1.1. Valstybės sienos apsaugos tarnybos informacinės sistemos nuostatus, patvirtintus Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – tarnyba) vado 2004 m. spalio 8 d. įsakymo Nr. 4-507 „Dėl Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos informacinės sistemos (VSATIS) bei VSATIS duomenų saugos nuostatų patvirtinimo“ (toliau – įsakymas) 1.1 punktu, ir išdėstau juos nauja redakcija;

1.2. Valstybės sienos apsaugos tarnybos informacinės sistemos duomenų saugos nuostatus, patvirtintus tarnybos vado įsakymo 1.2 punktu, ir išdėstau juos nauja redakcija.

2.1. tarnybos Informatikos ir ryšių valdybos Informacinių sistemų administravimo skyriaus vyriausiąjį specialistą Raimondą Zakšauską VSATIS saugos įgaliotiniu;

2.2. tarnybos Informatikos ir ryšių valdybos Informacinių sistemų administravimo skyriaus vyresnįjį specialistą Sergejų Paplauską VSATIS administratoriumi.

3.1. VSATIS saugos įgaliotiniui per 6 mėnesius nuo šio įsakymo įsigaliojimo parengti Saugaus VSATIS elektroninės informacijos tvarkymo taisyklių ir VSATIS veiklos tęstinumo valdymo plano projektus;

3.2. VSATIS administratoriui per 6 mėnesius nuo šio įsakymo įsigaliojimo parengti VSATIS naudotojų administravimo taisyklių projektą.

1. Valstybės sienos apsaugos tarnybos informacinės sistemos (toliau – VSATIS) nuostatai apibrėžia VSATIS kūrimo teisinį pagrindą, valdytoją, tvarkytojus, tvarkymo objektus ir tikslus, duomenų sąrašus, jų apimtis, tvarkymą, duomenų gavėjus ir teikėjus, reikalavimus duomenų saugai.

2. VSATIS nuostatai nereglamentuoja operatyvinę veiklą vykdančių Valstybės sienos apsaugos tarnybos prie Lietuvos Respublikos vidaus reikalų ministerijos (toliau – VSAT) struktūrinių padalinių informacinių sistemų bei su operatyvinės informacijos tvarkymu susijusių duomenų bazių.

3. VSATIS yra teisinių, programinių ir telekomunikacinių priemonių visuma, padedanti vykdyti sienos kontrolę per kompiuterizuotus apribojimų sąrašus ir tvarkyti Lietuvos Respublikos valstybės sienos kirtimo kroniką.

4. VSATIS pagrindinės funkcijos:

5. VSATIS naudotojas – valstybės įstaigos (VSATIS tvarkytojo ar VSATIS duomenų gavėjo) tarnautojas arba darbuotojas, dirbantis pagal darbo sutartį, teisės aktų nustatyta tvarka turintis teisę tvarkyti arba gauti VSATIS duomenis pareigybės aprašyme nustatytoms tiesioginėms funkcijoms vykdyti.

6. Asmens duomenų VSATIS tvarkymo tikslas – fizinių asmenų, kertančių Lietuvos valstybės sieną, tapatybės nustatymas ir apskaita.

7. VSATIS steigimo teisinį pagrindą sudaro Valstybės sienos apsaugos tarnybos įstatymas (Žin., 2000, Nr. 92-2848).

8. VSATIS tvarkoma vadovaujantis:

9. VSATIS valdytojas – VSAT:

10. VSATIS tvarkytojai:

11. VSAT centrinė įstaiga tvarko VSATIS nuostatų 21.2 ir 21.3 punktuose išvardytus duomenis, VSATIS klasifikatorius bei suteikia teises VSATIS naudotojams pagal kompetenciją.

12. VSATIS tvarkytojai, nurodyti VSATIS nuostatų 10.2–10.8 punktuose, tvarko VSATIS nuostatų 21.1 ir 21.3 punktuose išvardytus duomenis bei atsako, kad šie duomenys būtų tikslūs, išsamūs ir pateikti nustatytu laiku.

13. SUR ir URC VSATIS duomenimis naudojasi peržiūros režimu atlikdami paiešką VSATIS, formuodami VSATIS duomenų pagrindu ataskaitas bei atlikdami kitus duomenų tvarkymo veiksmus.

