LIETUVOS RESPUBLIKOS VYRIAUSYBĖ
N U T A R I M A S
DĖL LIETUVOS RESPUBLIKOS ELEKTRONINIŲ RYŠIŲ TINKLŲ IR INFORMACIJOS SAUGUMO ĮSTATYMO KONCEPCIJOS PATVIRTINIMO
2006 m. gruodžio 6 d. Nr. 1211
Vilnius
Įgyvendindama Lietuvos Respublikos Vyriausybės 2006–2008 metų programos įgyvendinimo priemonių, patvirtintų Lietuvos Respublikos Vyriausybės 2006 m. spalio 17 d. nutarimu Nr. 1020 (Žin., 2006, Nr. 112-4273), 157 punktą, Lietuvos Respublikos Vyriausybė nutaria:
Patvirtinti Lietuvos Respublikos elektroninių ryšių tinklų ir informacijos saugumo įstatymo koncepciją (pridedama).
Patvirtinta
Lietuvos Respublikos Vyriausybės
2006 m. gruodžio 6 d. nutarimu Nr. 1211
LIETUVOS RESPUBLIKOS ELEKTRONINIŲ RYŠIŲ TINKLŲ IR INFORMACIJOS SAUGUMO ĮSTATYMO KONCEPCIJA
I. TEISINIS KONCEPCIJOS RENGIMO PAGRINDAS
1. Lietuvos Respublikos elektroninių ryšių tinklų ir informacijos saugumo įstatymo koncepcija (toliau vadinama – ši Koncepcija) parengta įgyvendinant Lietuvos Respublikos Vyriausybės 2006–2008 metų programos įgyvendinimo priemonių, patvirtintų Lietuvos Respublikos Vyriausybės 2006 m. spalio 17 d. nutarimu Nr. 1020 (Žin., 2006, Nr. 112-4273), 157 punktą.
Lietuvos informacinės visuomenės plėtros strategijoje, patvirtintoje Lietuvos Respublikos Vyriausybės 2005 m. birželio 8 d. nutarimu Nr. 625 (Žin., 2005, Nr. 73-2649), analizuojant informacinės visuomenės plėtros stiprybes, silpnybes, galimybes, grėsmes (SSGG), tarp informacinės visuomenės plėtros grėsmių nurodomos ir neišspręstos informacijos technologijų saugumo problemos. Taip pat pabrėžta, kad plėtojant naujas elektronines paslaugas ir taikomuosius sprendimus būtina užtikrinti informacijos technologijų saugumą. Minėtame nutarime yra įtvirtinti informacinės visuomenės plėtros prioritetai. Vienas iš jų – žinių ekonomika, kurį įgyvendinant siekiama tam tikrų tikslų, pvz., remti saugios, modernios informacinės infrastruktūros plėtrą.
II. ĮSTATYMO REGULIAVIMO DALYKO IR TIKSLŲ BENDROJI CHARAKTERISTIKA
2. Numatoma, kad Lietuvos Respublikos elektroninių ryšių tinklų ir informacijos saugumo įstatymas (toliau vadinama – Įstatymas) reglamentuos santykius, susijusius su elektroninių ryšių tinklų ir informacijos saugumu (toliau vadinama – tinklų ir informacijos saugumas), sudarys sąlygas saugios informacinės visuomenės plėtrai, didins vartotojų pasitikėjimą informacine visuomene.
3. Pastaraisiais metais dėl spartėjančios informacijos ir ryšių technologijų plėtros pasiektas spartus informacinės visuomenės ir žiniasklaidos sričių augimas toliau bus nulemtas labai paplitusių, daugelį įrenginių jungiančių greitųjų ryšių (2005 metų spalio duomenimis, Lietuvoje buvo 781 tūkst. interneto abonentų). Dabar prieinamas elektroninio formato tradicinis turinys (pvz., filmai, vaizdinė medžiaga, muzika), be to, atsiranda naujos, vien tik skaitmeninės paslaugos, pvz., sąveikioji programinė įranga. Informacinės visuomenės ir žiniasklaidos tarnybų, tinklų ir įrenginių suartėjimas (konvergencija) pagaliau tapo kasdienybe: informacijos ir ryšių technologijos dabar patogesnės, spartesnės, lengviau pritaikomos. Kad galėtume reaguoti į esminius informacijos ir ryšių technologijų pokyčius, paspartinti informacinės visuomenės plėtrą, būtina iniciatyvi politika. Kad esama teisinė sistema netrukdytų technologijų pažangai, o atvirkščiai – prie jos prisidėtų, būtina pakeisti teisės aktus: jie turi atitikti susiklosčiusius visuomeninius santykius ir tinkamai apsaugoti paslaugų gavėjus, didinti jų pasitikėjimą informacinėmis technologijomis, skatinti naudotis pažangiomis ir saugiomis informacinėmis technologijomis (vieno didžiausių Lietuvoje interneto prieigos paslaugų teikėjo statistikos duomenimis, nuo 1998 iki 2004 metų incidentų tinkluose pagausėjo bent šimteriopai).
4. Lietuvoje vis daugiau visuomenės socialinių santykių perkeliama į virtualiąją erdvę – aktyviai panaudojami elektroniniai ryšiai ne tik informacijai gauti ar siųsti, bet ir elektroninės bankininkystės, elektroninio verslo ir elektroninės valdžios galimybėms realizuoti. Deja, šie pokyčiai skatina ir neteisėtas veikas elektroninėje erdvėje. 2005 metais tinklų ir informacijos saugumo padėties Lietuvoje tyrimas parodė, kad 78 procentai tiesioginės apklausos dalyvių (reprezentatyvios apklausos respondentų), 79 procentai verslo įmonių ir 100 procentų interneto prieigos paslaugų teikėjų susiduria su kompiuteriniais virusais. Atitinkamai 63 procentai interneto vartotojų, 76 procentai verslo įmonių ir 100 procentų interneto prieigos paslaugų teikėjų nurodė gaunantys nepageidaujamų elektroninio pašto pranešimų (angl. spam) internete. 18 procentų tiesioginės apklausos dalyvių, 25 procentai verslo įmonių ir 71 procentas interneto prieigos paslaugų teikėjų yra patyrę žalos dėl įvairių tinklų ir informacijos saugumo incidentų. Atsižvelgiant į susiklosčiusią situaciją, būtina, kad valstybiniu lygmeniu nuolat ir sistemingai būtų sprendžiamos tinklų ir informacijos saugumo problemos, stiprinama teisinė bazė šioje srityje.
5. Europos Komisija 2005 m. birželio 1 d. Komunikate Tarybai, Europos Parlamentui, Europos ekonomikos ir socialinių reikalų komitetui ir Regionų komitetui „i2010 – Europos informacinė visuomenė augimui ir užimtumui skatinti“ kaip vieną iš pagrindinių skaitmeninio suartėjimo uždavinių kuriant bendrą Europos informacinę erdvę nurodė saugumą – reikia kurti nuo apgavikų, žalingo turinio ir technologinių gedimų atsparesnį, saugesnį internetą, kad didėtų investuotojų ir vartotojų tarpusavio pasitikėjimas. Kai informacijos ir ryšių technologijos bus patikimos ir saugios, suartėjančios skaitmeninės paslaugos bus dar plačiau prieinamos. Europos Sąjungos teisės aktai nenustato valstybėms narėms specifinių reikalavimų, kurie privalomai turėtų būtu įgyvendinami nacionaliniuose teisės aktuose, tačiau tinklų ir informacijos saugumas Europos Sąjungoje jau šiandien priskiriamas prie prioritetinių dalykų.
6. Atsižvelgiant į tai, kad svarbiausieji visuomeniniai santykiai turi būti reglamentuojami įstatymų, o ne jų lydimųjų teisės aktų, pasirinkta atitinkama tinklų ir informacijos saugumo visuomeninių santykių reglamentavimo forma – tinklų ir informacijos saugumo visuomeninius santykius reglamentuoti įstatymiškai.
7. Svarbiausias Įstatymo tikslas – apibrėžti ir įtvirtinti visuomeninių santykių, susijusių su tinklų ir informacijos saugumu, teisinio reguliavimo pagrindus. Įstatymas užpildys ir su elektroninių ryšių paslaugų teikimu susijusių santykių teisinio reguliavimo spragas, kiek tai susiję su tinklų ir informacijos saugumu teikiant elektroninių ryšių paslaugas.
