LIETUVOS RESPUBLIKOS KRAŠTO APSAUGOS

MINISTRAS

ĮSAKYMAS

DĖL LIETUVOS RESPUBLIKOS KRAŠTO APSAUGOS MINISTRO 2023 M. rugpjūčio 21 D. ĮSAKYMO nR. v-669 „dėl PRISIJUNGIMO PRIE VYRIAUSYBINIO PLAČIAJUOSČIO ŠIFRUOTO DUOMENŲ IR BALSO PERDAVIMO TINKLO TVARKOS APRAŠO PATVIRTINIMO“ PAKEITIMO

2024 m. rugsėjo 30 d. Nr. V-921

Vilnius

Pakeičiu Prisijungimo prie Vyriausybinio plačiajuosčio šifruoto duomenų ir balso perdavimo tinklo tvarkos aprašą, patvirtintą Lietuvos Respublikos krašto apsaugos ministro 2023 m. rugpjūčio 21 d. įsakymu Nr. V-669 „Dėl Prisijungimo prie Vyriausybinio plačiajuosčio šifruoto duomenų ir balso perdavimo tinklo tvarkos aprašo patvirtinimo“:

1. Pakeičiu 8 punktą ir jį išdėstau taip:

„8. Pagrindinis tvarkytojas Vyriausybei priėmus nutarimą dėl Šifruoto tinklo tvarkytojų sąrašo pakeitimo, kuriuo įtraukia instituciją į Šifruoto tinklo tvarkytojų sąrašą, ne vėliau kaip per 10 (dešimt) darbo dienų informuoja instituciją apie Šifruoto tinklo tvarkytojų sąrašo pakeitimą, Šifruoto tinklo paslaugas, Šifruoto tinklo tvarkytojui (toliau - Tvarkytojas) taikomus prisijungimo prie Šifruoto tinklo reikalavimus, nurodytus Aprašo 9 punkte, ir pateikia Šifruoto tinklo valdytojo patvirtintus Šifruoto tinklo saugumo valdymo procedūrų aprašą ir Šifruoto tinklo specifinių saugumo reikalavimų aprašą (toliau kartu – Šifruoto tinklo saugos dokumentai), kuriame pateiktas teisės aktų, kuriais turi vadovautis Tvarkytojas, sąrašas.“

2. Pakeičiu 9 punkto pirmąją pastraipą ir ją išdėstau taip:

„9. Tvarkytojas, siekdamas prisijungti prie Šifruoto tinklo ir naudotis Šifruoto tinklo paslaugomis, turi įgyvendinti Lietuvos Respublikos valstybės ir tarnybos paslapčių įstatymo bei jį įgyvendinančių teisės aktų reikalavimus, laikytis Šifruoto tinklo valdytojo patvirtintuose Šifruoto tinklo saugos dokumentuose nustatytų reikalavimų ir procedūrų bei turėti:“.

3. Pakeičiu 9.3 papunktį ir jį išdėstau taip:

„9.3. pagal Šifruoto tinklo saugos dokumentų reikalavimus parengtą ir su Pagrindiniu tvarkytoju suderintą Tvarkytojo darbo vietos įrangos specifikaciją ir pagal šią specifikaciją įsigytą įrangą;“.

4. Pripažįstu netekusiu galios 9.5 papunktį.

5. Pakeičiu 11.4 papunktį ir jį išdėstau taip:

„11.4. IV etapas – Aprašo 12 punkte nurodytų dokumentų pateikimas Pagrindiniam tvarkytojui;“.

6. Pakeičiu 11.5 papunktį ir jį išdėstau taip:

„11.5. V etapas – Tvarkytojo darbo vietos įrangos specifikacijos suderinimas;“.

7. Pakeičiu 12 punkto pirmąją pastraipą ir ją išdėstau taip:

„12. Tvarkytojas ne vėliau kaip per 6 (šešis) mėnesius nuo Aprašo 8 punkte nurodytos informacijos gavimo dienos įgyvendina Aprašo 9 punkte nurodytus reikalavimus ir Pagrindiniam tvarkytojui Tvarkytojo vadovo ar jo įgalioto asmens pasirašytu raštu pateikia:“.

