LIETUVOS RESPUBLIKOS FINANSŲ MINISTRO

Į S A K Y M A S

DĖL informacinĖS sistemOS „E. SĄSKAITA“ NUOSTATŲ PATVIRTINIMO

2012 m. rugsėjo 6 d. Nr. 1K-297

Vilnius

Vadovaudamasi Valstybės informacinių sistemų steigimo ir įteisinimo taisyklių, patvirtintų Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), 8 punktu ir Bendrųjų elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimų, patvirtintų Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891; 2008, Nr. 85-3393), 6, 8 ir 9 punktais:

1. T v i r t i n u (pridedamus):

1.1. Informacinės sistemos „E. sąskaita“ nuostatus;

1.2. Informacinės sistemos „E. sąskaita“ duomenų saugos nuostatus.

2. S k i r i u valstybės įmonę Registrų centrą informacinės sistemos „E. sąskaita“ tvarkytoju.

3. P a v e d u informacinės sistemos „E. sąskaita“ tvarkytojui:

3.1. per 2 mėnesius nuo šio įsakymo įsigaliojimo dienos paskirti informacinės sistemos „E. sąskaita“ saugos įgaliotinį;

3.2. per 6 mėnesius nuo šio įsakymo įsigaliojimo dienos parengti ir patvirtinti informacinės sistemos „E. sąskaita“ dokumentus, kuriais įgyvendinama saugos politika.

FINANSŲ MINISTRĖ INGRIDA ŠIMONYTĖ

PATVIRTINTA

Lietuvos Respublikos finansų ministro

2012 m. rugsėjo 6 d. įsakymu Nr. 1K-297

INFORMACINĖS SISTEMOS „E. SĄSKAITA“ NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Informacinės sistemos „E. sąskaita“ nuostatai (toliau – Nuostatai) reglamentuoja informacinės sistemos „E. sąskaita“ (toliau – informacinė sistema) paskirtį, steigimo pagrindą, pagrindines funkcijas, tikslus, nustato informacinės sistemos valdytoją, tvarkytoją, jų teises ir pareigas, duomenų teikėjus, gavėjus, informacinės sistemos organizacinę, informacinę ir funkcinę struktūrą, šios informacinės sistemos duomenų saugos reikalavimus bei finansavimą, modernizavimą ir likvidavimą.

2. Nuostatai parengti vadovaujantis Valstybės informacinių sistemų steigimo ir įteisinimo taisyklėmis, patvirtintomis Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), ir kitais teisės aktais.

3. Nuostatuose vartojamos sąvokos:

3.1. informacinės sistemos „E. sąskaita“ paslaugų vartotojas – juridinio asmens įgaliotas fizinis asmuo, turintis teisę tiesiogiai jungtis prie informacinės sistemos „E. sąskaita“ ir pateikti, gauti sąskaitą, patikrinti jos duomenis ar apmokėjimo būseną;

3.2. kitos sąvokos atitinka Lietuvos Respublikos pridėtinės vertės mokesčio įstatyme (Žin., 2002, Nr. 35-1271), Lietuvos Respublikos viešųjų pirkimų įstatyme (Žin., 1996, Nr. 84-2000; 2006, Nr. 4-102), Valstybės informacinių sistemų steigimo ir įteisinimo taisyklėse, patvirtintose Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 (Žin., 2004, Nr. 58-2061), Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), vartojamas sąvokas.

4. Informacinės sistemos steigimo pagrindas – Lietuvos Respublikos finansų ministerijos nuostatų, patvirtintų Lietuvos Respublikos Vyriausybės 1998 m. rugsėjo 8 d. nutarimu Nr. 1088 (Žin., 1998, Nr. 81-2267; 2010, Nr. 123-6290), 8.1.12 ir 8.1.15 punktai.

5. Informacinė sistema steigiama vadovaujantis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymu (Žin., 2011, Nr. 163-7739), Lietuvos Respublikos Vyriausybės 2004 m. balandžio 19 d. nutarimu Nr. 451 „Dėl Valstybės informacinių sistemų steigimo ir įteisinimo taisyklių patvirtinimo“.

6. Informacinės sistemos veiklą reglamentuojantys teisės aktai:

6.1. 2006 m. lapkričio 28 d. Tarybos direktyva 2006/112/EB dėl pridėtinės vertės mokesčio bendros sistemos (OL 2006 L 347, p. 1);

6.2. Lietuvos Respublikos pridėtinės vertės mokesčio įstatymas (Žin., 2002, Nr. 35-1271);

6.3. Lietuvos Respublikos buhalterinės apskaitos įstatymas (Žin., 2001, Nr. 99-3515);

6.4. Lietuvos Respublikos viešųjų pirkimų įstatymas (Žin., 1996, Nr. 84-2000; 2006, Nr. 4-102);

6.5. Lietuvos Respublikos Vyriausybės 2002 m. gegužės 29 d. nutarimas Nr. 780 „Dėl Mokesčiams apskaičiuoti naudojamų apskaitos dokumentų išrašymo ir pripažinimo taisyklių patvirtinimo“ (Žin., 2002, Nr. 55-2185; 2004, Nr. 56-1941);

6.6. Valstybinės mokesčių inspekcijos prie Lietuvos Respublikos finansų ministerijos viršininko 2004 m. balandžio 30 d. įsakymas Nr. VA-82 „Dėl Elektroninių pridėtinės vertės mokesčio sąskaitų faktūrų išrašymo, išsiuntimo ir saugojimo taisyklių patvirtinimo“, (Žin., 2004, Nr. 75-2618; 2009, Nr. 136-5968).

7. Fizinių asmenų asmens duomenys informacinėje sistemoje tvarkomi vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804).

8. Asmens duomenų tvarkymo informacinėje sistemoje tikslas – identifikuoti ir autentifikuoti paslaugų vartotojus ir informacinės sistemos naudotojus, elektroniniu būdu tvarkyti informacinės sistemos duomenis, teikti informaciją duomenų gavėjams apie sąskaitas ir jų apmokėjimą.