8. Įstatyme bus apibrėžti tinklų ir informacijos saugumo veiklos reguliavimo principai, pateikiamos tinklų ir informacijos saugumo, kitos su šiuo reguliavimo dalyku susijusios sąvokos. Antai 2004 m. kovo 10 d. Europos Parlamento ir Tarybos reglamento (EB) Nr. 460/2004, įsteigiančio Europos tinklų ir informacijos apsaugos agentūrą (OL 2004 L 77, p. 1), 4 straipsnio c punkte nustatyta, kad tinklų ir informacijos saugumas – tai tinklų ar informacinės sistemos pajėgumas tam tikru patikimumo lygiu išlikti atspariai nuo atsitiktinių įvykių, neteisėtų ar tyčinių veiksmų, kurie keltų pavojų išsaugotų ar perduotų duomenų, susijusių, siūlomų ar per tuos tinklus arba sistemas gaunamų paslaugų prieinamumui, autentiškumui, vientisumui ir slaptumui. Šią Lietuvos Respublikos teisės aktuose dar nevartotą sąvoką numatoma perkelti į Įstatymą.
9. Pastaruoju metu pasaulyje nepageidaujami elektroninio pašto pranešimai sudaro didžiumą viso elektroninio pašto srauto, ir tai yra didžiulė problema elektroninių ryšių tinklams. Interneto prieigos paslaugų teikėjų sistemos perkrautos, mažėja bendras srauto pralaidumas, kovai su nepageidaujamais elektroninio pašto pranešimais reikia papildomų išteklių, patiriami dideli finansiniai nuostoliai. Kartu su šiais pranešimais didėja plintančių kompiuterinių virusų ir įvairių apgaulės būdų grėsmė. Vartotojų nuomonės tyrimai taip pat rodo, kad nepageidaujamas elektroninis paštas yra viena pagrindinių vartotojams aktualių saugumo problemų. Dėl sukeliamų nepatogumų didėja vartotojų nepasitikėjimas elektroninio pašto paslauga ir apskritai internetu. Prognozuojama, kad dėl UMTS (angl. Universal Mobile Telecommunications Systems) standarto, kai judriojo ryšio tinklas taps atviras internetui, paplitimo ši problema taps dar opesnė. Elektroninių ryšių paslaugų naudojimą tiesioginės rinkodaros tikslu iš dalies reglamentuoja Lietuvos Respublikos elektroninių ryšių įstatymas (Žin., 2004, Nr. 69-2382). Dėl aptartų priežasčių Įstatyme ketinama įtvirtinti sąvoką, analogišką 2004 m. kovo 10 d. Europos Parlamento ir Tarybos reglamente (EB) Nr. 460/2004, įsteigiančiame Europos tinklų ir informacijos apsaugos agentūrą, nustatytai tinklų ir informacijos saugumo sąvokai,– papildomai nustatyti, kad tinklų ir informacijos saugumo sąvoka apima ir informacinės sistemos pajėgumą, mažinantį nepageidaujamų elektroninio pašto pranešimų siuntimą tiesioginės rinkodaros tikslu. Tai leistų užpildyti reglamentavimo spragą, kai informacinės sistemos pritaikomos nepageidaujamiems elektroninio pašto pranešimams siųsti ir tam sudaromos sąlygos.
10. Įstatyme bus numatyta:
10.1. aiški valstybės institucijų struktūra tinklų ir informacijos saugumo srityje, kad nebūtų dubliuojamos institucijų funkcijos ir atsakingos institucijos veiksmingai bendradarbiautų;
10.2. nustatyti bendrieji tinklų ir informacijos saugumo reikalavimai, daugiausia skirti vartotojams apsaugoti nuo tinklų ir informacijos saugumo incidentų;
10.3. valstybės ir savivaldybių institucijų tinklų ir informacinių sistemų, saugaus informacijos perdavimo tarp valstybės ir savivaldybių institucijų, kritinių informacinių infrastruktūrų tinklų ir informacijos saugumo reikalavimai;
10.4. aiški tinklų ir informacijos saugumo lygio įvertinimo sistema, reglamentuojanti tinklų ir informacijos saugumo audito atlikimą, techninės ir programinės įrangos saugumo įvertinimą. Ši sistema daugiausia bus taikoma valstybės ir savivaldybių institucijų tinklams ir informacinėms sistemoms, kritinėms informacinėms infrastruktūroms, didesnių įmonių, taip pat informacinės visuomenės paslaugų teikėjų tinklams ir informacinėms sistemoms – t.y. tais atvejais, kai tinklų ir informacijos saugumas daugiausia užtikrinamas laikantis atitinkamos saugumo politikos.
11. Įstatyme taip pat bus nustatyti bendrieji reguliavimo pagrindai ir teisiniai pagrindai, įgalinantys priimti įstatymų lydimuosius teisės aktus, kuriuose bus detalizuotos Įstatymo nuostatos; įstatymų lydimuosius teisės aktus tvirtins Lietuvos Respublikos Vyriausybė, jos įgaliota institucija ir Lietuvos Respublikos ryšių reguliavimo tarnyba (toliau vadinama – Ryšių reguliavimo tarnyba).
III. KITŲ TEISĖS AKTŲ, REGULIUOJANČIŲ TINKLŲ IR INFORMACIJOS SAUGUMĄ, BENDROJI CHARAKTERISTIKA
12. Sparčiai gausėja informacijos ir tinklų saugumo pažeidimų. Dėl to patiriama daug finansinių nuostolių, kyla nauja rizika ir grėsmė informacinės visuomenės raidai. Būtina prisidėti prie saugios informacinės visuomenės kūrimo atitinkamai reglamentuojant su tuo susijusius visuomeninius santykius. Kol kas Lietuvos Respublikoje nėra įstatymo, nuosekliai reglamentuojančio su tinklų ir informacijos saugumu susijusius visuomeninius santykius, tačiau kai kuriuose teisės aktuose esama nuostatų, susijusių su tinklų ir informacijos saugumu. Deja, jos neužtikrina visapusiško ir aiškaus šių santykių reglamentavimo.
13. Lietuvos Respublikos elektroninių ryšių įstatymo 62 straipsnyje nustatyta, kad viešųjų elektroninių ryšių paslaugų teikėjai privalo įgyvendinti tinkamas technines ir organizacines priemones savo teikiamų paslaugų saugumui užtikrinti, o prireikus – kartu su viešųjų ryšių tinklų teikėjais imtis tokių pat priemonių viešųjų ryšių tinklų saugumui užtikrinti. Šios priemonės turi garantuoti iškilusią grėsmę atitinkantį saugumo lygį. Sužinojęs apie ypač didelę elektroninių ryšių tinklo ar jo dalies saugumo pažeidimo grėsmę, viešųjų elektroninių ryšių paslaugų teikėjas privalo informuoti apie ją abonentus ir tais atvejais, kai paslaugų teikėjo taikomos priemonės nepanaikina grėsmės kilmės priežasčių, taip pat informuoti abonentus apie visas įmanomas gelbėjimo priemones ir nurodyti tikėtinas jų kainas. Minėtoji Lietuvos Respublikos elektroninių ryšių įstatymo nuostata nustato tik bendrą prievolę tiek viešųjų elektroninių ryšių paslaugų, tiek viešųjų ryšių tinklų teikėjams imtis neapibrėžtų priemonių teikiamų paslaugų saugumui užtikrinti. Pažymėtina, kad ši prievolė taikytina tik ūkio subjektams, teikiantiems elektroninių ryšių tinklus ir paslaugas, o siūlomu Įstatymu siekiama praplėsti subjektų ratą, papildomai nustatyti atitinkamus įpareigojimus tinklų ir informacijos saugumo srityje ūkio subjektams, teikiantiems informacinės visuomenės tarpines paslaugas (pvz., informacijos saugojimo paslaugas), kurie nebūtinai patenka į Lietuvos Respublikos elektroninių ryšių įstatymo reguliavimo sritį. Siūlomas Įstatymas nustatys techninių ir organizacinių priemonių gaires tinklų ir informacijos saugumui užtikrinti. Be to, Įstatymu ketinama įgalioti Ryšių reguliavimo tarnybą patvirtinti įstatymų lydimuosius teisės aktus, nustatančius detalesnes technines ir organizacines priemones, kurias bus privaloma naudoti tinklų ir informacijos saugumui pagal atitinkamas paslaugas užtikrinti.
