lietuvos respublikos krašto apsaugos
ministras
ĮSAKYMAS
DĖL KRAŠTO APSAUGOS MINISTRO 2018 M. VASARIO 7 D. ĮSAKYMO
NR. V-135 „DĖL SAUGAUS VALSTYBINIO DUOMENŲ PERDAVIMO TINKLO NUOSTATŲ PATVIRTINIMO“ PAKEITIMO
2019 m. spalio 30 d. Nr. V-912
Vilnius
Pakeičiu Lietuvos Respublikos krašto apsaugos ministro 2018 m. vasario 7 d. įsakymą Nr. V-135 „Dėl Saugaus valstybinio duomenų perdavimo tinklo nuostatų patvirtinimo“ ir jį išdėstau nauja redakcija:
„Lietuvos Respublikos KRAŠTO APSAUGOS MINISTRAS
ĮSAKYMAS
DĖL saugiojo valstybinio duomenų perdavimo tinklo NUOSTATŲ PATVIRTINIMO
Vadovaudamasis Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 432 straipsnio 4 dalimi ir atsižvelgdamas į Specialiųjų organizacinių ir techninių reikalavimų, taikomų Saugiajam valstybiniam duomenų perdavimo tinklui, juo teikiamoms paslaugoms bei prekių ir paslaugų Saugiajam valstybiniam duomenų perdavimo tinklui teikėjams, aprašo, patvirtinto Lietuvos Respublikos krašto apsaugos ministro 2019 m. liepos 2 d. įsakymu Nr. V-583 „Dėl Saugiojo valstybinio duomenų perdavimo tinklo veiklą užtikrinančių dokumentų patvirtinimo“, 5 punktą,
PATVIRTINTA
Lietuvos Respublikos krašto apsaugos ministro
2018 m. vasario 7 d. įsakymu Nr. V-135
(Lietuvos Respublikos krašto apsaugos
ministro 2019 m. spalio 30 d.
įsakymo Nr. V-912 redakcija)
saugiojo valstybinio duomenų perdavimo tinklo NUOSTATAI
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Saugiojo valstybinio duomenų perdavimo tinklo nuostatai (toliau – Nuostatai) reglamentuoja Saugiojo valstybinio duomenų perdavimo tinklo (toliau – Saugusis tinklas) tikslus, uždavinius, funkcijas, organizacinę ir funkcinę struktūrą, reikalavimus duomenų saugai, tinklo finansavimo šaltinius.
2. Nuostatuose vartojamos sąvokos atitinka Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme, Lietuvos Respublikos elektroninių ryšių įstatyme ir šiuos įstatymus įgyvendinančiuose teisės aktuose vartojamas sąvokas.
3. Saugiojo tinklo steigimo pagrindas – Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas (2 straipsnio 13 dalis, 5 straipsnio 4 dalies 3 punktas, 432 straipsnis).
4. Saugusis tinklas tvarkomas vadovaujantis:
4.5. Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, patvirtintu Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“ (toliau – Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašas);
4.6. Prisijungimo prie Saugiojo valstybinio duomenų perdavimo tinklo, atsijungimo nuo jo ir elektroninių ryšių paslaugų teikimo šiuo tinklu tvarkos aprašu ir Specialiųjų organizacinių ir techninių reikalavimų, taikomų Saugiajam valstybiniam duomenų perdavimo tinklui, juo teikiamoms paslaugoms bei prekių ir paslaugų Saugiajam valstybiniam duomenų perdavimo tinklui teikėjams, aprašu, patvirtintais Lietuvos Respublikos krašto apsaugos ministro 2019 m. liepos 2 d. įsakymu Nr. V-583 „Dėl Saugiojo valstybinio duomenų perdavimo tinklo veiklą užtikrinančių dokumentų patvirtinimo“ (toliau – Saugiojo tinklo veiklą užtikrinantys dokumentai);
4.7. Asmens duomenų tvarkymo krašto apsaugos sistemoje taisyklėmis, patvirtintomis Lietuvos Respublikos krašto apsaugos ministro 2015 m. gruodžio 3 d. įsakymu Nr. V-1253 „Dėl asmens duomenų tvarkymo ir duomenų subjektų teisių įgyvendinimo Krašto apsaugos sistemoje taisyklių patvirtinimo“ (toliau – Asmens duomenų tvarkymo taisyklės);
4.8. 2015 m. sausio 21 d. sutartimi Nr. 314-111-K, pasirašyta tarp Europos Komisijos ir Lietuvos Respublikos Vyriausybės įgaliotos institucijos (toliau – Sutartis);
4.9. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Bendrasis duomenų apsaugos reglamentas).
5. Saugiojo tinklo tikslas – sudaryti sąlygas Saugiojo tinklo naudotojams, nepriklausomai nuo viešųjų elektroninių ryšių tinklų, saugiai ir efektyviai keistis informacija tarpusavyje ir su Europos Sąjungos (toliau – ES) institucijomis, užtikrinant informacijos konfidencialumą, vientisumą ir prieinamumą.