9. Informacinės sistemos tikslas – sudaryti sąlygas elektroniniu būdu teikti sąskaitas už įsigyjamas prekes, paslaugas, atliekamus darbus, kurios apmokamos iš valstybės biudžeto ir kurios yra susijusios su viešųjų pirkimų sutarčių vykdymu (toliau – sąskaitos), ir operatyviai gauti informaciją apie pateiktų sąskaitų apmokėjimą. Elektroniniu būdu parengiamos ir pateikiamos perkančiosioms organizacijoms sąskaitos ir operatyviai gaunama informacija apie pateiktų sąskaitų apmokėjimą.

10. Informacinės sistemos funkcinės galimybės leis:

10.1. informacinės sistemos „E. sąskaita“ paslaugų vartotojams (toliau – paslaugų vartotojams) elektroniniu būdu parengti ir pateikti perkančiosioms organizacijoms sąskaitas bei operatyviai gauti informaciją apie pateiktų sąskaitų apmokėjimą;

10.2. perkančiosioms organizacijoms elektroniniu būdu gauti sąskaitų duomenis mokėjimo paraiškoms parengti ir pateikti;

10.3. Lietuvos Respublikos finansų ministerijos Valstybės iždo departamentui elektroniniu būdu gauti aktualią informaciją apie perkančiosioms organizacijoms pateiktas sąskaitas, kurių pagrindu parengtos mokėjimo paraiškos;

10.4. Viešųjų pirkimų tarnybai elektroniniu būdu gauti informaciją apie viešųjų pirkimų sutarčių vykdymą ir sąskaitų pateikimą bei apmokėjimą;

10.5. Viešųjų pirkimų tarnybai elektroniniu būdu pateikti informaciją apie viešųjų pirkimų sutartis, kuri bus naudojama rengiant sąskaitos duomenis;

10.6. užtikrinti sąskaitų autentiškumą ir turinio vientisumą;

11. Pagrindinės informacinės sistemos funkcijos yra:

11.1. tvarkyti, priimti, sisteminti, analizuoti sąskaitų duomenis, išsaugant juos pagal Lietuvos Respublikos teisės aktų nustatytą saugojimo terminą;

11.2. elektroniniu būdu teikti sąskaitų duomenis informacinės sistemos duomenų gavėjams.

12. Laukiami informacinės sistemos rezultatai:

12.1. pagerės viešųjų pirkimų sutarčių vykdymo valdymas ir skaidrumas;

12.2. didės sąskaitų, kurios apmokamos iš valstybės biudžeto, apmokėjimo kontrolė ir skaidrumas;

12.3. didės perkančiųjų organizacijų veiklos ir valstybės pinigų srautų valdymo efektyvumas;

12.4. sumažės paslaugų vartotojų darbo sąnaudos.

II. INFORMACINĖS SISTEMOS ORGANIZACINĖ STRUKTŪRA

13. Informacinės sistemos valdytoja yra Lietuvos Respublikos finansų ministerija.

14. Informacinės sistemos valdytojas atlieka šias funkcijas:

14.1. priima teisės aktus, susijusius su informacinės sistemos tvarkymu, ir prižiūri, kaip jų laikomasi;

14.2. koordinuoja informacinės sistemos tvarkytojo darbą ir paveda jam informacinės sistemos techninės ir programinės įrangos priežiūros funkcijas;

14.3. tvirtina informacinės sistemos kūrimo ir plėtros planus, analizuoja pasiūlymus dėl informacinės sistemos veikimo, priima sprendimus dėl informacinės sistemos tobulinimo ir modernizavimo ir kontroliuoja jų vykdymą;

14.4. užtikrina, kad informacinė sistema būtų tvarkoma vadovaujantis Lietuvos Respublikos įstatymais, šiais Nuostatais ir kitais teisės aktais;

14.5. organizuoja duomenų saugos užtikrinimą;

14.6. organizacinėmis priemonėmis užtikrina informacinės sistemos prieinamumą, vientisumą, konfidencialumą;

14.7. organizuoja informacinės sistemos tobulinimą;

14.8. metodiškai vadovauja informacinės sistemos tvarkytojui informacinės sistemos tvarkymo klausimais;

14.9. nagrinėja suinteresuotų asmenų siūlymus tobulinti informacinę sistemą;

14.10. nustato duomenų, kurie teikiami informacinės sistemos duomenų gavėjams, kategorijas;

14.11. vykdo kitas Nuostatuose, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme ir kituose teisės aktuose nurodytas funkcijas.

15. Informacinės sistemos tvarkytojas yra valstybės įmonė Registrų centras (toliau – Registrų centras).

16. Registrų centras atlieka šias funkcijas:

16.1. organizuoja informacinės sistemos kūrimą;

16.2. tvarko ir administruoja informacinę sistemą ir joje kaupiamus duomenis ir teikia sistemoje kaupiamus duomenis duomenų gavėjams;

16.3. užtikrina informacinės sistemos funkcionavimą, techninės ir programinės įrangos priežiūrą ir plėtrą;

16.4. techninėmis ir organizacinėmis priemonėmis užtikrina informacinės sistemos duomenų apsaugą nuo neteisėto sunaikinimo, pakeitimo, atskleidimo;

16.5. užtikrina centralizuotą duomenų gavimą į informacinę sistemą ir duomenų teikimą iš šios informacinės sistemos;

16.6. teikia pasiūlymus informacinės sistemos valdytojui dėl informacinės sistemos tvarkymo ir tobulinimo, rengia ir įgyvendina techninių ir programinių priemonių kūrimo ir plėtros planus, investicinius projektus;

16.7. tvarko informacinės sistemos duomenų archyvą ir užtikrina jo saugą;

16.8. tvarko informacinės sistemos naudotojų duomenis;

16.9. suderinęs su informacinės sistemos valdytoju sudaro sutartis su duomenų teikėjais ir gavėjais;

16.10. suderinęs su informacinės sistemos valdytoju nustato duomenų gavėjams teikiamų duomenų apimtis;

16.11. reikalauja iš duomenų teikėjų, kad jų duomenys būtų tinkami ir teikiami laiku;

16.12. vykdo kitas Nuostatuose, Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme ir kituose teisės aktuose nurodytas funkcijas.