14. IRD teikia VSATIS tarnybinių stočių, duomenų bazių valdymo sistemos ir duomenų perdavimo tinklų resursus; užtikrina duomenų, esančių VSATIS duomenų bazėje, saugą; užtikrina VSATIS sąveiką su kitomis informacinėmis sistemomis ir registrais, dalyvauja rengiant duomenų teikimo automatiniu būdu sutartis.

15. VSATIS duomenų teikėjai (toliau – teikėjai) yra Lietuvos Respublikos vidaus reikalų ministerija, Policijos departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos.

16. VSATIS duomenų gavėjai (toliau – gavėjai) yra Lietuvos Respublikos valstybės saugumo departamentas, Vadovybės apsaugos departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos, Policijos departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos, Lietuvos Respublikos specialiųjų tyrimų tarnyba, Antrasis operatyvinių tarnybų departamentas prie Lietuvos Respublikos krašto apsaugos ministerijos, Muitinės departamentas prie Lietuvos Respublikos finansų ministerijos, Valstybinė mokesčių inspekcija prie Lietuvos Respublikos finansų ministerijos, Valstybinio socialinio draudimo fondo valdyba prie Socialinės apsaugos ir darbo ministerijos, Migracijos departamentas prie Lietuvos Respublikos vidaus reikalų ministerijos, Kalėjimų departamentas prie Lietuvos Respublikos teisingumo ministerijos, Finansinių nusikaltimų tyrimų tarnyba prie Lietuvos Respublikos vidaus reikalų ministerijos.

17. Duomenys teikiami duomenų gavėjams įstatymuose ir kituose teisės aktuose nustatytiems jų uždaviniams įgyvendinti ir funkcijoms vykdyti.

18. Asmens duomenys ADTAĮ nustatytais atvejais teikiami pagal duomenų valdytojo ir duomenų gavėjo sudarytą asmens duomenų teikimo sutartį (daugkartinio teikimo atveju) arba duomenų gavėjo prašymą (vienkartinio teikimo atveju). Sutartyje turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Prašyme turi būti nurodytas asmens duomenų naudojimo tikslas, teikimo bei gavimo teisinis pagrindas ir prašomų pateikti asmens duomenų apimtis.

19. VSATIS duomenys teikiami užsienio valstybėms vadovaujantis tarptautinėmis sutartimis, Lietuvos Respublikos įstatymais ir kitais teisės aktais. VSATIS duomenys perduodami užsienio valstybei tik tie, kurie numatyti duomenų keitimosi sutartyje.

20. Duomenys saugomi ORACLE reliacinių duomenų bazių valdymo sistemoje. Duomenys saugomi VRIS centriniame duomenų banke adresu – Vilnius, Šventaragio g. 2.

21. VSATIS tvarkomi šie duomenys:

22. Gavėjai gauna VSATIS nuostatų 21.1 punkte išvardytus duomenis.

23. VSATIS sudaro šios posistemės:

24. Įrašant ir keičiant duomenis, fiksuojamas naudotojo, kuris tai atliko, identifikavimo kodas ir įrašymo (keitimo) data ir laikas. Duomenų tvarkymo veiksmai, atliekami su VSATIS duomenimis, esančiais Vidaus reikalų informacinės sistemos centriniame duomenų banke, yra registruojami Vidaus reikalų informacinės sistemos (toliau – VRIS) centrinio duomenų banko naudotojų administravimo posistemėje.

25. Kiekvienas duomenų subjektas turi teisę kreiptis į VSATIS valdytoją ir (arba) tvarkytoją, siekdamas susipažinti su savo asmens duomenimis, tvarkomais VSATIS, ir teisės aktų nustatyta tvarka juos gauti. Jeigu duomenų subjektas, susipažinęs su savo asmens duomenimis, nustato, kad jo asmens duomenys neteisingi, neišsamūs, netikslūs ar tvarkomi neteisėtai, ir raštu kreipiasi į VSATIS valdytoją ir (arba) tvarkytoją, VSATIS valdytojas ir (arba) tvarkytojas privalo nedelsdamas užtikrinti asmens duomenų patikrinimą, neteisingų, netikslių duomenų ištaisymą, neišsamių asmens duomenų papildymą, neteisėtai tvarkomų duomenų sunaikinimą. VSATIS valdytojas ir (arba) tvarkytojas privalo nedelsdamas informuoti duomenų subjektą ir VSATIS duomenų gavėjus, kuriems buvo perduoti neteisingi, netikslūs, neišsamūs duomenys, apie duomenų subjekto prašymu ištaisytus ar sunaikintus asmens duomenis, sustabdytus asmens duomenų tvarkymo veiksmus, išskyrus tuos atvejus, kai pateikti tokią informaciją būtų neįmanoma arba pernelyg sudėtinga. VSATIS valdytojas ir (arba) tvarkytojas neįgyvendina duomenų subjekto teisių ADTAĮ 23 straipsnio 2 dalyje nustatytais atvejais.