14. Lietuvos Respublikos elektroninių ryšių įstatymo 63 straipsnis reglamentuoja ryšio slaptumo užtikrinimą. Jame nustatyta, kad ūkio subjektai, teikiantys elektroninių ryšių tinklus ir (ar) paslaugas, privalo imtis organizacinių ir techninių priemonių ir užtikrinti, kad asmenims, kurie nėra faktiniai elektroninių ryšių paslaugų naudotojai, be suinteresuotų faktinių elektroninių ryšių paslaugų naudotojų sutikimo būtų draudžiama atskleisti elektroninių ryšių tinklais perduodamos informacijos turinį ir (ar) susijusius srauto duomenis arba sudaryti sąlygas sužinoti tokią informaciją ir (ar) susijusius srauto duomenis. Valstybinė duomenų apsaugos inspekcija (toliau vadinama – Duomenų apsaugos inspekcija), vadovaudamasi Lietuvos Respublikos Vyriausybės 2005 m. liepos 20 d. nutarimu Nr. 807 „Dėl Ryšio slaptumo patikrinimų atlikimo taisyklių patvirtinimo“ (Žin., 2005, Nr. 89-3341), kontroliuoja, kaip ūkio subjektai, teikiantys elektroninių ryšių tinklus ir (ar) paslaugas, įgyvendina šiuos ryšio slaptumo užtikrinimo reikalavimus.
15. Lietuvos Respublikos elektroninių ryšių įstatymo 68 straipsnis reglamentuoja elektroninių ryšių paslaugų naudojimą tiesioginės rinkodaros tikslu ir draudžia naudoti elektroninių ryšių paslaugas be išankstinio abonento sutikimo, nustato atitinkamus reikalavimus tokių elektroninių pranešimų siuntėjams (pvz., draudimą slėpti siuntėjo tapatybę ir prievolę siuntėjui nurodyti galiojantį adresą, kuriuo gavėjas galėtų pareikalauti nutraukti tokios informacijos siuntimą). Minėtojo įstatymo devintojo skirsnio nuostatos taip pat iš dalies susijusios su vieno tinklų ir informacijos saugumo aspekto – privatumo apsaugos – užtikrinimu. Masiškai plintant nepageidaujamiems elektroninio pašto pranešimams (kurie dabar sudaro apie 70 procentų bendro elektroninio pašto srauto), vien tik galimybės nubausti nepageidaujamo elektroninio pašto pranešimo siuntėją nepakanka. Kad būtų užkirstas kelias šiam neigiamam reiškiniui, Įstatyme, atsižvelgiant į technologinio neutralumo principą, bus reglamentuojamas techninių ir organizacinių priemonių, skirtų jo prevencijai ir nepageidaujamų elektroninio pašto pranešimų sklaidos užkardymui, nustatymas bei panaudojimas.
16. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (Žin., 1996, Nr. 63-1479; 2003, Nr. 15-597) 24 straipsnis nustato, kad duomenų valdytojas ir duomenų tvarkytojas privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Minėtos priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką, jos turi būti išdėstytos rašytiniame ar jam prilygintos formos dokumente (duomenų valdytojo patvirtintose asmens duomenų tvarkymo taisyklėse, duomenų valdytojo ir duomenų tvarkytojo sudarytoje sutartyje ir panašiai). Ši Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo norma yra analogiška minėtai Lietuvos Respublikos elektroninių ryšių įstatymo 62 straipsnio nuostatai, tačiau ji taikoma duomenų valdytojams ir duomenų tvarkytojams, kurie, teikdami atitinkamas paslaugas, tvarko fizinių asmenų duomenis.
17. Kiti Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo straipsniai nustato asmens duomenų (kaip dalies privačios fizinių asmenų informacijos) apsaugos sistemą.
18. Lietuvos Respublikos elektroninių ryšių įstatymo 62, 68 ir kitų devintojo skirsnio straipsnių nuostatų priežiūros funkcija Lietuvos Respublikos elektroninių ryšių įstatymo 12 straipsnio 5 dalies 1 punktu pavesta Duomenų apsaugos inspekcijai, kuri pagal Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymą yra atsakinga už žmogaus privataus gyvenimo neliečiamumo teisę, kadangi tvarko asmens duomenis. Norint tinkamai apsaugoti asmens duomenis (ypač kai jie tvarkomi automatiniu (kompiuterizuotu) būdu), būtina įgyvendinti tinkamas tinklų ir informacijos saugumo užtikrinimo priemones. Asmens duomenų apsauga negalima, jeigu nesilaikoma atitinkamų tinklų ir informacijos saugumo reikalavimų. Kita vertus, tų pačių reikalavimų laikymasis skirtas ir kitoms asmens teisėms (ne vien privataus gyvenimo neliečiamumo) informacinėje visuomenėje garantuoti (apsaugoti asmenis nuo sukčiavimo, informacijos, finansinių lėšų ar laiko praradimo, jų naudojamų informacinių sistemų sutrikdymo, galimybės naudotis paslaugomis atėmimo ir panašiai), todėl turėtų būti aiškiai reglamentuota atitinkamų institucijų kompetencija užtikrinti visavertę asmens teisių apsaugą naudojantis informacinės visuomenės paslaugomis.
19. Lietuvos Respublikos elektroninio parašo įstatymas (Žin., 2000, Nr. 61-1827) skirtas elektroninio parašo kūrimui, tikrinimui, galiojimui, parašo naudotojų teisių ir atsakomybės, reikiamos infrastruktūros funkcionavimui reglamentuoti. Jis reglamentuoja vieną iš saugios informacinės visuomenės elementų, skirtų patikimam ir teisiškai reikšmingam keitimuisi informacija tarp informacinės visuomenės paslaugų gavėjų užtikrinti (t.y. elektroninį parašą).
20. Lietuvos Respublikos įstatymu dėl Konvencijos dėl elektroninių nusikaltimų ratifikavimo (Žin., 2004, Nr. 36-1178) ratifikuota Konvencija dėl elektroninių nusikaltimų (Žin., 2004, Nr. 36-1188), jos atitinkamos normos įtvirtintos Lietuvos Respublikos baudžiamojo kodekso (Žin., 2000, Nr. 89-2741) 196–1982 straipsniuose: 196 straipsnis – kompiuterinės informacijos sunaikinimas ar pakeitimas (turi būti padaryta didelė žala); 197 straipsnis – kompiuterinės programos sunaikinimas ar pakeitimas ir kompiuterinio tinklo, duomenų banko ar informacinės sistemos darbo sutrikdymas (turi būti padaryta didelė žala); 198 straipsnis – kompiuterinės informacijos pasisavinimas ir skleidimas (būtina sąlyga, kad informacija turi būti saugoma įstatymų); 1981 straipsnis – neteisėtas prisijungimas prie kompiuterio ar kompiuterinio tinklo; 1982 straipsnis – neteisėtas disponavimas įrenginiais, kompiuterinėmis programomis, slaptažodžiais, prisijungimo kodais ir kitokiais duomenimis, skirtais nusikaltimams daryti. Ikiteisminius tyrimus dėl tokio pobūdžio nusikalstamų veikų atlieka Lietuvos Respublikos baudžiamojo proceso kodekso (Žin., 2002, Nr. 37-1341) 165 straipsnyje nustatytos ikiteisminio tyrimo įstaigos. Pažymėtina, kad Lietuvos kriminalinės policijos biure įkurtas specializuotas Nusikaltimų elektroninėje erdvėje tyrimo skyrius atlieka ikiteisminius tyrimus dėl tokių nusikalstamų veikų.
21. Numatomu Įstatymu nebus siekiama pakeisti Lietuvos Respublikos baudžiamajame kodekse įtvirtintos nusikaltimų informatikai sistemos. Jis sudarys galimybes ne tik reaguoti į jau įvykusius pažeidimus (nubausti asmenis), bet ir užtikrinti tokių pažeidimų prevenciją, užkirsti kelią neigiamiems jų padariniams. Taip pat Įstatymas aiškiai nustatys elgesio ribas – apibrėš veikas, kurios formaliai nėra kriminalizuotos (dėl to, kad Lietuvos Respublikos baudžiamasis kodeksas kai kurias veikas kriminalizuoja tik įtraukdamas papildomą požymį – padarytą didelę žalą), bet yra aiškiai pavojingos – kenksmingo programinio kodo kūrimas ir disponavimas juo; prisijungimas prie elektroninių ryšių tinklo ar informacinės sistemos, neturint tam teisės, ar sąlygų tam sudarymas; elektroninio pašto adreso rinkimas, platinimas, įsigijimas, naudojimas ar kitoks disponavimas elektroninio pašto adresu be naudotojo sutikimo tiesioginės rinkodaros tikslu ir panašiai, o už tokių veikų padarymą Lietuvos Respublikos administracinių teisės pažeidimų kodekse (Žin., 1985, Nr. 1-1) bus numatyta administracinė atsakomybė.