17. Informacinės sistemos duomenų teikėjai yra:

17.1. Viešųjų pirkimų tarnyba – teikia duomenis iš Centrinės viešųjų pirkimų informacinės sistemos;

17.2. Lietuvos Respublikos finansų ministerija – teikia duomenis iš Valstybės biudžeto, apskaitos ir mokėjimų sistemos;

17.3. Registrų centras – teikia duomenis iš Juridinių asmenų registro, Adresų registro;

17.4. Valstybinė mokesčių inspekcija prie Lietuvos Respublikos finansų ministerijos – teikia duomenis iš Mokesčių mokėtojų registro;

17.5. Gyventojų registro tarnyba – teikia duomenis iš Gyventojų registro.

18. Informacinės sistemos duomenų gavėjai yra:

18.1. fiziniai ir juridiniai asmenys, teikiantys apmokėti sąskaitas;

18.2. perkančiosios organizacijos;

18.3. Lietuvos Respublikos finansų ministerija;

18.4. Valstybinė mokesčių inspekcija prie Lietuvos Respublikos finansų ministerijos;

18.5. Viešųjų pirkimų tarnyba.

19. Informacinės sistemos naudotojai yra informacinės sistemos tvarkytojo darbuotojai, dirbantys pagal darbo sutartį, turintys teisę naudotis informacinės sistemos ištekliais numatytoms funkcijoms atlikti.

III. INFORMACINĖS SISTEMOS INFORMACINĖ STRUKTŪRA

20. Informacinės sistemos duomenų bazėje tvarkomi ir kaupiami sąskaitų duomenys, informacinės sistemos naudotojų ir paslaugų vartotojų duomenys.

21. Informacinėje sistemoje kaupiami (tvarkomi) sąskaitų duomenys gaunami iš fizinių ir juridinių asmenų:

21.1. unikalus sąskaitos numeris;

21.2. išrašymo data;

21.3. pridėtinės vertės mokesčio (toliau – PVM) sąskaitos faktūros serija ir numeris;

21.4. prekių tiekėjo ar paslaugų teikėjo PVM mokėtojo kodas;

21.5. prekių arba paslaugų pirkėjo (kliento) PVM mokėtojo kodas, kurį jis nurodė įsigydamas prekes ar paslaugas. Jeigu Lietuvos Respublikos apmokestinamasis asmuo tiekia prekes ar teikia paslaugas šalies teritorijoje, pirkėjo PVM mokėtojo kodas (jei pirkėjas registruotas PVM mokėtoju) nurodomas visais atvejais;

21.6. prekių tiekėjo arba paslaugų teikėjo pavadinimas arba vardas, pavardė (jeigu tai fizinis asmuo) ir buveinė arba nuolatinė gyvenamoji vieta (jeigu tai fizinis asmuo);

21.7. prekių arba paslaugų pirkėjo (kliento) pavadinimas arba vardas, pavardė (jeigu tai fizinis asmuo) ir adresas;

21.8. tiekiamų prekių arba teikiamų paslaugų pavadinimas;

21.9. prekių tiekimo arba paslaugų teikimo data, jeigu ji nesutampa su PVM sąskaitos faktūros išrašymo data. Jeigu PVM sąskaita faktūra įforminamas avanso gavimas, – avanso gavimo diena, kai ji nesutampa su PVM sąskaitos faktūros išrašymo data;

21.10. tiekiamos prekės arba teikiamos paslaugos vieneto kaina (be PVM), taip pat nuolaidos, neįtrauktos į vieneto kainą;

21.11. tiekiamų prekių arba teikiamų paslaugų, apmokestinamų taikant vienodą tarifą, apmokestinamoji vertė;

21.12. PVM tarifas (tarifai);

21.13. PVM suma nacionaline valiuta;

21.14. nuoroda į Lietuvos Respublikos pridėtinės vertės mokesčio įstatymą arba Direktyvos 2006/112/EB nuostatą arba bet kokia kita nuoroda, kad prekės (paslaugos) neapmokestinamos, apmokestinamos taikant 0 procentų PVM tarifą ir (arba) už jas prievolė apskaičiuoti (arba išskaityti) ir sumokėti PVM tenka pirkėjui (klientui);

21.15. tiekimo į kitą valstybę narę atveju nurodomi duomenys apie naują transporto priemonę:

21.15.1. eksploatavimo pradžios data;

21.15.2. rida, km;

21.15.3. valandų skaičius;

21.16. fiskalinio agento PVM mokėtojo kodas, pavadinimas arba vardas, pavardė (jeigu tai fizinis asmuo) ir adresas, – kai pagal Lietuvos Respublikos pridėtinės vertės mokesčio įstatymą prievolė apskaičiuoti PVM tenka užsienio apmokestinamojo asmens paskirtam fiskaliniam agentui;

21.17. sąskaitos apmokėjimo data;

21.18. kontaktinio asmens duomenys – prekių tiekėjo arba paslaugų teikėjo atstovo kontaktams vardas, pavardė.

22. Informacinėje sistemoje tvarkomi (kaupiami) duomenys gaunami iš:

22.1. Lietuvos Respublikos gyventojų registro:

22.1.1. asmens kodas;

22.1.2. vardas (vardai);

22.1.3. pavardė (pavardės);

22.1.4. gimimo data;

22.1.5. deklaruota gyvenamoji vieta;

22.2. Juridinių asmenų registro:

22.2.1. juridinio asmens kodas ir iki Juridinių asmenų registro veiklos pradžios suteiktas juridinio asmens kodas;

22.2.2. juridinio asmens pavadinimas;

22.2.3. juridinio asmens teisinė forma;

22.2.4. juridinio asmens buveinė (adresas);

22.2.5. duomenys apie asmenis, turinčius teisę juridinio asmens vardu sudaryti sandorius;

22.2.6. taisyklė, pagal kurią asmenys veikia juridinio asmens vardu;

22.2.7. juridinio asmens filialų ir atstovybių duomenys:

22.2.7.1. filialo ar atstovybės kodas;

22.2.7.2. filialo ar atstovybės pavadinimas;

22.2.7.3. filialo ar atstovybės buveinė (adresas);