8. Pripažįstu netekusiu galios 12.8 papunktį.

9. Pakeičiu 13 punktą ir jį išdėstau taip:

„13. Pagrindinis tvarkytojas ne vėliau kaip per 20 (dvidešimt) darbo dienų nuo Aprašo 12 punkte nurodytos informacijos gavimo dienos:

13.1. jei trūkumų ar neatitikčių Aprašo 12 punkte nustatytiems reikalavimams nenustatyta, Pagrindinis tvarkytojas raštu informuoja Tvarkytoją, kad Tvarkytojo darbo vietos įrangos specifikacija suderinta ir ja vadovaujantis galima įsigyti šioje specifikacijoje nurodytą įrangą, arba

13.2. parengia šalintinų trūkumų ir neatitikčių, jei jų buvo nustatyta, sąrašą bei rizikų, susijusių su Tvarkytojo darbo vietos įrengimu, apimančių (bet neapsiribojančių) Tvarkytojo darbo specifiką, infrastruktūrą ar pažeidžiamumus, sąrašą, nustato šių trūkumų pašalinimo terminą, kuris negali būti trumpesnis kaip 1 (vienas) mėnuo, ir pateikia Tvarkytojui.“

10. Papildau 14¹ punktu:

„14¹. Tvarkytojui per Aprašo 12 punkte nurodytą terminą neįgyvendinus šiame punkte nurodytų reikalavimų arba per Pagrindinio tvarkytojo nustatytą terminą nepašalinus trūkumų, nurodytų Aprašo 13.2 papunktyje nurodytame šalintinų trūkumų ir neatitikčių sąraše, Pagrindinis tvarkytojas ne vėliau kaip per 10 (dešimt) darbo dienų nuo termino pabaigos informuoja Tvarkytoją ir Šifruoto tinklo valdytoją apie Tvarkytojo neatitiktį prijungimo prie Šifruoto tinklo reikalavimams, nurodytiems Aprašo 9 punkte, ir negalėjimą prijungti tokio naudotojo prie Šifruoto tinklo.“

11. Pakeičiu 15 punktą ir išdėstau jį taip:

„15. Tvarkytojui įgyvendinus Aprašo 12 punkte nurodytus reikalavimus, Pagrindinis tvarkytojas parengia Tvarkytojo darbo vietos techninį įrengimo projektą, jį suderina su Tvarkytoju ir pateikia jį Tvarkytojui pasirašyti. Pagal šiame projekte pateiktą medžiagų specifikaciją Tvarkytojas turi įsigyti medžiagas ir atlikti Tvarkytojo darbo vietos techniniame įrengimo projekte nurodytus darbus.“

12. Pakeičiu 17.1 papunktį ir išdėstau jį taip:

„17.1. ne vėliau kaip per 5 (penkias) darbo dienas su Tvarkytoju suderina duomenų perdavimo kabelių ir Šifruoto tinklo kamieninio bei Tvarkytojo darbo vietos posistemių įrangos montavimo darbų laiką ir, jeigu yra būtinybė, Pagrindinis tvarkytojas turi teisę paprašyti Tvarkytojo pristatyti Tvarkytojo darbo vietų posistemio įrangą į Pagrindinio tvarkytojo patalpas Šifruoto tinklo saugumo valdymo procedūrų apraše nustatyta tvarka. Kiekvienas šios įrangos perdavimo faktas turi būti įforminamas Tvarkytojo parengtu įrangos perdavimo–priėmimo aktu;“.

13. Pakeičiu 17.2 papunktį ir išdėstau jį taip:

„17.2. organizuoja Tvarkytojo atliktų darbų (elektros maitinimo ir duomenų perdavimo tinklų) patikrą;“.

14. Pakeičiu 17.4 papunktį ir išdėstau jį taip:

„17.4. ne vėliau kaip per 5 (penkias) darbo dienas po Šifruoto tinklo įrangos montavimo akto pasirašymo dienos kreipiasi į Saugumo priežiūros tarnybą dėl leidimo naudoti Šifruoto tinklo Tvarkytojo darbo vietą išdavimo;“.

