atliekamomis funkcijomis, draudžiama.
44.4. Tarnybinėse stotyse ir KDV privalo būti naudojama programinė įranga, kuri apsaugo nuo kenksmingos programinės įrangos ir kuri turi būti atnaujinama ne rečiau kaip kartą per parą laikantis gamintojo reikalavimų.
44.6. Naudojama programinė įranga, kuri leidžia atlikti EĮIS naudojamų kompiuterių tinklų stebėseną ir užtikrinti šių tinklų saugos prevencines priemones.
45. Leistinos kompiuterių (ypač nešiojamųjų) naudojimo ribos ir metodai, kuriais leidžiama užtikrinti saugų EĮIS duomenų teikimą ir (ar) gavimą:
45.1. Stacionariuosiuose ir nešiojamuosiuose kompiuteriuose EĮIS įjungimo metu turi būti identifikuojamas EĮIS naudotojas.
45.2. Stacionarieji ir nešiojamieji EĮIS naudotojų kompiuteriai privalo būti naudojami tik su tiesioginių pareigų atlikimu susijusiai veiklai. Iš kompiuterių, kurie perduodami taisymui ar techninei priežiūrai, turi būti pašalinta visa neskelbtina EĮIS elektroninė informacija.
45.3. EĮIS naudotojai, darbines funkcijas atliekantys nešiojamaisiais kompiuteriais, išnešdami juos iš patalpų, norėdami EĮIS elektroninę informaciją perduoti kompiuterių tinklais ne savo darbo vietoje, turi naudoti vieną iš išvardintų metodų: duomenų šifravimą, papildomą EĮIS naudotojo tapatybės patvirtinimą, rakinimo įrenginį. Nešiojamojo kompiuterio pagrindinės įvesties ir išvesties sistemos (BIOS) turi būti apsaugotos slaptažodžiu ir nurodytas standusis diskas kaip pirminis paleidimo įrenginys. Iš išorės prie EĮIS duomenų bazės prisijungimas ribojamas. Nešiojamuosiuose kompiuteriuose ar išorinėse kompiuterinėse laikmenose esantys duomenys turi būti šifruojami. EĮIS naudotojai privalo naudotis visomis saugumo priemonėmis, kad apsaugotų kompiuterį ir duomenų laikmenas nuo vagystės arba pažeidimo.
46. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių (angl. proxy) ir kt.) pagrindinės naudojimo nuostatos:
46.1. Techninis nuotolinio prisijungimo sprendimas turi užtikrinti ne žemesnį nei vidiniam prisijungimui naudojamą saugumo lygį, t. y. turi būti naudojamos Saugos nuostatuose minimos priemonės, duomenų perdavimas saugiu šifruotu virtualiu privačiu tinklu (angl. Virtual Private Network) (toliau – VPN) arba naudojant saugų duomenų perdavimo protokolą HTTPS (angl. Hypertext Transfer Protocol Secure).
46.2. EĮIS naudotojams, kuriems atliekant tiesiogines pareigas būtina prisijungti iš nutolusios darbo vietos, gali būti suteikiama nuotolinio prisijungimo prie EĮIS galimybė.
46.3. Kompiuterinis tinklas, prie kurio prijungtos EĮIS tarnybinės stotys ir EĮIS naudotojų kompiuteriai, nuo viešojo interneto turi būti atskirtas ugniasienėmis ir įsilaužimų aptikimo ir prevencijos įranga, už kurios administravimą ir priežiūrą atsakingi administratoriai.
46.4. Visas duomenų srautas į internetą ir iš jo yra filtruojamas naudojant apsaugą nuo virusų ir kitos kenksmingos programinės įrangos.
47. Užtikrinant saugų elektroninės informacijos teikimą kitoms valstybės institucijoms ir (ar) gavimą iš jų, naudojamas saugus šifruotas VPN arba Saugus valstybinis duomenų perdavimo tinklas (toliau – SVDPT). Elektronine informacija keičiamasi per saugų duomenų perdavimo protokolą HTTPS žiniatinklio paslaugų metodu (XML formatu) arba duomenų bazių užklausomis. Duomenys teikiami ir (ar) gaunami automatizuotomis priemonėmis tik pagal duomenų teikimo sutartyje nustatytas specifikacijas, duomenų perdavimo sąlygas ir tvarką.