22.2.8. juridinio asmens teisinis statusas;

22.3. Lietuvos Respublikos adresų registro:

22.3.1. unikalus adreso numeris;

22.3.2. savivaldybės identifikavimo kodas;

22.3.3. savivaldybės pavadinimas;

22.3.4. seniūnijos identifikavimo kodas;

22.3.5. seniūnijos pavadinimas;

22.3.6. gyvenamosios vietovės identifikavimo kodas;

22.3.7. gyvenamosios vietovės pavadinimas;

22.3.8. gatvės identifikavimo kodas;

22.3.9. gatvės pavadinimas;

22.3.10. adreso identifikavimo kodas;

22.3.11. korpuso numeris (jeigu suteiktas);

22.3.12. patalpų numeris pastate ar korpuse;

22.3.13. patalpų numerio priklausomybė pastatui ar korpusui;

22.4. Mokesčių mokėtojų registro:

22.4.1. mokesčių mokėtojo identifikacinis numeris;

22.4.2. PVM mokėtojo kodas;

22.4.3. atstovaujančio asmens duomenys (vardas ir pavardė, jei tai fizinis asmuo; juridinio asmens identifikacinis numeris ir pavadinimas, jei tai juridinis asmuo);

22.4.4. buhalterinę apskaitą tvarkančio asmens duomenys (vardas, pavardė, jei tai fizinis asmuo; juridinio asmens kodas ir pavadinimas, jei tai juridinis asmuo);

22.5. Valstybės biudžeto, apskaitos ir mokėjimų sistemos:

22.5.1. mokėjimo paraiškos numeris;

22.5.2. užsakymo data;

22.5.3. numatoma mokėjimo paraiškos apmokėjimo data;

22.5.4. mokėjimo paraiškos registravimo data;

22.5.5. tiekėjo kodas (juridinio asmens arba fizinio asmens kodas);

22.5.6. išlaidų pagrindimo dokumento numeris;

22.5.7. mokėjimo paraiškos aprašymas;

22.5.8. mokėjimo paraiškos suma;

22.5.9. mokėjimo paraiškos būklės informacija;

22.6. Centrinės viešųjų pirkimų informacinės sistemos:

22.6.1. viešojo pirkimo numeris;

22.6.2. sutarties numeris;

22.7. užsienio fizinių asmenų, teikiančių sąskaitas:

22.7.1. gimimo data arba asmens kodas (jei toks yra);

22.7.2. vardas (vardai);

22.7.3. pavardė (pavardės);

22.7.4. gyvenamoji vieta;

22.7.5. užsienio šalies kodas;

22.8. užsienio juridinių asmenų, teikiančių sąskaitas:

22.8.1. kodas;

22.8.2. pavadinimas;

22.8.3. teisinė forma;

22.8.4. buveinė (adresas);

22.8.5. užsienio šalies kodas;

22.8.6. duomenys apie asmenis, turinčius teisę juridinio asmens vardu sudaryti sandorius.

23. Informacinėje sistemoje kaupiami informacinės sistemos naudotojų ir paslaugų vartotojų duomenys:

23.1. vardas (vardai);

23.2. pavardė (pavardės);

23.3. pareigos.

IV. INFORMACINĖS SISTEMOS FUNKCINĖ STRUKTŪRA

24. Informacinės sistemos funkcinę struktūrą sudaro posistemės ir jų moduliai.

25. Informacinę sistemą sudaro šios posistemės:

25.1. duomenų mainų posistemė, kurios paskirtis – užtikrinti duomenų mainus tarp informacinės sistemos ir kitų informacinių sistemų ir registrų. Posistemę sudaro šie moduliai:

25.1.1. integracijos modulis, kuriame atliekamas sąsajų su kitomis informacinėmis sistemomis užtikrinimas;

25.1.2. integruojamų sistemų atpažinties modulis;

25.2. sąskaitų apdorojimo posistemė, kurios paskirtis – užtikrinti sąskaitos duomenų apdorojimą, tikrinimą, generavimą, pasirašymą. Posistemę sudaro šie moduliai:

25.2.1. sąskaitų tikrinimo modulis, kuriame tikrinama duomenų atitiktis Nuostatų III skyriuje „Informacinės sistemos informacinė struktūra“ nurodytiems registrams ir informacinėms sistemoms;

25.2.2. sąskaitų generavimo ir pasirašymo modulis, kuriame atliekamas sąskaitų generavimas PDF/A formatu iš gautų sąskaitų duomenų rinkinių ir pasirašymas PAdES formato parašu naudojantis valstybės įmonės Registrų centro Sertifikatų centro pasirašymo paslauga;

25.2.3. duomenų paskirstymo modulis, kuriame atliekamas sąskaitų PDF/A formatu su PAdES formato parašu išsaugojimas skaitmeniniame sąskaitų archyve ir gautų sąskaitų duomenų XML formatu išsaugojimas sąskaitų duomenų bazėje;

25.3. portalo posistemė, kurios paskirtis – užtikrinti galimybę paslaugų vartotojams internetu parengti ir pateikti sąskaitas. Posistemę sudaro šie moduliai:

25.3.1. informacinės sistemos naudotojų ir paslaugų vartotojų registravimo modulis. Šis modulis skirtas informacinės sistemos naudotojų ir paslaugų vartotojų registracijai per informacinės sistemos portalą;

25.3.2. atpažinties modulis, kuriame atliekamas paslaugų vartotojų ir informacinės sistemos naudotojų tapatumo nustatymas;

25.3.3. sąskaitų duomenų pateikimo modulis, kuriame atliekamas sąskaitų duomenų įvedimas ir pateikimas;

25.3.4. stebėsenos modulis, kuriame atliekamas pateiktų sąskaitų peržiūrėjimas ir jų būsenos stebėjimas;

25.3.5. sąskaitų pateikimo peržiūros modulis. Modulis skirtas sąskaitoms PDF/A formatu su PAdES formato parašu pateikti paslaugų vartotojams peržiūrėti pagal paskirtas teises;

25.3.6. turinio valdymo modulis, kuriame atliekamas visų portalo posistemės modulių valdymas.