15. Papildau 17¹ punktu:

„17¹. Laikoma, kad Tvarkytojas yra prisijungęs prie Šifruoto tinklo nuo Saugumo priežiūros tarnybos leidimo naudoti Šifruoto tinklo Tvarkytojo darbo vietą išdavimo dienos.“

16. Papildau 17² punktu:

„17². Šifruoto tinklo įrangos montavimo akto formas nustato ir tvirtina Pagrindinis tvarkytojas.“

17. Papildau 17³ punktu:

„17³. Šifruoto tinklo įrangos montavimo akte nurodoma:

17³.1. Pagrindinio tvarkytojo ir Tvarkytojo pavadinimas;

17³.2. Tvarkytojo buveinės ir (ar) jo struktūrinių padalinių, esančių kitu nei buveinė adresu, jei juose bus prisijungiama prie Šifruoto tinklo, adresai;

17³.3. Tvarkytojo ir (ar) jo struktūrinių padalinių, esančių kitu nei buveinė adresu, patalpose įrengiama Šifruoto tinklo įranga;

17³.4. Šifruoto tinklo įrangos įrengimo Tvarkytojo patalpose vieta ar vietos;

17³.5. Tvarkytojui teikiamų paslaugų sąrašas.“

18. Papildau nauju V skyriumi:

„V SKYRIUS

ŠIFRUOTO TINKLO PASLAUGŲ TEIKIMO TAISYKLĖS

PIRMASIS SKIRSNIS

PAGRINDINIO TVARKYTOJO TEISĖS IR ĮSIPAREIGOJIMAI

18¹. Pagrindinis tvarkytojas vykdo Šifruoto tinklo nuostatuose nustatytas funkcijas ir:

18¹.1. neatlygintinai teikia Tvarkytojui Šifruoto tinklo nuostatuose nurodytas Šifruoto tinklo paslaugas;

18¹.2. įsigyja savo lėšomis ir suteikia Šifruoto tinklo paslaugoms teikti reikalingą Šifruoto tinklo kamieninio posistemio įrangą;

18¹.3. į Šifruoto tinklo paslaugų teikimo vietą pristato Šifruoto tinklo kamieninio posistemio įrangą, reikalingą Šifruoto tinklo paslaugoms teikti, ir ją sumontuoja. Šifruoto tinklo kamieninio posistemio įrangos įrengimo faktas patvirtinamas Šifruoto tinklo saugumo valdymo procedūrų apraše nustatyta tvarka;

18¹.4. atlieka Šifruoto tinklo kamieninio posistemio įrangos techninę priežiūrą;

18¹.5. paslaugų teikimo vietoje parengia, sumontuoja, paruošia darbui Tvarkytojo darbo vietos įrangą, patikrina jos veikimą;

18¹.6. šalina dėl Šifruoto tinklo kamieninio posistemio įrangos gedimų atsiradusius Šifruoto tinklo paslaugų teikimo sutrikimus;

18¹.7. užtikrina iš Tvarkytojo gautos ir su Šifruoto tinklo paslaugų teikimu susijusios informacijos saugumą;

18¹.8. pateikia Tvarkytojui Šifruoto tinklo saugos dokumentų aktualias kopijas;

18¹.9. raštu įspėja Tvarkytoją apie planinius Šifruoto tinklo kamieninio posistemio įrangos remonto ar priežiūros darbus ne vėliau kaip likus 3 (trims) darbo dienoms iki numatomų Šifruoto tinklo kamieninio posistemio įrangos remonto ar priežiūros darbų pradžios ir su juo suderina planuojamų darbų datą, laiką ir trukmę;

18¹.10. rengia dokumentus leidimui naudotis Šifruotu tinklu gauti;

18¹.11. raštu informuoja Tvarkytoją apie savo rekvizitų pasikeitimą ne vėliau kaip per 5 (penkias) darbo dienas nuo pakeitimų atsiradimo dienos;

18¹.12. praneša Saugumo priežiūros tarnybos funkcijas atliekančiai institucijai apie rizikos vertinimo metu nustatytus kritinius Šifruoto tinklo trūkumus;

18¹.13. konsultuoja Tvarkytoją visais Šifruoto tinklo paslaugų teikimo klausimais.

18². Pagrindinio tvarkytojo atsakomybės apribojimas:

18².1. Pagrindinis tvarkytojas neatsako už Šifruotu tinklu perduodamos informacijos turinį;

18².2. Pagrindinis tvarkytojas neatsako už Tvarkytojo vietinio kompiuterių tinklo bei kitų įrenginių sutrikimus, gedimus, atsiradusius ne dėl Pagrindinio tvarkytojo kaltės, ir už tokių gedimų, sutrikimų šalinimą.

18³. Pagrindinis tvarkytojas turi teisę duoti Tvarkytojui pagrįstus nurodymus, būtinus Šifruoto tinklo paslaugų teikimo teisėtumui ir saugumui užtikrinti.