26. Asmenų, vykstančių per valstybės sieną, ir transporto priemonių patikrinimo tikslu, sekiant nustatyti sutaptį, VSATIS formuoja užklausas į teikėjų informacines sistemas ir registrus, išvardytus VSATIS nuostatų 4.1 punkte. Jokių kitų duomenų, išskyrus patvirtinimą, kad sutaptis yra arba jos nėra, iš teikėjų VSATIS negauna.

27. Fizinis asmuo, kertantis Lietuvos Respublikos valstybės sieną, ir VSAT pareigūnas, atliekantis patikrinimą, yra VSATIS kaupiamų pirminių duomenų šaltiniai.

28. VSATIS duomenys saugomi 10 metų po tų metų, kai jie buvo įrašyti. Praėjus šiam terminui, duomenys naikinami.

29. VSATIS duomenų saugą nustato ADTAĮ, Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai, patvirtinti Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952, VSATIS duomenų saugos nuostatai, VSATIS saugaus elektroninės informacijos tvarkymo taisyklės, VSATIS naudotojų administravimo taisyklės, VSATIS veiklos tęstinumo valdymo planas ir kiti duomenų saugą reglamentuojantys dokumentai, Lietuvos standartai LST ISO/IEC 17799:2006, LST ISO/IEC 27001:2006, taip pat kiti Lietuvos ir tarptautiniai „Informacijos technologija. Saugumo metodai“ grupės standartai, apibūdinantys saugų informacinės sistemos duomenų tvarkymą.

30. VSATIS asmens duomenų apsauga užtikrinama vadovaujantis Bendraisiais reikalavimais organizacinėms ir techninėms duomenų saugumo priemonėms, patvirtintais Valstybinės duomenų apsaugos inspekcijos direktoriaus 2008 m. lapkričio 12 d. įsakymu Nr. 1T-71 (1.12) (Žin., 2008, Nr. 135-5298).

31. VSATIS naudotojai privalo saugoti asmens duomenų paslaptį, jeigu šie asmens duomenys neskirti skelbti viešai. Ši pareiga galioja pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo ar sutartiniams santykiams.

32. VSATIS duomenų saugos priemonės, skirtos apsaugoti duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo, yra numatytos VSATIS duomenų saugos nuostatuose.

33. Už VSATIS duomenų saugą atsako VSATIS duomenų valdytojas ir VSATIS duomenų tvarkytojai.

34. VSATIS finansuojama iš Lietuvos Respublikos valstybės biudžeto ir kitų teisės aktuose nustatytų finansavimo šaltinių.

35. VSATIS modernizuojama ir likviduojama įstatymų ir kitų teisės aktų nustatyta tvarka. Sprendimą dėl VSATIS modernizavimo ar likvidavimo priima VSAT.

1. Valstybės sienos apsaugos tarnybos informacinės sistemos duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Valstybės sienos apsaugos tarnybos informacinės sistemos (toliau – VSATIS) saugos politiką.

2. Šiuose Saugos nuostatuose vartojamos sąvokos atitinka Bendruosiuose elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimuose, patvirtintuose Lietuvos Respublikos Vyriausybės 1997 m. rugsėjo 4 d. nutarimu Nr. 952 (Žin., 1997, Nr. 83-2075; 2007, Nr. 49-1891) (toliau – Saugos reikalavimai), Vidaus reikalų informacinės sistemos nuostatuose, patvirtintuose Lietuvos Respublikos vidaus reikalų ministro 2007 m. sausio 2 d. įsakymu Nr. 1V-1 (Žin., 2007, Nr. 3-141) (toliau – VRIS nuostatai), Saugos dokumentų turinio gairėse, patvirtintose Lietuvos Respublikos vidaus reikalų ministro 2007 m. gegužės 8 d. įsakymu Nr. 1V-172 (Žin., 2007, Nr. 53-2070), ir kituose teisės aktuose vartojamas sąvokas.