V. INFORMACINĖS SISTEMOS KAUPIAMŲ DUOMENŲ ŠALTINIAI

26. Informacinės sistemos kaupiamų duomenų šaltinis yra fiziniai ir juridiniai asmenys, teikiantys sąskaitų duomenis, nurodytus Nuostatų 21 punkte.

VI. DUOMENŲ SAUGA

27. Nešiojamieji kompiuteriai, tvarkant informacinę sistemą, naudojami vadovaujantis Nešiojamųjų įrenginių saugumo patvirtinimo tvarka ir Duomenų rezervinio kopijavimo ir laikmenų saugojimo tvarka, patvirtintomis Registrų centro direktoriaus 2008 m. birželio 20 d. įsakymu Nr. v-148 „Dėl Nešiojamųjų įrenginių saugumo patvirtinimo tvarkos ir Duomenų rezervinio kopijavimo ir laikmenų saugojimo tvarkos patvirtinimo“ (2011 m. lapkričio 18 d. įsakymo Nr. v-221 redakcija).

28. Siekiant užtikrinti informacinės sistemos duomenų saugą, vadovaujamasi:

28.1. informacinės sistemos valdytojo tvirtinamais informacinės sistemos duomenų saugos nuostatais, parengtais vadovaujantis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, patvirtintais Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952;

28.2. Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12);

28.3. Lietuvos standartais LST ISO/IEC 27002:2009, LST ISO/IEC 27001:2006 bei kitais Lietuvos ir tarptautiniais „Informacijos technologija. Saugumo metodai“ grupės standartais, apibūdinančiais saugų informacinės sistemos duomenų tvarkymą;

28.4. kitais teisės aktais.

29. Atsarginės duomenų kopijos daromos vadovaujantis Duomenų rezervinio kopijavimo ir laikmenų saugojimo tvarka.

30. Už informacinės sistemos duomenų saugą atsako informacinės sistemos valdytojas ir informacinės sistemos tvarkytojas.

31. Informacinės sistemos naudotojai, tvarkantys duomenis, informaciją, dokumentus ir jų kopijas, privalo įsipareigoti saugoti duomenų ir informacijos paslaptį. Įsipareigojimas saugoti paslaptį galioja ir nutraukus su duomenų, informacijos, dokumentų ir jų kopijų tvarkymu susijusią veiklą.

32. Informacinėje sistemoje tvarkomų fizinių asmenų duomenų saugumas užtikrinamas vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme nustatyta tvarka.

33. Informacinės sistemos duomenys kaupiami ir saugomi sąskaitų duomenų bazėje, kol tvarkomi sąskaitų duomenys. Skaitmeniniame sąskaitų archyve duomenys saugomi 10 metų. Pasibaigus šiam terminui, duomenys sunaikinami Lietuvos vyriausiojo archyvaro nustatyta tvarka. Paslaugų vartotojų asmens duomenys informacinėje sistemoje ir archyve saugomi, kol saugomi jo tvarkomi (tvarkyti) sąskaitų duomenys. Informacinės sistemos naudotojų asmens duomenys saugomi archyve 10 metų po darbo sutarties nutraukimo. Pasibaigus asmens duomenų saugojimo terminui, asmens duomenys sunaikinami.

VII. INFORMACINĖS SISTEMOS FINANSAVIMAS

34. Informacinė sistema finansuojama:

34.1. informacinės sistemos kūrimas ir įdiegimas finansuojamas Europos Sąjungos struktūrinių fondų ir Lietuvos Respublikos valstybės biudžeto lėšomis;

34.2. informacinės sistemos eksploatavimas finansuojamas iš Lietuvos Respublikos valstybės biudžeto ir kitų finansavimo šaltinių;

34.3. informacinės sistemos tobulinimas ir plėtra finansuojama Lietuvos Respublikos valstybės biudžeto, Europos Sąjungos struktūrinių fondų lėšomis, taip pat iš kitų finansavimo šaltinių bei lėšomis, gautomis už naudojimąsi informacinės sistemos duomenimis.

35. Atlyginimo už naudojimąsi informacinės sistemos duomenimis dydį ir tvarką nustato informacinės sistemos valdytojas.

VIII. BAIGIAMOSIOS NUOSTATOS

36. Informacinė sistema modernizuojama ir likviduojama teisės aktų nustatyta tvarka.

37. Jei informacinė sistema likviduojama, joje tvarkomi dokumentai ir duomenys perduodami kitai informacinei sistemai arba sunaikinami, arba perduodami valstybės archyvui Lietuvos Respublikos dokumentų ir archyvų įstatymo (Žin., 1995, Nr. 107-2389; 2004, Nr. 57-1982) nustatyta tvarka.

_________________

PATVIRTINTA

Lietuvos Respublikos finansų ministro

2012 m. rugsėjo 6 d. įsakymu Nr. 1K-297

INFORMACINĖS SISTEMOS „E. SĄSKAITA“ DUOMENŲ SAUGOS NUOSTATAI

I. BENDROSIOS NUOSTATOS

1. Informacinės sistemos „E. sąskaita“ duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja informacinės sistemos „E. sąskaita“ (toliau – IS) duomenų saugą ir nustato jų saugos politiką.

2. Saugos nuostatų tikslas – nustatyti technines ir organizacines priemones, kurios leistų užtikrinti elektroninės informacijos, saugomos ir apdorojamos IS, konfidencialumą, prieinamumą, vientisumą ir tinkamą kompiuterizuotų darbo vietų bei kompiuterių tinklo aktyviosios įrangos funkcionavimą. IS duomenų saugai užtikrinti privaloma kompleksiškai naudoti administracines, technines ir programines priemones, padedančias įgyvendinti reagavimo, atsakomybės, elektroninės informacijos saugos suvokimo stiprinimo bei saugos priemonių projektavimo ir diegimo principus.

3. Šiuose Saugos nuostatuose vartojamos sąvokos atitinka Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), kituose teisės aktuose ir Lietuvos standarte LST ISO/IEC 27002:2009 vartojamas sąvokas.