ANTRASIS SKIRSNIS

TVARKYTOJO TEISĖS IR ĮSIPAREIGOJIMAI

18⁴. Tvarkytojas Šifruoto tinklo paslaugų teikimo laikotarpiu įsipareigoja vykdyti Šifruoto tinklo nuostatuose nustatytas funkcijas, laikytis Šifruoto tinklo saugos dokumentuose nustatytų reikalavimų, taip pat:

18⁴.1. privalo organizuoti ir vykdyti Tvarkytojo darbo vietose naudojamos, sukuriamos, gaunamos, perduodamos įslaptintos informacijos apsaugą teisės aktų nustatyta tvarka;

18⁴.2. privalo pažymėti sukuriamą įslaptintą informaciją slaptumo žyma;

18⁴.3. privalo užtikrinti, kad su įslaptinta informacija dirbs ar susipažins tik Tvarkytojo vadovo įsakymu paskirti Šifruoto tinklo naudotojai, turintys atitinkamus leidimus dirbti ir susipažinti su įslaptinta informacija, žymima ne žemesne slaptumo žyma kaip „Slaptai“, vadovaudamiesi principu „Būtina žinoti“;

18⁴.4. vykdyti tik tuos su įslaptintos informacijos disponavimu ir apsauga susijusius veiksmus bei keitimosi įslaptinta informacija veiksmus, kurie yra numatyti Šifruoto tinklo saugos dokumentuose;

18⁴.5. negali pasitelkti Tvarkytojo darbo vietų modernizavimo ar palaikymo darbams prekių ir paslaugų teikėjų be Pagrindinio tvarkytojo sutikimo;

18⁴.6. privalo nedelsdamas, bet ne vėliau kaip per vieną darbo dieną nuo aplinkybių atsiradimo dienos Pagrindiniam tvarkytojui pranešti apie visus įvykusius įslaptintos informacijos apsaugos reikalavimų pažeidimus, dėl kurių įslaptinta informacija buvo ar galėjo būti neteisėtai atskleista ar prarasta, arba kilus įtarimams, kad tokie pažeidimai buvo padaryti;

18⁴.7. privalo vykdyti Pagrindinio tvarkytojo teisėtus reikalavimus, susijusius su Šifruoto tinklo įslaptintos informacijos apsauga;

18⁴.8. privalo įsigyti Šifruoto tinklo saugos dokumentuose nustatytus reikalavimus atitinkančią Tvarkytojo darbo vietos įrangą (įskaitant laikmenas), išskyrus Tvarkytojus, kurie aprūpinami centralizuotai perkama Tvarkytojo darbo vietos įranga;

18⁴.9. privalo naudoti Šifruoto tinklo įrangą tik pagal paskirtį, o Šifruoto tinklo kamieninio posistemio įrangos sugadinimo atveju atlyginti šios įrangos remonto išlaidas arba, jei Šifruoto tinklo kamieninio posistemio įranga sugadinta nepataisomai ar sunaikinta, sumokėti Pagrindiniam tvarkytojui Šifruoto tinklo kamieninio posistemio įrangos kainą, nurodytą įrangos montavimo akte, atskaičius tokiai įrangai pagal teisės aktus skaičiuojamą nusidėvėjimą;

18⁴.10. neperduoti Šifruotu tinklu įslaptintos informacijos neteisėtais tikslais, pažeidžiant Lietuvos Respublikos įstatymus ir Lietuvos Respublikos pasirašytas tarptautines sutartis;

18⁴.11. be Pagrindinio tvarkyto žinios nekeisti Šifruoto tinklo kamieninio ir Tvarkytojo darbo vietų posistemių įrangos vietos, jos neremontuoti ar nemodifikuoti;