48. EĮIS programinė įranga turi būti apsaugota nuo pagrindinių per tinklą vykdomų atakų: SQL įskverbties (angl. SQL injection), XSS (angl. Cross-site scripting), atkirtimo nuo paslaugos (angl. DOS), dedikuoto atkirtimo nuo paslaugos (angl. DDOS) ir kitų. Pagrindinių per tinklą vykdomų atakų sąrašas skelbiamas Atviro tinklo programų saugumo projekto (angl. The Open Web Application Security Project (OWASP) interneto svetainėje www.owasp.org.
49. Metodai, kuriais gali būti užtikrinamas saugus EĮIS elektroninės informacijos teikimas ir (ar) gavimas:
49.1. Iš duomenų teikėjų elektroninė informacija gaunama pagal duomenų teikimo sutartyse numatytas elektroninės informacijos perdavimo technologijas, jų šifravimo mechanizmus, specifikacijas ir kitas sąlygas.
49.3. Už EĮIS elektroninės informacijos teikimo ir gavimo sutartyse nurodomų saugos reikalavimų nustatymą, suformulavimą ir įgyvendinimo organizavimą atsakingas saugos įgaliotinis.
50. EĮIS išoriniai naudotojai naudojasi prieiga prie EĮIS per išorinį portalą. EĮIS išoriniams naudotojams prisijungimo laikas nėra ribojamas.
51. Pagrindiniai atsarginių kopijų darymo ir atkūrimo reikalavimai:
51.2. EĮIS atkūrimas iš atsarginių kopijų privalo būti išbandomas ne rečiau kaip kartą per pusmetį. Testavimo eiga ir rezultatai įforminami atsarginių kopijų darymo žurnale. Duomenų atkūrimo bandymą organizuoja saugos įgaliotinis.
51.3. EĮIS elektroninė informacija EĮIS naudotojams turi būti prieinama ne mažiau kaip 96 procentus sistemos veikimo laiko visą parą.
51.5. Elektroninė informacija atsarginėse kopijose turi būti šifruota (šifravimo raktai turi būti saugomi atskirai nuo atsarginių kopijų).
51.6. Atsarginės kopijos yra daromos ir saugomos taip, kad jos nebūtų prieinamos tretiesiems asmenims, kurie neturi teisės su jomis dirbti.
52. Nustatomi duomenų naikinimo ir šalinimo reikalavimai:
52.1. Prieš pašalinant bet kokią duomenų laikmeną, turi būti sunaikinta visa joje esanti elektroninė informacija, naudojant tam skirtą programinę įrangą, kuri palaiko patikimus duomenų naikinimo algoritmus. Jeigu to padaryti neįmanoma (pavyzdžiui, DVD laikmenos), duomenų laikmenos turi būti fiziškai sunaikinamos be galimybės atkurti duomenis.
52.2. Prieš šalinant laikmenas, turi būti atlikti visų šalinamų laikmenų daugybiniai programinės įrangos perrašymai.
IV SKYRIUS
REIKALAVIMAI PERSONALUI
53. Tvarkyti EĮIS duomenis gali EĮIS naudotojai, susipažinę su Reglamentu (ES) 2016/679, EĮIS nuostatais, EĮIS saugos dokumentais, registrų ir informacinių sistemų saugos politiką reglamentuojančiais teisės aktais.
54. EĮIS naudotojai turi būti įgiję darbo kompiuteriu įgūdžių, mokėti tvarkyti EĮIS elektroninę informaciją EĮIS nuostatuose nurodyta tvarka, išmanyti registrų ir informacinių sistemų saugos politiką reglamentuojančius teisės aktus. Tvarkyti EĮIS elektroninę informaciją gali tik EĮIS naudotojai, pasirašę pasižadėjimą saugoti asmens duomenų paslaptį. Ši pareiga galioja perėjus dirbti į kitas pareigas arba pasibaigus darbo, sutartiniams ar kitiems santykiams.