4. IS keliami pagrindiniai saugos reikalavimai:

4.1. turi būti įgyvendintos visos informacijos saugumo valdymo priemonės, privalomos II kategorijos valstybės informacinėms sistemoms, nustatytos Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniuose saugos reikalavimuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866);

4.2. asmens duomenų apsauga turi būti užtikrinta vadovaujantis Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu (Žin., 1996, Nr. 63-1479; 2008, Nr. 22-804) ir Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12) (Žin., 2008, Nr. 135-5298);

4.3. IS registruoja ir saugo visus IS naudotojų ir IS administratorių veiksmus. Įrašai saugomi nustatytą laikotarpį taip, kad jų nebūtų galima suklastoti arba sunaikinti;

4.4. prieiga prie IS iš išorinių kompiuterių tinklų turi būti apsaugota specializuotomis ugniasienėmis (WAF, XML firewall), atsižvelgiant į IS technologinę specifiką;

4.5. sutrikus IS darbui, IS naudotojams turi būti pateikiami atitinkami pranešimai;

4.6. IS turi užtikrinti tinkamą avarinių situacijų, kurias sukėlė neteisingi IS naudotojo veiksmai (netinkamo įvedamų duomenų formato arba neleidžiamos įvedamų duomenų reikšmės parinkimas ir kt.), valdymą.

5. Informacijos saugumo užtikrinimo prioritetinės kryptys:

5.1. elektroninės informacijos konfidencialumo užtikrinimas;

5.2. elektroninės informacijos vientisumo užtikrinimas;

5.3. elektroninės informacijos prieinamumo užtikrinimas;

5.4. IS veiklos tęstinumas;

5.5. asmens duomenų apsauga.

6. IS valdytojo ir IS tvarkytojo pavadinimai ir adresai:

6.1. IS valdytoja yra Lietuvos Respublikos finansų ministerija, Lukiškių g. 2, LT-01104 Vilnius;

6.2. IS tvarkytojas yra valstybės įmonė Registrų centras, Vinco Kudirkos g. 18-3, LT-03105 Vilnius.

7. IS valdytojo funkcijos ir atsakomybė:

7.1. organizuoja IS veiklą ir jai vadovauja, paveda IS tvarkytojui skirti saugos įgaliotinį;

7.2. rengia ir tvirtina teisės aktus, susijusius su IS tvarkymu ir duomenų sauga;

7.3. tvirtina IS tvarkytojo pateiktą IS informacinių technologijų saugos reikalavimų atitikties teisės aktams vertinimo metu nustatytų trūkumų šalinimo planą;

7.4. tvirtina IS tvarkytojo pateiktą IS rizikos vertinimo metu pastebėtų trūkumų šalinimo planą;

7.5. kontroliuoja, kad IS būtų tvarkoma vadovaujantis Lietuvos Respublikos įstatymais, šiais Saugos nuostatais ir kitais teisės aktais;

7.6. atsako už tinkamą šiame punkte nustatytų funkcijų vykdymą.

8. IS tvarkytojo funkcijos ir atsakomybė:

8.1. IS valdytojo pavedimu skiria IS saugos įgaliotinį (toliau – saugos įgaliotinis);

8.2. skiria IS administratorių arba kelis IS administratorius, vykdančius atskiras IS administravimo funkcijas (toliau – administratorius);

8.3. atlieka IS duomenų bazių ir tarnybinių stočių priežiūrą;

8.4. užtikrina IS sąveiką su kitomis informacinėmis sistemomis ir registrais;

8.5. užtikrina nepertraukiamą IS veikimą ir duomenų, saugomų ir apdorojamų IS, saugą;

8.6. IS tvarkytojo ir IS duomenų gavėjų sutartyse dėl duomenų teikimo nustatyta tvarka teikia IS duomenis duomenų gavėjams;

8.7. atlieka kitas IS nuostatų, Saugos nuostatų ir kitų teisės aktų nustatytas funkcijas;

8.8. teikia pasiūlymus IS valdytojui dėl duomenų saugos tobulinimo;

8.9. ne rečiau kaip kartą per metus, atlikus IS rizikos analizę ir informacinių technologijų saugos atitikties vertinimą, ir, jei reikia, organizuoja IS saugos dokumentų atnaujinimą;

8.10. IS tvarkytojo vadovas yra atsakingas už tinkamą šiame punkte nustatytų funkcijų vykdymą.

9. Saugos įgaliotinis, įgyvendindamas IS saugos priemones, atlieka šias funkcijas:

9.1. teikia IS tvarkytojo vadovui pasiūlymus dėl:

9.1.1. administratoriaus ar administratorių paskyrimo;

9.1.2. IS saugos politiką įgyvendinančių dokumentų priėmimo, keitimo ar panaikinimo;

9.1.3. IS informacinių technologijų saugos reikalavimų atitikties teisės aktams vertinimo metu ir IS rizikos vertinimo metu pastebėtų trūkumų šalinimo;

9.1.4. saugos tobulinimo;

9.2. koordinuoja elektroninės informacijos saugos incidentų, įvykusių IS, tyrimą, išskyrus atvejus, kai šią funkciją atlieka informacijos saugos darbo grupės;

9.3. teikia administratoriui privalomus vykdyti nurodymus ir pavedimus;

9.4. kasmet organizuoja:

9.4.1. IS rizikos vertinimą;

9.4.2. IS informacinių technologijų saugos reikalavimų atitikties vertinimą;

9.5. rengia IS naudotojams seminarus informacijos saugos klausimais, informuoja juos apie informacijos saugos problemas (siunčia priminimus elektroniniu paštu, rengia teminius seminarus, atmintines naujiems naudotojams);

9.6. atlieka kitas IS valdytojo ir IS tvarkytojo vadovų pavestas ir Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose jam priskirtas funkcijas.

10. Saugos įgaliotinis, įgyvendindamas elektroninės informacijos saugos priemones, yra atsakingas už tinkamą šių Saugos nuostatų 9 punkte nustatytų funkcijų vykdymą.