6. Saugiojo tinklo uždavinys – informacinių technologijų ir ryšių priemonėmis teikti elektroninių ryšių paslaugas pagal Saugiojo tinklo veiklą užtikrinančiuose dokumentuose nustatytus kiekybinius ir kokybinius rodiklius.
7. Saugiojo tinklo funkcijos:
7.2. vykdyti duomenų perdavimą per elektroninių ryšių tinklą, skirtą saugiai pasikeisti informacija tarp ES institucijų, priklausančių Europos institucijų elektroninių ryšių sričiai, ir (ar) ES narių administracijų, priklausančių nacionalinių valstybių institucijų elektroninių ryšių sričiai (angl. Trans-European Services for Telematics between Administrations – TESTA; toliau – ES tinklas);
7.3. Saugiojo tinklo naudotojo vietiniam kompiuterių tinklui teikti prieigą prie Saugiojo tinklo ir viešųjų elektroninių ryšių tinklų;
II SKYRIUS
ORGANIZACINĖ STRUKTŪRA
10. Saugiojo tinklo tvarkytojas, asmens duomenų valdytojas bei tvarkytojas – biudžetinė įstaiga Kertinis valstybės telekomunikacijų centras.
11. Saugiojo tinklo valdytojas turi teises ir pareigas, nurodytas Valstybės informacinių išteklių valdymo įstatyme ir Saugiojo tinklo veiklą užtikrinančiuose dokumentuose, bei atlieka šias papildomas funkcijas:
11.1. užtikrina, kad Saugusis tinklas būtų tvarkomas laikantis Saugiojo tinklo veiklą užtikrinančiuose dokumentuose nustatytų reikalavimų;
12. Saugiojo tinklo tvarkytojas turi teises ir pareigas, nurodytas Valstybės informacinių išteklių valdymo įstatyme, Saugiojo tinklo veiklą užtikrinančiuose dokumentuose ir Sutartyje, ir kaip asmens duomenų valdytojas ir tvarkytojas atlieka Bendrajame duomenų apsaugos reglamente bei Asmens duomenų tvarkymo taisyklėse, Kertinio valstybės telekomunikacijų centro asmens duomenų tvarkymo taisyklėse nustatytas asmens duomenų valdytojo ir tvarkytojo funkcijas, turi šiuose teisės aktuose nurodytas asmens duomenų valdytojo ir tvarkytojo teises ir pareigas. Papildomos Saugiojo tinklo tvarkytojo funkcijos:
12.1. užtikrina, kad Saugiuoju tinklu nesinaudotų į Saugiojo tinklo naudotojų sąrašą neįtraukti subjektai;
12.2. vertina Saugiojo tinklo plėtros poreikius ir teikia Saugiojo tinklo valdytojui pasiūlymus dėl Saugiojo tinklo plėtros projektų vykdymo, dėl efektyvesnio lėšų, skirtų Saugiajam tinklui, panaudojimo;
12.5. atlieka Saugiojo tinklo stebėseną – kaupia, apdoroja ir analizuoja informaciją, būtiną Saugiajam tinklui tvarkyti, saugai užtikrinti, reaguoja į aptiktus Saugiojo tinklo veiklos pažeidimus, trikdžius ir grėsmes, prognozuoja Saugiojo tinklo raidos tendencijas;
III SKYRIUS
INFORMACINĖ STRUKTŪRA
14. Saugiojo tinklo informacinę struktūrą sudaro:
14.1. tinklo valdymo ir saugos duomenys:
14.2. Saugiojo tinklo naudotojų duomenys:
14.2.2. buveinės ir (arba) struktūrinio (-ių) padalinio (-ių), kuriame yra įrengta prieiga prie Saugiojo tinklo, adresas;
14.2.3. naudotojo buveinės patalpų, kuriose yra įrengta prieiga prie Saugiojo tinklo ir sumontuota Saugiojo tinklo įranga, planas;
14.2.5. kontaktinio asmens duomenys: vardas, pavardė, telefono numeris, elektroninio pašto adresas, darbo vietos adresas, jei suteikiama teisė užsakyti, modifikuoti ar atsisakyti paslaugų, – teisę įrodantis dokumentas;
14.2.6. patvirtinimas, ar naudotojo informacinių sistemų ir tinklų, jungiamų prie Saugiojo tinklo, saugumo politikos dokumentuose nurodyta informacija atitinka saugumo reikalavimus, keliamus Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, apraše;
14.3. Saugiojo tinklo įrangos duomenys:
14.4. paslaugų valdymo duomenys:
14.4.2. prijungimo prie Saugiojo tinklo aktų registras ir duomenys, susiję su paslaugų kiekybiniais bei kokybiniais parametrais;
14.5. audito žurnalų duomenys:
14.5.2. infrastruktūros naudotojų, administratoriaus prisijungimas (ir nesėkmingi bandymai prisijungti), atsijungimas;
IV SKYRIUS
FUNKCInė struktūra
15. Saugųjį tinklą sudaro šie funkciniai elementai:
16. Saugiojo tinklo kamieninės dalies funkcija – teikti priemones Saugiojo tinklo naudotojams keistis duomenimis tarpusavyje ir su ES institucijomis bei ES valstybių narių administracijomis, perduodant signalus laidinėmis, radijo, optinėmis ar kitomis elektromagnetinėmis priemonėmis, teikti priemones elektroninių ryšių tinklų, naudojamų vykdant valstybines mobilizacines užduotis, dalims sujungti.