3. VSATIS saugos tikslas – užtikrinti VSATIS duomenų konfidencialumą, prieinamumą ir vientisumą.

4. VSATIS duomenų saugos užtikrinimo prioritetinės kryptys:

5. VSATIS duomenų saugumui užtikrinti kompleksiškai naudojamos administracinės, techninės ir programinės priemonės.

6. Saugos nuostatai taikomi:

7. Saugos įgaliotinis organizuoja ir kontroliuoja šių Saugos nuostatų įgyvendinimą ir atlieka kitas funkcijas:

8. Administratorius:

9. VSATIS naudotojai:

10. Teisės aktai, kuriais vadovaujantis tvarkomi VSATIS duomenys ir užtikrinama jų sauga:

11. Atsižvelgiant į VSATIS duomenų savybių (vientisumo, konfidencialumo ir prieinamumo) įtaką VSATIS darbui, VSATIS priskiriama antrajai informacinių sistemų kategorijai pagal Valstybės institucijų ir įstaigų informacinių sistemų klasifikavimo pagal jose tvarkomą elektroninę informaciją gairių, patvirtintų Lietuvos Respublikos vidaus reikalų ministro 2007 m. liepos 11 d. įsakymu Nr. 1V-247 (Žin., 2007, Nr. 78-3160), 3.2.1 punktą.

12. VSATIS saugos priemonės parenkamos įvertinus galimus rizikos veiksnius VSATIS duomenų vientisumui, konfidencialumui ir prieinamumui. Pasirenkant saugos priemones prioritetas teikiamas toms priemonėms, kurių diegimas duoda didžiausią poveikį ir reikalauja mažiausiai sąnaudų.

13. Saugos įgaliotinis, atsižvelgdamas į Vidaus reikalų ministerijos išleistą metodinę priemonę „Rizikos analizės vadovas“, Lietuvos ir tarptautinius „Informacijos technologija. Saugumo technika“ grupės standartus ir taikydamas pasaulyje pripažintas metodikas, kasmet atlieka VSATIS rizikos vertinimą, o prireikus ir neeilinį rizikos įvertinimą iki liepos 1 dienos ir parengia ataskaitą. Svarbiausieji rizikos veiksniai yra šie:

14. Prireikus VSATIS valdytojo pavedimu VSATIS rizikos analizei atlikti gali būti samdoma privati įmonė.

15. Atsižvelgdamas į rizikos vertinimo ataskaitą, VSATIS valdytojas prireikus tvirtina VSATIS rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame, be kita ko, numatomas techninių, administracinių ir kitų išteklių poreikis rizikos valdymo priemonėms įgyvendinti.

16. Teisės aktų nustatyta tvarka ne rečiau kaip kartą per metus atliekant VSATIS informacinių technologijų saugos atitikties vertinimą:

17. Atlikus VSATIS informacinių technologijų saugos reikalavimų atitikties vertinimą, rengiamas pastebėtų trūkumų šalinimo planas, kurį tvirtina, atsakingus vykdytojus paskiria ir įgyvendinimo terminus nustato VSATIS valdytoja.

18. VSATIS duomenys kitoms institucijoms teikiami pasirašius sutartį dėl duomenų teikimo, kurioje turi būti nurodyti:

19. VSATIS naudotojai jungiasi prie VSATIS naudodami VSATIS programinę įrangą, technines ir kitas programines priemones, užtikrinančias saugų duomenų perdavimą Vidaus reikalų telekomunikaciniame tinkle (toliau – VRTT).

20. VSATIS naudotojai prisijungti prie VSATIS naudoja unikalų prisijungimo vardą ir slaptažodį. Teisės naudotis VSATIS jiems suteikiamos vadovaujantis raštišku prašymu, atsižvelgiant į vykdomas funkcijas.

21. Dirbant su VSATIS fiksuojami visi VSATIS naudotojų duomenų tvarkymo veiksmai.

22. VSATIS naudotojas atsako už elektroninės informacijos, kuri jam prieinama dirbant su VSATIS, tvarkymo teisėtumą ir tvarkomų duomenų saugą.