11. Administratorius, vykdantis IS priežiūrą, atlieka šias funkcijas:

11.1. vertina IS naudotojų pasirengimą dirbti su IS;

11.2. rengia, tikrina ir analizuoja IS sudarančių komponentų sąranką ir būsenos rodiklius;

11.3. pastebėjęs esamą arba tikėtiną IS saugumo spragą, informuoja atsakingus asmenis;

11.4. informuoja saugos įgaliotinį apie informacijos saugos pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias IS duomenų saugos užtikrinimo priemones;

11.5. daro atsargines IS duomenų kopijas.

12. Administratorius, vykdydamas IS priežiūrą, yra atsakingas už tinkamą šių Saugos nuostatų 11 punkte nustatytų funkcijų vykdymą.

13. Saugų IS duomenų tvarkymą reglamentuoja:

13.1. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;

13.2. Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952;

13.3. Saugos dokumentų turinio gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172;

13.4. Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairės, patvirtintos Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160);

13.5. Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniai saugos reikalavimai, patvirtinti Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384;

13.6. Lietuvos standartai LST ISO/IEC 27001:2006 ir LST ISO/IEC 27002:2009, Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo technika“ grupės standartai, nustatantys saugų informacinės sistemos duomenų tvarkymą;

13.7. Bendrieji reikalavimai organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtinti Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12);

13.8. kiti teisės aktai, reglamentuojantys elektroninės informacijos saugos politiką (toliau – saugos politika) ir duomenų tvarkymo teisėtumą, valstybės informacinių sistemų tvarkytojų veiklą ir duomenų saugos valdymą.

II. ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS

14. IS, vadovaujantis Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairėmis, patvirtintomis Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247, priskiriama prie antros kategorijos informacinių sistemų.

15. Elektroninės informacijos priskyrimas prie tam tikros kategorijos nustatomas įvertinus tvarkomų duomenų tipą ir poveikį IS funkcionavimui, atsižvelgiant į jų konfidencialumą, vientisumą ir pasiekiamumą.

16. Saugos įgaliotinis, vadovaudamasis Lietuvos standartu LST ISO/IEC 27005 „Informacijos technologija. Saugumo technika. Informacijos saugumo rizikos valdymas“, kasmet organizuoja ir vykdo IS rizikos veiksnių vertinimą. Prireikus, saugos įgaliotinis gali organizuoti neeilinį IS rizikos veiksnių vertinimą.

17. IS rizikos veiksnių vertinimas surašomas IS rizikos įvertinimo ataskaitoje. IS rizikos įvertinimo ataskaita rengiama atsižvelgiant į rizikos veiksnius, galinčius turėti poveikį informacijos saugai. Svarbiausi rizikos veiksniai yra šie:

17.1. subjektyvūs netyčiniai (duomenų tvarkymo klaidos ir apsirikimai, dalinis duomenų ištrynimas, atsitiktinis klaidingų duomenų teikimas, fiziniai informacinių technologijų sutrikimai, duomenų perdavimo kompiuterių tinklais sutrikimai, programinės įrangos klaidos, netinkamas veikimas ir kita);

17.2. subjektyvūs tyčiniai (nesankcionuotas naudojimasis IS duomenims gauti, IS duomenų pakeitimas ar sunaikinimas, tyčiniai informacinių technologijų duomenų perdavimo kompiuterių tinklais sutrikdymai, piktybiniai IS saugumo pažeidimai, vagystės ir kita);

17.3. nenugalima jėga (force majeure).

18. Rizikos veiksniai vertinami pagal elektroninės informacijos kategorijas, nustatant jų poveikio IS elektroninės informacijos saugai laipsnius:

18.1. Ž – žemas. Duomenų pažeidimo poveikio laipsnis nėra didelis, padariniai nėra pavojingi – informacija nusiųsta kitam adresatui, įvesti netikslūs duomenys (gramatinė ar kitokia klaida), dingo dalis informacijos, kurią galima greitai atkurti iš turimų atsarginių duomenų kopijų, prarasta informacija atlikus paskutinį kopijavimą;

18.2. V – vidutinis. Duomenų pažeidimo poveikio laipsnis gali būti didelis, padariniai rimti – duomenys sugadinti dėl virusų ar kenkėjiškos veiklos, bet juos įmanoma atkurti iš turimų atsarginių kopijų, duomenų bazių įrašai pakeisti, sunku rasti klaidas ir suklastotą informaciją, neveikia kompiuterių programos ir operacinė sistema;

18.3. A – aukštas. Duomenų pažeidimo poveikio laipsnis labai didelis, padariniai rimti – duomenys visiškai sugadinti, dėl vagystės, gaisro ar užliejimo prarasti ne tik duomenų bazių duomenys, bet ir atsarginės kopijos, neveikia visa IS.

19. IS rizikos vertinimo darbų apimtis:

19.1. IS sudarančių informacinių išteklių inventorizacija;

19.2. poveikio IS veiklai vertinimas;

19.3. grėsmės ir pažeidimų analizė;

19.4. liekamosios rizikos vertinimas.

20. IS valdytojas, atsižvelgdamas į IS rizikos įvertinimo ataskaitą, prireikus, tvirtina IS rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų išteklių poreikis IS rizikos valdymo priemonėms įgyvendinti.

21. Pagrindiniai elektroninės informacijos saugos priemonių parinkimo principai yra šie:

21.1. liekamoji rizika turi būti sumažinta iki priimtino lygio;

21.2. informacijos saugos priemonės diegimo kaina atitinka saugomos informacijos vertę;

21.3. kur galima, turi būti įdiegtos prevencinės, grėsmes aptinkančios ir jas mažinančios informacijos saugos priemonės.

22. Siekiant užtikrinti šiuose Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose dokumentuose išdėstytų nuostatų įgyvendinimo kontrolę, ne rečiau kaip kartą per metus yra organizuojamas informacinių technologijų saugos atitikties vertinimas, kurio metu:

22.1. vertinama šių Saugos nuostatų ir kitų saugos politiką įgyvendinančių teisės aktų ir realios informacijos saugos atitiktis;

22.2. inventorizuojama IS techninė ir programinė įranga;

22.3. tikrinama IS tarnybinėse stotyse įdiegta programinė įranga ir jų sąranka;

22.4. tikrinama (vertinama) duomenis tvarkantiems IS naudotojams ir administratoriui suteiktų teisių atitiktis jų vykdomoms funkcijoms;

22.5. vertinamas pasirengimas užtikrinti IS veiklos tęstinumą įvykus saugos incidentui.