22. Lietuvos Respublikos valstybės registrų įstatymas (Žin., 1996, Nr. 86-2043; 2004, Nr. 124-4488) nustato valstybės registrų (kadastrų) steigimą, tvarkymą, reorganizavimą ir likvidavimą; valstybės registrų sistemą ir bendruosius valstybės registrų sąveikos principus; vadovaujančių valstybės registrų tvarkymo įstaigų, valstybės registrų tvarkymo įstaigų, valstybės registrų priežiūros institucijų, valstybės registrų tvarkytojų, valstybės registrų duomenų teikėjų ir gavėjų teises ir pareigas. Lietuvos Respublikos valstybės registrų įstatymo 2 straipsnio 19 dalyje įtvirtinta registro sąvoka – teisinių, organizacinių, technologinių priemonių visuma, skirta registruoti įstatymų nustatytus registro objektus, rinkti, kaupti, apdoroti, sisteminti, saugoti ir teikti fiziniams ir juridiniams asmenims registruojamų objektų kiekybinius, kokybinius, geografinius ir kitus duomenis bei dokumentus.
23. Lietuvos Respublikos valstybės registrų įstatymo 20 straipsnis nustato duomenų saugos reikalavimus registrams: „Už registro duomenų saugą atsako registro tvarkymo įstaiga ir registro tvarkytojai. Tvarkant registro duomenis, privaloma įgyvendinti registro duomenų saugos priemones, skirtas užtikrinti registro duomenų tikslumą ir apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Kad būtų užtikrinta registro duomenų sauga, vadovaujantis Lietuvos Respublikos Vyriausybės patvirtintais bendraisiais duomenų saugos reikalavimais, rengiami ir vadovaujančiosios registro tvarkymo įstaigos tvirtinami registro duomenų saugos nuostatai. Juose nustatomos reikiamos registro duomenų saugos priemonės, registro duomenų saugaus tvarkymo reikalavimai ir jų įgyvendinimas. Registro tvarkytojai privalo registro duomenų saugos nuostatų nustatyta tvarka užtikrinti reikiamas administracines, technines ir organizacines duomenų saugos priemones ir tokių priemonių laikymąsi. Valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis ir tvarkantys registro duomenis, privalo įsipareigoti saugoti duomenų paslaptį. Įsipareigojimas saugoti duomenų paslaptį galioja ir nutraukus su registro duomenų tvarkymu susijusią veiklą.“
24. Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymas (Žin., 1999, Nr. 105-3019; 2004, Nr. 4-29) reglamentuoja tinklų ir informacijos saugumo reikalavimus valstybės ir tarnybos paslapčių apsaugos srityje. Nurodytojo įstatymo aštuntajame skirsnyje reglamentuojama automatizuotų duomenų apdorojimo sistemų ir tinklų, kuriuose yra saugoma, apdorojama ar kuriais perduodama įslaptinta informacija, apsauga – reglamentuojamas leidimų apdoroti įslaptintą informaciją automatizuotomis duomenų apdorojimo sistemomis ir tinklais išdavimas, nustatyti tokių sistemų ir tinklų apsaugos reikalavimai ir informacijos laikmenų saugumo reikalavimai. Pažymėtina, jog Įstatymu nesiekiama pakeisti tinklų ir informacijos saugumo reglamentavimo, kiek tai susiję su valstybės ir (ar) tarnybos paslaptimi, – Įstatymas numatys tik bendruosius reikalavimus, o Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymas, kaip specialusis teisės aktas, atskirai reglamentuos santykius valstybės ir tarnybos paslapčių saugumo užtikrinimo srityje.
25. Būtų galima paminėti kelis su tinklų ir informacijos saugumu susijusius Lietuvos Respublikos Vyriausybės nutarimus, kurie plačiąja prasme reglamentuoja tinklų ir informacijos saugumą valstybės ir savivaldybės institucijose: 1997 m. rugsėjo 4 d. nutarimą Nr. 952 „Dėl duomenų saugos valstybės ir savivaldybių informacinėse sistemose“ (Žin., 1997, Nr. 83-2075; 2003, Nr. 2-45), 2003 m. kovo 5 d. nutarimą Nr. 290 „Dėl Viešo naudojimo kompiuterių tinkluose neskelbtinos informacijos kontrolės ir ribojamos viešosios informacijos platinimo tvarkos patvirtinimo“ (Žin., 2003, Nr. 24-1002), 2004 m. balandžio 19 d. nutarimą Nr. 451 „Dėl Valstybės informacinių sistemų steigimo ir įteisinimo taisyklių patvirtinimo“ (Žin., 2004, Nr. 58-2061), 2005 m. liepos 20 d. nutarimą Nr. 807 „Dėl Ryšio slaptumo patikrinimų atlikimo taisyklių patvirtinimo“ (Žin., 2005, Nr. 89-3341) ir 2006 m. birželio 19 d. nutarimą Nr. 601 „Dėl Elektroninės informacijos saugos valstybės institucijų informacinėse sistemose valstybinės strategijos iki 2008 metų ir jos įgyvendinimo priemonių plano patvirtinimo“ (Žin., 2006, Nr. 70-2575), iš jų:
25.1. Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimas Nr. 952 nustato bendruosius duomenų saugos reikalavimus, kurių tikslas – sudaryti sąlygas saugiai tvarkyti duomenis automatizuotu būdu valstybės registruose ir kitose valstybės informacinėse sistemose. Nustatyti sistemos duomenų saugos nuostatų, saugaus darbo su duomenimis tvarkos bei detalių instrukcijų ir procedūrų aprašymų, reglamentuojančių veiksmus ar jų atlikimo tvarką atskirais atvejais ar konkrečioje situacijoje, turinio reikalavimai. Teisės aktų nustatyta tvarka numatyta sistemos tvarkytojo atsakomybė už duomenų patikimumą, tvarkymo teisėtumą, duomenų teikimo teisėtumą ir duomenų saugą nuo neteisėto panaudojimo. Kadangi šis teisės aktas neturi aiškaus įstatymų nustatyto pagrindo, keblu jį taikyti Lietuvos Respublikos Vyriausybei nepavaldžioms institucijoms ir įstaigoms (pavyzdžiui, savivaldybių institucijoms ir įstaigoms).
25.2. Lietuvos Respublikos Vyriausybės 2003 m. kovo 5 d. nutarime Nr. 290 įtvirtintos viešo naudojimo kompiuterių tinkluose neskelbtinos informacijos kontrolės ir ribojamos viešosios informacijos platinimo šiuose tinkluose nuostatos, jų įgyvendinimas ir laikymosi kontrolė. Viešo naudojimo kompiuterių tinkluose neskelbtinos informacijos kontrolės ir ribojamos viešosios informacijos platinimo tvarka parengta vadovaujantis 1999 m. sausio 25 d. Europos Parlamento ir Tarybos sprendimu 1999/276/EB, patvirtinančiu ilgalaikį Bendrijos veiksmų planą, kaip skatinti saugiau naudotis internetu bei kovoti su neteisėtu ir žalingu tarptautinių tinklų turiniu. Pateiktas sąvokos „filtravimo priemonės“ apibrėžimas – tai programinė įranga, išskirianti pageidaujamą arba ribojanti nepageidaujamą viešo naudojimo kompiuterių tinklų informaciją pagal vartotojo nustatytus parametrus. Minėtu nutarimu numatyta atsakomybė už interneto tinklalapio turinį, informacijos prieglobos paslaugų teikėjų (asmenų, faktiškai teikiančių interneto tinklalapių prieglobos (angl. hosting) viešo naudojimo kompiuterių tinkluose paslaugas) ir tinklo paslaugų teikėjų pareigos dėl informacijos teikimo operatyvinės veiklos subjektams ir prieigos prie tarnybinėje stotyje esančios informacijos nutraukimo, taip pat numatytos valstybės institucijų pareigos reglamentuojamų santykių srityje. Lietuvos Respublikos Konstitucinis Teismas 2005 m. rugsėjo 19 d. nutarime (Žin., 2005, Nr. 113-4131) pripažino, kad Lietuvos Respublikos Vyriausybės 2003 m. kovo 5 d. nutarimas Nr. 290 neprieštarauja Lietuvos Respublikos Konstitucijai (Žin., 1992, Nr. 33-1014), tačiau konstatavo, kad šiuo metu įstatymuose įtvirtintas teisinis reguliavimas yra pernelyg bendro pobūdžio, jame nepakankamai atsižvelgiama į interneto, kaip informacijos sklaidos erdvės, specifiką, todėl įstatymų leidėjas turi pareigą atitinkamus santykius detaliau reglamentuoti įstatymais bei užtikrinti, kad įstatymų leidyba neatsiliktų nuo informacinių technologijų pažangos ir jos nulemtos atitinkamų visuomeninių santykių kaitos.