23. Elektroninės informacijos saugai užtikrinti yra taikomos šios bendrosios programinės įrangos naudojimo nuostatos:

24. VSATIS duomenų saugai užtikrinti tarnybinėse stotyse ir KDV taikomos šios programinės įrangos naudojimo nuostatos:

25. Už VSATIS ir vidinio kompiuterių tinklo funkcionavimą užtikrinančios techninės ir programinės įrangos administravimą ir priežiūrą KDV yra atsakingi VSAT teritorinių padalinių techninių skyrių valstybės tarnautojai ar darbuotojai, kuriems priskirtos atitinkamos administratoriaus funkcijos.

26. VSATIS duomenys perduodami automatiniu būdu naudojant TCP/IP protokolą realiu laiku („on-line“ režimu) arba asinchroniniu režimu pagal VSATIS duomenų teikimo sutartis.

27. VSATIS duomenys, perduodami ne VRTT, turi būti šifruojami.

28. VSATIS naudotojai, savo tarnybinėms funkcijoms vykdyti naudojantys nešiojamuosius kompiuterius, norėdami VSATIS duomenis perduoti kompiuterių tinklais ne savo darbo vietoje, turi naudoti kompiuterio įjungimo slaptažodį, papildomą VSATIS naudotojo tapatybės patvirtinimą ir VSATIS duomenų šifravimą.

29. Saugos įgaliotinis privalo išmanyti informacijos saugos užtikrinimo principus, savo darbe vadovautis Saugos reikalavimais, Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniais saugos reikalavimais, patvirtintais Lietuvos Respublikos vidaus reikalų ministro 2008 m. spalio 27 d. įsakymu Nr. 1V-384 (Žin., 2008, Nr. 127-4866), taip pat Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinta Lietuvos Respublikos vidaus reikalų ministro 2004 m. gegužės 6 d. įsakymu Nr. 1V-156 (Žin., 2004, Nr. 80-2855), kitais Lietuvos Respublikos ir Europos Sąjungos teisės aktais, reglamentuojančiais saugų duomenų tvarkymą, standartais ir kitais dokumentais, turėti atitinkamą kvalifikaciją, taip pat turėti darbo su duomenų bazėmis, operacinėmis sistemomis, taikomosiomis programomis patirties.

30. VSATIS administratoriai privalo išmanyti pagrindinius saugos politikos principus, darbą su duomenų perdavimo tinklais, užtikrinti jų saugumą, turėti sisteminių programinių priemonių (Windows, Unix, Oracle) administravimo ir priežiūros patirties.

31. VSATIS naudotojai turi turėti atitinkamą kvalifikaciją (darbo kompiuteriu įgūdžiai, informacinių technologijų vartotojų kvalifikacijos kursai, pradinis saugaus darbo su duomenimis mokymas, ECDL (Europos kompiuterio vartotojo pažymėjimas) vartotojo sertifikatas ar pan.) ir patirties (darbo su atitinkamomis operacinėmis sistemomis, taikomosiomis programomis ir pan.).

32. VSATIS valdytojas kartu su registrų tvarkymo įstaigomis užtikrina tinkamą saugos įgaliotinio, administratorių ir VSATIS naudotojų kvalifikacijos tobulinimą.

33. VSATIS naudotojams turi būti rengiami duomenų saugos mokymai, įvairiais būdais primenama apie saugos problemas (pvz., priminimai elektroniniu paštu, teminių seminarų rengimas, atmintinės ir pan.).

34. Tvarkyti VSATIS duomenis gali tik VSATIS naudotojai, pasirašytinai susipažinę su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais.

35. Šie Saugos nuostatai ir kiti elektroninės informacijos saugą reglamentuojantys dokumentai skelbiami VSATIS valdytojo tinklalapyje.

36. VSATIS naudotojų supažindinimą su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais ir atsakomybe už šių reikalavimų nesilaikymą organizuoja saugos įgaliotinis. Saugos įgaliotinis raštu informuoja VSATIS naudotojus apie Saugos nuostatų pakeitimus ar kitų saugos politiką įgyvendinančių teisės aktų pripažinimą netekusiais galios, keitimą ar priėmimą.

37. VSATIS saugos įgaliotinis, VSATIS administratoriai, VSATIS naudotojai, pažeidę Saugos nuostatų ar kitų saugos politiką įgyvendinančių teisės aktų reikalavimus, atsako įstatymų nustatyta tvarka.