23. Atlikus šių Saugos nuostatų 22 punkte nurodytą vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato IS valdytojas.

III. ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI

24. Priemonės ir metodai, taikomi užtikrinant prieigą prie IS, nurodant leistiną šios prieigos laiką ir būdą, nustatomi IS naudotojų administravimo taisyklėse.

25. Visos IS tarnybinės stotys ir kompiuterizuotos darbo vietos turi būti apsaugotos nuo kenksmingos programinės įrangos (virusų, programinės įrangos, skirtos šnipinėti, nepageidaujamo elektroninio pašto ir kitos kenksmingos programinės įrangos). Apsaugai naudojama programinė įranga turi būti centralizuotai valdoma ir turi atsinaujinti automatiškai ne rečiau kaip kartą per 24 valandas.

26. Naudoti programinę įrangą, nesusijusią su IS tvarkytojo veikla ir atliekamomis funkcijomis (žaidimų, bylų siuntimo, internetinių pokalbių programų), draudžiama.

27. Tvarkant IS, nešiojamieji kompiuteriai naudojami vadovaujantis valstybės įmonės Registrų centro direktoriaus 2008 m. birželio 20 d. įsakyme Nr. v-148 „Dėl Nešiojamųjų įrenginių saugumo patvirtinimo tvarkos ir Duomenų rezervinio kopijavimo ir laikmenų saugojimo tvarkos patvirtinimo“ (2011 m. lapkričio 18 d. įsakymo Nr. v-221 redakcija) nustatyta tvarka.

28. IS naudotojų prieiga prie kitų valstybės institucijų arba žinybų kompiuterių tinklų ar interneto turi būti apsaugota užkardomis. Interneto turinys turi būti kontroliuojamas, nepraleidžiant nepageidaujamos informacijos.

29. Atsarginės duomenų kopijos daromos vadovaujantis valstybės įmonės Registrų centro direktoriaus 2008 m. birželio 20 d. įsakyme Nr. v-148 „Dėl Nešiojamųjų įrenginių saugumo patvirtinimo tvarkos ir Duomenų rezervinio kopijavimo ir laikmenų saugojimo tvarkos patvirtinimo“ (2011 m. lapkričio 18 d. įsakymo Nr. v-221 redakcija) nustatyta tvarka.

30. Duomenų atkūrimo iš atsarginių kopijų testavimas atliekamas ne rečiau kaip kartą per pusę metų.

31. IS nuo išorinių viešųjų kompiuterių tinklų turi būti atskirta naudojant įgaliotąją tarnybinę stotį. Įgaliotoje tarnybinėje stotyje turi būti fiksuojama ir saugos politiką įgyvendinančiuose dokumentuose nustatytą laiką saugoma informacija apie visų IS naudotojų kreipinius.

32. Automatiniai duomenų mainai tarp informacinių sistemų turi būti vykdomi tik naudojant saugias ryšio linijas su perduodamų duomenų šifravimu. Duomenų šifravimo algoritmas – ne žemesnis nei 128 bitų raktą turintis pažangus šifravimo standartas.

33. IS naudotojai, jungdamiesi prie IS iš nutolusių darbo vietų per viešuosius kompiuterių tinklus, privalo naudoti tik saugias HTTPS jungtis.

IV. REIKALAVIMAI PERSONALUI

34. IS naudotojai privalo rūpintis tvarkomos informacijos saugumu.

35. Visi IS naudotojai privalo turėti darbo kompiuteriu įgūdžių, mokėti tvarkyti IS duomenis IS nuostatų nustatyta tvarka ir būti susipažinę su Saugos nuostatais ir saugos politikos įgyvendinimą reglamentuojančiais teisės aktais.

36. Saugos įgaliotinis, administratorius ir IS naudotojai, pažeidę šių Saugos nuostatų ar kitų saugos politiką įgyvendinančių teisės aktų reikalavimus, atsako Lietuvos Respublikos įstatymų nustatyta tvarka.

37. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Bendraisiais elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimais, Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais teisės aktais. Saugos įgaliotinis privalo sugebėti prižiūrėti, kaip įgyvendinama IS saugos politika, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

38. Administratoriumi gali būti skiriamas valstybės tarnautojas ar darbuotojas, dirbantis pagal darbo sutartį, išmanantis darbą su kompiuterių tinklais ir gebantis administruoti tarnybines stotis bei mokantis užtikrinti jų saugumą. Administratorius privalo mokėti administruoti duomenų bazes. Gali būti skiriami ir keli administratoriai.

39. Saugos įgaliotinis ne rečiau kaip kartą per dvejus metus inicijuoja IS naudotojų mokymą informacijos saugos klausimais.

V. IS NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI

40. Už IS naudotojų supažindinimą su šiais Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais yra atsakingas saugos įgaliotinis.

41. Saugos įgaliotinis atsakingas už tai, kad šie Saugos nuostatai ir kiti saugos politiką įgyvendinantys teisės aktai būtų paskelbti IS naudotojams pasiekiamame tinklalapyje. Pakeitus arba paskelbus naujus dokumentus IS naudotojai apie tai informuojami elektroniniu paštu.

42. Administratorių su šiais Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais bei atsakomybe už šių reikalavimų nesilaikymą pasirašytinai supažindina saugos įgaliotinis.

43. Saugos įgaliotinis tvarko administratoriaus supažindinimo su saugos politiką įgyvendinančiais teisės aktais žurnalą, kuriame nurodoma ši informacija:

43.1. administratoriaus supažindinimo su teisės aktais data;

43.2. administratoriaus vardas, pavardė;

43.3. administratoriaus pareigos;

43.4. administratoriaus parašas.

44. Pakartotinai su saugos politiką nustatančiais teisės aktais IS naudotojai supažindinami tik iš esmės pasikeitus informacinėms sistemoms arba informacijos saugą reguliuojantiems teisės aktams. Informacija apie saugos politiką įgyvendinančių teisės aktų pasikeitimus skelbiama IS naudotojams pasiekiamame tinklalapyje.

_________________