25.3. Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimas Nr. 451 nustato valstybės informacinių sistemų (išskyrus valstybės registrus) steigimo ir įteisinimo, reorganizavimo ir likvidavimo procedūras. Šiuo nutarimu patvirtintos Valstybės informacinių sistemų steigimo ir įteisinimo taisyklės taikomos ministerijų, Vyriausybės įstaigų, įstaigų prie ministerijų, kitų Lietuvos Respublikos Vyriausybei atskaitingų valstybės institucijų ir įstaigų informacinėms sistemoms. Jos netaikomos informacinėms sistemoms, kuriose tvarkomi duomenys yra valstybės ar tarnybos paslaptis.
25.4. Lietuvos Respublikos Vyriausybės 2005 m. liepos 20 d. nutarimas Nr. 807 nustato Duomenų apsaugos inspekcijos atliekamų patikrinimų, kaip laikomasi Lietuvos Respublikos elektroninių ryšių įstatymo 63 straipsnio 1 dalies reikalavimų užtikrinti ryšio slaptumą, ir šių patikrinimų rezultatų įforminimo procedūras. Ryšio slaptumo patikrinimas atliekamas siekiant nustatyti, kaip ūkio subjektai, teikiantys elektroninių ryšių tinklus ir (ar) paslaugas, užtikrina ryšio slaptumą.
25.5. Lietuvos Respublikos Vyriausybės 2006 m. birželio 19 d. nutarimas Nr. 601 nustato Elektroninės informacijos saugos valstybės institucijų informacinėse sistemose valstybinę strategiją iki 2008 metų ir jos įgyvendinimo priemones, pagrindinius elektroninės informacijos saugos užtikrinimo principus, tikslus, uždavinius ir jų įgyvendinimą valstybės institucijų valdomose informacinėse sistemose. Pagrindiniai tikslai – tobulinti elektroninės informacijos saugos koordinavimą ir priežiūrą; teisės aktais reguliuoti elektroninės informacijos saugą; kelti elektroninės informacijos saugos kultūrą; tobulinti elektroninės informacijos perdavimo infrastruktūros saugą; skatinti elektroninės informacijos saugos užtikrinimo projektų įgyvendinimą.
IV. KEIČIAMŲ IR PANAIKINAMŲ TEISĖS NORMŲ NEVEIKSMINGUMO ANALIZĖ
26. Remiantis šios Koncepcijos III skyriuje pateikta teisės aktų, reguliuojančių tą pačią visuomeninių santykių sritį, charakteristika, galima teigti, kad kol kas nėra nei Lietuvos Respublikos įstatymų, nei jų lydimųjų teisės aktų, kurie išsamiai ir sistemiškai reglamentuotų tinklų ir informacijos saugumą, o esami teisės aktai neužtikrina visapusiško ir nuoseklaus tinklų ir informacijos saugumo visuomeninių santykių reglamentavimo, nesudaro sąlygų vartotojų pasitikėjimui informacine visuomene ir saugios informacinės visuomenės plėtrai. Numatytas tik fragmentiškas reguliavimas. Nesprendžiami kai kurie svarbūs klausimai – pavyzdžiui, neapibrėžtos sąvokos, nėra sistemingai išdėstytos institucinės sistemos, nereglamentuota atsakomybė už veikas, formaliai nekriminalizuotas Lietuvos Respublikos baudžiamojo kodekso (dėl to, kad nepadaroma didelė žala), nedetalizuotos elektroninių ryšių paslaugų ir tarpinių informacinės visuomenės paslaugų teikėjų pareigos rūpintis savo vartotojų saugumu (kai kuriems tokia pareiga apskritai nenustatyta), nenustatyta tinklų ir informacijos saugumo incidentų tyrimo sistema, įstatymuose nereglamentuojamas valstybės ir savivaldybių tinklų ir informacinių sistemų saugumas (tinklų ir informacijos saugumą valstybės institucijų informacinėse sistemose iki šiol reglamentuoja tik įstatymų lydimieji teisės aktai – Lietuvos Respublikos Vyriausybės nutarimai, ministrų įsakymai), neaiški kritinių informacinių infrastruktūrų saugumo reglamentavimo sistema, nereglamentuotas tinklų ir informacijos saugumo vertinimas.
27. Vien tik Lietuvos Respublikos elektroninių ryšių įstatymo papildymas neišspręstų esamo tinklų ir informacijos saugumo reglamentavimo trūkumo dėl kelių svarbių priežasčių. Pirma, Įstatymas bus taikomas platesniam subjektų ratui, nei nustatyta Lietuvos Respublikos elektroninių ryšių įstatyme, reguliuos ir informacinės visuomenės tarpinių paslaugų teikėjų veiklą (sąvoka pateikta šios Koncepcijos X skyriuje). Antra, Įstatymo objektas bus ne tik elektroninių ryšių tinklai, bet ir informacinės sistemos. Trečia, Lietuvos Respublikos elektroninių ryšių įstatymas nereglamentuoja santykių, susijusių su elektroninių ryšių tinklais perduodamos informacijos turiniu, o tinklų ir informacijos saugumas iš dalies susijęs ir su šia sritimi, pavyzdžiui, būtina reglamentuoti tokius klausimus kaip kenksmingo programinio kodo kūrimas ir naudojimas.
28. Tinklų ir informacijos saugumui užtikrinti reikia kompleksinio reguliavimo, nes su informacinėmis sistemomis gali būti atliekamos įvairios veikos, kurios riboja kitų asmenų galimybę naudotis paslaugomis, sudaro jiems nepatogumų (pvz., nepageidaujamų elektroninio pašto pranešimų reiškinys), sukelia finansinius nuostolius šių paslaugų teikėjams, taip pat ir nusikalstamos veikos, tokios kaip vagystės iš elektroninių bankų sąskaitų, kitų duomenų praradimas, darantis didelę finansinę žalą jų teisėtiems valdytojams, ir panašiai. Lietuvos Respublikos baudžiamajame kodekse kriminalizuotos veikos informatikos srityje yra specifinio, kriminalinio pobūdžio, dėl to daugelio jų pasekmės turi būti specifinės – didelė žala. Tačiau kol kas nėra įstatymų uždraustų veikų, kurių pavojingumas baudžiamosios teisės prasme nėra toks didelis, kad užtrauktų kitokios rūšies atsakomybę jas padariusiems asmenims.
29. Įstatymu ketinama pataisyti šio reglamentavimo spragas ir nustatyti draudžiamas veikas tinklų ir informacijos saugumo srityje (pvz., kenksmingo programinio kodo platinimas), taip pat atitinkamai papildyti Lietuvos Respublikos administracinių teisės pažeidimų kodeksą naujomis nuostatomis, numatančiomis atsakomybę už neteisėtas veikas tinklų ir informacijos saugumo srityje.
30. Įstatymu siekiama suteikti vienai institucijai – Ryšių reguliavimo tarnybai – pagrindines rinkos priežiūros funkcijas tinklų ir informacijos saugumo srityje, nustatyti jai aiškias kompetencijos ribas ir įgaliojimus, be to, jai bendradarbiaujant su kitomis institucijomis, veikiančiomis pagal jų veiklą bei kompetenciją tinklų ir informacijos saugumo reguliavimo atitinkamose srityse nustatančius įstatymus, bendrai užtikrinti aukštą tinklų ir informacijos saugumo lygį Lietuvoje.
31. Kaip jau buvo konstatuota šios Koncepcijos 18 punkte, siekiant užtikrinti efektyvesnį reguliavimo mechanizmą tinklų ir informacijos saugumo srityje, būtina aiškiai reglamentuoti atitinkamų institucijų kompetenciją.
32. Įstatyme bus nustatyti bendrieji tinklų ir informacijos saugumo reikalavimai, kurie užtikrins vartotojų interesus informacinėje visuomenėje. Bus nustatytos teikėjų teisės ir pareigos, susijusios su tinklų ir informacijos saugumo užtikrinimu, pavyzdžiui, kenksmingo programinio kodo filtravimas bei kenkėjiškų adresų blokavimas elektroninio pašto sistemose nepažeidžiant fizinių asmenų privatumo (atsižvelgiant į Direktyvos 95/46/EB 29 straipsnio duomenų apsaugos darbo grupės 2006 m. vasario 21 d. nuomonės 2/2006 apie privatumo klausimus, susijusius su elektroninio pašto tikrinimo paslaugų teikimu, rekomendacijas), o tai dabar nereglamentuojama.
33. Taip pat Įstatyme numatoma tinklų ir informacijos saugumo incidentų tyrimo sistema, sudaromos galimybės užkirsti kelią tinklų ir informacijos saugumo incidentams plisti, laikinai apribojant paslaugų ar tinklų teikimą tinklų ir informacijos saugumo incidentų šaltiniams ir taikant kitas poveikio priemones.