18⁴.12. sudaryti sąlygas Pagrindinio tvarkytojo atstovams, pateikusiems atitinkamus įgaliojimus patvirtinančius dokumentus, patekti į patalpas Paslaugų teikimo vietoje, ten įrengti Šifruoto tinklo kamieninio posistemio įrangą, ją prižiūrėti, keisti bei išmontuoti arba vykdyti Tvarkytojo darbo vietose naudojamos, sukuriamos, gaunamos, perduodamos įslaptintos informacijos apsaugos veiksmų kontrolę. Pagrindinis tvarkytojas iš anksto praneša Tvarkytojui apie būtinybę patekti į patalpas Paslaugų teikimo vietoje ir numatomus atlikti Šifruoto tinklo kamieninio posistemio įrangos įrengimo, priežiūros, keitimo ar išmontavimo darbus arba planuojamą vykdyti perduodamos įslaptintos informacijos apsaugos veiksmų kontrolę, o Tvarkytojas supažindina Pagrindinį tvarkytoją su patekimo į jo teritoriją ir (ar) patalpas taisyklėmis, jei tokios nustatytos. Šalys užtikrina, kad darbus vykdytų asmenys, kurie turi leidimus dirbti ar susipažinti su įslaptinta informacija, žymima slaptumo žyma „Slaptai“ ar aukštesne;

18⁴.13. informuoti Pagrindinį tvarkytoją apie savo rekvizitų pasikeitimą ne vėliau kaip per 5 (penkias) kalendorines dienas nuo atitinkamos informacijos pasikeitimo dienos;

18⁴.14. užtikrinti iš Pagrindinio tvarkytojo Šifruoto tinklo paslaugų teikimo metu gautos ir su Šifruoto tinklo paslaugų teikimu susijusios informacijos saugumą;

18⁴.15. pasibaigus Šifruoto tinklo paslaugų teikimui, Tvarkytojas privalo ne vėliau kaip per 10 (dešimt) darbo dienų nuo išbraukimo iš Šifruoto tinklo tvarkytojų sąrašo dienos grąžinti Pagrindiniam tvarkytojui arba sudaryti sąlygas pasiimti Šifruoto tinklo kamieninio posistemio įrangą. Grąžinant Šifruoto tinklo kamieninio posistemio įrangą pasirašomas Tvarkytojo parengtas Šifruoto tinklo įrangos perdavimo–priėmimo aktas;

18⁴.16. tvarkydamas asmens duomenis laikytis Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatyme (toliau – Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymas), Šifruoto tinklo nuostatuose, juos įgyvendinančiuose teisės aktuose nustatytų reikalavimų;

18⁴.17. gauti kriptografines priemones iš Nacionalinės šifrų paskirstymo tarnybos.

TREČIASIS SKIRSNIS

PASLAUGŲ TEIKIMO SUSTABDYMO SĄLYGOS

18⁵. Šifruoto tinklo paslaugų teikimas Tvarkytojui gali būti sustabdytas, jeigu Saugumo priežiūros tarnybos funkcijas atliekanti institucija, vykdydama Šifruoto tinklo apsaugos priežiūrą bei Šifruoto tinklo atitikties Lietuvos Respublikos, Europos Sąjungos ir NATO nustatytiems įslaptintos informacijos ryšių ir informacinių sistemų saugumo reikalavimams vertinimą, nustato trūkumų, keliančių grėsmę Šifruotame tinkle apdorojamos ir (arba) perduodamos įslaptintos informacijos saugumui.

18⁶. Šifruoto tinklo paslaugų teikimas atnaujinamas Tvarkytojui įrodžius gebėjimą vykdyti įsipareigojimus ir iš Saugumo priežiūros tarnybos funkcijas atliekančios institucijos gavus leidimą atnaujinti Šifruoto tinklo paslaugas.“

19. Buvusį V skyrių laikau VI skyriumi.

20. Pakeičiu 20 punktą ir jį išdėstau taip:

„20. Įgyvendinant Aprašo 12 punktą, asmens duomenys tvarkomi nacionalinio saugumo tikslais, Tvarkytojui siekiant prisijungti prie Šifruoto tinklo ir naudotis Šifruoto tinklo paslaugomis, vadovaujantis Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymu. Šifruotame tinkle asmens duomenys tvarkomi ir duomenų subjektų teisės įgyvendinamos, kaip tai numatyta Šifruoto tinklo nuostatuose. Duomenų subjektas dėl jo duomenų subjekto teisių įgyvendinimo kreipiasi į Šifruoto tinklo valdytoją Asmens duomenų, tvarkomų teisėsaugos ar nacionalinio saugumo tikslais, įstatymo, Šifruoto tinklo nuostatų ir Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklių, patvirtintų Lietuvos Respublikos krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymu Nr. V-1253 „Dėl Asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo krašto apsaugos sistemoje taisyklių patvirtinimo“, nustatyta tvarka.“

21. Pripažįstu netekusiu galios 2 priedą.

Krašto apsaugos ministras Laurynas Kasčiūnas