17. Prieigos prie Saugiojo tinklo funkcija – teikti priemones Saugiojo tinklo naudotojui prisijungti prie Saugiojo tinklo kamieninės dalies ir gauti Saugiojo tinklo paslaugas.
18. Prieigos prie ES tinklo funkcija – teikti priemones Saugiojo tinklo naudotojui pasiekti ES tinklą ir naudotis ES institucijų bei ES valstybių narių administracijų valdomais informaciniais ištekliais.
19. Prieigos prie viešųjų elektroninių ryšių tinklų funkcija – teikti priemones Saugiojo tinklo naudotojams naudotis viešaisiais elektroninių ryšių tinklais.
20. Paslaugų valdymo priemonių funkcijos:
21. Saugumo užtikrinimo priemonių funkcijos:
21.1. susieti asmens skaitmeninę tapatybę su elektroniniu kredencialu, naudojamu kaip įgaliojimas ar specialiųjų teisių turėjimo įrodymas;
21.2. pagal pateiktus galiojančius kredencialus verifikuoti, ar naudotojo skaitmeninė tapatybė, į kurią pretenduojama, yra tikra (autentifikavimas);
21.3. nustatyti asmeniui ar įrangai suteikiamas teises į fizinius ir loginius resursus (teisių valdymas);
21.4. autorizuoti asmenį ar įrangą ir suteikti jiems prieigas atsižvelgiant į teisių nustatymo ir verifikavimo procesų rezultatus;
21.6. identifikuoti, analizuoti, teikti ir kaupti informaciją apie piktavališkus veiksmus ir (ar) saugumo politikos pažeidimus, stabdyti piktavališkus veiksmus (įsibrovimų aptikimas ir prevencija);
21.9. nestabdant duomenų perdavimo proceso (apima kriptografinį saugumą, perdavimo saugumą, įrangos fizinį saugumą) užkardyti neteisėtą prisijungimą;
21.10. kontroliuoti prisijungimą prie tinklo (tinklo galinių taškų saugumo ir autentifikavimosi aspektais), įskaitant operacinės sistemos taisymą (angl. OS patch level), antivirusinės programos atnaujinimą, naudotojų IP adresų srities kontrolę;
21.11. administruoti ugniasienes, kontroliuojant programinės įrangos, paslaugos įeigą, išėjimą, prisijungimą prie tinklo ir atsijungimą nuo jo;
22. Administravimo priemonių funkcijos:
22.9. teikti priemones Saugiojo tinklo infrastruktūros būklei stebėti, analizuoti, kontroliuoti ir, esant poreikiui, Saugiojo tinklo valdytojui informuoti;
V SKYRIUS
DUOMENŲ SAUGA
23. Už Saugiojo tinklo elektroninės informacijos saugą pagal kompetenciją atsako Saugiojo tinklo valdytojas ir Saugiojo tinklo tvarkytojas.
24. Saugiojo tinklo sauga užtikrinama vadovaujantis Organizacinių ir techninių kibernetinio saugumo reikalavimų, taikomų kibernetinio saugumo subjektams, aprašu, Saugiojo tinklo veiklą užtikrinančiais dokumentais, Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu.
25. Elektroninio keitimosi duomenimis su ES ir valstybių narių administracijomis ir duomenų saugos užtikrinimo priemonės prieigos prie ES tinklo funkciniame elemente nustatomos Sutartyje.
26. Duomenų saugojimo terminai:
26.1. Nuostatų 14.1, 14.3 ir 14.4 papunkčiuose nurodyti duomenys, kurie yra būtini Saugiojo tinklo nuolatiniam veikimui, yra saugomi visą Saugiojo tinklo veikimo laiką;
26.2. Nuostatų 14.2 papunktyje nurodyti duomenys saugomi 1 metus nuo išbraukimo iš Saugiojo tinklo naudotojų sąrašo;
26.4. Nuostatų 14.6 papunktyje nurodyti duomenys saugomi Kertinio valstybės telekomunikacijų centro asmens duomenų tvarkymo taisyklių nustatytą laiką;
VI SKYRIUS
MODERNIZAVIMAS IR LIKVIDAVIMAS
28. Saugusis tinklas modernizuojamas pasikeitus teisės aktuose nustatytoms Saugiojo tinklo valdytojo ar Saugiojo tinklo tvarkytojo funkcijoms, kurioms vykdyti įsteigtas Saugusis tinklas, arba esant esminiams Saugiojo tinklo pokyčiams, reikalingiems įgyvendinant Saugiojo tinklo naudotojų poreikius.