34. Įstatymas reglamentuos tinklų ir informacijos saugumo audito bei techninės ir programinės įrangos saugumo vertinimo sritis, kurios iki šiol kitų teisės aktų nebuvo reglamentuojamos. Įstatymu nebus siekiama pakeisti rinkoje vykdomo tinklų ir informacijos saugumo audito, tačiau bus įvesta aukštesnio lygio patikimumo užtikrinimo sistema, kuri bus taikoma kritinėms informacinėms infrastruktūroms, Lietuvos Respublikos Vyriausybės nustatytoms valstybės ir savivaldybių informacinėms sistemoms arba savanoriškai – bet kuriems rinkoms dalyviams.
35. Šiuo metu nėra įstatymo, kuris reglamentuotų kritinių informacinių infrastruktūrų tinklų ir informacijos saugumą. Įstatymu ketinama pašalinti šią reglamentavimo spragą ir nustatyti pagrindinius kritinių informacinių sistemų tinklų ir informacijos saugumo užtikrinimo principus, subjektus (Lietuvos Respublikos Vyriausybė ar jos įgaliota institucija), turinčius teisę sudaryti kritinių informacinių infrastruktūrų sąrašą, nustatyti subjektus, turinčius teisę teikti pasiūlymus dėl tokio sąrašo sudarymo, pakeitimo ar papildymo, ir kontrolės funkcijas atliekančias institucijas.
V. UŽSIENIO VALSTYBIŲ TEISĖKŪROS APŽVALGA
36. Užsienio valstybių tinklų ir informacijos saugumo reglamentavimo praktika nėra gausi, nes daugelyje valstybių šios srities reglamentavimo sistema dar tik kuriama.
37. Antai Suomijoje 2004 m. rugsėjo 1 d. įsigaliojo Privatumo apsaugos elektroniniuose ryšiuose įstatymas, kurio tikslas – užtikrinti slaptumą ir privatumo apsaugą elektroniniuose ryšiuose, didinti tinklų ir informacijos saugumą, gerinti elektroninių ryšių paslaugas. Atsižvelgiant į technologinio neutralumo principą, nurodytajame įstatyme Suomijos elektroninių ryšių reguliuotojui (FICORA) numatyta teisė tvirtinti įstatymų lydimuosius teisės aktus pagal atitinkamas tinklų ir informacijos saugumo kategorijas ir paslaugas. Minėtini reikalavimai, kad elektroninio pašto paslaugų teikėjai kovotų su nepageidaujamais elektroninio pašto pranešimais, taip pat reikalavimai, kad informacija apie tinklų ir informacijos saugumo incidentus būtų teikiama tinklų ir informacijos saugumo incidentų tyrimo padaliniui, ir kita.
38. Bendrai apžvelgus užsienio valstybių teisėkūros praktiką tinklų ir informacijos saugumo srityje, galima konstatuoti, kad ji yra fragmentiška, – daugelis užsienio valstybių, ypač Europos Sąjungos valstybių narių, kelia klausimą, jog būtina nacionaliniu lygiu parengti bendrą teisės aktą, reglamentuojantį tinklų ir informacijos saugumą (tokio įstatymo projektą dabar rengia Belgija).
VI. TARPTAUTINĖS TEISĖS, EUROPOS SĄJUNGOS TEISĖS NORMŲ IR PRINCIPŲ ANALIZĖ
39. Europos Sąjungos teisės aktai numato atitinkamus įpareigojimus keliant tinklų ir informacijos saugumo lygį tiek nacionaliniu, tiek tarptautiniu lygiu:
39.1. 2004 m. sausio 22 d. priimta Konvencija dėl elektroninių nusikaltimų (Budapešto konvencija), ratifikuota Lietuvos Respublikos įstatymu dėl Konvencijos dėl elektroninių nusikaltimų ratifikavimo. Kaip jau buvo minėta šios Koncepcijos II skyriuje, minėtosios Konvencijos nuostatos jau perkeltos į Lietuvos Respublikos baudžiamąjį kodeksą.
39.2. 2005 m. vasario 24 d. priimtas Tarybos pamatinis sprendimas 2005/222/TVR dėl atakų prieš informacines sistemas (OL 2005 L 069, p. 67). Įstatyme bus numatyta, kad Policijos departamentas prie Vidaus reikalų ministerijos organizuos ir koordinuos nusikalstamų veikų, susijusių su tinklų ir informacijos saugumu, atskleidimą ir tyrimą, užtikrins Konvencijos dėl elektroninių nusikaltimų, priimtos 2001 m. lapkričio 23 d. Budapešte, 35 straipsnyje ir 2005 m. vasario 24 d. Tarybos pamatinio sprendimo 2005/222/TVR dėl atakų prieš informacines sistemas 11 straipsnyje nustatytų funkcijų vykdymą.
39.3. 2004 m. kovo 10 d. Europos Parlamento ir Tarybos reglamento (EB) Nr. 460/2004, įsteigiančio Europos tinklų ir informacijos apsaugos agentūrą, nuostatos numato Europos tinklų ir informacijos apsaugos agentūros (ENISA) įsteigimą, taip pat bendravimo ir keitimosi informacija tarp šalių narių mechanizmą tinklų ir informacijos saugumo srityje. Įstatymu Ryšių reguliavimo tarnybai bus patvirtinta teisė dalyvauti Europos tinklų ir informacijos apsaugos agentūros (ENISA) veikloje ir užtikrinti keitimąsi informacija, susijusia su šia veikla, tarp šios agentūros ir Lietuvos Respublikos atitinkamų institucijų. Ryšių reguliavimo tarnyba jau aktyviai dalyvauja Europos tinklų ir informacijos apsaugos agentūros (ENISA) veikloje, vykdydama savo funkcijas, suteiktas Lietuvos Respublikos ryšių reguliavimo tarnybos nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 2004 m. rugpjūčio 19 d. nutarimu Nr. 1029 (Žin., 2004, Nr. 131-4734), 8.24 punktu, o Įstatymas šiai veiklai suteiks teisinį pagrindą.
39.4. 2000 m. birželio 8 d. Europos Parlamento ir Tarybos direktyva 2000/31/EB dėl kai kurių informacinės visuomenės paslaugų, ypač elektroninės komercijos, teisinių aspektų vidaus rinkoje (Elektroninės komercijos direktyva) (OL 2004 m. specialusis leidimas, 13 skyrius, 25 tomas, p. 399). Direktyvos tikslas – nustatyti aiškius bendruosius principus, aprėpiančius kai kuriuos vidaus rinkoje plėtojamos elektroninės komercijos teisinius aspektus, sukurti teisinę bazę, užtikrinančią laisvą informacinės visuomenės paslaugų judėjimą tarp Europos Sąjungos valstybių narių. Šioje direktyvoje nustatyta jos taikymo sritis, apibrėžtos su informacinės visuomenės paslaugomis susijusių dalykų sąvokos, vidaus rinka, nustatyti tam tikri su informacinės visuomenės paslaugų teikimu susiję principai, su informacinės visuomenės paslaugomis susijusios informacijos, komercinių pranešimų reikalavimai, neužsakytų komercinių pranešimų siuntimo reikalavimai, reglamentuojamos profesijos, pareiga Europos Sąjungos valstybėms narėms užtikrinti elektroninės formos nediskriminavimą nacionaliniuose teisės aktuose, tarpinių paslaugų teikėjų atsakomybė, įtvirtinta nuostata dėl šios direktyvos įgyvendinimo. Kadangi Įstatymas ir direktyvą įgyvendinantis Lietuvos Respublikos informacinės visuomenės paslaugų įstatymas reglamentuos tų pačių subjektų veiklą, tikslinga nustatyti, kad šį reguliavimą atliktų ta pati institucija, tuo užtikrinant nuoseklų, bendrą, teigiamą rinkos reguliavimo mechanizmą.