55. Saugos įgaliotinis privalo išmanyti šiuolaikinių informacinių technologijų panaudojimo ypatumus, elektroninės informacijos saugos užtikrinimo principus bei metodus, rizikų valdymą, savo darbe vadovautis Reglamentu (ES) 2016/679, Bendrųjų elektroninės informacijos saugos reikalavimų aprašu, IT saugos atitikties vertinimo metodika, EĮIS saugos dokumentais, kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančias elektroninės informacijos saugą, kibernetinę saugą, taip pat būti susipažinęs su esminiais EĮIS elektroninės informacijos saugos reikalavimais. Saugos įgaliotinis privalo sugebėti prižiūrėti, kaip įgyvendinama saugos politika. Saugos įgaliotinis kiekvienais metais privalo tobulinti kvalifikaciją elektroninės informacijos saugos srityje.
56. Kibernetinio saugumo vadovas ar padalinys privalo išmanyti kibernetinio saugumo užtikrinimo principus, pagal poreikį tobulinti kvalifikaciją kibernetinio saugumo srityje ir savo darbe vadovautis EĮIS saugos dokumentais, Kibernetinio saugumo reikalavimų aprašu, Lietuvos Respublikos ir Europos Sąjungos teisės aktais, standartais, reglamentuojančiais kibernetinį saugumą.
57. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą galiojančią administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo nuobaudos paskyrimo praėję mažiau kaip vieni metai.
58. EĮIS administratoriai privalo gerai išmanyti kompiuterizuotos veiklos procesus, elektroninės informacijos saugos užtikrinimo metodus ir principus, tarnybinių stočių veikimo principus, būti susipažinę su naudojamų duomenų bazių organizavimo principais, gebėti jas administruoti, atlikti techninės ir programinės įrangos profilaktinę priežiūrą, sutrikimų bei saugos incidentų diagnostiką ir šalinimą.
59. EĮIS naudotojai, pastebėję saugos politikos pažeidimų, nusikalstamos veikos požymių, neveikiančias arba netinkamai veikiančias EĮIS saugos užtikrinimo priemones, privalo nedelsdami apie tai pranešti EĮIS administratoriams ir saugos įgaliotiniui. Jeigu saugos įgaliotinis nebuvo informuotas apie šiame punkte nurodytus pažeidimus, EĮIS administratoriai informuoja saugos įgaliotinį apie šiuos pažeidimus.
V SKYRIUS
EĮIS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
61. EĮIS naudotojus, EĮIS administratorius su EĮIS saugos dokumentais ar kitais teisės aktais, reglamentuojančiais elektroninės informacijos saugą, ir atsakomybe už jų reikalavimų nesilaikymą supažindina saugos įgaliotinis pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodymą.
62. EĮIS naudotojai su EĮIS saugos dokumentais ir teisės aktais, reglamentuojančiais EĮIS elektroninės informacijos saugą, bei atsakomybe už jų reikalavimų nesilaikymą supažindinami prieš pradedant dirbti su EĮIS.
63. Pakartotinai su EĮIS saugos dokumentais ir teisės aktais, reglamentuojančiais EĮIS elektroninės informacijos saugą, saugos įgaliotinis pasirašytinai arba elektroniniu būdu, užtikrinančiu supažindinimo įrodymą, supažindina EĮIS naudotojus ir EĮIS administratorius nedelsiant po EĮIS saugos dokumentų ir teisės aktų, reglamentuojančių EĮIS elektroninės informacijos saugą, priėmimo (išdėstymo nauja redakcija), pakeitimo ar pripažinimo netekusiais galios.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
64. Saugos įgaliotinis organizuoja EĮIS saugos dokumentų persvarstymą ne rečiau kaip kartą per metus. EĮIS saugos dokumentai turi būti persvarstomi atlikus rizikos analizę ar informacinių technologijų saugos atitikties vertinimą, pasikeitus saugos politiką reglamentuojantiems teisės aktams, įvykus esminiams organizaciniams, technologiniams ar kitiems EĮIS pokyčiams, po įvykusio kibernetinio incidento.
65. Saugos įgaliotinis, kibernetinio saugumo vadovas ar padalinys, EĮIS valdytojas, EĮIS tvarkytojai, EĮIS administratoriai, EĮIS naudotojai ir kiti subjektai, kuriems taikomi Saugos nuostatų reikalavimai, pažeidę saugos dokumentų ir kitų teisės aktų, reglamentuojančių saugų elektroninės informacijos tvarkymą, reikalavimus, atsako Lietuvos Respublikos teisės aktų nustatyta tvarka.