39.5. 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyvos 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL 2004 m. specialusis leidimas, 13 skyrius, 29 tomas, p. 514), kuri įgyvendinta Lietuvos Respublikos elektroninių ryšių įstatymu, preambulėje pažymėta, jog viešiesiems ryšių tinklams reikėtų nustatyti specifines teisines, normines ir technines nuostatas, kad būtų apsaugotos fizinių asmenų pagrindinės teisės ir laisvės bei juridinių asmenų teisėti interesai, visų pirma dėl didėjančių automatinio duomenų, susijusių su abonentais ir naudotojais, kaupimo ir tvarkymo pajėgumų. Šios direktyvos viena iš reguliavimo sričių – paslaugų ir tinklų saugumo užtikrinimas, kuriam skirtos 4 straipsnio nuostatos. Direktyvoje dėl privatumo ir elektroninių ryšių įtvirtinta viešai prieinamų elektroninių ryšių paslaugų teikėjo pareiga imtis tinkamų techninių ir organizacinių priemonių savo paslaugų saugumui užtikrinti, o tam tikrais atvejais tokių priemonių elektroninių ryšių paslaugų teikėjas turi imtis kartu su viešųjų ryšių tinklo teikėju, kad užtikrintų ir paties tinklo saugumą. Preambulėje pažymėta, kad reikalavimas pranešti abonentams apie konkrečią riziką saugumui neatleidžia paslaugų teikėjo nuo įsipareigojimo savo lėšomis imtis tinkamų ir skubių priemonių bet kuriai naujai, nenumatytai saugumo rizikai pašalinti ir normaliam paslaugos saugumo lygiui atkurti, taip pat nurodyta, kad paslaugų teikėjai, siūlantys viešai prieinamas elektroninių ryšių paslaugas internetu, turėtų informuoti naudotojus ir abonentus apie tai, kokias priemones jie galėtų taikyti savo pranešimams apsaugoti (pvz., specialią programinę įrangą ar šifravimo technologijas).
39.6. Taryba 2002 m. sausio 28 d. rezoliucijoje dėl vieno požiūrio ir specifinių veiksmų tinklų ir informacijos saugumo srityje konstatavo, kad būtina nacionaliniu lygiu gerinti visuomenės informavimą apie galimas grėsmes ir jų šalinimo būdus tinklų ir informacijos saugumo srityje. Įstatyme bus pavesta Ryšių reguliavimo tarnybai koordinuoti visuomenės šviečiamąją veiklą tinklų ir informacijos saugumo srityje.
39.7. Ekonominio bendradarbiavimo ir plėtros organizacijos gairėse dėl tinklų ir informacinių sistemų saugumo atkreipiamas dėmesys į tinklų ir informacinių sistemų saugumo svarbą. Vienas iš pagrindinių tikslų – kelti tinklų ir informacijos saugumo lygį pasitelkiant visus suinteresuotus asmenis. Taryba 2002 m. liepos 25 d. rekomendacijoje dėl šių gairių paragino Europos Sąjungos valstybes nares priimti naujas (ar pakeisti galiojančias) strategijas tinklų ir informacinių sistemų saugumo kultūrai kelti.
VII. PAGRINDINĖS VISUOMENINIŲ SANTYKIŲ REGULIAVIMO NUOSTATOS
40. Tinklų ir informacijos saugumo veiklos reguliavimo sistema pagrįsta tam tikrais principais, iš kurių svarbiausieji yra šie:
40.1. Institucijų bendradarbiavimas – atsižvelgiant į tai, kad tinklų ir informacijos saugumo reguliavimas yra kompleksinis, svarbu užtikrinti, kad kompetentingos institucijos bendradarbiautų veiksmingai, operatyviai, o svarbiausia – kad bendromis institucijų pastangomis būtų efektyviai sprendžiami klausimai, susiję su tinklų ir informacijos saugumu. Šiuo tikslu Įstatymas numato įsteigti komisiją, kurią sudarytų skirtingų institucijų atstovai.
40.2. Mažiausias būtinas reguliavimas – reguliavimas turi apsaugoti vartotojų ir kitų paslaugų gavėjų interesus, užtikrinti pasitikėjimą informacinėje visuomenėje, bet neturi apriboti paslaugų teikėjų ir kitų rinkos dalyvių veiklos labiau, nei tai būtina šiems tikslams pasiekti.
40.3. Teisinis tikrumas kintančioje rinkoje – reguliavimas turi būti stabilus ir skaidrus, kad ūkio subjektai galėtų neabejodami priimti investicinius sprendimus. Bet jis turi būti ir lankstus, leidžiantis atsižvelgti į rinkos plėtrą ir naujas technologijas.
40.4. Technologinis neutralumas – reguliavimas negali nei skatinti, nei trukdyti naudoti kokią nors specifinę technologiją ar paslaugą; tinklų ir informacijos saugumas turi būti tik reguliuojamas, kad ir kokia būtų naudojama technologija tinklams ar paslaugoms teikti.
40.5. Susitarimas dėl reguliavimo – dėl reguliavimo gali būti susitariama pasauliniu, regioniniu ar nacionaliniu lygiu, bet jis taikomas (kiek praktiškai įmanoma) kuo arčiau reguliuojamos veiklos. Pagal šį principą:
40.5.1. už tai, kad būtų pasiekti nacionaliniai tikslai, atsako nepriklausoma nacionalinė reguliavimo institucija;
40.5.2. siekiant išvengti reguliavimo fragmentiškumo, turi būti numatytas valstybės institucijų veiksmų koordinavimas;
41. Įstatymas įtvirtins šias reguliavimo naujoves:
41.1. bus nustatytos iki šiol Lietuvos Respublikos teisės aktuose nevartotos tinklų ir informacijos saugumo srities sąvokos;
41.3. bus nustatytos iki šiol nereglamentuotos teikėjų prievolės užtikrinti tinklų ir informacijos saugumą;
41.4. bus aiškiai reglamentuotas tinklų ir informacijos saugumo incidentų tyrimas ir jų plitimo prevencijos būdai; tinklų ir informacijos saugumo incidentų tyrimas neapims neteisėtų veikų tyrimo atlikimo, vykdomo pagal Lietuvos Respublikos baudžiamojo proceso kodekso ir Lietuvos Respublikos administracinių teisės pažeidimų kodekso atitinkamas nuostatas;
41.5. bus parengta savanoriškai taikomų tinklų ir informacijos saugumo reikalavimų nustatymo tvarka ir sąlygos;
41.6. bus aiškiai reglamentuotas valstybės ir savivaldybių tinklų ir informacinių sistemų saugumo užtikrinimas;
VIII. GALIMI NUMATOMO TEISINIO REGULIAVIMO PADARINIAI
42. Įstatymas sudarys sąlygas apsaugoti vartotojus, ūkio subjektus, valstybės ir savivaldybių institucijas ir įstaigas nuo galimų grėsmių, kylančių naudojantis informacinėmis paslaugomis. Įstatymas aiškiai reglamentuos kiekvienos atsakingos institucijos kompetenciją tinklų ir informacijos saugumo srityje, sudarys sąlygas veiksmingai bendradarbiauti, operatyviai ir tiksliai ištirti tinklų ir informacijos saugumo incidentus.
IX. FINANSINIS IR EKONOMINIS PAGRĮSTUMAS
44. Įstatymą įgyvendinti turėtų būti pavesta Lietuvos Respublikos Vyriausybei, jos įgaliotoms institucijoms (Susisiekimo ministerijai ir Vidaus reikalų ministerijai) ir Ryšių reguliavimo tarnybai. Bus laikomasi Lietuvos Respublikos elektroninių ryšių įstatyme numatytos Ryšių reguliavimo tarnybos finansavimo sistemos. Naujų institucijų steigti neketinama. Įstatymui parengti ir įgyventi papildomų valstybės lėšų nereikės.
X. NUMATOMA ĮSTATYMO STRUKTŪRA
45. Įstatymą sudarys šie 7 skirsniai:
Pirmasis skirsnis. Bendrosios nuostatos.
Antrasis skirsnis. Politikos bei strategijos tinklų ir informacijos saugumo srityje formavimo ir šios srities reguliavimo sistema.
Trečiasis skirsnis. Bendrieji tinklų ir informacijos saugumo reikalavimai.
Ketvirtasis skirsnis. Valstybės ir savivaldybių institucijų, kritinių informacinių infrastruktūrų tinklų ir informacijos saugumas.
Penktasis skirsnis. Tinklų ir informacijos saugumo auditas bei techninės ir programinės įrangos saugumo vertinimas.
Šeštasis skirsnis. Informacijos gavimas ir šio Įstatymo laikymosi priežiūra.
Septintasis skirsnis. Baigiamosios nuostatos.
Įstatymo pirmajame skirsnyje bus nustatytas reguliavimo objektas, Įstatymo paskirtis ir taikymas, reguliavimo principai (iš esmės atitinkantys nustatytuosius Lietuvos Respublikos elektroninių ryšių įstatymo 2 straipsnyje) ir tikslai. Pirmajame skirsnyje bus pateiktos šios pagrindinės sąvokos:
Elektroniniai duomenys – faktų, informacijos ar sąvokų pateiktis tokia forma, kuri tinkama tvarkyti informacinėje sistemoje, įskaitant programą, tinkamą tam, kad informacinė sistema atliktų funkciją.
Informacinės visuomenės tarpinės paslaugos – informacinės visuomenės paslaugos, kurias visiškai ar iš dalies sudaro paslaugos gavėjo pateiktos informacijos perdavimas elektroninių ryšių tinklu, galimybės naudotis elektroninių ryšių tinklu suteikimas arba paslaugos gavėjo pateiktos informacijos saugojimas.
Informacinė sistema – įtaisas arba tarpusavyje sujungtų ar susijusių įtaisų grupė, iš kurių vienas arba daugiau pagal programą automatiniu būdu tvarko elektroninius duomenis, taip pat kuriuose saugomi, tvarkomi, iš jų išrenkami arba jais perduodami elektroniniai duomenys siekiant juos tvarkyti, panaudoti, apsaugoti ir prižiūrėti.
Tinklų ir informacijos saugumas – elektroninių ryšių tinklo ar informacinės sistemos pajėgumas pakankamu patikimumo lygiu išlaikyti atsparumą nuo atsitiktinių įvykių ar veiksmų, kurie kelia ar gali sukelti pavojų išsaugotų, tvarkomų, per informacinę sistemą ar elektroninių ryšių tinklu perduodamų elektroninių duomenų ir susijusių siūlomų ar per tą informacinę sistemą arba elektroninių ryšių tinklu gaunamų paslaugų prieinamumui, tapatumui, vientisumui ar slaptumui, taip pat pajėgumas užkirsti kelią perduoti elektroninio pašto pranešimus, siunčiamus tiesioginės rinkodaros tikslu be abonento išankstinio sutikimo.
Kenksminga programinė įranga – programinis kodas (ar jo dalis), skirtas (-a) neteisėtai prisijungti (ar sudaryti sąlygas prisijungti) prie informacinių sistemų ar elektroninių ryšių tinklo, informacinės sistemos ar elektroninių ryšių tinklo veiklai sutrikdyti ar pakeisti (įskaitant valdymo perėmimą), elektroniniams duomenims sunaikinti, sugadinti, pašalinti ar pakeisti, galimybei naudotis elektroniniais duomenimis panaikinti ar apriboti, sąlygoms, kad būtų pasisavinti, paskleisti, paskelbti, platinti ar kitaip panaudoti nevieši elektroniniai duomenys, sudaryti.
Kritinė informacinė infrastruktūra – elektroninių ryšių tinklas, informacinė sistema ar informacinių sistemų grupė, prie kurios neteisėtas prisijungimas ir sąlygų neteisėtai prisijungti sudarymas, kurios neteisėtas sutrikdymas ar pakeitimas, kurioje saugomų, tvarkomų, iš jos išrenkamų arba ja perduodamų elektroninių duomenų sunaikinimas, sugadinimas, pašalinimas ar pakeitimas, panaikinimas arba galimybės naudotis tokiais elektroniniais duomenimis apribojimas turi ar gali turėti įtakos nacionaliniam saugumui, šalies ūkiui ar visuomenės gerovei.
Tinklų ir informacijos saugumo auditas – elektroninių ryšių tinklo ir (ar) informacinės sistemos atitikties privalomiems, taikomiems ir (ar) deklaruojamiems tinklų ir informacijos saugumo reikalavimams įvertinimas ir (ar) elektroninių ryšių tinklo ir (ar) informacinės sistemos tinklų ir informacijos saugumo nustatymas.
Tinklų ir informacijos saugumo incidentas – įvykis, veiksmas ar neveikimas, kurie sukelia ar gali sukelti neteisėtą prisijungimą ar sudaryti sąlygas neteisėtai prisijungti prie informacinės sistemos ar elektroninių ryšių tinklo, sutrikdyti ar pakeisti (įskaitant valdymo perėmimą) informacinės sistemos ar elektroninių ryšių tinklo veiklą, sunaikinti, sugadinti, pašalinti ar pakeisti elektroninius duomenis, panaikinti ar apriboti galimybę naudotis elektroniniais duomenimis, taip pat sudaryti sąlygas pasisavinti, paskleisti, paskelbti, platinti ar kitaip panaudoti neviešus elektroninius duomenis, siųsti elektroninio pašto pranešimus tiesioginės rinkodaros tikslu be abonento išankstinio sutikimo.
Tinklų ir informacijos saugumo valdymo taisyklės – dokumentų visuma, nustatanti naudojamas technines ir organizacines priemones tinklų ir informacijos saugumui užtikrinti.
Teikėjas – ūkio subjektas, teikiantis viešuosius ryšių tinklus, viešąsias elektroninių ryšių paslaugas ar informacinės visuomenės tarpines paslaugas, teikiamas viešaisiais ryšių tinklais.
Kitos Įstatyme vartojamos sąvokos bus suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos elektroninių ryšių įstatyme ir kituose teisės aktuose.
Antrajame skirsnyje bus nustatyta tinklų ir informacijos saugumo veiklos reguliavimo institucinė sistema, nurodytos pagrindinės institucijos – Lietuvos Respublikos Vyriausybė, jos įgaliotos institucijos (Susisiekimo ministerija ir Vidaus reikalų ministerija) ir Ryšių reguliavimo tarnyba. Apibrėžiant institucijų sistemą, bus atskirtos politinės ir reguliavimo funkcijos – pirmosios priskiriamos Lietuvos Respublikos Vyriausybei ir jos įgaliotoms institucijoms (Susisiekimo ministerijai ir Vidaus reikalų ministerijai), o rinkos priežiūros reguliavimo funkcijos pavedamos Ryšių reguliavimo tarnybai. Siekiant įtvirtinti aiškią tinklų ir informacijos saugumo administravimo institucinę sistemą, bus nustatytos ir kitų institucijų (Policijos departamento prie Vidaus reikalų ministerijos ir Valstybės saugumo departamento) funkcijos, susijusios su tinklų ir informacijos saugumu, įtvirtintos institucijų ir tarptautinio bendradarbiavimo gairės. Šiame skirsnyje taip pat bus numatyti tinklų ir informacijos saugumo standartizavimo dokumentų taikymo pagrindai.
Trečiajame skirsnyje bus reglamentuoti bendrieji reikalavimai, susiję su tinklų ir informacijos saugumu, apibrėžtos neteisėtos veikos tinklų ir informacijos saugumo srityje, numatytos teikėjų (ūkio subjektai, teikiantys viešuosius tinklus, viešąsias elektroninių ryšių paslaugas ar informacinės visuomenės tarpines paslaugas, teikiamas viešaisiais tinklais) teisės ir pareigos, susijusios su tinklų ir informacijos saugumo užtikrinimu. Bus įtvirtintos tinklų ir informacijos saugumo priežiūros ir stebėjimo nuostatos, reglamentuotas tinklų ir informacijos saugumo incidentų tyrimas. Tuo tikslu Ryšių reguliavimo tarnyba koordinuos tinklų ir informacijos saugumo incidentų tyrimo grupės veiklą, bus numatytos nuostatos dėl savanoriškai taikomų tinklų ir informacijos saugumo reikalavimų ir kita.
Ketvirtajame skirsnyje bus reglamentuotas valstybės ir savivaldybių institucijų, kritinių informacinių infrastruktūrų tinklų ir informacijos saugumo užtikrinimas, šio saugumo kontrolė ir priežiūra. Ketvirtojo skirsnio paskirtis – įstatymiškai reglamentuoti jau gana detaliai apibrėžtą valstybės ir savivaldybių tinklų ir informacijos saugumą, sudaryti sąlygas reglamentuoti kritinių informacinių infrastruktūrų saugumą, valstybės ir savivaldybių institucijų pareigas, galimus saugaus duomenų perdavimo ir viešųjų paslaugų teikimo būdus.
Penktajame skirsnyje bus reglamentuotas tinklų ir informacijos saugumo auditas, tinklų ir informacijos saugumo atestuotų auditorių veiklos principai ir reikalavimai, bus įtvirtintos nuostatos, reglamentuojančios techninės ir programinės įrangos saugumo vertinimą.
Šeštajame skirsnyje bus nustatytos Įstatymo laikymosi priežiūros procedūros ir sąlygos, užtikrinančios jo įgyvendinimą.
Septintajame skirsnyje bus reglamentuotas Įstatymo įsigaliojimas ir įgyvendinimas.
XI. NUMATOMI PAKEISTI AR PANAIKINTI TEISĖS AKTAI
46. Įgyvendinant Įstatymą, turėtų būti pakeisti šie teisės aktai:
Lietuvos Respublikos elektroninių ryšių įstatymas;
Lietuvos Respublikos administracinių teisės pažeidimų kodeksas.